JP2008505012A - 冗長データバスシステム - Google Patents
冗長データバスシステム Download PDFInfo
- Publication number
- JP2008505012A JP2008505012A JP2007519625A JP2007519625A JP2008505012A JP 2008505012 A JP2008505012 A JP 2008505012A JP 2007519625 A JP2007519625 A JP 2007519625A JP 2007519625 A JP2007519625 A JP 2007519625A JP 2008505012 A JP2008505012 A JP 2008505012A
- Authority
- JP
- Japan
- Prior art keywords
- control
- data bus
- control device
- data
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
- 230000005540 biological transmission Effects 0.000 abstract description 11
- 230000002265 prevention Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 34
- 238000004364 calculation method Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000013523 data management Methods 0.000 description 3
- 230000004927 fusion Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
- H04L12/40195—Flexible bus arrangements involving redundancy by using a plurality of nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
- H04L12/40189—Flexible bus arrangements involving redundancy by using a plurality of bus systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40241—Flexray
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40247—LON
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/4028—Bus for use in transportation systems the transportation system being an aircraft
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
- Small-Scale Networks (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
Abstract
少なくとも2台のエラー防止制御装置(26〜32)が間に接続された2つのデータバス(B1、B2)を備える冗長データバスシステムが開示されている。2つのデータバス(B1、B2)は同一のデータバスプロトコル(FlexRay、CAN)で、実質的に同じ伝送周波数にて動作する。安全性に関連する制御メッセージは、両方のデータバス(B1、B2)を介して並列に伝送され、制御装置(26〜32)内で処理される。各々の制御装置(26〜32)は、割り当てられた制御ソフトウェアによって実行される制御タスクを個別に有する。各々の制御装置(26〜32)には、独立して動作し、第1の制御タスク及び第2の制御タスクの両方の制御ソフトウェアを有する2台のマイクロコンピュータ(μR)が搭載されているため、一方の制御装置(23〜32)で障害が発生した場合はそのタスクを他方の制御装置が引き継ぐことが可能である。この制御装置には、2台のマイクロコンピュータ(μR)の間に1つの各データインターフェース(34)が配置され、このインターフェースを介して、安全性に関連する制御メッセージに基づいて算出された結果データが相互に交換及び比較される。さらに、結果データの比較に基づいて制御タスクをどのマイクロコンピュータ(μR)又はどの制御装置(26〜32)で実行するかを決定する決定手段(33)が設けられる。
Description
本発明は、2つのデータバスを有しデータバスの間に少なくとも2台のフェールセーフ制御装置が接続された冗長データバスシステムに関する。この2つのデータバスは、同じデータバスプロトコル(例えば、同期式のCAN又はFlexRayプロトコル)を使用し、実質的に同じ伝送周波数にて動作する。安全性に関連する制御メッセージは、両方のデータバスを介して並列に伝送され、制御装置内で処理される。各々の制御装置は、割り当てられた制御ソフトウェアによって処理される個々の制御タスクを実行する。
自動車又は航空機で安全性を確保する上で不可欠な用途において、冗長データバスシステムが一般に知られている。このようなデータバスシステムは、非特許文献1に開示される。FlexRayデータバスは、ステアリング、ブレーキ、又は安全システムを電気的に作動させるために開発されたものである。安全性の面から、最も重要なシステムは二重に設けられ、両方のチャネル(つまり、2つの独立したFlexRayデータバスチャネル)に接続される必要がある。安全性がそれほど不可欠でないセンサ又はアクチュエータは、1つのデータバスチャネルにしか接続されていない制御装置に接続してもかまわない。FlexRayデータバスシステムは、同じデータバスプロトコルを使用してメッセージを伝送する2本の独立したデータバスラインを有している。安全性が不可欠な制御装置は両方のデータバスに接続されるので、2つのメッセージストリームを評価し、場合によっては比較することも可能である。制御装置に対して異なるデータバスによってそれぞれ受信されたメッセージが異なる場合、障害を検出することができる。ただし、そのような障害検出方法の情報について詳細には記載されていない。
特許文献1も同様に冗長データバスシステムについて説明しており、この文献で示す各々の制御装置はデータバスシステムの2つのデータバスチャネルに同時に接続される。接続された制御装置が機能を発揮できるように、各々の制御装置のメッセージにはメンバーシップフィールドが含まれており、障害が発生した場合には、その制御装置で障害が発生したことを示す情報が他の制御装置のためにメンバーシップフィールドに格納される。
本発明の目的は、いずれかの制御装置で障害が発生してもデータバスシステムがその機能を維持できるように、データバスシステム内の決定構成を開発することにある。
この目的は、独立請求項1の特徴によって達成される。請求項1によれば、各々の制御装置には、互いに独立して作動すると共に第1の制御タスク及び第2の制御タスクの両方に対して制御ソフトウェアを有する2台のマイクロコンピュータが搭載されており、一方の制御装置で障害が発生しても他方の制御装置でその制御タスクは実行される。制御装置内には、2台のマイクロコンピュータ間にデータインターフェースが配置されており、このデータインターフェースを介して、安全性に関連する制御メッセージに基づいて算出された結果データ項目が相互に交換及び比較される。決定手段が設けられ、その手段が結果データ項目を比較することによって制御タスクをどのマイクロコンピュータ又はどの制御装置で実行するかを決定する。
本発明によれば、データバスシステムには、制御装置(例えば、エンジン、トランスミッション、及びステアリングシステムを作動させるためのもの等)が接続される。制御データがデータバスシステムを介して電子メッセージの形式で伝送されると、アクチュエータ(例えば、電気モータ)が実際に車輪を操舵させる。データバスシステムには1つのデータバスにしか接続されていない制御装置が接続される共に、デュアルコンピュータと称される、データバスシステムの両方のデータバスに接続される制御装置が接続される。この意味では、1つのデータバスは公知のLIN、CAN、又はFlexRayデータバスである。ここで、例えばCANの場合、各々のデータバスはいずれの場合も通常2本のデータバスラインを持つことができる。データバスシステムの2つのデータバスでは、同期式の通信プロトコルを使用するのが好ましい。そうすれば、個々のメッセージにタイムスロットが提供され、各々のタイムスロットが1台の制御装置、又は1個のアクチュエータ若しくはセンサに割り当てられる。これにより、各々の制御装置について伝送時間が周期的に繰り返される場合、所定のメッセージが発生しなければ、制御装置で障害が発生したことを確実に検出できる。同期式のデータバスプロトコルではまた、イベント制御メッセージの伝送も可能な1つ以上のタイムスロット(つまり、ここでは周期的に繰り返さないメッセージが伝送される)も提供され得る。
データバスシステムは、冗長設計である。このために、同じ通信プロトコルで作動する同一タイプの2つのデータバスが提供される。メッセージは、同じ頻度で、対応するタイムスロットシーケンスにより提供される。例えば、メッセージプロトコルは、イベント制御メッセージのタイムスロットと、データバスの1つにしか接続されていない制御装置のタイムスロットにしか違いがない。安全性に関連するタスクを伴うセンサ、アクチュエータ、及び制御装置は、デュプレックスとして二重に構成され(つまり、本来、同じハードウェアモジュールを有する)。二重に具現化される安全構成要素には、2つのデータバスを介して受信された対応するメッセージが、デュプレックスハードウェアモジュールの各々で個別に計算され、その結果が比較されるという利点がある。計算結果が一致すれば、データバスシステムは順調に機能していると見なすことができる。2つの計算結果が異なる場合、データバスシステムは所定の障害ルーチンに従って計算を実行する。障害が発生した場合は、二重に具現化された別のデュプレックス制御装置でタスクが実行される。或いは、安全性がそれほど不可欠でないエラーの場合は、信頼性の確認が予め行われている限りにおいて、デュプレックス制御装置に搭載された2台のマイクロコンピュータの一方だけでタスクを実行することもできる。
二重に具現化される制御装置は、制御が必要なアクチュエータへ直に接続されるか、データバスを介して接続される。このため、制御装置は様々な機能レベルを想定することができる。これには、マンマシンインターフェースを介して対話する入力レベル(コマンドレベル)用の機能も含まれる(例えば、データバスに接続されたラップトップを介して新規の制御コマンドを入力する)。別の機能レベルでは、マンマシンインターフェースを介した通信アクセスを別途行わない組込み型システムとして制御装置が作動し、制御情報だけがデータバスを介して制御装置に伝送される。二重に具現化される制御装置は、データバスシステムを介して、エンジンシステム、トランスミッションシステム、又はステアリングシステム等の安全性に関連する各々の駆動アセンブリに接続される。
二重に具現化される制御装置のソフトウェアアーキテクチャでは、明確に定義されたインターフェースによって制御機能と通信機能が分離される。コマンドレベルでは、入力ユニット用の運転者制御機能が利用される。これらには、運転者の監視、運転者への通知、運転者への警告、個々のシステム機能への有効な介入等のコマンドが含まれる。支援システムは、制御装置用に周囲の状況の表示を行うためにデータの受信を行う。このため、支援システムは、第一に単独構成のセンサを備え、さもなければ二重に具現化され、よりフェールセーフなセンサを備える。二重に具現化される制御装置は、周囲の状況の表示(つまり、走行データ、道路データ、及び運転者による入力データ)に基づいて、現在有効な出力範囲内でのドライブトレインの反応を算出する。
本発明の1つの有利な実施態様では、制御タスクが正常なシーケンスで実行されていれば、制御タスクのために作動され、それを実行するマスタ制御装置が提供される。障害が発生した場合に決定手段により他の制御装置へ制御タスクが移される。データバスシステムは、制御タスク用に互いに独立した2台の制御装置を備え、各々の制御装置が、互いに独立して作動する2台のマイクロコンピュータを搭載している。4台のマイクロコンピュータの各メインメモリには、第1の安全性に関連する制御タスク及び第2の安全性に関連する制御タスクに必要なソフトウェアが含まれている。一方の制御装置で障害が発生した場合、制御タスクは他方の制御装置により実行されることが可能である。各々の制御装置内では、2台のマイクロコンピュータは互いを接続するデータインターフェースを備えており、安全性に関連する制御メッセージから算出された結果データ項目は、このデータインターフェースによって互いに交換及び比較されることが可能である。この結果データの比較に基づいて、決定手段はどのマイクロコンピュータ、又はどの制御装置で制御タスクを実行するかを決定する。
データバスシステムは、このように幾重にも冗長化される。制御タスクに対して、必要な制御ソフトウェアがマスタ制御装置及び従属制御装置に常に提供される。データバスシステムが正しく動作している場合、例えば、マスタはエンジンの制御タスクを実行する。エンジンセンサからのメッセージ及びデータは、そのために提供されるタイムスロットにより2つのデータバスを介してマスタ制御装置に伝送される。マスタ制御装置内の2台のマイクロコンピュータの各々で制御データ項目が別々に計算される。結果データが同じである場合は、エンジン制御装置の正常な動作が検出され、マイクロコンピュータの一方又は両方で新しい制御信号を算出して、それらの信号がエンジン内のアクチュエータ(例えば、点火手段、噴射手段等)に2つのデータバスを介して返送される。一方、マスタ制御装置内で算出された2つの結果データ項目が異なる場合は、決定手段がエンジンに対する制御タスクの計算を、データバス又は独立したデータラインを介して、従属制御装置に割り当てる。このため、従属制御装置は制御データの計算を遅延なく開始できるよう、エンジンの制御データをデータバス上で予め受信し、格納してある。これにより、輸送手段において安全性が不可欠な用途では、障害が発生しても遅延なくデータバスシステム上で制御及び通信が実行されることが可能である。結果として、データバスシステムは、エンジンシステム、トランスミッションシステム、又は電動ステアリングシステム等の規定された制御タスクに関してフェールセーフとなる。
安全性が不可欠であり二重に具現化される制御装置として、車両全体のシステムプロパティを随時把握することによる中央データ管理システムがある。このシステムは決定手段内に格納された特殊な冗長管理システムによりサポートされる。したがって、中央データ管理機能により、制御装置は容易に構成及び維持されることが可能である。データバスシステムに関する安全性の照会は、二重に構成された制御装置の一方で実行され、この情報を基に信頼性に関する計算の実行が可能である。したがって、障害が発生した制御装置、及び障害復旧を実行するために従属制御装置のうちの1台への切替えが行われた制御装置は随時把握される。
二重に具現化される制御装置では、適切なウェークアップ信号を用いた制御方法により、接続されるサブシステムを起動及び停止させることができる。このシステムは、マスタのサブシステム(つまり、センサ、アクチュエータ、従属制御装置)の一部又は全てと一緒に永続的に動作し、それらのシステムの状態を検出することができる。これにより、データバスシステムでの障害を検出し、それに応じて障害を克服することが可能である。障害発生時には、ウェークアップ信号が決定手段を介して、割り当てられているセンサ、アクチュエータ、又は従属制御装置に伝送され、障害のあるサブシステムから別のサブシステムへの切替えを可能にする。センサは、制御タスクごとに、及びマスタ制御装置のマイクロコンピュータごとにデータバスの1つにそれぞれ接続されることが好ましい。二重に具現化すると、安全性が不可欠なセンサの機能をより正確に検査することができるようになる。障害が発生した場合は、信頼性の範囲内でデータを提供しているセンサに切り替えることが可能である。どのセンサが正しく機能しているかを判定することができない場合は、適宜、追加のセンサを備えた従属制御装置に切り替えることが可能である。したがって、短時間内に新しく別の計算を実行できるので、安全性が不可欠な用途でのシステム障害を回避することができる。
本発明の一実施態様において、冗長データバスシステムで互いに独立した特定のデータバスを2つ備えることができる。この場合も、各々のデータバスは、独立した2本のバスライン、及びそのバスラインにおいてタイムトリガ方式で動作するデータバスプロトコルを有する。このため、近頃の輸送手段にすでに組み込まれているデータバスを使用することが可能である。例えば、2線式CANデータバス又は2線式FlexRayデータバスは、次のように輸送手段に組み込まれる。第1のデータバスが輸送手段の左側に組み込まれ、2本のデータラインを有する第2のデータバスが輸送手段の右側に組み込まれる。これに対して、一方のデータバスを車両のインナールーフライニング部近傍に組み込み、もう一方のデータバスをフロアグループ部近傍に組み込むことにより、冗長データバスシステムとして構成することも可能である。
各々のマイクロコンピュータは、安全性に関連する全ての制御タスクの全情報が各々の制御装置に与えられるように、安全性に関連する全ての制御タスクに対する制御ソフトウェアを備えることが好ましい。これによって、障害が発生した場合に、各々の制御装置が、いずれの制御タスクについても個々のマスタ制御装置の代替として機能することもできる。輸送手段の構成時に、特定の制御装置によって置き換え可能な、安全性に関連する機能が決定される。このように、安全性に関連する制御装置には、アプリケーションソフトウェアとして同一のソフトウェアシステムが組み込まれる。
二重に具現化される制御装置上のソフトウェアは、少なくともドライブトレインに対してフォールトトレラントなソフトウェアとしてプログラミングされ、モータアセンブリ及びトランスミッションアセンブリの機能の制御及び/又は調整を行う。制御装置は各種センサからデータを収集し、それを統合して均一なデータレコードを形成できる。このデータレコードについては、フォーマットが最初から予め定義されている。このように、データバスシステム内のデータは収集され、常時最新の状態に維持される。このデータレコードに基づいて、制御装置はシステム内で障害が発生しているかどうか、又は安全性が不可欠なタスクの実行中に制御装置、センサ、及びアクチュエータが正常に動作しているかどうかを検出することができる。
データレコードは、各種センサからのデータについてデータ融合が実行されるように構成される。これを行うために、支援システム(例えば、カメラセンサ、レーダセンサ、及びGPSセンサ)にてデータ融合が実行可能である。又は、各種入力インターフェースからのデータがデータレコードに格納される(つまり、アクセルペダル入力、ブレーキ入力、及び操舵入力からのデータが記憶される)。制御装置用のデータ管理システムは、個々の構成要素を互いに調整する機能を実行する。例えば、制動機能、操舵機能、及びエンジン機能が互いに照合され、障害について検査される。また、データレコードにより、ほぼリアルタイム状態の包括的なデータ可用性でエネルギー管理システムを実行することも可能である。このように、車両全体でエネルギー資源が把握されているので、例えばハイブリッド駆動の場合、電気モータのシステムと従来の火花点火エンジンのシステムとを容易に切り替えることが可能である。データレコードは、メッセージとしてデータバスシステムを介して、安全性が不可欠でありその目的で提供された全ての制御装置に伝送されることが可能であるので、各々の制御装置が各種の制御タスクの最新の状態を瞬時的に把握することができる。
本発明の記載を有利に構成及び発展させる様々な方法が考えられる。この点については、従属請求項及び以下の実施形態の説明を参照されたい。本発明に係るデータサブシステムの実施形態を以下の図面に示す。
データバスシステムは、第1のデータバスB1と第2のデータバスB2を設けることにより、冗長方式で具現化される。2つのデータバスB1及びB2の例として、同一又は類似の伝送周波数で動作し、同一のメッセージプロトコルを有するFlexRayデータバスが挙げられる。この場合、安全性に関連する構成要素に割り当てられるタイムスロットは、バスアーキテクチャに応じて変更可能である。各々のデータバスB1及びB2は、それぞれ、さらにデータバスラインを2本ずつ有しており、データバスB1はデータバスライン1、2を有し、データバスB2はデータバスライン3、4を有する。2つのデータバスB1及びB2には、センサ、アクチュエータ、制御装置等の各種の構成要素が接続される。車両(例えば、自動車又は商用車)の機能が安全性に不可欠かどうかに応じて、構成要素はデータバスB1又はB2の一方だけに配置されたり、または2つのデータバスB1及びB2からメッセージを受信し比較できるようにデータバスB1とB2との間に配置されたりする。
電子制御装置5は、車両内の運転者制御要素及び表示要素を制御するマンマシンインターフェースとして、データバスB1に接続されている。例えば、コンビネーションディスプレイの場合、運転手制御ユニットに対するメッセージ及び表示部に対するメッセージは、B1を介して伝送又は受信可能である。このために、制御装置5はデータバスメッセージを伝送及び受信するためのトランシーバを備えている。更なる制御装置6は、別の運転者制御/表示ユニットの制御及びデータバスB2を介したメッセージの伝送を行うものであり、データバスB2に接続されている。データバスB1及びB2は、制御装置5と制御装置6に対して別々のタイムスロットが提供され、2つのデータバスB1及びB2におけるデータバスプロトコルが同じになるように設計されることが可能である。この場合、制御装置5のメッセージは、そのために提供されているデータバスB1のタイムスロットで伝送されるが、データバスB2のこのタイムスロットでの伝送は、データバス2に制御装置5は接続されていないという理由で行われない。これと対照的に、制御装置6からのメッセージは、そのために提供されているタイムスロットでデータバスB2に伝送されるが、データバスB1のタイムスロットは解放されたままである。しかし、一方で、データバスプロトコルをバスユーザに正確に適合させ、2つのデータバスシステムB1とB2においてタイムスロットのシーケンス及び割り当てられる構成要素が異なるようにすることもできる。
車両のヨーレートを測定するセンサ7及び8はそれぞれ、データバスB1又はB2のいずれか1つと接続し、測定されたセンサ値を対応するデータバスB1又はB2に適用する。ESPセンサ9及び10は、車両で測定された特定の変数値を記憶し、接続されているデータバスB1又はB2を介してそれぞれ読み込まれる。これにより、読み込まれたセンサ値は更なる処理を行うために制御装置で利用できるようになる。このように、センサ値はデータバスにて容易に診断及び読み出しが可能である。カメラシステム11はデータバスB1に接続されており、記録内容を提供する他、車両の周囲の状況からすでに割り当てられている対象物のタイプ又は対象物のリストを提供する。画像又はデータ項目はデータ融合のために必要であり、例えば、レーダセンサ13又はレーザレーダセンサ14からのデータと一緒に比較、検査、又は処理される。カメラ11、12の支援システムは、歩行者又は車両を検出して事故を防止するために、各種のソフトウェア機能に接続されている。このようなセンサ13、14及び構成要素11、12は、支援システムとして運転者をサポートするものであるので、安全性が不可欠な用途とみなされない。したがって、単一のデータバスB1又はB2を介してデータを伝送するだけで十分である。センサシステム13、14で障害が発生すると、車両内で警告ランプが点灯して構成要素の故障を知らせる。車両全体の障害又はデータバスシステム全体の障害に対する規定は存在しないので、ここで冗長構成又は大規模なフォールトトレランスは必要ない。当然ながら、それぞれの構成要素自体においてソフトウェアにより、障害の検出を実施することも可能である。
車両の場所を特定するために、GPS構成要素15及び16が、データバスB1及びB2にそれぞれ接続されている。データバスB1及びB2では、利用できるソフトウェアによって、車両の現在の周囲の形状モデルをモデル化して車両の正確な位置を示すことができる。GPS構成要素15及び16の結果データはメッセージとしてデータバスB1、B2上に格納されるので、この結果データを制御装置がそれぞれの機能のために使用することができる。
ブレーキ構成要素17、18、20は、ブレーキシリンダを作動させるため、又はブレーキ値を記憶するためにデータバスB1、B2にそれぞれ接続されている。構成要素17、18、20は、シンプレックス(単方向通信)構成要素として車輪上にそれぞれ配置され、エンジン又はブレーキ系の空圧構成要素又は油圧構成要素を作動させる。これらの構成要素17、18、20によって予め定義された特定の値に従って車両の制動動作に影響を与えることができる。ブレーキユニット17、18、20で障害が発生した場合は、センサ及びそれぞれ対応するデータバスB1又はB2によってその障害が検出され、本来のブレーキ構成要素17の代わりにその他の各ブレーキユニット(例えば、ブレーキ構成要素20)を使用することができる。このようなブレーキ構成要素17、18、20の作動及び停止は、割り当てられているブレーキ制御装置によって行われる。
最後に、構成要素19、21、22の形式でトレーラ内の構成要素を作動させるための制御装置も利用できる。これらの構成要素19、21、22は、トレーラ内のブレーキシステムもしくはエアサスペンションシステム、又は類似のユニットを制御する。これらのトランスミッションユニットの1台で障害が発生すると、センサ及び各々のデータバスB1又はB2でその障害が検出される。さらに、割り当てられている制御装置及びその決定手段33が障害を検出した後、別のトランスミッションユニットが機能を実行する。決定手段は、制御装置の構成要素であっても、又は個別の回路又はソフトウェアとして実現することも可能である。
センサ、アクチュエータ、又は比較的簡単な制御装置等の上記構成要素は、データバスB1若しくはB2の一方にのみ割り当てられフェールセーフである必要がないが、本発明に従い二重化方式によって具現化される構成要素、又は二重化方式によって具現化される制御装置の場合は、2つのデータバスB1及びB2と通信できるようにデータバスB1用のトランシーバと、データバスB2用の更なるトランシーバを備えることで、切り替えが行われる。
電気モータ23及び24はインテリジェントな制御機能を備え、二重化方式で実施される。例えば、電気モータ23は手動による運転者制御機能(例えば、車両を制御するサイドスティック)を有し、一方、電気モータ24は、ペダルボックスに接続して運転者の足による作動を制御したり、作動に影響を与えたり、又は作動を記憶する。エンジンユニット23、24の1つで障害が発生した場合、その障害が検出されると、別の電気モータで、直接、機能が実行される。図の例では、サイドスティック25は2つの電気モータ23及び24に接続されており、マスタ機能は電気モータ23により実行される。つまり、障害が発生していない場合、標準では電気モータ23によってサイドスティックが作動させられる。障害が発生し、電気モータ23及び24の制御ユニット内のデータバスB1及びデータバスB2で処理された値が一致しない場合は、電気モータ24がサイドスティック25と交信できるように、決定手段33が電気モータ23のタスクを電気モータ24に移す。この機能を使用して、サイドスティック25に対しては高度なフェールセーフが適用されている。障害が発生した場合、特定の状況下では、車両事故を招きかねないからである。電気モータ24によってマスタ機能が実行されるように、障害検出後は数ミリ秒以内に切換えを行うことが可能である。同時に、運転者が障害を除去できるように、運転者にも障害が通知される。
制御装置26〜29も同時に2つのデータバスB1及びB2に接続されている。制御装置26〜29は、車両における各種の機能を実行できる。例えば、乗員室内の構成要素の制御、エンジン構成要素の作動、ステアリングシステムの制御、或いは安全性が不可欠なその他の機能の実行などが可能である。これらの制御装置26〜29はそれぞれ2台のマイクロコンピュータを搭載している。2台のマイクロコンピュータの間にはインターフェースが存在する。このインターフェースで、第1のマイクロコンピュータμRに対してデータバスB1を介して受信されたメッセージ又はそのメッセージから算出されたデータと、第2のマイクロコンピュータμRに対してデータバスB2から生成された結果データ又はデータバスB2のメッセージに基づいて算出された結果データとが比較される。インターフェースには決定手段33が接続されている。決定手段33は、例えば、2台のマイクロコンピュータμRが順調に機能しているかどうかをチェックし、この2台のマイクロコンピュータのデータを比較するウォッチドッグとして実施されることが可能である。決定手段はまた、制御装置の構成要素であっても、回路又はソフトウェアとして別個に提供されることも可能である。障害が発生した場合、つまり、一方のマイクロコンピュータμRの計算済み結果データがもう一方のマイクロコンピュータμRの計算済み結果データと異なっている場合、決定手段33が障害を検出し、診断内容に応じて、例えば、制御装置(制御装置26)の機能を待機中の制御装置27に移す。これにより、制御装置26が故障状態にある間、制御タスクは待機中の制御装置27で実行可能となる。ただし、決定手段33は、タイムスロット内でメッセージが発生しない場合、又は同じデータバス上の連続するメッセージが異なる場合にも障害を検出する。その場合、制御装置は障害ルーチンに応じて、自身をオフに切り換えるか、別の構成要素のタスクを実行する。
ただし、信頼性の確認の後で制御装置26の2台のマイクロコンピュータμRの一方の結果データだけを再度使用するようにすること、及び値範囲の確認後にシステムがマイクロプロセッサμR又はそのセンサシステムに異常があると見なしてから所定の時間の結果データの比較を停止するようにすることも可能である。ステアリングシステム30を作動させるために、ここでも2台の電気モータ31及び32が提供されており、これらの電気モータは電気式、油圧式、又は空圧式によって輸送手段のステアリングリンク機構に係合することができる。それにより、車両の操舵動作が変更される。これらのステアリングユニットの1台で障害が発生した場合、センサによって障害が検出されると、制御装置31は待機中の制御装置32に制御機能を移す。ただし、必要に応じて、制御機能は他の制御装置26〜29のうちの1台に移されることも可能である。制御装置26〜29には、障害が発生した場合に制御装置26〜29も制御機能を実行できるように、最初から関連する全ての制御ソフトウェアが入力されている。
安全性に関連する制御装置、アクチュエータ、及びセンサ23〜32が2つのデータバスB1及びB2に接続されると、その結果として、2つのデータバスシステム上のメッセージおよびそこから算出された結果データが互いに各々の制御装置23〜32で比較される。本発明に係る概念では、制御装置内のマイクロコンピュータμRに対して実質的に同じハードウェア及び実質的に同じソフトウェアが2度提供される。このため、メッセージを基に結果が二重に(つまり冗長的に)算出される。したがって、障害が発生していない場合、それぞれデータバスB1又はB2のメッセージに基づいて算出される結果データ項目は同じになる。結果データが異なる場合、データバスシステム内で障害が発生していることが容易に検出される。この場合、決定手段33は、所定の障害処理ルーチンに従って、制御タスクを別の制御装置又は別のマイクロコンピュータμRに分散する。制御装置23〜32内には、計算タスクを個別に実行する2台のマイクロプロセッサμRを搭載することが好ましい。こうすることで、障害が発生していない場合に、算出されるデータが理論上同じ値をとるように保証することが可能である。その場合、マイクロプロセッサμRはまた、障害において重要でない他のタスクを引き続き実行することもできる。したがって、各制御装置23〜32のフェールセーフタスクだけでなく、両方のマイクロコンピュータμR上での比較を必要としない、その他の機能を実行することもできる。
Claims (6)
- 同じデータバスタイプ(FlexRay、CAN)の2つのデータバス(B1、B2)と、当該データバスによって接続される少なくとも2台のフェールセーフ構造の制御装置(26〜32)を有し、
安全性に関連する制御メッセージが両方のデータバス(B1、B2)を介して並列に伝送されて前記制御装置(26〜32)内で処理され、前記それぞれの制御装置(26〜32)が割り当てられた制御ソフトウェアによって個々の制御タスクを実行する、冗長データバスシステムにおいて、
各々の制御装置(26〜32)に、一つの制御装置(26〜32)で障害が発生した場合に他の制御装置(26、27、28、又は29)でも制御が実行されるように、制御ソフトウェアによって互いに独立して作動して第1の制御タスクと第2の制御タスクの両方を実行する2台のマイクロコンピュータ(μR)を設け、
前記制御装置の前記2台のマイクロコンピュータ(μR)の間に1つのデータインターフェース(34)を設け、このインターフェースを介して、前記安全性に関連する制御メッセージに基づいて算出された結果データ項目を相互に交換及び比較し、
決定手段(33)を設け、該決定手段(33)が前記結果データ項目の比較に基づいて制御タスクをどのマイクロコンピュータ(μR)又はどの制御装置(26〜32)で実行するかを決定することを特徴とする冗長データバスシステム。 - 制御装置(26〜32)のうち、制御タスク用のマスタ制御装置が割り当てられ、前記制御タスクのシーケンスが正常に実行される場合は前記マスタ制御装置が前記制御タスクを実行し、障害が発生した場合は前記決定手段(33)が前記制御タスクを他方の制御装置(27〜29)に制御を移すことを特徴とする請求項1に記載の冗長データバスシステム。
- 制御タスクごと及びマイクロコンピュータ(μR)ごとに、前記データバス(B1、B2)のいずれかとの接続が行われることを特徴とする請求項1あるいは2に記載の冗長データバスシステム。
- 前記2つのデータバス(B1、B2)は互いに独立し、それぞれが2本のバスライン(1、2及び3、4)を有し、一意的に定義されたメッセージレシーバ(トランシーバ)が前記データバス(B1、B2)のタイムスロットに割り当てられることを特徴とする請求項1〜3のいずれか一項に記載の冗長データバスシステム。
- 各々のマイクロコンピュータ(μR)は、前記安全性に関連する制御タスクに関する全ての情報が各々の制御装置(26〜32)に与えられるようにした前記制御ソフトウェアを有することを特徴とする請求項1〜4のいずれか一項に記載の冗長データバスシステム。
- 前記2つのデータバスが同じバスプロトコルを有し、それぞれの前記データバスに接続される前記構成要素に応じてタイムスロットの分配が可変であることを特徴とする請求項1〜5のいずれか一項に記載の冗長データバスシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004032779 | 2004-07-06 | ||
| PCT/EP2005/000375 WO2006002695A1 (de) | 2004-07-06 | 2005-01-15 | Redundantes datenbussystem |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008505012A true JP2008505012A (ja) | 2008-02-21 |
Family
ID=34960213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007519625A Abandoned JP2008505012A (ja) | 2004-07-06 | 2005-01-15 | 冗長データバスシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20090044041A1 (ja) |
| EP (1) | EP1763454B1 (ja) |
| JP (1) | JP2008505012A (ja) |
| DE (1) | DE502005004657D1 (ja) |
| WO (1) | WO2006002695A1 (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011228932A (ja) * | 2010-04-20 | 2011-11-10 | Mitsubishi Electric Corp | ネットワークシステム |
| KR101382939B1 (ko) | 2008-09-03 | 2014-04-08 | 현대자동차주식회사 | 플렉스레이 통신을 이용한 데이터 전송 시스템 |
| US8850099B2 (en) | 2011-01-19 | 2014-09-30 | Seiko Epson Corporation | Redundant data bus system including multiple transmission paths |
| JP2015525400A (ja) * | 2012-06-15 | 2015-09-03 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 電気/電子アーキテクチャのためのセンサ構造、および車両のためのこれに対応する電気/電子アーキテクチャ |
| JP2016505436A (ja) * | 2012-11-20 | 2016-02-25 | コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH | ドライバー・アシスタント・アプリケーション用の方法 |
| JP2018014627A (ja) * | 2016-07-21 | 2018-01-25 | 株式会社ケーヒン | 通信システム |
| JP2018020678A (ja) * | 2016-08-04 | 2018-02-08 | 株式会社デンソー | 電子制御装置 |
| JP2021046140A (ja) * | 2019-09-19 | 2021-03-25 | 住友電気工業株式会社 | 車両制御システム、その制御方法、車両、及びコンピュータプログラム |
| US11814069B2 (en) | 2020-03-25 | 2023-11-14 | Toyota Jidosha Kabushiki Kaisha | Vehicle control system, data transmitting method, and recording medium on which program is recorded |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4754993B2 (ja) * | 2006-02-16 | 2011-08-24 | デルファイ・テクノロジーズ・インコーポレーテッド | 分布システムのためのフォールトトレランスのノードアーキテクチャー |
| DE102008008555B4 (de) | 2007-02-21 | 2018-06-28 | Continental Teves Ag & Co. Ohg | Verfahren und Vorrichtung zum Minimieren von Gefahrensituationen bei Fahrzeugen |
| DE102007059438B4 (de) * | 2007-12-10 | 2018-05-30 | Volkswagen Ag | Verfahren zum Übertragen von Daten zwischen Steuervorrichtungen in einem Fahrzeug |
| US8260487B2 (en) * | 2008-01-08 | 2012-09-04 | General Electric Company | Methods and systems for vital bus architecture |
| DE102009000045A1 (de) * | 2009-01-07 | 2010-07-08 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Betreiben eines Steuergerätes |
| FR2942363B1 (fr) * | 2009-02-13 | 2016-11-25 | Continental Automotive France | Procede de communication entre deux calculateurs electroniques automobiles et dispositif associe |
| DE102011082969B4 (de) | 2011-09-19 | 2015-04-30 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung |
| DE102011115854A1 (de) | 2011-10-13 | 2013-04-18 | Audi Ag | Fahrzeug und Verfahren zum Steuern eines Fahrzeugs |
| US9186071B2 (en) * | 2012-01-27 | 2015-11-17 | Qualcomm Incorporated | Unlocking a body area network |
| DE102013220526A1 (de) * | 2013-10-11 | 2015-04-16 | Bayerische Motoren Werke Aktiengesellschaft | Ausfallsicherere Sensorarchitektur für Fahrerassistenzsysteme |
| US9382011B2 (en) * | 2014-04-10 | 2016-07-05 | Pratt & Whitney Canada Corp. | Multiple aircraft engine control system and method of communicating data therein |
| EP3156904A1 (en) * | 2015-10-13 | 2017-04-19 | Autoliv Development AB | A vehicle safety electronic control system |
| US20170199834A1 (en) * | 2016-01-13 | 2017-07-13 | Ford Global Technologies, Llc | Vehicle subsystem communication arbitration |
| DE102016206452A1 (de) * | 2016-04-17 | 2017-10-19 | Rheinisch-Westfälische Technische Hochschule (Rwth) Aachen | Vorrichtung zur Steuerung und Regelung von elektrischen Komponenten eines Fahrzeuges und Verfahren hierfür |
| CH712732B1 (de) * | 2016-07-21 | 2021-02-15 | Supercomputing Systems Ag | Computerisiertes System. |
| US11279235B2 (en) * | 2016-09-23 | 2022-03-22 | Mitsubishi Electric Corporation | Terminal device, central device, train information management system, and train information management method |
| DE102016222515A1 (de) | 2016-11-16 | 2018-05-17 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Nachrichtenübertragung in einem Rechnernetz |
| DE102017111527A1 (de) * | 2017-05-26 | 2018-11-29 | Liebherr-Aerospace Lindenberg Gmbh | Flugsteuersystem |
| US11163303B2 (en) * | 2018-02-13 | 2021-11-02 | Nvidia Corporation | Sharing sensor data between multiple controllers to support vehicle operations |
| JP7354601B2 (ja) * | 2019-06-10 | 2023-10-03 | マツダ株式会社 | 車載ネットワークシステム |
| CN110533947A (zh) * | 2019-10-14 | 2019-12-03 | 北京百度网讯科技有限公司 | 交通工具的控制***、方法、电子设备和计算机存储介质 |
| CN110901568B (zh) * | 2019-12-04 | 2021-11-12 | 东风汽车集团有限公司 | 具有冗余备份功能的新型车载网络 |
| WO2021116921A1 (en) | 2019-12-09 | 2021-06-17 | Thales Canada Inc. | Method and system for high integrity can bus traffic supervision in safety critical application |
| DE102020001083A1 (de) * | 2020-02-20 | 2021-08-26 | Man Truck & Bus Se | Sensorvorrichtung zur Umfelderfassung für ein Kraftfahrzeug |
| DE102020117632B4 (de) | 2020-07-03 | 2022-03-03 | Krohne Messtechnik Gmbh | Bussystem für eine Prozessanlage |
| CN114194121B (zh) * | 2020-09-02 | 2023-05-12 | 宇通客车股份有限公司 | 一种辅助驾驶***和车辆 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4926281A (en) * | 1989-02-27 | 1990-05-15 | Triplex | Fail-safe and fault-tolerant alternating current output circuit |
| EP0590175B1 (de) * | 1992-09-28 | 1996-07-24 | Siemens Aktiengesellschaft | Prozesssteuerungssystem |
| DE19509558A1 (de) * | 1995-03-16 | 1996-09-19 | Abb Patent Gmbh | Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen |
| US5694542A (en) * | 1995-11-24 | 1997-12-02 | Fault Tolerant Systems Fts-Computertechnik Ges.M.B. | Time-triggered communication control unit and communication method |
| GB2345153A (en) * | 1998-12-23 | 2000-06-28 | Motorola Ltd | Fault-tolerant microcontroller arrangement, eg for a vehicle braking system |
| DE19915253A1 (de) * | 1999-04-03 | 2000-10-05 | Bosch Gmbh Robert | Verfahren und Vorrichtung zum Betreiben eines verteilten Steuersystems in einem Fahrzeug |
| ITBO20020238A1 (it) * | 2002-04-24 | 2003-10-24 | New Holland Italia Spa | Sistema di trasmissioni dati per veicoli |
-
2005
- 2005-01-15 US US11/631,654 patent/US20090044041A1/en not_active Abandoned
- 2005-01-15 EP EP05706899A patent/EP1763454B1/de not_active Expired - Fee Related
- 2005-01-15 JP JP2007519625A patent/JP2008505012A/ja not_active Abandoned
- 2005-01-15 DE DE502005004657T patent/DE502005004657D1/de not_active Expired - Fee Related
- 2005-01-15 WO PCT/EP2005/000375 patent/WO2006002695A1/de active IP Right Grant
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101382939B1 (ko) | 2008-09-03 | 2014-04-08 | 현대자동차주식회사 | 플렉스레이 통신을 이용한 데이터 전송 시스템 |
| JP2011228932A (ja) * | 2010-04-20 | 2011-11-10 | Mitsubishi Electric Corp | ネットワークシステム |
| US8850099B2 (en) | 2011-01-19 | 2014-09-30 | Seiko Epson Corporation | Redundant data bus system including multiple transmission paths |
| JP2015525400A (ja) * | 2012-06-15 | 2015-09-03 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 電気/電子アーキテクチャのためのセンサ構造、および車両のためのこれに対応する電気/電子アーキテクチャ |
| US9623818B2 (en) | 2012-06-15 | 2017-04-18 | Robert Bosch Gmbh | Sensor system for an electric/electronic architecture and associated electric/electronic architecture for a vehicle |
| JP2016505436A (ja) * | 2012-11-20 | 2016-02-25 | コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH | ドライバー・アシスタント・アプリケーション用の方法 |
| JP2018014627A (ja) * | 2016-07-21 | 2018-01-25 | 株式会社ケーヒン | 通信システム |
| JP2018020678A (ja) * | 2016-08-04 | 2018-02-08 | 株式会社デンソー | 電子制御装置 |
| JP2021046140A (ja) * | 2019-09-19 | 2021-03-25 | 住友電気工業株式会社 | 車両制御システム、その制御方法、車両、及びコンピュータプログラム |
| JP7400285B2 (ja) | 2019-09-19 | 2023-12-19 | 住友電気工業株式会社 | 車両制御システム、その制御方法、車両、及びコンピュータプログラム |
| US11814069B2 (en) | 2020-03-25 | 2023-11-14 | Toyota Jidosha Kabushiki Kaisha | Vehicle control system, data transmitting method, and recording medium on which program is recorded |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090044041A1 (en) | 2009-02-12 |
| WO2006002695A1 (de) | 2006-01-12 |
| EP1763454A1 (de) | 2007-03-21 |
| EP1763454B1 (de) | 2008-07-09 |
| DE502005004657D1 (de) | 2008-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008505012A (ja) | 冗長データバスシステム | |
| US20220169222A1 (en) | Method for operating a braking system of a vehicle, and braking system | |
| JP5254334B2 (ja) | 車両用ブレーキ装置および車両用ブレーキ装置の作動方法 | |
| KR101708083B1 (ko) | 자율적으로 구동하는 차량의 안전한 스티어링 시스템 | |
| US6157887A (en) | Brake system for a motor vehicle | |
| CN105515739B (zh) | 具有第一计算单元和第二计算单元的***和运行***的方法 | |
| CN112141106B (zh) | 用于控制自主车辆制动的设备 | |
| KR101940364B1 (ko) | 차량용 주차 브레이크 시스템 | |
| US9102335B2 (en) | Vehicle and method for controlling a vehicle | |
| KR100767074B1 (ko) | 차량제어시스템의 고장감지장치 | |
| US8838354B2 (en) | Combined braking system, particularly for motor vehicles | |
| US11975727B2 (en) | Autonomous vehicle control system | |
| US6349996B1 (en) | Electrically controlled decentralized control system in a vehicle | |
| US20190382045A1 (en) | Method and device for the control of a safety-relevant process and transportation vehicle | |
| JPH11263212A (ja) | 車両用制動装置 | |
| US11173922B2 (en) | Vehicle control device and vehicle control system | |
| CN106054852A (zh) | 集成式故障沉默和故障运转***中的可量容错的构造 | |
| US20230192139A1 (en) | Method and system for addressing failure in an autonomous agent | |
| JP2006521948A (ja) | 車両内の電気的な分散型ブレーキシステム | |
| JP2003015743A (ja) | 車両の自動運転システム | |
| JP3881197B2 (ja) | 車両の自動運転システム | |
| JP3851522B2 (ja) | 車両の自動運転システム | |
| CN112550313A (zh) | 通过云计算的容错嵌入式汽车应用程序 | |
| KR20200110956A (ko) | 차량의 이중화 시스템과, 그 전원 공급 장치 및 방법 | |
| GB2547985A (en) | Vehicle subsystem communication arbitration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071112 |
|
| A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20090729 |