集成式故障沉默和故障運(yùn)轉(zhuǎn)系統(tǒng)中的可量容錯的構(gòu)造
【專利摘要】本發(fā)明涉及集成式故障沉默和故障運(yùn)轉(zhuǎn)系統(tǒng)中的可量容錯的構(gòu)造。一種集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)�����,包括主控制器��,控制在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)時的裝置的零件����。副控制器包括監(jiān)測主控制器中故障的故障檢測器/判定器模塊。故障檢測器/判定器模塊確定主控制器中的故障是否關(guān)聯(lián)故障沉默需求或故障運(yùn)轉(zhuǎn)需求��。如果故障檢測器/判定器模塊確定故障是故障沉默需求�����,則故障檢測器/判定器模塊給主控制器啟動停機(jī)指令��,關(guān)閉受故障影響而變得不可運(yùn)轉(zhuǎn)的零件��。如果故障檢測器/判定器模塊確定與故障相關(guān)聯(lián)的零件是故障運(yùn)轉(zhuǎn)需求�����,則故障檢測器/判定器模塊給主控制信號以撤回零件的控制給副控制器���。副控制器用作高確信度系統(tǒng)���,控制故障運(yùn)轉(zhuǎn)模式中的零件。
【專利說明】
集成式故障沉默和故障運(yùn)轉(zhuǎn)系統(tǒng)中的可量容錯的構(gòu)造
技術(shù)領(lǐng)域
[0001]—個實施例涉及容錯控制系統(tǒng)���。
【背景技術(shù)】
[0002]提供安全功能的系統(tǒng)通常采用冗余的控制器以確保安全性�,通過關(guān)閉已經(jīng)經(jīng)受故障或失效的功能����。這樣的系統(tǒng)被稱為故障沉默系統(tǒng)。如果檢測到故障���,就關(guān)閉該零件的控制器�����,并且該零件在該系統(tǒng)中將不再可操作��。
[0003]—些系統(tǒng)設(shè)法采用故障運(yùn)轉(zhuǎn)系統(tǒng)實現(xiàn)控制系統(tǒng)���,其中�,附加的控制器被用來確保安全運(yùn)轉(zhuǎn)能夠繼續(xù)一段時間���,例如雙聯(lián)控制器���。如果第一控制器失效并且進(jìn)入沉默,第二控制器將被啟用并且所有致動器將轉(zhuǎn)換成依賴來自第二控制器的請求���。雙聯(lián)結(jié)構(gòu)的問題是�,由于控制器基本上是完全相同的這個事實�����,它們攜帶相同的缺陷���,尤其是軟件缺陷�。因為軟件是完全相同的���,所以這兩個控制器將固有地具有相同的問題���,如果出現(xiàn)軟件相關(guān)缺陷�����。因此,在使用對稱實現(xiàn)控制器的系統(tǒng)中���,它們基本上是每個功能的精確復(fù)制���,這類系統(tǒng)幾乎不提供與軟件故障相關(guān)的幫助。
[0004]采用非對稱實現(xiàn)控制器的其它類型的系統(tǒng)可以避免復(fù)制的硬件和軟件故障���;然而����,采用含有用于控制受到第一非對稱控制器控制的所有零件的必要軟件和硬件的第二非對稱控制器是高成本的�����。
【發(fā)明內(nèi)容】
[0005]實施例的一個優(yōu)點是可量容錯構(gòu)造系統(tǒng)(scalable fault-tolerantarchitecture system)���,其支持在單個構(gòu)造模式中故障沉默和故障運(yùn)轉(zhuǎn)零件需求的任意組合�。該構(gòu)造設(shè)計降低成本并且增大軟件設(shè)計故障的覆蓋率。該系統(tǒng)繼承了錯誤檢測和故障確定到單個模塊中�,其能夠監(jiān)測系統(tǒng)的故障沉默和故障運(yùn)轉(zhuǎn)零件兩者。該模塊確定故障是否與關(guān)聯(lián)了故障沉默需求或故障運(yùn)轉(zhuǎn)需求的零件有關(guān)���。如果該故障與故障沉默需求相關(guān)聯(lián)����,那么���,與該故障關(guān)聯(lián)的零件在該系統(tǒng)中變成非運(yùn)轉(zhuǎn)的����;然而����,主控制器仍然能夠繼續(xù)控制未受該故障影響的其它零件。如果該故障與故障運(yùn)轉(zhuǎn)需求相關(guān)聯(lián)����,那么對該零件的控制被主控制模塊撤回給副控制器,用于監(jiān)測和控制該零件�����。該系統(tǒng)的另一個優(yōu)點是只有確定為故障運(yùn)轉(zhuǎn)零件的那些零件的軟件存儲在副控制器上。因此��,由于降低的復(fù)雜性和計算需求����,能夠減少處理器和存儲器�����。
[0006]—個實施例構(gòu)思一種故障控制策略��,用于集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)�。提供主控制器,控制在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)時的裝置的零件���。提供副控制器�����,其包括故障檢測器/判定器模塊���。故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障。該故障檢測器/判定器模塊確定主控制器中的故障是否是故障沉默需求或是故障運(yùn)轉(zhuǎn)需求。通過故障沉默檢測器/判定器��,給主控制器啟動停機(jī)指令�,以關(guān)閉受到該故障影響的零件,此時��,響應(yīng)于故障檢測器/判定器模塊確定故障是故障沉默需求�����,該零件變得不可運(yùn)轉(zhuǎn)�。響應(yīng)于故障檢測器/判定器模塊確定與故障相關(guān)聯(lián)的零件是故障運(yùn)轉(zhuǎn)需求,零件的控制被撤回給副控制器����。副控制器用作高確信度系統(tǒng),用于控制故障運(yùn)轉(zhuǎn)模式中的零件�。
[0007]—個實施例構(gòu)思一種集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)。主控制器控制在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)時的裝置的零件�����。副控制器包括故障檢測器/判定器模塊���。故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障����。該故障檢測器/判定器模塊確定主控制器中的故障是否與故障沉默需求還是故障運(yùn)轉(zhuǎn)需求相關(guān)聯(lián)。如果故障檢測器/判定器模塊確定故障是故障沉默需求�����,那么故障沉默檢測器/判定器啟動停機(jī)指令給主控制器��,以關(guān)閉受到該故障影響的零件�,此時,該零件變得不可運(yùn)轉(zhuǎn)����。如果該故障檢測器/判定器模塊確定與該故障相關(guān)聯(lián)的零件是故障運(yùn)轉(zhuǎn)需求���,那么該故障檢測器/判定器模塊給主控制器信號以撤回零件的控制給該副控制器���。副控制器用作高確信度系統(tǒng),用于控制故障運(yùn)轉(zhuǎn)模式中的零件�����。
[0008]本發(fā)明提供下列技術(shù)方案�����。
[0009]技術(shù)方案1.一種集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng),包括:
主控制器����,其控制在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)時的裝置的零件;
副控制器�����,其包括故障檢測器/判定器模塊��,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障���,該故障檢測器/判定器模塊確定主控制器中的故障是否關(guān)聯(lián)故障沉默需求還是故障運(yùn)轉(zhuǎn)需求�����,其中�����,如果故障檢測器/判定器模塊確定該故障是故障沉默需求�,那么故障沉默檢測器/判定器給主控制器啟動停機(jī)指令�,關(guān)閉受到該故障影響的零件�����,其中該零件變得不可運(yùn)轉(zhuǎn)�����,并且其中�,如果故障檢測器/判定器模塊確定與故障相關(guān)聯(lián)的零件是故障運(yùn)轉(zhuǎn)需求����,那么,故障檢測器/判定器模塊給主控制器信號以撤回該零件的控制給該副控制器�,其中,副控制器用作高確信度系統(tǒng)��,用于控制故障運(yùn)轉(zhuǎn)模式中的零件����。
[0010]技術(shù)方案2.如技術(shù)方案I所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)��,其中�,該系統(tǒng)的每個零件被分類為故障沉默零件或故障運(yùn)轉(zhuǎn)零件。
[0011]技術(shù)方案3.如技術(shù)方案2所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)�����,其中,故障沉默檢測器/判定器監(jiān)測并且檢測主控制器中的故障�����。
[0012]技術(shù)方案4.如技術(shù)方案3所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)��,其中���,故障檢測器/判定器模塊檢測主控制器內(nèi)的錯誤的或危險的狀態(tài)����。
[0013]技術(shù)方案5.如技術(shù)方案4所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)��,其中�,主控制器中的故障的故障檢測器/判定器模塊檢測是故障沉默零件與故障運(yùn)轉(zhuǎn)零件之間共用的。
[0014]技術(shù)方案6.如技術(shù)方案2所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)�,其中,故障沉默檢測器/判定器確定與故障相關(guān)聯(lián)的零件被分類為故障沉默零件或故障運(yùn)轉(zhuǎn)零件����。
[0015]技術(shù)方案7.如技術(shù)方案I所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng),進(jìn)一步地包括故障運(yùn)轉(zhuǎn)控制模塊�����,用于控制分類為故障運(yùn)轉(zhuǎn)零件的零件,該故障運(yùn)轉(zhuǎn)控制模塊響應(yīng)于故障檢測器/判定器模塊確定故障是故障運(yùn)轉(zhuǎn)故障來控制故障運(yùn)轉(zhuǎn)零件����。
[0016]技術(shù)方案8.如技術(shù)方案7所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng),其中����,響應(yīng)于從故障檢測器/判定器模塊確定故障是故障運(yùn)轉(zhuǎn)故障的通信,主控制器撤回與故障運(yùn)轉(zhuǎn)狀態(tài)相關(guān)聯(lián)的零件的控制����。
[0017]技術(shù)方案9.如技術(shù)方案I所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng),其中�,用于僅僅控制分類為故障運(yùn)轉(zhuǎn)零件的軟件存儲在副控制器的故障運(yùn)轉(zhuǎn)控制模塊中。
[0018]技術(shù)方案10.如技術(shù)方案9所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)���,其中����,故障運(yùn)轉(zhuǎn)控制模塊包括軟件���,用于控制更少功能的故障運(yùn)轉(zhuǎn)零件��。
[0019]技術(shù)方案11.一種用于集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)的故障控制策略��,包括的步驟是:
提供主控制器��,控制在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)時的裝置的零件��;
提供副控制器����,其包括故障檢測器/判定器模塊��,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障�;
由故障檢測器/判定器模塊確定主控制器中的故障是故障沉默需求還是故障運(yùn)轉(zhuǎn)需求;
響應(yīng)于故障檢測器/判定器模塊確定故障是故障沉默需求����,通過故障沉默檢測器/判定器,給主控制器啟動停機(jī)指令�,以關(guān)閉受到該故障影響的零件,此時�����,該零件變得不可運(yùn)轉(zhuǎn);以及
響應(yīng)于故障檢測器/判定器模塊確定與故障相關(guān)聯(lián)的零件是故障運(yùn)轉(zhuǎn)需求����,撤回零件的控制給副控制器,其中�,副控制器用作高確信度系統(tǒng),用于控制故障運(yùn)轉(zhuǎn)模式中的零件�。
[0020]技術(shù)方案12.如技術(shù)方案11所述的故障控制策略,其中���,該系統(tǒng)的每個零件被分類為故障沉默零件或故障運(yùn)轉(zhuǎn)零件�。
[0021]技術(shù)方案13.如技術(shù)方案12所述的故障控制策略�,其中,在故障檢測器/判定器模塊中監(jiān)測并檢測主控制器中的故障���。
[0022]技術(shù)方案14.如技術(shù)方案13所述的故障控制策略�,其中���,由故障檢測器/判定器模塊確定主控制器內(nèi)的錯誤的或危險的狀態(tài)���。
[0023]技術(shù)方案15.如技術(shù)方案14所述的故障控制策略,其中�����,主控制器中的故障的故障檢測器/判定器模塊檢測是故障沉默狀態(tài)與故障運(yùn)轉(zhuǎn)狀態(tài)之間共用的�����。
[0024]技術(shù)方案16.如技術(shù)方案12所述的故障控制策略��,其中���,故障沉默檢測器/判定器確定與故障相關(guān)聯(lián)的零件被分類為故障沉默零件或故障運(yùn)轉(zhuǎn)零件����。
[0025]技術(shù)方案17.如技術(shù)方案11所述的故障控制策略�����,進(jìn)一步地包括的步驟是����,由故障運(yùn)轉(zhuǎn)控制模塊控制分類為故障運(yùn)轉(zhuǎn)零件的零件,該故障運(yùn)轉(zhuǎn)控制模塊響應(yīng)于故障檢測器/判定器模塊確定故障是故障運(yùn)轉(zhuǎn)故障來控制故障運(yùn)轉(zhuǎn)零件����。
[0026]技術(shù)方案18.如技術(shù)方案17所述的故障控制策略,其中,響應(yīng)于從故障檢測器/判定器模塊確定故障是故障運(yùn)轉(zhuǎn)故障的通信��,主控制器撤回與故障運(yùn)轉(zhuǎn)狀態(tài)相關(guān)聯(lián)的零件的控制����。
[0027]技術(shù)方案19.如技術(shù)方案11所述的故障控制策略,其中��,用于僅僅控制分類為故障運(yùn)轉(zhuǎn)零件的零件的軟件存儲在副控制器的故障運(yùn)轉(zhuǎn)控制模塊中��。
[0028]技術(shù)方案20.如技術(shù)方案19所述的故障控制策略��,其中�����,故障運(yùn)轉(zhuǎn)控制模塊包括軟件��,用于控制功能減少的故障運(yùn)轉(zhuǎn)零件���。
【附圖說明】
[0029]圖1是集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)的結(jié)構(gòu)框圖��。
[0030]圖2是主控制器和副控制器的放大框圖���。
[0031]圖3示出用于檢測和啟用故障沉默或故障運(yùn)轉(zhuǎn)模式的流程圖�����。
【具體實施方式】
[0032]在圖1中示出的是集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)的結(jié)構(gòu)框圖�����。控制系統(tǒng)�,包括但不限于采用安全關(guān)鍵系統(tǒng)或自控系統(tǒng)的車輛、飛機(jī)和船���,需要容錯對策�,誤差應(yīng)當(dāng)出現(xiàn)在控制系統(tǒng)內(nèi)���。這樣的控制系統(tǒng)將通常采用兩個控制器����,從而如果主控制器出現(xiàn)誤差(由故障引起的)�����,那么�����,備用控制器可以容易地實現(xiàn)對控制系統(tǒng)零件的控制或者提供對錯誤的零件的有限功能的控制。然而���,如果副控制器與主控制器完全相同�����,那么作為軟件的結(jié)果的主控制器中的故障將固有地具有副控制器的軟件中的相同的缺陷�����,因為軟件是完全相同的�����。因此�����,本文采用并描述集成式高性能系統(tǒng)和高確信度系統(tǒng)��。
[0033]在圖1中�,系統(tǒng)被示為包括主控制器12和副控制器14�。本文描述的示范性系統(tǒng)是基于車輛的����,但是����,如前文描述的,該構(gòu)造能夠適用非車輛系統(tǒng)��。
[0034]通信總線16提供主控制器12與副控制器14之間的通信��。致動器18包括用于啟動系統(tǒng)的零件的裝置�。致動器18可以包括僅僅由主控制器控制的零件����,并且在主控制器內(nèi)出現(xiàn)與該零件相關(guān)聯(lián)的故障的故障沉默狀態(tài)下,相應(yīng)零件的運(yùn)轉(zhuǎn)被停����。致動器18可以進(jìn)一步地包括在故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)的零件,此時��,裝置受到主控制器12和副控制器14兩者的控制�。在故障運(yùn)轉(zhuǎn)狀態(tài)下,零件不再受到主控制器的監(jiān)測和控制;然而��,如果該零件已經(jīng)在設(shè)計階段預(yù)先被確定是對車輛是關(guān)鍵的,該零件不能完全停止��,那么裝置以受限的方式保持可運(yùn)轉(zhuǎn)以維持零件的部分運(yùn)轉(zhuǎn)�����。通常�����,這樣的零件要么是關(guān)鍵的�,要么是車輛為維持車輛的至少一些安全運(yùn)轉(zhuǎn)所需要的。
[0035]主控制器12包括處理器�����,其包含主控制20���。主控制器12在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)(本文稱作正常運(yùn)轉(zhuǎn)狀態(tài))并且將產(chǎn)生并發(fā)送控制信號���,關(guān)于控制車輛裝置18的零件。
[0036]副控制器14包括處理器���,其包含故障運(yùn)轉(zhuǎn)控制24�,用于在故障運(yùn)轉(zhuǎn)狀態(tài)期間控制所選致動器的運(yùn)轉(zhuǎn)。以故障運(yùn)轉(zhuǎn)的運(yùn)轉(zhuǎn)模式運(yùn)轉(zhuǎn)的副控制器14產(chǎn)生控制信號��,用于啟動系統(tǒng)的某些零件�����,以維持運(yùn)轉(zhuǎn)來確保系統(tǒng)能夠運(yùn)轉(zhuǎn)�,即使僅僅以有限的方式。這樣的控制裝置通常是關(guān)鍵的裝置�,包括但不限于制動控制和轉(zhuǎn)向控制。在故障運(yùn)轉(zhuǎn)狀態(tài)下���,關(guān)鍵裝置的功能,即使受到限制��,也能夠允許駕駛員安全地駕駛車輛���,直到車輛能夠被開到進(jìn)行檢查的地方����。
[0037]副控制器14進(jìn)一步地包括故障沉默解碼器/判定器模塊26����,用于監(jiān)測主控制器12和副控制器14中的錯誤狀態(tài)���。不像其他的已知系統(tǒng),其中每個控制器包括監(jiān)測系統(tǒng)�,本文描述的構(gòu)造采用單個故障沉默解碼器/判定器模塊26,其監(jiān)測主控制器12和副控制器14這兩者的故障狀況并且產(chǎn)生用于關(guān)閉和/或切換控制器的控制信號�����。
[0038]圖2是主控制器12和副控制器14的放大框圖����。主控制器12的主控制20接收來自遍布車輛的各個裝置或傳感器的輸入信號/數(shù)據(jù)30?�?刂苿幼?2由主控制20確定�,基于在正常運(yùn)轉(zhuǎn)狀態(tài)期間由各個裝置和傳感器獲得的接收到的輸入信號/數(shù)據(jù)30。輸出信號/指令34被主控制20傳送給車輛致動器或系統(tǒng)��,用于在正常運(yùn)轉(zhuǎn)狀態(tài)期間控制零件的運(yùn)轉(zhuǎn)����。
[0039]副控制器14包括故障檢測器/判定器模塊26,用于監(jiān)測主控制器12內(nèi)的故障狀況����。故障檢測器/判定器模塊26的責(zé)任是檢測主控制器12內(nèi)的錯誤的危險狀態(tài)并且確定該危險狀態(tài)是否將引起故障沉默狀態(tài)或故障運(yùn)轉(zhuǎn)狀態(tài)�����。要理解的是�����,故障檢測器/判定器模塊26的錯誤檢測部是故障沉默和故障運(yùn)轉(zhuǎn)狀態(tài)共用的����。故障沉默與故障運(yùn)轉(zhuǎn)零件之間的唯一差別是�����,一旦檢測到錯誤�,主控制器12和副控制器14所要采取的動作。對于故障沉默零件����,必需動作是關(guān)閉與錯誤相關(guān)聯(lián)的零件���,而對于故障運(yùn)轉(zhuǎn)零件��,所要采取的必需動作是把控制從主控制器12切換到副控制器14��。
[0040]副控制器14用作高確信度系統(tǒng)����,基于充當(dāng)故障運(yùn)轉(zhuǎn)控制的單一模式。該高確信度系統(tǒng)僅僅是在故障運(yùn)轉(zhuǎn)零件的情形中需要的�����。結(jié)合在副控制器14中的用于執(zhí)行故障運(yùn)轉(zhuǎn)零件的數(shù)據(jù)和相關(guān)聯(lián)軟件相比于主控制器12來說可以是非常小的�����,因為副控制器14僅僅實施最少的故障運(yùn)轉(zhuǎn)形為�,這可以是低性能的需求或相比于主控制器12所需的功能降低功能。另外�,副控制器14僅僅實施實現(xiàn)在主控制器12中的零件的一小部分。例如��,如果相應(yīng)的系統(tǒng)包括90%的故障沉默零件和僅僅10%的故障運(yùn)轉(zhuǎn)零件�,那么僅僅需要存儲10%的故障運(yùn)轉(zhuǎn)零件在副控制器14中?����;驹硎侵灰撓到y(tǒng)沒有錯誤地以正常運(yùn)轉(zhuǎn)模式運(yùn)轉(zhuǎn),主控制器12就維持車輛零件的控制�。副控制器14僅僅在主控制器12產(chǎn)生系統(tǒng)錯誤并且確定該零件不可靠的時候被啟用。因此��,副控制器14僅僅需要最少數(shù)量的軟件�,這是維持那些被認(rèn)為是運(yùn)轉(zhuǎn)系統(tǒng)零件所必須的各個零件的受限運(yùn)轉(zhuǎn)所需要的。
[0041]響應(yīng)于故障沉默檢測器/判定器26作出的控制應(yīng)當(dāng)切換到副控制器14的高確信度模式的確定��,故障運(yùn)轉(zhuǎn)控制此后被副控制器14的微處理器執(zhí)行����。副控制器14的微處理器從遍布車輛的各個裝置或傳感器接收輸入信號/數(shù)據(jù)40?���?刂苿幼?2由故障運(yùn)轉(zhuǎn)控制24確定,基于在故障運(yùn)轉(zhuǎn)狀態(tài)期間由各個裝置和傳感器獲得的接收到的輸入信號/數(shù)據(jù)40���。輸出信號/指令44被故障運(yùn)轉(zhuǎn)控制24傳送給車輛致動器���,用于在該故障運(yùn)轉(zhuǎn)模式期間控制故障運(yùn)轉(zhuǎn)零件。如先前描述的�,因為故障運(yùn)轉(zhuǎn)零件相比于故障沉默零件來說是小的�����,所以可以在副控制器14中采用更小尺寸的微處理器和存儲器。
[0042]圖3示出副控制器內(nèi)的控制策略的流程圖�,用于檢測錯誤并確定是啟用故障沉默零件還是故障運(yùn)轉(zhuǎn)零件。
[0043]在塊50�����,副控制器的故障沉默解碼器/判定器模塊監(jiān)測故障狀況���。故障沉默檢測器/判定器確定與主控制器相關(guān)聯(lián)的故障的類型和故障的嚴(yán)重程度����。
[0044]在塊51��,故障檢測器/判定器模塊以反復(fù)循環(huán)評估主控制器的每個控制的正確性和安全性���。不管主控制是故障沉默還是故障運(yùn)轉(zhuǎn)��,都執(zhí)行所述評估���。如果作出的確定是主控制器輸出的控制是正確的,那么����,返回步驟50以繼續(xù)分析輸出和故障���。在這個狀態(tài)下,啟用主控制器并且維持對零件的控制�。如果塊51中作出的確定是控制是不正確或不安全的,那么例程前進(jìn)到步驟52��。
[0045]在步驟52�����,故障沉默檢測器/判定器模塊確定與故障相關(guān)聯(lián)的零件是故障沉默需求還是故障運(yùn)轉(zhuǎn)需求����。如果作出的確定是零件被分類為故障沉默需求,那么�,例程前進(jìn)到步驟53;否則,例程前進(jìn)到步驟54�����。
[0046]在步驟53�����,響應(yīng)于確定出現(xiàn)故障沉默狀態(tài),關(guān)于該零件的控制運(yùn)轉(zhuǎn)��,主控制器進(jìn)入故障沉默模式�����。在故障沉默模式中���,用于裝置/系統(tǒng)的相應(yīng)零件變得不可運(yùn)轉(zhuǎn)并且沒有與相應(yīng)零件相關(guān)的控制信號被傳送。主控制器和副控制器都不能啟用故障零件����。應(yīng)當(dāng)理解的是,在設(shè)計狀態(tài)期間被確定為故障沉默的零件通常不是對車輛功能關(guān)鍵的零件或者是車輛運(yùn)行所不依賴的零件��。因此�,副控制器內(nèi)沒有維持零件運(yùn)轉(zhuǎn)的控制策略。
[0047]還理解的是��,主控制器可以控制系統(tǒng)或車輛內(nèi)的各個零件���。因此�����,如果關(guān)于受到主控制器控制的零件在主控制器內(nèi)出現(xiàn)故障�,那么,僅僅是那個零件的運(yùn)轉(zhuǎn)變得不可運(yùn)轉(zhuǎn)���。主控制器可以繼續(xù)監(jiān)測和控制不受故障影響的其它零件�。
[0048]在步驟54���,響應(yīng)于步驟52作出的零件被分類為故障運(yùn)轉(zhuǎn)需求的確定���,主控制器撤回故障零件的控制給副控制器。在故障運(yùn)轉(zhuǎn)狀態(tài)中��,副控制器維持各個零件的運(yùn)轉(zhuǎn)��。該零件可以具有在設(shè)計階段期間預(yù)編程的功能的變化度���。通常�,副控制器將用作高確信度系統(tǒng)���,其允許設(shè)計比主控器更輕量的控制器��。本文使用的措辭〃輕量〃指的是相比較于主控制器計算不那么密集的系統(tǒng)�。此外,根據(jù)做出其確定所利用的數(shù)據(jù)���,副控制器維持增加確信度的數(shù)據(jù)完整性和精度��。因此,僅僅是軟件和相關(guān)運(yùn)轉(zhuǎn)被編程到控制器中���,其提供更高的確信度��,零件能夠被運(yùn)轉(zhuǎn)以維持可能對系統(tǒng)是關(guān)鍵的零件的一些運(yùn)轉(zhuǎn)��,但是����,該零件以減少的方式運(yùn)轉(zhuǎn)��。雖然副控制器維持與故障相關(guān)聯(lián)的各個零件的運(yùn)轉(zhuǎn)�����,但是��,主控制器將不再具有關(guān)于這個零件的任何關(guān)聯(lián)或控制;然而�,主控制器將維持對未受故障影響的其它零件的分析和控制��。
[0049]盡管已經(jīng)詳細(xì)描述了本發(fā)明的某些實施例�����,但是本領(lǐng)域技術(shù)人員將認(rèn)識到各種替代結(jié)構(gòu)和實施例���,以按照下列權(quán)利要求限定的那樣實施本發(fā)明。
【主權(quán)項】
1.一種集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)����,包括: 主控制器,其控制在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)時的裝置的零件��; 副控制器����,其包括故障檢測器/判定器模塊,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障�����,該故障檢測器/判定器模塊確定主控制器中的故障是否關(guān)聯(lián)故障沉默需求還是故障運(yùn)轉(zhuǎn)需求��,其中,如果故障檢測器/判定器模塊確定該故障是故障沉默需求�,那么故障沉默檢測器/判定器給主控制器啟動停機(jī)指令,關(guān)閉受到該故障影響的零件�,其中該零件變得不可運(yùn)轉(zhuǎn),并且其中���,如果故障檢測器/判定器模塊確定與故障相關(guān)聯(lián)的零件是故障運(yùn)轉(zhuǎn)需求�����,那么,故障檢測器/判定器模塊給主控制器信號以撤回該零件的控制給該副控制器�����,其中����,副控制器用作高確信度系統(tǒng),用于控制故障運(yùn)轉(zhuǎn)模式中的零件����。2.如權(quán)利要求1所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng),其中�,該系統(tǒng)的每個零件被分類為故障沉默零件或故障運(yùn)轉(zhuǎn)零件。3.如權(quán)利要求2所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng),其中����,故障沉默檢測器/判定器監(jiān)測并且檢測主控制器中的故障。4.如權(quán)利要求3所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)��,其中���,故障檢測器/判定器模塊檢測主控制器內(nèi)的錯誤的或危險的狀態(tài)��。5.如權(quán)利要求4所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)�,其中��,主控制器中的故障的故障檢測器/判定器模塊檢測是故障沉默零件與故障運(yùn)轉(zhuǎn)零件之間共用的�����。6.如權(quán)利要求2所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)���,其中����,故障沉默檢測器/判定器確定與故障相關(guān)聯(lián)的零件被分類為故障沉默零件或故障運(yùn)轉(zhuǎn)零件����。7.如權(quán)利要求1所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)�,進(jìn)一步地包括故障運(yùn)轉(zhuǎn)控制模塊�,用于控制分類為故障運(yùn)轉(zhuǎn)零件的零件,該故障運(yùn)轉(zhuǎn)控制模塊響應(yīng)于故障檢測器/判定器模塊確定故障是故障運(yùn)轉(zhuǎn)故障來控制故障運(yùn)轉(zhuǎn)零件�。8.如權(quán)利要求7所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng),其中����,響應(yīng)于從故障檢測器/判定器模塊確定故障是故障運(yùn)轉(zhuǎn)故障的通信,主控制器撤回與故障運(yùn)轉(zhuǎn)狀態(tài)相關(guān)聯(lián)的零件的控制�����。9.如權(quán)利要求1所述的集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)�����,其中���,用于僅僅控制分類為故障運(yùn)轉(zhuǎn)零件的軟件存儲在副控制器的故障運(yùn)轉(zhuǎn)控制模塊中。10.—種用于集成式故障沉默和故障運(yùn)轉(zhuǎn)控制系統(tǒng)的故障控制策略�����,包括的步驟是: 提供主控制器,控制在非故障運(yùn)轉(zhuǎn)狀態(tài)下運(yùn)轉(zhuǎn)時的裝置的零件�����; 提供副控制器����,其包括故障檢測器/判定器模塊,該故障檢測器/判定器模塊監(jiān)測主控制器和副控制器中的故障�����; 由故障檢測器/判定器模塊確定主控制器中的故障是故障沉默需求還是故障運(yùn)轉(zhuǎn)需求���; 響應(yīng)于故障檢測器/判定器模塊確定故障是故障沉默需求�,通過故障沉默檢測器/判定器�,給主控制器啟動停機(jī)指令,以關(guān)閉受到該故障影響的零件��,此時�����,該零件變得不可運(yùn)轉(zhuǎn)��;以及 響應(yīng)于故障檢測器/判定器模塊確定與故障相關(guān)聯(lián)的零件是故障運(yùn)轉(zhuǎn)需求,撤回零件的控制給副控制器�,其中,副控制器用作高確信度系統(tǒng)�����,用于控制故障運(yùn)轉(zhuǎn)模式中的零件��。
【文檔編號】G05B23/02GK106054852SQ201610233246
【公開日】2016年10月26日
【申請日】2016年4月15日
【發(fā)明人】T.E.富爾曼, S.薩米
【申請人】通用汽車環(huán)球科技運(yùn)作有限責(zé)任公司