用于汽车中对安全严格的应用的多芯冗余控制计算机系统、计算机网络及其使用.pdf

本发明涉及多芯冗余控制计算机系统(5)，该多芯冗余控制计算机系统(5)包括至少两个控制计算机(1，2)，该控制计算机(1，2)除了分别具有一个计算机芯以外，还配有部分或全部冗余的外设单元和部分或全部冗余的存储单元，该至少两个控制计算机(1，2)被集成在一个共享的芯片载体(28)或一个共享的芯片(7，27)上。该至少两个控制计算机(1，2)被连接到至少一个共享的第一仲裁单元(9)，该仲裁单元监视控制计算机(1，2)出现故障。本发明还涉及计算机网络(11)，该计算机网络包括直接地或间接地互相通信的至少两个计算机块(32，32’)，由此至少一个计算机块(32，32’)包括两个控制计算机(1，2)，该控制计算机(1，2)除了分别具有一个计算机芯以外，还配有部分或全部冗余的外设单元和部分或全部冗余的存储单元，该两个控制计算机(1，2)被集成在一个共享的芯片载体(28)或一个共享的芯片(7，27)上。此外，本发明涉及计算机网络(11)在汽车控制计算机中的使用。

1.  用于汽车中对安全严格的应用的多芯冗余控制计算机系统(5)，其特征在于，至少两个控制计算机(1，2)，每个控制计算机除了配有一个计算机芯以外，还配有部分或全部冗余的外设单元和部分或全部冗余的存储单元，该至少两个控制计算机(1，2)被集成在一个公共的芯片载体(28)或一个公共的芯片(7，27)上，以及该至少两个控制计算机(1，2)被连接到至少一个公共的第一仲裁单元(9)，该仲裁单元监视控制计算机(1，2)的故障情形。

2.  如权利要求1中所述的控制计算机系统，其特征在于，至少控制计算机系统(5)的至少两个控制计算机(1，2)时钟同步地运行。

3.  如权利要求1或2中所述的控制计算机系统，其特征在于，控制计算机系统(5)包括冗余比较单元(12，13)。

4.  如权利要求1到3的至少任一项中所述的控制计算机系统，其特征在于，本地分配的第一仲裁单元(9)在任一个相关的控制计算机(1，2)故障后部分地或完全地关断控制计算机系统(5)。

5.  如权利要求1到4的至少任一项中所述的控制计算机系统，其特征在于，第一仲裁单元(9)通过总线断开连接(23)把第一通信控制器(29)耦合到汽车数据总线(24)或把第一通信控制器(29)从汽车数据总线(24)解耦。

6.  如权利要求1到5的至少任一项中所述的控制计算机系统，其特征在于，仲裁单元(9)包括至少一个外设断开连接(21)，该外设断开连接(21)能够启动或关断外设驱动器(22)。

7.  如权利要求6中所述的控制计算机系统，其特征在于，外设单元(20，20’)通过控制总线系统(30)被连接到外设驱动器(22)。

8.  如权利要求2到6的至少任一项中所述的控制计算机系统，其特征在于，第一仲裁单元(9)在故障的情形下通过外设断开连接(21)分别关断外设驱动器(22)和至少一个外设单元(20，20’)。

9.  计算机网络(11)，包括两个或多个计算机块(32，32’)，其特征在于，至少一个计算机块(32，32’)包括至少两个控制计算机(1，2)，每个控制计算机除了配有一个计算机芯以外，还配有部分或全部冗余的外设单元和部分或全部冗余的存储单元，以及所述控制计算机(1，2)和/或计算机块(32，32’)被集成在一个公共的芯片载体(28)或一个公共的芯片(7，27)上。

10.  如权利要求9中所述的计算机网络(11)，其特征在于，至少一个计算机块，尤其是所有的计算机块(32，32’)，包括至少一个按照权利要求1到8的至少任一项的控制计算机系统(5)。

11.  如权利要求9中所述的计算机网络(11)在汽车控制计算机中的使用。

用于汽车中对安全严格的应用的多芯冗余控制 计算机系统、计算机网络及其使用
技术领域
本发明涉及用于汽车中对安全严格的应用的多芯冗余控制计算机系统，以及按照专利权利要求9的前序部分的计算机网络，以及其在汽车控制计算机中的使用。
背景技术
使用控制计算机(微处理器等等)用于汽车中的对安全严格的应用/系统(诸如，电子煞车系统ABS，电子稳定性程序ESP，电动液压煞车，线空煞车等等)在本领域中是公知的。这些所谓的电子控制器或控制设备包括当今已经有的物理和/或功能的备用运行模式，该模式取决于设计变例。
液压备用运行模式例如实现在下述情况下：抗锁定煞车系统中的电子ABS控制器在故障的情形下被关断。在控制器被关断时不被供能的液压阀被配置成使得正常的煞车(没有ABS)现在可以如以前那样执行。这样，紧急操作或受限操作在系统故障或系统部件(例如，煞车系统的液压装置)故障后可以得到保护。所以，在具有机械备用运行模式(受限的功能)的系统中，在检测到错误(计算机错误，存储器错误等等)后关断控制计算机或在适当的位置处去除它们与外设的耦合是足够的。这可以例如发生在下述情况下：控制计算机包括两个相同的微处理器芯，这两个相同的微处理器芯并行地和同步地执行同一个程序。计算机系统在计算结果出现差异的情形下被断开连接。
功能备用运行模式可以以类似的方式实现。当复杂的超级软件功能(例如，ESP)发生错误时，它被禁用，而较低的级别的软件功能(例如，ABS)保持可运行的。
在现代化的汽车中用于控制和调整汽车功能的安全电子装置硬件的应用正在不断上升。特定的焦点在于电子控制单元的高的故障安全的程度和/或故障容忍设计(冗余概念)。
例如，在未来的非液压煞车系统，诸如线空煞车(例如，电动机械煞车)中，如上所述的物理的(液压的)备用运行模式不再存在。在相应的设计的系统中的问题则在于，至今为止已知的自解除电子控制单元不能再被采用。
发明内容
本发明的一个目的是设计一种故障容忍电子控制单元，它是绝对故障安全的，以及它的关于微处理器系统的可用性大于在以前已知的微处理器概念的情形。
该目的是通过按照权利要求9的计算机网络实现的。
在本发明的计算机网络的有利的改进中，至少一个计算机块，尤其是所有的计算机块，包括如权利要求1到8的至少任一项中所述的控制计算机系统。本发明的计算机网络的优点包括，其中包含控制计算机系统的、几乎相同的计算机块的使用，产生了低成本制造的系统，该系统由于它的模块设计，可通过稍微修改而适配于任何与制造商有关的要求(例如，故障禁止的或故障容忍的煞车系统)。而且，本发明的计算机网络允许几乎完全的检错，而同时还保持总体功能。而且，通过加上另外地控制计算机系统，所公开的计算机网络的可用性几乎可按需要增强。再者，所公开的计算机网络具有低的芯片表面消耗。
本发明的计算机网络的另一个优选实施例提供以所谓的“热备用”来运行计算机网络，其中所有的控制计算机，具体地说在分开的时隙/窗口中，永久地把数据发送到优选地冗余的汽车数据总线。在故障的情形下，故障控制计算机系统的仲裁单元将禁止故障单元的数据流进到汽车数据总线。因此保证仅仅有效的数据才总是被发送通过汽车数据总线。数据的使用者，诸如执行器或传感器，将优选地决定使用哪个冗余发送的信息。
在本发明的计算机网络的另一个优选实施例中，例如，仅仅第一控制计算机系统永久地把数据发送到汽车数据总线，而第二控制计算机系统执行相同的计算运算，然而不被连接到汽车数据总线。在故障的情形下，从第一控制计算机系统到汽车数据总线的数据流被中断，以及被第二控制计算机系统接管。
在另一个优选的方面，计算机块不包括仲裁单元，而只是连接到一个或多个仲裁单元。
在再一个优选的方面，仅仅一个第一计算机块包含优选地冗余的仲裁单元，而第二计算机块，或几个另外的计算机块，不包括另外的仲裁单元。还优选地，所有的计算机块包括至少一个优选地冗余的仲裁单元。
在本发明的计算机网络或控制计算机的另一个设计变例中，其中包括的外设单元(传感器、执行器等等)被冗余地设计。
在另一个优选的设计变例中，控制计算机系统在时间上可以同步地运行。然而，由于不需要控制计算机的完全同步的运行，控制计算机系统有可能至少部分地以非同步方式运行。部分同步优选地可以通过可被冗余地设计的汽车数据总线藉助于时间分片同步或任何其他适当的同步手段而实行。
有利地，控制计算机系统在物理上可被放置在一个或多个机箱中。两个控制计算机系统集成在用于电子煞车系统的电子控制单元，或控制计算机系统分开在电子煞车系统的不同的机箱，是特别优选的。尤其优选的分开，涉及到第二控制计算机系统在连接到汽车数据总线的机箱中的安排，所述机箱通常被提供以容纳ESP系统的驱动动态传感器。
本发明的另一个目的旨在按照权利要求1的多芯冗余控制计算机系统。
有利地，把第一通信控制器连同第一控制计算机系统一起集成在第一芯片上，以及把第一仲裁单元连同外设驱动器一起集成在第三芯片上。第一芯片例如藉助于在这种安排中的连线连接到第三芯片。分开的芯片的优点包括，例如在第一芯片的电压源发生故障后，第三芯片仍旧可运行，和例如，第三芯片将检测第一芯片的故障，这是因为错误消息-由于缺乏来自第一控制计算机的计算结果-被发送到第一仲裁单元，第一仲裁单元通过总线断开连接使得第一通信控制器与汽车数据总线断开。
本发明的通信网络是有利的，因为本发明的冗余概念对于软件是透明的。特别小的软件部分(开销)对于实现本发明的故障容忍概念是必要的。这特别是适用在优选的仲裁单元具有谨慎的(硬件)设计时。
本发明的控制计算机系统优选地包括冗余比较单元，冗余比较单元通过第一通信控制器被连接到汽车数据总线。
在另一个优选实施例中，在相关的控制计算机之一故障的情形下，本地分配的第一仲裁单元部分地或全部地关断控制计算机系统。
还优选地，第一仲裁单元把第一通信控制器耦合到汽车数据总线，或通过总线断开连接，把第一通信控制器从汽车数据总线解耦。
在另一个优选的设计变例中，第一仲裁单元包括至少一个附加的、优选地冗余的通信装置，用于与至少第二仲裁单元和/或至少第二控制计算机系统和/或第二控制计算机系统的至少一个另外的比较单元通信。通信装置优选地被配置成误差线，以及光学的或无线通信装置，诸如玻璃光纤光缆，发送/接收二极管(例如，发光二极管，激光二极管，光电管)，无线传输等等，也代表可能的实施例。
在本发明的优选的方面，第一仲裁单元包括至少一个外设断开连接，该外设断开连接能够启动或关断外设驱动器。
在本发明的控制计算机系统的另一个优选实施例中，外设单元通过控制总线系统被连接到外设驱动器。
还优选地，第一仲裁单元在故障的情形下通过外设断开连接关断外设驱动器或至少一个外设单元。
为了控制对安全严格的应用，对于控制计算机有增加的要求，该控制计算机在许多情形下被容纳在所谓的电子控制单元中。术语“控制计算机”通常是指诸如微控制器那样的计算机系统，其除了包括中央处理器单元(CPU)以外，还包括存储器和输入/输出功能。当控制计算机包括两个或多个中央处理器单元时，控制计算机是“多芯”的。
所以，本发明的另一个目的涉及到按照权利要求9的计算机网络在汽车控制计算机中的应用，计算机网络包括用于控制汽车的功能的算法。
附图说明
通过图1在用于优选实施例的以下的说明中解释本发明的多芯控制计算机系统或本发明的计算机网络的设计和功能。
具体实施方式
计算机网络11包括两个计算机块32和32’。通过通信控制器29，29’，计算机块32，32’发送数据到汽车数据总线24(例如，CAN，Flexray，TTCAN，TTP)或从汽车数据总线24接收数据。所述数据藉助于通信设备31被发送到第四外设单元26(例如，执行器)。而且，来自第三外设单元25(例如，传感器)的数据通过汽车数据总线24被发送到通信控制器29，29’。计算机块32，32’也从被连接到各个计算机块32或32’的传感器20(例如，压力传感器或驱动动力传感器)接收数据，或发送数据到执行器20’(例如，液压阀线圈)。计算机块32，32’的内部的设计在下面通过第一计算机块32进行说明，因为本例的第二计算机块32’具有实际上相同的设计。
计算机块32包含第一芯片7和第二芯片27，所述芯片被安排在公共的芯片载体28上。第一控制计算机系统5包括两个时间上同步的或时钟同步的运行控制计算机1，2，该第一控制计算机系统5被安排在第一芯片7上。控制计算机1，2包括冗余比较单元12，13，它们比较控制计算机1，2的计算结果，以及把它们发送到被集成在第一芯片7上的第一通信控制器29。当计算结果不一致时，把误差消息通过两条误差线路16，18发送到第一仲裁单元9。第一仲裁单元9在故障的情形下通过总线断开连接23断开第一通信控制器29的连接，这样，控制计算机1，2的不正确的数据不再输送到汽车数据总线24。而且，第一仲裁单元9在故障的情形下将通过外设断开连接21断开被连接到传感器20和执行器20’的外设驱动器22的连接。
传感器20和执行器20’通过与控制单元和外设驱动器22有关的总线系统30分别被连接到计算机块32。
计算机网络11包括两个计算机块32，32’，以及与各个计算机块32，32’不同，它故障容忍地运行。通过两个通信控制器29，29’，两个控制计算机系统5，6的数据分别在一个时隙/窗口上被发送到汽车数据总线24。当任一个仲裁单元9或10识别出控制计算机系统5或6中的计算错误时，仲裁单元9或10断开相关的通信控制器29或29’的连接，这样，不正确地计算的控制计算机系统5或6的数据不再被发送到汽车数据总线24。被连接到汽车数据总线24的通信设备31能够从其余的时隙/窗口独立地获取需要的数据。