DE102017110753A1 - Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems - Google Patents

Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems Download PDF

Info

Publication number
DE102017110753A1
DE102017110753A1 DE102017110753.3A DE102017110753A DE102017110753A1 DE 102017110753 A1 DE102017110753 A1 DE 102017110753A1 DE 102017110753 A DE102017110753 A DE 102017110753A DE 102017110753 A1 DE102017110753 A1 DE 102017110753A1
Authority
DE
Germany
Prior art keywords
processing
channel
actuator
subsystem
processing means
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017110753.3A
Other languages
English (en)
Inventor
Peter Lorenz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IAV GmbH Ingenieurgesellschaft Auto und Verkehr
Original Assignee
IAV GmbH Ingenieurgesellschaft Auto und Verkehr
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IAV GmbH Ingenieurgesellschaft Auto und Verkehr filed Critical IAV GmbH Ingenieurgesellschaft Auto und Verkehr
Priority to DE102017110753.3A priority Critical patent/DE102017110753A1/de
Publication of DE102017110753A1 publication Critical patent/DE102017110753A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0484Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Power Steering Mechanism (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

Es ist Aufgabe der vorliegenden Erfindung, einen Weiterbetrieb eines technischen Systems im Fehlerfall mit hoher Integrität bei geringem Hardwareaufwand sicherzustellen. Diese Aufgabe wird erfindungsgemäß mittels einer Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems mit den Merkmalen der Patentansprüche gelöst. Demnach wird erfindungsgemäß eine zumindest zweikanalige, bevorzugt dreikanalige, diversitär redundante Systemstruktur zum fehlertoleranten Betrieb eines technischen Systems bereitgestellt, welche jedoch auf einer zumindest einkanaligen, in der bevorzugten Ausführung zweikanaligen, redundanten Hardware abgebildet ist. Mit anderen Worten werden mit nur einem Chip zwei Kerne/Kanäle, in der bevorzugten Ausführung mit nur zwei Chips drei Kerne/Kanäle abgebildet, so dass zweimal bzw. bevorzugt dreimal unabhängig voneinander Leistung gestellt werden kann. Fällt ein Kanal aus, bleiben weitere Kanäle betriebsfähig (fail operational). Dabei überwacht sich jeder Kanal bezüglich Eingangs- und Ausgangsgrößen intern selbst.

