CN115129110A - 用于控制驾驶功能的方法和设备 - Google Patents
用于控制驾驶功能的方法和设备 Download PDFInfo
- Publication number
- CN115129110A CN115129110A CN202210294878.5A CN202210294878A CN115129110A CN 115129110 A CN115129110 A CN 115129110A CN 202210294878 A CN202210294878 A CN 202210294878A CN 115129110 A CN115129110 A CN 115129110A
- Authority
- CN
- China
- Prior art keywords
- output data
- comparison
- data
- containers
- input data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000012545 processing Methods 0.000 claims abstract description 21
- 238000004364 calculation method Methods 0.000 claims abstract description 5
- 230000006870 function Effects 0.000 claims description 20
- 230000015654 memory Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 4
- 230000001502 supplementing effect Effects 0.000 abstract 1
- 230000000875 corresponding effect Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000015556 catabolic process Effects 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000003111 delayed effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/12—Synchronisation of different clock signals provided by a plurality of clock generators
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/0098—Details of control systems ensuring comfort, safety or stability not otherwise provided for
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/52—Program synchronisation; Mutual exclusion, e.g. by means of semaphores
- G06F9/524—Deadlock detection or avoidance
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0006—Digital architecture hierarchy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2556/00—Input parameters relating to data
- B60W2556/45—External transmission of data to or from the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Transportation (AREA)
- Human Computer Interaction (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Hardware Redundancy (AREA)
Abstract
一种用于控制驾驶功能的方法(10),其特征在于以下特征:将对于驾驶功能而言相关的输入数据(11)输送到计算机网络(26);通过在计算机网络(26)中在至少一个第一计算单元(41)和第二计算单元(42)上冗余地处理输入数据(11)分别产生输出数据(15);由每个计算单元(41、42)对相应输出数据(15)补充控制字段;将计算单元(41、42)的输出数据(15)输送给比较并确定所述比较的结果(24);以及根据结果(24),如果输出数据(15)和控制字段经受住所述比较,则将输出数据(15)按具体情况连同相应控制字段一起考虑用于驾驶功能,或者如果输出数据(15)或控制字段有偏差,则标记为有错误的。
Description
技术领域
本发明涉及一种用于控制驾驶功能的方法。本发明此外涉及相应的设备、相应的计算机程序和相应的存储介质。
背景技术
