DE102014014858B4 - Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function - Google Patents

Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function Download PDF

Info

Publication number
DE102014014858B4
DE102014014858B4 DE102014014858.0A DE102014014858A DE102014014858B4 DE 102014014858 B4 DE102014014858 B4 DE 102014014858B4 DE 102014014858 A DE102014014858 A DE 102014014858A DE 102014014858 B4 DE102014014858 B4 DE 102014014858B4
Authority
DE
Germany
Prior art keywords
computing unit
unit
result data
function
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102014014858.0A
Other languages
German (de)
Other versions
DE102014014858A1 (en
Inventor
Christoph Lauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102014014858.0A priority Critical patent/DE102014014858B4/en
Publication of DE102014014858A1 publication Critical patent/DE102014014858A1/en
Application granted granted Critical
Publication of DE102014014858B4 publication Critical patent/DE102014014858B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components

Abstract

Steuergerät (1) für ein Kraftfahrzeug (6), ausgebildet zur Ausführung wenigstens einer Sensordaten wenigstens einen Sensors (2) auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste Recheneinheit (5a, 5b)und eine zweite Recheneinheit (4), die leistungsfähiger als die erste Recheneinheit (5a, 5b) ist, wobei die zweite Recheneinheit (4) zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten ausgebildet ist und die erste Recheneinheit (5a, 5b) zur Validierung der Ergebnisdaten der zweiten Recheneinheit (4) ausgebildet ist,dadurch gekennzeichnet,dass die erste Recheneinheit (5a, 5b) einem Sicherheitskriterium entspricht, wobei die zweite Recheneinheit (4) dem Sicherheitskriterium nicht entspricht, wobei die Auswertung in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar ist, wobei die erste Recheneinheit (5a, 5b) bei der Validierung nur zur Durchführung der nicht die gesamte Auswertung umfassenden Teilauswertungen, die den aktuellen Ergebnisdaten zugeordnet sind, ausgebildet ist.Control unit (1) for a motor vehicle (6), designed to execute at least one sensor data at least one sensor (2) evaluating, in particular safety-relevant function, having at least one first computing unit (5a, 5b) and one second computing unit (4), which are more powerful than the first computing unit (5a, 5b), the second computing unit (4) being designed to determine result data of the function by evaluating the sensor data and the first computing unit (5a, 5b) being designed to validate the result data of the second computing unit (4) , characterized in that the first arithmetic unit (5a, 5b) corresponds to a security criterion, the second arithmetic unit (4) not corresponding to the security criterion, the evaluation being divisible into partial evaluations that can be assigned to specific result data, the first arithmetic unit (5a, 5b) at the validation only to carry out the partial evaluations that do not include the entire evaluation which are assigned to the current result data is formed.

Description

Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug, ausgebildet zur Ausführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste Recheneinheit und eine zweite Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten ausgebildet ist und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit ausgebildet ist. Daneben betrifft die Erfindung ein Kraftfahrzeug und ein Verfahren zum abgesicherten Durchführen einer zur Ausführung wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät.The invention relates to a control unit for a motor vehicle, designed to execute at least one sensor data of at least one sensor evaluating, in particular safety-relevant function, having at least one first computing unit and one second computing unit that is more powerful than the first computing unit, the second computing unit for determining result data the function is designed by evaluating the sensor data and the first computing unit is designed to validate the result data of the second computing unit. In addition, the invention relates to a motor vehicle and a method for securely performing a function of a vehicle system of a motor vehicle in a control device that evaluates at least one sensor data of at least one sensor, and in particular is safety-relevant.

Fahrerassistenzsysteme, Sicherheitssysteme und sonstige Fahrzeugsysteme für Kraftfahrzeuge sind inzwischen verbreitet und wohlbekannt. Derartige Fahrzeugsysteme im allgemeinen realisieren bestimmte Funktionen, die durch das Fahrzeugsystem zur Verfügung gestellt werden sollen. Viele dieser Funktionen, insbesondere Funktionen von Sicherheitssystemen und/oder Funktionen, die die Durchführung von Fahrereingriffen steuern, sind als kritischer zu betrachten, da bei auftretenden Fehlern ein Sicherheitsrisiko bestehen könnte. Wird beispielsweise von einem das Kraftfahrzeug teilautonom und/oder vollautonom führenden Fahrerassistenzsystem ein Objekt nicht detektiert oder falsch bewertet, kann es zu einem eine Kollision mit dem Objekt zur Folge habenden Fahrmanöver kommen.Driver assistance systems, safety systems and other vehicle systems for motor vehicles are now common and well known. Such vehicle systems in general implement certain functions that are to be made available by the vehicle system. Many of these functions, in particular functions of safety systems and / or functions that control the implementation of driver interventions, are to be regarded as more critical, since a safety risk could exist if errors occur. If, for example, an object is not detected or incorrectly evaluated by a driver assistance system that guides the motor vehicle partially and / or fully autonomously, a driving maneuver that results in a collision with the object can occur.

Daher ist vorgesehen, Funktionen von Fahrzeugsystemen nach ihrer Sicherheitsrelevanz beziehungsweise den Sicherheitsanforderungen zu bewerten und entsprechende zusätzliche Sicherheitsmaßnahmen auf Hardware- und Softwarelevel umzusetzen. Entsprechend wurden Normen entwickelt, die es zum einen ermöglichen, Risiken beziehungsweise allgemein die Sicherheitsrelevanz zu klassifizieren, zum anderen aber Absicherungsmaßnahmen festlegen, um zu Sicherheitsproblemen führende Fehler zu vermeiden. Die im Bereich der Kraftfahrzeuge zu berücksichtigende Norm in diesem Kontext ist die ISO 26262, in der auch das „Automotive Safety Integrity Level“ (ASIL) definiert ist. ASIL ist ein Risikoklassifikationsschema, das durch ISO 26262 definiert ist und schätzt im Wesentlichen die Möglichkeit und Schwere von Verletzungen im Fall eines Fehlers ein, berücksichtigt aber auch die relative Wahrscheinlichkeit, dass ein üblicher Fahrer die Verletzungen vermeiden kann.It is therefore planned to evaluate functions of vehicle systems according to their safety relevance or the safety requirements and to implement corresponding additional safety measures at hardware and software level. Correspondingly, standards have been developed that make it possible, on the one hand, to classify risks and, on the other hand, to define safety measures in order to avoid errors that lead to security problems. The standard to be taken into account in this context in the field of motor vehicles is ISO 26262, which also defines the “Automotive Safety Integrity Level” (ASIL). ASIL is a risk classification scheme that is defined by ISO 26262 and essentially assesses the possibility and severity of injuries in the event of a failure, but also takes into account the relative probability that a common driver can avoid the injuries.

Typische Absicherungsmaßnahmen stellen dabei die redundante Berechnung, zusätzliche Überprüfungsalgorithmen und dergleichen dar. Damit eine Recheneinheit eines Steuergeräts eines Kraftfahrzeugs, die eine Funktion eines Fahrzeugsystems ausführen soll, die beispielsweise durch ISO 26262 definierten Sicherheitskriterien erfüllen kann, mithin die Funktion entsprechend dem Sicherheitsstandard realisiert ist, sind nicht nur Modifikationen in der Software, mithin insbesondere der Algorithmik, erforderlich, sondern es ist in vielen Fällen auch eine bestimmte Hardware-Ausgestaltung der Recheneinheiten, die beispielsweise als Controller realisiert sein können, notwendig, um die entsprechenden Absicherungsroutinen durchführen zu können. Beispielsweise existieren Recheneinheiten, die als Mehrkern-Prozessor ausgebildet sind, bei denen explizit bereits durch die Hardware vorgesehen ist, Berechnungen redundant und parallel auf mehreren Kerne durchzuführen und sodann vergleichend zusammenzuführen. Auch andere Hardware-Weiterbildungen von Recheneinheiten, um Sicherheitsanforderungen beziehungsweise Sicherheitskriterien erfüllen zu können, sind bereits beschrieben worden. Beispielsweise sind bereits Mikro-Controller als Recheneinheiten bekannt geworden, die ein ISO 26262-Sicherheitszertifikat aufweisen. Zusätzlich zu diesen Hardware-Anpassungen zur Erfüllung von Sicherheitskriterien sind auch spezielle Softwareentwicklungsprozesse für derartige Funktionsrealisierungen einzuhalten.Typical safeguarding measures are redundant calculation, additional checking algorithms and the like. So that a computing unit of a control unit of a motor vehicle that is supposed to perform a function of a vehicle system that can meet safety criteria defined by ISO 26262, for example, and that the function is implemented according to the safety standard, are not only modifications in the software, therefore in particular the algorithms, are required, but in many cases a specific hardware configuration of the computing units, which can be implemented as a controller, for example, is necessary in order to be able to carry out the corresponding safeguarding routines. For example, there are computing units that are designed as multi-core processors, in which the hardware explicitly provides for calculations to be carried out redundantly and in parallel on several cores and then to be combined for comparison. Other hardware developments of computing units in order to be able to meet safety requirements or safety criteria have already been described. For example, microcontrollers have already become known as computing units that have an ISO 26262 security certificate. In addition to these hardware adaptations to meet security criteria, special software development processes must also be observed for such functional implementation.

Problematisch hierbei ist, dass Sicherheitskriterien erfüllende Recheneinheiten, insbesondere Mikro-Controller, nicht in allen beliebigen Leistungsstärken verfügbar sind, da durch die zusätzliche Realisierung beziehungsweise Ermöglichung von Absicherungsroutinen grundsätzlich Leistungsfähigkeit verloren geht. Beispielsweise existieren keine Mikro-Controller mit mehr als 500 MHz Taktfrequenz, die die Sicherheitsnormen nach ISO 26262 erfüllen. Leistungsstarke Recheneinheiten, beispielsweise Graphikprozessoren (GPU), weisen zwar eine deutlich höhere Leistungsfähigkeit (Rechenleistung) auf, genügen jedoch keinen Sicherheitskriterien. Dies erschwert es bei der Realisierung von sicherheitsrelevanten Funktionen, die erforderliche Rechenleistung zur Verfügung zur Verfügung zu stellen, insbesondere dann, wenn eine Ausführung in Echtzeit benötigt wird. Denkbare, jedoch aufwendige und kostspielige Lösungen sind die Verwendung von mehreren, Sicherheitskriterien erfüllenden Recheneinheiten oder die Implementierung von sicherheitsrelevanten Funktionen auf mehreren Steuergeräten.The problem here is that computing units that meet security criteria, in particular microcontrollers, are not available in all arbitrary performance levels, since performance is fundamentally lost due to the additional implementation or enabling of security routines. For example, there are no micro-controllers with a clock frequency of more than 500 MHz that meet the safety standards of ISO 26262. Powerful computing units, for example graphics processors (GPU), have a significantly higher performance (computing power), but do not meet any safety criteria. When implementing safety-relevant functions, this makes it more difficult to make the required computing power available, especially when real-time execution is required. Conceivable, but complex and costly solutions are the use of several computing units that meet safety criteria or the implementation of safety-relevant functions on several control units.

