集成式故障沉默和故障运转系统中的可量容错的构造专利检索-撤回国际初步审查要求国际初步审查专利权专利检索查询-专利查询网

积极推动地理标志专门立法

2022-03-10 地理标志，立法，知识产权
保护知识产权是对创新最大的激励

2022-03-10 保护知识产权，创新，激励
谢商华：加快制定知识产权基本法

2022-03-10 知识产权基本法
擦亮“双奥之城”品牌

2022-03-10 双奥，知识产权
让冰雪运动“热”力全开

2022-03-10 冰雪运动，知识产权
携手共奋进　走好强国路

2022-03-10 强国，知识产权
坚持创新引领　方能稳中求进

2022-03-10 创新，稳中求进，知识产权
答好“两张卷” 奋进新征程

2022-03-10 知识产权
专家解读政府工作报告中的创新和知识产权相关部署

2022-03-10 政府工作报告，创新，知识产权
今年政府工作报告指出：加强知识产权保护和运用

2022-03-10 政府工作报告，知识产权保护

集成式故障沉默和故障运转系统中的可量容错的构造

阅读：93发布：2021-03-03

IPRDB可以提供集成式故障沉默和故障运转系统中的可量容错的构造专利检索，专利查询，专利分析的服务。并且本发明涉及集成式故障沉默和故障运转系统中的可量容错的构造。一种集成式故障沉默和故障运转控制系统，包括主控制器，控制在非故障运转状态下运转时的装置的零件。副控制器包括监测主控制器中故障的故障检测器/判定器模块。故障检测器/判定器模块确定主控制器中的故障是否关联故障沉默需求或故障运转需求。如果故障检测器/判定器模块确定故障是故障沉默需求，则故障检测器/判定器模块给主控制器启动停机指令，关闭受故障影响而变得不可运转的零件。如果故障检测器/判定器模块确定与故障相关联的零件是故障运转需求，则故障检测器/判定器模块给主控制信号以撤回零件的控制给副控制器。副控制器用作高确信度系统，控制故障运转模式中的零件。，下面是集成式故障沉默和故障运转系统中的可量容错的构造专利的具体信息内容。

权利要求

1.一种集成式故障沉默和故障运转控制系统，包括：

主控制器，其控制在非故障运转状态下运转时的装置的零件；

副控制器，其包括故障检测器/判定器模块，该故障检测器/判定器模块监测主控制器和副控制器中的故障，该故障检测器/判定器模块确定主控制器中的故障是否关联故障沉默需求还是故障运转需求，其中，如果故障检测器/判定器模块确定该故障是故障沉默需求，那么故障沉默检测器/判定器给主控制器启动停机指令，关闭受到该故障影响的零件，其中该零件变得不可运转，并且其中，如果故障检测器/判定器模块确定与故障相关联的零件是故障运转需求，那么，故障检测器/判定器模块给主控制器信号以撤回该零件的控制给该副控制器，其中，副控制器用作高确信度系统，用于控制故障运转模式中的零件。

2.如权利要求1所述的集成式故障沉默和故障运转控制系统，其中，该系统的每个零件被分类为故障沉默零件或故障运转零件。

3.如权利要求2所述的集成式故障沉默和故障运转控制系统，其中，故障沉默检测器/判定器监测并且检测主控制器中的故障。

4.如权利要求3所述的集成式故障沉默和故障运转控制系统，其中，故障检测器/判定器模块检测主控制器内的错误的或危险的状态。

5.如权利要求4所述的集成式故障沉默和故障运转控制系统，其中，主控制器中的故障的故障检测器/判定器模块检测是故障沉默零件与故障运转零件之间共用的。

6.如权利要求2所述的集成式故障沉默和故障运转控制系统，其中，故障沉默检测器/判定器确定与故障相关联的零件被分类为故障沉默零件或故障运转零件。

7.如权利要求1所述的集成式故障沉默和故障运转控制系统，进一步地包括故障运转控制模块，用于控制分类为故障运转零件的零件，该故障运转控制模块响应于故障检测器/判定器模块确定故障是故障运转故障来控制故障运转零件。

8.如权利要求7所述的集成式故障沉默和故障运转控制系统，其中，响应于从故障检测器/判定器模块确定故障是故障运转故障的通信，主控制器撤回与故障运转状态相关联的零件的控制。

9.如权利要求1所述的集成式故障沉默和故障运转控制系统，其中，用于仅仅控制分类为故障运转零件的软件存储在副控制器的故障运转控制模块中。

10.一种用于集成式故障沉默和故障运转控制系统的故障控制策略，包括的步骤是：提供主控制器，控制在非故障运转状态下运转时的装置的零件；

提供副控制器，其包括故障检测器/判定器模块，该故障检测器/判定器模块监测主控制器和副控制器中的故障；

由故障检测器/判定器模块确定主控制器中的故障是故障沉默需求还是故障运转需求；

响应于故障检测器/判定器模块确定故障是故障沉默需求，通过故障沉默检测器/判定器，给主控制器启动停机指令，以关闭受到该故障影响的零件，此时，该零件变得不可运转；

以及

响应于故障检测器/判定器模块确定与故障相关联的零件是故障运转需求，撤回零件的控制给副控制器，其中，副控制器用作高确信度系统，用于控制故障运转模式中的零件。

说明书全文

集成式故障沉默和故障运转系统中的可量容错的构造

技术领域

[0001] 一个实施例涉及容错控制系统。

背景技术

[0002] 提供安全功能的系统通常采用冗余的控制器以确保安全性，通过关闭已经经受故障或失效的功能。这样的系统被称为故障沉默系统。如果检测到故障，就关闭该零件的控制器，并且该零件在该系统中将不再可操作。

[0003] 一些系统设法采用故障运转系统实现控制系统，其中，附加的控制器被用来确保安全运转能够继续一段时间，例如双联控制器。如果第一控制器失效并且进入沉默，第二控制器将被启用并且所有致动器将转换成依赖来自第二控制器的请求。双联结构的问题是，由于控制器基本上是完全相同的这个事实，它们携带相同的缺陷，尤其是软件缺陷。因为软件是完全相同的，所以这两个控制器将固有地具有相同的问题，如果出现软件相关缺陷。因此，在使用对称实现控制器的系统中，它们基本上是每个功能的精确复制，这类系统几乎不提供与软件故障相关的帮助。

[0004] 采用非对称实现控制器的其它类型的系统可以避免复制的硬件和软件故障；然而，采用含有用于控制受到第一非对称控制器控制的所有零件的必要软件和硬件的第二非对称控制器是高成本的。

发明内容

[0005] 实施例的一个优点是可量容错构造系统（scalable fault-tolerant architecture system），其支持在单个构造模式中故障沉默和故障运转零件需求的任意组合。该构造设计降低成本并且增大软件设计故障的覆盖率。该系统继承了错误检测和故障确定到单个模块中，其能够监测系统的故障沉默和故障运转零件两者。该模块确定故障是否与关联了故障沉默需求或故障运转需求的零件有关。如果该故障与故障沉默需求相关联，那么，与该故障关联的零件在该系统中变成非运转的；然而，主控制器仍然能够继续控制未受该故障影响的其它零件。如果该故障与故障运转需求相关联，那么对该零件的控制被主控制模块撤回给副控制器，用于监测和控制该零件。该系统的另一个优点是只有确定为故障运转零件的那些零件的软件存储在副控制器上。因此，由于降低的复杂性和计算需求，能够减少处理器和存储器。

[0006] 一个实施例构思一种故障控制策略，用于集成式故障沉默和故障运转控制系统。提供主控制器，控制在非故障运转状态下运转时的装置的零件。提供副控制器，其包括故障检测器/判定器模块。故障检测器/判定器模块监测主控制器和副控制器中的故障。该故障检测器/判定器模块确定主控制器中的故障是否是故障沉默需求或是故障运转需求。通过故障沉默检测器/判定器，给主控制器启动停机指令，以关闭受到该故障影响的零件，此时，响应于故障检测器/判定器模块确定故障是故障沉默需求，该零件变得不可运转。响应于故障检测器/判定器模块确定与故障相关联的零件是故障运转需求，零件的控制被撤回给副控制器。副控制器用作高确信度系统，用于控制故障运转模式中的零件。

[0007] 一个实施例构思一种集成式故障沉默和故障运转控制系统。主控制器控制在非故障运转状态下运转时的装置的零件。副控制器包括故障检测器/判定器模块。故障检测器/判定器模块监测主控制器和副控制器中的故障。该故障检测器/判定器模块确定主控制器中的故障是否与故障沉默需求还是故障运转需求相关联。如果故障检测器/判定器模块确定故障是故障沉默需求，那么故障沉默检测器/判定器启动停机指令给主控制器，以关闭受到该故障影响的零件，此时，该零件变得不可运转。如果该故障检测器/判定器模块确定与该故障相关联的零件是故障运转需求，那么该故障检测器/判定器模块给主控制器信号以撤回零件的控制给该副控制器。副控制器用作高确信度系统，用于控制故障运转模式中的零件。

[0008] 本发明提供下列技术方案。

[0009] 技术方案1. 一种集成式故障沉默和故障运转控制系统，包括：主控制器，其控制在非故障运转状态下运转时的装置的零件；
副控制器，其包括故障检测器/判定器模块，该故障检测器/判定器模块监测主控制器和副控制器中的故障，该故障检测器/判定器模块确定主控制器中的故障是否关联故障沉默需求还是故障运转需求，其中，如果故障检测器/判定器模块确定该故障是故障沉默需求，那么故障沉默检测器/判定器给主控制器启动停机指令，关闭受到该故障影响的零件，其中该零件变得不可运转，并且其中，如果故障检测器/判定器模块确定与故障相关联的零件是故障运转需求，那么，故障检测器/判定器模块给主控制器信号以撤回该零件的控制给该副控制器，其中，副控制器用作高确信度系统，用于控制故障运转模式中的零件。

[0010] 技术方案2. 如技术方案1所述的集成式故障沉默和故障运转控制系统，其中，该系统的每个零件被分类为故障沉默零件或故障运转零件。

[0011] 技术方案3. 如技术方案2所述的集成式故障沉默和故障运转控制系统，其中，故障沉默检测器/判定器监测并且检测主控制器中的故障。

[0012] 技术方案4. 如技术方案3所述的集成式故障沉默和故障运转控制系统，其中，故障检测器/判定器模块检测主控制器内的错误的或危险的状态。

[0013] 技术方案5. 如技术方案4所述的集成式故障沉默和故障运转控制系统，其中，主控制器中的故障的故障检测器/判定器模块检测是故障沉默零件与故障运转零件之间共用的。

[0014] 技术方案6. 如技术方案2所述的集成式故障沉默和故障运转控制系统，其中，故障沉默检测器/判定器确定与故障相关联的零件被分类为故障沉默零件或故障运转零件。

[0015] 技术方案7. 如技术方案1所述的集成式故障沉默和故障运转控制系统，进一步地包括故障运转控制模块，用于控制分类为故障运转零件的零件，该故障运转控制模块响应于故障检测器/判定器模块确定故障是故障运转故障来控制故障运转零件。

[0016] 技术方案8. 如技术方案7所述的集成式故障沉默和故障运转控制系统，其中，响应于从故障检测器/判定器模块确定故障是故障运转故障的通信，主控制器撤回与故障运转状态相关联的零件的控制。

[0017] 技术方案9. 如技术方案1所述的集成式故障沉默和故障运转控制系统，其中，用于仅仅控制分类为故障运转零件的软件存储在副控制器的故障运转控制模块中。

[0018] 技术方案10. 如技术方案9所述的集成式故障沉默和故障运转控制系统，其中，故障运转控制模块包括软件，用于控制更少功能的故障运转零件。

[0019] 技术方案11. 一种用于集成式故障沉默和故障运转控制系统的故障控制策略，包括的步骤是：提供主控制器，控制在非故障运转状态下运转时的装置的零件；
提供副控制器，其包括故障检测器/判定器模块，该故障检测器/判定器模块监测主控制器和副控制器中的故障；
由故障检测器/判定器模块确定主控制器中的故障是故障沉默需求还是故障运转需求；
响应于故障检测器/判定器模块确定故障是故障沉默需求，通过故障沉默检测器/判定器，给主控制器启动停机指令，以关闭受到该故障影响的零件，此时，该零件变得不可运转；
以及
响应于故障检测器/判定器模块确定与故障相关联的零件是故障运转需求，撤回零件的控制给副控制器，其中，副控制器用作高确信度系统，用于控制故障运转模式中的零件。

[0020] 技术方案12. 如技术方案11所述的故障控制策略，其中，该系统的每个零件被分类为故障沉默零件或故障运转零件。

[0021] 技术方案13. 如技术方案12所述的故障控制策略，其中，在故障检测器/判定器模块中监测并检测主控制器中的故障。

[0022] 技术方案14. 如技术方案13所述的故障控制策略，其中，由故障检测器/判定器模块确定主控制器内的错误的或危险的状态。

[0023] 技术方案15. 如技术方案14所述的故障控制策略，其中，主控制器中的故障的故障检测器/判定器模块检测是故障沉默状态与故障运转状态之间共用的。

[0024] 技术方案16. 如技术方案12所述的故障控制策略，其中，故障沉默检测器/判定器确定与故障相关联的零件被分类为故障沉默零件或故障运转零件。

[0025] 技术方案17. 如技术方案11所述的故障控制策略，进一步地包括的步骤是，由故障运转控制模块控制分类为故障运转零件的零件，该故障运转控制模块响应于故障检测器/判定器模块确定故障是故障运转故障来控制故障运转零件。

[0026] 技术方案18. 如技术方案17所述的故障控制策略，其中，响应于从故障检测器/判定器模块确定故障是故障运转故障的通信，主控制器撤回与故障运转状态相关联的零件的控制。

[0027] 技术方案19. 如技术方案11所述的故障控制策略，其中，用于仅仅控制分类为故障运转零件的零件的软件存储在副控制器的故障运转控制模块中。

[0028] 技术方案20. 如技术方案19所述的故障控制策略，其中，故障运转控制模块包括软件，用于控制功能减少的故障运转零件。

附图说明

[0029] 图1是集成式故障沉默和故障运转控制系统的结构框图。

[0030] 图2是主控制器和副控制器的放大框图。

[0031] 图3示出用于检测和启用故障沉默或故障运转模式的流程图。

具体实施方式

[0032] 在图1中示出的是集成式故障沉默和故障运转控制系统的结构框图。控制系统，包括但不限于采用安全关键系统或自控系统的车辆、飞机和船，需要容错对策，误差应当出现在控制系统内。这样的控制系统将通常采用两个控制器，从而如果主控制器出现误差（由故障引起的），那么，备用控制器可以容易地实现对控制系统零件的控制或者提供对错误的零件的有限功能的控制。然而，如果副控制器与主控制器完全相同，那么作为软件的结果的主控制器中的故障将固有地具有副控制器的软件中的相同的缺陷，因为软件是完全相同的。因此，本文采用并描述集成式高性能系统和高确信度系统。

[0033] 在图1中，系统被示为包括主控制器12和副控制器14。本文描述的示范性系统是基于车辆的，但是，如前文描述的，该构造能够适用非车辆系统。

[0034] 通信总线16提供主控制器12与副控制器14之间的通信。致动器18包括用于启动系统的零件的装置。致动器18可以包括仅仅由主控制器控制的零件，并且在主控制器内出现与该零件相关联的故障的故障沉默状态下，相应零件的运转被停。致动器18可以进一步地包括在故障运转状态下运转的零件，此时，装置受到主控制器12和副控制器14两者的控制。在故障运转状态下，零件不再受到主控制器的监测和控制；然而，如果该零件已经在设计阶段预先被确定是对车辆是关键的，该零件不能完全停止，那么装置以受限的方式保持可运转以维持零件的部分运转。通常，这样的零件要么是关键的，要么是车辆为维持车辆的至少一些安全运转所需要的。

[0035] 主控制器12包括处理器，其包含主控制20。主控制器12在非故障运转状态下运转（本文称作正常运转状态）并且将产生并发送控制信号，关于控制车辆装置18的零件。

[0036] 副控制器14包括处理器，其包含故障运转控制24，用于在故障运转状态期间控制所选致动器的运转。以故障运转的运转模式运转的副控制器14产生控制信号，用于启动系统的某些零件，以维持运转来确保系统能够运转，即使仅仅以有限的方式。这样的控制装置通常是关键的装置，包括但不限于制动控制和转向控制。在故障运转状态下，关键装置的功能，即使受到限制，也能够允许驾驶员安全地驾驶车辆，直到车辆能够被开到进行检查的地方。

[0037] 副控制器14进一步地包括故障沉默解码器/判定器模块26，用于监测主控制器12和副控制器14中的错误状态。不像其他的已知系统，其中每个控制器包括监测系统，本文描述的构造采用单个故障沉默解码器/判定器模块26，其监测主控制器12和副控制器14这两者的故障状况并且产生用于关闭和/或切换控制器的控制信号。

[0038] 图2是主控制器12和副控制器14的放大框图。主控制器12的主控制20接收来自遍布车辆的各个装置或传感器的输入信号/数据30。控制动作32由主控制20确定，基于在正常运转状态期间由各个装置和传感器获得的接收到的输入信号/数据30。输出信号/指令34被主控制20传送给车辆致动器或系统，用于在正常运转状态期间控制零件的运转。

[0039] 副控制器14包括故障检测器/判定器模块26，用于监测主控制器12内的故障状况。故障检测器/判定器模块26的责任是检测主控制器12内的错误的危险状态并且确定该危险状态是否将引起故障沉默状态或故障运转状态。要理解的是，故障检测器/判定器模块26的错误检测部是故障沉默和故障运转状态共用的。故障沉默与故障运转零件之间的唯一差别是，一旦检测到错误，主控制器12和副控制器14所要采取的动作。对于故障沉默零件，必需动作是关闭与错误相关联的零件，而对于故障运转零件，所要采取的必需动作是把控制从主控制器12切换到副控制器14。

[0040] 副控制器14用作高确信度系统，基于充当故障运转控制的单一模式。该高确信度系统仅仅是在故障运转零件的情形中需要的。结合在副控制器14中的用于执行故障运转零件的数据和相关联软件相比于主控制器12来说可以是非常小的，因为副控制器14仅仅实施最少的故障运转形为，这可以是低性能的需求或相比于主控制器12所需的功能降低功能。另外，副控制器14仅仅实施实现在主控制器12中的零件的一小部分。例如，如果相应的系统包括90%的故障沉默零件和仅仅10%的故障运转零件，那么仅仅需要存储10%的故障运转零件在副控制器14中。基本原理是只要该系统没有错误地以正常运转模式运转，主控制器12就维持车辆零件的控制。副控制器14仅仅在主控制器12产生系统错误并且确定该零件不可靠的时候被启用。因此，副控制器14仅仅需要最少数量的软件，这是维持那些被认为是运转系统零件所必须的各个零件的受限运转所需要的。

[0041] 响应于故障沉默检测器/判定器26作出的控制应当切换到副控制器14的高确信度模式的确定，故障运转控制此后被副控制器14的微处理器执行。副控制器14的微处理器从遍布车辆的各个装置或传感器接收输入信号/数据40。控制动作42由故障运转控制24确定，基于在故障运转状态期间由各个装置和传感器获得的接收到的输入信号/数据40。输出信号/指令44被故障运转控制24传送给车辆致动器，用于在该故障运转模式期间控制故障运转零件。如先前描述的，因为故障运转零件相比于故障沉默零件来说是小的，所以可以在副控制器14中采用更小尺寸的微处理器和存储器。

[0042] 图3示出副控制器内的控制策略的流程图，用于检测错误并确定是启用故障沉默零件还是故障运转零件。

[0043] 在块50，副控制器的故障沉默解码器/判定器模块监测故障状况。故障沉默检测器/判定器确定与主控制器相关联的故障的类型和故障的严重程度。

[0044] 在块51，故障检测器/判定器模块以反复循环评估主控制器的每个控制的正确性和安全性。不管主控制是故障沉默还是故障运转，都执行所述评估。如果作出的确定是主控制器输出的控制是正确的，那么，返回步骤50以继续分析输出和故障。在这个状态下，启用主控制器并且维持对零件的控制。如果块51中作出的确定是控制是不正确或不安全的，那么例程前进到步骤52。

[0045] 在步骤52，故障沉默检测器/判定器模块确定与故障相关联的零件是故障沉默需求还是故障运转需求。如果作出的确定是零件被分类为故障沉默需求，那么，例程前进到步骤53；否则，例程前进到步骤54。

[0046] 在步骤53，响应于确定出现故障沉默状态，关于该零件的控制运转，主控制器进入故障沉默模式。在故障沉默模式中，用于装置/系统的相应零件变得不可运转并且没有与相应零件相关的控制信号被传送。主控制器和副控制器都不能启用故障零件。应当理解的是，在设计状态期间被确定为故障沉默的零件通常不是对车辆功能关键的零件或者是车辆运行所不依赖的零件。因此，副控制器内没有维持零件运转的控制策略。

[0047] 还理解的是，主控制器可以控制系统或车辆内的各个零件。因此，如果关于受到主控制器控制的零件在主控制器内出现故障，那么，仅仅是那个零件的运转变得不可运转。主控制器可以继续监测和控制不受故障影响的其它零件。

[0048] 在步骤54，响应于步骤52作出的零件被分类为故障运转需求的确定，主控制器撤回故障零件的控制给副控制器。在故障运转状态中，副控制器维持各个零件的运转。该零件可以具有在设计阶段期间预编程的功能的变化度。通常，副控制器将用作高确信度系统，其允许设计比主控器更轻量的控制器。本文使用的措辞"轻量"指的是相比较于主控制器计算不那么密集的系统。此外，根据做出其确定所利用的数据，副控制器维持增加确信度的数据完整性和精度。因此，仅仅是软件和相关运转被编程到控制器中，其提供更高的确信度，零件能够被运转以维持可能对系统是关键的零件的一些运转，但是，该零件以减少的方式运转。虽然副控制器维持与故障相关联的各个零件的运转，但是，主控制器将不再具有关于这个零件的任何关联或控制；然而，主控制器将维持对未受故障影响的其它零件的分析和控制。

[0049] 尽管已经详细描述了本发明的某些实施例，但是本领域技术人员将认识到各种替代结构和实施例，以按照下列权利要求限定的那样实施本发明。

标题	发布/更新时间	阅读量
消息撤回方法及装置-专利编号CN105634920A	2020-05-13	161
消息撤回方法及装置-专利编号CN110719220A	2020-05-12	785
消息撤回方法和装置-专利编号CN105490919B	2020-05-11	980
消息撤回方法及装置-专利编号CN105634920B	2020-05-13	722
可撤回组件-专利编号CN102928007B	2020-05-11	764
消息撤回方法和装置-专利编号CN105490919A	2020-05-12	684
一种用于防止撤回冲突的消息撤回方法-专利编号CN104410566A	2020-05-13	682
二阶段撤回的输送系统-专利编号CN103281991A	2020-05-12	551
可撤回组件-专利编号CN107202600A	2020-05-11	167
可撤回组件-专利编号CN102928007A	2020-05-11	284

集成式故障沉默和故障运转系统中的可量容错的构造

集成式故障沉默和故障运转系统中的可量容错的构造

技术领域

背景技术

发明内容

附图说明

具体实施方式

IPRDB

热门服务

关于我们

友情链接

联系方式