Description

  • Die vorliegende Erfindung betrifft eine Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems gemäß den Patentansprüchen.
  • Wie bekannt und in Kirrmann, H. & Großpietsch, K. (2009). Fehlertolerante Steuerungs- und Regelungssysteme (Fault-tolerant Control Systems). at - Automatisierungstechnik Methoden und Anwendungen der Steuerungs-, Regelungs- und Informationstechnik, 50(8/2002), pp. 362-374 gezeigt, greifen Steuerungen in technische Systeme im Allgemeinen und beispielsweise in das Fahrverhalten von Fahrzeugen im Speziellen ein. Eine mögliche Anwendung kann die Lenkung eines Fahrzeuges betreffen (steer-by-wire). Dabei erlaubt die Strecke praktisch keinen Integritätsbruch und nur sehr kurze Stetigkeitsbrüche. Als Lösung wird eine selbstprüfende Steuerung als 1 aus 2 mit Fehlerdetektion (1oo2D) vorgeschlagen. Diese Struktur ist zwar ein sehr günstiger Weg, zu einer integren/stetigen Lösung zu gelangen, jedoch ist deren Verfügbarkeit eingeschränkt. Mit einem solchen System ist jedenfalls ein Weiterbetrieb mit hoher Integritätsanforderung nicht möglich. Ein weiterer Betrieb mit hoher Integrität im Fehlerfall könnte beispielsweise durch den Einsatz einer 2oo3-Anordnung erfolgen. Wie bekannt, ist dabei der Hardwareaufwand erheblich. Insbesondere ergibt sich eine Verdreifachung der erforderlichen Basis-Hardware. Weiterhin wird aufwendige Spezial-Hardware für Vergleicher und Synchronisierung benötigt.
  • Zum Beispiel gemäß der DE19834870A1 ist eine mögliche Ausführung eines fehlertoleranten elektromechanischen Lenkstellers gezeigt.
  • Es ist Aufgabe der vorliegenden Erfindung, einen Weiterbetrieb eines technischen Systems im Fehlerfall mit hoher Integrität bei geringem Hardwareaufwand sicherzustellen.
  • Diese Aufgabe wird erfindungsgemäß mittels einer Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems mit den Merkmalen der Patentansprüche gelöst.
  • Demnach wird erfindungsgemäß eine zumindest zweikanalige, bevorzugt dreikanalige, diversitär redundante Systemstruktur zum fehlertoleranten Betrieb eines technischen Systems bereitgestellt, welche jedoch auf einer zumindest einkanaligen, in der bevorzugten Ausführung zweikanaligen, redundanten Hardware abgebildet ist. Mit anderen Worten, werden mit nur einem Chip zwei Kerne/Kanäle, in der bevorzugten Ausführung mit nur zwei Chips drei Kerne/Kanäle abgebildet, so dass zweimal bzw. bevorzugt dreimal unabhängig voneinander Leistung gestellt werden kann. Fällt ein Kanal aus, bleiben weitere Kanäle betriebsfähig (fail operational). Dabei überwacht sich jeder Kanal bezüglich Eingangs- und Ausgangsgrößen intern selbst.
  • Das Ziel der Trennung der Kanäle wird einerseits durch die Verwendung unterschiedlicher Technologien auf System- und Hardware-Ebene (Mikrocontroller und FPGA) und andererseits durch die Verwendung verschiedener Implementierungssprachen auf System- und Logik-Ebene innerhalb des FPGA erreicht. Somit wird der Betrieb eines technischen Systems noch sicherer gestaltet, da das Risiko für Fehler gemeinsamer Ursache gering ist. Von Vorteil ist es insbesondere, dass eine diversitäre Redundanz vorliegt, also eine erhöhte Sicherheit und zwar auf Basis gemeinsam genutzter Ressourcen (zwei in eins im FPGA). Anders gesagt - die diversitäre Redundanz liegt auch auf Systemebene vor, da insbesondere ein Mikrocontroller und ein FPGA verwendet werden. Die diversitäre Redundanz ergibt sich im FPGA durch die Nutzung eines Softcores, welcher einerseits per Autocode oder per C-Code programmiert werden muss, und eines Hardcores, welcher andererseits per VHDL und Simulation hardwarenah programmiert werden muss. Entscheidend ist gemäß einer Ausführung nicht nur die Aufteilung auf einen FPGA und einen Mikrokontroller, sondern auch, dass die insbesondere drei Stränge auf mehrere, bevorzugt drei, Endstufen wirken, und sich somit die Leistung bei Ausfall eines Stranges nur wenig verringert. Insbesondere kann mittels der erfindungsgemäßen Vorrichtung, sofern mittels Aktoren, die elektrische Maschinen sind, ein Ist-Drehmoment bewirkt/bereitgestellt werden soll, das technische System derart betrieben werden, dass in einer elektrischen Maschine oder durch das Zusammenwirken mehrerer elektrischer Maschinen dieses Drehmoment bewirkt wird, wobei die richtig rechnenden Funktionsstränge und die somit leistungsfähigeren elektrischen Maschinen einen fehlerhaft rechnenden Funktionsstrang überstimmen und kein Schalter, so wie bei 2oo2D Systemen, benötigt wird. Von Vorteil ist es, dass zur Vermeidung von Fehlern gemeinsamer Ursache zwei Kerne im FPGA räumlich und auch ressourcentechnisch getrennt implementiert sind. Von besonderem Vorteil ist es erfindungsgemäß, dass eine Diversität ohne extremen Hardwareaufwand, insbesondere im Vergleich zu 2oo3-Anordnung mit drei Mikrocontrollern, erreicht werden kann. Dadurch, dass im FPGA insbesondere ein RISC- und ein VHDL-Zweig vorgesehen sind und nicht etwa zweimal ein RISC-Zweig oder zweimal ein VHDL-Zweig, ergibt sich vorteilhaft eine Diversifizierung in der Programmierung und somit eine Vermeidung systematischer Fehler. Aus diesem Grund ist auch die bevorzugte parallele Anordnung eines Kanals mit einem Mikrocontroller vorteilhaft, da dadurch die Diversität in der Programmierung weiter erhöht wird. Zusammengefasst ergibt sich neben einer Reduktion der Hardwarekosten erfindungsgemäß auch eine Reduktion des Prozessaufwandes, d. h. das Risiko für eine systematisch fehlerhafte Implementierung ist gering, da zwei unterschiedliche Technologien angewendet werden. Weiterhin ist es von Vorteil, dass der erfindungsgemäße Gegenstand gegenüber der Nutzung einer 2oo2D-Anordnung keinen hohen Prozessaufwand zur Reduktion systematischer Fehler erfordert und es wird, wie schon dargelegt, kein Ausgangs-Schalter benötigt. Besonders vorteilhaft kann der erfindungsgemäße Ansatz im Zusammenhang mit der Steuerung und/oder Regelung von Fahrzeugen, deren Fahrdynamik, also insbesondere die Ansteuerung entsprechender Aktoren angewendet werden. Bevorzugt sind die Aktoren Bestandteil autonomer Fahrzeuge und dienen der Realisierung von relevanten Fahrfunktionen.
  • Weitere vorteilhafte Ausführungen sind der folgenden detaillierten Beschreibung zu entnehmen.
  • Wie allgemein bekannt, ist ein technisches System durch eine Funktion gekennzeichnet, um zum Beispiel Energie und/oder Informationen zu wandeln bzw. zu transportieren. Insbesondere erfolgt dabei eine beabsichtigte Beeinflussung des Verhaltens des technischen Systems durch eine Steuerung und/oder Regelung. Wie weiterhin bekannt, weist ein technisches System Eingangsgrößen und Ausgangsgrößen auf. Das technische System kann zum Beispiel die Lenkung eines Fahrzeuges betreffen, wobei eine Beeinflussung der Fahrtrichtung eines Fahrzeuges erfolgt. Insbesondere kann es sich um einen elektromechanischen Lenksteller handeln, wie er in der eingangs zitierten DE19834870A1 beschrieben ist. Es sei nochmals ausdrücklich darauf hingewiesen, dass der erfindungsgemäße Ansatz bei technischen Systemen bzw. technischen Prozessen jeglicher Art angewendet werden kann. Hinsichtlich der Definition des Begriffes „technisches System“ sei beispielsweise auf G. Ropohl: Allgemeine Technologie: Eine Systemtheorie der Technik. München/Wien 1979 verwiesen. Die dort genannten Merkmale, welche ein technisches System charakterisieren, seien hiermit ausdrücklich in die vorliegende Beschreibung aufgenommen. Hinsichtlich der Definition des Begriffes „technischer Prozess“ sei beispielsweise auf die DIN IEC 60050-351 verwiesen. Die dort genannten Merkmale, welche einen technischen Prozess charakterisieren, seien hiermit ausdrücklich in die vorliegende Beschreibung aufgenommen. Als technischer Prozess wird insbesondere die Gesamtheit von aufeinander einwirkenden Vorgängen in einem technischen System verstanden, durch die beispielsweise Energie umgeformt/transportiert wird oder Informationen umgeformt/transportiert werden.
  • Wie in 1 gezeigt, ist das technische System, hier der elektromechanische Lenksteller eines spurgeführten Fahrzeuges, in zwei diversitär redundante Teilsysteme A und B unterteilt. D. h. die beiden Teilsysteme A und B sind parallel zueinander angeordnet. Das Teilsystem A umfasst eine erste Verarbeitungseinheit 1. Parallel zu dem Teilsystem A ist das Teilsystem B angeordnet, das eine zweite Verarbeitungseinheit 2 umfasst.
  • Die erste Verarbeitungseinheit 1 ist mit einem Datenbus 3 verbunden. Die zweite Verarbeitungseinheit 2 ist ebenfalls mit dem Datenbus 3 verbunden. Somit sind die erste Verarbeitungseinheit 1 und die zweite Verarbeitungseinheit 2 mit einem übergeordneten Steuergerät bzw. Fahrzeugrechner verbunden und haben denselben Input bzw. dieselben Eingangsgrößen.
  • Die erste Verarbeitungseinheit 1 umfasst zwei Verarbeitungskanäle 1a und 1b. Dem ersten Verarbeitungskanal 1a ist ein erstes Verarbeitungsmittel 1g zugeordnet. Der erste Verarbeitungskanal 1a und das erste Verarbeitungsmittel 1g sind ebenfalls mit dem Datenbus 3, d. h. mit einem übergeordneten Steuergerät bzw. Fahrzeugrechner verbunden und haben denselben Input bzw. dieselben Eingangsgrößen, wie die zweite Verarbeitungseinheit 2. Der erste Verarbeitungskanal 1a bzw. das erste Verarbeitungsmittel 1g ist mit einer ersten Ansteuereinheit 1c (erste Endstufe) zur Ansteuerung eines ersten Stellmotors/Aktors 1e verbunden. Dem zweiten Verarbeitungskanal 1b ist ein zweites Verarbeitungsmittel 1h zugeordnet. Der zweite Verarbeitungskanal 1b und das zweite Verarbeitungsmittel 1h sind ebenfalls mit dem Datenbus 3, d. h. mit einem übergeordneten Steuergerät bzw. Fahrzeugrechner verbunden und haben denselben Input bzw. dieselben Eingangsgrößen, wie die zweite Verarbeitungseinheit 2 und der erste Verarbeitungskanal 1a und das erste Verarbeitungsmittel 1g. Der zweite Verarbeitungskanal 1b bzw. das zweite Verarbeitungsmittel 1h ist mit einer zweiten Ansteuereinheit 1d (zweite Endstufe) zur Ansteuerung eines zweiten Stellmotors/Aktors 1f verbunden. Die Ansteuerung der Stellmotoren/Aktoren erfolgt wie bekannt insbesondere anhand von pulsweitenmodulierten Signalen. Die zweite Verarbeitungseinheit 2 umfasst nur einen einzigen Verarbeitungskanal 2a.
  • Dem einzigen Verarbeitungskanal 2a ist ein weiteres Verarbeitungsmittel 2d zugeordnet. Im weiteren Verlauf werden der einzige Verarbeitungskanal 2a als dritter Verarbeitungskanal 2a und das weitere Verarbeitungsmittel 2d als drittes Verarbeitungsmittel 2d bezeichnet. Der dritte Verarbeitungskanal 2a bzw. das dritte Verarbeitungsmittel 2d ist mit einer einzigen Ansteuereinheit 2b (einzige Endstufe) zur Ansteuerung eines einzigen Stellmotors/Aktors 2c verbunden.
  • Der erste Stellmotor/Aktor 1e, der zweite Stellmotor/Aktor 1f und der einzige Stellmotor/Aktor 2c sind beispielsweise jeweils Dreiphasen-Wechselstrom-Motoren und sind zur Betätigung eines Lenkungsstellelementes 4 mit diesem wirkverbunden. In einer Ausführung können die drei Stellmotoren/Aktoren 1e, 1f und 2c auch durch einen einzigen gemeinsamen Stellmotor/Aktor 1i (nicht gezeigt) ersetzt werden, welcher mehrere Wicklungen aufweist, welche zur Ansteuerung jeweils mit der ersten Ansteuereinheit 1c, der zweiten Ansteuereinheit 1d und der einzigen Ansteuereinheit 2b verbunden sind, so dass eine elektrische Maschine mit redundanten Wicklungen bereitsteht.
  • In Abhängigkeit des (einheitlichen) Inputs (Eingangsgröße, Führungsgröße, vorgegebener Sollwert), welcher der ersten Verarbeitungseinheit 1 und der zweiten Verarbeitungseinheit 2 und somit dem ersten Verarbeitungskanal 1a, dem zweiten Verarbeitungskanal 1b und dem dritten Verarbeitungskanal 2a zugeführt/vorgegeben wird, erfolgt mittels den Verarbeitungsmitteln 1g, 1h und 2d, die im weiteren Verlauf im Detail beschrieben werden und die jeweils dem ersten Verarbeitungskanal 1a, dem zweiten Verarbeitungskanal 1b und dem dritten Verarbeitungskanal 2a zugeordnet sind, die Bildung/das Bewirken eines (einheitlichen) Outputs (einer einheitlichen Ausgangsgröße, einer einheitlichen Stellgröße). Wird also insbesondere ein (einheitlicher) Sollwert betreffend das Drehmoment über den Datenbus 3 jeweils den Verarbeitungskanälen 1a, 1b und 2a zugeführt bzw. vorgegeben, kann dieses Drehmoment von jedem einzelnen Stellmotor/Aktor 1e, 1f oder 2c bzw. durch die jeweiligen Wicklungen des gemeinsamen Stellmotors/Aktors 1i bereitgestellt/bewirkt werden.
  • Die den drei Verarbeitungskanälen 1a, 1b, 2a zugeordneten Verarbeitungsmittel 1g, 1h und 2d können in einer Ausführung mit den jeweiligen Ansteuereinheiten 1c, 1d bzw. 2b derart zusammenwirken, dass Signale von den jeweiligen Ansteuereinheiten 1c, 1d bzw. 2b von den Verarbeitungsmitteln 1g, 1h und 2d eingelesen werden.
  • Natürlich können die den drei Verarbeitungskanälen 1a, 1b, 2a zugeordneten Verarbeitungsmittel 1g, 1h und 2d auch die betreffenden Ansteuereinheiten 1c, 1d bzw. 2b sowie die Stellmotoren/Aktoren 1e, 1f oder 2c bzw. den gemeinsamen Stellmotor/Aktor 1i überwachen.
  • Weiterhin kann auch eine Überwachung der Eingangssignale durch die Verarbeitungsmittel 1g, 1h und 2d erfolgen, beispielsweise eine Überwachung des Sollwertes betreffend das Drehmoment.
