集成式故障沉默和故障運轉系統(tǒng)中的可量容錯的構造
【專利摘要】本發(fā)明涉及集成式故障沉默和故障運轉系統(tǒng)中的可量容錯的構造�。一種集成式故障沉默和故障運轉控制系統(tǒng),包括主控制器,控制在非故障運轉狀態(tài)下運轉時的裝置的零件��。副控制器包括監(jiān)測主控制器中故障的故障檢測器/判定器模塊����。故障檢測器/判定器模塊確定主控制器中的故障是否關聯(lián)故障沉默需求或故障運轉需求。如果故障檢測器/判定器模塊確定故障是故障沉默需求��,則故障檢測器/判定器模塊給主控制器啟動停機指令,關閉受故障影響而變得不可運轉的零件�����。如果故障檢測器/判定器模塊確定與故障相關聯(lián)的零件是故障運轉需求,則故障檢測器/判定器模塊給主控制信號以撤回零件的控制給副控制器�����。副控制器用作高確信度系統(tǒng),控制故障運轉模式中的零件。
【專利說明】
集成式故障沉默和故障運轉系統(tǒng)中的可量容錯的構造
技術領域
[0001]—個實施例涉及容錯控制系統(tǒng)。
【背景技術】
[0002]提供安全功能的系統(tǒng)通常采用冗余的控制器以確保安全性�,通過關閉已經(jīng)經(jīng)受故障或失效的功能��。這樣的系統(tǒng)被稱為故障沉默系統(tǒng)�。如果檢測到故障���,就關閉該零件的控制器���,并且該零件在該系統(tǒng)中將不再可操作�。
[0003]—些系統(tǒng)設法采用故障運轉系統(tǒng)實現(xiàn)控制系統(tǒng),其中����,附加的控制器被用來確保安全運轉能夠繼續(xù)一段時間���,例如雙聯(lián)控制器���。如果第一控制器失效并且進入沉默��,第二控制器將被啟用并且所有致動器將轉換成依賴來自第二控制器的請求����。雙聯(lián)結構的問題是,由于控制器基本上是完全相同的這個事實�,它們攜帶相同的缺陷�,尤其是軟件缺陷�����。因為軟件是完全相同的��,所以這兩個控制器將固有地具有相同的問題,如果出現(xiàn)軟件相關缺陷�。因此,在使用對稱實現(xiàn)控制器的系統(tǒng)中����,它們基本上是每個功能的精確復制���,這類系統(tǒng)幾乎不提供與軟件故障相關的幫助�。
[0004]采用非對稱實現(xiàn)控制器的其它類型的系統(tǒng)可以避免復制的硬件和軟件故障��;然而���,采用含有用于控制受到第一非對稱控制器控制的所有零件的必要軟件和硬件的第二非對稱控制器是高成本的����。
【發(fā)明內容】
[0005]實施例的一個優(yōu)點是可量容錯構造系統(tǒng)(scalable fault-tolerantarchitecture system)���,其支持在單個構造模式中故障沉默和故障運轉零件需求的任意組合��。該構造設計降低成本并且增大軟件設計故障的覆蓋率����。該系統(tǒng)繼承了錯誤檢測和故障確定到單個模塊中,其能夠監(jiān)測系統(tǒng)的故障沉默和故障運轉零件兩者�����。該模塊確定故障是否與關聯(lián)了故障沉默需求或故障運轉需求的零件有關���。如果該故障與故障沉默需求相關聯(lián)�,那么,與該故障關聯(lián)的零件在該系統(tǒng)中變成非運轉的�����;然而�,主控制器仍然能夠繼續(xù)控制未受該故障影響的其它零件。如果該故障與故障運轉需求相關聯(lián)�����,那么對該零件的控制被主控制模塊撤回給副控制器�,用于監(jiān)測和控制該零件����。該系統(tǒng)的另一個優(yōu)點是只有確定為故障運轉零件的那些零件的軟件存儲在副控制器上���。因此����,由于降低的復雜性和計算需求���,能夠減少處理器和存儲器����。
[0006]—個實施例構思一種故障控制策略,用于集成式故障沉默和故障運轉控制系統(tǒng)��。提供主控制器��,控制在非故障運轉狀態(tài)下運轉時的裝置的零件��。提供副控制器���,其包括故障檢測器/判定器模塊。故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障。該故障檢測器/判定器模塊確定主控制器中的故障是否是故障沉默需求或是故障運轉需求�����。通過故障沉默檢測器/判定器,給主控制器啟動停機指令�,以關閉受到該故障影響的零件,此時�,響應于故障檢測器/判定器模塊確定故障是故障沉默需求,該零件變得不可運轉�����。響應于故障檢測器/判定器模塊確定與故障相關聯(lián)的零件是故障運轉需求���,零件的控制被撤回給副控制器。副控制器用作高確信度系統(tǒng)���,用于控制故障運轉模式中的零件。
[0007]—個實施例構思一種集成式故障沉默和故障運轉控制系統(tǒng)���。主控制器控制在非故障運轉狀態(tài)下運轉時的裝置的零件�。副控制器包括故障檢測器/判定器模塊。故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障��。該故障檢測器/判定器模塊確定主控制器中的故障是否與故障沉默需求還是故障運轉需求相關聯(lián)。如果故障檢測器/判定器模塊確定故障是故障沉默需求,那么故障沉默檢測器/判定器啟動停機指令給主控制器���,以關閉受到該故障影響的零件,此時���,該零件變得不可運轉。如果該故障檢測器/判定器模塊確定與該故障相關聯(lián)的零件是故障運轉需求�����,那么該故障檢測器/判定器模塊給主控制器信號以撤回零件的控制給該副控制器。副控制器用作高確信度系統(tǒng)���,用于控制故障運轉模式中的零件����。
[0008]本發(fā)明提供下列技術方案���。
[0009]技術方案1.一種集成式故障沉默和故障運轉控制系統(tǒng)�,包括:
主控制器����,其控制在非故障運轉狀態(tài)下運轉時的裝置的零件�����;
副控制器�,其包括故障檢測器/判定器模塊�,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障,該故障檢測器/判定器模塊確定主控制器中的故障是否關聯(lián)故障沉默需求還是故障運轉需求���,其中���,如果故障檢測器/判定器模塊確定該故障是故障沉默需求��,那么故障沉默檢測器/判定器給主控制器啟動停機指令����,關閉受到該故障影響的零件,其中該零件變得不可運轉����,并且其中�,如果故障檢測器/判定器模塊確定與故障相關聯(lián)的零件是故障運轉需求�����,那么�,故障檢測器/判定器模塊給主控制器信號以撤回該零件的控制給該副控制器�,其中����,副控制器用作高確信度系統(tǒng)��,用于控制故障運轉模式中的零件�����。
[0010]技術方案2.如技術方案I所述的集成式故障沉默和故障運轉控制系統(tǒng)�����,其中��,該系統(tǒng)的每個零件被分類為故障沉默零件或故障運轉零件�。
[0011]技術方案3.如技術方案2所述的集成式故障沉默和故障運轉控制系統(tǒng),其中��,故障沉默檢測器/判定器監(jiān)測并且檢測主控制器中的故障���。
[0012]技術方案4.如技術方案3所述的集成式故障沉默和故障運轉控制系統(tǒng)����,其中�����,故障檢測器/判定器模塊檢測主控制器內的錯誤的或危險的狀態(tài)�。
[0013]技術方案5.如技術方案4所述的集成式故障沉默和故障運轉控制系統(tǒng)����,其中��,主控制器中的故障的故障檢測器/判定器模塊檢測是故障沉默零件與故障運轉零件之間共用的��。
[0014]技術方案6.如技術方案2所述的集成式故障沉默和故障運轉控制系統(tǒng)�,其中,故障沉默檢測器/判定器確定與故障相關聯(lián)的零件被分類為故障沉默零件或故障運轉零件。
[0015]技術方案7.如技術方案I所述的集成式故障沉默和故障運轉控制系統(tǒng)����,進一步地包括故障運轉控制模塊���,用于控制分類為故障運轉零件的零件,該故障運轉控制模塊響應于故障檢測器/判定器模塊確定故障是故障運轉故障來控制故障運轉零件��。
[0016]技術方案8.如技術方案7所述的集成式故障沉默和故障運轉控制系統(tǒng)����,其中,響應于從故障檢測器/判定器模塊確定故障是故障運轉故障的通信����,主控制器撤回與故障運轉狀態(tài)相關聯(lián)的零件的控制。
[0017]技術方案9.如技術方案I所述的集成式故障沉默和故障運轉控制系統(tǒng)�,其中,用于僅僅控制分類為故障運轉零件的軟件存儲在副控制器的故障運轉控制模塊中�。
[0018]技術方案10.如技術方案9所述的集成式故障沉默和故障運轉控制系統(tǒng),其中����,故障運轉控制模塊包括軟件,用于控制更少功能的故障運轉零件��。
[0019]技術方案11.一種用于集成式故障沉默和故障運轉控制系統(tǒng)的故障控制策略��,包括的步驟是:
提供主控制器�����,控制在非故障運轉狀態(tài)下運轉時的裝置的零件���;
提供副控制器�����,其包括故障檢測器/判定器模塊����,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障���;
由故障檢測器/判定器模塊確定主控制器中的故障是故障沉默需求還是故障運轉需求�;
響應于故障檢測器/判定器模塊確定故障是故障沉默需求����,通過故障沉默檢測器/判定器,給主控制器啟動停機指令����,以關閉受到該故障影響的零件����,此時�����,該零件變得不可運轉�����;以及
響應于故障檢測器/判定器模塊確定與故障相關聯(lián)的零件是故障運轉需求�����,撤回零件的控制給副控制器����,其中,副控制器用作高確信度系統(tǒng)��,用于控制故障運轉模式中的零件���。
[0020]技術方案12.如技術方案11所述的故障控制策略�����,其中���,該系統(tǒng)的每個零件被分類為故障沉默零件或故障運轉零件。
[0021]技術方案13.如技術方案12所述的故障控制策略����,其中,在故障檢測器/判定器模塊中監(jiān)測并檢測主控制器中的故障��。
[0022]技術方案14.如技術方案13所述的故障控制策略���,其中�����,由故障檢測器/判定器模塊確定主控制器內的錯誤的或危險的狀態(tài)���。
[0023]技術方案15.如技術方案14所述的故障控制策略,其中��,主控制器中的故障的故障檢測器/判定器模塊檢測是故障沉默狀態(tài)與故障運轉狀態(tài)之間共用的���。
[0024]技術方案16.如技術方案12所述的故障控制策略�,其中,故障沉默檢測器/判定器確定與故障相關聯(lián)的零件被分類為故障沉默零件或故障運轉零件���。
[0025]技術方案17.如技術方案11所述的故障控制策略����,進一步地包括的步驟是���,由故障運轉控制模塊控制分類為故障運轉零件的零件����,該故障運轉控制模塊響應于故障檢測器/判定器模塊確定故障是故障運轉故障來控制故障運轉零件��。
[0026]技術方案18.如技術方案17所述的故障控制策略�,其中,響應于從故障檢測器/判定器模塊確定故障是故障運轉故障的通信�����,主控制器撤回與故障運轉狀態(tài)相關聯(lián)的零件的控制�����。
[0027]技術方案19.如技術方案11所述的故障控制策略,其中�,用于僅僅控制分類為故障運轉零件的零件的軟件存儲在副控制器的故障運轉控制模塊中。
[0028]技術方案20.如技術方案19所述的故障控制策略����,其中,故障運轉控制模塊包括軟件����,用于控制功能減少的故障運轉零件��。
【附圖說明】
[0029]圖1是集成式故障沉默和故障運轉控制系統(tǒng)的結構框圖��。
[0030]圖2是主控制器和副控制器的放大框圖���。
[0031]圖3示出用于檢測和啟用故障沉默或故障運轉模式的流程圖��。
【具體實施方式】
[0032]在圖1中示出的是集成式故障沉默和故障運轉控制系統(tǒng)的結構框圖����?�?刂葡到y(tǒng),包括但不限于采用安全關鍵系統(tǒng)或自控系統(tǒng)的車輛�����、飛機和船��,需要容錯對策��,誤差應當出現(xiàn)在控制系統(tǒng)內���。這樣的控制系統(tǒng)將通常采用兩個控制器�,從而如果主控制器出現(xiàn)誤差(由故障引起的)��,那么��,備用控制器可以容易地實現(xiàn)對控制系統(tǒng)零件的控制或者提供對錯誤的零件的有限功能的控制����。然而,如果副控制器與主控制器完全相同�,那么作為軟件的結果的主控制器中的故障將固有地具有副控制器的軟件中的相同的缺陷,因為軟件是完全相同的�。因此,本文采用并描述集成式高性能系統(tǒng)和高確信度系統(tǒng)���。
[0033]在圖1中�,系統(tǒng)被示為包括主控制器12和副控制器14。本文描述的示范性系統(tǒng)是基于車輛的�����,但是���,如前文描述的�,該構造能夠適用非車輛系統(tǒng)�。
[0034]通信總線16提供主控制器12與副控制器14之間的通信。致動器18包括用于啟動系統(tǒng)的零件的裝置����。致動器18可以包括僅僅由主控制器控制的零件�����,并且在主控制器內出現(xiàn)與該零件相關聯(lián)的故障的故障沉默狀態(tài)下���,相應零件的運轉被停�。致動器18可以進一步地包括在故障運轉狀態(tài)下運轉的零件����,此時����,裝置受到主控制器12和副控制器14兩者的控制�。在故障運轉狀態(tài)下,零件不再受到主控制器的監(jiān)測和控制;然而�����,如果該零件已經(jīng)在設計階段預先被確定是對車輛是關鍵的����,該零件不能完全停止,那么裝置以受限的方式保持可運轉以維持零件的部分運轉�����。通常��,這樣的零件要么是關鍵的�����,要么是車輛為維持車輛的至少一些安全運轉所需要的����。
[0035]主控制器12包括處理器����,其包含主控制20�����。主控制器12在非故障運轉狀態(tài)下運轉(本文稱作正常運轉狀態(tài))并且將產(chǎn)生并發(fā)送控制信號���,關于控制車輛裝置18的零件�����。
[0036]副控制器14包括處理器�����,其包含故障運轉控制24,用于在故障運轉狀態(tài)期間控制所選致動器的運轉���。以故障運轉的運轉模式運轉的副控制器14產(chǎn)生控制信號��,用于啟動系統(tǒng)的某些零件��,以維持運轉來確保系統(tǒng)能夠運轉�,即使僅僅以有限的方式。這樣的控制裝置通常是關鍵的裝置�,包括但不限于制動控制和轉向控制。在故障運轉狀態(tài)下�,關鍵裝置的功能,即使受到限制���,也能夠允許駕駛員安全地駕駛車輛�,直到車輛能夠被開到進行檢查的地方����。
[0037]副控制器14進一步地包括故障沉默解碼器/判定器模塊26,用于監(jiān)測主控制器12和副控制器14中的錯誤狀態(tài)����。不像其他的已知系統(tǒng),其中每個控制器包括監(jiān)測系統(tǒng)���,本文描述的構造采用單個故障沉默解碼器/判定器模塊26����,其監(jiān)測主控制器12和副控制器14這兩者的故障狀況并且產(chǎn)生用于關閉和/或切換控制器的控制信號�����。
[0038]圖2是主控制器12和副控制器14的放大框圖。主控制器12的主控制20接收來自遍布車輛的各個裝置或傳感器的輸入信號/數(shù)據(jù)30����。控制動作32由主控制20確定����,基于在正常運轉狀態(tài)期間由各個裝置和傳感器獲得的接收到的輸入信號/數(shù)據(jù)30。輸出信號/指令34被主控制20傳送給車輛致動器或系統(tǒng)����,用于在正常運轉狀態(tài)期間控制零件的運轉。
[0039]副控制器14包括故障檢測器/判定器模塊26��,用于監(jiān)測主控制器12內的故障狀況���。故障檢測器/判定器模塊26的責任是檢測主控制器12內的錯誤的危險狀態(tài)并且確定該危險狀態(tài)是否將引起故障沉默狀態(tài)或故障運轉狀態(tài)��。要理解的是���,故障檢測器/判定器模塊26的錯誤檢測部是故障沉默和故障運轉狀態(tài)共用的�����。故障沉默與故障運轉零件之間的唯一差別是,一旦檢測到錯誤����,主控制器12和副控制器14所要采取的動作。對于故障沉默零件��,必需動作是關閉與錯誤相關聯(lián)的零件��,而對于故障運轉零件�,所要采取的必需動作是把控制從主控制器12切換到副控制器14。
[0040]副控制器14用作高確信度系統(tǒng)���,基于充當故障運轉控制的單一模式��。該高確信度系統(tǒng)僅僅是在故障運轉零件的情形中需要的�����。結合在副控制器14中的用于執(zhí)行故障運轉零件的數(shù)據(jù)和相關聯(lián)軟件相比于主控制器12來說可以是非常小的�,因為副控制器14僅僅實施最少的故障運轉形為�����,這可以是低性能的需求或相比于主控制器12所需的功能降低功能。另外�����,副控制器14僅僅實施實現(xiàn)在主控制器12中的零件的一小部分���。例如�����,如果相應的系統(tǒng)包括90%的故障沉默零件和僅僅10%的故障運轉零件����,那么僅僅需要存儲10%的故障運轉零件在副控制器14中���?����;驹硎侵灰撓到y(tǒng)沒有錯誤地以正常運轉模式運轉��,主控制器12就維持車輛零件的控制���。副控制器14僅僅在主控制器12產(chǎn)生系統(tǒng)錯誤并且確定該零件不可靠的時候被啟用��。因此,副控制器14僅僅需要最少數(shù)量的軟件����,這是維持那些被認為是運轉系統(tǒng)零件所必須的各個零件的受限運轉所需要的。
[0041]響應于故障沉默檢測器/判定器26作出的控制應當切換到副控制器14的高確信度模式的確定�����,故障運轉控制此后被副控制器14的微處理器執(zhí)行����。副控制器14的微處理器從遍布車輛的各個裝置或傳感器接收輸入信號/數(shù)據(jù)40?����?刂苿幼?2由故障運轉控制24確定�����,基于在故障運轉狀態(tài)期間由各個裝置和傳感器獲得的接收到的輸入信號/數(shù)據(jù)40���。輸出信號/指令44被故障運轉控制24傳送給車輛致動器�,用于在該故障運轉模式期間控制故障運轉零件。如先前描述的��,因為故障運轉零件相比于故障沉默零件來說是小的�,所以可以在副控制器14中采用更小尺寸的微處理器和存儲器。
[0042]圖3示出副控制器內的控制策略的流程圖����,用于檢測錯誤并確定是啟用故障沉默零件還是故障運轉零件。
[0043]在塊50�����,副控制器的故障沉默解碼器/判定器模塊監(jiān)測故障狀況�。故障沉默檢測器/判定器確定與主控制器相關聯(lián)的故障的類型和故障的嚴重程度。
[0044]在塊51����,故障檢測器/判定器模塊以反復循環(huán)評估主控制器的每個控制的正確性和安全性。不管主控制是故障沉默還是故障運轉�,都執(zhí)行所述評估。如果作出的確定是主控制器輸出的控制是正確的���,那么����,返回步驟50以繼續(xù)分析輸出和故障。在這個狀態(tài)下�����,啟用主控制器并且維持對零件的控制���。如果塊51中作出的確定是控制是不正確或不安全的,那么例程前進到步驟52���。
[0045]在步驟52����,故障沉默檢測器/判定器模塊確定與故障相關聯(lián)的零件是故障沉默需求還是故障運轉需求���。如果作出的確定是零件被分類為故障沉默需求��,那么���,例程前進到步驟53;否則,例程前進到步驟54�����。
[0046]在步驟53,響應于確定出現(xiàn)故障沉默狀態(tài)���,關于該零件的控制運轉��,主控制器進入故障沉默模式����。在故障沉默模式中�,用于裝置/系統(tǒng)的相應零件變得不可運轉并且沒有與相應零件相關的控制信號被傳送。主控制器和副控制器都不能啟用故障零件�。應當理解的是,在設計狀態(tài)期間被確定為故障沉默的零件通常不是對車輛功能關鍵的零件或者是車輛運行所不依賴的零件��。因此�����,副控制器內沒有維持零件運轉的控制策略��。
[0047]還理解的是�����,主控制器可以控制系統(tǒng)或車輛內的各個零件。因此����,如果關于受到主控制器控制的零件在主控制器內出現(xiàn)故障,那么���,僅僅是那個零件的運轉變得不可運轉�����。主控制器可以繼續(xù)監(jiān)測和控制不受故障影響的其它零件。
[0048]在步驟54�,響應于步驟52作出的零件被分類為故障運轉需求的確定,主控制器撤回故障零件的控制給副控制器��。在故障運轉狀態(tài)中���,副控制器維持各個零件的運轉���。該零件可以具有在設計階段期間預編程的功能的變化度。通常�����,副控制器將用作高確信度系統(tǒng),其允許設計比主控器更輕量的控制器�。本文使用的措辭〃輕量〃指的是相比較于主控制器計算不那么密集的系統(tǒng)。此外����,根據(jù)做出其確定所利用的數(shù)據(jù),副控制器維持增加確信度的數(shù)據(jù)完整性和精度����。因此,僅僅是軟件和相關運轉被編程到控制器中��,其提供更高的確信度��,零件能夠被運轉以維持可能對系統(tǒng)是關鍵的零件的一些運轉��,但是���,該零件以減少的方式運轉��。雖然副控制器維持與故障相關聯(lián)的各個零件的運轉����,但是��,主控制器將不再具有關于這個零件的任何關聯(lián)或控制;然而,主控制器將維持對未受故障影響的其它零件的分析和控制�。
[0049]盡管已經(jīng)詳細描述了本發(fā)明的某些實施例,但是本領域技術人員將認識到各種替代結構和實施例��,以按照下列權利要求限定的那樣實施本發(fā)明�。
【主權項】
1.一種集成式故障沉默和故障運轉控制系統(tǒng),包括: 主控制器��,其控制在非故障運轉狀態(tài)下運轉時的裝置的零件�����; 副控制器�����,其包括故障檢測器/判定器模塊��,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障�,該故障檢測器/判定器模塊確定主控制器中的故障是否關聯(lián)故障沉默需求還是故障運轉需求���,其中�,如果故障檢測器/判定器模塊確定該故障是故障沉默需求�,那么故障沉默檢測器/判定器給主控制器啟動停機指令�,關閉受到該故障影響的零件�����,其中該零件變得不可運轉��,并且其中�����,如果故障檢測器/判定器模塊確定與故障相關聯(lián)的零件是故障運轉需求��,那么���,故障檢測器/判定器模塊給主控制器信號以撤回該零件的控制給該副控制器�,其中��,副控制器用作高確信度系統(tǒng)��,用于控制故障運轉模式中的零件�����。2.如權利要求1所述的集成式故障沉默和故障運轉控制系統(tǒng),其中�,該系統(tǒng)的每個零件被分類為故障沉默零件或故障運轉零件。3.如權利要求2所述的集成式故障沉默和故障運轉控制系統(tǒng)�����,其中���,故障沉默檢測器/判定器監(jiān)測并且檢測主控制器中的故障���。4.如權利要求3所述的集成式故障沉默和故障運轉控制系統(tǒng),其中�����,故障檢測器/判定器模塊檢測主控制器內的錯誤的或危險的狀態(tài)��。5.如權利要求4所述的集成式故障沉默和故障運轉控制系統(tǒng)�,其中,主控制器中的故障的故障檢測器/判定器模塊檢測是故障沉默零件與故障運轉零件之間共用的�����。6.如權利要求2所述的集成式故障沉默和故障運轉控制系統(tǒng)����,其中,故障沉默檢測器/判定器確定與故障相關聯(lián)的零件被分類為故障沉默零件或故障運轉零件��。7.如權利要求1所述的集成式故障沉默和故障運轉控制系統(tǒng)�,進一步地包括故障運轉控制模塊,用于控制分類為故障運轉零件的零件���,該故障運轉控制模塊響應于故障檢測器/判定器模塊確定故障是故障運轉故障來控制故障運轉零件���。8.如權利要求7所述的集成式故障沉默和故障運轉控制系統(tǒng),其中�����,響應于從故障檢測器/判定器模塊確定故障是故障運轉故障的通信�,主控制器撤回與故障運轉狀態(tài)相關聯(lián)的零件的控制。9.如權利要求1所述的集成式故障沉默和故障運轉控制系統(tǒng)��,其中�����,用于僅僅控制分類為故障運轉零件的軟件存儲在副控制器的故障運轉控制模塊中����。10.—種用于集成式故障沉默和故障運轉控制系統(tǒng)的故障控制策略�,包括的步驟是: 提供主控制器�����,控制在非故障運轉狀態(tài)下運轉時的裝置的零件�; 提供副控制器,其包括故障檢測器/判定器模塊�,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障; 由故障檢測器/判定器模塊確定主控制器中的故障是故障沉默需求還是故障運轉需求�����; 響應于故障檢測器/判定器模塊確定故障是故障沉默需求����,通過故障沉默檢測器/判定器,給主控制器啟動停機指令�����,以關閉受到該故障影響的零件�,此時,該零件變得不可運轉����;以及 響應于故障檢測器/判定器模塊確定與故障相關聯(lián)的零件是故障運轉需求,撤回零件的控制給副控制器���,其中�,副控制器用作高確信度系統(tǒng)��,用于控制故障運轉模式中的零件�����。
【文檔編號】G05B23/02GK106054852SQ201610233246
【公開日】2016年10月26日
【申請日】2016年4月15日
【發(fā)明人】T.E.富爾曼, S.薩米
【申請人】通用汽車環(huán)球科技運作有限責任公司