JP2018067312A - 自動化された車両用のデータを処理するための方法 - Google Patents

自動化された車両用のデータを処理するための方法 Download PDF

Info

Publication number
JP2018067312A
JP2018067312A JP2017201042A JP2017201042A JP2018067312A JP 2018067312 A JP2018067312 A JP 2018067312A JP 2017201042 A JP2017201042 A JP 2017201042A JP 2017201042 A JP2017201042 A JP 2017201042A JP 2018067312 A JP2018067312 A JP 2018067312A
Authority
JP
Japan
Prior art keywords
monitoring
devices
monitoring device
computer
computer devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017201042A
Other languages
English (en)
Inventor
バウムゲアトナー ライナー
Baumgaertner Rainer
バウムゲアトナー ライナー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JP2018067312A publication Critical patent/JP2018067312A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0088Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots characterized by the autonomous decision making process, e.g. artificial intelligence, predefined behaviours
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3024Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a central processing unit [CPU]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Business, Economics & Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Hardware Redundancy (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】自動化された車両用のデータを処理するための方法に関する。
【解決手段】当該方法は、少なくとも2つの計算機装置(30a〜30n)を動作させるステップであって、当該少なくとも2つの計算機装置(30a〜30n)は、少なくとも2つの自己監視型監視デバイス(20a〜20n)を備えた監視装置(10)によって、監視される、ステップと、少なくとも2つの監視デバイス(20a〜20n)を用いて、計算機装置(30a〜30n)の所定の監視が実施されるステップと、監視デバイス(20a〜20n)のマスタ機能が、1つの所定の監視デバイス(20a〜20n)によって引き継がれるステップと、マスタ機能を実施する監視デバイス(20a〜20n)のエラー時に、当該マスタ機能が、1つの下位の監視デバイス(20a〜20n)によって引き継がれるステップと、を含む。
【選択図】図3

