用于转向系统的三重冗余故障保险的制作方法

本申请总体涉及线控转向系统，尤其涉及提供用于操作车辆中的转向系统的电控单元(ecus)的三重冗余故障保险(tripleredundancyfailsafe)。

增加自动驾驶辅助系统(adas)的可靠性导致车辆中的各种子系统的一个或多个控制器相互通信。例如，通信有助于多个子系统共享信息，进而有助于子系统对于其他子系统自动采取的动作做出反应。

另外，增加车辆安全性的要求是驱动系统冗余以获得更高的安全级别。冗余是通过包括备用(或第二)元件而获得的，假如主(或第一)元件发生故障时，所述备用(或第二)元件用于接管操作。冗余元件通常承担eps系统的有限长时间的操作责任。

因此，具有稳健的(robust)控制器之间的通信是理想的。

技术实现要素：

根据一个或多个实施例，描述了用于转向系统的三重冗余故障保险的系统。一个示例性系统包括控制器模块。该控制器模块包括第一电控单元(ecu)，其作为主ecu而操作，用以向马达发送马达命令，以产生转矩。控制器模块还包括第二ecu，其作为第一ecu的备用装置而操作。响应于第一ecu处的故障，第二ecu向域控制器发送故障通知，并作为主ecu而操作。所述系统还包括域控制器，其响应于接收到故障通知、作为第二ecu的备用装置而操作。

这里还描述了转向系统的一个或多个实施例。一种示例性的转向系统包括控制器模块。控制器模块包括第一电控单元(ecu)，其作为主ecu而操作，用以向马达发送马达命令，以产生转矩。控制器模块还包括第二ecu，其作为第一ecu的备用装置而操作。响应于第一ecu处的故障，第二ecu向域控制器发送故障通知，并作为主ecu而操作。第二ecu还响应于接收到故障通知而启动域控制器，以作为第二ecu的备用装置而操作。

另外，这里还描述了转向系统中的控制器系统的一个或多个实施例。控制器系统包括第一电控单元(ecu)，其作为控制器系统的主ecu而操作，所述主ecu向马达发送马达命令，以产生转矩。控制器系统还包括第二ecu，其作为第一ecu的备用装置而操作。作为备用装置而操作包括监控第一ecu的故障。响应于检测到第一ecu处的故障，第二ecu作为控制器系统的主ecu而操作，并启动域控制器，以作为备用ecu而操作。

还提供一种转向系统中的控制器系统，所述控制器系统包括：第一电控单元，即第一ecu，设置成作为所述控制器系统的主ecu而操作，所述主ecu向马达发送马达命令，以产生转矩；第二ecu，设置成作为所述第一ecu的备用装置而操作，作为所述备用装置而操作包括：监控所述第一ecu的故障；响应于检测到所述第一ecu处的故障：作为所述控制器系统的主ecu而操作；和启动域控制器，以作为备用ecu而操作。

在一个实施例中，所述第一ecu还被设置成，响应于所述第二ecu处的故障而向所述域控制器发送故障通知，其中，响应于接收到所述故障的通知，所述域控制器启动以作为所述第一ecu的备用装置而操作。

在一个实施例中，所述第二ecu通过比较第一车轮位置与第二车轮位置而检测所述第一ecu处的故障，所述第一车轮位置由所述第一ecu对应于驾驶盘位置计算得出，所述第二车轮位置由所述第二ecu对应于所述驾驶盘位置计算得出。

在一个实施例中，所述域控制器通过比较第一车轮位置与第二车轮位置而检测所述主ecu处的故障，所述第一车轮位置由所述主ecu对应于驾驶盘位置计算得出，所述第二车轮位置由所述域控制器对应于预计的驾驶盘位置和相应的预计的车轮位置计算得出。

在一个实施例中，响应于所述主ecu的故障，所述域控制器启动应急操纵以停止所述转向系统的操作。

从结合附图的以下描述中，这些和其他优点和特征将变得更加显而易见。

附图说明

被视作本发明的主题在说明书的结尾处的权利要求中被特别指出并被清楚地请求保护。从结合附图的以下详细描述中，本发明的前述和其他特点和优点将显而易见，在附图中：

图1示出了包括有根据一个或多个实施例的转向系统的车辆。

图2示出了装备有根据一个或多个实施例的sbw式的转向系统12的车辆10的框图。

图3示出了根据一个或多个实施例的示例性的冗余微控制器单元(mcu)系统。

图4示出了根据一个或多个实施例的示例性的全冗余系统。

图5描绘了提供根据一个或多个实施例的额外的冗余层的示例性系统的框图。

图6描绘了根据一个或多个实施例的通信系统。

图7示出了有助于根据一个多个实施例的转向系统的额外的冗余层的方法的示例性流程图。

具体实施方式

如这里所使用的，术语“模块”和“子模块”指的是一个或多个处理电路，诸如应用专用集成电路(asic)、电子电路、执行一个或多个软件或固件程序的处理器(共享，专用或群组)和存储器、组合逻辑电路和/或提供所描述的功能的其他适合的元件。如能够理解的，以下所描述的子模块能够被组合和/或进一步分割。

下面参照附图，其中将结合指定的实施例描述本发明，而不会限制本发明，图1是包括有所描述的转向系统12的车辆10的示例性实施例。在各种实施例中，转向系统12包括联接至转向轴系统16的驾驶盘14，所述转向轴系统16包括转向柱、中间轴和必要的接头。在一个示例性实施例中，转向系统12是eps系统，其还包括转向辅助单元18，所述转向辅助单元联接至转向系统12的转向轴系统16和车辆10的连接杆(tierod，横拉杆)20、22。供选择地，转向辅助单元18可以使转向轴系统16的上部与该系统的下部联接。转向辅助单元18包括例如齿轮齿条转向机构(未图示)，其通过转向轴系统16联接至转向致动器马达19和传动装置。在操作期间，当车辆驾驶员转动驾驶盘14时，转向致动器马达19提供使连接杆20、22移动的辅助，其进而分别使转向节24、26移动，所述转向节分别联接至车辆10的车轮28、30。

如图1所示，车辆10还包括各种传感器31、32、33，其检测和测量转向系统12和/或车辆10的可观察状态。传感器31、32、33基于可观察的状态产生传感器信号。在一个实施例中，传感器31是转矩传感器，其感测由车辆10的驾驶员施加至驾驶盘14的输入的驾驶员的驾驶盘转矩(hwt)。转矩传感器基于其产生驾驶员转矩信号。在另一个示例中，传感器32是马达的角度和速度传感器，其感测转向致动器马达19的旋转角度和转速。在又一个示例中，传感器32是驾驶盘位置传感器，其感测驾驶盘14的位置。传感器33基于其产生驾驶盘位置信号。

控制模块40接收来自传感器31、32、33的一个或多个传感器信号输入，并可以接收诸如车辆速度信号34等其他输入。控制模块40产生命令信号，以基于一个或多个输入并进一步基于本公开的方法及转向控制系统来控制转向系统12的转向致动器马达19。本公开的方法及转向控制系统应用信号调节并执行摩擦分类，以将表面摩擦级别42确定为能够用于通过转向辅助单元18来控制转向系统12的方面的控制信号。表面摩擦级别42还能够作为警报发送至abs44和/或esc系统46，从而表明表面摩擦的变化，其还被分类为在中心滑动(即，处于较小的驾驶盘角度)或偏离中心滑动(即，处于较大的驾驶盘角度)，如这里进一步描述的。

通过使用例如控域网(can)总线或本领域已知的其他车辆网络，能够执行与abs44、esc系统46和其他系统(未描绘)的通信，从而交换诸如车辆速度信号34等信号。在一个或多个示例中，硬件限制和通信信道的多元化促使交互的微通信链路(inter-microcommunicationlinks)使用不同的协议，除了别的以外，例如can、串行通信接口(sci)、多处理器链路接口(mli)。每个协议均可以满足数据处理的安全方面的一部分，但不能内在地确保覆盖了所有的安全方面。

另外，在一个或多个示例中，转向系统12可以是线控转向(sbw)式的转向系统，所述转向系统不包括驾驶盘14与车轮28、30之间的机械联接，上述机械联接被传感器、致动器和电子器件替换。例如，在传统的转向系统中，其包括转向轮、转向柱、动力辅助齿条与齿轮系统和连接杆，驾驶员转动转向轮，其通过各种机械部件引起车辆的车轮转动。在线控转向系统中，位于车辆的车轮与转向轮之间的大量的机械部件被转向轮处的传感器以及车轮处的传感器及致动器替换，而且转向轮的旋转被传感器测量。该旋转测量结果由电子器件处理，以产生用于致动器的命令信号，从而转动车轮。采取转向转矩形式的、被设计为表示路感的驾驶员反馈通过转矩和旋转伺服致动器以软件来提供，该软件为驾驶员提供行驶状况的模拟。

图2描绘了装备有根据一个或多个实施例的sbw式的转向系统12的车辆10的框图。转向系统12可以是具有线控系统的自主或半自主的车辆100。应明白的是，所示出和所描述的线控转向系统12能够用在自主或半自主的车辆中或用在更多的常规车辆中。转矩反馈系统100提供了用于线控车辆10的成本效益好的转矩反馈系统，其包括控制器40。尽管没有要求，但是通过利用高级的驾驶员辅助系统(“adas”)27，控制器40还可以与自主或半自主的车辆相关联，因而将常规的线控车辆转变为自主或半自主的车辆。adas系统27可以利用导航系统，其使得车辆10及其乘客能够门到门(portal-to-portal)地驾驶，而无需驾驶员驾驶车辆10。当adas系统27被激活时，不需要转向轮14来控制车辆10，因此，在自主驾驶模式期间，不需要旋转转向轮14。

线控车辆10没有包括转向轮14与转向齿轮180之间的机械连接，转向齿轮180是诸如电动转向齿轮，其操作性地联接至多个车轮28、30。然而，转向轮14和转向齿轮180被电子联接。借助于由诸如伺服致动器等致动器120旋转的输入轴，通过使用转向齿轮180来执行车辆10的引导。在包括adas系统27的一个或多个示例中，在adas系统27的非激活模式下，致动器120接收由驾驶员旋转转向轮14的电子通信信号。

当希望自主车辆驾驶状态时，adas系统27被激活，由此使通过转向轮14的车轮28、30的方向控制失效。驾驶员能够在自主车辆驾驶状态与非自主车辆驾驶状态之间切换。

非自主车辆驾驶状态(如果包括有adas系统27，则是adas系统27的非激活模式)包括驾驶员控制转向轮14，以方向性地控制车辆10。如上所述，在adas系统27的非激活模式下，致动器120接收到驾驶员的旋转转向轮14的电子通信信号。然而，由于欠缺转向轮14与车轮28、30之间的机械连接，所以在没有转矩反馈的情况下，不会向驾驶员提供路感。在一个或多个示例中，转矩系统100可以包括联接至转向柱16和转向轮14的伺服致动器，用以模拟驾驶员的路感。转矩系统100可以将采取转矩形式的触觉反馈施加到转向轮14，并被联接至转向轮14和/或转向柱16。应当注意的是，在一个或多个示例中，转矩反馈系统100可以通过使用任何其他的元件代替联接至转向柱16和转向轮14的另一个伺服致动器来提供触觉反馈，以向转向轮14提供转矩形式的触觉反馈，从而模拟驾驶员的路感。

这里描述的实施例的方面可以由诸如控制模块26等任何适合的控制系统和/或处理装置来执行。在一个实施例中，控制模块26是或被包括为自主驾驶系统的一部分。控制模块40可以是ecu。车辆10包括额外的ecu。控制模块40接收到来自其他ecu的信息，诸如车辆速度信号34、传感器信息和各种其他信息。如之前描述的，设计有多重通信方法用于交互的微通信，除了别的之外，诸如协议sci、can和mli等。每个协议均可以满足数据处理的安全方面的一部分，但是不能内在地确保覆盖到所有的安全方面。

在一个或多个示例中，控制模块40是由实时操作系统(rtos)操作的ecu。应当注意的是，尽管这里描绘的是由ecu操作的转向系统12，但是这里描述的技术方案能够应用于各种其他的设定中，诸如用在操作除了别的之外，例如发动机、排气系统、胎压监控系统、信息娱乐系统等车辆10的其他部件的其他ecu中。增加车辆的安全性要求是驱动系统冗余，用以实现更高的安全级别。冗余通常是通过使控制系统增多到具有冗余的微控制器的程度而获得的。

图3示出了根据一个或多个实施例的示例性的冗余微控制器单元(mcu)系统。所描绘的mcu系统200是在车辆10的上下文里被描绘的，其中朝向/来自mcu架构200的通信是使用一个或多个控域网(can)总线来执行的。而且，在所示出的mcu架构200中，两个微控制器被用于提供冗余。应当注意的是，在其他的实施方式中，mcu系统200能够包括额外的微控制器。mcu系统200的mcu通过交互的微通信(imc)而内部连接，以在彼此之间共享诸如状态信息等信息。

在所描绘的示例中，在can通信发生故障期间，mcu-2200用作mcu-1210的备用装置，反之亦然。因此，经由can总线连接的其他节点继续接收来自mcu构架200的信息(即，确保数据到达其他节点的有效性)。通常，在特殊总线中拥有can通信的mcu被称为源mcu，而且提供can通信的备用装置的mcu被称为备用mcu。一个总线的源mcu将用作其他总线的备用ecu。

例如，在图2中，考虑的第一种情况是mcu-1210是源mcu，其拥有越过can总线-1215的通信，mcu-2220是用于通信的备用mcu，其经由can总线-2225接收。在另一种情况下，mcu-2220是源mcu，其拥有越过can总线-2225的通信，mcu-1210是经由can总线-1215接收通信的备用mcu。can总线-1215和can总线-2225都被连接至相应的公用can总线、公用can总线1-217和公用的can总线-2227。

can通信可以因为诸如can收发器的问题、mcu掉电、mcu因故障而重置、mcu处的can总线的局部断开、mcu处的can总线的局部短路、can通信的应用的特定禁用等故障而被停止。应当理解的是，上述是几个示例，can通信可以被其他故障中断。假如其他主mcu发生故障，备用mcu发送can信息。

而且，以类似的方式，为了实施全冗余系统，除了其他的冗余元件以外，常规的转向系统包括2个用于位置检测的冗余传感器、用于马达致动的冗余固态驱动电路、马达的冗余线圈和冗余电池电源。

图4描绘了根据一个或多个实施例的示例性的全冗余系统。如所描绘的，两个ecu200a和200b通过使用相应的马达位置传感器210a和210b而操作，其进而分别监控马达220a和220b的位置。马达220a和220b产生的转矩用作操纵车辆10的辅助转矩和/或向驾驶员提供反馈的反馈转矩。在这样的系统300中，在任意元件中发生单点故障时，故障元件被关掉。剩余的操作性元件承担转向控制的责任。

通常，在这样的场景中，转向系统12可以在这样的故障之后被操作有限的持续时间，因为系统现在是在没有冗余的情况下操作。例如，可以基于检测到故障后的一定时间和/或检测到故障后行驶的一定距离来设定限制。这种限制会使车辆10的驾驶员/乘客不方便。而且，在一个或多个示例中，例如在修理时间很长或类似的情况下，处于预配置的限制中的车辆的停止操作实际上是不可能的。因此，在检测到诸如转向系统12等冗余系统中的故障情况时，存在形成另一层冗余的技术挑战。

除了别的对本领域技术读者显而易见的以外，这里描述的技术方案解决了形成额外的冗余层的技术挑战，该额外的冗余层在诸如转向系统等以全冗余方式操作的系统中已经发生单点错误以后能够使车辆的驾驶员/乘客完成旅程。

在一个或多个示例中，这里所描述的技术方案利用车辆10中的额外的域ecu，其根据sae2016在l3下操作。在一个或多个示例中，该技术方案有助于车辆制造商、驾驶员、维修人员或其他用户从车辆10，例如底盘域控制器、adas运动控制器或从其他车辆子系统配置ecu，该ecu用作在转向系统12中发生单点故障的情况下的额外的冗余层。

“域控制器”是车辆10中的主控和整合来自不同供应者的模块的控制器。例如，域控制器可以比如使用传感器融合来整合软件模块，这些软件模块由许多不同的供应商设计成执行诸如车道保持辅助、自动泊车、自动巡航控制等功能。传感器融合是组合传感器数据或从不同源获得的数据，从而使得产生的信息的不确定性比这些源被单独使用时低。例如，域控制器可以接收诸如测量结果等传感器数据，和/或控制来自像前摄像机、环视系统(surroundviewsystem，全景影像系统)、雷达、激光、超声波纳米雷达等传感器的信号。域控制器可以通过使用这种输入数据来使用传感器融合，以执行上述一个或多个功能。

这里描述的技术方案有助于使用车辆10的域控制器来提供额外的冗余层，在以上示例中提供三重冗余，当转向系统12的其中一个元件中发生单点故障时，该三重冗余被触发。

图5描绘了提供根据一个或多个实施例的额外的冗余层的示例性系统的框图。在所描绘的系统400中，描述了sbw式转向系统，其包括被用于以全冗余模式操作车轮致动器的第一控制器、车轮致动器控制器300a。该转向系统还包括被用于以全冗余模式操作驾驶盘致动器的第二控制器、驾驶盘致动器控制器300b。

控制器300a和300b中的每一个均使用比如高速串行通信总线等高速通信总线505彼此连接。在一个或多个示例中，高速通信总线505可以是吉比特以太网(gigabitethernet)总线、高速can总线或任何其他这样的通信总线。

在一个或多个示例中，通信总线505上包含的信息包括由驾驶盘致动器控制器300b提供的期望转向位置和车轮致动器控制器300a提供的实际位置。在无故障操作中，来自车轮致动器控制器300a内的冗余ecu的主ecu接收各种输入信号并产生输出转矩命令，以使得车轮致动器操纵车轮28、30。相似地，在无故障操作中，来自驾驶盘致动器控制器300b内的冗余ecu的的主ecu接收各种输入信号并产生输出转矩命令，以使得驾驶盘致动器在驾驶盘14处产生反馈转矩。在无故障模式下，车辆10的域控制器510相对于转向系统操作未被激活，而且通过分别使用车轮致动器和/或驾驶盘致动器不会执行与产生辅助转矩和/或反馈转矩相关的任何操作。

如果在车轮致动器控制器300a中发生诸如单点故障等故障，那么来自车轮致动器控制器300a内的冗余ecu的备用ecu接手车轮致动器的操作。类似地，如果在驾驶盘致动器控制器300b中发生故障，那么来自驾驶盘致动器控制器300b内的冗余ecu的备用ecu接手驾驶盘致动器的操作。

而且，为了解决响应于转向系统12的其中一个元件的故障而形成额外的冗余层的技术挑战，系统400在这种情况下促进域控制器510提供第三冗余层。在一个或多个示例中，域控制器510主控转向系统模型515(比如，自行车模型)，该转向系统模型被供给诸如用于偏航的测量信号、车轮速度等来自额外的车辆传感器520的信息。转向系统模型515是用于转向系统12的操作模型，其在域控制器510中被预配置。转向系统模型515根据用在车辆10中的转向系统12的模型而变化。转向系统模型515基于来自一个或多个传感器520的测量控制信号来估计一个或多个转矩命令，诸如辅助转矩命令、反馈转矩命令等。换言之，转向系统模型515模拟转向系统12的操作。

域控制器510经由通信总线505接收状态信息，以及从来自车轮致动器控制器300a和/或驾驶盘致动器控制器300b的一个或多个传感器和/或mcu接受其他输入数据。而且，域控制器510向转向系统12的车轮致动器和/或驾驶盘致动器发送控制命令。域控制器510可以将数据和/或控制命令发送到诸如来自车辆10中的制动系统的额外的车辆致动器530，或者从该额外的车辆致动器接收数据和/或控制命令。域控制器510使用高速通信总线505以与来自车轮致动器控制器300a和/或驾驶盘致动器控制器300b的备用ecu进行通信，从而在控制器的主ecu中发生单点故障的情况下提供冗余。

因此，当车轮致动器控制器300a和驾驶盘致动器控制器300b都以无故障模式操作时，域控制器510在控制转向系统12中未激活。一旦检测到故障，在一个或多个这些控制器(300a/300b)中，控制器指示已经发生单点故障且来自控制器的备用ecu已经接手相应的控制器的操作的域控制器510。该域控制器510激活转向系统模型515，并开始作为接手控制的ecu的第二备用装置而操作。因此，由于操作的ecu现在以冗余进行操作，所以转向系统12能够比无附加的冗余而必须进行更换的限制作出进一步操作。

如果发生进一步故障，那么转向系统12可以在诸如有限的持续时间或有限的英里数等预定的限制之后不起作用。供选择地，或者另外地，如果发生额外的故障，那么域控制器510通过应用如制动或后转向致动器等附加的致动器来执行应急操纵，以安全停止。应急操纵可以包括诸如开启应急灯、向驾驶员、维修技术员、制造商或其他第三方提供通知等附加的操作。供选择地，或者另外地，如果车辆中存在额外的域控制器，那么额外的故障可以触发额外的域控制器来作为冗余ecu操作。

图6示出了车辆中的示例性的通信系统500。该系统500可以是ecu或控制器、或这里所描述的装置中的任一种，所述装置诸如使用can、sci、mli协议等经由内部车辆网络465进行通信。该系统500包括电子电路等硬件。

除了其他元件之外，该系统500包括处理器405、联接至存储器控制器415的内存(memory)410和一个或多个输入装置445和/或诸如外围或控制装置等输出装置440，其经由局部i/o控制器435而被通信地联接。这些装置440和445可以包括例如电池传感器、位置传感器(高度计、加速计、gps)、指示灯/识别灯等。诸如传统的键盘450和鼠标455等输入装置可以被联接至i/o控制器435。该i/o控制器435可以是例如一个或多个总线或其他有线或无线的连接，如现有技术中已知的那样。该i/o控制器435可以具有诸如控制器、缓冲器(缓存)、驱动器、中继器和接收器等额外的元件，以能够进行通信，为了简化起见，这些元件被省略。

该i/o装置440、445可以进一步包括输入和输出通信的装置，比如磁盘存储器、网络接口卡(nic)或调制器/解调器(用于访问其他文件、装置、系统或网络)、射频(rf)或其他收发器、电话接口、桥接器、路由器等。

处理器405是用于执行硬件指令或软件、尤其是储存在内存410中的那些软件的硬件装置。处理器405可以是定做的或市场上可买到的处理器、中央处理单元(cpu)、与系统500相关联的若干处理器中的辅助处理器、半导体基的微处理器(采取微芯片或芯片组的形式)、巨处理器(macroprocessor)或用于执行指令的其他装置。处理器405包括缓存470，其可以包括但不限于：指令缓存，用于加速可执行的取指令；数据缓存，用于加速取数据和存数据；和转译后备缓冲器(tlb)，用于加速可执行的指令和数据的虚拟至物理地址转化。缓存470可以被组织为多个缓存级别(l1、l2等)的层级。

内存410可以包括易失存储器元件(例如，随机存取存储器、ram，诸如dram、sram、sdram)和非易失存储器元件(例如，rom、可擦可编程只读存储器(eprom)、可编程只读存储器(prom)、磁带、只读存储光盘(cd-rom)、磁盘、软盘、卡盘、盒式磁带等)的一个或组合。此外，存储器410可以结合电子、磁力、光学或其他类型的存储介质。应注意，内存410可以具有分散结构，其中各种元件都定位成远离彼此，但是可以被处理器405访问。

内存410中的指令可以包括一个或多个单独的程序，其每一个均包括可执行指令的有序列表，以实施逻辑功能。在图4的示例中，内存410中的指令包括适合的操作系统(os)411。该操作系统411本质上可以控制其他计算机程序的执行并提供时序安排、输入-输出控制、文件和数据管理、存储器管理和通信控制及相关的服务。在一个或多个示例中，该os411是实时的操作系统(rtos)。

包括例如用于处理器405的指令或其他可获取信息等额外的数据可以被储存在存储器420中，该存储器可以是诸如硬盘驱动器或固态硬盘等存贮装置。内存410中或存储器420中所储存的指令可以包括使得处理器执行系统的一个或多个方案和这里所描述的方法的那些。

该系统500可以进一步包括联接至用户接口或显示器430的显示器控制器425。在一些实施例中，显示器430可以是lcd屏幕。在其他实施例中，显示器430可以包括多个led状态灯。在一些实施例中，该系统500可以进一步包括用于联接至网络465的网络接口460。网络465可以是用于系统500与外置服务器、客户等之间经由宽带连接进行通信的ip基的网络。在一个实施例中，网络465可以是卫星网络。网络465在系统500与外部系统之间传输和接收数据。在一些实施例中，网络465可以是服务提供者管理的托管ip网络。网络465可以例如使用无线协议和技术而采取无线方式进行实施，诸如wifi、wimax、卫星或其他方式。网络465还可以是诸如局域网、广域网、城域网、互联网或其他相似类型的网络环境等数据包交换的网络(packet-switchednetwork)。该网络465可以是固定式无线网络、无线局域网(lan)、无线广域网(wan)、个人局域网(pan)、虚拟私人网络(vpn)、车辆内部网络、内联网或其他合适的网络系统，并可以包括用于接收和传送信号的装备。该网络可以使用诸如can、sci、mli等一个或多个协议。

图7示出了根据一个或多个实施例的有助于转向系统的额外的冗余层的方法的示例性流程图。该方法包括使用控制器系统来操作转向系统12中的致动器，所述控制器系统包括主ecu和备用ecu，该主ecu执行用于致动器的控制操作，如610处所示。致动器可以是驾驶盘致动器或车轮致动器的任一者。该方法进一步包括检测是否发生单点(故障)，如620处所示。如果致动器控制器系统的任一者发生操作错误，那么确定单点故障。转向系统12中的致动器连续操作直到发生这种故障。

响应于检测到故障，确定来自控制器系统的主ecu或第二ecu是否发生故障，如630处所示。因而，确定来自控制器系统的两个ecu中的一者发生故障。如果主ecu发生故障，那么该方法包括切换控制器系统中的控制操作，如640处所示。

在一个或多个示例中，备用ecu通过比较第一车轮位置与第二车轮位置而检测主ecu处的故障，所述第一车轮位置由主ecu对应于驾驶盘位置计算得出，所述第二车轮位置由备用ecu对应于同一驾驶盘位置计算得出。如果所得出的车轮位置中的不同超出了预定的阈值，以及如果备用ecu的传感器和其他元件没有指示故障信号，那么备用ecu确定主ecu发生故障。主ecu以类似的方式确定备用ecu发生故障。供选择地，或者另外地，例如，如果故障是因为有故障的元件，比如位置传感器，那么多个ecu之间的交互微通信有助于ecu通知彼此发生故障。

切换控制操作包括断开控制器系统中的主ecu的路径，如642处所示。另外，来自控制器系统的备用ecu使得控制器系统的主ecu执行控制器系统的一个或多个控制操作，如644处所示。

供选择地，如果控制器系统中的备用ecu发生故障，那么该方法断开控制器系统中的备用ecu的路径，如645处所示。

该方法还包括启动和使用域控制器510作为控制器系统的新的备用ecu，如650处所示。位于转向系统12以外的域控制器510因而有助于提供控制器系统的控制ecu的冗余，该ecu现在作为主ecu而操作。

使用域控制器510作为备用ecu包括启动域控制器510上的转向系统模型515，如652处所示。该转向系统模型515是用于车辆10的转向系统12的预配置的模拟模型。转向系统模型515被编程为计算转矩命令的估计值，诸如转向系统12的致动器基于一个或多个传感器测量结果的辅助转矩和/或反馈转矩。在一个或多个示例中，域控制器510接收来自控制器系统的主ecu的传感器测量结果。供选择地，或者另外地，域控制器510使用来自诸如与域控制器510连接的传感器等一个或多个不同源的传感器测量结果。因而，通过使用转向系统模型515，域控制器产生用于转向系统操作的转矩命令，如654处所示。

使用来自控制器系统的主ecu和作为备用ecu的域控制器510操作转向系统12，直到控制器系统中发生另一单点故障，如660和670处所示。如果转向系统12中发生ecu故障，那么域控制器510因而提供额外的冗余层。

域控制器510通过比较第一车轮位置与第二车轮位置而检测主ecu处的又一故障，所述第一车轮位置由主ecu对应于驾驶盘位置计算得出，所述第二车轮位置由域控制器510对应于预计的驾驶盘位置和相应的预计的车轮位置计算得出。在一个或多个示例中，域控制器510基于域控制器从转向系统12以外的传感器，诸如从制动系统、轮组件系统的传感器等接收的其他的传感器数据计算预计的车轮位置。

而且，响应于额外的故障，即控制器系统的操作控制器发生的故障，作为备用控制器操作的域控制器启动应急操纵，如680处所示。

应急操纵可以包括使车辆10停止，例如，向车辆10的制动系统的致动器或车辆10中的任何其他致动器自动发送制动指令。而且，应急操纵可以包括额外的动作，诸如向一个或多个用户(例如，驾驶员、乘客、车队经理、制造商、维修技术员等)发送通知、产生车辆10中的声音/视觉通知等。在一个或多个示例中，在使车辆10自动停止之前，驾驶员被允许操作车辆10有限的持续时间或有限的距离。

如果控制器系统中发生单点故障，该技术方案因而通过使用转向系统以外的域控制器作为备用ecu来提供额外的冗余层而改进转向系统的控制器系统中的冗余。与单点故障导致车辆停止的情况相比，该改进允许车辆的驾驶员驾驶车辆行进更长的持续时间或更远的距离。

本技术方案可以是处于任何可能的技术细节集成度的系统、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令以使得处理器实施本技术方案的方面的计算机可读存储介质(或媒介)。

这里结合根据技术方案的实施例的方法、设备(系统)和计算机程序产品的流程图和/或框图描述了本技术方案的各个方面。应当理解的是，流程图和/或框图的每个框以及流程图和/或框图中的多个框的组合能够被计算机可读程序指令实施。

图中的流程图和框图示出了根据本技术方案的各种实施例的系统、方法和计算机程序产品的可能实施的架构、功能、操作。在这方面，流程图或框图中的每个框可以表示模块、节段或部分指令，其包括用于实施指定的逻辑功能的一个或多个可执行指令。在一些可选择的实施方式中，框中记录的功能可以脱离图中所示的顺序而发生。例如，取决于所包含的功能性，连续示出的两个框实际上可以被基本上同时地执行，或者这些框有时可以采取相反的顺序执行。还应当注意的是，框图和/或流程图的每个框以及框图和/或流程图中的多个框的组合能够通过执行指定功能的专用硬件基系统来实施，或者充当或实施专用硬件和计算机指令的组合。

还应当明白的是，这里举例示出的执行指令的模块、单元、元件、服务器、计算机、终端或装置可以包括或另外可以利用诸如存储媒介等计算机可读媒介、计算机存储媒介或者诸如磁盘、光盘或磁带等数据存储装置(可去除和/或不可去除)。计算机存储媒介可以包括以任何方法或诸如计算机可读指令、数据结构、程序模块或其他数据等信息的存储技术来实施的易失的和非易失的、可去除的和不可去除的媒介。所述计算机存储媒介可以是装置的一部分或者可访问或能够连接其上。这里描述的任何应用或模块可以通过使用计算机可读/可执行的指令而被实施，这些指令可以被这些计算机可读媒介存储或以其他方式保持。

尽管结合仅有限数量的实施例详细描述了技术方案，但是应当容易理解的是，该技术方案不限于这些公开的实施例。而是，该技术方案能够被修改为包含非目前所描述的任何数量的变型、改型、替代、或等效配置，其与该技术方案的精神和范围相应。另外，尽管已经描述了技术方案的各种实施例，但是应当理解的是，该技术方案的各个方面可以包括所描述的实施例的仅一部分。因此，该技术方案不能视为如前述描述所限定的那样。