背景技术
[0001] 近年来,
计算机系统已越来越多地用作在功能安全应用中使机器(例如
汽车、工业机器等)更加安全的手段。功能安全应用目的在于通过降低不期望的事件的概率来最小化对人的伤害。通常,功能安全应用通过在汽车和工业应用中提供对安全关键(safety-critical)应用的实时控制来这么做。例如,当今的汽车具有多种多样的功能安全系统,范围从气囊展开系统到具有事故预测和避免能
力的高级驾驶员辅助系统(ADAS)。
附图说明
[0002] 图1是
传感器系统的一些
实施例的
框图,所述传感器系统被配置成在共用通信
接口上游将信道保护数据单独引入到独立传感器信号中。
[0003] 图2是传感器系统的一些实施例的框图,所述传感器系统具有信道保护元件,所述信道保护元件包括被配置成向独立传感器信号提供信道保护数据的多个信道保护机构。
[0004] 图3至图5是传感器系统的一些附加实施例的框图,所述传感器系统被配置成使用独立传感器信号来提供功能安全。
[0005] 图6是通过向独立传感器信号引入信道保护数据来提供功能安全的方法的一些实施例的
流程图。
具体实施方式
[0006] 现在参考附图来描述所要求保护的主题,其中同样的附图标记自始至终用于指的是同样的元素。在以下描述中,出于说明的目的,阐述了许多特定的细节以便提供对所要求保护的主题的全面理解。然而,可能明显的是,没有这些特定的细节也能够实践所要求保护的主题。
[0007] 安全关键系统通常包括被配置成测量物理量(即,刺激)的传感器。传感器可以被配置成向
电子控制单元(ECU)提供与所测量的刺激相对应的数据。基于接收到的数据,ECU能够监视系统的操作,并且在危险情形的情况下通过向
致动器提供
控制信号来采取动作。例如,如果第一汽车的自动暂停系统确定与另一汽车的距离过小,则该自动暂停系统将会生成控制信号,所述控制信号操作致动器以施行第一车辆的暂停。
[0008] 如果安全关键系统未能恰当地执行其预期的功能,则该系统有可能造成用户人身伤害。例如,安全关键系统的这样的失败能够由多种原因引起,比如随机
硬件故障(例如,
短路)、通信协议错误或传输线错误。通过最小化失败的概率能够降低与安全关键系统相关联的
风险。一种最小化安全关键系统中失败概率的方式是通过使用多个独立的传感器来检测物理量。所述独立的传感器能够独立地向ECU传输传感器信号,所述ECU能够比较传感器信号以确保传感器在恰当地工作。
[0009] 在这样的冗余系统中,使用独立的
通信接口从每个独立的传感器向ECU提供数据。然而已认识到,独立通信接口的使用具有许多缺点。例如,独立通信接口昂贵并且能够给汽车增加大量的重量,因为这样的传感器系统使用两个发射机、两个接收机以及两倍数目的传输线(例如,
导线)。另外,两个独立封装的传感器的使用利用了更多物理空间,造成了测量点之间的物理距离,该物理距离能够导致测量的差异。测量的差异对于为了检测传感器故障而在传感器信号之间实施的比较而言需要增加的容限。
[0010] 因此,本公开内容涉及具有共用通信接口的传感器系统,所述共用通信接口被配置成传输来自多个传感器的具有独立信道保护数据的传感器信号。在一些实施例中,传感器系统包括多个传感器,所述多个传感器被配置成独立生成与所感测的量相对应的传感器信号。多个信道保护元件分别被配置成接收传感器信号之一并将信道保护数据附到接收到的传感器信号上以生成信道受保护传感器(CPS)信号。共用通信接口被配置成从信道保护元件中的一个或多个接收CPS信号,并根据一个或多个通信协议将CPS信号提供到传输线上。通过在共用通信接口上游将信道保护数据引入到传感器信号,能够使用相同的通信接口传输来自多个独立传感器的信道受保护传感器信号,并且由相同通信接口引入的故障作为由传感器集成芯片外部的失真引起的故障被相同的机构
覆盖。
[0011] 图1是传感器系统100的一些实施例的框图,所述传感器系统100被配置成通过在共用通信接口106上游将信道保护数据单独引入独立的传感器信号中来提供功能安全。
[0012] 传感器系统100包括被配置成独立测量物理量的多个传感器102a-102n。在各种实施例中,所述多个传感器102a-102n可以被配置成测量包括转向
角、
温度、
磁场、对象的空间
位置等的物理量。所述多个传感器102a-102n被配置成生成代表所感测的物理量的多个独立的传感器信号S1-Sn。所述多个独立的传感器信号S1-Sn包括与分别由彼此独立操作的传感器102a-102n测量的物理刺激相对应的传感器信号。例如,第一传感器信号S1可以由第一传感器102a测量,而第二传感器信号S2可以由第二传感器102b测量。在各种实施例中,所述多个独立的传感器信号S1-Sn能够由使用不同的传感器技术(例如,霍尔传感器、GMR传感器等等)、传感器元件的不同位置或取向、不同的电学设定(例如,传感器偏置)、不同的测量范围等等的传感器102a-102n来实现。在一些实施例中,所述独立的传感器信号S1-Sn可以由使用相同测量原理进行操作的传感器102a-102n来测量。在其他实施例中,独立的传感器信号S1-Sn可以由根据多样的原理进行操作的传感器102a-102n来测量,以致传感器102a-102n对共同的原因不同地反应。
[0013] 将所述多个独立的传感器信号S1-Sn分别提供给多个信道保护元件104a-104n。所述多个信道保护元件104a-104n被配置成将信道保护数据(例如,额外的数据比特)单独地添加到所述多个独立的传感器信号S1-Sn中的个体传感器信号以生成多个信道受保护传感器(CPS)信号Scps,1-Scps,n。将理解,可以仅针对传感器信号S1-Sn中所选择的传感器信号提供信道保护数据。可替代地,所述信道保护数据能够被提供以用于独立的传感器信号S1-Sn中的每一个。信道保护数据使
指定的元件(例如,接收机114)能够检测在通信协议生成和/或多个CPS信号Scps,1-Scps,n的传输期间生成的故障。在一些实施例中,例如,信道保护数据可以包括冗余码(例如,任何类型的错误检测代码,比如循环冗余检查)。在额外的实施例中,信道保护数据可以包括针对每个独立传感器信号S1-Sn的个体传感器ID和/或定时信息。
[0014] 将所述多个CPS信号Scps,1-Scps,n从所述多个信道保护元件104a-104n提供给与所述多个信道保护元件104a-104n相连的共用通信接口106。在一些实施例中,所述多个传感器102a-102n、多个信道保护元件104a-104n和共用通信接口106被安置到相同的集成芯片118(例如,相同的
半导体衬底)上。共用通信接口106被配置成根据一个或多个通信协议(例如,PSI5或SPC)将所述多个CPS信号Scps,1-Scps,n提供到传输线112上。例如,共用通信接口
106可以使用第一通信协议(例如,PSI5)在传输线112上发送第一CPS信号Scps,1,并且还可以使用第二通信协议在传输线112上发送第二CPS信号Scps,2。非限制性地,第二通信协议可以与第一通信协议(例如,PSI5)相同;可替换地,第二通信协议可以与第一通信协议(例如,SPC)不同。本领域普通技术人员将容易理解,可以存在多于两个与传输线112相结合使用的通信协议。在另一实施例中,共用通信接口106可以在大
帧中集体传输来自不同传感器信道(并且从而来自不同传感器102a-102n)的CPS信号Scps,1-Scps,n,其中使用适合于这样的大帧传输的专用通信协议来传输所述大帧。非限制性地,通信协议可以与第一或第二协议相同或者与其不同。
[0015] 接收机114被配置成从传输线112接收所述多个CPS信号Scps,1-Scps,n的协议编码版本,并解码所述多个CPS信号Scps,1-Scps,n的协议编码版本以在接收机114处恢复所述多个CPS信号Scps,1-Scps,n。在一些实施例中,接收机114可以包括电子控制单元(ECU)116,其被配置成控制安全功能系统(例如,致动器)的一个或多个组件的操作。在各种实施例中,ECU 116可以包括引擎控制单元、气囊控制单元、动力
方向盘控制单元或被配置成控制可替换的系统的控制单元。
[0016] 接收机114被配置成使用来自所恢复的CPS信号的信道保护数据来确定在所述多个信道保护元件104a-104n的下游是否出现故障(即,在共用通信接口106和/或传输线112中是否
修改了CPS信号Scps,1-Scps,n)。如果接收机114确定在第一CPS信号中存在故障,但是在第二CPS信号中不存在故障,则来自第二CPS信号的
传感器数据可以可靠地被接收机114使用。如果接收机114确定所述多个CPS信号中都不存在故障,则接收机114还可以被配置成通过比较来自所述多个传感器102a-102n的个体传感器信号S1-Sn来确定所述多个传感器102a-102n是否在恰当地工作。
[0017] 因此,传感器系统100包括多个信道保护元件104a-104n,所述多个信道保护元件104a-104n作为位于共用通信接口106上游的相异元件位于分离的数据路径中。这允许接收机114使用相同的保护机构来检测由共用通信接口106(即,在协议处理期间)和传输线112引入传感器信号中的故障。
[0018] 图2是传感器系统200的一些实施例的框图,传感器系统200具有被配置成将信道保护数据附到独立传感器信号上的信道保护元件204。
[0019] 传感器系统200包括第一传感器102a和第二传感器102b。第一传感器102a和第二传感器102b被配置成分别向处理元件202a和202b提供与所感测的物理量相对应的传感器数据。处理元件202a和202b被配置成从传感器数据生成独立的传感器信号S1-S2。在各种实施例中,处理元件202a和202b可以通过使用不同的数据率、不同的
采样相位、不同的测量范围、不同的编码和/或不同类型的
信号处理来生成多样的和/或独立的传感器信号S1-S2。
[0020] 将独立的传感器信号S1-S2分别提供给信道保护元件204a和204b。信道保护元件204a和204b可以分别包括多个信道保护机构206-210,所述多个信道保护机构206-210被配置成向传感器信号S1-S2添加信道保护数据以生成多个CPS信号Scps,1-Scps,2。如图2所示,与第一信道保护元件204a的第一独立传感器信号S1相关联的信道保护机构206-210可以被指示为206a-210a,而与第二信道保护元件204b的第二独立传感器信号S2相关联的信道保护机构可以被指示为206b-206b。
[0021] 在一些实施例中,信道保护数据可以包括附到传感器信号S1-S2的一个或多个比特。由所述多个信道保护机构206-210添加到每个独立传感器信号S1-S2的信道保护数据允许(在单一消息上或在消息序列上)检测在诸如协议生成元件214、物理
驱动器216和/或传输线112这样的下游元件内引入的故障。在一些实施例中,能够通过省略所述多个信道保护机构206-210中的一个或多个,或通过针对信道保护元件204a和204b两者公共地使用所述多个信道保护机构206-210中的至少一个信道保护机构,来减少由传感器系统200使用的资源。
[0022] 在各种实施例中,所述多个信道保护机构206-210可以包括以下之中的一个或多个:ID附加模
块206、消息计数器模块208和/或冗余模块210。ID附加模块206x(其中x=1或2)被配置成将标识码(ID码)附到传感器信号 Sx(例如,ID附加模块206a可以将第一ID附到第一传感器信号S1,并且ID附加模块206b可以将不同的第二ID附到第二传感器信号S2)。消息计数器模块208x被配置成将定时信息和/或消息计数附到传感器信号Sx(例如,消息计数器208a可以将定时信息附到第一传感器信号S1,并且消息计数器模块208b可以将不同的定时信息附到第二信号S2)。冗余模块210x被配置成将冗余码附到传感器信号Sx。在各种实施例中,冗余码可以包括循环冗余检查(CRC)或校验和。典型地,冗余码可以允许检测1比特失败、2比特失败或3比特失败,然而依赖于冗余码的复杂度,能够检测更大比特失败。
[0023] 在一些实施例中,所述多个信道保护机构206-210可以包括消息计数器模块208x和冗余模块210x的组合,其中消息计数器模块208x被配置成修改被冗余模块210x用来生成冗余码的
种子值。通过修改由冗余模块210x使用的种子值,消息计数器模块208修改起始点(即,起始值),其中冗余模块210x从该起始点生成冗余码。例如,对于包括循环冗余检查(CRC)的冗余码,种子值是初始CRC值,其中CRC计算从该初始CRC值前进以生成被用作冗余码的CRC。在一些实施例中,所述多个信道保护机构206-210可以包括ID附加模块206x和冗余模块210x的组合,其中ID附加模块206x被配置成使用与由冗余模块210x所使用的冗余生成
算法不同的冗余生成算法来生成ID。
[0024] 将所述多个CPS信号Scps,1-Scps,2从信道保护元件204a和204b提供给与所述多个信道保护元件204a和204b相连的共用通信接口212。在一些实施例中,共用通信接口212可以包括协议生成元件214和物理驱动器216。
[0025] 协议生成元件214被配置成限定通信协议,其中将通过该通信协议在传输线112上传输所述多个CPS信号Scps,1-Scps,2。例如,协议生成元件214可以向CPS信号Scps,1-Scps,2添加与通信协议相对应的定时信息。协议生成元件214还控制物理驱动器216的操作,所述物理驱动器216将物理地生成针对所选择的协议的信号(例如,提供输出
电流或
电压信号的调制)。在一些实施例中,共用通信接口212可以使用一个或多个
数字传感器协议(例如,双线协议,比如PSI5(外围传感器接口)或DSI(数字传感器接口)、三线协议等等)来传输CPS信号Scps,1-Scps,2。
[0026] 接收机114被配置成接收并解码被协议编码的CPS信号Scps,1-Scps,2。基于解码后的CPS信号Scps,1-Scps,2的信道保护数据,接收机114可以确定是否向CPS信号Scps,1-Scps,2中引入故障。例如,如果在接收机114处接收到的解码后的CPS信号Scps,1-Scps,n的标识码与预期的标识码不匹配,或者如果在接收机114处接收到的解码后的CPS信号Scps,1-Scps,2的定时信息与从接收机时基导出的预期定时信息不匹配,或者如果在接收机114处从传感器信道之一接收到的解码后的CPS信号Scps,1-Scps,2的定时信息的序列正在变得不规则,则接收机114能够确定已向CPS信号中引入了故障。类似地,接收机114能够基于解码后的CPS信号的冗余码来确定是否出现了故障。
[0027] 图3是传感器系统300的一些额外的实施例的框图,所述传感器系统300被配置成使用独立的传感器信号来提供功能安全。
[0028] 传感器系统300包括第一传感器102a和第二传感器102b。第一传感器102a和第二传感器102b分别耦合到第一处理元件202a和第二处理元件202b,所述第一处理元件202a和第二处理元件202b被配置成提供对相应的传感器元件102a、102b处感测到的信号的某种处理以便获得第一传感器信号S1和/或第二传感器信号S2。第一信道保护元件302a被配置成从第一传感器102a接收第一传感器信号S1,并将信道保护数据附到第一传感器信号S1以生成第一CPS信号Scps,1。将第一CPS信号Scps,1提供给协议生成元件214。协议生成元件214被配置成限定通信协议,其中将通过所述通信协议来传输第一CPS信号Scps,1并控制物理驱动器216的操作,所述物理驱动器216将根据所限定的通信协议在传输线112上物理地生成所传输的信号Stran。
[0029] 将所传输的信号Stran提供给物理驱动器216的输出217。在一些实施例中,输出217连接到反馈路径304,所述反馈路径304包括接收机306,所述接收机306被配置成接收所传输的信号Stran并将接收到的所传输的信号提供给消息解码元件308。在其他实施例中,将输出217提供给与接收机(未被示出)耦合的传输线112。在这样的实施例中,接收机还借由反馈路径(未被示出)连接到消息解码元件308。消息解码元件308被配置成通过使用协议生成元件214的逆操作(例如,通过从接收到的电流或电压中提取“1”和“0”)对所传输的信号Stran的所选择的通信协议进行解码,来恢复第一CPS信号Scps,1'。
[0030] 将所恢复的第一CPS信号Scps,1'提供给消息完整性模块310,所述消息完整性模块310被配置成通过作用于所恢复的第一CPS信号Scps,1'的信道保护数据来检测所传输的信号Stran中的故障。消息完整性模块310被配置成向安全检查元件312发送控制信号Sctrl,所述控制信号Sctrl具有依赖于信道保护数据的值。例如,如果信道保护数据指示所恢复的第一CPS信号Scps,1'已被故障修改,则控制信号Sctrl将具有第一值(例如,“1”),并且如果信道保护数据指示所恢复的第一CPS信号Scps,1'尚未被故障修改,则控制信号Sctrl将具有第二值(例如,“0”)。
[0031] 如果消息完整性模块310确定所恢复的第一CPS信号Scps,1'已被故障修改,则控制信号Sctrl将会导致响应于该故障而采取动作。在一些实施例中,如果检测到故障,则协议生成元件214可以挑选不同的通信协议。在其他实施例中,如果检测到故障,则安全检查元件312可以向第二信道保护元件302b提供第二传感器信号S2。第二信道保护元件302b将会把信道保护数据附到第二传感器信号S2以生成第二CPS信号Scps,2,所述第二CPS信号Scps,2将与第一CPS信号Scps,1一起被协议生成元件214复用到传输线112上,从而从第一传感器102a和第二传感器102b向接收机(例如,ECU)提供可用的传感器数据。
[0032] 在另外的实施例中,安全检查模块312可以设置错误标志作为下一个信号/消息的一部分,以通知接收机(例如,ECU)上一个信号/消息没有被成功验证为无故障。
[0033] 如果消息完整性模块310确定所恢复的第一CPS信号Scps,1'尚未被故障修改,则控制信号Sctrl可以操作安全检查元件312来执行检查以(例如,通过所恢复的第一传感器信号S1'和传感器信号S2的比较或相关)确定是否传感器102a和102b中的至少一个没有在恰当地操作。然后可以将检查的结果作为第一CPS信号Scps,1的一部分(例如,状态信息)或作为独立的信号/消息来传输。通过操作安全检查元件312以确定是否传感器102a和102b中的至少一个没有在恰当地操作,传感器系统300能够通过传输比较结果而不是传感器102a和102b两者的传感器数据(例如,第一CPS信号和第二CPS信号)来减少向接收机传输的信息的量。
[0034] 在一些实施例中,安全检查元件312被配置成执行消息完整性检查,并基于消息完整性检查来生成状态信息 Ssb(例如,状态比特),所述状态信息 Ssb向接收机指示是否第一传感器102a和第二传感器102b中的至少一个没有在恰当地操作(例如,第二传感器信号S2是否等于第一传感器信号S1'的解码版本)。例如,安全检查元件312可以包括比较元件314,所述比较元件314被配置成将所恢复的第一信号S1'与从第二传感器102b输出或与第二传感器102b相关联的第二传感器信号S2相比较。如果所恢复的第一传感器信号S1'与第二传感器信号S2基本上相等,则比较元件314确定传感器102a和102b在恰当地操作并且具有第一值的状态比特Ssb被提供给第一信道保护元件302a。本领域普通技术人员可以容易地认识到用于识别第一信号S1和第二传感器信号S2是否基本上相等的手段,例如,
阈值和容限范围等。
[0035] 如果所恢复的第一传感器信号S1'与第二传感器信号S2不基本上相等,比较元件314可以确定传感器102a和102b中的至少一个没有在恰当地操作,并且具有第二值的状态比特Ssb被提供给第一信道保护元件302a。第一信道保护元件302a被配置成将状态比特Ssb附到第一CPS信号Scps,1或生成独立的错误消息,所述独立的错误消息允许接收机确定消息完整性检查(例如,比较)是否失败。
[0036] 在一些实施例中,比较元件314可以将基本上相同的可靠性归属于所恢复的第一传感器信号S1'和第二传感器信号S2。如果对于这样的可靠性归属,第一传感器信号S1'和第二传感器信号S2不基本上相等,则比较元件314可以推断第一传感器102a和第二传感器102b中的至少一个已不在恰当地工作,因为没有可靠的方式来区分是仅第一传感器102a还是仅第二传感器102b不再可靠地工作。
[0037] 然而在一些其他实施例中,比较元件314可以有理由将基本上不同的可靠性归属于所恢复的第一传感器信号S1'和第二传感器信号S2。这样的不同可靠性归属可以是由于第一信道保护元件302a提供比第二信道保护元件302b高的信道保护级别或反之亦然。对于这样的可靠性归属,比较元件314可以为所恢复的第一传感器信号S1'给出在第二传感器信号S2之上的优先级。作为极端情况,不同可靠性归属可以被用来以相应的(所恢复的)具有较高可靠性归属的传感器信号覆写具有较低可靠性归属的传感器(所恢复的)信号。引起某种加权平均值的对所恢复的第一传感器信号S1'和第二传感器信号S2的更柔和的加权形式也是可设想的,而没有任何限制。
[0038] 在一些实施例中,如果比较元件314确定传感器102a和102b中的至少一个没有在恰当地操作,则安全检查元件312将向第一信道保护元件302a提供具有第二值的状态比特Ssb,而向第二信道保护元件302b提供第二传感器信号S2。第二信道保护元件302b可以将信道保护数据附到第二传感器信号S2以生成第二CPS信号Scps,2,其中协议生成元件214将会把第二CPS信号Scps,2与第一CPS信号Scps,1一起复用到传输线112上,从而从第一传感器102a和第二传感器102b向接收机(例如,ECU)提供可用的传感器数据,其中所述接收机被配置成对系统的功能安全做出判定。
[0039] 图4是传感器系统400的一些附加实施例的框图,所述传感器系统400被配置成使用独立的传感器信号提供功能安全。
[0040] 传感器系统400包括截短的反馈路径402,所述截短的反馈路径402从协议生成元件214的输出215延伸到消息解码元件308,所述消息解码元件308被配置成如上所述来操作。通过使截短的反馈路径402从协议生成元件214的输出215延伸到消息解码元件308,该反馈路径能够在不使用物理接收机(例如,如结合图3论述的接收机306)的情况下将所传输的数据提供给消息解码单元308。然而,使截短的反馈路径402从协议生成元件214的输出215延伸可以从由第一信道保护元件204a和第二信道保护元件204提供的功能安全检查中排除物理驱动器216。
[0041] 图5是传感器系统500的一些额外的实施例的框图,传感器系统500被配置成使用独立的传感器信号来提供功能安全。
[0042] 传感器系统500包括第一反馈系统501a和冗余的第二反馈系统501b。第一反馈系统501a被配置成向第一消息解码元件308a提供第二CPS信号Scps,2的协议编码版本。第二反馈系统501b被配置成向第二消息解码元件308b提供第一CPS信号Scps,1的协议编码版本。在各种实施例中,第一反馈系统501a和/或第二反馈系统501b可以包括:反馈路径304a、304b,被配置成(经由接收机306)从物理驱动器216的输出向消息解码元件308提供所传输的信号;或反馈路径402a、402b,被配置成从协议生成元件214的输出向相应的消息解码元件308a、308b提供所传输的信号。
[0043] 第一消息解码元件308a和第二消息解码元件308b被配置成分别向消息完整性模块310a、310b提供所恢复的CPS信号Scps,1'、Scps,2' ,所述消息完整性模块310a、310b被配置成分别向第一安全检查元件502a和第二安全检查元件502b提供控制信号Sctrl1和Sctrl2。第一安全检查元件502a和第二安全检查元件502b被配置成如以上关于传感器系统500描述的那样来操作。冗余的第一反馈系统501a和第二反馈系统501b提供对安全检查模块502a和502b的故障覆盖。例如,如果安全检查模块502a失常(malfunctioning),则它可能提供假(false)状态比特(例如,指示传感器102a和102b中的至少一个在恰当地操作的第一状态比特Ssb1)。通过具有冗余的安全检查模块502b,这样的失灵能够被位于反馈回路304a或304b内的接收机或者耦合到传输线112的接收机检测到(例如,如果接收机还接收第二状态比特Ssb2,所述第二状态比特Ssb2指示传感器102a和/或102b中的至少一个没有在恰当地操作)。
在一些实施例中,冗余安全检查模块502a和502b可以对所恢复的信号和/或传感器信号施加权重,如以上关于第[0036]-[0037]段描述的。
[0044] 图6是通过将保护数据实现到独立传感器信号中来提供功能安全的方法600的一些实施例的流程图。
[0045] 将认识到,尽管以下作为一系列动作或事件图示并描述了方法600,然而不在限制意义上解释所图示的这样的动作或事件的排序。例如,一些动作可以与本文中图示和/或描述的那些之外的其他动作或事件以不同的次序出现和/或同时出现。此外,可以不需要所有所图示的动作来实现本文公开内容的一个或多个方面或实施例。而且,本文描绘的动作中的一个或多个可以在一个或多个分离的动作和/或阶段中实施。
[0046] 在602,独立地生成与物理量相对应的多个独立传感器信号。所述多个独立传感器信号可以对应于由多个传感器(例如,第一传感器可以被配置成生成第一传感器信号,第二传感器可以被配置成生成第二传感器信号,等等)测量的物理刺激。在各种实施例中,所述多个独立传感器信号能够由使用不同的传感器技术(例如,霍尔传感器、GMR传感器等等)、传感器元件的不同位置或取向、不同的电学设定(例如,传感器偏置)、不同的测量范围等等的传感器来生成。在一些实施例中,独立传感器信号可以由使用相同测量原理进行操作的传感器来测量。在其他实施例中,独立的传感器信号可以由根据多样的原理进行操作的传感器来测量,以致传感器对共同的原因不同地反应。
[0047] 在604,将信道保护数据单独添加到所述多个独立的传感器信号中以生成多个信道受保护传感器(CPS)信号。信道保护数据包括使指定的元件(例如,反馈路径内的消息完整性元件或下游接收机)能够检测在协议生成(动作612)和/或多个独立传感器信号的传输(614)期间引入传感器信号中的故障的数据。
[0048] 在各种实施例中,可以根据动作606-610中的一个或多个将信道保护数据添加到所述多个传感器信号。在606,可以将表示生成传感器信号的传感器的标识码(ID码)独立地添加到所述多个传感器信号。在608,可以将定时信息和/或消息计数独立地添加到所述多个传感器信号。在610,可以将冗余码(例如,CRC)独立地添加到所述多个传感器信号。
[0049] 在612,根据一个或多个通信协议将所述多个CPS信号提供给传输线。在各种实施例中,所述一个或多个通信协议可以包括PSI5或DSI3通信协议中的一个或多个。在一些实施例中,将所述多个CPS信号提供给共用通信接口。然后所述共用通信接口被操作为根据一个或多个通信协议将所述多个CPS信号提供给传输线。
[0050] 在614,借由传输线从共用通信接口向接收机传输被协议编码的CPS信号。
[0051] 在616,恢复所述多个被协议编码的CPS信号中的一个或多个。可以通过解码所述被协议编码的CPS信号中的一个或多个来恢复所述多个被协议编码的CPS信号中的一个或多个。
[0052] 在618,使用来自一个或多个所恢复的CPS信号的信道保护数据来确定在协议生成(动作612)和/或传输(动作614)期间是否生成了故障。
[0053] 在一些实施例中,可以由接收机使用来自所述多个CPS信号的信道保护数据来确定在协议生成和/或传输期间是否生成了故障。
[0054] 在其他实施例中,针对所述多个CPS信号中第一CPS信号的信道保护数据可以由反馈回路提供给安全检查元件。如果该信道保护数据指示在所述多个CPS信号的第一CPS信号中不存在故障,则可以向接收机传输少于所述多个通信协议。例如,可以从共用通信接口向接收机传输针对第一传感器信号的通信协议,而不传输第二传感器信号的通信协议。如果信道保护数据指示在所述多个CPS信号的第一CPS信号中存在故障,则可以向接收机传输额外的通信协议。
[0055] 在620,在一些实施例中,可以从尚未被故障修改的所恢复的CPS信号生成所恢复的传感器信号,并与不同的独立传感器信号相比较以确定传感器是否在恰当地操作。
[0056] 在一些实施例中,可以使用加权来确定所述多个传感器是否在恰当地操作。例如,在一些实施例中,基本相同的可靠性可以归属于所恢复的第一传感器信号和第二传感器信号。如果对于这样的可靠性归属,第一传感器信号和第二传感器信号不基本上相等,则第一传感器和第二传感器中的至少一个不再恰当地工作。在其他实施例中,基本上不同的可靠性可以归属于所恢复的第一传感器信号和第二传感器信号(例如,第一信道可以具有比第二信道高的信道保护等级)。对于这样的可靠性归属,作为极端情况,可以使用不同可靠性归属来以具有更高可靠性归属的相应的(所恢复的)传感器信号来覆写具有较低可靠性归属的传感器(所恢复的)信号。
[0057] 将认识到,本领域技术人员基于对
说明书和附图的阅读和/或理解可以想到等价替换和/或修改。本文的公开内容包括所有这样的修改和替换,并且通常不打算受其限制。
[0058] 此外,尽管仅关于若干实现之一公开了具体特征或方面,然而如可能期望的,这样的特征或方面可以与其他实现的一个或多个其他特征和/或方面组合。另外,就本文中使用的术语“包含”、“具有”、“带有”和/或其变型来说,这样的术语打算在意义上是内含性的,如同“包括”。而且,“示范性的”仅仅是指示例的意思,而不是最佳的意思。还将认识到,本文中描述的特征、层和/或元件是以相对于彼此具体特定维度和/或取向而被图示的,以用于简单并且易于理解的目的,并且实际维度。
