操控系统，控制设备和用于运行操控系统的方法与流程

1.本发明涉及一种操控系统、一种控制设备和一种用于在安全关键系统(例如，至少部分自动化行驶的车辆)中操控至少一个接收设备的方法。


背景技术：

2.许多技术系统在这种意义上是安全关键的：在功能故障的情况下可能会产生重大的财产损失甚至人身伤害。为此的一个示例是由完全或部分自动化行驶的车辆控制的系统。
3.在此类控制系统中，所使用的控制设备和所使用的通信网络都实施成冗余的，以便车辆在控制设备或网络线路失效的情况下例如也保持可控。从de102013217595 a1中已知一种方法，在正常运行中利用该方法可以将多个物理网络线路的容量集中成具有高吞吐量的逻辑线路。如果这些物理线路之一失效，则彼此分开地操控其余线路，以便保持以较低吞吐量的通信。


技术实现要素：

4.在本发明的范畴内，开发了一种用于至少一个接收设备的操控系统。该接收设备能够通过第一通信网络和至少一个独立于第一通信网络的第二通信网络被冗余地操控。两个通信网络也可以根据相同的或不同的通信标准工作。例如，第一通信网络可以是具有高吞吐量的网络，接收设备应在正常运行中通过该网络优先获得其消息。第二通信网络例如可以是具有低吞吐量的网络，该网络仅用作备用层级(r
ü
ckfallebene)。尤其，该接收设备例如可以是控制系统中的致动器。尤其，所述消息例如可以包含用于致动器的控制指令。
5.操控系统包括至少两个发送模块，所述发送模块分别构造为用于，生成用于所述接收设备的消息并且将所述消息通过所述通信网络中的至少一个发送到所述接收设备。在此，至少一个发送模块能够与两个通信网络连接。发送模块例如可以被包括在彼此独立的控制设备中，然而例如也可以形成多通道控制设备中的不同通道。
6.在此，所述发送模块在以下方面相互协调和/或与所述接收设备协调：来自一个发送模块的消息应优先于来自另一个发送模块的消息通过一个通信网络来传递和/或由所述接收设备处理。
7.因而，例如可以确定，接收设备响应于它同时获得来自两个发送模块的有效的消息的情况而对来自一个发送模块的消息做出反应，并且对来自另一个发送模块的消息不做出反应。尤其，这例如都可以被确定，无论消息分别通过可用通信网络中的哪些到达接收设备。这种情况在某种程度上与船上指令结构类似，在船上船长的指令应优先于其他军官的指令地由海员遵循，无论它们分别通过直接呼喊、通过手势或通过扩音设备到达海员处。
8.发送模块例如可以在以下方面彼此协调：由一个发送模块通过至少一个通信网络进行的消息的发送替换和/或抑制由另一个发送模块通过该通信网络进行的消息的发送。这例如可以通过以下方式来实现：在通信网络中以相应协调的优先级发送消
息，或者，在相应的通信网络中将仲裁机制(arbitragemechanismus)用于同时访问共享介质。然而，消息也可以利用它们相应的发送器被标记，使得接收设备可以同时或几乎同时地将所接收的消息分配给相应的发送模块并且对来自更高优先级的发送模块的消息做出反应。
9.已认识到，操控系统尤其是在通信网络中之一失效的情况下更快地再次达到限定的状态，并且尤其是降低以下可能性：接收设备在确定的时刻不清楚它必须对来自多个发送模块的且可能相互矛盾的哪个消息做出反应。
10.通常，尤其是操控系统容易受到这种情况的影响，在所述操控系统中两个所使用的发送模块(诸如控制设备)是不同的和/或没有以准确相同的方式工作。在许多操控系统中设置，恰好一个控制设备是主导的并且在正常运行中作为初级控制设备、作为初级发送模块操控作为接收设备的致动器。另一个作为次级发送模块的次级控制设备仅用作备用层级，并且在初级控制设备失效的情况下接管对致动器的操控。通常，该次级控制设备实施得比初级控制设备更简单，和/或，从一开始就给它分配了仅在其所属的技术系统的受限的(降级的)运行的框架内操控致动器的作用。这些限制例如可以涉及定量性能、性能特征或运行时间。因而，例如对于自动化行驶的车辆来说，在第一控制设备失效之后不再允许正常的驾驶运行，因为这种正常的驾驶运行根据所需的安全完整性级别要求一个备用层级并且不再给出该备用层级。相反，也可以仅使用一个剩余的控制设备来允许受限运行(例如具有减小的速度，对于有限的运行时间或里程，仅在确定的道路类型或仅在前往最近的车间的路上)。然而，以下情况是不希望的：在该情况中致动器获得针对正常驾驶运行所求取的第一控制指令和针对受限运行所求取的第二控制指令并且没有清楚地规定哪个控制指令具有优先性。
11.在以前的系统中，部分情况需要在控制设备或网络连接失效之后所操控的致动器和操控系统都适应于新的情况。这些转换过程通常不会同步运行，因为问题会发生在通信关系的一端并且另一端的搭档必须首先获知这一点才可以进行转换。因而，例如执行器首先在其到第一通信网络的连接中断时注意到这一点，并且从其到第二通信网络的连接中取得其下一个要执行的控制指令。然而，如果到目前为止主导的初级控制设备已经馈入到第一通信网络并且次级控制设备已经馈入到第二通信网络中，则致动器的转换也导致它从此以后也仅听从于次级控制设备。如果次级控制设备现在例如产生用于受限运行的控制指令，则致动器突然收到质量上与网络连接失效之前完全不同的指令，尽管初级控制设备仍按照规定地工作。其他指令涉及受限运行，使得最终降低了具有执行器的系统的“运行品质”。
12.与此不同地，现在至少一个控制设备作为发送模块从一开始就馈入到两个通信网络中，并且协调来自发送模块中之一(例如与两个通信网络连接的控制设备的发送模块)的消息是优先的。如果现在例如致动器到第一通信网络的连接失效，则致动器仍然通过第二通信网络仍然从第一控制设备获得其控制指令。如果该第二网络例如比第一网络提供更少的带宽，则可能需要使用控制命令的信息减少的(例如，压缩的)版本。然而，定性地，仍然触发了执行器的与连接失效之前相同的动作。
13.因而，特别有利地，至少其消息应由接收设备优先处理的发送模块能够与两个通信网络连接。如果两个发送模块能够与两个通信网络连接，则在初级发送模块失效且切换
到次级发送模块之后仍然存在关于到接收设备的传输的冗余。也就是说，当通过两个通信网络之一的连接中断时，接收设备仍获得来自次级发送模块的消息。
14.如先前所阐释的，尤其给例如初级控制设备分配在操控系统的正常运行中操控致动器的作用(rolle)。反之，可以给次级控制设备分配在初级控制设备不可用的情况下在不同于正常运行的故障情况下操控致动器的作用。只有初级控制设备没有在第一和第二通信网络上将其控制指令发送至致动器时，才发生在执行初级控制设备的控制指令和执行次级控制设备的控制指令之间的切换。这只有在初级控制设备完全失效时才具有大的概率。
15.在另一个特别有利的构型中，操控系统还包括至少一个设置为用于第二发送模块的附加备用层级的第三发送模块。该第三发送模块仅能够与第二通信网络连接。现在，对以下进行相互协调：通过第二通信网络发送的消息
16.·
具有最高优先级，如果它们来自第一发送模块，
17.·
具有中等优先级，如果它们来自第二发送模块，并且
18.·
具有最低优先级，如果它们来自第三发送模块。
19.除了进一步降低所有现有发送模块(例如控制设备)同时发生失效的概率之外，在第一发送模块失效时在或多或少降级的范围内提供更大的继续运行的自由空间，直至提供完全的不受限制的功能范围。第二发送模块至少还由第三发送模块支持。因而，尤其是例如在第一控制设备失效之后应用在自动化驾驶运行的情况下，允许更大的功能范围。
20.第一控制设备可以如此设置，使得它在由其感测到的第一通信网络的、首先与第一控制设备的功能能力直接相关的失效的情况下切换到相对于正常运行受限的降级的运行模式中。然后，到接收设备(例如致动器)的传输仍然从第一控制设备开始，然而通过第二通信网络进行。以此，例如可以考虑到，具有全部功能范围的正常运行不仅以关于控制设备的完整冗余为前提，而且以关于通信网络的完整冗余为前提。
21.在一个特别有利的构型中，第一通信网络是根据iso17458-1至17458-5的flexray网络。这种网络以特别简单的方式实现了检查：是否存在到第一和第二发送模块的网络连接并且两个发送模块是否为运行准备就绪的。为了这个目的，尤其例如在flexray帧内的预给定的位置处不同的发送模块可以分别发送消息，所述预给定的位置实际上是为了装置之间特别快速的双向信息交换(“循环控制”，英文：in-cycle control)而设置的。为此，尤其可以使用例如静态flexray帧或flexray帧的静态部分。如果接收设备在flexray帧中的相应位置处找到消息，则它会立即获得关于“现有发送模块中的哪些发送模块是功能有效的且可以通过flexray网络访问”的总体概览。然后，例如可以如此配置作为接收设备的致动器，使得：如果初级控制设备以所描述的方式进行报告，则执行初级控制设备的控制指令；并且，如果只有次级控制设备并非第一控制设备报告了消息，则执行次级控制设备的控制指令。
22.次级控制设备也可以可选地对flexray帧的所述的确定性部分中的初级控制设备的消息做出反应，在所述flexray帧中将时隙根据时分多址(tdma)的类型依次分配给所连接的设备：如果初级控制设备已经进行了报告，则可以假设该初级控制设备在相应的通信周期中也提供待由致动器执行的下一个控制指令。然后，次级控制设备仍可在flexray总线上侦听，以便基于在总线上交换的最新信息来追踪其对备用层级的控制指令的生成。然而，它不一定必须在flexray总线上输出这些控制指令，因为执行器可能无论如何都不会执行
这些控制指令，而是将会执行由初级控制设备发送的控制指令。
23.因而，在一个特别有利的构型中，发送模块在以下方面被协调：它们在flexray帧内的预给定的位置处发送消息。
24.在另一个特别有利的构型中，第二通信网络是can总线(controller area network)，例如can fd网络，在所述can总线中能够匹配包大小和数据吞吐量。can网络利用所谓的逐位仲裁提供(bitweisen arbitration)了一个功能，利用该功能两个发送模块都可以尝试在公共介质can总线上进行发送并且这些尝试中的仅恰好一个被完成。如果在对仲裁字段的位依次实施仲裁期间，次级发送模块确定出，较高优先级的初级发送模块想要发送消息，则在这个时刻清楚的是，例如，作为接收设备的致动器将实施包含在来自初级发送模块的该消息中的控制指令。然后，次级发送模块可以停止尝试从它那方面将带有控制指令的消息发送到can总线上，该控制指令无论如何都不会由致动器执行。相反，如果第一控制设备失效，则在同时开始发送时第二发送模块“赢得”仲裁并且可以在没有时间延迟的情况下给致动器提供其控制指令。相反，如果两个发送模块以时间错开的形式发送，则由接收设备(例如致动器)从多个接收到的有效消息中选择出要优先处理的有效消息。
25.因而，发送模块有利地被协调，以将通过can总线发送的消息中的仲裁字段设定为不同的值。
26.然而，“一方面将至少一个发送模块与两个可用的通信网络连接，另一方面确定来自两个发送模块的消息的优先次序”的基本思想并不局限于如flexray或can一样明确地提供可用于管理具有不同优先级的消息的功能性的通信网络。相反，这种优先次序也可以以任何其他方式从发送模块传通信到接收设备。
27.因此，在另一个有利的构型中，发送模块构造为用于，将指示相应的发送模块的标志和/或分配给相应的发送模块的优先级编码成由其发送的消息中的待由接收设备分析处理的数据段(datenfeld)。
28.所提到的基本思想不仅体现在至少两个控制设备的布置中。从单个控制设备中已经可以看出，它已为实现这一基本理念预先做好了准备。
29.因此，本发明还涉及一种用于至少一个致动器的控制设备，该致动器能够通过第一通信网络和至少一个独立于第一通信网络的第二通信网络被冗余地操控。该控制设备能够与两个通信网络连接并且构造为用于，求取用于该致动器的消息(例如控制指令)，并且将所述信息通过所述两个通信网络发送到该致动器。在此，控制设备构造为用于，为了通过两个通信网络进行发送和/或为了处理通过两个通信网络发送的消息而要求彼此相对应的优先级。
30.如先前所阐释的，上述操控系统和/或控制设备的基本应用情况是车辆的自动化引导，其中，可靠性特别重要。因此，操控系统或者说控制设备有利地特别构造用于，利用代表待由车辆驶过的轨迹的信息来操控至少部分自动化行驶的车辆中的致动器。
31.本发明还涉及一种用于运行前述操控系统的方法。这种方法开始于将操控系统与至少两个通信网络连接。同样，至少一个接收设备(例如致动器)也与这些通信网络连接。于是，接收设备原则上能够通过两个通信网络接收消息(例如控制指令)。
32.响应于至少一个来自操控系统的初级发送模块的有效的消息到达接收设备的情况，这个消息由接收设备处理。响应于没有这样的消息、而是来自操控系统的次级发送模块
的有效的消息到达接收设备的情况，这个消息由接收设备处理。
33.在此，也可以通过两个通信网络同时或几乎同时地接收例如来自一个且同一个发送模块的消息。对于这种情况来说，例如可以确定，接收设备优选处理通过第一通信网络接收到的消息。例如，该第一通信网络提供用于传输的更高的带宽，使得可以通过该第一通信网络以更高的细节水平和/或以更短的时间间隔传递消息。然后，通过第二通信网络传递的消息也可以可选地用于例如可信度检验。
34.如先前所阐释的，在诸如flexray和can的网络中存在机制，利用所述机制主导的初级发送模块可以确保：仅用作备用层级的次级发送模块在无故障的正常运行中甚至不会以对网络上的消息提出自己的建议而“获得发言权”。次级发送模块虽然可以持续求取建议，但是会将这些建议保留给自己。但是，如果初级发送模块失效，则所提到的网络侧的、抑制通过次级发送模块传递建议的机制立即停止作用，并且次级发送模块的建议被传递到接收设备。
35.下面，结合参照附图对本发明的优选实施例的描述更进一步地呈现改进本发明的其他措施。
附图说明
36.附图示出：
37.图1具有两个发送模块5a，5b的操控系统1的第一实施例；
38.图2具有三个控制设备5a-5c的操控系统1的第二实施例；
39.图3用于运行操控系统1或者说控制设备5a，5b的方法100的实施例。
具体实施方式
40.图1示出操控系统1的第一实施例。设置了两个发送模块5a，5b，它们例如可以是独立的控制设备或者也可以是在一个且同一个控制设备内的独立通道。在图1所示的示例中，初级发送模块5a是主导的并且应在正常运行中将消息6a(这里是控制指令)发送至接收设备2(这里是致动器)。次级发送模块5b用作备用层级，以便在初级发送模块5a失效的情况下在降级运行的框架内向接收设备2提供消息6b(这里还是控制指令)。
41.两个彼此独立的通信网络3，4可用于与接收设备2通信。初级发送模块5a与两个通信网络3，4连接。相反，次级发送模块5b仅与第二通信网络4连接。致动器2通过第一接口2a与第一通信网络3连接并且通过第二接口2b与第二通信网络4连接。
42.在图1所示的示例中，网络3是flexray网络并且网络4是can总线。在正常运行中，初级发送模块5a将消息6a通过两个通信网络3，4传递至接收设备2的相应的接口2a，2b。同时，次级发送模块5b尝试与初级发送模块5a一起将消息6b通过通信网络4传递到接收设备2的接口2b。然而，在can总线上的逐位仲裁中初级发送模块5a占主导，使得接收设备2仅获得初级发送模块5a的消息6a。如先前所阐释的，接收设备2于是可以如此设置，使得它优选处理通过第一通信网络3获得的消息6a。
43.接收设备2如此与发送模块5a，5b进行协调，使得它在接收到来自初级发送模块5a的有效的消息6a使总是处理这些消息6a并且忽略来自次级发送模块5b的可能附加地到达的消息6b。
44.在图1所示的状态下，第一网络3的失效仅导致，接收设备2从此以后通过第二网络4取得初级控制设备5a的控制指令6a。然而，这并没有改变初级控制设备5a保持主导的事实。
45.然而，在初级发送模块5a失效的情况下，初级发送模块5a的任何有效的消息6a在接收设备2的侧上消失。对于这种情况设置，如果接收设备2接收到来自次级发送模块5b的有效的消息6b，则该接收设备处理这些有效的消息。
46.如点划线连接所示的，次级发送模块5b也可以可选地与第一通信网络3连接并且通过它不断向接收设备2发送消息6b。然而，这并没有改变接收设备2优先处理来自初级发送模块5a的有效的消息6a的事实。
47.图2示出操控系统1的另一个实施例。该操控系统1以与图1相同的方式与接收设备2连接。然而，不同于图1地，设置了第三级发送模块5c，该第三级发送模块与次级发送模块5b相比构造为用于，在进一步降级的运行的范畴内操控致动器2。在自动化行驶的车辆中，这种进一步降级的运行例如包括：以适合交通的方式立即停止该车辆或以其他方式将该车辆从流动的公共交通中移除。第三级控制设备5c仅与第二网络4连接，而不与第一网络3连接。
48.接收设备2设置为用于，
49.·
优先处理来自初级发送模块5a的有效的消息6a，
50.·
在缺乏有效的消息6a的情况下，第二优先地处理来自次级发送模块5b的有效的消息6b，并且
51.·
在也缺乏有效的消息6b的情况下，最后处理来自第三级发送模块6c的有效的消息6c。
52.在此，如此调节在第二通信网络4中的逐位仲裁，使得在那里优选传输初级发送模块5a的消息6a。因而，如果第一通信网络3失效，这会导致：接收设备现在通过第二通信网络4取得来自初级发送模块5a的消息6a。
53.当初级发送模块5a不再起作用时，接下来第二发送模块5b的有效的消息6b优先由接收设备2处理。只有当第二发送模块5b也不再起作用时，仅还有来自第三级发送模块5c的消息6c会到达接收设备2。这些消息6c包含用于再次降级运行的控制指令。在第一通信网络3失效之后，所有这些传递都通过第二通信网络4进行。如果在此期间的恢复第一通信网络3，则它将再次无缝使用。
54.图3是用于运行操控系统1的方法100的实施例的示意性流程图。
55.在步骤110中，操控系统1或者说控制设备5a，5b，5c与至少两个通信网络3，4连接。
56.在步骤120中，至少一个致动器2同样与这些通信网络连接。
57.在步骤130中，检查至少一个来自操控系统1的初级发送模块5a的有效的消息6a是否到达接收设备2。如果是这种情况(真值1)，则在步骤140中处理该消息6a。然而，如果不存在消息6a(真值0)，则在步骤150中检查，在接收设备2上是否存在来自操控系统1的次级发送模块5b的有效的消息6b。如果是这种情况(真值1)，则在步骤160中处理该消息。相反，如果也不存在有效的消息6b(真值0)，则在步骤170中检查，在接收设备2上是否存在来自操控系统1的第三级发送模块5c的有效的消息6c。如果是这种情况(真值1)，则在步骤180中处理该消息。