容錯(cuò)控制系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及容錯(cuò)控制器系統(tǒng)，其包括第一控制器和第二控制器。第一和第二控制器中的一者被指定為主控制器以用于在無(wú)故障操作條件下生成旨在控制車輛上的致動(dòng)裝置的控制信號(hào)，并且第一和第二控制器中的另一者被指定為副控制器以生成旨在控制車輛上的致動(dòng)裝置的控制信號(hào)。所述致動(dòng)裝置僅響應(yīng)于被指定的主控制器。在主控制器中探測(cè)到錯(cuò)誤并且從故障控制器向無(wú)故障控制器發(fā)送消息來(lái)識(shí)別所述錯(cuò)誤。隨后無(wú)故障控制器被指定為主控制器?？刂菩盘?hào)包括標(biāo)識(shí)符，其將無(wú)故障控制器識(shí)別為被指定的主控制器。響應(yīng)探測(cè)到所述錯(cuò)誤，所述故障控制器被重置作為副控制器以安全操作模式操作。
【專利說(shuō)明】容錯(cuò)控制系統(tǒng)

【技術(shù)領(lǐng)域】
[0001]實(shí)施例大體涉及故障操作的車輛系統(tǒng)中的故障控制。

【背景技術(shù)】
[0002]提供安全功能的系統(tǒng)通常利用備用的控制器來(lái)確保安全操作能夠繼續(xù)一段持續(xù)時(shí)間段以便允許系統(tǒng)轉(zhuǎn)變到不取決于故障操作的系統(tǒng)的當(dāng)前狀態(tài)的操作模式。這樣的系統(tǒng)通常利用雙重雙工控制器。如果第一控制器發(fā)生故障且不運(yùn)轉(zhuǎn)，則第二控制器將被激活并且所有的致動(dòng)器將轉(zhuǎn)換成依賴來(lái)自第二控制器的請(qǐng)求。如果缺陷實(shí)際上是硬件方面的問(wèn)題(例如布線問(wèn)題、引腳連接問(wèn)題)以致第二控制器不會(huì)具有相同缺陷，則系統(tǒng)將正確地起作用。然而，如果缺陷是由于兩個(gè)控制器共同的缺陷所造成，例如軟件缺陷，則這個(gè)軟件缺陷導(dǎo)致使得兩個(gè)控制器均會(huì)受影響的運(yùn)行時(shí)間錯(cuò)誤。因此，如果兩個(gè)控制器均不運(yùn)轉(zhuǎn)，則沒(méi)有能夠在系統(tǒng)中執(zhí)行的操作控制，并且因此系統(tǒng)將無(wú)法操作。


【發(fā)明內(nèi)容】

[0003]實(shí)施例的優(yōu)點(diǎn)在于系統(tǒng)的連續(xù)功能性，該系統(tǒng)利用雙工控制器，其中維持了系統(tǒng)的功能性而不管系統(tǒng)是否存在故障，例如軟件設(shè)計(jì)缺陷，否則這將影響兩個(gè)控制器從而從任意控制器均無(wú)法得到行為響應(yīng)。此外，在若干微秒內(nèi)起動(dòng)任一控制器的可行性提供了一種簡(jiǎn)單安全操作的操作模式，其允許控制裝置操作在具有最小的操作系統(tǒng)支持的情況下作為裸硬件上的獨(dú)立應(yīng)用來(lái)運(yùn)行。這里描述的發(fā)明結(jié)合了物理備用與遞增回退(incrementalfallback)策略的優(yōu)點(diǎn)，其具有避免在駕駛員能夠合理地有望重新控制車輛之前自動(dòng)化技術(shù)不能維持操作狀態(tài)的情況的總體目標(biāo)。這種設(shè)計(jì)的物理備用主要減少由于隨機(jī)硬件故障導(dǎo)致的系統(tǒng)故障的風(fēng)險(xiǎn)。此外，從正常模式操作到安全模式操作的遞增回退主要減少與系統(tǒng)性故障(例如軟件缺陷)相關(guān)聯(lián)的風(fēng)險(xiǎn)。
[0004]本發(fā)明利用故障之后在安全操作模式中控制器的重啟，其中安全操作模式是更確定性的行為，其被隔離于正常模式操作的元件，而正常模式相比確定性行為更偏好性能。
[0005]實(shí)施例設(shè)想了用于故障操作的車輛系統(tǒng)的容錯(cuò)控制器策略。(a)提供第一控制器和第二控制器，這二者均生成旨在無(wú)故障操作條件下控制車輛上的致動(dòng)裝置的控制信號(hào)，所述第一控制器最初被指定為主控制器并且所述第二控制器最初被指定為副控制器，所述致動(dòng)裝置僅響應(yīng)于被指定的主控制器；(b)探測(cè)兩個(gè)控制器中一個(gè)控制器中的錯(cuò)誤，其中被探測(cè)到具有所述錯(cuò)誤的相應(yīng)控制器最初被識(shí)別為故障控制器并且另一個(gè)控制器最初被識(shí)別為無(wú)故障控制器；(c)如果在步驟(b)中探測(cè)到控制器故障，則由無(wú)故障的被指定的主控制器生成控制信號(hào)來(lái)控制所述致動(dòng)裝置的致動(dòng)，所述控制信號(hào)包括將所述無(wú)故障控制器識(shí)別為被指定的主控制器的識(shí)別符；(d)響應(yīng)步驟(b)中探測(cè)到所述錯(cuò)誤，重置所述故障控制器作為副控制器以安全操作模式操作。
[0006]實(shí)施例設(shè)想了用于故障操作的車輛系統(tǒng)的容錯(cuò)控制器系統(tǒng)。第一控制器生成旨在無(wú)故障操作條件下控制車輛上的致動(dòng)裝置的控制信號(hào)。第一控制器最初被指定為主控制器。第二控制器生成旨在控制所述車輛上的所述致動(dòng)裝置的控制信號(hào)。第二控制器最初被指定為副控制器。所述致動(dòng)裝置僅響應(yīng)于被指定的主控制器。當(dāng)在兩個(gè)控制器中的一個(gè)控制器中探測(cè)到錯(cuò)誤時(shí)，從故障控制器向無(wú)故障控制器發(fā)送消息來(lái)識(shí)別所述錯(cuò)誤。隨后無(wú)故障控制器被指定為主控制器。無(wú)故障的被指定的主控制器生成的控制所述致動(dòng)裝置的致動(dòng)的控制信號(hào)包括將所述無(wú)故障控制器識(shí)別為被指定的主控制器的識(shí)別符。響應(yīng)探測(cè)到所述錯(cuò)誤，所述故障控制器被重新初始化以便作為副控制器以安全操作模式操作。
[0007]本發(fā)明還提供了以下技術(shù)方案。
[0008]方案1.一種用于故障操作的車輛系統(tǒng)的容錯(cuò)控制器策略，包括步驟:
(a)提供第一控制器和第二控制器，所述第一控制器和第二控制器均在無(wú)故障操作條件下生成旨在控制車輛上的致動(dòng)裝置的控制信號(hào)，所述第一控制器最初被指定為主控制器并且所述第二控制器最初被指定為副控制器，所述致動(dòng)裝置僅響應(yīng)于被指定的主控制器；
(b)探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤，其中被探測(cè)到具有所述錯(cuò)誤的相應(yīng)控制器最初被識(shí)別為故障控制器并且另一個(gè)控制器最初被識(shí)別為無(wú)故障控制器；
(c)如果在步驟(b)中探測(cè)到控制器錯(cuò)誤，則由無(wú)故障的被指定的主控制器生成控制信號(hào)來(lái)控制所述致動(dòng)裝置的致動(dòng)，所述控制信號(hào)包括將所述無(wú)故障控制器識(shí)別為被指定的主控制器的識(shí)別符；
(d)響應(yīng)步驟(b)中探測(cè)所述錯(cuò)誤，重置所述故障控制器作為所述副控制器以安全操作模式操作。
[0009]方案2.根據(jù)方案I所述的容錯(cuò)控制器策略，還包括步驟:向用戶發(fā)出第一錯(cuò)誤消息以便警告所述用戶在步驟(b)中探測(cè)到的錯(cuò)誤。
[0010]方案3.根據(jù)方案2所述的容錯(cuò)控制器策略，其中在步驟(b)中探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤包括下述步驟:
所述第一和第二控制器監(jiān)測(cè)彼此的通信活動(dòng)；以及
響應(yīng)于沒(méi)有來(lái)自另一控制器的通信活動(dòng)，識(shí)別出另一控制器中的錯(cuò)誤。
[0011]方案4.根據(jù)方案2所述的容錯(cuò)控制器策略，其中在步驟(b)中探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤包括下述步驟:
所述第一和第二控制器監(jiān)測(cè)彼此的通信活動(dòng)；以及
響應(yīng)于另一控制器偏離預(yù)期行為，識(shí)別出所述另一控制器中的錯(cuò)誤。
[0012]方案5.根據(jù)方案2所述的容錯(cuò)控制器策略，其中在步驟(b)中探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤包括由所述故障控制器自行探測(cè)所述錯(cuò)誤。
[0013]方案6.根據(jù)方案5所述的容錯(cuò)控制器策略，還包括步驟:
(e)響應(yīng)于探測(cè)到所述兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤，從所述故障控制器向所述無(wú)故障控制器發(fā)送消息以識(shí)別出所述錯(cuò)誤，其中所述無(wú)故障控制器隨后被指定為主控制器。
[0014]方案7.根據(jù)方案6所述的容錯(cuò)控制器策略，包括步驟:
(f)如果隨后在步驟(e)中被指定為主控制器的所述無(wú)故障控制器中探測(cè)到錯(cuò)誤，則從所述被指定的主控制器向以安全操作模式操作的所述副控制器發(fā)送識(shí)別出所述錯(cuò)誤的消息；
(g)響應(yīng)于步驟(f)中探測(cè)到的錯(cuò)誤，由以安全操作模式操作的所述副控制器生成控制信號(hào)，所述控制信號(hào)包括標(biāo)識(shí)符，所述標(biāo)識(shí)符將以安全操作模式操作的所述副控制器識(shí)別為被指定的主控制器；以及
(h)響應(yīng)于步驟(f)中探測(cè)到的錯(cuò)誤，向所述用戶發(fā)出第二錯(cuò)誤消息，其中響應(yīng)步驟Cf)中探測(cè)到的錯(cuò)誤生成的所述第二錯(cuò)誤消息相對(duì)于響應(yīng)步驟(b)中探測(cè)到的錯(cuò)誤生成的所述第一錯(cuò)誤消息是更加緊急的。
[0015]方案8.根據(jù)方案7所述的容錯(cuò)控制器策略，其中步驟(f)中識(shí)別出的主控制器作為隨后被指定的副控制器以安全操作模式操作。
[0016]方案9.根據(jù)方案8所述的容錯(cuò)控制器策略，其中響應(yīng)于步驟(f)中探測(cè)到的錯(cuò)誤所發(fā)出的錯(cuò)誤消息告知所述用戶應(yīng)該執(zhí)行用戶介入來(lái)獲取對(duì)所述控制致動(dòng)裝置的控制。
[0017]方案10.根據(jù)方案9所述的容錯(cuò)控制器策略，其中響應(yīng)于所述用戶執(zhí)行控制動(dòng)作來(lái)獲得對(duì)所述致動(dòng)裝置的控制，終止所述第一和第二控制器對(duì)所述致動(dòng)裝置的控制。
[0018]方案11.根據(jù)方案7所述的容錯(cuò)控制器策略，其中響應(yīng)于點(diǎn)火起動(dòng)序列，所述第一和第二控制器被重置到無(wú)故障操作模式，所述點(diǎn)火起動(dòng)序列包括關(guān)斷車輛點(diǎn)火并且重新致動(dòng)所述車輛點(diǎn)火。
[0019]方案12.根據(jù)方案7所述的容錯(cuò)控制器策略，其中所述安全操作模式操作包括使用有限的操作系統(tǒng)支持來(lái)操作所述致動(dòng)裝置。
[0020]方案13.根據(jù)方案6所述的容錯(cuò)控制器策略，其中如果所述第一控制器和第二控制器同時(shí)發(fā)生故障，則重新初始化并以所述安全操作模式開(kāi)始操作的相應(yīng)控制器被指定為所述主控制器。
[0021]方案14.根據(jù)方案6所述的容錯(cuò)控制器策略，其中如果所述第一控制器和第二控制器永久性地發(fā)生故障，則所述致動(dòng)裝置包括獨(dú)立控制策略以用于維持操作直到所述用戶執(zhí)行控制動(dòng)作來(lái)獲得對(duì)自主車輛系統(tǒng)的控制。
[0022]方案15.—種用于故障操作的車輛系統(tǒng)的容錯(cuò)控制器系統(tǒng)，包括:
第一控制器，所述第一控制器生成旨在無(wú)故障操作條件下控制車輛上的致動(dòng)裝置的控制信號(hào)，所述第一控制器最初被指定為主控制器；
第二控制器，所述第二控制器生成旨在控制所述車輛上的所述致動(dòng)裝置的控制信號(hào)，所述第二控制器最初被指定為副控制器，所述致動(dòng)裝置僅響應(yīng)于被指定的主控制器；
其中當(dāng)在兩個(gè)控制器中的一個(gè)控制器中探測(cè)到錯(cuò)誤時(shí)，從故障控制器向無(wú)故障控制器發(fā)送消息來(lái)識(shí)別所述錯(cuò)誤，并且其中所述無(wú)故障控制器隨后被指定為主控制器；
其中用于控制所述致動(dòng)裝置的致動(dòng)的無(wú)故障的被指定的主控制器生成的控制信號(hào)包括將所述無(wú)故障控制器識(shí)別為被指定的主控制器的識(shí)別符；以及
其中響應(yīng)探測(cè)到所述錯(cuò)誤，所述故障控制器被重新初始化作為副控制器以安全操作模式操作。
[0023]方案16.根據(jù)方案15所述的容錯(cuò)控制器系統(tǒng)，其中第一錯(cuò)誤消息被發(fā)出以用于警告用戶在所述兩個(gè)控制器中的一個(gè)控制器中探測(cè)到的所述錯(cuò)誤。
[0024]方案17.根據(jù)方案15所述的各錯(cuò)控制器系統(tǒng),其中如果隨后在被指定為王控制器的所述無(wú)故障控制器中探測(cè)到錯(cuò)誤，則從所述被指定的主控制器向當(dāng)前以所述安全操作模式操作的所述副控制器發(fā)送識(shí)別出所述錯(cuò)誤的消息，被識(shí)別為具有錯(cuò)誤的所述主控制器被指定為以安全操作模式操作的隨后的副控制器； 其中當(dāng)前以所述安全操作模式操作的所述副控制器生成包括標(biāo)識(shí)符的控制信號(hào)，所述標(biāo)識(shí)符將當(dāng)前以安全操作模式操作的所述副控制器識(shí)別為被指定的主控制器；以及
其中在第一和第二控制器中均探測(cè)到錯(cuò)誤之后，向所述用戶發(fā)出第二錯(cuò)誤消息，并且其中響應(yīng)第一和第二控制器中探測(cè)到的所述錯(cuò)誤生成的所述第二錯(cuò)誤消息相對(duì)于響應(yīng)兩個(gè)控制器中的一個(gè)控制器中探測(cè)到的所述錯(cuò)誤生成的所述第一錯(cuò)誤消息是更加緊急的。
[0025]方案18.根據(jù)方案17所述的容錯(cuò)控制器系統(tǒng)，其中如果隨后在以安全操作模式操作的被指定的主控制器中探測(cè)到錯(cuò)誤，則所述隨后的副控制器被指定為以安全操作模式操作的隨后的被指定的主控制器。
[0026]方案19.根據(jù)方案17所述的容錯(cuò)控制器系統(tǒng)，其中所述第二錯(cuò)誤消息指示出應(yīng)該執(zhí)行用戶介入來(lái)獲取對(duì)所述致動(dòng)裝置的控制。
[0027]方案20.根據(jù)方案15所述的容錯(cuò)控制器系統(tǒng)，其中響應(yīng)于所述用戶執(zhí)行控制動(dòng)作來(lái)獲取對(duì)自主車輛系統(tǒng)的控制，所述第一和第二控制器將車輛控制讓渡給所述車輛的所述用戶。
[0028]方案21.根據(jù)方案15所述的容錯(cuò)控制器系統(tǒng)，還包括點(diǎn)火系統(tǒng)，其中響應(yīng)于點(diǎn)火起動(dòng)序列，所述第一和第二控制器被重置到無(wú)故障操作模式，所述點(diǎn)火起動(dòng)序列包括關(guān)斷車輛點(diǎn)火并且重新致動(dòng)所述車輛點(diǎn)火。
[0029]方案22.根據(jù)方案15所述的容錯(cuò)控制器系統(tǒng)，其中如果所述第一控制器和第二控制器同時(shí)發(fā)生故障，則重新初始化并以所述安全操作模式操作的相應(yīng)控制器被指定為主控制器。

【專利附圖】

【附圖說(shuō)明】
[0030]圖1是用于車輛的故障操作系統(tǒng)的雙工控制器的構(gòu)架框圖。
[0031]圖2示出了用于指定主和副控制器功能性的流程圖。

【具體實(shí)施方式】
[0032]圖1示出了用于車輛的故障操作系統(tǒng)的雙工控制器的構(gòu)架框圖。通常，如果受控系統(tǒng)是利用自主控制的系統(tǒng)或安全關(guān)鍵系統(tǒng)并且因此在系統(tǒng)內(nèi)發(fā)生錯(cuò)誤時(shí)需要容錯(cuò)對(duì)策，則車輛系統(tǒng)利用兩個(gè)控制器。這里使用的術(shù)語(yǔ)“自主控制”或“自主操作”可以指的是完全自主操作、半自主操作或受限自主操作。這樣系統(tǒng)的示例包括但不限于自主駕駛系統(tǒng)，例如適應(yīng)性巡航控制系統(tǒng)和自動(dòng)停車系統(tǒng)。在圖1中，示出的車輛10包括第一控制器12和第二控制器14、通信總線16和車輛裝置18 (例如，致動(dòng)裝置)，其用于致動(dòng)車輛操作從而優(yōu)選地執(zhí)行受第一控制器12和第二控制器14控制的自動(dòng)操作。
[0033]第一控制器12包括第一微處理器20和第二微處理器22，優(yōu)選地每個(gè)均具有單獨(dú)的存儲(chǔ)器。第二控制器14也包括兩個(gè)微處理器(未示出)。各自在無(wú)故障操作(這里被稱為正常操作條件)下操作的第一控制器12和第二控制器14均將生成并發(fā)送控制信號(hào)，如同每個(gè)相應(yīng)控制器正在控制車輛裝置18。
[0034]用于控制車輛裝置18的控制策略是基于主配置/副配置，使得相應(yīng)控制器中的一個(gè)被指定為主控制器而另一個(gè)控制器被指定為副控制器。還應(yīng)該理解的是，由原始設(shè)備制造商來(lái)確定將相應(yīng)控制器指定為主控制器的系統(tǒng)的初始配置，并且這被闡述在系統(tǒng)的編程中。車輛裝置18將僅基于從被指定的主控制器接收的控制信號(hào)來(lái)聽(tīng)從并執(zhí)行命令。因此，如果第一控制器12被指定為主控制器并且第二控制器14被指定為副控制器，則車輛裝置18僅基于由第一控制器12生成并發(fā)送的控制信號(hào)來(lái)執(zhí)行功能。雖然被指定為副控制器的第二控制器14生成并在通信總線或類似的通信鏈路上發(fā)送控制信號(hào)，但是在第二控制器被指定為副控制器時(shí)車輛裝置18將不聽(tīng)從第二控制器。
[0035]通過(guò)第一控制器12和第二控制器14之間的通信來(lái)確定將控制器指定為主控制器還是副控制器。最初，相應(yīng)控制器中的一個(gè)被指定為主控制器(例如，第一控制器12)。第一控制器12與第二控制器14通信以用于指示出其在正常條件(無(wú)故障)下起作用。當(dāng)與車輛裝置18通信時(shí)，第一控制器12發(fā)送數(shù)據(jù)包，該數(shù)據(jù)包包括前序部分及隨后的消息部分。該前序部分包括識(shí)別其本身為主控制器的標(biāo)識(shí)符(例如，識(shí)別代碼)。消息部分包括控制信號(hào)或者其他的數(shù)據(jù)。車輛裝置18關(guān)聯(lián)于發(fā)送該標(biāo)識(shí)符的相應(yīng)控制器作為控制裝置并且將指定這個(gè)相應(yīng)控制器作為被指定的主控制器。如果從不包括標(biāo)識(shí)符的控制器發(fā)送消息，則消息將被控制裝置18忽略。
[0036]如果發(fā)生導(dǎo)致被指定的主控制器的故障情況的錯(cuò)誤，則被指定的主控制器(例如，第一控制器12)通知副控制器(例如，第二控制器14)其操作中已經(jīng)發(fā)生錯(cuò)誤并且其自身必須重置。響應(yīng)已經(jīng)發(fā)生錯(cuò)誤的通信，副控制器(例如，第二控制器14)將發(fā)送作為其消息的一部分的標(biāo)識(shí)符來(lái)識(shí)別其本身作為被指定的主控制器。在從第二控制器14接收包含識(shí)別代碼的消息時(shí)，控制裝置18將聽(tīng)從并執(zhí)行從第二控制器14接收的命令，此時(shí)該第二控制器14是被指定的主控制器。作為副控制器向作為主控制器之間的轉(zhuǎn)變對(duì)于控制裝置18而言本質(zhì)上是明晰的，因?yàn)槊總€(gè)控制器均以基本相同方式操作并且在通信總線上由每個(gè)相應(yīng)控制器同時(shí)生成通信信號(hào)。因此，因?yàn)樵谡２僮鳁l件下操作的每個(gè)控制器生成并通信相同信號(hào)，所以唯一的變化是控制裝置18聽(tīng)從哪個(gè)消息。
[0037]圖2示出了用于指定主控制器和副控制器功能性的第一故障情況的框圖。在框30，第一控制器和第二控制器二者均在正常操作條件下操作。在框30，已經(jīng)事先確定第一控制器被指定為主控制器并且第二控制器被指定為副控制器。第一控制器通過(guò)在被發(fā)送到控制裝置的每個(gè)消息內(nèi)發(fā)送標(biāo)識(shí)符將其自身識(shí)別為被指定的主控制器?？刂蒲b置僅聽(tīng)從并執(zhí)行由主控制器生成的命令。雖然副控制器近似同時(shí)地生成并發(fā)送相同命令，但是控制裝置忽略來(lái)自第二控制器的命令，因?yàn)榈谝豢刂破鞅恢付橹骺刂破鳌?br> [0038]在框31，存在關(guān)于主控制器(第一控制器)的操作發(fā)生故障的情況。響應(yīng)故障的發(fā)生，第一控制器向第二控制器發(fā)送消息以通知第二控制器錯(cuò)誤已經(jīng)發(fā)生。如果第一控制器能夠重新初始化(例如重啟)，則已經(jīng)發(fā)生非致命錯(cuò)誤并且第一控制器將以安全操作模式操作；否則，如果第一控制器不能重新初始化，則存在致命錯(cuò)誤并且第一控制器變成無(wú)響應(yīng)。在框31，關(guān)于第一控制器發(fā)生非致命錯(cuò)誤。響應(yīng)于從第一控制器接收到錯(cuò)誤消息，第二控制器指定其自身作為主控制器(C2p/nm)。之后在正常操作條件下操作的同時(shí)，第二控制器指定其本身作為隨后的主控制器。第一控制器讓渡其作為主控制器的職責(zé)。其后，第一控制器隨后將作為副控制器(C1S/SM)僅以安全操作模式操作，并且將不再發(fā)送標(biāo)識(shí)符到控制裝置來(lái)將其自身識(shí)別為主控制器。
[0039]也應(yīng)該理解的是，可以由無(wú)故障控制器通過(guò)監(jiān)測(cè)故障控制器的活動(dòng)來(lái)探測(cè)故障控制器內(nèi)的故障。每個(gè)控制器均可以監(jiān)測(cè)另一控制器的活動(dòng)以便識(shí)別出另一控制器內(nèi)的故障。響應(yīng)于故障控制器不響應(yīng)，可以識(shí)別出無(wú)故障控制器探測(cè)到故障控制器內(nèi)的故障。即，當(dāng)以正常操作模式操作時(shí)，兩個(gè)控制器均生成相同的控制信號(hào)。因此，如果針對(duì)一個(gè)控制器沒(méi)有生成活動(dòng)而同時(shí)針對(duì)另一控制器正在生成控制信號(hào)，則做出無(wú)響應(yīng)控制器發(fā)生故障的判定。
[0040]替代性地，可以響應(yīng)于故障控制器不穩(wěn)定地操作來(lái)識(shí)別出故障控制器。如果故障控制器以偏離其所需行為的方式起作用，則可以由監(jiān)測(cè)故障控制器的不穩(wěn)定功能性的無(wú)故障控制器來(lái)做出判定。
[0041]在框32，第一警報(bào)被發(fā)出以警告車輛駕駛員故障情況。第一警報(bào)不是需要立即關(guān)注的緊急問(wèn)題，因?yàn)榈诙刂破魅砸哉２僮髂Ｊ讲僮?。警告可以是視覺(jué)警告，其僅提示駕駛員已經(jīng)探測(cè)到錯(cuò)誤并且如果在一次或更多次車輛點(diǎn)火重啟操作之后錯(cuò)誤重現(xiàn)則應(yīng)該在近期維修車輛。這樣的警告可以包括在儀器面板上的視覺(jué)警告。
[0042]在框33，存在在當(dāng)前被指定為主控制器的第二控制器中發(fā)生非致命錯(cuò)誤的情況。響應(yīng)于故障的發(fā)生，第二控制器發(fā)送消息到第一控制器以通知第一控制器其操作中已發(fā)生錯(cuò)誤。響應(yīng)于錯(cuò)誤消息，第一控制器隨后將作為被指定的主控制器來(lái)起作用，但是將僅以安全操作模式(C1P/SM)操作。以安全操作模式操作將允許車輛裝置作為單獨(dú)應(yīng)用來(lái)操作運(yùn)轉(zhuǎn)，其中該單獨(dú)應(yīng)用在具有最小的操作系統(tǒng)支持的情況下在裸硬件上起作用。第二控制器本身重置并且隨后作為被指定的副控制器僅以安全操作模式(C2S/SM)操作。
[0043]在框34，第二警報(bào)被發(fā)出以警告車輛駕駛員在框33中的故障情況。第二警報(bào)相對(duì)于第一警報(bào)更加緊急，并且需要駕駛員的立即關(guān)注。第二警報(bào)指示出在兩個(gè)控制器中均已發(fā)生故障。在這樣的情況下，應(yīng)該立即發(fā)生駕駛員介入。第二警報(bào)能夠是需要車輛被立即維修和/或駕駛員采取對(duì)車輛操作的控制的視覺(jué)和/或聽(tīng)覺(jué)警報(bào)。
[0044]如果在任何時(shí)刻用戶對(duì)車輛執(zhí)行控制動(dòng)作(UA)，則這樣的動(dòng)作指示出用戶希望獲得對(duì)車輛40的控制。無(wú)論是以正常模式操作還是以安全操作模式操作，每個(gè)相應(yīng)控制器均將對(duì)車輛的控制讓渡給用戶。這樣的控制動(dòng)作是關(guān)聯(lián)于或影響相應(yīng)控制器所控制的當(dāng)前車輛操作的控制的任意動(dòng)作。例如，如果通過(guò)相應(yīng)控制器自主地執(zhí)行平行停車，則用戶對(duì)轉(zhuǎn)向輪或車輛制動(dòng)器做出的任何動(dòng)作均被看作是控制動(dòng)作(UA)，其中用戶期望對(duì)車輛的控制。在這樣的情況下，終止正在被執(zhí)行的自主操作。
[0045]應(yīng)該理解的是，在車輛點(diǎn)火起動(dòng)序列時(shí)，重置每個(gè)控制器，并且如果每個(gè)控制器初始化正常操作模式而沒(méi)有錯(cuò)誤，則錯(cuò)誤消息被禁用。駕駛員可以有權(quán)選擇重新激活自主受控的車輛系統(tǒng)(例如，自主駕駛)。點(diǎn)火起動(dòng)序列是車輛點(diǎn)火系統(tǒng)被關(guān)斷一預(yù)定時(shí)間段并且之后被再次打開(kāi)。故障操作的系統(tǒng)根據(jù)這里描述的技術(shù)起作用并且將執(zhí)行如這里列出的程序。
[0046]框35代表了故障情況，其中第二控制器中產(chǎn)生致命錯(cuò)誤并且該故障情況導(dǎo)致了永久性故障(C2f)。因此，沒(méi)有通信從第二控制器輸出。第一控制器用作主控制器；然而，只要在框31中第一控制器沒(méi)有產(chǎn)生致命錯(cuò)誤，第一控制器就僅能夠以安全操作模式(C1S/NM)起作用。由于第二控制器中存在致命錯(cuò)誤，所以將沒(méi)有被指定的副控制器。替代性地，如果在框31中關(guān)于第一控制器產(chǎn)生致命錯(cuò)誤，并且如果第二控制器中產(chǎn)生非致命錯(cuò)誤，則將存在類似于框38的情況。
[0047]再次參考框30，示出了用于指定主控制器和副控制器功能性的第二故障情況。在框30，第一控制器和第二控制器二者均在正常操作條件下操作。在框30，已經(jīng)事先確定第一控制器被指定為主控制器(C1P/NM)并且第二控制器被指定為副控制器(C2s/nm)。第一控制器通過(guò)在被發(fā)送到控制裝置的每個(gè)消息內(nèi)發(fā)送標(biāo)識(shí)符將其自身識(shí)別為被指定的主控制器?？刂蒲b置僅聽(tīng)從并執(zhí)行由主控制器生成的命令。雖然副控制器近似同時(shí)地生成并發(fā)送相同命令，但是控制裝置忽略來(lái)自第二控制器的命令，因?yàn)榈谝豢刂破鞅恢付橹骺刂破鳌?br> [0048]在框36，存在關(guān)于副控制器(第二控制器)的操作發(fā)生故障的情況。響應(yīng)故障的發(fā)生，第二控制器向第一控制器發(fā)送消息以通知第一控制器錯(cuò)誤已經(jīng)發(fā)生。如果第二控制器能夠重新初始化(例如重啟)，則已經(jīng)發(fā)生非致命錯(cuò)誤并且第二控制器將以安全操作模式操作；否則，如果第二控制器不能重新初始化，則存在致命錯(cuò)誤并且第二控制器變成無(wú)響應(yīng)。在框36，關(guān)于第二控制器發(fā)生非致命錯(cuò)誤。響應(yīng)于從第二控制器接收到錯(cuò)誤消息，第一控制器繼續(xù)用作主控制器(C1P/NM)。第一控制器繼續(xù)發(fā)送標(biāo)識(shí)符到控制裝置以識(shí)別其自身作為主控制器。
[0049]在框32，第一警報(bào)被發(fā)出以警告車輛駕駛員在框36中發(fā)生的故障情況。第一警報(bào)不是需要立即關(guān)注的緊急問(wèn)題，因?yàn)橹骺刂破?第一控制器)仍以正常操作模式操作。警告可以是視覺(jué)警告，其僅提示駕駛員已經(jīng)發(fā)生情況并且車輛應(yīng)該在近期維修。這樣的警告可以包括在儀器面板上的視覺(jué)警告。
[0050]在框37，存在在當(dāng)前被指定為主控制器的第一控制器中發(fā)生非致命錯(cuò)誤的情況。響應(yīng)于故障的發(fā)生，第一控制器發(fā)送消息到第二控制器以通知第二控制器其操作中已發(fā)生錯(cuò)誤。響應(yīng)于錯(cuò)誤消息，第二控制器隨后將作為被指定的主控制器起作用，但是將僅以安全操作模式(C2P/SM)操作。以安全操作模式操作將允許車輛裝置作為單獨(dú)應(yīng)用來(lái)操作運(yùn)轉(zhuǎn),其中該單獨(dú)應(yīng)用在具有最小的操作系統(tǒng)支持的情況下在裸硬件上起作用。第一控制器本身重置并且隨后作為被指定的副控制器僅以安全操作模式(C1S/SM)操作。
[0051]框38代表了故障情況，其中第一控制器中產(chǎn)生致命錯(cuò)誤并且該故障情況導(dǎo)致了永久性故障(C1F)。因此，沒(méi)有通信從第一控制器輸出。第二控制器用作主控制器；然而，第二控制器僅能夠以安全操作模式(C2S/NM)起作用。由于第一控制器中的永久性故障，所以將沒(méi)有被指定的副控制器。替代性地，如果在框36中關(guān)于第二控制器產(chǎn)生致命錯(cuò)誤，并且如果第一控制器中產(chǎn)生非致命錯(cuò)誤，則將存在類似于框35的情況。
[0052]如果在任意時(shí)刻用戶對(duì)車輛執(zhí)行控制動(dòng)作(UA)，則這樣的動(dòng)作指示出用戶希望獲得對(duì)車輛的控制，如框40所示。無(wú)論是以正常模式操作還是以安全操作模式操作，每個(gè)相應(yīng)控制器均將對(duì)車輛的控制讓渡給用戶。這樣的控制動(dòng)作是關(guān)聯(lián)于或影響相應(yīng)控制器所控制的當(dāng)前車輛操作的控制的任意動(dòng)作。在這樣的情況下，終止正在被執(zhí)行的自主操作。
[0053]在框34，第二警報(bào)被發(fā)出以警告車輛駕駛員在框37或38中的故障情況。第二警報(bào)比第一警報(bào)更加緊急，并且需要駕駛員的立即關(guān)注。第二警報(bào)指示出在兩個(gè)控制器中均已發(fā)生故障。在這樣的情況下，應(yīng)該立即發(fā)生駕駛員介入。第二警報(bào)能夠是需要駕駛員采取對(duì)車輛操作的控制和/或需要車輛被立即維修的視覺(jué)和/或聽(tīng)覺(jué)警報(bào)。
[0054]再次參考框30，示出了用于指定主控制器和副控制器功能性的第三故障情況。在框30，兩個(gè)控制器均以正常模式操作。在框39，存在第一控制器和第二控制器二者基本同時(shí)發(fā)生故障(C1F，C2F)的情況。如果存在這樣的情況，則在框34發(fā)出第二警報(bào)。第二警報(bào)是需要駕駛員的立即關(guān)注的緊急警報(bào)。無(wú)論相應(yīng)控制器是以正常模式還是以安全操作模式操作，駕駛員均可以在任意時(shí)刻采取對(duì)車輛操作的控制，如框40所示。第二警報(bào)指示出兩個(gè)控制器均發(fā)生故障或者控制器均以安全模式操作。在這樣的情況下，應(yīng)該立即發(fā)生駕駛員介入。第二警報(bào)能夠是需要車輛被立即維修和/或駕駛員采取對(duì)車輛操作的控制的視覺(jué)和/或聽(tīng)覺(jué)警報(bào)。此外，當(dāng)兩個(gè)控制器已經(jīng)同時(shí)發(fā)生故障時(shí)，則被首先重置并以安全操作模式開(kāi)始操作的相應(yīng)控制器將被指定為主控制器。
[0055]也應(yīng)該理解的是，在框31、33、35、36、37和38中如果在兩個(gè)控制器中均發(fā)生致命錯(cuò)誤(C1F，C2F)，則程序?qū)⒗^續(xù)前進(jìn)到框39，在此所述情況意味著兩個(gè)控制器均處于永久性故障狀態(tài)并且不能夠被重新初始化。無(wú)論兩個(gè)控制器的故障是順序地還是同時(shí)地發(fā)生，這種狀態(tài)均表明沒(méi)有控制器進(jìn)行控制并且在駕駛員獲得對(duì)操作的控制之前致動(dòng)器會(huì)有其自身的策略來(lái)作用。一旦程序進(jìn)入框39，則第二水平警報(bào)34被發(fā)出以便警告駕駛員所述情況。
[0056]雖然已經(jīng)具體描述了本發(fā)明的某些實(shí)施例，不過(guò)熟悉本發(fā)明所涉及領(lǐng)域的那些技術(shù)人員將意識(shí)到各種替代性設(shè)計(jì)和實(shí)施例以用于實(shí)現(xiàn)所附權(quán)利要求所限定的發(fā)明。
【權(quán)利要求】
1.一種用于故障操作的車輛系統(tǒng)的容錯(cuò)控制器策略，包括步驟: (a)提供第一控制器和第二控制器，所述第一控制器和第二控制器均在無(wú)故障操作條件下生成旨在控制車輛上的致動(dòng)裝置的控制信號(hào)，所述第一控制器最初被指定為主控制器并且所述第二控制器最初被指定為副控制器，所述致動(dòng)裝置僅響應(yīng)于被指定的主控制器； (b)探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤，其中被探測(cè)到具有所述錯(cuò)誤的相應(yīng)控制器最初被識(shí)別為故障控制器并且另一個(gè)控制器最初被識(shí)別為無(wú)故障控制器； (c)如果在步驟(b)中探測(cè)到控制器錯(cuò)誤，則由無(wú)故障的被指定的主控制器生成控制信號(hào)來(lái)控制所述致動(dòng)裝置的致動(dòng)，所述控制信號(hào)包括將所述無(wú)故障控制器識(shí)別為被指定的主控制器的識(shí)別符； (d)響應(yīng)步驟(b)中探測(cè)所述錯(cuò)誤，重置所述故障控制器作為所述副控制器以安全操作模式操作。
2.根據(jù)權(quán)利要求1所述的容錯(cuò)控制器策略，還包括步驟:向用戶發(fā)出第一錯(cuò)誤消息以便警告所述用戶在步驟(b)中探測(cè)到的錯(cuò)誤。
3.根據(jù)權(quán)利要求2所述的容錯(cuò)控制器策略，其中在步驟(b)中探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤包括下述步驟: 所述第一和第二控制器監(jiān)測(cè)彼此的通信活動(dòng)；以及 響應(yīng)于沒(méi)有來(lái)自另一控制器的通信活動(dòng)，識(shí)別出另一控制器中的錯(cuò)誤。
4.根據(jù)權(quán)利要求2所述的容錯(cuò)控制器策略，其中在步驟(b)中探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤包括下述步驟: 所述第一和第二控制器監(jiān)測(cè)彼此的通信活動(dòng)；以及 響應(yīng)于另一控制器偏離預(yù)期行為，識(shí)別出所述另一控制器中的錯(cuò)誤。
5.根據(jù)權(quán)利要求2所述的容錯(cuò)控制器策略，其中在步驟(b)中探測(cè)兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤包括由所述故障控制器自行探測(cè)所述錯(cuò)誤。
6.根據(jù)權(quán)利要求5所述的容錯(cuò)控制器策略，還包括步驟: (e)響應(yīng)于探測(cè)到所述兩個(gè)控制器中的一個(gè)控制器中的錯(cuò)誤，從所述故障控制器向所述無(wú)故障控制器發(fā)送消息以識(shí)別出所述錯(cuò)誤，其中所述無(wú)故障控制器隨后被指定為主控制器。
7.根據(jù)權(quán)利要求6所述的容錯(cuò)控制器策略，包括步驟: (f)如果隨后在步驟(e)中被指定為主控制器的所述無(wú)故障控制器中探測(cè)到錯(cuò)誤，則從所述被指定的主控制器向以安全操作模式操作的所述副控制器發(fā)送識(shí)別出所述錯(cuò)誤的消息； (g)響應(yīng)于步驟(f)中探測(cè)到的錯(cuò)誤，由以安全操作模式操作的所述副控制器生成控制信號(hào)，所述控制信號(hào)包括標(biāo)識(shí)符，所述標(biāo)識(shí)符將以安全操作模式操作的所述副控制器識(shí)別為被指定的主控制器；以及 (h)響應(yīng)于步驟(f)中探測(cè)到的錯(cuò)誤，向所述用戶發(fā)出第二錯(cuò)誤消息，其中響應(yīng)步驟Cf)中探測(cè)到的錯(cuò)誤生成的所述第二錯(cuò)誤消息相對(duì)于響應(yīng)步驟(b)中探測(cè)到的錯(cuò)誤生成的所述第一錯(cuò)誤消息是更加緊急的。
8.根據(jù)權(quán)利要求7所述的容錯(cuò)控制器策略，其中步驟(f)中識(shí)別出的主控制器作為隨后被指定的副控制器以安全操作模式操作。
9.根據(jù)權(quán)利要求8所述的容錯(cuò)控制器策略，其中響應(yīng)于步驟(f)中探測(cè)到的錯(cuò)誤所發(fā)出的錯(cuò)誤消息告知所述用戶應(yīng)該執(zhí)行用戶介入來(lái)獲取對(duì)所述控制致動(dòng)裝置的控制。
10.一種用于故障操作的車輛系統(tǒng)的容錯(cuò)控制器系統(tǒng)，包括: 第一控制器，所述第一控制器生成旨在無(wú)故障操作條件下控制車輛上的致動(dòng)裝置的控制信號(hào)，所述第一控制器最初被指定為主控制器； 第二控制器，所述第二控制器生成旨在控制所述車輛上的所述致動(dòng)裝置的控制信號(hào)，所述第二控制器最初被指定為副控制器，所述致動(dòng)裝置僅響應(yīng)于被指定的主控制器； 其中當(dāng)在兩個(gè)控制器中的一個(gè)控制器中探測(cè)到錯(cuò)誤時(shí)，從故障控制器向無(wú)故障控制器發(fā)送消息來(lái)識(shí)別所述錯(cuò)誤，并且其中所述無(wú)故障控制器隨后被指定為主控制器； 其中用于控制所述致動(dòng)裝置的致動(dòng)的無(wú)故障的被指定的主控制器生成的控制信號(hào)包括將所述無(wú)故障控制器識(shí)別為被指定的主控制器的識(shí)別符；以及 其中響應(yīng)探測(cè)到所述錯(cuò)誤，所述故障控制器被重新初始化作為副控制器以安全操作模式操 作。
【文檔編號(hào)】G05B9/03GK104049530SQ201410094513
【公開(kāi)日】2014年9月17日 申請(qǐng)日期:2014年3月14日 優(yōu)先權(quán)日:2013年3月14日
【發(fā)明者】R.I.德布克, S.M.貝克, J.喬伊斯 申請(qǐng)人:通用汽車環(huán)球科技運(yùn)作有限責(zé)任公司