用于控制技术装置的方法制造方法及图纸

本发明专利技术处于计算机技术领域。本发明专利技术描述安全自动化系统的架构和用于安全地自主地运行技术装置的方法。架构解决问题：每种可能的拜占庭差错无论该差错是否由硬件的意外失灵、软件中的设计差错或入侵引起必须被识别和克制，使得不发生安全相关的事件。架构由四个很大程度上独立的子系统组成，所述子系统分层次地布置，并且分别形成封装的故障包容单元。在层级结构的最上面的位置处是安全子系统、即容错决策子系统，所述安全子系统在容错硬件上执行简单软件。因为其他三个子系统包含复杂软件，所以是不安全的。根据经验难以在复杂软件系统中找到所有设计差错并且防止入侵。由于冗余和多样性，不安全子系统的每个差错被屏蔽，使得不出现安全关键故障。出现安全关键故障。出现安全关键故障。

【技术实现步骤摘要】
用于控制技术装置的方法


[0001]本专利技术涉及一种用于利用分布式实时计算机系统控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的方法，其中实时计算机系统
‑ꢀ
包括子系统、尤其是大量子系统，其中例如子系统分层次地布置，
‑ꢀ
并且其中子系统在全局时间上同步，例如其方式是存在时间服务器，所述时间服务器优选地处于子系统的层级结构之外，其中时间服务器周期性地向每个子系统、例如向每个子系统的时钟发送同步消息，用于使子系统或子系统时钟同步以建立全局时间，以及其中
‑ꢀ
在使用该全局时间的情况下，将时间轴划分成一系列同步的时间片。
[0002]本专利技术此外涉及用于控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的实时计算机系统、尤其是分布式实时计算机系统，其中实时计算机系统
‑ꢀ
包括子系统、尤其是大量子系统，其中例如子系统分层次地布置，
‑ꢀ
并且其中子系统在全局时间上同步，例如其方式是存在时间服务器，所述时间服务器优选地处于子系统的层级结构之外，其中时间服务器被设立用于周期性地向每个子系统、例如向每个子系统的时钟发送同步消息，用于使子系统或子系统的时钟同步以建立全局时间，以及其中
‑ꢀ
在使用该全局时间的情况下，将时间轴划分成一系列同步的时间片。

技术介绍

[0003]本专利技术处于计算机技术的领域。所述本专利技术描述一种用于安全地自主地运行技术装置、诸如机器人或车辆、尤其是机动车辆的方法以及一种安全自动化系统或这样的安全自动化系统的架构。在文献中，由技术装置和控制该装置的实时计算机系统组成的系统也被称为信息物理系统（Cyber
‑
Physical System，CPS）。
[0004]技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的自主运行需要实时计算机系统，所述实时计算机系统利用传感器观测技术装置、例如设备的环境，借助于在实时计算机系统上运行的进程模型来评估传感器数据并且将所计算的额定值转交给执行器，所述执行器影响物理过程的流程。可以例如利用光学传感器（摄像机）、激光雷达（LIDAR）、雷达传感器和各种不同的其他传感器来观测环境。传感器数据的评估、传感器数据的数据融合和所需要的环境模型的创建以及轨迹的规划需要具有数百万指令的复杂软件组件。
[0005]在许多信息物理系统中，例如在自主地控制车辆时，实时计算机系统中的出现的差错可能具有严重的影响。这样的差错可能由子系统的硬件的瞬时或永久故障或由软件中的缺陷（设计差错）触发。在安全关键应用中需要系统层面上的灾难性故障的修复前平均时间（Mean
‑
Time to Fail，MTTF）必须为处于108至109小时的数量级（Gr
öß
enordnung）中。
[0006]但是，系统的错误行为（Fehlverhalten）也可能由入侵（Intrusion）触发。在入侵（侵入到系统中）时，入侵者（闯入者）绕开入侵检测机制并且接管对系统的完全控制。然后
入侵者可以产生受损的（kompromittierten）子系统的拜占庭差错。“在信息技术中将其中系统任意错误地表现（sich
…
verhalten）的差错称为拜占庭差错（byzantinische Fehler）”[WikIb]。因此，拜占庭差错是在系统中可能出现的最恶意的差错。
[0007]安全实时计算机系统的架构必须保证，无论实时计算机系统的复杂子系统之一中的每种可能的拜占庭差错是否由硬件的意外失灵、软件中的设计差错或入侵引起，所述拜占庭差错都被识别和克制（beherrschen），使得不发生安全相关的事件。

技术实现思路

[0008]本专利技术的任务是说明针对该问题的解决方案。
[0009]该任务利用开头提到的方法通过以下方式解决，即根据本专利技术
‑ꢀ
每个子系统和，如果存着时间服务器的话，还有时间服务器分别形成自身的故障包容单元，以及其中
‑ꢀ
所述子系统之一是决策子系统、即所谓的容错决策子系统FTDSS，所述决策子系统优选地放置在层级结构的最高层面中，其中所述FTDSS被设立用于借助于消息在每个时间片中将额定值转交给执行器，其中所述容错决策子系统FTDSS是安全子系统，也即包含简单软件，所述简单软件在容错硬件上被执行，并且其中
‑ꢀ
设置至少或正好三个数据处理子系统，即正常处理子系统NPSS、监视子系统MSS和关键事件处理子系统CEHSS，所述数据处理子系统优选地放置在下一较低的层级结构层面上，其中所述至少或正好三个数据处理子系统被设立用于利用传感器检测利用所述传感器观测的周围环境的传感器数据，并且彼此独立地评估所述传感器数据，其中
‑ꢀ
分别在时间片开始时由所述数据处理子系统观测所述周围环境，并且在该时间片期间利用通过在所述时间片开始时执行的对周围环境的观测获取的传感器数据来执行计算，
‑ꢀ
所述正常处理子系统NPSS被设立用于在每个时间片中、优选地在所述时间片结束时将针对正常运行的一组额定值在消息中发送给所述容错决策子系统FTDSS并且在消息中发送给所述监视子系统MSS，以及其中
‑ꢀ
所述关键事件处理子系统CEHSS被设立用于在每个时间片中、优选地在所述时间片结束时在消息中将针对异常运行的一组额定值发送给所述容错决策子系统FTDSS，以及其中
‑ꢀ
所述容错决策子系统FTDSS被设立用于在每个时间片中在消息中将针对所述正常运行和所述异常运行的所接收的两组额定值发送给所述监视子系统MSS，以及其中
‑ꢀ
所述监视子系统MSS被设立用于在每个时间片中执行检验：所述监视子系统在所述消息中从所述正常处理子系统NPSS中已获得的针对所述正常运行的该组额定值是否能与由所述MSS基于所述MSS的传感器数据计算的环境模型协调一致，并且保证所述技术装置在正常条件下的安全引导，以及所述监视子系统MSS此外被设立用于在每个时间片中执行检验：所述监视子系统从所述正常处理子系统NPSS在所述消息中已获得的针对所述正常运行的该组额定值是否与由所述正常处理子系统NPSS经由所述容错决策子系统FTDSS发送给所述监视子系统MSS的相应组的额定值相同，和
‑ꢀ
如果两个检验是肯定的，则将正确性指示符、即正确性指示符
‑
1设置为值TRUE，
并且如果两个检验之一是否定的或者两个检验是否定的，则将所述正确性指示符
‑
1设置为值FALSE并且将所述正确性指示符
‑
1或所述正确性指示符
‑
1的值在每个时间片中在消息中发送给所述容错决策子系统FTDSS，并且其中
‑ꢀ
所述容错决策子系统FTDSS在每个时间片中如下作出决策：在所述正确性指示符
‑
1具有值TRUE的情况下，针对所述正常运行的该本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于利用分布式实时计算机系统控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的方法，其中所述实时计算机系统
‑ꢀ
包括子系统、尤其是大量子系统，其中例如所述子系统分层次地布置，
‑ꢀ
并且其中所述子系统在全局时间上同步，例如其方式是存在时间服务器（210），所述时间服务器优选地处于所述子系统的层级结构之外，其中所述时间服务器（210）周期性地向每个子系统、例如向每个子系统的时钟发送同步消息（211），以便使所述子系统或所述子系统的时钟同步来构建所述全局时间，以及其中
‑ꢀ
在使用所述全局时间的情况下将时间轴划分成一系列同步的时间片，其特征在于，
‑ꢀ
每个子系统（100、110、120、130）和，如果存着的话，所述时间服务器（210）分别形成自身的故障包容单元，以及其中
‑ꢀ
所述子系统之一是决策子系统、即所谓的容错决策子系统FTDSS（100），所述决策子系统优选地放置在层级结构的最高层面中，其中所述FTDSS（100）借助于消息（101）在每个时间片中能够将额定值转交给执行器（150），其中所述容错决策子系统FTDSS（100）是安全子系统，也即包含简单软件，所述简单软件在容错硬件上被执行，并且其中
‑ꢀ
设置至少或正好三个数据处理子系统，即正常处理子系统NPSS（110）、监视子系统MSS（120）和关键事件处理子系统CEHSS（130），所述数据处理子系统优选地放置在下一较低的层级结构层面上，其中所述至少或正好三个数据处理子系统利用传感器（160）检测利用所述传感器（160）观测的周围环境的传感器数据，并且彼此独立地评估所述传感器数据，其中
‑ꢀ
分别在时间片开始时由所述数据处理子系统（110、120、130）观测所述周围环境，并且在该时间片期间利用通过在所述时间片开始时执行的对周围环境的观测获取的传感器数据来执行计算，
‑ꢀ
所述正常处理子系统NPSS（110）在每个时间片中、优选地在所述时间片结束时将针对正常运行的一组额定值在消息（111）中发送给所述容错决策子系统FTDSS（100）并且在消息（112）中发送给所述监视子系统MSS（120），以及其中
‑ꢀ
所述关键事件处理子系统CEHSS（130）在每个时间片中、优选地在所述时间片结束时在消息（131）中将针对异常运行的一组额定值发送给所述容错决策子系统FTDSS（100），以及其中
‑ꢀ
所述容错决策子系统FTDSS（100）在每个时间片中、优选地在时间片结束时在消息（102）中将针对所述正常运行和所述异常运行的所接收的两组额定值发送给所述监视子系统MSS（120），以及其中
‑ꢀ
所述监视子系统MSS（120）在每个时间片中执行检验：所述监视子系统在所述消息（112）中从所述正常处理子系统NPSS（110）中已获得的针对所述正常运行的该组额定值是否能与由所述MSS（120）基于所述MSS（120）的传感器数据（160）计算的环境模型协调一致，并且保证所述技术装置在正常条件下的安全引导，以及所述监视子系统MSS（120）此外在每个时间片中执行检验：所述监视子系统从所述正常处理子系统NPSS（110）在所述消息（112）中已获得的针对所述正常运行的该组额定值是否与由所述正常处理子系统NPSS（110）经由所述容错决策子系统FTDSS（100）发送给所述监视子系统MSS（120）的相应组的额定值相同，
和
‑ꢀ
如果两个检验是肯定的，则将正确性指示符、即正确性指示符
‑
1设置为值TRUE，并且如果两个检验之一是否定的或者两个检验是否定的，则将所述正确性指示符
‑
1设置为值FALSE并且将所述正确性指示符
‑
1或所述正确性指示符
‑
1的值在每个时间片中在消息（121）中发送给所述容错决策子系统FTDSS（100），并且其中
‑ꢀ
所述容错决策子系统FTDSS（100）在每个时间片中如下作出决策：在所述正确性指示符
‑
1具有值TRUE的情况下，针对所述正常运行的该组额定值例如在消息（101）中被转交给所述执行器（150），在所述正确性指示符
‑
1具有值FALSE或由所述FTDSS（100）预期的具有正确性指示符
‑
1的消息（121）未到的情况下，针对所述异常运行的该组额定值例如在消息（101）中被转发给所述执行器（150），其中在这种情况下自该时间点起在后续的时间片中将针对所述异常运行的额定值转发给所述执行器（150），直至所述技术装置达到安全状态为止。2.根据权利要求1所述的方法，其中所述监视子系统MSS（120）在每个时间片中检验：所述监视子系统从所述关键事件处理子系统CEHSS（130）经由FTDSS（100）尤其是借助于消息（131、102）获得的针对所述异常运行的该组额定值是否能与由所述MSS基于所述MSS的传感器数据计算的环境模型协调一致，并且保证技术装置在所述异常运行中的安全引导，并且如果这是这种情况，则将另一正确性指示符、即正确性指示符
‑
2设置为值TRUE，而如果这不是这种情况，或者如果在时间片中从CEHSS（130）未接收到针对所述异常运行的一组额定值，则将所述正确性指示符
‑
2设置为值FALSE，并且其中所述监视子系统MSS（120）将所述正确性指示符
‑
2随后发送给所述正常处理子系统NPSS（110），并且其中所述正常处理子系统NPSS（110）在每个时间片中检验：从所述监视子系统MSS获得的正确性指示符
‑
2是否采取值FALSE，并且如果这是这种情况，则中止所述技术装置的正常引导并且将所述技术装置引导到安全状态。3.根据权利要求1或2所述的方法，其中所述正常处理子系统NPSS（110）在每个时间片中除了针对所述正常运行的该组额定值之外，还例如在消息（112）中传送针对所述正常运行的所规划的轨迹，在所述消息中所述正常处理子系统将针对所述正常运行的该组额定值发送给所述监视子系统MSS（120）。4.根据权利要求1至3中任一项所述的方法，其中所述时间服务器是容错的。5.根据权利要求1至4中任一项所述的方法，其中所述数据处理子系统（110、120、130）是不安全子系统，也即所述数据处理子系统包含复杂软件，所述复杂软件在非容错硬件上被执行。6.根据权利要求1至5中任一项所述的方法，其中所述数据处理子系统（110、120、130）包含多样化软件，例如用于计算用于所述执行器（150）的额定值和/或环境模型。7.根据权利要求1至6中任一项所述的方法，其中所述数据处理子系统（110、120、130）中的每一个均拥有自身的传感器组。8.根据权利要求1至7中任一项所述的方法，其中所述子系统（100、110、120、130、210）中的每一个均拥有自身的能量供应装置。9.一种用于控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的实时计算机系统、尤其是分布式实时计...

【专利技术属性】
技术研发人员：H，
申请(专利权)人：TTTECH汽车股份公司，
类型：发明
国别省市：