用于控制和自动重启技术装置的方法制造方法及图纸

本发明专利技术属于计算机技术领域。它描述安全自动化系统的架构和用于技术装置、例如技术设备(如机器人或车辆、尤其机动车)的安全、自主运行的方法。这里公开的架构解决了如下问题：在分布式实时计算机系统的复杂子系统之一中的任何可能的拜占庭错误，无论该错误是由硬件的意外故障、软件中的设计错误引起，还是由入侵引起，都必须被识别并如此支配，使得不发生安全相关的事件。该架构由四个在很大程度上独立的子系统组成，这些子系统按层级布置并且分别形成封装的故障遏制单元(FCU)。在层级结构的最上面位置的是安全子系统，即容错决策子系统，它在容错硬件上实施简单的软件。其他三个子系统是不安全的，因为它们包含在非容错硬件上执行的复杂软件。上执行的复杂软件。上执行的复杂软件。

【技术实现步骤摘要】
用于控制和自动重启技术装置的方法


[0001]本专利技术涉及一种用于利用分布式实时计算机系统来控制和自动重启技术装置(例如技术设备，如机器人或车辆、尤其机动车)的方法，其中，实时计算机系统包括子系统，尤其多个子系统，其中，这些子系统按例如层级式地布置，并且其中，这些子系统关于全球时间同步，其方式例如为，存在优选地处在子系统的层级结构之外的时间服务器，其中，时间服务器周期性地向每个子系统发送同步消息，例如发送给每个子系统的时钟，用于同步这些子系统或这些子系统的时钟，以构建全球时间，并且其中，在使用该全球时间的情况下将时间轴划分为一系列的同步的时间片(或称为时隙，即Zeitscheibe)。
[0002]本专利技术还涉及一种实时计算机系统，尤其是分布式实时计算机系统，用于控制技术装置，例如技术设备，如机器人或车辆、尤其机动车，其中，实时计算机系统包括子系统，尤其多个子系统，其中，这些子系统按例如层级式地布置，并且其中，这些子系统关于全球时间同步，其方式例如为，存在优选地处在子系统的层级结构之外的时间服务器，其中，时间服务器被设定用于周期性地向每个子系统发送同步消息，例如发送给每个子系统的时钟，用于同步这些子系统或这些子系统的时钟，以构建全球时间，并且其中，在使用该全球时间的情况下将时间轴划分为一系列的同步的时间片。
[0003]本专利技术属于计算机
它描述了一种用于在技术装置(如机器人或车辆、尤其机动车)发生瞬态错误后安全、自主地运行和重新启动的方法，和一种用于控制这种技术装置的实时计算机系统。在该文献中，由技术装置和控制该装置的实时计算机系统组成的系统也称为信息物理系统(CPS)。

技术介绍

[0004]技术装置例如技术设备(如机器人或车辆、尤其机动车)的自主运行需要实时计算机系统，该实时计算机系统使用传感器来观察技术装置(如设备)的环境，借助在实时计算机系统上实施的过程模型来评估传感器数据，并将算出的额定值传输给影响物理过程进展的执行器。例如，可以使用光学传感器(相机)、激光雷达、雷达传感器以及各种其他传感器来观察周围环境。传感器数据的评估、传感器数据的数据融合和必要环境模型的创建，以及轨迹的规划，都需要具有数百万条指令的复杂软件部件。
[0005]在许多信息物理系统中，例如在车辆的自主控制中，实时计算机系统中出现的错误可能具有严重影响。这种故障可能由子系统的硬件的暂时的或永久的故障触发，或由软件中的缺陷(设计错误)触发。在安全危急型应用中，系统层面的灾难性故障的平均无故障时间(MTTF)必须在108到109小时的数量级。
[0006]但系统的错误行为也可能由入侵触发。如果发生入侵(侵入系统中)，入侵者(侵入者)会绕过入侵检测机制并完全控制系统。然后入侵者可以使受感染的子系统产生拜占庭错误。“在信息技术中系统随意地发生错误行为的错误称为拜占庭错误”[WikIb]。因此，拜占庭错误是系统中可能发生的最恶意的错误。
[0007]安全实时计算机系统的架构必须确保，实时计算机系统的复杂子系统之一中的任
何可能的拜占庭错误，无论是由意外的硬件失效、软件中的设计错误引起，还是由入侵引起，都被识别到并如此支配，使得技术装置被引导至安全状态下。安全状态可以是静态的，即技术装置的运行停止，或者是动态的，即技术装置进入安全运行区域。
[0008]下面将区分暂时性的和永久性的错误原因。
[0009]如果错误的原因是暂时的，其尚未对尤其是实时计算机系统的计算机硬件或技术装置造成任何永久性损坏，则存在暂时性错误原因。针对暂时性错误的一个示例是由自然宇宙辐射触发的单事件翻转(SEU)[Con02]，它导致计算机内存中的一次位翻转，但不会进一步损害存储器的未来的物理功能。
[0010]如果错误的原因是永久性的并且已导致计算机硬件或技术装置的永久性损坏，则存在永久性错误原因。针对永久性错误的一个示例是电线路断裂。
[0011]由于技术设备的硬件和计算机的硬件即使在发生暂时性错误后也能正常运行，因此原则上可行的事故，一旦因错误原因而损坏的数据结构获得修复，就可以恢复装置的正常运行。

技术实现思路

[0012]本专利技术的目的是公开一种方法和一种实时计算机系统，其在发生暂时性错误后自动恢复技术设备的正常运行。
[0013]该目的利用开头提到的方法由此来实现，即，根据本专利技术：每个子系统，且如果存在时间服务器则还有时间服务器，相应地形成自己的故障遏制单元，并且其中，子系统之一是决策子系统，即所谓的容错决策子系统FTDSS，它优选放置在层级结构的最高层面，其中，FTDSS被设定用于借助消息在每个时间片中将额定值传送至执行器，其中，容错决策子系统FTDSS是安全子系统，即它包含在容错硬件上实施的简单软件，并且其中，设置至少三个或正好三个数据处理子系统，即一个正常处理子系统NPSS、一个监控子系统MSS和一个危急事件处理子系统CEHSS，它们优选地被放置在下一个较低的层级，其中，这至少三个或正好三个数据处理子系统被设定用于利用传感器来检测用传感器观察到的周围环境的传感器数据，并相互独立地评估这些传感器数据，其中，数据处理子系统在时间片开始时分别观察周围环境，并在该时间片期间利用通过在时间片开始时对周围环境执行的观察而获得的传感器数据执行计算，并且其中，i. 正常处理子系统NPSS在每个时间片中、优选在时间片的末端，将针对正常运行的一组额定值在消息中发送给容错决策子系统FTDSS，并且在消息中发送给监控子系统MSS，并且其中，ii. 危急事件处理子系统CEHSS在每个时间片中、优选在时间片的末端，将针对异常运行的一组额定值在消息中发送给容错决策子系统FTDSS，并且其中，CEHSS在此消息中还向FTDSS通报技术装置是否处于安全状态，并且其中，iii. 容错决策子系统FTDSS在每个时间片中、优选在时间片的末端，将针对正常运行的接收到的一组额定值在消息中发送给监控子系统MSS，并且其中，优选容错决策子系统FTDSS还在每个时间片中，优选在时间片的末端，将针对异常运行的接收到的一组额定值
在消息中发送给监控子系统MSS，并且其中，iv. 监控子系统MSS在每个时间片中执行检查：针对正常运行的额定值组是否与环境模型兼容，并确保在正常条件下安全地操纵技术装置，监控子系统在所述消息中从正常处理子系统NPSS获得额定值组，该环境模型由MSS基于MSS的传感器数据算出，此外，监控子系统MSS在每个时间片中检查针对正常运行的额定值组是否与相应的额定值组相同，监控子系统从正常处理子系统NPSS在所述消息中获得所述额定值组，所述相应的额定值组从正常处理子系统NPSS通过容错决策子系统FTDSS发送给监控子系统MSS，并且，如果两个检查都是肯定的，则将正确性指示符(正确性指示符
‑
1)设置为值TRUE，如果两个检查之一是否定的或两个检查都是否定的，则将正确性指示符
‑
1设置为值FALSE，并将正确性指示符
‑
1或将正确性指示符
‑
1的值在每个本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于利用分布式实时计算机系统来控制技术装置，例如技术设备，如机器人或车辆、尤其机动车的方法，其中，所述实时计算机系统包括子系统，尤其多个子系统，其中，这些子系统按例如层级式地布置，并且其中，这些子系统关于全球时间同步，其方式例如为，存在优选地处在子系统的层级结构之外的时间服务器(210)，其中，所述时间服务器(210)周期性地向每个子系统发送同步消息(211)，例如发送给每个子系统的时钟，以便同步所述子系统或所述子系统的时钟，以构建全球时间，并且其中，在使用所述全球时间的情况下将时间轴划分为一系列的同步的时间片，其特征在于，每个子系统(100、110、120、130)和如果存在的话所述时间服务器(210)相应地形成自己的故障遏制单元，并且其中，子系统之一是决策子系统，即所谓的容错决策子系统FTDSS(100)，其优选放置在所述层级结构的最高层面，其中，所述FTDSS(100)能够借助消息(101)在每个时间片中将额定值传送给执行器(150)，其中，所述容错决策子系统FTDSS(100)是安全子系统，也就是说包含在容错硬件上实施的简单软件，并且其中，设置至少三个或正好三个数据处理子系统，即一个正常处理子系统NPSS(110)、一个监控子系统MSS(120)和一个危急事件处理子系统CEHSS(130)，它们优选地被放置在下一个较低的层级结构层面，其中，所述至少三个或正好三个数据处理子系统利用传感器(160)来检测用所述传感器(160)观察到的周围环境的传感器数据，并相互独立地评估这些传感器数据，其中，所述数据处理子系统(110、120、130)在时间片开始时分别观察周围环境，并在该时间片期间利用通过在所述时间片开始时对周围环境执行的观察获得的传感器数据执行计算，并且其中，i. 所述正常处理子系统NPSS(110)在每个时间片中，优选在时间片的末端，将针对正常运行的一组额定值在消息(111)中发送给所述容错决策子系统FTDSS(100)，并且在消息(112)中发送给所述监控子系统MSS(120)，并且其中，ii. 所述危急事件处理子系统CEHSS(130)在每个时间片中，优选在时间片的末端，将针对异常运行的一组额定值在消息(131)中发送给所述容错决策子系统FTDSS(100)，并且其中，所述CEHSS(130)在此消息(131)中还向所述FTDSS(100)通报所述技术装置是否处于安全状态，并且其中，iii. 所述容错决策子系统FTDSS(100)在每个时间片中，优选在时间片的末端，将接收到的针对正常运行的一组额定值在消息(102)中发送给所述监控子系统MSS(120)，并且其中，优选所述容错决策子系统FTDSS(100)还在每个时间片中，优选在时间片的末端，将接收到的针于异常运行的一组额定值在消息(102)中发送给所述监控子系统MSS(120)，并且其中，iv. 所述监控子系统MSS(120)在每个时间片中执行检查针对正常运行的额定值组是否与环境模型兼容，并确保在正常条件下安全地操纵技术装置，所述监控子系统在所述消息(112)中从正常处理子系统NPSS(110)获得所述额定值组，所述环境模型由MSS(120)基于MSS(120)的传感器数据(160)算出，并且此外，所述监控子系统MSS(120)在每个时间片中执
行检查针对正常运行的额定值组是否与相应的额定值组相同，所述监控子系统从正常处理子系统NPSS(110)在所述消息(112)中获得所述额定值组，所述相应的额定值组由所述正常处理子系统NPSS(110)经由所述容错决策子系统FTDSS(100)发送给所述监控子系统MSS(120)，并且，如果两个检查都是肯定的，则将正确性指示符、即正确性指示符
‑
1，设置为值TRUE，如果两个检查之一是否定的或两个检查都是否定的，则将正确性指示符
‑
1设置为值FALSE，并将正确性指示符
‑
1或将正确性指示符
‑
1的值在每个时间片中在消息(121)中发送给容错决策子系统FTDSS(100)，并且其中，所述容错决策子系统FTDSS(100)在每个时间片中做出如下决定：在正确性指示符
‑
1的值为TRUE的情况下，将针对正常运行的一组额定值例如在消息(101)中传输给执行器(150)，在正确性指示符
‑
1的值为FALSE或由FTDSS(100)预期的带有正确性指示符
‑
1的消息(121)缺失的情况下，把针对异常运行的额定值组例如在消息(101)中传送给执行器(150)，其中，在这种情况下，从这个时间点开始，在后续时间片中把针对异常运行的额定值传送给所述执行器(150)，直到所述技术装置已达到安全状态，所述安全状态由CEHSS优选在所述消息(131)中通报给所述FTDSS(100)，并且其中，所述容错决策子系统FTDSS(100)在每个时间片中将传送给所述执行器(150)的额定值在消息(401、402)中发送给NPSS(110)和MSS(120)，并且其中，在NPSS(110)和/或MSS(120)基于对消息(401、402)中包含的额定值的检查确认FTDSS(100)已将针对异常运行的额定值传送给执行器(150)的情况下，触发MSS(120)和NPSS(110)的重启，其中，优选无论NPSS(110)还是MSS(120)都被设定用于分别触发自己的重启，其中，一旦
‑ꢀ
FTDSS(100)基于CEHSS(130)的消息(131)的内容确认设备处于安全状态，在该消息中，CEHSS(130)报告技术装置是否处于安全状态，并且
‑ꢀ
FTDSS(100)在一个时间片中从NPSS(110)例如在消息(111)中接收一组针对正常运行的额定值，并且
‑ꢀ
FTDSS(100)在该时间片中从MSS(120)例如利用消息(121)接收具有值TRUE的正确性指示符
‑
1，则重启结束，并且其中，重启结束后，FTDSS(100)再次将从NPSS(110)获得的针对正常运行的额定值传送给执行器，从而又能够执行或执行步骤i.
‑
iv，并且其中，这两个数据处理子系统即NPSS(110)和MSS(120)的重启分别包括以下步骤：a) 重置数据处理子系统的硬件；b) 实施测试软件，以便确认数据处理子系统的完整性；c) 重新初始化和重启数据处理子系统的软件；d) 利用通过在时间片开始时对周围环境进行的观察而获得的传感器数据执行计算。2.根据权利要求1所述的方法，其中，所述NPSS(110)的重启由所述NPSS(100)的看门狗触发，和/或所述MSS(120)的重启由所述MSS(120)的看门狗触发，和/或所述CEHSS(130)的重启能够由所述CEHSS(130)的看门狗触发。3.根据权利要求1或2所述的方法，其中，所述容错决策子系统FTDSS(100)还在每个时
间片中，优选在时间片的末端，在消息(102)中将所接收到的针对异常运行的一组额定值发送给监控子系统MSS(120)，并且其中，所述监控子系统MSS(120)在每个时间片中检查针对异常运行的额定值组是否与环境模型兼容，并确保在异常运行中安全地操纵技术装置，所述监控子系统从危急事件处理子系统CEHSS(130)经由FTDSS(100)尤其借助消息(131、102)获得该额定值组，该环境模型基于MSS的传感器数据由MSS算出，如果这是这种情况，则将另一个正确性指示符(即正确性指示符
‑
2)设置为值TRUE，如果不是这种情况，或者如果在一个时间片内没有从CEHSS(130)接收到针对异常运行的一组额定值，则将正确性指示符
‑
2设置为值FALSE，并且其中，监控子系统MSS(120)在经过比CEHSS(130)的重启时长更长的延迟间歇之后将正确性指示符
‑
2发送给正常处理子系统NPSS(110)，并且其中，所述正常处理子系统NPSS(110)检查从监控子系统MSS获得的正确性指示符
‑
2是否具有值FALSE，如果这是这种情况，则中断技术装置的正常操作，并将技术装置引导至安全状态。4.根据权利要求1至3中任一项所述的方法，其中，所述正常处理子系统NPSS(110)，除了传送针对正常运行的额定值组之外，还在每个时间片中例如在消息(112)中传送针对正常运行的计划轨迹，在该消息中正常处理子系统将针对正常运行的额定值组发送给监控子系统MSS(120)。5.根据权利要求1至4中任一项所述的方法，其中，所述时间服务器是容错的。6.根据权利要求1至5中任一项所述的方法，其中，所述数据处理子系统(110、120、130)是不安全的子系统，即它们包含在非容错硬件上实施的复杂软件。7.根据权利要求1至6中任一项所述的方法，其中，所述数据处理子系统(110、120、130)包含多种软件，以便例如计算针对所述执行器(150)的额定值和/或环境模型。8.根据权利要求1至7中任一项所述的方法，其中，所述数据处理子系统(110、120、130)中的每一个具有自己的一组传感器，或者每个数据处理子系统(110、120、130)访问所述传感器中的每一个。9.根据权利要求1至8中任一项所述的方法，其中，所述子系统(100、110、120、130、210)中的每一...

【专利技术属性】
技术研发人员：H，
申请(专利权)人：TTTECH汽车股份公司，
类型：发明
国别省市：