專利名稱:車輛的雙處理器監(jiān)控系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
一般地說����,本發(fā)明涉及機(jī)動車輛中的控制系統(tǒng)�,更具體地說,涉及車輛系統(tǒng)的雙處理器控制���。
背景技術(shù):
各種控制模塊在車輛運(yùn)行過程中與不同的致動器交互���。分布控制/致動器系統(tǒng)一般使用通信鏈路把控制信息從模塊傳送給致動器。例如���,模塊通常根據(jù)各種車輛輸入/輸出和處理算法來確定具有關(guān)聯(lián)命令功能性的控制命令�����。模塊經(jīng)由通信鏈路把控制命令傳送給致動器��,以及致動器在接收到控制命令時執(zhí)行命令功能性�����。
一些車輛系統(tǒng)可利用冗余處理元件來檢驗(yàn)其操作�����,例如檢驗(yàn)從模塊傳送的控制命令���。在檢驗(yàn)?zāi)K傳送的命令信息時����,冗余處理元件一般訪問在通信鏈路上發(fā)送的實(shí)際命令信息���。但是���,一些控制模塊體系結(jié)構(gòu)防止冗余處理元件直接訪問用于傳送命令功能性的通信鏈路。在這些體系結(jié)構(gòu)中�,一般難以讓冗余處理元件適當(dāng)?shù)乇O(jiān)督命令功能性。
一種傳統(tǒng)的監(jiān)控技術(shù)把從主處理單元產(chǎn)生的結(jié)果與冗余處理單元進(jìn)行比較�。例如,主處理單元在操作中產(chǎn)生一個結(jié)果�,以及冗余處理元件嘗試產(chǎn)生與主處理單元的結(jié)果相同的冗余。結(jié)果之間的差異可表明伴隨處理單元之一的問題?�;蛘?���,冗余處理單元可執(zhí)行計(jì)算,它確定與主處理單元產(chǎn)生的結(jié)果進(jìn)行比較的上���、下限����。這些技術(shù)一般基于冗余處理單元進(jìn)行的與從主處理單元到目標(biāo)致動器控制單元的實(shí)際通信的比較����。
因此�����,希望提供一種車輛控制系統(tǒng)�,它根據(jù)從控制模塊到致動器單元的實(shí)際通信來檢驗(yàn)控制命令。還希望提供一種車輛控制系統(tǒng)����,其中具有用于與車輛致動器單元接口的雙處理器控制模塊,并根據(jù)車輛致動器單元從控制模塊接收的數(shù)據(jù)來監(jiān)督輸出控制命令。最后�����,通過以下結(jié)合附圖和上述技術(shù)領(lǐng)域及背景的詳細(xì)描述和所附權(quán)利要求書���,本發(fā)明的其它所需特征及特性將變得非常清楚����。
發(fā)明內(nèi)容
提供一種車輛控制系統(tǒng)�,用于控制一個或多個致動器單元。在一個示范實(shí)施例中����,響應(yīng)輸入而控制致動器單元的車輛控制模塊包括但不限于第一處理器、耦合到第一處理器的第一通信鏈路�、以及經(jīng)由第一通信鏈路耦合到第一處理器的第二處理器。第一處理器配置成根據(jù)輸入產(chǎn)生第一值��,把第一值傳送給致動器單元���,以及根據(jù)致動器單元從第一處理器所接收的數(shù)據(jù)接收來自致動器單元的第二值����。第一通信鏈路配置成把輸入和第二值傳遞給第二處理器。第二處理器配置成根據(jù)輸入來確定第三值��,以及根據(jù)第二值與第三值的比較來檢驗(yàn)第一值��。
在另一個示范實(shí)施例中����,車輛控制系統(tǒng)包括但不限于致動器單元、耦合到致動器單元的第一通信鏈路���、經(jīng)由第一通信鏈路耦合到致動器單元的第一處理器�����、耦合到第一處理器的第二通信鏈路��、以及經(jīng)由第二通信鏈路耦合到第一處理器的第二處理器。第一處理器配置成根據(jù)系統(tǒng)輸入來產(chǎn)生第一值��。第一值對應(yīng)于車輛控制系統(tǒng)的第一操作模式�。致動器單元配置成根據(jù)從第一處理器接收的、對應(yīng)于第一值的數(shù)據(jù)來產(chǎn)生第二值�����。第二值包括但不限于簽名。第二處理器配置成根據(jù)系統(tǒng)輸入來確定第三值�,以及根據(jù)第二值與第三值的比較來檢驗(yàn)第一值。
在又一個示范實(shí)施例中����,車輛控制系統(tǒng)包括但不限于致動器單元、耦合到致動器單元的第一通信鏈路���、以及經(jīng)由第一通信鏈路耦合到致動器單元的處理器��。處理器包括但不限于配置成根據(jù)系統(tǒng)輸入產(chǎn)生第一值的第一控制通路���、耦合到第一控制通路的第二通信鏈路、以及經(jīng)由第二通信鏈路耦合到第一控制通路的第二控制通路����。第一值對應(yīng)于車輛控制系統(tǒng)的第一操作模式。致動器單元配置成根據(jù)從第一控制通路接收的�����、對應(yīng)于第一值的數(shù)據(jù)來產(chǎn)生第二值��。第二值包括但不限于簽名���。第二控制通路配置成經(jīng)由第二通信鏈路與第一控制通路進(jìn)行通信���。第二控制通路配置成根據(jù)輸入來確定第三值����,以及根據(jù)第二值與第三值的比較來檢驗(yàn)第一值�。
下面將結(jié)合以下附圖來描述本發(fā)明,其中�,相同的標(biāo)號表示相同的元件,以及 圖1是車輛控制系統(tǒng)的一個示范實(shí)施例的示意圖���;以及 圖2是雙處理器控制模塊的一個示范實(shí)施例的示意圖��;以及 圖3是雙處理器控制模塊的另一個示范實(shí)施例的示意圖���。
具體實(shí)施例方式以下詳細(xì)說明實(shí)際上只是示范,而不是要限制本發(fā)明或者本發(fā)明的應(yīng)用和使用�����。此外�,目的不是要由前面的技術(shù)領(lǐng)域���、背景技術(shù)����、發(fā)明內(nèi)容或以下詳細(xì)說明中提供的明確表達(dá)或暗示的理論進(jìn)行限制。
參照附圖����,圖1是車輛10中的控制系統(tǒng)12的一個示范實(shí)施例的示意圖?�?刂葡到y(tǒng)12經(jīng)由車輛通信網(wǎng)絡(luò)18連接到車輛電氣基礎(chǔ)結(jié)構(gòu)26�����,并且包括但不限于經(jīng)由車輛通信網(wǎng)絡(luò)18連接到一個或多個致動器控制單元20�、22、24的控制模塊14�。控制模塊14經(jīng)由車輛通信網(wǎng)絡(luò)18例如從車輛電氣基礎(chǔ)結(jié)構(gòu)26的各種其它系統(tǒng)和控制模塊間接地接收各種車輛操作輸入/輸出17����,或者例如從連接到控制模塊14的車輛傳感器直接接收車輛輸入16。
本發(fā)明可按照功能框來描述����。應(yīng)當(dāng)理解����,這類功能框可按照配置成執(zhí)行各種功能的硬件��、固件和/或軟件組件的許多不同形式來實(shí)現(xiàn)�����。例如��,本發(fā)明可采用諸如存儲元件����、數(shù)字信號處理元件、查找表等的各種集成電路組件��,在一個或多個微處理器或其它控制裝置的控制下����,來執(zhí)行各種功能。這類一般技術(shù)是本領(lǐng)域的技術(shù)人員已知的��,本文不作詳細(xì)描述����。
車輛電氣基礎(chǔ)結(jié)構(gòu)26可包括車輛10上的各種系統(tǒng)和/或子系統(tǒng),其中作為實(shí)例非限制性地包括人車界面�����、電池功率管理系統(tǒng)��、發(fā)動機(jī)管理系統(tǒng)����、傳動管理系統(tǒng)、車身控制模塊以及諸如防抱死制動系統(tǒng)(ABS)和全輪驅(qū)動(AWD)系統(tǒng)等的車輛子系統(tǒng)���。車輛控制系統(tǒng)12通過作為實(shí)例非限制性地包括控制器區(qū)域網(wǎng)(CAN)在內(nèi)的車輛通信網(wǎng)絡(luò)18進(jìn)行通信��,以便對車輛電氣基礎(chǔ)結(jié)構(gòu)26的各種車輛系統(tǒng)和子系統(tǒng)傳遞信息�����。
控制模塊14響應(yīng)車輛操作輸入16����、操作程序或其組合而產(chǎn)生傳送給致動器控制單元20�、22、24的控制命令。在一個示范實(shí)施例中��,控制模塊14包括連接到車輛通信網(wǎng)絡(luò)18的輸入端和輸出端��,它們接收來自車輛電氣基礎(chǔ)結(jié)構(gòu)26或者來自各種傳感器的各種車輛數(shù)據(jù)�。根據(jù)與控制模塊14關(guān)聯(lián)的預(yù)期操作,控制模塊14把命令傳送給致動器20�、22、24�。控制模塊14另外還包括存儲器�����,它包含用于控制致動器單元20����、22、24的操作算法����。
圖2是雙處理器控制模塊30、如圖1所示的控制模塊14的一個示范實(shí)施例的示意圖�。控制模塊30包括但不限于主處理器48�,具有例如經(jīng)由圖1所示的車輛電氣基礎(chǔ)結(jié)構(gòu)26或車輛通信網(wǎng)絡(luò)18對一個或多個車輛系統(tǒng)通信鏈路34的直接訪問;以及輔助處理器36,它通過本地通信鏈路46����、如串行外圍接口(SPI)連接到主處理器48�。本地通信鏈路38在主處理器48與輔助處理器36之間傳遞信息、例如主處理器48所接收的輸入數(shù)據(jù)����。
在一個示范實(shí)施例中,主處理器48包括主控制通路32�,它根據(jù)來自不同車輛系統(tǒng)、子系統(tǒng)���、傳感器及關(guān)聯(lián)算法來計(jì)算致動器控制的各種命令值��。命令值沿車輛通信鏈路34傳送給致動器控制單元20����、22���、24�����。
接收來自主處理器48的數(shù)據(jù)的各致動器控制單元20��、22�����、24產(chǎn)生消息�����,該消息被傳送給主處理器用于檢驗(yàn)控制命令��。在一個示范實(shí)施例中�,消息包括但不限于作為致動器控制單元20、22�����、24所接收的數(shù)據(jù)(即命令值)的函數(shù)的簽名�。通過把消息傳送給主處理器48,由致動器控制單元20����、22、24傳送的數(shù)據(jù)的修改產(chǎn)生不正確簽名�。在另一個示范實(shí)施例中�����,消息另外還包括致動器控制單元20����、22�����、24所接收的數(shù)據(jù)的拷貝��,它用于主處理器48所傳送的控制命令的檢驗(yàn)����,下面會進(jìn)行更詳細(xì)的描述�。
采用主處理器48不可訪問的技術(shù)來產(chǎn)生簽名,以便使主處理器對致動器控制單元20���、22�����、24所產(chǎn)生的消息的干擾的出現(xiàn)最少�。例如,可由致動器控制單元20��、22�����、24通過采用主處理器48未知的生成器多項(xiàng)式的循環(huán)冗余碼(CRC)��、基于主處理器48未知的密鑰的消息認(rèn)證碼(MAC)���、數(shù)字簽名等來產(chǎn)生簽名�����。致動器控制單元20�����、22�、24產(chǎn)生的消息隨后由主處理器48經(jīng)由本地通信鏈路38未經(jīng)修改地轉(zhuǎn)發(fā)給輔助處理器36���。
在檢驗(yàn)的一個示范實(shí)施例中�����,主處理器48把主處理器48用于產(chǎn)生控制命令的輸入數(shù)據(jù)轉(zhuǎn)發(fā)給輔助處理器36�,如上文所述。輔助處理器36采用輸入數(shù)據(jù)來產(chǎn)生命令值�����,并且把這樣的命令值與來自致動器控制單元20����、22、24的消息中包含的簽名進(jìn)行比較�����。匹配簽名意味著輔助處理器36具有最初由致動器控制單元20�����、22���、24發(fā)送的消息的實(shí)質(zhì)上未經(jīng)修改的拷貝。
在另一個示范實(shí)施例中���,來自致動器控制單元20��、22��、24的消息另外還包括致動器控制單元20����、22、24從主處理器48接收的數(shù)據(jù)的拷貝�����。輔助處理器36把計(jì)算的命令值與作為實(shí)際上由主處理器48發(fā)送的命令數(shù)據(jù)�����、來自致動器控制單元20���、22���、24的消息中的數(shù)據(jù)進(jìn)行比較。比較中的差異表明失敗的檢驗(yàn)����。或者��,輔助處理器36可根據(jù)從主處理器48所接收的輸入數(shù)據(jù)來計(jì)算值的范圍,用于與來自致動器控制單元20���、22���、24的消息中的數(shù)據(jù)比較。當(dāng)消息中的數(shù)據(jù)超出值的范圍時�����,產(chǎn)生失敗的檢驗(yàn)�����。
在另一個示范實(shí)施例中��,控制模塊30在主處理器48中具有獨(dú)立的雙計(jì)算/存儲控制通路32���、44,用于檢驗(yàn)控制命令���。在這個示范實(shí)施例中�����,主控制通路32經(jīng)由本地通信鏈路46連接到冗余控制通路44��。另外����,主控制通路32經(jīng)由本地通信鏈路38連接到輔助處理器36,以及冗余控制通路44經(jīng)由另一個本地通信鏈路39連接到輔助處理器36���。在這個示范實(shí)施例中��,冗余控制通路44是連接到輔助處理器36的附加處理元件�。主控制通路32把例如由主處理器48從各種車輛輸入16接收的����、用于計(jì)算命令值的輸入數(shù)據(jù)傳遞給冗余控制通路44,以及冗余控制通路44由輸入數(shù)據(jù)產(chǎn)生命令值�。獨(dú)立雙計(jì)算/存儲控制通路32、44的使用一般具有更快的處理速率的優(yōu)點(diǎn)�����,并且適合用于對數(shù)據(jù)處理速率敏感的控制應(yīng)用�����。
在結(jié)合了雙計(jì)算/存儲控制通路32、44的一個示范實(shí)施例中��,致動器控制單元20�����、22����、24產(chǎn)生的消息經(jīng)由本地通信鏈路46從主控制通路32未經(jīng)修改地轉(zhuǎn)發(fā)給冗余控制通路44。冗余控制通路44以操作中實(shí)質(zhì)上與輔助處理器36相似的方式檢驗(yàn)來自致動器控制單元20����、22、24的消息中包含的數(shù)據(jù)是否匹配相應(yīng)簽名���,如前面所述�����。
為了檢驗(yàn)主處理器48傳送的命令值,冗余控制通路44根據(jù)從主處理器48所接收的輸入數(shù)據(jù)來計(jì)算命令值���,并且把所計(jì)算的命令值與消息中包含的簽名進(jìn)行比較以及可選地與來自致動器控制單元20����、22、24的消息中的拷貝數(shù)據(jù)進(jìn)行比較�,根據(jù)消息格式來確定(即帶有或沒有拷貝數(shù)據(jù)的簽名)。比較中的差異表明失敗的檢驗(yàn)����。或者���,雙計(jì)算/存儲控制通路44可根據(jù)從主控制通路32所接收的輸入數(shù)據(jù)來計(jì)算值的范圍���,用于與來自致動器控制單元20、22��、24的消息中的數(shù)據(jù)比較����。當(dāng)消息中的數(shù)據(jù)超出值的范圍時,產(chǎn)生失敗的檢驗(yàn)��。當(dāng)冗余控制通路44確定失敗的檢驗(yàn)時�����,冗余控制通路44經(jīng)由本地通信鏈路38向輔助處理器36表明相同、如錯誤信號傳送����。
當(dāng)輔助處理器36確定已經(jīng)出現(xiàn)失敗的檢驗(yàn)時,輔助處理器使車輛控制系統(tǒng)12(圖1)轉(zhuǎn)換到安全操作模式���。在安全操作模式的一個示范實(shí)施例中����,輔助處理器36在下列條件的一個或多個中禁用或重置主處理器48在預(yù)定時間量中輔助處理器36沒有從主處理器48接收到數(shù)據(jù)時����;在預(yù)定時間量中冗余控制通路44沒有從主控制通路32接收到數(shù)據(jù)時;當(dāng)來自致動器控制單元20�、22、24的消息中包含的數(shù)據(jù)與相應(yīng)簽名不匹配時��;當(dāng)來自致動器控制單元20����、22、24的消息中包含的數(shù)據(jù)超出值的范圍時�;當(dāng)簽名與輔助處理器36計(jì)算的命令值不匹配時�����;以及從冗余控制通路44接收到請求時。預(yù)定時間量可根據(jù)數(shù)據(jù)傳送的預(yù)計(jì)響應(yīng)時間來選擇��。
其它技術(shù)可用來禁用/重置主處理器48����、例如車輛子系統(tǒng)40,耦合在輔助處理器36與主處理器48之間��,它在足以讓致動器控制單元20�、22、24采取校正動作的時間量中向主處理器48傳送重置或禁用信號��。另外����,其它技術(shù)也可用于使車輛控制系統(tǒng)12(圖1)的操作模式轉(zhuǎn)換到安全操作模式,而沒有禁用或重置主處理器48���。
圖3是雙處理器控制模塊50的另一個示范實(shí)施例�?�?刂颇K50包括但不限于連接到致動器控制單元64、66����、68的主處理器52,諸如圖2所示連接到致動器控制單元20����、22、24的主處理器30���。主處理器52采用經(jīng)由本地通信鏈路58連接的獨(dú)立雙計(jì)算/存儲控制通路54����、56�,諸如圖2所示經(jīng)由本地通信鏈路46連接到冗余控制通路44的主控制通路32。冗余控制通路56連接到與主處理器52連接的重置/禁用子系統(tǒng)60����。在這個示范實(shí)施例中,主處理器52內(nèi)部檢驗(yàn)命令值��,并響應(yīng)失敗的檢驗(yàn)而通過重置/禁用子系統(tǒng)60使車輛控制系統(tǒng)12(圖1)的操作模式轉(zhuǎn)換到安全模式���。雖然安全模式被描述為重置/禁用功能�,但車輛控制系統(tǒng)12(圖1)的操作模式可采用其它各種技術(shù)轉(zhuǎn)換到安全模式。
在這個示范實(shí)施例中�����,冗余控制通路56發(fā)信號通知重置/禁用子系統(tǒng)60關(guān)于失敗檢驗(yàn)的情況�,以便使操作模式轉(zhuǎn)換到安全模式�����。當(dāng)下列條件的一個或多個出現(xiàn)時���,冗余控制通路56確定失敗的檢驗(yàn)在預(yù)定時間量中冗余控制通路56沒有從主控制通路54接收到數(shù)據(jù)時��;當(dāng)來自致動器控制單元64�����、66���、68的消息中包含的數(shù)據(jù)與相應(yīng)簽名不匹配時;當(dāng)來自致動器控制單元64�����、66、68的消息中包含的數(shù)據(jù)超出值的范圍時�;以及當(dāng)簽名與冗余控制通路56計(jì)算的命令值不匹配時。
雖然在以上詳細(xì)說明中提供了至少一個示范實(shí)施例��,但應(yīng)當(dāng)理解�����,存在大量變化���。還應(yīng)當(dāng)理解���,示范實(shí)施例只是實(shí)例,并且絕不是要限制本發(fā)明的范圍�����、適用性或配置���。相反�,以上詳細(xì)說明為本領(lǐng)域的技術(shù)人員提供用于實(shí)現(xiàn)示范實(shí)施例的便利指示���。應(yīng)當(dāng)理解�,可在元件的功能和設(shè)置方面進(jìn)行各種變更,而沒有背離所附權(quán)利要求書及其合法等效物闡述的本發(fā)明的范圍�����。
權(quán)利要求
1.一種用于響應(yīng)輸入而控制致動器單元的車輛控制模塊�����,所述車輛控制模塊包括第一處理器����,配置成根據(jù)所述輸入來產(chǎn)生第一值����;把所述第一值傳送給所述致動器單元;以及根據(jù)所述致動器單元從所述第一處理器所接收的數(shù)據(jù)從所述致動器單元接收第二值����;耦合到所述第一處理器的第一通信鏈路;以及第二處理器����,經(jīng)由所述第一通信鏈路耦合到所述第一處理器,所述第一通信鏈路配置成把所述輸入和所述第二值傳遞給所述第二處理器��,所述第二處理器配置成根據(jù)所述輸入來確定第三值;以及根據(jù)所述第二值與所述第三值的比較來檢驗(yàn)所述第一值�����。
2.如權(quán)利要求1所述的車輛控制模塊�����,其中�����,所述第二值包含基于所述致動器單元從所述第一處理器所接收的所述數(shù)據(jù)的簽名�。
3.如權(quán)利要求2所述的車輛控制模塊,其中�,所述簽名是所述致動器單元從所述第一處理器所接收的所述數(shù)據(jù)的數(shù)學(xué)函數(shù)。
4.如權(quán)利要求2所述的車輛控制模塊�����,其中�����,所述第一處理器還配置成經(jīng)由所述第一通信鏈路把所述第一值傳送給所述第二處理器;以及所述第二處理器配置成在以下至少一種情況中禁用所述第一處理器在預(yù)定時間量中所述第二處理器沒有從所述第一處理器接收到數(shù)據(jù)��;所述第二值與所述第三值不匹配���;以及所述第二處理器從所述第一處理器所接收的所述第一值與所述簽名不匹配�����。
5.如權(quán)利要求4所述的車輛控制模塊�����,其中��,所述第二值還包含所述致動器單元從所述第一處理器所接收的所述數(shù)據(jù);以及所述第二處理器還配置成在所述致動器單元從所述第一處理器所接收的所述數(shù)據(jù)與所述簽名不匹配時禁用所述第一處理器�����。
6.如權(quán)利要求1所述的車輛控制模塊���,其中�����,所述第二處理器是所述第一處理器中的獨(dú)立計(jì)算通路�。
7.如權(quán)利要求5所述的車輛控制模塊,其中�����,所述第三值包含值的范圍��;以及所述第二處理器還配置成在所述第二值處于所述值的范圍之外時重置所述第一處理器���。
8.如權(quán)利要求2所述的車輛控制模塊�����,其中���,所述致動器單元經(jīng)由第二通信鏈路耦合到所述第一處理器,并配置成在沒有由所述第一處理器復(fù)制的情況下產(chǎn)生所述簽名���。
9.如權(quán)利要求1所述的車輛控制模塊�,其中����,所述第一處理器配置成在沒有改變所述第二值的情況下把所述第二值傳遞給所述第二處理器�。
10.一種車輛控制系統(tǒng)��,包括致動器單元���;耦合到所述致動器單元的第一通信鏈路�;經(jīng)由所述第一通信鏈路耦合到所述致動器單元的第一處理器�,所述第一處理器配置成根據(jù)系統(tǒng)輸入來產(chǎn)生第一值,所述第一值對應(yīng)于所述車輛控制系統(tǒng)的第一操作模式�,所述致動器單元配置成根據(jù)從所述第一處理器所接收的、對應(yīng)于所述第一值的數(shù)據(jù)來產(chǎn)生第二值����,所述第二值包含簽名;耦合到所述第一處理器的第二通信鏈路�����;以及經(jīng)由所述第二通信鏈路耦合到所述第一處理器的第二處理器��,所述第二處理器配置成根據(jù)所述系統(tǒng)輸入來確定第三值����;以及根據(jù)所述第二值與所述第三值的比較來檢驗(yàn)所述第一值�����。
11.如權(quán)利要求10所述的車輛控制系統(tǒng),其中����,所述簽名是所述致動器單元所接收的、對應(yīng)于所述第一值的所述數(shù)據(jù)的數(shù)學(xué)函數(shù)��。
12.如權(quán)利要求10所述的車輛控制系統(tǒng)�,其中,所述第一處理器還配置成經(jīng)由所述第二通信鏈路把所述第一值傳送給所述第二處理器��;以及所述第二處理器配置成在以下至少一種情況中使所述車輛控制系統(tǒng)轉(zhuǎn)換到第二操作模式在第一時間量中所述第二處理器沒有從所述第一處理器接收到數(shù)據(jù)�����;所述第二值和所述第三值不匹配���;以及所述簽名與所述第一值不對應(yīng)�����。
13.如權(quán)利要求12所述的車輛控制系統(tǒng)���,其中����,所述第二值還包含所述致動器單元所接收的���、對應(yīng)于所述第一值的所述數(shù)據(jù)����;以及所述第二處理器還配置成在所述簽名與所述數(shù)據(jù)不對應(yīng)時使所述車輛控制系統(tǒng)轉(zhuǎn)換到所述第二操作模式���。
14.如權(quán)利要求10所述的車輛控制系統(tǒng)���,其中,所述第一處理器還包括經(jīng)由所述第一通信鏈路耦合到所述致動器單元以及經(jīng)由所述第二通信鏈路耦合到所述第二處理器的第一控制通路����,所述第一控制通路配置成根據(jù)所述系統(tǒng)輸入來產(chǎn)生所述第一值;耦合到所述第一控制通路的第三通信鏈路��;經(jīng)由所述第三通信鏈路與所述第一控制通路耦合的第二控制通路����,所述第二控制通路配置成根據(jù)所述系統(tǒng)輸入來產(chǎn)生第四值��;以及根據(jù)所述第四值與所述第二值的比較來檢驗(yàn)所述第一值;以及把所述第二控制通路與所述第二處理器耦合的第四通信鏈路����。
15.如權(quán)利要求14所述的車輛控制系統(tǒng),其中����,所述第二處理器還配置成在以下至少一種情況時使所述車輛控制系統(tǒng)轉(zhuǎn)換到所述第二操作模式在預(yù)定時間量中所述第二控制通路沒有從所述第一控制通路接收到數(shù)據(jù);所述簽名與所述第四值不對應(yīng)����;以及所述第一值與所述第四值不匹配。
16.如權(quán)利要求12所述的車輛控制系統(tǒng)�����,其中����,所述第二操作模式包括下列之一所述第二處理器使所述第一處理器被禁用足以由所述致動器單元進(jìn)行校正動作的第二時間量;以及在足以由所述致動器單元進(jìn)行校正動作的第三時間量中����,所述第二處理器重置所述第一處理器。
17.如權(quán)利要求10所述的車輛控制系統(tǒng)�,其中�,所述第三值包含值的范圍���;所述第一處理器還配置成經(jīng)由所述第二通信鏈路把所述第一值傳送給所述第二處理器����;以及第二處理器還配置成在所述第二值超出所述第三值時使所述車輛控制系統(tǒng)轉(zhuǎn)換到第二操作模式�。
18.如權(quán)利要求14所述的車輛控制系統(tǒng),其中�,所述第四值包含值的范圍;以及所述第二處理器還配置成在所述第一值超出所述第四值時使所述車輛控制系統(tǒng)轉(zhuǎn)換到所述第二操作模式��。
19.如權(quán)利要求10所述的車輛控制系統(tǒng)���,其中����,所述致動器單元配置成在沒有由所述第一處理器復(fù)制的情況下產(chǎn)生所述簽名���。
20.一種車輛控制系統(tǒng)���,包括致動器單元;耦合到所述致動器單元的第一通信鏈路;以及經(jīng)由所述第一通信鏈路耦合到所述致動器單元的處理器�,所述處理器包括配置成根據(jù)系統(tǒng)輸入來產(chǎn)生第一值的第一控制通路,所述第一值對應(yīng)于所述車輛控制系統(tǒng)的第一操作模式����,所述致動器單元配置成根據(jù)從所述第一控制通路所接收的��、對應(yīng)于所述第一值的數(shù)據(jù)來產(chǎn)生第二值����,所述第二值包含簽名;耦合到所述第一控制通路的第二通信鏈路����;以及第二控制通路,經(jīng)由所述第二通信鏈路耦合到所述第一處理控制通路��,所述第二控制通路配置成經(jīng)由所述第二通信鏈路與所述第一控制通路進(jìn)行通信�,所述第二控制通路配置成根據(jù)所述輸入來確定第三值;以及根據(jù)所述第二值與所述第三值的比較來檢驗(yàn)所述第一值���。
21.如權(quán)利要求20所述的車輛控制系統(tǒng)�,其中���,所述簽名是從所述第一控制通路所接收的���、對應(yīng)于所述第一值的所述數(shù)據(jù)的數(shù)學(xué)函數(shù)���。
22.如權(quán)利要求20所述的車輛控制系統(tǒng),其中����,所述第二控制通路配置成在以下至少一種情況時使所述車輛控制系統(tǒng)轉(zhuǎn)換到第二操作模式在第一時間量中所述第二控制通路沒有從所述第一控制通路接收到數(shù)據(jù);所述第二值和所述第三值不匹配����;以及所述簽名與所述第一值不對應(yīng)。
23.如權(quán)利要求22所述的車輛控制系統(tǒng)����,其中,所述第二值還包含從所述第一控制通路所接收的��、對應(yīng)于所述第一值的所述數(shù)據(jù)��;以及所述第二控制通路還配置成在所述簽名與所述數(shù)據(jù)不對應(yīng)時使所述車輛控制系統(tǒng)轉(zhuǎn)換到所述第二操作模式����。
24.如權(quán)利要求22所述的車輛控制系統(tǒng),其中,所述第二操作模式包括下列之一所述第二控制通路使所述處理器禁用足以由所述致動器單元進(jìn)行校正動作的第二時間量�����;以及在足以由所述致動器單元進(jìn)行校正動作的第三時間量中�����,所述第二控制通路重置所述處理器�����。
25.如權(quán)利要求20所述的車輛控制系統(tǒng)�����,其中�,所述第三值包含值的范圍����;所述第一控制通路還配置成經(jīng)由所述第二通信鏈路把所述第一值傳送給所述第二控制通路;以及所述第二控制通路還配置成在所述第二值超出所述第三值時使所述車輛控制系統(tǒng)轉(zhuǎn)換到第二操作模式�。
26.如權(quán)利要求20所述的車輛控制系統(tǒng),其中�,所述致動器單元配置成在沒有由所述第一控制通路復(fù)制的情況下產(chǎn)生所述簽名。
全文摘要
響應(yīng)輸入而控制致動器單元的車輛控制模塊具有第一處理器、耦合到第一處理器的第一通信鏈路以及經(jīng)由第一通信鏈路耦合到第一處理器的第二處理器����。第一處理器配置成根據(jù)輸入產(chǎn)生第一值,把第一值傳送給致動器單元�,以及根據(jù)致動器從第一處理器所接收的數(shù)據(jù)接收來自致動器單元的第二值。第一通信鏈路配置成把輸入和第二值傳遞給第二處理器�����。第二處理器配置成根據(jù)輸入來確定第三值�,以及根據(jù)第二值與第三值的比較來檢驗(yàn)第一值。
文檔編號G06F11/00GK1790201SQ20051013705
公開日2006年6月21日 申請日期2005年12月15日 優(yōu)先權(quán)日2004年12月15日
發(fā)明者T·M·福雷斯特, K·K·卡特拉克 申請人:通用汽車公司