  • Zum Zweck einer diversitär redundanten Spannungsversorgung ist das Teilsystem A mit einer ersten Spannungsversorgung verbunden, beispielsweise mit einem ersten Bordnetz von zwei separaten Bordnetzen des Fahrzeuges. Zu diesem Zweck ist das Teilsystem B mit einer zweiten Spannungsversorgung verbunden, beispielsweise mit dem zweiten Bordnetz der zwei separaten Bordnetze. Das Teilsystem A ist in einer weiteren Ausführung mit der ersten und der zweiten Spannungsversorgung, d. h. dem ersten und dem zweiten Bordnetz von zwei separaten Bordnetzen des Fahrzeuges verbunden, wobei insbesondere der erste Verarbeitungskanal 1a bzw. das erste Verarbeitungsmittel 1g der ersten Verarbeitungseinheit 1 mit dem ersten Bordnetz und der zweite Verarbeitungskanal 1b bzw. das zweite Verarbeitungsmittel 1h der ersten Verarbeitungseinheit 1 mit dem zweiten Bordnetz verbunden sind, so dass die beiden Verarbeitungskanäle 1a, 1b bzw. die beiden Verarbeitungsmittel 1g, 1h hinsichtlich ihrer Versorgung mit elektrischer Energie (Spannungsversorgung) unabhängig voneinander sind. Insbesondere dem Lenkungsstellelement 4 kann ein Positionssensor (nicht gezeigt) zugeordnet sein, zum Zweck einer Rückkopplung einer Ist-Lenkbewegung.
  • Die erste Verarbeitungseinheit 1 weist erfindungsgemäß einen programmierbaren digitalen Baustein auf, mit dem eine Vielzahl von Schaltungen dadurch realisiert werden können, dass in einen integrierten Schaltkreis zumindest eine logische Schaltung geladen wird, wobei durch Konfiguration der intern in dem Baustein vorhandenen Elemente verschiedene Schaltungen und Funktionen realisiert werden können. Mit anderen Worten entspricht die erste Verarbeitungseinheit 1 einem FPGA (Field Programmable Gate Array). Wie allgemein bekannt, kann in einen solchen integrierten Schaltkreis eben zumindest eine logische Schaltung geladen werden. Die jeweils zu erzeugende Struktur der Schaltung wird dabei mittels einer Hardwarebeschreibungssprache formuliert und mittels einer geeigneten Software in eine Konfigurationsdatei konvertiert. Diese Konfiguration gibt dabei vor, wie die Elemente in dem Baustein verschaltet werden sollen. Erfindungsgemäß umfasst das FPGA bzw. die erste Verarbeitungseinheit 1 sowohl das erste Verarbeitungsmittel 1g als auch das zweite Verarbeitungsmittel 1h, so dass der erste Verarbeitungskanal 1a und der zweite Verarbeitungskanal 1b gebildet werden. Das erste Verarbeitungsmittel 1g entspricht erfindungsgemäß einem ersten Prozessorkern des FPGA und das zweite Verarbeitungsmittel 1h einem zweiten Prozessorkern des FPGA. Der erste Prozessorkern des FPGA ist dabei als so genannter „Hard-Core-Prozessor“ physikalisch (physisch) auf dem Chip bzw. dem programmierbaren digitalen Baustein integriert. Insbesondere wird der erste Prozessorkern per VHDL (Very High Speed Integrated Circuit Hardware Description Language) implementiert. D. h. die Konfiguration des ersten Prozessorkerns bzw. die Beschreibung dieses digitalen Systems erfolgt insbesondere textuell/textbasiert mit einer Hardwarebeschreibungssprache. Der zweite Prozessorkern des FPGA ist dabei als so genannter „Soft-Core-Prozessor“ ausgeführt, der insbesondere als Quelltext vorliegt. Bevorzugt wird der zweite Prozessorkern per Autocode oder per C-Code programmiert. Insbesondere entspricht der zweite Prozessorkern einem RISC-Prozessor, also einem Rechner mit reduziertem Befehlssatz (Reduced Instruction Set Computer). D. h. der zweite Prozessorkern des FPGA ist ein „Software-Kern“ oder „Soft-Mikroprozessor“, welcher als virtuelle Einheit in dem FPGA integriert ist und anhand einer Logiksynthese vollständig in dem FPGA implementiert wird, da der FPGA eine programmierbare Logik beinhaltet. Es kann so ein beliebiger (einzelner) Prozessor zu einem digitalen Schaltungsdesign hinzugefügt werden, welcher aus reiner Anwenderlogik besteht, die dazu entsprechend konfiguriert ist.
  • Zusammengefasst entspricht erfindungsgemäß die erste Verarbeitungseinheit 1 einem FPGA mit einem RISC-Zweig und einem VHDL-Zweig, welche jeweils die zwei Verarbeitungskanäle 1a und 1b bilden bzw. den beiden Verarbeitungsmitteln 1g und 1h entsprechen.
  • Die zweite Verarbeitungseinheit 2 weist erfindungsgemäß zum Beispiel einem Mikrocontroller auf, d. h. einen Halbleiterchip, der einen Prozessor und auch Peripheriefunktionen sowie zumindest zum Teil einen Arbeits- und Programmspeicher umfasst. D. h. das dritte Verarbeitungsmittel 2d kann ein solcher Mikrocontroller sein. Es handelt sich bei dem Mikrocontroller allgemein betrachtet um einen Prozessor mit Zusatzmodulen, wobei bei dem Mikrocontroller insbesondere Speicher, Ein- und Ausgänge und so weiter auf einem einzigen Chip integriert sind.
  • Zusammengefasst entspricht/umfasst die zweite Verarbeitungseinheit 2 einem/einen Mikrocontroller mit einem Bearbeitungszweig, welcher den dritten (einzigen) Verarbeitungskanal 2a bildet.
  • Angenommen, das Fahrzeug wird im Straßenverkehr bewegt, dann erhalten die erste Verarbeitungseinheit 1 und die zweite Verarbeitungseinheit 2 über die Verbindung mit dem Datenbus 3 vom übergeordneten Steuergerät Informationen über eine Soll-Lenkbewegung (Eingangsgröße). Insbesondere wird dabei ein (einheitlicher) Sollwert betreffend das Drehmoment vorgegeben, das durch zumindest einen der drei Stellmotoren/Aktoren 1e, 1f oder 2c bzw. durch zumindest eine der jeweiligen drei Wicklungen/Wicklungsgruppen des gemeinsamen Stellmotors/Aktors 1i bereitgestellt/bewirkt werden soll. Durch die drei Verarbeitungsmittel 1g, 1h und 2d erfolgt in Abhängigkeit dieser Sollwertvorgabe die Bildung/das Bewirken eines (einheitlichen) Outputs (einer einheitlichen Ausgangsgröße, einer einheitlichen Stellgröße). Wie zum Beispiel in der DE19834870A1 beschrieben, kann bei einem Normalbetrieb, bei dem alle beteiligen Baugruppen funktionstüchtig sind, zunächst nur der erste Verarbeitungskanal 1a des ersten Teilsystems A aktiv sein, d. h. der zweite Verarbeitungskanal 1b des ersten Teilsystems A und das zweite Teilsystem B sind passiv, so dass das für die Umsetzung der Soll-Lenkbewegung erforderliche Drehmoment allein von dem ersten Stellmotor/Aktor 1e bzw. von der betreffenden Wicklung/Wicklungsgruppe des gemeinsamen Stellmotors/Aktors 1i bereitgestellt/bewirkt wird. Dennoch erfolgt parallel dazu im ersten Teilsystem A im zweiten Verarbeitungskanal 1b bzw. durch das zweite Verarbeitungsmittel 1h sowie im zweiten Teilsystem B im dritten Verarbeitungskanal 2a bzw. durch das dritte Verarbeitungsmittel 2d ebenfalls eine Bestimmung der für die Ansteuerung der Stellmotoren/Aktoren 1f und 2c bzw. der betreffenden Wicklungen/Wicklungsgruppen des gemeinsamen Stellmotors/Aktors 1i zur Bereitstellung/zum Bewirken des für die Umsetzung der Soll-Lenkbewegung erforderlich Drehmoments notwendigen Größen bzw. (pulsweitenmodulierten) Signale, wobei die Stellmotoren/Aktoren 1f und 2c bzw. die betreffenden Wicklungen/Wicklungsgruppen des gemeinsamen Stellmotors/Aktors 1i letztendlich aber nicht aktiv sind.
  • Angenommen, eine Baugruppe fällt während des Betriebs des Fahrzeuges aus. Beispielsweise die erste Ansteuereinheit 1c ist plötzlich nicht mehr funktionstüchtig, was zum Beispiel durch die schon beschriebene Überwachung der ersten Ansteuereinheit 1c durch das erste Verarbeitungsmittel 1g erkannt wird, dann erfolgt eine Aktivierung des zweiten Verarbeitungskanals 1b, so dass das für die Umsetzung der Soll-Lenkbewegung erforderliche Drehmoment allein von dem zweiten Stellmotor/Aktor 1f bzw. der betreffenden Wicklung/Wicklungsgruppe des gemeinsamen Stellmotors/Aktors 1i bereitgestellt/bewirkt wird. Dieses Umschalten erfolgt dabei ohne einen Stetigkeitsbruch bzw. das gesamte technische System ist „fail operational“.
  • Beispielsweise können bei einem Normalbetrieb jedoch, bei dem alle beteiligen Baugruppen funktionstüchtig sind, zunächst alle Verarbeitungskanäle 1a, 1b des ersten Teilsystems A sowie der dritte Verarbeitungskanal 2a des zweiten Teilsystems B aktiv sein, so dass das für die Umsetzung der Soll-Lenkbewegung erforderliche Drehmoment in Summe von allen drei Stellmotoren/Aktoren 1e, 1f, 2c bzw. von allen drei Wicklungen/Wicklungsgruppen des gemeinsamen Stellmotors/Aktors 1i bereitgestellt/bewirkt wird.
  • Angenommen bei dieser Ausführung fällt eine Baugruppe während des Betriebs des Fahrzeuges aus. Beispielsweise die erste Ansteuereinheit 1c ist plötzlich nicht mehr funktionstüchtig, was zum Beispiel durch die schon beschriebene Überwachung der ersten Ansteuereinheit 1c durch das erste Verarbeitungsmittel 1g erkannt wird, dann kann das für die Umsetzung der Soll-Lenkbewegung erforderliche Drehmoment zwar nicht mehr vollständig bereitgestellt/bewirkt werden kann, allein von den verbleibenden Stellmotoren/Aktoren 1f, 2c bzw. den betreffenden Wicklungen/Wicklungsgruppen des gemeinsamen Stellmotors/Aktors 1i, jedoch bleiben zumindest 2/3 der Leistung des technischen Systems bei voller Integrität erhalten.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 19834870 A1 [0003, 0009, 0024]
  • Zitierte Nicht-Patentliteratur
    • Kirrmann, H. & Großpietsch, K. (2009). Fehlertolerante Steuerungs- und Regelungssysteme (Fault-tolerant Control Systems). at - Automatisierungstechnik Methoden und Anwendungen der Steuerungs-, Regelungs- und Informationstechnik, 50(8/2002), pp. 362-374 [0002]
    • DIN IEC 60050-351 [0009]

Claims (10)

  1. Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems, mit zumindest einem Teilsystem (A), wobei - das Teilsystem (A) eine erste Verarbeitungseinheit (1) umfasst, - die erste Verarbeitungseinheit (1) zwei Verarbeitungskanäle (1a) und (1b) umfasst, - dem ersten Verarbeitungskanal (1a) ein erstes Verarbeitungsmittel (1g) zur Ansteuerung eines ersten Aktors (1e) oder eines einzigen Aktors (1i) zugeordnet ist und dem zweiten Verarbeitungskanal (1b) ein zweites Verarbeitungsmittel (1h) zur Ansteuerung eines zweiten Aktors (1f) oder des einzigen Aktors (1i) zugeordnet ist, - die erste Verarbeitungseinheit (1) einem Field Programmable Gate Array (FPGA) mit zwei Prozessorkernen entspricht, - der erste Prozessorkern einem Hard-Core-Prozessor und der zweite Prozessorkern einem Soft-Core-Prozessor entspricht.
  2. Vorrichtung nach Patentanspruch 1, wobei der erste Prozessorkern mittels einer Hardwarebeschreibungssprache konfiguriert wird.
  3. Vorrichtung nach Patentanspruch 2, wobei die Hardwarebeschreibungssprache VHDL (Very High Speed Integrated Circuit Hardware Description Language) ist.
  4. Vorrichtung nach Patentanspruch 1 bis 3, wobei der zweite Prozessorkern einem Rechner mit reduziertem Befehlssatz (RISC) entspricht.
  5. Vorrichtung nach Patentanspruch 1 bis 4, wobei parallel zu dem ersten Teilsystem (A) ein weiteres Teilsystem (B) angeordnet ist, wobei - das zweite Teilsystem (B) eine zweite Verarbeitungseinheit (2) umfasst, - die zweite Verarbeitungseinheit (2) einen Verarbeitungskanal (2a) umfasst, - dem Verarbeitungskanal (2a) ein Verarbeitungsmittel (2d) zur Ansteuerung eines Aktors (2c, 1i) zugeordnet ist, - das Verarbeitungsmittel (2d) einem Mikrocontroller entspricht.
  6. Vorrichtung nach Patentanspruch 1 bis 5, wobei mittels der Verarbeitungsmittel (1g, 1h, 2d) eine Überwachung der Aktoren (1e, 1f, 2c, 1i) erfolgt.
  7. Vorrichtung nach Patentanspruch 1 bis 6, wobei zum Zweck einer Versorgung mit elektrischer Energie das Teilsystem (A) mit einer ersten Spannungsversorgung von mehreren separaten Spannungsversorgungen verbunden ist.
  8. Vorrichtung nach Patentanspruch 1 bis 6, wobei zum Zweck einer Versorgung mit elektrischer Energie das Teilsystem (A) mit einer ersten Spannungsversorgung und einer weiteren Spannungsversorgung von mehreren separaten Spannungsversorgungen verbunden ist, wobei das erste Verarbeitungsmittel (1g) mit der ersten Spannungsversorgung und das zweite Verarbeitungsmittel (1h) der weiteren Spannungsversorgung verbunden sind, so dass die beiden Verarbeitungsmittel (1g, 1h) hinsichtlich ihrer Versorgung mit elektrischer Energie unabhängig voneinander sind.
  9. Vorrichtung nach Patentanspruch 1 bis 8, wobei der jeweilige Aktor (1e, 1f, 2c, 1i) Bestandteil eines Fahrzeuges ist.
  10. Vorrichtung nach Patentanspruch 1 bis 9, wobei das technische System die Lenkung eines Fahrzeuges ist.
DE102017110753.3A 2017-05-17 2017-05-17 Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems Pending DE102017110753A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017110753.3A DE102017110753A1 (de) 2017-05-17 2017-05-17 Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017110753.3A DE102017110753A1 (de) 2017-05-17 2017-05-17 Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems

Publications (1)

Publication Number Publication Date
DE102017110753A1 true DE102017110753A1 (de) 2018-11-22

Family

ID=64278011

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017110753.3A Pending DE102017110753A1 (de) 2017-05-17 2017-05-17 Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems

Country Status (1)

Country Link
DE (1) DE102017110753A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018132148A1 (de) * 2018-12-13 2020-06-18 Audi Ag Redundantes mechatronisches System
DE102021215019A1 (de) 2021-12-23 2023-06-29 Lenze Se Konfigurierbarer Frequenzumrichter

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19834870A1 (de) 1998-08-01 2000-02-03 Bosch Gmbh Robert Fehlertoleranter elektromechanischer steer-by-wire-Lenksteller

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19834870A1 (de) 1998-08-01 2000-02-03 Bosch Gmbh Robert Fehlertoleranter elektromechanischer steer-by-wire-Lenksteller

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DIN IEC 60050-351
KHARCHENKO, V. u.a.: Diversity for Safety of Systems and Software in Context of the Standard ISO/IEC26262. 13th WS on Automotive Software and Systems. 2015. S. 1 – 45 *
Kirrmann, H. & Großpietsch, K. (2009). Fehlertolerante Steuerungs- und Regelungssysteme (Fault-tolerant Control Systems). at - Automatisierungstechnik Methoden und Anwendungen der Steuerungs-, Regelungs- und Informationstechnik, 50(8/2002), pp. 362-374

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018132148A1 (de) * 2018-12-13 2020-06-18 Audi Ag Redundantes mechatronisches System
US11161520B2 (en) 2018-12-13 2021-11-02 Audi Ag Redundant mechatronic system
DE102021215019A1 (de) 2021-12-23 2023-06-29 Lenze Se Konfigurierbarer Frequenzumrichter

Similar Documents

Publication Publication Date Title
DE102018209833B4 (de) Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug
DE112008003120B4 (de) Elektronisches System zum Betreiben einer elektromechanischen Parkbremse
EP1769293B1 (de) Automatisierungssystem und ein-/ausgabebaugruppe für dasselbe
DE102015214521A1 (de) Aktuatorsystem für selbstfahrende Fahrzeuge
DE102015200124A1 (de) Verfahren zum Versorgen mindestens eines Verbrauchers
DE102007021286A1 (de) Elektromechanisches Bremssystem mit einer ausfallsicheren Energieversorgung und Verfahren zur ausfallsicheren Energieversorgung in einem elektromechanischen Bremssystem für Fahrzeuge
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP1052148A2 (de) Bordnetz bei Kraftfahrzeugen
DE102012010173A1 (de) Brennstoffzellenanordnung für ein Fahrzeug und Verfahren zum Betreiben einer Brennstoffzellenanordnung
DE102015222544A1 (de) Bordnetz
DE102016221250A1 (de) Verfahren zum Betreiben eines Bordnetzes
WO2021197555A1 (de) Bremssystem mit wenigstens zwei energiequellen
DE102016015383A1 (de) Aktuator in einem Fahrwerkssystem eines Fluggeräts
DE102017104977A1 (de) Bordnetzanordnung für ein Kraftfahrzeug
DE102017110753A1 (de) Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems
EP3583004B1 (de) Schaltungsanordnung zum durchführen eines vergleichs
WO2017153111A1 (de) Transporteinheit mit zumindest einer anlage
EP2237118A1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
DE102017218274A1 (de) Lenkungssteuersystem für ein Lenksystem eines Kraftfahrzeuges sowie Verfahren zum Betreiben eines Lenkungssteuersystems
EP2048555A1 (de) Analoge Ausgabeeinheit mit Fehlererkennung
DE10056129A1 (de) Steuerungssystem für ein Stellglied in einem Kraftfahrzeug
EP1400882A2 (de) Vorrichtung zur Automatisierung und/oder Steuerung von Werkzeug-oder Produktionsmaschinen
DE102020121244A1 (de) Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren
DE112020000249T5 (de) Neuzuordnung von reglerphasen innerhalb einer phasenredundanten spannungsregler-vorrichtung
DE102020124731A1 (de) Verfahren zum Betreiben eines Fluggeräts, Regelungsarchitektur für ein Fluggerät und Fluggerät mit einer solchen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication