申请/专利权人：罗伯特·博世有限公司

申请日：2017-10-17

公开（公告）日：2023-05-26

公开（公告）号：CN107953890B

主分类号：B60W50/023

分类号：B60W50/023;G05B23/02;G06F11/30

优先权：["20161017 DE 102016220197.2"]

专利状态码：有效-授权

法律状态：2023.05.26#授权;2019.11.12#实质审查的生效;2018.04.24#公开

摘要：一种用于处理用于自动化车辆的数据的方法，其具有以下步骤：运行至少两个计算装置30a...30n，其中，通过具有自我监控的至少两个监控装置20a...20n的监控设备10监控所述至少两个计算装置30a...30n，其中，借助所述至少两个监控装置20a...20n执行所述计算装置30a...30n的定义的监控；其中，由定义的监控装置20a...20n承担所述监控装置20a...20n的主机功能；其中，在执行所述主机功能的监控装置20a...20n的故障情况下，由下级监控装置20a...20n承担所述主机功能。

主权项：1.一种用于处理用于自动化车辆的数据的方法，该方法具有以下步骤：运行至少两个计算装置30a...30n，其中，通过具有自我监控的至少两个监控装置20a...20n的监控设备10监控所述至少两个计算装置30a...30n，其中，借助所述至少两个监控装置20a...20n执行所述计算装置30a...30n的定义的监控；其中，由定义的监控装置20a...20n承担所述监控装置20a...20n的主机功能；其中，在执行所述主机功能的监控装置20a...20n有故障的情况下，由下级监控装置20a...20n承担所述主机功能，其中，所述监控装置20a...20n使所述计算装置30a...30n同步，其中，所述监控装置20a...20n进行比较：所述计算装置30a...30n的结果是否相同，其中，在所述计算装置30a...30n中的一个的结果与其他计算装置30a...30n的结果有偏差的情况下，停用提供有偏差的结果的计算装置30a...30n。

全文数据：用于处理用于自动化车辆的数据的方法技术领域[0001]本发明涉及一种用于处理用于自动化车辆的数据的方法。本发明还涉及一种用于处理用于自动化车辆的数据的设备。背景技术[0002]用于高度自动化行驶的驾驶员辅助系统当前处于开发阶段。在此，涉及功能性安全概念的预备往往仅非常不健全地存在并且大部分还通过人为干预确保安全。但是，对于市场推广，需要完全或部分“故障不影响运行的faiIoperational”的功能性安全概念，这意味着，识别关键故障并且在故障情况下安全地继续实施最小必要的功能。[0003]如今的在汽车领域中的系统主要构造为“故障安全的（failsafe”，这意味着，识别关键故障并且将所述功能转换为安全状态。[0004]用于高度自动化行驶的系统在技术上开销很大。这种系统需要高计算功率和大的存储器。如今仅可以非常难地实现将如此大的系统完全实现为故障安全的或故障不影响运行的。此外，不存在在同时的高计算功率的情况下满足要求的安全性要求的高度集成的构件，已知的电子消费构件通常不满足关于功能性安全的提高的要求。[0005]由DE102014213245Al已知用于处理用于车辆的行驶功能的数据的方法。在此，提出一种构思，其中，不将过程同步到周期水平（Zyklus-Ebene而是到数据水平Daten-Ebene〇发明内容[0006]本发明的任务在于提供一种用于运行自动化车辆的改善的方法。[0007]根据第一方面借助一种用于处理用于自动化车辆的数据的方法，该方法具有以下步骤：[0008]-运行至少两个计算装置，其中，通过具有自我监控的至少两个监控装[0009]置的监控设备监控至少两个计算装置，[0010]-其中，借助至少两个监控装置执行计算装置的定义的监控；[0011]-其中，由定义的监控装置承担监控装置的主机功能_M:asterftmk1：i〇nalitiit;[0012]-其中，在执行主机功能的监控装置有故障的情况下，由下级监控装置承担主机功能。[0013]通过使用至少两个监控装置，有利地提高计算单元的可用性并且因此提高整体系统的可用性。监控装置是故障安全的并且因此识别：监控装置是有故障的。在该情况下，可以无缝地将主机功能转移给分别下级监控装置。[0014]根据第二方面，借助用于处理用于自动化车辆的数据的设备来解决该任务，该设备具有：[0015]-定义数量的计算装置；[0016]-至少两个监控装置，借助至少两个监控装置，所述计算装置可监控；[0017]-其中，借助监控装置中的一个承担主机功能，其中，在主监控装置有故障的情况下，由下级监控装置承担主机功能。[0018]也说明该方法的有利扩展方案。[0019]所述方法的有利扩展方案设置，由两个监控装置并行实施计算装置的监控。以这种方式可以在切换主机功能的情况下提供系统的高可用性。[0020]所述方法的另一有利扩展方案设置，下级监控装置将给执行主机功能的监控装置传递如下信号:所述下级监控装置是无故障的。也以这种方式支持整体系统的高冗余。[0021]所述方法的另一有利扩展方案设置，监控装置使计算装置同步。以这种方式，有利地优化计算装置的计算功率，其中，提高监控品质，因为例如直接由可靠的监控装置确定计算装置上的时机Timing。[0022]所述方法的另一有利扩展方案的特征在于，监控装置比较:计算装置的结果是否相同。以这种方式支持计算装置的高系统功率，其中，提高监控品质，因为例如在监控装置中以可靠的方式计算比较结果。[0023]所述方法的另一有利的扩展方案的特征在于，在计算装置中的一个的结果与其他计算装置的结果有偏差的情况下，停用提供有偏差的结果的计算装置。以这种方式有利地提高根据本发明的方法的功能安全。[0024]所述方法的另一有利的构型设置，分别仅一个监控装置触发所有计算装置。以这种方式简化整体系统的工作原理。[0025]所述方法的另一有利的扩展方案设置，监控装置中的每个具有乘法器，其中，监控设备的数据通道借助乘法器构造。以这种方式，有利地巡视abgehen、优化数据流，由此，下级装置需要用于处理数据的更少的成本。[0026]以下根据多个附图借助另外的特征和优点详细描述本发明。相同的或功能相同的元素具有相同的参考标记。为了更清楚起见可以设置，在所有附图中，标明所有参考标记。[0027]公开的方法特征类似地从相应的公开的设备特征中得出，并且反之亦然。这尤其意味着，涉及用于处理用于自动化车辆的数据的方法的特征、技术优点和实施方案以类似的方式从用于处理用于自动化车辆的数据的设备的相应的实施方案、特征和优点中得出，并且反之亦然。附图说明[0028]在附图中示出：[0029]图1示出用于处理用于自动化车辆的数据的一种传统方法的原理性工作方式的示图；[0030]图2示出用于处理用于自动化车辆的数据的所提出的方法的一种实施方式的原理性工作方式的示图；[0031]图3以更高的详细度示出图2的部分示图；[0032]图4示出监控装置的主机功能的链式的移交的原理示图；[0033]图5示出用于阐述所提出的方法的实施方式的原理性流程图。具体实施方式[0034]本发明的核心思想在于，提供一种具有更高可用性的用于处理用于自动化车辆的数据的方法。[0035]为此已知的方案是N中的MMms-N系统，其中：[0036]M^N,[0037]其中：[0038]M...至少在结果中必须一致的计算装置的数量，[0039]N...计算装置的数量[0040]在此，并行实现N个计算装置。呈比较器决定器形式的监控装置比较所有N个计算装置的结果。当M个结果一致时，比较器决定器将系统状态置于“无故障”。附加地，将具有一致的结果的M个计算装置的结果作为N中的M系统的结果输出。如果少于M个结果一致，则将系统的状态置于“有故障”。然后，在故障情况下，例如可以输出定义的结果，并且启动故障处理。[0041]图1示出根据上述原理实现的传统的具有监控设备10的系统100,所述监控设备具有唯一监控装置20a、优选微控制器。系统100具有分别功能上与RAM31a...31c连接的3个计算装置30a.·.30c〇[0042]冗余的计算复合体Rechnerverbund的单个部件的可用性主要通过其组成部分定义。[0043]在DE102014213245Al中描述的方法中，可以通过使用多个计算单元来提高涉及计算单元的可用性。例如可以替代M=2和N=2再多使用一个计算单元，S卩M=2和N=3。由此积极地影响可用性，可用性可通过以下方式在数学上表达：[0044]可用性3中的2=R=Re*RaP~3+3RaP~2I-RaP[0045]其中：[0046]RaP...计算单元的可用性[0047]Re...比较器决定器同步器的可用性[0048]即由公式（1可见，对于整体系统的可用性，比较器决定器同步器的可用性是非常重要的。[0049]提出，消除这种限制，其中，保留由DE102014213245Al已知的系统的核心方案和优点。[0050]有利地，可以借助本发明实现冗余复合体Rebundanzverbund的可用性的提高。为此，在比较设备10内，使监控装置20的数量至少翻倍并且将其结合到由DE102014213245Al已知的方法中。[0051]有利地，可以以这种方式以较小的开销减小冗余复合体的可用性限制。优选地为此目的设置:通过成本有利的、自我监控（即故障安全的）的微控制器实现监控设备10的计算装置。[0052]图2示例性地示出根据这种实现的M=2和N=3系统100的结构。[0053]监控设备10示例性通过两倍存在的以用于机动车领域中的两个微控制器的形式的监控装置20a、20b实现。但是，原理上可设想的也是，通过满足分别定义的功能性的所有安全性要求的三个和多个计算装置20a...20η来实现监控设备10。[0054]以下示例性地阐述具有数量Ν=2个监控装置20a...20η和数量Μ=3个计算装置30a…30η的系统100。[0055]图3以更高的详细度示出图2的系统100的一部分，其中，为了更清楚起见仅仅示例性示出唯一的计算装置30a。然而，显而易见的是，对于提出的系统100,可设想任意数量N多2的监控装置20a...20η和M彡2个计算装置30a...30η。[0056]在图3中可看到，构造在第一监控装置20a与第一计算装置30a之间的第一触发线路T1，第一监控装置20a通过第一触发线路Tl触发第一计算装置30a。还可看到，第二监控装置20b与第一计算装置30a之间设置有第二触发线路T2,如果第一监控装置20a有故障，由第二监控装置20b通过第二触发线路T2触发第一计算装置30a。[0057]还可看到第一计算装置30a与监控装置20a、20b之间布置的结果数据线路RD，所述结果数据线路RD用于将计算装置30a...30η的结果数据传送给监控装置20a、20b。由此可以有利地仅借助计算装置30a的协议Protokoll将数据传送给监控装置20a、20b。可选地，可以为此目的也设置不同协议的使用或接口的翻倍。[0058]还设置用于将第一监控装置20a的过程数据传送给第一计算装置30a的第一过程数据线路PDl以及用于将第二监控装置20b的过程数据传送给第一计算装置30a的第二过程数据线路PD2。由此在结果中实现从监控装置20a、20b至计算装置30a、30b的两个独立的信号路径。这优选可以构造为分开的接口或替代地在合适的总线接口的情况下构造为唯一的总线接口。[0059]对于另外的、在图3的系统中未示出的计算装置30b...30η，分别必须设置过程数据线路、同步线路或触发线路。在接口处如在DE102014213245Al中描述的那样），可以实现多个另外的方案，如以下仅仅示例性简短阐述的那样。[0060]优选地，在监控装置20a、20b的每个中布置有所谓的触发仲裁器（Trigger-Arbitter未示出），所述触发仲裁器那个实现两个冗余的监控装置20a、20b的同步。触发仲裁器同样产生用于计算装置30a...30η的触发信号，读取其他机构（Instanz的触发信号并且将其内部触发时机同步到其下级主机Master。为此，触发仲裁器读取其下级主机的故障安全信号化Failsafe-Signalisierung。[0061]监控装置20a...20η之间优选设置所谓的“故障安全信号化”，借助所述故障安全信号化，分别下级的监控装置20a...20η将其状态以信号发送给分别下级的监控装置20η...20η。为了诊断和测试目的，也还可以设置附加的信号化形式。在最小情况下，两个监控装置20a、20b之间的故障安全信号化是足够的，其中，但是在这种情况下，可能降低可诊断性。[0062]计算装置30a.·.30η与监控装置20a.·.20η之间的通信可以如下构造：[0063]优选，首先第一监控装置20a承担主机功能并且为此目的执行设置在正常运行中设置的比较器决定器同步功能。在第一监控装置20a有故障的情况下，下级监控装置20b承担主机功能。对于监控装置20b有故障的情况，下级监控装置20c未示出）承担主机功能等。[0064]为此目的，必须激活第一监控装置20a的故障安全信号FSl，借助故障安全信号FSl，主监控装置将给下级监控装置20b...20η发送如下信号：主监控装置有故障地工作或主监控装置是有故障的。[0065]两个监控装置20a、20b同时以相同的数据实施比较器决定器同步功能。为此目的，将计算装置30a...30η的结果数据彼此进行比较，其中，在计算装置30a...30η提供有偏差的结果的情况下，由另一过程排除或停用。[0066]触发器作用，如已经由DE102014213245Al已知的那样。附加地适用的是，第一监控装置20a通过第一触发线路Tl操作第一触发器，其中，在故障情况下，用于第一计算装置30a的触发功能由第二监控装置20b承担。为此目的，第二监控装置20b必须同步到第一触发器上，只要第一监控装置20a是无故障的。[0067]监控装置20a、20b即必须确保，实现计算装置30a...30η的一对一的触发。不设置通过两个监控装置20a、20b的同时的触发功能。[0068]优选，边沿控制地实现触发，由此简化一对一的触发。在第一监控装置在稍早于触发时刻发生故障时，第二监控装置20b触发。在第一监控装置20a在稍晚于触发时刻发生故障时，在该周期中就不需要触发第二监控装置20b，而在随后的周期中才需要。[0069]当已识别触发器X的激活时X=I或X=2，计算装置30a...30η使用过程数据线路PD0[0070]因此，由监控设备10实现仅一个唯一的数据通道例如对于用于机动车中的控制设备的数据），在每个监控装置20a...20η中分别设置乘法器21a...21η，捆绑bilndeln所提到的数据通道。[0071]可以有利地实现超过监控设备10的在图3中阐述的两个机构的扩展系统100。尤其有利的是，要求系统100的高度的可用性。如上面所描述的那样，为此目的必须相应地扩展所提到的总线线路和接口线路TI、T2、RD、PDl、PD2，如这在图3中仅仅为了更清楚起见表明的那样。[0072]优选地，根据优先级实现监控装置20a...20η的主机功能的承担。第一监控装置20a负责主机，直到第一监控装置发生故障，然后第二监控装置20b承担主机功能，然后第三监控装置20c等，直到借助监控装置不再可实现主机功能。[0073]优选地，第二、第三、第四、第五等主机读取其下级前序程序VbrgSnger的故障安全输出FSl...FSn。仅当所有前序程序发生故障时，才承担主机功能。[0074]这在图4中表明，在图4中示出主监控装置20a...20c的故障安全线路，由此在结果中通过监控装置20a...20c实现主机功能的链式承担。[0075]有利地，根据本发明的方法可以实现为在监控设备10的监控装置20a...20η上运行的软件。该方法的简单的可自适应性以这种方式支持。[0076]图5示出根据本发明的方法的实施方式的原理性流程图。[0077]在步骤200中，执行至少两个技术装置30a...30η的运行，其中，通过具有自我监控的至少两个监控装置20a...20η的监控设备10来监控至少两个计算装置30a...30η，其中，借助至少两个监控装置20a...20η执行计算装置30a...30η的定义的监控，其中，由定义的监控装置20a...20η承担监控装置20a...20η的主机功能。[0078]在步骤210中，在执行主机功能的监控装置20a...20η有故障的情况下，由下级监控装置20a...20η承担主机功能。[0079]结果，通过本发明例如可以有利地影响高自动化机动车的驾驶辅助系统的工作方式，因为有利地提高计算功率的可用性，由此提高街道交通中的高自动化机动车的一般性安全度。[0080]本领域技术人员以合适的方式修改和或结合本发明的特征，而不偏离本发明的核心。

权利要求：1.一种用于处理用于自动化车辆的数据的方法，该方法具有以下步骤：运行至少两个计算装置（30a...30η，其中，通过具有自我监控的至少两个监控装置20a...20η的监控设备（10监控所述至少两个计算装置30a...30η，其中，借助所述至少两个监控装置20a...20η执行所述计算装置30a...30η的定义的监控；其中，由定义的监控装置20a...20η承担所述监控装置20a...20η的主机功能；其中，在执行所述主机功能的监控装置20a...20η有故障的情况下，由下级监控装置20a...20η承担所述主机功能。2.根据权利要求1所述的方法，其中，由两个监控装置并行地实施所述计算装置的监控。3.根据权利要求1或2所述的方法，其中，所述下级监控装置20a...20η给执行所述主机功能的监控装置20a...20η传递如下信号:所述下级监控装置是否无故障。4.根据权利要求1至3中任一项所述的方法，其中，所述监控装置20a...20η使所述计算装置30a...30η同步。5.根据上述权利要求中任一项所述的方法，其中，所述监控装置（20a...20η进行比较:所述计算装置30a...30η的结果是否相同。6.根据权利要求5所述的方法，其中，在所述计算装置30a...30η中的一个的结果与其他计算装置（30a...30η的结果有偏差的情况下，停用提供有偏差的结果的计算装置30a.··30η。7.根据上述权利要求中任一项所述的方法，其中，分别仅一个监控装置20a...20η触发所有计算装置30a...30η。8.根据上述权利要求中任一项所述的方法，其中，所述监控装置20a...20η中的每个具有一个乘法器（21a...21η，其中，所述监控设备（10的数据通道借助所述乘法器21a.··21η构造。9.一种用于处理用于自动化车辆的数据的设备，该设备具有：定义数量的计算装置30a...30η;至少两个监控装置（20a...20η，借助所述至少两个监控装置，所述计算装置30a.··30η可监控；其中，借助所述监控装置20a...20η中的一个承担主机功能，其中，在所述主监控装置故障的情况下，由下级监控装置20a...20η承担所述主机功能。10.根据权利要求9所述的设备，其特征在于，所述计算装置30a...30η与所述监控装置20a...20η之间的接口总线Tl，Τ2，RD，PDl，PD2分开地构造。11.根据权利要求9所述的设备，其特征在于，所述计算装置30a...30η与所述监控装置20a...20η之间的接口总线ΤI，Τ2，RD，PDI，PD2集成在唯一的总线中。12.—种计算机程序产品，其具有用于当所述计算机程序产品在电子监控设备（10上运行或在计算机可读的数据载体上存储时执行根据权利要求1至8中任一项所述的方法的程序代码单元。

百度查询： 罗伯特·博世有限公司 用于处理用于自动化车辆的数据的方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD