實施例涉及容錯控制系統。

背景技術：

提供安全功能的系統通常利用冗余控制器來通過關閉已經經歷故障(fault或failure)的功能來確保安全。如果檢測到故障，那么控制器關閉或控制器遭遇故障沉默，其中控制器沒有產生信號且次級控制器重新配置成初級控制器。

某些系統嘗試利用故障操作系統實施控制系統，其中使用另外的控制器(諸如雙重雙工控制器)來確保可繼續安全操作持續一定持續時間。如果第一控制器故障并且遭遇故障沉默，那么取決于系統設計，第二控制器可以始終是活動的，并且可能需要啟動。如果執行此操作，那么所有致動器將切換以依賴于來自第二控制器的請求。不同于其中一個控制器中的故障將存在于副本控制器中的軟件故障，硬件故障(例如，電源故障、短路接地故障等)雖然并非軟件故障的臨界水平，但是因為軟件設計故障將影響這兩個控制器，所以這兩個控制器將通常單獨出現故障且次級控制器此后在通常不具有相同缺陷時可正確地操作。

通常，控制器包括其中在相應控制器上單獨地且同時執行功能的兩個處理器或兩個核心。因此，初級控制器和次級控制器這二者將具有由每個控制器內的兩個處理器或兩個核心執行的相同功能。因此，如果利用雙重雙工設計，那么相同的功能將單獨地執行四次。比較來自每個控制器的結果用于確定一個控制器中是否存在錯誤。雖然雙重雙工設計提供了附加的穩健性，但是冗余操作需要附加的資源(例如，處理器、核心)，這是因為每個功能在每個控制器中單獨地執行兩次。冗余操作需要使用多個副本的并行執行、需要附加的硬件資源，使得對于提供這些硬件資源存在成本影響。

技術實現要素：

實施例的優點是減少了控制器的處理時間，使得處理資源可被釋放用于其它操作并且減少處理器的總體處理負擔。通過利用先前控制器的結果和數據完整性來進行錯誤檢測和故障沉默性質的實現，在后續控制器中僅需要執行一次該功能。因此，通過不必對每個控制器執行兩個功能來減少處理。具有兩個控制器的控制系統可實現25％的處理減少，而具有三個控制器的控制系統在正常操作條件(即，沒有故障)期間可實現33％的減少。處理的節省可通過以下公式確定：n/(2+2n)，其中n是控制系統要處置的故障數量。

實施例預期一種改進型雙重雙工故障操作控制系統。初級控制器在無故障工作條件下操作時控制裝置的特征。該初級控制器包括利用來自感測裝置的輸入數據執行功能的第一處理單元和利用來自感測裝置的輸入數據同時執行該功能的第二處理單元。第一比較模塊比較來自第一處理單元的功能結果與來自第二處理單元的功能結果以確定第一控制器中是否存在錯誤。第二控制器包括利用來自感測裝置的輸入數據執行功能的第一處理單元和以非冗余狀態操作的第二處理單元。第二處理單元在非冗余狀態下不執行該功能。第二比較模塊確定第二控制器中是否存在錯誤。由第一控制器的第一比較模塊識別的匹配功能結果輸入至第二控制器的第二比較模塊。第二比較模塊僅利用由第一比較模塊識別的匹配功能結果以及由第二控制器的第一處理單元確定的功能結果來確定第二控制器中是否存在錯誤。

附圖說明

圖1是示例性集成控制系統的架構框圖。

圖2是用于執行冗余檢查的改進型雙工架構的第一實施例。

圖3是用于執行冗余檢查的改進型雙工架構的第二實施例。

圖4示出故障的初級控制器和備份控制器的重新配置的實例。

圖5示出故障的次級控制器和備份控制器的重新配置的實例。

具體實施方式

以下詳細描述意味著說明性的以理解實施例的主題并且不旨在限制主題的實施例或這些實施例的應用和用途。單詞“示例性”的任何使用均旨在被解譯為“用作實例、范例或說明”。本文陳述的實施方案是示例性的并且并不意味著被解釋為相比其它實施方案更優選或更有利。本文的描述并不意味著受限于前述發明背景、附圖簡述、發明內容或具體實施方式中呈現的任何明確或隱含的理論。

技術及工藝在本文可以就功能和/或邏輯塊部件來描述，并且可以參考可以由各種計算部件或裝置執行的操作、處理任務和功能的符號來描述。這樣的操作、任務和功能有時候稱為是計算機執行的、計算機化的、軟件實施的或計算機實施的。應當明白的是，圖中所示的各個塊部件可以由配置成執行指定功能的任何數量的硬件、軟件和/或固件部件來實現。例如，系統或部件的實施例可以采用各種集成電路部件(例如，存儲器元件、數字信號處理元件、邏輯元件、查找表等，其可以在一個或多個微處理器或其它控制裝置的控制下實行多種功能)。

當在軟件中實施時，本文所述的系統的各個元件本質上是執行各項任務的代碼段或計算機可執行指令。在某些實施例中，程序或代碼段存儲在可以包括可存儲或傳送信息的任何介質的有形處理器可讀介質中。非暫時性且處理器可讀介質的實例包括電子電路、微控制器、專用集成電路(asic)、半導體存儲器裝置、rom、閃速存儲器、可擦除rom(erom)、軟磁盤、cd-rom、光盤、硬盤等。

本文所述的系統和方法論可用來識別執行控制系統中的軟件功能的控制器中的故障。雖然方法和方法論在下文關于車輛應用中使用的控制器而描述，但是本領域一般技術人員應明白，汽車應用僅僅是例示性的且本文公開的概念也可以應用于任何其它合適的通信系統，諸如(例如)通用工業自動化應用、制造和組裝應用、航空電子、航空航天以及游戲。

如本文所述的術語“車輛”可廣泛地解釋為不但包括乘用車，而且包括任何其它車輛，該任何其它車輛包括(但不限于)軌道系統、飛機、越野運動車輛、機器人車輛、機動車、卡車、運動型多用途車(suv)、露營車(rv)、軍用車、飛行器、農用車以及建筑車輛。

圖1中示出示例性集成控制系統的架構框圖。這樣的控制系統將通常利用兩個控制器使得如果初級控制器發生硬件錯誤，那么可輕易啟用備份控制器以控制該控制系統的特征或對錯誤中的特征的受限功能性提供控制。

在圖1中，傳統的雙重雙工系統示為包括初級控制器12和備份控制器14(下文稱為次級控制器)。如本文所述的示例性系統是基于車輛的，但是如早期所述，該架構可應用于非車輛系統。初級控制器12包括兩個處理單元，其包括用于執行初級控制的第一處理單元16和第二處理單元18。次級控制器14包括兩個處理單元，其包括第一處理單元20和第二處理單元22。應當理解的是，術語處理單元可以包括獨立處理器或獨立核心。替代地，如果需要，處理器單元可以包括在同一芯片上具有兩個核的雙核處理器。為了說明的目的，初級控制器12和次級控制器14由于具有相似硬件和相似軟件而相似。然而，該架構中的某些裝置可以利用不同裝置(諸如不同電源)使得如果控制器由于電源而發生錯誤，那么這不影響另一個控制器。初級控制器12指定為主要的主動控制器并且接收輸入信號，且基于輸入信號執行功能并且在處于操作且無故障狀態中時通過通信網絡24向其它裝置輸出控制信號。初級控制器12在無故障操作條件(本文稱為正常操作條件)下操作并且將產生控制信號且傳輸控制信號用于控制車輛裝置的特征。

次級控制器14使用與初級控制相似的次級控制來接收數據并且執行功能，但是當初級控制器12在正常操作條件下操作時，輸出控制信號不為通信網絡上的裝置所利用。

初級控制器12和次級控制器14經由通信網絡24通信。應當理解的是，通信網絡可以包括(但不限于)通信區域網(can)、can-fd、flexray、與以太網的交換聯網、無線通信或使用網關的多個網絡。要求是控制器和傳感器/致動器中的每一個可彼此通信。初級控制器12和次級控制器14利用通信網絡24以在傳感器26與致動器28之間接收和傳輸數據。

傳感器26感測相應條件并且向控制器傳輸與相應條件有關的輸入信號。當初級控制器12從傳感器26接收到輸入信號時，初級控制器12的每個處理單元16和18利用輸入數據同時執行軟件功能。初級控制器12基于所執行的功能向致動器28輸出控制信號。術語致動器可以包括(但不限于)接收器和從控制器接收控制信號的其它裝置。致動器28包括用于致動車輛系統的特征的裝置。通常，特征是至關重要的或車輛用來維持車輛的至少某個安全操作所必需的這些特征。這樣的控制裝置可以包括(但不限于)制動控制、轉向控制以及推進控制。在故障操作條件下，啟用關鍵裝置的功能性(雖然有所限制)以允許駕駛員安全地操作車輛直至車輛可駕駛至用于檢查的位置、以維持操作直至操作者可接管控制并且手動執行功能，或維持操作持續較短持續時間直至車輛可安全地停止。

在初級控制器12基于輸入數據執行功能的時間期間，次級控制器14鏡像復制初級控制器12并且基于相同數據同時執行相同功能。這稱為冗余。次級控制器14通過在與初級控制器12相同的狀態中執行功能來鏡像復制初級控制器12。這在初級控制器12中發生錯誤的情況下執行，次級控制器14必須準備好立即接管初級控制器12的操作。為了能夠立即接管，次級控制器14必須處于與初級控制器12相同的狀態。即，兩個控制器實施并且執行相似功能性以容忍一個控制器故障，且關鍵安全軟件在每個控制器內冗余地執行以檢測錯誤(即，在控制器內部檢測到的錯誤)并且當初級控制器故障(即，故障沉默)時關閉來自初級控制器的任何通信，或檢測次級控制器中可造成潛在故障的錯誤。

初級控制器12包括比較模塊25，且次級控制器14包括用于在相應控制器的相應處理單元的輸出結果之間執行比較檢查的比較模塊27。每個相應的比較模塊執行比較操作以確定來自相應控制器內的每個處理單元的每個所執行功能的結果是否匹配，這是因為每個處理利用相同輸入數據來執行相同功能。如果處理單元沒有錯誤地操作，那么結果應該匹配。如果結果不同，那么該相應控制器中可能存在錯誤。因此，每個比較模塊需要對所執行功能結果進行兩次輸入比較用于確定它們相應的控制器中是否發生錯誤。結果在通信網絡24上傳輸至諸如通信網絡24上的其它控制器和致動器的其它裝置。這兩個控制器可以包括診斷功能用于基于觀察到另一個控制器在網絡上發送的消息監測其它控制器中的錯誤條件以在出現故障時重新配置控制器。

利用故障操作系統中的關鍵軟件的冗余執行的這種傳統雙重雙工設計消耗系統資源，并且由于其所需的昂貴計算資源而增加了成本。如本文所說明的雙重雙工模式可處置至多一個控制器故障，并且不能隨著對需要在相同驅動周期中容忍的控制器故障的數量的需求不斷增長而充分擴展，這將需要增加硬件(即，冗余)，從而造成成本增加。另外，正在使用的資源保持閑置或可以用于執行可有效使用現有硬件的其它功能。

圖2示出了用于執行冗余檢查的改進型雙工架構的第一實施例。硬件架構類似于圖1中所示的硬件架構，且將使用類似元件符號。初級控制器12包括第一處理單元16和第二處理單元18，且次級控制器14包括第一處理單元20和第二處理單元22。第一處理單元16和第二處理單元18執行該功能，且來自每個處理單元的功能結果輸入至比較模塊25用于確定由每個處理單元執行的功能結果是否匹配。如果來自每個處理單元的功能結果匹配，那么確定初級控制器12是在正常操作條件下操作。應當理解的是，術語“匹配”可以包括精確匹配或基本接近匹配。精確匹配限定為比較結果相似。基本上接近匹配限定為比較結果雖然不相似但足夠接近使得在比較結果之間允許最大偏差。

在該技術下，次級控制器14不在與初級控制器12相同的條件下操作。如圖2中所示，僅次級控制器14中的第一處理單元20用于執行該功能。第二處理單元22在非冗余狀態中。術語非冗余狀態限定為處理單元保持空閑或正在執行除由第一處理單元執行的功能執行的功能之外的某些功能。因此，該功能不由次級控制器14的第二處理單元22執行，且因此，第二處理單元22不向比較模塊27提供輸入。如本文所述，次級控制器14的第二處理單元22在未使用時可用于其它任務，或替代地甚至可不作為系統的部分存在。為了在次級控制器14的比較模塊27中執行冗余檢查，需要兩個功能結果用于比較。因為次級控制器14中的第二處理單元22不活動，所以必須補充第二功能結果來代替通常由第二處理單元22產生的功能結果。為了向比較模塊27提供第二輸入，通信鏈路30耦合在初級控制器12的比較模塊25與次級控制器14的比較模塊27之間。應當理解的是，為了說明目的，通信鏈路30示為控制器之間的通信信道。對于本文所述的每個實施例，相應控制器中的每個控制器經由通信網絡24或單獨通信網絡直接彼此通信，該單獨通信網絡允許相應控制器彼此直接通信。因此，每個控制器可使用所示的通信網絡或其它通信網絡將相應的功能結果與控制系統內的任何其它控制器直接通信。通信鏈路30可以包括(但不限于)交換機，廣播總線，無線(例如，wifi、藍牙)或多個單獨的網絡，諸如橋接的局域網。替代地，通信鏈路30可實施為直接耦合初級控制器12和次級控制器14用于通信的專用通信信道；然而，優選的通信方法是通信網絡，因為控制系統中已經經由網絡建立了控制器之間的通信，且該通信是控制器之間的自定義通信模式。應當記得的是比較初級控制器12的第一處理單元16的功能結果與次級控制器14的第二處理單元18的功能結果。如果功能結果彼此匹配，那么識別匹配功能結果且匹配功能結果用作比較模塊27的第二輸入。因此，術語匹配功能結果在本文將用作來自相應的前面的控制器的功能結果，其中輸入至前面的比較模塊的兩個功能結果彼此匹配。因此，匹配功能結果用作后續控制器的輸入。

再次參考圖2，來自初級控制器12的比較模塊25的匹配功能結果輸入至次級控制器14的比較模塊27。由第一控制器的比較模塊25確定的匹配功能結果不僅提供已檢查的功能結果，而且比較模塊25還確定數據完整性。在次級控制器14中，比較模塊27比較由第一處理單元20產生的功能結果與由初級控制器12的比較模塊25提供的匹配功能結果用于基于第二比較模塊27的相應輸入是否彼此匹配來確定是否存在錯誤。在由于控制器問題或通信問題(例如，控制器12故障)而未從比較模塊25發送結果的范例中，確定第二比較模塊27的相應輸入是否可用和/或是否存在匹配。例如，第一處理單元20的結果可用作比較模塊27的輸出，這是因為發生了最大次數的故障，且因此不需要第二次計算。應當記得的是，每個處理單元利用相同傳感器數據執行相同軟件功能，且如果相應控制器中不存在錯誤，那么由每個處理單元執行的功能結果應當匹配。由相應比較模塊確定的匹配功能結果基本上是相應比較模塊的功能結果輸入，這是因為如果存在匹配，那么結果應該基本類似。通過利用初級控制器12的匹配功能結果作為次級控制器14的比較模塊27的第二輸入，不需要由次級控制器14的第二處理單元22執行。因此，減少了系統資源的利用，且與傳統的雙共方法相比，實現了25％的處理減少。

圖3說明用于執行冗余檢查的改進型雙工架構的第二實施例。以下架構提供用于容忍多達兩個控制器故障的三個控制器的概述。在控制系統中利用初級控制器12、次級控制器14和備份控制器32(下文稱為第三控制器)。第三控制器32包括與其它控制器相似的架構。第三控制器32在比較模塊38中包括第一處理單元34、第二處理單元36。通信鏈路40耦合次級控制器14的比較模塊27和第三控制器32的比較模塊38。如前所述，通信鏈路30和40優選地是通信網絡24的部分或單獨的通信網絡，并且出于說明目的而示出。第三控制器32中的相應處理單元和比較模塊38的功能與次級控制器14中的相應處理單元和比較模塊的功能相似，其中僅第一處理單元34執行第三控制器32中的功能，而第二處理單元36處于非冗余狀態中并且可以用于其它任務。在第三控制器32中，從次級控制器14的比較模塊27獲得的匹配功能提供至比較模塊38和第三控制器32。比較由第三控制器32的第一處理單元34確定的功能結果與從次級控制器14的比較模塊27獲得的匹配功能結果以確定是否存在匹配。如果存在匹配，那么確定第三控制器32是在正常操作條件下運行。如果相應結果不匹配，那么確定第三控制器32中存在錯誤。類似于圖2中的配置，通過不利用次級控制器14和第三控制器32中的每一個中的相應處理單元來實現處理的減少。即，對于傳統的雙重雙工方法，如果利用三個控制器，那么將利用所有六個處理單元。在利用改進型雙重雙工方法時，僅利用六個可能的處理單元中的四個處理單元。因此，與傳統的雙重雙工方法相比獲得處理的33％的減少。

利用本文所述的技術，處置n個故障需要n+1個控制器，其中n是控制系統設計成要處置的故障數量。在傳統的雙重雙工方法中，必須執行2+2n次執行，而改進型雙重雙工方法僅需要2+n次執行。處理的減少可以被概述為n/(2+2n)，其中n是需要處理的最大故障數量。

如上所述，相應控制器中的每個控制器可以通過通信網絡24或單獨的通信網絡彼此連接。因此，利用比圖中實際示出的更多的通信信道使得如果中間備份控制器故障，那么每個控制器直接與所有其它控制器通信。因此，如果例如次級控制器14故障或在次級控制器14中識別出不匹配結果，那么通信網絡24或單獨的通信網絡提供初級控制器12與第三控制器32之間的直接通信。在這種范例中，例如，比較模塊25的結果將直接傳送至第三控制器32的比較模塊38并且經由相應通信網絡用作輸入。另外，傳送結果的另一種技術可以包括每個控制器在通信網絡上發送其計算結果，使得當本地控制器利用來自其第一處理單元的結果執行其本地計算時，每個其它控制器具有至少一次計算以供使用。

該系統包括用于將控制器重新配置為初級控制器或備份控制器的算法。即，如果確定一個控制器中發生故障，那么識別出關于哪個控制器將指定為初級控制器或指定的備份控制器的預定順序。例如，如果活動的初級控制器發生故障，那么執行算法，該算法識別重新配置哪個替代性無故障控制器以用作初級控制器。類似地，如果確定次級控制器14如圖2所示般已經出現故障，那么如果利用多個控制器，那么該算法識別哪個相應的控制器配置為備份控制器或初級控制器。

如果三個控制器中除了一個之外的所有控制器均發生故障，那么無故障控制器將重新配置為初級控制器，且將不利用備份控制器。在這種情況下，因為已經達到容忍的最大故障數量，所以不需要利用匹配功能，因此不需要在兩個核心上執行此功能。

圖4示出故障的初級控制器和備份控制器的重新配置的實例。在圖4中，由于第一處理單元16和第二處理單元18的功能結果不匹配，比較模塊25確定初級控制器12中存在錯誤。初級控制器12遭遇故障沉默，且沒有信號從初級控制器12輸出，且因此，這是其它控制器如何確定初級控制器由于沒有信號或通信而出現故障。在其它范例中，初級控制器12中已經發生故障且初級控制器12應該出現了故障的通信發送至通信網絡24上的其它控制器和裝置。因此，沒有其它控制器將傳送或收聽來自初級控制器12的信號。另外，本文所述的控制系統在每個操作控制器上執行用于確定哪個備份控制器應當重新配置為下一個初級控制器的算法。如圖4中所示，次級控制器14重新配置為初級控制器。因此，第一處理單元20和第二處理單元22操作地用于從傳感器獲得數據和執行功能。在圖4中，來自每個相應處理單元的功能結果提供至比較模塊27。不再依賴來自比較模塊25的先前依賴的功能結果，且因此，來自先前初級控制器12的通信發生故障沉默。重新配置的控制器14現在用作初級控制器，且因此，利用來自次級控制器14中的兩個處理單元的功能結果。第三控制器32將繼續用作備份控制器，其中僅第一處理單元34用于執行功能。來自現在指定為初級控制器的重新配置的控制器14的比較模塊27的匹配功能結果傳輸至第三控制器32的比較模塊38用于與由第一處理單元34確定的功能結果進行比較。應當理解的是，可以利用比本文所描述的更多的控制器，且此技術可應用于與控制系統所利用的控制器一樣多的控制器，其中故障的初級控制器在故障沉默模式中發生故障，且指定的備份控制器重新配置為初級控制器，且其中的兩個處理單元用于執行功能。所有其它控制器恢復典型操作，其中僅一個處理單元用于執行功能，且來自另一個次級控制器的匹配功能結果用作比較模塊的輸入。這樣做的目的是為了檢測備份控制器中的錯誤以避免潛在錯誤。如果發生故障(其中三個控制器中除了一個之外的所有控制器均發生故障)，那么無故障控制器將重新配置為初級控制器且將不利用備份控制器。在這種情況下，因為已經達到容忍的最大故障數量，所以不需要利用匹配功能，因此不需要在兩個核心上執行此功能。

圖5示出故障備份控制器的實例。利用相同的元件編號，初級控制器12在無故障狀態下操作。次級(備份)控制器14發生故障。故障的備份控制器14將發生故障沉默。來自故障的備份控制器14的通信將不可用，并且將實際上從控制系統中移除。如先前所述，每個控制器通過通信網絡24或通過單獨的通信網絡彼此直接通信。因此，初級控制器12與第三控制器32直接通信以直接傳輸比較結果。第三控制器32將使用來自比較模塊25和第一處理單元34的輸入的結果用于錯誤檢測。這是做的目的是為了使第三控制器32能夠檢測其自身計算中的錯誤且在次級控制器14已經發生故障且比較模塊27的計算形式不再可用的此故障條件下發生故障沉默。如果發生故障(其中三個控制器中的兩個發生故障)，那么無故障控制器將重新配置為初級控制器且將不利用備份控制器。在這種情況下，因為已經達到容忍的最大故障數量，所以不需要利用匹配功能，因此不需要在兩個核心上執行此功能。

雖然已經詳細描述了本發明的某些實施例，但是本發明所涉及領域的技術人員將認識到用于實踐如由以下權利要求書限定的本發明的各種替代性設計和實施例。