JP2005521182A - 制御装置の冗長アレイ - Google Patents

制御装置の冗長アレイ Download PDF

Info

Publication number
JP2005521182A
JP2005521182A JP2004538854A JP2004538854A JP2005521182A JP 2005521182 A JP2005521182 A JP 2005521182A JP 2004538854 A JP2004538854 A JP 2004538854A JP 2004538854 A JP2004538854 A JP 2004538854A JP 2005521182 A JP2005521182 A JP 2005521182A
Authority
JP
Japan
Prior art keywords
data bus
control
control device
redundant
array
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004538854A
Other languages
English (en)
Other versions
JP3965410B2 (ja
Inventor
マイケル・アルムブルスター
ハロー・ハイルマン
アンスガー・マイシュ
オリバー・ロークス
アンドレアス・シュバルツハウプト
ゲルノート・スピーゲルベルク
アルミン・スルツマン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Daimler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daimler AG filed Critical Daimler AG
Publication of JP2005521182A publication Critical patent/JP2005521182A/ja
Application granted granted Critical
Publication of JP3965410B2 publication Critical patent/JP3965410B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/404Brake-by-wire or X-by-wire failsafe
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/82Brake-by-Wire, EHB
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2048Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本発明は、輸送手段において、第1のデータバス(4)によって相互接続される複数の制御装置(1〜3、20〜23)を有する制御装置のアレイに関し、制御機能に関して冗長構成である制御装置(1〜3;20〜23)が設けられ、それぞれの場合において、データバス分離スイッチ(5)が冗長構成である制御装置(1〜3;20〜23)に割当てられ、前記データバス分離スイッチが評価信号の機能としてデータバス(4)の接続又は切断を行う。冗長アレイを最適化するために、これらのデータバス分離スイッチ(5)のそれぞれは、少なくとも1つの別の冗長制御装置(1〜3;20〜23)の信号線に接続され、別の冗長制御装置(2、3;21;23)は評価信号を第1の冗長制御装置(1;20;22)に割当てられるデータバス分離スイッチ(5)に送信し、評価信号は第1の冗長制御装置(1;20;22)に関して別の冗長制御装置(2、3;21;3)の機能検査の結果である。第1の冗長制御装置(1;20;22)のデータバス分離スイッチ(5)は、論理回路の結果によりデータバス(4)を切断し、論理回路の少なくとも1つの入力信号が少なくとも1つの評価信号によって形成される。

Description

本発明は、第1のデータバス及びデータバス分離スイッチによって相互接続される複数の制御装置を有する制御装置のアレイに関する。
ドライブバイワイヤ車両における安全関連システム(ドライブバイワイヤとは、ステアリングを含む車両の各ドライブトレイン機能が専ら電気信号によってのみ、制御されることを意味する)は、特に故障を防止しなければならない。車両におけるドライブバイワイヤの例としては、ステアリングホイールと舵取り可能な車両の車輪との間に永続的な機械的接続部又は油圧接続部がないステアバイワイヤシステム又は車両の運転挙動が限られた範囲の車両の移動原動力に適応しているESP(電子安定化プログラム)システムが挙げられる。このようなドライブバイワイヤシステムのフェイルセーフを増大させるために、これらのシステムは、たとえば1つの制御装置が故障した場合に、冗長構成である制御装置に切り替えることが可能であるような冗長構成である。
冗長構成であるシステムとは、たとえばマイクロプロセッサなどの構成要素が複合的に設けられ、同一の機能が複合的に設けられているこれらの構成要素で実行されるシステムである。これは、特に、同一の入力データがこれらの構成要素によって処理され、同一の出力データが生成され、評価のために出力データがこれらの構成要素に割当てることが可能になっていることを意味する。
既知の冗長アレイは、TRM(三重モジュール式冗長)システム及びデュオデュプレックスシステム(duo−duplex system)である。
TRMシステム(ツーアウトオブスリーシステム(two out of three system)とも呼ぶ)において、3つの冗長構成要素は、故障した構成要素を検出することができ、周囲に全く影響を及ぼさないようにすることができるように連結される。
デュオデュプレックスシステム(二重自己検査組システム(dual self−checking pair system)とも呼ぶ)の場合には、それぞれの場合において、2つの冗長構成要素が1つのチャネルを形成するように結合され、チャネル内の構成要素の故障挙動を検出することが可能になっている。構成要素の故障挙動が検出される場合には、対応するチャネルが切られる。
特許文献1は、航空機のワイヤ遠隔舵取り制御システムにおける処理システムを開示しており、このシステムでは、複数の冗長な非同期プライマリフライトコンピュータのそれぞれが、コマンド信号を生成し、航空機の少なくとも1つの操縦面が複数のアクチュエータドライブによって制御される。処理システムは、アクチュエータドライブから送信されるフライトコマンド信号を制御し、複数のセレクタを具備し、それぞれのセレクタがプライマリフライトコンピュータと、すべてのプライマリフライトコンピュータからのフライトコマンド信号を受信するための1つ以上のアクチュエータドライブと、選択されたフライト信号を送信するために、所定の選択アルゴリズムに基づいて動作するための選択手段と、に接続される。
特許文献2は、冗長構成であり、互いにバスシステムによって接続されている複数のマイクロプロセッサを有する車両調整システムのためのマイクロプロセッサアレイを開示している。マイクロプロセッサにおけるデータ処理は、アンチロックブレーキコントロール及び/又はトラクションコントロールなどの調整システムのほか、入力信号を調整するためにも用いられる。対称的に冗長であるデータ処理の出力結果及び/又は中間結果が比較される。これらの結果が異なる場合には、個別のシステムが切り替えられる。さらに、このようなマイクロプロセッサシステムにおいて行われるデータ処理動作はそれぞれ、簡略化したデータ処理動作の結果と比較され、信頼性が検査される。相違点がある場合には、調整システムは、「セーフティクリティカル」でない機能的に重要なデータを一時的に保持することができる。
欧州特許第0 760 973 B1号明細書 独国特許出願公開第196 31 309 A1号明細書
輸送手段の冗長システム機能は、一般的に、プリント回路基板上に収容される複数のマイクロプロセッサによって実現される。冗長システムのこのような実装には、マイクロプロセッサ間に短くて高速の切り替え経路という利点がある。欠点は、この実現には、きわめて高価な開発コスト及び長い開発時間を必要とすることである。これは、特に自動車分野では、今日、より短い開発期間で新しいモデルを作製する必要があることから、欠点である。
このため、自動車分野において冗長構成であるシステムは、市場で既に入手可能であり、冗長システムの一部と成すために、最小限に適合させるだけで済む構成要素から構成される。特に、市場で既に入手可能な制御装置は、構成要素として適している。
本発明の目的は、制御装置が冗長システムの一部として最小限だけ適合させなければならないように制御装置の冗長アレイを最適化することである。
本目的は、請求項1及び請求項10の特徴によって本発明に基づいて実現される。したがって、各データバス分離スイッチは、少なくとも1つの別の冗長制御装置の信号線に接続される。別の冗長制御装置は、評価信号を第1の冗長制御装置に割当てられるデータバス分離スイッチに送信し、評価信号は、第1の冗長制御装置に対する別の冗長制御装置の機能的な検査の結果である。第1の冗長制御装置のデータバス分離スイッチは、論理回路の結果によりデータバスを切断し、論理回路の少なくとも1つの入力信号は少なくとも1つの評価信号によって形成される。
本発明による制御装置のアレイは、冗長アレイを構成するために、任意の所望のメーカの制御装置を用いることができるという利点がある。
別の利点は、制御装置の切り替え及びデータバスからの分離が、冗長制御において用いられる選択プロセスとは独立であることである。別の冗長制御装置を評価するための冗長制御装置における選択プロセスは、選択されたハードウェア又はソフトウェアとは独立しており、個別に変更することができる。最終的な評価信号のみが重要であり、個別の評価された冗長制御装置のデータバス分離スイッチに送信されなければならない。
データバス分離スイッチは、制御装置とは独立に開発することができる。前記スイッチが制御装置の機能要素を必要とすることもなく、制御装置がデータバス分離スイッチの機能要素を必要とすることもないためである。
制御装置のアレイ及びデータバス分離スイッチの簡素な設計は、高速及びコスト効率のよい製作を確実にすることから、好都合である。
データバス分離スイッチのすべての出力割当ては、すべての入力割当てによる完全な試験を容易に行うことができるため、データバススイッチを高い信頼性で製作することができる。
制御装置のアレイが、制御機能に関して冗長である2つの制御装置の最小の構成単位に基づいているため、この制御機能に関して冗長である別の制御装置によって制御装置のアレイを拡張することができる。その結果、TRM及びデュオデュプレックスアレイを容易にマッピングすることが可能である。
第1及び第2のデータバスを有する制御装置のアレイは、データバスが切断されるときに、この切断をゲートウェイ回路によってブリッジすることができるという利点がある。これにより、たとえば、データバスの短絡又はデータバスケーブルの切断が生じた場合に、迅速に復旧することができる。
別のデータバスを有する制御装置のアレイに関する別の利点は、通信が輸送手段の別の制御装置によって行われている第1のデータバスが別のデータトラヒックを取り込まないことである。
したがって、本発明の教示を有利に構成し、発展するさまざまな方法がある。このために、一方では従属項を参照し、他方では実施形態の以下の説明を参照されたい。従属項の任意の所望の組合せから形成される有利な改良例も包含されるものとする。図面は、本発明による制御装置のアレイ及び本発明によるデータバス分離スイッチの実施形態を示している。前記図面のそれぞれは概略図である。
本発明による制御装置のアレイが、図1に示されている。前記図において、車両におけるESP(電子安定化プログラム)制御機能に関して冗長構成である3つの制御装置1、2、3が、TRM(三重モジュール式冗長)アレイに共に接続される。
3つの冗長制御装置1、2、3は、第1のデータバス4によって車両の別の制御装置に接続される。さらに、3つの冗長制御装置1、2、3は、第2のデータバス60によって互いに接続される。冗長構成である3つの制御装置1、2、3の間の結果信号を専ら交換するために、このデータバスが用いられる。第1及び第2のデータバス4、60は、CAN(コントローラエリアネットワーク)データバスとして具体化される。
その結果、冗長構成である3つの制御装置1、2、3のそれぞれは、2つの双方向データバス接続部6、7を有し、データバス接続部6は第1のデータバス4に接続するために用いられ、データバス接続部7は第2のデータバス60に接続するために用いられる。
冗長制御装置1、2、3はそれぞれ、ESP制御機能を実行するためのプロセッサ及びメモリを有する計算構成単位のほか、電圧供給構成単位8及び選択手段9を有する。
冗長制御装置1、2、3の電圧供給構成単位8は、入力ポート10を有する。このポート10によって、制御装置の電圧供給を切り替えることが可能である。すなわち、信号によって制御装置自体を切り替えることが可能である。
データバス分離スイッチ5と連動する本発明による制御装置のアレイの動作方法について、制御装置1の実例を用いて説明する。別の制御装置2、3は、同等に動作する。
制御装置1は、第1のデータバス4によってデータバス4に接続されている別の制御装置、アクチュエータ、センサなどから受信する入力データを処理する。ESP制御機能のために、この入力データは、車両のヨーレート、速度、エンジン速度、加速度である。
この入力データは、制御装置1の制御部によって処理され、出力データを生成する。この出力データは、第2のデータバス60に割当てられ、別の制御装置2、3によって検知される。制御装置1自体は、別の制御装置2、3の出力データを記録する。
選択手段9(ボータ(voter)とも呼ぶ)は、それ自体の出力データと別の制御装置2、3の受信出力データとの間の複数の比較動作から比較を行う目的を有する。選択手段は、ソフトウェアによって実現され、ここでは、時間及び絶対値に関して出力データ項目間の偏差が許容されるように構成される。
TRMシステムにおける選択プロセスは、以下のように進む。3つの出力データ項目すべての間に一致がない場合には、システムのスイッチが切られる。2つの出力データ項目間に一致がある場合には、1つのエラーが存在し、対応する出力データ項目は正しい出力データとして許容される。3つのデータ項目すべてが一致する場合には、エラーが存在しない。各出力データ項目は、変数として許容可能であってもよい。
選択プロセスが終了した後、選択手段9は、それぞれの場合に別の制御装置2、3の送信出力信号に評価信号を割当てる。
3つの冗長制御装置1、2、3のうち、唯一の印の付いたA、ここでは制御装置1は、データバス4に接続される別の制御装置にコマンドを送信するために、選択プロセス後に、第1のデータバス4にその出力信号を送信する制御装置である。選択プロセス後に、制御装置1が不正確に作動していると決定される場合には、別の制御装置2、3の一方が、選択プロセス後に決定された出力データを第1のデータバス4に送信する機能を引き継ぐ。このために、冗長構成の制御装置1〜3のいずれの制御装置がこの機能を引き継ぐかを指定する変数が、選択手段に格納される。
図1における制御装置1は、別の冗長制御装置2、3の出力データの評価信号を送信するために用いられる2つの出力ポート11、12を有する。これらの出力ポート11、12は、個別の信号線によって別の制御装置2、3の個別のデータバス分離スイッチ5における入力ポート13、14に接続される。評価信号は、この信号線によって制御装置2、3の個別のデータバス分離スイッチに送信される。
データバス分離スイッチ5は、それぞれの場合に、スイッチによって接続される2つの双方向データバス接続部15、16及び17、18をそれぞれ有する。データバス接続部15〜18は、制御装置1の接続部を接続部15、16によって第1のデータバス4に接続又は切断し、接続部17、18によって第2のデータバス60に接続又は切断するように接続される。
データバス分離スイッチ5は、その入力信号がデータバス分離スイッチ5の入力ポート13、14によって形成される論理回路をさらに有する。別の制御装置2、3の評価信号は、制御装置1の出力信号によってデータバス分離スイッチ5の入力ポート13、14に送信される。
データバス分離スイッチ5の論理回路は、ORゲートから構成される。入力ポート13、14に達する評価信号は、出力信号の不一致を表す値0又は一致を表す値1のいずれかを有する。論理回路の結果、すなわち、故障制御装置1を表す0又は故障のない制御装置1を表す1に基づいて、故障の場合には、データバス分離スイッチは、データバス接続部15、16及び17、18の間の接続をそれぞれ切断する。したがって、故障の場合には、制御装置1は、第1及び第2のデータバス4、60によって通信から切り離す。
さらに、データバス分離スイッチは、出力ポート19を有する。制御装置1のこの出力ポート19は、信号線によって制御装置1の電圧供給部の入力ポート10に接続される。故障の場合には、データバス分離スイッチ5はさらに、データバス分離スイッチ5の出力ポート19によって信号を電圧供給部8の入力ポート10に送信する。この信号は、制御装置1の電圧供給部8のスイッチを切るため、制御装置1自体のスイッチを切る。
図2は、本発明による制御装置のアレイの別の実施形態を示している。ここでは、車両におけるESP(電子安定化プログラム)制御機能に関して冗長構成である4つの制御装置20〜23が、デュオデュプレックスアレイに共に接続される。図2の4つの冗長制御装置20〜23は、第1のデータバス4によって車両の別の制御装置に接続される。
既に述べたように、デュオデュプレックスアレイにおいて、それぞれの場合に、ESP制御機能に関して冗長構成である4つの制御装置のうちの2つの冗長制御装置は、論理チャネルを形成するように結合される。したがって、デュオデュプレックスアレイは、TRMアレイに比べて、個別のチャネル用の第2の独立データバスが必要である。
その結果、それぞれの場合において、4つの制御装置20〜23のうちの2つの冗長制御装置20、21又は22、23はそれぞれ、第2のデータバス61又は62によって互いに接続される。それぞれの場合において、冗長構成である4つの制御装置20〜23のうちの2つの間の結果信号を専ら交換するために、2つの第2のデータバス61、62が用いられる。データバス4、61、62は、CAN(コントローラエリアネットワーク)データバスとして具体化される。
一例として、デュオデュプレックスアレイにおける本発明による制御装置のアレイの動作方法について、制御装置の組20、21の実例を用いて説明する。制御装置の別の組22、23は、同等に動作する。個々の構成要素の動作方法に関するさらなる詳細は、図1で既に説明したことに関する限り、提供しない。
デュオデュプレックスアレイの組における制御装置20の選択手段9は、1つの別の制御装置21の結果信号に関してのみ比較動作を行う。したがって、制御装置20は、制御装置21のデータバス分離スイッチ5の出力ポート12から入力ポート13まで信号線によってデータバス分離スイッチに送信される唯一の評価信号を供給する。
制御装置20のデータバス分離スイッチ5は、入力ポート13によって制御装置20の出力データに関する制御装置21の評価信号を受信する。データバス分離スイッチ5の論理回路は、入力信号として、入力ポート13に評価信号を有する。第2の入力ポート14からの第2の入力信号は、不変に予め定義される。ここでは、値「0」が、第2の入力信号として定義される。
上述したように、故障の場合には、制御装置20のデータバス分離スイッチ5は、第1及び第2のデータバス4、61との通信から制御装置20を切り離す。さらに、制御装置20への電源供給部8のスイッチが切られる。制御装置の組20、21又は22、23の制御装置が故障した場合には、組20、21又は22、23のスイッチが切られる。たとえば、組の第1の制御装置20のスイッチが切られると、第2の制御装置21は、第2のデータバス61によって冗長構成の制御装置の出力信号を受信しないため、その結果、その出力信号を比較することができないことから、このことは理解しやすい。
制御装置20は、故障が存在しない場合には、結果信号を第1のデータバス4に送信する選択された制御装置Aである。制御装置20が故障している場合には、組20、21のスイッチが切られる。制御装置の組22、23は、第1のデータバス4によって、制御装置20が出力データをデータバス4に送信するかどうかを監視しているため、2つの制御装置22、23の一方が結果信号をデータバス4に送信する機能を再開する。
データバス分離スイッチ5の論理回路は、ハードウェアを用いて具体化される。ポート15、16及び17、18の間の切り替え可能な接続部はそれぞれ、論理モジュールスイッチとして具体化される。しかし、切り替え可能な接続部はまた、リレースイッチとして具体化されてもよい。
双方向接続部15〜18は、たとえば、CANデータバスのツイストペアケーブルが接続されるか、又はそれぞれの場合に、たとえばCANトランシーバなどの対応するトランシーバ構成単位がデータバス接続点15〜18に取り付けられるように構成されてもよい。
データバス4、60〜62は、CANデータバスとして構成される。しかし、データバス4、60〜62はまた、D2B又はMOST又はTTP、LIN、フレックスレイ(FlexRay)、ファイアワイヤ(Firewire)などの光データバスとして具体化することも可能である。
本発明による制御装置のアレイは、制御機能に関して冗長構成である制御装置1〜3、20〜23の間の内部通信用の第2のデータバス60〜62を有する。これは、車両において別の制御装置との通信を確保する第1のCANデータバス4の帯域幅がほぼ既に全容量まで用いられており、冗長構成である制御装置1〜3、20〜23の間の内部通信のために必要とするようなさらなるデータトラヒックがそれ以上見込まれないように選択される。
選択されたデータバスシステムは、冗長構成である制御装置1〜3、20〜23の間のさらなる通信が対応する速度で確実に行われるように対応して大きな帯域幅を可能にする場合には、第2のデータバス60〜62はもはや必要ではない。したがって、車両の制御装置間の通信のほか、冗長構成である制御装置1〜3、20〜23の間の通信も第1のデータバス4によってのみ行う。
制御装置のアレイは、制御装置の非同期通信であることが理想的である。制御装置が同期して動作する場合には、すなわちある特定の時間にのみ送信する場合には、時間は全システム時間によって標準化され、これは、同期機構の故障が冗長アレイのすべての制御装置に影響を及ぼし、冗長アレイ全体が故障するという欠点がある。
冗長構成である制御装置1〜3、20〜23は、異なるメーカによって製作されてもよく、異なるハードウェアを用いて構成されてもよい。
冗長制御装置1〜3、20〜23の選択手段9は、評価信号を受信するために、異なる選択プロセスを用いてもよい。
本発明による制御装置のアレイの第1の実施形態のブロック回路図である。 本発明による制御装置のアレイの別の実施形態のブロック回路図である。

Claims (11)

  1. 第1のデータバス(4)によって互いに情報を交換する複数の制御装置(1〜3、20〜23)を有する制御装置のアレイであって、
    輸送手段の構成要素を制御し、
    前記第1のデータバス(4)によって相互接続され、
    制御機能に関して冗長構成である制御装置(1〜3;20〜23)が設けられ、
    それぞれにおいて、データバス分離スイッチ(5)が冗長構成である前記制御装置(1〜3;20〜23)に割当てられ、前記データバス分離スイッチ(5)は評価信号の機能として前記データバス(4)の接続又は切断を行い、その結果、前記データバス通信が起動又は停止される制御装置のアレイにおいて、
    これらのデータバス分離スイッチ(5)のそれぞれが、少なくとも1つの別の冗長制御装置(1〜3;20〜23)の信号線に接続され、
    別の冗長制御装置(2、3;21;23)が評価信号を第1の冗長制御装置(1;20;22)に割当てられる前記データバス分離スイッチ(5)に送信し、前記評価信号が前記第1の冗長制御装置(1;20;22)に関する前記別の冗長制御装置(2,3;21;23)の機能検査の結果であり、
    前記第1の冗長制御装置(1;20;22)の前記データバス分離スイッチ(5)が論理回路の結果により前記データバス(4)を切断し、前記論理回路の少なくとも1つの入力信号が前記少なくとも1つの評価信号によって形成されることを特徴とする制御装置のアレイ。
  2. 制御機能に関して冗長構成である前記制御装置(1〜3;20〜23)が、前記制御機能の結果信号を交換するために、第2のデータバス(60〜62)によって接続されることを特徴とする請求項1に記載の制御装置のアレイ。
  3. 前記制御機能の結果信号が、予め定義可能な制御装置(A)によって、制御機能に関して冗長構成である前記制御装置(1〜3;20〜23)から前記第1のデータバス(4)に送信されることを特徴とする請求項1あるいは2に記載の制御装置のアレイ。
  4. 1つの予め定義可能な制御装置(A)が、制御機能に関して冗長構成である前記制御装置(1〜3;20〜23)における変数によって定義可能であることを特徴とする請求項3に記載の制御装置のアレイ。
  5. 前記変数が、制御機能に関して冗長構成である制御装置のための交換品を形成する前記制御装置(1〜3;20〜23)から1つの制御装置(A)の交換の順序をマッピングすることを特徴とする請求項4に記載の制御装置のアレイ。
  6. 制御機能に関して冗長構成である前記制御装置(1〜3;20〜23)が、ゲートウェイ機能を有し、その結果、データバス(4;60〜62)が切断されるとき、データの交換が、ゲートウェイ機能性によって前記別のデータバス(60〜62;4)によって維持されることを特徴とする請求項2〜5のいずれか一項に記載の制御装置のアレイ。
  7. 前記データバス分離スイッチ(5)が、少なくとも1つの別の制御装置(2、3;21;23)の前記評価信号用の少なくとも1つの入力ポート(13、14)を有し、
    前記データバス(4)の接続部が論理回路によって制御方式で切り替え可能であり、
    前記論理回路の結果により、前記第1のデータバス(4)と前記割当てられた制御装置(1;20;22)の通信とを切断するために、少なくとも1つの評価信号が前記論理回路の入力信号を形成することを特徴とする請求項1〜6のいずれか一項に記載の制御装置のアレイ。
  8. 前記データバス分離スイッチ(5)が、信号線によって前記割当てられた制御装置(1;20;22)の電圧供給部(8)に接続される出力ポート(19)を有し、
    制御信号が、前記論理回路の結果により前記信号線によって送信され、割当てられた制御装置(1;20;22)を前記電圧供給部(8)から切断することを特徴とする請求項7に記載の制御装置のアレイ。
  9. 前記切り替え可能な接続部が、 リレースイッチ又は 論理モジュールとして具体化されることを特徴とする請求項7あるいは8に記載の制御装置のアレイ。
  10. データバス(4、60〜62)用の切り替え可能な電気接続部を有し、
    前記データバス(4、60〜62)が、トランシーバ構成単位に割当てられる制御装置(1〜3、20〜22)の前記トランシーバ構成単位によって、前記データバス分離スイッチ(5)のデータバス接続部(15、17)に接続される、データバス分離スイッチ(5)であって、
    前記データバス分離スイッチ(5)が、少なくとも1つの別の制御装置(2、3;21;23)の前記評価信号用の少なくとも1つの入力ポート(13、14)を有し、
    信号線によって割当てられた制御装置(1;20;22)の電圧供給部(8)に接続される出力ポート(19)を有し、
    前記接続部が、論理回路によって切り替え可能であり、
    前記論理回路の結果により、
    前記データバス(4、60〜62)と前記制御装置(1;20;22)の前記通信を切断するため、及び
    前記信号線によって、前記電圧供給部(8)から前記制御装置(1;20;22)を切断する制御信号を送信するために、
    少なくとも1つの評価信号が、前記論理回路の入力信号を形成することを特徴とするデータバス分離スイッチ(5)。
  11. 前記切り替え可能な接続部が、 リレースイッチ又は 論理モジュールとして具体化されることを特徴とする請求項10に記載のデータバス分離スイッチ。
JP2004538854A 2002-09-20 2003-08-30 冗長構成の車両用制御装置 Expired - Fee Related JP3965410B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10243713A DE10243713B4 (de) 2002-09-20 2002-09-20 Redundante Steuergeräteanordnung
PCT/EP2003/009642 WO2004029737A1 (de) 2002-09-20 2003-08-30 Redundante steuergeräteanordnung

Publications (2)

Publication Number Publication Date
JP2005521182A true JP2005521182A (ja) 2005-07-14
JP3965410B2 JP3965410B2 (ja) 2007-08-29

Family

ID=31969318

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004538854A Expired - Fee Related JP3965410B2 (ja) 2002-09-20 2003-08-30 冗長構成の車両用制御装置

Country Status (5)

Country Link
US (1) US7483778B2 (ja)
EP (1) EP1540428B1 (ja)
JP (1) JP3965410B2 (ja)
DE (2) DE10243713B4 (ja)
WO (1) WO2004029737A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013103714A (ja) * 2011-11-16 2013-05-30 Nabtesco Corp 航空機制御装置及び航空機制御システム
WO2018154860A1 (ja) * 2017-02-23 2018-08-30 本田技研工業株式会社 車両用制御システム
CN110116752A (zh) * 2018-02-05 2019-08-13 株式会社万都 基于冗余结构控制车辆的装置和方法
US11285943B2 (en) 2017-02-23 2022-03-29 Honda Motor Co., Ltd Vehicle control system and control method
US11472428B2 (en) 2017-02-23 2022-10-18 Honda Motor Co., Ltd. Vehicle control system and control method

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10259546A1 (de) * 2002-12-19 2004-07-01 Robert Bosch Gmbh Vorrichtung zur drahtlosen Übertragung eines Auslösesignals
WO2005110829A1 (en) * 2004-05-13 2005-11-24 Haldex Brake Products Ab Control and power supply network for vehicle braking system
JP5013668B2 (ja) * 2004-11-19 2012-08-29 株式会社デンソー 車両用制御システム
DE102005034161B3 (de) 2005-07-21 2006-10-12 Siemens Ag Elektronische Vorrichtung
EP1857935B1 (en) * 2006-05-16 2013-10-23 Saab Ab Fault tolerant data bus node in a distributed system
KR100871857B1 (ko) * 2007-06-11 2008-12-03 성균관대학교산학협력단 차량 내부의 네트워크 시스템 및 그 제어방법
DE102007033885A1 (de) * 2007-07-20 2009-01-22 Siemens Ag Verfahren zur transparenten Replikation einer Softwarekomponente eines Softwaresystems
DE102007046706A1 (de) * 2007-09-28 2009-04-16 Autoliv Development Ab Steuervorrichtung für Fahrzeuge
US7941253B1 (en) * 2007-11-27 2011-05-10 Brunswick Corporation Marine propulsion drive-by-wire control system with shared isolated bus
US8213706B2 (en) * 2008-04-22 2012-07-03 Honeywell International Inc. Method and system for real-time visual odometry
US8130773B2 (en) * 2008-06-25 2012-03-06 Honeywell International Inc. Hybrid topology ethernet architecture
FR2934693B1 (fr) * 2008-07-30 2011-03-25 Airbus France Systeme aeronautique embarque a reconfiguration dynamique, procede associe et aeronef embarquant un tel systeme.
US8149554B2 (en) * 2008-11-18 2012-04-03 Rockwell Automation Technologies, Inc. Apparatus for fault tolerant digital inputs
US8441766B2 (en) * 2008-11-18 2013-05-14 Rockwell Automation Technologies, Inc. Apparatus for fault tolerant digital outputs
DE102008060984A1 (de) * 2008-12-06 2010-06-10 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Verfahren zum Schutz vor Außeneingriffen in ein Master/Slave-Bussystem und Master/Slave-Bussystem
DE102009005266A1 (de) 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen
FR2943037B1 (fr) * 2009-03-11 2012-09-21 Airbus France Systeme de commande d'aeronef a architecture modulaire integre.
US8156371B2 (en) * 2009-06-16 2012-04-10 Honeywell International Inc. Clock and reset synchronization of high-integrity lockstep self-checking pairs
DE102011082969B4 (de) 2011-09-19 2015-04-30 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung
DE102012209108B4 (de) * 2012-05-30 2014-05-15 Siemens Aktiengesellschaft Netzwerkeinrichtung, Netzwerkanordnung und Verfahren zum Betreiben einer Netzwerkanordnung
DE102012106652A1 (de) * 2012-07-23 2014-01-23 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
US9266518B2 (en) * 2013-11-08 2016-02-23 GM Global Technology Operations LLC Component control system for a vehicle
KR101704787B1 (ko) * 2014-12-31 2017-02-22 주식회사 효성 제어기의 이중화 시스템
DE102015201278B4 (de) * 2015-01-26 2016-09-29 Continental Automotive Gmbh Steuersystem
WO2016155763A1 (en) * 2015-03-30 2016-10-06 Volvo Truck Corporation Method and arrangement for providing redundancy in a vehicle electrical control system
CN108025687B (zh) * 2015-09-29 2021-12-21 日立安斯泰莫株式会社 监视***及车辆用控制装置
DE102015218898A1 (de) * 2015-09-30 2017-03-30 Robert Bosch Gmbh Verfahren zur redundanten Verarbeitung von Daten
DE102016015616B4 (de) * 2016-12-28 2021-12-30 Bachmann Gmbh Modul-System mit Busanbindung und Direkt-Drahtverbindung
US10394241B2 (en) * 2017-06-15 2019-08-27 GM Global Technology Operations LLC Multi-stage voting control
US10647329B2 (en) 2017-12-12 2020-05-12 Uatc, Llc Disengaging autonomous control of vehicle
KR102482143B1 (ko) * 2018-01-30 2022-12-29 에이치엘만도 주식회사 Ecu 및 ecu 동작 방법
EP3761568B1 (en) * 2019-07-01 2023-05-31 Volvo Car Corporation Method of controlling communication over a local interconnect network bus
CN112735310B (zh) * 2020-12-22 2022-08-02 北京市轨道交通运营管理有限公司 一种顶棚导向显示板的测试***及高精度测试方法
DE102021112121A1 (de) 2021-05-10 2022-11-10 Schaeffler Technologies AG & Co. KG Verfahren zur Datenübertragung innerhalb eines Fahrzeugkontrollsystems, Kontrollsystem und Kraftfahrzeug
EP4116620A1 (de) * 2021-07-09 2023-01-11 Leuze electronic GmbH + Co. KG Überwachungseinrichtung und verfahren zum betrieb einer überwachungseinrichtung
EP4187858A1 (de) 2021-11-29 2023-05-31 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH Eine sekundärsteuereinheit für ein fahrzeug mit einer primärsteuereinheit und einem datenübertragungsweg
DE102022129939A1 (de) * 2022-11-11 2024-05-16 Daimler Truck AG Redundante Prozessorarchitektur für sicherheitskritische Anwendungen

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4621327A (en) * 1984-06-13 1986-11-04 Nartron Corporation Electronic power steering method and apparatus
US4622667A (en) * 1984-11-27 1986-11-11 Sperry Corporation Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
DE3638947C2 (de) * 1986-11-14 1995-08-31 Bosch Gmbh Robert Verfahren zur Synchronisation von Rechnern eines Mehrrechnersystems und Mehrrechnersystem
DE4122016A1 (de) * 1991-07-03 1993-01-21 Hella Kg Hueck & Co Antiblockierregelsystem
US5493497A (en) * 1992-06-03 1996-02-20 The Boeing Company Multiaxis redundant fly-by-wire primary flight control system
ES2108875T3 (es) * 1992-06-12 1998-01-01 Dow Chemical Co Interfaz sigilosa para ordenadores de control de procesos.
JPH06348524A (ja) 1993-06-10 1994-12-22 Hitachi Ltd 多重化制御装置
US5515282A (en) * 1994-04-25 1996-05-07 The Boeing Company Method and apparatus for implementing a databus voter to select flight command signals from one of several redundant asynchronous digital primary flight computers
DE4439060A1 (de) 1994-11-02 1996-05-09 Teves Gmbh Alfred Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem
DE19612423A1 (de) * 1996-03-28 1997-10-02 Siemens Ag Steuer- und Sicherheitssystem für Krananlagen
DE19631309A1 (de) * 1996-08-02 1998-02-05 Teves Gmbh Alfred Mikroprozessoranordnung für ein Fahrzeug-Regelungssystem
DE19915253A1 (de) * 1999-04-03 2000-10-05 Bosch Gmbh Robert Verfahren und Vorrichtung zum Betreiben eines verteilten Steuersystems in einem Fahrzeug
DE19944939C1 (de) * 1999-09-20 2001-08-30 Mannesmann Vdo Ag Steuergerät für ein Kraftfahrzeug
DE19947251A1 (de) * 1999-09-30 2001-05-31 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Prozessen in Verbindung mit einem Antrieb
DE10002519C1 (de) * 2000-01-21 2001-04-05 Siemens Ag Verfahren zur Verhinderung von Fehlfunktionen in einem signalverarbeitenden System und Prozessorsystem
DE10162689A1 (de) * 2001-01-12 2002-07-18 Daimler Chrysler Ag Vorrichtung zur Überwachung von in einem Fahrzeug angeordneten Sensormitteln

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013103714A (ja) * 2011-11-16 2013-05-30 Nabtesco Corp 航空機制御装置及び航空機制御システム
WO2018154860A1 (ja) * 2017-02-23 2018-08-30 本田技研工業株式会社 車両用制御システム
US11203350B2 (en) 2017-02-23 2021-12-21 Honda Motor Co., Ltd. Vehicle control system
US11285943B2 (en) 2017-02-23 2022-03-29 Honda Motor Co., Ltd Vehicle control system and control method
US11472428B2 (en) 2017-02-23 2022-10-18 Honda Motor Co., Ltd. Vehicle control system and control method
CN110116752A (zh) * 2018-02-05 2019-08-13 株式会社万都 基于冗余结构控制车辆的装置和方法
KR20190094531A (ko) * 2018-02-05 2019-08-14 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
KR102111295B1 (ko) * 2018-02-05 2020-05-15 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
US11190957B2 (en) 2018-02-05 2021-11-30 Mando Corporation Apparatus and method for controlling vehicle based on redundant architecture

Also Published As

Publication number Publication date
JP3965410B2 (ja) 2007-08-29
DE10243713A1 (de) 2004-04-01
EP1540428A1 (de) 2005-06-15
DE10243713B4 (de) 2006-10-05
US7483778B2 (en) 2009-01-27
US20060116803A1 (en) 2006-06-01
EP1540428B1 (de) 2006-10-04
WO2004029737A1 (de) 2004-04-08
DE50305291D1 (de) 2006-11-16

Similar Documents

Publication Publication Date Title
JP3965410B2 (ja) 冗長構成の車両用制御装置
EP3278185B1 (en) Method and arrangement for providing redundancy in a vehicle electrical control system
US7474015B2 (en) Method and supply line structure for transmitting data between electrical automotive components
CN111634330A (zh) 一种线控转向***、控制方法和存储介质
JP5726382B2 (ja) 通信ネットワークの動作方法及びネットワークシステム
US11155341B2 (en) Redundant fly-by-wire systems with fault resiliency
KR102533939B1 (ko) 차량 제어 시스템
JP7271678B2 (ja) 車両用の制御アーキテクチャ
US20040011579A1 (en) Method for actuating a component of distributed security system
JP2018067312A (ja) 自動化された車両用のデータを処理するための方法
EP3790233B1 (en) In-vehicle network system
US20090210171A1 (en) Monitoring device and monitoring method for a sensor, and sensor
JP7180000B2 (ja) 車両用制御アーキテクチャ
US20030184158A1 (en) Method for operating a distributed safety-relevant system
US11242065B2 (en) Device and method for controlling a signal connection of a vehicle
CN112449321A (zh) 车载网络***
EP1359057B1 (en) Vehicle data transmission system with link redundancy
KR20200110956A (ko) 차량의 이중화 시스템과, 그 전원 공급 장치 및 방법
EP1282273B1 (en) A system for the controlled exclusion of branches of a serial communication network in an electronic control system for onboard devices of motor vehicles
EP4099641A1 (en) Transceiver device
KR100974404B1 (ko) 이중화 구조를 갖는 can용 ieee 1451 기반 스마트 모듈
US20230331207A1 (en) Vehicle's brake system and a method for braking a vehicle
GB2357594A (en) Fault tolerant suspension system and fault tolerant steering system

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060825

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20061124

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20061201

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070511

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070528

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100601

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100601

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110601

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees