CN105515739B - 具有第一计算单元和第二计算单元的系统和运行系统的方法 - Google Patents
具有第一计算单元和第二计算单元的系统和运行系统的方法 Download PDFInfo
- Publication number
- CN105515739B CN105515739B CN201510669830.8A CN201510669830A CN105515739B CN 105515739 B CN105515739 B CN 105515739B CN 201510669830 A CN201510669830 A CN 201510669830A CN 105515739 B CN105515739 B CN 105515739B
- Authority
- CN
- China
- Prior art keywords
- computing unit
- actuator
- computing
- driving function
- sensor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
- G05D1/0077—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W30/00—Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/005—Handover processes
- B60W60/0053—Handover processes from vehicle to occupant
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W30/00—Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
- B60W30/14—Adaptive cruise control
- B60W30/143—Speed control
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W30/00—Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
- B60W30/14—Adaptive cruise control
- B60W30/16—Control of distance between vehicles, e.g. keeping a distance to preceding vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Human Computer Interaction (AREA)
- Radar, Positioning & Navigation (AREA)
- Physics & Mathematics (AREA)
- Aviation & Aerospace Engineering (AREA)
- General Physics & Mathematics (AREA)
- Remote Sensing (AREA)
- Safety Devices In Control Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Game Theory and Decision Science (AREA)
- Medical Informatics (AREA)
Abstract
本发明涉及一种带有第一计算单元和第二计算单元的系统,其中第一计算单元具有第一接口,以便与至少一个传感器和与至少一个执行器相连,其中第二计算单元具有第二接口,以便与至少一个传感器和与至少一个执行器相连,其中第一和第二计算单元能够通过另一个接口彼此相连,其中执行器具有端口,其中所述端口与第一或第二运行状态有关地确定是否从第一或从第二计算单元接收了用于行驶功能的控制命令,从而在第一运行状态中只有第一计算单元能够触发执行器,并且在第二运行状态中只有第二计算单元能够触发执行器。
Description
技术领域
本发明涉及一种具有第一计算单元和第二计算单元的系统以及一种用于运行所述系统的方法。
背景技术
在现有技术中已知的是,通过以下方式来实现安全相关的系统,即所述系统在故障情况中过渡到安全的状态中。然后所述安全的状态通常没有功能且例如通过无电的或无能量的系统来表征。
此外已知的系统是,在该系统中提供了在用于故障情况的计算能力方面的冗余。
防止失效的系统在故障存在的情况下依旧保持其功能。已知的结构是:
· 3取2投票(2 aus 3 Voting)
· 双模式-双重结构
理论上,同样已知冷冗余和热冗余的应用。
发明内容
本发明的任务在于,提供一种用于掌控车辆中的自动化任务的系统。
本发明的任务通过一种具有第一计算单元和第二计算单元的系统和一种用于运行所述系统的方法来解决。在具有第一计算单元和第二计算单元的系统中,所述第一计算单元具有第一接口,以便与至少一个传感器和至少一个执行器相连,其中,所述第二计算单元具有第二接口,以便与所述至少一个传感器和所述至少一个执行器相连,其中,所述第一计算单元和所述第二计算单元通过第三接口彼此相连,其中,所述第一计算单元和/或所述第二计算单元和/或所述执行器被构造用于确定是否所述第一计算单元或所述第二计算单元能够有效地触发所述至少一个执行器。在用于运行具有第一计算单元和第二计算单元的系统的方法中,所述第一计算单元具有第一接口,以便与至少一个传感器和至少一个执行器相连,其中,所述第二计算单元具有第二接口,以便与所述至少一个传感器和所述至少一个执行器相连,其中,所述第一计算单元和所述第二计算单元通过第三接口彼此相连,其中,所述第一计算单元和/或所述第二计算单元和/或所述执行器要确定的是,是否所述第一计算单元或所述第二计算单元能够有效地触发所述至少一个执行器。
在下文中说明了其它的实施方式。
所描述的系统和所描述的方法的优点在于,保证的是,只有两个计算单元中的一个能够触发执行器。这通过以下方式实现,即第一计算单元和/或第二计算单元和/或执行器构造用于确定,是否第一或第二计算单元能够有效地触发执行器。
在一个实施方式中,在第一计算单元的正确的功能中,第一运行状态是活跃的,并且只有第一计算单元能够有效地触发执行器,并且其中在第一计算单元的功能故障中第二运行状态是活跃的,并且只有第二计算单元能够有效地触发执行器。
在一个实施方式中,执行器具有端口,其中所述端口确定的是,两个计算单元中的哪个可以将控制命令输出给执行器。以这种方式保证的是,只有实际上具有用于输出控制命令的许可的计算单元也能够将控制命令输出给执行器。另外在无故障的运行中,仅仅设置了第一计算单元。如果第一计算单元具有功能故障,则用于将控制命令输出给执行器的权利能够交接给第二计算单元。
该作用方式尤其提供了在通过系统实施自动化的行驶功能时的优点。自动的行驶功能例如是车辆的自动的间距调节、自动的速度调节、自动的制动或自动的转向。自动化的行驶功能的特征在于,系统承担责任并且在出现故障时驾驶员不作为后备层面以供使用。
在防止故障方面的另一个改进方案按照一个改型方案来实现,办法是,第二计算单元构造用于执行测试方法。测试方法例如在第一运行状态中执行,在该第一运行状态中,第一计算单元作为功能有效而适用。测试方法能够不仅包含第二计算单元的测试也包含第一计算单元的测试。
系统的另一个改进方案通过以下方式实现,即测试方法涉及在第二和第一计算单元之间的通信,也就是说,第二计算单元测试的是,是否在第一和第二计算单元之间的通信正确地起作用。对此,在计算单元之间的测试数据能够得到交换。
系统的另一个改进方案通过以下方式实现,即按照一个改型方案,第二计算单元借助于测试方法来检查自身的正确的作用方式。对此能够将确定的任务存放在存储器中,第二计算单元实施所述任务,其中任务的正确的结果同样存放在存储器中并且在完成任务之后由第二计算单元进行比较。
在另一个实施方式中,如果识别出第一计算单元的功能故障,系统就由第一运行状态切换到第二运行状态中。功能故障能够例如由第一计算单元自身借助于相应的测试方法来检查和识别。此外当然第二计算单元也能够借助于测试方法已检查和识别出第一计算单元的功能故障。
系统的另一个改进方案通过以下方式实现,即按照另一个实施方式,执行器构造用于,在存在第一和/或第二计算单元的功能故障的情况下将执行器控制到安全功能中或安全位置中。借助该措施可能的是,甚至在第一和第二计算单元失效的情况下,执行器本身例如借助于独立的执行器控制器或独立的电子线路可以借助安全功能来控制。安全功能的用处在于,遵循预先设定的安全条件。
在另一个实施方式中设置了两个执行器控制器,其中两个执行器控制器与至少一个执行器处于有效连接中。此外,各个执行器控制器具有端口,第一和第二计算单元与该端口相连。以这种方式实现了用于执行器控制器的失效的另一个冗余。
在另一个实施方式中通过以下方式减小了系统的故障易发性,即第一计算单元和第二计算单元与分离的电流供应系统相连。因此保证的是,在一个电流供应系统失效的情况下继续用电流供应两个计算单元中的至少一个。两个电流供应系统能够表示车载电网的子单元或表示完全分离的电流供应系统,该电流供应系统例如由电池或发电机(Lichtmaschine)供给。
系统的另一个改进方案通过以下方式实现,即按照一个改型方案,第一计算单元构造用于,至少把用于检查正确的作用方式的输入数据提供给第二计算单元。由此实现了安全性的进一步提高,因为输入数据不是由第二计算单元提供,而是与第二计算单元无关地由第一计算单元提供。因此在输入数据的产生中的故障能够通过第二计算单元的功能故障而排除。
在另一个实施方式中构造第一计算单元用以把用于行驶功能的所计算的控制传送给第二计算单元。还构造第二计算单元用以执行用于相同的控制的相同的计算。此外构造第二计算单元用以将自身所计算的结果与由第一计算单元所传送的控制相比较。借助于所述比较能够识别第一和/或第二计算单元的功能故障。
系统的另一个改进方案通过以下方式实现,即按照一个构造形式设置了至少两个传感器,所述传感器冗余地测量相同的参数。此外,至少第一计算单元与第一传感器并且第二计算单元与第二传感器相连。由此能够比较参数的测量且识别传感器或者说计算单元的功能故障。
在另一个实施方式中能够设置多个冗余的传感器,所述传感器至少部分地测量相同的参数,其中第一和第二计算单元与两个传感器的交集(Schnittmenge)相连。同样以这种方式,能够至少针对交集的传感器、通过将冗余地所获取的或者说由计算单元所求取的参数进行比较来执行计算单元的作用方式的检查或者说交集的参数的检查。如果例如仅仅在一个冗余的传感器副中识别出第一和第二计算单元的功能故障,其中另一个传感器副提供了正确的测量值,则能够定位传感器中的功能故障。但是如果交集的传感器副的多个传感器对第一和第二计算单元的检查得出了功能故障方面的指示,则这能够指示第一或第二计算单元的功能故障。
在另一个实施方式中,能够改善自动化的行驶功能的用于交接要求的安全性。对此,用于实施自动化的行驶功能的交接要求通过分离的接口从HMI交接到两个计算单元。两个计算单元构造用于彼此分离地显示HMI的行驶功能的接管。此外HMI构造用于,如果两个计算单元显示的是,所述两个计算单元能够正确起作用并且实施行驶功能,则HIM就将自动化的行驶功能交接到第一计算单元。
系统的安全性的另一个改进方案通过以下方式实现,即根据一个实施形式,如果第一计算单元自身被认为是功能有效且另外从第二计算单元得到的信息是,第二计算单元也是功能有效的,则第一计算单元就将自动化的行驶功能的接管发信号给HMI。此外,如果第二计算单元被认为是功能有效的且从第一计算单元得到的信息是,第一计算单元也被认为是功能有效的,则第二计算单元就将行驶功能的接管发送到HMI。以这种方式,在接管自动化的行驶功能之前,实现了第一和第二计算单元的实际的功能有效性的增高的保障。
行驶功能(其接管被提供)能够例如是转向功能、加速功能或者制动功能也或者这样的功能的组合。
系统的另一个改进方案按照一个改型方案通过以下方式实现,即在第二运行状态中(其中第二计算单元实施行驶功能),行驶功能的实施回送到第一计算单元,如果第一计算单元显示的是,第一计算单元再次功能有效。因此能够渡过第一计算单元的暂时的失效并且再次过渡到第一运行状态中。因而提供了稳健的系统。
在另一个实施方式中,行驶功能向第一计算单元的回送被限制到第一计算单元的确定的功能故障和/或确定的行驶功能上。因此能够排除第一计算单元的严重的功能故障,在所述严重的功能故障中,第一计算单元的重新失效的危险比较高或者关于第一计算单元的正确的作用方式的不安全性继续存在。此外,能够借助该措施把向着再次正确起作用的第一计算单元的控制的回送限制到行驶功能上,该行驶功能在第一计算单元的失效方面更加不重要。同样由此提高了系统安全性。所确定的行驶功能或者功能故障存放在第一和/或第二计算单元的存储器中。
附图说明
依据附图具体地阐释本发明。图示:
图1是系统的第一实施方式的示意图,
图2到9是具有用于使用带有传感器的计算单元的各种实施方式的系统的各种部分视图。
具体实施方式
图1示出了所提出的系统的基本思想。第一计算单元1处于与至少一个传感器3的连接中。此外,第一计算单元1处于与至少一个执行器4的连接中。执行器4能够构造以单个的执行器的形式或以多个执行器的形式或以执行装置(Aktuatorik)的形式。此外设置了第二计算单元2,该计算单元同样与至少一个传感器3和至少一个执行器4相连。执行器能够构造以一个传感器的形式或以多个传感器的形式或以传感装置(Sensorik)的形式。此外,第一和/或第二计算单元具有数据存储器15、16。此外,第二计算单元2通过接口5与第一计算单元1相连。第一计算单元1获取传感器3的信号并且按照至少一个存放在第一数据存储器15中的控制方法从中求取控制信号,第一计算单元1借助于该控制信号来触发执行器4。在第一运行状态中(其中第一计算单元1作为正确功能有效而适用),仅第一计算单元1能够触发执行器4。第二计算单元2虽然不仅与传感器3而且与执行器4相连,但是在第一运行状态中不能够触发执行器4。计算单元1和2在此有利地是在结构方面分离的、带有自身机械方面的限制的控制器,该限制具有合适的密封特性。
第一计算单元1例如满足下述的条件:该计算单元拥有用于自身故障的较好的故障识别。由此应保证的是,如果第一计算单元1将控制信号发送到执行器4,所述控制信号也是值得信赖且安全的。如果第一计算单元不能够提供安全的控制信号,则该第一计算单元不应提供控制信号。这种故障-沉默-功能的传统的实施意味着,第一计算单元在功能故障中不将控制信号发到执行器4。与所选择的实施方式有关地,故障-沉默-功能也能够通过合适的独立的故障信号来实现,该故障信号传递给执行器4。在该实施方式中,执行器4在第一计算单元的故障信号的输入端处识别的是,第一计算单元的控制信号不会再被实施。此外,第一计算单元具有较高的可支配性,也就是说故障和功能失效只应非常少地出现。
如果出现了功能故障,也就是说第一计算单元1的故障或者功能失效,则第二计算单元2接管第一计算单元1的功能。对此,第二计算单元2应例如满足下述的要求:第二计算单元2应与第一计算单元1无关地构造,也就是说物理上作为独立的构件。此外有利的是,第二计算单元2装在独立的壳体中并且优选地在结构方面分离且例如安装在另一个部位。此外,应构造第二计算单元2用以在出现第一计算单元1的故障时能够很快地且无缝地接管第一计算单元1的功能。
主作用路径从传感器3经由第一计算单元1运行到执行器4。第一计算单元1评定传感器信号并且从中计算出所产生的活动,也就是说用于执行器4的控制信号,并且将该控制信号进一步传递给执行器4。第二计算单元2在一个实施方式中获得与第一计算单元1相同的传感器数据。在另一个实施方式中,第二计算单元2当然也能够获得其它的或类似的或仅仅第一计算单元1的传感器数据的一部分量。此外,第二计算单元2与至少一个传感器3的连接和与第一计算单元1的连接是相同的。当然也能够使用多样的连接、例如通过数据总线,或者使用通过物理上分离的传输通道的冗余的连接。
此外,第二计算单元2从第一计算单元1通过数据连接5优选地获得了其它的信息例如控制信号(第一计算单元1将该控制信号发送到执行器3)和/或第一计算单元1的故障状态以及例如借助于下述示例被阐释的其它的信息。在第一和第二计算单元1、2之间的数据传输的目的在于,第二计算单元2快速地且尽可能无缝地在第一计算单元1失效时能够接管执行器4的控制。如果出现第一计算单元1的功能故障,则系统过渡到第二运行状态中,在该第二运行状态中,只有第二计算单元2还将控制信号发送到执行器4或者说执行器4仅仅还接收和实施第二计算单元2的控制信号。另外,执行器能够具有自身的执行器控制器或至少一个端口,该端口能够区分第一和第二计算单元的控制信号。
图2示出了系统的另一个实施方式,其中额外地设置了HMI 6、也就是说在计算单元和车辆的驾驶员之间的接口。HMI 6表示人机接口。HMI 6处于与第一计算单元1、与第二计算单元2和例如与执行器4的连接中并且能够与这些数据、信息和信号交换。HMI能够以用于获得驾驶员输入参量的合适的传感器、显示器或语音输出器和语音输入器或者触觉的信号交换器的形式实现。
从系统传给驾驶员的主要的信息是用于行驶功能的接管要求。如果包括第一和第二计算单元1、2的系统执行行驶功能,特别是自动化行驶功能、也就是说没有驾驶员作用地执行,但是其中系统希望将行驶功能再次交接给驾驶员,接管要求就从系统通过HMI 6输出给驾驶员。对将行驶功能从系统交接给驾驶员而言,原因能够是功能方面的也或者由故障引起的。功能方面的原因能够例如在于,系统仅仅在高速公路上活跃并且在离开高速公路之前将信号传递给驾驶员,因而驾驶员再次接管或实现行驶功能;能够在于,系统不再能够实施自动化的行驶功能。由故障引起的原因能够例如在于,系统侦测出第一和/或第二计算单元1、2或传感器3或执行器4的内部故障并且因此系统还仅能够执行减少的行驶功能或完全不执行行驶功能、尤其是不执行自动化的行驶功能。同样在该情况中要求驾驶员接管行驶功能或者说提示驾驶员:系统不再能够实施行驶功能。
此外有利的是,告知驾驶员关于系统的当前状态的信息。在此,有多个可能引人注意的状态信息。定性的信息例如在于,是否系统位于后备层面中,也就是说位于第二运行状态中,在该第二运行状态中行驶功能不是由第一计算单元1而是由第二计算单元2实施。该情况同时通过HMI导致要求由驾驶员承担行驶任务。此外,关于在组件例如传感装置、计算单元1、2或执行装置中的其中一个的故障状态的信息对驾驶员而言是引人注意的。同样,这能够通过HMI 6显示给驾驶员。此外,能够通过HMI 6显示给驾驶员的是,在何种边界条件下系统起作用或者说实施自动化的行驶功能。边界条件能够例如称为安全关系(Sicherverhältnis)、街道适宜性或天气感受。同样,这种信息对驾驶员而言能够引人注意。此外,驾驶员能够通过HMI 6获得关于执行器4或传感器3的信息。此外,对驾驶员而言能够引人注意的是要知道,从执行器4方面来看是否驾驶员还是系统负责执行器4的控制。
用于在驾驶员和系统之间交换的其它的重要的信息在于接管要求或者说驾驶员接管。在接管要求方面,驾驶员通过HMI 6告知系统的是,驾驶员愿意将关于至少一个确定的行驶功能的控制给予系统。在驾驶员接管方面,驾驶员告知系统的是,驾驶员愿意接管关于行驶功能的控制,该控制那时是由系统实施的。该信息应该尽可能简单地传送,其中在驾驶员和系统之间的传送是稳健的,也就是说应防止故障地实施。
在第一运行状态中(其中系统尤其自动化地实施行驶功能),仅仅第一计算单元1将控制信号发送到执行器4的接口7。用以下方式构造第一计算单元1,即在识别出自身的功能故障时,第一计算单元1不将进一步的控制信号输出到接口7。在识别出计算单元1的功能故障时,系统过渡到第二运行状态中,在该运行状态中,仅仅第二计算单元2还将控制信号输出给接口7。与所选择的实施有关地,行驶功能向第一计算单元的回送被限制到第一计算单元的确定的功能故障和/或确定的行驶功能上。第一计算单元的功能故障和/或确定的行驶功能存放在第一和/或第二数据存储器中。
在第一运行状态中进行在第二计算单元2和执行器4之间的通信。该通信应至少确保的是,在第二计算单元2和执行器4之间的通信路径是功能有效的。作为任选方案,能够实施其它的功能方面的或为测试方法所使用的、在第二计算单元2和执行器4或者说端口7之间的通信。例如,制动器4能够通过端口7也将关于计算单元1的故障状态、也就是说计算单元1的运行状态的信息传送给计算单元2。
在一个实施方式中,用以下方式构造端口7,即端口7选出的是,哪个输入端是活跃的,也就是说哪个计算单元1、2将控制信号输出到端口7。在一个实施方式中,在系统设计中设置的是,如果两个计算单元1、2同时将控制命令传送给端口7,就解释为第二计算单元2的故障情况。端口7的另一个功能在于,不决定第一还是第二计算单元1、2将控制信号输出到执行器4,而是该决定由端口7、也就是说在执行器4的一侧作出。以这种方式阻碍的是,计算单元的功能故障消极地影响另一个正确起作用的计算单元的控制命令。
此外有利的是,在系统中(也就是说在HMI 6中、在执行器4中、在第一和第二计算单元1、2中)一致存在的信息是,是否驾驶员负责行驶功能或存在第一运行状态(在该运行状态中第一计算单元1负责行驶功能)或存在第二运行状态(在该运行状态中第二计算单元2负责行驶功能)。如果例如端口7识别的是,第一和/或第二计算单元1、2的功能故障存在,则能够构造端口7或者说执行器4用以将该信息直接传递给HMI 6并且因此告知驾驶员信息或者说要求驾驶员进行驾驶员接管。驾驶员接管的意思是,驾驶员被要求自己再次接管由系统实施的行驶功能。
同样,关于活跃层面的信息的确保一致的相同的形式也用在HMI 6中。例如能够设置的是,驾驶员的相应的信息"我是活跃的"明确地传递给其它的组件例如计算单元1、2和执行器3。
此外,能够构造执行器4用于在识别出第一和/或第二计算单元1、2的功能故障时触发系统关闭路径8。系统关闭路径8能够在各种实施方式中存在:
作为固定的参量,该参量稳固地存放在执行器3中、例如在执行器3的数据存储器中。一个示例是,用于执行器的控制命令对笔直向前行驶中的紧急制动操控而言是带有固定的延迟的。
作为可变的参量,有:其中用于当前适用的紧急关闭的用于执行器的控制信号在第一运行状态中通过第一计算单元或在第二运行状态中通过第二计算单元来传送。
作为前述方法的组合,有:其中仅仅预先设定对执行器的控制信号而言必需的参量的确定的参数并且设置了在执行器4中的转化:例如制动加速度和转向角或者说转向角走势。
在另一个实施方式中设置了执行器4的容错的连接。能够设置执行器4用以控制车辆的制动、车辆的转向和/或车辆的驱动。这些系统的安全技术方面的要求在驾驶员辅助关系中可以预见地同样有各种形式,但是有利的是,执行器的至少一部分相对于电的和/或电子的故障是自身容错的:例如能够设置的是,通过ISP和电子的制动力强化器来实施制动。
图3示出了系统的可能的结构的另一个实施方式的部分截取部分。执行器4除了或额外于端口7之外具有至少一个执行器控制器17、18也或者两个执行器控制器17、18。执行器控制器17、18也能够集成在端口7中。第一计算单元1和第二计算单元2通过第一数据总线9与第一执行器4且通过第二数据总线10与第二执行器11相连。第二执行器11能够具有端口7和/或执行器控制器,且例如与第一执行器4相同地构造。因此,各个计算单元1、2能够将控制信号输出到第一和第二执行器4、11。与所选择的实施方式有关地,能够冗余地设置执行器4、11,从而在普通情况中仅仅使用两个执行器4、11中的一个。但是也可能的是,在普通情况中也使用两个执行器。能够不仅在第一运行状态中也在第二运行状态中使用这种过程方法。优选地,在系统中确保的是,在所有的参与的组件中存在关于哪个计算单元1、2活跃的信息。因此提供了关于行驶功能负责的一致的信息。
在一个实施方式中,第一计算单元1和第二计算单元2能够由不同的电流供应系统19、20、也就是说由不同的车载电网部分用电供应。因此给出了另一个增高的防止失效性。在一个至少双通道的车载电网中、也就是说在两个分离的电流供应系统19、20中,这例如能够通过以下方式实现,即一个通道供应第一计算单元1且另一个通道供应第二计算单元2。此外能够设置的是,第一执行器4和第二执行器11同样由分离的电流供应系统用电供应。与所选择的实施方式有关地,其它的部分系统例如HMI 6和/或传感器3或者说其它的传感器也能够同样由分离的电流供应系统19、20用电供应。由此实现了容错的进一步提高。因此在车载电网通道失效的情况中始终依旧提供了贯通地起作用的通道。
在一个实施方式中设置的是,第二计算单元2不具有的任务是,监控第一计算单元1或侦测第一计算单元1的错误。但是可能的是,使用第一计算单元1的信息,以便测试第二计算单元2。例如第一计算单元1能够计算出当前的行驶功能并且将所计算出的行驶功能也或者其它的用于执行器4的控制信号发送到第二计算单元2。该信息能够由第二计算单元2使用,以便测试自身。测试能够例如在于,第二计算单元2检验的是,是否该第二计算单元同样已计算出相同的行驶功能或者是否该第二计算单元认为由第一计算单元1所计算出的行驶功能是有效的。行驶功能能够例如在于车辆的运动轨迹的计算,该运动轨道遵循车辆的道路走势或者说车道。如果第二计算单元2在该检查中得到了消极的结果,则第二计算单元2未侦测出在第一计算单元1中的故障,而是侦测出自身的故障,且将该功能故障优选在整个系统警示,至少警示到第一计算单元1和/或HMI 6。
如果在第一运行阶段期间成功地侦测到第二计算单元2的功能故障,则由此通过驾驶员进行的用于行驶功能的驾驶员接管就是必需的。但是因为还始终存在起作用的第一计算单元,则不是必然必需的是,通过驾驶员来进行行驶功能的快速的接管。此外,能够设置该故障警示的抖动抑制(Entprellung),从而在多个错误警示之后才通过第二计算单元2在自身的功能故障方面将要求输送给驾驶员,以便接管行驶功能。但是如果第二计算单元2识别出在第二运行状态期间的功能故障,则立即对驾驶员进行要求,使其接管行驶功能。
此外,由第一计算单元1传送到执行器4的控制信号并行地传送到第二计算单元2具有的优点是,第二计算单元2拥有当前的行驶功能的当前的控制信号。以这种方式,如果出现第一计算单元1的功能故障,就能够实现行驶功能从第一计算单元1到第二计算单元2的尽可能无缝的交接。
对第二计算单元2能够有利的是,认识目前为止的控制信号、尤其是车辆的到目前为止的行驶轨迹的规划,由此行驶轨迹的尽可能连续的继续是可能的。这例如是有利的,当车辆正借助于行驶功能通过弯道时,其中行驶功能由第一计算单元1实施。以这种方式,能够实现行驶功能从第一计算单元1到第二计算单元2的窜动最小的交接。此外能够有利的是,第一计算单元1传送其它的信息、例如当前的行驶策略或者传感器和/或执行器和/或车辆的其它的内部状态。
图4示出了用于带有第一或第二计算单元1、2的系统的部分截取部分的一个实施方式,其中仅仅展示了到传感器的连接。这里未展示到其它的组件例如HMI 6或执行器4的连接。该连接例如对应图1或2的实施方式。第一计算单元1处于与第一传感器3和第二传感器12的连接中。第二计算单元2处于与第三传感器13和与第四传感器14的连接中。与所选择的实施方式有关地,各个传感器能够自己独自地在功能方面产生所期望的测量信号。因此不必进行第一和第二传感器或者说第三和第四传感器的传感器联合。而是在该实施方式中,在冗余的传感器的信号的评定中出现差异的情况下就推断出传感装置中的故障,并且第一或者说第二计算单元将相应的故障警示到系统的其它的组件例如HMI 6和/或执行器4。在该实施方式中,传感器应满足对防止故障失效性的高要求。各个单个的传感器应在安全相关的评定、例如对象识别方面是完全有效的。与所选择的实施方式有关地,各个传感器能够包括其它的部分传感器,从而在传感器内进行传感器信号的传感器内部的数据联合。在该实施方式中,将平均的传感器信号传送到相应的计算单元1、2。此外,冗余地设置的传感器3、12或者说13、14应在其故障特性方面尽可能彼此无关。优选地,冗余的传感器基于各种传感器原理。由此在各个通道中能够获得增高的故障发现以及实现传感器通道的彼此无关。优选是尽可能多样的传感器原理和传感器评定,例如是立体声-视频传感器、单视频传感器、激光雷达传感器(Lidar-Sensor)、雷达传感器、超声波传感器、电容式传感器和各种频率以及等等。
图5示出了系统的部分截取部分,其中仅仅展示了第一或第二计算单元1、2到传感器的连接。这里未展示到其它的组件例如HMI 6或执行器4的连接。该连接例如对应图1或2的实施方式。在该实施方式中仅仅设置了三个传感器3、12、13。计算单元1与第一传感器3和第二传感器12相连。第二计算单元2与第三传感器13相连。该实施方式在技术上更为简单和在花费上更为有利,但是其中第二计算单元2不再能够执行传感器信号的在线故障识别。对确认或对第三传感器13的测试而言,在普通运行中或者在第一运行状态中能够动用第一和/或第二传感器3、12的数据。这些数据从第一计算单元1传送到第二计算单元2。优选地,例如图4已经阐释的那样,第一传感器3完全功能有效且与第二传感器12无关。此外能够设置的是,第三传感器13也是完全功能有效且与第一和第二传感器3、12无关地构造。
图6示出了用于将第一或第二计算单元1、2连接到四个传感器3、12、13、14的另一个实施方式。这里未展示到其它的组件例如HMI 6或执行器4的连接。该连接例如对应图1或2的实施方式。在该实施方式中,各个计算单元1、2与各个传感器3、12、13、14相连。在该实施方式中,能够在计算单元1、2中进行传感器信号的联合。此外,在该实施方式中不需要的是,各个传感器各自完全功能有效。足够的是,至少两个传感器能够共同执行所期望的测量。
图7示出了与图6相似的实施方式,但是其中代替四个传感器仅仅设置了三个传感器。在图6和7中所展示的实施方式相对于传感器故障是容错的。
图8示出了用于将第一或第二计算单元连接到四个传感器3、12、13、14的另一个实施方式。在该实施方式中,第一计算单元1与第一、第二和第三传感器3、12、13相连。第二计算单元2与第二、第三和第四传感器12、13、14相连。在该实施方式中,在一个传感器失效的情况下的更好的故障识别是可能的,因为第一计算单元1与第二计算单元2无关地仅仅能够访问第一传感器3且第二计算单元2与第一计算单元1无关地仅仅能够访问第四传感器14。
图9同样示出了第一或第二计算单元1、2的连接,其中给出了故障与传感器的失效的增高的无关性。在该实施方式中,第一计算单元1与第一、第二和第三传感器3、12、13相连。第二计算单元2仅与第二传感器12相连。
后备层面的测试
在系统的普通运行期间,以有利的方式测试方法始终在第二计算单元2上运行。该测试方法例如测试连接到第二计算单元2上的传感器并且也检测通过第二计算单元2所进行的控制信号的产生。对此能够设置相应的控制线路。以有利的方式,用以下方式来构造测试方法,即所述测试方法能够在短时间内中断,当第一计算单元1警示功能故障时。与所选择的实施方式有关地,测试方法的执行要求第二计算单元的50%或更多的计算能力。对第二计算单元而言证实了较高的覆盖占用率(Coverage)。因此能够有利的是,执行非常广泛的测试方法,该测试方法也能够是耗费时间的。此外正如上文已经阐释的那样,第一计算单元1的数据能够用于执行测试方法。
交接报告
在在车辆的行驶功能方面的控制从驾驶员交接到带有第一或第二计算单元1、2的系统的情况下,例如接管要求通过HMI 6传送到第一计算单元1和第二计算单元2。所述传输能够通过相同的或两个不同的通信通道来进行。相应的通信通道能够正如图1或2中那样构造。在获得交接要求之后,第一和第二计算单元1、2检验其状态和其功能有效性,该功能有效性例如与车辆的运行状态或者说车辆的运行地点有关。例如能够设置的是,行驶功能的实施、尤其是行驶功能的自动化实施仅仅能够在车辆的确定的运行状态中或在确定的地理区域、例如高速公路中起作用。因此在所述接管之前,通过第一和第二计算单元测试的是,是否第一和第二计算单元此时能够实施确定被接管的行驶功能。第一和第二计算单元不能够实施行驶功能,当两个计算单元中的至少一个具有功能故障时。只有如果两个计算单元1、2能够无故障地实施确定用于被交接的行驶功能,就应通过两个计算单元进行接管。
在一个实施方式中,首先在通过HMI 6获得接管要求之后,两个计算单元1、2把关于功能故障和其功能有效性的相应的状态进行交换。紧接着,如果第一计算单元自身视为无故障且可以实施行驶功能且此外从第二计算单元获得的信息是,第二计算单元也是无故障的且能够实施行驶功能,那么第一计算单元1就将用于行驶功能的接管的Ok例如通过HMI传送给驾驶员。以相同的方式,如果第二计算单元自身视为无故障且可以实施行驶功能并且如果第二计算单元从第一计算单元获得的信息是,第一计算单元也是无故障的且能够实施行驶功能,那么第二计算单元就将用于行驶功能的接管的Ok例如通过HMI 6传送给驾驶员。在获得第一和第二计算单元1、2的Ok信息之后,HMI 6例如就将相应的激活确认发送给第一计算单元1和可能的其它系统部分、例如第二计算单元2、执行器4和/或传感器3。
向回交接
在一个实施方式中,所提出的结构允许从第二运行阶段(其中行驶功能由第二计算单元2实施)转换到第一运行阶段。如果在第二运行阶段期间,第一计算单元1确定的是,该第一计算单元再次无故障地起作用并且能够实施行驶功能,则该第一计算单元通过相应的向回交接程序再次接管关于行驶功能的控制。如果故障在第一计算单元1中只是暂时的或者如果故障通过例如传感器3中的缺陷(该缺陷在另一个道路情况中再次消失)所引起,则这能够例如是有利的。
向回交接能够具有下述的步骤:
在一个实施方式中能够设置故障的分类,在第一计算单元1中的故障出现时可以返回到第一运行状态。另外,能够将带有故障的相应的表格存放在数据存储器、例如第二计算单元2中。在分类的使用中,仅仅在允许过渡到第一运行状态的故障的情况下可以向回交接。与所选择的实施方式有关地,也能够确定在分类中的一个故障类型,在第一计算单元1中出现该故障类型时,可以从第二运行阶段返回到第一运行阶段。此外,能够设置在第一和第二计算单元1、2之间的信息交换,以便交换故障(对该故障而言可以进行向回交接)。
此外能够设置第一计算单元1的回送检验。在该检验中能够例如设置第一计算单元1的完全的复位和所有初始化测试的执行。同样,能够储存专门的测试方法,该测试方法设置用于研究所出现的故障类型。此外,能够设置从第一计算单元1向着第二计算单元2以及向着HMI 6和优选地向着执行器3发送信号,据此显示的是,第一计算单元1再次功能有效。
还能够设置的是,第二计算单元2将信息传送给第一计算单元1,该信息在功能上实现了通过第一计算单元1进行的行驶功能无缝的接管。该信息例如对应在第一运行状态中从第一计算单元1传送到第二计算单元2的信息。通过这里所提出的回送方法可能的是,在第一计算单元1的故障情况中不紧迫地、而是利用预先设定的、优选更长的时间常数要求驾驶员接管。如果第二计算单元2实际上也在功能上的故障效应方面很好地与第一计算单元1无关,则通过第二计算单元2所进行的进一步运行一定位于几分钟的范围中。因此有充足的时间,用于从第二运行阶段到第一运行阶段的向回传递或者说过渡。如果第一计算单元1成功地实现了从第二运行阶段到第一运行阶段的过渡,则再次存在冗余的、正确起作用的系统,该系统(在功能限制的范围中)也能够不受限制地进一步继续运行。在此假设的情况下,也不必然需要的是,在出现故障之后的很短的时间内告知驾驶员信息。
与所选择的实施方式有关地,在第二运行阶段中的功能相比于在第一运行阶段中的功能是受到限制的。例如,能够在第二运行阶段中为了安全而选择更慢的速度、更大的间距、没有超车操纵,或者优选预先设定的车道(在德国在多车道的情况下是右车道),由此在第二计算单元2的额外的失效中减小危险可能性并且驾驶员具有用于急速接管行驶功能的更多时间。如果在第二运行阶段中第二计算单元具有功能故障,则例如通过HMI将相应的显示展示给驾驶员就是必需的。在该显示中要求驾驶员的是,立即再次接管自动化的行驶功能。
Claims (21)
1.具有第一计算单元(1)和第二计算单元(2)的系统,其中,所述第一计算单元(1)具有第一接口,以便与至少一个传感器(3)和至少一个执行器(4)相连,其中,所述第二计算单元(2)具有第二接口,以便与相同的所述传感器(3)和相同的所述执行器(4)相连,其中,所述第一计算单元(1)和所述第二计算单元(2)通过第三接口(5)彼此相连,其中,所述第一计算单元(1)和/或所述第二计算单元(2)和/或所述执行器(4)被构造用于确定是否所述第一计算单元(1)或所述第二计算单元(2)能够有效地触发所述执行器(4),其中,HMI(6)构造用于,将用于实施自动化的行驶功能的交接要求传递到两个计算单元(1、2),其中,所述两个计算单元(1、2)构造用于,彼此分离地显示HMI(6)的行驶功能的接管,并且其中,只有当所述两个计算单元(1、2)显示的是所述两个计算单元能够正确起作用并且实施行驶功能时,所述HMI(6)才将自动化的行驶功能传递到所述第一计算单元(1)。
2.按照权利要求1所述的系统,其中,所述执行器(4)具有端口(7),其中,所述端口(7)与第一或第二运行状态有关地确定的是,是否从所述第一计算单元(1)或从第二计算单元(2)接收用于行驶功能的控制命令,从而在所述第一运行状态中只有所述第一计算单元(1)能够触发所述执行器(4),并且在所述第二运行状态中只有所述第二计算单元(2)能够触发所述执行器(4)。
3.按权利要求1所述的系统,其中,在所述第一计算单元(1)的正确的功能中,第一运行状态是活跃的,并且只有所述第一计算单元(1)能够有效地触发所述执行器,并且其中,在所述第一计算单元(1)的功能故障中第二运行状态是活跃的,并且只有所述第二计算单元(2)能够有效地触发所述执行器(4)。
4.按权利要求2或3所述的系统,其中,构造所述第二计算单元(2)用以执行测试方法。
5.按照权利要求4所述的系统,其中,所述测试方法涉及在所述第二计算单元(2)和所述第一计算单元(1)之间的通信。
6.按照权利要求4所述的系统,其中,所述测试方法涉及在所述第二计算单元(2)和所述执行器(4)之间的通信。
7.按照权利要求4所述的系统,其中,所述测试方法涉及所述第二计算单元(2)的作用方式的检查。
8.按权利要求1、2或3所述的系统,其中,所述执行器(4)构造用于,在存在所述第一计算单元(1)和/或所述第二计算单元(2)的功能故障的情况下,将所述执行器(4)控制到安全功能(8)中或安全位置中。
9.按权利要求1、2或3所述的系统,其中,设置了两个执行器控制器(17、18),其中,所述两个执行器控制器(17、18)与至少一个执行器处于作用连接中,其中,各个执行器控制器(17、18)与两个计算单元相连。
10.按权利要求1、2或3所述的系统,其中,所述第一计算单元(1)和第二计算单元(2)由分离的电流供应系统(19、20)用电供应。
11.按权利要求1、2或3所述的系统,其中,所述第一计算单元(1)构造用于,至少将针对用于检查正确的作用方式的测试方法的输入数据提供给所述第二计算单元(2)。
12.按权利要求1、2或3所述的系统,其中,所述第一计算单元(1)构造用于,将所计算的行驶功能传送到所述第二计算单元(2),其中,所述第二计算单元(2)执行用于相同的行驶功能的计算并且把自身所计算的行驶功能与所传送的行驶功能进行比较,并且借助于该比较来检查所述第二计算单元(2)的功能故障。
13.按权利要求1、2或3所述的系统,其中,设置至少一个第一和一个第二传感器(3、12、13、14),所述第一传感器和所述第二传感器冗余地测量相同的参数,并且其中,至少所述第一计算单元(1)与所述第一传感器(3)相连并且所述第二计算单元与所述第二传感器(12)相连。
14.按照权利要求13所述的系统,其中,设置了多个传感器(3、12、13、14),其中,各个计算单元(1、2)与所述传感器(3、12、13、14)的交集相连,其中,所有的传感器(3、12、13、14)与计算单元(1、2)相连。
15.按照权利要求1所述的系统,其中,如果所述第一计算单元(1)自身被认为是功能有效且另外所述第一计算单元(1)从所述第二计算单元(2)已经得到的信息是,所述第二计算单元(2)也是功能有效的,所述第一计算单元(1)就将接管发送到所述HMI(6),其中,如果所述第二计算单元(2)被认为是功能有效的且所述第二计算单元(2)从所述第一计算单元(1)得到的信息是,所述第一计算单元(1)也被认为是功能有效的,所述第二计算单元就将接管发送到所述HMI(6)。
16.按权利要求1、2或3所述的系统,其中,如果所述第一计算单元(1)显示的是,所述第一计算单元再次是功能有效的,则在第二运行状态中,行驶功能的实施就向回送至所述第一计算单元(1),其中,在该第二运行状态中所述第二计算单元(2)实施行驶功能。
17.按照权利要求16所述的系统,其中,行驶功能向着所述第一计算单元(1)的回送被限制到确定的功能故障和/或确定的行驶功能上。
18.按权利要求4所述的系统,其中,在第一运行状态中构造所述第二计算单元(2)用以执行测试方法。
19.按权利要求12所述的系统,其中,所计算的行驶功能是自动化的行驶功能。
20.按权利要求1所述的系统,其中,所述HMI(6)构造用于,将用于实施自动化的行驶功能的交接要求通过分离的接口传递到两个计算单元(1、2)。
21.用于运行具有第一计算单元和第二计算单元的系统的方法,其中,所述第一计算单元具有第一接口,以便与至少一个传感器和至少一个执行器相连,其中,所述第二计算单元具有第二接口,以便与相同的所述传感器和相同的所述执行器相连,其中,所述第一计算单元和所述第二计算单元通过第三接口彼此相连,其中,所述第一计算单元和/或所述第二计算单元和/或所述执行器要确定的是,是否所述第一计算单元(1)或所述第二计算单元(2)能够有效地触发所述执行器(4),其中,HMI(6)构造用于,将用于实施自动化的行驶功能的交接要求传递到两个计算单元(1、2),其中,所述两个计算单元(1、2)构造用于,彼此分离地显示HMI(6)的行驶功能的接管,并且其中,只有当所述两个计算单元(1、2)显示的是所述两个计算单元能够正确起作用并且实施行驶功能时,所述HMI(6)才将自动化的行驶功能传递到所述第一计算单元(1)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102014220781.9A DE102014220781A1 (de) | 2014-10-14 | 2014-10-14 | Ausfallsichere E/E-Architektur für automatisiertes Fahren |
| DE102014220781.9 | 2014-10-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105515739A CN105515739A (zh) | 2016-04-20 |
| CN105515739B true CN105515739B (zh) | 2022-04-05 |
Family
ID=55644134
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510669830.8A Active CN105515739B (zh) | 2014-10-14 | 2015-10-13 | 具有第一计算单元和第二计算单元的系统和运行系统的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9606537B2 (zh) |
| JP (1) | JP6632310B2 (zh) |
| CN (1) | CN105515739B (zh) |
| DE (1) | DE102014220781A1 (zh) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102329444B1 (ko) * | 2014-07-04 | 2021-11-24 | 주식회사 만도모빌리티솔루션즈 | 자동차의 제어 시스템 및 제어방법 |
| DE102015220355A1 (de) * | 2015-10-20 | 2017-04-20 | Robert Bosch Gmbh | Substitution von Sensormessdaten |
| US10397019B2 (en) * | 2015-11-16 | 2019-08-27 | Polysync Technologies, Inc. | Autonomous vehicle platform and safety architecture |
| DE102016210984A1 (de) * | 2016-06-20 | 2017-12-21 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Steuergeräts |
| US10571913B2 (en) * | 2016-08-05 | 2020-02-25 | Aptiv Technologies Limited | Operation-security system for an automated vehicle |
| US10510258B2 (en) * | 2016-09-15 | 2019-12-17 | Nissan Motor Co., Ltd. | Vehicle control method and vehicle control apparatus |
| DE102017218395A1 (de) | 2016-10-19 | 2018-04-19 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen |
| US10073456B2 (en) * | 2016-11-17 | 2018-09-11 | GM Global Technology Operations LLC | Automated co-pilot control for autonomous vehicles |
| DE102017200655A1 (de) | 2017-01-17 | 2018-07-19 | Audi Ag | Verfahren zum Bereitstellen von aktuatorbasierten Fahrzeugfunktionen in einem Kraftfahrzeug sowie Kraftfahrzeug-Recheneinrichtung und Kraftfahrzeug |
| WO2018220663A1 (ja) * | 2017-05-29 | 2018-12-06 | 三菱電機株式会社 | 異常判定装置、異常判定方法及び異常判定プログラム |
| CN110678375B (zh) * | 2017-06-05 | 2022-09-16 | 日立安斯泰莫株式会社 | 车辆控制装置及车辆控制系统 |
| DE102017218643A1 (de) | 2017-10-19 | 2019-04-25 | Volkswagen Aktiengesellschaft | Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung |
| DE102017223723A1 (de) * | 2017-12-22 | 2019-06-27 | Continental Teves Ag & Co. Ohg | Schaltungsanordnung, Verfahren und Verwendung |
| CN108196547B (zh) * | 2018-01-08 | 2020-06-23 | 北京图森未来科技有限公司 | 一种自动驾驶系统 |
| DE102018002156A1 (de) | 2018-03-16 | 2019-09-19 | Trw Automotive Gmbh | Ein verbessertes Steuerungssystem und ein verbessertes Steuerungsverfahren für das autonome Steuern eines Kraftfahrzeugs |
| DE102018206554B4 (de) | 2018-04-27 | 2022-02-10 | Robert Bosch Gmbh | Autonomes Bremssystem für ein Fahrzeug und Verfahren zum Betreiben eines autonomen Bremssystems eines Fahrzeugs |
| CN108515928A (zh) * | 2018-04-28 | 2018-09-11 | 安徽江淮汽车集团股份有限公司 | 用于车身控制器的冗余控制方法及系统 |
| DE102018209662A1 (de) * | 2018-06-15 | 2019-12-19 | Robert Bosch Gmbh | Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem |
| WO2019244269A1 (ja) * | 2018-06-20 | 2019-12-26 | 三菱電機株式会社 | 自動運転支援システム及びその動作方法 |
| EP3825197A4 (en) | 2018-07-16 | 2021-08-18 | Nissan Motor Co., Ltd. | DRIVING ASSISTANCE VEHICLE CONTROL PROCESS AND CONTROL SYSTEM |
| DE102018212025A1 (de) * | 2018-07-19 | 2020-01-23 | Robert Bosch Gmbh | Verfahren zum Betreiben eines autonomen Fahrzeugs und autonomes Fahrzeug |
| CN109367501B (zh) | 2018-09-07 | 2023-12-26 | 阿波罗智能技术(北京)有限公司 | 自动驾驶系统、车辆控制方法及装置 |
| US10838417B2 (en) | 2018-11-05 | 2020-11-17 | Waymo Llc | Systems for implementing fallback behaviors for autonomous vehicles |
| US11208111B2 (en) | 2018-12-11 | 2021-12-28 | Waymo Llc | Redundant hardware system for autonomous vehicles |
| EP4494966A3 (en) * | 2018-12-26 | 2025-04-02 | Shenzhen Yinwang Intelligent Technologies Co., Ltd. | Vehicle control method, related device, and computer storage medium |
| DE102019200942A1 (de) * | 2019-01-25 | 2020-07-30 | Robert Bosch Gmbh | Sicherheitseinrichtung zur Verwendung in einem Fahrzeug, Fahrzeug und Verfahren zum Betreiben eines Fahrzeugs |
| EP3809226B1 (en) | 2019-10-15 | 2023-09-06 | Zenuity AB | Method and system for development and verification of autonomous driving features |
| DE102019216342B3 (de) * | 2019-10-23 | 2021-02-11 | Thyssenkrupp Ag | Auswertevorrichtung zur fehlertoleranten Auswertung von Sensorsignalen für ein Motorsteuergerät einer Kraftfahrzeuglenkung und Kraftfahrzeuglenkung |
| DE102019133582B4 (de) * | 2019-12-09 | 2025-01-23 | Joyson Safety Systems Germany Gmbh | Kraftfahrzeug mit einer Sensorvorrichtung für eine Lenkvorrichtung des Kraftfahrzeugs |
| DE102019219800A1 (de) * | 2019-12-17 | 2021-06-17 | Zf Automotive Germany Gmbh | Steuerungssystem für ein wenigstens teilweise automatisiertes Kraftfahrzeug und Verfahren zum Steuern eines wenigstens teilautomatisierten Kraftfahrzeugs |
| DE102020203622A1 (de) | 2020-03-20 | 2021-09-23 | Robert Bosch Gesellschaft mit beschränkter Haftung | Fahrzeug und Verfahren zur Übergabe einer Lenkfunktion an einen Fahrer eines Fahrzeugs |
| DE102020117051A1 (de) | 2020-06-29 | 2021-12-30 | Thyssenkrupp Ag | Sensoranordnung |
| JP7466396B2 (ja) | 2020-07-28 | 2024-04-12 | 株式会社Soken | 車両制御装置 |
| CN114312979B (zh) * | 2020-09-29 | 2023-04-18 | 耐世特汽车系统(苏州)有限公司 | 用于自主转向系统的分布式系统架构 |
| CN116368444A (zh) * | 2020-11-05 | 2023-06-30 | Abb瑞士股份有限公司 | 检测传感器故障的方法、控制系统、自动导引车和移动机器人 |
| CN112519803A (zh) * | 2021-01-07 | 2021-03-19 | 蔚来汽车科技(安徽)有限公司 | 自动驾驶控制系统及自动驾驶控制装置 |
| CN113043969B (zh) * | 2021-03-26 | 2022-12-16 | 中汽创智科技有限公司 | 一种车辆功能安全监控方法及系统 |
| US20230109877A1 (en) * | 2021-10-07 | 2023-04-13 | Sygnal Technologies, Inc. | Fail-Safe Signal Injection |
| AT525924A1 (de) | 2022-02-18 | 2023-09-15 | Hofer Powertrain Innovation Gmbh | Verteiltes Steuerungs- und Sicherheitssystem für ein Kraftfahrzeug mit wenigstens einem Inverter und ein entsprechendes Verfahren |
| EP4501736A1 (en) * | 2022-04-20 | 2025-02-05 | Shenzhen Yinwang Intelligent Technologies Co., Ltd. | Control method and apparatus, and means of transportation |
| DE102023113719A1 (de) * | 2023-05-25 | 2024-11-28 | Bayerische Motoren Werke Aktiengesellschaft | Vorrichtung und verfahren zum überprüfen eines erfassungsergebnisses einer fahrerassistenzfunktion für ein kraftfahrzeug |
| CN117215177A (zh) * | 2023-11-09 | 2023-12-12 | 北京控制工程研究所 | 一种天地往返一体化控制系统及控制方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000053012A (ja) * | 1998-08-01 | 2000-02-22 | Robert Bosch Gmbh | 操舵制御装置 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3825280A1 (de) * | 1988-07-26 | 1990-02-01 | Bayerische Motoren Werke Ag | Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs |
| US5086499A (en) * | 1989-05-23 | 1992-02-04 | Aeg Westinghouse Transportation Systems, Inc. | Computer network for real time control with automatic fault identification and by-pass |
| US5210756A (en) * | 1990-09-26 | 1993-05-11 | Honeywell Inc. | Fault detection in relay drive circuits |
| JP3047050B2 (ja) * | 1991-10-10 | 2000-05-29 | 光洋精工株式会社 | 電動パワーステアリング装置 |
| IL117792A (en) * | 1995-05-08 | 2003-10-31 | Rafael Armament Dev Authority | Autonomous command and control unit for mobile platform |
| JP3660105B2 (ja) * | 1997-07-30 | 2005-06-15 | 光洋精工株式会社 | 車両用制御装置 |
| JP3620278B2 (ja) * | 1998-03-27 | 2005-02-16 | 日産自動車株式会社 | 車両用定速走行制御システム |
| JP4155112B2 (ja) | 2003-06-02 | 2008-09-24 | トヨタ自動車株式会社 | 冗長型制御装置を備えた自動車 |
| US7953536B2 (en) * | 2005-07-29 | 2011-05-31 | GM Global Technology Operations LLC | Inertial sensor software architecture security method |
| BRPI0706593A2 (pt) * | 2006-01-17 | 2011-04-05 | Gulfstream Aerospace Corp | sistema e método para um sistema de controle de backup integrado |
| US7877179B2 (en) * | 2006-09-12 | 2011-01-25 | GM Global Technology Operations LLC | Mechanical and electrical locking coordination security strategy for an active front steer system |
| US8112191B2 (en) * | 2007-04-25 | 2012-02-07 | General Electric Company | System and method for monitoring the effectiveness of a brake function in a powered system |
| FR2943037B1 (fr) * | 2009-03-11 | 2012-09-21 | Airbus France | Systeme de commande d'aeronef a architecture modulaire integre. |
| US8930036B2 (en) * | 2011-04-13 | 2015-01-06 | GM Global Technology Operations LLC | Reconfigurable interface-based electrical architecture |
| DE102012202175A1 (de) * | 2012-02-14 | 2013-08-14 | Robert Bosch Gmbh | Verfahren zum automatischen Führen, insbesondere Einparken, eines Kraftfahrzeugs sowie Fahrerassistenzeinrichtung |
| US8868258B2 (en) * | 2012-08-06 | 2014-10-21 | Alliant Techsystems, Inc. | Methods and apparatuses for autonomous flight termination |
| US9090265B2 (en) * | 2012-08-28 | 2015-07-28 | GM Global Technology Operations LLC | Active safety systems of vehicles with graphical microprocessors |
| JP2014106854A (ja) * | 2012-11-29 | 2014-06-09 | Toyota Infotechnology Center Co Ltd | 自動運転車両制御装置および方法 |
| JP5874616B2 (ja) * | 2012-11-30 | 2016-03-02 | トヨタ自動車株式会社 | 移動体及びその制御方法 |
| KR20150017897A (ko) * | 2013-08-08 | 2015-02-23 | 삼성전자주식회사 | 복수의 프로세서를 이용하여 센서 출력을 처리하는 사용자 기기 및 방법 |
| EP2924529A1 (en) * | 2014-03-26 | 2015-09-30 | Airbus Defence and Space GmbH | System for a vehicle with redundant computers |
-
2014
- 2014-10-14 DE DE102014220781.9A patent/DE102014220781A1/de active Pending
-
2015
- 2015-10-12 US US14/880,510 patent/US9606537B2/en active Active
- 2015-10-13 CN CN201510669830.8A patent/CN105515739B/zh active Active
- 2015-10-14 JP JP2015202861A patent/JP6632310B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000053012A (ja) * | 1998-08-01 | 2000-02-22 | Robert Bosch Gmbh | 操舵制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105515739A (zh) | 2016-04-20 |
| JP2016081534A (ja) | 2016-05-16 |
| US20160103450A1 (en) | 2016-04-14 |
| DE102014220781A1 (de) | 2016-04-14 |
| JP6632310B2 (ja) | 2020-01-22 |
| US9606537B2 (en) | 2017-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105515739B (zh) | 具有第一计算单元和第二计算单元的系统和运行系统的方法 | |
| KR102586265B1 (ko) | 중복 휠 속도 감지를 위한 시스템들 및 방법들 | |
| US11787425B2 (en) | Electronic control device and in-vehicle device | |
| CN107908186B (zh) | 用于控制无人驾驶车辆运行的方法及系统 | |
| JP6815925B2 (ja) | 車両の電子制御装置 | |
| US20210031792A1 (en) | Vehicle control device | |
| JP5319534B2 (ja) | 障害管理方法、および障害管理のための装置 | |
| CN111665849B (zh) | 一种自动驾驶系统 | |
| CN111976623B (zh) | 面向智能汽车的底盘域控制器、车辆的控制方法及车辆 | |
| JP2008505012A (ja) | 冗長データバスシステム | |
| CN106054852B (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
| CN110785742A (zh) | 用以依赖于状态信号驱控车辆模块的设备和方法 | |
| US12091052B2 (en) | Method and system for addressing failure in an autonomous agent | |
| KR102452555B1 (ko) | 차량 고장 처리 제어 장치 및 그 방법 | |
| CN104049530A (zh) | 容错控制系统 | |
| CN110116751A (zh) | 基于冗余架构控制车辆的设备和方法 | |
| JP2019128639A (ja) | 電子制御装置 | |
| US20170277153A1 (en) | Hybrid dual-duplex fail-operational pattern and generalization to arbitrary number of failures | |
| CN109460313A (zh) | 自动驾驶安全控制方法 | |
| WO2023005638A1 (zh) | 辅助驾驶方法、装置、设备及存储介质 | |
| JP7180000B2 (ja) | 車両用制御アーキテクチャ | |
| JP7163576B2 (ja) | 車両制御システムおよび車両制御装置 | |
| CN106970550B (zh) | 车辆子系统通信仲裁 | |
| JP5258893B2 (ja) | 自動車のペダル位置に関連する設定値を決定するシステム | |
| CN115782906A (zh) | 驾驶功能安全架构及车辆 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |