CN105868060A - 用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元 - Google Patents

用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元 Download PDF

Info

Publication number
CN105868060A
CN105868060A CN201610078103.9A CN201610078103A CN105868060A CN 105868060 A CN105868060 A CN 105868060A CN 201610078103 A CN201610078103 A CN 201610078103A CN 105868060 A CN105868060 A CN 105868060A
Authority
CN
China
Prior art keywords
computer
data
communication
processing unit
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610078103.9A
Other languages
English (en)
Other versions
CN105868060B (zh
Inventor
T·施瓦茨
M·弗里施科
P·坎特
T·耶格尔
A-J·罗哈切克
U·博伊特纳格尔-布赫纳
B·米勒
M·尼克纳哈德
C·拉萨尔钦克
T·库恩
M·S·V·切比亚托夫斯基
T·基希纳
W·克尼
K-P·马特恩
S·阿马亚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN105868060A publication Critical patent/CN105868060A/zh
Application granted granted Critical
Publication of CN105868060B publication Critical patent/CN105868060B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/221Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test buses, lines or interfaces, e.g. stuck-at or open line faults
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/27Built-in tests
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/24Resetting means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2236Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2273Test methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2284Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing by power-on test, e.g. power-on self test [POST]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4403Processor initialisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4411Configuring for operating with peripheral devices; Loading of device drivers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • B60W2050/0044In digital systems
    • B60W2050/0045In digital systems using databus protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]
    • B60W2050/043Testing equipment at KEY-ON
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Computer Security & Cryptography (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Debugging And Monitoring (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)

Abstract

本发明涉及一种用于运行驾驶员辅助系统的数据处理单元(100)的方法(400)。所述数据处理单元(100)具有主计算机(102)和辅计算机(104)。所述主计算机(102)构造用于在使用处理规则(110)的情况下由周围环境检测装置(106)的周围环境信息(108)求取周围环境数据(112)。所述辅计算机(104)构造用于在使用通信规则(116)的情况下运行所述数据处理单元(100)的通信接口(114)。所述方法(400)具有初始化的步骤(402)、测试的第一步骤(404)、执行的步骤(406)、所述测试的第二步骤(408)和转发的步骤(410)。

Description

用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元
技术领域
本发明涉及一种用于运行驾驶员辅助系统的数据处理单元的方法、一种数据处理单元以及一种相应的计算机程序。
背景技术
在车辆的与安全重要相关的系统中需要功能检查,以便确保符合规定的运行。
发明内容
在此背景下,借助在此所提出的方案提出根据主权利要求的用于运行驾驶员辅助系统的数据处理单元的方法、数据处理单元以及相应的计算机程序。有利的构型由相应的从属权利要求和随后的描述得出。
复杂的数据处理单元的功能检查可能需要一些时间。在此,功能检查可能比为了激活在其上连接有数据处理单元的数据总线所需要的时间更长时间地持续。由此引起,在数据总线上已经传送数据,然而数据处理单元还不能提供关于数据总线的状态消息,因为功能检查还没有完全结束。
在在此所提出的方案中,在数据处理单元的有效率的主计算机与数据总线之间布置较低效率的辅计算机(Nebenrechner)用于通过数据总线的通信。辅计算机相比主计算机更不复杂,因此辅计算机可以比主计算机更快速地启动。由此可以将数据处理单元快速地连接到数据总线中。然而,不仅可以在辅计算机上而且主计算机上执行计算机程序。
通过更短的启动时间,辅计算机已经可以通过数据总线进行通信,而主计算机仍加速运行(hochfahren)。因此,数据总线可以符合规定地建立其连接,而主计算机与此并行地仍经历其初始化序列。
当主计算机加速运行时,辅计算机可以检查主计算机以监视并且通过数据总线提供主计算机的数据。
提出一种用于运行驾驶员辅助系统的数据处理单元的方法,其中所述数据处理单元具有主计算机和辅计算机,其中主计算机构造用于在使用处理规则的情况下由周围环境检测装置的周围环境信息求取周围环境数据,而辅计算机构造用于在使用通信规则的情况下运行数据处理单元的通信接口,其中所述方法具有以下步骤:
响应于初始化信号,通过在主计算机上执行初始化规则来初始化主计算机;
响应于初始化信号,通过在辅计算机上执行自测试规则来测试辅计算机;
如果辅计算机经测试并且在初始化主计算机期间,则在辅计算机上执行通信规则,以便通过通信接口发送和/或接收数据;
如果主计算机经初始化,则通过在辅计算机上执行测试规则来测试主计算机;
如果主计算机经测试,则通过在辅计算机上执行通信规则来通过通信接口转发周围环境数据。
此外,提出一种驾驶员辅助系统的数据处理单元,其中所述数据处理单元具有以下特征:
主计算机,其构造用于在使用处理规则的情况下由周围环境检测装置的周围环境信息求取周围环境数据;和
辅计算机,其构造用于在使用通信规则的情况下运行所述数据处理单元的通信接口。
数据处理单元可以理解为用于车辆的驾驶员辅助系统的部分部件。驾驶员辅助系统可以具有至少一个用于检测来自车辆的周围环境的周围环境信息的传感器、用于分析处理周围环境信息的数据处理单元和至少一个用于响应于分析处理的结果实施动作的执行单元。驾驶员辅助系统的部分部件相互联网或者相互连接。由此,可以在所述部分部件之间进行信息交换。计算机可以称作计算核心、处理器或微控制器。在计算机上可以运行软件。主计算机可以具有比辅计算机更多的计算能力。辅计算机可以比主计算机更不复杂地或者在结构上(即在电路技术上或数值上)更简单地实施。数据处理单元通过数据总线与执行单元连接。数据总线将多个参与者相互连接并且具有通信协议。
初始化可以理解为加速运行或者启动。在此,经历以下初始化序列:检查主计算机的各个部件并且使它们彼此同步。初始化序列持续一定的持续时间。初始化序列通过基于软件的初始化规则来描绘。
辅计算机的测试可以比主计算机的初始化更快地结束。随后,辅计算机已经可以接管对数据处理单元的通信的控制。
所述方法可以具有等待的步骤,在所述等待的步骤中辅计算机跟随所述执行的步骤等待,直至主计算机经初始化。辅计算机可以等待预确定的持续时间。如果主计算机在持续时间到期之后未经初始化,则可以识别到故障。
在所述等待的步骤中,辅计算机可以中断数据通过所述通信接口的发送和/或接收。通过所述等待可以减少数据总线上的数据量。
在所述执行的步骤中和/或在所述转发的步骤中,可以由辅计算机使用受保护的通信协议。在此,可以发送预制的数据包。例如,受保护的通信协议可以代表:不处理向数据处理单元的请求。在此,受保护的通信协议可以理解为以下通信协议:在所述通信协议中通过故障识别方法或者故障纠正方法来保护数据传输免受故障功能。
测试主计算机的步骤可以周期性地重复。在此,可以与所述步骤并行地通过辅计算机实施转发的步骤。通过周期性的测试可以似乎持续地检查主计算机的功能能力。
在测试主计算机的步骤中,如果识别到故障则可以提供初始化信号。通过启动序列的重复,可以简单且快速地重新检查主计算机。
计算机程序产品或计算机程序也是有利的,其具有程序代码,其存储在机器可读的载体或存储介质——例如半导体存储器、硬盘存储器或光学存储器上并且用于尤其当在计算机或设备上执行所述程序产品或程序时实施、实现和/或控制根据以上所述的实施方式中任一种所述的方法的步骤。
电子系统应用在多个与安全重要相关的应用中。在此,在车辆中通常可以使用计算机或微控制器(μc)和应用特定的集成电路或者专用集成电路(ASIC),以便适合地示出不仅功能性而且安全性。在此,ASIC接管监视任务,即监视微控制器,其也经常可以触发关断路径。
为了保护微控制器,也可以使用第二微控制器。所述第二微控制器复算所实现的方法的部分或全部。通过适合的比较装置来确保,仅仅当两个微控制器在所监视的参量方面相同时才提供输出。在航空电子学中也仍使用更高的冗余。
当在处理非常广泛的周围环境数据的驾驶员辅助系统的领域中的应用中,这些原理的直接应用是困难的,因为所参与的微控制器是非常强大的并且是相应地成本密集的。因此,在成本范畴内,复制不是始终可行。包括所述微控制器的所有所需的监视测试的启动过程或者初始化过程非常长时间地持续,因此可能需要的是,在完全测试了微控制器之前已经示出部分功能。所述过程在短暂的故障和干扰时也过长时间地持续。
附图说明
下面根据附图示例性地详细阐述在此所提出的方案。附图示出:
图1:根据本发明的一个实施例的驾驶员辅助系统的部件的框图;
图2:根据本发明的一个实施例的主控制器的框图;
图3:根据本发明的一个实施例的具有两个计算核心的主控制器的框图;
图4:根据本发明的一个实施例的用于运行驾驶员辅助系统的部件的方法的流程图;以及
图5:根据本发明的一个实施例的驾驶员辅助系统的部件的重新启动的流程图。
在本发明的有利实施例的后续描述中,对于在不同附图中示出并且起类似作用的部件使用相同的或类似的附图标记,其中不重复描述这些部件。
具体实施方式
图1示出根据本发明的一个实施例的驾驶员辅助系统的数据处理单元100的框图。数据处理单元100具有主计算机102和辅计算机104。两个计算机102、104构造用于执行以机器语言撰写的程序。在此,可以执行不同的程序并且将计算机102、104用于不同的任务。在一个实施例中,主计算机102具有比辅计算机104显著更大的计算能力。
主计算机102通过接口与周围环境检测系统106连接并且可以通过接口从周围环境检测系统106接收周围环境信息108。主计算机102构造用于在使用存储在程序中的处理规则110的情况下从周围环境信息108获得周围环境数据112。辅计算机104通过内部接口与主计算机102连接。辅计算机104布置在主计算机102和数据处理单元100的、至数据总线的通信接口114之间。辅计算机104构造用于在使用在程序中所描绘的通信规则116的情况下运行通信接口114。为此,在正常运行中使周围环境信息112与数据总线上的其他信息同步并且通过通信接口114提供所述周围环境信息。
数据总线可以是CAN总线。数据总线的通信协议描绘在通信规则116中。
提出一种用于驾驶员辅助系统的安全微控制器104。
在此,提出系统架构或者控制设备架构100,其能够实现适当的监视,从而在系统组合中可见的重要相关的启动时间是小的并且实现了抗短暂干扰的故障容差。
为了示出驾驶员辅助系统(FAS)(其中对于所考虑的控制设备功能示出通过通信系统的“执行机构”)提出,除驾驶员辅助系统(FASμC)102的、分析处理周围环境传感机构(UFS)的主计算机以外利用附加的自身安全的微控制器(SμC)104。安全微控制器104用于尤其在所考虑的功能方面向外示出控制设备100的通信接口114。在此,CAN接口114通过安全微控制器104操作。然而,另一通信协议也同样是可能的。此外,安全微控制器104具有以下能力:在驾驶员辅助系统的安全状态中如此操作通信接口114,使得向外示出在通信方面有功能能力的控制设备100。为此,安全微控制器104能够借助驾驶员辅助系统微控制器102实现不仅功能通信而且监视通信,在所述功能通信中将来自驾驶员辅助系统微控制器102的消息内容发送到安全微控制器104,在所述监视通信中安全微控制器104实现驾驶员辅助系统微控制器102的监视。
在此,作为重要的优点得出,系统100的向外可见的启动时间(即在通信侧上)是短的并且与驾驶员辅助系统微控制器102的启动时间、初始化时间或者测试时间无关,因为总线通信完全通过安全微控制器104操作。此外,主系统的在驾驶员辅助系统微控制器102上示出的复位与故障处理机制可以在维持控制设备100的安全通信的情况下被封装。通过安全微控制器104可以实现系统100的独立的关断路径。安全微控制器104可以实现用于驾驶员辅助系统微控制器102的监视功能性,例如通过安全且独立的比较装置或者通过问答通信。
在图1中描述系统100的一种可能的示图。周围环境传感机构UFS 106提供周围环境数据108,例如通过立体/单目视频、激光雷达、雷达或超声传感机构106。由所述传感机构106测量的数据108可能还通过没有示出的适合的中间级和预处理级、例如成像器发送到驾驶员辅助系统微控制器102,在所述驾驶员辅助系统微控制器中然后运行用于分析处理和解释周围环境传感机构数据108的不同算法。所述算法例如可以是用于图像处理、用于对象模型化或者用于状况评估的算法110。
换言之,提出一种用于驾驶员辅助系统的具有至少两个芯片102、104的控制设备100。所述芯片中的一个102监视周围环境传感机构106而另一个104监视通信110。当通信芯片104不发送确定的消息时,可以代表系统100的安全状态。
此外,可以实现两个芯片102、104之间的问答查询。在系统100的启动期间,通信芯片104首先在那里并且发送不紧要的消息。
当在功能计算机102中出现故障或干扰时,可以重新启动功能计算机102,另一个计算机同时操作通信接口110。
图2示出根据本发明的一个实施例的主计算机102的框图。主计算机102基本上相应于图1中的主计算机。附加地,在此示出主计算机102的部件。主计算机102在此至少具有至少一个计算核心200、缓存器202、FPGA204、存储器模块206和外围设备208。此外,主计算机102可以具有其他组成部分210。通过其他接口,主计算机102可以访问外部存储器组件212、例如RAM和/或闪存。
驾驶员辅助系统微控制器102可以如在图2中所示的那样包含不同的部件。驾驶员辅助系统微控制器102尤其可以具有FPGA 204、核心200、以不同的级和形式的缓存器202、内部存储器206、外围设备208和多个其他可能的组成部分210。驾驶员辅助系统微控制器同样还可以一同使用外部的存储器组件212、如RAM或者闪存。
对于所述复杂的驾驶员辅助系统微控制器102典型的是,包括测试在内的初始化时间相对长地持续并且与大的耗费相连。但是,如果在系统上示出与安全重要相关的功能,则这样的测试是必要的。
如果驾驶员辅助系统微控制器102直接控制通信、即直接与通信部件连接,则困难的是:在非常短的时间之后已经通过数据总线发送消息,所述消息的正确性能够得到保证。但在机动车中应用的情况下通常重要的是,控制设备在通信系统上在非常短的时间之后已经可见。
然而,在发送第一CAN消息之前才可以测试所述部件中的一些、例如仅仅内部RAM 206。为了绕过这点,在所提出的方案中提出:使控制通信的安全微控制器在驾驶员辅助系统微控制器102与数据总线、尤其CAN总线之间移位。
图3示出根据本发明的一个实施例的具有两个计算核心200、300的主计算机102的框图。在此,主计算机102基本上相应于图2中的主计算机。附加地,主计算机102具有第二计算核心300。处理规则110可以在两个计算核心200、300上分别至少部分地执行。因此,两个计算核心提供周围环境数据112。在辅计算机104中将两个计算核心200、300的周围环境数据112至少部分地相互比较,以便监视主计算机102的功能。仅仅当主计算机102符合规定地工作时,才通过辅计算机104通过通信接口和数据总线提供周围环境数据112。
驶员辅助系统微控制器102可以具有多个子部件C1、C2、200、300。例如是提供两个可比较的结果112的核心200、300或FPGA。可能能够实现内部比较。与此相对,外部比较具有在共同原因失效(Commen-Cause-Failure)敏感性方面的优点。如果C1和C2将其结果112发送到安全微控制器104上,则可以在那里进行外部比较。所述外部比较也可以比仅仅一个逐比特的比较装置更复杂,因为安全微控制器104具有相应的计算能力。例如,可以将驾驶员辅助系统微控制器的子部件200的时间上较慢的信号112与驾驶员辅助系统微控制器102的另一子部件300的时间上较快的信号112进行比较。同样,可以对两个不同参量相互进行合理性检验。
图4示出根据本发明的一个实施例的用于运行驾驶员辅助系统的数据处理单元的方法400的流程图。通过方法400可以运行驾驶员辅助系统的数据处理单元,如其例如在图1中所示的那样。方法400具有初始化的步骤402、测试的步骤404、执行的步骤406、测试的另一步骤408和转发的步骤410。在此,以与辅计算机104的步骤404、406、408、410的在时间上的相关性实施涉及主计算机102的步骤402、408、410。
在初始化的步骤402中,响应于初始化信号地通过在主计算机102上执行初始化规则来初始化主计算机102。在所述测试的步骤404中,响应于所述初始化信号地通过在辅计算机104上执行自测试规则来测试辅计算机104。在所述执行的步骤406中,如果辅计算机104经测试并且在主计算机102初始化期间,则在辅计算机104上执行所述通信规则,以便通过所述通信接口发送和/或接收数据。在所述测试的步骤408中,如果主计算机102经初始化,则通过在辅计算机104上执行所述测试规则来测试主计算机102。在所述转发的步骤410中,如果主计算机102经测试,则通过在辅计算机104上执行所述通信规则来通过所述通信接口转发所述周围环境数据。
在系统的启动之后,借助初始化404、402开始不仅驾驶员辅助系统微控制器102而且安全微控制器104。在安全微控制器104中的包括所有自测试在内的所述阶段404结束之后,安全微控制器104开始例如在CAN总线上以安全的形式示出通信406。在进行通信406之后,安全微控制器104等待412。在所述等待412期间,维持安全的通信406。因此,向外总是可见安全的、尤其无源的系统。所述等待时间可以通过定时器限制。在无故障的情况下,当安全微控制器104从驾驶员辅助系统微控制器102得到定时器结束的信息时,则结束等待时间。在所述整个时间期间,在驾驶员辅助系统微控制器102中初始化结束,所述初始化可以并且应当包括全面的自测试和检查。所述自测试可以包含存储器检查、计算测试、外围设备测试或者其他的初始化测试。在所述时间期间,校准任务可能也结束,所述校准任务优选在系统启动的开始时进行(aufsetzen)。在结束了所述初始化402之后,驾驶员辅助系统微控制器102将消息或信息发送到安全微控制器104。为此,可以使用任何接口、例如SPI,其也可以通过不同的方法、如奇偶校验(Parity)、ECC、ECR来保护。有利地,消息的创建是如此,使得仅仅在正确的初始化过程402的结束之后才可以正确地发送所述消息。安全微控制器104接收所述消息。如果已经在正确的时间窗中正确地发送了所述消息,则开始外部测试阶段408。在所述外部测试阶段中,优选向驾驶员辅助系统微控制器102发送测试模式(Testmuster)作为安全微控制器104的询问,所述询问的回答是驾驶员辅助系统微控制器102的任务。如果所述询问在正确的时间窗内已经被正确地回答,则安全微控制器104以正确的驾驶员辅助系统微控制器102为出发点。对于问答通信可以使用不同的变型方案,例如在询问的创建、去抖动、程序流程控制的包含(Einschluss)和/或故障计数器方面。实际上,所述阶段408也用于相互监视。因为外部测试408优选地在整个正常运行410期间进行,所以紧随其后地或与此并行地开始正常运行410(正常操作)。在所述阶段410中,安全微控制器104接管向外的通信,消息的内容由驾驶员辅助系统微控制器102提供,但安全微控制器104能够在使用消息的情况下评估驾驶员辅助系统微控制器102的正确的功能能力。
如果所考虑的驾驶员辅助系统的要实现的功能范围满足两个条件,则在此所提出的方案的应用尤其有意义。首先应当存在故障安全特性。也就是说,存在系统的安全状态,在所述安全状态中没有系统的危害。可以将功能上的系统状态区分为两类的第二个条件是主动和被动。在此,被动表示正常情况,在所述正常情况中经过驾驶的主要时间。在此,被动与安全状态一致。这例如对于紧急制动系统是这种情况。在正常情况中不干预所述紧急制动系统,因此是被动的,并且“不干预”是安全的状态。实际上,所有仅仅干预例外情况的辅助系统具有所述特性。
安全微控制器104在正常情况下始终通过通信发送消息,所述消息信令化安全状态、即例如信令化被动系统。这始终还可以是略微耗费的消息模式,因为对于“恒定的”消息也可以使用变化的格式、例如消息计数器以便可以在系统层面上探测故障。但所述任务也已经可以察觉到非常简单地实施的安全微控制器104,所述安全微控制器在驾驶员辅助系统微控制器102下具有多个功率类别。
图4描述初始化根据在此所提出的方案的系统的一种原则上可能的流程。在示图中关于时间t地描绘所述步骤。
为了进行监视,在此可以使用所谓的问答方法。在此,可以给微控制器102提出询问,为了所述询问的回答微控制器102需要其功能性的一定部分。在预给定的时间段内的正确回答被解释为正确工作的微控制器102的标志。
在一个实施例中,方法400具有跟随所述执行的步骤406的、等待的步骤412,其中通过通信接口没有发送其他数据,直至初始化的步骤402结束。在此,在执行的步骤406中开始通过数据总线的通信作为受保护的通信,以便在激活数据总线的情况下实现小的时间延迟。在所述等待的步骤412中存在以下必要性:通过数据总线发送数据包,因为主计算机还没有准备好提供周围环境数据。
图5示出根据本发明的一个实施例的驾驶员辅助系统的部件的重新启动的流程图。在此,如在图4中的那样,基本上实施相同的步骤。在此,通过故障的探测500来触发重新启动。探测500由测试的步骤408引起,所述测试的步骤周期性地或者持续地与转发的步骤410并行地所述以检查主计算机。
跟随所述探测500地,在主计算机上实施初始化的步骤402,而辅计算机在没有重新自测试的情况下在步骤406中执行通信规则,以便维持通过数据总线的通信。如果实施初始化的步骤402,则如在图4中的那样实施测试的步骤408,并且如果主计算机被认为有功能能力,则如在图4中的那样实施转发的步骤410。
驾驶员辅助系统微控制器102中的故障可以以不同的方式被探测。首先,驾驶员辅助系统微控制器102中的内部措施是可能的源。所述探测也可以通过安全微控制器104实现。原则上,在此所提出的方案能够实现故障处理的封装的流程,如其在图5中所示的那样。
故障探测500在所参与的微控制器102、104的一个中进行。在任何情况下,通知安全微控制器104存在故障。这可能由于消息和监视回答的缺失而发生,对于较小的故障这也可以通过从驾驶员辅助系统微控制器102至安全微控制器104的显式通信而发生。随后,安全微控制器104向外示出关于安全通信406的安全状态、尤其安全CAN。与此同时,在驾驶员辅助系统微控制器104上测试与恢复程序402结束。哪些程序结束取决于所探测的故障或者响应的故障识别机制。对于RAM中的例如通过奇偶校验探测到的存储器故障而言,作为测试,存储器测试足够。对于通过外部监视、即安全微控制器探测到的故障而言,可能需要测试包括可能存在的外部元件在内的整个驾驶员辅助系统微控制器102。相应地,可以区分恢复程序和恢复持续时间。
安全微控制器104了解对于相应的重要相关的结构所持续的最大持续时间并且如果驾驶员辅助系统微控制器102没有遵守所述时间则向外信令化不再有功能能力的系统。在另一情况下,如在初始化402中的那样,开始外部测试阶段408并且继续正常运行410。通过所述方法,可以在维持安全状态的情况下向外封装所有短暂的或可容忍的故障。
所述方法的一种变型方案可以通过以下方式实现:有故障的设备(FASμC)102在故障探测500之后完全被重置并且测试与初始化阶段402通过系统的启动阶段402示出。这具有以下优点:需要仅仅一个启动阶段402,所述启动阶段则比故障特定的恢复过程可能略微更长地持续。也特别有意义的是,在安全微控制器104中计数恢复过程的数量或者测量恢复的时间频度。通过计数器或测量结果的、例如在点火循环或寿命时间方面的限制,可以防止故障积聚并且当存在关键性的永久故障时产生系统关断。
在此所提出的方案也可以提供监视支持。在此,安全微控制器104也还带来安全性优点或监视优点。作为独立的组件,安全微控制器104可以通过问答通信来测试驾驶员辅助系统微控制器102。安全微控制器104也可以示出独立形式的关断路径。最后,安全微控制器104可以实现独立的比较功能。
所描述的和在附图中示出的实施例仅仅是示例性地选择的。不同的实施例可以完整地或关于各个特征彼此组合。一个实施例也可以通过另一个实施例的特征来补充。
此外,可以重复以及以不同于所描述的顺序的顺序执行根据本发明的方法步骤。
如果一个实施例包括第一特征与第二特征之间的“和/或”关系,则这可以解读如下:所述实施例根据一种实施方式不仅具有第一特征,而且具有第二特征;并且根据另一种实施方式或者仅仅具有第一特征,或者仅仅具有第二特征。

Claims (10)

1.一种用于运行驾驶员辅助系统的数据处理单元(100)的方法(400),其中,所述数据处理单元(100)具有主计算机(102)和辅计算机(104),其中,所述主计算机(102)构造用于在使用处理规则(110)的情况下由来自周围环境检测装置(106)的周围环境信息(108)求取数据(112),所述辅计算机(104)构造用于在使用通信规则(116)的情况下运行所述数据处理单元(100)的通信接口(114),其中,所述方法(400)具有以下步骤:
通过在所述主计算机(102)上执行初始化规则来初始化(402)所述主计算机(102),
通过在所述辅计算机(104)上执行自测试规则来测试(404)所述辅计算机(104),
在初始化所述主计算机(102)期间,在所述辅计算机(104)上执行(406)所述通信规则(116),以便通过所述通信接口(114)发送和/或接收数据,
通过在所述辅计算机(104)上执行测试规则来测试(408)所述主计算机(102),
通过在所述辅计算机(104)上执行(406)所述通信规则(116)来通过所述通信接口(114)转发所述数据(112)。
2.根据权利要求1所述的方法(400),所述方法具有等待的步骤(412),在所述等待的步骤中,所述辅计算机(104)在所述执行的步骤(406)之后等待,直至所述主计算机(102)经初始化。
3.根据权利要求2所述的方法(400),其中,在所述等待的步骤(412)中,所述辅计算机(104)中断数据通过所述通信接口(114)的发送和/或接收。
4.根据以上权利要求中任一项所述的方法(400),其中,在所述执行(406)的步骤中,由所述辅计算机(104)使用受保护的通信协议。
5.根据以上权利要求中任一项所述的方法(400),其中,在所述转发的步骤(410)中,由所述辅计算机(104)使用受保护的通信协议。
6.根据以上权利要求中任一项所述的方法(400),其中,周期性地重复测试所述主计算机(102)的步骤(408),其中,与此并行地通过所述辅计算机(104)实施所述转发的步骤(410)。
7.根据以上权利要求中任一项所述的方法(400),其中,在测试所述主计算机(102)的步骤(408)中,如果识别到故障(500),则提供初始化信号。
8.一种驾驶员辅助系统的数据处理单元(100),其中,所述数据处理单元(100)具有以下特征:
主计算机(102),其构造用于在使用处理规则(110)的情况下由来自周围环境检测装置(106)的周围环境信息(108)求取周围环境数据(112);和
辅计算机(104),其构造用于在使用通信规则(116)的情况下运行所述数据处理单元(100)的通信接口(114)。
9.一种计算机程序,所述计算机程序设置用于实施根据以上权利要求中任一项所述的方法的所有步骤。
10.一种机器可读的存储介质,所述存储介质具有根据权利要求9所述的存储在其上的计算机程序。
CN201610078103.9A 2015-02-10 2016-02-04 用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元 Active CN105868060B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015202326.5A DE102015202326A1 (de) 2015-02-10 2015-02-10 Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
DE102015202326.5 2015-02-10

Publications (2)

Publication Number Publication Date
CN105868060A true CN105868060A (zh) 2016-08-17
CN105868060B CN105868060B (zh) 2020-11-10

Family

ID=56498287

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610078103.9A Active CN105868060B (zh) 2015-02-10 2016-02-04 用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元

Country Status (3)

Country Link
US (1) US9875166B2 (zh)
CN (1) CN105868060B (zh)
DE (1) DE102015202326A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016216520A1 (de) * 2016-09-01 2018-03-01 Robert Bosch Gmbh Verfahren und System zum Betrieb eines Fahrzeugs
DE102016218277B4 (de) 2016-09-22 2021-08-12 Benjamin May Verfahren zur Funktionsprüfung eines Fahrassistenzsystems sowie Kontrolleinheit und Referenzeinrichtung für ein Fahrassistenzsystem
DE102017220406A1 (de) 2017-11-15 2019-05-16 Robert Bosch Gmbh Verfahren zur Funktionsprüfung für ein Steuergerät, das Steuergerät und ein Fahrzeug mit diesem Steuergerät
CN108279999A (zh) * 2017-12-14 2018-07-13 天津津航计算技术研究所 一种基于fpga的c*core处理器测试验证系统和方法
US10691570B1 (en) 2019-02-19 2020-06-23 Cisco Technology, Inc. Software assistant for power-on-self-test (POST) and built-in self-test (BIST) in in-vehicle network (IVN) of connected vehicles

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101784997A (zh) * 2007-08-16 2010-07-21 罗伯特.博世有限公司 在伴随芯片与微控制器之间的通信方法和接口
CN101987596A (zh) * 2010-11-04 2011-03-23 奇瑞汽车股份有限公司 一种停车辅助系统及其控制方法
US20120303258A1 (en) * 2009-10-02 2012-11-29 Christian Pampus Method for mapping the surroundings of a vehicle
US20130024075A1 (en) * 2011-07-22 2013-01-24 GM Global Technology Operations LLC Object identification and active safety control for vehicles
CN103163886A (zh) * 2013-04-08 2013-06-19 中国科学院合肥物质科学研究院 一种智能车辆的自动驾驶装置及控制方法
CN103192834A (zh) * 2012-01-09 2013-07-10 罗伯特·博世有限公司 用于运行车辆的驾驶员辅助系统的方法和装置
CN103192776A (zh) * 2012-01-04 2013-07-10 罗伯特·博世有限公司 用于运行车辆的驾驶员辅助系统的方法和装置
CN103843044A (zh) * 2011-05-31 2014-06-04 罗伯特·博世有限公司 驾驶员辅助系统和用于运行驾驶员辅助系统的方法
CN103906673A (zh) * 2011-10-27 2014-07-02 罗伯特·博世有限公司 用于引导车辆的方法和驾驶员辅助系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004518578A (ja) * 2001-03-15 2004-06-24 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 分配された安全上重要なシステムのコンポーネントの駆動方法
JP4379793B2 (ja) * 2004-03-12 2009-12-09 株式会社デンソー 車両用電子制御装置
JP4408921B2 (ja) * 2007-08-22 2010-02-03 株式会社デンソー 電子機器
DE102011016706A1 (de) * 2011-04-11 2012-10-11 Conti Temic Microelectronic Gmbh Schaltungsanordnung mit Fail-Silent-Funktion
US9122662B2 (en) * 2011-06-01 2015-09-01 James Mason Faucett Processor safety test control systems and methods
US9058419B2 (en) * 2012-03-14 2015-06-16 GM Global Technology Operations LLC System and method for verifying the integrity of a safety-critical vehicle control system

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101784997A (zh) * 2007-08-16 2010-07-21 罗伯特.博世有限公司 在伴随芯片与微控制器之间的通信方法和接口
US20120303258A1 (en) * 2009-10-02 2012-11-29 Christian Pampus Method for mapping the surroundings of a vehicle
CN101987596A (zh) * 2010-11-04 2011-03-23 奇瑞汽车股份有限公司 一种停车辅助系统及其控制方法
CN103843044A (zh) * 2011-05-31 2014-06-04 罗伯特·博世有限公司 驾驶员辅助系统和用于运行驾驶员辅助系统的方法
US20130024075A1 (en) * 2011-07-22 2013-01-24 GM Global Technology Operations LLC Object identification and active safety control for vehicles
CN103906673A (zh) * 2011-10-27 2014-07-02 罗伯特·博世有限公司 用于引导车辆的方法和驾驶员辅助系统
CN103192776A (zh) * 2012-01-04 2013-07-10 罗伯特·博世有限公司 用于运行车辆的驾驶员辅助系统的方法和装置
CN103192834A (zh) * 2012-01-09 2013-07-10 罗伯特·博世有限公司 用于运行车辆的驾驶员辅助系统的方法和装置
CN103163886A (zh) * 2013-04-08 2013-06-19 中国科学院合肥物质科学研究院 一种智能车辆的自动驾驶装置及控制方法

Also Published As

Publication number Publication date
DE102015202326A1 (de) 2016-08-11
CN105868060B (zh) 2020-11-10
US9875166B2 (en) 2018-01-23
US20160232070A1 (en) 2016-08-11

Similar Documents

Publication Publication Date Title
CN105868060A (zh) 用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元
KR102586265B1 (ko) 중복 휠 속도 감지를 위한 시스템들 및 방법들
US10723361B2 (en) Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium
JP4149806B2 (ja) プロセッサを監視するための装置
CN103576545B (zh) 有效保障控制设备的安全临界功能的方法和控制设备
KR20180022759A (ko) 안전 관련 중대한 에러를 처리하는 방법 및 장치
CN111891134B (zh) 自动驾驶处理系统和片上系统、监测处理模块的方法
US10384689B2 (en) Method for operating a control unit
EP2113087B1 (en) System and computer program product for testing a logic circuit
CN111976623A (zh) 面向智能汽车的底盘域控制器、车辆的控制方法及车辆
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
US11394726B2 (en) Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted
JP2004518578A (ja) 分配された安全上重要なシステムのコンポーネントの駆動方法
JP6207987B2 (ja) 車載用電子制御装置
KR100892370B1 (ko) 차량진단시 진단단말기간의 충돌방지 시스템 및 그 방법
CN109906609B (zh) 用于监测图像传感器的方法和设备
CN107038095A (zh) 用于冗余地处理数据的方法
US20150012184A1 (en) Method for Power Management of Wireless Automotive Modules
CN105015345B (zh) 整体式汽车虚拟仪表系统、工作方法及安装该系统的汽车
Kaprocki et al. Multiunit automotive perception framework: Synergy between AI and deterministic processing
KR101826779B1 (ko) Asic의 제어 로직의 진단 장치 및 방법
US20240037933A1 (en) Monitoring of a model and anomaly detection
US20240129364A1 (en) Gateway for connection to a host processor and multiple slaves and method for operating the gateway
Yadav et al. Functional Safety for Braking System through ISO 26262, Operating System Security and DO 254
TWM643881U (zh) 基於服務導向架構的安全性比較裝置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant