DE102014014858A1 - Control device for a motor vehicle, motor vehicle and method for safely performing a function - Google Patents
Control device for a motor vehicle, motor vehicle and method for safely performing a function Download PDFInfo
- Publication number
- DE102014014858A1 DE102014014858A1 DE102014014858.0A DE102014014858A DE102014014858A1 DE 102014014858 A1 DE102014014858 A1 DE 102014014858A1 DE 102014014858 A DE102014014858 A DE 102014014858A DE 102014014858 A1 DE102014014858 A1 DE 102014014858A1
- Authority
- DE
- Germany
- Prior art keywords
- arithmetic unit
- safety
- unit
- function
- motor vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1637—Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
Abstract
Steuergerät (1) für ein Kraftfahrzeug (6), ausgebildet zur Ausführung wenigstens einer Sensordaten wenigstens einen Sensors (2) auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit (5a, 5b), wobei das Steuergerät (1) ferner wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit (4), die leistungsfähiger als die erste Recheneinheit (5a, 5b) ist, aufweist, wobei die zweite Recheneinheit (4) zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten ausgebildet ist und die erste Recheneinheit (5a, 5b) zur Validierung der Ergebnisdaten der zweiten Recheneinheit (4) ausgebildet ist.Control unit (1) for a motor vehicle (6), designed to execute at least one sensor data at least one sensor (2) evaluating, in particular safety-relevant function, comprising at least one first, at least one safety criterion corresponding computing unit (5a, 5b), wherein the control unit (1 ) Furthermore, at least one second, not the safety criterion corresponding computing unit (4) which is more powerful than the first arithmetic unit (5a, 5b), wherein the second arithmetic unit (4) is designed to determine result data of the function by evaluating the sensor data and the first arithmetic unit (5a, 5b) is designed to validate the result data of the second arithmetic unit (4).
Description
Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug, ausgebildet zur Durchführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit. Daneben betrifft die Erfindung ein Kraftfahrzeug und ein Verfahren zum abgesicherten Durchführen einer zur Ausführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät.The invention relates to a control unit for a motor vehicle, designed to carry out at least one sensor data of at least one sensor evaluating, in particular safety-relevant function, comprising at least one first, at least one safety criterion corresponding computing unit. In addition, the invention relates to a motor vehicle and a method for safely performing a performing at least one sensor data of at least one sensor evaluating, in particular safety-related function of a vehicle system of a motor vehicle in a control unit.
Fahrerassistenzsysteme, Sicherheitssysteme und sonstige Fahrzeugsysteme für Kraftfahrzeuge sind inzwischen verbreitet und wohlbekannt. Derartige Fahrzeugsysteme im allgemeinen realisieren bestimmte Funktionen, die durch das Fahrzeugsystem zur Verfügung gestellt werden sollen. Viele dieser Funktionen, insbesondere Funktionen von Sicherheitssystemen und/oder Funktionen, die die Durchführung von Fahrereingriffen steuern, sind als kritischer zu betrachten, da bei auftretenden Fehlern ein Sicherheitsrisiko bestehen könnte. Wird beispielsweise von einem das Kraftfahrzeug teilautonom und/oder vollautonom führenden Fahrerassistenzsystem ein Objekt nicht detektiert oder falsch bewertet, kann es zu einem eine Kollision mit dem Objekt zur Folge habenden Fahrmanöver kommen.Driver assistance systems, safety systems and other vehicle systems for motor vehicles are now common and well known. Such vehicle systems generally realize certain functions to be provided by the vehicle system. Many of these functions, in particular functions of security systems and / or functions that control the execution of driver interventions, are to be regarded as more critical, since the errors could pose a security risk. If, for example, an object is not detected or incorrectly evaluated by a driver autonomously leading the motor vehicle partially autonomously and / or fully autonomously, a driving maneuver involving a collision with the object may occur.
Daher ist vorgesehen, Funktionen von Fahrzeugsystemen nach ihrer Sicherheitsrelevanz beziehungsweise den Sicherheitsanforderungen zu bewerten und entsprechende zusätzliche Sicherheitsmaßnahmen auf Hardware- und Softwarelevel umzusetzen. Entsprechend wurden Normen entwickelt, die es zum einen ermöglichen, Risiken beziehungsweise allgemein die Sicherheitsrelevanz zu klassifizieren, zum anderen aber Absicherungsmaßnahmen festlegen, um zu Sicherheitsproblemen führende Fehler zu vermeiden. Die im Bereich der Kraftfahrzeuge zu berücksichtigende Norm in diesem Kontext ist die
Typische Absicherungsmaßnahmen stellen dabei die redundante Berechnung, zusätzliche Überprüfungsalgorithmen und dergleichen dar. Damit eine Recheneinheit eines Steuergeräts eines Kraftfahrzeugs, die eine Funktion eines Fahrzeugsystems ausführen soll, die beispielsweise durch
Problematisch hierbei ist, dass Sicherheitskriterien erfüllende Recheneinheiten, insbesondere Mikro-Controller, nicht in allen beliebigen Leistungsstärken verfügbar sind, da durch die zusätzliche Realisierung beziehungsweise Ermöglichung von Absicherungsroutinen grundsätzlich Leistungsfähigkeit verloren geht. Beispielsweise existieren keine Mikro-Controller mit mehr als 500 MHz Taktfrequenz, die die Sicherheitsnormen nach
Auch bezüglich der Software-Komponenten, insbesondere der Algorithmen, für sicherheitsrelevante Funktionen, existieren Schwierigkeiten, da die gesamte Software ebenso nach
Der Erfindung liegt daher die Aufgabe zugrunde, ein Steuergerät zur Durchführung von sicherheitsrelevanten Funktionen, die wenigstens einer Sicherheitsanforderung genügen müssen, anzugeben, welches trotz Einhaltung der Sicherheitsanforderungen mit geringerem Aufwand realisierbar ist.The invention is therefore based on the object, a control unit for performing safety-related functions that at least one Security requirement must specify, which is feasible despite lower security requirements, despite compliance with safety requirements.
Zur Lösung dieser Aufgabe ist bei einem Steuergerät der eingangs genannten Art erfindungsgemäß vorgesehen, dass das Steuergerät ferner wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, aufweist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung von Sensordaten ausgebildet ist und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit ausgebildet ist.To solve this problem is provided according to the invention in a control device of the type mentioned that the control unit further at least a second, not the safety criterion corresponding computing unit, which is more powerful than the first arithmetic unit, wherein the second arithmetic unit for determining result data of the function by Evaluation of sensor data is formed and the first arithmetic unit is designed to validate the result data of the second arithmetic unit.
Die Erfindung sieht also eine teilweise Verwendung von die Sicherheitskriterien nicht erfüllenden Komponenten vor, mithin eine teilweise nicht bestimmten Sicherheitskriterien entsprechende Struktur eines Steuergeräts, jedoch derart, dass für die durchzuführende Funktion als ganze die an sie gerichteten Sicherheitsanforderungen erfüllt sind. Die hier beschriebene Steuergerätearchitektur kann mithin sicherheitsrelevante Funktionen, die bestimmte Sicherheitsanforderungen erfüllen müssen, darstellen, kann jedoch auch bei hohen Sicherheitsanforderungen auf Nicht-Sicherheitskomponenten (QM-Klassifizierung nach ASIL) realisiert werden. Dem liegt die Erkenntnis zugrunde, dass viele Auswertungen von Sensordaten Teilauswertungen enthalten, die zur Überprüfung von Möglichkeiten zwar durchgeführt werden, für die letztendlich zu wählende Betriebsstrategie, also das Ergebnis der Auswertung der Sensordaten, letztlich nicht mehr relevant sind. Es ist mithin ausreichend, das Ergebnis zu überprüfen, so dass von den Ergebnisdaten nicht mehr berührte Anteile der Auswertung für die Validierung letztlich nicht mehr relevant sind, so dass diese mit einem reduzierten Aufwand durchgeführt werden kann. Kern der Erfindung ist mithin eine zweistufige Berechnung: Das übergeordnete Problem der komplexen Interpretation der Sensordaten, insbesondere einer Umfeldinterpretation, wird durch Komponenten, insbesondere eine Recheneinheit, gelöst, die den normalerweise notwendigen Sicherheitskriterien nicht entsprechen muss und daher leistungsfähiger ist. Die Absicherung der Lösung wird jedoch auf herkömmlichen Wege durch die Sicherheitskriterien erfüllende Komponenten, beispielsweise ASIL-Komponenten, sichergestellt. Auf diese Weise vereint die Erfindung sozusagen das Beste aus zwei Welten: Die Leistungsfähigkeit von nicht-Sicherheitskomponenten mit der Zuverlässigkeit von Sicherheitskomponenten.Thus, the invention provides for a partial use of non-compliance with the safety criteria components, thus a partially non-specific safety criteria corresponding structure of a control unit, but such that for the function to be performed as a whole, the safety requirements are met. The controller architecture described here can thus represent safety-relevant functions that must meet certain safety requirements, but can also be implemented with high safety requirements for non-safety components (QM classification according to ASIL). This is based on the finding that many evaluations of sensor data contain partial evaluations which are carried out to check possibilities for which ultimately the operating strategy to be chosen, ie the result of the evaluation of the sensor data, is no longer relevant. It is therefore sufficient to check the result so that portions of the evaluation no longer affected by the result data are no longer relevant for the validation, so that this can be carried out with a reduced outlay. The core of the invention is therefore a two-stage calculation: The overarching problem of the complex interpretation of the sensor data, in particular an environment interpretation, is solved by components, in particular a computing unit, which does not have to comply with the normally necessary safety criteria and is therefore more efficient. However, securing the solution is ensured by conventional components that meet safety criteria, such as ASIL components. In this way, the invention combines, so to speak, the best of both worlds: The performance of non-safety components with the reliability of safety components.
Dabei kann das Sicherheitskriterium die Erfüllung eines Sicherheitsstandards betreffen. Beispielsweise kann vorgesehen sein, dass die erste Recheneinheit
Selbstverständlich können diese allgemeinen Ausführungen zur Erfüllung von Sicherheitskriterien auch auf die vorliegenden Software-Komponenten, die die Recheneinheit nutzen, übertragen werden. So kann vorzugsweise die auf der ersten Recheneinheit eine dem und/oder einem weiteren Sicherheitskriterium entsprechende Software und/oder auf der zweiten Recheneinheit eine nicht dem beziehungsweise den weiteren Sicherheitskriterium entsprechende Software ausgeführt werden. Mithin wird auch die Software zweckmäßigerweise im Rahmen der Gesamtarchitektur sozusagen aufgeteilt in einen nicht sicherheitsrelevanten Anteil und einen sicherheitsrelevanten Anteil, wobei sich letztlich zur Laufzeit anhand der aktuellen Ergebnisdaten entscheidet, für welche Anteile der Auswertung die Erfüllung der Sicherheitskriterien hergestellt werden muss.Of course, these general statements for the fulfillment of security criteria can also be transferred to the existing software components that use the arithmetic unit. Thus, preferably, the software corresponding to the and / or a further security criterion on the first arithmetic unit and / or software which does not correspond to the or the further security criterion can be executed on the second arithmetic unit. Consequently, the software is expediently divided as it were into a non-security-relevant portion and a security-relevant portion of the overall architecture, which ultimately decides at runtime on the basis of the current results data for which portions of the evaluation, the fulfillment of the security criteria must be established.
Die Auswertung kann in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar sein, wobei die erste Recheneinheit bei der Validierung nur zur Durchführung der nicht die gesamte Auswertung umfassenden Teilauswertungen, die den aktuellen Ergebnisdaten zugeordnet sind, ausgebildet ist. Im Beispiel einer Umfeldinterpretation können sich derartige Teilaufgaben beispielsweise in einer Parallelisierung von verschiedenen Teilaufgaben der Umfeldinterpretation an sich darstellen, wie sie beispielsweise auf grafischen Prozessoren (GPU) und sonstigen die Sicherheitskriterien nicht erfüllenden Recheneinheiten realisierbar ist. Beispielsweise kann eine Mehrzahl von Umfeldobjekten auf entsprechenden parallelisierten Kernen berechnet werden. Nicht alle diese Objekte und somit Teilauswertungen sind für die letztendlich im Rahmen der Funktion resultierende Betriebsstrategie relevant, so dass letztlich der „Überprüfungsraum” für die Validierung stark eingeschränkt werden kann und somit im sicherheitskritischen Teil der Durchführung der Funktion insgesamt weniger Rechenleistung erforderlich ist.The evaluation can be subdivided into partial results that can be assigned to certain result data, wherein the first calculation unit is designed to perform only the partial evaluations that do not include the entire evaluation and that are assigned to the current result data. In the example of an environment interpretation, such sub-tasks can be represented, for example, in a parallelization of different subtasks of the environment interpretation per se, as can be realized, for example, on graphical processors (GPU) and other computation units that do not fulfill the safety criteria. For example, a plurality of environment objects may be calculated on corresponding parallelized cores. Not all of these objects and thus partial evaluations are relevant for the operating strategy ultimately resulting in the function, so that ultimately the "review room" for validation can be severely restricted and thus less computational power is required in the safety-critical part of performing the function.
Entsprechend kann auch vorgesehen sein, dass die erste Recheneinheit zur Validierung der Ergebnisdaten unter Verwendung eines gegenüber der zweiten Recheneinheit reduzierten Satzes von Sensordaten als Eingangsdaten und/oder eines gegenüber der zweiten Recheneinheit reduzierten Satzes von Algorithmen ausgebildet ist. Im eben bereits genannten Beispiel, das durch die Funktion eine bestimmte Betriebsstrategie aus einer Mehrzahl grundsätzlich möglicher Betriebsstrategien ausgewählt wird, beispielsweise eine bestimmte zu fahrende Trajektorie im Beispiel der Umfeldinterpretation, kann gesagt werden, dass die zweite Recheneinheit zur Auswahl einer zu verwendenden Betriebsstrategie aus einer Mehrzahl möglicher Betriebsstrategien ausgebildet ist und die erste Recheneinheit zur Verwendung von lediglich auf die ausgewählte Betriebsstrategie bezogenen Sensordaten als Eingangsdaten und/oder Algorithmen ausgebildet ist. Betrifft die Funktion in einem Beispiel also ein Sicherheitssystem, welches eine Ausweichtrajektorie auf der Basis von Umfelddaten als Sensordaten als Betriebsstrategie bestimmt, so ist letztlich durch die erste Recheneinheit nur alles das zu validieren, was diese Ausweichtrajektorie betrifft. Wurde beispielsweise festgestellt, dass eine Gruppe Fußgänger an einer gänzlich anderen Position befindlich ist, die von der Trajektorie nicht berührt wird, werden auf diese Fußgängergruppe bezogene Teilauswertungen beziehungsweise Algorithmen/Sensordaten nur dann relevant, wenn bei der Validierung, mithin Überprüfung der Ausweichtrajektorie, festgestellt wird, dass sich die Fußgängergruppe tatsächlich eben doch im Bereich der Ausweichtrajektorie befindet; ansonsten ist eine erneute Berechnung/Validierung diesbezüglich nicht notwendig und tritt auch nicht auf.Accordingly, it can also be provided that the first arithmetic unit for validation of the result data is used with the use of a reduced set of Sensor data as input data and / or a reduced compared to the second processing unit set of algorithms is formed. In the example just mentioned, which is selected by the function of a specific operating strategy from a plurality of fundamentally possible operating strategies, for example a specific trajectory to be traveled in the example of the environment interpretation, it can be said that the second arithmetic unit for selecting an operating strategy to be used from a plurality possible operating strategies is formed and the first arithmetic unit is designed to use only related to the selected operating strategy sensor data as input data and / or algorithms. In one example, if the function relates to a security system which determines an evasion trajectory on the basis of environmental data as sensor data as operating strategy, ultimately only the first computing unit is to validate all that concerns this evasion trajectory. If, for example, it has been established that a group of pedestrians is located at a completely different position, which is not affected by the trajectory, sub-evaluations or algorithms / sensor data related to this pedestrian group become relevant only if it is determined during the validation, thus checking the evasion trajectory that the pedestrian group is in fact in the area of avoidance trajectory; otherwise, a new calculation / validation in this regard is not necessary and does not occur.
Dabei sei an dieser Stelle noch allgemein angemerkt, dass als Recheneinheiten Prozessoren eingesetzt werden können, insbesondere wenigstens zwei Prozessorkerne umfassende Prozessoren. Derartige für Steuergeräte genutzte Prozessoren sind häufig auch als sogenannte Mikro-Controller ausgebildet. Gerade im Hinblick auf die Realisierung der wenigstens einen zweiten Recheneinheit bietet es sich an, hochleistungsfähige Recheneinheiten einzusetzen, beispielsweise grafische Prozessoren (GPU), die parallelisierte, effektive Berechnungen erlauben. Sicherheitskriterien erfüllende Recheneinheiten beziehungsweise Prozessoren sind ebenso bereits bekannt und als erste Recheneinheit einsetzbar, insbesondere für den verwendeten Sicherheitsstandard und die als Sicherheitskriterium zu erfüllende Klassifizierung, beispielsweise ASIL-Klassifizierung, zertifizierte Produkte.It should be noted at this point generally that processors can be used as arithmetic units, in particular at least two processors cores comprehensive processors. Such processors used for controllers are often designed as so-called micro-controller. Especially with regard to the realization of the at least one second arithmetic unit, it makes sense to use high-performance arithmetic units, for example, graphic processors (GPU), which allow parallelized, effective calculations. Security units fulfilling computing units or processors are also already known and can be used as the first computing unit, in particular for the security standard used and the criterion to be met as a safety criterion, for example ASIL classification, certified products.
Wie bereits erwähnt, lässt sich die vorliegende Erfindung besonders vorteilhaft anwenden, wenn die zweite Recheneinheit zu einer Situationsanalyse, insbesondere einer Umfeldinterpretation, anhand der insbesondere Sensordaten von Umfeldsensoren umfassenden Sensordaten ausgebildet ist. Gerade im Hinblick auf die Umfeldinterpretation sind viele, äußerst aufwendige Berechnungen durchzuführen, die für das Ergebnis, beschrieben durch die Ergebnisdaten, dann nicht immer zwangsläufig relevant sind, aber erforderlich waren, um die Möglichkeiten, die zum weiteren Betrieb des Kraftfahrzeugs bestehen, auszuloten. Im Rahmen der Validierung reduziert sich die Zahl der Berechnungen und somit der Aufwand dann auf den für die Ergebnisdaten relevanten Anteil, so dass beispielsweise außerhalb einer gewählten Trajektorie liegende Bereiche, vor einem Objekt, auf das gebremst wird, liegende weitere Objekte und dergleichen zur Erfüllung der Sicherheitsanforderungen an die Funktion nicht mehr abgesichert werden müssen.As already mentioned, the present invention can be used particularly advantageously if the second arithmetic unit is designed for a situation analysis, in particular an environment interpretation, on the basis of which, in particular, sensor data from environmental sensors comprises comprehensive sensor data. Precisely with regard to the interpretation of the environment, it is necessary to carry out many extremely complex calculations which are not always necessarily relevant to the result described by the result data, but which were necessary in order to explore the possibilities which exist for the further operation of the motor vehicle. In the context of the validation, the number of calculations and thus the effort is reduced to the relevant for the result data share, so that, for example, lying outside of a selected trajectory areas, in front of an object is braked, lying further objects and the like to fulfill the Security requirements for the function no longer need to be hedged.
Insbesondere kann die Funktion zweckmäßig eine auf einen vollständig autonomen Betrieb des Kraftfahrzeugs gerichtete Funktion eines vollautonomen Fahrzeugsystems sein. Gerade in diesem Kontext ist die durch die Erfindung gegebene Effizienz bei Aufrechterhaltung der Sicherheitsanforderungen an die Funktion äußerst hilfreich. Denkbar sind jedoch auch teilautonome Funktionen, beispielsweise auf die Längsführung bezogene Funktionen (Bremsassistent) oder auch nur in bestimmten sicherheitskritischen Situationen eingreifende Funktionen (Ausweichassistent und dergleichen).In particular, the function may expediently be a function of a fully autonomous vehicle system directed to a completely autonomous operation of the motor vehicle. Especially in this context, the efficiency provided by the invention is extremely helpful in maintaining the security requirements for the function. However, partially autonomous functions are also conceivable, for example functions related to longitudinal guidance (brake assist) or even functions engaging in certain safety-critical situations (evasion assistant and the like).
Neben dem Steuergerät betrifft die vorliegende Erfindung auch ein Kraftfahrzeug, aufweisend wenigstens ein erfindungsgemäßes Steuergerät. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, mit welchem auch die bereits genannten Vorteile erhalten werden können. Insbesondere können mehrere erfindungsgemäße Steuergeräte, die die beschriebene vorteilhafte Architektur umsetzen, in einem Kraftfahrzeug eingesetzt werden.In addition to the control unit, the present invention also relates to a motor vehicle, comprising at least one control unit according to the invention. All statements regarding the control device according to the invention can be analogously transferred to the motor vehicle according to the invention, with which also the advantages already mentioned can be obtained. In particular, a plurality of control devices according to the invention, which implement the described advantageous architecture, can be used in a motor vehicle.
Schließlich betrifft die Erfindung auch ein Verfahren zum abgesicherten Durchführen einer zur Ausführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit und wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit verwendet wird. Auch für das erfindungsgemäße Verfahren gilt, dass die Ausführungen zum erfindungsgemäßen Steuergerät sich analog übertragen lassen.Finally, the invention also relates to a method for the secure execution of an at least one sensor sensor of at least one sensor evaluating, in particular safety-relevant function of a vehicle system of a motor vehicle in a control unit, comprising at least a first, at least one safety criterion corresponding computing unit and at least one second, not the safety criterion corresponding arithmetic unit, which is more powerful than the first arithmetic unit, wherein the second arithmetic unit for determining result data of the function by evaluating the sensor data and the first arithmetic unit for validating the result data of the second arithmetic unit is used. It is also true for the method according to the invention that the statements relating to the control unit according to the invention can be transmitted analogously.
Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnung. Dabei zeigen:Further advantages and details of the present invention will become apparent from the The following described embodiments and with reference to the drawing. Showing:
Innerhalb des Steuergeräts
Dabei ist nun vorgesehen, die Umfeldinterpretation und die Auswahl einer Betriebsstrategie vollständig auf der zweiten Recheneinheit
Die ersten Recheneinheiten
Nachdem die bei der Validierung eingesetzten Recheneinheiten
Anders ausgedrückt kann gesagt werden, dass die Gesamtberechnung zur Realisierung der Funktion zweistufig erfolgt, wie dies im Ablaufplan der
Eine Situationsanalyse, mithin die Umfeldinterpretation, ist in diesem Fall hochkomplex, kann aber aufgrund der Verwendung der zweiten Recheneinheit
Die hier getroffene Entscheidung „Ausweichen nach links”, Pfeil
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte Nicht-PatentliteraturCited non-patent literature
- ISO 26262 [0003] ISO 26262 [0003]
- ISO 26262 [0003] ISO 26262 [0003]
- ISO 26262 [0004] ISO 26262 [0004]
- ISO 26262-Sicherheitszertifikat [0004] ISO 26262 safety certificate [0004]
- ISO 26262 [0005] ISO 26262 [0005]
- ISO 26262 [0006] ISO 26262 [0006]
- ASIL A [0010] ASIL A [0010]
- ISO 26262 [0010] ISO 26262 [0010]
- ISO 26262 [0010] ISO 26262 [0010]
- ASIL D [0010] ASIL D [0010]
- ASIL D [0010] ASIL D [0010]
- ISO 26262-Standard [0023] ISO 26262 standard [0023]
- ASIL D [0023] ASIL D [0023]
- ASIL D-Standard [0024] ASIL D standard [0024]
- ISO 26262 [0024] ISO 26262 [0024]
- ISO 26262 [0025] ISO 26262 [0025]
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014014858.0A DE102014014858B4 (en) | 2014-10-06 | 2014-10-06 | Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014014858.0A DE102014014858B4 (en) | 2014-10-06 | 2014-10-06 | Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102014014858A1 true DE102014014858A1 (en) | 2016-04-07 |
DE102014014858B4 DE102014014858B4 (en) | 2020-09-03 |
Family
ID=55530925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102014014858.0A Active DE102014014858B4 (en) | 2014-10-06 | 2014-10-06 | Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102014014858B4 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017194211A1 (en) * | 2016-05-10 | 2017-11-16 | Audi Ag | Method for evaluating environment data in a control unit of a motor vehicle, control unit, and motor vehicle |
DE102016125240A1 (en) * | 2016-12-21 | 2018-06-21 | Endress+Hauser SE+Co. KG | Electronic circuit for a field device of automation technology |
CN111694702A (en) * | 2019-03-11 | 2020-09-22 | 大众汽车有限公司 | Method and system for secure signal manipulation |
DE102019218082A1 (en) * | 2019-11-22 | 2021-05-27 | Zf Friedrichshafen Ag | Device and method for creating a safe state in a vehicle |
DE102021213077A1 (en) | 2021-11-22 | 2023-05-25 | Zf Friedrichshafen Ag | Method for monitoring signal processing for an automated driving system and control unit for an automated driving system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4137124A1 (en) * | 1991-11-12 | 1993-05-13 | Teves Gmbh Alfred | CIRCUIT ARRANGEMENT FOR A BRAKE SYSTEM WITH ANTI-BLOCKING PROTECTION AND / OR DRIVE SLIP CONTROL |
-
2014
- 2014-10-06 DE DE102014014858.0A patent/DE102014014858B4/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4137124A1 (en) * | 1991-11-12 | 1993-05-13 | Teves Gmbh Alfred | CIRCUIT ARRANGEMENT FOR A BRAKE SYSTEM WITH ANTI-BLOCKING PROTECTION AND / OR DRIVE SLIP CONTROL |
Non-Patent Citations (8)
Title |
---|
ASIL A |
ASIL D |
ASIL D-Standard |
ISO 26262 |
ISO 26262-Sicherheitszertifikat |
ISO 26262-Standard |
KOEPERNIK, Dr. J. u.a.: Funktionale Sicherheit in der Entwicklung von Fahrwerks und Fahrerassistenz-Systemen: Fokus Systemarchitektur. Vector Congress, 7./8. Oktober 2008 * |
SUNDARAM P. u.a.: Controller Integrity in Automotive Failsafe System Architectures. SAE Technical Paper Series, April 2006 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017194211A1 (en) * | 2016-05-10 | 2017-11-16 | Audi Ag | Method for evaluating environment data in a control unit of a motor vehicle, control unit, and motor vehicle |
DE102016125240A1 (en) * | 2016-12-21 | 2018-06-21 | Endress+Hauser SE+Co. KG | Electronic circuit for a field device of automation technology |
CN111694702A (en) * | 2019-03-11 | 2020-09-22 | 大众汽车有限公司 | Method and system for secure signal manipulation |
DE102019218082A1 (en) * | 2019-11-22 | 2021-05-27 | Zf Friedrichshafen Ag | Device and method for creating a safe state in a vehicle |
DE102021213077A1 (en) | 2021-11-22 | 2023-05-25 | Zf Friedrichshafen Ag | Method for monitoring signal processing for an automated driving system and control unit for an automated driving system |
Also Published As
Publication number | Publication date |
---|---|
DE102014014858B4 (en) | 2020-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102014014858B4 (en) | Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function | |
EP3227156B1 (en) | Driver assistance control unit, motor vehicle, method for operating a driver assistance control unit of a motor vehicle | |
DE102014205180A1 (en) | Method and device for operating a vehicle | |
DE102013013865B3 (en) | Method for operating a motor vehicle with a safety system and a fully automatic driver assistance system and motor vehicle | |
DE102013019027A1 (en) | Method for operating a safety system of a motor vehicle and motor vehicle | |
WO2017108263A1 (en) | Method for collision avoidance of a motor vehicle with an emergency vehicle and a related system and motor vehicle | |
DE102019214453A1 (en) | Method for performing a function of a motor vehicle | |
DE102012015272A1 (en) | Method for efficiently safeguarding safety-critical functions of a control device and control device | |
DE102020202188A1 (en) | Parking assistance system | |
DE102012207215A1 (en) | Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle | |
DE102018118190A1 (en) | Method and device for controlling a driving behavior of a highly automated vehicle, as well as an infrastructure system, vehicle or monitoring vehicle with the device | |
DE102018216423A1 (en) | Determination of a control signal for a semi-autonomous vehicle | |
DE102019134258A1 (en) | Method for controlling a driving function of a vehicle | |
DE102019214461A1 (en) | Method for remote control of a motor vehicle | |
DE102019214471A1 (en) | Method for remote control of a motor vehicle | |
DE102016014366A1 (en) | Method for operating a driver assistance system | |
DE112018005794T5 (en) | System and method for controlling a motor vehicle for autonomous driving | |
DE102019214482A1 (en) | Method for the safe, at least partially automated, driving of a motor vehicle | |
DE102015010270B4 (en) | Method for operating driver assistance systems in a motor vehicle and motor vehicle | |
DE102016122611A1 (en) | Method and device for operating a driver assistance function for a lane change, computer program and computer program product | |
DE102019207518A1 (en) | Risk reduction in road traffic | |
EP3779619B1 (en) | Method and device for determining emerging risks of a technical system | |
DE102017011724A1 (en) | Method for operating a safety device | |
DE102020211965A1 (en) | Method for operating a motor vehicle | |
DE102019008894A1 (en) | Method for recognizing unsafe driving behavior of a vehicle traveling ahead for a vehicle, control device and vehicle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |