DE102020200141A1 - Fehlertolerantes Regelsystem - Google Patents

Fehlertolerantes Regelsystem Download PDF

Info

Publication number
DE102020200141A1
DE102020200141A1 DE102020200141.3A DE102020200141A DE102020200141A1 DE 102020200141 A1 DE102020200141 A1 DE 102020200141A1 DE 102020200141 A DE102020200141 A DE 102020200141A DE 102020200141 A1 DE102020200141 A1 DE 102020200141A1
Authority
DE
Germany
Prior art keywords
control device
control
state
redundant
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020200141.3A
Other languages
English (en)
Inventor
Gowtham Perumalsamy
Istvan Hegedüs-Bite
Hubert Bichelmeier
Timm Muntel
Ilker Bagci
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102020200141.3A priority Critical patent/DE102020200141A1/de
Publication of DE102020200141A1 publication Critical patent/DE102020200141A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Es wird ein fehlertolerantes Regelsystem und ein zugehöriges Verfahren beschrieben. Hierbei umfasst das Regelsystem eine erste Regeleinrichtung zur Regelung mindestens eines Aktors und eine zweite Regeleinrichtung zur Regelung des mindestens einen Aktors, wobei die erste Regeleinrichtung und die zweite Regeleinrichtung redundante Regeleinrichtungen sind; die erste Regeleinrichtung ausgebildet ist, die zweite Regeleinrichtung auf Fehlfunktionen zu überwachen und die zweite Regeleinrichtung ausgebildet ist die erste Regeleinrichtung auf Fehlfunktionen zu überwachen; wobei das redundante Regelsystem ferner derart ausgebildet ist, dass sich die zweite Regeleinrichtung in einem Bereitschaftszustand befindet, wenn die erste Regeleinrichtung in einem Regelzustand ist, in welchen sie eine Regelung des mindestens einen Aktors vornimmt; und wenn die erste Regeleinrichtung in dem Regelzustand ist und die zweite Regeleinrichtung eine Fehlfunktion der ersten Regeleinrichtung erkennt, die erste Regeleinrichtung in einen Fehlerzustand versetzt wird; die zweite Regeleinrichtung in den Regelzustand versetzt wird; und die zweite Regeleinrichtung die erste Regeleinrichtung auf eine Fehlerbehebung überwacht; wenn die zweite Regeleinrichtung eine Fehlerbehebung in der ersten Regeleinrichtung erkennt, die erste Regeleinrichtung in den Bereitschaftszustand versetzt wird oder die erste Regeleinrichtung in den Regelzustand und die zweite Regeleinrichtung in den Bereitschaftszustand versetzt wird.

Description

  • Die vorliegende Erfindung betrifft ein fehlertolerantes Regelsystem, sowie ein zugehöriges Fahrzeug und ein zugehöriges Verfahren zur Steuerung eines redundanten Regelsystems.
  • Regelsysteme werden zur Regelung beziehungsweise Steuerung diverser Einrichtungen eingesetzt. In Abhängigkeit der Auswirkung eines Fehlers des Regelsystems, ist es notwendig, dieses derart auszugestalten, dass selbst in einem Fehlerfall, in welchem das Regelsystem durch einen Defekt desselbigen eine Regelung beziehungsweise Steuerung nicht mehr korrekt vornehmen kann, sichergestellt wird, dass die gesteuerte Vorrichtung weiterhin funktioniert oder zumindest in einen sicheren Zustand überführt wird. So ist es beispielsweise bei der Anwendung in Fahrzeugen, insbesondere in autonomen Fahrzeugen, wichtig, dass das Fahrzeug in einem Fehlerfall entweder weiterhin funktioniert oder beispielsweise durch das Heranfahren an den Rand in einen sicheren Zustand überführt wird. Hierfür werden sogenannte fehlertolerante Regelsysteme eingesetzt, die auch nach dem Auftreten ihre Funktion weiterhin erfüllen können.
  • Hierzu ist es im Stand der Technik bekannt, Regelsysteme einzusetzen, welches Regeleinrichtungen aufweisen, die redundant ausgeführt sind, das heißt dass die jeweilige Regeleinrichtung eine Regelung beziehungsweise Steuerung unabhängig von der anderen Regeleinrichtung durchführen kann und sie somit austauschbar sind. Im Falle eines Fehlers in einer Regeleinrichtung kann somit die andere Regeleinrichtung die Regelung beziehungsweise Steuerung übernehmen und die Funktion der gesteuerten Vorrichtung wird weiterhin zumindest zeitweise sichergestellt. Hierbei ist es sodann vorgesehen, in einem Fehlerfall die fehlerhafte Regeleinrichtung in einen Fehlerzustand zu versetzen, und die Regelung an die noch funktionsfähige Regeleinrichtung zu übergeben. Da jedoch sodann eine Sicherheit nur noch in begrenztem Maße sichergestellt werden kann, da lediglich eine Regeleinrichtung funktionsfähig verbleibt, kann die Funktion nur noch temporär sichergestellt werden und die gesteuerte Vorrichtung muss möglichst schnell in einen sicheren Zustand überführt werden, beispielsweise durch ein Anhalten eines durch die Regeleinrichtung gesteuerten autonomen Fahrzeugs.
  • Die Erfindung adressiert die vorstehend genannten Probleme und ermöglicht es insbesondere, nach einem Fehlerfall und einer erfolgten Fehlerbehebung, die redundanten Regeleinrichtung automatisch wieder in einen Zustand zu versetzen, in welchen beide normal funktionieren und in einem erneuten Fehlerfall einer Regeleinrichtung die Regelung durch die andere Regeleinrichtung übernommen werden kann.
  • Hierzu sieht ein redundantes Regelsystem zunächst eine erste Regeleinrichtung und eine zweite Regeleinrichtung vor. Beide Regeleinrichtungen sind dazu eingerichtet, mindestens einen Aktor zu steuern beziehungsweise zu regeln. Das heißt, beide Regeleinrichtungen sind dazu in der Lage, den Aktor ohne Unterstützung der jeweiligen anderen Regeleinrichtung entsprechend zu steuern oder zu regeln und können somit die Funktion der jeweiligen anderen Regeleinrichtung übernehmen. Entsprechend bilden die erste Regeleinrichtung und die zweite Regeleinrichtung redundante Regeleinrichtungen. Als redundante Regeleinrichtungen sind hierbei ferner Regeleinrichtungen zu verstehen, welche sich zwar in ihrem Aufbau oder in ihrer Programmierung unterscheiden, jedoch eingerichtet sind, die Regelung in einer identischen oder entsprechenden Weise durchführen. Selbstverständlich können jedoch auch zwei identisch programmierte Regeleinrichtungen mit identischen Hardwarekomponenten eingesetzt werden. Für eine Regeleinrichtung können hierbei jeweils entsprechende Hardware- und Softwarekomponenten vorgesehen sein, die für jede Regeleinrichtung separat vorgesehen sind, um eine vollständige Redundanz zu erreichen. Eine Regeleinrichtung kann beispielsweise ein Microcontroller oder ein anderer Prozessor und ein zusätzlicher Speicher mit entsprechenden Informationen und Befehlen zur Steuerung und Regelung sein. Auch kann jede Regeleinrichtung mit zusätzlichen Ein- und Ausgängen für weitere Sensoren, Aktoren und sonstige externe Einrichtungen versehen sein.
  • Die beiden Regeleinrichtungen sind sodann ferner dazu ausgebildet, sich gegenseitig auf Fehler zu überwachen. Entsprechend ist die erste Regeleinrichtung dazu ausgebildet, die zweite Regeleinrichtung auf Fehlfunktionen zu überwachen und die zweite Regeleinrichtung ist dazu ausgebildet, die erste Regeleinrichtung auf Fehlfunktionen zu überwachen. Eine derartige Überwachung auf Fehlfunktionen kann beispielsweise durch den Austausch von Kommunikationsnachrichten beziehungsweise Signalen über eine Zwischen-Regeleinrichtungs-Kommunikation, beispielsweise eine Inter-Prozessor-Kommunikation, vorgenommen werden. Entsprechend können die Regeleinrichtungen beispielsweise Informationen über ihren jeweiligen Zustand, über die durchgeführten Schritte und Funktionen etc. mit der anderen Regeleinrichtung austauschen. Die jeweils andere Regeleinrichtung kann sodann ausgebildet sein, basierend auf diesen jeweiligen Informationen, Fehler zu erkennen. Beispielsweise kann es sich hierbei im einfachsten Falle um das Ausbleiben einer Kommunikation der jeweiligen anderen Regeleinrichtung handeln, was auf einen kompletten Defekt der jeweiligen anderen Regeleinrichtung hindeutet. Auch kann ein Plausibilitätscheck beziehungsweise eine Plausibilitätsüberprüfung der empfangenen Nachrichten erfolgen, um eine Fehlfunktion der jeweils anderen Regeleinrichtung zu erkennen.
  • Wie oben ausgeführt, sind die Regeleinrichtungen derart ausgebildet, dass jeweils eine Regeleinrichtung die Steuerung und Regelung übernimmt, während sich die andere Regeleinrichtung in einem Bereitschaftszustand, wie beispielsweise einem Hot-Standby oder einem Ruhezustand befindet. Entsprechend können die jeweiligen Regeleinrichtungen eingerichtet sein, sich in den jeweiligen Zustand in Abhängigkeit des Zustands der anderen Regeleinrichtung zu versetzen.
  • Ferner ist das Regelsystem dazu eingerichtet, eine Funktion auszuführen, wenn sich die erste Regeleinrichtung in einem Regelzustand befindet und die zweite Regeleinrichtung eine Fehlfunktion der ersten Regeleinrichtung erkennt. Hierbei kann eine der beiden Regeleinrichtungen, bevorzugt diejenige, die sich nicht in dem Fehlerzustand befindet, die andere Regeleinrichtung und sich selbst derart zu steuern, dass sich die Regeleinrichtungen in den jeweiligen im Folgenden beschriebenen Zustand versetzen. Wenn ein derartiger Fall eintritt, ist das Regelsystem dazu ausgebildet, die erste Regeleinrichtung in einen Fehlerzustand zu versetzen. Ein derartiger Fehlerzustand kann ein Zustand sein, der kennzeichnet, dass in der Regeleinrichtung ein Fehler aufgetreten ist. Die derartige Kennzeichnung kann auch lediglich in der nicht im Fehlerzustand befindlichen Regeleinrichtung erfolgen, oder in einer zentralen Steuereinheit oder in einem zentralen Speicher hinterlegt werden, welcher getrennt von den Regeleinrichtungen ausgebildet sein kann. Es kann jedoch auch beispielsweise ein Kennzeichen in der im Fehlerzustand befindlichen Regeleinrichtung gesetzt werden. Die noch funktionsfähige Regeleinrichtung, hier die zweite Regeleinrichtung, übernimmt sodann den Regelzustand, in welchem sie sodann die Regelung der externen Komponenten, wie beispielsweise des einen Aktors übernimmt. Ferner ist vorgesehen, dass die zweite Regeleinrichtung die erste Regeleinrichtung auf eine Fehlerbehebung überwacht, das heißt, die zweite Regeleinrichtung prüft, ob der Fehler in der ersten Regeleinrichtung behoben wurde, beispielsweise dadurch, dass sich die erste Regeleinrichtung aus einem Fehlerzustand in einen Normalzustand oder in einen Bereitschaftszustand versetzt. Auch kann durch sonstige Kommunikationssignale der ersten Regeleinrichtung über die Kommunikationsverbindung festgestellt werden, dass die erste Regeleinrichtung wieder betriebsbereit ist. Ist dies der Fall, so kann die erste Regeleinrichtung entweder in einen Bereitschaftszustand versetzt werden, sodass diese im Fall eines Fehlers in der zweiten Regeleinrichtung nunmehr in der Lage wäre, selbst die Kontrolle zu übernehmen. Auch kann in einer alternativen Steuerung vorgesehen sein, dass die Regelung nun wieder an die erste Regeleinrichtung übergeben wird, und sich die zweite Regeleinrichtung wieder in den Bereitschaftszustand versetzt. Das heißt, das Regelsystem, beziehungsweise die Einzelkomponenten, d.h. die Regeleinrichtungen, können derart ausgebildet sein, dass entweder die erste Regeleinrichtung in einen Bereitschaftszustand versetzt wird, oder die erste Regeleinrichtung in den Regelzustand und die zweite Regeleinrichtung in den Bereitschaftszustand versetzt wird.
  • Entsprechend erlaubt es die vorliegende Erfindung, auch im Fehlerfall in einer Regeleinrichtung, die Behebung dieses Fehlerfalls automatisiert zu erkennen und sodann in einen Zustand zurückzukehren, in welchem wieder eine vollständige Redundanz hergestellt wird. Anders ausgedrückt wird es durch die automatische Erkennung ermöglicht, dass auch nach einem Fehler die fehlerhafte Regeleinheit wieder automatisiert in einen Normalzustand zurückversetzt wird, in welchem sie entweder eine Regelung durchführt, oder in Bereitschaft für die Übernahme der Regelung bei einem Fehler der jeweils anderen Regeleinheit überführt wird.
  • Hierbei kann ein derartiges Regelsystem insbesondere als ein redundantes 1-out-of-2-Regelsystem ausgebildet sein.
  • Wie oben beschrieben, kann zur gegenseitigen Überwachung ferner eine Kommunikationsverbindung, wie beispielsweise eine Inter-Prozessor-Kommunikation vorgesehen sein, welche dem Austausch von Informationen zwischen den beiden Regeleinrichtungen dient. Diese wird sodann für die gegenseitige Überwachung der Regeleinrichtungen über die Kommunikationsverbindung genutzt.
  • Ferner können eine oder beide der Regeleinrichtungen dazu ausgebildet sein, eine Selbstdiagnose durchzuführen, welche der Fehlerbehebung dient. Das heißt, befindet sich die Regeleinrichtung in einem Fehlerzustand, so läuft ein Prozess ab, der den Fehler erkennt und gegebenenfalls, falls möglich, behebt. Dies kann im einfachsten Fall beispielsweise einen Neustart der Regeleinrichtung und eine anschließende Diagnose, ob der jeweilige Fehler noch auftritt, bedeuten.
  • Die jeweilige Überwachung auf eine Fehlerbehebung der anderen Regeleinheit kann hierbei kontinuierlich, beispielsweise in bestimmten Zeitabschnitten, erfolgen, bis eine derartige oben beschriebene Fehlerbehebung erkannt wird. Entsprechend kann die zweite Regeleinheit ausgebildet sein, wenn die erste Regeleinrichtung in dem Regelzustand ist, und die zweite Regeleinrichtung eine Fehlfunktion der ersten Regeleinrichtung erkennt, die erste Regeleinrichtung kontinuierlich auf eine Fehlerbehebung zu überwachen, bis eine Fehlerbehebung erkannt wird. Hierbei kann der Begriff „kontinuierlich“ derart zu verstehen sein, dass eine Abfrage der jeweils anderen Regeleinrichtung in einer bestimmten Sequenz oder einer bestimmten Abfolge fortwährend erfolgt, bis die Fehlerbehebung erkannt wird, oder auch bis ein Schwellwert überschritten wird, anhand dessen festzustellen ist, dass offensichtlich eine Fehlerbehebung der anderen Einheit nicht möglich war.
  • Auch kann zur Fehlerbehebung jede der Regeleinheiten oder auch eine der Regeleinheiten ausgebildet sein, die jeweils andere Regeleinheit derart anzusteuern, dass sich diese zurücksetzt. So kann die zweite Regeleinrichtung ausgebildet sein, die erste Regeleinrichtung zurückzusetzen, wenn sich die Regeleinrichtung in einem Fehlerzustand befindet. Ein derartiges Zurücksetzen kann beispielsweise ein temporäres Trennen der Spannungsversorgung oder eine sonstige Art eines harten Resets der anderen Regeleinrichtung sein.
  • Die erste Regeleinrichtung und die zweite Regeleinrichtung können jeweils getrennte Hardwarekomponenten, wie Prozessoren und Speicher aufweisen, um eine Redundanz auch in den Hardwarekomponenten zu erreichen und einen von der anderen Regeleinrichtung autarken Betrieb zu ermöglichen.
  • Teil eines derartigen Regelsystems kann ferner auch der Aktor sein, welcher sowohl durch die erste Regeleinrichtung, als auch durch die zweite Regeleinrichtung steuerbar ist und somit mit beiden Regeleinrichtungen getrennt verbunden ist.
  • Wie oben bereits dargestellt, kann ein derartiges Regelsystem zum Beispiel in ein Fahrzeug, insbesondere in einem autonom fahrenden Fahrzeug, als Steuergerät eingesetzt werden. Entsprechend umfasst ein Fahrzeug hierbei ein redundantes Regelsystem nach einem der vorangegangen Ausführungen.
  • Ein zugehöriges Verfahren zur Steuerung eines redundanten Regelsystems umfasst hierbei die nachfolgend beschriebenen Schritte, wobei einzelne Schritte auch in anderer Reihenfolge ausgeführt werden können. Insbesondere kann die Reihenfolge der Überwachungsschritte oder die Reihenfolge der Schritte des Versetzens in einem spezifischen Zustand in anderer Reihenfolge ausgeführt werden. Das Verfahren ist somit nicht auf die Reihenfolge beschränkt zu verstehen. Hierbei umfasst das Verfahren zunächst den Schritt des Überwachens, welcher durch eine erste Regeleinrichtung ausgeführt wird, einer zweiten Regeleinrichtung auf Fehlfunktionen, wobei die erste Regeleinrichtung und die zweite Regeleinrichtung redundante Regeleinrichtungen sind. Sodann weist das Verfahren den weiteren Schritt des Überwachens, durch die zweite Regeleinrichtung, der ersten Regeleinrichtung auf Fehlfunktionen auf. Ist die erste Regeleinrichtung in dem Regelzustand und erkennt die zweite Regeleinrichtung eine Fehlfunktion der ersten Regeleinrichtung, so umfasst das Verfahren ferner die Schritte des Versetzens der ersten Regeleinrichtung in einen Fehlerzustand und des Versetzens der zweiten Regeleinrichtung in einen Regelzustand. Ferner wird sodann die Überwachung durch die zweite Regeleinrichtung der ersten Regeleinrichtung auf eine Fehlerbehebung ausgeführt. Wenn wiederum die zweite Regeleinrichtung eine derartige Fehlerbehebung in der ersten Regeleinrichtung erkennt, so werden die Schritte des Versetzens der ersten Regeleinrichtung in den Bereitschaftszustand oder alternativ das Versetzen der ersten Regeleinrichtung in einen Regelzustand und Versetzen der zweiten Regeleinrichtung in einen Bereitschaftszustand ausgeführt.
    • 1 zeigt schematisch ein Regelsystem.
    • 2 zeigt das Regelsystem mit einer schematischen Darstellung der Zustände.
    • 3 zeigt ein Flussdiagramm des Verfahrens.
  • Im Folgenden werden unter Bezugnahme auf die Zeichnungen Ausführungsformen der vorliegenden Erfindung beschrieben. Zunächst wird der Aufbau des Regelsystems dargestellt.
  • 1 zeigt hierbei ein Regelsystem 100 mit den beiden Regeleinrichtungen 101 und 102. Die Kommunikationsverbindung zwischen den beiden Regeleinrichtungen 103 dient der Kommunikation zwischen den Regeleinrichtungen und wird in dieser Ausführungsform für die Überwachung der jeweils anderen Regeleinrichtung auf einen Fehlerzustand verwendet.
  • In der 2 sind sodann die Betriebszustände der jeweiligen Regeleinrichtungen dargestellt. Mit den Bezugszeichen 101a und 102a ist der Initialzustand gekennzeichnet, in welchem sich die Regeleinrichtungen nach einem Start befinden.
  • Treten beim Start der Regeleinrichtung keine Fehler auf, so werden diese in den jeweiligen Normalzustand 101b und 102b überführt. In diesem Zustand können die jeweiligen Regeleinrichtungen entweder einem Regelzustand befinden, in welchem sie eine Regelung vornehmen, oder sich in einem Bereitschaftszustand befinden, in welchem sie bei Bedarf, das heißt im Fehlerfall der derzeit regelnden Regeleinrichtung, die Regelung übernehmen können.
  • Tritt ein Fehler in einer der Regeleinrichtungen auf, so wird die jeweilige Regeleinrichtung in den Fehlerzustand 101c beziehungsweise 102c überführt. Im Fall einer Fehlerbehebung wird in der jeweiligen Steuereinrichtung der Zustand vom Fehlerzustand 101c beziehungsweise 102c in den Normalzustand 101b beziehungsweise 102b überführt. Erfolgt dies durch einen Reset der jeweiligen Einrichtung, so kann auch eine Neuinitialisierung über den Initialzustand 101a und 102a und eine anschließende Überführung in den jeweiligen Normalzustand 101b beziehungsweise 102b stattfinden. Wird die Regeleinrichtung abgeschaltet, so tritt die jeweilige Regeleinrichtung in den Auszustand 101d beziehungsweise 102d über.
  • Nachfolgend soll ein Ablauf in einem Fehlerfall anhand dieses Zustandsdiagramms beschrieben werden.
  • Wird das Steuersystem hochgefahren, so befinden sich zunächst beide Steuereinrichtungen in dem Initialzustand 101a und 102a und treten sodann in den Normalzustand 101b und 102b über. Nun kann beispielsweise die erste Regeleinrichtung 101 die Steuerung beziehungsweise Regelung von extern angeschlossenen Aktoren übernehmen. Die erste Steuereinrichtung befindet sich somit im Regelbetrieb beziehungsweise Regelzustand als Teil des Normalzustand 101b. Die zweite Regeleinrichtung befindet sich derweil im Bereitschaftszustand als Teil des Normalzustands 102b. Wird ein Fehler in der regelnden Regeleinrichtung 101 erkannt, so tritt diese in den Fehlerzustand 101c über. Die Kontrolle wird sodann an die noch funktionsfähige Regeleinrichtung 102 übergeben, welche sich sodann im Regelzustand als Teil des Normalzustands 102b befindet. Dieser Übergang ist mit dem Pfeil 104a gekennzeichnet. In diesem Zustand überwacht sodann die Regeleinrichtung 102 die Regeleinrichtung 101 dahingehend, ob eine Fehlerbehebung durchgeführt wurde und sich somit die Regeleinrichtung 101 wieder im Normalzustand 101b befindet. Ist dies der Fall, so kann die Regeleinrichtung 101 entweder in den Bereitschaftszustand im Normalzustand 101b versetzt werden oder die Kontrolle über die Regelung kann wieder an die Regeleinrichtung 101 übergeben werden indem die Regeleinrichtung 101 in den Regelzustand im Normalzustand 101b versetzt wird und die Regeleinrichtung 102 in den Bereitschaftszustand im Normalzustand 102b versetzt wird. Dieser Vorgang der Übergabe der Kontrolle an die erste Regeleinrichtung ist mit dem Pfeil 104b gekennzeichnet.
  • Das Verfahren zur Steuerung eines redundanten Regelsystems wird sodann mit Bezug auf die 3 beschrieben.
  • Im Schritt S1 wird zunächst eine Überwachung durch die erste Regeleinrichtung durchgeführt. Hierbei überwacht die erste Regeleinrichtung die zweite Regeleinrichtung auf eine Fehlfunktion. Im Schritt S2, welcher mit dem Schritt S1 austauschbar ist, wird wiederum durch die zweite Regeleinrichtung eine Überwachung der ersten Regeleinrichtung auf Fehlfunktionen durchgeführt. Wird eine Fehlfunktion der einen oder anderen Regeleinrichtung erkannt, im Folgenden beispielhaft eine Fehlfunktion der ersten Regeleinrichtung, so wird im Schritt S3 die erste Regeleinrichtung in einen Fehlerzustand versetzt. Im Schritt S4 wird sodann die zweite Regeleinrichtung in den Regelzustand versetzt, womit die zweite Regeleinrichtung die Kontrolle über die Regelung der externen Komponenten übernimmt. In Schritt S5 wird sodann eine kontinuierliche Überwachung dahingehend durchgeführt, ob der Fehler in der ersten Regeleinrichtung behoben wurde, das heißt auf eine Fehlerbehebung in der ersten Regeleinrichtung. Ist dies der Fall, so wird alternativ, beispielsweise in Abhängigkeit der derzeit durchgeführten Regelung oder in Abhängigkeit einer vorgegebenen Bedingung, die erste Regeleinrichtung in einem Bereitschaftszustand versetzt, wie in Schritt S6a gezeigt, oder die erste Regeleinrichtung in einen Regelzustand versetzt, Schritt S6b1 und sodann die zweite Regeleinrichtung in einen Bereitschaftszustand versetzt, Schritt S6b2.
  • Bezugszeichenliste
    • 100
    Regelsystem
    101
    erste Regeleinrichtung
    102
    zweite Regeleinrichtung
    103
    Kommunikationsverbindung
    101a, 102a
    Initialzustand
    101b, 102b
    Normalzustand
    101c, 102c
    Fehlerzustand
    101d, 102d
    Auszustand
    104a,104b
    Umschalten der Regelung
    S1
    erster Überwachungsschritt
    S2
    zweiter Überwachungsschritt
    S3
    Versetzung in Fehlerzustand
    S4
    Versetzung in Regelzustand
    S5
    Überwachung auf Fehlerbehebung
    S6a
    Versetzung in Bereitschaftszustand
    S6b1
    Versetzung in Regelzustand
    S6b2
    Versetzung in Bereitschaftszustand

Claims (10)

  1. Redundantes Regelsystem (100), umfassend: eine erste Regeleinrichtung (101) zur Regelung mindestens eines Aktors; und eine zweite Regeleinrichtung (102) zur Regelung des mindestens einen Aktors, wobei - die erste Regeleinrichtung (101) und die zweite Regeleinrichtung (102) redundante Regeleinrichtungen sind; - die erste Regeleinrichtung (101) ausgebildet ist, die zweite Regeleinrichtung (102) auf Fehlfunktionen zu überwachen und die zweite Regeleinrichtung (102) ausgebildet ist, die erste Regeleinrichtung (101) auf Fehlfunktionen zu überwachen; wobei das redundante Regelsystem (100) ferner derart ausgebildet ist, dass - sich die zweite Regeleinrichtung (102) in einem Bereitschaftszustand befindet, wenn die erste Regeleinrichtung (101) in einem Regelzustand ist, in welchen sie eine Regelung des mindestens einen Aktors vornimmt; und - - wenn die erste Regeleinrichtung (101) in dem Regelzustand ist und die zweite Regeleinrichtung (102) eine Fehlfunktion der ersten Regeleinrichtung (101) erkennt, die erste Regeleinrichtung (101) in einen Fehlerzustand versetzt wird; die zweite Regeleinrichtung (102) in den Regelzustand versetzt wird; und die zweite Regeleinrichtung (102) die erste Regeleinrichtung (101) auf eine Fehlerbehebung überwacht; - wenn die zweite Regeleinrichtung (102) eine Fehlerbehebung in der ersten Regeleinrichtung (101) erkennt, die erste Regeleinrichtung (101) in den Bereitschaftszustand versetzt wird oder die erste Regeleinrichtung (101) in den Regelzustand und die zweite Regeleinrichtung (102) in den Bereitschaftszustand versetzt wird.
  2. Redundantes Regelsystem (100) nach Anspruch 1, wobei das redundante Regelsystem (100) als 1-out-of-2, 1002, Regelsystem ausgebildet ist.
  3. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, ferner umfassend: eine Kommunikationsverbindung (103) zur Kommunikation zwischen den Regeleinrichtungen (101, 102), wobei die gegenseitige Überwachung der Regeleinrichtungen (101, 102) über die Kommunikationsverbindung (103) erfolgt.
  4. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei die erste Regeleinrichtung (101) ausgebildet ist, eine Selbstdiagnose zur Fehlerbehebung durchzuführen, wenn die erste Regeleinrichtung (101) in dem Fehlerzustand ist.
  5. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei wenn die erste Regeleinrichtung (101) in dem Regelzustand ist und die zweite Regeleinrichtung (102) eine Fehlfunktion der ersten Regeleinrichtung (101) erkennt, die zweite Regeleinrichtung (102) ausgebildet ist, die ersten Regeleinrichtung (101) kontinuierlich auf eine Fehlerbehebung zu überwachen, bis eine Fehlerbehebung erkannt wird.
  6. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei die zweite Regeleinrichtung (102) ausgebildet ist, die erste Regeleinrichtung (101) zurückzusetzen, wenn sich die erste Regeleinrichtung (101) in einem Fehlerzustand befindet.
  7. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei die erste Regeleinrichtung (101) und die zweite Regeleinrichtung (102) jeweils einen Prozessor und einen Speicher umfassen.
  8. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, ferner umfassen: den Aktor, welcher sowohl mit der ersten Regeleinrichtung (101) als auch mit der zweiten Regeleinrichtung (102) verbunden ist.
  9. Fahrzeug, welches mindestens ein redundantes Regelsystem (100) nach einem der vorherigen Ansprüche umfasst.
  10. Verfahren zur Steuerung eines redundanten Regelsystems, die Schritte umfassend: - Überwachen (S1), durch eine erste Regeleinrichtung, einer zweiten Regeleinrichtung auf Fehlfunktionen, wobei die erste Regeleinrichtung und die zweite Regeleinrichtung redundante Regeleinrichtungen sind; - Überwachen (S2), durch die zweite Regeleinrichtung, der ersten Regeleinrichtung auf Fehlfunktionen; wenn die erste Regeleinrichtung in dem Regelzustand ist und die zweite Regeleinrichtung eine Fehlfunktion der ersten Regeleinrichtung erkennt, Versetzen (S3) der erste Regeleinrichtung in einen Fehlerzustand; Versetzen (S4) der zweite Regeleinrichtung in den Regelzustand; und Überwachen (S5), durch die zweite Regeleinrichtung, der erste Regeleinrichtung auf eine Fehlerbehebung; wenn die zweite Regeleinrichtung eine Fehlerbehebung in der ersten Regeleinrichtung erkennt, Versetzen (S6a) der ersten Regeleinrichtung in den Bereitschaftszustand; oder Versetzen (S6b1) der ersten Regeleinrichtung in den Regelzustand und Versetzen (S6b2) der zweiten Regeleinrichtung in den Bereitschaftszustand.
DE102020200141.3A 2020-01-08 2020-01-08 Fehlertolerantes Regelsystem Pending DE102020200141A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020200141.3A DE102020200141A1 (de) 2020-01-08 2020-01-08 Fehlertolerantes Regelsystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020200141.3A DE102020200141A1 (de) 2020-01-08 2020-01-08 Fehlertolerantes Regelsystem

Publications (1)

Publication Number Publication Date
DE102020200141A1 true DE102020200141A1 (de) 2021-07-08

Family

ID=76432195

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020200141.3A Pending DE102020200141A1 (de) 2020-01-08 2020-01-08 Fehlertolerantes Regelsystem

Country Status (1)

Country Link
DE (1) DE102020200141A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021213022A1 (de) 2021-11-19 2023-05-25 Zf Friedrichshafen Ag Steuervorrichtung für ein Fahrzeug und Verfahren zum Steuern eines Fahrzeugs

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011086530A1 (de) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011086530A1 (de) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021213022A1 (de) 2021-11-19 2023-05-25 Zf Friedrichshafen Ag Steuervorrichtung für ein Fahrzeug und Verfahren zum Steuern eines Fahrzeugs

Similar Documents

Publication Publication Date Title
EP3246771B1 (de) Verfahren zum betreiben eines redundanten automatisierungssystems
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
DE1538493B2 (de) Verfahren und Schaltungsanordnunge zur direkten digitalen Regelung
DE2319753B2 (de) Anordnung zur Datenverarbeitung mittels in Mikroprogrammierung betriebener Prozessoren
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
EP2550598A1 (de) Redundante zwei-prozessor-steuerung und steuerungsverfahren
EP2359204A1 (de) Adaptives zentrales wartungssystem und verfahren zum planen von wartungsvorgängen von systemen
DE102016102259A1 (de) Rechner- und Funktionsarchitektur zur Erhöhung der Ausfallsicherheit einer Hilfskraftlenkung
DE102005014804A1 (de) Bordnetzsystem für ein Kraftfahrzeug sowie Steuergerät und intelligentes Energieversorgungsgerät für ein Bordnetzsystem eines Kraftfahrzeugs
DE102013113296A1 (de) Redundante Rechenarchitektur
EP1110130B1 (de) Steuergerät
WO2011082904A1 (de) Verfahren zum betreiben einer recheneinheit
DE102020200141A1 (de) Fehlertolerantes Regelsystem
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
DE4113959A1 (de) Ueberwachungseinrichtung
DE102008034150A1 (de) Sicherheitsüberwachung mit Hilfe von Verbindungsleitungen zwischen Steuergeräten eines Kraftfahrzeugs
WO2017178211A1 (de) Verfahren zum betreiben eines steuergeräts für ein fahrzeug, steuergerät, betriebssystem, kraftfahrzeug
DE102010041437B4 (de) Überprüfung von Funktionen eines Steuersystems mit Komponenten
DE10312553B3 (de) Kraftfahrzeug
DE1931296A1 (de) Redundantes Steuer- oder Regelsystem
DE102020200144A1 (de) Emuliertes redundantes Regelsystem
EP2741451B1 (de) Verfahren zum Anbinden eines Hardwaremoduls an einen Feldbus
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
EP0299375B1 (de) Verfahren zum Zuschalten eines Rechners in einem Mehrrechnersystem
DE112017006135T5 (de) Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: ZF FRIEDRICHSHAFEN AG, DE

Free format text: FORMER OWNER: ZF FRIEDRICHSHAFEN AG, 88046 FRIEDRICHSHAFEN, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G05B0009020000

Ipc: G05B0009030000

R163 Identified publications notified
R012 Request for examination validly filed