Description

本発明は、自動化された車両用のデータを処理するための方法に関する。さらに、本発明は、自動化された車両用のデータを処理するための装置に関する。
背景技術
高度に自動化された走行用の運転者支援システムは、現在のところ開発段階にある。機能安全性構想に関する予防策は、ここでは多くの場合、非常に初歩的なものしか存在せず、大部分は、まだ人間による介入を介して安全が確保されている。しかしながら、市場投入のためには、機能安全性構想は、完全に又は部分的に「フェイルオペレーショナル」であることが要求される。このことは、重大なエラーが識別されること、及び、必要最小限の機能はエラー時でも安全に継続的に実行されることを意味する。
今日の自動車分野におけるシステムは、圧倒的に「フェイルセーフ」に構成されている。このことは、重大なエラーが識別されること、及び、機能が安全な状態に移行されることを意味する。
高度に自動化された走行用のシステムは、技術的に複雑である。それらは、高い計算能力と大容量のメモリとを必要とする。この種の大規模なシステムのフェイルセーフ又はフェイルオペレーショナルとしての完全な置き換えは、今日では、多大な困難を伴わずに実現することは不可能である。加えて、高い計算能力を同時に兼ね備え、所要の安全要求を満たす、高度に統合化された構成要素は存在せず、公知の民生用の電子制御式構成要素は、通常、機能安全性に関する高められた要求を満たしていない。
独国特許出願公開第102014213245号明細書(DE102014213245A1)からは、車両の走行機能用のデータを処理するための方法が公知である。ここでは、複数の過程を、周期レベルではなく、データレベルにおいて、同期させる構想が提案されている。
独国特許出願公開第102014213245号明細書
発明の開示
本発明の課題は、自動化された車両を動作させるための改善された方法を提供することである。
この課題は、第1の態様によれば、自動化された車両用のデータを処理するための方法において、
少なくとも2つの計算機装置を動作させるステップであって、当該少なくとも2つの計算機装置は、少なくとも2つの自己監視型監視デバイスを備えた監視装置によって、監視されるステップと、
少なくとも2つの監視デバイスを用いて、計算機装置の所定の監視が実施されるステップと、
監視デバイスのマスタ機能が、1つの所定の監視デバイスによって引き継がれるステップと、
マスタ機能を実施する監視デバイスのエラー時に、当該マスタ機能が、1つの下位の監視デバイスによって引き継がれるステップと、
を含む方法によって解決される。
少なくとも2つの監視デバイスを使用することによって、好ましくは、計算ユニットの可用性が高められ、それによって、システム全体の可用性も高められる。これらの監視デバイスはフェイルセーフなものであり、それゆえ、それらがエラーを含んでいる場合を識別する。そのような場合には、マスタ機能を、それぞれの下位の監視デバイスにシームレスに移行可能である。
第2の態様によれば、前記課題は、自動化された車両用のデータを処理する装置であって、
所定の数の計算機装置と、
計算機装置の監視が可能である少なくとも2つの監視デバイスと、
を備え、
監視デバイスのうちの1つによってマスタ機能が引き継がれて、マスタ監視デバイスがエラーを含んでいる場合に、当該マスタ機能が、1つの下位の監視デバイスによって引き継がれる装置によって解決される。
この方法の好ましい改善構成は、従属請求項の対象である。
この方法の1つの好ましい改善構成によれば、計算機装置の監視は、2つの監視デバイスによって並行して実施されることが想定される。このようにして、マスタ機能の切り替えの際に、システムの高い可用性が提供可能になる。
この方法のさらに好ましい改善構成によれば、下位の監視デバイスは、当該下位の監視デバイスがエラーフリーかどうかを、マスタ機能を実施する監視デバイスに通知することが想定される。このようにして、システム全体の高い冗長性が支援される。
この方法のさらに好ましい改善構成によれば、監視デバイスは、上記計算機装置を同期化させることが想定される。このようにして、計算機装置の計算能力が有利に最適化され、この場合、例えば計算機装置におけるタイミングが、安全な監視デバイスによって直接決定されることから監視品質が高められている。
この方法のさらに好ましい改善構成は、監視デバイスが、複数の計算機装置の結果が同様であるかどうかを比較する点で優れている。このようにして、複数の計算機装置の高いシステム能力が支援され、この場合、例えば、比較結果が、より安全な方法で監視デバイス内において計算されることによって、監視品質が高められている。
この方法のさらに好ましい改善構成は、計算機装置のうちの1つの結果が、他の計算機装置の結果から偏差している場合に、当該偏差している結果を供給する計算機装置が非活動化される点で優れている。このようにして、本発明に係る方法の機能安全性が有利に高められる。
この方法のさらに好ましい改善構成によれば、その都度、1つの監視デバイスのみが、全ての計算機装置をトリガすることが想定される。このようにして、システム全体の基本機能が簡素化される。
この方法のさらに好ましい改善構成によれば、監視デバイスの各々は、マルチプレクサを有しており、このマルチプレクサを用いて、監視装置の1つのデータチャネルが構成されることが想定される。このようにして、好ましくは、監視装置のデータ流が出力され、最適化される。これにより、下位のデバイスは、より少ないコストしかデータ処理のために要しなくなる。
以下では本発明を、複数の図面に基づいて、さらなる特徴及び利点と共に詳細に説明する。同一又は機能的に同等の要素は、同一の参照番号を有する。より良好な明瞭化の理由から、必ずしも全ての図面において、全ての参照番号が付されているわけではないことも想定され得る。
開示された方法の特徴は、開示された対応する装置の特徴から同様に明らかとなり、さらに、その逆も明らかである。このことは、特に、自動化された車両用のデータを処理するための方法に関する特徴、技術的利点及び実施形態は、自動化された車両用のデータを処理する装置の対応する実施形態、特徴及び利点から同様に明らかとなり、さらに、その逆も明らかであることを意味する。
自動化された車両用のデータを処理するための従来の方法の基本的な機能態様を示した図。 自動化された車両用のデータを処理するための提案された方法の一実施形態の基本的な機能態様を示した図。 図2のさらに詳細度の高い部分図。 監視デバイスのマスタ機能の連鎖的引き継ぎの基本図。 提案された方法の一実施形態を説明するための基本的なフローチャート。
実施形態の説明
本発明の核となる考察は、より高い可用性を備えた自動化された車両用のデータを処理するための方法を提供することである。
この目的のための公知のアプローチは、以下の関係、すなわち、
M≦N
ただし、
M=少なくとも結果において一致する必要がある、計算機装置の数、
N=計算機装置の数、
が成り立つM/Nシステムである。
この場合、N個の計算機装置は、並列に実装される。比較器/判定器の形態の監視デバイスは、N個の全ての計算機装置の結果を比較する。M個の結果が同一である場合には、比較器/判定器は、システム状態をエラーフリーに設定する。さらに付加的に、一致した結果を有するM個の計算機装置の結果は、M/Nシステムの結果として出力される。M個よりも少ない結果が同一である場合には、システムの状態は、エラーを含んでいるものとして設定される。エラー時には、その後、例えば所定の結果が出力可能であり、エラー処理が開始可能である。
図1は、上記の基本原理によって実現される、監視装置10を備えている従来のシステム100を示す。この監視装置10は、単一の監視デバイス20a、好ましくはマイクロコントローラを有している。このシステム100は、3つの計算機装置30a〜30cを備え、これらの計算機装置は、それぞれ機能的にRAM31a〜31cと相互接続されている。
冗長的な計算機連結の個別コンポーネントの可用性は、主にその構成要素によって定められる。
独国特許出願公開第102014213245号明細書(DE102014213245A1)に記載の方法においては、複数の計算ユニットを使用することによって、計算ユニットに関する可用性を高めることが可能である。例えば、M=2及びN=2の代わりに、1つの計算ユニットをより多く使用すること、即ち、M=2及びN=3が可能である。これにより、可用性はプラスの影響を受け、これは、以下のように数学的に表現することが可能である。
可用性(2/3)=R=Rε×(Rαβ^3+3Rαβ^2(1−Rαβ)) (1)
ただし、
Rαβ=計算ユニットの可用性
Rε=比較器/判定器/同期器の可用性
即ち、前記式(1)からは、比較器/判定器/同期器の可用性がシステム全体の可用性のために重要な役割を果たしていることが認識可能である。
この限界を解消するために、提案がなされ、その場合、独国特許出願公開第102014213245号明細書から公知のシステムの核となるアプローチ及び利点は、維持され続ける。
好ましくは、本発明に係る方法によって、冗長的連結の可用性を高めることが達成可能になる。この目的のために、比較装置10の内部においては、監視デバイス20の数が少なくとも2倍にされ、独国特許出願公開第102014213245号明細書から公知の方法に組み込まれる。
好ましくは、このようにして比較的少ないコストにより、冗長的連結の可用性の限界が低減可能になる。好ましくは、この目的のために、監視装置10の複数の計算機装置を、低コストの自己監視型(すなわち、フェイルセーフな)マイクロコントローラによって実現することが想定される。
図2は、このように実現されるM=2及びN=3のシステム100に基づく構造を例示的に示す。
この監視装置10は、例示的に、自動車分野における用途のための2つのマイクロコントローラの形態の二重に存在する監視デバイス20a,20bによって実現されている。しかしながら、原理的には、3つ以上の計算機装置20a〜20nによる監視装置10の実現も可能であり、それらの計算機装置20a〜20nは全て、その都度、所定の機能的安全要求を満足する。
以下においては、例示的に、N=2の数の監視デバイス20a〜20n、及び、M=3の数の計算機装置30a〜30nを有するシステム100を説明する。
図3は、図2のシステム100の一部をさらに高い詳細度で示す。ここでは、より良好な視認性の理由から、単一の計算機装置30aだけが例示的に示されている。しかしながら、言うまでもなく、提案されたシステム100に対しては、監視デバイス20a〜20nにおいて、N≧2の任意の数が考えられ、さらに計算機装置30a〜30nにおいて、M≧2の任意の数が考えられ得ることを理解されたい。
図3においては、第1の監視デバイス20aと第1の計算機装置30aとの間に形成された第1のトリガ線路T1が認識され、このトリガ線路T1を介して、第1の監視デバイス20aは第1の計算機装置30aをトリガする。さらに、第2のトリガ線路T2が、第2の監視デバイス20bと第1の計算機装置30aとの間に設けられていることが認識され、この第2のトリガ線路T2を介して、第1の計算機装置30aは、第1の監視デバイス20aがエラーを含んでいる場合に、第2の監視デバイス20bによってトリガされる。
さらに、計算機装置30a〜30nの結果データを、監視デバイス20a,20bに伝送するために、第1の計算機装置30aと監視デバイス20a,20bとの間に配置された結果データ線路RDが認識される。それにより、複数のデータが好ましくは1つのプロトコルだけによって、計算機装置30aから2つの監視デバイス20a,20bに伝送可能になる。任意付加的に、異なるプロトコルの利用、又は、インタフェースにおける二重化も、この目的のために想定可能であってもよい。
さらに、第1のプロセスデータ線路PD1が、第1の監視デバイス20aから第1の計算機装置30aへ、プロセスデータを伝送するために設けられ、第2のプロセスデータ線路PD2が、第2の監視デバイス20bから第1の計算機装置30aへ、プロセスデータを伝送するために設けられている。それにより、結果として、監視デバイス20a,20bから計算機装置30a,30bへ2つの独立した信号パスが実現される。これらは好ましくは、別個のインタフェースとして構成されていてもよいし、又は、代替的に、適切なバスインタフェースのもとで単一のバスインタフェースとして構成されていてもよい。
図3のシステム100内には示されていないさらなる計算機装置30b〜30nのために、それぞれ1つのプロセスデータ線路、同期線路又はトリガ線路が設けられていてもよい。インタフェースにおいては、独国特許出願公開第102014213245号明細書に記載されているように、以下でも例示的にのみ短く説明するようなさらなる多数の変化実施例が可能である。
好ましくは、監視デバイス20a,20bの各々において、2つの冗長的監視デバイス20a,20bの同期化を可能にするいわゆるトリガアービタ(トリガ仲裁器、図示せず)が配置されている。このトリガアービタは、場合によっては、計算機装置30a〜30nのためのトリガ信号を生成し、他のインスタンスからのトリガ信号を読み込み、その内部トリガタイミングを、その上位のマスタに同期させる。この目的のために、トリガアービタは、その上位のマスタのフェイルセーフ信号通知を読み込む。
監視デバイス20a〜20nの間においては、好ましくはいわゆる「フェイルセーフ信号通知」が設けられ、当該フェイルセーフ信号通知を介して、それぞれ上位の監視デバイス20a〜20nが、それらの状態を、それぞれ下位の監視デバイス20b〜20nに信号通知する。診断及び検査目的のために、さらに付加的な信号通知形態が設けられていてもよい。最小のケースにおいては、フェイルセーフ信号通知は、2つの監視デバイス20a,20bの間で十分であるが、ただし、このケースにおいては、診断能力が低減されていると考えられる。
計算機装置30a〜30nと監視デバイス20a〜20nとの間の通信は、以下のように構成されていてもよい。
すなわち、好ましくは、最初に、第1の監視デバイス20aが、マスタ機能を引き継ぎ、この目的のために、通常動作モードにおいて想定された比較器/判定器/同期器機能が実施される。第1の監視デバイス20aがエラーを含んでいる場合には、下位の監視デバイス20bが、このマスタ機能を引き継ぐ。この監視デバイス20bがエラーを含んでいる場合には、下位の監視デバイス20c(図示せず)がこのマスタ機能を引き継ぐ、等々である。
この目的のために、第1の監視デバイス20aのフェイルセーフ信号FS1が活動化される必要があり、このフェイルセーフ信号FS1によって、マスタ監視デバイスは、当該監視デバイスがエラーフリーで動作しているか、又は、当該監視デバイスがエラーを含んで動作していることを下位の監視デバイス20b〜20nに通知する。
2つの監視デバイス20a,20bは、比較器/判定器/同期器機能を、同じデータによって同時に実行する。この目的のために、計算機装置30a〜30nの結果データが相互に比較され、その際、1つの計算機装置30a〜30nが異なる結果を供給する場合には、さらなる経過から除外されるか、又は、非活動化される。
トリガは、既に独国特許出願公開第102014213245号明細書から公知のように機能する。付加的に、第1の監視デバイス20aが第1のトリガ線路T1を介して、第1のトリガを操作することも有効であり、その場合、エラー時には、第1の計算機装置30aに対するトリガ機能が、第2の監視デバイス20bによって引き継がれる。この目的のために、第2の監視デバイス20bは、第1の監視デバイス20aがエラーフリーである限り、第1のトリガに同期化されなければならない。
即ち、これらの監視デバイス20a,20bは、計算機装置30a〜30nの一対一に対応するトリガを行うことを保証しなければならない。2つの監視デバイス20a,20bによる同時のトリガ機能は想定されていない。
好ましくは、トリガは、エッジ制御で行われ、これにより、トリガの一対一対応が容易となる。第1の監視デバイス20aの故障の際には、トリガ時点の直前に、第2の監視デバイス20bがトリガされる。第1の監視デバイス20aの故障の際には、トリガ時点の直後で、当該サイクル中に、第2の監視デバイス20bのトリガはまだ必要ではなく、後続のサイクルにおいて初めて必要となる。
計算機装置30a〜30nは、トリガX(X=1又はX=2)の活動化が識別された場合には、プロセスデータ線路PDを使用する。
監視装置10によって、単一のデータチャネルだけを実現するために(例えば自動車内の制御機器のデータ用に)、各監視デバイス20a〜20nに、前記データチャネルを束ねるそれぞれ1つのマルチプレクサ21a〜21nが設けられている。
好ましくは、図3で説明した監視装置10の2つのインスタンスよりも多いインスタンスを有するようにシステム100の拡張が可能である。このことは、システム100の可用性において、高いレベルが要求されている場合には特に有利である。上述したように、この目的のために、前記バス及びインタフェース線路T1,T2,RD,PD1,PD2は相応に拡張されなければならず、このことは、図3においては、より見易くするために単に示唆されている。
好ましくは、監視デバイス20a〜20nのマスタ機能の引き継ぎは、優先度に従って行われる。第1の監視デバイス20aは、自身が故障するまでマスタの責任を負い、その後は、第2の監視デバイス20bがマスタ機能を引き継ぎ、その後は、第3の監視デバイス20c等々が、監視デバイスの欠陥のためにマスタ機能をもはや実現できなくなるまで引き継ぐ。
好ましくは第2、第3、第4、第5等々のマスタが、それらの上位の先任デバイスのフェイルセーフ出力FS1〜FSnを読み込む。全ての先任デバイスが故障している場合にのみ、マスタ機能が引き継がれる。
このことは、マスタ監視デバイス20a〜20cのフェイルセーフ線路が示されている図4に示唆されており、これによる結果として、監視デバイス20a〜20cによるマスタ機能の連鎖的引き継ぎが実現される。
好ましくは、本発明に係る方法は、監視装置10の複数の監視デバイス20a〜20n上で実行されるソフトウェアとして実装することができる。この方法の簡単な適応性は、このようにして支援される。
図5は、本発明に係る方法の一実施形態の基本的な流れを示す。
ステップ200においては、少なくとも2つの計算機装置30a〜30nの動作が行われる。この場合、少なくとも2つの計算機装置30a〜30nは、少なくとも2つの自己監視型監視デバイス20a〜20nを備えた監視装置10によって監視され、その際、少なくとも2つの監視デバイス20a〜20nを用いて、計算機装置30a〜30nの所定の監視が実施され、ここでは監視デバイス20a〜20nのマスタ機能が、1つの所定の監視デバイス20a〜20nによって引き継がれる。
ステップ210においては、マスタ機能を実施する監視デバイス20a〜20nのエラー時に、当該マスタ機能が、1つの下位の監視デバイス20a〜20nによって引き継がれる。
結果として、本発明によれば、例えば高度に自動化された自動車の運転者支援システムの機能に良好に作用を及ぼすことが可能となる。なぜなら計算能力における可用性が有利に高められているからであり、それによって、高度に自動化された自動車の道路交通における一般的な安全レベルが高められる。
当業者であれば、本発明の本質から逸脱することなく、本発明の特徴を適切な方法で変更及び/又は相互に組み合わせるであろう。
この目的のための公知のアプローチは、以下の関係、すなわち、
M≦N
ただし、
M=少なくとも結果において一致する必要がある、計算機装置の数、
N=監視デバイスの数、
が成り立つM/Nシステムである。
独国特許出願公開第102014213245号明細書(DE102014213245A1)に記載の方法においては、複数の計算ユニットを使用することによって、計算ユニットに関する可用性を高めることが可能である。例えば、M=2及びN=2の代わりに、1つの計算ユニットをより多く使用すること、即ち、M=及びN=が可能である。これにより、可用性はプラスの影響を受け、これは、以下のように数学的に表現することが可能である。
可用性(2/3)=R=Rε×(Rαβ^3+3Rαβ^2(1−Rαβ)) (1)
ただし、
Rαβ=計算ユニットの可用性
Rε=比較器/判定器/同期器の可用性
図2は、このように実現されるM=及びN=のシステム100に基づく構造を例示的に示す。
この監視装置10は、例示的に、自動車分野における用途のための2つのマイクロコントローラの形態の二重に存在する監視デバイス20a,20bによって実現されている。しかしながら、原理的には、3つ以上の監視デバイス20a〜20nによる監視装置10の実現も可能であり、それらの監視デバイス20a〜20nは全て、その都度、所定の機能的安全要求を満足する。

Claims (12)

  1. 自動化された車両用のデータを処理するための方法において、
    少なくとも2つの計算機装置(30a〜30n)を動作させるステップであって、当該少なくとも2つの計算機装置(30a〜30n)は、少なくとも2つの自己監視型監視デバイス(20a〜20n)を備えた監視装置(10)によって監視される、ステップと、
    前記少なくとも2つの監視デバイス(20a〜20n)を用いて、前記計算機装置(30a〜30n)の所定の監視が実施されるステップと、
    前記監視デバイス(20a〜20n)のマスタ機能が、1つの所定の前記監視デバイス(20a〜20n)によって引き継がれるステップと、
    前記マスタ機能を実施する前記監視デバイス(20a〜20n)のエラー時に、当該マスタ機能が、1つの下位の前記監視デバイス(20a〜20n)によって引き継がれるステップと、
    を含むことを特徴とする方法。
  2. 前記計算機装置の監視は、2つの前記監視デバイスによって並行して実施される、請求項1に記載の方法。
  3. 前記下位の監視デバイス(20a〜20n)は、当該下位の監視デバイスがエラーフリーかどうかを、マスタ機能を実施する前記監視デバイス(20a〜20n)に通知する、請求項1又は2に記載の方法。
  4. 前記監視デバイス(20a〜20n)は、前記計算機装置(30a〜30n)を同期化させる、請求項1乃至3のいずれか一項に記載の方法。
  5. 前記監視デバイス(20a〜20n)は、前記計算機装置(30a〜30n)の結果が同様であるかどうかを比較する、請求項1乃至4のいずれか一項に記載の方法。
  6. 前記計算機装置(30a〜30n)のうちの1つの結果が、他の計算機装置(30a〜30n)の結果と異なる場合に、当該異なる結果を供給する計算機装置(30a〜30n)が非活動化される、請求項5に記載の方法。
  7. その都度、1つの前記監視デバイス(20a〜20n)のみが、全ての前記計算機装置(30a〜30n)をトリガする、請求項1乃至6のいずれか一項に記載の方法。
  8. 前記監視デバイス(20a〜20n)の各々は、マルチプレクサ(21a〜21n)を有しており、前記マルチプレクサ(21a〜21n)を用いて、前記監視装置(10)のデータチャネルが構成されている、請求項1乃至7のいずれか一項に記載の方法。
  9. 自動化された車両用のデータを処理するための装置であって、
    所定の数の計算機装置(30a〜30n)と、
    前記計算機装置(30a〜30n)の監視が可能である少なくとも2つの監視デバイス(20a〜20n)と、
    を備え、
    前記監視デバイス(20a〜20n)のうちの1つによってマスタ機能が引き継がれて、当該マスタ監視デバイスがエラーを含んでいる場合に、前記マスタ機能が、1つの下位の前記監視デバイス(20a〜20n)によって引き継がれる、
    ことを特徴とする装置。
  10. 前記計算機装置(30a〜30n)と前記監視デバイス(20a〜20n)との間のインタフェースバス(T1,T2,RD,PD1,PD2)が別個に構成されている、請求項9に記載の装置。
  11. 前記計算機装置(30a〜30n)と前記監視デバイス(20a〜20n)との間で、インタフェースバス(T1,T2,RD,PD1,PD2)が単一のバスに統合されている、請求項9に記載の装置。
  12. 電子制御式監視装置(10)上で実行されるときに、又は、コンピュータ可読データ媒体上に記憶されている場合に、請求項1乃至8のいずれか一項に記載の方法を実施するためのプログラムコード手段を含む、コンピュータプログラム製品。
JP2017201042A 2016-10-17 2017-10-17 自動化された車両用のデータを処理するための方法 Pending JP2018067312A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016220197.2 2016-10-17
DE102016220197.2A DE102016220197A1 (de) 2016-10-17 2016-10-17 Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug

Publications (1)

Publication Number Publication Date
JP2018067312A true JP2018067312A (ja) 2018-04-26

Family

ID=61765203

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017201042A Pending JP2018067312A (ja) 2016-10-17 2017-10-17 自動化された車両用のデータを処理するための方法

Country Status (4)

Country Link
US (1) US10503166B2 (ja)
JP (1) JP2018067312A (ja)
CN (1) CN107953890B (ja)
DE (1) DE102016220197A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019206337A (ja) * 2018-09-07 2019-12-05 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド 自動運転システム、車両制御方法及び装置

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6758173B2 (ja) * 2016-12-16 2020-09-23 株式会社クボタ 自動走行作業車
DE102018112254A1 (de) * 2018-05-22 2019-11-28 Bayerische Motoren Werke Aktiengesellschaft Kontrollsystem für ein Kraftfahrzeug, Kraftfahrzeug, Verfahren zur Kontrolle eines Kraftfahrzeugs, Computerprogrammprodukt und computerlesbares Medium
EP3754449A4 (en) 2018-12-26 2021-09-29 Huawei Technologies Co., Ltd. VEHICLE ORDERING PROCESS, ASSOCIATED DEVICE, AND COMPUTER STORAGE MEDIA
CN109709963B (zh) * 2018-12-29 2022-05-13 阿波罗智能技术(北京)有限公司 无人驾驶控制器及无人驾驶车辆
CN112198824B (zh) * 2020-10-13 2022-04-19 广州汽车集团股份有限公司 一种车载数据处理方法及系统
WO2023212119A1 (en) * 2022-04-26 2023-11-02 Motional Ad Llc Autonomous vehicle monitoring system using system-on-chip on-die resources

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1989008354A1 (en) * 1988-03-03 1989-09-08 Siemens Aktiengesellschaft Process for controlling and/or monitoring and circuit arrangement for implementing the process
DE3909266A1 (de) * 1989-03-21 1990-09-27 Siemens Ag Anordnung zum speichern der adresse einer in-betrieb-ueberwachung-prozessoreinheit
JPH0612288A (ja) * 1992-06-29 1994-01-21 Hitachi Ltd 情報処理システム及びその監視方法
JPH0954612A (ja) * 1995-08-11 1997-02-25 Toshiba Corp 監視装置
DE19819591A1 (de) * 1998-04-30 1999-11-04 Siemens Ag Schaltungsanordnung und Verfahren zur Steuerung für Netzelemente
US6141610A (en) * 1998-09-08 2000-10-31 Trimble Navigation Limited Automated vehicle monitoring system
DE19928517C2 (de) * 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
JP3907998B2 (ja) * 2001-02-09 2007-04-18 株式会社東芝 変電機器保護制御システム
JP2003099120A (ja) * 2001-06-27 2003-04-04 Robert Bosch Gmbh システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム
EP1472659A1 (en) * 2001-12-21 2004-11-03 Bathory, Zsigmond Control and communication system and method
EP1523826B1 (de) * 2002-07-18 2007-12-12 VEGA Grieshaber KG Busstation mit integrierter busmonitorfunktion
PL1820034T3 (pl) * 2004-11-18 2010-03-31 Powersense As Kompensacja prostych czujników światłowodowych wykorzystujących zjawisko Faradaya
EP2110754B1 (de) * 2005-06-23 2019-02-13 Hilscher Gesellschaft Für Systemautomation MBH Verfahren und Vorrichtung zur Synchronisation von Busteilnehmern eines Automatisierungssystems
WO2007018652A1 (en) * 2005-08-05 2007-02-15 Honeywell International, Inc. Distributed and recoverable digital control system
US7720639B2 (en) * 2005-10-27 2010-05-18 General Electric Company Automatic remote monitoring and diagnostics system and communication method for communicating between a programmable logic controller and a central unit
US8381982B2 (en) * 2005-12-03 2013-02-26 Sky-Trax, Inc. Method and apparatus for managing and controlling manned and automated utility vehicles
DE102005063053A1 (de) * 2005-12-29 2007-07-05 Endress + Hauser Process Solutions Ag Verfahren zur Anlagenüberwachung mit einem Feldbus der Prozessautomatisierungstechnik
EP2183526B1 (en) * 2007-07-26 2018-11-21 Faiz Zishaan Electronic communication unit
DE102007059687A1 (de) * 2007-12-12 2009-06-25 Lucas Automotive Gmbh Sicherheitskonzept für einen intelligenten Aktor
JP4907576B2 (ja) * 2008-03-18 2012-03-28 ジヤトコ株式会社 演算処理ユニットの異常監視装置
JP5590955B2 (ja) * 2010-04-26 2014-09-17 ナブテスコ株式会社 アクチュエータ制御システム
DE102011011755A1 (de) * 2011-02-18 2012-08-23 Conti Temic Microelectronic Gmbh Halbleiterschaltkreis und Verfahren in einem Sicherheitskonzept zum Einsatz in einem Kraftfahrzeug
WO2012147176A1 (ja) * 2011-04-27 2012-11-01 富士通株式会社 プログラム、情報処理装置、および監視方法
DE102011117116B4 (de) * 2011-10-27 2014-02-13 Diehl Bgt Defence Gmbh & Co. Kg Steuereinrichtung zum wenigstens teilweise autonomen Betrieb eines Fahrzeugs und Fahrzeug mit solch einer Steuereinrichtung
CN104765587B (zh) * 2014-01-08 2018-12-14 雅特生嵌入式计算有限公司 用于使处理器同步到相同的计算点的系统和方法
DE102014203095A1 (de) * 2014-02-20 2015-08-20 Rohde & Schwarz Gmbh & Co. Kg Funkgerät-System und Verfahren mit Zeitparameter-Auswertung
DE102014213245A1 (de) 2014-07-08 2016-01-14 Robert Bosch Gmbh Verfahren zum Verarbeiten von Daten für eine Fahrfunktion eines Fahrzeuges
JP6258166B2 (ja) * 2014-09-12 2018-01-10 日立オートモティブシステムズ株式会社 駆動装置の制御装置
DE102014116484B4 (de) * 2014-11-12 2019-02-14 Infineon Technologies Ag Signalverarbeitungssystem und Sensorsystem zum Bestimmen von Informationen über eine Bewegung eines Objekts
BR112017010771B1 (pt) * 2014-12-10 2022-02-22 Inventio Ag Sistema de elevador
DE102015222427A1 (de) * 2015-11-13 2017-05-18 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts eines Kraftfahrzeugs
US9821847B2 (en) * 2015-11-24 2017-11-21 Deere & Company Method for guiding an off-road vehicle along a curved path
JP6645993B2 (ja) * 2016-03-29 2020-02-14 株式会社Kokusai Electric 処理装置、装置管理コントローラ、及びプログラム並びに半導体装置の製造方法
CN105872088B (zh) * 2016-05-26 2019-04-02 百度在线网络技术(北京)有限公司 无人驾驶车辆的操作系统切换方法和装置
DE102016210984A1 (de) * 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
US10377470B2 (en) * 2017-07-11 2019-08-13 Bell Helicopter Textron Inc. Rotorcraft with redundant processors using state comparison

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019206337A (ja) * 2018-09-07 2019-12-05 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド 自動運転システム、車両制御方法及び装置
US11308739B2 (en) 2018-09-07 2022-04-19 Apollo Intelligent Driving Technology (Beijing) Co., Ltd. Automatic driving system, vehicle control method and device

Also Published As

Publication number Publication date
CN107953890A (zh) 2018-04-24
DE102016220197A1 (de) 2018-04-19
US10503166B2 (en) 2019-12-10
CN107953890B (zh) 2023-05-26
US20180107212A1 (en) 2018-04-19

Similar Documents

Publication Publication Date Title
JP2018067312A (ja) 自動化された車両用のデータを処理するための方法
JP3965410B2 (ja) 冗長構成の車両用制御装置
US8935569B2 (en) Control computer system, method for controlling a control computer system, and use of a control computer system
JP6266748B2 (ja) モータ制御システムおよびモータ制御方法
US11173922B2 (en) Vehicle control device and vehicle control system
WO2018110124A1 (ja) 車両制御装置
US11994853B2 (en) Control device for redundant execution of an operating function and motor vehicle
EP3626571B1 (en) Control architecture for a vehicle
JP2017534502A5 (ja)
JP2006333007A (ja) 車両通信システム及びデータ通信方法
KR101018937B1 (ko) 시분할 다중 통신 방식 네트워크 시스템
US9002480B2 (en) Method for operation of a control network, and a control network
JP2018160710A (ja) 車両用制御装置
US20070274208A1 (en) System for Transmitting Data and User of the System
KR20160107990A (ko) 차량용 이더넷 백본 스위치의 접속 다중화 장치
CN108243023B (zh) 基于轨道交通的计算机平台
JP2004318498A (ja) フェールセーフ装置
JP6441380B2 (ja) 車載用変速機制御装置
US10740199B2 (en) Controlling device, controlling method, and fault tolerant apparatus
WO2013027269A1 (ja) ネットワークシステム
Chaaban et al. Simulation of a steer-by-wire system using FlexRay-based ECU network
US20240281319A1 (en) Method for operating a safety-critical computer system
JP2020178265A (ja) 電子制御装置、制御システム
WO2024097967A1 (en) Dual control systems and methods for operating an autonomous vehicle
CN114257992A (zh) 用于车辆的通信系统及其运行方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171120