用于降低运动实体的故障安全轨迹规划中错误否定的方法和容错计算机架构技术

本发明专利技术涉及一种用于改善运动实体的故障安全轨迹规划的性能的方法和容错计算机架构FCTA。该方法和FCTA使用：实施传感器融合阶段和轨迹规划阶段的命令器；和实施传感器融合阶段和安全包络生成阶段的监视器。命令器还实施信息合并阶段，其将所述命令器和所述监视器的传感器融合阶段的至少部分输出组合，以产生输出，并且其中当产生一个或者多个轨迹时，命令器的轨迹规划阶段使用信息合并阶段产生的输出，或命令器实施信息协商阶段，其中协商阶段将关于传感器数据和信息的信息提供给轨迹规划阶段；轨迹规划阶段在命令器的传感器融合阶段提供的实时图像周围增加安全裕度，并且轨迹规划阶段产生的轨迹不与实时图像交叉，也不与所述安全裕度交叉。

【技术实现步骤摘要】
用于降低运动实体的故障安全轨迹规划中错误否定的方法和容错计算机架构
本专利技术涉及一种用于降低运动实体的故障安全轨迹规划中错误否定的方法，该方法采用至少三个子系统，其中所述子系统中的第一子系统，即，所谓的命令器至少实施传感器融合阶段和轨迹规划阶段；并且其中所述子系统中的第二子系统，即，所谓的监视器至少实施传感器融合阶段和安全包络生成阶段(safeenvelopegeneratingstage)；并且其中传感器正监视运动实体的周围；并且其中命令器和监视器的所述传感器融合阶段接受来自所述传感器的监视的原始传感器数据和/或预处理传感器数据，作为输入；并且其中基于所述输入，命令器和监视器的传感器融合阶段产生从传感器的监视而检测到的目标的实时图像，作为输出；并且其中命令器的轨迹规划阶段至少基于命令器的传感器融合阶段的输出产生一个或者多个轨迹；并且其中监视器的所述安全包络生成阶段至少基于监视器的传感器融合阶段的输出产生安全包络；并且其中当且仅当所述轨迹完全位于监视器的安全包络生成阶段产生的所述安全包络内时，监视器的轨迹验证阶段和/或判定子系统的轨迹验证阶段才验证命令器产生的轨迹；并且其中仅当监视器和/或判定子系统已验证命令器产生的轨迹时，运动实体才使用所述轨迹。此外，本专利技术涉及一种用于对运动实体进行故障安全轨迹规划的容错系统，特别是容错计算机系统，其中该系统至少包括三个子系统，其中所述子系统中的第一子系统，即，所谓的命令器至少实施传感器融合阶段和轨迹规划阶段；并且其中所述子系统中的第二子系统，即，所谓的监视器至少实施传感器融合阶段和安全包络生成阶段；其中将命令器和监视器的所述传感器融合阶段配置，以接受来自正监视运动实体的周围的传感器的原始传感器数据和/或预处理传感器数据，作为输入；并且其中基于所述输入将命令器和监视器的传感器融合阶段配置，以产生从传感器的监视而检测到的目标的实时图像，作为输出；并且其中将命令器的轨迹规划阶段配置，以至少基于命令器的传感器融合阶段的输出产生一个或者多个轨迹；并且其中将第二子系统的所述安全包络生成阶段配置，以至少基于监视器的传感器融合阶段的输出产生安全包络；并且其中将监视器的轨迹验证阶段和/或判定子系统的轨迹验证阶段配置，以当且仅当所述轨迹完全位于监视器的安全包络生成阶段产生的所述安全包络内时，才验证命令器产生的轨迹；并且其中仅当监视器和/或判定子系统已验证命令器产生的轨迹时，运动实体才使用所述轨迹。最后，本专利技术涉及一种自主运动实体，该自主运动实体包括至少一个容错系统，如上所述。
技术介绍
在没有人连续干预的情况下，运动实体在三维空间中的自主操纵要求运动实体既有对使运动实体能够沿着其安全地运动的轨迹实施规划的能力，又有对其周围实施识别的能力。我们将这种轨迹称为安全轨迹。运动实体借助基于计算机的系统(包含传感器和致动器)实现这种功能。基于计算机的系统的部件可能例如因为随机硬件故障而发生故障。因此，如果这种故障未得到适当处理，则有错计算机系统可能计算出不安全的轨迹，例如，导致沿着该轨迹的运动实体与目标发生碰撞的轨迹。利用适当的冗余机制和容错机制，能够缓解计算机系统的故障。
技术实现思路
本专利技术的目的是公开一种容许自主机动运动实体的计算机系统中发生故障的新颖方法和系统。该目的由
中描述的方法和容错系统满足，其中命令器实施信息合并阶段，该信息合并阶段取命令器的传感器融合阶段的至少部分输出和监视器的传感器融合阶段的至少部分输出作为信息，并且组合所述信息，以产生输出，并且其中当产生一个或者多个轨迹时，命令器的轨迹规划阶段使用所述信息合并阶段的所述产生的输出，其中信息合并阶段利用集论超集运算将来自传感器融合阶段的输出组合，以产生输出，或者在传感器融合阶段产生自由空间作为输出的情况下，该信息合并阶段利用集论截集运算将来自传感器融合阶段的输出组合，或者在命令器实施信息协商阶段，即，所谓的第一信息协商阶段，其中所述第一信息协商阶段取来自传感器的至少部分原始传感器数据和/或预处理传感器数据作为信息，并且还取指出监视器从所述传感器的监视中接受哪个原始传感器数据和/或预处理传感器数据的信息作为其传感器融合阶段的输入，命令器和监视器基于哪个输入产生实时图像作为输出，其中所述第一信息协商阶段将来自传感器的至少部分原始传感器数据和/或预处理传感器数据、并且还取指出监视器将在其传感器融合阶段使用哪个传感器数据的信息提供给轨迹规划阶段，并且其中所述轨迹规划阶段使用来自所述第一信息协商阶段的所述信息，以在命令器的传感器融合阶段提供的实时图像周围增加安全裕度，并且其中所述轨迹规划阶段产生轨迹，所述轨迹既不与命令器的传感器融合阶段产生的实时图像交叉，又不与该实时图像周围的所述安全裕度交叉。根据本专利技术，提供至少三个子系统，即，命令器、监视器和判定子系统，这三个子系统例如形成计算机系统。假定在任意时间点或者命令器或者监视器或者判定子系统可能发生故障，而非两个或者三个所述子系统在同一个时间点发生故障。命令器产生轨迹。监视器计算安全轨迹的空间(称为安全包络)。在一个实现中，判定子系统接受来自命令器的轨迹和来自监视器的安全包络，并且当且仅当命令器产生的轨迹的确位于监视器计算的安全包络内时，才成功验证来自命令器的轨迹。如果该轨迹被判定子系统(成功)验证，则运动实体仅沿着该轨迹运动。对于故障情况，命令器可产生不安全轨迹，或者监视器可产生错误性安全包络。然而，设计判定子系统，使得即使在发生故障的情况下，仍确保当且仅当所述命令器轨迹位于监视器产生的/计算的安全包络内时，判定子系统才验证命令器轨迹(即，命令器产生的轨迹)。例如，通过根据良好既定工程工艺和标准将判定子系统构造成简单部件，例如，通过根据ISO26262标准将判定子系统设计为ASILD部件，或者根据DO178c和DO254标准将其设计成简单器件，可以建立判定子系统的这种故障模式。作为另一种选择，判定子系统本身可实现为自检对。EP3166246A1和WO2015/058224A1中描述了自检对实现的示例。由于或者命令器或者监视器或者判定子系统可能发生故障，而非任意两个或者三个子系统在同一个时间点发生故障，所以判定子系统永远不会成功验证不安全的命令器轨迹，并且因此，运动实体不沿着不安全的命令器轨迹运动。在另一实现中，监视器可以接收来自命令器的轨迹，并且可以实施验证功能(而非判定子系统)。在这种情况下，监视器将其是否成功验证命令器轨迹通知判定子系统。这样实施的好处是使得判定子系统更加简单，这有助于支持其故障行为，如上所述。由于命令器和监视器的硬件优选地不相同，并且/或者命令器和监视器不使用相同的输入并且/或者将实施不同的软件例程并且/或者在任何其他方面互相不同，所以命令器产生的确安全的轨迹，而监视器产生确实与命令器轨迹对应的安全包络具有非零的概率。将这种安全轨迹由命令器计算而未被监视器(或判定子系统)成功验证称为错误否定。错误否定有问题，因为计算机系统不能将错误否定与命令器的故障区别开。在示例性实现中，错误否定可导致运动实体进入紧急状态，或者切换到更冗余的后备装置，但是却没有发生故障。因此，为了避免发生这种情况，将发生错误否定的概率降低到最低至关重要。本专利技术通过由监视器对命令器提本文档来自技高网...

【技术保护点】
1.一种用于降低运动实体(MOV)的故障安全轨迹规划中错误否定的方法，所述方法采用至少三个子系统(COM、MON、DECIDE)，其中所述子系统中的第一子系统，即所谓的命令器(COM)，至少实施传感器融合阶段(SF1)和轨迹规划阶段(TRJ‑PLN)；并且其中所述子系统中的第二子系统，即所谓的监视器(MON)，至少实施传感器融合阶段(SF2)和安全包络生成阶段(ENV)；并且其中传感器(SENS1至SENS3、SENSk、SENSk1)正在监视所述运动实体(MOV)的周围；并且其中所述命令器(COM)和所述监视器(MON)的所述传感器融合阶段(SF1、SF2)接受来自所述传感器(SENS1至SENS3、SENSk、SENSk1)的监视的原始传感器数据和/或预处理传感器数据，作为输入；并且其中基于所述输入，所述命令器(COM)和所述监视器(MON)的所述传感器融合阶段(SF1、SF2)产生从所述传感器的监视而检测到的目标(OBJ1、OBJ2)的实时图像(COM‑OBJ1、COM‑OBJ2、MON‑OBJ1、MON‑OBJ2)，作为输出；并且其中所述命令器(COM)的所述轨迹规划阶段(TRJ‑PLN)至少基于所述命令器(COM)的所述传感器融合阶段(SF1)的所述输出产生一个或者多个轨迹(COM‑TRJ1、COM‑TRJ2)；并且其中所述监视器(MON)的所述安全包络生成阶段(ENV)至少基于所述监视器(MON)的所述传感器融合阶段(SF2)的所述输出产生安全包络；并且其中当且仅当所述轨迹(COM‑TRJ1、COM‑TRJ2)完全位于所述监视器(MON)的所述安全包络生成阶段(ENV)产生的所述安全包络内时，所述监视器(MON)的轨迹验证阶段(TRJ‑VRFY)和/或判定子系统(DECIDE)的轨迹验证阶段(TRJ‑VRFY)才验证所述命令器(COM)产生的轨迹(COM‑TRJ1、COM‑TRJ2)；并且其中仅当所述监视器(MON)和/或所述判定子系统(DECIDE)已验证所述命令器(COM)产生的轨迹(COM‑TRJ1、COM‑TRJ2)时，运动实体(MOV)才使用所述轨迹，其中所述命令器(COM)实施信息合并阶段(MRG)，所述信息合并阶段(MRG)取所述命令器(COM)的所述传感器融合阶段(SF1)的至少部分所述输出(COM‑OBJ1、COM‑OBJ2)和所述监视器(MON)的所述传感器融合阶段(SF2)的至少部分所述输出(MON‑OBJ1、MON‑OBJ2)作为信息，并且组合所述信息，以产生输出(MRG‑OBJ1、MRG‑OBJ2)，并且其中当产生一个或者多个轨迹(COM‑TRJ1、COM‑TRJ2)时，所述命令器(COM)的所述轨迹规划阶段(TRJ‑PLN)使用所述信息合并阶段(MRG)产生的输出(MRG‑OBJ1、MRG‑OBJ2)，其中所述信息合并阶段(MRG)利用集论超集运算将来自所述传感器融合阶段(SF1、SF2)的所述输出(COM‑OBJ1、COM‑OBJ2、MON‑OBJ1、MON‑OBJ2)组合，以产生输出(MRG‑OBJ1、MRG‑OBJ2)，或者在所述传感器融合阶段(SF1、SF2)产生自由空间作为输出的情况下，所述信息合并阶段(MRG)利用集论截集运算将来自所述传感器融合阶段(SF1、SF2)的所述输出(COM‑OBJ1、COM‑OBJ2、MON‑OBJ1、MON‑OBJ2)组合，或者在所述命令器(COM)实施信息协商阶段，即所谓的第一信息协商阶段(AGR1)，其中所述第一信息协商阶段(AGR1)取来自传感器(SENS1至SENS3、SENSk、SENSk1)的至少部分所述原始传感器数据和/或预处理传感器数据作为信息，并且还取指出监视器从所述传感器(SENS1至SENS3、SENSk、SENSk1)的监视中接受哪个原始传感器数据和/或预处理传感器数据的信息作为其传感器融合阶段(SF2)的输入，所述命令器(COM)和所述监视器(MON)基于哪个输入产生实时图像作为输出，其中所述第一信息协商阶段(AGR1)将来自传感器(SENS1至SENS3、SENSk、SENSk1)的至少部分原始传感器数据和/或预处理传感器数据、并且还取指出监视器(MON)将在其传感器融合阶段(SF2)使用哪个传感器数据的信息提供给轨迹规划阶段(TRJ‑PLN)，并且其中所述轨迹规划阶段(TRJ‑PLN)使用来自所述第一信息协商阶段(AGR1)的所述信息，以在所述命令器(COM)的所述传感器融合阶段(SF1)提供的所述实时图像(COM‑OBJ1、COM‑OBJ2)周围增加安全裕度，并且其中所述轨迹规划阶段(TRJ‑PLN)产生轨迹(COM‑TRJ1、COM‑TRJ2)，所述轨迹(COM‑TRJ1、COM‑TRJ2)既不与所述命令器(C...

【技术特征摘要】
2017.06.27 EP 17178118.01.一种用于降低运动实体(MOV)的故障安全轨迹规划中错误否定的方法，所述方法采用至少三个子系统(COM、MON、DECIDE)，其中所述子系统中的第一子系统，即所谓的命令器(COM)，至少实施传感器融合阶段(SF1)和轨迹规划阶段(TRJ-PLN)；并且其中所述子系统中的第二子系统，即所谓的监视器(MON)，至少实施传感器融合阶段(SF2)和安全包络生成阶段(ENV)；并且其中传感器(SENS1至SENS3、SENSk、SENSk1)正在监视所述运动实体(MOV)的周围；并且其中所述命令器(COM)和所述监视器(MON)的所述传感器融合阶段(SF1、SF2)接受来自所述传感器(SENS1至SENS3、SENSk、SENSk1)的监视的原始传感器数据和/或预处理传感器数据，作为输入；并且其中基于所述输入，所述命令器(COM)和所述监视器(MON)的所述传感器融合阶段(SF1、SF2)产生从所述传感器的监视而检测到的目标(OBJ1、OBJ2)的实时图像(COM-OBJ1、COM-OBJ2、MON-OBJ1、MON-OBJ2)，作为输出；并且其中所述命令器(COM)的所述轨迹规划阶段(TRJ-PLN)至少基于所述命令器(COM)的所述传感器融合阶段(SF1)的所述输出产生一个或者多个轨迹(COM-TRJ1、COM-TRJ2)；并且其中所述监视器(MON)的所述安全包络生成阶段(ENV)至少基于所述监视器(MON)的所述传感器融合阶段(SF2)的所述输出产生安全包络；并且其中当且仅当所述轨迹(COM-TRJ1、COM-TRJ2)完全位于所述监视器(MON)的所述安全包络生成阶段(ENV)产生的所述安全包络内时，所述监视器(MON)的轨迹验证阶段(TRJ-VRFY)和/或判定子系统(DECIDE)的轨迹验证阶段(TRJ-VRFY)才验证所述命令器(COM)产生的轨迹(COM-TRJ1、COM-TRJ2)；并且其中仅当所述监视器(MON)和/或所述判定子系统(DECIDE)已验证所述命令器(COM)产生的轨迹(COM-TRJ1、COM-TRJ2)时，运动实体(MOV)才使用所述轨迹，其中所述命令器(COM)实施信息合并阶段(MRG)，所述信息合并阶段(MRG)取所述命令器(COM)的所述传感器融合阶段(SF1)的至少部分所述输出(COM-OBJ1、COM-OBJ2)和所述监视器(MON)的所述传感器融合阶段(SF2)的至少部分所述输出(MON-OBJ1、MON-OBJ2)作为信息，并且组合所述信息，以产生输出(MRG-OBJ1、MRG-OBJ2)，并且其中当产生一个或者多个轨迹(COM-TRJ1、COM-TRJ2)时，所述命令器(COM)的所述轨迹规划阶段(TRJ-PLN)使用所述信息合并阶段(MRG)产生的输出(MRG-OBJ1、MRG-OBJ2)，其中所述信息合并阶段(MRG)利用集论超集运算将来自所述传感器融合阶段(SF1、SF2)的所述输出(COM-OBJ1、COM-OBJ2、MON-OBJ1、MON-OBJ2)组合，以产生输出(MRG-OBJ1、MRG-OBJ2)，或者在所述传感器融合阶段(SF1、SF2)产生自由空间作为输出的情况下，所述信息合并阶段(MRG)利用集论截集运算将来自所述传感器融合阶段(SF1、SF2)的所述输出(COM-OBJ1、COM-OBJ2、MON-OBJ1、MON-OBJ2)组合，或者在所述命令器(COM)实施信息协商阶段，即所谓的第一信息协商阶段(AGR1)，其中所述第一信息协商阶段(AGR1)取来自传感器(SENS1至SENS3、SENSk、SENSk1)的至少部分所述原始传感器数据和/或预处理传感器数据作为信息，并且还取指出监视器从所述传感器(SENS1至SENS3、SENSk、SENSk1)的监视中接受哪个原始传感器数据和/或预处理传感器数据的信息作为其传感器融合阶段(SF2)的输入，所述命令器(COM)和所述监视器(MON)基于哪个输入产生实时图像作为输出，其中所述第一信息协商阶段(AGR1)将来自传感器(SENS1至SENS3、SENSk、SENSk1)的至少部分原始传感器数据和/或预处理传感器数据、并且还取指出监视器(MON)将在其传感器融合阶段(SF2)使用哪个传感器数据的信息提供给轨迹规划阶段(TRJ-PLN)，并且其中所述轨迹规划阶段(TRJ-PLN)使用来自所述第一信息协商阶段(AGR1)的所述信息，以在所述命令器(COM)的所述传感器融合阶段(SF1)提供的所述实时图像(COM-OBJ1、COM-OBJ2)周围增加安全裕度，并且其中所述轨迹规划阶段(TRJ-PLN)产生轨迹(COM-TRJ1、COM-TRJ2)，所述轨迹(COM-TRJ1、COM-TRJ2)既不与所述命令器(COM)的所述传感器融合阶段(SF1)产生的所述实时图像(COM-OBJ1、COM-OBJ2)交叉，又不与所述实时图像(COM-OBJ1、COM-OBJ2)周围的所述安全裕度交叉。2.根据权利要求1所述的方法，其特征在于，所述监视器(MON)实施信息协商阶段，即所谓的第二信息协商阶段(ARG2)。3.根据权利要求1或2所述的方法，其特征在于，指出所述监视器(MON)将在其传感器融合阶段(SF2)中会使用哪个传感器数据的信息由所述第二信息协商阶段(ARG2)提供。4.根据权利要求1至3中的任何一项所述的方法，其特征在于，所述轨迹规划阶段(TRJ-PLN)利用在监视器(MON)的不同阶段，即传感器融合阶段(SF2)、安全包络生成阶段(ENV)和轨迹验证阶段(TRJ-VRFY)，中采用哪种算法的信息，以在由所述命令器(COM)的所述传感器融合阶段(SF1)提供的所述实时图像(COM-OBJ1、COM-OBJ2)周围增加安全裕度。5.根据权利要求1至4中的任何一项所述的方法，其特征在于，所述监视器(MON)的所述已知特征包括或者由所述传感器融合阶段(SF2)和/或所述安全包络生成阶段(ENV)和/或所述轨迹验证阶段(TRJ-VRFY)中采用的算法构成。6.根据权利要求1至5中的任何一项所述的方法，其特征在于，提供后备子系统(FB)，其中所述后备子系统至少实施传感器融合阶段(SF3)和轨迹规划阶段(TRJ-PLN3)，使得所述后备子系统(FB)能够产生轨迹，并且其中当所述命令器(COM)产生的轨迹(COM-TRJ1、COM-TRJ2)未被所述判定阶段(DECIDE)验证时，提供所述后备子系统(FB)产生的一轨迹或各轨迹供所述运动实体(MOV)使用。7.一种用于运动实体(MOV)的故...

【专利技术属性】
技术研发人员：威尔弗里德·施泰纳，赫而曼·高柏兹，M·艾汉，冈瑟·鲍尔，
申请(专利权)人：TTTECH电脑技术股份公司，
类型：发明
国别省市：奥地利,AT