DE102014014858A1 - Control device for a motor vehicle, motor vehicle and method for safely performing a function - Google Patents

Control device for a motor vehicle, motor vehicle and method for safely performing a function Download PDF

Info

Publication number
DE102014014858A1
DE102014014858A1 DE102014014858.0A DE102014014858A DE102014014858A1 DE 102014014858 A1 DE102014014858 A1 DE 102014014858A1 DE 102014014858 A DE102014014858 A DE 102014014858A DE 102014014858 A1 DE102014014858 A1 DE 102014014858A1
Authority
DE
Germany
Prior art keywords
arithmetic unit
safety
unit
function
motor vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102014014858.0A
Other languages
German (de)
Other versions
DE102014014858B4 (en
Inventor
Christoph Lauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102014014858.0A priority Critical patent/DE102014014858B4/en
Publication of DE102014014858A1 publication Critical patent/DE102014014858A1/en
Application granted granted Critical
Publication of DE102014014858B4 publication Critical patent/DE102014014858B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components

Abstract

Steuergerät (1) für ein Kraftfahrzeug (6), ausgebildet zur Ausführung wenigstens einer Sensordaten wenigstens einen Sensors (2) auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit (5a, 5b), wobei das Steuergerät (1) ferner wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit (4), die leistungsfähiger als die erste Recheneinheit (5a, 5b) ist, aufweist, wobei die zweite Recheneinheit (4) zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten ausgebildet ist und die erste Recheneinheit (5a, 5b) zur Validierung der Ergebnisdaten der zweiten Recheneinheit (4) ausgebildet ist.Control unit (1) for a motor vehicle (6), designed to execute at least one sensor data at least one sensor (2) evaluating, in particular safety-relevant function, comprising at least one first, at least one safety criterion corresponding computing unit (5a, 5b), wherein the control unit (1 ) Furthermore, at least one second, not the safety criterion corresponding computing unit (4) which is more powerful than the first arithmetic unit (5a, 5b), wherein the second arithmetic unit (4) is designed to determine result data of the function by evaluating the sensor data and the first arithmetic unit (5a, 5b) is designed to validate the result data of the second arithmetic unit (4).

Description

Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug, ausgebildet zur Durchführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit. Daneben betrifft die Erfindung ein Kraftfahrzeug und ein Verfahren zum abgesicherten Durchführen einer zur Ausführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät.The invention relates to a control unit for a motor vehicle, designed to carry out at least one sensor data of at least one sensor evaluating, in particular safety-relevant function, comprising at least one first, at least one safety criterion corresponding computing unit. In addition, the invention relates to a motor vehicle and a method for safely performing a performing at least one sensor data of at least one sensor evaluating, in particular safety-related function of a vehicle system of a motor vehicle in a control unit.

Fahrerassistenzsysteme, Sicherheitssysteme und sonstige Fahrzeugsysteme für Kraftfahrzeuge sind inzwischen verbreitet und wohlbekannt. Derartige Fahrzeugsysteme im allgemeinen realisieren bestimmte Funktionen, die durch das Fahrzeugsystem zur Verfügung gestellt werden sollen. Viele dieser Funktionen, insbesondere Funktionen von Sicherheitssystemen und/oder Funktionen, die die Durchführung von Fahrereingriffen steuern, sind als kritischer zu betrachten, da bei auftretenden Fehlern ein Sicherheitsrisiko bestehen könnte. Wird beispielsweise von einem das Kraftfahrzeug teilautonom und/oder vollautonom führenden Fahrerassistenzsystem ein Objekt nicht detektiert oder falsch bewertet, kann es zu einem eine Kollision mit dem Objekt zur Folge habenden Fahrmanöver kommen.Driver assistance systems, safety systems and other vehicle systems for motor vehicles are now common and well known. Such vehicle systems generally realize certain functions to be provided by the vehicle system. Many of these functions, in particular functions of security systems and / or functions that control the execution of driver interventions, are to be regarded as more critical, since the errors could pose a security risk. If, for example, an object is not detected or incorrectly evaluated by a driver autonomously leading the motor vehicle partially autonomously and / or fully autonomously, a driving maneuver involving a collision with the object may occur.

Daher ist vorgesehen, Funktionen von Fahrzeugsystemen nach ihrer Sicherheitsrelevanz beziehungsweise den Sicherheitsanforderungen zu bewerten und entsprechende zusätzliche Sicherheitsmaßnahmen auf Hardware- und Softwarelevel umzusetzen. Entsprechend wurden Normen entwickelt, die es zum einen ermöglichen, Risiken beziehungsweise allgemein die Sicherheitsrelevanz zu klassifizieren, zum anderen aber Absicherungsmaßnahmen festlegen, um zu Sicherheitsproblemen führende Fehler zu vermeiden. Die im Bereich der Kraftfahrzeuge zu berücksichtigende Norm in diesem Kontext ist die ISO 26262 , in der auch das „Automotive Safety Integrity Level” (ASIL) definiert ist. ASIL ist ein Risikoklassifikationsschema, das durch ISO 26262 definiert ist und schätzt im Wesentlichen die Möglichkeit und Schwere von Verletzungen im Fall eines Fehlers ein, berücksichtigt aber auch die relative Wahrscheinlichkeit, dass ein üblicher Fahrer die Verletzungen vermeiden kann.It is therefore intended to evaluate functions of vehicle systems according to their safety relevance or the safety requirements and to implement corresponding additional safety measures at the hardware and software levels. Correspondingly, standards have been developed which make it possible, on the one hand, to classify risks or, more generally, the safety relevance, and on the other hand to define safeguards in order to avoid errors leading to safety problems. The norm to be taken into account in motor vehicles in this context is the ISO 26262 , which also defines the "Automotive Safety Integrity Level" (ASIL). ASIL is a risk classification scheme that is supported by ISO 26262 and essentially assesses the possibility and severity of injuries in the event of an error, but also takes into account the relative likelihood that a common driver can avoid the injuries.

Typische Absicherungsmaßnahmen stellen dabei die redundante Berechnung, zusätzliche Überprüfungsalgorithmen und dergleichen dar. Damit eine Recheneinheit eines Steuergeräts eines Kraftfahrzeugs, die eine Funktion eines Fahrzeugsystems ausführen soll, die beispielsweise durch ISO 26262 definierten Sicherheitskriterien erfüllen kann, mithin die Funktion entsprechend dem Sicherheitsstandard realisiert ist, sind nicht nur Modifikationen in der Software, mithin insbesondere der Algorithmik, erforderlich, sondern es ist in vielen Fällen auch eine bestimmte Hardware-Ausgestaltung der Recheneinheiten, die beispielsweise als Controller realisiert sein können, notwendig, um die entsprechenden Absicherungsroutinen durchführen zu können. Beispielsweise existieren Recheneinheiten, die als Mehrkern-Prozessor ausgebildet sind, bei denen explizit bereits durch die Hardware vorgesehen ist, Berechnungen redundant und parallel auf mehreren Kerne durchzuführen und sodann vergleichend zusammenzuführen. Auch andere Hardware-Weiterbildungen von Recheneinheiten, um Sicherheitsanforderungen beziehungsweise Sicherheitskriterien erfüllen zu können, sind bereits beschrieben worden. Beispielsweise sind bereits Mikro-Controller als Recheneinheiten bekannt geworden, die ein ISO 26262-Sicherheitszertifikat aufweisen. Zusätzlich zu diesen Hardware-Anpassungen zur Erfüllung von Sicherheitskriterien sind auch spezielle Softwareentwicklungsprozesse für derartige Funktionsrealisierungen einzuhalten.In this case, typical security measures are the redundant calculation, additional verification algorithms and the like. Thus, a computing unit of a control unit of a motor vehicle that is to perform a function of a vehicle system, for example by ISO 26262 can fulfill defined security criteria, therefore, the function is realized in accordance with the safety standard, not only modifications in the software, and thus in particular the algorithms required, but it is in many cases, a specific hardware configuration of the computing units, which may be realized as a controller, for example necessary to perform the appropriate validation routines. For example, there are computation units which are embodied as multi-core processors, in which explicitly the hardware already provides for carrying out calculations redundantly and in parallel on several cores and then combining them in a comparative manner. Other hardware developments of computing units in order to meet safety requirements and safety criteria have already been described. For example, micro-controllers have already become known as arithmetic units, the one ISO 26262 safety certificate exhibit. In addition to these hardware adjustments to meet security criteria, special software development processes for such functional implementations must be adhered to.

Problematisch hierbei ist, dass Sicherheitskriterien erfüllende Recheneinheiten, insbesondere Mikro-Controller, nicht in allen beliebigen Leistungsstärken verfügbar sind, da durch die zusätzliche Realisierung beziehungsweise Ermöglichung von Absicherungsroutinen grundsätzlich Leistungsfähigkeit verloren geht. Beispielsweise existieren keine Mikro-Controller mit mehr als 500 MHz Taktfrequenz, die die Sicherheitsnormen nach ISO 26262 erfüllen. Leistungsstarke Recheneinheiten, beispielsweise Graphikprozessoren (GPU), weisen zwar eine deutlich höhere Leistungsfähigkeit (Rechenleistung) auf, genügen jedoch keinen Sicherheitskriterien. Dies erschwert es bei der Realisierung von sicherheitsrelevanten Funktionen, die erforderliche Rechenleistung zur Verfügung zur Verfügung zu stellen, insbesondere dann, wenn eine Ausführung in Echtzeit benötigt wird. Denkbare, jedoch aufwendige und kostspielige Lösungen sind die Verwendung von mehreren, Sicherheitskriterien erfüllenden Recheneinheiten oder die Implementierung von sicherheitsrelevanten Funktionen auf mehreren Steuergeräten.The problem here is that security criteria fulfilling computing units, especially micro-controllers, are not available in all power levels, as is lost by the additional realization or enabling hedge routines basically performance. For example, there are no micro-controllers with more than 500 MHz clock frequency that complies with safety standards ISO 26262 fulfill. Powerful computing units, such as graphics processors (GPU), although have a significantly higher performance (computing power), but do not meet security criteria. This makes it difficult in the realization of safety-related functions to provide the required computing power available, especially if an execution in real time is needed. Conceivable, but complex and costly solutions are the use of multiple, compliant with safety criteria computing units or the implementation of safety-related functions on multiple ECUs.

Auch bezüglich der Software-Komponenten, insbesondere der Algorithmen, für sicherheitsrelevante Funktionen, existieren Schwierigkeiten, da die gesamte Software ebenso nach ISO 26262 entwickelt wird und somit höheren Prozessstandards genügen muss. Dies erfordert eine langwierige und kostspielige Umsetzung.Also with regard to the software components, in particular the algorithms, for security-related functions, there are difficulties, because the entire software as well ISO 26262 is developed and must therefore meet higher process standards. This requires a lengthy and costly implementation.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Steuergerät zur Durchführung von sicherheitsrelevanten Funktionen, die wenigstens einer Sicherheitsanforderung genügen müssen, anzugeben, welches trotz Einhaltung der Sicherheitsanforderungen mit geringerem Aufwand realisierbar ist.The invention is therefore based on the object, a control unit for performing safety-related functions that at least one Security requirement must specify, which is feasible despite lower security requirements, despite compliance with safety requirements.

Zur Lösung dieser Aufgabe ist bei einem Steuergerät der eingangs genannten Art erfindungsgemäß vorgesehen, dass das Steuergerät ferner wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, aufweist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung von Sensordaten ausgebildet ist und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit ausgebildet ist.To solve this problem is provided according to the invention in a control device of the type mentioned that the control unit further at least a second, not the safety criterion corresponding computing unit, which is more powerful than the first arithmetic unit, wherein the second arithmetic unit for determining result data of the function by Evaluation of sensor data is formed and the first arithmetic unit is designed to validate the result data of the second arithmetic unit.

Die Erfindung sieht also eine teilweise Verwendung von die Sicherheitskriterien nicht erfüllenden Komponenten vor, mithin eine teilweise nicht bestimmten Sicherheitskriterien entsprechende Struktur eines Steuergeräts, jedoch derart, dass für die durchzuführende Funktion als ganze die an sie gerichteten Sicherheitsanforderungen erfüllt sind. Die hier beschriebene Steuergerätearchitektur kann mithin sicherheitsrelevante Funktionen, die bestimmte Sicherheitsanforderungen erfüllen müssen, darstellen, kann jedoch auch bei hohen Sicherheitsanforderungen auf Nicht-Sicherheitskomponenten (QM-Klassifizierung nach ASIL) realisiert werden. Dem liegt die Erkenntnis zugrunde, dass viele Auswertungen von Sensordaten Teilauswertungen enthalten, die zur Überprüfung von Möglichkeiten zwar durchgeführt werden, für die letztendlich zu wählende Betriebsstrategie, also das Ergebnis der Auswertung der Sensordaten, letztlich nicht mehr relevant sind. Es ist mithin ausreichend, das Ergebnis zu überprüfen, so dass von den Ergebnisdaten nicht mehr berührte Anteile der Auswertung für die Validierung letztlich nicht mehr relevant sind, so dass diese mit einem reduzierten Aufwand durchgeführt werden kann. Kern der Erfindung ist mithin eine zweistufige Berechnung: Das übergeordnete Problem der komplexen Interpretation der Sensordaten, insbesondere einer Umfeldinterpretation, wird durch Komponenten, insbesondere eine Recheneinheit, gelöst, die den normalerweise notwendigen Sicherheitskriterien nicht entsprechen muss und daher leistungsfähiger ist. Die Absicherung der Lösung wird jedoch auf herkömmlichen Wege durch die Sicherheitskriterien erfüllende Komponenten, beispielsweise ASIL-Komponenten, sichergestellt. Auf diese Weise vereint die Erfindung sozusagen das Beste aus zwei Welten: Die Leistungsfähigkeit von nicht-Sicherheitskomponenten mit der Zuverlässigkeit von Sicherheitskomponenten.Thus, the invention provides for a partial use of non-compliance with the safety criteria components, thus a partially non-specific safety criteria corresponding structure of a control unit, but such that for the function to be performed as a whole, the safety requirements are met. The controller architecture described here can thus represent safety-relevant functions that must meet certain safety requirements, but can also be implemented with high safety requirements for non-safety components (QM classification according to ASIL). This is based on the finding that many evaluations of sensor data contain partial evaluations which are carried out to check possibilities for which ultimately the operating strategy to be chosen, ie the result of the evaluation of the sensor data, is no longer relevant. It is therefore sufficient to check the result so that portions of the evaluation no longer affected by the result data are no longer relevant for the validation, so that this can be carried out with a reduced outlay. The core of the invention is therefore a two-stage calculation: The overarching problem of the complex interpretation of the sensor data, in particular an environment interpretation, is solved by components, in particular a computing unit, which does not have to comply with the normally necessary safety criteria and is therefore more efficient. However, securing the solution is ensured by conventional components that meet safety criteria, such as ASIL components. In this way, the invention combines, so to speak, the best of both worlds: The performance of non-safety components with the reliability of safety components.

Dabei kann das Sicherheitskriterium die Erfüllung eines Sicherheitsstandards betreffen. Beispielsweise kann vorgesehen sein, dass die erste Recheneinheit ASIL A oder höher gemäß ISO 26262 (zum Zeitpunkt der Einreichung dieser Patentanmeldung) in Abhängigkeit der Funktion erfüllt und die zweite Recheneinheit als QM-Recheneinheit gemäß ISO 26262 (zum Zeitpunkt der Einreichung dieser Patentanmeldung) ausgebildet ist. Handelt es sich also beispielsweise um eine Funktion, die sehr hohe Sicherheitsanforderungen erfüllen muss, beispielsweise als ASIL D klassifiziert ist, ist es völlig ausreichend, wenn die erste Recheneinheit zur Erfüllung von ASIL D ausgebildet ist, während bei der zweiten Recheneinheit typische QM-Komponenten ohne Erfüllung des Sicherheitskriteriums beziehungsweise für die Funktion der Sicherheitsanforderung verwendet werden können.The safety criterion may concern the fulfillment of a safety standard. For example, it can be provided that the first arithmetic unit ASIL A or higher according to ISO 26262 (at the time of filing this patent application) depending on the function fulfilled and the second arithmetic unit as a QM arithmetic unit according to ISO 26262 (at the time of filing this patent application) is formed. For example, is it a function that has to meet very high security requirements, such as ASIL D is fully sufficient, if the first arithmetic unit to fulfill ASIL D is formed, while in the second arithmetic unit typical QM components can be used without meeting the security criterion or for the function of the security requirement.

Selbstverständlich können diese allgemeinen Ausführungen zur Erfüllung von Sicherheitskriterien auch auf die vorliegenden Software-Komponenten, die die Recheneinheit nutzen, übertragen werden. So kann vorzugsweise die auf der ersten Recheneinheit eine dem und/oder einem weiteren Sicherheitskriterium entsprechende Software und/oder auf der zweiten Recheneinheit eine nicht dem beziehungsweise den weiteren Sicherheitskriterium entsprechende Software ausgeführt werden. Mithin wird auch die Software zweckmäßigerweise im Rahmen der Gesamtarchitektur sozusagen aufgeteilt in einen nicht sicherheitsrelevanten Anteil und einen sicherheitsrelevanten Anteil, wobei sich letztlich zur Laufzeit anhand der aktuellen Ergebnisdaten entscheidet, für welche Anteile der Auswertung die Erfüllung der Sicherheitskriterien hergestellt werden muss.Of course, these general statements for the fulfillment of security criteria can also be transferred to the existing software components that use the arithmetic unit. Thus, preferably, the software corresponding to the and / or a further security criterion on the first arithmetic unit and / or software which does not correspond to the or the further security criterion can be executed on the second arithmetic unit. Consequently, the software is expediently divided as it were into a non-security-relevant portion and a security-relevant portion of the overall architecture, which ultimately decides at runtime on the basis of the current results data for which portions of the evaluation, the fulfillment of the security criteria must be established.

Die Auswertung kann in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar sein, wobei die erste Recheneinheit bei der Validierung nur zur Durchführung der nicht die gesamte Auswertung umfassenden Teilauswertungen, die den aktuellen Ergebnisdaten zugeordnet sind, ausgebildet ist. Im Beispiel einer Umfeldinterpretation können sich derartige Teilaufgaben beispielsweise in einer Parallelisierung von verschiedenen Teilaufgaben der Umfeldinterpretation an sich darstellen, wie sie beispielsweise auf grafischen Prozessoren (GPU) und sonstigen die Sicherheitskriterien nicht erfüllenden Recheneinheiten realisierbar ist. Beispielsweise kann eine Mehrzahl von Umfeldobjekten auf entsprechenden parallelisierten Kernen berechnet werden. Nicht alle diese Objekte und somit Teilauswertungen sind für die letztendlich im Rahmen der Funktion resultierende Betriebsstrategie relevant, so dass letztlich der „Überprüfungsraum” für die Validierung stark eingeschränkt werden kann und somit im sicherheitskritischen Teil der Durchführung der Funktion insgesamt weniger Rechenleistung erforderlich ist.The evaluation can be subdivided into partial results that can be assigned to certain result data, wherein the first calculation unit is designed to perform only the partial evaluations that do not include the entire evaluation and that are assigned to the current result data. In the example of an environment interpretation, such sub-tasks can be represented, for example, in a parallelization of different subtasks of the environment interpretation per se, as can be realized, for example, on graphical processors (GPU) and other computation units that do not fulfill the safety criteria. For example, a plurality of environment objects may be calculated on corresponding parallelized cores. Not all of these objects and thus partial evaluations are relevant for the operating strategy ultimately resulting in the function, so that ultimately the "review room" for validation can be severely restricted and thus less computational power is required in the safety-critical part of performing the function.

Entsprechend kann auch vorgesehen sein, dass die erste Recheneinheit zur Validierung der Ergebnisdaten unter Verwendung eines gegenüber der zweiten Recheneinheit reduzierten Satzes von Sensordaten als Eingangsdaten und/oder eines gegenüber der zweiten Recheneinheit reduzierten Satzes von Algorithmen ausgebildet ist. Im eben bereits genannten Beispiel, das durch die Funktion eine bestimmte Betriebsstrategie aus einer Mehrzahl grundsätzlich möglicher Betriebsstrategien ausgewählt wird, beispielsweise eine bestimmte zu fahrende Trajektorie im Beispiel der Umfeldinterpretation, kann gesagt werden, dass die zweite Recheneinheit zur Auswahl einer zu verwendenden Betriebsstrategie aus einer Mehrzahl möglicher Betriebsstrategien ausgebildet ist und die erste Recheneinheit zur Verwendung von lediglich auf die ausgewählte Betriebsstrategie bezogenen Sensordaten als Eingangsdaten und/oder Algorithmen ausgebildet ist. Betrifft die Funktion in einem Beispiel also ein Sicherheitssystem, welches eine Ausweichtrajektorie auf der Basis von Umfelddaten als Sensordaten als Betriebsstrategie bestimmt, so ist letztlich durch die erste Recheneinheit nur alles das zu validieren, was diese Ausweichtrajektorie betrifft. Wurde beispielsweise festgestellt, dass eine Gruppe Fußgänger an einer gänzlich anderen Position befindlich ist, die von der Trajektorie nicht berührt wird, werden auf diese Fußgängergruppe bezogene Teilauswertungen beziehungsweise Algorithmen/Sensordaten nur dann relevant, wenn bei der Validierung, mithin Überprüfung der Ausweichtrajektorie, festgestellt wird, dass sich die Fußgängergruppe tatsächlich eben doch im Bereich der Ausweichtrajektorie befindet; ansonsten ist eine erneute Berechnung/Validierung diesbezüglich nicht notwendig und tritt auch nicht auf.Accordingly, it can also be provided that the first arithmetic unit for validation of the result data is used with the use of a reduced set of Sensor data as input data and / or a reduced compared to the second processing unit set of algorithms is formed. In the example just mentioned, which is selected by the function of a specific operating strategy from a plurality of fundamentally possible operating strategies, for example a specific trajectory to be traveled in the example of the environment interpretation, it can be said that the second arithmetic unit for selecting an operating strategy to be used from a plurality possible operating strategies is formed and the first arithmetic unit is designed to use only related to the selected operating strategy sensor data as input data and / or algorithms. In one example, if the function relates to a security system which determines an evasion trajectory on the basis of environmental data as sensor data as operating strategy, ultimately only the first computing unit is to validate all that concerns this evasion trajectory. If, for example, it has been established that a group of pedestrians is located at a completely different position, which is not affected by the trajectory, sub-evaluations or algorithms / sensor data related to this pedestrian group become relevant only if it is determined during the validation, thus checking the evasion trajectory that the pedestrian group is in fact in the area of avoidance trajectory; otherwise, a new calculation / validation in this regard is not necessary and does not occur.

Dabei sei an dieser Stelle noch allgemein angemerkt, dass als Recheneinheiten Prozessoren eingesetzt werden können, insbesondere wenigstens zwei Prozessorkerne umfassende Prozessoren. Derartige für Steuergeräte genutzte Prozessoren sind häufig auch als sogenannte Mikro-Controller ausgebildet. Gerade im Hinblick auf die Realisierung der wenigstens einen zweiten Recheneinheit bietet es sich an, hochleistungsfähige Recheneinheiten einzusetzen, beispielsweise grafische Prozessoren (GPU), die parallelisierte, effektive Berechnungen erlauben. Sicherheitskriterien erfüllende Recheneinheiten beziehungsweise Prozessoren sind ebenso bereits bekannt und als erste Recheneinheit einsetzbar, insbesondere für den verwendeten Sicherheitsstandard und die als Sicherheitskriterium zu erfüllende Klassifizierung, beispielsweise ASIL-Klassifizierung, zertifizierte Produkte.It should be noted at this point generally that processors can be used as arithmetic units, in particular at least two processors cores comprehensive processors. Such processors used for controllers are often designed as so-called micro-controller. Especially with regard to the realization of the at least one second arithmetic unit, it makes sense to use high-performance arithmetic units, for example, graphic processors (GPU), which allow parallelized, effective calculations. Security units fulfilling computing units or processors are also already known and can be used as the first computing unit, in particular for the security standard used and the criterion to be met as a safety criterion, for example ASIL classification, certified products.

Wie bereits erwähnt, lässt sich die vorliegende Erfindung besonders vorteilhaft anwenden, wenn die zweite Recheneinheit zu einer Situationsanalyse, insbesondere einer Umfeldinterpretation, anhand der insbesondere Sensordaten von Umfeldsensoren umfassenden Sensordaten ausgebildet ist. Gerade im Hinblick auf die Umfeldinterpretation sind viele, äußerst aufwendige Berechnungen durchzuführen, die für das Ergebnis, beschrieben durch die Ergebnisdaten, dann nicht immer zwangsläufig relevant sind, aber erforderlich waren, um die Möglichkeiten, die zum weiteren Betrieb des Kraftfahrzeugs bestehen, auszuloten. Im Rahmen der Validierung reduziert sich die Zahl der Berechnungen und somit der Aufwand dann auf den für die Ergebnisdaten relevanten Anteil, so dass beispielsweise außerhalb einer gewählten Trajektorie liegende Bereiche, vor einem Objekt, auf das gebremst wird, liegende weitere Objekte und dergleichen zur Erfüllung der Sicherheitsanforderungen an die Funktion nicht mehr abgesichert werden müssen.As already mentioned, the present invention can be used particularly advantageously if the second arithmetic unit is designed for a situation analysis, in particular an environment interpretation, on the basis of which, in particular, sensor data from environmental sensors comprises comprehensive sensor data. Precisely with regard to the interpretation of the environment, it is necessary to carry out many extremely complex calculations which are not always necessarily relevant to the result described by the result data, but which were necessary in order to explore the possibilities which exist for the further operation of the motor vehicle. In the context of the validation, the number of calculations and thus the effort is reduced to the relevant for the result data share, so that, for example, lying outside of a selected trajectory areas, in front of an object is braked, lying further objects and the like to fulfill the Security requirements for the function no longer need to be hedged.

Insbesondere kann die Funktion zweckmäßig eine auf einen vollständig autonomen Betrieb des Kraftfahrzeugs gerichtete Funktion eines vollautonomen Fahrzeugsystems sein. Gerade in diesem Kontext ist die durch die Erfindung gegebene Effizienz bei Aufrechterhaltung der Sicherheitsanforderungen an die Funktion äußerst hilfreich. Denkbar sind jedoch auch teilautonome Funktionen, beispielsweise auf die Längsführung bezogene Funktionen (Bremsassistent) oder auch nur in bestimmten sicherheitskritischen Situationen eingreifende Funktionen (Ausweichassistent und dergleichen).In particular, the function may expediently be a function of a fully autonomous vehicle system directed to a completely autonomous operation of the motor vehicle. Especially in this context, the efficiency provided by the invention is extremely helpful in maintaining the security requirements for the function. However, partially autonomous functions are also conceivable, for example functions related to longitudinal guidance (brake assist) or even functions engaging in certain safety-critical situations (evasion assistant and the like).

Neben dem Steuergerät betrifft die vorliegende Erfindung auch ein Kraftfahrzeug, aufweisend wenigstens ein erfindungsgemäßes Steuergerät. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, mit welchem auch die bereits genannten Vorteile erhalten werden können. Insbesondere können mehrere erfindungsgemäße Steuergeräte, die die beschriebene vorteilhafte Architektur umsetzen, in einem Kraftfahrzeug eingesetzt werden.In addition to the control unit, the present invention also relates to a motor vehicle, comprising at least one control unit according to the invention. All statements regarding the control device according to the invention can be analogously transferred to the motor vehicle according to the invention, with which also the advantages already mentioned can be obtained. In particular, a plurality of control devices according to the invention, which implement the described advantageous architecture, can be used in a motor vehicle.

Schließlich betrifft die Erfindung auch ein Verfahren zum abgesicherten Durchführen einer zur Ausführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit und wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit verwendet wird. Auch für das erfindungsgemäße Verfahren gilt, dass die Ausführungen zum erfindungsgemäßen Steuergerät sich analog übertragen lassen.Finally, the invention also relates to a method for the secure execution of an at least one sensor sensor of at least one sensor evaluating, in particular safety-relevant function of a vehicle system of a motor vehicle in a control unit, comprising at least a first, at least one safety criterion corresponding computing unit and at least one second, not the safety criterion corresponding arithmetic unit, which is more powerful than the first arithmetic unit, wherein the second arithmetic unit for determining result data of the function by evaluating the sensor data and the first arithmetic unit for validating the result data of the second arithmetic unit is used. It is also true for the method according to the invention that the statements relating to the control unit according to the invention can be transmitted analogously.

Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnung. Dabei zeigen:Further advantages and details of the present invention will become apparent from the The following described embodiments and with reference to the drawing. Showing:

1 eine Prinzipskizze eines erfindungsgemäßen Steuergeräts, 1 a schematic diagram of a control device according to the invention,

2 einen Ablaufplan eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens, und 2 a flowchart of an embodiment of the method according to the invention, and

3 eine Verkehrssituation. 3 a traffic situation.

1 zeigt in Form einer Prinzipskizze ein Ausführungsbeispiel eines erfindungsgemäßen Steuergeräts 1. Mit dem Steuergerät 1 soll eine Funktion eines Fahrzeugsystems realisiert werden, die nach dem ISO 26262-Standard (zum Zeitpunkt der Patentanmeldung) als sicherheitsrelevant klassifiziert wurde, beispielsweise als ASIL D . Das bedeutet, die Realisierung der Funktion muss gewissen Sicherheitsanforderungen genügen. Die Funktion wertet Sensordaten von Sensoren 2, beispielsweise Umgebungssensoren, aus, im vorliegenden Ausführungsbeispiel, um eine Situationsanalyse, konkret eine Umfeldinterpretation, durchzuführen und eine geeignete Betriebsstrategie zur Beseitigung einer sicherheitskritischen Situation zu wählen. Mithin werden dem Steuergerät als Eingangsdaten für die Funktion wenigstens die Sensordaten der Sensoren 2 zugeführt, wobei weitere Eingangsdaten und/oder sonstige Informationen über einen Fahrzeugbus des Kraftfahrzeugs, in dem das Steuergerät 1 verwendet wird, ausgetauscht werden können, wie dies grundsätzlich bekannt ist. Es sei darauf hingewiesen, dass auch Fälle denkbar sind, in denen sich Sensoren 2 innerhalb des Steuergeräts 1 befinden können. 1 shows in the form of a schematic diagram of an embodiment of a control device according to the invention 1 , With the control unit 1 a function of a vehicle system is to be realized, which after the ISO 26262 standard (at the time of the patent application) was classified as safety relevant, for example as ASIL D , This means that the realization of the function must meet certain safety requirements. The function evaluates sensor data from sensors 2 , For example, environment sensors, from, in the present embodiment, to perform a situation analysis, concretely an environment interpretation, and to choose a suitable operating strategy for the removal of a safety-critical situation. Consequently, the control unit receives at least the sensor data of the sensors as input data for the function 2 supplied, wherein further input data and / or other information about a vehicle bus of the motor vehicle, in which the control unit 1 used, can be exchanged, as is generally known. It should be noted that even cases are conceivable in which sensors 2 within the controller 1 can be located.

Innerhalb des Steuergeräts 1, also innerhalb des Gehäuses, sind vorliegend drei als Mikrocontroller realisierte Recheneinheiten 4, 5a, 5b vorgesehen, wobei erste Recheneinheiten 5a und 5b jeweils ein Sicherheitskriterium, beispielsweise den hier geforderten ASIL D-Standard , erfüllen. Die zweite Recheneinheit 4 erfüllt jedoch keine besonderen Sicherheitskriterien, sie kann mithin als QM-Recheneinheit im Sinne der ISO 26262 (zum Zeitpunkt der Patentanmeldung) angesehen werden.Inside the controller 1 , ie within the housing, in the present case are three arithmetic units realized as microcontrollers 4 . 5a . 5b provided, wherein first arithmetic units 5a and 5b in each case a safety criterion, for example the one required here ASIL D standard , fulfill. The second arithmetic unit 4 However, it does not meet any special security criteria, so it can be used as a QM arithmetic unit in the sense of ISO 26262 (at the time of the patent application).

Dabei ist nun vorgesehen, die Umfeldinterpretation und die Auswahl einer Betriebsstrategie vollständig auf der zweiten Recheneinheit 4 durchzuführen. Das bedeutet, die Recheneinheit 4 berücksichtigt alle für die Funktion notwendigen Sensordaten (und gegebenenfalls weitere Eingangsdaten), wobei, ohne Kompromisse hinsichtlich der Leistungsfähigkeit und der Echtzeitfähigkeit eingehen zu müssen, die leistungsfähigsten Komponenten eingesetzt werden, die für die Funktion notwendig erscheinen. Die komplexe Umfeldinterpretation wird mithin durch die Recheneinheit 4 schnell und effektiv durchgeführt und es werden Ergebnisdaten berechnet, wobei die gesamte Ermittlung, also auch die verwendete Software, keinen Sicherheitskriterien genügt, insbesondere nicht den Sicherheitskriterien nach ISO 26262 .It is now provided, the environment interpretation and the selection of an operating strategy completely on the second processing unit 4 perform. That means the arithmetic unit 4 considers all sensor data (and possibly other input data) necessary for the function, using the most powerful components that appear necessary for the function, without having to compromise on performance and real-time capability. The complex environment interpretation is therefore by the arithmetic unit 4 performed quickly and effectively and result data are calculated, the entire investigation, including the software used, does not meet security criteria, in particular not the security criteria ISO 26262 ,

Die ersten Recheneinheiten 5a und 5b werden genutzt, um die von der zweiten Recheneinheit 4 gelieferten Ergebnisdaten abzusichern, mithin zu validieren. Wesentlich hierbei ist, dass zwar die ersten Recheneinheiten 5a und 5b weniger leistungsfähig als die zweite Recheneinheit 4 sind, sich jedoch die Ergebnisdaten nur noch auf einen Teil der Sensordaten und der verwendeten Algorithmen beziehen, mithin nur auf Teilauswertungen der gesamten Auswertung der Sensordaten, die durch die zweite Recheneinheit 4 durchgeführt wird. Es muss mithin nicht die komplette Algorithmik neu und unter Berücksichtigung der Sicherheitskriterien berechnet werden, sondern die Validierung der Ergebnisdaten wird durch Weglassen von für die Ergebnisdaten nicht relevanten Informationen und Berechnungsvorgängen mit einem deutlich reduzierten Rechenaufwand durchgeführt.The first computing units 5a and 5b are used by the second processor 4 to validate the delivered results data. Essential here is that, although the first arithmetic units 5a and 5b less powerful than the second processor 4 However, the result data only relate to a part of the sensor data and the algorithms used, and therefore only to partial evaluations of the entire evaluation of the sensor data, which is provided by the second arithmetic unit 4 is carried out. Therefore, not all the algorithms have to be recalculated taking into account the safety criteria, but the validation of the result data is carried out by omitting information and calculation processes which are not relevant for the result data, with a significantly reduced computation effort.

Nachdem die bei der Validierung eingesetzten Recheneinheiten 5a und 5b sowie die darauf laufende Software den Sicherheitskriterien entspricht, erfüllt die Funktion, die durch das Steuergerät 1 zur Verfügung gestellt wird, insgesamt aber dennoch die Sicherheitsanforderungen.After the computing units used in the validation 5a and 5b and the software running on it complies with the safety criteria, fulfills the function provided by the control unit 1 provided, but overall the security requirements.

Anders ausgedrückt kann gesagt werden, dass die Gesamtberechnung zur Realisierung der Funktion zweistufig erfolgt, wie dies im Ablaufplan der 2 angedeutet ist. In einem Schritt S1 wird zunächst ohne die Beachtung von Sicherheitskriterien die Umfeldinterpretation vollständig und effektiv durchgeführt, um die Ergebnisdaten zu erhalten. Dafür werden im Schritt S2, der die Validierung der im Schritt S1 erhaltenen Ergebnisdaten betrifft, alle Sicherheitskriterien berücksichtigt, indem die ersten Recheneinheiten 5a, 5b mit entsprechend die Sicherheitskriterien erfüllender Software eingesetzt werden. Dabei ist jedoch nur der für die Ergebnisdaten relevante Anteil zu überprüfen/neu zu berechnen, so dass der Rechenaufwand deutlich reduziert ist und die geringere Leistungsfähigkeit der in ihrer Hardware auf die Sicherheitskriterien angepassten ersten Recheneinheiten 5a, 5b deutlicher weniger ins Gewicht fällt.In other words, it can be said that the total calculation for the realization of the function takes place in two stages, as described in the flowchart of FIG 2 is indicated. In a step S1, without the observance of security criteria, the environment interpretation is carried out completely and effectively in order to obtain the result data. For this purpose, in step S2, which relates to the validation of the result data obtained in step S1, all safety criteria are taken into account by the first calculation units 5a . 5b with software that meets the security criteria. However, only the portion relevant for the result data has to be checked / recalculated, so that the computational effort is significantly reduced and the lower performance of the first arithmetic units adapted in their hardware to the security criteria 5a . 5b clearly less significant.

3 erläutert das erfindungsgemäße Verfahren nochmals genauer anhand einer Verkehrssituation. Dort ist ein erfindungsgemäßes, mithin mit einem erfindungsgemäßen Steuergerät 1 ausgestattetes Kraftfahrzeug 6 dabei, auf ein weiteres Kraftfahrzeug 7 aufzufahren, das nicht in Bewegung ist. Ein drittes Kraftfahrzeug 8 fährt hinter dem Kraftfahrzeug 1 her. Auf einem Gehsteig rechts neben der Straße sind Fußgänger 9 in größerer Zahl unterwegs. 3 explains the method according to the invention even more precisely on the basis of a traffic situation. There is an inventive, thus with a control device according to the invention 1 equipped motor vehicle 6 with it, on another motor vehicle 7 to open up, which is not in motion. A third motor vehicle 8th drives behind the motor vehicle 1 ago. On a sidewalk to the right of the road are pedestrians 9 in larger numbers on the way.

Eine Situationsanalyse, mithin die Umfeldinterpretation, ist in diesem Fall hochkomplex, kann aber aufgrund der Verwendung der zweiten Recheneinheit 4 und entsprechender, die Sicherheitskriterien nicht beachtender Software äußerst schnell und effektiv durchgeführt werden. Aus dieser Umfeldinterpretation wird erkannt, dass verschiedene Betriebsstrategien des Kraftfahrzeugs 6 nicht möglich sind. Die durch den Pfeil 10 angedeutete Notbremsung ist nicht möglich, da von hinten das dritte Kraftfahrzeug 8 naht. Ein Ausweichvorgang wäre eine denkbare Reaktion auf die Situation, wobei jedoch nicht nach rechts in die Fußgänger 9 gelenkt werden darf, vgl. Pfeil 11. Mithin wird als sicheres Fahrmanöver in den Ergebnisdaten ein Ausweichen gemäß dem Pfeil 12 auf die linke Spur 13 als Lösung ermittelt. Dank der Verwendung der ohne Beachtung von Sicherheitskriterien geschaffenen Berechnungsumgebung (zweite Recheneinheit 4, entsprechende Software) wird die hohe Rechenleistung in Echtzeit zur Verfügung gestellt. A situation analysis, thus the environmental interpretation, is highly complex in this case, but can be due to the use of the second arithmetic unit 4 and corresponding non-safety-critical software can be performed extremely quickly and effectively. From this environment interpretation it is recognized that different operating strategies of the motor vehicle 6 are not possible. The by the arrow 10 indicated emergency braking is not possible because of the third vehicle 8th seam. An evasive action would be a conceivable reaction to the situation, although not to the right in the pedestrian 9 may be directed, cf. arrow 11 , Thus, as a safe driving maneuver in the result data is a dodge according to the arrow 12 on the left lane 13 determined as a solution. Thanks to the use of calculation environment created without consideration of safety criteria (second processing unit 4 , appropriate software), the high computing power is provided in real time.

Die hier getroffene Entscheidung „Ausweichen nach links”, Pfeil 12, erfordert zur Validierung, die durch die die Sicherheitskriterien erfüllenden ersten Recheneinheiten 5a, 5b sowie entsprechenden Sicherheitskriterien erfüllende Software durchgeführt wird, eine weit geringere Anzahl an Prämissen, denn es muss lediglich ermittelt werden, ob die linke Fahrspur 13 tatsächlich frei ist und ob die Trajektorie vorbei an dem weiteren Kraftfahrzeug 7 korrekt berechnet wurde. Die Fußgänger 9 sowie das dritte Kraftfahrzeug 8 betreffende Sensordaten, Algorithmen und/oder Teilauswertungen müssen bei der Validierung nicht mehr herangezogen werden. Mithin ist die Validierung auch durch die Sicherheitskomponenten, also die die Sicherheitskriterien erfüllenden ersten Recheneinheiten 5a, 5b sowie die die Sicherheitskriterium erfüllende, dort ablaufende Software leicht in Echtzeit umsetzbar.The decision made here "Dodge to the left", arrow 12 , requires for validation, by the first calculation units fulfilling the security criteria 5a . 5b As well as corresponding security criteria fulfilling software is performed, a far smaller number of premises, because it only has to be determined whether the left lane 13 is actually free and whether the trajectory past the other motor vehicle 7 was calculated correctly. The pedestrians 9 as well as the third motor vehicle 8th sensor data, algorithms and / or sub-evaluations concerned need not be used in the validation. Thus, the validation is also due to the security components, that is, the first arithmetic units meeting the security criteria 5a . 5b as well as fulfilling the security criterion, there running software easily realizable in real time.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • ISO 26262 [0003] ISO 26262 [0003]
  • ISO 26262 [0003] ISO 26262 [0003]
  • ISO 26262 [0004] ISO 26262 [0004]
  • ISO 26262-Sicherheitszertifikat [0004] ISO 26262 safety certificate [0004]
  • ISO 26262 [0005] ISO 26262 [0005]
  • ISO 26262 [0006] ISO 26262 [0006]
  • ASIL A [0010] ASIL A [0010]
  • ISO 26262 [0010] ISO 26262 [0010]
  • ISO 26262 [0010] ISO 26262 [0010]
  • ASIL D [0010] ASIL D [0010]
  • ASIL D [0010] ASIL D [0010]
  • ISO 26262-Standard [0023] ISO 26262 standard [0023]
  • ASIL D [0023] ASIL D [0023]
  • ASIL D-Standard [0024] ASIL D standard [0024]
  • ISO 26262 [0024] ISO 26262 [0024]
  • ISO 26262 [0025] ISO 26262 [0025]

Claims (10)

Steuergerät (1) für ein Kraftfahrzeug (6), ausgebildet zur Ausführung wenigstens einer Sensordaten wenigstens einen Sensors (2) auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit (5a, 5b), dadurch gekennzeichnet, dass das Steuergerät (1) ferner wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit (4), die leistungsfähiger als die erste Recheneinheit (5a, 5b) ist, aufweist, wobei die zweite Recheneinheit (4) zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten ausgebildet ist und die erste Recheneinheit (5a, 5b) zur Validierung der Ergebnisdaten der zweiten Recheneinheit (4) ausgebildet ist.Control unit ( 1 ) for a motor vehicle ( 6 ) configured to execute at least one sensor data at least one sensor ( 2 ) evaluating, in particular safety-relevant function, comprising at least one first, at least one safety criterion corresponding computing unit ( 5a . 5b ), characterized in that the control unit ( 1 ) at least one second, not the safety criterion corresponding computing unit ( 4 ), which are more powerful than the first processor ( 5a . 5b ), wherein the second arithmetic unit ( 4 ) for determining result data of the function by evaluation of the sensor data is formed and the first arithmetic unit ( 5a . 5b ) for the validation of the result data of the second arithmetic unit ( 4 ) is trained. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass das Sicherheitskriterium die Erfüllung eines Sicherheitsstandards betrifft.Control unit according to claim 1, characterized in that the safety criterion relates to the fulfillment of a safety standard. Steuergerät nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass auf der ersten Recheneinheit (5a, 5b) eine dem und/oder einem weiteren Sicherheitskriterium entsprechende Software und auf der zweiten Recheneinheit (4) eine nicht dem bzw. dem weiteren Sicherheitskriterium entsprechende Software ausgeführt wird.Control device according to claim 1 or 2, characterized in that on the first arithmetic unit ( 5a . 5b ) a corresponding to the and / or another security criterion software and on the second processing unit ( 4 ) a not the or the further safety criterion corresponding software is executed. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Auswertung in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar ist, wobei die erste Recheneinheit (5a, 5b) bei der Validierung nur zur Durchführung der nicht die gesamte Auswertung umfassenden Teilauswertungen, die den aktuellen Ergebnisdaten zugeordnet sind, ausgebildet ist.Control unit according to one of the preceding claims, characterized in that the evaluation in certain result data assignable partial evaluations can be divided, wherein the first arithmetic unit ( 5a . 5b ) is formed during the validation only for carrying out the partial evaluations which do not include the entire evaluation and which are assigned to the current result data. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die erste Recheneinheit (5a, 5b) zur Validierung der Ergebnisdaten unter Verwendung eines gegenüber der zweiten Recheneinheit (4) reduzierten Satzes von Sensordaten als Eingangsdaten und/oder eines gegenüber der zweiten Recheneinheit (4) reduzierten Satzes von Algorithmen ausgebildet ist.Control unit according to one of the preceding claims, characterized in that the first arithmetic unit ( 5a . 5b ) for validating the result data using a comparison with the second processing unit ( 4 ) reduced set of sensor data as input data and / or one compared to the second arithmetic unit ( 4 ) reduced set of algorithms is formed. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die zweite Recheneinheit (4) zur Auswahl einer zu verwendenden Betriebsstrategie aus einer Mehrzahl möglicher Betriebsstrategien ausgebildet ist und die erste Recheneinheit (5a, 5b) zur Verwendung von lediglich auf die ausgewählte Betriebsstrategie bezogenen Sensordaten als Eingangsdaten und/oder Algorithmen ausgebildet ist.Method according to Claim 4, characterized in that the second arithmetic unit ( 4 ) is configured to select an operating strategy to be used from a plurality of possible operating strategies, and the first arithmetic unit ( 5a . 5b ) is designed as input data and / or algorithms for the use of sensor data related only to the selected operating strategy. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Funktion eine auf einen vollständig autonomen Betrieb des Kraftfahrzeugs (6) gerichtete Funktion eines vollautonomen Fahrzeugsystems ist.Method according to one of the preceding claims, characterized in that the function corresponds to a completely autonomous operation of the motor vehicle ( 6 ) directed function of a fully autonomous vehicle system. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Recheneinheit (4) zu einer Situationsanalyse anhand der insbesondere Sensordaten von Umfeldsensoren umfassenden Sensordaten ausgebildet ist.Control unit according to one of the preceding claims, characterized in that the second arithmetic unit ( 4 ) is designed for a situation analysis based on the particular sensor data from environment sensors comprehensive sensor data. Kraftfahrzeug (6), aufweisend wenigstens ein Steuergerät (1) nach einem der vorangehenden Ansprüche.Motor vehicle ( 6 ), comprising at least one control device ( 1 ) according to one of the preceding claims. Verfahren zum abgesicherten Durchführen einer zur Ausführung wenigstens einer Sensordaten wenigstens einen Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit und wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit verwendet wird.Method for reliably performing at least one sensor, in particular a safety-relevant function of a vehicle system of a motor vehicle in a control unit, having at least one first, at least one safety criterion corresponding computing unit and at least one second, not the safety criterion corresponding computing unit, the more efficient than the first arithmetic unit is, wherein the second arithmetic unit for determining result data of the function by evaluating the sensor data and the first arithmetic unit for validating the result data of the second arithmetic unit is used.
DE102014014858.0A 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function Active DE102014014858B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102014014858.0A DE102014014858B4 (en) 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014014858.0A DE102014014858B4 (en) 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function

Publications (2)

Publication Number Publication Date
DE102014014858A1 true DE102014014858A1 (en) 2016-04-07
DE102014014858B4 DE102014014858B4 (en) 2020-09-03

Family

ID=55530925

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014014858.0A Active DE102014014858B4 (en) 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function

Country Status (1)

Country Link
DE (1) DE102014014858B4 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017194211A1 (en) * 2016-05-10 2017-11-16 Audi Ag Method for evaluating environment data in a control unit of a motor vehicle, control unit, and motor vehicle
DE102016125240A1 (en) * 2016-12-21 2018-06-21 Endress+Hauser SE+Co. KG Electronic circuit for a field device of automation technology
CN111694702A (en) * 2019-03-11 2020-09-22 大众汽车有限公司 Method and system for secure signal manipulation
DE102019218082A1 (en) * 2019-11-22 2021-05-27 Zf Friedrichshafen Ag Device and method for creating a safe state in a vehicle
DE102021213077A1 (en) 2021-11-22 2023-05-25 Zf Friedrichshafen Ag Method for monitoring signal processing for an automated driving system and control unit for an automated driving system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4137124A1 (en) * 1991-11-12 1993-05-13 Teves Gmbh Alfred CIRCUIT ARRANGEMENT FOR A BRAKE SYSTEM WITH ANTI-BLOCKING PROTECTION AND / OR DRIVE SLIP CONTROL

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4137124A1 (en) * 1991-11-12 1993-05-13 Teves Gmbh Alfred CIRCUIT ARRANGEMENT FOR A BRAKE SYSTEM WITH ANTI-BLOCKING PROTECTION AND / OR DRIVE SLIP CONTROL

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
ASIL A
ASIL D
ASIL D-Standard
ISO 26262
ISO 26262-Sicherheitszertifikat
ISO 26262-Standard
KOEPERNIK, Dr. J. u.a.: Funktionale Sicherheit in der Entwicklung von Fahrwerks und Fahrerassistenz-Systemen: Fokus Systemarchitektur. Vector Congress, 7./8. Oktober 2008 *
SUNDARAM P. u.a.: Controller Integrity in Automotive Failsafe System Architectures. SAE Technical Paper Series, April 2006 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017194211A1 (en) * 2016-05-10 2017-11-16 Audi Ag Method for evaluating environment data in a control unit of a motor vehicle, control unit, and motor vehicle
DE102016125240A1 (en) * 2016-12-21 2018-06-21 Endress+Hauser SE+Co. KG Electronic circuit for a field device of automation technology
CN111694702A (en) * 2019-03-11 2020-09-22 大众汽车有限公司 Method and system for secure signal manipulation
DE102019218082A1 (en) * 2019-11-22 2021-05-27 Zf Friedrichshafen Ag Device and method for creating a safe state in a vehicle
DE102021213077A1 (en) 2021-11-22 2023-05-25 Zf Friedrichshafen Ag Method for monitoring signal processing for an automated driving system and control unit for an automated driving system

Also Published As

Publication number Publication date
DE102014014858B4 (en) 2020-09-03

Similar Documents

Publication Publication Date Title
DE102014014858B4 (en) Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function
EP3227156B1 (en) Driver assistance control unit, motor vehicle, method for operating a driver assistance control unit of a motor vehicle
DE102014205180A1 (en) Method and device for operating a vehicle
DE102013013865B3 (en) Method for operating a motor vehicle with a safety system and a fully automatic driver assistance system and motor vehicle
DE102013019027A1 (en) Method for operating a safety system of a motor vehicle and motor vehicle
WO2017108263A1 (en) Method for collision avoidance of a motor vehicle with an emergency vehicle and a related system and motor vehicle
DE102019214453A1 (en) Method for performing a function of a motor vehicle
DE102012015272A1 (en) Method for efficiently safeguarding safety-critical functions of a control device and control device
DE102020202188A1 (en) Parking assistance system
DE102012207215A1 (en) Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle
DE102018118190A1 (en) Method and device for controlling a driving behavior of a highly automated vehicle, as well as an infrastructure system, vehicle or monitoring vehicle with the device
DE102018216423A1 (en) Determination of a control signal for a semi-autonomous vehicle
DE102019134258A1 (en) Method for controlling a driving function of a vehicle
DE102019214461A1 (en) Method for remote control of a motor vehicle
DE102019214471A1 (en) Method for remote control of a motor vehicle
DE102016014366A1 (en) Method for operating a driver assistance system
DE112018005794T5 (en) System and method for controlling a motor vehicle for autonomous driving
DE102019214482A1 (en) Method for the safe, at least partially automated, driving of a motor vehicle
DE102015010270B4 (en) Method for operating driver assistance systems in a motor vehicle and motor vehicle
DE102016122611A1 (en) Method and device for operating a driver assistance function for a lane change, computer program and computer program product
DE102019207518A1 (en) Risk reduction in road traffic
EP3779619B1 (en) Method and device for determining emerging risks of a technical system
DE102017011724A1 (en) Method for operating a safety device
DE102020211965A1 (en) Method for operating a motor vehicle
DE102019008894A1 (en) Method for recognizing unsafe driving behavior of a vehicle traveling ahead for a vehicle, control device and vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final