在US2019047579 A1中描述涉及提供高功能安全性的方法和设备。在一种实施方式中,主核(Master-Kern)执行一个或多个操作,以便支持驾驶员辅助系统或自主驾驶,其中所述主核在一定程度上“以同步的方式”(lockstep(锁步))与从核(Slave-Kern)耦合。主核和从核接收相同的输入信号,并且所述紧密耦合的核逻辑引起:响应于主核的第一输出和从核的第二输出的比较而产生信号。所产生的信号作为对于第一输出和第二输出之间的不一致性的响应而导致所述一个或多个操作的中断。其他实施方式同样被公开并要求得到保护。
在根据US2018370540A1的自行式自主车辆中,控制架构在同一箱中包括多个处理器。每个处理器均监控其他处理器并且在需要时采取适当的安全措施。一些处理器可能执行具有低优先级的休眠状态的(ruhend)或冗余的功能,当确定出另一处理器发生了故障,所述具有低优先级的休眠状态的或冗余的功能则变成激活的。这些处理器彼此无关地被供电并且彼此无关地执行从传感器数据处理直至具有不同硬件功能的操作指令的冗余算法。硬件和软件多样性改善错误容限(Fehlertoleranz)。
根据US2019334706A1的自主驾驶控制装置包括多个并行处理器,这些处理器使用从多个自主驾驶传感器接收的共同的输入数据来工作。多个并行处理器中的每一个均包括通信电路、通用处理器、安全处理器子系统(SCS)和安全子系统(SMS)。通信电路支持并行处理器之间的通信,包括并行处理器的通用处理器之间的通信、在使用SCS密码的情况下在并行处理器的安全处理器子系统之间的通信以及在使用SMS密码的情况下在并行处理器的安全子系统之间的通信在内,其中SMS密码与SCS密码不同。SCS和SMS可以分别包含专用硬件并且尤其是包含存储器,以便支持通信。
发明内容
本发明提供根据独立权利要求所述的用于控制驾驶功能的方法、相应的设备、相应的计算机程序以及相应的存储介质。
根据本发明的方案基于以下认识:用于安全的计算单元的典型安全机制也必须在云中被实现,以便也能够在这里在功能上安全地处理数据。针对逻辑单元中的随机硬件错误或用于处理逻辑指令集的典型解决方案是在时钟驱动的(getakt)计算机中通过同构(homogen)冗余计算单元进行同构并行冗余处理。由独立的单元对这些计算单元进行比较。在云中,存储器是易失性的、但也是非易失性的存储器(RAM、ROM、CACHE等),并且整个数据控制(处理程序、多路复用(Multiplex)等)对用户来说并不是透明的和可访问的,所以这些存储器正如硬件本身那样不能直接被监控。因此,必须以加密的形式将数据发送到存储器中以及从存储器发送出数据。出于安全原因,这种E2E防护在云中已经是常见的。为了技术安全地使用所述数据,还必须在运行时间连续地监控这些E2E措施。由此也可以确保数据彼此的不相关性(Unabhängigkeit),使得可以监控所谓的共同原因(Common Cause)(即两个要比较的通道的相关的错误)。
为了实现肯定的比较,输入数据也必须被同步和比较。这同样适用于输出数据,所述输出数据时间同步地被同步和比较以进行进一步处理。这样的时钟驱动的冗余控制单元通常被称为锁步控制器。在云中,E2E防护于是也在相应的锁步比较中同样被检查。
锁步首先用于:能够监控计算单元(ALU,算术逻辑单元(Arithmetic LogicUnit))中的偶发的(sporadisch)和随机的错误。通过可以使用不同的语义和编码并且将所述语义和编码输送给锁步并且可以将所述语义和编码引入到E2E监控中,在运行时间期间偶发系统错误也变得可检测。通过所述语义和编码,也实现如下诊断,所述诊断使得能够推断出错误原因。从而可以选择性地对待有错误的信息和数据包,并且也可以执行“优雅降级(graceful Degradation)”、即有条件降级。
由于时间同步,传统的锁步控制器比普通的单核计算机更缓慢。此外,所述传统的锁步控制器通常具有以下缺点:通过比较只能确定信息彼此间的可能偏差,而不能确定冗余计算机中的哪一个是有错误的。响应于两个计算单元的输出数据的否定比较,这两个计算单元因此通常被关断。因此,该单元是较不可用的。此外,操作的所有结果大多都被包括在该比较之内。
为了实现进一步的运行时间优化和可用性优化,锁步比较装置也可以被构造为表决器(Voter)。在这里于是可以比较3个源,于是2个正确的相同信息就已经足以能够标识相关错误。从而首先相同的对可以作为“安全信息”被传递用于进行处理。从而第三通道中的错误可以被容忍或也被使用用于对于系统性能的诊断和用于优化。
在此背景下,所提出的解决方案的优点在于:仅比较安全相关的数据并且将所述安全相关的数据优选地贯彻到底地(durchgängig)(端到端(end to end),E2E)以受防护的方式输送给比较装置。从而也可以标识错误的源。例如,AUTOSAR标准提供相关的控制字段和安全机制。
通过在从属权利要求中列出的措施,在独立权利要求中说明的基本思想的有利改进和改善是可能的。因此可以规定,输入数据也配备有控制字段并且在所述控制字段不一致的情况下被丢弃。相应的设计考虑以下情况:在云计算机中附加地存在外部黑客和外来数据流可能到达这样的计算单元的风险。因此,不仅在计算单元和比较装置之间的数据流在每个步骤(step)中都必须充分地鉴于不相关性被监控,而且输入数据也必须被屏蔽免受外部影响。
用于基本功能计算的所有数据(用于交通控制(Verkehrssteuerung)的所有模型、诊断数据等)都可以在云中以最高性能正常地被计算。所有安全相关的数据都可以以加密的方式并行地从过程中被截取并且被比较。然后也可以立刻将基本数据转发给进行进一步处理的单元,并且只有在成功的锁步比较之后,才通过比较装置激活相关的安全属性用于进一步处理。从而提高信息可用性并且补偿了相比于单核而言锁步比较关于时间方面的缺点。
附图说明
本发明的实施例在附图中示出并且在以下描述中更详细地予以阐述。其中:
图1示出锁步的基本结构。
图2示出具有输入和输出数据流的三个服务器。
图3示出针对不同车辆技术安全要求等级(automotive safety integrity level(汽车安全完整性等级), ASIL)上的数据的多级锁步原理。
图4示出锁步原理在Kubernetes集群中的实施。
图5示出逻辑锁步功能的UML序列图。
图6示出在副本(replicas)之间以E2E防护进行的数据交换。
图7示出在独立的、特别受防护的容器中高可用度的锁步应用程序的示例。
具体实施方式
图1图解具有根据本发明的功能的计算机网络(Rechnerverbund)(集群(cluster))。这些基本功能在两个不同的服务器(31、32)上同构冗余地被执行,其结果由独立的比较装置(Vergleicher)(25;以下也称为“比较器(Komparator)”)进行比较。为了进一步提高锁步的可用性,可以给计算机网络补充第三同构冗余服务器(33),以使其成为按照IEC 61508的具有“2oo3”架构的容错调节系统(Regelsystem)。如果在这样的架构中两个结果一致,则转发一致的信息。
控制程序(任务调度程序(task scheduler),23)设置处理步骤。如果结果相互偏差,那么按照常规方法只能丢弃这些数据;在这种情况下,这两个计算核通常通过所谓的看门狗被关断。相反,根据本发明的方法则追求以下目标:标记有错误的数据本身并且因此维持数据流。此外,要比较的数据应该被减少为基本的(wesentlich)安全信息。
如图2所阐明的,给所有三个服务器(31、32、33)输送相同的输入数据(11)。为了实现尽可能大的不相关性,所有外部的和服务器内部的数据流都应该贯彻到底地被防护。在第一处理步骤中应该确保,在相同的时间点检测所有服务器(31、32、33)的输入数据(11),以便使比较基于统一的数据状态(Datenstand)。
在为了发送而对输出数据(15)进行编制(aufbereiten)之前,在输入数据(11)的所述同步之后是实际的逻辑数据处理。通常,这三个处理步骤时钟同步地运行,这与单核系统相比而言决定性地延长了锁步系统的运行时间。
通过根据本发明的E2E防护还考虑在云中分布式处理的特殊挑战,其方式是:使得对锁步系统的所有相关影响均导致有用数据和E2E控制字段之间的不一致,并且使其例如在循环冗余检验或其他安全性检验的范畴内可以被检测。只要服务器(31、32、33)的输出数据(15)相同,也可以将所述输出数据传输给后续的计算单元或车辆。即使在通信的范畴内运行时间波动或数据丢失的情况下,也已经可以将第一个到来的包考虑用于安全的驾驶功能。
原则上,如在本地服务器上那样,也可以在云中例如借助于Docker(码头工人)通过容器虚拟化实现虚拟计算单元的分离。在这种情况下,每个应用程序容器都用作独立的计算单元。通常,并非这种计算单元的所有数据和功能都是安全相关的;因此,要处理的输入数据(11)的量可以通过限制于安全相关数据而被减少。
图3示出具有多个这种应用程序容器(41、42、51、52)的服务器(31),这些应用程序容器的输出数据(15-图2)以锁步方式被比较。在该示例中,所有数据均由容器(41、42、51、52)同构冗余地处理。所有对于功能安全性(safety(安全))而言相关的数据都被输送给特别受防护的容器(51、52)。这些容器附加地用作针对这两个常规应用程序容器(41、42)的比较装置(25-图1)。可以在特别受防护的容器(51、52)内创建(anlegen)安全飞地(Security-Enklaven),以便尽可能好地保护数据比较也免受黑客攻击。而常规容器(41、42)的非安全相关的输出数据(15-图2)则可以有利地直接被转发并且被考虑用于驾驶功能。选择性地,针对不太关键的功能(例如ASIL B或SIL 2等级)的数据可以在安全容器之一(51、52)中的肯定的比较之后被释放(freischalten)用于进一步处理。
图4阐明由多个所谓的容器组(Pod)(61、62、63)组成的Kubernetes集群(26)的实现示例,所述容器组可以分别包括一个或多个应用程序容器。容纳用作计算单元的容器(41、42)的这两个容器组(61、62)以及比较器(43)在此情况下分别通过集群(26)的自身服务(service)可达;这些服务(71、72、73)由集群(26)的工作节点(worker node, 31)上的共同的输入点(27)同步。
集群(26)的行为遵循根据图5的序列。在处理之前,由输入点(27)给输入数据(11)配备一致的标识符(Kennung),根据所述标识符可以通过比较器(63)将所述输入数据彼此分配(28)。在此期间,对于比较器(63)而言最初存在的输出数据(15-图2)被保存(29)在优选地由多个实例共同使用的缓存存储器(cache(高速缓冲存储器))中,所述缓存存储器可以在比较之后再次被释放(35)。根据面向服务架构(service-oriented architecture,SOA)的指导原则(Leitbild),使这些请求(requests)保持挂起(anhängig),直到反馈相应的结果(24)为止。
从逻辑锁步功能得出图6的总图。在此,容器组(61、62、63)的冗余副本应该在不同的工作节点(31、32、33、34)上运行,使得在单个节点(31、32、33、34)故障的情况下锁步的系统功能仍保持得以保证。Kubernetes负载分配(load balancing(负载平衡))可以自动补偿这些故障。
除了将锁步原理转移(Portierung)到云环境中,错误控制(Fehlerbeherrschung)的机制也是所提出的方法的一个重要方面。有意义的是,使锁步与所意图的功能并行地操作(operieren),使得数据流只有在成功的检验之后才能被释放用于进行进一步处理。
通过E2E防护而使得可能的错误的源可识别。在此,已通过违背E2E保护而表明由外部影响所引起的错误。
也通过违背E2E安全性而表明Kubernetes集群(26)中的各个功能元素的相关性。尤其是,从网络之外的计算机到特定Kubernetes集群(26)的路径通过E2E架构被防护免受所有影响。
锁步的所有输入和输出数据同样由于违背E2E比较而被标识。从而,在少量安全数据和要快速处理的实时数据的情况下,可以放弃这两个锁步步骤(输入数据和输出数据比较)。
由于锁步中的及时比较,根据本发明仅需考虑计算单元的从自身指令集的错误而得出的错误。可以快速地比较逻辑函数、如除、加或求对数,并且可以显著减少必须实际上时钟同步地比较的数据的量。可替代地,考虑根据IEC 61508的编码处理(codedprocessing),在所述编码处理过程中,仅以锁步方法比较编码,并且无延迟地转发评价为正确的数据。
图7示出方法(10)的一种可能的变型方案。尤其是在输出的情况下,比较装置(25-图1)也可以附加地比较时间戳并且从而比较给所述比较装置输送(17)输出数据(15)的时间点。在实时系统的情况下,此外可以在这一点检查数据是否及时地被输送(17)给比较器(25-图1)。如果数据及其控制字段或签名在比较中证明为不正确的,则这种延迟的认识尽管如此仍能够被转发给另一计算单元并且被配备(20)明确的签名,所述签名将该结果(24-图1)标记为延迟的,但不标记为在内容上是错误的。该提示在有关系统中通常导致降级。在软实时应用中,也可以容忍这样的结果(24-图1)。
比较器(25-图1)还可以异步地检查所有特征;因此可以例如以在逻辑上不同地分级的方式检查数据、签名和时间戳的比较,使得只有在执行所有比较和检查之后才以时间偏移的方式发送最高安全等级上的最终结果(24-图1)。
Claims (10)
1.一种用于控制驾驶功能的方法(10),其特征在于以下特征:
-将对于所述驾驶功能而言相关的输入数据(11)输送(13)到计算机网络(26);
-通过在所述计算机网络(26)中在至少一个第一计算单元(41)和第二计算单元(42)上冗余地处理(14)所述输入数据(11)而分别产生输出数据(15);
-由每个计算单元(41、42)对相应输出数据(15)补充(16)控制字段;
-将所述计算单元(41、42)的输出数据(15)输送(17)给比较并且确定(18)所述比较的结果(24);和
-根据所述结果(24),如果所述输出数据(15)和控制字段经受住所述比较,则将所述输出数据(15)按具体情况连同相应控制字段一起考虑(19)用于所述驾驶功能;或者如果所述输出数据(15)或控制字段有偏差,则标记(20)为有错误的。
2.根据权利要求1所述的方法(10),其特征在于以下特征:
-所述输入数据(11)也配备有控制字段,和
-如果所述输入数据(11)和所述控制字段不一致,则所述输入数据(11)在所述处理(14)之前被丢弃(12)。
3.根据权利要求1或2所述的方法(10),其特征在于以下特征:
-根据请求(22),通过控制程序(23)将所述输入数据(11)分配到所述计算机网络(26)的多个服务器(31、32、33)上,
-在所述服务器(31、32、33)之一上运行每个计算单元(41、42),并且
-将所述结果(24)或比较失败反馈给所述控制程序(23)。
4.根据权利要求3所述的方法(10),其特征在于以下特征:
-所述处理单元(41、42)是应用程序容器(41、42、51、52),
-对于所述驾驶功能而言安全相关的所述输入数据(11)的所述处理(14)和所述输出数据(15)的比较在所述应用程序容器(41、42、51、52)中的特别受防护的容器(51、52)中进行,和
- 对于所述驾驶功能而言非安全相关的输出数据(15)直接被转发(21)。
5.根据权利要求3或4所述的方法(10),其特征在于以下特征:
-所述计算机网络(26)是Kubernetes集群(26),
-所述服务器(31、32、33)是在具有成对复制的容器组(61、62、63)的集群(26)中的工作节点(31、32、33、34),
-所述第一计算单元(41)是所述容器组(61、62、63)中的通过所述集群(26)的第一服务(71)可达的第一容器组(61),
-所述第二计算单元(42)是所述容器组(61、62、63)中的通过所述集群(26)的第二服务(72)可达的第二容器组(62),
-在所述容器组(61、62、63)中的通过所述集群(26)的第三服务(73)可达的第三容器组(63)上进行所述比较,并且
-由所述工作节点(31、32、33、34)之一上的共同的输入点(27)对所述服务(71、72、73)同步。
6.根据权利要求5所述的方法(10),其特征在于以下特征:
-在所述第一容器组(61)和所述第二容器组(62)上的所述处理(14)之前,由所述输入点(27)给所述输入数据(11)配备(28)一致的标识符,并且
-将对于所述第三容器组(63)而言针对所述比较而最初存在的输出数据(15)保存在缓存存储器中,直至要比较的输出数据(15)根据所述标识符被相互分配(29)为止。
7.根据权利要求6所述的方法(10),其特征在于以下特征:
- 由所述第三容器组(63)确认(30):缓存存储针对所述比较而最初存在的输出数据(15),
-在所述比较之后,由所述第三容器组释放(35)所述缓存存储器,并且
-使所述请求(22)保持挂起(36)直至通过所述第三容器组(63)反馈所述结果(24)为止。
8.一种计算机程序,所述计算机程序被设立用于执行根据权利要求1至7中任一项所述的方法(10)。
9.一种机器可读存储介质,在所述机器可读存储介质上存储有根据权利要求8所述的计算机程序。
10.一种设备(31、32、33、34),所述设备被设立用于执行根据权利要求1至7中任一项所述的方法(10)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102021202935.3A DE102021202935A1 (de) | 2021-03-25 | 2021-03-25 | Verfahren und Vorrichtung zum Steuern einer Fahrfunktion |
DE102021202935.3 | 2021-03-25 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115129110A true CN115129110A (zh) | 2022-09-30 |
Family
ID=83192612
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210294878.5A Pending CN115129110A (zh) | 2021-03-25 | 2022-03-24 | 用于控制驾驶功能的方法和设备 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220308539A1 (zh) |
CN (1) | CN115129110A (zh) |
DE (1) | DE102021202935A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021211908A1 (de) | 2021-10-21 | 2023-04-27 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Verarbeiten von Daten |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230113718A1 (en) * | 2017-04-26 | 2023-04-13 | View, Inc. | Self orchestrating network |
US20210302799A1 (en) * | 2017-04-26 | 2021-09-30 | View, Inc. | Remote management of a facility |
US11214273B2 (en) | 2017-06-23 | 2022-01-04 | Nvidia Corporation | Method of using a single controller (ECU) for a fault-tolerant/fail-operational self-driving system |
US10946866B2 (en) | 2018-03-31 | 2021-03-16 | Intel Corporation | Core tightly coupled lockstep for high functional safety |
US11005649B2 (en) | 2018-04-27 | 2021-05-11 | Tesla, Inc. | Autonomous driving controller encrypted communications |
US11023179B2 (en) * | 2018-11-18 | 2021-06-01 | Pure Storage, Inc. | Cloud-based storage system storage management |
US20220300344A1 (en) * | 2019-06-12 | 2022-09-22 | Arigato Machine, Inc., Dba Manifold | Flexible credential supported software service provisioning |
DE112020006966T5 (de) * | 2020-03-25 | 2023-01-26 | Intel Corporation | Wahrnehmung über dynamische kontextbezogene strassenbelegungskarten für die sicherheit ungeschützter verkehrsteilnehmer in intelligenten transportsystemen |
US20220237414A1 (en) * | 2021-01-26 | 2022-07-28 | Nvidia Corporation | Confidence generation using a neural network |
-
2021
- 2021-03-25 DE DE102021202935.3A patent/DE102021202935A1/de active Pending
-
2022
- 2022-03-17 US US17/697,200 patent/US20220308539A1/en active Pending
- 2022-03-24 CN CN202210294878.5A patent/CN115129110A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
DE102021202935A1 (de) | 2022-09-29 |
US20220308539A1 (en) | 2022-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103262045B (zh) | 具有容错架构的微处理器系统 | |
Chérèque et al. | Active replication in Delta-4 | |
US10127161B2 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
Kohn et al. | Fail-operational in safety-related automotive multi-core systems | |
US20150033357A1 (en) | Method for improving the functional security and increasing the availabiilty of an electronic control system, and electronic control system | |
Bhat et al. | Practical task allocation for software fault-tolerance and its implementation in embedded automotive systems | |
US10042812B2 (en) | Method and system of synchronizing processors to the same computational point | |
Schiffel et al. | Software-implemented hardware error detection: Costs and gains | |
CN115129110A (zh) | 用于控制驾驶功能的方法和设备 | |
Kopetz et al. | Tolerating arbitrary node failures in the time-triggered architecture | |
US10089195B2 (en) | Method for redundant processing of data | |
Bhatotia et al. | Reliable data-center scale computations | |
Aidemark et al. | A framework for node-level fault tolerance in distributed real-time systems | |
CN106940667B (zh) | 检验具有多个计算单元的系统中的计算结果的方法和设备 | |
Idirin et al. | Implementation details and safety analysis of a microcontroller-based SIL-4 software voter | |
Ghadhab et al. | A controller safety concept based on software-implemented fault tolerance for fail-operational automotive applications | |
Thekkilakattil et al. | Mixed criticality systems: Beyond transient faults | |
US20230415757A1 (en) | Data processing network for performing data processing | |
Obermaisser et al. | A fault hypothesis for integrated architectures | |
US11940888B2 (en) | Technology to provide fault tolerance for elliptic curve digital signature algorithm engines | |
US11982984B2 (en) | Automation system for monitoring a safety-critical process | |
Zimmer et al. | Fault resilient real-time design for noc architectures | |
Axer | Performance of time-critical embedded systems under the influence of errors and error handling protocols | |
Proenza et al. | Using FTT and stars to simplify node replication in CAN-based systems | |
US11613266B2 (en) | Monitoring a component of a control system for a means of transport |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |