CN115743167A - 实施至少一个部分自动化驾驶功能的云计算装置和运行云计算装置的方法和计算机程序产品 - Google Patents
实施至少一个部分自动化驾驶功能的云计算装置和运行云计算装置的方法和计算机程序产品 Download PDFInfo
- Publication number
- CN115743167A CN115743167A CN202211072394.2A CN202211072394A CN115743167A CN 115743167 A CN115743167 A CN 115743167A CN 202211072394 A CN202211072394 A CN 202211072394A CN 115743167 A CN115743167 A CN 115743167A
- Authority
- CN
- China
- Prior art keywords
- cloud computing
- computing device
- enclave
- time base
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/02—Registering or indicating driving, working, idle, or waiting time only
- G07C5/04—Registering or indicating driving, working, idle, or waiting time only using counting means or digital clocks
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
实施机动车的至少一个部分自动化的驾驶功能的云计算装置和运行云计算装置的方法和计算机程序产品云计算装置具有带有监控模块的飞地。云计算装置设置用于接收数据并将其传送给飞地以实施机动车的至少一个部分自动化驾驶功能。监控模块设置用于检查所传送数据是否在基本时钟内由飞地接收并释放在基本时钟内由飞地接收的数据以由飞地使用。云计算装置设置用于接收云计算装置外部时基、使云计算装置内部时基与云计算装置外部时基同步并不仅将云计算装置外部时基还将经同步云计算装置内部时基传送给飞地。飞地设置用于在基本时钟内将云计算装置外部时基与经同步云计算装置内部时基相互比较并在时间偏差低于确定阈值情况下使用在基本时钟内接收的数据。
Description
技术领域
本发明涉及一种用于实施机动车的至少一个部分自动化的驾驶功能的云计算装置(Cloudrechner)、一种用于运行云计算装置的方法和一种用于执行该方法的计算机程序产品。
背景技术
在当今的用于机动车的自动化系统中,运行安全和信息安全发挥着越来越重要的作用。然而,在已知的解决方案中,在运行安全和信息安全方面的措施通常相互矛盾。除此之外,这种措施通常与别的要求互不相容,例如在可用性、性能方面的要求和时间要求和尤其是实时要求。特别是在设计具有微控制器和微处理器的控制装置时,重要的是,在考虑所提到的质量要求的情况下找到合适的折衷方案。在此重要的是,在云中,在定义的实时间隔内,可以以能够核查的方式在正确性方面处理数据。
由现有技术已知,将交通流的和/或个体化的自动化机动车的控制装置的至少部分迁移到云中。在本说明书的上下文中,“云”应理解为虚拟化的硬件资源的集合(Zusammenstellung),所述虚拟化的硬件资源例如是存储空间和/或计算能力和/或网络。以基于因特网的方式提供云,并且该云使得能够访问所述虚拟化的硬件资源。
然而,为此在云中必须存在安全的计算装置,该计算装置构造用于考虑所有所提到的质量要求。当今的云系统(例如AZURE云)和控制机制(例如Kubernetes)只着重于信息安全和私密性的方面。即使是对基础系统的可信性的系统性考虑,也很少得到这种机制的支持。如果还想要在功能上安全地实施云中的动态进程和复合规则级联(multiple Regelkaskaden),则还需要动态地在运行时间条件下借助不同的安全机制来保护数据流。
一般来说,云系统是相对高性能的。然而,当例如通过Kubernetes进行切换时,或者当安全算法例如已识别出关键的威胁模式时,这些云系统通常经受波动。借助已知的安全机制可以辨认这种效应,但是迄今为止还没有可以抵消例如时间上的波动、在性能方面的波动或者可用性波动的已知措施。
发明内容
本发明的任务在于,提供一种改善的用于实施机动车的至少一个部分自动化的驾驶功能的云计算装置、给出一种用于运行云计算装置的方法并且提供一种用于执行该方法的计算机程序产品。该任务通过用于实施机动车的至少一个部分自动化的驾驶功能的云计算装置、用于运行云计算装置的方法和用于执行该方法的计算机程序产品来解决。有利的扩展方案分别在下文中给出。
用于实施机动车的至少一个部分自动化的驾驶功能的云计算装置具有飞地(Enklave),该飞地具有监控模块。所述云计算装置设置用于,接收数据,并且将所述数据传送给飞地以实施机动车的至少一个部分自动化的驾驶功能。所述监控模块设置用于,检查为了实施机动车的至少一个部分自动化的驾驶功能而传送的数据是否在基本时钟内接收,并且释放(freizugeben)在该基本时钟内由飞地接收到的数据以由该飞地使用。所述云计算装置设置用于,接收云计算装置外部的时基,使云计算装置内部的时基与云计算装置外部的时基同步,并且不仅将云计算装置外部的时基而且将经同步的云计算装置内部的时基传送给所述飞地。该飞地设置用于,在基本时钟内将所述云计算装置外部的时基与所述经同步的云计算装置内部的时基相互比较,并且在时间偏差低于确定的阈值的情况下使用在该基本时钟内接收到的数据。
“飞地”理解为隔离的且值得信赖的运行时间环境(英语:trusted executionenvironment,TEE,可信执行环境)。飞地例如包括处理器的和工作存储器的以下区域:所述区域被保留用于实施定义的程序组成部分。飞地能够实现以下功能的实施:该功能以与包括该飞地的系统的别的功能隔离的方式实施。因此,飞地的安全与系统的安全无关,在这种情况下与云计算装置的安全无关。飞地例如可以借助软件保护扩展(英语:Software GuardExtension,SGx)创建,该软件保护扩展是所谓的x86架构的扩展。
基本时钟在一定程度上形成云计算装置的“心跳”(英语:heart beat),该心跳表明云计算装置的功能单元是否仍在功能上安全地实施并且因此能够将数据传输给飞地。因此,监控模块也可以被称为心跳模块。有利地,在云计算装置内可以通过该监控模块来监控用于实施机动车的至少一个自动化的驾驶功能的数据的通信或数据传输,由此可以在云计算装置中保障功能安全的方面并且可以使所述方面相互协调一致。然而,与机动车的通信也可以基于心跳原理来保护,由此可以实现基于心跳原理的总方案。
云计算装置基于以下想法:将用于实施机动车的至少一个部分自动化的驾驶功能的数据及时传送给飞地。由此可以有利地在机动车的实时控制装置的框架中使用云计算装置。该机动车也可以被称为自动化机动车。在当前的总说明书的框架中,“部分自动化的驾驶功能”应被称为辅助驾驶功能、部分自动化驾驶功能、高度自动化驾驶功能、全自动化驾驶功能或者自主驾驶功能。
飞地的缺点在于,该飞地本身不能够提供自己的时基,因此需要外部的独立的时基并且必须使该外部的独立的时基与云计算装置内部的时基同步。此外,飞地本身不能够核查自己的时基的正确性,因为不能够用简单的方法可靠地相对于云计算装置外部的时基(例如GPS时间等)检查飞地中的时基。在没有另外的措施的情况下,黑客例如可能伪造假的GPS时间。出于这些原因,必须以安全的方式向飞地提供时基,以便尤其满足实时要求。这通过以下方式来实现:所述云计算装置设置用于,接收云计算装置外部的时基,使云计算装置内部的时基与云计算装置外部的时基同步,并且不仅将云计算装置外部的时基而且将经同步的云计算装置内部的时基传送给所述飞地。基本时钟表示用于对传送给飞地的时基进行监控的时基。
云计算装置外部的时基可以由任意的计时器系统(Zeitgebersystem)提供。例如,云计算装置外部的时基可以是GPS时基、Galileo时基或者Glonass时基。飞地也可以设置用于,接收多个云计算装置外部的时基,并且检查至少两个接收到的云计算装置外部的时基是否至少在确定的时间段中彼此一致并且将相一致的时基中的一个时基与经同步的云计算装置内部的时基进行比较。在一种实施方式中,云计算装置设置用于借助加密措施来保护向飞地进行的时基的传送。
有利地,云计算装置可以由此满足关于功能安全的定义的要求,其中,可以使功能安全的不同方面相互协调。例如有利地存在以下可能性:在运行时间期间、即在机动车运行时监控不同的故障事件和不足事件例如可以识别诸如停止运转和功能故障之类的故障事件。此外,例如可以消除可用性问题。例如,可以确定某些功能单元是否在功能上是运行就绪的。
在一种实施方式中,监控模块设置用于向飞地提供基于基本时钟的进程时基(Prozesszeitbasis)。飞地设置用于,将进程时间与云计算装置外部的时基和/或与经同步的云计算装置内部的时基进行比较,并且在至少一个时间偏差低于确定的阈值的情况下使用接收到的数据。有利地,通过进程时基为飞地提供另外的时基。在进程时间与云计算装置外部的时基和/或与经同步的云计算装置内部的时基之间的时间偏差增长的情况下,可以推断出故障。
在一种实施方式中,云计算装置具有另外的飞地,该另外的飞地具有另外的监控模块。云计算装置设置用于,从机动车接收数据,并且将数据传送给另外的飞地以实施机动车的至少一个部分自动化的驾驶功能。另外的监控模块设置用于,检查是否在基本时钟内将数据传送给另外的飞地,并且释放在基本时钟内由另外的飞地接收到的数据以由另外的飞地使用。云计算装置设置用于,接收另外的云计算装置外部的时基,使另外的云计算装置内部的时基与另外的云计算装置外部的时基同步,并且不仅将另外的云计算装置外部的时基而且将另外的经同步的云计算装置内部的时基传送给另外的飞地。另外的飞地设置用于,在基本时钟内将另外的云计算装置外部的时基与另外的经同步的云计算装置内部的时基相互比较,并且在时间偏差低于确定的阈值的情况下使用接收到的数据。有利地,由此可以单独地以安全且受保护的方式运行云计算装置的不同区段。另外的飞地也可以构造为冗余的飞地。在这种情况下,冗余的飞地可以在紧急情况下代替所述飞地,反之亦然。
在一种实施方式中,另外的飞地构造为该飞地的冗余的飞地。飞地和冗余的飞地设置用于,相互交换接收到的时基并且分别将接收到的时基相互比较,并且在至少一个时间偏差低于确定的阈值的情况下分别使用接收到的数据。在一种实施方式中,另外的飞地构造为该飞地的冗余的飞地。飞地和冗余的飞地设置用于相互监控。有利地,由此可以在出现变化时确定飞地中的一个飞地的功能流程中的偏差。由此例如可以辨认攻击,例如这种攻击:在所述攻击的情况下,伪造的数据和/或时基已在攻击的框架中传送给飞地中的一个飞地。在受到威胁的飞地的情况下,可以安全且没有危险地实施紧急功能。通过这种方式,系统即使在受损的状态中也仍然能够被置于安全且受保护的状态中。
监控模块可以有利地在云计算装置的不同区域中实现。在一种实施方式中,云计算装置具有附加的监控模块。附加的监控模块是云计算装置的基于容器的计算单元的组成部分或者云计算装置的分区的组成部分或者云计算装置的附加的飞地的组成部分。附加的监控模块设置用于,检查为了实施机动车的至少一个部分自动化的驾驶功能而传送的数据是否在基本时钟内传送给基于容器的计算单元或者分区或者附加的飞地,并且释放在基本时钟内由基于容器的计算单元或者分区、附加的飞地接收到的数据以由基于容器的计算单元或者分区或者附加的飞地使用。也可以在云计算装置中设置多个附加的监控模块。由此可以有利地在云计算装置中提供联网的心跳机制。
云计算装置的基于容器的计算单元例如可以是所谓的Kubernetes集群(Kubernetes Pods)。集群是最小的可使用的单元,其可以在Kubernetes(一种基于云的容器平台)中创建和管理。集群是具有共用的存储器资源和网络资源和用于实施容器的详细说明(Spezifikation)的一个或者多个容器的组。集群是可动态扩展的,例如在存储器需求或者计算性能方面。
云计算装置也可以具有冗余的基于容器的计算单元。冗余的基于容器的计算单元可以在实施部分自动化的驾驶功能的框架中分别同步地激活。由此可以有利地保护不同功能单元、例如特别安全关键的功能单元。对分区中的应用的隔离可以例如借助Docker来实现。
有利地,可以对所提到的用于分隔或用于分离功能单元的机制进行监控。通过飞地创造安全的运行时间环境,该运行时间环境可以将任意的测试媒介物(Testvektor)引入到安全系统中,例如这种测试媒介物:所述测试媒介物表示潜在的威胁,由此可以引入例如性能测试、实时测试和故障注入测试。视需求而定地,可以调整心跳原理用于相应的架构。
在一种实施方式中,监控模块或者附加的监控模块设置为上级的监控模块。上级的监控模块设置用于,检查从基于容器的计算单元或者分区或者附加的飞地传送给飞地的数据是否在基本时钟内传送,所述数据用于实施至少一个部分自动化的驾驶功能,并且释放在基本时钟内由飞地接收到的数据以由飞地使用。
在一种实施方式中,用于实施机动车的至少一个部分自动化的驾驶功能的数据包括机动车的和/或来自基础设施元件的和/或应用软件的有用数据和监控数据。监控数据包含关于有用数据的质量的信息。
有用数据可以包括控制该机动车所需要的所有数据。例如,有用数据可以包括至少机动车的环境数据,所述环境数据表示该机动车的环境并且可以由至少一个传感器装置提供。然而,有用数据例如也可以包括机动车方面的参数,例如机动车的当前位置和/或机动车的当前速度等。
在一种实施方式中,云计算装置设置用于在锁步运行中运行至少一个功能单元。“锁步”理解为用于在(虚拟化的)硬件中进行故障识别的方法,该方法典型地尤其在处理器和微控制器中使用。锁步的突出之处在于,使用多个相同的或者相同类型的单元,例如多核处理器中的CPU核芯。有利地,由此附加地在功能上保护至少一个基于容器的计算单元的至少一部分。例如,可以借助锁步来保护算术逻辑单元(英语:arithmetic logic unit,ALU)。替代锁步,也可以使用例如具有比较器的非对称冗余,其中,该比较器例如可以在飞地中实现。
用于运行云计算装置的方法包括以下方法步骤:接收数据,并且将所述数据传送给飞地以实施机动车的至少一个部分自动化的驾驶功能。检查所传送的数据是否在基本时钟内由飞地接收,并且释放在基本时钟内由飞地接收的数据以由飞地使用。接收云计算装置外部的时基,并且使云计算装置外部的时基与云计算装置内部的时基同步。将云计算装置外部的时基和经同步的云计算装置内部的时基传送给飞地。在基本时钟内将云计算装置外部的时基与经同步的云计算装置内部的时基进行比较。在时间偏差低于确定的阈值的情况下使用在基本时钟内接收到的数据。
在一种实施方式中,接收数据,并且将所述数据传送给另外的飞地,以实施机动车的至少一个部分自动化的驾驶功能。检查所传送的数据是否在基本时钟内由另外的飞地接收,并且释放在基本时钟内由另外的飞地接收的数据,以由另外的飞地使用。接收另外的云计算装置外部的时基,并且使另外的云计算装置外部的时基与另外的云计算装置内部的时基同步。将另外的云计算装置外部的时基和另外的经同步的云计算装置内部的时基传送给另外的飞地。在基本时钟内将另外的云计算装置外部的时基与经同步的云计算装置内部的时基进行比较。在时间偏差低于确定的阈值的情况下使用在基本时钟内接收到的数据。
在一种实施方式中,接收另外的飞地的至少一个另外的时基,比较接收到的时基,并且在至少一个时间偏差低于确定的阈值的情况下使用接收到的数据。在一种实施方式中,另外的飞地构造为该飞地的冗余的飞地。借助冗余的飞地监控该飞地。也可以进行飞地的相互监控。
计算机程序产品包括指令,在所述指令在计算机上实施时,指令促使计算机执行根据上述实施方式中任一种所述的方法。计算机程序产品例如可以存储在机器可读的存储介质上。
附图说明
下面根据示意性附图以其他特征和优点详细地描述本发明。附图示出:
图1示出云计算装置;
图2示出飞地中的时基的提供;
图3以更详细的视图示出图1的云计算装置,其中,示出到机动车的数据流和在云计算装置内的数据流;
图4示出用于运行云计算装置的方法;
图5示出用于执行该方法的计算机程序产品。
具体实施方式
图1示意性示出云计算装置1。云计算装置1设置用于实施机动车的至少一个部分自动化的驾驶功能。云计算装置1在云基础设施中实现。该机动车可以是任意的机动车。
云计算装置1具有多个基于容器的计算单元2。基于容器的计算单元2例如可以设置用于机动车的不同驾驶功能。基于容器的计算单元2例如可以是Kubernetes集群。至少一个基于容器的计算单元2可以划分为分区4。例如,图1示出基于容器的计算单元2划分为两个分区4。然而,基于容器的计算单元2的分区化不是一定必需的。作为基于容器的计算单元2的替代或附加,云计算装置1还可以具有别的计算单元2。
云计算装置1具有至少一个飞地5,该至少一个飞地具有监控模块3。图1仅示例性地示出,基于容器的计算单元2的两个分区4分别包括两个飞地5。然而,飞地5不一定必须设置在分区4内。监控模块3是至少一个飞地5的组成部分。监控模块3设置用于,检查为了实施机动车的至少一个部分自动化的驾驶功能而传送的数据是否在基本时钟内传送给飞地5,并且释放在基本时钟内由飞地5接收到的数据以由飞地5使用。
云计算装置1还可以具有附加的监控模块3。附加的监控模块3例如可以是云计算装置1的基于容器的计算单元2的组成部分或者云计算装置1的分区4的组成部分或者云计算装置1的附加的飞地3的组成部分。附加的监控模块3设置用于,检查为了实施机动车的至少一个部分自动化的驾驶功能而传送的数据是否在基本时钟内传送给基于容器的计算单元2或者分区4或者附加的飞地5,并且释放在基本时钟内由基于容器的计算单元2或者分区4、附加的飞地5接收到的数据以由基于容器的计算单元2或者分区4或者附加的飞地5使用。由此,云计算装置具有监控模块3的分支系统。这些监控模块还可以设置用于相互交换数据。
监控模块3或者附加的监控模块3可以分别例如设置为上级的监控模块。在这种情况下,剩余的监控模块3可以设置为下级的监控模块3。该上级的监控模块还可以被称为主心跳(Master-Heartbeat)。该上级的监控模块设置用于,检查从基于容器的计算单元2或者分区4或者附加的飞地5传送给飞地5的数据(所述数据用于实施至少一个部分自动化的驾驶功能)是否在基本时钟内传送,并且释放在基本时钟内由飞地5接收到的数据以由飞地5使用。然而,附加的监控模块3不必设置为下级的或者上级的监控模块3。也可以省去附加的监控模块3。
云计算装置1还可以包括冗余的区段,这同样不是一定必需的。在此,不仅飞地5、分区4和/或基于容器的计算单元2可以冗余地构造。图1示例性地示出两个相同地构造的基于容器的计算单元2、2′。冗余的基于容器的计算单元2′的结构相应于基于容器的计算单元2的结构。在云计算装置1运行时,冗余的区段可以同步地激活,由此能够冗余地实施部分自动化的驾驶功能。
图2示意性示出用于各一个分区4、4′的示例性为两个的飞地5、5′的时基的提供,所述分区是云计算装置1的基于容器的计算单元2的组成部分。分区4和另外的分区4′例如可以设置为冗余的分区,然而这不是一定必需的。另外的飞地5′例如可以构造为飞地5的冗余的飞地5′,这同样不是一定必需的。云计算装置1的基于容器的计算单元2的在图2中示出的架构例如可以分区4、4′的锁步运行。然而,基于容器的计算单元2的与在图2中示出的架构不同的架构也是可能的。
云计算装置1设置用于,接收云计算装置外部的时基24,使云计算装置内部的时基25与云计算装置外部的时基24同步,并且不仅将云计算装置外部的时基24而且将经同步的云计算装置内部的时基传送给飞地5。飞地5设置用于,在基本时钟内将云计算装置外部的时基24与经同步的云计算装置内部的时基相互比较,并且在时间偏差低于确定的阈值的情况下使用在基本时钟内接收到的数据。通过心跳原理,为时间监控和性能监控提供基本时钟,该基本时钟表示用于控制流和数据流的主动实施的时基。
在所示出的、图2的示例中,云计算装置1还设置用于,从机动车接收数据,并且将所述数据传送给另外的飞地5′以实施机动车的至少一个部分自动化的驾驶功能。另外的飞地5′的另外的监控模块3′设置用于,检查是否在基本时钟内将数据传送给另外的飞地5′,并且释放在基本时钟内由另外的飞地5′接收到的数据以由另外的飞地5′使用。
图2的云计算装置1设置用于,接收另外的云计算装置外部的时基24′,使另外的云计算装置内部的时基25′与另外的云计算装置外部的时基24′同步,并且不仅将另外的云计算装置外部的时基24′而且将另外的经同步的云计算装置内部的时基传送给另外的飞地5′。另外的飞地5′设置用于,在基本时钟内将另外的云计算装置外部的时基24′与另外的经同步的云计算装置内部的时基相互比较,并且在时间偏差低于确定的阈值的情况下使用接收到的数据。
监控模块3也可以设置用于,向飞地5提供基于基本时钟的进程时基。飞地5设置用于,将进程时间与云计算装置外部的时基和/或与经同步的云计算装置内部的时基进行比较,并且在至少一个时间偏差低于确定的阈值的情况下使用接收到的数据。然而,进程时基的提供和该进程时基与别的时基的比较不是一定必需的。
飞地5和另外的飞地5′可以设置为冗余的飞地5、5′。在这种情况下,飞地5和冗余的飞地5′可以设置用于,相互交换接收到的时基,并且分别将所述接收到的时基相互比较,并且在至少一个时间偏差低于确定的阈值的情况下分别使用接收到的数据。飞地5和冗余的飞地5′也可以设置用于相互监控,然而这不是必需的。
云计算装置1可以设置用于,借助加密措施确保向飞地5、5′进行的云计算装置外部的时基24、24′的传送和/或经同步的云计算装置内部的时基的传送,由此可以向飞地5、5′提供特别受保护的时基。然而,也可以省去另外的飞地5′和其另外的监控模块3′。
图3以更详细的视图示意性示出图1的云计算装置1。此外,图3通过实时环境6勾画出机动车。图3说明数据流、即云计算装置1的功能单元之间的通信。为了简单起见,在图3中未示出监控模块3或者附加的和/或另外的监控模块3、3′。
云计算装置1构造用于基于接收到的数据实施机动车的至少一个部分自动化的驾驶功能。用于实施机动车的至少一个部分自动化的驾驶功能的数据例如可以包括该机动车的和/或来自基础设施元件的有用数据7和监控数据8和/或应用软件的有用数据20和监控数据21。监控数据8、21分别包含关于有用数据7、20的质量的信息。例如,有用数据7可以包含不同的传感器数据。在这种情况下,监控数据8例如可以包含关于以下的信息:不同的、但是相似的或者等效的传感器装置的传感器数据是否基本上彼此一致。例如,有用数据7可以包括摄像机数据和激光雷达(英语:light detection and ranging)数据,所述摄像机数据和激光雷达数据分别表示机动车的环境。在这种情况下,监控数据8例如可以包含关于以下的信息:对象已被摄像机检测到,然而未被激光雷达装置检测到。如在图3中所示,监控数据8、21和有用数据7、20在此可以经由单独的通道由云计算装置1接收并且在单独的通道上提供给云计算装置1的功能单元,然而这不是必需的。
有用数据7可以包括至少一个应用软件的用户有用数据20,监控数据8可以包括至少一个应用软件的用户监控数据21。在将用户有用数据传送给云计算装置1之前,可以首先由至少一个逻辑装置22来处理多个软件部分的和/或多个软件的用户有用数据20。也可以通过至少一个安全装置23来监控用户有用数据20和用户监控数据21。在此,可以使用已知的监控措施来监控软件。
图3示出示例性的云计算装置1的功能单元的示例性的组11、12,其中,所述功能单元典型地表示微控制器的元件。然而,云计算装置1也可以具有比在图3中示出的功能单元更少的或者更多的功能单元,所述功能单元也可以以不同于在图3中所示的方式相互连接。
第一组11例如可以包括程序计数器、指令寄存器、状态寄存器、别的寄存器、指令解码器、堆栈指针和ALU。第二组12例如可以包括中断单元、看门狗、石英(Quarz)、定时器、计数器和多路复用器。此外,在云计算装置1中示例性地设置有各种各样的控制元件(英语:Controller)13、存储器14,所述存储器例如是工作存储器、非易失性存储器和可重写的存储器(英语:Erasable Programmable Read Only Memory,EPROM,可擦可编程只读存储器)。除此之外,同样仅示例性地设置模拟数字转换器14、端口15以及输入端和各种各样的输出端16。功能单元之间的数据交换例如可以至少部分地经由内部数据总线17进行。
在图3中示出的功能单元例如可以是基于容器的计算单元2的组成部分。在该基于容器的计算单元2内可以存在分区4和/或飞地5。云计算装置1内的总的通信或数据交换根据心跳原理结合向云计算装置1的飞地5进行的受保护的时基的提供来进行。为此,必要时可以实现以下监控单元3:所述监控单元保证云计算装置1和/或基于容器的计算单元2和/或分区4和/或飞地5循环地接收实施至少一个部分自动化的驾驶功能所需要的有用数据7和监控数据8。
为了进行附加的保护,可以借助锁步18监控至少一个基于容器的计算单元2的至少一部分,这在图3中示例性地为总共三个功能单元勾画出。由此可以在功能层面上特别安全地实施特别关键的功能。可以通过这种方式以适当的方式考虑功能安全的不同方面。对于锁步18,云计算装置1可以具有双通道端口19,该双通道端口用于分离应在锁步运行中实施的关键功能和应在常规运行中实施的那些功能。
图4示意性示出用于运行云计算装置1的方法30的方法步骤31、32、33、34、35、36、37、38、39、40。
在第一方法步骤31中,从云计算装置1接收数据。在第二方法步骤32中,将接收到的数据传送给飞地5,以实施机动车6的至少一个部分自动化的驾驶功能。在第三方法步骤33中,由监控模块3检查所传送的数据是否在基本时钟内由飞地5接收,并且通过监控模块3释放在基本时钟内由飞地5接收到的数据以由飞地5使用。
在第四方法步骤34中,接收云计算装置外部的时基24。在第五方法步骤35中,使云计算装置内部的时基25与云计算装置外部的时基24同步。在第六方法步骤35中,将云计算装置外部的时基24和经同步的云计算装置内部的时基传送给飞地5。在可选的第七方法步骤37中,可以在飞地5、5′之间交换时基24、24′。在第八方法步骤38中,在基本时钟内将云计算装置外部的时基24与经同步的云计算装置内部的时基进行比较。在此,也可以将在可选的第七方法步骤37的框架中交换的时基相互比较。在第九方法步骤39中,在时间偏差低于确定的阈值的情况下,由飞地5使用在基本时钟内接收到的数据。
在第一方法步骤31中附加地可以从云计算装置1接收数据,在第二方法步骤32中可以将所述数据传送给另外的飞地5′,以实施机动车6的至少一个部分自动化的驾驶功能。在第三方法步骤33中附加地可以由另外的飞地5′的另外的监控模块3′检查所传送的数据是否在基本时钟内由另外的飞地5′接收,并且通过另外的监控模块3′可以释放在基本时钟内由另外的飞地5′接收到的数据,以由飞地5′使用。
在第四方法步骤34中,可以附加地接收另外的云计算装置外部的时基24′。在第五方法步骤35中,可以附加地使另外的云计算装置内部的时基25′与另外的云计算装置外部的时基24′同步。在第六方法步骤36中,可以附加地将另外的云计算装置外部的时基24′和经同步的另外的云计算装置内部的时基传送给另外的飞地5′。在可选的第七方法步骤37中,可以在飞地5、5′之间交换时基24、24′。在第八方法步骤38中,可以附加地在基本时钟内将云计算装置外部的时基24′与经同步的云计算装置内部的时基进行比较。在此,也可以将在可选的第七方法步骤37的框架中交换的时基相互比较。在第九方法步骤39中,在时间偏差低于确定的阈值的情况下,可以由另外的飞地5′使用在基本时钟内接收到的数据。
在可选的第十方法步骤40中,可以借助冗余的飞地5′对飞地5进行监控。替代地或者附加地,也可以借助飞地5对冗余的飞地5′进行监控。
图5示意性示出计算机程序产品26,该计算机程序产品包括指令27,在所述指令在计算机上实施时,所述指令促使所述计算机执行根据所描述的实施方式中任一种所述的方法30。计算机程序产品26例如可以存储在机器可读的存储介质28上。
Claims (15)
1.一种云计算装置(1),所述云计算装置用于实施机动车(6)的至少一个部分自动化的驾驶功能,
所述云计算装置具有飞地(5),所述飞地具有监控模块(3),
其中,所述云计算装置(1)设置用于,接收数据,并且将所述数据传送给所述飞地(5)以实施所述机动车(6)的至少一个部分自动化的驾驶功能,
其中,所述监控模块(3)设置用于,检查为了实施所述机动车(6)的至少一个部分自动化的驾驶功能而传送的数据是否在基本时钟内由所述飞地(5)接收,并且释放在所述基本时钟内由所述飞地(5)接收到的数据以由所述飞地(5)使用,
其中,所述云计算装置(1)设置用于,接收云计算装置外部的时基(24),使云计算装置内部的时基(25)与所述云计算装置外部的时基(24)同步,并且不仅将所述云计算装置外部的时基(24)而且将经同步的云计算装置内部的时基传送给所述飞地(5),
其中,所述飞地(5)设置用于,在所述基本时钟内将所述云计算装置外部的时基(24)与所述经同步的云计算装置内部的时基相互比较,并且在时间偏差低于确定的阈值的情况下使用在所述基本时钟内接收到的数据。
2.根据权利要求1所述的云计算装置(1),
其中,所述监控模块(3)设置用于,向所述飞地(5)提供基于所述基本时钟的进程时基,
其中,所述飞地(5)设置用于,将进程时间与所述云计算装置外部的时基(24)和/或与所述经同步的云计算装置内部的时基进行比较,并且在至少一个时间偏差低于确定的阈值的情况下使用接收到的数据。
3.根据上述权利要求中任一项所述的云计算装置(1),
所述云计算装置具有另外的飞地(5′),所述另外的飞地具有另外的监控模块(3′),
其中,所述云计算装置(1)设置用于,从所述机动车(6)接收数据,并且将所述数据传送给所述另外的飞地(5′)以实施所述机动车(6)的至少一个部分自动化的驾驶功能,
其中,所述另外的监控模块(3′)设置用于,检查是否在所述基本时钟内将数据传送给所述另外的飞地(5′),并且释放在所述基本时钟内由所述另外的飞地(5′)接收到的数据以由所述另外的飞地(5′)使用,
其中,所述云计算装置(1)设置用于,接收另外的云计算装置外部的时基(24′),使另外的云计算装置内部的时基(25′)与所述另外的云计算装置外部的时基(24′)同步,并且不仅将所述另外的云计算装置外部的时基(24′)而且将另外的经同步的云计算装置内部的时基传送给所述另外的飞地(5′),
其中,所述另外的飞地(5′)设置用于,在所述基本时钟内将所述另外的云计算装置外部的时基(24′)与另外的经同步的云计算装置内部的时基相互比较,并且在时间偏差低于确定的阈值的情况下使用接收到的数据。
4.根据权利要求3所述的云计算装置(1),
其中,所述另外的飞地(5′)构造为所述飞地(5)的冗余的飞地(5′),
其中,所述飞地(5)和所述冗余的飞地(5′)设置用于,相互交换接收到的时基(24,24′),并且分别将接收到的时基相互比较,并且在至少一个时间偏差低于确定的阈值的情况下分别使用接收到的数据。
5.根据权利要求3或4所述的云计算装置(1),
其中,所述另外的飞地(5′)构造为所述飞地(5)的冗余的飞地(5′),
其中,所述飞地(5)和所述冗余的飞地(5′)设置用于相互监控。
6.根据上述权利要求中任一项所述的云计算装置(1),
其中,所述云计算装置(1)设置用于,借助加密措施确保向所述飞地(5)进行的时基的传送。
7.根据上述权利要求中任一项所述的云计算装置(1),
所述云计算装置具有附加的监控模块(3),
其中,所述附加的监控模块(3)是所述云计算装置(1)的基于容器的计算单元(2)的组成部分或者所述云计算装置(1)的分区(4)的组成部分或者所述云计算装置(1)的附加的飞地(5)的组成部分,
其中,所述附加的监控模块(3)设置用于,检查为了实施所述机动车(6)的至少一个部分自动化的驾驶功能而传送的数据是否在所述基本时钟内传送给所述基于容器的计算单元(2)或者所述分区(4)或者所述附加的飞地(5),并且释放在所述基本时钟内由所述基于容器的计算单元(2)或者所述分区(4)、所述附加的飞地(5)接收到的数据以由所述基于容器的计算单元(2)或者所述分区(4)或者所述附加的飞地(5)使用。
8.根据权利要求7所述的云计算装置(1),
其中,所述监控模块(3)或者所述附加的监控模块(3)设置为上级的监控模块,
其中,所述上级的监控模块设置用于,检查从所述基于容器的计算单元(2)或者所述分区(4)或者所述附加的飞地(5)传送给所述飞地(5)的数据是否在所述基本时钟内传送,所述数据用于实施至少一个部分自动化的驾驶功能,并且释放在所述基本时钟内由所述飞地(5)接收到的数据以由所述飞地(5)使用。
9.根据上述权利要求中任一项所述的云计算装置(1),
其中,用于实施所述机动车(6)的至少一个部分自动化的驾驶功能的数据包括所述机动车(6)的和/或来自基础设施元件的和/或应用软件的有用数据(7,8)和监控数据(8,21),
其中,所述监控数据(8,21)包含关于所述有用数据(7,20)的质量的信息。
10.根据上述权利要求中任一项所述的云计算装置(1),
其中,所述云计算装置(1)设置用于,在锁步运行(18)中运行至少一个功能单元。
11.一种用于运行根据上述权利要求中任一项所述的云计算装置(1)的方法,所述方法具有以下方法步骤:
接收数据,
将接收到的数据传送给飞地(5),以实施机动车(6)的至少一个部分自动化的驾驶功能,
检查所传送的数据是否在基本时钟内由所述飞地(5)接收,并且释放在所述基本时钟内由所述飞地(5)接收的数据以由所述飞地(5)使用,
接收云计算装置外部的时基(24),
使云计算装置内部的时基(25)与所述云计算装置外部的时基(24)同步,
将所述云计算装置外部的时基(24)和经同步的云计算装置内部的时基传送给所述飞地(5),
在所述基本时钟内将所述云计算装置外部的时基(24)与所述经同步的云计算装置内部的时基进行比较,
在时间偏差低于确定的阈值的情况下使用在所述基本时钟内接收到的数据。
12.根据权利要求11所述的方法(30),所述方法具有以下附加的步骤:
接收数据,
将接收到的数据传送给另外的飞地(5′),以实施所述机动车(6)的至少一个部分自动化的驾驶功能,
检查所传送的数据是否在基本时钟内由所述另外的飞地(5′)接收,并且释放在所述基本时钟内由所述另外的飞地(5′)接收的数据以由所述另外的飞地(5′)使用,
接收另外的云计算装置外部的时基(24′),
使另外的云计算装置内部的时基(25′)与所述另外的云计算装置外部的时基(24′)同步,
将所述另外的云计算装置外部的时基(24′)和另外的经同步的云计算装置内部的时基传送给所述另外的飞地(5′),
在所述基本时钟内将所述另外的云计算装置外部的时基(24′)与所述经同步的云计算装置内部的时基进行比较,
在时间偏差低于确定的阈值的情况下使用在所述基本时钟内接收到的数据。
13.根据权利要求12所述的方法(30),所述方法具有以下另外的步骤:
接收所述另外的飞地(5′)的至少一个另外的时基,比较接收到的时基,并且在至少一个时间偏差低于确定的阈值的情况下使用接收到的数据。
14.根据权利要求11至13中任一项所述的方法(30),
其中,所述另外的飞地(5′)构造为所述飞地(5)的冗余的飞地(5′),所述方法具有以下附加的方法步骤:
借助所述冗余的飞地(5′)监控所述飞地(5)。
15.一种计算机程序产品(26),
所述计算机程序产品包括指令(27),在所述指令在计算机上实施时,所述指令促使所述计算机执行根据权利要求11至14中任一项所述的方法(30)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102021209687.5 | 2021-09-03 | ||
DE102021209687.5A DE102021209687A1 (de) | 2021-09-03 | 2021-09-03 | Cloudrechner zur Ausführung zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben eines Cloudrechners |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115743167A true CN115743167A (zh) | 2023-03-07 |
Family
ID=85226680
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211072394.2A Pending CN115743167A (zh) | 2021-09-03 | 2022-09-02 | 实施至少一个部分自动化驾驶功能的云计算装置和运行云计算装置的方法和计算机程序产品 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230076205A1 (zh) |
CN (1) | CN115743167A (zh) |
DE (1) | DE102021209687A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886228A (zh) * | 2023-07-11 | 2023-10-13 | 广州汽车集团股份有限公司 | 时间同步的方法、装置、电子设备及存储介质 |
-
2021
- 2021-09-03 DE DE102021209687.5A patent/DE102021209687A1/de active Pending
-
2022
- 2022-08-26 US US17/896,400 patent/US20230076205A1/en active Pending
- 2022-09-02 CN CN202211072394.2A patent/CN115743167A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US20230076205A1 (en) | 2023-03-09 |
DE102021209687A1 (de) | 2023-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10127161B2 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
Bieber et al. | New challenges for future avionic architectures. | |
CN103262045B (zh) | 具有容错架构的微处理器系统 | |
US8826285B2 (en) | Method and device for encapsulating applications in a computer system for an aircraft | |
Reinhardt et al. | Achieving a scalable e/e-architecture using autosar and virtualization | |
CN105765535B (zh) | 对cpu进行独占受控访问的硬件虚拟化模块 | |
CA2836219C (en) | Distributed avionics system and method for backup handling in an avionics system | |
US7774659B2 (en) | Method of monitoring the correct operation of a computer | |
EP2591416A1 (en) | Method for configuring a distributed avionics control system | |
EP4031963B1 (en) | Tracing status of a programmable device | |
US20180060142A1 (en) | Mixed criticality control system | |
Feiler | Model-based validation of safety-critical embedded systems | |
Perez et al. | A safety concept for a wind power mixed-criticality embedded system based on multicore partitioning | |
CN115743167A (zh) | 实施至少一个部分自动化驾驶功能的云计算装置和运行云计算装置的方法和计算机程序产品 | |
EP2629202B1 (en) | Method of providing high integrity processing | |
Larrucea et al. | A modular safety case for an IEC-61508 compliant generic hypervisor | |
US20230365162A1 (en) | Computer system for providing a plurality of functions for a device, in particular for a vehicle, by separation of a plurality of zones | |
Ahmadian et al. | Distributed Real-Time Architecture for Mixed-Criticality Systems | |
Brewerton et al. | Demonstration of automotive steering column lock using multicore autosar® operating system | |
Chen et al. | Fault Tolerance and the {Five-Second} Rule | |
CN106940667B (zh) | 检验具有多个计算单元的系统中的计算结果的方法和设备 | |
Resch et al. | Software composability and mixed criticality for triple modular redundant architectures | |
CN115129110A (zh) | 用于控制驾驶功能的方法和设备 | |
Feiler | Challenges in validating safety-critical embedded systems | |
US20200278897A1 (en) | Method and apparatus to provide an improved fail-safe system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |