CN107526290A - 用于运行控制器的方法 - Google Patents
用于运行控制器的方法 Download PDFInfo
- Publication number
- CN107526290A CN107526290A CN201710464055.1A CN201710464055A CN107526290A CN 107526290 A CN107526290 A CN 107526290A CN 201710464055 A CN201710464055 A CN 201710464055A CN 107526290 A CN107526290 A CN 107526290A
- Authority
- CN
- China
- Prior art keywords
- assay
- control unit
- unit
- core
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
- G06F11/2236—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
- G06F11/2242—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors in multi-processor systems, e.g. one processor becoming the test master
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/26—Functional testing
- G06F11/27—Built-in tests
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0006—Digital architecture hierarchy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W2050/041—Built in Test Equipment [BITE]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
建议一种用于运行机动车的控制器(2)的方法。借助监视器单元(12)将状态询问(36)转达给在多核处理器(4)的第一计算核心(6)上构造的第一控制单元(24)。借助第一控制单元(24)根据所述状态询问(36)求出状态应答(34)。借助监视器单元(12)根据所述状态应答(34)查明故障(38)。
Description
技术领域
本发明涉及用于运行机动车的控制器的方法和控制器。
背景技术
监控一种软件在用于机动车的控制器的微型控制器上的运行的所谓的监视器单元普遍公知。状态询问借助该监视器单元转达给例如在多核处理器的第一计算核心上构造的第一控制单元。根据所述状态询问借助第一控制单元求出状态应答。根据状态应答借助所述监视器单元查明故障。
此外已知所谓的三层面方案,通过该方法能在耗费以及因此成本很小的同时以很高的可用性实现机动车的控制器的安全的运行。
由DE 44 38 714 A1已知用于控制车辆的驱动单元的方法。为了控制所述驱动单元的功率,仅设唯一的计算元件(微型计算机),其既执行控制也执行监控。
由DE 103 31 872 A1已知用于监控一种技术系统的方法。跨越控制器的软件框架执行对控制器的用户软件的监控和/或调节,所述软件框架在控制器中尤其在控制器的计算元件内实施。
DE 101 13 917 A1公开了用于监控数据和用于在至少一个第一和第二控制单元之间传递数据的方法。通过一个部件检测到的数据经保险地通过唯一的连接部从第一控制单元传递到第二控制单元。这样来完成数据和数据传递在第一和第二程序层面内的分离式保护,即,识别到数据的故障以及在数据传递中的故障。
发明内容
本发明所要解决的技术问题通过按照本发明所述的方法以及通过按照本发明所述的控制器解决。
建议的是,借助在第一计算核心上构造的第一自测试单元求出第一检验结果。此外借助在多核处理器的第二计算核心上构造的第二自测试单元求出第二检验结果。借助第二控制单元根据第二检验结果求出第三检验结果。借助第一控制单元根据第一检验结果以及根据第三检验结果求出状态应答。
有利地通过第一和第三检验结果的关联建立一种能跨越多个计算核心和/或多核处理器的能够扩展的解决方案,该解决方案同时以适当的方式和形式确保了整个控制器的很高的可用性。由此尤其能够为控制器的不均匀的体系结构配设分等级的监视器结构。此外简化了控制器的单个软件组件的可通用性。尤其可以通过所建议的方法或控制器满足涉及到计算功率以及涉及到安全性的经提高的要求。
此外,借助第二控制单元实现了第二检验结果的处理与求出针对监视器单元的状态应答的解耦。由此也实现了用于在监视器单元和第一控制单元之间通信的时间域、用于在第二控制单元和第二自测试单元之间通信的时间域以及所实施的任务的时间域的在时间上的解耦。
在一种有利的实施方式中,借助在多核处理器的第三计算核心上构造的第三自测试单元求出第四检验结果。根据第二检验结果以及根据第四检验结果借助第二控制单元求出第三检验结果。
在一种有利的实施方式中,借助第二控制单元将第二检验结果与第二额定检验结果相比较。借助第二控制单元将第四检验结果与第四额定检验结果相比较。当第二和/或第四检验结果偏离于各额定结果时,查明了另一个故障。低于50 ms的故障容错时间(FTTI:Failure Tolerance Time Interval,故障容错时间间隔)以及快速的切断时间可以以这种方式和方法实现。
在一种有利的扩展设计中,当在一段持续时间结束后不存在第二或第四检验结果时,借助第二控制单元查明所述另一个故障。因此第二控制单元也有利地实现了超时监视器功能。
在一种有利的实施方式中,第一计算核心借助所配属的锁步计算核心按照锁步方法运行。因此提高了功能上的安全性。
在一种有利的实施方式中,第二控制单元在第一计算核心上构造,程序进度控制参考第二控制单元的构造来实施,且第一检验结果包括程序进度控制的结果。借助监视器单元以这种方式和方法有利地监控第二控制单元。
在一种有利的实施方式中,另一个状态询问借助在第二处理器核心上构造的另一个监视器单元转达给在次级的多核处理器的次级的第一计算核心上构造的次级的第一控制单元。另一个状态应答借助次级的第一控制单元根据所述另一个状态询问求出。另一个故障借助所述另一个监视器单元根据所述另一个状态应答查明。
次级的第一检验结果借助在次级的第一计算核心上构造的次级的第一自测试单元求出。次级的第二检验结果借助在次级的多核处理器的次级的第二计算核心上构造的次级的第二自测试单元求出。次级的第三检验结果借助次级的第二控制单元根据次级的第二检验结果求出。次级的状态应答借助次级的第一控制单元根据次级的第一检验结果以及根据次级的第三检验结果求出。可以有利地通过这种实施方式达到涉及到次级的多核处理器的进一步的扩展(Skalierung)。
在一种有利的扩展设计中,多核处理器的第二计算核心借助所配属的锁步计算核心按照锁步方法运行。次级的第一计算核心借助所配属的锁步计算核心按照锁步方法运行。这种扩展设计提高了功能上的安全性。
在一种有利的实施方式中将监视器单元构造成硬件结构组。由此可以创造出一种在花费上有利的控制器。
附图说明
本发明的有利的实施方式和扩展设计在接下来对附图的说明中加以阐释。为功能等价的参量和特征与它们的实施方式无关地部分使用相同的附图标记。附图中:
图1-3分别示出了机动车的控制器的示意性的框图;以及
图4示意性示出了故障识别的示意的流程。
具体实施方式
图1示出了控制器2的示意性的框图。多核处理器4包括第一计算核心6、第二计算核心8和第三计算核心10。布置在多核处理器4外的监视器单元12配属于该多核处理器4。此外,多核处理器4还包括锁步计算核心14,锁步计算核心被构造用于,按照锁步方法来处理输送给第一计算核心6的冗余形式的输入数据或输入指令。
在一种实施方式中,第一计算核心6没有和锁步计算核心一起按照锁步方法工作。在此,所述自测试单元16除了程序进度控制外也包括在硬件或软件中的附加的指令测试。
在计算核心6、8和10上实施各任务T_6、T_8、T_10。任务T此外涉及配属于控制器的控制层面的若干过程,其中,各任务T例如执行计算,该计算用于控制或信号化布置在控制器2外的实体,如驱动单元、显示装置或其它的控制器。
在计算核心6上构造第一自测试单元16。在计算核心8上构造第二自测试单元18。在计算核心10上构造第三自测试单元20。各个自测试单元16、18、20执行各自的自检。这些自检例如在所配属的锁步计算核心14的情形下可能局限于在那里运行的任务T的程序进度控制。在没有在锁步方法中工作的计算核心8的情形下,相应的自测试单元18除了程序进度控制外也包括可以在硬件或软件中实施的附加的指令测试。当然也可以考虑其它的例如包括存储器测试或类似测试的自测试。
第一自测试单元16根据所执行的自检产生了第一检验结果26。第二自测试单元18根据所执行的自检产生了第二检验结果28。第三自测试单元20根据所执行的自检产生了第四检验结果30。两个检验结果28和30被输送给第二控制单元22,第二控制单元将所述两个检验结果28和30概括成第三检验结果32。
第三检验结果32和第一检验结果26一起被输送给第一控制单元24。第一控制单元24根据第一检验结果26和第三检验结果32产生了状态应答34。状态应答34由第一控制单元24根据所接收到的由监视器单元12产生的状态询问36求出。监视器单元12将接收到的状态应答34与额定状态应答相比较。若状态应答34未与额定状态应答协调一致,那么监视器单元12就查明了故障38。未示出的故障处理单元可以根据故障38切断、重新启动多核处理器4或触发中断。此外,当未在预定的时间窗内存在状态应答34时,监视器单元12查明了故障38。
尤其借助第一自测试单元16参照第二控制单元22的构造来实施一种程序进度控制。第一检验结果26因此包括程序进度控制的结果。第一控制单元24优选通过所提供的检验结果如检验结果26和32的异或运算(XOR),求出状态应答34。在未示出的形式中,也可以将第二和/或第四检验结果28、30输送给第一控制单元24。
图2在示意性的框图中示出了控制器2的另一个实施方式。监视器单元12包括用于产生状态询问36的单元40、用于将所接收的状态应答34与额定状态应答相比较的单元42以及用于监视持续时间(如果没有故障被触发,在该持续时间结束时必然存在状态应答34)的单元44。监视器单元12优选实施成硬件结构组46,例如实施成ASIC(专用集成电路)的一部分。状态询问36和状态应答34在多核处理器4和硬件结构组46之间借助总线系统48,例如借助SPI总线系统(SPI: 串行外设界面)转达。
多核处理器4可以包括其它的计算核心,如计算核心50,该计算核心包括另一个自测试单元52。第二计算核心8在当前借助所配属的锁步计算核心54按照锁步方法运行。所述自测试单元16、18、20和52借助数据总线56将各检验结果26、28、30和55转达到多核处理器4的存储器60的第一存储区域58中。第二控制单元22读取式地访问至第一存储区域58。第二控制单元22求出第三检验结果32以及借助数据总线56将第三检验结果32写入到存储器60的第二存储区域62中。
第一控制单元24包括用于接收状态询问36的单元64、用于求出状态询问34的单元66以及用于监视监视器单元12的单元68。第二控制单元22查明了另一个故障70,该故障被输送给故障处理单元72。故障38也被输送给故障处理单元72。故障处理单元72可以根据所述另一个故障70以及根据故障38来切断从属于多核处理器4的末级,初始化多核处理器4的重置以及触发针对多核处理器4的中断。当储存在第一存储区域58中的检验结果26、28、30或55中的其中一个检验结果偏离于相应的额定检验结果或经过了提供各检验结果26、28、30或55的持续时间时,由第二控制单元22查明了所述另一个故障70。
图3在示意性框图中示出了控制器2的另一个实施方式。与图2不同的是,所述控制器2包括次级的多核处理器4B,该次级的多核处理器例如可以与多核处理器4相似地构建和配置。次级的多核处理器4B当然也可以在其配置上有所不同。在第二处理器核心8上将另一个监视器单元12B实施成软件模块。该另一个监视器单元12B包括基本上与实施成硬件结构组46的监视器单元12相同的功能。该另一个监视器单元12B产生了另一个状态询问36B,该状态询问借助例如可以实施成UART总线(UART: 通用异步收发传输器)的数据总线74转达给在次级的第一计算核心6B上构造的次级的第一控制单元24B。另一个状态应答34B借助于所述次级的第一控制单元24B根据所述另一个状态询问36B求出。所述另一个监视器单元12B根据所述另一个状态应答34B查明了另一个故障38B。该故障38B通过硬件引脚输送给次级的故障处理单元72B。
次级的第一自测试单元22B求出了次级的第一检验结果16B。次级的第二检验结果28B借助次级的第二自测试单元18转达。次级的第四检验结果30B借助次级的第三自测试单元20B求出。次级的第二控制单元22B根据次级的第二和次级的第四检验结果28B、30B求出了次级的第三检验结果32B。次级的状态应答34B借助次级的第一控制单元24B根据次级的第一检验结果26B以及根据次级的第三检验结果32B求出。多核处理器4的第二计算核心8借助所配属的锁步计算核心54按照锁步方法运行。次级的多核处理器4B的次级的第一计算核心6B借助所配属的锁步计算核心14B按照锁步方法运行。
当然可以考虑在图3中示出的原理的若干扩展方案。因此例如计算核心10和50,倘若它们和所配属的锁步计算核心一起在锁步方法中工作的话,可以包括其它的与所述另一个监视器单元12B类似地实施成软件模块的监视器单元,以便将另外的多核处理器接入到在此阐释的监视方法中。次级的第二计算核心8B当然也可以包括用于实施的另一个次级的监视器单元。要明确指出的是,涉及到次级的多核处理器4B和其部件的选词“次级”首先用于语言上的区分。
图4以示意性的形式示出了故障识别的流程。例如示出了在第二计算核心8上的任务T8_1、T8_2和T8_3的时间的进度。配属于第二计算核心8的自测试单元18例如执行涉及到单个任务的程序进度控制以及产生了相应的签名76_1、76_2和76_3。在任务T_3结束时发生了故障78,这在签名76_3中表现出来。签名76储存在第一存储区域58中。签名76对应于第二检验结果28。
第二控制单元22执行签名76与预期的额定签名78的核查。所求出的签名76_3偏离于额定签名78_3,因此第二控制单元22查明了所述另一个故障70以及将该另一个故障70转达给故障处理单元72。
倘若在通过第二控制单元22执行的比较中所述签名76和额定签名78协调一致,那么就增加序列号80。在签名76_3和额定签名78_3缺乏协调一致时,序列号80_2不增加且在后续状态中具有相同的值。计数器80对应于第三检验结果32,第三检验结果储存在第二存储区域62中。作为所设置的序列号80的备选,当然也可以规定签名76的另一种类型的关联。输送给第二控制单元22的签名76,例如可以借助异或运算而与第三检验结果32关联。
第一控制单元24执行序列号80与额定序列号82的比较。若预期所述额定序列号82_3,但是读取到了未增加的序列号82_2,那么就切换到故障状态84。第一控制单元24的单元64接收所述状态询问36_2。借助已确定的故障状态84,第一控制单元24的单元66产生了状态应答34_2,该状态应答将多核处理器4的故障状态显示给监视器单元12。状态应答34_2可以附加地交付给故障处理单元72。
所述计算核心6、8和10中的每个计算核心在规律的时间间隔T1中将签名76或各检验结果26-30写入到第一存储区域58中。第二控制单元22利用时间间隔T2执行其检查,时间间隔可以小于或等于时间间隔T1。第一控制单元24在大于时间间隔T2的规律的时间间隔T3中将状态应答34发送给所配属的监视器单元12。此外,所述时间间隔T2小于已确定的容错间隔(FTTI)。时间间隔T1、T2和T3彼此间的其它的关系当然也是可能的。时间间隔的时间上的解耦通过设置控制单元22和24来达到。
Claims (12)
1.一种用于运行机动车的控制器(2)的方法,
- 其中,借助监视器单元(12)将状态询问(36)转达给被构造在多核处理器(4)的第一计算核心(6)上的第一控制单元(24),
- 其中,借助所述第一控制单元(24)根据所述状态询问(36)求出状态应答(34),以及
- 其中,借助所述监视器单元(12)根据所述状态应答(34)查明故障(38),
其特征在于,
- 借助在所述第一计算核心(6)上实施的第一自测试单元(16)求出第一检验结果(26),
- 借助在所述多核处理器(4)的第二计算核心(8)上实施的第二自测试单元(18)求出第二检验结果(28),
- 借助第二控制单元(22)根据所述第二检验结果(28)求出第三检验结果(32),以及
- 借助所述第一控制单元(24)根据所述第一检验结果(26)以及根据所述第三检验结果(32)求出所述状态应答(34)。
2.按照权利要求1所述的方法,
- 其中,借助在所述多核处理器(4)的第三计算核心(10)上实施的第三自测试单元(20)求出第四检验结果(30),以及
- 其中,借助所述第二控制单元(22)根据所述第二检验结果(28)以及根据所述第四检验结果(30)求出所述第三检验结果(32)。
3.按照权利要求1或2所述的方法,
- 其中,借助所述第二控制单元(22)将所述第二检验结果(28)与第二额定检验结果相比较,和/或
- 其中,借助所述第二控制单元(22)将所述第四检验结果(30)与第四额定检验结果相比较,和/或
- 其中,当所述第二和/或所述第四检验结果(28、30)偏离于各第二和/或第三额定结果时,查明了另一个故障(70)。
4.按照权利要求3所述的方法,
- 其中,当在持续时间结束后不存在所述第二或第四检验结果(28、30)时,借助所述第二控制单元(22)查明所述另一个故障(70)。
5.按照前述权利要求任一项所述的方法,
- 其中,所述第一计算核心(6)借助所配属的锁步计算核心(14)按照锁步方法运行。
6.按照前述权利要求任一项所述的方法,
- 其中,所述第二控制单元(22)构造在所述第一计算核心(6)上,
- 其中,参照所述第二控制单元(22)的构造来实施一种程序进度控制,以及
- 其中,所述第一检验结果(26)包括所述程序进度控制的结果。
7.按照前述权利要求任一项所述的方法,
- 其中,借助在所述第二处理器核心(8)上构造的另一个监视器单元(12B)将另一个状态询问(36B)转达给在次级的多核处理器(4B)的次级的第一计算核心(6B)上构造的次级的第一控制单元(24B),
- 其中,借助所述次级的第一控制单元(24B)根据所述另一个状态询问(36B)求出另一个状态应答(34B),
- 其中,借助所述另一个监视器单元(12B)根据所述另一个状态应答(34B)查明另一个故障(38B),
- 其中,借助在所述次级的第一计算核心(6B)上构造的次级的第一自测试单元(16B)求出次级的第一检验结果(26B),
- 其中,借助在所述次级的多核处理器(4B)的所述次级的第二计算核心(8B)上构造的次级的第二自测试单元(18B)求出次级的第二检验结果(28B),
- 其中,借助次级的第二控制单元(22B)根据所述次级的第二检验结果(28B)求出次级的第三检验结果(32B),以及
- 其中,借助所述次级的第一控制单元(24B)根据所述次级的第一检验结果(26B)以及根据所述次级的第三检验结果(32B)求出所述次级的状态应答(34B)。
8.按照权利要求7所述的方法,
- 其中,借助在所述次级的多核处理器(4B)的次级的第三计算核心(10B)上构造的次级的第三自测试单元(20B)求出次级的第四检验结果(30B),
- 其中,借助次级的第二控制单元(22B)根据所述次级的第二检验结果(28B)以及根据所述次级的第四检验结果(30B)求出次级的第三检验结果(32B)。
9.按照权利要求8或9所述的方法,
- 其中,所述多核处理器(4)的所述第二计算核心(8)借助所配属的锁步计算核心(54)按照锁步方法运行,以及
- 其中,所述次级的第一计算核心(6B)借助所配属的锁步计算核心(14B)按照锁步方法运行。
10.按照前述权利要求任一项所述的方法,其中,将所述监视器单元(12)构造成硬件结构组(46)。
11.一种用于机动车的控制器(22),
- 其中,能够借助监视器单元(12)将状态询问(36)转达给能在多核处理器(4)的第一计算核心(6)上构造的第一控制单元(24),
- 其中,借助所述第一控制单元(6)根据所述状态询问(36)能求出状态应答(34),以及
- 其中,借助所述监视器单元(12)根据所述状态应答(34)能查明故障(38),
其特征在于,
- 能够借助能在所述第一计算核心(6)上构造的第一自测试单元(16)转达第一检验结果(26),
- 能够借助能在所述多核处理器(4)的第二计算核心(8)上构造的第二自测试单元(18)转达第二检验结果(28),
- 能够借助第二控制单元(22)根据所述第二检验结果(28)求出第三检验结果(32),以及
- 能够借助所述第一控制单元(24)根据所述第一检验结果(26)以及根据所述第三检验结果(32)求出所述状态应答(34)。
12.按照前一项权利要求所述的控制器(2),该控制器构造用于实施按照权利要求2至10任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016210984.7 | 2016-06-20 | ||
| DE102016210984.7A DE102016210984A1 (de) | 2016-06-20 | 2016-06-20 | Verfahren zum Betreiben eines Steuergeräts |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107526290A true CN107526290A (zh) | 2017-12-29 |
| CN107526290B CN107526290B (zh) | 2022-05-31 |
Family
ID=60481435
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710464055.1A Active CN107526290B (zh) | 2016-06-20 | 2017-06-19 | 用于运行控制器的方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10384689B2 (zh) |
| CN (1) | CN107526290B (zh) |
| DE (1) | DE102016210984A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3085596B1 (en) * | 2015-04-20 | 2017-11-29 | Autoliv Development AB | A vehicle safety electronic control system |
| DE102016220197A1 (de) * | 2016-10-17 | 2018-04-19 | Robert Bosch Gmbh | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug |
| US10838835B2 (en) * | 2017-12-29 | 2020-11-17 | Intel Corporation | Scheduling periodic CPU core diagnostics within an operating system during run-time |
| US20210070321A1 (en) * | 2018-03-13 | 2021-03-11 | Hitachi Automotive Systems, Ltd. | Abnormality diagnosis system and abnormality diagnosis method |
| IT201900018362A1 (it) * | 2019-10-10 | 2021-04-10 | Texa Spa | Metodo e sistema di controllo di almeno due motori elettrici di trazione di un veicolo |
| CN115104087A (zh) * | 2020-02-20 | 2022-09-23 | 三菱电机株式会社 | 验证装置 |
| DE102020202919A1 (de) * | 2020-03-06 | 2021-09-09 | Continental Teves Ag & Co. Ohg | Bremsanlage mit redundanter Parkbremsenansteuerung |
| EP4428583A1 (de) * | 2023-03-08 | 2024-09-11 | Leuze electronic GmbH + Co. KG | Optischer sensor |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777769A (zh) * | 2003-04-22 | 2006-05-24 | 丰田自动车株式会社 | 用于车辆用控制装置的故障诊断装置和方法 |
| DE102005025520A1 (de) * | 2005-06-03 | 2006-12-07 | Robert Bosch Gmbh | Verfahren zur modellbasierten Diagnose eines mechatronischen Systems |
| KR20100115965A (ko) * | 2009-04-21 | 2010-10-29 | 현대자동차주식회사 | 차량용 자기진단 제어 시스템 |
| CN102591330A (zh) * | 2012-03-09 | 2012-07-18 | 北京信息科技大学 | 一种工程车辆电控系统故障检测装置及其检测方法 |
| US20130020978A1 (en) * | 2011-07-21 | 2013-01-24 | Renesas Electronics Corporation | Microcontroller, control device and determination method |
| DE102011121441A1 (de) * | 2011-12-16 | 2013-06-20 | GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) | Verfahren zum Betreiben eines Fehlerdiagnosesystems eines Fahrzeugs und Fahrzeug |
| US20140039649A1 (en) * | 2012-07-31 | 2014-02-06 | Audi Ag | Method for the efficient protection of safety-critical functions of a controller and a controller |
| CN103823362A (zh) * | 2014-02-17 | 2014-05-28 | 南京航空航天大学 | 基于仲裁机制的相似双余度飞控计算机及冗余控制方法 |
| EP2947531A1 (en) * | 2014-05-21 | 2015-11-25 | Bell Helicopter Textron Inc. | High authority stability and control augmentation system |
| CN105257484A (zh) * | 2015-11-05 | 2016-01-20 | 北京天诚同创电气有限公司 | 风力发电机组的刹车检测方法、装置及系统 |
| CN105515739A (zh) * | 2014-10-14 | 2016-04-20 | 罗伯特·博世有限公司 | 用于自动化行驶的防止失效的e/e结构 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4438714A1 (de) | 1994-10-29 | 1996-05-02 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs |
| JP3434405B2 (ja) * | 1996-03-19 | 2003-08-11 | 富士通株式会社 | 通信制御装置及び通信制御方法並びに中間通信制御ユニット |
| US6523126B1 (en) * | 1999-10-18 | 2003-02-18 | Intel Corporation | Watchdog timer that is disabled upon receiving sleep status signal from monitored device wherein monitored device is not responsive to time-out of watchdog timer |
| DE10113917B4 (de) | 2001-03-21 | 2019-05-23 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
| US7526422B1 (en) * | 2001-11-13 | 2009-04-28 | Cypress Semiconductor Corporation | System and a method for checking lock-step consistency between an in circuit emulation and a microcontroller |
| DE10331872A1 (de) | 2003-07-14 | 2005-02-10 | Robert Bosch Gmbh | Verfahren zur Überwachung eines technischen Systems |
| US7796589B2 (en) * | 2005-08-01 | 2010-09-14 | American Power Conversion Corporation | Communication protocol |
| US7941699B2 (en) * | 2008-03-24 | 2011-05-10 | Intel Corporation | Determining a set of processor cores to boot |
| US8458533B2 (en) * | 2010-11-03 | 2013-06-04 | Texas Instruments Incorporated | Watch dog timer and counter with multiple timeout periods |
| JP5527270B2 (ja) * | 2011-04-12 | 2014-06-18 | 株式会社デンソー | 車載用電子制御装置 |
| US9201719B2 (en) * | 2012-03-16 | 2015-12-01 | Infineon Technologies Ag | Method and system for timeout monitoring |
| US9678870B2 (en) * | 2013-06-17 | 2017-06-13 | Nxp Usa, Inc. | Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data |
| EP3085596B1 (en) * | 2015-04-20 | 2017-11-29 | Autoliv Development AB | A vehicle safety electronic control system |
| US10445169B2 (en) * | 2016-04-08 | 2019-10-15 | Nxp Usa, Inc. | Temporal relationship extension of state machine observer |
-
2016
- 2016-06-20 DE DE102016210984.7A patent/DE102016210984A1/de active Pending
-
2017
- 2017-06-08 US US15/617,610 patent/US10384689B2/en active Active
- 2017-06-19 CN CN201710464055.1A patent/CN107526290B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777769A (zh) * | 2003-04-22 | 2006-05-24 | 丰田自动车株式会社 | 用于车辆用控制装置的故障诊断装置和方法 |
| DE102005025520A1 (de) * | 2005-06-03 | 2006-12-07 | Robert Bosch Gmbh | Verfahren zur modellbasierten Diagnose eines mechatronischen Systems |
| KR20100115965A (ko) * | 2009-04-21 | 2010-10-29 | 현대자동차주식회사 | 차량용 자기진단 제어 시스템 |
| US20130020978A1 (en) * | 2011-07-21 | 2013-01-24 | Renesas Electronics Corporation | Microcontroller, control device and determination method |
| DE102011121441A1 (de) * | 2011-12-16 | 2013-06-20 | GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) | Verfahren zum Betreiben eines Fehlerdiagnosesystems eines Fahrzeugs und Fahrzeug |
| CN102591330A (zh) * | 2012-03-09 | 2012-07-18 | 北京信息科技大学 | 一种工程车辆电控系统故障检测装置及其检测方法 |
| US20140039649A1 (en) * | 2012-07-31 | 2014-02-06 | Audi Ag | Method for the efficient protection of safety-critical functions of a controller and a controller |
| CN103823362A (zh) * | 2014-02-17 | 2014-05-28 | 南京航空航天大学 | 基于仲裁机制的相似双余度飞控计算机及冗余控制方法 |
| EP2947531A1 (en) * | 2014-05-21 | 2015-11-25 | Bell Helicopter Textron Inc. | High authority stability and control augmentation system |
| CN105515739A (zh) * | 2014-10-14 | 2016-04-20 | 罗伯特·博世有限公司 | 用于自动化行驶的防止失效的e/e结构 |
| CN105257484A (zh) * | 2015-11-05 | 2016-01-20 | 北京天诚同创电气有限公司 | 风力发电机组的刹车检测方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10384689B2 (en) | 2019-08-20 |
| CN107526290B (zh) | 2022-05-31 |
| US20170361852A1 (en) | 2017-12-21 |
| DE102016210984A1 (de) | 2017-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107526290A (zh) | 用于运行控制器的方法 | |
| JP6831281B2 (ja) | 電池監視システムおよび電池監視装置 | |
| CN107531250B (zh) | 车辆安全电子控制系统 | |
| CN103262045B (zh) | 具有容错架构的微处理器系统 | |
| US9604585B2 (en) | Failure management in a vehicle | |
| JPH11510925A (ja) | 安全上重要な制御装置のためのマイクロプロセッサ装置 | |
| CN104977907B (zh) | 容错性失效保护系统和方法 | |
| US20230281017A1 (en) | Autonomous driving controller parallel processor boot order | |
| JPWO2015068260A1 (ja) | 電動パワーステアリング制御装置および電動パワーステアリング制御方法 | |
| CN101107597A (zh) | 信息处理装置及信息处理方法 | |
| JP2013235300A (ja) | 安全信号処理システム | |
| EP3866038B1 (en) | Device and method for verifying a component of a storage device | |
| CN101960435B (zh) | 用于执行主机枚举过程的方法和装置 | |
| EP2186037B1 (en) | Microprocessor in a security-sensitive system | |
| JP4491479B2 (ja) | 分散制御システム | |
| US20150012781A1 (en) | Power supply diagnostic strategy | |
| JP2022500312A (ja) | 車両用制御アーキテクチャ | |
| CN103917961B (zh) | 用于运行控制网络的方法和控制网络 | |
| JP2011186664A (ja) | バックアップシステム | |
| Bergmiller et al. | Probabilistic fault detection and handling algorithm for testing stability control systems with a drive-by-wire vehicle | |
| US11385977B2 (en) | Reconfiguration control device | |
| EP3736583B1 (en) | System and method to provide safety partition for automotive system-on-a-chip | |
| JP4613019B2 (ja) | コンピュータシステム | |
| JP2014215656A (ja) | 車両用電子制御装置 | |
| CN108874579A (zh) | 用于监管和初始化端口的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |