用以依赖于状态信号驱控车辆模块的设备和方法技术

本发明专利技术提供了依赖于功率处理器的状态信号来驱控车辆模块的设备，功率处理器接收和评估传感器信号。依赖于功率处理器的状态信号要么以功率处理器要么以后备处理器来驱控车辆模块。后备处理器实现车辆模块的紧急运行。此外，还提供了一种用于以安全处理器驱控车辆模块的设备，通过安全处理器依赖于第一和第二功率处理器的状态要么以由第一功率处理器评估的传感器信号要么以由第二功率处理器评估的传感器信号来驱控车辆模块。此外还提供了一种驾驶员辅助方法，在该驾驶员辅助方法中使用其中一个根据本发明专利技术的设备。

Device and method for driving vehicle module depending on state signal

【技术实现步骤摘要】
【国外来华专利技术】用以依赖于状态信号驱控车辆模块的设备和方法
本专利技术涉及一种按照权利要求1所述的用于驱控车辆模块的设备、按照权利要求11所述的用于驱控车辆模块的设备和按照权利要求22所述的驾驶员辅助方法，在该驾驶员辅助方法中使用根据本专利技术的设备。
技术介绍
车辆模块是车辆的构件。车辆的转向轮例如是车辆模块。电气的/电子的系统，缩写为E/E系统，同样是车辆模块。可以由多个构件构成的若干功能单元也形成了车辆模块。车辆模块以控制器来控制和调节。也称为电子控制单元，即缩写为ECU的控制器，是用于控制和调节的电子构件。在汽车领域中，ECU使用在多个电子区域中，用以控制和调节车辆功能。集中控制和调节多个彼此相关的功能的ECU称为域ECU。形成功能单元的并且其内出现彼此相关的功能的车辆区域称为车辆域。针对车辆域的示例是信息娱乐系统、底盘、驱动器、内饰或安全器件。针对信息娱乐系统的功能例如是运行收音机、CD播放器，建立通话连接、与免提设备的连接等。在正在播放音乐CD时，一旦建立起通话连接，就停止音乐。在用于车辆模块的控制器中，在故障情况下切断控制器是危险的，因为存在控制器的至少一个关键的运行阶段，在该运行阶段中，通过切断控制器会损害一个或多个如在标准ISO26262中定义的安全目标。因此出于功能的安全原因彼此规定若干容错措施，它们在控制器的故障情况下实现了至少一个紧急运行。在故障情况下实现紧急运行的系统，称为故障操作系统。故障操作系统被这样设计，使得在假设发生故障的区域中，在关键的运行阶段内可以维持必要的剩余功能范围。
技术实现思路
本专利技术所要解决的技术问题是，提供与现有技术相比安全性更佳的一种用于驱控车辆模块的设备和一种驾驶员辅助方法，在驾驶员辅助方法中使用这种设备，特别是提供一种用于这种设备的故障操作系统。该技术问题通过一种带有权利要求1的特征的用于驱控车辆模块的设备和一种带有权利要求11的特征的用于驱控车辆模块的设备以及一种带有权利要求22的特征的驾驶员辅助方法解决。有利的设计方案和扩展设计在从属权利要求中说明。根据本专利技术的用于驱控车辆模块的设备具有：控制接口，其中，通过控制接口能驱控车辆模块；至少一个第一功率处理器，其被构造成用于接收和评估传感器信号；至少一个第一监控装置，其与第一功率处理器连接，使得第一监控装置依赖于第一功率处理器的状态信号发出监控信号；后备处理器芯，其中，后备处理器芯与第一监控装置连接，使得后备处理器芯依赖于状态信号地通过控制接口驱控车辆模块，至少用以紧急运行。接口是在至少两个功能单元之间的装置，在该接口上要么仅单向地要么双向地交换逻辑参量、例如数据，或者交换物理参量、例如电气信号。交换可以模拟地或数字地进行。接口可以存在于软件和软件之间、硬件和硬件之间以及软件和硬件之间和硬件和软件之间。处理器是检测和处理指令的电子电路。处理器可以以指令的处理结果控制和调节其它的电路并且在此驱动处理器。处理器的一部分称为芯，芯形成了计算单元并且芯本身能够实施一个或多个指令。也作为看门狗(Watchdog)已知的监控装置是系统的部件，其监控其它的部件的功能、在此为功率处理器的功能。若在此识别到了可能的错误功能，那么这要么根据安全协议而发出信号，要么导入合适的跳转指令，跳转指令消除即将到来的问题。术语看门狗既包括硬件看门狗也包括软件看门狗。硬件看门狗是电子的部件，其带有与被检查的构件的通信。软件看门狗是在要检查的构件内的检验的软件，该软件检查：所有重要的程序模块是否在预定的时间范围内被正确地实施，或者是否有模块需要不允许的长的处理时间。软件看门狗可以由硬件看门狗监视。作为软件看门狗的备选方案，可以以计数器监视软件，计数器定期地被软件设置到一个特定的值并且被硬件不断递减。若计数器达到值0，而软件没有及时地提高计数器，这就是说，软件处在有故障的状态中。看门狗可以尤其在安全重要的应用中实施并且允许了监控E/E系统是否与ISO26262相符。第一功率处理器的状态信号包含有关第一功率处理器的硬件和/或软件状态的信息。硬件看门狗例如检测如下情况作为状态信号：第一功率处理器在预定的时间期满之前是否在硬件看门狗中发出通知，类似失能开关的原理。在无故障的状态下发出通知，在有故障的状态下不发出通知。因此可以确认第一功率处理器的有故障的状态。第一监控装置的监控信号包含要监控的构件是处在无故障的状态中还是处在有故障的状态中的信息。在上述例子中，监控信号处在无故障的状态中，此时发出通知，并且在有故障的状态中不发出通知。监控信号例如在发出通知时具有值1并且在不发出通知时具有值0。紧急运行是车辆模块在有故障状态下的运行，其借助状态信号导入。在紧急运行中，仅维持将车辆驶入到安全的状态中必需的车辆功能。后备处理器芯尤其仅以将车辆驶入到安全的状态中必需的传感器信号来驱控。若例如在高速公路上行驶期间识别到了故障情况，那么仅维持车辆功能并且仅以实现将车辆安全地变道且停到硬路肩上的传感器信号来驱控。因此这不是持久行驶，而是仅能行驶至达到安全的状态。若监控装置识别到了第一功率处理器的有故障的状态，这就是说，监控信号例如具有值0，那么车辆模块通过控制接口由后备处理器芯来驱控。第一功率处理器优选被监控装置禁用并且后备处理器芯同时被激活。后备处理器芯能够驱控设备至少用于紧急运行。因此确保了在第一功率处理器失灵时能为了紧急运行而继续运行车辆模块。设备有利地具有第一信号通道和相对于第一信号通道冗余的第二信号通道，用以将传感器信号导引到设备中，其中，在第一信号通道中，传感器信号能导引给第一功率处理器，并且在第二信号通道中，传感器信号能导引给后备处理器。倘若第一信号通道失效，那么确保了传感器信号被继续导引给后备处理器芯，后备处理器芯以这些传感器信号来实现设备的紧急运行。按照本专利技术的一种扩展设计，设备具有用于监控传感器信号的监控处理器芯，该监控处理器芯与后备处理器芯连接，使得由监控处理器芯发出的传感器信号能输入到后备处理器芯中。与监控装置不同的是，监控处理器芯是独立自主的计算单元并且是用于激活后备处理器芯的附加的安全措施。监控处理器芯尤其监控：传感器信号是否处在它们各自的有效范围内。监控处理器芯还识别到在开关电路内的短路和接地。至少第一功率处理器优选被构造成用于接收和评估多个传感器的传感器信号，其中，尤其在第一功率处理器中可以与另一个传感器的传感器信号无关地分别接收和评估一个传感器的传感器信号。这样做的优点是：在接收和/或评估一个传感器信号时的故障不会影响接收和/或评估另一个传感器的另一个传感器信号并且因此没有产生相关的故障。按照本专利技术的另一种设计方案，后备处理器芯和/或监控处理器芯是安全处理器的芯，其中，控制接口布置在安全处理器和车辆模块之间。安全处理器因此是多芯处理器，在该多芯处理器中，多个芯布置在唯一一个芯片上，这就是说半导体结构元件上。多芯处理器达到了较高的计算能力，并且与每个单独的芯布置在一个处理器基座中且各个处理器基座布置在主板上的多处理器系统相比，实现在一个芯片上成本更低廉本文档来自技高网...

【技术保护点】
1.用于驱控车辆模块(2)的设备(1)，所述设备具有/n-控制接口(3)，其中，能通过所述控制接口(3)驱控车辆模块(2)，/n-至少一个第一功率处理器(10)，所述第一功率处理器被构造成用于接收和评估传感器信号(31)，/n-至少一个第一监控装置(11)，所述第一监控装置与所述第一功率处理器连接，使得所述第一监控装置(11)依赖于所述第一功率处理器(11)的状态信号发出监控信号，和/n-至少一个后备处理器芯(21)，其中，所述后备处理器芯(21)与所述第一监控装置(11)连接，使得所述后备处理器芯(21)至少为了紧急运行而依赖于监控信号来通过所述控制接口(3)驱控所述车辆模块(2)。/n

【技术特征摘要】
【国外来华专利技术】20170619 DE 102017210151.21.用于驱控车辆模块(2)的设备(1)，所述设备具有
-控制接口(3)，其中，能通过所述控制接口(3)驱控车辆模块(2)，
-至少一个第一功率处理器(10)，所述第一功率处理器被构造成用于接收和评估传感器信号(31)，
-至少一个第一监控装置(11)，所述第一监控装置与所述第一功率处理器连接，使得所述第一监控装置(11)依赖于所述第一功率处理器(11)的状态信号发出监控信号，和
-至少一个后备处理器芯(21)，其中，所述后备处理器芯(21)与所述第一监控装置(11)连接，使得所述后备处理器芯(21)至少为了紧急运行而依赖于监控信号来通过所述控制接口(3)驱控所述车辆模块(2)。


2.按照权利要求1所述的设备(1)，其特征在于，所述设备(1)具有第一信号通道(4)和相对于所述第一信号通道(4)冗余的第二信号通道(5)，用以将所述传感器信号(31)导入到所述设备(1)中，其中，在所述第一信号通道(4)中，所述传感器信号(31)能导引给所述第一功率处理器(10)，并且在所述第二信号通道(5)中，所述传感器信号(31)能导引给所述后备处理器芯(21)。


3.按照前述权利要求中任一项所述的设备(1)，其特征在于，所述设备(1)具有用于监控所述传感器信号(31)的监控处理器芯(22)，所述监控处理器芯与所述后备处理器芯(21)连接，使得由所述监控处理器芯(22)发出的传感器信号(31)能输入到所述后备处理器芯(21)中。


4.按照前述权利要求中任一项所述的设备(1)，其特征在于，至少所述第一功率处理器(10)被构造成用于接收和评估多个传感器(30)的传感器信号(31)，其中，尤其在所述第一功率处理器(10)中能与另一个传感器(30)的传感器信号(31)无关地分别接收和评估一个传感器(30)的传感器信号(31)。


5.按照前述权利要求中任一项所述的设备(1)，其特征在于，所述后备处理器芯(21)和/或监控处理器芯(22)是安全处理器(20)的芯，其中，所述控制接口(3)布置在所述安全处理器(20)与所述车辆模块(2)之间。


6.按照权利要求5所述的设备(1)，其特征在于，至少一个、特别是冗余的信息接口(6)布置在所述第一功率处理器(10)与所述安全处理器(20)之间，用以将由所述第一功率处理器(10)评估的传感器信号(31)转达给所述安全处理器(20)。


7.按照权利要求5或权利要求6所述的设备(1)，其特征在于，所述安全处理器(20)被构造成用于检查经评估的传感器信号(31)的可信度。


8.按照权利要求5至7中任一项所述的设备(1)，其特征在于，所述安全处理器(20)具有第二监控装置(26)，特别是所述后备处理器芯(21)和所述监控处理器芯(22)分别具有第二监控装置(26)。


9.按照权利要求5至8中任一项所述的设备(1)，其特征在于，所述功率处理器(10)和/或所述安全处理器(20)具有冗余的电压供应部(7)，特别是所述后备处理器芯(21)和所述监控处理器芯(22)分别具有冗余的电压供应部(7)。


10.带有按照权利要求1至9中任一项所述的设备(1)的控制器。


11.用于驱控车辆模块(2)的设备(8)，所述设备具有：
-控制接口(3)，其中，通过所述控制接口(3)能驱控所述车辆模块(2)；
-第一功率处理器(10)，所述第一功率处理器被构造成用于接收和评估传感器信号(31)；
-至少一个第二功率处理器(12)，所述第二功率处理器被构造成用于接收和评估传感器信号(31)；和
-安全处理器(20)，所述安全处理器与所述第一功率处理器(10)和所述第二功率处理器(12)连接，使得所述安全处理器(20)依赖于以所述第一功率处理器(10)评估的传感器信号(31)的结果且依赖于以所述第二功率处理器(12)评估的传感器信号(31)的结果来驱控所述车辆模块(2)。


1...

【专利技术属性】
技术研发人员：比伦特·萨里，
申请(专利权)人：ZF腓德烈斯哈芬股份公司，
类型：发明
国别省市：德国;DE