一致地控制一组致动器的方法和计算机系统技术方案

本发明专利技术涉及一种用于在计算机系统中发送控制命令的方法，其中该计算机系统至少包括节点、致动器和通信系统，其可不根据技术规范工作。为了在该致动器处一致地接受控制命令，对节点和该节点的控制命令赋予优先权。采用至少两种优先权。高优先权节点产生高优先权控制命令并配置成通过至少两个通信系统将该高优先权控制命令传送到致动器，并且低优先权节点产生低优先权控制命令并配置成通过至少一个通信系统将低优先权控制命令传送到致动器。只要致动器收到高优先权控制命令，则接受高优先权控制命令，并且丢弃低优先权控制命令。如果致动器在可配置时长内未收到高优先权控制命令，则停止接受高优先权控制命令，而开始接受低优先权控制命令。

A Method and Computer System for Uniformly Controlling a Set of Actuators

The invention relates to a method for sending control commands in a computer system, in which the computer system includes at least nodes, actuators and communication systems, which do not work according to technical specifications. In order to accept the control commands consistently at the actuator, priority is given to the control commands of the node and the node. Use at least two priorities. The high priority node generates a high priority control command and is configured to transmit the high priority control command to the actuator through at least two communication systems, and the low priority node generates a low priority control command and is configured to transmit the low priority control command to the actuator through at least one communication system. As long as the actuator receives the high priority control command, it accepts the high priority control command and discards the low priority control command. If the actuator does not receive the high priority control command within configurable time, it stops accepting the high priority control command and starts accepting the low priority control command.

【技术实现步骤摘要】
一致地控制一组致动器的方法和计算机系统
一种在计算机系统中发送控制命令的方法，其中所述计算机系统至少包括节点、致动器和通信系统形式的部件，其中所述控制命令通过所述通信系统从所述节点传送到所述致动器，并且其中计算机系统的一个、两个或者多个部件可不根据其技术规范工作。本专利技术涉及一种在致动器处一致地接受来自节点的控制命令的方法，通过通信系统传送该控制命令，并且计算机系统的一个、两个或多个部件可不根据其技术规范工作。此外，本专利技术涉及一种连接到高优先权节点和低优先权节点的故障转移设备(fail-overdevice)，并且该故障转移设备能够启动和关闭从低优先权节点到通信系统的传送。最后，本专利技术涉及一种容错计算机系统，该容错计算机系统包括节点和致动器，其中节点通过通信系统与所述致动器通信，并且其中一个、二个或多个部件可不根据其技术规范工作。本专利技术涉及对车辆中的一组致动器进行一致性控制。这种车辆可以是例如汽车、航空器、航天器或移动机器人。所述致动器由车辆中的计算系统的计算节点(缩写为：“节点”)产生的控制命令控制。利用一个、二个或者多个通信系统，在车辆中，控制命令从节点传递到致动器。
技术介绍
车辆设计成容忍计算机系统的一个、二个或者许多部件发生故障。通用术语“部件”指节点、通信系统(或通信系统的一部分)、致动器、以及链路，该链路使节点或致动器与通信系统连接。本专利技术确保即使在任一部件发生故障的情况下，车辆中的一组无错致动器仍一致地接受来自节点的控制命令。在本申请的语境下，一致地意味着如果一个无错致动器使用来自潜在许多节点中的一个节点的控制命令，则一组已知致动器中的所有其他无错致动器(有可能是车辆中的所有无错致动器)也都将接受所述一个节点的控制命令。在本申请的语境下，短语“接受控制命令”指致动器将利用所述控制命令对车辆产生物理效应。所述物理效应的示例是车辆的加速度和减速度以及车辆的运动方向的任意调整。尽管本专利技术的主要目的是容忍单个错误部件，但是本专利技术也能够容忍存在一个以上故障的各种境况。对于车辆的安全操作，至关重要的是无错致动器一致地接受控制命令。如果无错致动器不一致地接受控制命令，则存在不同节点提供不同控制命令并且不同致动器对不同控制命令做出反应的风险。例如，在一种境况下，一个节点可以发送用于指示致动器使车辆完全停止的控制命令，而第二节点可发送用于指示致动器使车辆沿应急轨迹移动的控制命令。在这种情况下，一致性接受会是下面两种情况中的任何一种情况：a)所有无错致动器都接受来自所述第一节点的控制命令，而丢弃来自所述第二节点的控制命令，或者b)所有无错致动器都接受来自所述第二节点的控制命令，而丢弃来自所述第一节点的控制命令。如果在该例中无错致动器未一致地接受控制命令，则一些致动器可尝试使车辆进入停车位置，而其他致动器可尝试使车辆沿应急轨迹移动。在这种情况下，车辆可能进入会导致车辆发生类似碰撞的事故的不安全状态。
技术实现思路
本专利技术的目的是使一组致动器能够在使致动器本身之间的协调开销最小的情况下一致地接受控制命令。特别是，解决这种类型的问题的现有技术要求致动器执行所谓“协商协议”。这种协商协议会指示致动器互相交换关于其收到哪个控制命令的信息。这样交换信息和收到的原始控制命令使得所有无错致动器都断定将一致地使用哪个控制命令(其中“一致地”遵循本申请书中较早提供的定义)。本专利技术的目的是显著减少致动器之间的所述信息交换，并且在某些实现中，甚至完全消除致动器之间的所述信息交换。该目的由上面描述的方法实现，其中为了在所述致动器处一致地接受控制命令，对节点及其控制命令赋予优先权，其中节点及其控制命令具有相同的优先权，其中采用至少两种优先权，其中高优先权节点产生高优先权控制命令，而低优先权节点产生低优先权控制命令，并且其中高优先权节点配置成通过至少两个通信系统将其控制命令传送到致动器，而低优先权节点配置成通过至少一个通信系统将其控制命令传送到致动器，并且其中只要致动器在至少两个通信系统中的任一通信系统收到所述高优先权控制命令，则致动器接受来自高优先权节点的高优先权控制命令，并且在该第一种情况下，丢弃低优先权控制命令，并且如果所述致动器在可配置时长内未从至少两个通信系统中的任一通信系统收到所述高优先权控制命令，则停止接受所述高优先权控制命令，并且在该第二情况下，致动器开始接受低优先权控制命令。本专利技术对节点指定优先权，在所述节点，对所述节点产生的相应控制命令也指定相同的所述优先权。致动器能够解释优先权，并且根据本专利技术，指示致动器基于其优先权接受控制命令：所有致动器都将接受最高优先权控制命令。然而，如果致动器在可配置时长内未收到具有给定优先权的控制命令(例如，最高控制命令)，则该致动器接受其收到的具有次低优先权的控制命令。在仅存在两个节点的示例性实现中，只有两种优先权：高和低。在该示例性实现中，只要致动器收到高优先权控制命令，该致动器就始终接受高优先权控制命令，而当其在配置时长内未收到高优先权控制命令时，仅开始接受低优先权控制命令。此外，根据本专利技术，至少具有最高优先权的节点通过至少两个通信系统连接到致动器，并且一个低优先权节点(低优先权意味着不是最高优先权)通过至少一个通信系统连接到致动器。在本专利技术的一个实现中，实施故障转移设备。该故障转移设备具有两种状态ACTIVE和BACKUP。在ACTIVE状态下，故障转移设备会阻止将控制命令从低优先权节点传送到致动器。在BACKUP状态下，故障转移设备会使控制命令从低优先权节点传送到致动器。故障转移设备开始处于ACTIVE状态，并且如果故障转移设备在可配置时长内未从最高优先权节点收到控制命令，则从ACTIVE状态变更为BACKUP状态。在一个实现中，作为独立部件实施该故障转移设备。在另一个实现中，作为低优先权节点的一部分实施该故障转移设备。在另一个实现中，作为将低优先权节点连接到致动器的通信系统的一部分实施该故障转移设备。在另一个实现中，在每个致动器内实施故障转移设备。如上所述，在根据本专利技术的方法的有利实施例中，可以实施如下特征中的一个、多个或者全部特征：*)计算机系统可以正好包括两个产生控制命令的节点，其中所述两个节点中的高优先权节点正好在两个通信系统传送，并且其中所述两个节点中的低优先权节点正好在一个通信系统传送。*)可以提供故障转移设备，该故障转移设备对来自低优先权节点的控制命令是否在通信系统转发进行控制。*)故障转移设备对来自低优先权节点的控制命令是否在通信系统转发所做的判定可取决于故障转移设备从高优先权节点收到控制命令。*)当满足如下条件中的任一条件或如下条件的任意组合时，故障转移设备可开始对来自低优先权节点的控制命令在通信系统转发：○故障转移设备未在某配置时长内收到来自高优先权节点的控制命令；○故障转移设备从高优先权节点收到的控制命令比故障转移设备所配置成收到的多○故障转移设备收到来自高优先权节点的错误控制命令。*)可以假定所述可配置时长比产生两个连续控制命令之间的最大时长要长。*)可以假定当故障转移设备开始将来自低优先权节点的控制命令转发到所述通信系统时，并且其中所述可配置数量可以是0、1、2或任意整数，故障转移设备将其在通信系统从高优先权节点收到的可配置数量的控制命令仅在每本文档来自技高网...

【技术保护点】
1.一种用于在计算机系统中发送控制命令(F‑A100、F‑A200)的方法，其中所述计算机系统至少包括节点(A100、A200)、致动器(ACT1、ACT2、ACT3)和通信系统(COM1、COM2)形式的部件，其中所述控制命令(F‑A100、F‑A200)通过所述通信系统(COM1、COM2)从所述节点(A100、A200)传送到所述致动器(ACT1、ACT2、ACT3)，并且其中所述计算机系统的一个、两个或者多个部件(A100、A200、IF100、IF200、COM1、COM2、IF11、IF12、IF13、IF21、IF22、IF23、ACT1、ACT2、AT3)可不根据它们的技术规范工作，其特征在于为了在所述致动器(ACT1、ACT2、ACT3)处一致地接受控制命令(F‑A100、F‑A200)对节点(A100、A200)和所述节点(A100、A200)的控制命令(F‑A100、F‑A200)赋予优先权，其中节点和所述节点的控制命令具有相同的优先权，其中采用至少两种优先权(HIGH、LOW)，其中高优先权节点(A100)产生高优先权控制命令(F‑A100)，而低优先权节点(A200)产生低优先权控制命令(F‑A200)，并且其中高优先权节点(A100)配置成通过至少两个通信系统(COM1、COM2)将所述高优先权节点(A100)的控制命令(F‑A100)传送到所述致动器(ACT1、ACT2、ACT3)，并且低优先权节点(A200)配置成通过至少一个通信系统(COM2)将所述低优先权节点(A200)的低优先权控制命令(F‑A200)传送到所述致动器(ACT1、ACT2、ACT3)，并且其中只要致动器(ACT1、ACT2、ACT3)在所述至少两个通信系统(COM1、COM2)中的任一通信系统收到所述高优先权控制命令(F‑A100)，则所述致动器(ACT1、ACT2、ACT3)接受来自所述高优先权节点(A100)的所述高优先权控制命令(F‑A100)，并且在这第一种情况下，丢弃所述低优先权控制命令(F‑A200)，并且如果所述致动器(ACT1、ACT2、ACT3)在可配置时长内未从所述至少两个通信系统(COM1、COM2)中的任一通信系统(COM1、COM2)收到所述高优先权控制命令(F‑A100)，则停止接受所述高优先权控制命令(F‑A100)，而在这第二种情况下，所述致动器(ACT1、ACT2、ACT3)开始接受低优先权控制命令(F‑A200)。...

【技术特征摘要】
2017.11.14 EP 17201657.81.一种用于在计算机系统中发送控制命令(F-A100、F-A200)的方法，其中所述计算机系统至少包括节点(A100、A200)、致动器(ACT1、ACT2、ACT3)和通信系统(COM1、COM2)形式的部件，其中所述控制命令(F-A100、F-A200)通过所述通信系统(COM1、COM2)从所述节点(A100、A200)传送到所述致动器(ACT1、ACT2、ACT3)，并且其中所述计算机系统的一个、两个或者多个部件(A100、A200、IF100、IF200、COM1、COM2、IF11、IF12、IF13、IF21、IF22、IF23、ACT1、ACT2、AT3)可不根据它们的技术规范工作，其特征在于为了在所述致动器(ACT1、ACT2、ACT3)处一致地接受控制命令(F-A100、F-A200)对节点(A100、A200)和所述节点(A100、A200)的控制命令(F-A100、F-A200)赋予优先权，其中节点和所述节点的控制命令具有相同的优先权，其中采用至少两种优先权(HIGH、LOW)，其中高优先权节点(A100)产生高优先权控制命令(F-A100)，而低优先权节点(A200)产生低优先权控制命令(F-A200)，并且其中高优先权节点(A100)配置成通过至少两个通信系统(COM1、COM2)将所述高优先权节点(A100)的控制命令(F-A100)传送到所述致动器(ACT1、ACT2、ACT3)，并且低优先权节点(A200)配置成通过至少一个通信系统(COM2)将所述低优先权节点(A200)的低优先权控制命令(F-A200)传送到所述致动器(ACT1、ACT2、ACT3)，并且其中只要致动器(ACT1、ACT2、ACT3)在所述至少两个通信系统(COM1、COM2)中的任一通信系统收到所述高优先权控制命令(F-A100)，则所述致动器(ACT1、ACT2、ACT3)接受来自所述高优先权节点(A100)的所述高优先权控制命令(F-A100)，并且在这第一种情况下，丢弃所述低优先权控制命令(F-A200)，并且如果所述致动器(ACT1、ACT2、ACT3)在可配置时长内未从所述至少两个通信系统(COM1、COM2)中的任一通信系统(COM1、COM2)收到所述高优先权控制命令(F-A100)，则停止接受所述高优先权控制命令(F-A100)，而在这第二种情况下，所述致动器(ACT1、ACT2、ACT3)开始接受低优先权控制命令(F-A200)。2.根据权利要求1所述的方法，其特征在于，所述计算机系统正好包括两个节点(A100、A200)，所述节点(A100、A200)产生控制命令(F-A100、F-A200)，其中所述两个节点中的高优先权节点(A100)正好在两个通信系统(COM1、COM2)传送，并且其中所述两个节点中的低优先权节点(A200)正好在一个通信系统(COM2)传送。3.根据权利要求1或2所述的方法，其特征在于，提供故障转移设备(S300)，所述故障转移设备(S300)对来自低优先权节点(A200)的控制命令(F-A200)是否在通信系统(COM2)转发进行控制。4.根据权利要求3所述的方法，其特征在于，所述故障转移设备对来自低优先权节点(A200)的控制命令(F-A200)是否在通信系统(COM2)转发所做的判定取决于所述故障转移设备(S300)从高优先权节点(A100)收到控制命令(F-A100)。5.根据权利要求4所述的方法，其特征在于，当满足如下条件中的任一条件或如下条件的任意组合时，所述故障转移设备(S300)开始对来自低优先权节点(A200)的控制命令(F-A200)在通信系统(COM2)转发：·所述故障转移设备(S300)未在某配置时长内收到来自高优先权...

【专利技术属性】
技术研发人员：G·尼德里斯特，埃里克·施密特，S·特拉克斯勒，威尔弗里德·施泰纳，
申请(专利权)人：TTTECH电脑技术股份公司，
类型：发明
国别省市：奥地利,AT