DE102013216444B4 - Aktive Sicherheitssysteme von Fahrzeugen mit Graphikmikroprozessoren - Google Patents

Aktive Sicherheitssysteme von Fahrzeugen mit Graphikmikroprozessoren Download PDF

Info

Publication number
DE102013216444B4
DE102013216444B4 DE102013216444.0A DE102013216444A DE102013216444B4 DE 102013216444 B4 DE102013216444 B4 DE 102013216444B4 DE 102013216444 A DE102013216444 A DE 102013216444A DE 102013216444 B4 DE102013216444 B4 DE 102013216444B4
Authority
DE
Germany
Prior art keywords
processor module
microprocessor
processor
module
fault
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102013216444.0A
Other languages
English (en)
Other versions
DE102013216444A1 (de
Inventor
Mohammed Abdulla Yousuf
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102013216444A1 publication Critical patent/DE102013216444A1/de
Application granted granted Critical
Publication of DE102013216444B4 publication Critical patent/DE102013216444B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Abstract

System eines Fahrzeugs, umfassend:ein Kraftmaschinensteuerungsmodul (ECM), das Kraftmaschinenaktoren auf der Grundlage von Fahrereingaben an ein Lenkrad, an ein Gaspedal, an ein Bremspedal und an ein Geschwindigkeitsregelungssystem steuert;ein erstes Prozessormodul, das einen ersten Mikroprozessor enthält und das einen elektrischen Servolenkungsmotor, Reibungsbremsen und/oder ein Drosselklappenventil auf der Grundlage von verarbeiteten Daten selektiv betätigt;Sensoren, die Merkmale außerhalb des Fahrzeugs erfassen;ein zweites Prozessormodul, das einen zweiten Mikroprozessor enthält und das die verarbeiteten Daten auf der Grundlage von Daten von den Sensoren erzeugt,wobei der zweite Mikroprozessor ein Graphik-Mikroprozessor ist; undein drittes Prozessormodul, das einen dritten Mikroprozessor enthält und das eine Anzeige darüber erzeugt, ob ein Fehler im zweiten Prozessormodul vorhanden ist, wobei das System ferner umfasst:ein externes Objektberechnungsmodul, das enthält:ein viertes Prozessormodul, das einen vierten Mikroprozessor enthält und das selektiv den elektrischen Servolenkungsmotor, die Reibungsbremsen und/oder das Drosselklappenventil auf der Grundlage von zweiten verarbeiteten Daten betätigt;ein fünftes Prozessormodul, das einen fünften Mikroprozessor enthält und das die zweiten verarbeiteten Daten auf der Grundlage der Daten von den Sensoren erzeugt,wobei der fünfte Mikroprozessor der gleiche wie der Graphik-Mikroprozessor ist; undein sechstes Prozessormodul, das einen sechsten Mikroprozessor enthält und das eine Anzeige darüber erzeugt, ob ein Fehler im fünften Prozessormodul vorhanden ist.

Description

  • QUERVERWEIS AUF VERWANDTE ANMELDUNGEN
  • Diese Anmeldung ist mit der US-Patentanmeldung mit der Nr. 13/596,250 verwandt, die am 28. August 2012 eingereicht wurde. Der Offenbarungsgehalt der vorstehenden Anmeldung ist durch Bezugnahme in seiner Gesamtheit hier mitaufgenommen.
  • GEBIET
  • Die vorliegende Offenbarung betrifft Fahrzeugsteuerungssysteme und insbesondere aktive Sicherheitssysteme von Fahrzeugen.
  • HINTERGRUND
  • Die hier bereitgestellte Hintergrundbeschreibung dient dem Zweck einer allgemeinen Darstellung des Kontexts der Offenbarung. Die Arbeit der gegenwärtig genannten Erfinder, sofern sie in diesem Hintergrundabschnitt beschrieben ist, sowie Aspekte der Beschreibung, die zum Zeitpunkt des Einreichens nicht anderweitig als Stand der Technik ausgewiesen sind, werden weder explizit noch implizit als Stand der Technik gegen die vorliegende Offenbarung anerkannt.
  • Ein Fahrzeug enthält mehrere Systeme, etwa ein Antriebsstrangsystem, ein Bremsensystem, ein Kraftstoffsystem usw. Jedes System enthält mehrere Hardwarekomponenten und Sicherheitsmechanismen. Ein Sicherheitsmechanismus kann ein physikalischer Sicherheitsmechanismus oder ein Stück einer Software sein, die von einem Prozessor ausgeführt wird, um als Sicherheitsmechanismus zu wirken. Ein Sicherheitsmechanismus für eine Hardwarekomponente kann eine Gegenmaßnahme durchführen, um ein Sicherheitsniveau bereitzustellen, wenn die Hardwarekomponente ausfällt.
  • Es kann gefordert sein, dass Systeme aus elektrischen Komponenten des Fahrzeugs einer oder mehrerer Anforderungen zur Integrität von Kraftfahrzeughardware entsprechen, etwa dem Standard 26262 der internationalen Standardisierungsorganisation (ISO). Nur als Beispiel kann gefordert sein, dass eine Gefährdung, die auftreten könnte, wenn ein oder mehrere Elemente eines Systems ausfallen, eine Auftretenswahrscheinlichkeit aufweist, die geringer als eine vorbestimmte Wahrscheinlichkeit ist, um dem ISO 26262-Standard zu entsprechen.
  • Die Druckschrift DE 10 2012 205 731 A1 offenbart ein Fahrzeugsystem mit einem Kraftmaschinensteuerungsmodul, das Kraftmaschinenaktoren auf der Grundlage von Fahrereingaben an ein Lenkrad, an ein Gaspedal, an ein Bremspedal und an ein Geschwindigkeitsregelungssystem steuert, mit einem ersten Prozessormodul, das einen ersten Mikroprozessor enthält und das einen elektrischen Servolenkungsmotor, Reibungsbremsen und/oder ein Drosselklappenventil auf der Grundlage von verarbeiteten Daten selektiv betätigt, mit einem zweiten Prozessormodul, das einen zweiten Mikroprozessor enthält und das die verarbeiteten Daten auf der Grundlage von Daten von den Sensoren erzeugt, und mit einem dritten Prozessormodul, das einen dritten Mikroprozessor enthält und das eine Anzeige darüber erzeugt, ob ein Fehler im zweiten Prozessormodul vorhanden ist.
  • In der Druckschrift US 7 920 071 B2 ist ein Augmented-Reality-System offenbart, das zur Steuerung unbemannter Fahrzeuge in einer Umgebung geeignet ist, bei dem ein Prozessorsystem Sensordaten des Fahrzeugs wie Aufenthaltsort und Statusinformationen des Fahrzeugs empfängt und grafisch aufbereitet, sodass sie einer Echtzeitansicht der Umgebung überlagert werden können.
  • Die Druckschrift US 2009 / 0 182 991 A1 offenbart einen Prozessor mit effizienter Signaturgenerierung zum Schutz vor Logikfehlern, bei dem zwei Recheneinheiten eines Prozessorkerns des Prozessors Rechenschritte zeitlich parallel durchführen und die Ergebnisse vergleichen.
  • ZUSAMMENFASSUNG
  • Ein System eines Fahrzeugs enthält ein Kraftmaschinensteuerungsmodul (ECM), ein erstes Prozessormodul, Sensoren, ein zweites Prozessormodul und ein drittes Prozessormodul. Das ECM steuert Kraftmaschinenaktoren auf der Grundlage von Fahrereingaben an ein Lenkrad, an ein Gaspedal, an ein Bremspedal und an ein Geschwindigkeitsregelungssystem. Das erste Prozessormodul enthält einen ersten Mikroprozessor und betätigt selektiv einen elektrischen Servolenkungsmotor, Reibungsbremsen und/oder ein Drosselklappenventil auf der Grundlage von verarbeiteten Daten. Die Sensoren erfassen Merkmale außerhalb des Fahrzeugs. Das zweite Prozessormodul enthält einen zweiten Mikroprozessor und erzeugt die verarbeiteten Daten auf der Grundlage von Daten von den Sensoren. Der zweite Mikroprozessor ist ein Graphik-Mikroprozessor. Das dritte Prozessormodul enthält einen dritten Mikroprozessor und erzeugt eine Anzeige darüber, ob ein Fehler im zweiten Prozessormodul vorhanden ist. Das System enthält zudem ein externes Objektberechnungsmodul, das enthält: ein viertes Prozessormodul, das einen vierten Mikroprozessor enthält und das selektiv den elektrischen Servolenkungsmotor, die Reibungsbremsen und/oder das Drosselklappenventil auf der Grundlage von zweiten verarbeiteten Daten betätigt; ein fünftes Prozessormodul, das einen fünften Mikroprozessor enthält und das die zweiten verarbeiteten Daten auf der Grundlage der Daten von den Sensoren erzeugt, wobei der fünfte Mikroprozessor der gleiche wie der Graphik-Mikroprozessor ist; und ein sechstes Prozessormodul, das einen sechsten Mikroprozessor enthält und das eine Anzeige darüber erzeugt, ob ein Fehler im fünften Prozessormodul vorhanden ist.
  • Bei anderen Merkmalen enthält der erste Mikroprozessor mindestens zwei Prozessorkerne und der zweite Mikroprozessor enthält mindestens vier Prozessorkerne.
  • Bei noch anderen Merkmalen arbeitet der zweite Mikroprozessor mit einer Geschwindigkeit von mindestens 1 Gigahertz (GHz).
  • Bei weiteren Merkmalen enthält der zweite Mikroprozessor eine Klassifizierung von mindestens 9600 DMIPS (Dhrystone-Millionen Anweisungen pro Sekunde).
  • Bei noch weiteren Merkmalen bestimmt das dritte Prozessormodul, ob der Fehler im zweiten Prozessormodul vorhanden ist, auf der Grundlage dessen, ob das zweite Prozessormodul Funktionen in einer vorbestimmten Reihenfolge aufruft.
  • Bei anderen Merkmalen bestimmt das dritte Prozessormodul, dass der Fehler im zweiten Prozessormodul vorhanden ist, wenn das zweite Prozessormodul Funktionen in einer Reihenfolge aufruft, die sich von der vorbestimmten Reihenfolge unterscheidet.
  • Bei noch anderen Merkmalen bestimmt das dritte Prozessormodul, ob der Fehler im zweiten Prozessormodul vorhanden ist, auf der Grundlage dessen, ob das zweite Prozessormodul die Ausführung einer Funktion innerhalb einer vorbestimmten Zeitspanne abschließt.
  • Bei weiteren Merkmalen bestimmt das dritte Prozessormodul, dass der Fehler im zweiten Prozessormodul vorhanden ist, wenn das zweite Prozessormodul entweder die Ausführung der Funktion in einer Zeitspanne abschließt, die größer als die vorbestimmte Zeitspanne ist, oder die Ausführung der Funktion nicht abschließt.
  • Bei noch weiteren Merkmalen gibt das dritte Prozessormodul eine Aufforderung an das zweite Prozessormodul aus und bestimmt auf der Grundlage dessen, ob das zweite Prozessormodul eine vorbestimmte Antwort auf die Aufforderung erzeugt, ob der Fehler im zweiten Prozessormodul vorhanden ist.
  • Bei anderen Merkmalen bestimmt das dritte Prozessormodul, dass der Fehler im zweiten Prozessormodul vorhanden ist, wenn das dritte Prozessormodul eine Antwort erzeugt, die sich von der vorbestimmten Antwort unterscheidet.
  • Bei noch weiteren Merkmalen enthält der zweite Mikroprozessor mindestens vier Prozessorkerne und das dritte Prozessormodul bestimmt, dass der Fehler im zweiten Prozessormodul vorhanden ist, wenn die mindestens vier Prozessorkerne nicht synchronisiert sind.
  • Bei weiteren Merkmalen erzeugt das dritte Prozessormodul eine Aufforderung, der zweite Mikroprozessor enthält mindestens vier Prozessorkerne, ein erster Prozessorkern der mindestens vier Prozessorkerne erzeugt ein erstes Ergebnis auf der Grundlage der Aufforderung, ein zweiter Prozessorkern der mindestens vier Prozessorkerne erzeugt ein zweites Ergebnis auf der Grundlage der Aufforderung, und ein dritter Prozessorkern der mindestens vier Prozessorkerne vergleicht das erste und das zweite Ergebnis. Der erste, zweite und dritte Prozessorkern sind verschiedene Kerne.
  • Bei noch weiteren Merkmalen zeigt der dritte Prozessorkern an, ob das erste und zweite Ergebnis gleich sind, und das dritte Prozessormodul bestimmt, ob der Fehler im zweiten Prozessormodul vorhanden ist, auf der Grundlage der Anzeige dessen, ob das erste und zweite Ergebnis gleich sind.
  • Bei anderen Merkmalen bestimmt das dritte Prozessormodul, dass der Fehler im zweiten Prozessormodul vorhanden ist, wenn der dritte Prozessorkern anzeigt, dass das erste und zweite Ergebnis nicht gleich sind.
  • Bei weiteren Merkmalen enthält der vierte Mikroprozessor mindestens zwei Prozessorkerne und der fünfte Mikroprozessor enthält mindestens vier Prozessorkerne.
  • Bei noch weiteren Merkmalen arbeitet der fünfte Mikroprozessor mit einer Geschwindigkeit von mindestens 1 Gigahertz (GHz).
  • Bei weiteren Merkmalen enthält der fünfte Mikroprozessor eine Klassifizierung von mindestens 9600 DMIPS (Dhrystone-Millionen Anweisungen pro Sekunde).
  • Bei noch weiteren Merkmalen verhindert das dritte Prozessormodul, wenn der Fehler im zweiten Prozessormodul vorhanden ist, dass das erste Prozessormodul den elektrischen Servolenkungsmotor, die Reibungsbremsen und das Drosselklappenventil betätigt.
  • Bei weiteren Merkmalen betätigt das vierte Prozessormodul nur in Ansprechen auf eine Anzeige, dass der Fehler im ersten Prozessormodul vorhanden ist, den elektrischen Servolenkungsmotor, die Reibungsbremsen und/oder das Drosselklappenventil auf der Grundlage der zweiten verarbeiteten Daten.
  • Weitere Anwendungsgebiete der vorliegenden Offenbarung werden sich aus der hier nachstehend bereitgestellten genauen Beschreibung ergeben. Es versteht sich, dass die genaue Beschreibung und spezielle Beispiele nur zur Veranschaulichung gedacht sind und den Umfang der Offenbarung nicht einschränken sollen.
  • Figurenliste
  • Die vorliegende Offenbarung wird anhand der genauen Beschreibung und der beiliegenden Zeichnungen besser verstanden werden, in denen:
    • 1 ein Funktionsblockdiagramm eines beispielhaften Fahrzeugsystems gemäß der vorliegenden Anmeldung ist;
    • 2 ein Funktionsblockdiagramm eines beispielhaften externen Objektberechnungsmoduls gemäß der vorliegenden Anmeldung ist; und
    • 3 ein Funktionsblockdiagramm von beispielhaften Prozessormodulen des externen Objektberechnungsmoduls gemäß der vorliegenden Anmeldung ist.
  • GENAUE BESCHREIBUNG
  • Ein Fahrzeug kann ein oder mehrere aktive Sicherheitssysteme enthalten, die selektiv einen oder mehrere Aktoren des Fahrzeugs steuern. Aktive Sicherheitssysteme enthalten Systeme, die die Lenkung des Fahrzeugs, das Bremsen des Fahrzeugs und/oder die Beschleunigung/Verzögerung des Fahrzeugs justieren. Die Lenkung des Fahrzeugs, das Bremsen des Fahrzeugs und die Beschleunigung/Verzögerung des Fahrzeugs werden allgemein auf der Grundlage einer Eingabe von einem Fahrer gesteuert. Aktive Sicherheitssysteme sind Systeme, welche die Lenkung des Fahrzeugs, das Bremsen des Fahrzeugs und/oder die Beschleunigung/Verzögerung des Fahrzeugs selektiv justieren, um die Fahrereingabe zu ergänzen, um der Fahrereingabe entgegenzuwirken, oder die unabhängig von der Fahrereingabe sind. Aktive Sicherheitssysteme können auch als sicherheitskritische eingebettete Steuerungssysteme (SCEC-Systeme) und halbautonome Fahrsysteme bezeichnet werden.
  • Zum Beispiel kann ein Fahrzeug ein aktives Sicherheitssystem enthalten, das die Lenkung des Fahrzeugs selektiv justiert, zum Beispiel, um ein Fahrzeug in einer Spur zu positionieren (z. B. zu zentrieren), um die Spur zu wechseln, um Objekten auszuweichen und/oder aus einem oder mehreren anderen Gründen. Ein Fahrzeug kann zusätzlich oder alternativ ein aktives Sicherheitssystem enthalten, das selektiv ein Bremsen des Fahrzeugs und/oder die Beschleunigung/Verzögerung des Fahrzeugs justiert, zum Beispiel zum Vermeiden einer Kollision, zur adaptiven Geschwindigkeitsregelung, zur Vorbereitung auf einen Zusammenstoß und/oder aus einem oder mehreren anderen Gründen.
  • Ein Fahrzeughersteller entwickelt einen vorläufigen Bericht für ein Fahrzeug, bevor das Fahrzeug der Öffentlichkeit zum Kauf zur Verfügung gestellt wird. Der vorläufige Bericht kann eine Gefährdung anzeigen, die auftreten könnte, wenn ein oder mehrere Elemente eines Systems des Fahrzeugs ausfallen. Eine Klassifizierung für das System kann durch einen Kraftfahrzeughardware-Integritätsstandard definiert werden, etwa den 26262-Standard, der von der internationalen Standardisierungsorganisation (ISO) erzeugt wurde. Aktive Sicherheitssysteme können beispielsweise in das Kraftfahrzeugsicherheits-Integritätsniveau (ASIL) D des ISO 26262-Standards eingestuft sein.
  • Kraftfahrzeug-Mikroprozessoren wurden speziell entwickelt, um einer oder mehreren der ASIL-Klassifizierungen des ISO 26262-Standards zu entsprechen. Ein aktives Sicherheitssystem kann einen Kraftfahrzeug-Mikroprozessor enthalten, der die Verarbeitung für und den Betrieb des aktiven Sicherheitssystems durchführt. Für sich alleine jedoch kann der eine Kraftfahrzeug-Mikroprozessor eine oder mehrere Anforderungen der ASIL D-Klassifizierung nicht erreichen. Zudem sind Kraftfahrzeug-Mikroprozessoren kostspielig und groß und es kann komplex sein, mehrere (z.B. drei) Kraftfahrzeug-Mikroprozessoren zusammen mit der zugehörigen Funktionalität eines aktiven Sicherheitssystems entsprechend der ASIL D-Klassifizierung zu implementieren.
  • Die vorliegende Offenbarung beschreibt aktive Sicherheitssysteme, die einen Kraftfahrzeug-Mikroprozessor und mindestens einen Graphik-Mikroprozessor enthalten. Graphik-Mikroprozessoren werden typischerweise bei der Verarbeitung intensiver eingebetteter Systeme mit einer oder mehreren Anzeigen verwendet, etwa bei Smartphones, bei Tablet-Computern, bei Navigationssystemen usw. Graphik-Mikroprozessoren werden in aktiven Sicherheitssystemen aufgrund ihrer fehlenden Kompatibilität mit allen ASIL-Klassifizierungen nicht verwendet.
  • Mit Bezug nun auf 1 ist ein Funktionsblockdiagramm eines Fahrzeugsystems 100, das ein aktives Sicherheitssystem enthält, dargestellt. Ein Kraftmaschinensteuerungsmodul (ECM) 104 steuert Kraftmaschinenaktoren auf der Grundlage einer oder mehrerer Fahrereingaben 108. Die Fahrereingaben 108 können eine Gaspedalposition (APP), eine Bremspedalposition (BPP), eine Lenkradposition (auch Lenkwinkel genannt), Eingaben an eine Geschwindigkeitsregelung und andere Fahrereingaben umfassen.
  • Das ECM 104 kann beispielsweise auf der Grundlage einer oder mehrerer der Fahrereingaben 108 eine gewünschte Öffnung eines Drosselklappenventils 112 bestimmen. Ein Drosselklappenaktormodul 116 kann das Drosselklappenventil 112 auf der Grundlage der gewünschten Öffnung betätigen. Obwohl es nicht gezeigt ist, umfassen andere Kraftmaschinenaktoren Kraftstoffeinspritzventile, Zündkerzen, Abgasrückführungsventile (AGR-Ventile), Schubvorrichtungen, Ventilaktoren und/oder Phasensteller usw., sind aber nicht darauf beschränkt.
  • Das ECM 104 kann auch einen oder mehrere andere Aktoren auf der Grundlage einer oder mehrerer der Fahrereingaben 108 steuern, etwa einen Servolenkungsmotor 120 und (Reibungs-)Bremsen 124. Das ECM 104 kann beispielsweise einen gewünschten Lenkwinkel auf der Grundlage der Lenkradposition bestimmen und es kann eine gewünschte Bremskraft auf der Grundlage der BPP bestimmen. Ein Lenkungsaktormodul 128 kann den Servolenkungsmotor 120 auf der Grundlage des gewünschten Lenkwinkels betätigen. Ein Bremsenaktormodul 132 kann die Bremsen 124 auf der Grundlage der gewünschten Bremskraft betätigen.
  • Zusätzlich zu oder als eine Alternative zu den Fahrereingaben 108 kann das ECM 104 einen oder mehrere der Aktoren auf der Grundlage eines oder mehrerer Parameter steuern, die von Sensoren 136 gemessen werden. Die Sensoren 136 können beispielsweise einen Ansauglufttemperatursensor, einen Luftmassendurchsatzsensor (MAF-Sensor), einen Krümmerdrucksensor, Temperatursensoren für Öl und Kühlmittel, Raddrehzahlsensoren und verschiedene andere Sensoren für Temperatur, Position, Druck und Geschwindigkeit/Drehzahl enthalten.
  • Das ECM 104 und andere Module des Fahrzeugs können Daten über einen oder mehrere Controllerbereichsnetzwerkbusse (CAN-Busse), etwa einen CAN-Bus 140, übertragen und empfangen. Das ECM 104 und andere Module des Fahrzeugs können zusätzlich oder alternativ Daten über einen oder mehrere andere Datenbusse, etwa einen FlexRay-Bus 144, übertragen und empfangen. Der FlexRay-Bus 144 ist ein Datenbus, bei dem die Kommunikation gemäß einem FlexRay-Kommunikationsprotokoll durchgeführt wird.
  • Daten von Sensoren 148, die verwendet werden können, um Beziehungen zwischen dem Fahrzeug und Merkmalen außerhalb des Fahrzeugs zu bestimmen, können über den FlexRay-Bus 144 empfangen werden. Daten von anderen Dingen, etwa von einem globalen Positionierungssystem (GPS) 150, können ebenfalls über den FlexRay-Bus 144 oder einen anderen geeigneten Bus empfangen werden. Das GPS 150 bestimmt einen Aufenthaltsort des Fahrzeugs. Die Sensoren 148 können beispielsweise einen oder mehrere Lidar-Sensoren (Sensoren zur Lichtdetektion und Abstandsmessung), einen oder mehrere auf Radar basierende Sensoren, einen oder mehrere auf Laser basierende Sensoren, optische Sensoren, eine oder mehrere Kameras und/oder einen oder mehrere andere Sensoren umfassen, die verwendet werden können, um Beziehungen zwischen dem Fahrzeug und Merkmalen (z.B. Fahrspuren, Objekten usw.) außerhalb des Fahrzeugs (d.h. die sich außerhalb des Fahrzeugs befinden) zu bestimmen.
  • Das Fahrzeug kann ein oder mehrere aktive Sicherheitssysteme enthalten, die selektiv eine Fahrzeuglenkung, ein Bremsen des Fahrzeugs und/oder eine Beschleunigung/Verzögerung des Fahrzeugs auf der Grundlage eines oder mehrerer gemessener Parameter steuern, um die Fahrereingaben 108 zu ergänzen, um den Fahrereingaben 108 entgegenzuwirken, oder die unabhängig von den Fahrereingaben 108 sind. Ein beispielhaftes aktives Sicherheitssystem justiert selektiv die Fahrzeuglenkung mit Hilfe des Servolenkungsmotors 120, beispielsweise, um ein Fahrzeug in einer Fahrspur zu positionieren (z.B. zu zentrieren), um die Spur zu wechseln, um Objekten auszuweichen und/oder aus einem oder mehreren anderen Gründen. Ein anderes beispielhaftes aktives Sicherheitssystem justiert selektiv ein Bremsen des Fahrzeugs mit Hilfe der Bremsen 124 und/oder eine Beschleunigung/Verzögerung des Fahrzeugs mit Hilfe des Drosselklappenventils 112, beispielsweise zur Vermeidung von Zusammenstößen, zur adaptiven Geschwindigkeitsregelung, zur Vorbereitung auf einen Zusammenstoß und/oder aus einem oder mehreren anderen Gründen.
  • Ein aktives Sicherheitssystem ist ein System, welches das Drosselklappenventil 112, den Servolenkungsmotor 120 und/oder die Bremsen 124 selektiv betätigt, um die Fahrereingaben 108 zu ergänzen, um den Fahrereingaben 108 entgegenzuwirken oder das unabhängig von den Fahrereingaben 108 ist. Das beispielhafte aktive Sicherheitssystem enthält ein primäres externes Objektberechnungsmodul (EOCM) 152. Das primäre EOCM 152 (siehe auch 2) betätigt selektiv das Drosselklappenventil 112, den Servolenkungsmotor 120 und/oder die Bremsen 124, um die Fahrereingaben 108 zu ergänzen, um den Fahrereingaben 108 entgegenzuwirken oder unabhängig von den Fahrereingaben 108.
  • Das beispielhafte aktive Sicherheitssystem enthält auch ein redundantes EOCM 156. Das redundante EOCM 156 und das primäre EOCM 152 sind identisch. Im Fall, dass im primären EOCM 152 ein Fehler detektiert wird, wird die Steuerung vom primären EOCM 152 auf das redundante EOCM 156 übertragen und das redundante EOCM 156 betätigt selektiv das Drosselklappenventil 112, den Servolenkungsmotor 120 und/oder die Bremsen 124. Da das primäre und das redundante EOCM 152 und 156 identisch sind, wird nur das primäre EOCM 152 erörtert.
  • Mit Bezug nun auf 2 ist ein Funktionsblockdiagramm des primären EOCM 152 dargestellt. Das primäre EOCM 152 enthält ein erstes Prozessormodul 204, ein zweites Prozessormodul 208, ein drittes Prozessormodul 212, ein CAN-Bus-Deaktivierungsmodul 216, ein FlexRay-Bus-Deaktivierungsmodul 220, einen CAN-Sender/Empfänger 224 und einen FlexRay-Sender/Empfänger 228. 3 enthält Funktionsblockdiagramme des ersten Prozessormoduls 204, des zweiten Prozessormoduls 208 und des dritten Prozessormoduls 212.
  • Mit Bezug nun auf 2 und 3 enthält das erste Prozessormodul 204 einen Prozessor 304, einen Speicher 308, gemeinsame Ressourcen 312, eine erste serielle Paketschnittstelle (SPI) 316 und eine zweite SPI 320. Das erste Prozessormodul 204 enthält außerdem einen Can-Sender/Empfänger 324, einen FlexRay-Sender/Empfänger 328 und einen Ethernet-Sender/Empfänger 332. Der Speicher 308 kann beispielsweise einen externen Speicher mit wahlfreiem Zugriff (RAM), einen externen elektrisch löschbaren programmierbaren Festwertspeicher (EEPROM) und/oder andere geeignete Arten von Speicher enthalten.
  • Das erste Prozessormodul 204 kann ein Kraftfahrzeug-Prozessormodul sein, etwa ein Kimodo, der von Freescale hergestellt wird. Das erste Prozessormodul 204 erfüllt jede der folgenden Minimaleigenschaften:
    • Dual-core-Mikroprozessor mit 180 Megahertz (MHz);
    • 900 DMIPS (Dhrystone-Millionen Anweisungen pro Sekunde);
    • 1 Megabyte (MB) Flash-Speicher; und
    • 0,5 MB RAM
  • Das erste Prozessormodul 204 empfängt Daten von den Sensoren 136 über den CAN-Sender/Empfänger 324. Das erste Prozessormodul 204 überträgt Daten an die CAN-Busse und empfängt Daten von den CAN-Bussen über den CAN-Sender/Empfänger 324. Das erste Prozessormodul 204 überträgt Daten an den FlexRay-Bus 144 und empfängt Daten vom FlexRay-Bus 144 über den FlexRay-Sender/Empfänger 328. Das erste Prozessormodul 204 kann Daten von einem oder mehreren der Sensoren 148 über den FlexRay-Sender/Empfänger 328 empfangen.
  • Das erste Prozessormodul 204 kann Daten von einem oder mehreren der Sensoren 148 über den Ethernet-Sender/Empfänger 332 empfangen. Das erste Prozessormodul 204 kann den Aufenthaltsort des Fahrzeugs über den CAN-Sender/Empfänger 324, den FlexRay-Sender/Empfänger 328, den Ethernet-Sender/Empfänger 332 oder auf eine andere geeignete Weise empfangen. Das erste Prozessormodul 204 überträgt Daten an das zweite Prozessormodul 208 und empfängt Daten vom zweiten Prozessormodul 208 über den Ethernet-Sender/Empfänger 332. Zum Beispiel kann das erste Prozessormodul 204 Daten, die es von Sensoren (z.B. den Sensoren 136 und/oder den Sensoren 148) und/oder von dem GPS 150 empfangen hat, über den Ethernet-Sender/Empfänger 332 an das zweite Prozessormodul 208 übertragen. Das erste Prozessormodul 204 überträgt auch über die zweite SPI 320 Daten an das zweite Prozessormodul 208 und empfängt Daten vom zweiten Prozessmodul 208. Zum Beispiel kann das erste Prozessormodul 204 Daten, die es von den Sensoren (z.B. den Sensoren 136 und/oder den Sensoren 148), und/oder dem GPS 150 empfangen hat, über die zweite SPI 320 an das zweite Prozessormodul 208 übertragen. Das erste Prozessormodul 204 überträgt Daten über die erste SPI 316 an das dritte Prozessormodul 212 und empfängt Daten vom dritten Prozessormodul 212.
  • Das zweite Prozessormodul 208 enthält einen Prozessor 340, einen Speicher 344, gemeinsame Ressourcen 348, eine SPI 352 und einen Ethernet-Sender/Empfänger 356. Der Speicher 344 kann beispielsweise RAM, Flash und/oder andere geeignete Arten von Speicher enthalten. Das zweite Prozessormodul 208 enthält einen Graphik-Mikroprozessor, etwa einen Cortex-A9, der von ARM hergestellt wird, oder einen Integra 4, der von Nvidia hergestellt wird. Das zweite Prozessormodul 208 erfüllt jede der folgenden Minimaleigenschaften:
    • Quad-Core-Mikroprozessor mit 1 Gigahertz (GHz);
    • 9600 DMIPS;
    • 10 MB Flashspeicher und ROM;
    • 0,5 Gigabyte (GB) RAM;
    • einen Temperaturmonitor;
    • einen Watchdog; und
    • eine Uhr und einen Reset.
  • Das zweite Prozessormodul 208 ist in das aktive Sicherheitssystem leicht eingebettet. „Leicht eingebettet“ kann bedeuten, dass das zweite Prozessormodul 208 nicht in Systemen mit harten zeitlichen Anforderungen verwendet wird und eine Antwortzeit von einer Sekunde oder mehr akzeptabel ist. Im Gegensatz dazu ist das erste Prozessormodul 204 eingebettet, was bedeuten kann, dass Antwortzeiten von mehr als einer Sekunde nicht akzeptabel sind und auch Antwortzeiten, die kleiner als eine Sekunde sind, nicht akzeptabel sein können.
  • Das zweite Prozessormodul 208 kann Daten von einem oder mehreren der Sensoren 148 über den Ethernet-Sender/Empfänger 356 empfangen. Das zweite Prozessormodul 208 überträgt Daten an das erste Prozessormodul 204 und empfängt Daten vom ersten Prozessormodul 204 über den Ethernet-Sender/Empfänger 356. Auch über die SPI 352 überträgt das zweite Prozessormodul 208 Daten an das erste Prozessormodul 204 und empfängt Daten vom ersten Prozessormodul 204. Das zweite Prozessormodul überträgt Daten über die SPI 352 an das dritte Prozessormodul 212 und empfängt Daten vom dritten Prozessormodul 212.
  • Das dritte Prozessormodul 212 enthält einen Prozessor 370, einen Speicher 374, gemeinsame Ressourcen 378, eine SPI 382, einen CAN-Bus-Sender/Empfänger 386 und einen FlexRay-Sender/Empfänger 390. Über die SPI 382 überträgt das dritte Prozessormodul 212 Daten an das erste Prozessormodul 204 und empfängt Daten vom ersten Prozessormodul 204. Das dritte Prozessormodul 212 überträgt Daten auch über die SPI 382 an das zweite Prozessormodul 208 und empfängt Daten vom zweiten Prozessormodul 208.
  • Das zweite Prozessormodul 208 verarbeitet Daten von den Sensoren, etwa den Sensoren 136 und 148. Auf der Grundlage von Daten, die es von den Sensoren 148 und dem GPS 150 empfangen hat, kann das zweite Prozessormodul 208 beispielsweise die verarbeitungsintensiven Funktionen durchführen, etwa das Identifizieren von Spurlinien, das Bestimmen einer Beziehung zwischen dem Fahrzeug und den Spurlinien (z.B. die Position des Fahrzeugs zwischen den Spurlinien), das Identifizieren von Objekten, die sich außerhalb des Fahrzeugs befinden, das Bestimmen von Beziehungen zwischen dem Fahrzeug und identifizierten Objekten, das Bestimmen von Formen und Größen der Objekte, das Bestimmen eines Zielwegs des Fahrzeugs, das Bestimmen eines tatsächlichen Wegs des Fahrzeugs, das Bestimmen von Hindernissen in einem Weg des Fahrzeugs usw.
  • Das erste Prozessormodul 204 bestimmt, ob das Drosselklappenventil 112, der Servolenkungsmotor 120 und/oder die Bremsen 124 betätigt werden sollen, auf der Grundlage von Daten, die aus der Verarbeitung resultieren, die von dem zweiten Prozessormodul 208 durchgeführt wird. Wenn entschieden wird, dass das Drosselklappenventil 112, der Servolenkungsmotor 120 und/oder die Bremsen 124 betätigt werden sollen, bestimmt das erste Prozessormodul 204 das Ausmaß der Betätigung, die Rate bzw. Geschwindigkeit, mit der die Betätigung durchgeführt werden soll, die Länge (Zeitdauer) der Betätigung usw. Das erste Prozessormodul 204 gibt entsprechend Befehle an das bzw. die Aktormodule aus. Das erste Prozessormodul 204 kann Befehle an das bzw. die Aktormodule ausgeben, um gewünschte Werte, die auf der Grundlage der Fahrereingaben 108 bestimmt wurden, zu ergänzen, um gewünschten Werten, die auf der Grundlage der Fahrereingaben 108 bestimmt wurden, entgegenzuwirken, oder unabhängig von den Fahrereingaben 108. Auf diese Weise kann das erste Prozessormodul 204 ein semiautonomes Fahren bereitstellen.
  • Das dritte Prozessormodul 212 führt verschiedene Funktionen durch, um das Sicherheitsintegritätsniveau des zweiten Prozessormoduls 208 kompatibel zu dem ASIL B-Standard zu machen. Auf der Grundlage des Sicherheitsintegritätsniveaus des zweiten Prozessormoduls 208 (z.B. ASIL B) und des Sicherheitsintegritätsniveaus des ersten Prozessormoduls 204 wird das primäre EOCM 152 ein Sicherheitsintegritätsniveau von ASIL D aufweisen.
  • Beispielsweise verifiziert das dritte Prozessormodul 212, dass das zweite Prozessormodul 208 Funktionen in einer vordefinierten Reihenfolge aufruft, und es verifiziert, dass das zweite Prozessormodul 208 jede Funktion innerhalb einer vorbestimmten Zeitspanne abschließt. Das dritte Prozessormodul 212 stellt außerdem sicher, dass die Daten von den Sensoren, die gerade von dem zweiten Prozessormodul 208 verarbeitet werden, die gleichen Daten sind, die gerade von einem oder mehreren anderen Modulen verwendet werden oder verwendet werden können. Dies kann als Rahmenzählen bezeichnet werden.
  • Das dritte Prozessormodul 212 verifiziert außerdem, dass das zweite Prozessormodul 208 funktionsfähig ist. Das Verifizieren, dass das zweite Prozessormodul 208 funktionsfähig ist, kann umfassen, dass eine Aufforderung (z.B. ein „Samen“ oder ein Token) an das zweite Prozessormodul 208 gesendet und verifiziert wird, dass eine Antwort des zweiten Prozessormoduls 208, die aus der Aufforderung bestimmt wird, gleich einer erwarteten Antwort ist. Das Verifizieren, dass das zweite Prozessormodul 208 funktionsfähig ist, kann auch umfassen, dass das zweite Prozessormodul 208 aufgefordert wird, zu berichten, dass es funktionsfähig ist. Das dritte Prozessormodul 212 kann auch verifizieren, dass das erste Prozessormodul 204 funktionsfähig ist, das erste Prozessormodul 204 kann auch verifizieren, dass das dritte Prozessormodul 212 funktionsfähig ist, und/oder das zweite Prozessormodul 208 kann verifizieren, dass das dritte Prozessormodul 212 funktionsfähig ist.
  • Das dritte Prozessormodul 212 kann auch verifizieren, dass das zweite Prozessormodul 208 in Ansprechen auf eine Aufforderung vom dritten Prozessormodul 212 weniger als eine vorbestimmte Zeitspanne lang aussetzt. Das dritte Prozessormodul 212 kann auch verifizieren, dass die Prozessorkerne des zweiten Prozessormoduls 208 synchronisiert sind.
  • Das dritte Prozessormodul 212 kann auch verifizieren, dass zwei der Kerne des zweiten Prozessormoduls 208 redundante/identische Funktionen ausführen, die in separaten Blöcken des Speichers 344 gespeichert sind. Diese Verifizierung kann beispielsweise durchgeführt werden, indem Ergebnisse, die von zweien der Kerne ermittelt werden, bei einem dritten Kern verglichen werden und verifiziert wird, dass der dritte Kern berichtet, dass der Vergleich der Ergebnisse anzeigt, dass die Ergebnisse gleich sind.
  • Das dritte Prozessormodul 212 kann auch verifizieren, dass das zweite Prozessormodul 208 Anforderungen an eine serielle Datenübertragung zur Integrität serieller Daten erfüllt, die unter der ASIL B-Klassifizierung definiert sind. Das dritte Prozessormodul 212 kann verifizieren, dass Prüfsummenwerte, die auf der Grundlage von Daten berechnet werden, die in Speicherblöcken eines nichtflüchtigen Speichers (NVM) des zweiten Prozessormoduls 208 gespeichert sind, gleich erwarteten Prüfsummenwerten sind. Das dritte Prozessormodul 212 kann auch eine oder mehrere Verifizierungen durchführen, die unter der ASIL B-Klassifizierung definiert sind. Das dritte Prozessormodul 212 kann feststellen, dass ein Fehler in dem primären EOCM 152 vorhanden ist, wenn eine oder mehrere der vorstehenden nicht verifiziert werden.
  • Wenn das dritte Prozessormodul 212 einen Fehler in dem primären EOCM 152 identifiziert (z.B. in dem ersten Prozessormodul 204 oder in dem zweiten Prozessormodul 208), setzt das dritte Prozessormodul 212 erste und zweite Deaktivierungssignale 400 und 404 in einen aktiven Zustand. Wenn von dem dritten Prozessormodul 212 kein Fehler in dem primären EOCM 152 identifiziert wurde, kann das dritte Prozessormodul 212 das erste und zweite Deaktivierungssignal 400 und 404 in einen inaktiven Zustand setzen.
  • Wenn das erste Prozessormodul 204 einen Fehler in dem primären EOCM 152 identifiziert (z.B. in dem zweiten Prozessormodul 208 oder in dem dritten Prozessormodul 212), setzt das erste Prozessormodul dritte und vierte Deaktivierungssignale 408 und 412 in einen aktiven Zustand. Wenn von dem ersten Prozessormodul 204 kein Fehler in dem primären EOCM 152 identifiziert wurde, kann das erste Prozessormodul 204 das dritte und vierte Deaktivierungssignal 408 und 412 in einen inaktiven Zustand setzen.
  • Das CAN-Bus-Deaktivierungsmodul 216 deaktiviert selektiv eine Kommunikation von dem primären EOCM 152 zu dem CAN-Bus 140, wenn sich das erste Deaktivierungssignal 400 und/oder das dritte Deaktivierungssignal 408 im aktiven Zustand befindet bzw. befinden. Das CAN-Bus-Deaktivierungsmodul 216 kann beispielsweise den bzw. die CAN-Sender/Empfänger 224 deaktivieren, wenn sich das erste Deaktivierungssignal 400 und/oder das dritte Deaktivierungssignal 408 im aktiven Zustand befindet bzw. befinden. Das CAN-Bus-Deaktivierungsmodul 216 kann den bzw. die CAN-Sender/Empfänger 224 aktivieren, wenn sich sowohl das erste Deaktivierungssignal 400 als auch das dritte Deaktivierungssignal 408 im inaktiven Zustand befinden. Das CAN-Bus-Deaktivierungsmodul 216 kann den bzw. die CAN-Sender/Empfänger 224 über ein Aktivierungs-/DeaktivierungsSignal 416 aktivieren und deaktivieren.
  • Das FlexRay-Bus-Deaktivierungsmodul 220 deaktiviert eine Kommunikation von dem primären EOCM 152 an den FlexRay-Bus 144, wenn sich das zweite Deaktivierungssignal 404 und/oder das vierte Deaktivierungssignal 412 in dem aktiven Zustand befindet bzw. befinden. Das FlexRay-Bus-Deaktivierungsmodul 220 kann beispielsweise den FlexRay-Sender/Empfänger 228 deaktivieren, wenn sich das zweite Deaktivierungssignal 404 und/oder das vierte Deaktivierungssignal 412 in dem aktiven Zustand befindet bzw. befinden. Das FlexRay-Bus-Deaktivierungsmodul 220 kann den FlexRay-Sender/Empfänger 228 aktivieren, wenn sowohl das zweite Deaktivierungssignal 404 als auch das vierte Deaktivierungssignal 412 im inaktiven Zustand sind. Das FlexRay-Bus-Deaktivierungsmodul 220 kann den FlexRay-Sender/Empfänger 228 über ein Aktivierungs-/Deaktivierungs-Signal 420 aktivieren und deaktivieren.
  • Auf diese Weise wird verhindert, dass das primäre EOCM 152 den Servolenkungsmotor 120, das Drosselklappenventil 112 und/oder die Bremsen 124 betätigt. Wenn in dem primären EOCM 152 ein Fehler vorhanden ist, kann das redundante EOCM 156 die Steuerung des aktiven Sicherheitssystems übernehmen und den Servolenkungsmotor 120, das Drosselklappenventil 112 und/oder die Bremsen 124 selektiv betätigen, um die Fahrereingaben 108 zu ergänzen, um den Fahrereingaben 108 entgegenzuwirken oder unabhängig von den Fahrereingaben 108.
  • Die vorstehende Beschreibung ist nur veranschaulichend und ist keinesfalls dazu gedacht, die Offenbarung, ihre Anwendung oder Verwendungsmöglichkeiten einzuschränken. Die weit gefassten Lehren der Offenbarung können in einer Vielfalt von Formen implementiert werden. Obwohl diese Offenbarung spezielle Beispiele enthält, soll daher der tatsächliche Umfang der Offenbarung nicht auf diese begrenzt sein, da sich bei einem Studium der Zeichnungen, der Beschreibung und der folgenden Ansprüche andere Modifikationen offenbaren werden. Der Klarheit halber werden in den Zeichnungen gleiche Bezugszeichen verwendet, um ähnliche Elemente zu bezeichnen. Bei der Verwendung hierin soll der Ausdruck A, B und/oder C so aufgefasst werden, dass er ein logisches (A oder B oder C) unter Verwendung eines nicht exklusiven logischen Oder bedeutet. Es versteht sich, dass ein oder mehrere Schritte in einem Verfahren in einer anderen Reihenfolge (oder gleichzeitig) ausgeführt werden können, ohne die Prinzipien der vorliegenden Offenbarung zu verändern.
  • Der Begriff „Modul“ kann, so wie er hier verwendet wird, eine anwendungsspezifische integrierte Schaltung (ASIC), eine elektronische Schaltung, eine kombinatorische Logikschaltung, ein im Feld programmierbares Gatearray (FPGA), einen Prozessor (gemeinsam genutzt, dediziert oder Gruppe), der einen Code ausführt, andere geeignete Hardwarekomponenten, welche die beschriebene Funktionalität bereitstellen, oder eine Kombination aus einigen oder allen vorstehenden, etwa bei einem System-on-Chip, bezeichnen, ein Teil davon sein oder diese enthalten. Der Begriff Modul kann einen Speicher (gemeinsam genutzt, dediziert, oder Gruppe) enthalten, der einen Code speichert, der von dem Prozessor ausgeführt wird.
  • Der Begriff „Code“ kann, so wie er vorstehend verwendet wird, Software, Firmware und/oder Mikrocode enthalten und kann Programme, Routinen, Funktionen, Klassen und/oder Objekte bezeichnen. Der Begriff „gemeinsam genutzt“ bedeutet, so wie er vorstehend verwendet wird, dass ein Teil oder der gesamte Code von mehreren Modulen unter Verwendung eines einzigen (gemeinsamen genutzten) Prozessors ausgeführt werden kann. Zudem kann ein Teil oder der gesamte Code von mehreren Modulen von einem einzigen (gemeinsam genutzten) Speicher gespeichert werden. Der Begriff „Gruppe“ bedeutet, so wie er vorstehend verwendet wird, das sein Teil oder der gesamte Code von einem einzigen Modul unter Verwendung einer Gruppe von Prozessoren ausgeführt werden kann. Zudem kann ein Teil oder der gesamte Code von einem einzigen Modul unter Verwendung einer Gruppe von Speichern gespeichert werden.
  • Die hier beschriebenen Vorrichtungen und Verfahren können von einem oder mehreren Computerprogrammen implementiert werden, die von einem oder mehreren Prozessoren ausgeführt werden. Die Computerprogramme enthalten von einem Prozessor ausführbare Anweisungen, die in einem nicht vorübergehenden konkreten computerlesbaren Medium gespeichert sind. Die Computerprogramme können auch gespeicherte Daten enthalten. Beispiele ohne Einschränkung des nicht vorübergehenden konkreten computerlesbaren Mediums sind nichtflüchtiger Speicher, magnetischer Massenspeicher und optischer Massenspeicher.

Claims (9)

  1. System eines Fahrzeugs, umfassend: ein Kraftmaschinensteuerungsmodul (ECM), das Kraftmaschinenaktoren auf der Grundlage von Fahrereingaben an ein Lenkrad, an ein Gaspedal, an ein Bremspedal und an ein Geschwindigkeitsregelungssystem steuert; ein erstes Prozessormodul, das einen ersten Mikroprozessor enthält und das einen elektrischen Servolenkungsmotor, Reibungsbremsen und/oder ein Drosselklappenventil auf der Grundlage von verarbeiteten Daten selektiv betätigt; Sensoren, die Merkmale außerhalb des Fahrzeugs erfassen; ein zweites Prozessormodul, das einen zweiten Mikroprozessor enthält und das die verarbeiteten Daten auf der Grundlage von Daten von den Sensoren erzeugt, wobei der zweite Mikroprozessor ein Graphik-Mikroprozessor ist; und ein drittes Prozessormodul, das einen dritten Mikroprozessor enthält und das eine Anzeige darüber erzeugt, ob ein Fehler im zweiten Prozessormodul vorhanden ist, wobei das System ferner umfasst: ein externes Objektberechnungsmodul, das enthält: ein viertes Prozessormodul, das einen vierten Mikroprozessor enthält und das selektiv den elektrischen Servolenkungsmotor, die Reibungsbremsen und/oder das Drosselklappenventil auf der Grundlage von zweiten verarbeiteten Daten betätigt; ein fünftes Prozessormodul, das einen fünften Mikroprozessor enthält und das die zweiten verarbeiteten Daten auf der Grundlage der Daten von den Sensoren erzeugt, wobei der fünfte Mikroprozessor der gleiche wie der Graphik-Mikroprozessor ist; und ein sechstes Prozessormodul, das einen sechsten Mikroprozessor enthält und das eine Anzeige darüber erzeugt, ob ein Fehler im fünften Prozessormodul vorhanden ist.
  2. System nach Anspruch 1, wobei das dritte Prozessormodul auf der Grundlage dessen, ob das zweite Prozessormodul Funktionen in einer vorbestimmten Reihenfolge aufruft, bestimmt, ob der Fehler im zweiten Prozessormodul vorhanden ist.
  3. System nach Anspruch 1, wobei das dritte Prozessormodul auf der Grundlage dessen, ob das zweite Prozessormodul die Ausführung einer Funktion innerhalb einer vorbestimmten Zeitspanne abschließt, bestimmt, ob der Fehler im zweiten Prozessormodul vorhanden ist.
  4. System nach Anspruch 1, wobei das dritte Prozessormodul eine Aufforderung an das zweite Prozessormodul ausgibt und auf der Grundlage dessen, ob das zweite Prozessormodul eine vorbestimmte Antwort auf die Aufforderung erzeugt, bestimmt, ob der Fehler im zweiten Prozessormodul vorhanden ist.
  5. System nach Anspruch 1, wobei: der zweite Mikroprozessor mindestens vier Prozessorkerne enthält; und das dritte Prozessormodul bestimmt, dass der Fehler im zweiten Prozessormodul vorhanden ist, wenn die mindestens vier Prozessorkerne nicht synchronisiert sind.
  6. System nach Anspruch 1, wobei: das dritte Prozessormodul eine Aufforderung erzeugt; der zweite Mikroprozessor mindestens vier Prozessorkerne enthält; ein erster Prozessorkern der mindestens vier Prozessorkerne ein erstes Ergebnis auf der Grundlage der Aufforderung erzeugt; ein zweiter Prozessorkern der mindestens vier Prozessorkerne ein zweites Ergebnis auf der Grundlage der Aufforderung erzeugt; ein dritter Prozessorkern der mindestens vier Prozessorkerne das erste und zweite Ergebnis vergleicht; und der erste, zweite und dritte Prozessorkern verschiedene Kerne sind.
  7. System nach Anspruch 6, wobei: der dritte Prozessorkern anzeigt, ob das erste und zweite Ergebnis gleich sind; und das dritte Prozessormodul auf der Grundlage der Anzeige, ob das erste und zweite Ergebnis gleich sind, bestimmt, ob der Fehler im zweiten Prozessormodul vorhanden ist.
  8. System nach Anspruch 1, wobei dann, wenn der Fehler im zweiten Prozessormodul vorhanden ist, das dritte Prozessormodul verhindert, dass das erste Prozessormodul den elektrischen Servolenkungsmotor, die Reibungsbremsen und das Drosselklappenventil betätigt.
  9. System nach Anspruch 1, wobei das vierte Prozessormodul nur in Ansprechen auf eine Anzeige, dass der Fehler im ersten Prozessormodul vorhanden ist, den elektrischen Servolenkungsmotor, die Reibungsbremsen und/oder das Drosselklappenventil auf der Grundlage der zweiten verarbeiteten Daten betätigt.
DE102013216444.0A 2012-08-28 2013-08-20 Aktive Sicherheitssysteme von Fahrzeugen mit Graphikmikroprozessoren Active DE102013216444B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/596,239 2012-08-28
US13/596,239 US9090265B2 (en) 2012-08-28 2012-08-28 Active safety systems of vehicles with graphical microprocessors

Publications (2)

Publication Number Publication Date
DE102013216444A1 DE102013216444A1 (de) 2014-03-06
DE102013216444B4 true DE102013216444B4 (de) 2021-05-20

Family

ID=50098644

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013216444.0A Active DE102013216444B4 (de) 2012-08-28 2013-08-20 Aktive Sicherheitssysteme von Fahrzeugen mit Graphikmikroprozessoren

Country Status (3)

Country Link
US (1) US9090265B2 (de)
CN (1) CN103661378B (de)
DE (1) DE102013216444B4 (de)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9174649B1 (en) * 2014-06-02 2015-11-03 Ford Global Technologies, Llc Redundancy for automated vehicle operations
FR3023047B1 (fr) * 2014-06-27 2016-06-24 Continental Automotive France Procede de gestion de messages de panne d'un vehicule automobile
DE102014220520A1 (de) * 2014-10-09 2016-04-14 Continental Automotive Gmbh Vorrichtung und Verfahren zum Steuern einer Audioausgabe für ein Kraftfahrzeug
DE102014220781A1 (de) * 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren
FR3034882B1 (fr) * 2015-04-07 2018-12-07 Valeo Equipements Electriques Moteur Procede d'implementation d'une fonction d'un vehicule automobile conforme a des niveaux asil standards, systeme correspondant et vehicule automobile comprenant un tel systeme
JP6486485B2 (ja) * 2015-09-30 2019-03-20 日立オートモティブシステムズ株式会社 車載制御装置
CN106608260B (zh) * 2015-10-22 2019-03-12 大陆汽车电子(长春)有限公司 基于ecu和acc的制动控制方法
US20170183035A1 (en) * 2015-12-29 2017-06-29 Microsoft Technology Licensing, Llc Dynamic lane shift
DE102016202749A1 (de) * 2016-02-23 2017-08-24 Festo Ag & Co. Kg Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung
DE102017108481A1 (de) * 2017-04-21 2018-10-25 Valeo Schalter Und Sensoren Gmbh Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit
US11214273B2 (en) * 2017-06-23 2022-01-04 Nvidia Corporation Method of using a single controller (ECU) for a fault-tolerant/fail-operational self-driving system
EP3438770B1 (de) * 2017-08-01 2020-04-15 Kverneland Group Mechatronics BV Verfahren zum betrieb eines benutzerendgeräts einer landwirtschaftlichen maschine sowie landwirtschaftliche maschine
US11528165B2 (en) * 2018-01-19 2022-12-13 Textron Innovations, Inc. Remote sensor data acquisition
WO2019244269A1 (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 自動運転支援システム及びその動作方法
KR20200044206A (ko) * 2018-10-10 2020-04-29 삼성전자주식회사 전자 장치 및 이의 제어 방법
KR102491386B1 (ko) * 2018-12-27 2023-01-26 삼성전자주식회사 전자 장치 및 그 제어 방법
US11091106B2 (en) 2019-01-15 2021-08-17 Ford Global Technologies, Llc Hybrid power network for a vehicle
EP3816741B1 (de) * 2019-10-31 2023-11-29 TTTech Auto AG Sicherheitsmonitor für erweiterte fahrerassistenzsysteme
EP3893113B1 (de) 2020-04-07 2023-06-21 Elektrobit Automotive GmbH Überwachung einer komponente eines steuerungssystems für ein fortbewegungsmittel
KR20210138201A (ko) * 2020-05-11 2021-11-19 현대자동차주식회사 자율 주행 제어 방법 및 장치
CN113200050B (zh) * 2021-06-16 2022-08-12 三一专用汽车有限责任公司 工程车辆的控制方法、工程车辆和可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090182991A1 (en) * 2008-01-10 2009-07-16 Nhon Quach Processor including efficient signature generation for logic error protection
US7920071B2 (en) * 2006-05-26 2011-04-05 Itt Manufacturing Enterprises, Inc. Augmented reality-based system and method providing status and control of unmanned vehicles
DE102012205731A1 (de) * 2011-04-12 2012-10-18 Denso Corporation Elektronische fahrzeugsteuervorrichtung

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6981176B2 (en) * 1999-05-10 2005-12-27 Delphi Technologies, Inc. Secured microcontroller architecture
US7178049B2 (en) * 2002-04-24 2007-02-13 Medius, Inc. Method for multi-tasking multiple Java virtual machines in a secure environment
US8364975B2 (en) 2006-12-29 2013-01-29 Intel Corporation Methods and apparatus for protecting data
US20080208402A1 (en) * 2007-02-23 2008-08-28 Vhasure Shashikant G Processor health check utilizing intelligent peripheral
US8244426B2 (en) 2007-10-27 2012-08-14 GM Global Technology Operations LLC Method and apparatus for monitoring processor integrity in a distributed control module system for a powertrain system
JP4525762B2 (ja) * 2008-02-04 2010-08-18 株式会社デンソー 車両用電子制御装置
US9031237B2 (en) 2009-02-19 2015-05-12 GM Global Technology Operations LLC Method and apparatus for protecting private data on a vehicle
US8751100B2 (en) 2010-08-13 2014-06-10 Deere & Company Method for performing diagnostics or software maintenance for a vehicle
US9046581B2 (en) * 2011-12-27 2015-06-02 Ford Global Technologies, Llc Supervisor monitoring system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7920071B2 (en) * 2006-05-26 2011-04-05 Itt Manufacturing Enterprises, Inc. Augmented reality-based system and method providing status and control of unmanned vehicles
US20090182991A1 (en) * 2008-01-10 2009-07-16 Nhon Quach Processor including efficient signature generation for logic error protection
DE102012205731A1 (de) * 2011-04-12 2012-10-18 Denso Corporation Elektronische fahrzeugsteuervorrichtung

Also Published As

Publication number Publication date
CN103661378B (zh) 2016-08-24
US9090265B2 (en) 2015-07-28
DE102013216444A1 (de) 2014-03-06
CN103661378A (zh) 2014-03-26
US20140067192A1 (en) 2014-03-06

Similar Documents

Publication Publication Date Title
DE102013216444B4 (de) Aktive Sicherheitssysteme von Fahrzeugen mit Graphikmikroprozessoren
DE102013216443A1 (de) Sicherheitssysteme und -verfahren mit zufälligen und mehreren Aufforderungs-Reaktions-Tests
DE102010007468B4 (de) System und Verfahren zum Validieren von Betriebsweisen eines adaptiven Tempomats
DE102008001672B4 (de) Verfahren zur Fusion von Zustandsdaten erfasster Sensorobjekte
DE102015210194A1 (de) Fahrzeugsteuervorrichtung und Fahrzeugsteuerprogramm
EP3465658B1 (de) Verfahren zum bereitstellen einer information bezüglich eines fussgängers in einem umfeld eines fahrzeugs und verfahren zum steuern eines fahrzeugs
DE112014004855B4 (de) Bremsgerät
DE102014105696A1 (de) Kollisionsabschwächungsvorrichtung für Fahrzeuge
DE102015220884B4 (de) Bildverarbeitungsvorrichtung
DE112018007796T5 (de) Fahrzeug-steuerungsvorrichtung
DE102020209680B3 (de) Signalverarbeitungspfad, Vorrichtung zur Umfelderkennung und Verfahren zur Validierung eines automatisiert betreibbaren Fahrsystems
DE102020127631A1 (de) Verbesserung der fahrzeugsicherheit
DE102020206659A1 (de) Multi-hypothesen-objektverfologung für automatisierte fahrsysteme
EP2081791B1 (de) Verfahren zum abtasten eines umfelds eines fahrzeugs
DE102018129013A1 (de) Systeme und verfahren zur koordination von fahrzeugdiagnosetestern
DE102018216423A1 (de) Bestimmung eines Ansteuerungssignals für ein teilautonomes Fahrzeug
DE102015116469A1 (de) Abschwächung von fahrzeugvorwärtsbewegung nach einem aufprall
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
DE102018100178A1 (de) Einstellung der Bremspumpenhöchstdrehzahl auf Grundlage einer Sollverzögerung und gemessenen Verzögerung
WO2020160901A1 (de) Messdatenauswertung für fahrdynamische systeme mit absicherung der beabsichtigten funktion
DE102020123091A1 (de) Verbesserte fahrzeug-ecu-flash-programmierung
DE102014209483A1 (de) Steuervorrichtung
DE102015213594A1 (de) Verfahren, computer-lesbares Medium, und System zum Erfassen einer Verkehrssituation eines oder mehrerer Fahrzeuge in einer Umgebung eines Egofahrzeugs
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
WO2022122339A1 (de) Verfahren und system zum testen eines steuergeräts eines fahrzeugs

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final