CN113474230A

CN113474230A - 安全系统和用于运行安全系统的方法

Info

Publication number: CN113474230A
Application number: CN202080016551.0A
Authority: CN
Inventors: F·赫斯; H-L·罗斯
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2019-02-25
Filing date: 2020-02-07
Publication date: 2021-10-01
Anticipated expiration: 2040-02-07
Also published as: EP3931060A1; JP7206410B2; CN113474230B; DE102019202527A1; WO2020173682A1; JP2022521938A; US20220009353A1

Abstract

将数据(D)提供给至少两个通道；在至少两个通道中由所述数据(D)生成信息(I₁…I_n)；在至少两个通道中由所述信息(I)生成检查密钥(S1…Sn)；将两个通道的信息(I₁…I_n)和检查密钥(S1…Sn)提供给检查装置(30)；根据检查密钥(S1…Sn)的比较以定义的方式使用所述信息。

Description

安全系统和用于运行安全系统的方法

技术领域

本发明涉及一种用于运行安全系统的方法。本发明还涉及一种安全系统。本发明还涉及一种安全系统的应用。本发明还涉及一种计算机程序产品。

背景技术

现代安全系统、尤其用于移动应用(尤其汽车应用)的自动化系统要求实时的、冗余的数据流。除了分析处理视频数据之外，连续时间同步地通过复杂传感器(例如激光雷达传感器、毫米波雷达传感器等)将3D模型与真实环境进行比较。约100ms的时间延迟意味着：在约100km/h的速度下，在模型中与现实存在超过3m的偏差。这意味着多于一个道路宽度并且在弯道中已经可能引起与逆向交通的碰撞。

为了发现电子故障并且也为了掌握、修正这些故障或者确保切换到冗余功能，必须对数据流进行同步，以便能够在数据流中及时进行比较。

在传统的同步中，使一个数据流停止，并且仅当第二数据流处于相同的同步点时，才可以比较数据。

这可能不利地导致处理这些数据的速度显著下降。

此外，当要在短时间内将非常大量的数据彼此比较时，存在对性能的显著要求，其中，这种比较本身也耗费大量时间，这明显降低了整个系统的效率。

通常，一个功能也是各种子功能构成的链，这些子功能产生中间结果，然后中间结果构成进一步处理的基础。如果中间结果不是及时存在的或者甚至如果进一步处理了错误信息，则由此会产生严重系统故障，这些系统故障在对安全重要相关的系统中会导致人员发生危险。尤其在(例如通过传感器)检测数据时，必须在将这些数据传输用于处理之前在正确性和及时性方面检查这些数据。在借助相应信息操控执行器之前，同样需要在时间和内容方面检查借助不同算法进行的处理。

此外，对于冗余的安全系统而言重要的是，在一个通道失效的情况下，第二通道能够及时地接管失效通道的任务，使得无中断地继续确保安全功能。

尤其对于自动化行驶而言重要的是，也能容错地设计对安全重要相关的功能，使得电子功能即使在失效情况下也是可用的。在此，冗余具有双重功能——即故障发现和功能可用性的提高。尤其在制动和转向系统中，这在行驶期间是一项特殊风险，因为车辆将变得突然不再能够制动或转向。

DE 100 32 216 A1公开一种机动车中的安全系统和一种方法，在该方法中，主计算机控制和诊断传感器和配置入口。

DE 10 2008 008 555 B4公开一种用于最小化车辆中的危险情况的方法。

发明内容

本发明的任务在于提供一种用于运行安全系统的改进的方法。

根据第一方面，该任务借助一种用于运行安全系统的方法来解决，该方法具有以下步骤：

将数据提供给至少两个通道；

在至少两个通道中由数据生成信息；

在至少两个通道中由信息生成检查密钥；

将两个通道的信息和检查密钥提供给检查装置；

根据检查密钥的比较以定义的方式使用信息。

以这种方式提供一种用于运行安全系统的方法，该方法尤其在实时应用中是有意义的。有利地，在所提出的方法中，不需要例如在之前的实时系统中设置的那样的复杂行为(例如空闲模式、同步步骤等)。其结果是，由此可以以有利的方式在(已经产生了信息的)其他时刻比较信息。由此，可以有利地尽可能好地利用两个通道的计算能力。

根据第二方面，该任务借助一种安全系统来解决，该安全系统具有：

两个计算装置，所述两个计算装置用于在至少两个通道中由所提供的数据独立地生成信息，其中，由至少两个通道的信息生成对应的检查密钥；

检查装置，至少两个通道的信息能够被提供给该检查装置；

其中，借助该检查装置，使至少两个通道的信息能够根据比较以定义的方式使用。

该方法的有利扩展方案是从属权利要求的主题。

该方法的一个有利扩展方案设置，在定义的时刻执行：由数据生成信息以及由信息生成检查密钥。由此有利地提供多阶段的方法，该方法在不同时刻检查信息。

该方法的另一有利扩展方案设置，在一个通道故障的情况下使用另一通道的信息。以这种方式有利地提高了安全系统的安全水平。

该方法的另一有利扩展方案设置，检查装置根据至少一个被定义的标准决定：可以从哪个通道去除哪些信息。由此可以有利地决定：何时使用信息或将信息作为无效而去除。

该方法的另一有利扩展方案设置，通过无线通信将信息发送给车辆。在此有利地支持这种应用，在该应用中，(例如在停车楼中)例如借助WiFi将指令发送给自动化车辆。

该方法的另一有利扩展方案设置，由传感器装置提供数据。以这种方式能够实现该方法的应用，这种应用尽可能实时地处理传感器数据。

在下文中根据多个附图以其它特征和优点详细描述本发明。这些附图主要旨在说明对本发明重要的原理。

所公开的方法特征类似地由所公开的相应设备特征得出，反之亦然。这尤其意味着，关于该方法的特征、技术优点和实施方案以类似的方式由关于安全系统的相应实施方案、特征和优点得出，反之亦然。

附图说明

在附图中示出：

图1示出所提出的安全系统的第一实施方式的方框图；

图2示出所提出的安全系统的另一实施方式的方框图；

图3示出所提出的用于运行安全系统的方法的图示。

具体实施方式

在下文中，术语“自动化车辆”在意义上与全自动化车辆、部分自动化车辆、全自主车辆和部分自主车辆同义地使用。

本发明的核心构思在于提供一种监测架构，该监测架构在多个层级中确保冗余安全系统中的不同时间方面，而不降低冗余系统的性能。

借助本发明有利地实现：通过两个通道以最大功效引导冗余数据流。在此，在并行路径中从系统提取数据内容和确定的安全密钥。

图1示出所提出的安全系统100的第一实施方式的原理性方框图。能够看出具有第一信息装置11a的第一计算机装置10，由传感器装置1将数据D提供给该第一计算机装置。借助信息装置11a由数据D生成信息I1。将信息I1提供给第一加密装置12a，由该第一加密装置生成第一检查密钥S1。

此外，安全系统100具有第二计算机装置20，同样将传感器装置1的数据D提供给该第二计算机装置。借助第二信息装置21a由数据D生成信息I1，将该信息I1提供给第二加密装置22a，第二加密装置22a由该信息I1生成第二检查密钥S2。

将信息I1和检查密钥S1、S2提供给检查装置30，该检查装置30优选构造为安全SPS(安全策略系统)。因此，对于检查装置30而言可能的是：与借助信息装置11a、12a生成信息I1的时刻独立地比较信息I1，并且根据定义的标准(例如在正确性和/或可信度方面)检查信息I1。

其结果是，两个计算机装置10、20(它们可能在物理上不同地构造)可以利用它们各自最佳的资源来提供信息I1，而不会例如为了满足实时性要求而由于空闲机制、同步机制和安全机制受到阻碍或延缓。以这种方式，有利地支持两个计算装置10、20的计算性能的最佳充分利用。

根据比较或检查的结果，检查装置30可将指令无线地或有线地发送给下游的装置、例如开关装置(未示出)，该指令包括用于自动化车辆(未示出)的指令。

其结果是，由此借助安全系统100在两个通道中提供具有时间监测的冗余信号链。

图2示出所提出的安全系统100的第二实施方式的方框图。可以看出多个时刻t₀…t_n，在这些时刻由数据D以定义的方式预处理成信息I₁…I_n，并且在这些时刻，由信息I₁…I_n生成对应的检查密钥S1…Sn。在此设置，例如在检测传感器数据之后在时刻t₀求取第一检查密钥S1，在算法的逻辑处理之后在时刻t₁求取第二检查密钥S2，在计算执行器变量之后在时刻t₂求取第三检查密钥S3。由此，通过这些时刻得到三个时间窗，在这些时间窗中由检查装置30检查：相应的中间状态数据或中间状态信息是否在内容上正确地并且及时地在检查时刻到达(即达到检查装置30)。如果分别在两个冗余的通道中是这种情况，则通过检查装置30将数据流继续报告为在时间上和在内容上是正确的。

应理解，显然的是，所示时刻的数量和在这些时刻所执行的操作仅仅是示例性的，并且在实践中可以设置其他的、尤其明显更多的时刻，在这些时刻由数据D预处理成其他信息I₁…I_n并生成相应的检查密钥。同样能够想到的是，数据不必一定来自传感器装置1，而是可以由其他装置提供。

因为安全系统100的两个通道中的数据流由于不同的计算机装置10、20而通常是不一样快的，所以当冗余数据流也报告其检查密钥时，检查装置30形式的“看门狗”的信息才会出现。然而，因为检查装置30仅检查检查密钥S1…Sn，所以可以有利地非常快地执行检验。只要检查是肯定的，则例如始终能够使用第一通道的第一数据流，以便在下一层级中进行处理。然而存在如下风险：检查装置30确定存在故障并且必须将其余处理链中的信息去除。

然而足够的是，故障数据流的截止在最后的功能元件(这通常意味着对执行器(未示出)的操控)之前发生。但在执行器处仅将故障的数据流关断，而并不将识别为正确的数据流关断，因此虽然在数据流中出现可能的延迟，但是该延迟仅涉及第二数据流落后于故障数据流的时间。在同构冗余的情况下，这种时间通常非常短。

因为从时间上来看，中间步骤例如在检测、逻辑处理以及执行器操控之后变化，所以时间总和经常超过整个链所要求的时间，因为最坏情况很少出现，所以子区段中的时间大多相互均衡。因此，在安全技术上仅需测量在传感器装置1中检测到数据D与在执行器中相应反应之间的时间。只要这对于无故障通道而言低于所要求的时间极限，则认为安全反应是充分的并且因此认为在安全技术上是“及时的”。

安全系统100的所述部件例如可以通过适当的网络连接(例如以太网)在功能上彼此连接。

所提出的解决方案的一个重要优点在于同步数据流情况下显著减小的开销，由此，所提出的安全系统100的性能在单通道实现方案中近似于对安全非重要相关的系统的值。冗余不需要第二独立软件开发，因为在两个路径上，可以由数据D分别相同地实现信息提供的标称功能。相比之下，仅需实现如下相应的监视器或加密装置：所述监视器或加密装置生成用于检查在时刻t₀…t_n生成的信息的正确性而所需的检查密钥S1…Sn。

所提出的方法的另一优点在于：故障仅导致一个通道失效，其中，在同构相关性的情况下可以将时间延迟视为很小。

图3示出所提出的方法的一种实施方式的原理性流程图。

在步骤200中执行：将数据D提供给至少两个通道。

在步骤210中执行：在至少两个通道中由数据D生成信息I₁…I_n。

在步骤220中执行：在至少两个通道中由信息I生成检查密钥S1…Sn。

在步骤230中，将两个通道的信息I₁…I_n和检查密钥S1…Sn提供给检查装置30。

最后，在步骤240中执行：根据检查密钥S1…Sn的比较以定义的方式使用信息。

有利地，所提出的方法可以在安全系统中在自动泊车和/或在城市环境情况下使用。

有利地，所提出的方法可以以软件程序的形式实现，该软件程序具有适当的程序代码单元，该程序代码单元在具有其部件的安全系统100上运行。以这种方式，能够实现该方法的简单适用性。

本领域技术人员将以适当的方式改变和/或相互组合本发明的特征，而不偏离本发明的核心。例如可以设置，安全系统的通道的数量也大于两个。

Claims

1.一种用于运行安全系统(100)的方法，所述方法具有以下步骤：

将数据(D)提供给至少两个通道；

在所述至少两个通道中由所述数据(D)生成信息(I₁…I_n)；

在所述至少两个通道中由所述信息(I)生成检查密钥(S1…Sn)；

将两个通道的信息(I₁…I_n)和检查密钥(S1…Sn)提供给检查装置(30)；

根据所述检查密钥(S1…Sn)的比较以定义的方式使用所述信息。

2.根据权利要求1所述的方法，其中，在定义的时刻(t₀…t_n)执行由所述数据(D)生成所述信息(I₁…I_n)以及由所述信息(I₁…I_n)生成所述检查密钥(S1…Sn)。

3.根据权利要求1或2所述的方法，其中，在一个通道故障的情况下，使用另外的通道的信息(I₁…I_n)。

4.根据以上权利要求中任一项所述的方法，其中，所述检查装置(30)根据至少一个定义的标准来决定：能够从哪个通道中去除哪些信息(I₁…I_n)。

5.根据以上权利要求中任一项所述的方法，其中，通过无线通信将所述信息(I₁…I_n)发送给车辆。

6.根据以上权利要求中任一项所述的方法，其中，由传感器装置(1)提供所述数据(D)。

7.一种根据以上权利要求中任一项所述的方法的应用，在自动泊车情况下和/或在城市环境中使用所述方法。

8.一种安全系统(100)，所述安全系统具有：

两个计算机装置(10，20)，所述两个计算机装置用于在至少两个通道中由所提供的数据(D)独立地生成信息(I₁…I_n)，其中，由至少两个通道的信息(I₁…I_n)生成对应的检查密钥(S1…Sn)；

检查装置(30)，至少两个通道的所述信息(I₁…I_n)能够被提供给所述检查装置；

其中，借助所述检查装置(30)，使至少两个通道的信息(I₁…I_n)能够根据比较以定义的方式使用。

9.一种具有程序代码单元的计算机程序产品，所述程序代码单元设置用于当所述计算机程序产品在安全系统(100)上运行或存储在计算机可读的数据载体上时，执行根据权利要求1至6中任一项所述的方法。