尤其在车辆中以高可用性来运行至少两个数据处理单元的方法以及用于运行机器的装置制造方法

尤其在车辆中以高可用性来运行至少两个数据处理单元的方法以及用于运行机器的装置制造方法
【专利摘要】解释了尤其在车辆中用于以高可用性来运行至少两个数据处理单元（VCC1,VCC2）的方法。第一数据处理单元（VCC1）和第二数据处理单元（VCC2）能够分别产生直至至少百分之60或至少百分之90相同的功能。该第二数据处理单元（VCC2）自动地从存储单元中去除待实施过程的至少一个标记（120，122），或者自动地切换到静止状态。
【专利说明】尤其在车辆中以高可用性来运行至少两个数据处理单元的方法以及用于运行机器的装置
[0001]本发明涉及尤其在车辆中以高可用性来运行至少两个数据处理单元、简称为DV单元的一种方法。第一 DV单元和第二 DV单元可以分别产生至少一个相同的功能或至少百分之10相同的功能。典型地这些DV单元分别产生直至至少百分之60相同的或直至至少百分之90相同的功能，例如关于该第一 DV单元的机器码。这两个单元例如实施相同的步骤。在故障情况下例如关闭该机器、例如汽车的自动控制，并过渡到手动控制或切换为复位方法，在复位方法中例如这两个DV单元中的仅一个还在工作。另外本发明还涉及用于运行机器的一种所属装置。
[0002]本发明的任务是说明一种方法，该方法尽管存在高的冗余、也即可用性但仍旧节能地工作。另外还应说明一种对应的装置。
[0003]与该方法相关的任务通过具有权利要求1中所说明的方法步骤的一种方法而得到解决。改进在从属权利要求中加以说明。
[0004]在该方法中，第二数据处理单元可以自动从存储单元中去除待实施过程的至少一个标记，或者自动变换为静止状态。
[0005]从而在该第二数据处理单元、简称为单元的内部来对冗余的关闭进行判断。在这种情况下该第二单元关于冗余是该第一单元的从属。如果关于关闭冗余的判断是错误的，那么这就通过冗余或容错的整体概念而被截获，由此在这两个单元之一中可能出现了故障。
[0006]因此尤其不是从外部、例如通过该第一单元来促使冗余的关闭。如果在这种情况下关于关闭的判断是错误的，那么误判也将从该第一单元传递到该第二 DV单元，这与容错的基本概念相矛盾。
[0007]在该第一DV单元中也可以自动地通过该第一DV单元从存储单元中去除待实施过程的至少一个标记，或者该第一 DV单元可以自动地变换为静止状态，其中于是该第一 DV单元关于冗余是从属的，例如在这两个DV单元的主/从关系中是从单元。
[0008]在两个单元中可以存储相同的机器码，由此获得了百分之百的冗余。
[0009]从而在该方法中不是关闭两个单元，而是仅关闭两个单元之一。优选地也不是由于该第二单元的故障来进行这种关闭，因为该第二单元还是功能完备的，而是由于其他的原因。这样一种原因例如是电流消耗的降低。小的电流消耗对于电动车辆或在驱动单元中具有电机和内燃机的混合动力车辆是尤其重要的，以提高电机驱动的作用距离。但在驱动单元中仅包含内燃机的车辆中，电流消耗的降低也可能导致燃油消耗的降低。例如通过关闭该单元的供电装置或者通过把该单元与其供电装置相分离来进行这种关闭。替换地也可以关闭该单元的处理器。
[0010]同样还通过去除待实施过程的标记来进行处理。尽管该过程能够无故障地被实施，但是该标记仍旧被去除。去除该标记使得该过程仅还由该第一单元来实施。该第二单元不再实施该过程，这降低了所需的计算功率。如果多个过程、例如多于10个或甚至多于100个以这种方式不再被实施，那么所需的计算功率就可以被大大降低，这影响了第二单元的处理器所需的电流消耗。该第二单元的过程监控在去除足够多数量的过程的标记之后甚至可能导致如下的结果，即该第二单元的处理器或该第二单元能够被完全关闭，或者能够被切换到静止状态。替换地可以存在更多的静止状态，其分别具有与前述的静止状态相比更低的能量消耗。
[0011]处理器的能量消耗可能处于15至50瓦范围内。如果例如处理器被关闭总共一个小时，那么就节省了 50瓦时。从而现有的能量被有效地利用。
[0012]例如通过改变存储单元的数据值、例如说明有关过程是否应该被实施的数据来去除标记。
[0013]可以根据机器的运行状态来进行标记的去除或切换至静止状态，其中对于该机器的运行使用DV单元，该机器尤其是运输机器。
[0014]该运输机器可以是车辆，例如电动车辆、混合动力车辆或仅通过内燃机来驱动的车辆。也可以考虑每种大小的车辆，也即载货货车、尤其卡车、巴士、个人车辆、摩托车、自行车等。但该运输机器也可以是飞机、艇或船。
[0015]运行状态可以借助至少一个传感器单元以简单的方式来加以检测，尤其利用移动传感器、速度传感器或转速传感器。该传感器单元例如以机械和/或电子方式来工作。
[0016]运行状态可以是状态“停止”、“蓄电池充电”、状态“行驶”或其他运行状态。状态“行驶”尤其可以划分为至少两个子状态，例如划分为低速行驶、中速行驶和高速行驶。低速的上限例如处于3km/h (公里每小时)至10km/h的范围内。高速的下限例如处于从50km/h至80km/h或甚至至100km/h的范围内。
[0017]例如对乘客或人员保护并从而对技术系统可靠性的安全性要求在这些范围内相互是明显不同的。电子装置的分别所需的可靠性也可以在关闭冗余时通过采用这些范围以简单的方式来加以考虑。
[0018]数据处理单元可以在数据传输网络上利用一种数据传输协议来驱动，其中该数据传输协议实现了处理器或网络单元/传输单元的接通，尤其在以太网上。
[0019]在以太网中例如存在“Wake on LAN (Local Area Network),局域网唤醒”的可能性，由此第二单元在关闭之后能够再次以简单的方式被接通。在该第二单元接通之后就例如自动地开始启动过程，以把B1S (Basic Input Operat1n System,基本输入操作系统)从只读存储器加载到快速工作存储器中，然后把操作系统的中心部分加载到该快速工作存储器中或加载到另一快速工作存储器中。
[0020]然而替换地也可以以与通过一个或多个数据传输网络不同的方式和方法以电路技术再次接通或接入供电装置，例如通过继电器或通过晶体管。
[0021]这种接通可以根据所检测的该机器的运行状态来进行，例如运输机器的速度变换，尤其针对包括驾驶员的人员运输。
[0022]这种接通可以与关闭相反而从外部、也即由与该第二单元不同的单元来控制，因为在接通时的误判导致通过接通该第二单元而提高冗余。于是该第二单元将例如再次被关闭。
[0023]被去除的标记可以自动地例如根据该机器的当前运行状态而再次通过第二数据处理单元被录入。如果该第二 DV单元还没有被完全关闭，或者在关闭并接着接通该第二 DV单元之后，那么这就可以通过该第二 DV单元来进行。在这两种情况下被去除的标记例如被同时存储在另一位置上，以容易重新录入。
[0024]静止状态可以是如下一种状态，在该状态中该第二数据处理单元的供电装置被关闭，或者该第二数据处理单元与其供电装置相分离。于是在接通时该第二 DV单元重新启动,但这可以在例如小于50ms (毫秒)或小于10ms的时间内来进行。
[0025]静止状态可以通过该第一数据处理单元来结束，尤其通过促使接通该第二数据处理单元的供电装置，或者通过促使该第二 DV单元的供电装置与该第二 DV单元相连接，该供电装置例如是中央供电装置。
[0026]例如采用专用的开关电源和/或稳压电路来进行这种供电。
[0027]每个数据处理单元都可以分别包含有至少两个处理器。这些处理器同样可以是单独的子数据处理单元、简称为子单元的组成部分。这两个处理器可以产生相同的功能，以在该第一单元或该第二单元中形成冗余。目的是给每个DV单元实现高的故障自我识别能力。例如在子单元的存储器中，机器码最高百分之百、至少百分之90或至少百分之60地一致。一个数据处理单元的子单元的处理器例如相互检验这些处理器的处理结果。仅在结果相一致时属于这些结果的数据才在另一 DV单元中被继续处理。
[0028]从而总共存在至少四个冗余处理器，这对于与人员安全性有关的控制功能来说目前认为是足够了。出于计算能力的原因，可以在数据处理单元中设置其他的处理器。
[0029]这两个数据处理单元可以分别连接到两个相同构造的数据传输连接或数据处理网络上。从而也能够在数据传输时保证高可用性以及针对传输故障的高安全性。
[0030]数据例如可以通过两个不同的路径来传输，例如通过两个总线系统或通过两个层面面，优选沿着不同的传输方向，例如在环形拓扑结构中。
[0031 ] 数据传输可以有线、光纤连接或无线地进行。数据传输可以同步或异步地进行。在数据传输中尤其采用在数据传输协议中所规定的消息，所述数据传输协议例如是按照IEEE(Institute of Electrical and Electronics Engineers Inc.，电气和电子工程师协会)802.3的以太网协议、按照IETF (Internet Engineering Task Force,因特网工作任务组)的 RFC (Request For Comment,请求注解)的 TCP/IP (Transmiss1n Control Protocol,传输控制协议)/ (Internet Protocol,因特网协议)。
[0032]但也采用在车辆工业中常见的总线系统，例如:
-双重实施的CAN总线(Controller Area Network,控制器局域网络)，
-TTP (Time Triggered Protocol,时间触发协议)，
-TTE (Time Triggered Ethernet,时间触发以太网),
-必要时具有 IRT (Isochronous Real Time，同步实时)的 PR0FINET (PROcess FieldNETwork,过程现场网络),或者-FlexRay 总线。
[0033]另外还采用专用协议。
[0034]这两个数据处理单元可以产生至少一个用于控制和调节机器的核心功能。核心功能例如是:
-预先给定转向角，
-预先给定刹车指令，
-自动间距控制， -调节驱动电动机，例如在采用面向现场的调节的条件下。
[0035]这些核心功能可以在该机器或该车辆的中心位置上来产生。但也可以分布地实施核心功能，例如在其他位置上来实施。
[0036]这两个数据处理单元替换地可以在该机器的至少一个外围子系统中来产生功能。外围子系统例如是执行器，例如:
-把转向角变换为转向运动，其中自动地操作转向装置，
-自动地操作刹车，
-自动地操控内燃机，例如操作阀门或节气阀，
-自动地操控驱动电机。
[0037]与装置有关的任务通过在下文所解释的装置而得到解决。改进在从属权利要求中加以说明。
[0038]用于驱动机器的该装置包括:
-第一数据处理单元，以及
-第二数据处理单元，其中该第一数据处理单元和该第二数据处理单元分别产生至少一个相同的功能或至少百分之10相同的功能。典型地产生至少百分之60或至少百分之90或甚至百分之100相同的功能，以及
-在该第二数据处理单元中的第一控制单元，其中该第一控制单元从存储单元中去除待实施过程的至少一个标记，或者该第二数据处理单元自动地变换为静止状态。
[0039]前文针对方法所述的技术效果也同样适用。通过关闭冗余，可以再次有效地利用能量。第一单元也可以包含有对应的用于关闭冗余的控制单元。
[0040]该装置可以在该第一数据处理单元中包含有第一存储单元，其中在该存储单元中标记了该第一数据处理单元在产生功能方面或者在冗余方面优先于该第二数据处理单元。
[0041]在该第二单元中也可以具有存储单元，于是在该存储单元中标记了该第二 DV单元处于该第一单元的从属地位。从而在此可以利用主/从原理。
[0042]该装置可以包含以下的技术装置:
-第一数据传输连接或第一数据处理网络，以及 -第二数据传输连接或第二数据传输网络。
[0043]该第一数据处理单元和该第二数据处理单元可以连接到该第一数据传输连接并连接到该第二数据传输连接，其中待传输数据的至少百分之60、或待传输数据的至少百分之90、或甚至所有待传输数据都通过两个数据传输连接或通过两个数据传输网络来传输。
[0044]从而数据传输也是冗余的，并从而也是高可用的。尤其采用了根据前述标准或实际标准的数据传输协议，尤其还采用专用协议。
[0045]上述的本发明的性能、特征和优点以及其实现的方式和方法结合下文对实施例的描述而变得更清晰和更明确易懂。如果在本申请中采用了术语“可以”，那么其不仅涉及技术可能性，而且涉及实际的技术实现。
[0046]下面借助附图来解释本发明的实施例。其中:
图1示出了在车辆中的中央和外围计算机，
图2示出了在车辆中根据不同运行状态对计算机的接通和关闭，
图3示出了用于接通和关闭计算机的一种方法， 图4示出了过程表格，其中标记了待实施过程，
图5示出了用于对过程进行开始和关闭的一种方法，
图6示出了车辆的中央数据处理单元的构造，其中该数据处理单元在以太网上运行。
[0047]解释在车辆待机状态下的冗余关闭。替换地也可以在飞机中或者在另一种机器中来实施冗余关闭。
[0048]如果在车辆中安全重要的部件、例如转向装置或刹车不再通过机械或液压方式来加以操控，也即例如以电气方式来实施该操控，那么就必须存在冗余路径，该冗余路径在故障情况下例如在CPlKCentral Processing Unit,中央处理单元)、供电线路、通信线路、RAM(Random Acess Memory,随机访问存储器)、计算方法/函数等中能够承担该操控。如果这种回退层面同样不应该是机械回退层面，那么该电气操控本身就必须设计为冗余的。也即，电线路实施为双重的，并且调节函数或控制函数的计算也实施为双重的，并在多个计算核上来实施，以在核本身中发现随机的故障。
[0049]在双重双工结构的情况下，这意味着，除了多通道线路之外还采用四个处理器核。从而在此高的能量需求是必要的，也即直至相对于无冗余操控情况下能量消耗的四倍。但这种冗余并不是在所有情况下都需要。但是在车辆中的这些系统不能完全关闭。例如在车辆熄火的情况下这些系统必须是活动的。但是这并不是安全性重要的。而是在此在待机情况下取决于消耗尽可能少的能量，从而该车辆在较长的时间段上也不必被操作(例如在停车时)。这对于三重结构同样是适用的。
[0050]目前在车辆领域中还没有在中心架构中大批地采用对安全性重要系统的纯粹电气操控。线控解决方案例如只能针对单个子系统来构建。于是在此在停车时整个子系统可能被关闭。
[0051]在车辆的中央E/E架构(Elektrisch/Elektronische-Architektur,电气 / 电子架构)中，部件被如此来设计，使得其能够在双重双工架构或三重架构下来工作。但这些部件可以通过非冗余的叫醒呼叫来唤醒。在待机时仅实施必要的功能，并且其他所有的功能就不进行计算。只要剩余的活动功能不需要冗余，冗余的计算机核就被关闭。计算和必要的通信仅仅还单通道地进行。一旦再次需要冗余，核就自动地被启动和同步:通信再次多通道地进行。继续不被需要的子系统和功能就继续保持关闭，并且不再冗余地运行。
[0052]并不是针对车辆的每种状态也都必须针对安全性重要的系统来冗余地设计E/E架构。对于特定的状态，例如停车，可以放弃冗余，对于其他的状态，仅在子系统中需要冗余。如果不需要冗余，那么就降低了能量需求。
[0053]在不必为该模式来构建其他额外设备或子系统的情况下，就实现了针对中央控制单元、诸如冗余的计算核的待机模式。待机时间被增加。以下时间段被延长，电池必须再次被充电至该时间段。
[0054]如果该系统能够独立地启动对于冗余所必要的部件，那么车辆不用用户的直接监督也可以执行安全性重要的功能(例如远程控制的充电或放电过程)。
[0055]一种扩展方案也可以采用n>2的双系统:n个双工计算机(每个双工单元都是各2个核乘以n)，其中η是自然数。
[0056]图1示出了在车辆中、尤其在蓄电池驱动或电池驱动的车辆、即电动车辆中的中央和外围计算机。该车辆包含有中央车载计算机10和其他的计算单元。
[0057]该中央车载计算机10包含有:
-第一中央控制单元VCC1，以及
-第二中央控制单元VCC2。
[0058]其他的计算单元包括:
-第一转向控制单元Sbwl (Stear by wire,线控转向)，
-第二转向控制单元Sbw2,
-第一刹车控制单元Bbwl (Break by wire,线控刹车)，
-第二刹车控制单元Bbw2，以及 -其他未示出的冗余或简单实施的单元。
[0059]另外还具有第一数据传输网络DTl和第二数据传输网络DT2，第一数据传输网络DTl和第二数据传输网络DT2把该车载计算机10与其他的计算单元相连接。
[0060]该第一中央控制单元VCCl包含有:
-处理器Prl和处理器Pr2，例如微处理器，它们执行在未示出的存储单元中所存储的程序指令，
-两个传输单元Nla、Nlb，借助这些传输单元建立从处理器Prl和Pr2至数据传输网络DT1、DT2以及至处理器Prl和Pr2的连接。
[0061]传输单元Nla、Nlb在采用以太网时例如通过两个所谓的交换机来加以形成，这在下文中还要借助图6来详细解释。但同样也可以采用其他的、尤其采用在开头所述协议的网络。
[0062]该第二中央控制单元VCC2包含有:
-处理器Pr3和处理器Pr4，例如微处理器，它们执行在未示出的存储单元中所存储的程序指令，
-两个传输单元N2a、N2b，借助这些传输单元建立从处理器Pr3和Pr4至数据传输网络DT1、DT2以及至处理器Pr3和Pr4的连接。传输单元N2a、N2b例如如同传输单元Nla、Nlb来构建。
[0063]该第一中央控制单元VCCl和该第二中央控制单元VCC2例如冗余地产生至少一个或全部的以下功能:
-用于转向的中央功能，其中例如输出待调节的转向角，
-用于行驶间距的中央功能，其中例如生成加速或减速数据，
-用于自动刹车过程的中央功能，例如在ABS (Anti Blocker System,防抱死系统)的范畴内，
-用于防滑调节(ASR)的中央功能，
_ 稳定方法 ESP (Elektronisches Stabilisierungs-Programm,电子稳定程序)的中央功能，
-电机的调节，其中该电机被用于驱动电动车辆，
-电子制动力分配(EBV)的中央部分。
[0064]该第一转向控制单元Sbwl包含有:
-处理器Pr5和处理器Pr6，例如微处理器，它们执行在未示出的存储单元中所存储的程序指令， -两个传输单兀N3a、N3b,借助这些传输单兀建立从处理器Pr5和Pr6至数据传输网络DT1、DT2以及至处理器Pr5和Pr6的连接。
[0065]该第二转向控制单元Sbw2包含有:
-第一处理器Pr7和第二处理器Pr8，例如微处理器，它们执行在未示出的存储单元中所存储的程序指令，
-两个传输单元N4a、N4b，借助这些传输单元建立从处理器Pr7和Pr8至数据传输网络DT1、DT2以及至处理器Pr7和Pr8的连接。
[0066]该第一转向控制单元Sbwl和该第二转向控制单元Sbw2冗余地产生以下的功能: -把所接收的转向角数据转换为车辆的转向运动。
[0067]该第一刹车控制单元Bbwl包含有:
-两个未示出的处理器，尤其微处理器，
-两个未示出的传输单元，用于把该第一刹车控制单元Bbwl的处理器耦合到数据传输网络 DT1、DT2。
[0068]该第二刹车控制单元Bbw2包含有:
-两个未示出的处理器，尤其微处理器，
-两个未示出的传输单元，用于把该第二刹车控制单元Bbw2的处理器耦合到数据传输网络 DT1、DT2。
[0069]该第一刹车控制单元Bbwl和该第二刹车控制单元Bbw2冗余地产生以下的功能: -根据控制单元VCCl的或者在VCCl故障时根据VCC2的中央预先给定值来操作刹车， -在ABS刹车过程范畴内的分布式功能，以及
-在ESP过程范畴内的分布式功能。
[0070]数据传输网络DT1、DT2实现了在图1所示的单元之间数据的冗余传输。数据传输网络DT1、DT2按照相同的传输协议、例如FlexRay、双重CAN总线或以太网来工作，这在下文中还要借助图6来详细解释。
[0071]图2示出了在车辆或车载网络10中根据不同运行状态对计算机的接通和关闭。
[0072]运行状态Zl涉及该车辆例如以平均速度(例如在从30km/h至60km/h范围内)的行驶。运行状态Z2涉及该车辆的停止,例如在红绿灯处。该运行状态Z2跟随着运行状态Zl0如果红绿灯变换为绿色,那么在该运行状态Z2之后就跟随着运行状态Z3,在该运行状态Z3中该车辆再次以平均速度来行驶。
[0073]在运行状态Zl中存在以下的开关状态:
-第一中央控制单元VCCl:处理器Prl接通，处理器Pr2接通，
-第二中央控制单元VCC2:处理器Pr3接通，处理器Pr4接通，
-第一转向控制单元Sbwl:处理器Pr5接通,处理器Pr6接通，以及 -第二转向控制单元Sbw2:处理器Pr7接通,处理器Pr8接通。
[0074]在运行状态Z2中存在以下的开关状态:
-第一中央控制单元VCCl:处理器Prl接通，处理器Pr2接通，
-第二中央控制单元VCC2:处理器Pr3关闭，处理器Pr4关闭，
-第一转向控制单元Sbwl:处理器Pr5接通,处理器Pr6接通，以及 -第二转向控制单元Sbw2:处理器Pr7关闭，处理器PrS关闭。
[0075]在运行状态Z3中再次存在运行状态Zl中所述的开关状态。
[0076]从而在运行状态Z2中减少冗余，以在对于人的安全性不重要的状态中来有效地利用能量。但至少使一个系统保持激活，在此为该第一中央控制单元VCCl或该第一转向控制单元Sbwl。
[0077]与关于处理器的接通和关闭相反，中央控制单元VCCl和VCC2、转向控制单元Sbwl和Sbw2以及刹车控制单元Bbwl和Bbw2替换地也可以作为整个单元而关于接通和关闭来加以操控。例如通过接通或关闭供电单元或者通过分离供电单元或通过与供电单元相连接来进行接通和关闭。
[0078]图3示出了用于接通和关闭计算机的一种方法，利用该方法例如在上文参照图2所示的开关状态之间进行切换。
[0079]在第一变化方案中，在图3中所示的方法步骤102至106在该中央控制单元VCC2中被执行。与此相反，在该第一变化方案中方法步骤108至112在该中央控制单元VCCl中被执行。
[0080]该方法开始于方法步骤100，也简称为步骤100。
[0081]在该步骤100之后的步骤102中，例如由该第二中央控制单元VCC2来检测该车辆的运行状态。
[0082]在该步骤102之后，由该第二中央控制单元VCC2来执行步骤104。在步骤104中验证该车辆是否处于运行状态Z2中，也即是否停止。如果该车辆处于运行状态Z2中，也即停止，那么就在步骤104之后直接跟随方法步骤106，在该方法步骤106中第二控制单元VCC2自己关闭。
[0083]相反，如果该车辆不是处于运行状态Z2，也即停止，那么在该步骤104之后直接跟随方法步骤108，在该方法步骤108中由第一控制单元VCCl检测运行状态。
[0084]在跟随该步骤108之后的方法步骤110中，该第一控制单元VCCl验证状态Z1、Z3、也即行驶是否是活动的。如果该车辆处于运行状态Zl或Z3中，也即行驶，那么在该方法步骤110之后直接跟随方法步骤112，在该方法步骤112中该第一控制单元VCCl接通该第二控制单元VCC2。
[0085]相反，如果该车辆不处于运行状态Zl或Z3中，也即行驶，那么在该步骤110之后直接再次跟随该方法步骤102。
[0086]在第二变化方案中，在图3中所示的方法针对该第二转向控制单元Sbw2来执行。在该第二变化方案中，在图3中所示的方法步骤102至106在该第二转向控制单元Sbw2中被执行。相反，在该第二变化方案中方法步骤108至112在该第一转向控制单元Sbwl中被执行。
[0087]该方法再次开始于方法步骤100，也简称为步骤100。
[0088]在跟随该步骤100的步骤102中，例如由该第二转向控制单元Sbw2来检测该车辆的运行状态。
[0089]在该步骤102之后，由该第二转向控制单元Sbw2来执行步骤104。在步骤104中验证该车辆是否处于运行状态Z2，也即停止。如果该车辆处于运行状态Z2，也即停止，那么在该步骤104之后直接跟随着方法步骤106，在该方法步骤106中该第二转向控制单元Sbw2自己关闭。
[0090]相反，如果该车辆不是处于运行状态Z2，也即停止，那么在该步骤104之后就直接跟随方法步骤108，在该方法步骤108中由该第一转向控制单元Sbwl来检测运行状态。
[0091]在跟随该步骤108之后的方法步骤110中，该第一转向控制单元Sbwl验证状态Z1、Z3、也即行驶是否是活动的。如果该车辆处于运行状态Zl或Z3中，也即行驶，那么在该步骤110之后直接跟随方法步骤112，在该方法步骤112中该第一转向控制单元Sbwl接通该第二转向控制单元Sbw2。
[0092]相反，如果该车辆不处于运行状态Zl或Z3中，也即行驶，那么在该步骤110之后就直接再次跟随该方法步骤102。
[0093]在可选的、例如位于方法步骤102和104之间的附加方法步骤中，在图3的两个变化方案中可以验证是否还存在冗余，也即中央控制单元VCCl或第一转向控制单元Sbwl是否还是完全功能的。如果是这种情况，那么该方法就如同前文所述来加以执行。相反，如果中央控制单元VCCl或第一转向控制单元Sbwl不再可用，那么该方法就被中止。
[0094]在图3中所示的方法仅是一个例子。也可以通过其他的方法来实现相同的功能，例如仅在运行状态切换时才可以调用用于切换开关状态的方法，使得不必持续地确定运行状态。也可以周期地询问运行状态。
[0095]图4示出了过程表格，其中标记了待实施过程。例如每列都对应一个过程表格，其中这些处理表格按照如下而被分配有处理器Prl至Pr4:
-列1，也即第一过程表格，被分配有处理器Prl,
-列2，也即第二过程表格，被分配有处理器Pr2，
-列3，也即第三过程表格，被分配有处理器Pr3，以及 -列4，也即第四过程表格，被分配有处理器Pr4，
在四个过程表格中分别涉及以下的行:
-第一行:功能Fl，其例如涉及转向，
-第二行:功能F2,其例如涉及停止预先给定的速度(ACC-Automatic CruisingControl,自动巡航控制)，
-第三行:功能F3，其例如涉及蓄电池的充电，口语也称为电池，
-第四行:功能F4，其例如涉及车辆的电子稳定ESP，
-第五行:功能F5，其例如涉及发动机控制，尤其电机的调节，以及-第六行:功能F6，其例如涉及至移动无线网络的连接，在此是至UMTS (UniversalMobile Telecommunicat1ns System,通用移动电信系统)或替换地至LTE网络(Long TermEvolut1n,长期演进)的连接。
[0096]在图4中所示的在行与列的交叉位置上的叉号表示在有关过程表格中的一个标记。如果存在该标记，那么就在有关的处理器中实施属于有关功能的过程。相反如果一个位置上不再存在该标记，那么产生有关行所针对的功能的过程就不被实施。
[0097]标记120例如涉及在处理器Pr3中的功能Fl。标记122例如涉及在处理器Pr4中的功能Fl。
[0098]在图4中所示的标记例如对应于一个状态，在该状态中由于没有针对性地降低冗余而没有有效地利用能量。
[0099]相反，利用借助图5所解释的方法能够有针对性地降低冗余: 在已经能量优化的状态Z4 “行驶”中所适用的是:
-在全部过程表格中都记录了功能Fl “转向”的标记，
-如果功能F2 “ACC” (Automatic Cruising Control,自动巡航控制)是活动的，那么在全部过程表格中都记录功能F2 “ACC”的标记。替换地如果该功能“ACC”未被使用，那么就仅针对处理器Prl和Pr2来记录标记。
-功能F3的标记被全部去除，因为该车辆例如在加速。
-在全部四个过程表格中都记录了功能F4“ESP”的标记。替换地在不重要的行驶状态下对于处理器Prl来说一个标记可以足够，并且对于处理器Pr2来说一个标记可以足够。
-对于发动机控制/调节，在针对处理器Prl和处理器Pr2的列中存在两个标记。 -在第一列中，也即在针对处理器Prl的列中具有功能F6 (UMTS)的标记。
[0100]在运行状态Z5中，该车辆例如在红绿灯处停止。因此由该第二中央控制单元VCC2来去除标记120和122。这是允许的，因为在停止时预计不具有转向运动或仅具有不重要的转向运动，并因此不需要四重的冗余。相反在头两个列中还存在功能Fl “转向”的标记。
[0101]在运行状态Z5中，在针对处理器Pr3和Pr4的列中可以去除功能F2 “ACC”的标记。相反，在头两列中，也即在针对处理器Prl和Pr2的列中保留功能F2“ACC”的标记。功能F4和F5分别由处理器Prl和Pr2来产生。功能F6由处理器Prl来产生。
[0102]该车辆处于运行状态Z6中，并例如通过插座来充电。在第三行中，也即针对充电的行中仅还具有两个标记。其他所有标记都被去除。从而处理器Pr3和Pr4可以被关闭，并且处理器Prl和Pr2仅需要低的计算功率。
[0103]图5示出了用于接通和关闭过程的一种方法。
[0104]在第一变化方案中，图5中所示的方法步骤200至212在中央控制单元VCC2中被执行。
[0105]该方法开始于方法步骤200，也简称为步骤200。在该步骤200之后的步骤202中，例如由该第二中央控制单元VCC2来检测该车辆的运行状态。
[0106]在该步骤202之后，由该第二中央控制单元VCC2来执行步骤204。在步骤204中验证该车辆是否处于运行状态Z5中。如果该车辆处于运行状态Z5中，也即停止，那么就在步骤204之后直接跟随方法步骤206，在该方法步骤206中该第二控制单元VCC2通过在一个或两个过程表格中去除标记120和120来关闭该功能Fl。从而处理器Pr3和Pr4不再实施该功能Fl。
[0107]相反，如果该车辆不处于运行状态Z5，也即停止，那么在该步骤204之后就直接跟随方法步骤208，在该方法步骤208中由该第二控制单元VCC2来重新检测运行状态。
[0108]在该步骤208之后的方法步骤210中，该第二控制单元VCC2验证状态Z4、也即行驶是否是活动的。如果该车辆处于运行状态Z4，也即行驶，那么在该步骤210之后直接跟随方法步骤212，在该方法步骤212中该第二控制单元VCC2例如通过在两个过程表格中记录标记120和122而接通该功能F1，见图4。
[0109]相反，如果该车辆不处于运行状态Z4，也即行驶，那么在该步骤210之后就直接再次跟随该方法步骤202。
[0110]在第二变化方案中，针对该第二刹车控制单元Bbw2来执行图3中所示的方法。在该第二变化方案中，在该刹车控制单元Bbw2中来执行该方法步骤200至212。
[0111]该方法再次开始于方法步骤200，也简称为步骤200。在该步骤200之后的步骤202中，例如由该第二刹车控制单元Bbw2来检测该车辆的运行状态。
[0112]在该步骤202之后，由该第二刹车控制单元Bbw2来执行步骤204。在步骤204中验证该车辆是否处于运行状态Z5中。如果该车辆处于运行状态Z5中，也即停止，那么就在步骤204之后直接跟随方法步骤206，在该方法步骤206中该第二刹车控制单元Bbw2通过在该第二刹车控制单元Bbw2的一个或两个过程表格中去除标记来关闭该功能ABS。从而该第二刹车控制单元Bbw2的两个处理器不再实施该功能ABS。
[0113]相反，如果该车辆不处于运行状态Z5，也即停止，那么在该步骤204之后就直接跟随方法步骤208，在该方法步骤208中由该第二刹车控制单元Bbw2来重新检测运行状态。
[0114]在该步骤208之后的方法步骤210中，刹车控制单元Bbw2验证该状态Z4、也即行驶是否是活动的。如果该车辆处于运行状态Z4，也即行驶，那么在该步骤210之后直接跟随方法步骤212，在该方法步骤212中该第二刹车控制单元Bbw2例如通过在该第二刹车控制单元Bbw2的两个过程表格中记录之前被去除的标记而接通该功能ABS。
[0115]相反，如果该车辆不处于运行状态Z4，也即行驶，那么在该步骤210之后就直接再次跟随该方法步骤202。
[0116]在可选的、例如位于方法步骤202和204之间的附加方法步骤中，在借助图5所解释的方法中可以验证是否还存在冗余，也即该中央控制单元VCCl或该第一刹车控制单元Bbwl是否还是完全功能的。如果是这种情况，那么该方法就如同前文所述来加以执行。相反，如果中央控制单元VCCl或第一刹车控制单元Bbwl不再可用，那么该方法就被中止。
[0117]在图5中所示的方法仅是一个例子。也可以通过其他的方法来实现相同的功能，例如仅在运行状态切换时才可以调用用于切换开关状态的方法，使得不必持续地确定运行状态。也可以周期地询问运行状态。
[0118]图6示出了车辆的中央数据处理单元300或VCCl的构造，其中该数据处理单元300或VCCl在以太网上运行。
[0119]该中央控制单元300除了上面已经讲述的处理器Prl和Pr2以及未示出的所属存储单元之外还包含:
-第一开关SW1，其按照以太网协议工作，以及 -第二开关SW2，其按照以太网协议工作。
[0120]该开关SWl具有至以下的连接:
-处理器Prl，
-开关SW2，以及 -网络段302。
[0121]该开关SW2具有至以下的连接:
-处理器Pr2，
-开关SWl，以及 -网络段304。
[0122]例如定义了两个以太网层面面。对于网络段302，该开关SWl在层面I上进行发送，并在层面2上进行接收。对于网络段304，开关SW2在层面2上进行发送，并在层面I上进行接收。
[0123]从而控制单元300或VCCl在层面I中从右侧接收(R——接收)数据，其中该控制单元或者自身对该数据进行处理，或者在该层面I中又向左发送(S—发送)该数据。在层面2中该控制单元300或VCCl从左侧接收(R——接收)数据，其中该控制单元或者自身对该数据进行处理，或者在该层面2中又向右发送(S——发送)该数据。通过这种拓扑结构并通过这些设定，可以构建具有两个传输方向的环状拓扑结构或其他的网络拓扑结构，以实现冗余的数据传输。例如必须首先通过两个层面I和2来接收消息，然后对该消息进行处理并从而能够触发控制过程或调节过程。
[0124]在更高的协议层面中，在该实施例中采用了 TCP/IP。但也可以采用其他的网络协议来替代以太网或TCP/IP。
[0125]在图6的实施例中该数据处理单元VCC2同样如同该数据处理单元VCCl来构建，也即该数据处理单元VCC2除了处理器Pr3和Pr4之外同样包含有两个交换机SW3和SM。交换机SW3例如与网络段302b相连接，并且交换机SW4与网络段304b相连接。这两个控制单元VCCl和VCC2可以按照以下的顺序例如连接成内部环:
-控制单元300或VCCl，
-网络段302，
-第五以太网交换机SW5，
-网络段304b，
-控制单元VCC2，
-网络段302b，
-第六以太网交换机SW6，
-网络段304。
[0126]于是在该环形拓扑结构中实现了两个消息传输方向。一个方向是在网络的层面I中，相反的方向是在网络的层面2中。从而存在第一冗余。如果该环的一段是不可用的，那么就可以通过至少一个传输方向而到达所有的单元，这意味着进一步的冗余。
[0127]于是在交换机SW5和SW6上可以连接至少一个其它以太网环，于是在该以太网环中以相同的方式来连接转向控制单元Sbwl、Sbw2、刹车控制单元Bbwl、Bbw2以及必要时还有其他的单元。
[0128]这些实施例并不是按照比例的，并且并非限制性的。专业人员的处理范畴内的修改是可以的。虽然本发明具体通过优选实施例已经被详细示出和描述，但本发明并不局限于所公开的例子，并且在不脱离本发明保护范围的情况下可以由专业人员从中导出其他的变化方案。
【权利要求】
1.用于尤其在车辆中以高可用性来运行至少两个数据处理单元(VCC1，VCC2)的方法， 其中第一数据处理单元(VCCl)和第二数据处理单元(VCC2)能够分别产生直至至少百分之60或至少百分之90相同的功能， 其中该第二数据处理单元(VCC2)自动地从存储单元中去除待实施过程的至少一个标记(120，122)，或者自动地切换到静止状态。
2.根据权利要求1所述的方法，其中根据机器的运行状态(Zl至Z6)来去除所述标记(120，122)或切换到静止状态，其中针对该机器的运行采用数据处理单元(VCC1，VCC2)，该机器尤其是运输机器。
3.根据权利要求2所述的方法，其中借助至少一个传感器单元检测该运行状态(Zl至Z6)，尤其利用运动传感器、速度传感器或转速传感器。
4.根据权利要求2或3所述的方法，其中该运行状态(Zl至Z6)是状态停止(Z2，Z5)、蓄电池充电(Z6)或状态行驶(21，23，24)。
5.根据前述权利要求之一所述的方法，其中数据处理单元(VCC1，VCC2)在数据传输网络(DT1，DT2)上利用一种数据传输协议运行，使得能够接通处理器(Prl至Pr6)或网络单元(NI至N4)，尤其在以太网上。
6.根据前述权利要求之一所述的方法，其中被去除的标记(120，122)自动地再次通过第二数据处理单元(VCC2)录入，优选地根据所述机器的当前运行状态(Zl至Z6)。
7.根据前述权利要求之一所述的方法，其中静止状态是如下一种状态，在该状态中第二数据处理单元(VCC2)的供电装置被关闭，或者在该状态中把第二数据处理单元(VCC2)与其供电装置相分离。
8.根据权利要求7所述的方法，其中通过第一数据处理单元(VCCl)来结束该静止状态，尤其通过促使接通该第二数据处理单元(VCC2)的供电装置或者通过促使把该第二数据处理单元(VCC2)的供电装置与该第二数据处理单元(VCC2)相连接。
9.根据前述权利要求之一所述的方法，其中每个数据处理单元(VCC1，VCC2)都分别包含有至少两个处理器(Prl至Pr4)。
10.根据前述权利要求之一所述的方法，其中这两个数据处理单元(VCC1，VCC2)都分别连接到两个冗余的数据传输连接(DT1，DT2)或数据处理网络上。
11.根据前述权利要求之一所述的方法，其中这两个数据处理单元(VCC1，VCC2)都产生至少一个用于控制或调节所述机器的核心功能。
12.根据前述权利要求之一所述的方法，其中这两个数据处理单元(Sbwl，Sbw2;Bbwl, Bbw2)在所述机器的至少一个外围子系统中产生至少一个功能。
13.用于运行机器的装置(10)， 具有第一数据处理单元(VCCl )，以及 具有第二数据处理单元(VCC2 )， 其中该第一数据处理单元(VCCl)和该第二数据处理单元(VCC2)能够分别产生直至至少百分之60或至少百分之90相同的功能， 以及在该第二数据处理单元(VCC2)中具有第一控制单元， 其中该第一控制单元从存储单元中去除待实施过程的至少一个标记(120,122),或者该第二数据处理单元(VCC2)自动地切换到静止状态。
14.根据权利要求13所述的装置(10)，其在该第一数据处理单元(VCCl)中具有第一存储单元，其中在该存储单元中标记了该第一数据处理单元(VCCl)关于功能的产生或者关于冗余而优先于该第二数据处理单元(VCC2)。
15.根据权利要求13或14所述的装置(10)，其具有第一数据传输连接(DTl)或第一数据处理网络，并具有第二数据传输连接(DT2)或第二数据处理网络，其上连接有该第一数据处理单元(VCCl)和该第二数据处理单元(VCC2)， 其中待传输数据的至少百分之60或者待传输数据的至少百分之90通过两个数据传输连接(DT1，DT2)或通过两个数据传输网络而被传输。
【文档编号】B60W50/02GK104205003SQ201280071847
【公开日】2014年12月10日 申请日期:2012年12月10日 优先权日:2012年1月27日
【发明者】M.阿姆布鲁斯特, M.费林, L.菲格, G.弗赖塔格, C.克莱因 申请人:西门子公司