DE102017100384A1 - Fahrzeugsubsystem-kommunikationsarbitrierung - Google Patents

Fahrzeugsubsystem-kommunikationsarbitrierung Download PDF

Info

Publication number
DE102017100384A1
DE102017100384A1 DE102017100384.3A DE102017100384A DE102017100384A1 DE 102017100384 A1 DE102017100384 A1 DE 102017100384A1 DE 102017100384 A DE102017100384 A DE 102017100384A DE 102017100384 A1 DE102017100384 A1 DE 102017100384A1
Authority
DE
Germany
Prior art keywords
signal
bus
failover
primary
failover device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102017100384.3A
Other languages
English (en)
Inventor
John P. Joyce
Scott J. Lauffer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ford Global Technologies LLC
Original Assignee
Ford Global Technologies LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ford Global Technologies LLC filed Critical Ford Global Technologies LLC
Publication of DE102017100384A1 publication Critical patent/DE102017100384A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4004Coupling between buses
    • G06F13/4027Coupling between buses using bus bridges
    • G06F13/4031Coupling between buses using bus bridges with arbitration
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • G06F13/362Handling requests for interconnection or transfer for access to common bus or bus system with centralised access control
    • G06F13/364Handling requests for interconnection or transfer for access to common bus or bus system with centralised access control using independent requests or grants, e.g. using separated request and grant lines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • H04L12/4135Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25257Microcontroller

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Ein Fahrzeugsubsystem umfasst: ein erstes Signal, das einen ersten Master-Wert umfasst, wird von einer ersten Ausfallsicherungsvorrichtung und einer dritten Ausfallsicherungsvorrichtung gesendet. Ein erstes Signal wird über einen primären Bus gesendet. Ein zweites Signal, das einen zweiten Master-Wert umfasst, wird von einer zweiten Ausfallsicherungsvorrichtung zu einer vierten Ausfallsicherungsvorrichtung gesendet. Der erste und zweite Master-Wert geben an, ob das erste und zweite Signal auf dem primären Bus, dem sekundären Bus, auf beiden oder keinem maßgebend sind.

Description

  • HINTERGRUND
  • Ein autonomes Fahrzeug, d.h. ein Fahrzeug, in dem einige oder alle herkömmlicherweise durch eine Bedienungsperson gesteuerten Operationen durch Komponenten im Fahrzeug ohne Bedienerintervention gesteuert und ausgeführt werden, hängt davon ab, Schlüsselsubsystemfunktionen im Fall eines Ausfalls aufrechtzuerhalten und zu koordinieren.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt ein beispielhaftes Fahrzeug, das ein beispielhaftes Fahrzeugarbitrierungssystem umfasst.
  • 2 ist eine Blockdarstellung des beispielhaften Fahrzeugarbitrierungssystems.
  • 3 ist ein Prozessflussdiagramm eines beispielhaften Prozesses zur Arbitrierung von Signalen in einer ausfallsicheren Vorrichtung.
  • 4 ist ein Diagramm von in dem Prozess von 2 verwendeter Arbitrierungslogik.
  • DETAILLIERTE BESCHREIBUNG
  • Ausfälle für autonome und nicht autonome Fahrzeuge könnten zum Beispiel Stromausfälle, Kommunikationsausfälle und Ausfälle von Logikvorrichtungen sein. Bei derzeitigen Mechanismen mangelt es an dem Umgang mit Ausfällen von Subsystemen und der Koordinierung redundanter Logik und Kommunikation während eines Ausfalls, insbesondere im Kontext von autonomen Fahrzeugen.
  • In einem autonomen oder nicht autonomen Fahrzeug kann ein ausfallfunktionales Verhalten dabei helfen, durch den Ausfall verursachte Probleme zu mindern. In einem herkömmlichen Fahrzeug verringern die meisten elektronisch gesteuerten Systeme, die eine Fahrersteuerung der Fahrzeug-Ausfallsicherung unterstützen, die Unterstützung der Fahrersteuerung, stellen hierdurch aber sicher, dass sie die Fahrersteuerung nicht stören. In einem autonomen Fahrzeug können die elektronisch gesteuerten Systeme jedoch die primäre Steuerung des Fahrzeugs bereitstellen. Wenn Ausfälle auftreten, ist möglicherweise kein Fahrer da, der das Fahrzeug steuert, so dass die elektronisch gesteuerten Systeme ein signifikantes Niveau der Funktion aufrechterhalten müssen, zumindest bis der Fahrer eine manuelle Steuerung übernehmen kann.
  • Eine Möglichkeit, solche Probleme zu überwinden, besteht in einer Fahrzeugsubsystem-Kommunikationsarbitrierung. Ein System in einem Fahrzeug kann mehrere Logikvorrichtungen in Kommunikation mit Partnervorrichtungen in anderen Systemen in dem Fahrzeug umfassen. Das System zum Arbitrieren einer solchen Kommunikation umfasst eine erste und zweite Ausfallsicherungsvorrichtung, wobei jede Ausfallsicherungsvorrichtung einen Prozessor und einen Speicher aufweist. Der Speicher speichert Anweisungen, die durch den Prozessor ausführbar sind, um Informationen zu senden. Das System umfasst ferner einen ersten Arbitrierungsbus, der die erste und zweite Ausfallsicherungsvorrichtung verbindet. Der erste Arbitrierungsbus sendet Informationen zwischen der ersten und zweiten Ausfallsicherungsvorrichtung. Die erste Ausfallsicherungsvorrichtung ist zum Kommunizieren mit einer dritten Ausfallsicherungsvorrichtung über einen primären Bus programmiert. Die zweite Ausfallsicherungsvorrichtung ist zum Kommunizieren mit einer vierten Ausfallsicherungsvorrichtung über einen sekundären Bus programmiert. Die erste Ausfallsicherungsvorrichtung ist zum Senden eines ersten Signals, das einen ersten Master-Wert umfasst, zu der zweiten Ausfallsicherungsvorrichtung über einen ersten Netzwerkpfad programmiert. Der erste Netzwerkpfad umfasst den ersten Arbitrierungsbus. Die erste Ausfallsicherungsvorrichtung ist programmiert zum Senden eines ersten Signals, das einen ersten Master-Wert umfasst, über einen zweiten Netzwerkpfad. Der zweite Netzwerkpfad umfasst den primären Bus, den sekundären Bus und einen zweiten Arbitrierungsbus, der die dritte und vierte Ausfallsicherungsvorrichtung verbindet und Informationen zwischen der dritten und vierten Ausfallsicherungsvorrichtung sendet. Der erste Master-Wert gibt an, ob das erste Signal auf dem primären Bus, dem sekundären Bus, sowohl dem primären als auch dem sekundären Bus oder auf keinem Bus maßgebend ist. Der Ausdruck "maßgebend" kann sich darauf beziehen, ob Signale von einem bestimmten Bus durch die Ausfallsicherungsvorrichtungen als zuverlässig betrachtet werden, d.h., wenn ein Master-Wert angibt, dass ein Signal auf einem primären Bus maßgebend ist, betrachtet die Ausfallsicherungsvorrichtung die auf dem primären Bus empfangenen Signale als genau, und wenn der Master-Wert angibt, dass ein Signal auf einem sekundären Bus nicht maßgebend ist, betrachtet die Ausfallsicherungsvorrichtung von dem sekundären Bus empfangene Signale als potentiell ungenau, bis die Ausfallsicherungsvorrichtung eine Angabe, z. B. einen anderen Master-Wert, empfängt, dass Signale auf dem sekundären Bus maßgebend sind. Anders ausgedrückt, kann der Ausdruck "maßgebend" angeben, ob die Ausfallsicherungsvorrichtung, die das Signal empfängt, dem Signal vertrauen soll.
  • Mit Bezug auf die Figuren können die gezeigten Elemente verschiedene Formen annehmen und mehrere und/oder alternative Komponenten und Einrichtungen umfassen. Die veranschaulichten Beispielkomponenten sollen nicht einschränkend sein. Tatsächlich können zusätzliche oder alternative Komponenten und/oder Umsetzungsformen verwendet werden. Sofern nicht ausdrücklich anderweitig angegeben, sind die gezeigten Elemente ferner nicht unbedingt maßstabsgetreu dargestellt.
  • 1 zeigt ein Fahrzeug 101. Das Fahrzeug 101 umfasst mehrere Subsysteme, darunter ein autonomes Subsystem 105, ein Kraftübertragungs-Subsystem 110, ein Bremsensubsystem 115 und ein Lenksubsystem 120. Das Fahrzeug 101 kann z. B. ein Auto, ein Lastwagen und/oder ein beliebiges anderes geeignetes Fahrzeug sein. Die Subsysteme, wie etwa das Autonombetrieb-Subsystem 105, das die erste und zweite Ausfallsicherungsvorrichtung 106, 107 umfasst, können eine Kombination von Software und Hardware zum Ausführen verschiedener Operationen enthalten. Zum Beispiel kann jede der Ausfallsicherungsvorrichtungen 106, 107 programmiert sein zum Empfangen und Verarbeiten von Sensordaten, Empfangen und Verarbeiten von Daten von verschiedenen Komponenten des Fahrzeugs 101 und Bereitstellen von Informationen und Anweisungen für verschiedene Komponenten des Fahrzeugs 101 zur Unterstützung verschiedener autonomer Aktionen, d.h. Operationen des Fahrzeugs 101, die ohne Intervention oder Steuerung durch eine Bedienungsperson ausgeführt werden. Dementsprechend umfasst jede der Vorrichtungen 106, 107 im Allgemeinen mehrere Prozessoren und einen Speicher, wobei der Speicher eine oder mehrere Formen von computerlesbaren Medien umfasst und Anweisungen speichert, die durch den Prozessor zur Ausführung verschiedener Operationen, darunter wie hier offenbart, ausführbar sind, wodurch das Subsystem 105 Programmierung zum Ausführen verschiedener Operationen umfasst. Ferner ist jede der Vorrichtungen 106, 107 mit redundanten Komponenten, Überwachungsfunktionen und Programmierung konstruiert, wodurch sie fähig wird, Ausfälle in sich selbst zu detektieren und ihre Funktion völlig zu sperren oder wesentlich zu verringern, falls ein Ausfall detektiert wird.
  • Das autonome Subsystem 105 kann programmiert sein zum Betreiben des Fahrzeugs 101 mit begrenzter oder keiner Eingabe von einer Bedienungsperson. Das autonome Subsystem 105 kann eine erste Ausfallsicherungsvorrichtung 106 und eine zweite Ausfallsicherungsvorrichtung 107 umfassen. Das autonome Subsystem 105 kann über einen Kommunikationsbus 130, 131 kommunikativ mit anderen Subsystemen 110, 115, 120 gekoppelt sein.
  • Die Ausfallsicherungsvorrichtungen 106, 107 können zum Reagieren auf interne Fehler oder Ausfälle, Fehler oder Ausfälle voneinander und Fehler oder Ausfälle in anderen Subsystemen programmiert sein. Jede der Ausfallsicherungsvorrichtungen 106, 107 kann interne Mechanismen zum Umgang mit Ausfall umfassen, z. B. mehrere Mikroprozessoren oder andere Mechanismen zum unabhängigen Ausführen von Programmierung zum Ausführen von Operationen einer jeweiligen anderen Ausfallsicherungsvorrichtung 106, 107. Zum Beispiel könnten ein erster und zweiter Mikroprozessor in einer Ausfallsicherungsvorrichtung 106 oder 107 ein Ergebnis erzeugen und die Ergebnisse miteinander vergleichen. Wenn die Ergebnisse nicht übereinstimmen, könnte die Vorrichtung 106 oder 107 einen Fehler deklarieren und den Betrieb beenden, eine Benachrichtigung zu einer anderen Vorrichtung 106, 107 in Bezug auf den Fehler senden usw.
  • Das Fahrzeug 101 kann ein Kraftübertragungs-Subsystem 110 umfassen. Das Kraftübertragungs-Subsystem 110 kann zum Empfangen von Anweisungen von dem autonomen Subsystem 105 zur Steuerung der Kraftübertragung eines Fahrzeugs 101 programmiert sein. Das Kraftübertragungs-Subsystem 110 kann Ausfallsicherungsvorrichtungen 111, 112 umfassen. Das Kraftübertragungs-Subsystem 110 kann über den Kommunikationsbus 130, 131 kommunikativ mit dem autonomen Subsystem 105 und anderen Subsystemen 115, 120 gekoppelt sein.
  • Das Fahrzeug 101 kann ein Bremsensubsystem 115 umfassen. Das Bremsensubsystem 115 kann zum Empfangen von Anweisungen von dem autonomen Subsystem 105 zur Steuerung einer Bremse des Fahrzeugs 101 programmiert sein. Das Bremsensubsystem 115 kann Ausfallsicherungsvorrichtungen 116, 117 umfassen. Das Bremsensubsystem 115 kann über den Kommunikationsbus 130, 131 kommunikativ mit dem autonomen Subsystem 105, dem Kraftübertragungs-Subsystem 110 und mindestens einem anderen Subsystem 120 gekoppelt sein.
  • Das Fahrzeug 101 kann ein Lenksubsystem 120 umfassen. Das Lenksubsystem 120 kann zum Empfangen von Anweisungen von dem autonomen Subsystem 105 zum Lenken des Fahrzeugs 101 programmiert sein. Das Lenksubsystem 120 kann Ausfallsicherungsvorrichtungen 121, 122 umfassen. Das Lenksubsystem 120 kann über den Kommunikationsbus 130, 131 kommunikativ mit dem autonomen Subsystem 105, dem Kraftübertragungs-Subsystem 110 und dem Bremsensystem 115 gekoppelt sein.
  • Die Subsysteme 105, 110, 115, 120 können durch Stromquellen 125, 126 versorgt werden. Die Stromquellen 125, 126 versorgen die Subsysteme 105, 110, 115, 120, einschließlich der Ausfallsicherungsvorrichtungen 106, 107, 111, 112, 116, 117, 121, 122, mit Strom. Die Stromquelle 125 kann über eine Stromversorgungskopplung 127 mit den Subsystemen 105, 110, 115, 120 gekoppelt sein, und die Stromquelle 126 kann über eine Stromversorgungskopplung 128 mit den Subsystemen 105, 110, 115, 120 gekoppeltein sein.
  • Das Fahrzeug 101 kann Kommunikationsbusse 130, 131 umfassen. Die Busse können z. B. ein oder mehrere Mechanismen zur Netzwerkkommunikation im Fahrzeug 101 sein, z. B. ein CAN-Bus (Controller Area Network), der als Beispiel und nicht als Beschränkung für Kommunikation als CAN-Busse (Controller Area Network) oder dergleichen ausgelegt sein kann und/oder andere Kommunikationsmechanismen und/oder -protokolle verwenden kann, womit verschiedene Kommunikation bereitgestellt werden kann, die Daten zwischen den Subsystemen 105, 110, 115, 120 umfassen kann.
  • Das Fahrzeug 101 kann einen Arbitrierungsbus 135 umfassen. Für die Zwecke der vorliegenden Offenbarung wird ein Arbitrierungsbus als Kommunikationsverbindung oder -Strecke zwischen zwei Ausfallsicherungsvorrichtungen in einem Subsystem des Fahrzeugs 101 definiert, sowie als Programmierung in mindestens einer der Vorrichtungen und/oder in einem Mikroprozessor des Busses 135 selbst zur Implementierung von Logik, um eine Aktion zu bestimmen. Der Arbitrierungsbus kann zum Beispiel Logik zum Bestimmen einer beim Detektieren eines Fehlers oder Ausfalls zu unternehmenden Aktion implementieren. "Arbitrierung" wird als Implementierung von Logik, z. B. der Beispiellogik von 4, zur Bestimmung einer Aktion definiert.
  • 2 ist eine Blockdarstellung eines beispielhaften Fahrzeugarbitrierungssystems 100 in einem autonomen Trägerfahrzeug 101. Das autonome Subsystem 105 ist mit einer ersten und zweiten Stromquelle 125, 126 sowie mit einem ersten und zweiten Kommunikationsbus 130, 131 verbunden. Über die Busse 130, 131 und/oder andere verdrahtete und/oder drahtlose Mechanismen kann das Subsystem 105 Nachrichten zu verschiedenen Vorrichtungen oder Subsystemen in einem Fahrzeug 101 senden und/oder Nachrichten von den verschiedenen Vorrichtungen, z. B. Steuerungen, Aktoren, Sensoren usw., empfangen.
  • Über die Busse 130, 131 befindet sich das autonome Subsystem 105 in Kommunikation mit verschiedenen Komponenten des Fahrzeugs 101, darunter ein Kraftübertragungs-Subsystem 110, ein Bremsensubsystem 115 oder ein Lenksubsystem 120 oder andere Subsysteme, wie etwa ein (nicht gezeigtes) Beleuchtungssteuer-Subsystem des Fahrzeugs 101. Jedes der Subsysteme 110, 115 und 120 umfasst wie das Autonombetrieb-Subsystem 105 jeweilige Ausfallsicherungsvorrichtungen 111, 112, 116, 117, 121 und 122, die jeweils eine Kombination von Software und Hardware umfassen, d.h. einen Prozessor, und einen Speicher, der durch den Prozessor ausführbare Anweisungen speichert, zur Ausführung von Operationen, einschließlich der hier beschriebenen sowie anderer Operationen. Zum Beispiel umfasst das Antriebsstrang-Subsystem 110 Vorrichtungen 111, 112, die im Allgemeinen zum Ausführen von Operationen zum Steuern eines Antriebsstrang des Fahrzeugs 101 programmiert sind, umfasst das Bremsensubsystem 115 Vorrichtungen 115, die programmiert sein können zum Ausführen von Operationen zur Steuerung von Bremsen des Fahrzeugs 101, umfasst das Lenksubsystem 120 Vorrichtungen 121, 122, die programmiert werden können zum Ausführen von Operationen zum Steuern der Lenkung des Fahrzeugs 101 usw. Wie bei den oben beschriebenen Vorrichtungen 106, 107 ist jede der Vorrichtungen 111, 112, 116, 117, 121 und 122 im Allgemeinen mit redundanten Komponenten, Überwachungsfunktionen und Programmierung konstruiert, wodurch sie fähig wird, Ausfälle in sich selbst zu detektieren und ihre Funktion völlig zu sperren oder im Wesentlichen zu verringern, falls ein Ausfall detektiert wird.
  • Die Ausfallsicherungsvorrichtungen 106, 107 sind jeweils programmiert zum Reagieren auf Informationen, die durch andere Subsysteme bereitgestellt werden. Außerdem kann jede der Ausfallsicherungsvorrichtungen 106, 107 zu den Ausfallsicherungsvorrichtungen in den anderen Subsystemen zu sendende Informationen erzeugen. Zum Beispiel könnten ein erster und zweiter Mikroprozessor in einer Ausfallsicherungsvorrichtung 106 oder 107 jeweils einen Master-Wert erzeugen und den Master-Wert über die Kommunikationsbusse 130, 131 zu den anderen Ausfallsicherungsvorrichtungen 111, 112, 116, 117, 121 und 122 senden. Der "Master-Wert" ist als Informationen definiert, die angeben, ob ein Signal auf beiden Bussen 130, 131, auf keinem dieser oder nur einem dieser maßgebend ist. Der Master-Wert kann von der Ausgabe der Ausfallsicherungsvorrichtungen 106, 107, 111, 112, 116, 117, 121, 122 getrennt sein.
  • Jede Ausfallsicherungsvorrichtung 106, 107 ist, wie oben erwähnt, ferner zum Ausführen unabhängiger Operationen des Subsystems 105 programmiert, obwohl eine oder beide der Ausfallsicherungsvorrichtungen 106, 107 nicht alle Operationen des Subsystems 105 ausführen können und/oder Operationen des Subsystems 105 nicht so schnell oder effizient wie das Subsystem 105 ausführen können. Jede der Ausfallsicherungsvorrichtungen 106, 107 ist mit einem der Kommunikationsbusse 130, 131 verbunden, die Ausfallsicherungsvorrichtung 106 ist mit dem ersten Kommunikationsbus 130 verbunden und die zweite Ausfallsicherungsvorrichtung 107 ist mit dem zweiten Kommunikationsbus 131 verbunden, wie es z. B. in 1 zu sehen ist.
  • Jedes der Subsysteme 110, 115 und 120 weist eine Architektur auf, die der gerade beschriebenen des Subsystems 105 ähnlich ist. Zum Beispiel umfasst das Kraftübertragungs-Subsystem 110 eine erste und zweite Ausfallsicherungsvorrichtung 111, 112 oder ist kommunikativ mit diesen gekoppelt, wobei die Vorrichtungen 111, 112 mit den Bussen 130 bzw. 131 verbunden sind. Das Bremsensubsystem 115 umfasst Ausfallsicherungsvorrichtungen 116, 117, die mit den Bussen 130 bzw. 131 verbunden sind, oder ist kommunikativ mit diesen gekoppelt. Das Lenksubsystem 120 umfasst Ausfallsicherungsvorrichtungen 121, 122, die mit den Bussen 130 bzw. 131 verbunden sind, oder ist kommunikativ mit diesen gekoppelt. Die Ausfallsicherungsvorrichtungen 111, 112, 116, 117, 121, 122 umfassen im Allgemeinen ferner Mechanismen zum Umgang mit einem internem Ausfall, wie zum Beispiel oben mit Bezug auf die Vorrichtungen 106, 107 beschrieben. Außerdem kann jede Ausfallsicherungsvorrichtung in einem der jeweiligen Paare von Vorrichtungen 111 und 112, 116 und 117 sowie 121 und 122 mit einem selben und/oder verschiedenen Aktoren verbunden sein, z. B. zur Bereitstellung von Anleitung zum Ausführen von Operationen des Subsystems 110, 115 oder 120, wie etwa Steuerung der Kraftübertragung, Bremsen, Lenkung usw. des Fahrzeugs 101.
  • Ferner können die Subsysteme 110, 115 und/oder 120 andere Ausfallsicherungsvorrichtungen, Stromversorgungsverbindungen und Kommunikationsverbindungen zusätzlich zu den in 2 gezeigten umfassen. Zum Beispiel kann insbesondere das Kraftübertragungs-Subsystem 110 eine weitere Redundanz rechtfertigen und/oder alternative oder zusätzliche Failover-Optionen bereitstellen, wie etwa einen "Coast Down"-Modus (Ausroll-Modus) im Fall des Ausfalls eines Kraftübertragungs-Subsystems 110. Zusätzlich zu den dort gezeigten kann das Autonombetrieb-Subsystem 105 außerdem zusätzliche Ausfallsicherungsvorrichtungen, Stromversorgungsverbindungen und Kommunikationsverbindungen umfassen.
  • Die Subsysteme 105, 110, 115, 120 umfassen ferner mindestens einen Arbitrierungsbus 135 zwischen den Ausfallsicherungsvorrichtungen. In dem Beispiel von 2 ist in oder zwischen den Ausfallsicherungsvorrichtungen 106, 107 des autonomen Subsystems 105 ein Arbitrierungsbus 135 bereitgestellt. Jedes Paar von Ausfallsicherungsvorrichtungen in jedem Subsystem umfasst ähnlich seinen eigenen Arbitrierungsbus 135. Zum Beispiel umfasst das Kraftübertragungs-Subsystem 110 einen Arbitrierungsbus 135 zwischen den Ausfallsicherungsvorrichtungen 111, 112, umfasst das Bremsensubsystem 115 einen Arbitrierungsbus 135 zwischen den Ausfallsicherungsvorrichtungen 116, 117 und umfasst das Lenksubsystem 120 einen Arbitrierungsbus 135 zwischen den Ausfallsicherungsvorrichtungen 121, 122. Der Arbitrierungsbus 135 umfasst eine Programmierung zum Bestimmen, welcher der zwei Kommunikationsbusse 130, 131 zur Kommunikation mit verschiedenen Subsystemen 105, 110, 115, 120 usw. des Fahrzeugs 101 zu verwenden ist.
  • Die von den verschiedenen Ausfallsicherungsvorrichtungen 106, 107, 111, 112, 116, 117, 121, 122 verwendete Arbitrierungstechnik kann einen Master-Wert in einem der Busse 130, 131 oder diesen zugeordnet auf verschiedene Weisen detektieren. Zum Beispiel kann der Bus 130 in einem Szenario ein primärer Kommunikationsbus und der Bus 131 ein Reserve- oder sekundärer Kommunikationsbus sein. In diesem Szenario könnte die Vorrichtung 106 einen Master-Wert oder dergleichen über einen Bus 130 von einem der Subsysteme 110, 115 oder 120 empfangen. Die Vorrichtung 106 könnte dann über den Arbitrierungsbus 135 ihrer Partnervorrichtung 107 den Master-Wert in dem Bus 130 angeben. Ähnlich kann die Vorrichtung 107 über den Bus 130 und einen zweiten Arbitrierungsbus 135, der ein anderes Paar von Ausfallsicherungsvorrichtungen, z. B. die Ausfallsicherungsvorrichtungen 111, 112 verbindet, einen anderen Master-Wert von dem sekundären Bus 131 empfangen. Wenn sich der von dem Bus 130 empfangene Master-Wert von dem Master-Wert unterscheidet, der von dem Bus 131 empfangen wird, könnte das Autonombetrieb-Subsystem 105 Arbitrierungslogik wie nachfolgend beschrieben anwenden, um die Maßgeblichkeit der Master-Werte zu bestimmen.
  • Im Allgemeinen hängt ein Arbitrierungsbus 135, wie etwa in 2 in dem autonomen Subsystem 105 dargestellt, von Programmiervorrichtungen 106, 107 zum Verarbeiten von Kommunikation ab, die einen Master-Wert von den verschiedenen Subsystemen 110, 115, 120 usw. angibt. Eine solche Programmierung hängt von einer Kenntnis der Kommunikation und der Programmierlogik ab, die in den verschiedenen Subsystemen 110, 115, 120 usw. implementiert ist. Zum Beispiel können die Vorrichtungen 106, 107 Master-Werte oder dergleichen erkennen, die von den verschiedenen Subsystemen 110, 115, 120 bereitgestellt werden.
  • 3 zeigt einen Prozess 200 zum Arbitrieren von durch Ausfallsicherungsvorrichtungen empfangenen Werten. Der Prozess 200 beginnt in einem Block 205, in dem eine erste Ausfallsicherungsvorrichtung, z. B. die Ausfallsicherungsvorrichtung 106, auf einem ersten Netzwerkpfad ein erstes Signal zu einer zweiten Ausfallsicherungsvorrichtung, z. B. der Ausfallsicherungsvorrichtung 107, senden kann. Das erste Signal kann einen ersten Master-Wert umfassen, der angibt, ob das erste Signal auf beiden, auf keinem oder nur einem der Kommunikationsbusse 130, 131 maßgeblich ist. Der erste Netzwerkpfad umfasst einen ersten Arbitrierungsbus 135.
  • Als nächstes kann in einem Block 210 die erste Ausfallsicherungsvorrichtung 106 das erste Signal auf einem zweiten Netzwerkpfad senden. Der zweite Netzwerkpfad umfasst einen primären Bus, z. B. den Bus 130, der eine dritte Ausfallsicherungsvorrichtung, z. B. die Ausfallsicherungsvorrichtung 111, mit der ersten Ausfallsicherungsvorrichtung 106 verbindet, eine vierte Ausfallsicherungsvorrichtung, z. B. die Ausfallsicherungsvorrichtung 112, die mit der dritten Ausfallsicherungsvorrichtung 111 verbunden ist, verbindet, einen zweiten Arbitrierungsbus 135, der die dritte und vierte Ausfallsicherungsvorrichtungen 111, 112 verbindet, und einen sekundären Bus, z. B. den Bus 131, der die vierte Ausfallsicherungsvorrichtung 112 mit der zweiten Ausfallsicherungsvorrichtung 107 verbindet.
  • Als nächstes kann das Subsystem 105 in einem Block 215 die Master-Werte von den ersten Signalen, die auf dem ersten und zweiten Netzwerkpfad gesendet werden, arbitrieren. Wenn eine der Ausfallsicherungsvorrichtungen und/oder einer der Kommunikationsbusse ausfällt, kann der Master-Wert unterschiedlich oder einer der Master-Werte "gealtert" sein, d.h. vor längerer Zeit als einem spezifizierten Zeitraum, z. B. 10 ms, gesendet worden sein. Die zweite Ausfallsicherungsvorrichtung 107 arbitriert somit die zwei Master-Werte, um zu bestimmen, ob das erste Signal auf sowohl dem primären als auch dem sekundären Bus 130, 131, auf keinem dieser oder nur einem dieser maßgeblich ist. Die Master-Werte werden gemäß der nachfolgend in 4 besprochenen Arbitrierungslogik arbitriert.
  • Als nächstes arbeitet das Subsystem 105 im Block 220 gemäß dem maßgeblichen Master-Wert. Wenn zum Beispiel die Arbitrierung bestimmt, dass das erste Signal nur auf dem primären Bus 130 maßgeblich ist, arbeitet das Subsystem 105 auf der Basis von Informationen, die nur von dem primären Bus 130 gesammelt werden. In einem anderen Beispiel arbeitet das Subsystem 105, wenn der Master-Wert von dem primären Bus 130 gealtert ist, auf der Basis von Informationen von dem sekundären Bus 131.
  • In einem anderen Beispiel wird ein einen zweiten Master-Wert umfassendes zweites Signal über einen den Arbitrierungsbus 135 umfassenden ersten Netzwerkpfad und über einen zweiten Netzwerkpfad, der den sekundäre Bus 131, die vierte Ausfallsicherungsvorrichtung 112, der zweite Arbitrierungsbus 135, die dritte Ausfallsicherungsvorrichtung 111 und der primäre Bus 130 umfasst, von der zweiten Ausfallsicherungsvorrichtung 107 zu der ersten Ausfallsicherungsvorrichtung 106 gesendet. In einem weiteren Beispiel kann die erste Ausfallsicherungsvorrichtung 106 ein drittes Signal, das einen dritten Master-Wert umfasst, von der dritten Ausfallsicherungsvorrichtung 111 über einen ersten Netzwerkpfad empfangen, der den primären Bus 130 umfasst, und einen zweiten Netzwerkpfad, der den ersten und zweiten Arbitrierungsbus 135, den sekundären Bus 131 und die zweite und vierte Ausfallsicherungsvorrichtungen 106, 112 umfasst. Der zweite und dritte Master-Wert können angeben, ob das zweite bzw. dritte Signal über den primären Bus 130, den sekundären Bus 131, beide Busse 130, 131 oder keinen Bus maßgeblich sind. Somit kann das Subsystem 105 Signale von beliebigen anderen Subsystemen 110, 115, 120 arbitrieren.
  • 4 zeigt beispielhafte Arbitrierungslogik für den primären und sekundären Master-Wert auf der Basis der maßgeblichen Informationen in den Master-Werten und abhängig davon, ob die Daten in einem der ersten Signale oder beiden gealtert sind. Die Logik führt zu einem von vier Zuständen für das Subsystem 105: das erste Signal ist auf beiden Kommunikationsbussen 130, 131 maßgeblich ("Beide"), das erste Signal ist auf dem primären Kommunikationsbus 130 maßgeblich ("Primär"), das erste Signal ist auf dem sekundären Kommunikationsbus 131 maßgeblich ("Sekundär") und das erste Signal ist auf keinem Kommunikationsbus maßgeblich ("Keiner"). Das Diagramm von 3 zeigt die Möglichkeiten für die Arbitrierungszustände der Ausfallsicherungsvorrichtungen.
  • In einem Beispiel kann der Master-Wert angeben, dass das erste Signal sowohl auf dem primären Bus 130 als auch dem sekundären Bus 131 maßgeblich ist. Wenn die ersten Signale sowohl von dem primären Netzwerkpfad als auch dem sekundären Netzwerkpfad nicht gealtert sind, ist der arbitrierte Zustand "Beide", d.h. das erste Signal ist sowohl auf dem primären Bus 130 als auch dem sekundären Bus 131 maßgebend.
  • In einem anderen Beispiel können die ersten Signale sowohl auf dem primären Bus als auch dem sekundären Bus 131 maßgebend sein. Wenn das erste Signal von dem zweiten Netzwerkpfad gealtert ist, ist der arbitrierte Zustand jedoch "Primär", d.h. das erste Signal ist nur auf dem primären Bus 130 maßgebend. Wenn dagegen das erste Signal auf dem ersten Netzwerkpfad Maßgeblichkeit auf beiden Bussen 130, 131 angibt und das erste Signal auf dem zweiten Netzwerkpfad Maßgeblichkeit nur auf dem primären Bus 130 angibt, ist der arbitrierte Zustand immer noch "Primär". Das heißt, wenn der Master-Wert angibt, dass das erste Signal nur auf einem der Busse 130, 131 maßgebend ist, spiegelt der arbitrierte Zustand diesen einen Bus wieder.
  • In noch einem weiteren Beispiel können die ersten Signale sowohl auf dem primären Bus 130 als auch dem sekundären Bus 131 maßgebend sein, aber das erste Signal von dem ersten Netzwerkpfad ist gealtert. Hier ist der arbitrierte Zustand "Sekundär", d.h. das erste Signal ist nur auf dem sekundären 130 maßgebend. Wenn dagegen der Master-Wert auf einem der Netzwerkpfade Maßgeblichkeit sowohl auf 130 als auch auf 131 angibt und der Master-Wert auf dem anderen Netzwerkpfad Maßgeblichkeit nur auf dem sekundären Bus 131 angibt, ist der arbitrierte Zustand immer noch "Sekundär".
  • In noch einem weiteren Beispiel ist, wenn der Master-Wert auf dem ersten Netzwerkpfad Maßgeblichkeit auf dem primären Bus 130 angibt und der Master-Wert auf dem zweiten Netzwerkpfad Maßgeblichkeit auf dem sekundären Bus 131 angibt, dann ist der arbitrierte Zustand "Keiner", d.h. das erste Signal ist auf keinem Bus 130, 131 maßgeblich. Das heißt, wenn die Master-Werte auf den Netzwerkpfaden nur einen der Busse 130, 131 angeben und jeder einen anderen der Busse 130, 131 angibt, ist der arbitrierte Zustand "Keiner". Wenn dagegen der Master-Wert auf dem ersten Netzwerkpfad angibt, dass das erste Signal auf dem sekundären Bus 131 maßgebend ist und der Master-Wert auf dem zweiten Netzwerkpfad gealtert ist, ist der arbitrierte Zustand "Keiner".
  • Im vorliegenden Gebrauch bedeutet das Adverb "wesentlich", dass ein Adjektiv modifiziert, dass eine Form, eine Struktur, eine Messung, ein Wert, eine Berechnung usw. aufgrund von Unzulänglichkeiten von Materialien, Maschinenbearbeitung, Herstellung, Sensormessungen, Berechnungen, Verarbeitungszeit, Kommunikationszeit usw. von einer genauen beschriebenen Geometrie, einer genauen beschriebenen Distanz, einer genauen beschriebenen Messung, einem genauen beschriebenen Wert, einer genauen beschriebenen Berechnung usw. abweichen kann.
  • Datenverarbeitungsvorrichtungen umfassen im Allgemeinen Anweisungen, die durch eine oder mehrere Datenverarbeitungsvorrichtungen, wie etwa die oben identifizierten, ausführbar sind und zum Ausführen von Blöcken oder Schritten von oben beschriebenen Prozessen. Computerausführbare Anweisungen können aus Computerprogrammen kompiliert oder interpretiert werden, die unter Verwendung vielfältiger Programmiersprachen und/oder -technologien erstellt werden, darunter und ohne Beschränkung und entweder alleine oder in Kombination JavaTM, C, C++, Visual Basic, Java Script, Perl, HTML usw. Im Allgemeinen empfängt ein Prozessor (z. B. ein Mikroprozessor) Anweisungen z. B. von einem Speicher, einem computerlesbaren Medium usw. und führt diese Anweisungen aus, um dadurch einen oder mehrere Prozesse, darunter ein oder mehrere der hier beschriebenen Prozesse, auszuführen. Solche Anweisungen und andere Daten können unter Verwendung vielfältiger computerlesbarer Medien gespeichert und übertragen werden. Eine Datei in dem Datenverarbeitungssystem ist im Allgemeinen eine Ansammlung von Daten, die auf einem computerlesbaren Medium, wie etwa einem Speicherungsmedium, einem Direktzugriffsspeicher usw., gespeichert sind.
  • Ein computerlesbares Medium umfasst jedes Medium, das an der Bereitstellung von Daten (zum Beispiel Anweisungen), die durch einen Computer gelesen werden können, beteiligt ist. Ein solches Medium kann viele Formen annehmen, einschließlich unter anderem nichtflüchtige Medien, flüchtige Medien usw. Zu nichtflüchtigen Medien gehören zum Beispiel optische oder magnetische Disks und andere persistente Speicher. Zu flüchtigen Medien gehört ein dynamischer Direktzugriffsspeicher (DRAM), der typischerweise einen Hauptspeicher bildet. Übliche Formen von computerlesbaren Medien beinhalten zum Beispiel eine Floppy-Disk, eine Diskette, eine Festplatte, ein Magnetband, ein beliebiges anderes magnetisches Medium, eine CD-ROM, eine DVD, ein beliebiges anderes optisches Medium, Lochkarten, Papierband, ein beliebiges anderes physisches Medium mit Lochmustern, einen RAM, einen PROM, einen EPROM, einen Flash-EEPROM, einen beliebigen anderen Speicherchip oder eine beliebige andere Speicherkassette oder ein beliebiges anderes Medium, woraus ein Computer lesen kann.
  • Mit Bezug auf die hier beschriebenen Medien, Prozesse, Systeme, Verfahren usw. versteht sich, dass, obwohl die Schritte solcher Prozesse usw. als gemäß einer bestimmten geordneten Sequenz auftretend beschrieben wurden, solche Prozesse mit den in einer anderen als der hier beschriebenen Reihenfolge ausgeführten beschriebenen Schritten ausgeübt werden könnten. Es versteht sich weiterhin, dass gewisse Schritte gleichzeitig durchgeführt werden könnten, dass andere Schritte hinzugefügt werden könnten oder dass gewisse, hier beschriebene Schritte weggelassen werden könnten. Zum Beispiel könnten ein oder mehrere Schritte in dem Prozess 200 weggelassen werden oder die Schritte könnten in einer anderen Reihenfolge ausgeführt werden. Mit anderen Worten: Es werden die vorliegenden Beschreibungen von Systemen und/oder Prozessen zum Zwecke der Veranschaulichung bestimmter Ausführungsformen bereitgestellt und sollten auf keinerlei Weise als Beschränkung des offenbarten Gegenstands aufgefasst werden.
  • Dementsprechend versteht sich, dass die vorliegende Offenbarung, einschließlich der obigen Beschreibung und der beigefügten Figuren und der nachfolgenden Ansprüche, nicht einschränkend, sondern veranschaulichend sein sollen. Für den Fachmann würden bei Durchsicht der obigen Beschreibung viele andere Ausführungsformen und Anwendungen als die gegebenen Beispiele offensichtlich werden. Der Schutzumfang der Erfindung sollte nicht mit Bezug auf die obige Beschreibung bestimmt werden, sondern sollte stattdessen mit Bezug auf die hier angefügten und/oder in einer hierauf basierenden endgültigen Patentanmeldung enthaltenen Ansprüche, zusammen mit dem vollen Umfang von Äquivalenten, zu denen diese Ansprüche berechtigt sind, bestimmt werden. Es wird erwartet und beabsichtigt, dass in der hier besprochenen Technik zukünftige Entwicklungen stattfinden werden und dass die offenbarten Systeme und Verfahren in solche zukünftige Ausführungsformen integriert werden. Zusammengefasst versteht sich, dass der offenbarte Gegenstand modifiziert und abgewandelt werden kann.

Claims (20)

  1. Fahrzeugsubsystem, umfassend: eine erste und zweite Ausfallsicherungsvorrichtung mit einem Prozessor und einem Speicher, wobei der Speicher Anweisungen speichert, die durch den Prozessor ausführbar sind, um Informationen zu senden; und einen ersten Arbitrierungsbus, der die erste und zweite Ausfallsicherungsvorrichtung verbindet, wobei der erste Arbitrierungsbus Informationen zwischen der ersten und zweiten Ausfallsicherungsvorrichtung sendet; wobei die erste Ausfallsicherungsvorrichtung zum Kommunizieren mit einer dritten Ausfallsicherungsvorrichtung über einen primären Bus programmiert ist und wobei die zweite Ausfallsicherungsvorrichtung zum Kommunizieren mit einer vierten Ausfallsicherungsvorrichtung über einen sekundären Bus programmiert ist; wobei die erste Ausfallsicherungsvorrichtung zum Senden eines ersten Signals, das einen ersten Master-Wert umfasst, zu der dritten Ausfallsicherungsvorrichtung über den primären Bus programmiert ist und die zweite Ausfallsicherungsvorrichtung zum Senden eines zweiten Signals, das einen zweiten Master-Wert umfasst, zu der vierten Ausfallsicherungsvorrichtung über den sekundären Bus programmiert ist, wobei der erste Master-Wert und der zweite Master-Wert jeweils Folgendes angeben: das erste Signal auf dem primären Bus ist maßgebend oder das zweite Signal auf dem sekundären Bus ist maßgebend oder das erste und zweite Signal jeweils auf sowohl dem primären als auch dem sekundären Bus sind maßgebend oder weder das erste noch das zweite Signal jeweils auf weder dem primären noch dem sekundären Bus sind maßgebend.
  2. System nach Anspruch 1, das ferner einen zweiten Arbitrierungsbus umfasst, der die dritte und vierte Ausfallsicherungsvorrichtung kommunikativ verbindet, wobei die dritte Ausfallsicherungsvorrichtung zum Senden des ersten Signals zu der vierten Ausfallsicherungsvorrichtung über den zweiten Arbitrierungsbus programmiert ist und die vierte Ausfallsicherungsvorrichtung zum Senden des zweiten Signals zu der dritten Ausfallsicherungsvorrichtung über den zweiten Arbitrierungsbus programmiert ist.
  3. System nach Anspruch 1 oder 2, wobei die erste Ausfallsicherungsvorrichtung zum Empfangen eines dritten Signals mit einem dritten Master-Wert von der dritten Ausfallsicherungsvorrichtung über den primären Bus programmiert ist und die zweite Ausfallsicherungsvorrichtung zum Empfangen eines vierten Signals mit einem vierten Master-Wert über den sekundären Bus programmiert ist, wobei der dritte Master-Wert und der vierte Master-Wert jeweils Folgendes angeben: – das dritte Signal auf dem primären Bus ist maßgebend oder – das vierte Signal auf dem sekundären Bus ist maßgebend oder – das dritte und vierte Signal jeweils sowohl auf dem primären als auch auf dem sekundären Bus sind maßgebend oder – weder das dritte noch das vierte Signal jeweils weder auf dem primären noch auf dem sekundären Bus sind maßgebend.
  4. System nach einem der vorherigen Ansprüche, wobei die erste Ausfallsicherungsvorrichtung durch eine erste Stromquelle mit Strom versorgt wird und die zweite Ausfallsicherungsvorrichtung durch eine zweite Stromquelle mit Strom versorgt wird.
  5. System nach einem der vorherigen Ansprüche, wobei das Subsystem ein autonomes Fahrzeugsteuersubsystem, ein Antriebsstrang-Subsystem, ein Bremsensubsystem, ein Lenksubsystem oder ein Beleuchtungssubsystem ist.
  6. System nach einem der vorherigen Ansprüche, wobei die dritte und vierte Ausfallsicherungsvorrichtung in einem zweiten Fahrzeugsubsystem enthalten sind.
  7. System nach einem der vorherigen Ansprüche, wobei die dritte Ausfallsicherungsvorrichtung zum Bestimmen programmiert ist, ob das erste Signal gealtert ist, und die vierte Ausfallsicherungsvorrichtung zum Bestimmen programmiert ist, ob das zweite Signal gealtert ist.
  8. System nach Anspruch 7, wobei die dritte Ausfallsicherungsvorrichtung zum Angeben programmiert ist, dass das erste Signal auf dem primären Bus nicht maßgebend ist, wenn das erste Signal gealtert ist, und die vierte Ausfallsicherungsvorrichtung zum Angeben programmiert ist, dass das zweite Signal auf dem sekundären Bus nicht maßgebend ist, wenn das zweite Signal gealtert ist.
  9. System nach einem der vorherigen Ansprüche, wobei die dritte und vierte Ausfallsicherungsvorrichtung zum Deklarieren eines Fehlers programmiert sind, wenn entweder der erste oder der zweite Master-Wert angibt, dass das erste oder das zweite Signal auf dem primären oder sekundären Bus nicht maßgebend ist.
  10. System nach einem der vorherigen Ansprüche, wobei die erste und zweite Ausfallsicherungsvorrichtung jeweils zum Arbitrieren sowohl des ersten als auch des zweiten Master-Werts programmiert sind.
  11. Verfahren, umfassend: Senden eines ersten Signals, das einen ersten Master-Wert umfasst, von einer ersten Ausfallsicherungsvorrichtung zu einer dritten Ausfallsicherungsvorrichtung über einen primären Bus und Senden eines zweiten Signals, das einen zweiten Master-Wert umfasst, von einer zweiten Ausfallsicherungsvorrichtung zu einer vierten Ausfallsicherungsvorrichtung über einen sekundären Bus, wobei der erste Master-Wert und der zweite Master-Wert jeweils Folgendes angeben: – das erste Signal auf dem primären Bus ist maßgebend oder – das zweite Signal auf dem sekundären Bus ist maßgebend oder – das erste und zweite Signal jeweils auf sowohl dem primären als auch dem sekundären Bus sind maßgebend oder – weder das erste noch das zweite Signal jeweils auf weder dem primären noch dem sekundären Bus sind maßgebend.
  12. Verfahren nach Anspruch 11, das ferner einen zweiten Arbitrierungsbus umfasst, der die dritte und vierte Ausfallsicherungsvorrichtung kommunikativ verbindet, wobei die dritte Ausfallsicherungsvorrichtung das erste Signal über den zweiten Arbitrierungsbus zu der vierten Ausfallsicherungsvorrichtung sendet und die vierte Ausfallsicherungsvorrichtung das zweite Signal über den zweiten Arbitrierungsbus zu der dritten Ausfallsicherungsvorrichtung sendet.
  13. Verfahren nach Anspruch 11 oder 12, ferner umfassend: Empfangen eines dritten Signals mit einem dritten Master-Wert, das von der dritten Ausfallsicherungsvorrichtung zu der ersten Ausfallsicherungsvorrichtung über einen dritten Netzwerkpfad, der den primären Bus umfasst, und einen vierten Netzwerkpfad, der den ersten und zweiten Arbitrierungsbus und den sekundären Bus umfasst, gesendet wird, wobei der dritte Master-Wert Folgendes angibt: – das dritte Signal auf dem primären Bus ist maßgebend oder – das vierte Signal auf dem sekundären Bus ist maßgebend oder – das dritte und vierte Signal jeweils sowohl auf dem primären als auch auf dem sekundären Bus sind maßgebend oder – weder das dritte noch das vierte Signal jeweils weder auf dem primären noch auf dem sekundären Bus sind maßgebend.
  14. Verfahren nach einem der Ansprüche 11–13, wobei die erste Ausfallsicherungsvorrichtung durch eine erste Stromquelle mit Strom versorgt wird und die zweite Ausfallsicherungsvorrichtung durch eine zweite Stromquelle mit Strom versorgt wird.
  15. Verfahren nach einem der Ansprüche 11–14, wobei das Subsystem ein autonomes Fahrzeugsteuersubsystem, ein Antriebsstrang-Subsystem, ein Bremsensubsystem, ein Lenksubsystem oder ein Beleuchtungssubsystem ist.
  16. Verfahren nach einem der Ansprüche 11–15, wobei die dritte und vierte Ausfallsicherungsvorrichtung in einem zweiten Fahrzeugsubsystem enthalten sind.
  17. Verfahren nach einem der Ansprüche 11–16, ferner umfassend: Bestimmen mit der ersten Ausfallsicherungsvorrichtung, ob das erste Signal gealtert ist, und Bestimmen mit der vierten Ausfallsicherungsvorrichtung, ob das zweite Signal gealtert ist.
  18. Verfahren nach Anspruch 17, ferner umfassend: Angeben mit der dritten Ausfallsicherungsvorrichtung, dass das erste Signal auf dem primären Bus nicht maßgebend ist, wenn das erste Signal gealtert ist, und Angeben mit der vierten Ausfallsicherungsvorrichtung, dass das zweite Signal auf dem sekundären Bus nicht maßgebend ist, wenn das zweite Signal gealtert ist.
  19. Verfahren nach einem der Ansprüche 11–18, ferner umfassend: Deklarieren eines Fehlers mit der dritten oder vierten Ausfallsicherungsvorrichtung, wenn entweder der erste oder der zweite Master-Wert angibt, dass das erste oder zweite Signal auf dem primären oder sekundären Bus nicht maßgebend ist.
  20. Verfahren nach einem der Ansprüche 11–19, ferner umfassend: Arbitrieren sowohl des ersten als auch des zweiten Master-Werts mit der ersten oder zweiten Ausfallsicherungsvorrichtung.
DE102017100384.3A 2016-01-13 2017-01-10 Fahrzeugsubsystem-kommunikationsarbitrierung Withdrawn DE102017100384A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/994,448 2016-01-13
US14/994,448 US20170199834A1 (en) 2016-01-13 2016-01-13 Vehicle subsystem communication arbitration

Publications (1)

Publication Number Publication Date
DE102017100384A1 true DE102017100384A1 (de) 2017-07-13

Family

ID=58463885

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017100384.3A Withdrawn DE102017100384A1 (de) 2016-01-13 2017-01-10 Fahrzeugsubsystem-kommunikationsarbitrierung

Country Status (6)

Country Link
US (1) US20170199834A1 (de)
CN (1) CN106970550B (de)
DE (1) DE102017100384A1 (de)
GB (1) GB2547985A (de)
MX (1) MX2017000577A (de)
RU (1) RU2016151393A (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3071800B1 (fr) * 2017-09-29 2021-04-02 Psa Automobiles Sa Procede d’assistance a la conduite d’un vehicule lors d’une defaillance d’un reseau et systeme associe
US20190168805A1 (en) * 2017-12-04 2019-06-06 GM Global Technology Operations LLC Autonomous vehicle emergency steering profile during failed communication modes

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
US5274554A (en) * 1991-02-01 1993-12-28 The Boeing Company Multiple-voting fault detection system for flight critical actuation control systems
DE19509558A1 (de) * 1995-03-16 1996-09-19 Abb Patent Gmbh Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen
US6035416A (en) * 1997-10-15 2000-03-07 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
US6260079B1 (en) * 1998-11-15 2001-07-10 Hewlett-Packard Company Method and system for enhancing fibre channel loop resiliency for a mass storage enclosure by increasing component redundancy and using shunt elements and intelligent bypass management
JP2008505012A (ja) * 2004-07-06 2008-02-21 ダイムラー・アクチェンゲゼルシャフト 冗長データバスシステム
US20110124338A1 (en) * 2009-11-20 2011-05-26 General Motors Llc Delayed geospecific mobile number assignment
CN202003218U (zh) * 2011-04-13 2011-10-05 郑州新能动力科技有限公司 电动车多总线整车控制器
PT2871090T (pt) * 2013-11-06 2020-12-24 Abb Schweiz Ag Carregador para veículos elétricos com arbitragem de conversor de energia distribuída
CN104714439B (zh) * 2013-12-16 2018-03-27 雅特生嵌入式计算有限公司 安全继电器箱系统
ES2714218T3 (es) * 2014-07-01 2019-05-27 Sas Inst Inc Sistemas y métodos para comunicaciones tolerantes a fallos
CN204965181U (zh) * 2015-09-25 2016-01-13 中国矿业大学 一种基于异构网络的汽车远程故障诊断系统

Also Published As

Publication number Publication date
MX2017000577A (es) 2017-10-23
RU2016151393A (ru) 2018-06-28
CN106970550B (zh) 2021-12-28
GB2547985A (en) 2017-09-06
CN106970550A (zh) 2017-07-21
GB201700474D0 (en) 2017-02-22
US20170199834A1 (en) 2017-07-13

Similar Documents

Publication Publication Date Title
DE102015110958A1 (de) Ausfallverwaltung in einem Fahrzeug
DE602005005631T2 (de) Versagenserfassungsvorrichtung für Fahrzeugsteuersystem
DE102015110968B4 (de) Fahrzeugparksystem-Ausfallmanagement
DE102015110965B4 (de) Drehzahl bei einem Fahrzeug unabhängig von Ausfällen
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE102017106087A1 (de) Fehlertoleranz-muster und schaltprotokoll für mehrere hot- und cold-standby-redundanzen
DE102005014550B4 (de) Brake By-Wire Steuersystem
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
EP2534011A1 (de) Fahrzeug-sensor-knoten
DE112012006150T5 (de) Konfigurierbare und fehlertolerante Baseboard Management Controller-Anordnung
DE102019102526A1 (de) Vorrichtung und Verfahren zum Steuern eines Fahrzeugs auf Grundlage redundanter Architektur
DE102019201382A1 (de) Vorrichtung und verfahren zum steuern eines fahrzeugs auf dergrundlage von redundanter architektur
DE102017106086A1 (de) Hybrid-dual-duplex fail-betriebsmuster und verallgemeinerung einer beliebigen anzahl an ausfällen
DE102006046399A1 (de) Verfahren und Vorrichtung zur Fehlerverwaltung
DE112019003458T5 (de) Fahrzeuginternes elektronisches Steuersystem
DE102016107015A1 (de) Architektur für eine skalierbare Störungstoleranz in Systemen mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall
DE102012224103A1 (de) Vorrichtung zum Ausgeben eines eine physikalische Messgröße anzeigenden Messsignals
DE102013204842B4 (de) Regelungssystem
DE102015120751A1 (de) Vorrichtung und Verfahren zur Steuerung eines Kühlgebläses einer Fahrzeugbatterie
EP3330816A1 (de) Verfahren zur softwareaktualisierung bei cloud-gateways, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
WO2018134023A1 (de) Redundante prozessorarchitektur
DE102017100384A1 (de) Fahrzeugsubsystem-kommunikationsarbitrierung
DE102018129013A1 (de) Systeme und verfahren zur koordination von fahrzeugdiagnosetestern
DE112018005815T5 (de) Steuereinrichtung und elektronisches Steuersystem für Fahrzeuge

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee