CN107924348B - 用于对车辆的电子的线路单元的状态进行监控的方法和装置 - Google Patents
用于对车辆的电子的线路单元的状态进行监控的方法和装置 Download PDFInfo
- Publication number
- CN107924348B CN107924348B CN201680049004.6A CN201680049004A CN107924348B CN 107924348 B CN107924348 B CN 107924348B CN 201680049004 A CN201680049004 A CN 201680049004A CN 107924348 B CN107924348 B CN 107924348B
- Authority
- CN
- China
- Prior art keywords
- processing
- processing result
- executing
- operator
- processing rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012544 monitoring process Methods 0.000 title claims abstract description 11
- 238000012545 processing Methods 0.000 claims abstract description 169
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 20
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 5
- 238000011156 evaluation Methods 0.000 claims description 4
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 239000000758 substrate Substances 0.000 claims description 3
- 230000006870 function Effects 0.000 description 37
- 230000008901 benefit Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000007812 deficiency Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000007257 malfunction Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 244000208734 Pisonia aculeata Species 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 230000007849 functional defect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/02—Control of position or course in two dimensions
- G05D1/021—Control of position or course in two dimensions specially adapted to land vehicles
- G05D1/0212—Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory
- G05D1/0214—Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory in accordance with safety or protection criteria, e.g. avoiding hazardous areas
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
- G06F11/1645—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components and the comparison itself uses redundant hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1695—Error detection or correction of the data by redundancy in hardware which are operating with time diversity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/02—Registering or indicating driving, working, idle, or waiting time only
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Aviation & Aerospace Engineering (AREA)
- Remote Sensing (AREA)
- Automation & Control Theory (AREA)
- Radar, Positioning & Navigation (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Hardware Redundancy (AREA)
- Traffic Control Systems (AREA)
Abstract
本发明涉及一种用于对车辆(100)的电子的线路单元(120)的状态进行监控的方法(200)。所述方法(200)包括以下步骤:在所述电子的线路单元(120)的第一运算器(145)上执行(210)第一处理规则(150),用于得到第一处理结果(155),并且在所述电子的线路单元(120)的第二运算器(160)上执行(210)与所述第一处理规则(150)不同的第二处理规则(165),用于得到第二处理结果(170),其中所述第二运算器(170)构造用于:在不取决于所述第一运算器(145)的情况下执行所述第二处理规则(165)。此外,所述方法(200)包括以下步骤:如果所述第二处理结果(170)相对于所述第一处理结果(155)和/或预定义的标准处于预先确定的关联中并且/或者如果所述第一处理结果(155)相对于所述第二处理结果(170)和/或所述预定义的标准处于预先确定的关联中,识别出(220)所述电子的线路单元(120)的无故障的状态(180),其中所述识别(220)的步骤在所述电子的线路单元(120)的安全区域(300)中执行,其中所述电子的线路单元(120)的安全区域(300)具有保护模块,所述保护模块构造用于:保证在相对于所述第一运算器(145)或者所述第二运算器(160)更好地防止故障的处理的情况下执行算法。
Description
技术领域
本发明涉及一种装置或者一种方法。一种计算机程序也是本发明的主题。
背景技术
在汽车工业中,自2011年起ISO 26262是关于功能上的安全性的重要标准。在该标准中表述了对与安全相关的***的要求。要求的一个重要类别涉及关于偶然的硬件故障的覆盖(被称为Diagnostic Coverage(诊断覆盖)、Single point fault metric (单点故障指标)或者 latent fault metric(潜在故障指标))。在此,为了展现用于保障核的高的覆盖而在μC之内设置了Dual Core Lockstep(双核锁步)。利用合适的普遍原因(commoncause)措施,这种措施对于ASIL D来说也是合适的和足够的。
在驾驶员协助部分中需要很高的计算功率。当前在市场上下述计算机不可用,所述计算机以锁步形式展现所要求的计算功率。因此难以实现防止核中的偶然的硬件故障的保障,所述保障适合于高的ASIL。这个问题还由于以下情况而变得严重:对于高速缓冲存储器和RAM来说同样必须存在合适的保障。另一项挑战是,除了功能上的安全性的、在ISO26262中唯一所研究的问题之外还有另外的安全问题:算法是否有足够的能力来完全其任务、比如识别行人这个问题没有在ISO 26262中得到探讨。但是,对于这个经常被称为“功能上的欠缺”的问题类型来说,同样必须找到合适的解决方案,以便这样的***能够符合消费者的安全预期。
从公开文献DE 10 2009 001 048 A1中公开了一种用于对计算机***的工作方式进行检查的装置,所述计算机***具有至少两个处理单元,所述处理单元在第一运行模式中工作,在该第一运行模式中所述处理单元执行不同的程序,或者所述处理单元在第二运行模式中工作,在所述第二运行模式中所述处理单元执行相同的程序,其中通过向转换机构输出的转换信号在所述两种运行模式之间进行转换。
发明内容
面对这种背景,用这里所介绍的方案来介绍一种用于对电子的线路单元的状态进行监控的方法、此外还有一种使用这种方法的装置以及最后一种相应的计算机程序。通过在优选实施例中所列举的措施,能够实现根据本发明的装置的有利的拓展方案和改进方案。
在这里所提出的方案提供一种用于对车辆的电子的线路单元的状态进行监控的方法,其中所述方法具有以下步骤:
-在所述电子的线路单元的第一运算器上执行第一处理规则,用于得到第一处理结果,并且在所述电子的线路单元的第二运算器上执行与所述第一处理规则不同的第二处理规则,用于得到第二处理结果,其中所述第二运算器构造用于:在不取决于所述第一运算器的情况下执行所述第二处理规则;
-如果所述第二处理结果相对于所述第一处理结果和/或预定义的标准处于预先确定的关联中并且/或者如果所述第一处理结果相对于所述第二处理结果和/或所述预定义的标准处于预先确定的关联中,则识别出所述电子的线路单元的无故障的状态,其中所述识别的步骤在所述电子的线路单元的安全区域中执行,其中所述电子的线路单元的安全区域具有保护模块,所述保护模块构造用于:保证在相对于所述第一运算器或者所述第二运算器更好地防止故障的处理的情况下执行算法。
“对于电子的线路单元的状态的监控”能够是指对于所述电子的线路单元的故障的工作方式的识别。所述电子的线路单元比如能够是集成的线路,所述集成的线路具有下述组件,所述组件被安置在共同的壳体中或者甚至在和比如半导体晶片相同的制造基片上制成。“处理规则”能够是指用于计算机或者自动化的计算设备的算法或者一系列工作指令。“运算器”能够是指任意类型的装置,所述装置被设计用于执行并且处理算法的指令。比如,“运算器”能够是指微型控制器、数字的信号处理器、FPGA、ASIC或者其它的CPU单元,能够向所述运算器装载一系列用于执行处理规则的指令或者已经将这种处理规则永久地写入到所述运算器中。“处理结果”在这里能够是用数字表示的数值或者单个结果的集合、比如所识别的物体的和/或这样的物体在围绕着所述车辆的区域中的位置的集合。“预定义的标准”比如能够是阈值或者极限值,不应该超过或者作为替代方案不应该低于所述阈值或者极限值。“所述处理结果的预先确定的关联”比如能够是指,所述第一处理结果大于、小于或者尤其是等于或者在比如10%的公差范围之内等于所述第二处理结果。换句话说,这意味着第一与第二处理结果之间的差的绝对值小于所述公差范围的宽度。
“保护模块”比如能够是指相应的线路结构(比如计算机核)的双重的实现,所述线路结构用于在所述电子的线路单元的安全区域内执行运算程序,其中仅仅在结果相同时将在两个判定结构上所执行的算法评价为“无故障地执行”。所述电子的线路单元的安全区域由此比如能够具有第一计算机核,所述第一计算机核与前面所提到的运算器相类似地构成,其中所述保护模块比如存在于与所述第一计算机核相同的第二计算机核中,在所述第二计算机核上像在所述第一计算机核上一样对计算算法或者比较算法进行相同的比如并行的处理。如果所述第一计算机核和所述第二计算机核上的、从对于相关的计算算法或者比较算法的处理中产生的计算结果或者比较结果相同或者至少在10%的公差范围之内相同,那么能够将所述计算结果视为有效。
这里所提出的方案基于以下认识:如果将在所述不同的运算器上执行的处理规则的相应的处理结果彼此进行比较,通过在彼此独立的运算器上执行不同的处理规则这种方式能够在技术上快速并且容易地识别所述运算器中的至少一个运算器的硬件中的故障。在此能够利用这一点:首先已经知道这些处理结果的预先确定的关联或者在执行运算器的处理规则时能够预料某种处理结果。这一点尤其是有利的,如果所述第一和第二处理规则彼此有别,也就是如果在相应的第一和第二运算器上执行两种不同的处理规则或者如果所述第一处理规则有别于所述第二处理规则。这里所提出的方案由此提供下述可行方案:尽管如此也还能够利用下述硬件环境基于无故障性对所述车辆的电子的线路单元的功能或者状态进行监控,所述硬件环境按照标准比所集成的线路或者电子的线路单元的特殊的安全区域更少地得到保障来防止对于所述算法的故障的处理。这一点尤其能够加以利用,如果应该对车辆中的高数目的对安全来说关键的功能、比如车辆控制功能或者驾驶员协助功能、像比如马达控制或者变速器控制或者紧急制动的触发进行监控,对此来说在所述集成的线路的安全区域中可用的用数字表示的或者线路技术上的资源会不够并且为此应该动用所述集成的线路或者电子的线路单元的较少得到保障的区域,所述区域在现代的处理器中通常已经存在。
有利的是这里所介绍的方案的一种实施方式,在该实施方式中在执行的步骤中使用第一和第二运算器,所述第一和第二运算器布置在所述电子的线路单元的共同的壳体中,尤其其中所述第一和第二运算器在共同的制造基片的上面和/或里面制成。这里所介绍的方案的这样的实施方式提供以下优点:能够并行地利用所述电子的线路单元的、具有相应的运算器的不同的区域或者计算机核,用于尽管如此在使用所述电子的线路单元时保证高的安全功能。
此外有利的是这里所介绍的方案的一种实施方式,在该实施方式中在执行的步骤中使用实现车辆功能和/或驾驶员协助功能的第一和/或第二处理规则,尤其其中所述车辆功能实现马达控制、变速器控制和/或对于人员保护器件的控制,并且/或者其中所述驾驶员协助功能实现对于车辆的车道的识别、对于行人的识别和/或对于车辆的运动轨迹的无碰撞性的评估。“车辆功能”在此比如能够是指所述车辆的任意的控制功能,比如对于人员保护器件、比如安全气囊或者可逆的乘员拉回***的控制、马达控制或者变速器控制。“驾驶员协助功能”能够是指一种功能,该功能在下述活动中提供对于驾驶员的支持,驾驶员在没有所述驾驶员协助功能的情况下也能够实施所述活动,但是于是要以提高的消耗或者提高的注意力来实施所述活动。这里所介绍的方案的这样的实施方式提供特别稳妥地并且可靠地识别电子的线路单元的状态的优点,在车辆功能和/或驾驶员协助功能的实现的、对安全来说关键的范围内应该使用所述电子的线路单元。
此外,能够考虑这里所介绍的方案的另一种实施方式,在该实施方式中在执行的步骤中构造所述第一和第二处理规则,用于提供在公差范围之内相同的第一和第二处理结果,其中如果所述第一处理结果在所述公差范围之内等于所述第二处理结果,那么在所述识别的步骤中识别所述电子的线路单元的无故障的状态。“公差范围”在这里比如能够是指,所述第一处理结果与所述第二处理结果相差不大于10%。在这里所介绍的方案的这样的实施方式提供以下优点:通过对于所述第一和第二处理规则中的第一和第二处理结果的各种各样的计算能够在技术上十分容易地检查所述第一和第二运算器的正确的功能。在此,比如能够在所述第一处理规则中相对于所述第二处理规则中的处理指令的顺序来改变处理指令的顺序。由此能够十分容易地检查所述第一和第二运算器的正确的工作方式。
按照这里所提出的方案的另一种实施方式,在执行的步骤中能够将所述第二处理规则运用到所述第一处理结果上,其中如果所述第二处理结果相当于原始数值或者初始值,所述原始数值或者初始值在运用所述第一处理规则时引起所述第一处理结果,那么在所述识别的步骤中识别出所述电子的线路单元的无故障的状态。这里所提出的方案的这样的实施方式提供以下优点:通过所述第二处理规则能够进行通过所述第一处理规则引起的函数或者运算程序的反函数或者反运算程序,其中在有些情况中通过借助于所述第一和第二处理规则进行的“来回计算”能够对所述第一和第二运算器的无故障的工作方式进行以数字的方式或者在线路技术上非常容易的检查。
也有利的是这里所提出的方案的另一种实施方式,在所述方案中在执行的步骤中将所述第二处理规则运用到所述第一处理结果上,其中所述第二处理规则构造用于对所述第一处理结果进行滤波。这样的处理规则也提供在技术上非常容易地实现这里所提出的方案的优点。尤其“滤波”能够是指减小相应的处理结果中的单个结果的集合,比如其中被滤出的并且被抛弃的单个结果不符合滤波标准。
特别有利的是在这里所提出的方案的一种实施方式,在所述方案中重复地实施所述执行的和识别的步骤,其中在接下来实施的执行步骤中在第二运算器上执行所述第一处理规则,并且在所述电子的线路单元的第一运算器或者与第一及第二运算器不同的第三运算器上执行所述第二处理规则。这里所提出的方案的这样的实施方式通过使相应的处理规则在不同的运算器上进行执行回转这种方式来提供非常精确地对在相应的单个的运算器中的硬件故障进行识别的可行方案。
这里所提出的用于高度精确地对所述电子的线路单元的状态进行识别的方案的另一种实施方式能够通过以下方式来实现:在执行的步骤中将所述第一和第二处理规则运用到不同的初始数据上,用于得到所述第一和第二处理结果。“初始数据”在这里能够是指起始值,所述起始值用作用于在所述第一和第二处理规则中进行处理的输入值。
此外有利的是这里所提出的方案的一种实施方式,在所述方案中为了执行所述识别步骤而需要比实施所述执行步骤少的计算功率。这里所介绍的方案的这样的实施方式提供以特别有资源效率的方式利用所提供的计算功率的优点,其中尽管如此能够以高的可靠性来识别所述电子的线路单元的故障的工作方式。
这里所介绍的方法比如能够以软件或者硬件的形式或者以由软件和硬件构成的混合形式比如在控制器中来实现。
此外,这里所介绍的方案提供一种装置,该装置构造用于:在相应的机构中实施、操控或者实现在这里所介绍的方法的一种变型方案的步骤。通过本发明的、这种以装置的形式实现的实施变型方案,本发明的任务也能够快速而有效地得到解决。
“装置“在此能够是指一种电设备,该电设备处理传感器信号并且据此输出控制和/或数据信号。所述装置能够具有接口,所述接口能够以硬件方式并且/或者以软件方式来构成。在以硬件方式构成时,所述接口比如能够是所谓的***ASIC的一部分,所述部分包含所述装置的不同的功能。但是也可能的是,所述接口是自身的集成的开关电路或者至少部分地由分立的结构元件所构成。在以软件方式构成时,所述接口能够是软件模块,所述软件模块比如除了其它的软件模块之外也存在于微型控制器上。
也有利的是具有程序代码的计算机程序产品或者计算机程序,所述程序代码能够被保存在机器可读的载体或者存储介质、比如半导体存储器、硬盘存储器或者光学存储器上并且尤其在所述程序产品或者程序在计算机或者装置上执行时用于实施、实现并且/或者操控按前面所描述的实施方式之一所述的方法的步骤。
附图说明
本发明的实施例在附图中示出并且在以下描述中进行详细解释。其中:
图1示出了具有按照这里所介绍的方案的一种实施例的装置的车辆的方框图;
图2示出了按照这里所介绍的方案的一种实施例的方法的流程图;
图3示出了电子的线路单元的一张方框图,所述电子的线路单元用于用在这里所介绍的方案的一种实施例中;并且
图4示出了电子的线路单元的另一张方框图,所述电子的线路单元用于用在这里所介绍的方案的一种实施例中。
在以下对本发明的有利的实施例所作的描述中,为在不同的附图中所示出的并且类似地起作用的元件使用相同的或者类似的附图标记,其中放弃对于这些元件的重复的描述。
具体实施方式
图1示出了车辆100的方框图,在该车辆中能够使用按照这里所介绍的方案的一种实施例的装置110。所述车辆100在此比如包括具有电子的线路单元120的驾驶员协助***115,用于能够执行不同的驾驶员协助功能、像比如对于所述车辆100的车道的识别、对于所述车辆100的前面或者旁边的行人的识别或者对于车辆轨迹的相对于所述车辆100的这个车辆轨迹中的物体的无碰撞性的评估。但是,在此特别重要的是,保证这个驾驶员协助***115的无故障的功能或者执行所述驾驶员协助***115的功能的电子的线路单元120的无故障的功能。尤其应该避免:比如由于这个驾驶员协助***115的电子的线路单元120中的硬件故障而引起失灵,所述失灵对所述车辆100的行车安全有着严重的后果。比如,由于这样的失灵而可能引发所述车辆100的错误的紧急制动,这一方面可能导致对于车辆乘员的伤害危险并且/或者另一方面可能导致由于跟着紧接着的车辆行驶而引起的事故危险。在用于所述车辆协助功能的算法的现代的控制器或者执行单元中,虽然已经存在尤其防止失灵的线路结构,但是行驶功能或者协助功能的增加的自动化水平需要对于这样的得到保障的线路结构的提高的要求。为了考虑到这种要求,虽然能够使用下述线路单元,所述线路单元具有更大数目的这样的得到保障的线路结构,所述线路结构则比如具有双倍数目的相应的计算机核,但是这会导致用于有待使用的线路的开销的提高并且由此导致用于实现这些驾驶员协助功能的开销的提高。
类似地,在许多车辆100中同样实现了一个或者多个电子的线路单元,所述电子的线路单元执行车辆功能、像比如马达或者变速器控制功能的实施或者对于人员保护器件、比如安全气囊或者行人保护***的操控。对于这样的电子的线路单元来说,与驾驶员协助***中的高安全性的前面所提到的问题相类似,也应该保证,这些电子的线路单元无故障地发挥功能,从而在这里也应该使用特殊的安全架构。
相对于这样的具有这样较大的数目的得到保障的线路结构的线路单元的使用,在这里所提出的方案中说明一种方法,即如何能够用传统的电子的线路单元120来保证所述驾驶员协助***115或者相应的车辆控制***的类似可靠的功能性,方法是:能够非常有利地对所述电子的线路单元120的状态进行监控。对于所述电子的线路单元120的状态的这样的监控比如能够通过以下方式来进行:数据122由一个或者多个传感器、像比如加速度传感器125、压力传感器130或者雷达传感器135通过读入接口140来读入到所述用于对电子的线路单元120的状态进行监控的装置110中。这些数据122或者这些数据122的一部分而后能够在使用第一处理规则150的情况下在第一运算器145中进行处理,用于得到第一处理结果155。所述第一处理规则150在此能够是专门的算法或者一系列指令,借助于所述算法或者所述指令来对所述数据122或者这些数据122的一部分进行处理。
所述第一处理结果155在此能够是一个具体的数值或者也能够是数值的集合,所述数值比如代表着在围绕着所述车辆100的空间中的物体或者其位置。
类似地,也能够将所述数据122、这些数据122的一部分或者所述第一处理结果155传输到第二运算器160中,在所述第二运算器中将第二处理规则165运用到这些数据122或者所述第一处理结果155上,用于得到第二处理结果170。所述第一运算器145在此应该在不取决于所述第二运算器160的情况下工作,也就是说在所述第一运算器145中的指令的执行能够不取决于在所述第二运算器160中的状态或者所执行的指令。在这里,所述第二处理规则165能够是专门的算法或者一系列指令,借助于所述算法或者指令来处理所述数据122或者这些数据122的一部分。所述第二处理结果170同样又能够是具体的数值或者数值的集合,所述数值比如代表着处于所述车辆100的空间中的物体或者其位置。在识别单元175中,现在能够使用所述第一处理结果155和/或所述第二处理结果170,用于识别所述电子的线路单元120的无故障的状态。所述识别单元175布置在所述电子的线路单元120的安全区域中,其中所述电子的线路单元120的安全区域具有保护模块,所述保护模块构造用于:保证在相对于所述第一运算器145或者第二运算器160更好地防止故障的处理的情况下执行算法。
如果所述第二处理结果170相对于所述第一处理结果155和/或预定义的标准、像比如阈值处于预先确定的关联中,那就比如能够对所述电子的线路单元120的无故障的状态进行这种识别,所述无故障的状态比如作为信号180来输出。作为替代方案或者补充方案,如果所述第一处理结果155相对于所述第二处理结果170和/或预定义的标准、像比如阈值处于预先确定的关联中,那么能够识别所述电子的线路单元120的无故障的状态。比如在此所述第一处理结果155和/或所述第二处理结果170可能大于、小于、等于或者在预先确定的、比如10%的公差范围之内等于这样的作为预定义的标准的阈值,用于对所述电子的线路单元的无故障的状态进行识别。
图2作为用于对车辆的电子的线路单元的状态进行监控的方法200示出了在这里所介绍的方案的一种实施例的流程图。所述方法200包括以下步骤210:在所述电子的线路单元的第一运算器上执行第一处理规则,用于得到第一处理结果,并且在所述电子的线路单元的第二运算器上执行与所述第一处理规则不同的第二处理规则,用于得到第二处理结果,其中所述第二运算器构造用于:在不取决于所述第一运算器的情况下执行所述第二处理规则。此外,所述方法200包括以下步骤220:如果所述第二处理结果相对于所述第一处理结果和/或预定义的标准处于预先确定的关联之中并且/或者如果所述第一处理结果相对于所述第二处理结果和/或所述预定义的标准处于预先确定的关联之中,那么识别所述电子的线路单元的无故障的状态,其中所述识别的步骤220在所述电子的线路单元的安全区域中执行,其中所述电子的线路单元的安全区域具有保护模块,所述保护模块构造用于:保证在相对于所述第一运算器或者第二运算器更好地防止故障的处理的情况下执行算法。
这里所提出的方案由此提供一种有利的、用于实现用于驾驶员协助***的得到改进的安全方案的可行方案。在此提出一种方案,用该方案同时能够适当地展现对于功能上的欠缺的掌控和硬件保障。
在对应用功能进行安全分析的过程中,对所述驾驶员协助***115的应该适当地可靠地展现的子功能进行识别。在这里所介绍的方案中,这些子功能被称为不同的处理规则或者被称为DSF(设计安全功能),所述处理规则或者DSF应该特别可靠地发挥功能,以便不给车辆乘员或者所述车辆100的外部的人员或者物体造成危害。这样的处理规则或者DSF的特殊的示例能够是:
-对于所述车辆100的车道的识别;
-对于所述车辆100的外部的行人的识别;
-对于所述车辆100的行驶轨迹的无碰撞性的评估。
为了在实现DSF时掌控功能上的欠缺,通常有意义的是,在以算法方式实现DSF时使用(至少)两个不同的部分DSF_1和DSF_2,这二者都做出了一份贡献。在此,按照前面的描述,比如所述第一处理规则150能够被理解为或者称为第一部分“DSF_1”并且所述第二处理规则165能够被理解为或者称为第二部分“DSF_2”。只有当所述两份贡献出问题,才出现所述电子的线路单元120的危急的***故障。这比如能够以下述方式来实现:
-进行多种多样的计算,也就是以两种不同的方式进行计算。在这种情况下,DSF_1150和DSF_2 165基本上具有相同的任务。所述处理规则150或者165由此应该引起至少基本上相同的结果,即使所述处理规则的指令的次序或者结构发生了变化;
-检查程序:一部分的结果由另一个部分来核实。比如,能够通过来自DSF_2的第二处理结果170来核实所述第一处理规则DSF_1的第一处理结果155。这样的预先规定提供以下优点:比如在以数字的方式或者在线路技术上麻烦地实施所述第一处理规则150时,能够明显更为容易地检查所述第一处理结果,如果作为第二处理规则165将非常容易的反运算程序运用到这种麻烦的第一处理规则155上;
-次级的滤波:所述第二处理规则165或者DSF 2也能够继续处理所述第一处理结果155并且在此将所述第一处理规则150或者DSF1的故障滤出。
还有另外的也混合的形式。在这里不继续对算法的差别及相互作用的形式进行考虑,但是也没有将其通过这里所介绍的方案排除在外。
重要的是,有(至少)两个部分,所述两个部分应该表明尽可能独立的故障特性并且由此应该尽可能地在两个不同的运算器145或者160或者计算机核上来执行。于是这里所介绍的方案的一个重要的方面是,这两个部分在不同的核上、如果可能也在不同的高速缓冲存储器并且甚至分开的RAM区域上运行。
这里所介绍的方案的主要优点是,由此能够将为了掌控功能上的欠缺而采用的机构、像刚刚多个子功能DSF_1和DSF_2的采用也用于进行硬件保障,因为就这样有时能够用于核保障、高速缓冲存储器保障和RAM保障的高的覆盖争辩。
在图3中示出了用于驾驶员协助***和高度自动化的***的有效率的芯片或者相应的电子的线路单元120的可能的硬件架构的方框图。
在所述芯片或者电子的线路单元120中有“安全岛”,也就是说受到保障的计算平台作为所述电子的线路单元120的安全区域300包含一个或者多个硬件保障的核或者计算机核310。这样的保障比如能够通过安全模块来进行,所述安全模块设置了相应的计算机核310的加倍,并且只有当一项在两个计算机核310上相同地执行的处理规则也提供相同的结果时才假定这项处理规则的无故障的处理。优选这些计算机核310比如构造为锁步计算机。这个计算机平台或者所述安全区域300在最好的情况下代表着对于ASIL D有用的平台,所述平台除了所使用的核310之外也保障在这种情况下所使用的高速缓冲存储器。没有指望全部为了展现前面所提到的相应的功能、比如驾驶员协助或者车辆功能、比如马达操控或者人员拉回器件操控而必要的计算功率能够在这个安全岛300上提供。因此,存在计算功率区320,该计算功率区具有多个非常有效率的核,所述核比如能够被称为第一运算器145、被称为第二运算器160或者另一个运算器330。在所述芯片上还有另外的组件340(比如通信、I/O、预处理、…),但是所述另外的组件在这里不再关系重大并且因此不进行详细描述。
没有在安全岛300上执行的DSF或者处理规则有时候应该在所述计算功率区320的组件320上来处理。这一点如此进行:如在按照图4的方框图-图示所反映的那样,将所述DSF的组成部分或者处理规则DSF_1和DSF_2分布到所述计算功率区320的两个不同的核或者运算器145和160上或者为了进行处理而装载到这些运算器上。由此,DSF_1 150和DSF_2 165不可能直接受到所述核145或者160之一中的相同的硬件故障的影响,尤其同样的影响足以是不可能的。所述核145、160或者330中的每个核典型地拥有自己的L1-高速缓冲存储器。对于这个高速缓冲存储器来说,这种方法因而额外地产生保障理由(关于DSF)。当然,尽管如此也有利的是,所述L1-高速缓冲存储器额外地通过合适的措施(比如Parity(奇偶校验)、ECC、Tag Protection(标签保护)、Reencoding(重新编码)、…)得到保障。普遍原因分析(Common-Cause-Analyse)当然应该专用地来实施。这可能引起另外的要求,通过所述另外的要求的满足能够提高所述两个部分的独立性。比如可能的是,应该使用不同的库,以便L2-高速缓冲存储器-故障不可能有直接的影响。
原则上有意义的是,提供对于所述核145、160或者330的尽可能有影响的测试。如果可能,这些测试应该是硬件-支持的BIST(Builtin Self Test:内置自测试),但是也能够考虑软件-解决方案。根据所述两种变型方案的由于功能上的欠缺引起的差别的频次,也能够有针对性地激活测试,如果确定了差别。如果存在足够的核和计算功率,那么作为测试也能够对与冗余地工作的“空闲的”核的交叉比较进行考虑。DSF_1和DSF_2的两个部分结果的汇合应该优选通过所述“安全岛”或者单元310在所述安全区域300中进行,所述“安全岛”或者单元尤其相对于有故障的算法处理得到了保障。如果要选择无“安全岛”300的架构,那么所述汇合也能够分别在两个核上来实现,但是在此应该保证,单个故障没有影响到两个核145或者160。
相应的第一和第二处理规则150或者165能够通过在图3和4中未示出的、用于进行监控的装置110来装载到所述第一或者第二运算器145和160中。借助于所述第一和/或第二处理结果155或者170对所述电子的线路单元120的无故障的状态进行测评或者识别,这也能够在相应的单元175中进行,所述单元在有些实施例中能够通过所述安全区域的计算机核310来构成,但是所述单元也能够通过未在图3和4中示出的单元来实现。
很清楚,这里所介绍的方法也能够扩展到三个和更多个组成部分上。而后必要时也能够展现表决并且由此能够展现故障公差层。
在扩展的情况下,一种有利的可选方案能够是,周期性地更换相关的核。比如,能够在一个周期中在所述核C1、C2或者145和160上计算所述配对(DSF_1、DSF_2)。在下一个周期中在(C2或者160和C3或者330)等等直到(Cn、C1)上计算所述配对。应该在个别情况中确定,在软件-复杂性中还能掌控的周期参量是什么(从***周期到行驶周期)。原则上有利的是,所述部分(DSF_1、DSF_2)甚至是不同的,这涉及输入数据122。在稳健性的意义上最佳的是,使用不同的(尽可能多种多样的)传感器数据。不过这一点并非必需。
如果一种实施例在第一特征与第二特征之间包括 “和/或”联结,则应该如此对此进行解读:所述实施例按照一种实施方式不仅具有所述第一特征而且具有所述第二特征,并且按照另一种实施方式要么仅仅具有所述第一特征要么仅仅具有所述第二特征。
Claims (11)
1.用于对车辆(100)的电子的线路单元(120)的状态进行监控的方法(200),其中所述方法(200)具有以下步骤:
-在所述电子的线路单元(120)的第一运算器(145)上执行(210)第一处理规则(150),用于得到第一处理结果(155),并且在所述电子的线路单元(120)的第二运算器(160)上执行(210)与所述第一处理规则(150)不同的第二处理规则(165),用于得到第二处理结果(170),其中所述第二运算器(160)构造用于:在不取决于所述第一运算器(145)的情况下执行所述第二处理规则(165);
-如果所述第二处理结果(170)相对于所述第一处理结果(155)和/或预定义的标准处于预先确定的关联中并且/或者如果所述第一处理结果(155)相对于所述第二处理结果(170)和/或所述预定义的标准处于预先确定的关联中,识别(220)所述电子的线路单元(120)的无故障的状态(180),其中所述识别(220)的步骤在所述电子的线路单元(120)的安全区域(300)中执行,其中所述电子的线路单元(120)的安全区域(300)具有保护模块,所述保护模块构造用于:保证在相对于所述第一运算器(145)或者所述第二运算器(160)更好地防止故障的处理的情况下执行算法。
2.按权利要求1所述的方法(200),其特征在于,在所述执行(210)的步骤中构造所述第一处理规则(150)和第二处理规则(165),用于提供在公差范围内相同的第一处理结果(155)和第二处理结果(170),其中如果所述第一处理结果(155)在所述公差范围之内等于所述第二处理结果(170),那么在所述识别(220)的步骤中识别出所述电子的线路单元(120)的无故障的状态(180)。
3.按前述权利要求中任一项所述的方法(200),其特征在于,在所述执行(210)的步骤中将所述第二处理规则(165)运用到所述第一处理结果(155)上,其中如果所述第二处理结果(170)相当于初始值(122),所述初始值在运用所述第一处理规则(150)时引起所述第一处理结果(155),那么在所述识别(220)的步骤中识别出所述电子的线路单元(120)的无故障的状态。
4.按权利要求1或2所述的方法(200),其特征在于,在所述执行(210)的步骤中将所述第二处理规则(165)运用到所述第一处理结果(155)上,其中所述第二处理规则(165)构造用于对所述第一处理结果(155)进行滤波。
5.按权利要求1或2所述的方法(200),其特征在于,重复地执行所述执行(210)的步骤和所述识别(220)的步骤,其中在接下来实施的执行(210)的步骤中在所述第二运算器(160)上执行所述第一处理规则(150)并且在所述电子的线路单元(120)的第一运算器(145)或者与所述第一运算器(145)及第二运算器(160)不同的第三运算器(330)上执行所述第二处理规则(165)。
6.按权利要求1或2所述的方法(200),其特征在于,在所述执行(210)的步骤中将所述第一处理规则(150)和第二处理规则(165)运用到不同的初始值(122)上,用于得到所述第一处理结果(155)和所述第二处理结果(170)。
7.按权利要求1或2所述的方法(200),其特征在于,为了执行所述识别(220)的步骤而需要比实施所述执行(210)的步骤少的计算功率。
8.按权利要求1或2所述的方法(200),其特征在于,在所述执行(210)的步骤中使用第一运算器(145)和第二运算器(160),所述第一和第二运算器在共同的制造基片的上面和/或里面制成,其中所述第一运算器(145)和所述第二运算器(160)布置在所述电子的线路单元(120)的共同的壳体中。
9.按权利要求1或2所述的方法(200),其特征在于,在所述执行(210)的步骤中使用第一处理规则和/或第二处理规则(165),所述第一处理规则和/或第二处理规则实现车辆功能和/或驾驶员协助功能,其中所述车辆功能实现马达控制、变速器控制和/或对于人员保护器件的控制,并且/或者其中所述驾驶员协助功能实现对于车辆(100)的车道的识别、对于行人的识别和/或对于车辆(100)的运动轨迹的无碰撞性的评估。
10.用于对车辆(100)的电子的线路单元(120)的状态进行监控的装置(110),所述装置被设立用于执行按前述权利要求中任一项所述的方法(200)。
11.机器可读的存储介质,在其上面保存了计算机程序,所述计算机程序被设立用于执行按权利要求1到9中任一项所述的方法(200)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015216086.6A DE102015216086A1 (de) | 2015-08-24 | 2015-08-24 | Verfahren und Vorrichtung zum Überwachen eines Zustandes einer elektronischen Schaltungseinheit eines Fahrzeugs |
| DE102015216086.6 | 2015-08-24 | ||
| PCT/EP2016/067253 WO2017032513A1 (de) | 2015-08-24 | 2016-07-20 | Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107924348A CN107924348A (zh) | 2018-04-17 |
| CN107924348B true CN107924348B (zh) | 2021-06-18 |
Family
ID=56550862
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680049004.6A Active CN107924348B (zh) | 2015-08-24 | 2016-07-20 | 用于对车辆的电子的线路单元的状态进行监控的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10782697B2 (zh) |
| EP (1) | EP3341843B1 (zh) |
| KR (1) | KR102636306B1 (zh) |
| CN (1) | CN107924348B (zh) |
| DE (1) | DE102015216086A1 (zh) |
| WO (1) | WO2017032513A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112100028A (zh) * | 2020-09-02 | 2020-12-18 | 宁波吉利汽车研究开发有限公司 | 一种车用算法的监测方法、***及车辆 |
| DE102020213226A1 (de) | 2020-10-20 | 2022-04-21 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zur Prüfung einer Funktionsfähigkeit eines Umfeldsensorsystems in einem zumindest teilautomatisierten Fahrzeug |
| DE102021117947A1 (de) | 2021-07-12 | 2023-01-12 | Bayerische Motoren Werke Aktiengesellschaft | Steuern einer Steuervorrichtung |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5903454A (en) * | 1991-12-23 | 1999-05-11 | Hoffberg; Linda Irene | Human-factored interface corporating adaptive pattern recognition based controller apparatus |
| DE4302483C2 (de) | 1993-01-29 | 2002-07-11 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung einer Brennkraftmaschine |
| DE10007008B4 (de) | 2000-02-16 | 2007-03-08 | Daimlerchrysler Ag | Verfahren zur Überwachung einer Datenverarbeitungseinrichtung |
| DE102005037222A1 (de) * | 2004-10-25 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Auswertung eines Signals eines Rechnersystems mit wenigstens zwei Ausführungseinheiten |
| DE102005037246A1 (de) * | 2005-08-08 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Steuerung eines Rechnersystems mit wenigstens zwei Ausführungseinheiten und einer Vergleichseinheit |
| DE102007045398A1 (de) * | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
| DE102008021241B4 (de) | 2008-04-28 | 2018-04-19 | Bombardier Transportation Gmbh | Messwert-Anzeige, insbesondere im Führerstand eines Schienenfahrzeugs |
| DE102009001048A1 (de) | 2009-02-20 | 2010-08-26 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Prüfung der Arbeitsweise eines Rechnersystems |
| JP5316128B2 (ja) | 2009-03-17 | 2013-10-16 | トヨタ自動車株式会社 | 故障診断システム、電子制御ユニット、故障診断方法 |
| FR2950769B1 (fr) * | 2009-09-30 | 2022-09-16 | Trustseed Sas | Systeme et procede de gestion de sessions de correspondance electronique securisee |
| DE102009047071A1 (de) | 2009-11-24 | 2011-05-26 | Robert Bosch Gmbh | Verfahren und Steuergerät zur Erkennung einer Breite eines Aufprallbereiches eines Objektes im Frontbereich eines Fahrzeugs |
| US9015093B1 (en) * | 2010-10-26 | 2015-04-21 | Michael Lamport Commons | Intelligent control with hierarchical stacked neural networks |
| DE102011086530A1 (de) * | 2010-11-19 | 2012-05-24 | Continental Teves Ag & Co. Ohg | Mikroprozessorsystem mit fehlertoleranter Architektur |
| JP2014063258A (ja) | 2012-09-20 | 2014-04-10 | Renesas Electronics Corp | 半導体集積回路装置及びマイクロコントローラ |
-
2015
- 2015-08-24 DE DE102015216086.6A patent/DE102015216086A1/de not_active Withdrawn
-
2016
- 2016-07-20 CN CN201680049004.6A patent/CN107924348B/zh active Active
- 2016-07-20 KR KR1020187007995A patent/KR102636306B1/ko active IP Right Grant
- 2016-07-20 US US15/754,978 patent/US10782697B2/en active Active
- 2016-07-20 EP EP16744345.6A patent/EP3341843B1/de active Active
- 2016-07-20 WO PCT/EP2016/067253 patent/WO2017032513A1/de active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| KR102636306B1 (ko) | 2024-02-15 |
| EP3341843A1 (de) | 2018-07-04 |
| KR20180043322A (ko) | 2018-04-27 |
| DE102015216086A1 (de) | 2017-03-02 |
| WO2017032513A1 (de) | 2017-03-02 |
| US20200225667A1 (en) | 2020-07-16 |
| CN107924348A (zh) | 2018-04-17 |
| US10782697B2 (en) | 2020-09-22 |
| EP3341843B1 (de) | 2019-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110650878B (zh) | 异常判定装置、异常判定方法以及计算机可读存储介质 | |
| US9874609B2 (en) | Sensor self-diagnostics using multiple signal paths | |
| US8549352B2 (en) | Integrated microprocessor system for safety-critical control systems including a main program and a monitoring program stored in a memory device | |
| US9335756B2 (en) | Method for the efficient protection of safety-critical functions of a controller and a controller | |
| CN110785742A (zh) | 用以依赖于状态信号驱控车辆模块的设备和方法 | |
| CN107924348B (zh) | 用于对车辆的电子的线路单元的状态进行监控的方法和装置 | |
| US11281547B2 (en) | Redundant processor architecture | |
| KR20160037939A (ko) | 안전-관련 적용의 리던던트 신호 처리를 위한 방법 및 전자 회로 장치, 차량 브레이크 시스템 및 이러한 차량 브레이크 시스템을 갖는 차량, 그리고 이러한 전자 회로 장치의 사용 | |
| JP5089693B2 (ja) | 制御装置および機能制御方法 | |
| WO2014203028A1 (en) | Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data | |
| US20180059963A1 (en) | Fail-operational system design pattern based on software code migration | |
| US9244750B2 (en) | Method and control system for carrying out a plausibility check of a first driver input sensor with regard to a second driver input sensor which is different from the first driver input sensor of a motor vehicle | |
| JP7332529B2 (ja) | 異常検出装置 | |
| JP7300551B2 (ja) | 車両の人員保護手段を起動させるための制御装置および方法 | |
| Frese et al. | Fault tolerance time interval: how to define and handle | |
| JP4820679B2 (ja) | 車両用電子制御装置 | |
| EP3153970A1 (en) | A vehicle safety electronic control system | |
| US20100114422A1 (en) | Control device for vehicles | |
| CN108700861B (zh) | 用于运行用于机动车的控制设备的方法 | |
| Seo et al. | An investigation into multi-core architectures to improve a processing performance of the unified chassis control algorithms | |
| CN111149088A (zh) | 用于运行控制器的方法以及具有对应的控制器的设备 | |
| Ruggeri et al. | A High Functional Safety Performance Level Machine Controller for a Medium Size Agricultural Tractor | |
| JP6639552B2 (ja) | フェールセーフ制御装置及びフェールセーフ制御方法 | |
| JP6275098B2 (ja) | 制御装置およびレジスタの故障復帰方法 | |
| WO2012165396A1 (ja) | 電子制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |