知財求人 - 知財ポータルサイト「IP Force」
特許6124925車両内の、高い可用性を有する、少なくとも2つのデータ処理ユニットの作動方法および車両の作動装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6124925
(24)【登録日】2017年4月14日
(45)【発行日】2017年5月10日
(54)【発明の名称】車両内の、高い可用性を有する、少なくとも2つのデータ処理ユニットの作動方法および車両の作動装置
(51)【国際特許分類】
B60R 16/02 20060101AFI20170424BHJP
G06F 9/50 20060101ALI20170424BHJP
【FI】
B60R16/02 660H
G06F9/46 465Z
【請求項の数】12
【全頁数】20
(21)【出願番号】特願2014-553646(P2014-553646)
(86)(22)【出願日】2012年12月10日
(65)【公表番号】特表2015-510468(P2015-510468A)
(43)【公表日】2015年4月9日
(86)【国際出願番号】EP2012074920
(87)【国際公開番号】WO2013110394
(87)【国際公開日】20130801
【審査請求日】2014年9月19日
(31)【優先権主張番号】102012201185.4
(32)【優先日】2012年1月27日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】390039413
【氏名又は名称】シーメンス アクチエンゲゼルシヤフト
【氏名又は名称原語表記】Siemens Aktiengesellschaft
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100099483
【弁理士】
【氏名又は名称】久野 琢也
(72)【発明者】
【氏名】ミヒャエル アームブルスター
(72)【発明者】
【氏名】マークス フェーリング
(72)【発明者】
【氏名】ルートガー フィーゲ
(72)【発明者】
【氏名】グンター フライターク
(72)【発明者】
【氏名】コルネル クライン
【審査官】
佐々木 智洋
(56)【参考文献】
【文献】
特表2005−512218(JP,A)
【文献】
特開2011−203967(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
B60R 16/02
G06F 9/50
(57)【特許請求の範囲】
【請求項1】
車両内の、可用性を有する少なくとも2つのデータ処理ユニット(VCC1、VCC2)の作動方法であって、
第1のデータ処理ユニット(VCC1)が提供できる機能のうち、少なくとも一部の機能は第2のデータ処理ユニット(VCC2)も提供することができ、第2のデータ処理ユニット(VCC2)が提供できる機能のうち、少なくとも一部の機能は第1のデータ処理ユニット(VCC1)も提供することができ、
前記第2のデータ処理ユニット(VCC2)は、少なくとも1つのセンサユニットによって検出した車体の停止に関する動作状態(Z1〜Z6)に依存して、当該第2のデータ処理ユニット(VCC2)において実行されるべきプロセスに対する少なくとも1つのエントリー(120、122)を記憶ユニットから自動的に除去し、
除去した前記エントリー(120、122)を、前記第2のデータ処理ユニット(VCC2)によって、車体の停止に関する現在の動作状態(Z1〜Z6)に依存して、自動的に再び書き込む、
ことを特徴とする、少なくとも2つのデータ処理ユニットの作動方法。
第1のデータ処理ユニット(VCC1)が提供できる機能のうち、少なくとも一部の機能は第2のデータ処理ユニット(VCC2)も提供することができ、第2のデータ処理ユニット(VCC2)が提供できる機能のうち、少なくとも一部の機能は第1のデータ処理ユニット(VCC1)も提供することができ、
前記第2のデータ処理ユニット(VCC2)は、少なくとも1つのセンサユニットによって検出した車体の停止に関する動作状態(Z1〜Z6)に依存して、当該第2のデータ処理ユニット(VCC2)において実行されるべきプロセスに対する少なくとも1つのエントリー(120、122)を記憶ユニットから自動的に除去し、
除去した前記エントリー(120、122)を、前記第2のデータ処理ユニット(VCC2)によって、車体の停止に関する現在の動作状態(Z1〜Z6)に依存して、自動的に再び書き込む、
ことを特徴とする、少なくとも2つのデータ処理ユニットの作動方法。
【請求項2】
前記車両は輸送車両である、請求項1記載の方法。
【請求項3】
前記センサユニットは、速度センサまたは回転数センサを含む、請求項1記載の方法。
【請求項4】
前記車体の停止に関する動作状態(Z1〜Z6)は、停止状態(Z2、Z5)、蓄電池の充電状態(Z6)または走行状態(Z1、Z3、Z4)である、請求項2または3記載の方法。
【請求項5】
データ伝送網(DT1、DT2)において、データ伝送プロトコールを用いて前記データ処理ユニット(VCC1、VCC2)を作動させて、イーサーネットでのプロセッサ(Pr1〜Pr6)またはネットワークユニット(N1〜N4)のオンを可能にする、請求項1から4までのいずれか1項記載の方法。
【請求項6】
前記待機状態は、前記第2のデータ処理ユニット(VCC2)の電源がオフされている状態、または、前記前記第2のデータ処理ユニット(VCC2)が自身の電源から切り離されている状態である、請求項1から5までのいずれか1項記載の方法。
【請求項7】
各データ処理ユニット(VCC1、VCC2)はそれぞれ、少なくとも2つのプロセッサ(Pr1〜Pr4)を含んでいる、請求項1から6までのいずれか1項記載の方法。
【請求項8】
前記2つのデータ処理ユニット(VCC1、VCC2)はそれぞれ、2つの冗長的なデータ伝送網(DT1、DT2)に接続されている、請求項1から7までのいずれか1項記載の方法。
【請求項9】
前記2つのデータ処理ユニット(VCC1、VCC2)は、前記車両を開ループ制御するまたは閉ループ制御するための少なくとも1つのコア機能を提供する、請求項1から8までのいずれか1項記載の方法。
【請求項10】
前記2つのデータ処理ユニット(Sbw1、Sbw2;Bbw1、Bbw2)は、少なくとも1つの機能を、前記車両の少なくとも1つの周辺サブシステムにおいて提供する、請求項1から9までのいずれか1項記載の方法。
【請求項11】
車両の作動装置(10)であって、
当該作動装置は、第1のデータ処理ユニット(VCC1)と、第2のデータ処理ユニット(VCC2)と、当該第2のデータ処理ユニット(VCC2)内にある第1の制御ユニットとを有しており、
前記第1のデータ処理ユニット(VCC1)が提供できる機能のうち、少なくとも一部の機能は第2のデータ処理ユニット(VCC2)も提供することができ、前記第2のデータ処理ユニット(VCC2)が提供できる機能のうち、少なくとも一部の機能は第1のデータ処理ユニット(VCC1)も提供することができ、
前記第1の制御ユニットは、センサユニットによって検出された車体の停止に関する動作状態(Z1〜Z6)に依存して、
当該第2のデータ処理ユニット(VCC2)において実行されるべきプロセスに対する少なくとも1つのエントリー(120、122)を記憶ユニットから除去し、
除去した前記エントリー(120、122)を、前記第2のデータ処理ユニット(VCC2)によって、車体の停止に関する現在の動作状態(Z1〜Z6)に依存して、自動的に再び書き込み、
前記第1のデータ処理ユニット(VCC1)内に第1の記憶ユニットを有しており、
前記機能の提供に関して、または、冗長性に関して、前記第1のデータ処理ユニット(VCC1)が前記第2のデータ処理ユニット(VCC2)よりも優位にあるというエントリーが当該第1の記憶ユニット内に付けられている、
ことを特徴とする、車両の作動装置(10)。
当該作動装置は、第1のデータ処理ユニット(VCC1)と、第2のデータ処理ユニット(VCC2)と、当該第2のデータ処理ユニット(VCC2)内にある第1の制御ユニットとを有しており、
前記第1のデータ処理ユニット(VCC1)が提供できる機能のうち、少なくとも一部の機能は第2のデータ処理ユニット(VCC2)も提供することができ、前記第2のデータ処理ユニット(VCC2)が提供できる機能のうち、少なくとも一部の機能は第1のデータ処理ユニット(VCC1)も提供することができ、
前記第1の制御ユニットは、センサユニットによって検出された車体の停止に関する動作状態(Z1〜Z6)に依存して、
当該第2のデータ処理ユニット(VCC2)において実行されるべきプロセスに対する少なくとも1つのエントリー(120、122)を記憶ユニットから除去し、
除去した前記エントリー(120、122)を、前記第2のデータ処理ユニット(VCC2)によって、車体の停止に関する現在の動作状態(Z1〜Z6)に依存して、自動的に再び書き込み、
前記第1のデータ処理ユニット(VCC1)内に第1の記憶ユニットを有しており、
前記機能の提供に関して、または、冗長性に関して、前記第1のデータ処理ユニット(VCC1)が前記第2のデータ処理ユニット(VCC2)よりも優位にあるというエントリーが当該第1の記憶ユニット内に付けられている、
ことを特徴とする、車両の作動装置(10)。
【請求項12】
前記第1のデータ処理ユニット(VCC1)と前記第2のデータ処理ユニット(VCC2)が接続されている、第1のデータ伝送網(DT1)と、第2のデータ伝送網(DT2)とを有しており、
伝送されるべきデータの少なくとも一部が、前記2つのデータ伝送網(DT1、DT2)を介して伝送される、請求項11記載の装置(10)。
伝送されるべきデータの少なくとも一部が、前記2つのデータ伝送網(DT1、DT2)を介して伝送される、請求項11記載の装置(10)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、殊に車両内の、高い可用性を有する、少なくとも2つのデータ処理ユニットの作動方法に関する。第1のデータ処理ユニットと第2のデータ処理ユニットは、それぞれ少なくとも1つの同じ機能を提供する、または少なくとも10%、同じ機能を提供する。典型的に、データ処理ユニットは、例えば第1のデータ処理ユニットの機械語に関して、それぞれ少なくとも60%または少なくとも90%まで同じ機能を提供する。2つのユニットは、例えば、同じステップを行う。エラー時には、例えば、機械(例えば車)の自動制御がオフされて、手動制御へ移行する、または、例えば2つのデータ処理ユニットのうちの1つだけが動作する縮退プロセスへの切り替えが行われる。「特許文献1」US7979746B2号
「特許文献2」DE19749068A1号
【0002】
本発明の課題は、冗長性、すなわち可用性が高いにもかかわらず、エネルギー効率良く動作する方法を提供することである。さらに、相応する装置が提供されるべきである。
【0003】
方法に関する課題は、請求項1に記載されている方法ステップを備えた方法によって解決される。発展形態は、従属請求項に記載されている。
【0004】
この方法では、第2のデータ処理ユニットは自動的に、実行されるべきプロセスに対する少なくとも1つのエントリー(entry)を記憶ユニットから除去することができる、または、自動的に待機状態に移行することができる。
【0005】
これによって、第2のデータ処理ユニット(略してユニット)内での冗長性のオフに関する判断がなされる。第2のユニットは、この場合には、冗長性に関して第1のユニットよりも低いランクにある。冗長性のオフに関するこの判断が誤っている場合には、これは、冗長性ないしはエラートレランスの全体コンセプトによって受け止められる。このエラートレランスでは、2つのユニットのうちの1つにおいてエラーが生じることが可能である。
【0006】
すなわち殊に、冗長性のオフは、外部から(例えば第1のユニットによって)促されるのではない。このような場合には、オフに関する判断が誤っているならば、この誤った判断が、第1のユニットを超えて、第2のデータ処理ユニットにも伝播してしまうだろう。これは、エラートレランスの基本コンセプトに反する。
【0007】
第1のデータ処理ユニットにおいても、自動的に、実行されるべきプロセスに対する少なくとも1つのエントリーが、第1のデータ処理ユニットによって、記憶ユニットから除去され得る、または、第1のデータ処理ユニットは自動的に待機状態に移行し得る。ここでこの場合には、第1のデータ処理ユニットは、冗長性に関して低いランクにある。これは例えば2つのデータ処理ユニットのマスター/スレーブ関係におけるスレーブユニットである。
【0008】
2つのユニット内に、同じ機械語が記憶可能である。これによって、100%の冗長性が得られる。
【0009】
従ってこの方法では、2つのユニットがオフされるのではなく、2つのユニットのうちの1つだけがオフされる。このオフは有利には、第2のユニットのエラーに基づいて行われるのでもない。なぜなら第2のユニットは、まだ完全に機能可能だからである。これは、例えば、消費電力の低減のためである。低い電力消費は、電気自動車または電気モータと内燃機関を有するハイブリッド車両にとって、駆動ユニットにおいて特に重要であり、これによって電子駆動部の走行距離が長くなる。また、駆動ユニット内に内燃機関しか有していない車両の場合にも、消費電力の低減によって、燃料消費が低減される。このオフは例えば、ユニットの電源のオフによって、またはユニットを自身の電源から切り離すことによって行われる。択一的に、ユニットのプロセッサをオフすることもできる。
【0010】
同様に、実施されるべきプロセスに対するエントリーの除去が行われる。プロセッサがエラーなく動作可能であるにもかかわらず、エントリーが除去される。エントリーのこの除去によって、プロセスは第1のユニットのみによって実施される。第2のユニットはこのプロセスを実行しなくなり、これによって必要な計算パワーが低減される。このようにして、多数のプロセッサが動かされない、例えば10個以上またはむしろ100個以上のプロセッサが動かされない場合には、必要とされる計算パワーを著しく低減させることができる。これは、第2のユニットのプロセッサの必要な消費電力に影響を及ぼす。十分な数のプロセスに対するエントリーを除去した後では、むしろ、第2のユニットのプロセス監視によって、第2のユニットのプロセッサないしは第2のユニット全体がオフされる、または、待機状態にされる。択一的に、複数の待機状態が存在し得る。これらは、それぞれ、先行の待機状態と比べて低減されたエネルギー消費を伴う。
【0011】
1つのプロセッサのエネルギー消費は、15〜50ワットの範囲にある。例えば、1つのプロセッサが全体で一時間オフされると、50whの電力が節約される。これによって、既存のエネルギーが効率的に使用される。
【0012】
エントリーの除去は、例えば、メモリセルのデータ値の変更、例えば、該当するプロセスが実施されるべきか否かを示すデータの変更によって行われる。
【0013】
エントリーのこの除去または待機状態への移行を、その動作のためにデータ処理ユニットが使用される機械、殊に輸送機械の動作状態に依存して行うことができる。
【0014】
輸送機械は車両であり得る。これは例えば電気車、ハイブリッド車両または、内燃機関によってのみ駆動される車両であり得る。あらゆる大きさの車両が該当する。すなわち、運送用車両、殊に、トラック、バス、乗用車、オートバイ、自転車等である。しかしこの輸送機械が、飛行機、ボートまたは舟であってもよい。
【0015】
動作状態は、少なくとも1つのセンサユニットによって容易に検出され、殊に運動センサ、速度センサまたは回転数センサによって検出される。センサユニットは、例えば機械式におよび/または電子式に動作する。
【0016】
この動作状態は、状態「停止」、「蓄電池の充電」、状態「走行」または別の動作状態であり得る。状態「走行」は、殊に少なくとも2つのサブ状態に分けることができ、例えば、状態「低速での走行」、「中間速度での走行」および「高速での走行」に分けることができる。低速の上方境界は、例えば、3km/h(キロメートル毎時)〜10km/hの範囲にある。高速の下方境界は、例えば、50km/h〜80km/hまたは100km/hの範囲にある。
【0017】
例えば乗員または人員の保護、ひいては技術的なシステムの信頼性への安全要求は、これらの範囲内で著しく異なる。電子装置の要求されている各信頼性は、これらの範囲の使用によって、容易に、冗長性のオフ時でも考慮される。
【0018】
これらのデータ処理ユニットは、データ伝送網において、データ伝送プロトコールで作動される。このデータ伝送プロトコールは、殊にイーサーネット(登録商標)で、プロセッサまたはネットワークユニット/伝送ユニットをオンすることができる。
【0019】
イーサーネットでは、例えば、「Wake on LAN(Local Area Network)」が可能である。これによって、オフ後に第2のユニットを、再び容易にオンすることができる。第2のユニットのオン後に、例えば自動的に、ブート過程がスタートする。これは、ROMからBIOS(Basic Input Operation System)を高速メインメモリへロードし、それに続いて、動作システムの主要部分を、その高速メインメモリ又は別の高速メインメモリへロードする。
【0020】
しかし択一的に、1つないしは複数のデータ伝送網を介した方法とは別の方法で、電源を回路技術的に再びオンないしはオフすることも可能である。これは例えばリレーまたはトランジスタを介して行われる。
【0021】
スイッチオンを、機械の検出された動作状態に依存して行うことができ、例えば、殊に運転者が乗っている乗用車の場合には、輸送機械の速度変化に依存して行うことができる。
【0022】
このスイッチオンは、スイッチオフとは異なり、外部から制御可能である。すなわち、第2のユニットとは異なるユニットから制御可能である。なぜなら、スイッチオンしている間の誤った判断は、第2のユニットのスイッチオンによる冗長性の増大を引き起こすからである。第2のユニットはこのような場合に、例えば再びオフになるだろう。
【0023】
除去されたエントリーは、自動的に再び、第2のデータ処理ユニットによって書き込みできる。これは例えば、機械の現在の動作状態に依存して行われる。第2のデータ処理ユニットがまだ完全にオフされていない場合、または、第2のデータ処理ユニットのオフと、その後に続くオンの後に、これを、第2のユニットによって行うことができる。両方の場合において、除去されたエントリーは例えば一次的に別の箇所に格納され、これによって新たな書き込みが容易になる。
【0024】
待機状態は、第2のデータ処理ユニットの電源がオフされている、または、第2のデータ処理ユニットが自身の電源から切り離されている状態であり得る。スイッチオン時に、第2のデータ処理ユニットは再びブートする。しかしこれは、例えば50ms(ミリ秒)または100msよりも短い範囲内で行われる。
【0025】
待機状態は第1のデータ処理ユニットによって終了し得る。殊に、第2のデータ処理ユニットの電源のオンを促すことによって、または、第2のデータ処理ユニットの電源を、例えば中央電源を第2のデータ処理ユニットと接続させることによって、終了し得る。
【0026】
給電は、例えば、自身のスイッチングネットワーク部分および/または電圧安定化回路を使用して行われる。
【0027】
各データ処理ユニットは、それぞれ、少なくとも2つのプロセッサを含む。これらのプロセッサは、同様に、別個のサブデータ処理ユニットの構成部分であり得る。これは略してサブユニットと称される。2つのプロセッサは、同じ機能を提供することができる。これによって、第1のユニットないしは第2のユニット内で冗長性が得られる。この目的は、データ処理ユニット毎の高いエラー自己識別を実現することである。例えば、これらのサブユニットのメモリ内の機械語は100%、少なくとも90%または少なくとも60%一致する。1つのデータ処理ユニットのサブユニットのプロセッサは、自身の動作結果を例えば、双方向に検査する。これらの結果が一致した場合にのみ、これらの結果に属するデータが、別のデータ処理ユニット内でさらに処理される。
【0028】
これによって全体で、少なくとも4つの冗長的なプロセッサが得られる。これは、人員の安全に関する制御機能の場合、目下のところ十分であると見なされる。計算容量の理由から、さらなるプロセッサをデータ処理ユニット内に設けることもできる。
【0029】
2つのデータ処理ユニットをそれぞれ、同様に形成された2つのデータ処理接続部またはデータ処理ネットワークに接続することができる。これによって、データ伝送時にも、高い可動率が保証され、かつ、伝送エラーに対する高い安全性が保証される。
【0030】
例えば、データは、2つの異なる経路を介して伝送され、例えば、2つのバスシステムまたは2つのネットワークレベルを介して、有利には、異なる伝送方向に沿って、例えばリングトポロジーで伝送される。
【0031】
データ伝送を、有線で、ファイバーで、または、無線で行うことができる。データ伝送は同期または非同期で行われる。殊に、データ伝送時に、データ伝送プロトコールにおいて定められているメッセージが使用される。このプロトコールは例えば、IETF(Internet Engineering Task Force)のRFC(Request For Comment)に従った、IEE(Institute of Electrical and Electronics Engineers Inc.)802.3,TCP/IP(Transmission Control Protocol)/(Internet Protocol)に従ったイーサーネットプロトコールである。
【0032】
しかし、自動車産業において一般的に使用されているバスシステムも使用される。例えば:・二重に構成されたCANバス(Controller Area Network)、
・TTP(Time Triggered Protocol)、
・TTE(Time Triggered Ethernet)、
・場合によってはIRT(Isochronous Real Time)を伴うPROFINET(PROcess FIeld NETwork)または
・FlexRay(登録商標)−Bus
である。
【0033】
さらに、私有のプロトコールが使用される。
【0034】
2つのデータ処理ユニットは、機械を開ループ制御するまたは閉ループ制御するための、少なくとも1つのコア機能を提供することができる。これらのコア機能は例えば:・操舵角の設定
・制動命令の設定
・自動間隔コントロール
・例えば、現場重視の閉ループ制御を使用した、電気駆動モータの閉ループ制御
である。
【0035】
これらのコア機能は、機械ないしは車両の中央部分に設けられる。しかし、これらのコア機能を分割して実施することも可能であり、これは例えば、別の箇所での実施である。
【0036】
2つのデータ処理ユニットは、択一的に機能を、機械の少なくとも1つの周辺部分システムにおいて提供することができる。周辺的な部分システムは例えば蓄電池である。例えば:・操舵角データの操舵運動への変換、ここでハンドルは自動的に操作される
・ブレーキの自動操作
・内燃機関の自動的な駆動制御、例えば、弁または絞り弁の操作
・駆動用の電気モータの自動的な駆動制御
【0037】
装置に関する課題は、以降で説明される装置によって解決される。発展形態は、従属請求項に記載されている。
【0038】
機械を動作させる装置は、・第1のデータ処理ユニットと、
・第2のデータ処理ユニットと、
・第2のデータ処理ユニット内にある第1の制御ユニットとを含んでいる。
【0039】
ここで、第1のデータ処理ユニットと第2のデータ処理ユニットはそれぞれ少なくとも1つの同じ機能を提供する、ないしは、少なくとも10%、同じ機能を提供する。典型的には、少なくとも60%または少なくとも90%またはむしろ100%、同じ機能を提供する。第1の制御ユニットは、実行されるべきプロセスのための少なくとも1つのエントリーを、メモリユニットから除去する、または、第2のデータ処理ユニットを自動的に待機状態にする。
【0040】
方法に対して挙げた技術的な作用が当てはまる。冗長性をオフすることによって、ここでも、エネルギーが効果的に利用される。第1のユニットも、相応の制御ユニットを、冗長性をオフするために有することができる。
【0041】
この装置は第1のメモリユニットを、第1のデータ処理ユニット内に含むことができる。この場合には、このメモリ処理ユニット内に次のことがエントリーされる。すなわち、第1のデータ処理ユニットが、機能の提供に関して、または、冗長性に関して、第2のデータ処理ユニットよりも優先権を有していることがエントリーされる。
【0042】
第2のユニット内にも、メモリユニットが設けられる。ここでは次のことがエントリーされる。すなわち、第2のデータ処理ユニットが、第1のユニットよりも下位であることがエントリーされる。これによって、ここでマスター/スレーブ原理が使用される。
【0043】
この装置は、以下の技術的なデバイスを含んでいる:・第1のデータ伝送接続部(略してDUE接続部)または第1のデータ処理ネットワークおよび
・第2のデータ伝送接続部または第2のデータ伝送ネットワーク
【0044】
第1のデータ処理ユニットおよび第2のデータ処理ユニットは、第1のデータ伝送接続部および第2のデータ伝送接続部に接続可能である。ここで、伝送されるデータの少なくとも60%または伝送されるデータの少なくとも90%はまたは伝送される全てのデータは、2つのデータ伝送接続部または2つのデータ伝送網を介して伝送される。
【0045】
これによって、データ伝送も冗長的になり、ひいては稼働率が高くなる。殊に、上述の規格または事実上の規格に則したデータ伝送プロトコールが使用され、殊に、私有のプロトコールも使用される。
【0046】
この発明の上述した特性、特徴および利点並びに、本発明を実現する方法は、実施列の後続の説明と組み合わせて、より明確かつより分かり易くなる。本願で用語「できる、得る、可能である」が使用される限り、これは、技術的な可能性および実際の技術的な実施を表している。
【0047】
以下で、本発明の実施例を、任意の図面に基づいて説明する。
【図面の簡単な説明】
【0048】
【図1】車両内の中央計算機および周辺計算機
【図2】種々の動作状態に依存した、車両内の計算機のオンおよびオフ
【図3】計算機をオンおよびオフするための方法
【図4】実施されるべきプロセスに印が付けられているプロセステーブル
【図5】プロセスをオンおよびオフするための方法
【図6】イーサーネットで駆動される車両の中央データ処理ユニットの構造
【実施例】
【0049】
車両のスタンバイ時の冗長性遮断が説明される。択一的に、この冗長性遮断は、飛行機または別の機械においても実施可能である。
【0050】
車両内の安全に関して重要なコンポーネント、例えばハンドルまたはブレーキが機械的ないしは液圧式に駆動制御されない場合、すなわち、駆動制御が例えば電気的に行われる場合、冗長的な手段が設けられなければならない。この手段はエラー時に、例えば、CPU(Central Processing Unit)、電流線路、通信線路、RAM(Random Access Memory)、計算方法/機能等において、駆動制御を担うことができる。このようなフォールバックレベルが、機械的なフォールバックレベルであるべきではない場合にも、電気的な駆動制御部自体が冗長的に構成されなければならない。すなわち、電気的な線路が二重に構成され、閉ループ制御機能または開ループ制御機能のための計算も二重に、複数のプロセッサコア上で実施される。これは、プロセッサコア自体内の予期せぬエラーを発見するためである。
【0051】
Duo−Duplex構造の場合には、これは次のことを意味する。すなわち、マルチチャネル線路の他に、4つのプロセッサコアが使用されることを意味する。従って、この場合にはエネルギー需要が高くなる。すなわち、冗長的な駆動制御が設定されていない場合のエネルギー消費と比べて、エネルギー消費は4倍になる。しかしこの冗長性は、全ての状況で必要とされるのではない。ただし、車両内のシステムを完全に遮断してしまうことはできない。例えば、駐車中でも、システムは起動されていなければならない。しかしこれは安全に関して重要なものではなく、むしろ、スタンバイ時には、消費されるエネルギーができるだけ少ないことが重要である。これによって、車両を長期間(例えば駐車期間中)にわたって動かさなくてもよくなる。同様のことが、Triplex構造にも当てはまる。
【0052】
これまで、自動車業界ではまだ、中心的な構成において、安全に関する重要なシステムに完全に電気的な駆動方式は使用されていない。X−by−Wireソリューションは、例えば、幾つかの部分システムに対してのみ構築可能である。この場合には、駐車時に、全ての部分システムがオフ状態にされる。
【0053】
車両の中央E/E構成(電気/電子構成)において、これらのコンポーネントは、次のように設計される。すなわちこれらのコンポーネントが、Duo−DuplexまたはTriplex構成において機能可能であるように設計される。しかし、それらは非冗長的な起動指示によって起動される。スタンバイ時には、必要な機能のみが作動され、その他の全てのものは計算されない。冗長的なプロセッサコアは、残りのアクティブな機能が冗長性を必要としない限り、オフされる。計算および必要な通信は、依然として1チャネルでのみ行われる。冗長性が再び必要になると迅速に、プロセッサコアが自動的にブートされ、同期される。通信は再び、マルチチャネルで行われる。それ以降も必要とされないサブシステムと機能は、起動されないままであり、冗長的に動かされない。
【0054】
車両の全ての状態に対して、E/E構造が、安全に関して重要なシステムに対しても、冗長的に設計される必要はない。特定の状態、例えば駐車に対しては、冗長性を省くことができ、他の状態に対しては、部分システムにおいてのみ冗長性が必要とされる。冗長性が必要でない場合には、エネルギー需要は低下する。
【0055】
データ処理ユニットとしての、中央制御ユニット(例えば冗長的なプロセッサコア)に対するスタンバイモードは、このモードに対して別個のさらなる機器ないしはサブシステムを設けることなく、実現される。スタンバイ時間は長くなる。バッテリーの再充電が必要になるまでの時間が長くなる。
【0056】
このシステムが自力で、冗長性に対して必要なコンポーネントを起動させることができる場合には、車両は、安全に関して重要な機能を、ユーザーから直接的に監視されなくても、実施することができる(例えば、遠隔制御充電過程または放電過程)。
【0057】
n>2個のDuplexシステムの使用も可能である(ここでnは自然数である)。すなわち、n個のDuplex計算機(1つのDuplexユニット毎に、n×2個のプロセッサコアを有する)の使用も可能である。
【0058】
図1は、車両内の、殊に蓄電池動作式車両ないしはバッテリー動作式車両ないしは電気自動車内の中央計算機と周辺計算機を示している。この車両は、車載の中央計算機10と別の計算機ユニットとを有している。
【0059】
車載の中央計算機10は、・第1の中央制御ユニットVCC1と
・第2の中央制御ユニットVCC2とを有している。
【0060】
別の計算ユニットには、・第1の操舵制御ユニットSbw1(Steer by wire)と、
・第2の操舵制御ユニットSbw2と、
・第1の制動制御ユニットBbw1(Break by wire)と、
・第2の制動制御ユニットBbw2と、
・冗長的にまたは非冗長的に構成されている、図示されていないさらなるユニット
が属している。
【0061】
さらに、第1のデータ伝送網DT1と、第2のデータ伝送網DT2とが存在する。これらのデータ伝送網は、車載計算機10と別の計算ユニットとを接続する。
【0062】
第1の中央制御ユニットVCC1は、・図示されていない記憶ユニット内に格納されているプログラム命令を処理するプロセッサPr1とプロセッサPr2、例えばマイクロプロセッサと、
・プロセッサPr1およびPr2からデータ伝送網DT1、DT2への接続およびデータ伝送網DT1、DT2からプロセッサPr1およびPr2への接続を形成する2つの伝送ユニットN1a、N1bとを含んでいる。
【0063】
伝送ユニットN1a、N1bは、イーサーネットの使用時には、例えば、いわゆる2つのスイッチによって形成される。これについては、以降で図6に基づいてより詳細に説明する。しかし別のネットワークも同様に使用可能である。これは殊に、冒頭に記載したプロトコールにおけるものである。
【0064】
第2の中央制御ユニットVCC2は、・図示されていない記憶ユニット内に格納されているプログラム命令を処理するプロセッサPr3とプロセッサPr4、例えばマイクロプロセッサと、
・プロセッサPr3およびPr4からデータ伝送網DT1、DT2への接続およびデータ伝送網DT1、DT2からプロセッサPr3およびPr4への接続を形成する2つの伝送ユニットN2a、N2bとを含んでいる。これらの伝送ユニットN2a、N2bは、例えば、伝送ユニットN1a、N1bと同様に形成されている。
【0065】
第1の中央制御ユニットVCC1と第2の中央制御ユニットVCC2は、例えば、以下の機能の少なくとも1つ、または、全ての機能を冗長的に提供する:・操舵用の主要機能、ここでは例えばセットされるべき操舵角が出力される
・間隔走行用の主要機能、ここでは例えば加速度データまたは減速データが形成される
・例えば、ABS(Anti Blockier System)の範囲内での自動制動過程のための主要機能
・アンチスリップレギュレーション(ASR)の主要機能
・横滑り防止プログラムESPの主要機能
・電気自動車の駆動部として使用される電気モータの閉ループ制御
・電子制御ブレーキシステム(EBV)の主要部分
【0066】
第1の操舵制御ユニットSbw1は、・図示されていない記憶ユニット内に格納されているプログラム命令を処理するプロセッサPr5とプロセッサPr6、例えばマイクロプロセッサと、
・プロセッサPr5およびPr6からデータ伝送網DT1、DT2への接続およびデータ伝送網DT1、DT2からプロセッサPr5およびPr6への接続を形成する2つの伝送ユニットN1a、N1bとを含んでいる。
【0067】
第2の操舵制御ユニットSbw2は、・図示されていない記憶ユニット内に格納されているプログラム命令を処理する第1のプロセッサPr7と第2のプロセッサPr8、例えばマイクロプロセッサと、
・プロセッサPr7およびPr8からデータ伝送網DT1、DT2への接続およびデータ伝送網DT1、DT2からプロセッサPr7およびPr8への接続を形成する2つの伝送ユニットN1a、N1bとを含んでいる。
【0068】
第1の操舵制御ユニットSbw1と第2の操舵制御ユニットSbw2は、以下の機能を冗長的に提供する・受信した、操舵角のためのデータを、車両の操舵運動に変える
【0069】
第1の制動制御ユニットBbw1は、・図示されていない2つのプロセッサ、殊にマイクロプロセッサと、
・第1の制動駆動制御ユニットBbw1のプロセッサをデータ伝送網DT1、DT2に結合するための、図示されていない2つの伝送ユニット
とを含んでいる。
【0070】
第2の制動制御ユニットBbw2は、・図示されていない2つのプロセッサ、殊にマイクロプロセッサと、
・第2の制動駆動制御ユニットBbw2のプロセッサをデータ伝送網DT1、DT2に結合するための、図示されていない2つの伝送ユニット
とを含んでいる。
【0071】
第1の制動制御ユニットBbw1と第2の制動制御ユニットBbw2は、以下の機能を冗長的に提供する・制御ユニットVCC1の故障時に、制御ユニットVCC1ないしはVCC2の中央設定に依存してブレーキを操作する
・ABS制動過程の枠内での離散的(非中央的)な機能
・ESP過程の枠内での離散的な機能
【0072】
データ伝送網DT1、DT2は、図1に示されているユニット間のデータの冗長的な伝送を可能にする。データ伝送網DT1、DT2は、同じ伝送プロトコール、例えばFlex−Ray、ダブルCAN−Busまたはイーサーネットに従って動作する。これについては以降で図6に基づいてより詳細に説明する。
【0073】
図2は、種々の動作状態に依存した、車両ないしは車載ネットワーク10内の計算機のオンとオフを示している。
【0074】
動作状態Z1は、車両の走行に関する。これは、例えば中間の速度(例えば30km/h〜60km/hの領域における速度)での走行である。動作状態Z2は、例えば信号での車両の停止に関する。動作状態Z2は、動作状態Z1に続く。信号が緑に変わると、動作状態Z2には、動作状態Z3が続く。ここでは、車両は再び中間の速度で走行する。
【0075】
動作状態Z1では、以下の接続状態が存在する・第1の中央制御ユニットVCC1:プロセッサPr1がオンであり、プロセッサPr2がオンである
・第2の中央制御ユニットVCC2:プロセッサPr3がオンであり、プロセッサPr4がオンである
・第1の操舵制御ユニットSbw1:プロセッサPr5がオンであり、プロセッサPr6がオンである
・第2の操舵制御ユニットSbw2:プロセッサPr7がオンであり、プロセッサPr8がオンである
【0076】
動作状態Z2においては、以下の接続状態が存在する・第1の中央制御ユニットVCC1:プロセッサPr1がオンであり、プロセッサPr2がオンである
・第2の中央制御ユニットVCC2:プロセッサPr3がオフであり、プロセッサPr4がオフである
・第1の操舵制御ユニットSbw1:プロセッサPr5がオンであり、プロセッサPr6がオンである
・第2の操舵制御ユニットSbw2:プロセッサPr7がオフであり、プロセッサPr8がオフである
【0077】
第3の動作状態Z3においては、再び、第1の動作状態Z1において挙げられた接続状態が存在する。
【0078】
このようにして、人間の安全に関係しない状態において、動作状態Z2では冗長性が低減され、これによって、エネルギーが効果的に利用される。しかし少なくとも1つのシステムは起動されたままである。これは、ここでは第1の中央制御ユニットVCC1ないしは第1の操舵制御ユニットSbw1である。
【0079】
中央制御ユニットVCC1およびVCC2、操舵制御ユニットSbw1およびSbw2並びに制動制御ユニットBbw1およびBbw2は、択一的に、オンおよびオフに関して全体ユニットとしても駆動制御可能である。これは、プロセッサに関するオンまたはオフとは異なる。このオンおよびオフは、例えば、電源ユニットのオンまたはオフによって、または、電源ユニットの切り離しないしは電源ユニットとの接続によって行われる。
【0080】
図3は、計算機のオンおよびオフのための方法を示している。これによって、例えば、図2に基づいて示された接続状態間での切り替えが行われる。
【0081】
図3に示されたステップ102〜106は、第1の形態において、中央制御ユニットVCC2において実施される。ステップ108〜112は、これとは異なり、第1の形態では、中央制御ユニットVCC1内で実施される。
【0082】
この方法は、方法ステップ100で始まる。これは略して、ステップ100とも称される。
【0083】
ステップ100に続くステップ102では、車両の動作状態が検出される。これは例えば、第2の中央制御ユニットVCC2によって行われる。
【0084】
ステップ102の後に、第2の中央制御ユニットVCC2によって、ステップ104が実施される。ステップ104では、車両が動作状態Z2にあるか否か、すなわち停止しているか否かが検査される。車両が動作状態Z2にある場合、すなわち、停止している場合、ステップ104に、直接的に方法ステップ106が続く。このステップでは、第2の操舵制御ユニットVCC2が自身でオフになる。
【0085】
これに対して、車両が動作状態Z2にない場合、すなわち、停止していない場合、ステップ104に、直接的にステップ108が続く。このステップ108では、第1の制御ユニットVCC1が動作状態を検出する。
【0086】
ステップ108に続くステップ110では、第1の制御ユニットVCC1は、状態Z1、Z3、すなわち走行がアクティブであるか否かを検査する。車両が動作状態Z1ないしはZ3にある場合、すなわち走行している場合、ステップ110に直接的に、方法ステップ112が続く。この方法ステップ112では、第1の制御ユニットVCC1が第2の制御ユニットVCC2をオンする。
【0087】
これとは異なりこの車両が、動作状態Z1ないしはZ3にない場合、すなわち走行していない場合、ステップ110に直接的に再び、ステップ102が続く。
【0088】
第2の形態では、図3に示された方法が、第2の操舵制御ユニットSbw2に対して実施される。図3に示されたステップ102〜106は、この第2の形態では、第2の操舵制御ユニットSbw2内で実行される。ステップ108〜112はこの第2の形態では、これとは異なり、第1の操舵制御ユニットSbw1内で実施される。
【0089】
この方法は、再び、方法ステップ100で始まる。これは、略してステップ100とも称される。
【0090】
このステップ100に続くステップ102では、車両の動作状態が検出される。これは例えば、第2の操舵制御ユニットSbw2によって行われる。
【0091】
ステップ102の後に、第2の操舵制御ユニットSbw2によって、ステップ104が実施される。ステップ104では、車両が動作状態Z2にあるか否か、すなわち停止しているか否かが検査される。車両が動作状態Z2にある場合、すなわち、停止している場合、ステップ104に、直接的に方法ステップ106が続く。このステップでは、第2の操舵制御ユニットSbw2が自身でオフになる。
【0092】
これに対して、車両が動作状態Z2にない場合、すなわち、停止していない場合、ステップ104に、直接的に方法ステップ108が続く。この方法ステップ108では、第1の操舵制御ユニットSbw1が動作状態を検出する。
【0093】
ステップ108に続く方法ステップ110では、第1の操舵制御ユニットSbw1は、状態Z1、Z3、すなわち走行がアクティブであるか否かを検査する。車両が動作状態Z1ないしはZ3にある場合、すなわち走行している場合、ステップ110に直接的に、方法ステップ112が続く。この方法ステップ112では、第1の操舵制御ユニットSbw1が第2の操舵制御ユニットSbw2をオンする。
【0094】
これとは異なり車両が、動作状態Z1ないしはZ3にない場合、すなわち走行していない場合、ステップ110には直接的に再び、方法ステップ102が続く。
【0095】
例えば方法ステップ102と104との間にある選択的な付加的な方法ステップにおいては、図3の2つの形態において、依然として冗長性が存在しているか否かを検査することができる。すなわち、中央制御ユニットVCC1ないしは第1の操舵制御ユニットSbw1が依然として完全に機能可能か否かが検査される。中央制御ユニットVCC1ないしは第1の操舵制御ユニットSbw1が依然として完全に機能可能である場合には、この方法は、上述したように実施される。これとは異なり、中央制御ユニットVCC1または第1の操舵制御ユニットSbw1がもはや使用可能でない場合、この方法は中断される。
【0096】
図3に示されたこの方法は単なる例である。同じ機能が別の方法によって実現されてもよい。例えば、接続状態を切り替えるための方法は、動作状態の切り替え時にのみ呼び出される。従って、動作状態を、継続的に求める必要はない。動作状態の周期的な問い合わせも可能である。
【0097】
図4は、プロセステーブルを示している。このプロセステーブル内では、実施されるべきプロセスに印が付けられている。例えば、各列はプロセステーブルに相当し、ここでこれらのプロセステーブルは、以降のように、プロセッサPr1〜Pr4に割り当てられている:・列1、すなわち第1のプロセッサテーブルはプロセッサPr1に割り当てられており、
・列2、すなわち第2のプロセッサテーブルプロセッサPr2に割り当てられており、
・列3、すなわち第3のプロセッサテーブルはプロセッサPr3に割り当てられており、
・列4、すなわち第4のプロセッサテーブルプロセッサPr4に割り当てられている。
【0098】
4つのプロセステーブルにおいて、以下の行がそれぞれ次のものに関係する:・第1の行:機能F1、これはこの例では操舵に関する
・第2の行:機能F2、これはこの例では所定の速度の維持に関する(ACC−Automatic Cruising Control)
・第3の行:機能F3、これはこの例では蓄電池(俗語では、Akkuまたはバッテリーとも称される)の充電に関する
・第4の行:機能F4、これはこの例では、車両の電子的な安定性ESP(横滑り防止プログラム)に関する
・第5の行:機能F5、これはこの例では、エンジン制御、殊に電気モータの閉ループ制御に関する
・第6の行:機能F6、これはこの例では、移動無線網、ここではUMTS(Universal Mobile Telecommunication System)または択一的にLTE(Long Term Evolution)ネットワークとの接続に関する
【0099】
図4に示された、行と列の交点での×印は、該当するプロセステーブル内のエントリーを表している。このエントリーがある場合には、該当する機能に属するプロセスが、該当するプロセッサ内で実行される。これとは異なり、このエントリーがこの箇所に存在していない場合には、それに対して行が設定されている機能を提供するプロセスは実施されない。
【0100】
エントリー120は、例えば、プロセッサPr3内の機能F1に関連する。エントリー122は、例えば、プロセッサPr4内の機能F1に関する。
【0101】
図4に示されたエントリーは、例えば、エネルギーが効率的に使用されない状態に相当する。なぜなら、冗長性が所期のように低減されていないからである。
【0102】
これとは異なり、図5に基づいて説明される方法では、冗長性を所期のように低減させることができる。
【0103】
既にエネルギーが最適化された状態Z4において「走行」は以下のことに当てはまる:・機能F1「操舵」に対するエントリーが全てのプロセッサテーブル内に書き込みされている。
・機能F2「ACC(Automatic Cruising Control)」に対するエントリーが、当該機能がアクティブである場合には、全プロセッサテーブル内に記入されている。択一的に、機能「ACC」が使用されていない場合には、プロセッサPr1およびP2に対するエントリーのみが書き込みされている。
・機能F3に対するエントリーは全て除去されている。なぜなら、この車両は例えば加速しているからである。
・機能F4「ESP」に対するエントリーは、全4つのプロセステーブル内に記入されている。択一的に、クリチカルでない走行状況では、プロセッサPr1に対するエントリーと、プロセッサPr2に対するエントリーで十分である。
・エンジン開ループ制御/閉ループ制御のために、プロセッサPr1とプロセッサPr2に対する列に2つのエントリーが存在する。
・機能F6(UMTS)に対するエントリーは、第1の列内に存在している。すなわち、プロセッサPr1に対する列内に存在している。
【0104】
動作状態Z5では、車両は、例えば信号で停止している。従って、第2の中央制御ユニットVCC2によって、エントリー120と122が除去される。これは許される。なぜなら、停止時には、操舵運動は予期されていない、または、クリチカルでない操舵運動のみが予期されているからである。従って、四重の冗長性は不必要である。これとは異なり、初めの2つの列においては、機能F1「操舵」に対するエントリーが依然として存在している。
【0105】
動作状態Z5では、機能F2「ACC」に対するエントリーが、プロセッサPr3およびPr4に対する列において除去されている。これとは異なり、初めの2つの列、すなわちプロセッサPr1とPr2に対する列では、機能F2「ACC」に対するエントリーが残されている。機能F4およびF5は、それぞれ、プロセッサPr1ないしはPr2によって果たされる。機能F6は、プロセッサPr1によって果たされる。
【0106】
動作状態Z6では、車両が停止しており、例えば、コンセントを介して充電されている。2つのエントリーのみが第3の行に存在している。これはすなわち、充電に対する行である。他の全てのエントリーは消されている。従って、プロセッサPr3とPr4はオフされ、プロセッサPr1とPr2は、小さい計算能力しか必要としない。
【0107】
図5は、プロセッサのオンおよびオフのための方法を示している。
【0108】
図5に示されたステップ200〜212は、第1の形態では、中央制御ユニットVCC2内で実施される。
【0109】
この方法は方法ステップ200で始まる。これは、略してステップ200とも称される。ステップ200に続くステップ202では、車両の動作状態が検出される。これは例えば、第2の中央制御ユニットVCC2によって行われる。
【0110】
ステップ202の後、第2の中央制御ユニットVCC2によって、ステップ204が実施される。ステップ204では、車両が動作状態Z5にあるか否かが検査される。車両が動作状態Z5にある場合、すなわち、停止している場合、ステップ204の直後に方法ステップ206が続く。ここでは第2の制御ユニットVCC2が、1つのプロセッサテーブルないしは2つのプロセッサテーブル内でエントリー120および120を除去することによって、機能F1をオフにする。従って、機能F1はプロセッサPr3およびPr4によってもはや実施されない。
【0111】
これとは異なり、車両が動作状態Z5にない場合、すなわち、停止していない場合、ステップ204に直接的に方法ステップ208が続く。ここでは第2の制御ユニットVCC2が動作状態を再び検出する。
【0112】
ステップ208に続く方法ステップ210では、第2の制御ユニットVCC2は、状態Z4、すなわち走行がアクティブであるか否かを検査する。車両が動作状態Z4にある場合、すなわち走行している場合、ステップ210に直接的に、方法ステップ212が続く。この方法ステップ212では、第2の制御ユニットVCC2が機能F1をオンする。これは例えば、エントリー120および122を2つのプロセッサテーブル内に書き込むことによって行われる(図4を参照)。
【0113】
これとは異なり、車両が動作状態Z4にない場合、すなわち走行していない場合、ステップ210に直接的に再び、方法ステップ202が続く。
【0114】
第2の形態では、図5に示された方法が、第2の制動制御ユニットBbw2に対して実行される。方法ステップ200〜212は、この第2の形態では、制動制御ユニットBbw2内で実施される。
【0115】
この方法は、ここでも、方法ステップ200において始まる。これは、略してステップ200とも称される。このステップ200に続くステップ202において、車両の動作状態が検出される。これは例えば、第2の制動制御ユニットBbw2によって行われる。
【0116】
ステップ202の後に、第2の制動制御ユニットBbw2によって、ステップ204が実施される。ステップ204では、車両が動作状態Z5にあるか否かが検査される。車両が動作状態Z5にある場合、すなわち、停止している場合、ステップ204に、直接的に方法ステップ206が続く。この方法ステップでは、第2の制動制御ユニットBbw2が機能ABSをオフする。これは、第2の制動制御ユニットBbw2の1つのプロセステーブルないしは2つのプロセステーブルにおいてエントリーを除去することによって行われる。これによって、機能ABSは、第2の制動制御ユニットBbw2の2つのプロセッサによって実施されなくなる。
【0117】
これに対して、車両が動作状態Z5にない場合、すなわち、停止していない場合、ステップ204に、直接的に方法ステップ208が続く。この方法ステップ208では、第2の制動制御ユニットBbw2が動作状態を再び検出する。
【0118】
ステップ208に続く方法ステップ210では、制動制御ユニットBbw2は、状態Z4、すなわち走行がアクティブであるか否かを検査する。車両が動作状態Z4にある場合、すなわち走行している場合、ステップ210に直接的に、方法ステップ212が続く。この方法ステップ212では、第2の制動制御ユニットBbw2が機能ABSをオンする。これは例えば、以前除去されたエントリーを、第2の制動制御ユニットBbw2の2つのプロセステーブル内に記入することによって行われる。
【0119】
これとは異なりこの車両が、動作状態Z4にない場合、すなわち走行していない場合、ステップ210に直接的に再び、方法ステップ202が続く。
【0120】
例えばステップ202と204との間にある選択的な付加的なステップでは、図5に基づいて説明された方法では、依然として冗長性が存在しているか否かが検査される。すなわち、中央制御ユニットVCC1ないしは第1の制動制御ユニットBbw1が依然として完全に機能し得るか否かが検査される。中央制御ユニットVCC1ないしは第1の制動制御ユニットBbw1が依然として完全に機能し得る場合には、この方法は、上述したように実施される。これとは異なり、中央制御ユニットVCC1ないしは第1の制動制御ユニットBbw1がもはや使用可能でない場合、この方法は中断される。
【0121】
図5に示された方法は単なる例である。同じ機能が別の方法によって実現されてもよい。例えば、接続状態を切り替えるための方法は、動作状態の切り替え時にのみ呼び出される。従って、動作状態を、継続的に求める必要はない。動作状態の周期的な問い合わせも可能である。
【0122】
図6は、車両の中央データ処理ユニット300ないしはVCC1の構造を示している。ここでこのデータ処理ユニット300ないしVCC1は、イーサーネットで動作する。
【0123】
中央制御ユニット300は、上述したプロセッサPr1およびPr2、並びに、図示されていない、属する記憶ユニットの他に、・イーサーネットプロトコールに従って動作する第1のスイッチSW1と、
・イーサーネットプロトコールに従って動作する第2のスイッチSW2とを有している。
【0124】
スイッチSW1は、・プロセッサPr1、
・スイッチSW2および
・ネットワーク部分302に対する接続を有している。
【0125】
スイッチSW2は、・プロセッサPr2、
・スイッチSW1および
・ネットワーク部分304に対する接続を有している。
【0126】
例えば、イーサーネットの2つのネットワークレベルが規定されている。ネットワーク部分302に関して、スイッチSW1はレベル1上で送信し、レベル2上で受信する。ネットワーク部分304に関して、スイッチSW2はレベル2上で送信し、レベル1上で受信する。
【0127】
これによって、制御ユニット300ないしはVCC1はデータをレベル1において右から受信する(R−receive)。これは、データを自身で処理する、または、レベル1において左へ再び送信する(S−send)。レベル2では、制御ユニット300ないしはVCC1はデータを左から受信する(R−receive)。これは、データを自身で処理する、または、レベル2において右へと再び送信する(S−send)。このようなトポロジーおよびこのような設定によって、2つの伝送方向を有するリングトポロジーまたは別のネットトポロジーが形成され、これによって、冗長的なデータ伝送が可能になる。例えば、メッセージは最初に、レベル1および2両方を介して受信されなければならず、その後に、これが処理され、これによって、開ループ制御過程または閉ループ制御過程がトリガ可能である。
【0128】
高いプロトコールレベルにおいて、この実施例では、TCP/IPが使用される。しかし、別のネットワークプロトコールを、イーサーネットないしはTCP/IPの代わりに使用することもできる。
【0129】
データ処理ユニットVCC2は、図6の実施例では、データ処理ユニットVCC1と同様に形成される。すなわち、これは、プロセッサPr3およびPr4の他に、同様に、2つのスイッチSW3とSW4とを有している。このスイッチSW3は例えば、ネットワーク部分302bと接続されており、スイッチSW4はネットワーク部分304bと接続されている。2つの制御ユニットVCC1とVCC2は、以下の順番で、例えば、1つの内側リングになるように接続される:・制御ユニット300ないしはVCC1、
・ネットワーク部分302、
・第5のイーサーネットスイッチSW5、
・ネットワーク部分304b、
・制御ユニットVCC2、
・ネットワーク部分302b、
・第6のイーサーネットスイッチSW6、
・ネットワーク部分304
【0130】
このリングトポロジーにおいて、この場合には、メッセージに対して2つの伝送方向が可能である。ネットワークのレベル1における1つの方向と、ネットワークのレベル2における逆の方向である。従って、第1の冗長性が生じる。リングのセグメントが使用可能でない場合、全てのユニットが少なくとも1つの伝送方向を介して到達可能である。これは、さらなる冗長性を意味している。
【0131】
この場合には、スイッチSW5およびSW6に、少なくとも1つの別のイーサーネットリングが接続可能である。ここでは、同様に、操舵制御ユニットSbw1、Sbw2、制動制御ユニットBbw1およびBbw2並びに場合によっては別のユニットが接続されている。
【0132】
これらの実施例は縮尺通りには記載されておらず、本願を制限するものではない。当業者による操作の範囲内で変更を行うことができる。本発明を、有利な実施例によって詳細に説明したが、本発明はこの開示された例によって制限されるものではなく、本発明の保護範囲を逸脱することなく、ここから、当業者によって別の形態が導出可能である。