JP5319534B2 - 障害管理方法、および障害管理のための装置 - Google Patents
障害管理方法、および障害管理のための装置 Download PDFInfo
- Publication number
- JP5319534B2 JP5319534B2 JP2009529666A JP2009529666A JP5319534B2 JP 5319534 B2 JP5319534 B2 JP 5319534B2 JP 2009529666 A JP2009529666 A JP 2009529666A JP 2009529666 A JP2009529666 A JP 2009529666A JP 5319534 B2 JP5319534 B2 JP 5319534B2
- Authority
- JP
- Japan
- Prior art keywords
- component
- status value
- value
- status
- determined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0267—Fault communication, e.g. human machine interface [HMI]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F02—COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
- F02D—CONTROLLING COMBUSTION ENGINES
- F02D41/00—Electrical control of supply of combustible mixture or its constituents
- F02D41/22—Safety or indicating devices for abnormal conditions
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24093—Display, show place of error, fault
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
本発明は、特許請求の範囲に記載の請求項1の概念に基づく障害管理方法、特許請求の範囲に記載の請求項12の概念に基づく対応する装置、ならびに、対応するコンピュータプログラムおよびコンピュータプログラム製品に関する。
独国特許出願公開第19731116号明細書は、システムのための制御装置に関する。システムはセンサを具備している。接続を介して、センサの測定値が制御装置へと伝送可能である。したがって、制御システムは、システムの状態に関する情報を獲得する。
独国特許出願公開第10302054号明細書は、内燃機関の構成要素の検査に関する。各構成要素には、インタフェースを介して中央機能と通信する診断機能が割り当てられている。
以下は、基本的に、例えば車両分野で使用可能な電子制御式安定性制御プログラムが関わっている。しかし、本方法または本装置は、この適用に限定されない。
電子制御式安定性制御プログラム(ESP;ESP=Elektronisches Stabilitaetsprogramm)では、異なるハードウェア構成要素が使用される。この関連において、ハードウェア構成要素という概念に、センサ、アクチュエータ、全形態のデータ伝送制御部および制御装置構成要素がまとめられる。データ伝送制御部は、例えば、CANまたはFlexRayが関わりうる。制御装置構成要素には、例えば、ROM、RAM、EEPROM、または、A/D変換器が含まれる。
言及された全ハードウェア構成要素と、ハードウェア構成要素により伝送または伝達される信号とは、不測の障害を検知するために駆動中に監視される。構成要素または信号の目下の状態を、ステータスと称する。可能なステータスとして、例えば、「有効」、「短期間無効」、「非初期化状態」、および「無効」等が挙げられる。「非初期化状態」という状態においては、複数のレベルが可能である。
現在、個々の構成要素のステータスは、複数の監視アルゴリズムによって分散して決定される。すなわち、監視アルゴリズムは、ESP等の全体システム中に分散されている。結果として生じるステータスは、複合ロジック部によって同様に分散して定められる。同様に、分散して解決される。すなわち、システムの複数の箇所で、因果関係を示さない誤りを抑制する連続誤り防止、および、多重誤り処理が実現されている。
このようにタスクおよび役割が分散されることによって、システムの製品構成や、カスタマ・プロジェクトの処理が非常に困難になる。さらに、従来のシステムの場合、3つの言及された分野、すなわち、結果として生じるステータスの決定、連続誤り防止、および多重誤り処理において、自動ドキュメンテーション生成ツールの利用が可能ではない。
本発明の課題は、複数の構成要素を備えるシステムにおける改善された障害管理方法、および障害管理のための装置、ならびに、対応するコンピュータプログラムおよびコンピュータプログラム製品を創出することである。
本課題は、特許請求の範囲の請求項1に記載の方法、特許請求の範囲の請求項12に記載の装置、ならびに、特許請求の範囲の請求項15および請求項16に記載のコンピュータプログラムおよびコンピュータプログラム製品に基づいて解決される。
本発明は、複数の構成要素を備えるシステムにおける障害管理方法を創出する。その際、複数の構成要素の障害状態は、ステータス値によって示すことが可能である。その際、第1ステータス値は、第1構成要素の障害状態にしたがって決定され、第2ステータス値は、第2構成要素の障害状態にしたがって、かつ、第1ステータス値にしたがって決定される。
本発明に係る方法に基づいて、全体システム内部の誤りが非常に迅速に確認および表示可能であり、全体システム内で通信可能である。
さらに、本発明は、本発明に係る方法の全工程を実行する、複数の構成要素を備えるシステムにおける障害管理のための装置を創出する。
プログラムコード手段を有する本発明に係るコンピュータプログラムは、このコンピュータプログラムがコンピュータまたは対応する演算ユニット、特に本発明に係る装置において実行される場合に、本発明に係る方法の全工程を実行するために構成されている。
コンピュータが読取り可能なデータキャリアに格納されているプログラムコード手段を有する、本発明に係るコンピュータプログラム製品は、このプログラムがコンピュータ、または対応する演算ユニット、特に本発明に係る装置において実行される場合に、本発明に係る方法を実行するために設けられている。
本発明の本質的な態様は、故障依存構造(Failure Dependency Structure)において記載可能である。故障依存構造は、個々の監視されるハードウェア構成要素と、信号のシステムとの間の依存関係を含み、かつ示す。さらに、故障依存構造は、監視されるハードウェアと監視アルゴリズムとの対応を含む。
これに基づいて、本発明に係るアプローチによって、システムの構成要素に関して存在する全監視結果の収集が可能となり、かつ、結果として生じるハードウェア構成要素および信号ステータスの決定が可能となる。さらに、誤りメモリへの信憑性が無い登録を防止するために、連続誤りの検出が可能となる。このような工程は、連続誤り防止とも呼ばれる。同様に、多重誤り処理の準備も可能となる。
本発明に係るアプローチは、実装に関係しない複数の利点を提供する。例えば、監視アルゴリズムにより報知される全誤りを中央で集めることが挙げられる。これにより、システムの透明性が著しく高められる。故障依存構造に示される依存関係は、著しくプロジェクトに依存する。この依存関係を中央で定義することによって、プロジェクト開始時、およびプロジェクト進行中のコストが著しく低減される。通常では、製品開発の過程において、全体システムに対する要請も変化する。この変更に関わるシステムの部分、およびソフトウェア部分の規模は非常に小さい。依存関係を中央に集めることによって、解析が非常に容易になり、基本的により少ない人材が必要となる。ハードウェア依存の転換の、ツールによる解析は、依存関係の中央の定義によって非常に簡素化される、または可能になる。製品構成は明らかに容易になる。誤り検出度は、ツールにより支持された構成により著しく下げられる。
さらに、本発明に係るアプローチは、実装に関わる複数の利点を提供する。したがって、誤りを更に処理するために、非常に有効なアルゴリズムが使用されうる。これにより、制御装置の非常に限定されたリソースであるROM、RAM、実行時間および周期のうちのより僅かが利用される。図式的な製品構成によって、かつ、自動コード生成によって誤り検出度が下げられ、製品の取り扱いが著しく容易になる。
本発明の好適な実施形態は、特許請求の範囲に記載の従属請求項の主題である。
有利に、複数のステータス値は、構成要素により提供可能な値が有効または無効であるかどうかについて示す。その際、システムの第1構成要素により獲得された第1構成ステータス値が、第1構成要素により提供可能な値が無効であることを示す場合に、第2ステータス値は、第2ステータス値がシステムの第2構成要素により準備可能な値が無効であることを示すように、決定されうる。これをもって、ステータス値は、システム内部で非常に迅速に通信過能である。したがって、特に安全性に関わるステータス値も、システム内の全構成要素のために提供可能である。
さらなる別のステータス値が、さらなる別の構成要素の障害状態にしたがって、かつ、第1ステータス値または先行するステータス値にしたがって決定されることは有利である。
本発明に係る方法の特に好適な実施形態に基づいて、システムは、仮想的な構成要素を有する。その際、仮想的な構成要素の障害状態は、結合規則に基づいて、(実際の)構成要素のうちの所定の構成要素のステータス値から決定され、かつ、仮想的なステータス値は、仮想的な構成要素の障害状態にしたがって、かつ、第1ステータス値にしたがって決定される。この種の仮想的な構成要素、および対応する有利な結合規則を定義することによって、システム内部で特に効果的な方法で障害状態を通信することが可能である。
第1ステータス値から始まって、各ステータス値が1度のみ決定され、各ステータス値の決定は、先行するステータス値に依存することは有利である。この処置により、システムの信頼性または安全性を損なうことなく、システム内のリソースを節約することが可能である。
さらに、自身にしたがってさらなる別のステータス値が決定されないステータス値は、第1ステータス値から始まってどのステータス値が構成要素により準備可能な値が無効であることを最初に示したのかについて確認するために評価され、したがってそのような故障した構成要素が決定されることは有利である。この場合、システムの、故障した構成要素を有する部分が下げられる、または停止されることは特に有利である。これをもって、構成要素が故障しているにも関わらず、特に安全性に関わるシステムも適切な駆動が保証される。
有利に、故障した構成要素についての情報が格納される。したがって、待機または誤り解析作業が容易になりうる。
複数の構成要素の障害状態が、複数の監視アルゴリズムが実行されることによって定められることは有利である。この種の監視アルゴリズムは、本発明に係る方法に基づいて特に効果的であり、迅速に使用可能である。
特に、仮想的な構成要素の障害状態を決定するための結合規則は、論理積に相当する。この結合によって、誤り探索が特に効果的な方法で実行される。
複数のステータス値はさらに、構成要素により提供可能な値が短時間の間無効であるか、または、構成要素が初期化されていないのかについて示す。その際、第1ステータス値が、第1構成要素により提供可能な値が短時間の間無効である、または、第1構成要素が初期化されていないことを示す場合に、第2ステータス値は、第2ステータス値が第2構成要素により提供される値が無効であることを示すように、決定されうることは有利である。この処置により、構成要素の特に短時間の故障も考慮することが可能である。
本発明のさらなる別の利点および構成要素は、明細書および添付の図より明らかとなろう。
上述の特徴、および以下で解説される特徴は、本発明の枠組みを逸脱することなく、各示される組み合わせにおいてのみならず、他の組み合わせにおいて、または、単独でも利用可能であると理解されるものである。
本発明に係る方法、および、本発明に係る装置は、故障依存構造の形態において示すことが可能である。その際、故障依存構造は、複数の構成要素を備えるシステムを表している。故障依存構造は、システムの全監視される構成要素を含んでいる。システムの全監視される構成要素としては、システムの全ハードウェア構成要素、および、ハードウェア構成要素により伝達される信号が理解される。監視される構成要素は、故障依存構造においてノードとして示される。故障依存構造では、構成要素の間の依存関係は、ノード間の接続によって示されている。
故障依存構造は方向付けられ、非循環的である。方向付けられているとは、故障依存構造の2つのノードの間の接続が常に一方向に走っていることを意味している。複数のノードのうちの任意のノードから出発して任意の接続を辿っていく場合、出発点のノードに戻って到達することもなく、一回以上他のノードのうちの1つを通ることもない。すなわち、故障依存構造は非循環的である。
図1および図2は、本発明の好適な実施形態に基づく故障依存構造を示している。示される故障依存構造のノードは、楕円として示されている。楕円の間には、方向付けられた接続が存在する。同様に、各ノードに割り当てられた監視部が示されている。各ノードに割り当てられた監視部には、互いに上下に優先度が付けられていることが可能である。
図1は、本発明の実施形態に基づく故障依存構造を示している。故障依存構造は、複数の構成要素を備えるシステム100を表している。
システム100の第1構成要素110の障害状態または可用性状態は、監視アルゴリズム111、112、113のうちの1つ、または複数によって決定可能である。第1構成要素110の障害状態にしたがって、第1ステータス値115が決定可能であり、かつ、第2構成要素120へと伝達または提供可能である。駆動中に、構成要素110は、構成要素値を提供するために構成されることが可能である。構成要素値においては、例えば、センサ信号、制御信号、または、伝達された値等が関わりうる。構成要素110の障害状態にしたがって、センサ信号等の提供可能な構成要素値は有効、または無効でありうる。実施形態に基づいて、第1ステータス値115は、第1構成要素110により提供可能な値が有効、または無効であるかどうかについて示す。
システム100の第2構成要素120の障害状態は、さらなる別の監視アルゴリズム121、122のうちの1つ、または複数によって決定可能である。第2構成要素120の障害状態にしたがって、かつ、第1構成要素により提供される第1ステータス値115にしたがって、第2ステータス値125が決定および提供可能である。第2ステータス値125は、第2構成要素120により提供可能な値が有効、または無効であるかどうかについて示すことが可能である。第2ステータス値125も第1ステータス値115にしたがって決定されることによって、第1ステータス値115が第1構成要素110により提供可能な値が無効であることを示す場合に、第2ステータス値125は、第2ステータス値125が第2構成要素120により提供可能な値が無効であることを示すように決定されうる。換言すれば、第1ステータス値115が第1構成要素110により提供可能な値が有効であることを示す場合に、第2ステータス値125は、第2ステータス値125が第2構成要素120により提供可能な値が有効であることを示すことが可能であるように決定される。
システム100の第3構成要素130の障害状態は、監視アルゴリズム131、132、133のうちの1つ、または複数によって決定可能である。第3構成要素130の障害状態にしたがって、かつ、第2ステータス値125にしたがって、第3ステータス値135は決定および提供可能である。第3ステータス値135は、第3構成要素130により提供可能な値が有効、または無効であることを示すことが可能である。第3ステータス値135が第2ステータス値125に依存して決定されることによって、第2ステータス値125が第2構成要素120により提供可能な値が無効であることを示す場合に、第3ステータス値135は、第3ステータス値135が第3構成要素130により提供可能な値が無効であることを示すように決定されうる。
図1に示される実施形態に基づいて、システム100は、第2構成要素120および第3構成要素130に平行して配置されている、さらなる別の第2構成要素140およびさらなる別の第3構成要素150を有する。第1ステータス値115は、追加的にさらなる別の第2構成要素140へと提供される。
システム100のさらなる別の第2構成要素140の障害状態は、複数の監視アルゴリズム141、142、143によって決定可能である。さらなる別の第2ステータス値145は、さらなる別の第2構成要素140の障害状態にしたがって、かつ、第1構成要素により提供される第1ステータス値115にしたがって、決定および提供可能である。さらなる別の第2ステータス値145は、さらなる別の第2構成要素140により提供可能な値が有効、または無効であるかどうかについて示すことが可能である。さらなる別の第2ステータス値145が第1ステータス値115にしたがって決定されることによって、第1ステータス値115が第1構成要素110により提供可能な値が無効であることを示す場合に、さらなる別の第2ステータス値145は、さらなる別の第2ステータス値145がさらなる別の第2構成要素140により提供可能な値が無効であることを示すように、決定されうる。
システム100のさらなる別の第3の構成要素150の障害状態は、複数の監視アルゴリズム151、152、153によって決定可能である。さらなる別の第3構成要素150の障害状態にしたがって、かつ、さらなる別の第2ステータス値145にしたがって、第3のさらなる別のステータス値155は、決定および提供可能である。さらなる別の第3ステータス値155は、第3のさらなる別の構成要素150により提供可能な値が有効、または無効であるかどうかについて示すことが可能である。さらなる別の第3ステータス値155がさらなる別の第2ステータス値145にしたがって決定されることによって、さらなる別の第2構成要素140により提供可能な値が無効であることをさらなる別の第2ステータス値145が示す場合に、さらなる別の第3ステータス値155は、さらなる別の第3ステータス値155がさらなる別の第3構成要素150により提供可能な値が無効であることを示すように、決定されうる。
実施形態に基づいて、先行するステータス値にしたがって決定されるステータス値は、先行するステータス値が決定されている場合に初めて決定される。例えば、最初に、第1ステータス値115が決定される。その後に、第1ステータス値115にしたがって、かつ、第2ステータス値125の第2構成要素120の障害状態にしたがって、第2ステータス値125が決定される。引き続いて、第2ステータス値125にしたがって、かつ、第3構成要素130の障害状態にしたがって、第3ステータス値135が決定される。障害管理のための本発明に係る方法は、複数回、または任意の頻度で、連続して実行可能である。各実施において、各ステータス値115、125、135、145、155は一度のみ決定される、または、各ステータス値は一度のみ決定される必要がある。
実施形態に基づいて、自身にしたがってさらなる別のステータス値が(全残りのステータス値も)決定されないステータス値135、155は、システムの故障した構成要素を検出するために評価されうる。これは、例えば、ステータス値135、155を受信し評価するために構成されている(図示されていない)評価装置によって行なわれることが可能である。その際、構成要素により提供可能な値が無効であるかどうか、かつ、もしそうであれば、どのステータス値が構成要素により提供可能な値が無効であることを最初に示したのかについて、確認することが可能である。引き続いて、システム100の、故障した構成要素を有する部分が下げられる、または停止されることが可能である。故障した構成要素に関する情報も、例えば(図示されていない)記憶装置に格納することが可能である。
さらなる別の実施形態に基づいて、ステータス値はさらに、構成要素により提供可能な値が短時間の間無効であるか、または、構成要素が初期化されていないのかについて示すことが可能である。例えば、第2構成要素120により提供可能な値が短時間の間無効である、または、第2構成要素120が初期化されていないことを第2ステータス値125が示す場合に、第3ステータス値135は、第3構成要素130により提供可能な値が有効であることを示すことは出来ず、第3構成要素130により提供可能な値が同様に無効であることを示す。
システム100においては、例えば、ESPが関わりうる。構成要素110、120、130、140、150においては、例えば、センサ、アクチュエータ、データ伝送制御部、制御装置構成要素、または、これらのような構成要素により伝送可能な信号が関わりうる。ステータス値は任意の形態、例えば、依存する構成要素により受信されうる信号の形態で提供可能である。
ノード110は、例えば、制御装置ECUに、ノード120はA/D変換器に、ノード130は車輪速度センサVLに、ノード140はCANに、およびノード150はヨーレートセンサに割り当てられることが可能である。ノード110には、特に、完全故障の監視部111、ROMの監視部112、および、RAMの監視部113が割り当てられることが可能である。ノード120には、特に、完全故障の監視部121、分散の監視部122が割り当てられることが可能である。ノード130には、特に、完全故障の監視部131、勾配の監視部132、値域の監視部133が割り当てられていることが可能である。ノード140には、特に、完全故障の監視部141、メッセージ「1」の監視部142、およびメッセージ「2」の監視部143が割り当てられることが可能である。ノード150には、特に、完全故障の監視部151、勾配の監視部152、および値域の監視部153が割り当てられることが可能である。
以下では、図1に示される故障依存構造の基本図を用いて、結果として生じるハードウェアおよび信号ステータスの決定、連続誤り防止、および多重誤り処理の準備のタスクが、本発明に係るアプローチに基づき、如何にして実現されるのかについて記載する。
最初に、結果として生じるハードウェアおよび信号ステータスの決定について考察される。結果として生じるノード・ステータスの決定の際は2つの作用要因がある。1つは、ノード自身の監視部の演算結果、もう1つは、先行するノードの状態である。監視アルゴリズムが誤りを検出する場合、付属するノードが無効としてマーク付けされる。同じ列においては、このノードの全子供、すなわち、このノードから接続を辿っていくことによって到達可能な全ノードが、同様に無効になる。このような子供ノードに対する検出された誤りの継承は、誤り伝播と呼ばれる。これは、故障したハードウェア構成要素により伝達される信号がもはや利用されてはならないので必要である。
例えば、ノード150が割り当てられているヨーレートセンサの接続は、ノード140が割り当てられているCANプロトコルを用いた特定のプロジェクトにおいて実現される。ノード自身の、完全故障の監視部141によってCAN制御部の故障が検出される場合、CANに割り当てられているノード140は、無効としてマーク付けされる。CANバスの信号の正確な受信がもはや保障されていないので、自動的に、ヨーレートに割り当てられているノード150も無効としてマーク付けされる。すなわち、誤り伝播が行なわれる。
次に、連続誤り防止について考察される。監視される構成要素内で誤りが検出された場合には、誤り事象を再現できるために、(図示されていない)誤りメモリへ登録が行なわれる。誤りメモリは、例えば、より遅い時点に、工場のサービス担当者によって解析可能である。「最小の交換可能なユニット」というキーワードのもとに、破損した構成要素の確実で円滑な特定を可能にするために、誤りメモリは、可能な限り、因果関係のある誤りを含むことが許容されており、連続誤りを含むことは許容されていない。因果関係のある誤りとは、故障の本来の理由を伝える誤りに相当する。連続誤りとは、他の誤りに基づき検出される誤りに相当する。
明確に言えば、有効な信号の決定のために誤りが伝播される必要がある。これは、既に、結果として生じるハードウェアおよび信号ステータスの決定との関連で記載したとおりである。
以下の例について、与えられる信号、または与えられる構成要素、例えばCAN(140)等が破損している場合に、ヨーレート(150)等の依存する信号は誤りを伝達することが仮定されている。
図1に関連して、以下のシナリオによって、ノード130内の連続誤りの簡単な例が示される。車両の車輪速度センサへの接続が切れたとする。例えば、ケーブルの断線が起こり、このことが、ノード自身の完全故障の監視部131によって検出される。これにより、10ms以内の測定された車輪速度が、50m/sから0m/sへと急に落ちる。その結果生じる信号の勾配−5.000m/s2は、信憑性が無いとして検知される(勾配の監視部132)。しかし、あまりにも大きな勾配の本来の理由は、接続線の絶線である。
しかし、互い依存する異なる複数のノードで、連続誤りが発生する可能性もある。図1に関連して、以下のシナリオによって、異なる複数のノードでの連続誤りの例が示される。例えば、A/D変換器(120)の分散が起きたとする。これは、分散の監視部(122)によって検出される。さらに、分散により有効な値域から外れたので、車輪速度センサ(130)の監視部によって無効な値が検出される(133)。したがって、許容される値域133を越えることが、A/D変換器122における分散の連続誤りである。
しかし、連続誤りは、因果関係のある誤りによっても発生する可能性がある。例えば、CAN制御部が故障したとする。これによって、CANにより伝送されるヨーレート信号が、非常に早く値0へと落ちる。CAN制御部の故障を検出するために必要とされる時間は、勾配誤りを検出するための時間よりも明らかに長い。したがって、ヨーレートノード150の対応する監視部152により検出される連続誤り「ヨーレートの誤りのある勾配」が、ノードCAN140の対応する監視部141により検出される因果関係のある誤り「CAN制御部の故障」の前に発生する可能性がある。
図2は、本発明のさらなる別の実施形態を記載する故障依存構造を示している。この実施形態に基づいて、すでに図1によって記載されたシステム100が、仮想的な構成要素260の分だけ拡張される。仮想的な構成要素260においては、実際の構成要素ではなく、システム100での誤り検出を改善するために故障依存構造に含まれる仮想的な構成要素が関わっている。
仮想的な構成要素260の障害状態は、監視アルゴリズム261によって決定可能である。監視アルゴリズムは、仮想的な構成要素260の障害状態を決定するために、結合規則にしたがって、システム100の構成要素110、120、130、140、150の所定の選択のステータス値を結合することが可能である。例えば、監視アルゴリズム261は、第3構成要素130のステータス値135と、さらなる別の第2構成要素140のさらなる別のステータス値145とを結合することが可能である。結合規則においては、論理積が関わっている。仮想的なステータス値265は、仮想的な構成要素の障害状態にしたがって、かつ、図2に示される実施形態に基づき第1ステータス値115にしたがって決定される。
仮想的な構成要素260には、故障依存構造のノード260が割り当てられている。ノード260には、例えば、仮想的なハードウェア構成要素「3つの車輪速度部」または「3つの車輪速度センサ」が割り当てられていることが可能である。この場合、ノード260は、複数の破損した車輪速度部の形態での監視部261を有することが可能である。
次に、多重誤り処理の準備について考察される。既に言及したように、ハードウェア構成要素は駆動中に監視され、誤りが検出された場合には、そのステータスが対応して設定される。このステータスは、ESP等のシステムの、このハードウェア構成要素を利用する部分を下げる、または停止させるために、下流の機能によって利用される。下げるとは、1つの機能内での高質から低質への異なるアルゴリズムの間での切り替え、すなわち、例えば、測定値の利用から推定値の利用への切り替え等として理解される。この誤り処理によって、故障したハードウェア構成要素に起因する全体システムの誤動作が防止される。
複数の誤りが連続して、または同時に発生する場合には、簡単な多重誤り処理が実行される必要がある。その際、通常の場合は、個々の目標システム状態が比較され、故障したハードウェア構成要素が全く利用されていないものが、新しい目標システム状態として選択される。そのための土台として、個々のハードウェア構成要素のステータスが定められる。
幾つかの、誤りの組み合わせの場合、上述の簡単な誤り処理の代わりに拡大された多重誤り処理を実行する必要があるように、ハードウェア構成要素の可用性が限定されている。その際、簡単な多重誤り処理の後に推定値によってまだ作動しうることが予想されるシステムの部分も、停止される。
検出された誤りのさらなる処理を簡素化するために、単一誤りおよび多重誤りは、同一のインタフェースを利用するべきである。この要請を満たすために、仮想的なハードウェア構成要素が形成されうる。仮想的な構成要素の信号ステータスは、他のハードウェア構成要素の個々のステータスの論理「積」によって、形成される。
システム100が例えばESPに相当し、例えば、ESP内でノード150に割り当てられているヨーレートセンサが故障する場合に、ヨーレートセンサのステータスは「無効」に設定される。これは、結果として生じるハードウェアおよび信号ステータスとの関連で既に記載したとおりである。追加的に、複数の車輪のうちの1つの速度センサが故障する場合には、そのステータスも同様に「無効」に設定される。図1に示される実施形態のように、この誤りの組み合わせのための仮想的なハードウェア構成要素が存在しない場合には、目標システム状態は2つの個々のステータスに基づいて定められる。
ESP内で複数の車輪のうちの1つの速度センサが故障している場合には、そのステータスが「無効」に設定される。追加的に、2つのさらなる別の車輪の、複数の速度センサが故障する場合には、ESPにはもはや、確実に作動するための十分な情報が提供されない。したがって、仮想的なハードウェア構成要素260「3つの車輪速度センサ」の信号ステータスは、「無効」に設定される。この情報は、質は低いが理論的にはまだ車両速度が計算可能であることが予想されるにもかかわらずESPを停止させるために、下流の機能によって利用される。
図によって記載される実施形態は、例として選択されている。実現されるシステムにしたがって、構成要素、さらなる別の構成要素、および仮想的な構成要素は、任意の数で、かつ、方向付けられた故障依存構造の枠組み内で、任意の結合において互いに配置可能である。
本発明は、ソフトウェアの形態で転換可能である。本発明に係る方法は、動的なシステムのハードウェア依存関係の構成のための新コンセプトを提供する。本発明に係る故障依存構造のコンセプトは、動的なシステムでの中央の障害管理のために適している。本発明に係るアプローチは、記載される走行力学制御ESPに全く制限されない。むしろ、全メカトロニック組み込みシステムでの使用が構想可能である。ESP適用領域での記載された例は、解説を助けるものであり、本発明の適用領域を限定することは全くない。
本発明は、実施形態を用いて以下の図に示されており、以下では、図を参照して詳細に解説される。
本発明の好適な実施形態に基づく故障依存構造を示す。
本発明のさらなる別の好適な実施形態に基づくさらなる別の故障依存構造を示す。
Claims (15)
- 複数の構成要素を備えるシステム(100)における障害管理方法であって、複数の前記構成要素の障害状態をステータス値によって示すことが可能な障害管理方法において、
第1ステータス値(115)が、第1構成要素(110)の障害状態にしたがって決定され、第2ステータス値(125)が、第2構成要素(120)の障害状態にしたがって、かつ、前記第1ステータス値(115)にしたがって決定され、
前記システム(100)がさらなる別の構成要素(140)を有し、
さらなる別のステータス値(145)は、前記さらなる別の構成要素の障害状態にしたがって、かつ、前記第1ステータス値(115)にしたがって決定されることを特徴とする、複数の構成要素を備えるシステム(100)における障害管理方法。 - 複数の前記ステータス値は、構成要素の障害状態にしたがって、構成要素により提供可能な値が有効または無効であるかどうかについて示し、前記第1ステータス値(115)が前記第1構成要素(110)により提供可能な値が無効であることを示す場合に、前記第2ステータス値(125)は、前記第2ステータス値が前記第2構成要素(120)により提供可能な値が無効であることを示すように決定されることを特徴とする、請求項1に記載の方法。
- 前記システム(100)は、仮想的な構成要素(260)を有し、前記仮想的な構成要素の障害状態は、結合規則に基づいて、複数の前記構成要素(110、120、140)の所定の選択のステータス値から決定され、かつ、仮想的なステータス値(265)は、前記仮想的な構成要素の障害状態にしたがって、かつ、前記第1ステータス値(115)にしたがって決定される、請求項1、または請求項2に記載の方法。
- 前記第1ステータス値(115)から始まって、各ステータス値(125、145、265)が1度のみ決定され、前記各ステータス値(125、145、265)の決定は、先行するステータス値に依存することを特徴とする、請求項1〜請求項3のいずれかに記載の方法。
- 自身にしたがってさらなる別のステータス値が決定されないステータス値(135、155、265)は、前記第1ステータス値(115)から始まってどのステータス値が構成要素により提供可能な値が無効であることを最初に示したのかについて確認するために評価され、したがってそのような故障した構成要素が決定されることを特徴とする、請求項1〜請求項4のいずれかに記載の方法。
- 前記システム(100)の前記故障した構成要素を有する部分が下げられる、または停止されることを特徴とする、請求項5に記載の方法。
- 前記故障した構成要素についての情報が格納されることを特徴とする、請求項5に記載の方法。
- 複数の前記構成要素(110、120、140、260)の障害状態は、複数の監視アルゴリズム(111、112、113、121、122、141、142、143、261)が実行されることによって定められることを特徴とする、請求項1〜請求項7のいずれかに記載の方法。
- 前記仮想的な構成要素(260)の障害状態を決定するための前記結合規則は、論理積に相当することを特徴とする、請求項3、または、請求項3を引用する請求項4〜請求項8のいずれかに記載の方法。
- 複数の前記ステータス値はさらに、構成要素により提供可能な値が短時間の間無効であるか、または、構成要素が初期化されていないのかについて示し、その際、前記第1ステータス値(115)が、前記第1構成要素(110)により提供可能な値が短時間の間無効である、または前記第1構成要素が初期化されていないことを示す場合に、前記第2ステータス値(125)は、前記第2ステータス値が前記第2構成要素(120)により提供される値が無効であることを示すように決定されることを特徴とする、請求項2〜請求項9のいずれかに記載の方法。
- 請求項1〜請求項10のいずれに記載の方法の全工程を実行するための装置。
- 複数の前記構成要素においては、センサ、アクチュエータ、データ伝送制御部、制御装置構成要素、または、これらのような構成要素により伝送可能な信号が関わっていることを特徴とする、請求項11に記載の装置。
- 前記システムにおいては、メカトロニック組込みシステムが関わっていることを特徴とする、請求項11に記載の装置。
- コンピュータプログラムがコンピュータ、または対応する演算ユニットにおいて実行される場合に、請求項1〜請求項10のいずれかに記載の方法の全工程を実行するための、プログラムコード手段を有するコンピュータプログラム。
- コンピュータプログラムがコンピュータ、または対応する演算ユニットにおいて実行される場合に、請求項1〜請求項10のいずれかに記載の方法の全工程を実行するための、プログラムコード手段を有するコンピュータプログラムが格納される、データキャリア。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102006046399.4 | 2006-09-29 | ||
| DE102006046399A DE102006046399A1 (de) | 2006-09-29 | 2006-09-29 | Verfahren und Vorrichtung zur Fehlerverwaltung |
| PCT/EP2007/059973 WO2008040641A2 (de) | 2006-09-29 | 2007-09-20 | Verfahren und vorrichtung zur fehlerverwaltung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010505165A JP2010505165A (ja) | 2010-02-18 |
| JP5319534B2 true JP5319534B2 (ja) | 2013-10-16 |
Family
ID=39134362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009529666A Expired - Fee Related JP5319534B2 (ja) | 2006-09-29 | 2007-09-20 | 障害管理方法、および障害管理のための装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20100218047A1 (ja) |
| EP (1) | EP2078253A2 (ja) |
| JP (1) | JP5319534B2 (ja) |
| CN (1) | CN101535960B (ja) |
| DE (1) | DE102006046399A1 (ja) |
| WO (1) | WO2008040641A2 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102009020151A1 (de) * | 2009-05-06 | 2010-11-11 | Siemens Aktiengesellschaft | Verfahren zur Ermittlung und Bewertung von Kenngrößen einer elektrischen Energieversorgung |
| DE102009027375A1 (de) * | 2009-07-01 | 2011-03-10 | Robert Bosch Gmbh | Diagnoseverfahren zum Durchführen einer Diagnose eines Systems |
| CN102404141B (zh) * | 2011-11-04 | 2014-03-12 | 华为技术有限公司 | 一种告警抑制的方法及装置 |
| US9021305B2 (en) | 2012-10-17 | 2015-04-28 | International Business Machines Corporation | Processing main cause errors and sympathetic errors in devices in a system |
| CN104102551B (zh) * | 2013-04-10 | 2017-06-06 | 北京中嘉时代科技有限公司 | 一种基于状态的应用监控与恢复算法与模型 |
| FR3012098B1 (fr) * | 2013-10-17 | 2017-01-13 | Renault Sa | Systeme et procede de controle de vehicule avec gestion de defauts |
| CN103674590B (zh) * | 2013-11-09 | 2016-04-20 | 皖江新兴产业技术发展中心 | 半导体芯片全自动封装设备自动报警***实现方法 |
| US10089687B2 (en) * | 2015-08-04 | 2018-10-02 | Fidelity National Information Services, Inc. | System and associated methodology of creating order lifecycles via daisy chain linkage |
| CN106559234B (zh) * | 2015-09-28 | 2021-02-19 | 中兴通讯股份有限公司 | 控制消息发送方法及装置 |
| US11568362B2 (en) * | 2019-01-02 | 2023-01-31 | International Business Machines Corporation | Systems and methods for visualizing a trade life cycle and detecting discrepancies |
| US20200211110A1 (en) * | 2019-01-02 | 2020-07-02 | International Business Machines Corporation | Systems and methods for visualizing a trade life cycle and detecting discrepancies |
| DE102022105248A1 (de) | 2022-03-07 | 2023-09-07 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zum bestimmen von obd-konformität eines ausgabesignals |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4053752A (en) * | 1975-09-15 | 1977-10-11 | International Business Machines Corporation | Error recovery and control in a mass storage system |
| DE3526671A1 (de) * | 1985-07-25 | 1987-01-29 | Man Technologie Gmbh | Antriebsstrang fuer kraftfahrzeuge |
| DE3730110A1 (de) * | 1987-09-08 | 1989-03-16 | Siemens Ag | Druckeinrichtung mit einem elektrothermisch betriebenen druckkopf |
| JPH05257676A (ja) * | 1992-03-11 | 1993-10-08 | Hitachi Ltd | ステータス管理方法 |
| GB2268292A (en) * | 1992-06-16 | 1994-01-05 | Ibm | Error handling in a state-free system |
| US5335979A (en) * | 1992-10-09 | 1994-08-09 | Mitsubishi Denki Kabushiki Kaisha | Control device for vehicle including anti-skid braking system and power steering control system |
| US5581690A (en) * | 1993-06-29 | 1996-12-03 | Digital Equipment Corporation | Method and apparatus for preventing the use of corrupt data in a multiple disk raid organized storage system |
| SE510029C2 (sv) * | 1995-10-03 | 1999-04-12 | Volvo Ab | Diagnossystem i ett driftsystem för motorer jämte en diagnosfunktionsmodul (DF-modul) i ett driftsystem för motorer |
| US5948107A (en) * | 1997-05-28 | 1999-09-07 | Intel Corporation | Method of handling errors in complex inheritance hierarchies |
| DE19731116A1 (de) * | 1997-07-19 | 1999-01-28 | Bosch Gmbh Robert | Steuergerät für ein System und Verfahren zum Betrieb eines Steuergerätes |
| JP2000295238A (ja) * | 1999-04-06 | 2000-10-20 | Canon Inc | ワイヤレス通信装置、その通信制御方法および記憶媒体 |
| JP2001209561A (ja) * | 2000-01-27 | 2001-08-03 | Mitsubishi Electric Corp | 異常処理方式及び異常処理方法 |
| WO2001061277A2 (en) * | 2000-02-03 | 2001-08-23 | Honeywell International Inc. | Device, method and computer program product for altimetry system |
| US6808041B2 (en) * | 2000-02-11 | 2004-10-26 | Delphi Technologies, Inc. | Method and system for providing secondary vehicle directional control through braking |
| US6654909B1 (en) * | 2000-06-30 | 2003-11-25 | Intel Corporation | Apparatus and method for protecting critical resources against soft errors in high performance microprocessors |
| IT1320553B1 (it) * | 2000-07-25 | 2003-12-10 | Magneti Marelli Spa | Dispositivo di controllo di una frizione di un veicolo. |
| JP2002135410A (ja) * | 2000-10-26 | 2002-05-10 | Kddi Research & Development Laboratories Inc | アクセスネットワークシステム |
| EP1206120A1 (de) * | 2000-11-10 | 2002-05-15 | GRETAG IMAGING Trading AG | Verminderung von Artefakten bei reproduzierten Bildern |
| DE10059758A1 (de) * | 2000-11-30 | 2002-06-20 | Bosch Gmbh Robert | Verfahren zum Empfangen von Daten |
| DE50206242D1 (de) * | 2001-09-03 | 2006-05-18 | Inventio Ag | Situationsabhängige reaktion im falle einer störung im bereich einer türe eines aufzugsystems |
| US7120901B2 (en) * | 2001-10-26 | 2006-10-10 | International Business Machines Corporation | Method and system for tracing and displaying execution of nested functions |
| US7159217B2 (en) * | 2001-12-20 | 2007-01-02 | Cadence Design Systems, Inc. | Mechanism for managing parallel execution of processes in a distributed computing environment |
| US6882918B2 (en) * | 2001-12-27 | 2005-04-19 | Caterpillar Inc | Electric drive management system and method |
| ATE324627T1 (de) * | 2002-05-31 | 2006-05-15 | Sap Ag | Verfahren und rechneranordnung für vernetzte aufgabenverwaltung |
| JP4143366B2 (ja) * | 2002-08-29 | 2008-09-03 | 東芝三菱電機産業システム株式会社 | プラント制御システム |
| DE10302054B4 (de) * | 2003-01-21 | 2018-10-25 | Robert Bosch Gmbh | Verfahren zum Betreiben einer Brennkraftmaschine |
| US7245995B2 (en) * | 2003-02-19 | 2007-07-17 | Robert Bosch Gmbh | Fault-tolerant vehicle stability control |
| DE10309815A1 (de) * | 2003-03-05 | 2004-09-23 | Francotyp-Postalia Ag & Co. Kg | Verfahren zum Datenaustausch zwischen Datenverarbeitungseinheiten |
| US7117119B2 (en) * | 2003-08-01 | 2006-10-03 | Invensys Systems, Inc | System and method for continuous online safety and reliability monitoring |
| US7933794B2 (en) * | 2003-10-30 | 2011-04-26 | International Business Machines Corporation | Method and system for active monitoring of dependency models |
| US7584382B2 (en) * | 2004-02-19 | 2009-09-01 | Microsoft Corporation | Method and system for troubleshooting a misconfiguration of a computer system based on configurations of other computer systems |
| US8311697B2 (en) * | 2004-07-27 | 2012-11-13 | Honeywell International Inc. | Impact assessment system and method for determining emergent criticality |
| CN1266628C (zh) * | 2004-08-11 | 2006-07-26 | 北京四方继保自动化股份有限公司 | 电力自动化***中关键应用模块的多备一的实现方法 |
| DE102005009707A1 (de) * | 2005-03-03 | 2006-09-07 | Dr. Johannes Heidenhain Gmbh | Modulares numerisches Steuergerät |
| US20060290200A1 (en) * | 2005-06-24 | 2006-12-28 | Davison Kent E | Wheel-end mounted multipurpose acceleration sensing device |
| US8600605B2 (en) * | 2006-01-30 | 2013-12-03 | GM Global Technology Operations LLC | Distributed diagnostics architecture |
-
2006
- 2006-09-29 DE DE102006046399A patent/DE102006046399A1/de not_active Ceased
-
2007
- 2007-09-20 CN CN200780036171.8A patent/CN101535960B/zh not_active Expired - Fee Related
- 2007-09-20 WO PCT/EP2007/059973 patent/WO2008040641A2/de active Application Filing
- 2007-09-20 EP EP07820411A patent/EP2078253A2/de not_active Withdrawn
- 2007-09-20 JP JP2009529666A patent/JP5319534B2/ja not_active Expired - Fee Related
- 2007-09-20 US US12/305,820 patent/US20100218047A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20100218047A1 (en) | 2010-08-26 |
| EP2078253A2 (de) | 2009-07-15 |
| CN101535960A (zh) | 2009-09-16 |
| JP2010505165A (ja) | 2010-02-18 |
| WO2008040641A2 (de) | 2008-04-10 |
| CN101535960B (zh) | 2014-12-03 |
| DE102006046399A1 (de) | 2008-04-03 |
| WO2008040641A3 (de) | 2008-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5319534B2 (ja) | 障害管理方法、および障害管理のための装置 | |
| CN105515739B (zh) | 具有第一计算单元和第二计算单元的***和运行***的方法 | |
| JP6864992B2 (ja) | 車両制御システム検証装置及び車両制御システム | |
| US7729827B2 (en) | Vehicle control system | |
| JP4155198B2 (ja) | 車両の制御システムの異常検知装置 | |
| CN105095001B (zh) | 分布式环境下虚拟机异常恢复方法 | |
| US20090295559A1 (en) | Integrated hierarchical process for fault detection and isolation | |
| US7295903B2 (en) | Device and method for on-board diagnosis based on a model | |
| US9604585B2 (en) | Failure management in a vehicle | |
| US20220335754A1 (en) | Electrical architecture for service-oriented vehicle diagnostics | |
| KR101558383B1 (ko) | 차량의 스마트 센서 또는 액추에이터의 고장 진단 방법 | |
| CN107229534A (zh) | 混合双重双工故障操作模式和对任意数量的故障的概述 | |
| JP2009009557A (ja) | 分散システム | |
| US8041993B2 (en) | Distributed control system | |
| JP5518810B2 (ja) | 車両制御装置、車両制御システム | |
| CN109460313A (zh) | 自动驾驶安全控制方法 | |
| US20230192139A1 (en) | Method and system for addressing failure in an autonomous agent | |
| CN114348027B (zh) | 车辆控制方法、装置、平台及存储介质 | |
| CN112740121A (zh) | 用于车辆的控制架构 | |
| JP2018160710A (ja) | 車両用制御装置 | |
| CN103885441B (zh) | 一种控制器局域网络的自适应故障诊断方法 | |
| JP5223512B2 (ja) | 車両用異常解析システム、車両用異常解析方法、及び車両用故障解析装置 | |
| JP2006222800A (ja) | 多重通信装置 | |
| Rooks et al. | Duo duplex drive-by-wire computer system | |
| JP2006279498A (ja) | ノード診断システム及びノード |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100921 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120529 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120605 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120730 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130305 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130611 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130711 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |