DE102020200144A1 - Emuliertes redundantes Regelsystem - Google Patents

Emuliertes redundantes Regelsystem Download PDF

Info

Publication number
DE102020200144A1
DE102020200144A1 DE102020200144.8A DE102020200144A DE102020200144A1 DE 102020200144 A1 DE102020200144 A1 DE 102020200144A1 DE 102020200144 A DE102020200144 A DE 102020200144A DE 102020200144 A1 DE102020200144 A1 DE 102020200144A1
Authority
DE
Germany
Prior art keywords
control
emulated
control device
redundant
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020200144.8A
Other languages
English (en)
Inventor
Gowtham Perumalsamy
Istvan Hegedues-Bite
Hubert Bichelmeier
Timm Muntel
Ilker Bagci
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102020200144.8A priority Critical patent/DE102020200144A1/de
Publication of DE102020200144A1 publication Critical patent/DE102020200144A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

Es wird ein emuliertes redundantes Regelsystem und ein zugehöriges Verfahren offenbart. Hierbei umfasst ein redundantes Regelsystem eine erste Regeleinrichtung und eine zweite Regeleinrichtung. In der ersten Regeleinrichtung wird eine erste und eine zweite emulierte Regeleinrichtung zur redundanten Regelung von mindestens einem Aktor. In der zweiten Regeleinrichtung wird eine erste und eine zweite emulierte Regeleinrichtung zur redundanten Regelung des mindestens einen Aktors emuliert. Die erste und die zweite emulierte Regeleinrichtung der ersten Regeleinrichtung und die erste und die zweite emulierte Regeleinrichtung der zweiten Regeleinrichtung sind redundante Regeleinrichtungen. Mindestens eine der emulierten Regeleinrichtungen ist ferner eingerichtet, eine andere der emulierten Regeleinrichtungen auf Fehlfunktionen zu überwachen, wobei das redundante Regelsystem ferner derart ausgebildet ist, dass, wenn eine Fehlfunktion in einer emulierten Regeleinrichtung erkannt wird, welche sich in einem Regelzustand befindet, in welchen sie eine Regelung des mindestens einen Aktors vornimmt, diese Regeleinrichtung in einen Fehlerzustand versetzt wird, und eine andere der emulierten Regeleinrichtungen in den Regelzustand versetzt wird.

Description

  • Die vorliegende Erfindung bezieht sich auf ein redundantes Regelsystem, in welchem Regeleinrichtungen emuliert sind, im Folgenden als emuliertes redundantes Regelsystem bezeichnet, sowie ein zugehöriges Verfahren zur Steuerung eines derartigen Systems und ein Fahrzeug, in welchem ein derartiges Regelsystem eingesetzt wird.
  • Regelsysteme werden zur Regelung beziehungsweise Steuerung diverser Einrichtungen eingesetzt. In Abhängigkeit der Auswirkung eines Fehlers des Regelsystems, ist es notwendig, dieses derart auszugestalten, dass selbst in einem Fehlerfall, in welchem das Regelsystem durch einen Defekt desselbigen eine Regelung beziehungsweise Steuerung nicht mehr korrekt vornehmen kann, sichergestellt wird, dass die gesteuerte Vorrichtung weiterhin funktioniert oder zumindest in einen sicheren Zustand überführt wird. So ist es beispielsweise bei der Anwendung in Fahrzeugen, insbesondere in autonomen Fahrzeugen, wichtig, dass das Fahrzeug in einem Fehlerfall entweder weiterhin funktioniert oder beispielsweise durch das Heranfahren an den Rand in einen sicheren Zustand überführt wird. Hierfür werden sogenannte fehlertolerante Regelsysteme eingesetzt, die auch nach dem Auftreten ihre Funktion weiterhin erfüllen können.
  • Hierzu ist es im Stand der Technik bekannt, Regelsysteme einzusetzen, welches Regeleinrichtungen aufweisen, die redundant ausgeführt sind, das heißt dass die jeweilige Regeleinrichtung eine Regelung beziehungsweise Steuerung unabhängig von der anderen Regeleinrichtung durchführen kann und sie somit austauschbar sind. Im Falle eines Fehlers in einer Regeleinrichtung kann somit die andere Regeleinrichtung die Regelung beziehungsweise Steuerung übernehmen und die Funktion der gesteuerten Vorrichtung wird weiterhin zumindest zeitweise sichergestellt. Hierbei ist es sodann vorgesehen, in einem Fehlerfall die fehlerhafte Regeleinrichtung in einen Fehlerzustand zu versetzen, und die Regelung an die noch funktionsfähige Regeleinrichtung zu übergeben. Da jedoch sodann eine Sicherheit nur noch in begrenztem Maße sichergestellt werden kann, da lediglich eine Regeleinrichtung funktionsfähig verbleibt, kann die Funktion nur noch temporär sichergestellt werden und die gesteuerte Vorrichtung muss möglichst schnell in einen sicheren Zustand überführt werden, beispielsweise durch ein Anhalten eines durch die Regeleinrichtung gesteuerten autonomen Fahrzeugs.
  • Ferner ist in einem normalen Regelsystem des Stands der Technik, insbesondere in einem 1-out-of-2 Regelsystem die Leistung des Gesamtregelsystems und dessen Zuverlässigkeit stark reduziert, sobald eine der Regeleinrichtungen ausfällt.
  • Die Erfindung adressiert die oben genannten Probleme und stellt insbesondere ein Regelsystem bereit, in welchem in zwei getrennten Regeleinrichtungen wiederum mehrere Regeleinrichtungen emuliert werden und somit zusätzliche „virtuelle“ Regeleinrichtungen geschaffen werden, welche unabhängig voneinander agieren können. So kann die Zuverlässigkeit des Regelsystems erhöht werden.
  • Ein derartiges redundantes Regelsystem umfasst hierbei zunächst eine erste Regeleinrichtung und eine zweite Regeleinrichtung. Eine Regeleinrichtung ist dazu eingerichtet, mindestens einen Aktor zu steuern beziehungsweise zu regeln.
  • Für eine Regeleinrichtung können hierbei jeweils entsprechende Hardware- und Softwarekomponenten vorgesehen sein, die für jede Regeleinrichtung separat vorgesehen sein können, um eine vollständige Redundanz zu erreichen. Eine Regeleinrichtung kann beispielsweise ein Microcontroller oder ein anderer Prozessor und ein zusätzlicher Speicher mit entsprechenden Informationen und Befehlen zur Steuerung und Regelung sein. Auch kann jede Regeleinrichtung mit zusätzlichen Ein- und Ausgängen für weitere Sensoren, Aktoren und sonstige externe Einrichtungen versehen sein.
  • In der ersten Regeleinrichtung und in der zweiten Regeleinrichtung werden mehrere Regeleinrichtungen emuliert. Insbesondere wird in der ersten Regeleinrichtung eine erste und eine zweite emulierte Regeleinrichtung bereitgestellt, welche jeweils zur redundanten Regelung von mindestens einem Aktor bereitgestellt bzw. emuliert werden. Unter einer Emulation ist hierbei die softwaremäßige Nachbildung einer Regeleinrichtung mit ihren Funktionalitäten zu verstehen. Insbesondere greifen die beiden emulierten Regeleinrichtungen einer Regeleinrichtung auf gemeinsame Hardwarekomponenten zurück, wie beispielsweise einen gemeinsamen Prozessor oder eine gemeinsame Speichereinrichtung, wobei für jede emulierte Regeleinrichtung mittels Software virtuelle Komponenten geschaffen werden, welche jeweils die Funktion einer Regeleinrichtung nachbilden. Hierbei kann auch von einer virtuellen oder virtualisierten Regeleinrichtung gesprochen werden. Entsprechend wird auch auf der zweiten Regeleinrichtung eine erste und eine zweite emulierte Regeleinrichtung zur redundanten Regelung des mindestens einen Aktors emuliert werden.
  • Somit sind in dem redundanten Regelsystem vier Regeleinrichtungen in Form von emulierten Regeleinrichtungen vorzufinden, welche auf zwei getrennten Regeleinrichtungen, welche hardwaremäßig ausgebildet sein können, laufen bzw. auf diesen emuliert sind. Entsprechend sind die erste und die zweite emulierte Regeleinrichtung der ersten Regeleinrichtung und die erste und die zweite emulierte Regeleinrichtung der zweiten Regeleinrichtung redundante Regeleinrichtungen. Das heißt, die emulierten Regeleinrichtungen sind dazu in der Lage, den Aktor ohne Unterstützung der jeweiligen anderen emulierten Regeleinrichtung entsprechend zu steuern oder zu regeln und können somit die Funktion der jeweiligen anderen emulierten Regeleinrichtung übernehmen. Als redundante emulierte Regeleinrichtungen sind hierbei ferner Regeleinrichtungen zu verstehen, welche sich zwar in ihrer Programmierung unterscheiden, jedoch eingerichtet sind, die Regelung in einer identischen oder entsprechenden Weise durchführen.
  • Die emulierten Regeleinrichtungen können ferner dazu ausgebildet sein, sich gegenseitig zu überwachen, um Fehlfunktionen der anderen Einrichtungen zu erkennen. Entsprechend kann mindestens eine der emulierten Regeleinrichtungen eingerichtet sein, eine andere der emulierten Regeleinrichtung auf Fehlfunktionen zu überwachen. Hierbei kann beispielsweise vorgesehen sein, dass sich die beiden emulierten Regeleinrichtungen der ersten Regeleinrichtung und die beiden emulierten Regeleinrichtungen der zweiten Regeleinrichtung gegenseitig überwachen. Es kann auch eine Überwachung der emulierten Regeleinrichtungen der verschiedenen Regeleinrichtungen vorgesehen sein.
  • Eine derartige Überwachung auf Fehlfunktionen kann beispielsweise durch den Austausch von Kommunikationsnachrichten beziehungsweise Signalen vorgenommen werden. Entsprechend können die emulierten Regeleinrichtungen beispielsweise Informationen über ihren jeweiligen Zustand, über die durchgeführten Schritte und Funktionen etc. mit den anderen emulierten Regeleinrichtung austauschen. Eine oder mehrere der anderen emulierten Regeleinrichtungen kann sodann ausgebildet sein, basierend auf diesen jeweiligen Informationen, Fehler zu erkennen. Beispielsweise kann es sich hierbei im einfachsten Falle um das Ausbleiben einer Kommunikation der jeweiligen anderen emulierten Regeleinrichtung handeln, was auf einen Defekt der jeweiligen anderen emulierten Regeleinrichtung hindeutet. Auch kann ein Plausibilitätscheck beziehungsweise eine Plausibilitätsüberprüfung der empfangenen Nachrichten erfolgen, um eine Fehlfunktion der jeweils anderen emulierten Regeleinrichtung zu erkennen.
  • Wird eine Fehlfunktion einer emulierten Regeleinrichtung erkannt, während sich diese emulierte Regeleinrichtung in einem Regelzustand befindet, in welchem sie für die Regelung des mindestens eines Aktors zuständig ist, so ist das redundante Regelsystem ferner derart ausgebildet, dass die emulierte Regeleinrichtung, in welcher die Fehlfunktion eintritt, in einen Fehlerzustand versetzt wird. Ein derartiger Fehlerzustand kann ein Zustand sein, der kennzeichnet, dass in der emulierten Regeleinrichtung ein Fehler aufgetreten ist. Die derartige Kennzeichnung kann auch lediglich in einer nicht im Fehlerzustand befindlichen emulierten Regeleinrichtung erfolgen, oder in einer zentralen Steuereinheit oder in einem zentralen Speicher hinterlegt werden, welcher getrennt von den emulierten Regeleinrichtungen ausgebildet sein kann. Entsprechend kann jedoch auch beispielsweise ein Kennzeichen in der im Fehlerzustand befindlichen emulierten Regeleinrichtung gesetzt werden.
  • Sodann wird eine andere der emulierten Regeleinrichtungen in den Regelzustand versetzt und übernimmt somit die Regelung des mindestens einen Aktors.
  • Entsprechend kann, unter Verwendung des vorliegenden Regelsystems, die Ausfallsicherheit des Regelsystems weiter erhöht werden, wobei gleichzeitig die Leistung des Regelsystems im Fehlerfall nur geringfügig reduziert wird, da auch beim Ausfall einer der emulierten Regeleinrichtungen im Gegensatz zu bisherigen Regelsystemen nicht nur eine weitere Regeleinrichtung, sondern drei weitere emulierte Regeleinrichtungen zur Verfügung stehen.
  • Zur Ausbildung des redundanten Regelsystems zur Erkennung der Fehlfunktion kann mindestens eine der emulierten Regeleinrichtungen ausgebildet sein, die entsprechende Fehlfunktion zu erkennen und eine entsprechende Ansteuerung der defekten Regeleinrichtung vorzunehmen, um diese in einen Fehlerzustand zu versetzen. Jedoch kann sich die Regeleinrichtung, in welcher der Fehler auftritt, auch selbst in den entsprechenden Fehlerzustand versetzen.
  • Ein derartiges redundantes Regelsystem kann ferner derart ausgestaltet sein, dass, während eine emulierte Regeleinrichtung in einem Regelzustand ist, in welchem sie eine Regelung des mindestens einen Aktors vornimmt, sich die anderen emulierten Regeleinrichtungen in einem Bereitschaftszustand, wie beispielsweise einem Hot-Standby oder einem Ruhezustand, befinden.
  • Zudem kann das redundante Regelsystem derart ausgestaltet sein, dass durch eine der emulierten Regeleinrichtungen überwacht wird, ob sich der Fehler in der Regeleinrichtung, welche in den Fehlerzustand versetzt wurde, behoben ist bzw. dieser behoben wurde. Hierzu kann das redundante Regelsystem derart ausgebildet sein, dass mindestens eine der anderen der emulierten Regeleinrichtungen eingerichtet ist, die fehlerhafte Regeleinrichtung auf eine Fehlerbehebung zu überwachen. Das heißt, eine emulierte Regeleinrichtung prüft, ob der Fehler in der anderen emulierten Regeleinrichtung behoben wurde, beispielsweise dadurch, dass sich diese emulierte Regeleinrichtung aus einem Fehlerzustand in einen Normalzustand oder in einen Bereitschaftszustand versetzt wurde. Auch kann durch sonstige Kommunikationssignale der einen emulierten Regeleinrichtung über die Kommunikationsverbindung festgestellt werden, dass die andere emulierte Regeleinrichtung wieder betriebsbereit ist.
  • Wird eine Fehlerbehebung erkannt, so kann vorgesehen sein, diese emulierte Regeleinrichtung wieder in einen Normalzustand bzw. in einen Bereitschaftszustand zu versetzen, sodass diese erneut bei Bedarf die Regelung übernehmen könnte.
  • Das oben genannte Regelsystem kann hierbei als 1-out-of-2 Regelsystem ausgebildet werden.
  • Hierbei kann ferner vorgesehen sein, die Regelung in Abhängigkeit der Art des Fehlers oder der Schwere des Fehlers auf eine bestimmte der anderen emulierten Regeleinrichtungen zu übertragen. Tritt beispielsweise in der ersten emulierten Regeleinrichtung der ersten Regeleinrichtung ein Fehler auf, welcher lediglich Komponenten betrifft, die diese erste emulierte Regeleinrichtung verwendet, so kann die Regelung auf die zweite emulierte Regeleinrichtung der ersten Regeleinrichtung übertragen werden. Beeinflusst der auftretende Fehler jedoch auch die zweite emulierte Regeleinrichtung der ersten Regeleinrichtung, beispielsweise durch einen Defekt des gemeinsam verwendeten Prozessors oder eines gemeinsam verwendeten Speicherbereichs, so kann die Regelung auf eine emulierte Regeleinrichtung der anderen Regeleinrichtung übertragen werden, um eine zuverlässige Regelung zu gewährleisten. Zur Ausbildung einer derartigen Steuerung anhand der Art der Fehlfunktion kann beispielsweise die oben genannte Regeleinrichtung, welche die Fehlererkennung durchführt, ferner dazu eingerichtet sein, die Art des Fehlers zu detektieren und eine entsprechende Übergabe bzw. Übernahme der Regelung auf eine andere emulierte Regeleinrichtung in Abhängigkeit der Art des Fehlers zu veranlassen.
  • Somit kann das redundante Regelsystem derart ausgebildet sein, die emulierte Regeleinrichtung, welche in den Regelzustand versetzt wird, in Abhängigkeit der Art der Fehlfunktion der in den Fehlerzustand versetzten Regeleinrichtung auszuwählen.
  • Neben der Art des Fehlers kann, wie oben ausgeführt, auch die Auswirkung der erkannten Fehlfunktion auf andere emulierte Regeleinrichtungen berücksichtigt werden. Entsprechend kann das redundante Regelsystem derart ausgebildet sein, die emulierte Regeleinrichtung, welche in den Regelzustand versetzt wird, in Abhängigkeit der Auswirkung der erkannten Fehlfunktion, der in den Fehlerzustand versetzten Regeleinrichtung, auf die anderen emulierten Regeleinrichtungen auszuwählen. Wie ausgeführt kann hierbei beispielsweise eine der anderen emulierten Regeleinrichtungen eingerichtet sein, eine derartige Auswahl auszuführen.
  • Die erste Regeleinrichtung und die zweite Regeleinrichtung können hierbei jeweils einen Prozessor und einen Speicher umfassen. Entsprechend können die erste Regeleinrichtung und die zweite Regeleinrichtung getrennte Hardwarekomponenten aufweisen, wohingegen die jeweils zugehörigen emulierten Regeleinrichtungen auf die jeweiligen Hardwarekomponenten dieser beiden Regeleinrichtungen zurückgreifen.
  • Zwischen den Regeleinrichtungen kann ferner eine Kommunikationsverbindung, wie beispielsweise eine Inter-Prozessor-Kommunikationsverbindung, vorgesehen sein, welche einen Austausch von Informationen zwischen den Regeleinrichtungen ermöglicht. Hierüber können Signale und Informationen zur Fehlerdetektion ausgetauscht werden.
  • Zwischen den emulierten Regeleinrichtungen der jeweiligen Regeleinrichtungen können ferner Kommunikationsverbindungen vorgesehen sein, welche wiederum eine Kommunikation zwischen diesen emulierten Regeleinrichtungen erlauben, um eine Fehlererkennung zwischen den emulierten Einrichtungen zu ermöglichen. In einer Ausführungsform können auch Kommunikationsverbindungen zwischen jeder der emulierten Regeleinrichtungen beider Regeleinrichtungen aufgebaut werden, welche für deren Kommunikation wiederum die Kommunikationsverbindung zwischen den Regeleinrichtungen nutzen.
  • Ferner kann vorgesehen sein, dass die emulierten Regeleinrichtungen ausgebildet sind, um eine Selbstdiagnose zur Fehlererkennung und/oder Fehlerbehebung durchzuführen. Das heißt, befindet sich die emulierte Regeleinrichtung in einem Fehlerzustand, so läuft ein Prozess ab, der den Fehler erkennt und gegebenenfalls, falls möglich, behebt. Dies kann im einfachsten Fall beispielsweise einen Neustart der emulierte Regeleinrichtung und eine anschließende Diagnose, ob der jeweilige Fehler noch auftritt, bedeuten.
  • Ferner kann das redundante Regelsystem auch einen Aktor umfassen, welcher mit der jeweiligen emulierten Regeleinrichtung verbunden ist.
  • Es kann ferner vorgesehen sein, jeder der emulierten Regeleinrichtungen eine getrennte Verbindung des mindestens eines Aktors zur der jeweiligen emulierten Regeleinrichtung zuzuordnen. Hierzu können beispielsweise bestimmte Ports oder Anschlüsse der Regeleinrichtung einer jeweiligen der emulierten Regeleinrichtung zugeordnet werden. Eine Verbindung zwischen dem Aktor und der jeweiligen emulierten Regeleinrichtung kann über diesen zuordneten Port oder Anschluss hergestellt werden.
  • Dies erlaubt es auch bei einem Defekt an einem Eingang die jeweilige andere emulierte Regeleinrichtung weiter zu verwenden, wenn der andere zugeordnete Eingang der anderen emulierten Regeleinrichtung nicht betroffen ist.
  • Ferner kann auch vorgesehen sein, weitere Hardwarekomponenten, wie eine Speichereinrichtung, derart zu unterteilen, dass bestimmte Bereiche der Speichereinrichtung einer emulierten Regeleinrichtung zugeordnet werden, sodass bei einem Defekt eines Speicherabschnitts, welcher lediglich einer emulierten Regeleinrichtung zugeordnet ist, die andere emulierte Regeleinrichtung diese Regeleinrichtung weiterhin verwendet werden kann.
  • Wie oben bereits dargestellt, kann ein derartiges Regelsystem zum Beispiel in ein Fahrzeug, insbesondere in einem autonom fahrenden Fahrzeug, als Steuergerät eingesetzt werden. Entsprechend umfasst ein Fahrzeug hierbei ein redundantes Regelsystem nach einem der vorangegangen Ausführungen.
  • Ein entsprechendes Verfahren zur Steuerung eines redundanten Regelsystems weist hierbei die folgenden Schritte auf, wobei diese nicht auf die nachfolgende Reihenfolge beschränkt zu verstehen sind. Insbesondere können die beiden Emulationsschritte und die beiden Versetzungsschritte ausgetauscht werden. Das Verfahren umfasst zunächst einen Schritt des Emulierens in einer ersten Regeleinrichtung, einer ersten und einer zweiten emulierten Regeleinrichtung zur redundanten Regelung von mindestens einem Aktor. Sodann umfasst das Verfahren einen Schritt des Emulierens in der zweiten Regeleinrichtung, einer ersten und einer zweiten emulierten Regeleinrichtung zur redundanten Regelung des mindestens einen Aktors, wobei die erste und die zweite emulierte Regeleinrichtung der ersten Regeleinrichtung und die erste und die zweite emulierte Regeleinrichtung der zweiten Regeleinrichtung redundante Regeleinrichtungen sind. Das Verfahren umfasst sodann den Schritt des Überwachens, durch mindestens eine der emulierten Regeleinrichtungen, einer anderen der emulierten Regeleinrichtungen auf Fehlfunktionen. Wird eine derartige Fehlfunktion in einer emulierten Regeleinrichtung erkannt, welche sich in einem Regelzustand befindet, in welchem sie eine Regelung des mindestens einen Aktors vornimmt, umfasst das Verfahren sodann den Schritt des Versetzens dieser Regeleinrichtung in einen Fehlerzustand und das Versetzen einer anderen der emulierten Regeleinrichtungen in den Regelzustand.
    • 1 zeigt ein Regelsystem mit vier emulierten Regeleinrichtungen.
    • 2 zeigt ein Ablaufdiagramm des Verfahrens.
  • Im Folgenden werden unter Bezugnahme auf die Zeichnungen Ausführungsformen der vorliegenden Erfindung beschrieben. Zunächst wird der Aufbau des Regelsystems dargestellt.
  • In 1 ist ein Regelsystem 100 gezeigt, welches zwei getrennte Regeleinrichtungen in Form der ersten Regeleinrichtung 110 und der zweiten Regeleinrichtung 120 aufweist. Diese sind als getrennte Hardwarekomponenten ausgebildet. In der ersten Regeleinrichtung 110 werden zwei virtuelle Regeleinrichtungen in Form der emulierten Regeleinrichtung 111 und der emulierten Regeleinrichtung 112 vorgesehen. Entsprechend werden auch in der zweiten Regeleinrichtung 120 emulierte Regeleinrichtungen 121 und 122 vorgesehen. Diese greifen auf die Hardwarekomponenten der Regeleinrichtung 110 bzw. der Regeleinrichtung 120 zurück. So sind beispielsweise mit den Bezugszeichen 111a und 112a jeweilige Speicherbereiche des Speichers der ersten Regeleinrichtung 110 gekennzeichnet, wobei der ersten emulierten Regeleinrichtung 111 der Regeleinrichtung 110 der Speicherbereich 111a und der zweiten emulierten Regeleinrichtung 112 der ersten Regeleinrichtung 110 der Speicherbereich 112a zuordnet ist, welcher ein anderer Speicherbereich ist, als der Speicherbereich 111a. Entsprechend sind auch für die erste und zweite emulierte Regeleinrichtung 121 und 122 der zweiten Regeleinrichtung 120 getrennte Speicherbereiche 121a und 122a vorgesehen. Ferner sind in dieser Ausführungsform auch getrennte Eingänge bzw. Port für jede emulierte Regeleinrichtung vorgesehen. So ist für die emulierte Regeleinrichtung 111 der Eingang 111b, für die emulierte Regeleinrichtung 112 der Eingang 112b und entsprechend die Eingänge 121b und 122b für die emulierte Regeleinrichtungen 121 und 122 vorgesehen.
  • Somit erlaubt es dieser Aufbau, auch bei einem Defekt, wie beispielsweise einem Defekt des Eingangs 111b oder einem Speicherbereich 111a, die erste Regeleinrichtung 110 dergestalt weiterzuverwenden, dass die Kontrolle auf die zweite emulierte Regeleinrichtung 112 der ersten Regeleinrichtung 110 übertragen wird.
  • Zur gegenseitigen Fehlerkorrektur und Fehlererkennung sind Kommunikationsverbindungen in Form der Kommunikationsverbindung 130, hier als Inter-Prozessor-Kommunikationsverbindung dargestellt, und der Kommunikationsverbindungen 113 und 123 zwischen den emulierten Regeleinrichtungen, hier als virtuelle Inter-Prozessor-Kommunikationsverbindungen oder auch als Inter-Prozess-Kommunikationsverbindungen dargestellt, vorgesehen. Diese dienen, wie oben beschrieben, dem Austausch von Informationen, um einen Fehler in den jeweils anderen emulierten Regeleinrichtung zu erkennen und die anderen emulierten Regeleinrichtungen entsprechend anzusteuern, um den Fehler zu beheben oder auch die Kontrolle zu übernehmen, indem eine der anderen emulierten Regeleinrichtungen in den Regelzustand versetzt wird.
  • Wird in dieser Ausführungsform ein Fehler verursacht, welcher lediglich eine der emulierten Regeleinrichtungen einer Regeleinrichtung betrifft, so wird mittels der Kommunikationsverbindung 113 der Fehler von der jeweiligen anderen emulierten Regeleinrichtung erkannt und die andere emulierte Regeleinrichtung in den Regelzustand versetzt, wobei die fehlerbehaftete Regeleinrichtung in einen Fehlerzustand versetzt wird.
  • Tritt ein Fehler auf, welcher sich auf die gesamte Regeleinrichtung auswirkt, wie ein Prozessorausfall oder ein Ausfall eines großen Speicherbereichs, so kann mittels der Kommunikationsverbindung 130 die Regelung durch die jeweilige andere Regeleinrichtung, d. h. eine der emulierten Regeleinrichtungen dieser anderen Regeleinrichtung, übernommen werden. Entsprechend kann eine mehrstufige Fehlerkorrektur vorgenommen werden, bei minimalem Einfluss auf die vorhandenen Regeleinrichtungen.
  • In 2 ist ein Verfahren zur Steuerung einer derartigen redundanten Regeleinrichtung dargestellt.
  • Hierbei umfasst das Verfahren zunächst in den austauschbaren Schritten S1 und S2 das Emulieren. In Schritt S1 erfolgt das Emulieren, in einer ersten Regeleinrichtung, einer ersten und einer zweiten emulierten Regeleinrichtung zu der redundanten Regelung von mindestens einem Aktor. In Schritt S2 erfolgt sodann das Emulieren in der zweiten Regeleinrichtung einer ersten und einer zweiten emulierten Regeleinrichtung zur redundanten Regelung des mindestens einen Aktors, wobei die erste und die zweite emulierte Regeleinrichtung der ersten Regeleinrichtung und die erste und die zweite emulierte Regeleinrichtung der zweiten Regeleinrichtung redundante Regeleinrichtungen sind.
  • In Schritt S3 erfolgt sodann das Überwachen, durch mindestens eine der emulierten Regeleinrichtungen, einer anderen der emulierten Regeleinrichtungen auf eine Fehlfunktion. Wird eine derartige Fehlfunktion in der derzeit im Regelzustand befindlichen Regeleinrichtung erkannt, wird diese mit der fehlerbehafteten Regeleinrichtung in einen Fehlerzustand versetzt, Schritt S4. Eine andere der emulierten Regeleinrichtungen übernimmt die Regelung, indem diese in den Regelzustand versetzt wird, Schritt S5.
  • Bezugszeichenliste
    • 100
    Regelsystem
    110
    Erste Regeleinrichtung
    120
    Zweite Regeleinrichtung
    111, 112, 121, 122
    Emulierte Regeleinrichtungen
    111a, 112a, 121a, 122a
    Zugeordnete Speicherbereiche
    111b, 112b, 121b, 122b
    Zugeordnete Eingänge
    113, 123, 130
    Kommunikationsverbindungen
    S1
    Erster Emulierungsschritt
    S2
    Zweiter Emulierungsschritt
    S3
    Überwachungsschritt
    S4
    Versetzung in Fehlerzustand
    S5
    Versetzung in Regelzustand

Claims (13)

  1. Redundantes Regelsystem (100), umfassend: eine erste Regeleinrichtung (110); und eine zweite Regeleinrichtung (120), wobei - in der ersten Regeleinrichtung (110) eine erste (111) und eine zweite (112) emulierte Regeleinrichtung zur redundanten Regelung von mindestens einem Aktor emuliert sind; - in der zweiten Regeleinrichtung (120) eine erste (121) und eine zweite (122) emulierte Regeleinrichtung zur redundanten Regelung des mindestens einen Aktors emuliert sind; - die erste (111) und die zweite (112) emulierte Regeleinrichtung der ersten Regeleinrichtung (110) und die erste (121) und die zweite (122) emulierte Regeleinrichtung der zweiten Regeleinrichtung (120) redundante Regeleinrichtungen sind; - mindestens eine der emulierten Regeleinrichtungen (111, 112, 121, 122) eingerichtet ist, eine andere der emulierten Regeleinrichtungen (111, 112, 121, 122) auf Fehlfunktionen zu überwachen, wobei das redundante Regelsystem ferner derart ausgebildet ist, dass - wenn eine Fehlfunktion in einer emulierten Regeleinrichtung (111, 112, 121, 122) erkannt wird, welche sich in einem Regelzustand befindet, in welchen sie eine Regelung des mindestens einen Aktors vornimmt, - diese emulierte Regeleinrichtung (111, 112, 121, 122) in einen Fehlerzustand versetzt wird; und - eine andere der emulierten Regeleinrichtungen (111, 112, 121, 122) in den Regelzustand versetzt wird.
  2. Redundantes Regelsystem (100) nach Anspruch 1, wobei das redundante Regelsystem derart ausgebildet ist, dass, wenn eine der emulierten Regeleinrichtungen (111, 112, 121, 122) in einem Regelzustand ist, in welchen sie eine Regelung des mindestens einen Aktors vornimmt, sich die anderen emulierten Regeleinrichtung (111, 112, 121, 122) in einem Bereitschaftszustand befinden.
  3. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei das redundante Regelsystem derart ausgebildet ist, dass, wenn die Fehlfunktion der emulierten Regeleinrichtung (111, 112, 121, 122), welche sich in dem Regelzustand befindet, erkannt wird, mindestens eine andere der emulierten Regeleinrichtungen (111, 112, 121, 122) eingerichtet ist, diese fehlerhafte Regeleinrichtung auf eine Fehlerbehebung zu überwachen.
  4. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei das redundante Regelsystem als 1-out-of-2, 1oo2, Regelsystem ausgebildet ist.
  5. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei das redundante Regelsystem derart ausgebildet ist, die emulierte Regeleinrichtung (111, 112, 121, 122), welche in den Regelzustand versetzt wird, in Abhängigkeit der Art der Fehlfunktion der in den Fehlerzustand versetzen Regeleinrichtung auszuwählen.
  6. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei das redundante Regelsystem derart ausgebildet ist, die emulierte Regeleinrichtung (111, 112, 121, 122), welche in den Regelzustand versetzt wird, in Abhängigkeit der Auswirkung der erkannten Fehlfunktion, der in den Fehlerzustand versetzen Regeleinrichtung, auf die anderen emulierten Regeleinrichtungen (111, 112, 121, 122) auszuwählen.
  7. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei die erste Regeleinrichtung (110) und die zweite Regeleinrichtung (120) jeweils einen Prozessor und einen Speicher umfassen.
  8. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, ferner umfassend: - eine Kommunikationsverbindung (130) zur Kommunikation zwischen den Regeleinrichtungen, und - eine Kommunikationsverbindung (113, 123) zur Kommunikation zwischen den emulierten Regeleinrichtungen der jeweiligen Regeleinrichtungen, wobei die gegenseitige Überwachung der emulierten Regeleinrichtungen (111, 112, 121, 122) über die Kommunikationsverbindungen erfolgt.
  9. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, wobei die emulierten Regeleinrichtung (111, 112, 121, 122) jeweils eingerichtet sind eine Selbstdiagnose zur Fehlererkennung und/oder Fehlerbehebung durchzuführen.
  10. Redundantes Regelsystem (100) nach einem der vorherigen Ansprüche, ferner umfassen: den mindestens einen Aktor, welche mit jeder der emulierten Regeleinrichtungen (111, 112, 121, 122) verbunden ist.
  11. Redundantes Regelsystem (100) nach Anspruch 10, wobei die Verbindung (111b, 112b, 121b, 122b) des mindestens einen Aktors als getrennte Verbindungen zu den jeweiligen emulierten Regeleinrichtungen (111, 112, 121, 122) ausgebildet ist.
  12. Fahrzeug, welches mindestens ein redundantes Regelsystem (100) nach einem der vorherigen Ansprüche umfasst.
  13. Verfahren zur Steuerung eines redundanten Regelsystems, die Schritte umfassend: - Emulieren (S1), in einer ersten Regeleinrichtung, einer ersten und einer zweiten emulierten Regeleinrichtung zur redundanten Regelung von mindestens einem Aktor; - Emulieren (S2), in der zweiten Regeleinrichtung, einer ersten und einer zweiten emulierten Regeleinrichtung zur redundanten Regelung des mindestens einen Aktors, wobei die erste und die zweite emulierte Regeleinrichtung der ersten Regeleinrichtung und die erste und zweite emulierte Regeleinrichtung der zweiten Regeleinrichtung redundante Regeleinrichtungen sind; - Überwachen (S3), durch mindestens eine der emulierten Regeleinrichtungen, eine anderer der emulierten Regeleinrichtungen auf Fehlfunktionen; wenn eine Fehlfunktion in einer emulierten Regeleinrichtung erkannt wird, welche sich in einem Regelzustand befindet, in welchen sie eine Regelung des mindestens einen Aktors vornimmt, - Versetzen (S4) dieser Regeleinrichtung in einen Fehlerzustand; und - Versetzen (S5) einer anderen der emulierten Regeleinrichtungen in den Regelzustand.
DE102020200144.8A 2020-01-08 2020-01-08 Emuliertes redundantes Regelsystem Pending DE102020200144A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020200144.8A DE102020200144A1 (de) 2020-01-08 2020-01-08 Emuliertes redundantes Regelsystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020200144.8A DE102020200144A1 (de) 2020-01-08 2020-01-08 Emuliertes redundantes Regelsystem

Publications (1)

Publication Number Publication Date
DE102020200144A1 true DE102020200144A1 (de) 2021-07-08

Family

ID=76432199

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020200144.8A Pending DE102020200144A1 (de) 2020-01-08 2020-01-08 Emuliertes redundantes Regelsystem

Country Status (1)

Country Link
DE (1) DE102020200144A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011086530A1 (de) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur
WO2019042536A1 (en) * 2017-08-30 2019-03-07 Thyssenkrupp Presta Ag MULTICANAL ECU ARCHITECTURE FOR EPS

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011086530A1 (de) * 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur
WO2019042536A1 (en) * 2017-08-30 2019-03-07 Thyssenkrupp Presta Ag MULTICANAL ECU ARCHITECTURE FOR EPS

Similar Documents

Publication Publication Date Title
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
EP3246771B1 (de) Verfahren zum betreiben eines redundanten automatisierungssystems
DE3208573C2 (de) 2 aus 3-Auswahleinrichtung für ein 3-Rechnersystem
WO2011117155A1 (de) Redundante zwei-prozessor-steuerung und steuerungsverfahren
DE1524239B2 (de) Schaltungsanordnung zur aufrechterhaltung eines fehler freien betriebes bei einer rechenanlage mit mindestens zwei parallel arbeitenden rechengeraeten
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
WO2017137222A1 (de) Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung
DE3816254A1 (de) Steuereinheit zur lenkung der hinterraeder eines strassenfahrzeuges
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP2676200A2 (de) Halbleiterschaltkreis und verfahren in einem sicherheitskonzept zum einsatz in einem kraftfahrzeug
WO2011082904A1 (de) Verfahren zum betreiben einer recheneinheit
WO2018134023A1 (de) Redundante prozessorarchitektur
DE102020200144A1 (de) Emuliertes redundantes Regelsystem
DE102010041437B4 (de) Überprüfung von Funktionen eines Steuersystems mit Komponenten
DE102020200141A1 (de) Fehlertolerantes Regelsystem
DE10302456A1 (de) Vorrichtung für sicherheitskritische Anwendungen und sichere Elektronik-Architektur
WO2017178211A1 (de) Verfahren zum betreiben eines steuergeräts für ein fahrzeug, steuergerät, betriebssystem, kraftfahrzeug
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
EP3733482B1 (de) Lenkanordnung, fahrzeug und verfahren
EP3565752B1 (de) Umschaltung zwischen element-controllern im bahnbetrieb
EP2741451B1 (de) Verfahren zum Anbinden eines Hardwaremoduls an einen Feldbus
EP2090952A2 (de) Hydraulikkomponenten-Steuergerät und Verfahren zum Ansteuern von hydraulischen Komponenten
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed