背景技術(shù)：

實(shí)施例涉及容錯(cuò)控制系統(tǒng)。

提供安全功能的系統(tǒng)通常利用冗余控制器通過關(guān)閉經(jīng)歷故障或失效的功能來確保安全。如果檢測到故障，那么控制器關(guān)閉或控制器失效沉默，其中控制器不產(chǎn)生信號(hào)并且輔控制器重新配置為主控制器。

某些系統(tǒng)嘗試?yán)霉收峡捎孟到y(tǒng)來實(shí)施控制系統(tǒng)，其中額外的控制器用來確保繼續(xù)安全操作可以持續(xù)一定時(shí)間，比如雙重雙工控制器或三重模塊化冗余方法。在雙重雙工方法中，如果第一控制器失效且失效沉默，那么將激活第二控制器且全部致動(dòng)器將切換至依賴于來自第二控制器的請(qǐng)求。不同于其中一個(gè)控制器中的故障會(huì)存在于副本控制器中的軟件故障，硬件故障(例如，電源故障、短路接地故障等)通常是獨(dú)立的，并且輔控制器很有可能不會(huì)有主控制器發(fā)生的相同硬件故障并且此后可以正確地運(yùn)行。在某些操作中，在系統(tǒng)需要瞬間接管主控制器責(zé)任或控制器必須運(yùn)行持續(xù)一定持續(xù)時(shí)間直至另一個(gè)控制器可重新配置為接管主控制器責(zé)任的情況下，維持該控制器的功能性是至關(guān)重要的。因此，系統(tǒng)利用多個(gè)控制器作為備份控制器。某些至關(guān)重要的功能可能需要復(fù)制三個(gè)或三個(gè)以上的控制器以使該系統(tǒng)在相同驅(qū)動(dòng)/操作/點(diǎn)火循環(huán)中容忍一個(gè)以上的失效。鑒于在相同驅(qū)動(dòng)循環(huán)中可能需要容忍一個(gè)以上的控制器失效，將雙重雙工模式朝處理一個(gè)以上故障擴(kuò)展可能不具成本效益。因此，如果必須容忍兩個(gè)控制器失效，那么使用傳統(tǒng)的雙重雙工設(shè)計(jì)將需要四個(gè)控制器?；仡櫼幌驴刂破靼▋蓚€(gè)處理器或兩個(gè)核心，其中功能在相應(yīng)的控制器上獨(dú)立且同時(shí)執(zhí)行?？商娲?，該控制系統(tǒng)可包括一個(gè)處理器和一個(gè)獨(dú)立的監(jiān)控模塊。從而，每個(gè)控制器均將具有由每個(gè)控制器內(nèi)的每個(gè)處理器或核心執(zhí)行的相同功能。因此，如果使用雙重雙工設(shè)計(jì)且必須容忍兩個(gè)控制器失效，那么必須使用三個(gè)控制器且將同時(shí)并單獨(dú)執(zhí)行六次相同功能，這造成系統(tǒng)資源的昂貴且低效消耗。

對(duì)于三重模塊化冗余方法，所有控制器執(zhí)行相同功能，但是此模式并不能充分?jǐn)U展。用于確定處理多個(gè)失效的單元的數(shù)量的公式是2n+1，其中n是失效數(shù)量。因此，為了處理兩個(gè)故障，需要五個(gè)單元。

技術(shù)實(shí)現(xiàn)要素：

實(shí)施例的優(yōu)點(diǎn)是減少控制器上的處理負(fù)荷，使得可釋放處理資源用于其它操作且可降低一個(gè)或多個(gè)控制器的總體處理負(fù)擔(dān)。通過將一個(gè)控制器指定為主控制器、一個(gè)控制器在熱備用中且另一個(gè)控制器在冷備用中，僅需要兩個(gè)控制器來同時(shí)執(zhí)行某個(gè)功能。本文所述的控制系統(tǒng)和技術(shù)將控制器維持在主狀態(tài)模式中且將控制器維持在熱備用狀態(tài)模式中使得如果主控制器故障，那么控制器總是存在于相同或類似于主控制器的狀態(tài)中并且可瞬間恢復(fù)失效的主控制器的操作。因此，處于冷備用狀態(tài)模式中的備份控制器將不會(huì)直接從冷備用狀態(tài)模式切換至主狀態(tài)。

實(shí)施例設(shè)想一種用于容錯(cuò)控制器準(zhǔn)備就緒的方法。在無故障操作條件下操作時(shí)由第一處理器執(zhí)行各功能。該第一控制器以主狀態(tài)模式操作。該主控制器通過通信網(wǎng)絡(luò)輸出控制信號(hào)以執(zhí)行控制動(dòng)作。第二控制器在正常操作條件下以熱備用狀態(tài)模式操作。第二控制器通過執(zhí)行各功能鏡像復(fù)制第一控制器以作為冗余控制器操作。至少一個(gè)備份控制器在正常操作條件下以冷備用狀態(tài)模式操作。如果第一控制器中發(fā)生故障，則在正常操作條件下操作的第二控制器從熱備用狀態(tài)模式重新配置為主備用狀態(tài)模式。響應(yīng)于第二控制器從熱備用狀態(tài)重新配置為主狀態(tài)模式，在正常操作條件下操作的所述至少一個(gè)備份控制器從冷備用狀態(tài)模式重新配置為熱備用狀態(tài)模式。

一種容錯(cuò)控制系統(tǒng)包括以主狀態(tài)模式操作的第一控制器。第一控制器執(zhí)行各功能并在無故障操作條件下操作時(shí)控制裝置特征。第二控制器以熱備用狀態(tài)模式操作。第二控制器通過用作執(zhí)行冗余功能的備份控制器來鏡像復(fù)制該第一控制器。第三控制器以冷備用狀態(tài)模式操作。第三控制器以不執(zhí)行功能的備用模式操作。如果第一控制器中發(fā)生故障，則第二控制器在正常操作條件下操作時(shí)從熱備用狀態(tài)模式重新配置為主備用狀態(tài)模式。如果第二控制器從熱備用狀態(tài)模式重新配置為主備用狀態(tài)模式或者如果第二控制器在以熱備用狀態(tài)模式操作時(shí)發(fā)生故障，則第三控制器在正常操作條件下操作時(shí)從冷備用狀態(tài)模式重新配置為熱備用狀態(tài)模式。

一種容錯(cuò)控制系統(tǒng)包括以主狀態(tài)模式操作的第一控制器。第一控制器在無故障操作條件下操作時(shí)控制裝置特征。第二控制器以熱備用狀態(tài)模式操作。第二控制器通過用作執(zhí)行冗余功能的備份控制器來鏡像復(fù)制該第一控制器。多個(gè)備份控制器以冷備用狀態(tài)模式操作。所述多個(gè)備份控制器中的每一個(gè)備份控制器具有優(yōu)先級(jí)次序。所述多個(gè)備份控制器在以冷備用模式操作時(shí)不執(zhí)行功能。如果第一控制器發(fā)生故障，則第二控制器在正常操作條件下操作時(shí)從熱備用狀態(tài)模式重新配置為主備用狀態(tài)模式。如果第二控制器從熱備用狀態(tài)模式重新配置為主備用狀態(tài)模式或者如果第二控制器在以熱備用狀態(tài)模式操作時(shí)發(fā)生故障，則所述多個(gè)備份控制器中具有最高優(yōu)先級(jí)的操作備份控制器從冷備用狀態(tài)模式重新配置為熱備用狀態(tài)模式。

附圖說明

圖1是示例性集成控制系統(tǒng)的架構(gòu)框圖。

圖2是以無故障狀態(tài)操作的控制器的初始配置。

圖3示出了失效主控制器的實(shí)例和備份控制器的重新配置。

圖4示出了失效備份控制器的實(shí)例和下一個(gè)備份控制器的重新配置。

圖5示出了另一個(gè)備份控制器失效的實(shí)例和備份控制器的重新配置。

圖6示出了示例性的三個(gè)控制器控制系統(tǒng)的全面切換流程圖。

圖7示出了用于集中式方法的主控制器和備份主控制器的示例性重新配置。

圖8示出了用于集中式方法的主控制器和備份主控制器的示例性重新配置。

具體實(shí)施方式

以下詳細(xì)描述意味著說明性以理解實(shí)施例的主題并且不旨在限制主題的實(shí)施例或這些實(shí)施例的應(yīng)用和用途。詞“示例性”的任何使用均旨在被解譯為“用作實(shí)例、范例或說明”。本文陳述的實(shí)施方案是示例性的并且并不意味著被解釋為相比其它實(shí)施方案更優(yōu)選或更有利。本文的描述并不意味著受限于前述發(fā)明背景、附圖簡述、發(fā)明內(nèi)容或具體實(shí)施方式中呈現(xiàn)的任何明確或隱含的理論。

技術(shù)及工藝在本文可以就功能和/或邏輯塊部件來描述，并且可以參考可以由各種計(jì)算部件或裝置執(zhí)行的操作、處理任務(wù)和功能的符號(hào)來描述。這些操作、任務(wù)和功能有時(shí)候被稱為是計(jì)算機(jī)執(zhí)行的、計(jì)算機(jī)化的、軟件實(shí)施的或計(jì)算機(jī)實(shí)施的。應(yīng)當(dāng)明白的是，圖中所示的各個(gè)塊部件可以由配置為執(zhí)行指定功能的任何數(shù)量的硬件、軟件和/或固件部件來實(shí)現(xiàn)。例如，系統(tǒng)或部件的實(shí)施例可以采用各種集成電路部件(例如，存儲(chǔ)器元件、數(shù)字信號(hào)處理元件、邏輯元件、查找表等，其可以在一個(gè)或多個(gè)微處理器或其它控制裝置的控制下執(zhí)行多種功能)。

當(dāng)在軟件中實(shí)施時(shí)，本文所述的系統(tǒng)的各個(gè)元件本質(zhì)上是執(zhí)行各項(xiàng)任務(wù)的代碼段或計(jì)算機(jī)可執(zhí)行指令。在某些實(shí)施例中，程序或代碼段被存儲(chǔ)在包括可存儲(chǔ)或傳送信息的任何介質(zhì)的有形處理器可讀介質(zhì)中。非暫時(shí)性且處理器可讀介質(zhì)的實(shí)例包括電子電路、微控制器、專用集成電路(asic)、半導(dǎo)體存儲(chǔ)器裝置、rom、閃速存儲(chǔ)器、可擦除rom(erom)、軟磁盤、cd-rom、光盤、硬盤等。

本文所述的系統(tǒng)和方法論可用來識(shí)別執(zhí)行控制系統(tǒng)中的軟件功能的控制器中的故障。雖然方法和方法論在下文關(guān)于車輛應(yīng)用中使用的控制器而描述，但是本領(lǐng)域一般技術(shù)人員應(yīng)明白，汽車應(yīng)用僅僅是例示性的且本文公開的概念也可以應(yīng)用于任何其它合適的通信系統(tǒng)，諸如(例如)通用工業(yè)自動(dòng)化應(yīng)用、制造和組裝應(yīng)用以及游戲。

如本文所述的術(shù)語“車輛”可被廣泛地解釋為不但包括乘用車，而且包括任何其它車輛，其包括(但不限于)軌道系統(tǒng)、飛機(jī)、越野運(yùn)動(dòng)車輛、機(jī)器人車輛、機(jī)動(dòng)車、卡車、運(yùn)動(dòng)型多用途車(suv)、露營車(rv)、軍用車、飛行器、農(nóng)用車以及建筑車輛。

圖1中示出示例性集成控制系統(tǒng)的架構(gòu)框圖。這樣的控制系統(tǒng)將通常利用兩個(gè)或兩個(gè)以上控制器使得如果主控制器發(fā)生硬件錯(cuò)誤，那么可輕易啟用至少一個(gè)備份控制器以控制該控制系統(tǒng)的特征或?qū)﹀e(cuò)誤中的特征的受限功能性提供控制。

在圖1中，該控制系統(tǒng)包括第一控制器12、第二控制器14和第三控制器15。如本文所述的示例性系統(tǒng)是基于車輛的，但是如早期所述，該架構(gòu)可應(yīng)用于非車輛系統(tǒng)。第一控制器12指定為主控制器并且包括利用第一核心16和第二核心18用于執(zhí)行主控制的雙核處理器。第二控制器14是備份控制器，其包括利用第一核心19和第二核心20如同第一處理器12來執(zhí)行冗余功能的雙核處理器。第三控制器15也是備份控制器，其包括利用第一核心21和第二核心22如同第一處理器12來執(zhí)行冗余功能的雙核處理器?？商娲?，每個(gè)相應(yīng)控制器可以利用兩個(gè)處理器而不是雙核處理器或具有獨(dú)立安全監(jiān)控器/檢查器的單個(gè)處理器。應(yīng)當(dāng)理解的是，示例性架構(gòu)是示例性的且本文所述的技術(shù)的使用不限于控制器利用雙重處理方法來實(shí)施失效沉默的系統(tǒng)。為了本文的說明性目的，第一控制器12、第二控制器14和第三控制器15是具有相同硬件和相同軟件的相似控制器。然而，該架構(gòu)中的某些裝置可以利用不同裝置(諸如不同電源)使得如果控制器由于電源而發(fā)生錯(cuò)誤，那么這不影響另一個(gè)控制器。第一控制器12指定為主有效控制器并且接收輸入信號(hào)，且基于輸入信號(hào)執(zhí)行功能并且在處于操作且無故障狀態(tài)中時(shí)通過通信網(wǎng)絡(luò)24向其它裝置輸出控制信號(hào)。第一控制器12在無故障操作條件(本文稱為正常操作條件)下操作并且將產(chǎn)生控制信號(hào)且傳輸控制信號(hào)用于控制車輛裝置的特征。

用作備份控制器的第二控制器14和第三控制器15接收數(shù)據(jù)并且執(zhí)行功能，但當(dāng)?shù)谝豢刂破?2在正常操作條件下操作時(shí)控制系統(tǒng)上的裝置并不使用輸出控制信號(hào)。

第一控制器12、第二控制器14和第三控制器15經(jīng)由通信網(wǎng)絡(luò)24進(jìn)行通信。應(yīng)當(dāng)理解的是，通信網(wǎng)絡(luò)可以包括(但不限于)通信區(qū)域網(wǎng)(can)、can-fd、flexray、與以太網(wǎng)的交換網(wǎng)絡(luò)、無線通信或使用網(wǎng)關(guān)的多個(gè)網(wǎng)絡(luò)。要求是控制器和傳感器/致動(dòng)器中的每一個(gè)可彼此通信。第一控制器12、第二控制器14和第三控制器16利用通信網(wǎng)絡(luò)24來接收和傳輸傳感器26與致動(dòng)器28之間的數(shù)據(jù)。

傳感器26感測狀態(tài)條件并且向控制器傳輸輸入信號(hào)。當(dāng)?shù)谝豢刂破?2從傳感器26接收到輸入信號(hào)時(shí)，主控制器12的每個(gè)核心16和18同時(shí)利用輸入數(shù)據(jù)執(zhí)行軟件功能。第一控制器12基于所執(zhí)行的功能向致動(dòng)器28輸出控制信號(hào)。致動(dòng)器28包括用于致動(dòng)車輛系統(tǒng)的特征的裝置。通常，特征是至關(guān)重要的或車輛用來維持車輛的至少某個(gè)安全操作所必需的特征。這樣的控制裝置可以包括(但不限于)制動(dòng)控制和轉(zhuǎn)向控制。在故障操作條件下，啟用關(guān)鍵裝置的功能性(雖然有所限制)以允許駕駛員安全地操作車輛直至車輛可駕駛至用于檢查或允許車輛達(dá)到安全或最低風(fēng)險(xiǎn)條件的位置。

第一控制器12包括比較模塊30，第二控制器14包括比較模塊32，且第三控制器15包括比較模塊34。每個(gè)相應(yīng)的比較模塊執(zhí)行相應(yīng)控制器內(nèi)的相應(yīng)核心的輸出結(jié)果之間的比較操作。該比較操作確定來自相應(yīng)控制器內(nèi)的每個(gè)核心所執(zhí)行的功能的結(jié)果是否相同或類似，因?yàn)槊總€(gè)核心利用相同的輸入數(shù)據(jù)執(zhí)行相同功能。應(yīng)當(dāng)理解的是，盡管控制器的相同/確切執(zhí)行將是最佳的，但是控制器的執(zhí)行并不需要是確切的或同時(shí)的。狀態(tài)是否確切地匹配且是否相同取決于系統(tǒng)中的同步量(例如，同步時(shí)間的全局概念以及全部控制器對(duì)“當(dāng)前”時(shí)間具有相同理解，且主備用和熱備用同時(shí)且以相同輸入執(zhí)行功能)。然而，應(yīng)當(dāng)理解的是，該系統(tǒng)無法總是在主備用狀態(tài)與熱備用狀態(tài)之間以確切相同的狀態(tài)完全同步，且此技術(shù)將應(yīng)用于包括具有類似但并非相似/確切狀態(tài)的不完全同步的系統(tǒng)。如果核心無錯(cuò)誤地操作，那么結(jié)果應(yīng)該相同。如果結(jié)果不同，那么該相應(yīng)控制器中可存在錯(cuò)誤。因此，每個(gè)比較模塊需要由相應(yīng)控制器內(nèi)的每個(gè)核心對(duì)所執(zhí)行的功能結(jié)果進(jìn)行兩次輸入比較用于確定它們的相應(yīng)控制器中是否發(fā)生錯(cuò)誤。結(jié)果在通信網(wǎng)絡(luò)24上傳輸至其它裝置諸如通信網(wǎng)絡(luò)24上的其它控制器和致動(dòng)器。這兩個(gè)控制器可包括失效沉默解碼器/判斷器模塊用于監(jiān)控其它控制器中的錯(cuò)誤條件以在出現(xiàn)故障時(shí)重新配置控制器。

在第一控制器12基于輸入數(shù)據(jù)正在執(zhí)行功能期間，第二控制器14和第三控制器15鏡像復(fù)制第一控制器12，并且基于相同的數(shù)據(jù)同時(shí)執(zhí)行相同的功能。這稱為冗余。第二控制器14和第三控制器15以與第一控制器12相同的狀態(tài)通過執(zhí)行功能來鏡像復(fù)制第一控制器12。這將在第一控制器12中發(fā)生錯(cuò)誤的情況下執(zhí)行，然后第二控制器14和第三控制器15必須準(zhǔn)備好立即接管第一控制器12的操作。為了即時(shí)接管第一控制器12的操作，第二控制器14或第三控制器15必須與主控制器12處于相同的狀態(tài)。也就是說，兩個(gè)備份控制器中的任一個(gè)必須如第一控制器12一樣同時(shí)地實(shí)現(xiàn)并執(zhí)行相同的功能，以容許第一控制器12中的控制器故障。因此，相關(guān)的是，控制器中的一個(gè)執(zhí)行冗余的關(guān)鍵軟件，以便識(shí)別何時(shí)第一控制器12中發(fā)生了錯(cuò)誤，并且在主控制器故障(即，失效沉默)時(shí)即時(shí)地接管控制操作。這要求備份控制器在相同的狀態(tài)下操作，使得在將備份控制器重新配置為主控制器時(shí)不存在時(shí)延。如果相應(yīng)的備份控制器在發(fā)生故障時(shí)未在與主控制器相同的狀態(tài)下操作，則會(huì)發(fā)生時(shí)延。這種事件下要求備份控制器確定主控制器正在哪個(gè)狀態(tài)下操作，然后開始執(zhí)行功能以趕上檢測到錯(cuò)誤時(shí)主控制器處于的位置。在關(guān)鍵操作(例如，自主駕駛操作)中是不期望這種延遲的，并且如果主控制器在備份控制器可以達(dá)到速度并接管操作之前不能維持功能，則會(huì)導(dǎo)致操作不安全。

為了一致性的目的，如下圖2至圖5將使用如圖1中所示的類似的元件編號(hào)。如圖2中所示，當(dāng)控制系統(tǒng)正在正常操作條件下操作時(shí)，第一控制器12在主狀態(tài)模式(p)中操作，第二控制器14在熱備用狀態(tài)模式(hs)下操作，并且第三控制器15在冷備用狀態(tài)模式(cs)下操作。在不主動(dòng)鏡像復(fù)制第一控制器12的意義上，同時(shí)在冷備用狀態(tài)模式(cs)中操作的第三控制器15并不是冗余的。相反地，第三控制器15可以一直處于休眠直到被需要，或者如果需要的話，可以在其他控制器正在正常操作條件下操作的同時(shí)被另一系統(tǒng)分配給其他用途。因此，節(jié)省或重新分配系統(tǒng)資源以更有效地使用第三控制器15。因此，第一控制器12從傳感器26接收輸入信號(hào)，并且主動(dòng)地執(zhí)行功能并且經(jīng)由通信網(wǎng)絡(luò)24向控制系統(tǒng)中的致動(dòng)器28和其他設(shè)備提供控制信號(hào)，同時(shí)第二控制器14在鏡像復(fù)制第一控制器12的冗余模式中操作。如果第一控制器12或第二控制器14有故障，則第三控制器15將被重新配置為另一狀態(tài)模式，如下面將討論的。

圖3示出了在原本專用作主控制器的第一控制器12中發(fā)生錯(cuò)誤時(shí)的示例性條件。如果錯(cuò)誤條件被確定為關(guān)鍵的，則第一控制器12將優(yōu)選地進(jìn)入第一控制器12不發(fā)送通信的失效沉默條件。一旦第二控制器14檢測到第一控制器12已經(jīng)發(fā)生故障并且處于失效沉默模式時(shí)，第二控制器14將重新配置為主控制器。由于第二控制器14處于熱備用狀態(tài)模式(hs)，所以第二控制器14在第一控制器12發(fā)生錯(cuò)誤時(shí)與第一控制器12正在操作的相同/相似的狀態(tài)下操作。因此，第二控制器14可以重新配置為即時(shí)接管執(zhí)行主控制器的功能。致動(dòng)器28和通信網(wǎng)絡(luò)24上的其他設(shè)備將把第二控制器14識(shí)別為主控制器，以從其接收控制信號(hào)。第一控制器12進(jìn)入失效沉默模式，并且將不再與致動(dòng)器28和其他設(shè)備通信。

再次參考圖3，響應(yīng)于第一控制器12發(fā)生故障并進(jìn)入失效沉默模式并且第二控制器14重新配置為主控制器，第三控制器15從冷備用狀態(tài)模式(cs)重新配置為熱備用狀態(tài)模式(hs)。第三控制器15然后將確定現(xiàn)在用作主控制器的第二控制器14正在操作的狀態(tài)，并且將開始鏡像復(fù)制第二控制器14以執(zhí)行功能。第三控制器15通過與第二控制器14冗余地并同時(shí)地執(zhí)行功能而成為專用控制器。因此，第三控制器15成為對(duì)于第二控制器14的主動(dòng)備份控制器15。此后，如果第二控制器14發(fā)生故障，如圖4中所示，第二控制器14將失效沉默，并且一旦檢測到第二控制器14中的故障時(shí)第三控制器將重新配置為主控制器(p)。因此，第一控制器12和第二控制器14將基本上退出控制系統(tǒng)，并且第三控制器15將即時(shí)接管先前由第二控制器14維持的操作和控制。

圖5是當(dāng)前在熱備用狀態(tài)模式(hs)中操作的第二控制器14中發(fā)生錯(cuò)誤時(shí)的示例。在圖5中，第一控制器12和第三控制器15正在正常操作條件下操作，并且在第二控制器14中檢測到錯(cuò)誤。第二控制器14進(jìn)入失效沉默模式。如果第一控制器12發(fā)生故障，同時(shí)第三控制器15當(dāng)前處于冷備用狀態(tài)模式(cs)，則在將第三控制器15從冷備用狀態(tài)模式(cs)重新配置為主狀態(tài)模式(p)時(shí)將發(fā)生延遲。也就是說，由于第三控制器15沒有鏡像復(fù)制第一控制器12，所以第三控制器15必須確定在故障發(fā)生時(shí)第一控制器12正在操作的狀態(tài)。因此，當(dāng)?shù)谝豢刂破?2中發(fā)生故障時(shí)，需要一段時(shí)間來重新配置第三控制器15以設(shè)置參數(shù)并進(jìn)入與第一控制器12相同的狀態(tài)。為了確保如果這種情況發(fā)生時(shí)重新配置第三控制器15不會(huì)產(chǎn)生時(shí)延，一旦在第二控制器14中檢測到錯(cuò)誤，則將第三控制器15重新配置為熱備用狀態(tài)模式(hs)?？赡苄枰恍r(shí)間來將第三控制器15重新配置為該相應(yīng)的狀態(tài)模式，然而這種重新配置是在第一控制器12正在正常操作條件下用作主控制器時(shí)執(zhí)行的。在第三控制器15成功重新配置為熱備用狀態(tài)模式(hs)之后，第三控制器15將通過冗余地并同時(shí)執(zhí)行與第一控制器12相同的功能來鏡像復(fù)制第一控制器12。

圖6示出了當(dāng)使用三個(gè)控制器時(shí)提供用于重新配置每個(gè)控制器的狀態(tài)的組合和序列的綜合切換流程圖。

在框40中，所有相應(yīng)的控制器正在正常操作條件下操作，其中第一控制器12處于主狀態(tài)模式(p)，第二控制器14處于熱備用狀態(tài)模式(hs)，并且第三控制器15處于冷備用狀態(tài)模式(cs)。

在框41中，第一控制器12發(fā)生故障，并且第一控制器12進(jìn)入失效沉默模式。第二控制器14檢測第一控制器12的故障，并且響應(yīng)于檢測到故障而重新配置為主狀態(tài)模式(p)。由于第二控制器14正在鏡像復(fù)制第一控制器12，所以重新配置是即時(shí)的或具有最小的時(shí)延。另外，第三控制器15從冷備用狀態(tài)模式(cs)重新配置為熱備用狀態(tài)模式(hs)，其中第三控制器15鏡像復(fù)制第二控制器14。

在框42中，在如框41中所示的重新配置之后，在第二控制器14中檢測到錯(cuò)誤，并且第二控制器14進(jìn)入失效沉默模式。第三控制器15檢測第二控制器14的故障，并且響應(yīng)于檢測到故障而從熱備用狀態(tài)模式(hs)重新配置為主狀態(tài)模式(p)。由于第三控制器15正在鏡像復(fù)制第二控制器14，所以重新配置是即時(shí)的或具有最小的時(shí)延。在三個(gè)控制器中的兩個(gè)發(fā)生故障后，沒有備份控制器可用。

在框43中，在如框41中所示的重新配置之后，在第三控制器15中檢測到錯(cuò)誤，并且第三控制器15進(jìn)入失效沉默模式。第一控制器12和第三控制器15都進(jìn)入失效沉默模式。已經(jīng)在主狀態(tài)模式(p)中操作的第二控制器14繼續(xù)用作主控制器。在三個(gè)控制器中的兩個(gè)發(fā)生故障后，沒有備份控制器可用。

再次參考框40，在第二控制器14中檢測到錯(cuò)誤，并且流程圖進(jìn)行到框44。框44表示響應(yīng)于在每個(gè)控制器在正常操作條件下操作之后第二控制器15發(fā)生故障而進(jìn)行的重新配置。第二控制器14發(fā)生故障并進(jìn)入失效沉默模式。由于其中存在正常操作條件，第一控制器12繼續(xù)作為主控制器操作。第三控制器15檢測第二控制器14的故障，并且從冷備用狀態(tài)模式(cs)重新配置為熱備用狀態(tài)模式(hs)。在重新配置之后，第三控制器15鏡像復(fù)制第一控制器12。

在框45中，在如框44中所示的重新配置之后，在第一控制器12中檢測到錯(cuò)誤，并且第一控制器12進(jìn)入失效沉默模式。第三控制器15檢測第一控制器12的故障，并且響應(yīng)于檢測到故障而從熱備用狀態(tài)模式(hs)重新配置為主狀態(tài)模式(p)。重新配置是即時(shí)的，因?yàn)榈谌刂破?5正在鏡像復(fù)制第一控制器14。在三個(gè)控制器中的兩個(gè)發(fā)生故障后，沒有備份控制器可用。

在框46中，在如框44中所示的重新配置之后，在第三控制器15中檢測到錯(cuò)誤，并且第三控制器15進(jìn)入失效沉默模式。第二控制器14和第三控制器15現(xiàn)在都處于失效沉默模式。已經(jīng)在主狀態(tài)模式(p)中操作的第一控制器12繼續(xù)用作主控制器。在三個(gè)控制器中的兩個(gè)發(fā)生故障后，沒有備份控制器可用。

再次參考框40，在第三控制器15中檢測到錯(cuò)誤，并且流程圖進(jìn)行到框47。框47表示響應(yīng)于在每個(gè)控制器在正常操作條件下操作之后第三控制器15發(fā)生故障而進(jìn)行的重新配置。第三控制器14發(fā)生故障并進(jìn)入失效沉默模式。由于其中存在正常操作條件，第一控制器12繼續(xù)作為主控制器操作。由于其中存在正常操作條件，第二控制器14繼續(xù)在熱備用狀態(tài)模式(hs)中操作。

在框48中，在如框47中所示的重新配置之后，在第一控制器12中檢測到錯(cuò)誤，并且第一控制器12進(jìn)入失效沉默模式。第二控制器14檢測第一控制器12的故障，并響應(yīng)于檢測到故障而從熱備用狀態(tài)模式(hs)重新配置為主狀態(tài)模式(p)。重新配置是即時(shí)的，因?yàn)榈诙刂破?4正在鏡像復(fù)制第一控制器12。在三個(gè)控制器中的兩個(gè)發(fā)生故障后，沒有備份控制器可用。

在框49中，在如框47中所示的重新配置之后，在第二控制器14中檢測到錯(cuò)誤，并且第二控制器14進(jìn)入失效沉默模式。第二控制器14和第三控制器15都處于失效沉默模式。已經(jīng)在主狀態(tài)模式(p)中操作的第一控制器12繼續(xù)用作主控制器。在三個(gè)控制器中的兩個(gè)發(fā)生故障后，沒有備份控制器可用。

應(yīng)當(dāng)理解，可以使用任何數(shù)量的備份控制器，并且所需方法是具有單個(gè)主控制器、在熱備用狀態(tài)模式(hs)中操作的單個(gè)備份控制器，以及在冷備用狀態(tài)模式(cs)中操作的一個(gè)或多個(gè)備份控制器，其中在冷備用狀態(tài)模式(cs)中操作的那些輔控制器處于休眠或者可以用于其他處理資源，直到有錯(cuò)誤發(fā)生并且由一個(gè)或多個(gè)控制器重新配置。在控制器有故障后完成重新配置，使得剩余的可操作控制器中的一個(gè)在主狀態(tài)模式中操作，并且剩余的可操作控制器中的另一個(gè)在熱備用模式中操作。也就是說，只有熱備用的控制器可以成為主控制器，并且只有冷備用的控制器可以重新配置為熱備用的控制器。

本文描述了實(shí)現(xiàn)重新配置的兩種替代方法。第一種方法是分散式方法，第二種方法是集中式方法。在分散式方法中，每個(gè)控制器實(shí)現(xiàn)邏輯來檢測系統(tǒng)中任何其他控制器的故障，并且如果必要的話，重新配置為主狀態(tài)或熱備用狀態(tài)。在集中式方法中，主控制器檢測系統(tǒng)中所有其他控制器的故障，并且確定哪個(gè)控制器應(yīng)當(dāng)重新配置為主狀態(tài)，哪個(gè)控制器應(yīng)當(dāng)重新配置為熱備用狀態(tài)。當(dāng)做出該確定時(shí)，主控制器通知相應(yīng)的控制器重新配置并且將它們的操作狀態(tài)分別改變?yōu)橹鳡顟B(tài)和熱備用狀態(tài)。進(jìn)一步地，在該集中式方法中，備份主控制器監(jiān)控主控制器的健康狀況，并且如果主控制器發(fā)生故障，則備份主控制器將成為主控制器并且分配系統(tǒng)中的另一控制器成為備份主控制器。主控制器將其狀態(tài)通信給備份主控制器以保持一致性。

以下描述了為實(shí)現(xiàn)選擇用于重新配置的相應(yīng)主控制器和/或備份控制器的分散式方法的邏輯。也就是說，如果使用三個(gè)或多個(gè)控制器，則每個(gè)控制器需要確定從冷備用狀態(tài)模式(cs)到熱備用狀態(tài)模式(hs)，以及從熱備用狀態(tài)模式(hs)到主狀態(tài)模式(p)的相應(yīng)順序變化時(shí)自身的順序。

用于以下描述的符號(hào)如下。給定功能a的軟件部件，a被分配給表示為controllers_a的一組控制器，控制器的數(shù)量表示為n_controllers_a，并且取決于功能a的故障容限要求(即，能夠處理n_controllers_a-1個(gè)故障)。還給定controllers_a和{1,...,n_controllers_a}之間的一對(duì)一映射，并表示為order_a。例如，order_a(controllerx)＝1意味著在正常的無故障操作期間在controllerx上執(zhí)行a。在另一個(gè)示例中，order_a(controllerx)＝3意味著a是第二個(gè)備份，并且只有在兩個(gè)控制器故障后才成為主控制器。給定控制器controllerx(即，屬于控制器組controllers_a)上的a的模式表示為mode(a,controllerx)，并且是集合{primary,hot,cold}中的值。此外，屬于controllers_a中的每個(gè)控制器controllerx具有檢測controllers_a中所有其他控制器的故障的能力。雖然本示例將控制器描述為發(fā)生故障而失效沉默，但是本文描述的技術(shù)可用于其中控制器不會(huì)失效沉默的系統(tǒng)，而且該系統(tǒng)中控制器能夠通過其他機(jī)制檢測故障來檢測控制器故障。還應(yīng)當(dāng)理解，該技術(shù)可以擴(kuò)展到多于一個(gè)功能。例如，如果添加了另一個(gè)功能(例如，功能b)，則將值分配給變量controllers_b、n_controllers_b和order_b。因此，可以通過僅為所添加的每個(gè)功能x提供controllers_x、n_controllers_xi和order_x的提供值來支持任意數(shù)量的功能。根據(jù)下面對(duì)分散式方法和集中式方法的描述，需要將由控制器維護(hù)的功能a的狀態(tài)變量復(fù)制給每個(gè)新功能x。每個(gè)功能x的這種狀態(tài)變量的值得注意的示例是mode(x,controllerx)、num_controller_failures_x、num_higherprio_controller_failures_x、operational_controllers_x，以及operationalorder_x。

最初，當(dāng)每個(gè)控制器(例如，ecu)正在正常操作條件下操作時(shí)，在每個(gè)控制器controllerx中設(shè)置以下初始參數(shù)：

如果order_a(controllerx)＝1，則mode(a,controllerx)＝primary

如果order_a(controllerx)＝2，則mode(a,controllerx)＝hot

如果order_a(controllerx)>2，則mode(a,controllerx)＝cold

計(jì)數(shù)器num_controller_failures_a初始化為0

計(jì)數(shù)器num_higherprio_controller_failures_a初始化為0。

給每個(gè)控制器分配預(yù)定的優(yōu)先級(jí)號(hào)(按照order_a的順序給出)，其被用于確定相應(yīng)的控制器是否應(yīng)當(dāng)改變它們的狀態(tài)模式。例如，優(yōu)先級(jí)號(hào)等于1的控制器分配為主控制器。優(yōu)先級(jí)號(hào)等于2的控制器為處于熱備用狀態(tài)模式的備份控制器。優(yōu)先級(jí)號(hào)大于2的所有其他號(hào)碼的控制器為以冷備用狀態(tài)模式工作的備份控制器。另外，總控制器故障的計(jì)數(shù)器設(shè)置為0。每個(gè)控制器維護(hù)跟蹤有故障的控制器的優(yōu)先級(jí)次序故障計(jì)數(shù)器，該故障控制器具有大于當(dāng)前跟蹤的控制器的優(yōu)先級(jí)。該優(yōu)先級(jí)計(jì)數(shù)器也設(shè)置為零。要記得，每個(gè)控制器維護(hù)了對(duì)控制器故障總數(shù)的自身計(jì)數(shù)和對(duì)具有比其自身更高的優(yōu)先級(jí)的控制器故障的計(jì)數(shù)。因此，所有控制器維護(hù)的對(duì)總故障的數(shù)量的計(jì)數(shù)應(yīng)該是相同的；然而，對(duì)具有大于監(jiān)控控制器的優(yōu)先級(jí)號(hào)的故障控制器的計(jì)數(shù)將不同。

下面的邏輯序列描述了一種分散式方法，其中用于確定控制器應(yīng)何時(shí)重新自我配置的每一個(gè)邏輯功能由每個(gè)控制器(用controllerx表示)本地執(zhí)行，這是由于每個(gè)控制器都能察覺控制系統(tǒng)中的所有控制器故障。一旦檢測到具有分配優(yōu)先級(jí)的一組控制器(用集合controllers_a-{controllerx}表示)中相應(yīng)控制器出現(xiàn)故障，運(yùn)用以下邏輯(故障控制器用controller_failed表示)：

(a)遞增num_controller_failures_a；

(b)如果對(duì)于故障控制器controller_failed，order_a(controller_failed)<order_a(controllerx)，則遞增num_higherprio_controller_failures；

(c)如果order_a(controllerx)-num_higherprio_controller_failures_a＝1，則將mode(a,controllerx)設(shè)為primary；

(d)如果order_a(ecux)-num_higherprio_controller_failures_a＝2，則將mode(a,controllerx)設(shè)為hot；

(e)將num_controller_failures報(bào)告給應(yīng)用層。

在步驟(a)中，一旦檢測到故障，則總計(jì)數(shù)遞增。此外，還識(shí)別出故障控制器。

在步驟(b)中，如果故障控制器具有比確定計(jì)數(shù)的監(jiān)控控制器優(yōu)先級(jí)號(hào)小的優(yōu)先級(jí)號(hào)(回想一下所有控制器將執(zhí)行這些步驟中的每一個(gè)并維持自己的計(jì)數(shù))，則監(jiān)控控制器遞增更高優(yōu)先級(jí)故障計(jì)數(shù)。也就是說，比另一優(yōu)先級(jí)號(hào)小的優(yōu)先級(jí)號(hào)表示其具有更高優(yōu)先級(jí)(即，在成為主要或熱備用方面其具有優(yōu)先性)。更高優(yōu)先級(jí)故障計(jì)數(shù)有助于識(shí)別在正常操作條件下仍起作用的、比監(jiān)控控制器具有更高優(yōu)先級(jí)(即較先的優(yōu)先順序)的控制器的數(shù)量。這允許監(jiān)控控制器確定其是否應(yīng)當(dāng)重新配置為熱備用狀態(tài)模式(hs)或主狀態(tài)模式(p)。

在步驟(c)中，如果監(jiān)控控制器的優(yōu)先級(jí)號(hào)與當(dāng)前控制器所維持的更高優(yōu)先級(jí)故障計(jì)數(shù)之間的差值等于1，則當(dāng)前控制器重新配置為主狀態(tài)模式(p)。

如果計(jì)數(shù)不等于1，則在步驟(d)中檢查差值是否等于2。如果計(jì)數(shù)等于2，則監(jiān)控控制器重新配置為熱備用狀態(tài)模式(hs)。如果差值大于2，則監(jiān)控控制器保持處于冷備用狀態(tài)模式(cs)。

在步驟(e)中，將控制器故障的通知報(bào)告給應(yīng)用層。此外，通知可為產(chǎn)生的報(bào)告的形式，或用戶(例如駕駛者)可通過警報(bào)(視覺、聽覺、觸覺)獲得故障警告，可向監(jiān)控控制系統(tǒng)中出現(xiàn)故障的第三方提供遠(yuǎn)程處理訊息，寫入寄存器值以制作可用于軟件應(yīng)用程序關(guān)于故障的信息，或通過通信網(wǎng)路將訊息傳送給其他控制器。糾錯(cuò)系統(tǒng)響應(yīng)控制器故障通知取決于應(yīng)用程序。

下文表示執(zhí)行用于確定重新配置控制器的相繼順序的邏輯的集中式方法。該集中式方法采用以下附加的標(biāo)記和假定：

(1)從(基數(shù)為n_master_controllers的)一組控制器master_controllers到{1,…,n_master_controllers}的一對(duì)一映射order_master_controllers(逆映射表示為order_master_ecus’)；

(2)每一主控制器controller_m聯(lián)合controllers_a及master_controllers能夠檢測出任何控制器的故障(controller_m本身除外)。

(3)當(dāng)前主控制器表示為current_master_controller；

(4)當(dāng)前備份主控制器表示為current_backup_master_controller。

該方法如下：變量current_master_controller與current_backup_master_controller分別識(shí)別在系統(tǒng)操作的任何時(shí)間點(diǎn)的主控制器與當(dāng)前備份主控制器。一開始當(dāng)不存在故障時(shí)，current_master_controller為由order_master_controllers’(1)指定的控制器(即順序中的第一位)。current_master_controller針對(duì)集合controllers_a中的每一控制器controllerx進(jìn)行以下初始化(當(dāng)不存在故障時(shí))：

如果order_a(controllerx)＝1，則mode(a,controllerx)＝primary

如果order_a(controllerx)＝2，則mode(a,controllerx)＝hot

如果order_a(controllerx)>2，則mode(a,controllerx)＝cold。

此外，當(dāng)系統(tǒng)中不存在故障時(shí)，對(duì)主控制器設(shè)定以下初始化參數(shù)：

計(jì)數(shù)器num_controller_failures_a初始化為0；

集合failedcontrollers_a為空集；

預(yù)置num_master_controller_failures＝0；

預(yù)置current_backup_master_controller＝order_master_controllers’(2)。

一旦檢測到集合controllers_a-{current_master_controller}中的控制器出現(xiàn)故障(由controller_failed表示)，current_master_controller執(zhí)行如下的重新配置子程序(rs)：

遞增num_controller_failures_a；

分配orderfailed＝order_a(controller_failed)；

operational_controllers_a＝controllers_a-{controller_failed}；

定義從operational_controllers_a至{1.…,n_operational_controllers_a}的一對(duì)一映射operationalorder_a，其中n_operational_controllers_a是operational_controllers_a的基數(shù)，且對(duì)于operational_controllers_a中指定的控制器controllerx，根據(jù)以下來定義：

如果order_a(controllerx)<orderfailed，則operationalorder_a(controllerx)＝order(controllerx)；

如果order_a(controllerx)>orderfailed，則operationalorder_a(controllerx)＝order(controllerx-1)；

如果mode(a,controller_failed)＝primary，則

分配mode(a,operationalorder_a’(1))＝primary；

分配mode(a,operationalorder_a’(2))＝hot；

如果mode(a,controller_failed)＝hot，則

分配mode(a,operationalorder_a’(2))＝hot；分配controllers_a＝operationalcontrollers_a，以及分配order_a＝operationalorder_a；

將num_controller_failures報(bào)告給應(yīng)用層；

向current_backup_master_controller通信以下狀態(tài)：mode、controllers_a、order_a、num_controller_failures、num_master_controller_failures。

重新配置子程序按如下運(yùn)作。遞增計(jì)數(shù)器以跟蹤在系統(tǒng)操作期間已故障的控制器號(hào)。此計(jì)數(shù)器僅考慮托管功能a的那些控制器。隨后，基于給定的靜態(tài)優(yōu)先順序，記錄故障控制器的順序。接著，通過考慮剩余可操作的控制器(即控制器故障后剩余的順序)構(gòu)造新的優(yōu)先順序。如果故障控制器以主狀態(tài)模式操作，則由當(dāng)前主控制器使用所述新構(gòu)造的順序來確定哪一個(gè)控制應(yīng)在主狀態(tài)模式下以及哪一個(gè)控制器應(yīng)在熱備用模式下。另一方面，如果故障控制器以熱備用模式操作，則主控制器僅需要檢查新構(gòu)造的順序以確定該控制器是否應(yīng)當(dāng)進(jìn)入熱備用模式。在這些確定以后，當(dāng)前主控制器將把故障控制器號(hào)報(bào)告給應(yīng)用層，接著將狀態(tài)變量通信給當(dāng)前備份主控制器。最后的通信是必需的，這使得如果當(dāng)前主控制器故障，當(dāng)前備份主控制器能正確接管主控制器的角色。在下述段落中描述了這些故障模式和處理。

以上表示正常操作條件，其定義為：主控制器操作無故障并監(jiān)控執(zhí)行功能a的其他控制器故障，以及在控制器出現(xiàn)故障的情形下切換其執(zhí)行模式時(shí)通知其他控制器。

為檢測主控制器和備份主控制器故障，附加程序確保在當(dāng)前主控制器出現(xiàn)故障的情形下，當(dāng)前備份控主控接管控制，并且確保如果相應(yīng)主控制器出現(xiàn)故障，至少總有一個(gè)備份主控制器準(zhǔn)備接管。

通過current_master_controller執(zhí)行以下邏輯以監(jiān)控備份主控制器并在備份主控制器中重新分配責(zé)任。一旦檢測到集合master_controllers-{current_master_controller}中某一控制器發(fā)生故障，采用以下邏輯：

(a1)遞增計(jì)數(shù)器num_master_controller_failures；

(a2)如果故障控制器為current_backup_master_controller，則

分配current_backup_master_controller為有序集合{order_master_controllers’(num_master_controller_failures+2),order_master_controllers’(num_master_controller_failures+3),…,order_master_controllers’(n_master_controllers)}中的第一可操作(即未發(fā)生故障)的控制器。

將以下狀態(tài)通信給current_backup_master_controller：mode、

controllers_a、order_a、num_controller_failures、num_master_controller_failures。

在步驟(a1)中，響應(yīng)于當(dāng)前主控制器檢測到備份控制器出現(xiàn)故障，在由當(dāng)前主控制器維護(hù)的計(jì)數(shù)器內(nèi)遞增主控制器故障的總數(shù)量。

在步驟(a2)中，由當(dāng)前主控制器確定關(guān)于在當(dāng)前備份主控制器(current_backup_master_controller)中是否出現(xiàn)故障。如果是，則當(dāng)前主控制器將備份主控制器的責(zé)任分配給在備份主控制器中具有第二高優(yōu)先級(jí)的下一個(gè)控制器。該控制器現(xiàn)在為current_backup_master_controller。

在步驟(a3)中，當(dāng)前主控制器通知新的當(dāng)前備份主控制器總故障的計(jì)數(shù)值(num_master_controller_failures)，因?yàn)樾碌漠?dāng)前備份主控制器同樣必須在主控制器故障的情形下維護(hù)計(jì)數(shù)器。同樣還通信所有其他狀態(tài)變量。

除當(dāng)前主控制器監(jiān)控所有備份主控制器的故障外，當(dāng)前備份主控制器還必須監(jiān)控當(dāng)前主控制器的故障。下文提供檢測當(dāng)前主控制器(current_master_controller)的故障、接著選擇新的主控制器和備份主控制器的程序。一旦檢測到current_master_controller出現(xiàn)故障，當(dāng)前備份主控制器即采用以下程序。

(b1)用controller_failed＝current_master_controller表示故障控制器，并切換角色成為新的當(dāng)前主控制器。

(b2)遞增計(jì)數(shù)器num_master_controller_failures；

(b3)分配current_backup_master_controller為有序集合中的第一可操作控制器；

order_master_controllers’(num_master_controller_failures+2)；

order_master_controllers’(num_master_controller_failures+3)；order_master_controllers’(n_master_controllers)；

(b4)執(zhí)行重新配置子程序(rs)。

在步驟(b1)中，檢測到當(dāng)前主控制器檢測出故障，當(dāng)前備份主控制器成為新的主控制器。在步驟(b2)中，響應(yīng)于檢測出故障的主控制器，遞增num_master_controller_failures的計(jì)數(shù)器。這維護(hù)了發(fā)生故障的主控制器和備份主控制器數(shù)量的計(jì)數(shù)。在步驟(b3)中，分配指定優(yōu)先順序中下一可操作(即未發(fā)生故障)的備份主控制器接管當(dāng)前備份主控制器的角色。在步驟(b4)中，執(zhí)行重新配置子程序以確保故障控制器在主、熱或冷備用模式下托管功能a的情形下進(jìn)行適當(dāng)?shù)闹匦屡渲?，以及確保新的備份主控制器接收主控制器的當(dāng)前狀態(tài)。

圖7示出了用于集中式方法的主控制器和備份主控制器的示例性重新配置。如圖7中所示，在第一時(shí)間間隔內(nèi)，第一控制器分配為主控制器，用m表示。第二控制器指定為備份主控制器，用bm表示。

在第二時(shí)間間隔，當(dāng)前備份主控制器bm出現(xiàn)故障。響應(yīng)于此故障，主控制器m將備份主控制器的角色分配給有序集合中的下一可操作控制器。第三控制器現(xiàn)在指定為新的當(dāng)前備份主控制器bm。

在第三時(shí)間間隔，充當(dāng)主控制器m的第一控制器出現(xiàn)故障。響應(yīng)于此主控制器故障，充當(dāng)當(dāng)前備份主控制器bm的第三控制器重新配置以充當(dāng)新的主控制器p。此外，備份控制器的有序集合中下一可操作控制器分配為當(dāng)前備份主控制器bm。對(duì)于可用于系統(tǒng)中的許多備份主控制器這會(huì)一直繼續(xù)。

圖8示出了用于集中式方法的主控制器和備份主控制器的另一示例性重新配置。在圖8中，在第一時(shí)間間隔，第一控制器分配為主控制器，用m表示。第二控制器指定為備份主控制器，用bm表示。

在第二時(shí)間間隔，充當(dāng)主控制器m的第一控制器出現(xiàn)故障。響應(yīng)于此主控制器故障，充當(dāng)當(dāng)前備份主控制器bm的第二控制器重新配置以充當(dāng)新的主控制器m。此外，備份主控制器的有序集合中下一可操作控制器(即此實(shí)例中的第三控制器)分配為當(dāng)前備份主控制器bm。

在第三時(shí)間間隔，充當(dāng)當(dāng)前主控制器bm的第三控制器出現(xiàn)故障。響應(yīng)于此故障，備份主控制器的有序集合中下一可操作控制器(即第四控制器)重新配置為當(dāng)前備份主控制器bm。對(duì)于可用于系統(tǒng)中的許多備份主控制器這會(huì)一直繼續(xù)。盡管已經(jīng)詳細(xì)介紹了本發(fā)明的特定實(shí)施例，本發(fā)明領(lǐng)域的技術(shù)人員應(yīng)當(dāng)知道由附加權(quán)利要求限定的、用于實(shí)現(xiàn)本發(fā)明的各種可選的設(shè)計(jì)和實(shí)施例。