[go: up one dir, main page]

CN104049530A - 容错控制系统 - Google Patents

容错控制系统 Download PDF

Info

Publication number
CN104049530A
CN104049530A CN201410094513.3A CN201410094513A CN104049530A CN 104049530 A CN104049530 A CN 104049530A CN 201410094513 A CN201410094513 A CN 201410094513A CN 104049530 A CN104049530 A CN 104049530A
Authority
CN
China
Prior art keywords
controller
mistake
fault
response
designated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410094513.3A
Other languages
English (en)
Other versions
CN104049530B (zh
Inventor
R.I.德布克
S.M.贝克
J.乔伊斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of CN104049530A publication Critical patent/CN104049530A/zh
Application granted granted Critical
Publication of CN104049530B publication Critical patent/CN104049530B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24187Redundant processors run identical programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24198Restart, reinitialize, boot system after fault detection, hanging up, stalling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24208Go into safety mode if communications are interrupted

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

本发明涉及容错控制器系统,其包括第一控制器和第二控制器。第一和第二控制器中的一者被指定为主控制器以用于在无故障操作条件下生成旨在控制车辆上的致动装置的控制信号,并且第一和第二控制器中的另一者被指定为副控制器以生成旨在控制车辆上的致动装置的控制信号。所述致动装置仅响应于被指定的主控制器。在主控制器中探测到错误并且从故障控制器向无故障控制器发送消息来识别所述错误。随后无故障控制器被指定为主控制器。控制信号包括标识符,其将无故障控制器识别为被指定的主控制器。响应探测到所述错误,所述故障控制器被重置作为副控制器以安全操作模式操作。

Description

容错控制系统
技术领域
实施例大体涉及故障操作的车辆系统中的故障控制。
背景技术
提供安全功能的系统通常利用备用的控制器来确保安全操作能够继续一段持续时间段以便允许系统转变到不取决于故障操作的系统的当前状态的操作模式。这样的系统通常利用双重双工控制器。如果第一控制器发生故障且不运转,则第二控制器将被激活并且所有的致动器将转换成依赖来自第二控制器的请求。如果缺陷实际上是硬件方面的问题(例如布线问题、引脚连接问题)以致第二控制器不会具有相同缺陷,则系统将正确地起作用。然而,如果缺陷是由于两个控制器共同的缺陷所造成,例如软件缺陷,则这个软件缺陷导致使得两个控制器均会受影响的运行时间错误。因此,如果两个控制器均不运转,则没有能够在系统中执行的操作控制,并且因此系统将无法操作。
发明内容
实施例的优点在于系统的连续功能性,该系统利用双工控制器,其中维持了系统的功能性而不管系统是否存在故障,例如软件设计缺陷,否则这将影响两个控制器从而从任意控制器均无法得到行为响应。此外,在若干微秒内起动任一控制器的可行性提供了一种简单安全操作的操作模式,其允许控制装置操作在具有最小的操作系统支持的情况下作为裸硬件上的独立应用来运行。这里描述的发明结合了物理备用与递增回退(incremental fallback)策略的优点,其具有避免在驾驶员能够合理地有望重新控制车辆之前自动化技术不能维持操作状态的情况的总体目标。这种设计的物理备用主要减少由于随机硬件故障导致的系统故障的风险。此外,从正常模式操作到安全模式操作的递增回退主要减少与系统性故障(例如软件缺陷)相关联的风险。
本发明利用故障之后在安全操作模式中控制器的重启,其中安全操作模式是更确定性的行为,其被隔离于正常模式操作的元件,而正常模式相比确定性行为更偏好性能。
实施例设想了用于故障操作的车辆系统的容错控制器策略。(a)提供第一控制器和第二控制器,这二者均生成旨在无故障操作条件下控制车辆上的致动装置的控制信号,所述第一控制器最初被指定为主控制器并且所述第二控制器最初被指定为副控制器,所述致动装置仅响应于被指定的主控制器;(b)探测两个控制器中一个控制器中的错误,其中被探测到具有所述错误的相应控制器最初被识别为故障控制器并且另一个控制器最初被识别为无故障控制器;(c)如果在步骤(b)中探测到控制器故障,则由无故障的被指定的主控制器生成控制信号来控制所述致动装置的致动,所述控制信号包括将所述无故障控制器识别为被指定的主控制器的识别符;(d)响应步骤(b)中探测到所述错误,重置所述故障控制器作为副控制器以安全操作模式操作。
实施例设想了用于故障操作的车辆系统的容错控制器系统。第一控制器生成旨在无故障操作条件下控制车辆上的致动装置的控制信号。第一控制器最初被指定为主控制器。第二控制器生成旨在控制所述车辆上的所述致动装置的控制信号。第二控制器最初被指定为副控制器。所述致动装置仅响应于被指定的主控制器。当在两个控制器中的一个控制器中探测到错误时,从故障控制器向无故障控制器发送消息来识别所述错误。随后无故障控制器被指定为主控制器。无故障的被指定的主控制器生成的控制所述致动装置的致动的控制信号包括将所述无故障控制器识别为被指定的主控制器的识别符。响应探测到所述错误,所述故障控制器被重新初始化以便作为副控制器以安全操作模式操作。
本发明还提供了以下技术方案。
方案1. 一种用于故障操作的车辆系统的容错控制器策略,包括步骤:
(a)提供第一控制器和第二控制器,所述第一控制器和第二控制器均在无故障操作条件下生成旨在控制车辆上的致动装置的控制信号,所述第一控制器最初被指定为主控制器并且所述第二控制器最初被指定为副控制器,所述致动装置仅响应于被指定的主控制器;
(b)探测两个控制器中的一个控制器中的错误,其中被探测到具有所述错误的相应控制器最初被识别为故障控制器并且另一个控制器最初被识别为无故障控制器;
(c)如果在步骤(b)中探测到控制器错误,则由无故障的被指定的主控制器生成控制信号来控制所述致动装置的致动,所述控制信号包括将所述无故障控制器识别为被指定的主控制器的识别符;
(d)响应步骤(b)中探测所述错误,重置所述故障控制器作为所述副控制器以安全操作模式操作。
方案2. 根据方案1所述的容错控制器策略,还包括步骤:向用户发出第一错误消息以便警告所述用户在步骤(b)中探测到的错误。
方案3. 根据方案2所述的容错控制器策略,其中在步骤(b)中探测两个控制器中的一个控制器中的错误包括下述步骤:
所述第一和第二控制器监测彼此的通信活动;以及
响应于没有来自另一控制器的通信活动,识别出另一控制器中的错误。
方案4. 根据方案2所述的容错控制器策略,其中在步骤(b)中探测两个控制器中的一个控制器中的错误包括下述步骤:
所述第一和第二控制器监测彼此的通信活动;以及
响应于另一控制器偏离预期行为,识别出所述另一控制器中的错误。
方案5. 根据方案2所述的容错控制器策略,其中在步骤(b)中探测两个控制器中的一个控制器中的错误包括由所述故障控制器自行探测所述错误。
方案6. 根据方案5所述的容错控制器策略,还包括步骤:
(e)响应于探测到所述两个控制器中的一个控制器中的错误,从所述故障控制器向所述无故障控制器发送消息以识别出所述错误,其中所述无故障控制器随后被指定为主控制器。
方案7. 根据方案6所述的容错控制器策略,包括步骤:
(f)如果随后在步骤(e)中被指定为主控制器的所述无故障控制器中探测到错误,则从所述被指定的主控制器向以安全操作模式操作的所述副控制器发送识别出所述错误的消息;
(g)响应于步骤(f)中探测到的错误,由以安全操作模式操作的所述副控制器生成控制信号,所述控制信号包括标识符,所述标识符将以安全操作模式操作的所述副控制器识别为被指定的主控制器;以及
(h)响应于步骤(f)中探测到的错误,向所述用户发出第二错误消息,其中响应步骤(f)中探测到的错误生成的所述第二错误消息相对于响应步骤(b)中探测到的错误生成的所述第一错误消息是更加紧急的。
方案8. 根据方案7所述的容错控制器策略,其中步骤(f)中识别出的主控制器作为随后被指定的副控制器以安全操作模式操作。
方案9. 根据方案8所述的容错控制器策略,其中响应于步骤(f)中探测到的错误所发出的错误消息告知所述用户应该执行用户介入来获取对所述控制致动装置的控制。
方案10. 根据方案9所述的容错控制器策略,其中响应于所述用户执行控制动作来获得对所述致动装置的控制,终止所述第一和第二控制器对所述致动装置的控制。
方案11. 根据方案7所述的容错控制器策略,其中响应于点火起动序列,所述第一和第二控制器被重置到无故障操作模式,所述点火起动序列包括关断车辆点火并且重新致动所述车辆点火。
方案12. 根据方案7所述的容错控制器策略,其中所述安全操作模式操作包括使用有限的操作系统支持来操作所述致动装置。
方案13. 根据方案6所述的容错控制器策略,其中如果所述第一控制器和第二控制器同时发生故障,则重新初始化并以所述安全操作模式开始操作的相应控制器被指定为所述主控制器。
方案14. 根据方案6所述的容错控制器策略,其中如果所述第一控制器和第二控制器永久性地发生故障,则所述致动装置包括独立控制策略以用于维持操作直到所述用户执行控制动作来获得对自主车辆系统的控制。
方案15. 一种用于故障操作的车辆系统的容错控制器系统,包括:
第一控制器,所述第一控制器生成旨在无故障操作条件下控制车辆上的致动装置的控制信号,所述第一控制器最初被指定为主控制器;
第二控制器,所述第二控制器生成旨在控制所述车辆上的所述致动装置的控制信号,所述第二控制器最初被指定为副控制器,所述致动装置仅响应于被指定的主控制器;
其中当在两个控制器中的一个控制器中探测到错误时,从故障控制器向无故障控制器发送消息来识别所述错误,并且其中所述无故障控制器随后被指定为主控制器;
其中用于控制所述致动装置的致动的无故障的被指定的主控制器生成的控制信号包括将所述无故障控制器识别为被指定的主控制器的识别符;以及
其中响应探测到所述错误,所述故障控制器被重新初始化作为副控制器以安全操作模式操作。
方案16. 根据方案15所述的容错控制器系统,其中第一错误消息被发出以用于警告用户在所述两个控制器中的一个控制器中探测到的所述错误。
方案17. 根据方案15所述的容错控制器系统,其中如果随后在被指定为主控制器的所述无故障控制器中探测到错误,则从所述被指定的主控制器向当前以所述安全操作模式操作的所述副控制器发送识别出所述错误的消息,被识别为具有错误的所述主控制器被指定为以安全操作模式操作的随后的副控制器;
其中当前以所述安全操作模式操作的所述副控制器生成包括标识符的控制信号,所述标识符将当前以安全操作模式操作的所述副控制器识别为被指定的主控制器;以及
其中在第一和第二控制器中均探测到错误之后,向所述用户发出第二错误消息,并且其中响应第一和第二控制器中探测到的所述错误生成的所述第二错误消息相对于响应两个控制器中的一个控制器中探测到的所述错误生成的所述第一错误消息是更加紧急的。
方案18. 根据方案17所述的容错控制器系统,其中如果随后在以安全操作模式操作的被指定的主控制器中探测到错误,则所述随后的副控制器被指定为以安全操作模式操作的随后的被指定的主控制器。
方案19. 根据方案17所述的容错控制器系统,其中所述第二错误消息指示出应该执行用户介入来获取对所述致动装置的控制。
方案20. 根据方案15所述的容错控制器系统,其中响应于所述用户执行控制动作来获取对自主车辆系统的控制,所述第一和第二控制器将车辆控制让渡给所述车辆的所述用户。
方案21. 根据方案15所述的容错控制器系统,还包括点火系统,其中响应于点火起动序列,所述第一和第二控制器被重置到无故障操作模式,所述点火起动序列包括关断车辆点火并且重新致动所述车辆点火。
方案22. 根据方案15所述的容错控制器系统,其中如果所述第一控制器和第二控制器同时发生故障,则重新初始化并以所述安全操作模式操作的相应控制器被指定为主控制器。
附图说明
图1是用于车辆的故障操作系统的双工控制器的构架框图。
图2示出了用于指定主和副控制器功能性的流程图。
具体实施方式
图1示出了用于车辆的故障操作系统的双工控制器的构架框图。通常,如果受控系统是利用自主控制的系统或安全关键系统并且因此在系统内发生错误时需要容错对策,则车辆系统利用两个控制器。这里使用的术语“自主控制”或“自主操作”可以指的是完全自主操作、半自主操作或受限自主操作。这样系统的示例包括但不限于自主驾驶系统,例如适应性巡航控制系统和自动停车系统。在图1中,示出的车辆10包括第一控制器12和第二控制器14、通信总线16和车辆装置18(例如,致动装置),其用于致动车辆操作从而优选地执行受第一控制器12和第二控制器14控制的自动操作。
第一控制器12包括第一微处理器20和第二微处理器22,优选地每个均具有单独的存储器。第二控制器14也包括两个微处理器(未示出)。各自在无故障操作(这里被称为正常操作条件)下操作的第一控制器12和第二控制器14均将生成并发送控制信号,如同每个相应控制器正在控制车辆装置18。
用于控制车辆装置18的控制策略是基于主配置/副配置,使得相应控制器中的一个被指定为主控制器而另一个控制器被指定为副控制器。还应该理解的是,由原始设备制造商来确定将相应控制器指定为主控制器的系统的初始配置,并且这被阐述在系统的编程中。车辆装置18将仅基于从被指定的主控制器接收的控制信号来听从并执行命令。因此,如果第一控制器12被指定为主控制器并且第二控制器14被指定为副控制器,则车辆装置18仅基于由第一控制器12生成并发送的控制信号来执行功能。虽然被指定为副控制器的第二控制器14生成并在通信总线或类似的通信链路上发送控制信号,但是在第二控制器被指定为副控制器时车辆装置18将不听从第二控制器。
通过第一控制器12和第二控制器14之间的通信来确定将控制器指定为主控制器还是副控制器。最初,相应控制器中的一个被指定为主控制器(例如,第一控制器12)。第一控制器12与第二控制器14通信以用于指示出其在正常条件(无故障)下起作用。当与车辆装置18通信时,第一控制器12发送数据包,该数据包包括前序部分及随后的消息部分。该前序部分包括识别其本身为主控制器的标识符(例如,识别代码)。消息部分包括控制信号或者其他的数据。车辆装置18关联于发送该标识符的相应控制器作为控制装置并且将指定这个相应控制器作为被指定的主控制器。如果从不包括标识符的控制器发送消息,则消息将被控制装置18忽略。
如果发生导致被指定的主控制器的故障情况的错误,则被指定的主控制器(例如,第一控制器12)通知副控制器(例如,第二控制器14)其操作中已经发生错误并且其自身必须重置。响应已经发生错误的通信,副控制器(例如,第二控制器14)将发送作为其消息的一部分的标识符来识别其本身作为被指定的主控制器。在从第二控制器14接收包含识别代码的消息时,控制装置18将听从并执行从第二控制器14接收的命令,此时该第二控制器14是被指定的主控制器。作为副控制器向作为主控制器之间的转变对于控制装置18而言本质上是明晰的,因为每个控制器均以基本相同方式操作并且在通信总线上由每个相应控制器同时生成通信信号。因此,因为在正常操作条件下操作的每个控制器生成并通信相同信号,所以唯一的变化是控制装置18听从哪个消息。
图2示出了用于指定主控制器和副控制器功能性的第一故障情况的框图。在框30,第一控制器和第二控制器二者均在正常操作条件下操作。在框30,已经事先确定第一控制器被指定为主控制器并且第二控制器被指定为副控制器。第一控制器通过在被发送到控制装置的每个消息内发送标识符将其自身识别为被指定的主控制器。控制装置仅听从并执行由主控制器生成的命令。虽然副控制器近似同时地生成并发送相同命令,但是控制装置忽略来自第二控制器的命令,因为第一控制器被指定为主控制器。
在框31,存在关于主控制器(第一控制器)的操作发生故障的情况。响应故障的发生,第一控制器向第二控制器发送消息以通知第二控制器错误已经发生。如果第一控制器能够重新初始化(例如重启),则已经发生非致命错误并且第一控制器将以安全操作模式操作;否则,如果第一控制器不能重新初始化,则存在致命错误并且第一控制器变成无响应。在框31,关于第一控制器发生非致命错误。响应于从第一控制器接收到错误消息,第二控制器指定其自身作为主控制器(C2P/NM)。之后在正常操作条件下操作的同时,第二控制器指定其本身作为随后的主控制器。第一控制器让渡其作为主控制器的职责。其后,第一控制器随后将作为副控制器(C1S/SM)仅以安全操作模式操作,并且将不再发送标识符到控制装置来将其自身识别为主控制器。
也应该理解的是,可以由无故障控制器通过监测故障控制器的活动来探测故障控制器内的故障。每个控制器均可以监测另一控制器的活动以便识别出另一控制器内的故障。响应于故障控制器不响应,可以识别出无故障控制器探测到故障控制器内的故障。即,当以正常操作模式操作时,两个控制器均生成相同的控制信号。因此,如果针对一个控制器没有生成活动而同时针对另一控制器正在生成控制信号,则做出无响应控制器发生故障的判定。
替代性地,可以响应于故障控制器不稳定地操作来识别出故障控制器。如果故障控制器以偏离其所需行为的方式起作用,则可以由监测故障控制器的不稳定功能性的无故障控制器来做出判定。
在框32,第一警报被发出以警告车辆驾驶员故障情况。第一警报不是需要立即关注的紧急问题,因为第二控制器仍以正常操作模式操作。警告可以是视觉警告,其仅提示驾驶员已经探测到错误并且如果在一次或更多次车辆点火重启操作之后错误重现则应该在近期维修车辆。这样的警告可以包括在仪器面板上的视觉警告。
在框33,存在在当前被指定为主控制器的第二控制器中发生非致命错误的情况。响应于故障的发生,第二控制器发送消息到第一控制器以通知第一控制器其操作中已发生错误。响应于错误消息,第一控制器随后将作为被指定的主控制器来起作用,但是将仅以安全操作模式(C1P/SM)操作。以安全操作模式操作将允许车辆装置作为单独应用来操作运转,其中该单独应用在具有最小的操作系统支持的情况下在裸硬件上起作用。第二控制器本身重置并且随后作为被指定的副控制器仅以安全操作模式(C2S/SM)操作。
在框34,第二警报被发出以警告车辆驾驶员在框33中的故障情况。第二警报相对于第一警报更加紧急,并且需要驾驶员的立即关注。第二警报指示出在两个控制器中均已发生故障。在这样的情况下,应该立即发生驾驶员介入。第二警报能够是需要车辆被立即维修和/或驾驶员采取对车辆操作的控制的视觉和/或听觉警报。
如果在任何时刻用户对车辆执行控制动作(UA),则这样的动作指示出用户希望获得对车辆40的控制。无论是以正常模式操作还是以安全操作模式操作,每个相应控制器均将对车辆的控制让渡给用户。这样的控制动作是关联于或影响相应控制器所控制的当前车辆操作的控制的任意动作。例如,如果通过相应控制器自主地执行平行停车,则用户对转向轮或车辆制动器做出的任何动作均被看作是控制动作(UA),其中用户期望对车辆的控制。在这样的情况下,终止正在被执行的自主操作。
应该理解的是,在车辆点火起动序列时,重置每个控制器,并且如果每个控制器初始化正常操作模式而没有错误,则错误消息被禁用。驾驶员可以有权选择重新激活自主受控的车辆系统(例如,自主驾驶)。点火起动序列是车辆点火系统被关断一预定时间段并且之后被再次打开。故障操作的系统根据这里描述的技术起作用并且将执行如这里列出的程序。
框35代表了故障情况,其中第二控制器中产生致命错误并且该故障情况导致了永久性故障(C2F)。因此,没有通信从第二控制器输出。第一控制器用作主控制器;然而,只要在框31中第一控制器没有产生致命错误,第一控制器就仅能够以安全操作模式(C1S/NM)起作用。由于第二控制器中存在致命错误,所以将没有被指定的副控制器。替代性地,如果在框31中关于第一控制器产生致命错误,并且如果第二控制器中产生非致命错误,则将存在类似于框38的情况。
再次参考框30,示出了用于指定主控制器和副控制器功能性的第二故障情况。在框30,第一控制器和第二控制器二者均在正常操作条件下操作。在框30,已经事先确定第一控制器被指定为主控制器(C1P/NM)并且第二控制器被指定为副控制器(C2S/NM)。第一控制器通过在被发送到控制装置的每个消息内发送标识符将其自身识别为被指定的主控制器。控制装置仅听从并执行由主控制器生成的命令。虽然副控制器近似同时地生成并发送相同命令,但是控制装置忽略来自第二控制器的命令,因为第一控制器被指定为主控制器。
在框36,存在关于副控制器(第二控制器)的操作发生故障的情况。响应故障的发生,第二控制器向第一控制器发送消息以通知第一控制器错误已经发生。如果第二控制器能够重新初始化(例如重启),则已经发生非致命错误并且第二控制器将以安全操作模式操作;否则,如果第二控制器不能重新初始化,则存在致命错误并且第二控制器变成无响应。在框36,关于第二控制器发生非致命错误。响应于从第二控制器接收到错误消息,第一控制器继续用作主控制器(C1P/NM)。第一控制器继续发送标识符到控制装置以识别其自身作为主控制器。
在框32,第一警报被发出以警告车辆驾驶员在框36中发生的故障情况。第一警报不是需要立即关注的紧急问题,因为主控制器(第一控制器)仍以正常操作模式操作。警告可以是视觉警告,其仅提示驾驶员已经发生情况并且车辆应该在近期维修。这样的警告可以包括在仪器面板上的视觉警告。
在框37,存在在当前被指定为主控制器的第一控制器中发生非致命错误的情况。响应于故障的发生,第一控制器发送消息到第二控制器以通知第二控制器其操作中已发生错误。响应于错误消息,第二控制器随后将作为被指定的主控制器起作用,但是将仅以安全操作模式(C2P/SM)操作。以安全操作模式操作将允许车辆装置作为单独应用来操作运转,其中该单独应用在具有最小的操作系统支持的情况下在裸硬件上起作用。第一控制器本身重置并且随后作为被指定的副控制器仅以安全操作模式(C1S/SM)操作。
框38代表了故障情况,其中第一控制器中产生致命错误并且该故障情况导致了永久性故障(C1F)。因此,没有通信从第一控制器输出。第二控制器用作主控制器;然而,第二控制器仅能够以安全操作模式(C2S/NM)起作用。由于第一控制器中的永久性故障,所以将没有被指定的副控制器。替代性地,如果在框36中关于第二控制器产生致命错误,并且如果第一控制器中产生非致命错误,则将存在类似于框35的情况。
如果在任意时刻用户对车辆执行控制动作(UA),则这样的动作指示出用户希望获得对车辆的控制,如框40所示。无论是以正常模式操作还是以安全操作模式操作,每个相应控制器均将对车辆的控制让渡给用户。这样的控制动作是关联于或影响相应控制器所控制的当前车辆操作的控制的任意动作。在这样的情况下,终止正在被执行的自主操作。
在框34,第二警报被发出以警告车辆驾驶员在框37或38中的故障情况。第二警报比第一警报更加紧急,并且需要驾驶员的立即关注。第二警报指示出在两个控制器中均已发生故障。在这样的情况下,应该立即发生驾驶员介入。第二警报能够是需要驾驶员采取对车辆操作的控制和/或需要车辆被立即维修的视觉和/或听觉警报。
再次参考框30,示出了用于指定主控制器和副控制器功能性的第三故障情况。在框30,两个控制器均以正常模式操作。在框39,存在第一控制器和第二控制器二者基本同时发生故障(C1F,C2F)的情况。如果存在这样的情况,则在框34发出第二警报。第二警报是需要驾驶员的立即关注的紧急警报。无论相应控制器是以正常模式还是以安全操作模式操作,驾驶员均可以在任意时刻采取对车辆操作的控制,如框40所示。第二警报指示出两个控制器均发生故障或者控制器均以安全模式操作。在这样的情况下,应该立即发生驾驶员介入。第二警报能够是需要车辆被立即维修和/或驾驶员采取对车辆操作的控制的视觉和/或听觉警报。此外,当两个控制器已经同时发生故障时,则被首先重置并以安全操作模式开始操作的相应控制器将被指定为主控制器。
也应该理解的是,在框31、33、35、36、37和38中如果在两个控制器中均发生致命错误(C1F,C2F),则程序将继续前进到框39,在此所述情况意味着两个控制器均处于永久性故障状态并且不能够被重新初始化。无论两个控制器的故障是顺序地还是同时地发生,这种状态均表明没有控制器进行控制并且在驾驶员获得对操作的控制之前致动器会有其自身的策略来作用。一旦程序进入框39,则第二水平警报34被发出以便警告驾驶员所述情况。
虽然已经具体描述了本发明的某些实施例,不过熟悉本发明所涉及领域的那些技术人员将意识到各种替代性设计和实施例以用于实现所附权利要求所限定的发明。

Claims (10)

1.一种用于故障操作的车辆系统的容错控制器策略,包括步骤:
(a)提供第一控制器和第二控制器,所述第一控制器和第二控制器均在无故障操作条件下生成旨在控制车辆上的致动装置的控制信号,所述第一控制器最初被指定为主控制器并且所述第二控制器最初被指定为副控制器,所述致动装置仅响应于被指定的主控制器;
(b)探测两个控制器中的一个控制器中的错误,其中被探测到具有所述错误的相应控制器最初被识别为故障控制器并且另一个控制器最初被识别为无故障控制器;
(c)如果在步骤(b)中探测到控制器错误,则由无故障的被指定的主控制器生成控制信号来控制所述致动装置的致动,所述控制信号包括将所述无故障控制器识别为被指定的主控制器的识别符;
(d)响应步骤(b)中探测所述错误,重置所述故障控制器作为所述副控制器以安全操作模式操作。
2.根据权利要求1所述的容错控制器策略,还包括步骤:向用户发出第一错误消息以便警告所述用户在步骤(b)中探测到的错误。
3.根据权利要求2所述的容错控制器策略,其中在步骤(b)中探测两个控制器中的一个控制器中的错误包括下述步骤:
所述第一和第二控制器监测彼此的通信活动;以及
响应于没有来自另一控制器的通信活动,识别出另一控制器中的错误。
4.根据权利要求2所述的容错控制器策略,其中在步骤(b)中探测两个控制器中的一个控制器中的错误包括下述步骤:
所述第一和第二控制器监测彼此的通信活动;以及
响应于另一控制器偏离预期行为,识别出所述另一控制器中的错误。
5.根据权利要求2所述的容错控制器策略,其中在步骤(b)中探测两个控制器中的一个控制器中的错误包括由所述故障控制器自行探测所述错误。
6.根据权利要求5所述的容错控制器策略,还包括步骤:
(e)响应于探测到所述两个控制器中的一个控制器中的错误,从所述故障控制器向所述无故障控制器发送消息以识别出所述错误,其中所述无故障控制器随后被指定为主控制器。
7.根据权利要求6所述的容错控制器策略,包括步骤:
(f)如果随后在步骤(e)中被指定为主控制器的所述无故障控制器中探测到错误,则从所述被指定的主控制器向以安全操作模式操作的所述副控制器发送识别出所述错误的消息;
(g)响应于步骤(f)中探测到的错误,由以安全操作模式操作的所述副控制器生成控制信号,所述控制信号包括标识符,所述标识符将以安全操作模式操作的所述副控制器识别为被指定的主控制器;以及
(h)响应于步骤(f)中探测到的错误,向所述用户发出第二错误消息,其中响应步骤(f)中探测到的错误生成的所述第二错误消息相对于响应步骤(b)中探测到的错误生成的所述第一错误消息是更加紧急的。
8.根据权利要求7所述的容错控制器策略,其中步骤(f)中识别出的主控制器作为随后被指定的副控制器以安全操作模式操作。
9.根据权利要求8所述的容错控制器策略,其中响应于步骤(f)中探测到的错误所发出的错误消息告知所述用户应该执行用户介入来获取对所述控制致动装置的控制。
10.一种用于故障操作的车辆系统的容错控制器系统,包括:
第一控制器,所述第一控制器生成旨在无故障操作条件下控制车辆上的致动装置的控制信号,所述第一控制器最初被指定为主控制器;
第二控制器,所述第二控制器生成旨在控制所述车辆上的所述致动装置的控制信号,所述第二控制器最初被指定为副控制器,所述致动装置仅响应于被指定的主控制器;
其中当在两个控制器中的一个控制器中探测到错误时,从故障控制器向无故障控制器发送消息来识别所述错误,并且其中所述无故障控制器随后被指定为主控制器;
其中用于控制所述致动装置的致动的无故障的被指定的主控制器生成的控制信号包括将所述无故障控制器识别为被指定的主控制器的识别符;以及
其中响应探测到所述错误,所述故障控制器被重新初始化作为副控制器以安全操作模式操作。
CN201410094513.3A 2013-03-14 2014-03-14 容错控制系统 Active CN104049530B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/803,290 US9740178B2 (en) 2013-03-14 2013-03-14 Primary controller designation in fault tolerant systems
US13/803290 2013-03-14

Publications (2)

Publication Number Publication Date
CN104049530A true CN104049530A (zh) 2014-09-17
CN104049530B CN104049530B (zh) 2017-10-31

Family

ID=51419013

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410094513.3A Active CN104049530B (zh) 2013-03-14 2014-03-14 容错控制系统

Country Status (3)

Country Link
US (1) US9740178B2 (zh)
CN (1) CN104049530B (zh)
DE (1) DE102014102582B4 (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106054852A (zh) * 2015-04-16 2016-10-26 通用汽车环球科技运作有限责任公司 集成式故障沉默和故障运转系统中的可量容错的构造
CN107229221A (zh) * 2016-03-23 2017-10-03 通用汽车环球科技运作有限责任公司 用于多个热和冷备用冗余的容错模式和切换协议
CN107272400A (zh) * 2017-06-26 2017-10-20 北京机械设备研究所 一种同步冗余的顺序控制装置及方法
CN107783414A (zh) * 2016-08-25 2018-03-09 通用汽车环球科技运作有限责任公司 具有动态容错要求的系统的协调多模式分配和运行时切换
CN107792043A (zh) * 2016-08-31 2018-03-13 通用汽车环球科技运作有限责任公司 线控制动系统
CN108196547A (zh) * 2018-01-08 2018-06-22 北京图森未来科技有限公司 一种自动驾驶系统
CN108974015A (zh) * 2017-06-01 2018-12-11 通用汽车环球科技运作有限责任公司 用于具有有限可用性要求的故障下可操作功能的非对称系统架构
CN109450335A (zh) * 2018-12-12 2019-03-08 北京长城华冠汽车科技股份有限公司 车辆的电机转速信号处理系统及其控制方法和车辆
CN110579986A (zh) * 2018-06-08 2019-12-17 硅工厂股份有限公司 用于无线地发送和接收安全信息的系统和方法
CN110745176A (zh) * 2019-10-28 2020-02-04 徐工集团工程机械股份有限公司科技分公司 装载机安全型手柄转向控制系统和控制方法
WO2020037541A1 (zh) * 2018-08-22 2020-02-27 西门子股份公司 控制系统、方法、计算设备及介质
US10942497B2 (en) 2015-03-30 2021-03-09 Volvo Truck Corporation Method and arrangement for providing redundancy in a vehicle electrical control system
CN115366902A (zh) * 2022-08-24 2022-11-22 重庆长安汽车股份有限公司 控制方法、控制装置、车辆及计算机可读存储介质

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10520581B2 (en) 2011-07-06 2019-12-31 Peloton Technology, Inc. Sensor fusion for autonomous or partially autonomous vehicle control
US10254764B2 (en) 2016-05-31 2019-04-09 Peloton Technology, Inc. Platoon controller state machine
US10474166B2 (en) 2011-07-06 2019-11-12 Peloton Technology, Inc. System and method for implementing pre-cognition braking and/or avoiding or mitigation risks among platooning vehicles
US20170242443A1 (en) 2015-11-02 2017-08-24 Peloton Technology, Inc. Gap measurement for vehicle convoying
US8744666B2 (en) 2011-07-06 2014-06-03 Peloton Technology, Inc. Systems and methods for semi-autonomous vehicular convoys
US11294396B2 (en) 2013-03-15 2022-04-05 Peloton Technology, Inc. System and method for implementing pre-cognition braking and/or avoiding or mitigation risks among platooning vehicles
DE102014212384A1 (de) * 2014-06-27 2015-12-31 Robert Bosch Gmbh Vorrichtung und Verfahren zum Betreiben eines Fahrzeugs
CN105278371B (zh) * 2015-10-10 2018-04-13 华南理工大学 一种电动汽车集成式双控制模块控制系统及其控制方法
JP6748460B2 (ja) * 2016-03-22 2020-09-02 Kyb株式会社 制御装置
JP6690056B2 (ja) 2016-08-22 2020-04-28 ぺロトン テクノロジー インコーポレイテッド 自動連続車両の制御システムアーキテクチャ
US10369998B2 (en) 2016-08-22 2019-08-06 Peloton Technology, Inc. Dynamic gap control for automated driving
US10324636B2 (en) * 2016-08-25 2019-06-18 Gm Global Technology Operations Llc. Fail-operational system design pattern based on software code migration
US10606252B2 (en) * 2016-10-31 2020-03-31 Shindengen Electric Manufacturing Co., Ltd. Control device including one microcomputer for controlling a motor vehicle which may immediately stop rotations of the motor when an abnormal condition occurs
DE102017218643A1 (de) * 2017-10-19 2019-04-25 Volkswagen Aktiengesellschaft Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung
DE112018005815B4 (de) * 2017-12-25 2025-09-04 Hitachi Astemo, Ltd. Steuereinrichtung und elektronisches Steuersystem für Fahrzeuge
US12017666B2 (en) * 2018-07-16 2024-06-25 Nissan Motor Co., Ltd. Driving assisted vehicle control method and control system
CN109358592B (zh) * 2018-08-30 2020-09-08 百度在线网络技术(北京)有限公司 车辆故障处理方法、装置、设备及存储介质
US10884888B2 (en) * 2019-01-22 2021-01-05 International Business Machines Corporation Facilitating communication among storage controllers
US11273906B2 (en) * 2019-05-10 2022-03-15 Honeywell International Inc. Redundant fly-by-wire systems with fault resiliency
JP7136060B2 (ja) * 2019-10-11 2022-09-13 トヨタ自動車株式会社 駐車支援装置
US11975714B2 (en) 2019-11-01 2024-05-07 GM Global Technology Operations LLC Intelligent vehicles with distributed sensor architectures and embedded processing with computation and data sharing
EP4072919A1 (en) 2019-12-09 2022-10-19 Volvo Truck Corporation A control system for a vehicle
CN110682920B (zh) * 2019-12-09 2020-04-21 吉利汽车研究院(宁波)有限公司 一种自动驾驶控制系统、控制方法及设备
JP7728746B2 (ja) * 2020-03-03 2025-08-25 住友重機械工業株式会社 射出成形機
US11210571B2 (en) 2020-03-13 2021-12-28 Argo AI, LLC Using rasterization to identify traffic signal devices
US11704912B2 (en) 2020-06-16 2023-07-18 Ford Global Technologies, Llc Label-free performance evaluator for traffic light classifier system
US11214271B1 (en) * 2021-03-10 2022-01-04 Aurora Operations, Inc. Control system interface for autonomous vehicle
US12012097B2 (en) 2021-07-29 2024-06-18 Ford Global Technologies, Llc Complementary control system for an autonomous vehicle
US12049236B2 (en) 2021-07-29 2024-07-30 Ford Global Technologies, Llc Complementary control system detecting imminent collision of autonomous vehicle in fallback monitoring region
US12311854B2 (en) * 2021-10-07 2025-05-27 Sygnal Technologies, Inc. Fail-safe signal injection
CN114043997B (zh) * 2022-01-13 2022-04-12 禾美(浙江)汽车股份有限公司 一种基于高灵敏传感器自动驾驶智能决策方法
US20230117125A1 (en) * 2022-12-16 2023-04-20 Munters Corporation Methods and control systems for controlling fluid conditioning system including plural fluid conditioning units

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9102732D0 (en) * 1990-02-15 1991-03-27 Bosch Gmbh Robert Computer system
JPH0764930A (ja) * 1993-08-31 1995-03-10 Matsushita Electric Works Ltd Cpu間相互監視方法
US5752047A (en) * 1995-08-11 1998-05-12 Mcdonnell Douglas Corporation Modular solid state power controller with microcontroller
JP2001175494A (ja) * 1999-12-14 2001-06-29 Nec Corp マイクロプロセッサの演算処理の正常性を二重に診断する方式及びその方法
US20080264374A1 (en) * 2007-04-30 2008-10-30 Caterpillar Inc. Fail-safe starter control system
CN101458642A (zh) * 2007-12-10 2009-06-17 鸿富锦精密工业(深圳)有限公司 计算机监控终端及监控方法
CN102167027A (zh) * 2010-12-28 2011-08-31 奇瑞汽车股份有限公司 一种基于线控制动的容错控制系统
CN201998976U (zh) * 2011-01-24 2011-10-05 比亚迪股份有限公司 一种电子驻车制动系统

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3662330A (en) * 1971-01-18 1972-05-09 Tamar Electronics Ind Inc Fail-safe vehicle detector system
US4634110A (en) * 1983-07-28 1987-01-06 Harris Corporation Fault detection and redundancy management system
US5086506A (en) * 1987-08-14 1992-02-04 General Electric Company Radio trunking fault detection system with power output monitoring and on-air monitoring
US5117501A (en) * 1988-08-08 1992-05-26 General Electric Company Dynamic regrouping in a trunked radio communications system
CA2032067A1 (en) 1989-12-22 1991-06-23 Douglas E. Jewett Fault-tolerant computer system with online reintegration and shutdown/restart
US5295258A (en) * 1989-12-22 1994-03-15 Tandem Computers Incorporated Fault-tolerant computer system with online recovery and reintegration of redundant components
US5612883A (en) * 1990-02-05 1997-03-18 Caterpillar Inc. System and method for detecting obstacles in the path of a vehicle
FR2692379B1 (fr) 1991-10-04 1996-08-14 Aerospatiale Ste Nat Indle Procede de detection et de passivation de pannes dans un systeme de traitement de donnees, et systeme de traitement de donnees adapte a sa mise en oeuvre
US7006881B1 (en) * 1991-12-23 2006-02-28 Steven Hoffberg Media recording device with remote graphic user interface
US5428769A (en) * 1992-03-31 1995-06-27 The Dow Chemical Company Process control interface system having triply redundant remote field units
JPH06270781A (ja) * 1993-03-16 1994-09-27 Nissan Motor Co Ltd 圧力制御アクチュエータ及びこれを用いたブレーキ制御装置
EP0653708B1 (en) * 1993-10-15 2000-08-16 Hitachi, Ltd. Logic circuit having error detection function, redundant resource management method, and fault tolerant system using it
EP1168178B1 (en) * 1993-10-15 2004-01-02 Hitachi, Ltd. Logic circuit having error detection function
US20070061735A1 (en) * 1995-06-06 2007-03-15 Hoffberg Steven M Ergonomic man-machine interface incorporating adaptive pattern recognition based control system
GB9601585D0 (en) 1996-01-26 1996-03-27 Hewlett Packard Co Fault-tolerant processing method
US6587909B1 (en) * 1996-06-05 2003-07-01 Hewlett-Packard Development Company, L.P. Installation and removal of components of a computer
US6098155A (en) * 1996-10-28 2000-08-01 Sun Microsystems, Inc. Apparatus and method for streamlining data transfer with existing interconnect bandwidth
US6073209A (en) * 1997-03-31 2000-06-06 Ark Research Corporation Data storage controller providing multiple hosts with access to multiple storage subsystems
DE19716197A1 (de) * 1997-04-18 1998-10-22 Itt Mfg Enterprises Inc Mikroprozessorsystem für sicherheitskritische Regelungen
US6061600A (en) * 1997-05-09 2000-05-09 I/O Control Corporation Backup control mechanism in a distributed control network
US6594620B1 (en) * 1998-08-17 2003-07-15 Aspen Technology, Inc. Sensor validation apparatus and method
WO2000036492A2 (en) * 1998-12-18 2000-06-22 Triconex Corporation Method and apparatus for processing control using a multiple redundant processor control system
US6981176B2 (en) * 1999-05-10 2005-12-27 Delphi Technologies, Inc. Secured microcontroller architecture
US6550017B1 (en) 1999-06-29 2003-04-15 Sun Microsystems, Inc. System and method of monitoring a distributed fault tolerant computer system
US6550018B1 (en) * 2000-02-18 2003-04-15 The University Of Akron Hybrid multiple redundant computer system
US7111189B1 (en) * 2000-03-30 2006-09-19 Hewlett-Packard Development Company, L.P. Method for transaction log failover merging during asynchronous operations in a data storage network
US7032029B1 (en) * 2000-07-07 2006-04-18 Schneider Automation Inc. Method and apparatus for an active standby control system on a network
US6836859B2 (en) * 2001-08-15 2004-12-28 Sun Microsystems, Inc. Method and system for version control in a fault tolerant system
US6868309B1 (en) 2001-09-24 2005-03-15 Aksys, Ltd. Dialysis machine with symmetric multi-processing (SMP) control system and method of operation
GB0127254D0 (en) * 2001-11-13 2002-01-02 Lucas Industries Ltd Aircraft flight surface control system
US7043663B1 (en) * 2001-11-15 2006-05-09 Xiotech Corporation System and method to monitor and isolate faults in a storage area network
US7127633B1 (en) * 2001-11-15 2006-10-24 Xiotech Corporation System and method to failover storage area network targets from one interface to another
US6883065B1 (en) * 2001-11-15 2005-04-19 Xiotech Corporation System and method for a redundant communication channel via storage area network back-end
US7069468B1 (en) * 2001-11-15 2006-06-27 Xiotech Corporation System and method for re-allocating storage area network resources
US7003688B1 (en) * 2001-11-15 2006-02-21 Xiotech Corporation System and method for a reserved memory area shared by all redundant storage controllers
US6996741B1 (en) * 2001-11-15 2006-02-07 Xiotech Corporation System and method for redundant communication between redundant controllers
GB2383983B (en) * 2002-01-11 2005-08-17 Roger Aylward Route navigation, guidance & control - automated vehicle steering & safety braking
EP1353271A3 (en) * 2002-04-10 2007-09-12 Alps Electric Co., Ltd. Controller with fail-safe function
US6813527B2 (en) * 2002-11-20 2004-11-02 Honeywell International Inc. High integrity control system architecture using digital computing platforms with rapid recovery
US20040158549A1 (en) * 2003-02-07 2004-08-12 Vladimir Matena Method and apparatus for online transaction processing
US7401254B2 (en) * 2003-04-23 2008-07-15 Dot Hill Systems Corporation Apparatus and method for a server deterministically killing a redundant server integrated within the same network storage appliance chassis
US6732979B1 (en) * 2003-08-28 2004-05-11 The Boeing Company Steer-by-wire tiller with position feel system
US7840963B2 (en) * 2004-10-15 2010-11-23 Microsoft Corporation Marking and utilizing portions of memory state information during a switch between virtual machines to minimize software service interruption
JP4411602B2 (ja) * 2004-12-16 2010-02-10 日本電気株式会社 フォールトトレラント・コンピュータシステム
US7711989B2 (en) * 2005-04-01 2010-05-04 Dot Hill Systems Corporation Storage system with automatic redundant code component failure detection, notification, and repair
WO2007094808A1 (en) * 2005-08-05 2007-08-23 Honeywell International Inc. Monitoring system and methods for a distributed and recoverable digital control system
WO2007018652A1 (en) * 2005-08-05 2007-02-15 Honeywell International, Inc. Distributed and recoverable digital control system
US8260492B2 (en) * 2005-08-05 2012-09-04 Honeywell International Inc. Method and system for redundancy management of distributed and recoverable digital control system
US8356985B2 (en) * 2006-09-29 2013-01-22 The United States Of America, As Represented By The Administrator Of The U.S. Environmental Protection Agency Safe over-center pump/motor
DE102006054124B4 (de) * 2006-11-15 2009-05-28 Phoenix Contact Gmbh & Co. Kg Verfahren und System zur sicheren Datenübertragung
US8594110B2 (en) * 2008-01-11 2013-11-26 Mosaid Technologies Incorporated Ring-of-clusters network topologies
WO2009103084A2 (en) * 2008-02-15 2009-08-20 Atieva, Inc. An intelligent fault-tolerant battery management system
JP5066004B2 (ja) * 2008-06-06 2012-11-07 日立オートモティブシステムズ株式会社 ブレーキシステム
US20110251739A1 (en) * 2010-04-09 2011-10-13 Honeywell International Inc. Distributed fly-by-wire system
EP2583879B1 (en) * 2010-06-18 2020-06-24 Hitachi Automotive Systems, Ltd. Electronic control device
DE102011080081A1 (de) * 2010-07-30 2012-02-02 Denso Corporation Fahrzeugleistungsübertragungsvorrichtung
JP5684514B2 (ja) * 2010-08-19 2015-03-11 株式会社東芝 冗長化制御システム、及びその演算データの伝送方法
US8504864B2 (en) 2010-12-01 2013-08-06 GM Global Technology Operations LLC Data sensor coordination using time synchronization in a multi-bus controller area network system
US8909981B2 (en) * 2011-06-21 2014-12-09 Hamilton Sundstrand Corporation Control system software execution during fault detection
US9483032B2 (en) * 2011-09-22 2016-11-01 Hamilton Sundstrand Corporation Multi-channel protection logic
JP2014169039A (ja) * 2013-03-05 2014-09-18 Hitachi Automotive Systems Ltd ブレーキ制御装置
US9195232B1 (en) * 2014-02-05 2015-11-24 Google Inc. Methods and systems for compensating for common failures in fail operational systems

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9102732D0 (en) * 1990-02-15 1991-03-27 Bosch Gmbh Robert Computer system
JPH0764930A (ja) * 1993-08-31 1995-03-10 Matsushita Electric Works Ltd Cpu間相互監視方法
US5752047A (en) * 1995-08-11 1998-05-12 Mcdonnell Douglas Corporation Modular solid state power controller with microcontroller
JP2001175494A (ja) * 1999-12-14 2001-06-29 Nec Corp マイクロプロセッサの演算処理の正常性を二重に診断する方式及びその方法
US20080264374A1 (en) * 2007-04-30 2008-10-30 Caterpillar Inc. Fail-safe starter control system
CN101458642A (zh) * 2007-12-10 2009-06-17 鸿富锦精密工业(深圳)有限公司 计算机监控终端及监控方法
CN102167027A (zh) * 2010-12-28 2011-08-31 奇瑞汽车股份有限公司 一种基于线控制动的容错控制系统
CN201998976U (zh) * 2011-01-24 2011-10-05 比亚迪股份有限公司 一种电子驻车制动系统

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10942497B2 (en) 2015-03-30 2021-03-09 Volvo Truck Corporation Method and arrangement for providing redundancy in a vehicle electrical control system
CN106054852A (zh) * 2015-04-16 2016-10-26 通用汽车环球科技运作有限责任公司 集成式故障沉默和故障运转系统中的可量容错的构造
CN106054852B (zh) * 2015-04-16 2019-03-01 通用汽车环球科技运作有限责任公司 集成式故障沉默和故障运转系统中的可量容错的构造
CN107229221A (zh) * 2016-03-23 2017-10-03 通用汽车环球科技运作有限责任公司 用于多个热和冷备用冗余的容错模式和切换协议
CN107783414A (zh) * 2016-08-25 2018-03-09 通用汽车环球科技运作有限责任公司 具有动态容错要求的系统的协调多模式分配和运行时切换
CN107792043A (zh) * 2016-08-31 2018-03-13 通用汽车环球科技运作有限责任公司 线控制动系统
CN108974015A (zh) * 2017-06-01 2018-12-11 通用汽车环球科技运作有限责任公司 用于具有有限可用性要求的故障下可操作功能的非对称系统架构
CN108974015B (zh) * 2017-06-01 2021-07-23 通用汽车环球科技运作有限责任公司 用于具有有限可用性要求的故障下可操作功能的非对称系统架构
CN107272400B (zh) * 2017-06-26 2020-05-19 北京机械设备研究所 一种同步冗余的顺序控制装置及方法
CN107272400A (zh) * 2017-06-26 2017-10-20 北京机械设备研究所 一种同步冗余的顺序控制装置及方法
CN108196547A (zh) * 2018-01-08 2018-06-22 北京图森未来科技有限公司 一种自动驾驶系统
CN108196547B (zh) * 2018-01-08 2020-06-23 北京图森未来科技有限公司 一种自动驾驶系统
US11648958B2 (en) 2018-01-08 2023-05-16 Beijing Tusen Weilai Technology Co., Ltd. Autonomous driving system
US12391277B2 (en) 2018-01-08 2025-08-19 Beijing Tusen Weilai Technology Co., Ltd Autonomous driving system
CN110579986A (zh) * 2018-06-08 2019-12-17 硅工厂股份有限公司 用于无线地发送和接收安全信息的系统和方法
WO2020037541A1 (zh) * 2018-08-22 2020-02-27 西门子股份公司 控制系统、方法、计算设备及介质
CN109450335A (zh) * 2018-12-12 2019-03-08 北京长城华冠汽车科技股份有限公司 车辆的电机转速信号处理系统及其控制方法和车辆
CN110745176A (zh) * 2019-10-28 2020-02-04 徐工集团工程机械股份有限公司科技分公司 装载机安全型手柄转向控制系统和控制方法
CN115366902A (zh) * 2022-08-24 2022-11-22 重庆长安汽车股份有限公司 控制方法、控制装置、车辆及计算机可读存储介质
CN115366902B (zh) * 2022-08-24 2024-08-06 重庆长安汽车股份有限公司 控制方法、控制装置、车辆及计算机可读存储介质

Also Published As

Publication number Publication date
CN104049530B (zh) 2017-10-31
DE102014102582B4 (de) 2024-05-08
US20140277608A1 (en) 2014-09-18
US9740178B2 (en) 2017-08-22
DE102014102582A1 (de) 2014-09-18

Similar Documents

Publication Publication Date Title
CN104049530A (zh) 容错控制系统
CN107531250B (zh) 车辆安全电子控制系统
CN105515739B (zh) 具有第一计算单元和第二计算单元的系统和运行系统的方法
US9934111B2 (en) Control and data transmission system, process device, and method for redundant process control with decentralized redundancy
US9102335B2 (en) Vehicle and method for controlling a vehicle
CN110737192A (zh) 汽车驾驶冗余控制系统及其方法
KR20210073705A (ko) 자율주행차량의 고장에 따른 차량 제어 시스템 및 방법
JP2008505012A (ja) 冗長データバスシステム
US20160034363A1 (en) Method for handling faults in a central control device, and control device
CN106054852A (zh) 集成式故障沉默和故障运转系统中的可量容错的构造
JP2009184423A (ja) 車両用電子制御装置
KR102603347B1 (ko) 전자식 주차 브레이크 제어장치 및 방법
CN105620459A (zh) 电动汽车制动踏板诊断方法及装置
US9659415B2 (en) Apparatus for warning of occurrence of error of device
KR20150052186A (ko) 통신 채널에 연결된 장치를 모니터링하는 방법
JP7180000B2 (ja) 車両用制御アーキテクチャ
CN108238034B (zh) 制动控制方法及装置
CN109613846A (zh) 一种高安全的双余度过载表决启动方法
CN103338991B (zh) 用于监测控制单元的安全监测系统的功能的方法和系统
KR20030071532A (ko) 다중 통신 시스템 및 이를 이용한 승원 보호 시스템
CN118387123A (zh) 车辆控制方法、座舱控制器、车载计算系统和车辆
CN113830096A (zh) 车辆的控制方法、设备及车辆
KR100892370B1 (ko) 차량진단시 진단단말기간의 충돌방지 시스템 및 그 방법
CN108569267B (zh) 用于保障停车制动器的操作元件的功能能力的方法和装置
JP2010095134A (ja) 通信中継装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant