DE102016107015A1 - Architektur für eine skalierbare Störungstoleranz in Systemen mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall - Google Patents

Architektur für eine skalierbare Störungstoleranz in Systemen mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall Download PDF

Info

Publication number
DE102016107015A1
DE102016107015A1 DE102016107015.7A DE102016107015A DE102016107015A1 DE 102016107015 A1 DE102016107015 A1 DE 102016107015A1 DE 102016107015 A DE102016107015 A DE 102016107015A DE 102016107015 A1 DE102016107015 A1 DE 102016107015A1
Authority
DE
Germany
Prior art keywords
failure
fail
safe
feature
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102016107015.7A
Other languages
English (en)
Other versions
DE102016107015B4 (de
Inventor
Thomas E. Fuhrman
Soheil Samii
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102016107015A1 publication Critical patent/DE102016107015A1/de
Application granted granted Critical
Publication of DE102016107015B4 publication Critical patent/DE102016107015B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0286Modifications to the monitored process, e.g. stopping operation or adapting control
    • G05B23/0291Switching into safety or degraded mode, e.g. protection and supervision after failure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24048Remote test, monitoring, diagnostic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Hardware Redundancy (AREA)

Abstract

Ein System zur integrierten Steuerung einer Ruhigstellung nach Ausfall und einer Funktionsfähigkeit nach Ausfall umfasst einen primären Controller, der Merkmale von Einrichtungen steuert, während diese unter Betriebsbedingungen ohne Störung betrieben werden. Ein sekundärer Controller umfasst ein Ausfall-Detektor-/Entscheidermodul, das Störungen in dem primären Controller überwacht. Das Ausfall-Detektor-/Entscheidermodul ermittelt, ob die Störung in dem primären Controller einer Anforderung mit Ruhigstellung nach Ausfall oder einer Anforderung mit Funktionsfähigkeit nach Ausfall zugeordnet ist. Wenn das Ausfall-Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Ruhigstellung nach Ausfall ist, dann gibt das Ausfall-Detektor-/Entscheidermodul eine Abschaltanweisung an den primären Controller aus, um ein Merkmal abzuschalten, das durch die Störung beeinflusst wird, wobei das Merkmal nicht betriebsfähig wird. Wenn das Ausfall-Detektor-/Entscheidermodul ermittelt, dass das Merkmal, das der Störung zugeordnet ist, eine Anforderung mit Funktionsfähigkeit bei Ausfall ist, dann überträgt das Ausfall-Detektor-/Entscheidermodul ein Signal an den primären Controller, um Steuerungen des Merkmals auf den sekundären Controller zu übertragen. Der sekundäre Controller wirkt als ein Hochsicherheitssystem, um das Merkmal in einem Modus mit Funktionsfähigkeit bei Ausfall zu steuern.

Description

  • HINTERGRUND DER ERFINDUNG
  • Eine Ausführungsform betrifft störungstolerante Steuersysteme.
  • Systeme, die Sicherheitsfunktionen bereitstellen, verwenden typischerweise redundante Controller zum Gewährleisten der Sicherheit, indem Funktionen abgeschaltet werden, die eine Störung oder einen Ausfall erfahren haben. Solche Systeme sind als Systeme mit Ruhigstellung bei Ausfall (Fail-Silent-Systeme) bekannt. Wenn eine Störung detektiert wird, werden Steuerungen für das Merkmal abgeschaltet, und das Merkmal ist innerhalb des Systems nicht länger betriebsfähig.
  • Einige Systeme versuchen, Steuersysteme unter Verwendung eines Systems mit Funktionsfähigkeit bei Ausfall (Fail-Operational-Systems) zu implementieren, wobei zusätzliche Controller zum Sicherstellen verwendet werden, dass ein sicherer Betrieb für eine Zeitspanne fortgesetzt werden kann, wie beispielsweise duale Doppelcontroller. Wenn ein erster Controller ausfällt und ruhiggestellt wird, wird ein zweiter Controller aktiviert, und alle Aktuatoren werden derart umgeschaltet, dass sie von Anforderungen des zweiten Controllers abhängen. Das Problem bei doppelten Ausgestaltungen liegt darin, dass die Controller aufgrund der Tatsache, dass sie im Wesentlichen identisch sind, die gleichen Defekte tragen, insbesondere Softwaredefekte. Da die Software identisch ist, weisen beide Controller inhärent die gleichen Probleme auf, wenn ein mit der Software verbundener Defekt auftritt.
  • Infolgedessen stellen solche Systeme in einem System, das eine symmetrische Implementierung von Controllern verwendet, die im Wesentlichen exakte Kopien bezüglich jeder Funktion sind, bezogen auf Softwarestörungen eine geringe Unterstützung bereit.
  • Andere Typen von Systemen, die eine nicht symmetrische Implementierung von Controllern verwenden, können verdoppelte Hardware- und Softwarestörungen vermeiden; die Verwendung eines zweiten, nicht symmetrischen Controllers, der die notwendige Software und Hardware zum Steuern aller Merkmale aufweist, die durch den ersten, nicht symmetrischen Controller gesteuert werden, ist jedoch teuer.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Ein Vorteil einer Ausführungsform ist ein System mit einer skalierbaren störungstoleranten Architektur, welches eine beliebige Kombination von Merkmalsanforderungen sowohl mit Ruhigstellung bei Ausfall als auch mit Funktionsfähigkeit bei Ausfall in einem einzigen Architekturschema unterstützt. Die Architekturausgestaltung verringert die Kosten und verbessert die Abdeckung von Softwarekonstruktionsfehlern. Das System integriert die Fehlerdetektion und die Störungsermittlung in ein einziges Modul, das Merkmale sowohl mit Ruhigstellung bei Ausfall als auch mit Funktionsfähigkeit bei Ausfall eines Systems überwachen kann. Das Modul ermittelt, ob die Störung mit einem Merkmal in Beziehung steht, das mit einer Anforderung mit Ruhigstellung bei Ausfall oder mit einer Anforderung mit Funktionsfähigkeit bei Ausfall verbunden ist. Wenn die Störung mit einer Anforderung mit Ruhigstellung bei Ausfall verbunden ist, dann wird das Merkmal, das der Störung zugeordnet ist, innerhalb des Systems nicht betriebsfähig; der primäre Controller kann jedoch weiterhin damit fortfahren, andere Merkmale zu steuern, die durch die Störung nicht beeinflusst werden. Wenn die Störung mit einer Anforderung mit Funktionsfähigkeit bei Ausfall verbunden ist, dann wird die Steuerung über das Merkmal durch das primäre Steuermodul an einen sekundären Controller übergeben, um das Merkmal zu überwachen und zu steuern. Ein weiterer Vorteil des Systems besteht darin, dass nur Software für Merkmale, die als Merkmale mit Funktionsfähigkeit bei Ausfall identifiziert sind, in dem sekundären Controller gespeichert ist. Infolgedessen können der Prozessor und der Speicher aufgrund der verringerten Komplexität und der verringerten computertechnischen Anforderungen verkleinert werden.
  • Eine Ausführungsform zieht eine Störungssteuerstrategie für ein System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall in Betracht. Es ist ein primärer Controller vorgesehen, um Merkmale von Einrichtungen zu steuern, während diese unter einer Betriebsbedingung ohne Störung betrieben werden. Es ist ein sekundärer Controller vorgesehen, der ein Ausfall-Detektor-/Entscheidermodul aufweist. Das Ausfall-Detektor-/Entscheidermodul überwacht Störungen in dem primären Controller und in dem sekundären Controller. Das Ausfall-Detektor-/Entscheidermodul ermittelt, ob eine Störung in dem primären Controller eine Anforderung mit Ruhigstellung bei Ausfall oder eine Anforderung mit Funktionsfähigkeit bei Ausfall ist. Ein Abschaltbefehl wird durch den Detektor/Entscheider über eine Ruhigstellung bei Ausfall an den primären Controller ausgegeben, um das Merkmal abzuschalten, das durch die Störung beeinflusst wird, wobei das Merkmal in Ansprechen darauf, dass das Ausfall-Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Ruhigstellung bei Ausfall ist, nicht betriebsfähig wird. Die Steuerung des Merkmals wird in Ansprechen darauf, dass das Ausfall-Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Funktionsfähigkeit bei Ausfall ist, auf den sekundären Controller übertragen. Der sekundäre Controller wirkt als ein Hochsicherheitssystem zum Steuern des Merkmals in einem Modus mit Funktionsfähigkeit bei Ausfall.
  • Eine Ausführungsform zieht ein System mit integrierter Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall in Betracht. Ein primärer Controller steuert Merkmale von Einrichtungen, während diese unter Betriebsbedingungen ohne Störung betrieben werden. Ein sekundärer Controller umfasst ein Ausfall-Detektor-/Entscheidermodul. Das Ausfall-Detektor-/Entscheidermodul überwacht Störungen in dem primären Controller und in dem sekundären Controller. Das Ausfall-Detektor-/Entscheidermodul ermittelt, ob die Störung in dem primären Controller einer Anforderung mit Ruhigstellung bei Ausfall oder einer Anforderung mit Funktionsfähigkeit bei Ausfall zugeordnet ist. Wenn das Ausfall-/Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Ruhigstellung bei Ausfall ist, dann gibt der Detektor/Entscheider über eine Ruhigstellung bei Ausfall eine Abschaltanweisung an den primären Controller aus, um ein Merkmal abzuschalten, das durch die Störung beeinflusst wird, wobei das Merkmal nicht betriebsfähig wird. Wenn das Ausfall-Detektor-/Entscheidermodul ermittelt, dass das Merkmal, das der Störung zugeordnet ist, eine Anforderung mit Funktionsfähigkeit bei Ausfall ist, dann überträgt das Ausfall-Detektor-/Entscheidermodul ein Signal an den primären Controller, um die Steuerungen des Merkmals auf den sekundären Controller zu übertragen. Der sekundäre Controller wirkt als ein Hochsicherheitssystem zum Steuern des Merkmals in einem Modus mit Funktionsfähigkeit bei Ausfall.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Architektur-Blockdiagramm eines Systems zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall.
  • 2 ist ein erweitertes Blockdiagramm des primären Controllers und des sekundären Controllers.
  • 3 stellt ein Flussdiagramm zum Detektieren und Aktivieren eines Modus mit Ruhigstellung bei Ausfall oder mit Funktionsfähigkeit bei Ausfall dar.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In 1 ist ein Architektur-Blockdiagramm eines Systems zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall gezeigt. Steuersysteme, die solche für Fahrzeuge, Flugzeuge und Schiffe, ohne Einschränkung auf diese, umfassen, die sicherheitskritische Systeme oder autonome Systeme verwenden, erfordern störungstolerante Gegenmaßnahmen, wenn ein Fehler innerhalb des Steuersystems auftreten sollte. Solche Steuersysteme verwenden oft zwei Controller, so dass dann, wenn ein Fehler bei einem primären Controller auftritt (der aus einer Störung resultiert), ein Ersatzcontroller leicht aktiviert werden kann, um ein Merkmal des Steuersystems zu steuern oder um eine Steuerung für eine eingeschränkte Funktionalität des Merkmals mit Fehler bereitzustellen. Wenn ein sekundärer Controller jedoch identisch mit dem primären Controller ist, dann weisen Störungen in dem primären Controller, die aus der Software resultieren, inhärent die gleichen Defekte in der Software des sekundären Controllers auf, da die Software identisch ist. Daher wird ein integriertes Hochleistungssystem und Hochsicherheitssystem verwendet und hierin beschrieben.
  • In 1 ist ein System gezeigt, und es umfasst einen primären Controller 12 sowie einen sekundären Controller 14. Das beispielhafte System, wie es hierin beschrieben wird, ist fahrzeugbasiert, wie jedoch vorstehend erwähnt ist, kann die Architektur auf Nicht-Fahrzeug-Systeme angewendet werden.
  • Ein Kommunikationsbus 16 stellt eine Verbindung zwischen dem primären Controller 12 und dem sekundären Controller 14 her. Aktuatoren 18 umfassen Einrichtungen zum Betätigen eines Merkmals des Systems. Die Aktuatoren 18 können Merkmale aufweisen, die nur durch den primären Controller gesteuert werden, und unter einer Bedingung mit Ruhigstellung bei Ausfall (Fail-Silence-Bedingung), bei welcher eine Störung in dem primären Controller auftritt, die mit diesem Merkmal verbunden ist, wird der Betrieb des entsprechenden Merkmals deaktiviert. Die Aktuatoren 18 können ferner Merkmale aufweisen, die unter einer Bedingung mit Funktionsfähigkeit bei Ausfall betrieben werden (Fail-Operational-Bedingung), bei welcher die Einrichtungen sowohl durch den primären Controller 12 als auch durch den sekundären Controller 14 gesteuert werden. Unter einer Bedingung mit Funktionsfähigkeit bei Ausfall werden die Merkmale nicht länger durch den primären Controller überwacht und gesteuert; die Einrichtungen bleiben jedoch auf eine eingeschränkte Weise funktionsfähig, um einen teilweisen Betrieb des Merkmals aufrechtzuerhalten, wenn vorher während Konstruktionsphasen ermittelt wurde, dass das Merkmal kritisch für das Fahrzeug ist, so dass das Merkmal nicht vollständig abgeschaltet werden kann. Typischerweise sind solche Merkmale diejenigen, die entweder kritisch oder für das Fahrzeug erforderlich sind, um zumindest einen gewissen sicheren Betrieb des Fahrzeugs aufrechtzuerhalten.
  • Der primäre Controller 12 umfasst einen Prozessor, der primäre Steuerungen 20 aufweist. Der primäre Controller 12 wird unter Betriebsbedingungen ohne Störung betrieben (die hierin als normale Betriebsbedingungen bezeichnet werden), und er erzeugt und überträgt Steuersignale, um dadurch Merkmale der Fahrzeugeinrichtungen 18 zu steuern.
  • Ein sekundärer Controller 14 umfasst einen Prozessor, der Ausfall-Betriebssteuerungen 24 aufweist, um Vorgänge ausgewählter Aktuatoren während Bedingungen mit Funktionsfähigkeit bei Ausfall zu steuern. Der sekundäre Controller 14, der in einem Betriebsmodus mit Funktionsfähigkeit bei Ausfall arbeitet, erzeugt Steuersignale zum Aktivieren bestimmter Merkmale des Systems, um Vorgänge zum Sicherstellen aufrechtzuerhalten, dass das System betrieben werden kann, wenn auch nur auf eine eingeschränkte Weise. Solche Steuereinrichtungen sind typischerweise kritische Einrichtungen, die Bremssteuerungen und Lenkungssteuerungen umfassen, ohne auf diese beschränkt zu sein. Unter einer Bedingung mit Funktionsfähigkeit bei Ausfall wird die Funktionalität für kritische Einrichtungen ermöglicht, wenn auch eingeschränkt, um dem Fahrer zu ermöglichen, das Fahrzeug sicher zu betreiben, bis das Fahrzeug an einen Ort zur Inspektion gefahren werden kann.
  • Der sekundäre Controller 14 umfasst ferner ein Modul 26 mit Decodierer/Entscheider über eine Ruhigstellung bei Ausfall, um Fehlerbedingungen sowohl in dem primären Controller 12 als auch in dem sekundären Controller 14 zu überwachen. Anders als bei bekannten Systemen, bei denen jeder Controller ein Überwachungssystem umfasst, verwendet die hierin beschriebene Architektur ein einziges Modul 26 mit Decodierer/Entscheider über eine Ruhigstellung bei Ausfall, welches Störungsbedingungen sowohl des primären Controllers 12 als auch des sekundären Controllers 14 überwacht und Steuersignale erzeugt, um die Controller abzuschalten und/oder umzuschalten.
  • 2 ist ein erweitertes Blockdiagramm des primären Controllers 12 und des sekundären Controllers 14. Die primären Steuerungen 20 des primären Controllers 12 empfangen Eingangssignale/Eingangsdaten 30 von verschiedenen Einrichtungen oder Sensoren aus dem gesamten Fahrzeug. Steuermaßnahmen 32 werden während der normalen Betriebsbedingungen durch den primären Controller 20 basierend auf den empfangenen Eingangssignalen/Eingangsdaten 30 ermittelt, die von den verschiedenen Einrichtungen und Sensoren erhalten werden. Ausgangssignale/Anweisungen 34 werden durch die primären Steuerungen 20 zu den Fahrzeugaktuatoren oder Fahrzeugsystemen übertragen, um Vorgänge von Merkmalen während der normalen Betriebsbedingungen zu steuern.
  • Der sekundäre Controller 14 umfasst das Ausfall-Detektor-/Entscheidermodul 26 zum Überwachen von Störungsbedingungen innerhalb des primären Controllers 12. Die Verantwortlichkeit des Ausfall-Detektor-/Entscheidermoduls 26 liegt darin, einen fehlerhaften, unsicheren Zustand innerhalb des primären Controllers 12 zu detektieren und zu ermitteln, ob der unsichere Zustand zu einer Bedingung mit Ruhigstellung bei Ausfall oder zu einer Bedingung mit Funktionsfähigkeit bei Ausfall führen sollte. Es versteht sich, dass der Fehlerdetektionsteil des Ausfall-Detektor-/Entscheidermoduls 26 sowohl für die Bedingung mit Ruhigstellung bei Ausfall als auch für die Bedingung mit Funktionsfähigkeit bei Ausfall derselbe ist. Der einzige Unterschied zwischen den Merkmalen mit Ruhigstellung bei Ausfall und mit Funktionsfähigkeit bei Ausfall ist die Maßnahme, die durch den primären Controller 12 und den sekundären Controller 14 bei der Detektion des Fehlers ergriffen werden soll. Für Merkmale mit Ruhigstellung bei Ausfall besteht die erforderliche Maßnahme darin, das Merkmal abzuschalten, das dem Fehler zugeordnet ist, während bei Merkmalen mit Funktionsfähigkeit bei Ausfall die erforderliche Maßnahme, die ergriffen werden soll, darin besteht, die Steuerung von dem primären Controller 12 auf den sekundären Controller 14 umzuschalten.
  • Der sekundäre Controller 14 wirkt als ein Hochsicherheitssystem basierend auf einem einfachen Schema, das als die Steuerung mit Funktionsfähigkeit bei Ausfall dient. Das Hochsicherheitssystem ist nur in dem Fall von Merkmalen mit Funktionsfähigkeit bei Ausfall erforderlich. Die Daten und die zugeordnete Software, die in dem sekundären Controller 14 zum Ausführen der Merkmale mit Funktionsfähigkeit bei Ausfall eingebunden sind, können im Vergleich zu dem primären Controller 12 sehr klein sein, da der sekundäre Controller 14 nur das reine Minimalverhalten mit Funktionsfähigkeit bei Ausfall implementiert, für das eine geringere Leistungsanforderung bestehen kann oder das im Vergleich zu der Funktionalität, die für den primären Controller 12 erforderlich ist, eine verringerte Funktionalität aufweisen kann. Zusätzlich implementiert der sekundäre Controller 14 nur einen Teil der Merkmale, die in dem primären Controller 12 implementiert sind. Wenn ein entsprechendes System beispielsweise 90% Merkmale mit Ruhigstellung bei Ausfall und nur 10% Merkmale mit Funktionsfähigkeit bei Ausfall umfasst, müssen nur die 10% Merkmale mit Funktionsfähigkeit bei Ausfall in dem sekundären Controller 14 gespeichert werden. Der Grund dafür ist, dass der primäre Controller 12, solange das System in dem normalen Betriebsmodus ohne Fehler arbeitet, die Steuerung der Merkmale des Fahrzeugs behält. Der sekundäre Controller 14 wird nur dann aktiviert, wenn der primäre Controller 12 Fehler in dem System erzeugt und ermittelt wird, dass das Merkmal nicht zuverlässig ist. Infolgedessen erfordert der sekundäre Controller 14 nur die minimale Menge an Software, die zum Aufrechterhalten eines eingeschränkten Betriebs für diejenigen jeweiligen Merkmale erforderlich ist, von denen angenommen wird, dass sie für den Betrieb der Merkmale des Systems notwendig sind.
  • In Ansprechen auf eine Ermittlung durch den Detektor/Entscheider 26 über eine Ruhigstellung bei Ausfall, dass die Steuerungen in den Hochsicherheitsmodus des sekundären Controllers 14 umgeschaltet werden sollten, werden die Steuerungen mit Funktionsfähigkeit bei Ausfall anschließend durch den Mikroprozessor des sekundären Controllers 14 ausgeführt. Der Mikroprozessor des sekundären Controllers 14 empfängt Eingangssignale/Eingangsdaten 40 von verschiedenen Einrichtungen oder Sensoren aus dem gesamten Fahrzeug. Steuerungsmaßnahmen 42 werden durch die Steuerungen 24 mit Funktionsfähigkeit bei Ausfall basierend auf den empfangenen Eingangssignalen/Eingangsdaten 40, die durch die verschiedenen Einrichtungen und Sensoren erhalten werden, während der Bedingungen mit Funktionsfähigkeit bei Ausfall ermittelt. Ausgangssignale/Anweisungen 44 werden durch die Steuerungen 24 mit Funktionsfähigkeit bei Ausfall zu den Fahrzeugaktuatoren übertragen, um die Merkmale mit Funktionsfähigkeit bei Ausfall während des Modus mit Funktionsfähigkeit bei Ausfall zu steuern. Wie vorstehend beschrieben ist, können ein Mikroprozessor und auch ein Speicher mit geringerer Größe in dem sekundären Controller 14 verwendet werden, da die Merkmale mit Funktionsfähigkeit bei Ausfall im Vergleich zu den Merkmalen mit Ruhigstellung bei Ausfall von geringem Umfang sind.
  • 3 stellt ein Flussdiagramm für eine Steuerstrategie in dem sekundären Controller dar, um einen Fehler zu detektieren und um zu ermitteln, ob Merkmale mit Ruhigstellung bei Ausfall oder Merkmale mit Funktionsfähigkeit bei Ausfall aktiviert werden sollen.
  • Bei Block 50 werden Störungsbedingungen durch das Modul des sekundären Controllers mit Decodierer/Entscheider über eine Ruhigstellung bei Ausfall überwacht. Der Detektor/Entscheider über eine Ruhigstellung bei Ausfall ermittelt den Typ der Störungen und die Heftigkeit der Störungen, die dem primären Controller zugeordnet sind.
  • Bei Block 51 bewertet das Ausfall-Detektor-/Entscheidermodul die Korrektheit und die Sicherheit jeder der Steuerungen des primären Controllers in einer sich wiederholenden Schleife. Dies wird unabhängig davon ausgeführt, ob die primäre Steuerung bei Ausfall ruhiggestellt wird oder bei Ausfall funktionsfähig ist. Wenn ermittelt wird, dass die Steuerungen, die durch den primären Controller ausgegeben werden, korrekt sind, dann wird eine Rückführung zu Schritt 50 ausgeführt, um Ausgaben und Störungen weiterhin zu analysieren. Unter dieser Bedingung ist der primäre Controller aktiviert, und er behält die Steuerung über das Merkmal. Wenn bei Block 51 ermittelt wird, dass die Steuerungen entweder inkorrekt oder unsicher sind, dann schreitet die Routine zu Schritt 52 voran.
  • Bei Schritt 52 ermittelt das Modul mit Detektor/Entscheider über eine Ruhigstellung bei Ausfall, ob das Merkmal, das der Störung zugeordnet ist, eine Anforderung mit Ruhigstellung bei Ausfall oder eine Anforderung mit Funktionsfähigkeit bei Ausfall ist. Wenn ermittelt wird, dass das Merkmal als eine Anforderung mit Ruhigstellung bei Ausfall kategorisiert ist, dann schreitet die Routine zu Schritt 53 voran; ansonsten schreitet die Routine zu Schritt 54 voran.
  • Bei Schritt 53 tritt der primäre Controller in Ansprechen auf eine Ermittlung, dass eine Bedingung mit Ruhigstellung bei Ausfall vorliegt, bezogen auf die Steuerungsvorgänge dieses Merkmals in einen Modus mit Ruhigstellung bei Ausfall ein. In einem Modus mit Ruhigstellung bei Ausfall wird das entsprechende Merkmal für die Einrichtung bzw. für das System nicht betriebsfähig, und es werden keine Steuersignale übertragen, die sich auf das entsprechende Merkmal beziehen. Weder der primäre Controller noch der sekundäre Controller können die gestörten Merkmale aktivieren. Es versteht sich, dass die Merkmale, die während der Konstruktionsphase für eine Ruhigstellung bei Ausfall identifiziert werden, solche Merkmale sind, die typischerweise für die Funktionalität des Fahrzeugs nicht kritisch sind, oder der Fahrzeugbetrieb hängt nicht von solchen Merkmalen ab. Daher gibt es keine Steuerstrategie in dem sekundären Controller, um den Betrieb des Merkmals aufrechtzuerhalten.
  • Es versteht sich auch, dass der primäre Controller verschiedene Merkmale in einem System oder einem Fahrzeug steuern kann. Wenn eine Störung in dem primären Controller bezüglich eines Merkmals auftritt, das durch den primären Controller gesteuert wird, wird daher anschließend nur der Betrieb dieses Merkmals nicht betriebsfähig. Der primäre Controller kann andere Merkmale weiterhin überwachen und steuern, die durch die Störung nicht beeinflusst werden.
  • Bei Schritt 54 überlässt der primäre Controller in Ansprechen auf eine Ermittlung bei Schritt 52, das das Merkmal als eine Anforderung mit Funktionsfähigkeit bei Ausfall kategorisiert ist, die Steuerung des gestörten Merkmals dem sekundären Controller. Unter einer Bedingung mit Funktionsfähigkeit bei Ausfall hält der sekundäre Controller den Betrieb des entsprechenden Merkmals aufrecht. Das Merkmal kann einen variierenden Grad der Funktionalität aufweisen, welcher während der Konstruktionsphasen vorprogrammiert wird. Der sekundäre Controller arbeitet typischerweise als ein Hochsicherheitssystem, das ermöglicht, dass die Konstruktion im Vergleich zu dem primären Controller ein leichtgewichtiger Controller ist. Der Begriff leichtgewichtig bezieht sich dann, wenn er hierin verwendet wird, auf ein System, das im Gegensatz zu dem primären Controller weniger computertechnisch intensiv ist. Darüber hinaus hält der sekundäre Controller eine erhöhte Sicherheit der Datenintegrität und der Genauigkeit basierend auf den Daten aufrecht, die beim Ausführen seiner Ermittlungen verwendet werden. Daher werden nur diejenige Software und die mit dieser verbundenen Vorgänge in den Controller programmiert, die eine größere Sicherheit bereitstellen, dass das Merkmal betrieben werden kann, um einen gewissen Betrieb des Merkmals aufrechtzuerhalten, welches für das System kritisch sein kann, das Merkmal kann jedoch auf eine reduzierte Weise betrieben werden. Während der sekundäre Controller den Betrieb für das entsprechende Merkmal aufrechterhält, das der Störung zugeordnet ist, weist der primäre Controller nicht länger irgendeine Beteiligung oder Steuerung bezogen auf dieses Merkmal auf; der primäre Controller hält jedoch die Analyse und die Steuerung über die anderen Merkmale aufrecht, die durch die Störung nicht beeinflusst werden.
  • Obgleich bestimmte Ausführungsformen der vorliegenden Erfindung im Detail beschrieben wurden, werden Fachleute, die diese Erfindung betrifft, verschiedene alternative Konstruktionen und Ausführungsformen zum Ausüben der Erfindung erkennen, wie sie durch die nachfolgenden Ansprüche definiert ist.

Claims (10)

  1. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall, umfassend: einen primären Controller, der Merkmale von Einrichtungen steuert, während diese unter Betriebsbedingungen ohne Störung betrieben werden; einen sekundären Controller, der ein Ausfall-Detektor-/Entscheidermodul umfasst, wobei das Ausfall-Detektor-/Entscheidermodul Störungen in dem primären Controller und in dem sekundären Controller überwacht, wobei das Ausfall-Detektor-/Entscheidermodul ermittelt, ob die Störung in dem primären Controller einer Anforderung mit Ruhigstellung bei Ausfall oder einer Anforderung mit Funktionsfähigkeit bei Ausfall zugeordnet ist, wobei dann, wenn das Ausfall-Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Ruhigstellung bei Ausfall ist, der Detektor/Entscheider über eine Ruhigstellung bei Ausfall eine Abschaltanweisung an den primären Controller ausgibt, um ein Merkmal abzuschalten, das durch die Störung beeinflusst wird, wobei das Merkmal nicht betriebsfähig wird, und wobei dann, wenn das Ausfall-Detektor-/Entscheidermodul ermittelt, dass das Merkmal, das der Störung zugeordnet ist, eine Anforderung mit Funktionsfähigkeit bei Ausfall ist, das Ausfall-Detektor-/Entscheidermodul ein Signal an den primären Controller sendet, um Steuerungen des Merkmals auf den sekundären Controller zu übertragen, wobei der sekundäre Controller als ein Hochsicherheitssystem zum Steuern des Merkmals in einem Modus mit Funktionsfähigkeit bei Ausfall wirkt.
  2. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 1, wobei jedes Merkmal des Systems als ein Merkmal mit Ruhigstellung bei Ausfall oder als ein Merkmal mit Funktionsfähigkeit bei Ausfall kategorisiert ist.
  3. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 2, wobei der Detektor/Entscheider über die Ruhigstellung bei Ausfall Störungen in dem primären Controller überwacht und detektiert.
  4. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 3, wobei das Ausfall-Detektor-/Entscheidermodul fehlerhafte oder unsichere Bedingungen in dem primären Controller detektiert.
  5. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 4, wobei die Detektion von Störungen in dem primären Controller durch das Ausfall-Detektor-/Entscheidermodul zwischen Merkmalen mit Ruhigstellung bei Ausfall und Merkmalen mit Funktionsfähigkeit bei Ausfall dieselbe ist.
  6. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 2, wobei der Detektor/Entscheider über die Ruhigstellung bei Ausfall ermittelt, ob das Merkmal, das der Störung zugeordnet ist, als ein Merkmal mit Ruhigstellung bei Ausfall oder als ein Merkmal mit Funktionsfähigkeit bei Ausfall kategorisiert ist.
  7. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 1, das ferner ein Steuermodul für die Funktionsfähigkeit bei Ausfall umfasst, um die Merkmale zu steuern, die als Merkmale mit Funktionsfähigkeit bei Ausfall kategorisiert sind, wobei das Steuermodul für die Funktionsfähigkeit bei Ausfall die Merkmale mit Funktionsfähigkeit bei Ausfall in Ansprechen darauf steuert, dass das Ausfall-Detektions-/Entscheidermodul ermittelt, dass die Störung eine Störung mit Funktionsfähigkeit bei Ausfall ist.
  8. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 7, wobei der primäre Controller die Steuerung des Merkmals, das der Bedingung mit Funktionsfähigkeit bei Ausfall zugeordnet ist, in Ansprechen auf eine Kommunikation von dem Ausfall-Detektor-/Entscheidermodul aufgibt, welches ermittelt, dass die Störung eine Störung mit Funktionsfähigkeit bei Ausfall ist.
  9. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 1, wobei Software zum Steuern nur der Merkmale, die als Merkmale mit Funktionsfähigkeit bei Ausfall kategorisiert sind, in dem Steuermodul des sekundären Controllers für die Funktionsfähigkeit bei Ausfall gespeichert ist.
  10. System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall nach Anspruch 9, wobei das Steuermodul für die Funktionsfähigkeit bei Ausfall Software zum Steuern der Merkmale mit Funktionsfähigkeit bei Ausfall mit einer reduzierten Funktionalität umfasst.
DE102016107015.7A 2015-04-16 2016-04-15 System mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall Active DE102016107015B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/688,083 2015-04-16
US14/688,083 US9563523B2 (en) 2015-04-16 2015-04-16 Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems

Publications (2)

Publication Number Publication Date
DE102016107015A1 true DE102016107015A1 (de) 2016-10-20
DE102016107015B4 DE102016107015B4 (de) 2021-04-29

Family

ID=57043253

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016107015.7A Active DE102016107015B4 (de) 2015-04-16 2016-04-15 System mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall

Country Status (3)

Country Link
US (1) US9563523B2 (de)
CN (1) CN106054852B (de)
DE (1) DE102016107015B4 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016011469A1 (de) * 2014-07-22 2016-01-28 Fts Computertechnik Gmbh Fehlertolerantes, wartbares automatisierungssystem
CN106354141B (zh) * 2016-11-02 2019-09-13 北京汽车集团有限公司 一种驾驶控制系统和方法
US10459436B2 (en) 2017-06-01 2019-10-29 GM Global Technology Operations LLC Asymmetric system architecture for fail-operational functions with limited availability requirements
DE102017218898A1 (de) * 2017-10-23 2019-04-25 Volkswagen Aktiengesellschaft Kontrollsystem für ein Batteriesystem
KR102066219B1 (ko) * 2018-02-05 2020-01-14 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
US20200183661A1 (en) * 2018-12-11 2020-06-11 GM Global Technology Operations LLC Method and apparatus for cross-execution of binary embedded software
US11101632B2 (en) 2019-11-12 2021-08-24 Saudi Arabian Oil Company High current detection and field loop isolation circuit
CN112947375B (zh) * 2021-02-09 2023-08-25 大连海事大学 一种考虑未知死区的复合自适应容错控制器设计方法
US11214271B1 (en) * 2021-03-10 2022-01-04 Aurora Operations, Inc. Control system interface for autonomous vehicle
JP2022188500A (ja) * 2021-06-09 2022-12-21 日立Astemo株式会社 車両制御装置および車両制御システム
US20240124026A1 (en) * 2022-10-17 2024-04-18 Argo AI, LLC Asymmetrical Autonomous Vehicle Computing Architecture

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4807516A (en) * 1987-04-23 1989-02-28 The Boeing Company Flight control system employing three controllers operating a dual actuator
US6389559B1 (en) * 2000-05-24 2002-05-14 Mti Technology Corporation Controller fail-over without device bring-up
US7069468B1 (en) * 2001-11-15 2006-06-27 Xiotech Corporation System and method for re-allocating storage area network resources
ATE431944T1 (de) * 2003-01-23 2009-06-15 Supercomputing Systems Ag Fehlertolerantes computergesteuertes system
US8340793B2 (en) * 2009-10-09 2012-12-25 Hamilton Sundstrand Corporation Architecture using integrated backup control and protection hardware
US8935015B2 (en) * 2011-05-09 2015-01-13 Parker-Hannifin Corporation Flight control system with alternate control path
CN102854874B (zh) * 2012-06-18 2015-08-12 南京航空航天大学 一种基于联合多观测器的故障诊断与容错控制装置
US9740178B2 (en) * 2013-03-14 2017-08-22 GM Global Technology Operations LLC Primary controller designation in fault tolerant systems
US9195232B1 (en) * 2014-02-05 2015-11-24 Google Inc. Methods and systems for compensating for common failures in fail operational systems
CN104269813B (zh) * 2014-09-03 2017-08-25 浙江大学 一种电控汽车执行器故障诊断与容错控制的方法

Also Published As

Publication number Publication date
CN106054852A (zh) 2016-10-26
US9563523B2 (en) 2017-02-07
CN106054852B (zh) 2019-03-01
US20160306720A1 (en) 2016-10-20
DE102016107015B4 (de) 2021-04-29

Similar Documents

Publication Publication Date Title
DE102016107015B4 (de) System mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall
DE102014102582B4 (de) Strategie für fehlertolerante Controller
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
DE102017106087A1 (de) Fehlertoleranz-muster und schaltprotokoll für mehrere hot- und cold-standby-redundanzen
DE69925000T2 (de) Fehlertolerantes elektronisches bremssystem
WO2011117155A1 (de) Redundante zwei-prozessor-steuerung und steuerungsverfahren
DE102015110958A1 (de) Ausfallverwaltung in einem Fahrzeug
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE102011014142A1 (de) Fahrzeugsteuervorrichtung für eine CAN-Kommunikation und Diagnoseverfahren hierfür
DE102014106959A1 (de) Eine plötzliche Beschleunigung verhinderndes elektronisches Gaspedal und Verfahren hiervon
WO2017137222A1 (de) Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung
DE19607429B4 (de) Fehlertolerante Steuerungseinrichtung für ein physikalisches System, insbesondere Fahrdynamikregeleinrichtung für ein Kraftfahrzeug
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102013113296A1 (de) Redundante Rechenarchitektur
DE102017106086A1 (de) Hybrid-dual-duplex fail-betriebsmuster und verallgemeinerung einer beliebigen anzahl an ausfällen
EP3473512B1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
WO2018134023A1 (de) Redundante prozessorarchitektur
EP1615087B1 (de) Steuer- und Regeleinheit
DE4113959A1 (de) Ueberwachungseinrichtung
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102020203419A1 (de) Verfahren und Vorrichtung zum Betreiben eines automatisiert fahrenden Fahrzeugs
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
DE102017100384A1 (de) Fahrzeugsubsystem-kommunikationsarbitrierung
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE60033853T2 (de) Fehlertolerantes system

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final