Auch bezüglich der Software-Komponenten, insbesondere der Algorithmen, für sicherheitsrelevante Funktionen, existieren Schwierigkeiten, da die gesamte Software ebenso nach ISO 26262 entwickelt wird und somit höheren Prozessstandards genügen muss. Dies erfordert eine langwierige und kostspielige Umsetzung.Difficulties also exist with regard to the software components, in particular the algorithms, for safety-relevant functions, since the entire software is also developed in accordance with ISO 26262 and thus higher process standards must suffice. This requires a lengthy and costly implementation.

Die Druckschrift DE 41 37 124 A1 offenbart eine Schaltungsanordnung für eine Bremsanlage. Hierbei sind Reglerschaltkreise zur Auswertung und Verarbeitung der aufbereiteten Sensorsignale und zur Erzeugung von Bremsdrucksteuersignalen und Überwachungsschaltkreise, die unabhängig von den Reglerschaltkreisen die Sensorsignale verarbeiten, sowie Schaltkreise zum Austauschen und Vergleichen von Signalen der Reglerschaltkreise mit entsprechenden Signalen der Überwachungsschaltkreise vorgesehen. Die Überwachungsschaltkreise haben eine einfachere Struktur als die Reglerschaltkreise.The pamphlet DE 41 37 124 A1 discloses a circuit arrangement for a brake system. Here, controller circuits are provided for evaluating and processing the conditioned sensor signals and for generating brake pressure control signals and monitoring circuits that process the sensor signals independently of the controller circuits, as well as circuits for exchanging and comparing signals from the controller circuits with corresponding signals from the monitoring circuits. The monitoring circuits have a simpler structure than the regulator circuits.

Die Veröffentlichung Sundaram P. et al., Controller Integrity in Automotive Failsafe System Architectures, SAE TECHNICAL PAPER SERIES, April 2006, diskutiert verschiedene Ansätze zur Überwachung der Funktion eines Hauptprozessors. Bei einer verteilten Steuerstrategie werden Algorithmen redundant durchgeführt und es erfolgt eine unabhängige Überwachung des Zustands des Hauptprozessors.The publication Sundaram P. et al., Controller Integrity in Automotive Failsafe System Architectures, SAE TECHNICAL PAPER SERIES, April 2006, discusses various approaches for monitoring the function of a main processor. In a distributed control strategy, algorithms are implemented redundantly and the status of the main processor is monitored independently.

Die Veröffentlichung Koepernik, Dr. J. et al., Funktionale Sicherheit in der Entwicklung von Fahrwerks- und Fahrerassistenz-Systemen: Fokus Systemarchitektur, Vector Congress, 7./8. Oktober 2008 , beschreibt eine sogenannte „Homogene Redundanz“, bei der bestimmte Aufgaben auf zwei identischen Systemen durchgeführt werden, wonach Steuerbefehle nur bei identischen Ergebnissen weitergegeben werden. Um auch eine Verbesserung bezüglich systematischer Fehler zu erreichen, wird unter dem Stichwort „Diversitäre Redundanz“ vorgeschlagen, entsprechende Berechnungen auf verschiedenartigen Komponenten, beispielsweise in unterschiedlichen Programmiersprachen, umzusetzen.The publication Koepernik, Dr. J. et al., Functional Safety in the Development of Chassis and Driver Assistance Systems: Focus on System Architecture, Vector Congress, 7./8. October 2008 , describes a so-called "homogeneous redundancy" in which certain tasks are carried out on two identical systems, according to which control commands are only passed on if the results are identical. In order to also achieve an improvement with regard to systematic errors, it is proposed under the heading "Diversity Redundancy" to implement corresponding calculations on different components, for example in different programming languages.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Steuergerät zur Durchführung von sicherheitsrelevanten Funktionen, die wenigstens einer Sicherheitsanforderung genügen müssen, anzugeben, welches trotz Einhaltung der Sicherheitsanforderungen mit geringerem Aufwand realisierbar ist.The invention is therefore based on the object of specifying a control device for performing safety-relevant functions which must meet at least one safety requirement, which control device can be implemented with less effort despite compliance with the safety requirements.

Zur Lösung dieser Aufgabe ist bei einem Steuergerät der eingangs genannten Art erfindungsgemäß vorgesehen, dass die erste Recheneinheit einem Sicherheitskriterium entspricht, wobei die zweite Recheneinheit dem Sicherheitskriterium nicht entspricht, wobei die Auswertung in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar ist, wobei die erste Recheneinheit bei der Validierung nur zur Durchführung der nicht die gesamte Auswertung umfassenden Teilauswertungen, die den aktuellen Ergebnisdaten zugeordnet sind, ausgebildet ist.
Die Aufgabe wird zudem durch ein Kraftfahrzeug gemäß Anspruch 8 und ein Verfahren gemäß Anspruch 9 gelöst.To solve this problem, the invention provides for a control device of the type mentioned at the outset that the first arithmetic unit corresponds to a security criterion, the second arithmetic unit not corresponding to the security criterion, the evaluation being able to be divided into partial evaluations that can be assigned to specific result data, the first arithmetic unit being used for validation is only designed to carry out the partial evaluations that do not include the entire evaluation and are assigned to the current result data.
The object is also achieved by a motor vehicle according to claim 8 and a method according to claim 9.

Die Erfindung sieht also eine teilweise Verwendung von die Sicherheitskriterien nicht erfüllenden Komponenten vor, mithin eine teilweise nicht bestimmten Sicherheitskriterien entsprechende Struktur eines Steuergeräts, jedoch derart, dass für die durchzuführende Funktion als ganze die an sie gerichteten Sicherheitsanforderungen erfüllt sind. Die hier beschriebene Steuergerätearchitektur kann mithin sicherheitsrelevante Funktionen, die bestimmte Sicherheitsanforderungen erfüllen müssen, darstellen, kann jedoch auch bei hohen Sicherheitsanforderungen auf Nicht-Sicherheitskomponenten (QM-Klassifizierung nach ASIL) realisiert werden. Dem liegt die Erkenntnis zugrunde, dass viele Auswertungen von Sensordaten Teilauswertungen enthalten, die zur Überprüfung von Möglichkeiten zwar durchgeführt werden, für die letztendlich zu wählende Betriebsstrategie, also das Ergebnis der Auswertung der Sensordaten, letztlich nicht mehr relevant sind. Es ist mithin ausreichend, das Ergebnis zu überprüfen, so dass von den Ergebnisdaten nicht mehr berührte Anteile der Auswertung für die Validierung letztlich nicht mehr relevant sind, so dass diese mit einem reduzierten Aufwand durchgeführt werden kann. Kern der Erfindung ist mithin eine zweistufige Berechnung: Das übergeordnete Problem der komplexen Interpretation der Sensordaten, insbesondere einer Umfeldinterpretation, wird durch Komponenten, insbesondere eine Recheneinheit, gelöst, die den normalerweise notwendigen Sicherheitskriterien nicht entsprechen muss und daher leistungsfähiger ist. Die Absicherung der Lösung wird jedoch auf herkömmlichen Wege durch die Sicherheitskriterien erfüllende Komponenten, beispielsweise ASIL-Komponenten, sichergestellt. Auf diese Weise vereint die Erfindung sozusagen das Beste aus zwei Welten: Die Leistungsfähigkeit von nicht-Sicherheitskomponenten mit der Zuverlässigkeit von Sicherheitskomponenten.The invention therefore provides for a partial use of components that do not meet the safety criteria, hence a structure of a control device that partially does not meet certain safety criteria, but in such a way that the safety requirements for the function to be performed are met as a whole. The control unit architecture described here can therefore represent safety-related functions that must meet certain safety requirements, but can also be implemented with high safety requirements on non-safety components (QM classification according to ASIL). This is based on the knowledge that many evaluations of sensor data contain partial evaluations that are indeed carried out to check possibilities but are ultimately no longer relevant for the operating strategy to be ultimately selected, i.e. the result of the evaluation of the sensor data. It is therefore sufficient to check the result so that parts of the evaluation that are no longer touched by the result data are ultimately no longer relevant for the validation, so that this can be carried out with less effort. The core of the invention is therefore a two-stage calculation: the overriding problem of the complex interpretation of the sensor data, in particular an interpretation of the surroundings, is solved by components, in particular a computing unit, which does not have to meet the normally necessary safety criteria and is therefore more powerful. The safeguarding of the solution is, however, ensured in the conventional way by components that meet the safety criteria, for example ASIL components. In this way, the invention combines the best of two worlds, so to speak: the performance of non-safety components with the reliability of safety components.

Dabei kann das Sicherheitskriterium die Erfüllung eines Sicherheitsstandards betreffen. Beispielsweise kann vorgesehen sein, dass die erste Recheneinheit ASIL A oder höher gemäß ISO 26262 (zum Zeitpunkt der Einreichung dieser Patentanmeldung) in Abhängigkeit der Funktion erfüllt und die zweite Recheneinheit als QM-Recheneinheit gemäß ISO 26262 (zum Zeitpunkt der Einreichung dieser Patentanmeldung) ausgebildet ist. Handelt es sich also beispielsweise um eine Funktion, die sehr hohe Sicherheitsanforderungen erfüllen muss, beispielsweise als ASIL D klassifiziert ist, ist es völlig ausreichend, wenn die erste Recheneinheit zur Erfüllung von ASIL D ausgebildet ist, während bei der zweiten Recheneinheit typische QM-Komponenten ohne Erfüllung des Sicherheitskriteriums beziehungsweise für die Funktion der Sicherheitsanforderung verwendet werden können.The security criterion can relate to the fulfillment of a security standard. For example, it can be provided that the first processing unit fulfills ASIL A or higher according to ISO 26262 (at the time of filing this patent application) depending on the function and the second computing unit is designed as a QM computing unit according to ISO 26262 (at the time of filing this patent application) . If, for example, it is a function that has to meet very high safety requirements, for example classified as ASIL D, it is completely sufficient if the first processing unit is designed to comply with ASIL D, while typical QM components are not used in the second processing unit Fulfillment of the security criterion or can be used for the function of the safety requirement.

Selbstverständlich können diese allgemeinen Ausführungen zur Erfüllung von Sicherheitskriterien auch auf die vorliegenden Software-Komponenten, die die Recheneinheit nutzen, übertragen werden. So kann vorzugsweise die auf der ersten Recheneinheit eine dem und/oder einem weiteren Sicherheitskriterium entsprechende Software und/oder auf der zweiten Recheneinheit eine nicht dem beziehungsweise den weiteren Sicherheitskriterium entsprechende Software ausgeführt werden. Mithin wird auch die Software zweckmäßigerweise im Rahmen der Gesamtarchitektur sozusagen aufgeteilt in einen nicht sicherheitsrelevanten Anteil und einen sicherheitsrelevanten Anteil, wobei sich letztlich zur Laufzeit anhand der aktuellen Ergebnisdaten entscheidet, für welche Anteile der Auswertung die Erfüllung der Sicherheitskriterien hergestellt werden muss.Of course, these general explanations for the fulfillment of security criteria can also be transferred to the present software components that use the processing unit. Thus, the software corresponding to the and / or a further security criterion and / or software not corresponding to the further security criterion or the further security criterion can be executed on the first arithmetic unit. Therefore, the software is expediently divided into a non-safety-relevant part and a safety-relevant part, so to speak, within the framework of the overall architecture, with the final decision at runtime based on the current result data for which parts of the evaluation the fulfillment of the safety criteria must be established.

Die Auswertung ist in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar, wobei die erste Recheneinheit bei der Validierung nur zur Durchführung der nicht die gesamte Auswertung umfassenden Teilauswertungen, die den aktuellen Ergebnisdaten zugeordnet sind, ausgebildet ist. Im Beispiel einer Umfeldinterpretation können sich derartige Teilaufgaben beispielsweise in einer Parallelisierung von verschiedenen Teilaufgaben der Umfeldinterpretation an sich darstellen, wie sie beispielsweise auf grafischen Prozessoren (GPU) und sonstigen die Sicherheitskriterien nicht erfüllenden Recheneinheiten realisierbar ist. Beispielsweise kann eine Mehrzahl von Umfeldobjekten auf entsprechenden parallelisierten Kernen berechnet werden. Nicht alle diese Objekte und somit Teilauswertungen sind für die letztendlich im Rahmen der Funktion resultierende Betriebsstrategie relevant, so dass letztlich der „Überprüfungsraum“ für die Validierung stark eingeschränkt werden kann und somit im sicherheitskritischen Teil der Durchführung der Funktion insgesamt weniger Rechenleistung erforderlich ist.The evaluation can be subdivided into partial evaluations that can be assigned to certain result data, the first processing unit being designed during the validation only to carry out the partial evaluations that do not include the entire evaluation and that are assigned to the current result data. In the example of an environment interpretation, such subtasks can for example be represented in a parallelization of different subtasks of the environment interpretation per se, as they can be realized, for example, on graphic processors (GPU) and other computing units that do not meet the security criteria. For example, a plurality of surrounding objects can be calculated on corresponding cores that are parallelized. Not all of these objects and thus partial evaluations are relevant for the operating strategy ultimately resulting in the context of the function, so that ultimately the "review space" for the validation can be severely restricted and thus less computing power is required overall in the safety-critical part of the function.

Entsprechend kann auch vorgesehen sein, dass die erste Recheneinheit zur Validierung der Ergebnisdaten unter Verwendung eines gegenüber der zweiten Recheneinheit reduzierten Satzes von Sensordaten als Eingangsdaten und/oder eines gegenüber der zweiten Recheneinheit reduzierten Satzes von Algorithmen ausgebildet ist. Im eben bereits genannten Beispiel, das durch die Funktion eine bestimmte Betriebsstrategie aus einer Mehrzahl grundsätzlich möglicher Betriebsstrategien ausgewählt wird, beispielsweise eine bestimmte zu fahrende Trajektorie im Beispiel der Umfeldinterpretation, kann gesagt werden, dass die zweite Recheneinheit zur Auswahl einer zu verwendenden Betriebsstrategie aus einer Mehrzahl möglicher Betriebsstrategien ausgebildet ist und die erste Recheneinheit zur Verwendung von lediglich auf die ausgewählte Betriebsstrategie bezogenen Sensordaten als Eingangsdaten und/oder Algorithmen ausgebildet ist. Betrifft die Funktion in einem Beispiel also ein Sicherheitssystem, welches eine Ausweichtrajektorie auf der Basis von Umfelddaten als Sensordaten als Betriebsstrategie bestimmt, so ist letztlich durch die erste Recheneinheit nur alles das zu validieren, was diese Ausweichtrajektorie betrifft. Wurde beispielsweise festgestellt, dass eine Gruppe Fußgänger an einer gänzlich anderen Position befindlich ist, die von der Trajektorie nicht berührt wird, werden auf diese Fußgängergruppe bezogene Teilauswertungen beziehungsweise Algorithmen/Sensordaten nur dann relevant, wenn bei der Validierung, mithin Überprüfung der Ausweichtrajektorie, festgestellt wird, dass sich die Fußgängergruppe tatsächlich eben doch im Bereich der Ausweichtrajektorie befindet; ansonsten ist eine erneute Berechnung/Validierung diesbezüglich nicht notwendig und tritt auch nicht auf.Accordingly, it can also be provided that the first computing unit is designed to validate the result data using a set of sensor data that is reduced compared to the second computing unit as input data and / or a set of algorithms that is reduced compared to the second computing unit. In the example just mentioned, which by means of the function a specific operating strategy is selected from a plurality of basically possible operating strategies, for example a specific trajectory to be driven in the example of the environment interpretation, it can be said that the second processing unit is used to select an operating strategy to be used from a plurality possible operating strategies and the first arithmetic unit is designed to use only sensor data related to the selected operating strategy as input data and / or algorithms. If, in one example, the function relates to a safety system which determines an evasive trajectory on the basis of environment data as sensor data as an operating strategy, then ultimately only everything that relates to this evasive trajectory needs to be validated by the first computing unit. If, for example, it was established that a group of pedestrians is in a completely different position that is not affected by the trajectory, partial evaluations or algorithms / sensor data related to this pedestrian group are only relevant if the validation, i.e. checking of the evasive trajectory, is determined that the pedestrian group is actually in the area of the evasive trajectory; otherwise a new calculation / validation is not necessary and does not occur.

Dabei sei an dieser Stelle noch allgemein angemerkt, dass als Recheneinheiten Prozessoren eingesetzt werden können, insbesondere wenigstens zwei Prozessorkerne umfassende Prozessoren. Derartige für Steuergeräte genutzte Prozessoren sind häufig auch als sogenannte Mikro-Controller ausgebildet. Gerade im Hinblick auf die Realisierung der wenigstens einen zweiten Recheneinheit bietet es sich an, hochleistungsfähige Recheneinheiten einzusetzen, beispielsweise grafische Prozessoren (GPU), die parallelisierte, effektive Berechnungen erlauben. Sicherheitskriterien erfüllende Recheneinheiten beziehungsweise Prozessoren sind ebenso bereits bekannt und als erste Recheneinheit einsetzbar, insbesondere für den verwendeten Sicherheitsstandard und die als Sicherheitskriterium zu erfüllende Klassifizierung, beispielsweise ASIL-Klassifizierung, zertifizierte Produkte.It should be noted at this point that processors can be used as computing units, in particular processors comprising at least two processor cores. Processors of this type used for control devices are often also designed as so-called micro-controllers. Especially with regard to the implementation of the at least one second processing unit, it is advisable to use high-performance processing units, for example graphic processors (GPU), which allow parallelized, effective calculations. Computing units or processors that meet security criteria are also already known and can be used as the first computing unit, in particular for the security standard used and the classification to be met as a security criterion, for example ASIL classification, certified products.

Wie bereits erwähnt, lässt sich die vorliegende Erfindung besonders vorteilhaft anwenden, wenn die zweite Recheneinheit zu einer Situationsanalyse, insbesondere einer Umfeldinterpretation, anhand der insbesondere Sensordaten von Umfeldsensoren umfassenden Sensordaten ausgebildet ist. Gerade im Hinblick auf die Umfeldinterpretation sind viele, äußerst aufwendige Berechnungen durchzuführen, die für das Ergebnis, beschrieben durch die Ergebnisdaten, dann nicht immer zwangsläufig relevant sind, aber erforderlich waren, um die Möglichkeiten, die zum weiteren Betrieb des Kraftfahrzeugs bestehen, auszuloten. Im Rahmen der Validierung reduziert sich die Zahl der Berechnungen und somit der Aufwand dann auf den für die Ergebnisdaten relevanten Anteil, so dass beispielsweise außerhalb einer gewählten Trajektorie liegende Bereiche, vor einem Objekt, auf das gebremst wird, liegende weitere Objekte und dergleichen zur Erfüllung der Sicherheitsanforderungen an die Funktion nicht mehr abgesichert werden müssen.As already mentioned, the present invention can be used particularly advantageously if the second computing unit is designed for a situation analysis, in particular an environment interpretation, based on the sensor data comprising in particular sensor data from environment sensors. Especially with regard to the interpretation of the environment, many extremely complex calculations have to be carried out, which are then not always necessarily relevant for the result, described by the result data, but were necessary in order to sound out the possibilities that exist for further operation of the motor vehicle. As part of the validation, the number of calculations and thus the effort is then reduced to the proportion relevant for the result data, so that, for example, areas lying outside a selected trajectory, other objects lying in front of an object on which the brakes are applied, and the like to fulfill the Safety requirements for the function no longer have to be secured.

Insbesondere kann die Funktion zweckmäßig eine auf einen vollständig autonomen Betrieb des Kraftfahrzeugs gerichtete Funktion eines vollautonomen Fahrzeugsystems sein. Gerade in diesem Kontext ist die durch die Erfindung gegebene Effizienz bei Aufrechterhaltung der Sicherheitsanforderungen an die Funktion äußerst hilfreich. Denkbar sind jedoch auch teilautonome Funktionen, beispielsweise auf die Längsführung bezogene Funktionen (Bremsassistent) oder auch nur in bestimmten sicherheitskritischen Situationen eingreifende Funktionen (Ausweichassistent und dergleichen).In particular, the function can expediently be a function of a fully autonomous vehicle system aimed at completely autonomous operation of the motor vehicle. It is precisely in this context that the efficiency given by the invention is extremely helpful in maintaining the safety requirements for the function. However, semi-autonomous functions are also conceivable, for example functions related to the longitudinal guidance (brake assistant) or functions that only intervene in certain safety-critical situations (evasive assistant and the like).

Neben dem Steuergerät betrifft die vorliegende Erfindung auch ein Kraftfahrzeug, aufweisend wenigstens ein erfindungsgemäßes Steuergerät. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, mit welchem auch die bereits genannten Vorteile erhalten werden können. Insbesondere können mehrere erfindungsgemäße Steuergeräte, die die beschriebene vorteilhafte Architektur umsetzen, in einem Kraftfahrzeug eingesetzt werden.In addition to the control device, the present invention also relates to a motor vehicle having at least one control device according to the invention. All statements relating to the control device according to the invention can be applied analogously to the motor vehicle according to the invention, with which the advantages already mentioned can also be obtained. In particular, several control devices according to the invention that implement the advantageous architecture described can be used in a motor vehicle.

Schließlich betrifft die Erfindung auch ein Verfahren zum abgesicherten Durchführen wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit und wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit verwendet wird, wobei die Auswertung in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar ist, wobei durch die erste Recheneinheit bei der Validierung nur die nicht die gesamte Auswertung umfassende Teilauswertung, die den aktuellen Ergebnisdaten zugeordnet ist, ausgewertet wird.
Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnung. Dabei zeigen:

  • 1 eine Prinzipskizze eines erfindungsgemäßen Steuergeräts,
  • 2 einen Ablaufplan eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens, und
  • 3 eine Verkehrssituation.
Finally, the invention also relates to a method for the secure implementation of at least one sensor data of at least one sensor evaluating, in particular safety-relevant function of a vehicle system of a motor vehicle in a control device, having at least one first computing unit corresponding to at least one safety criterion and at least one second computing unit not corresponding to the safety criterion, which is more powerful than the first arithmetic unit, wherein the second arithmetic unit is used to determine result data of the function by evaluating the sensor data and the first arithmetic unit is used to validate the result data of the second arithmetic unit, the evaluation being able to be divided into partial evaluations that can be assigned to certain result data, whereby the first processing unit during the validation only the partial evaluation which does not include the entire evaluation and which is assigned to the current result data is evaluated.
Further advantages and details of the present invention emerge from the exemplary embodiments described below and with reference to the drawing. Show:
  • 1 a schematic diagram of a control device according to the invention,
  • 2 a flow chart of an embodiment of the method according to the invention, and
  • 3 a traffic situation.

1 zeigt in Form einer Prinzipskizze ein Ausführungsbeispiel eines erfindungsgemäßen Steuergeräts 1. Mit dem Steuergerät 1 soll eine Funktion eines Fahrzeugsystems realisiert werden, die nach dem ISO 26262-Standard (zum Zeitpunkt der Patentanmeldung) als sicherheitsrelevant klassifiziert wurde, beispielsweise als ASIL D. Das bedeutet, die Realisierung der Funktion muss gewissen Sicherheitsanforderungen genügen. Die Funktion wertet Sensordaten von Sensoren 2, beispielsweise Umgebungssensoren, aus, im vorliegenden Ausführungsbeispiel, um eine Situationsanalyse, konkret eine Umfeldinterpretation, durchzuführen und eine geeignete Betriebsstrategie zur Beseitigung einer sicherheitskritischen Situation zu wählen. Mithin werden dem Steuergerät als Eingangsdaten für die Funktion wenigstens die Sensordaten der Sensoren 2 zugeführt, wobei weitere Eingangsdaten und/oder sonstige Informationen über einen Fahrzeugbus des Kraftfahrzeugs, in dem das Steuergerät 1 verwendet wird, ausgetauscht werden können, wie dies grundsätzlich bekannt ist. Es sei darauf hingewiesen, dass auch Fälle denkbar sind, in denen sich Sensoren 2 innerhalb des Steuergeräts 1 befinden können. 1 shows an embodiment of a control device according to the invention in the form of a schematic diagram 1 . With the control unit 1 a function of a vehicle system is to be implemented that was classified as safety-relevant according to the ISO 26262 standard (at the time of the patent application), for example as ASIL D. This means that the implementation of the function must meet certain safety requirements. The function evaluates sensor data from sensors 2 , for example environment sensors, from, in the present exemplary embodiment, to carry out a situation analysis, specifically an interpretation of the environment, and to select a suitable operating strategy for eliminating a safety-critical situation. As a result, at least the sensor data of the sensors are supplied to the control device as input data for the function 2 supplied, with further input data and / or other information about a vehicle bus of the motor vehicle in which the control unit 1 is used, can be exchanged, as is known in principle. It should be noted that cases are also conceivable in which sensors 2 within the control unit 1 can be located.

Innerhalb des Steuergeräts 1, also innerhalb des Gehäuses, sind vorliegend drei als Mikrocontroller realisierte Recheneinheiten 4, 5a, 5b vorgesehen, wobei erste Recheneinheiten 5a und 5b jeweils ein Sicherheitskriterium, beispielsweise den hier geforderten ASIL D-Standard, erfüllen. Die zweite Recheneinheit 4 erfüllt jedoch keine besonderen Sicherheitskriterien, sie kann mithin als QM-Recheneinheit im Sinne der ISO 26262 (zum Zeitpunkt der Patentanmeldung) angesehen werden.Inside the control unit 1 , that is to say within the housing, there are three computing units implemented as microcontrollers 4th , 5a , 5b provided, with first computing units 5a and 5b each meet a safety criterion, for example the ASIL D standard required here. The second arithmetic unit 4th does not meet any special safety criteria, however, it can therefore be regarded as a QM computing unit in the sense of ISO 26262 (at the time of the patent application).

Dabei ist nun vorgesehen, die Umfeldinterpretation und die Auswahl einer Betriebsstrategie vollständig auf der zweiten Recheneinheit 4 durchzuführen. Das bedeutet, die Recheneinheit 4 berücksichtigt alle für die Funktion notwendigen Sensordaten (und gegebenenfalls weitere Eingangsdaten), wobei, ohne Kompromisse hinsichtlich der Leistungsfähigkeit und der Echtzeitfähigkeit eingehen zu müssen, die leistungsfähigsten Komponenten eingesetzt werden, die für die Funktion notwendig erscheinen. Die komplexe Umfeldinterpretation wird mithin durch die Recheneinheit 4 schnell und effektiv durchgeführt und es werden Ergebnisdaten berechnet, wobei die gesamte Ermittlung, also auch die verwendete Software, keinen Sicherheitskriterien genügt, insbesondere nicht den Sicherheitskriterien nach ISO 26262.It is now provided that the interpretation of the environment and the selection of an operating strategy are carried out entirely on the second processing unit 4th perform. That means the arithmetic unit 4th takes into account all sensor data necessary for the function (and possibly other input data), whereby the most powerful components that appear necessary for the function are used without having to compromise on performance and real-time capability. The complex interpretation of the environment is therefore made by the computing unit 4th carried out quickly and effectively and result data are calculated, whereby the entire determination, including the software used, does not meet any security criteria, in particular not the security criteria according to ISO 26262.

Die ersten Recheneinheiten 5a und 5b werden genutzt, um die von der zweiten Recheneinheit 4 gelieferten Ergebnisdaten abzusichern, mithin zu validieren. Wesentlich hierbei ist, dass zwar die ersten Recheneinheiten 5a und 5b weniger leistungsfähig als die zweite Recheneinheit 4 sind, sich jedoch die Ergebnisdaten nur noch auf einen Teil der Sensordaten und der verwendeten Algorithmen beziehen, mithin nur auf Teilauswertungen der gesamten Auswertung der Sensordaten, die durch die zweite Recheneinheit 4 durchgeführt wird. Es muss mithin nicht die komplette Algorithmik neu und unter Berücksichtigung der Sicherheitskriterien berechnet werden, sondern die Validierung der Ergebnisdaten wird durch Weglassen von für die Ergebnisdaten nicht relevanten Informationen und Berechnungsvorgängen mit einem deutlich reduzierten Rechenaufwand durchgeführt.The first arithmetic units 5a and 5b are used by the second processing unit 4th to secure the delivered result data, thus to validate it. What is essential here is that the first arithmetic units 5a and 5b less powerful than the second processing unit 4th are, however, the result data only relate to part of the sensor data and the algorithms used, thus only to partial evaluations of the entire evaluation of the sensor data carried out by the second processing unit 4th is carried out. It is therefore not necessary to recalculate the entire algorithms taking into account the security criteria, but rather the validation of the result data is carried out with a significantly reduced computational effort by omitting information and calculation processes that are not relevant for the result data.

Nachdem die bei der Validierung eingesetzten Recheneinheiten 5a und 5b sowie die darauf laufende Software den Sicherheitskriterien entspricht, erfüllt die Funktion, die durch das Steuergerät 1 zur Verfügung gestellt wird, insgesamt aber dennoch die Sicherheitsanforderungen.After the processing units used in the validation 5a and 5b as well as the software running on it meets the safety criteria, fulfills the function performed by the control unit 1 is made available, but overall the security requirements.

Anders ausgedrückt kann gesagt werden, dass die Gesamtberechnung zur Realisierung der Funktion zweistufig erfolgt, wie dies im Ablaufplan der 2 angedeutet ist. In einem Schritt S1 wird zunächst ohne die Beachtung von Sicherheitskriterien die Umfeldinterpretation vollständig und effektiv durchgeführt, um die Ergebnisdaten zu erhalten. Dafür werden im Schritt S2, der die Validierung der im Schritt S1 erhaltenen Ergebnisdaten betrifft, alle Sicherheitskriterien berücksichtigt, indem die ersten Recheneinheiten 5a, 5b mit entsprechend die Sicherheitskriterien erfüllender Software eingesetzt werden. Dabei ist jedoch nur der für die Ergebnisdaten relevante Anteil zu überprüfen/neu zu berechnen, so dass der Rechenaufwand deutlich reduziert ist und die geringere Leistungsfähigkeit der in ihrer Hardware auf die Sicherheitskriterien angepassten ersten Recheneinheiten 5 a, 5b deutlicher weniger ins Gewicht fällt.In other words, it can be said that the overall calculation for realizing the function takes place in two stages, as shown in the flow chart of FIG 2 is indicated. In one step S1 First, the environment interpretation is carried out completely and effectively without considering security criteria in order to obtain the result data. For this be in step S2 that is validating the in step S1 Result data obtained concerns, all security criteria taken into account by the first computing units 5a , 5b be used with software that meets the security criteria accordingly. In this case, however, only the portion relevant to the result data needs to be checked / recalculated, so that the computational effort is significantly reduced and the lower performance of the first arithmetic units adapted in their hardware to the security criteria is reduced 5 a, 5b is much less important.

3 erläutert das erfindungsgemäße Verfahren nochmals genauer anhand einer Verkehrssituation. Dort ist ein erfindungsgemäßes, mithin mit einem erfindungsgemäßen Steuergerät 1 ausgestattetes Kraftfahrzeug 6 dabei, auf ein weiteres Kraftfahrzeug 7 aufzufahren, das nicht in Bewegung ist. Ein drittes Kraftfahrzeug 8 fährt hinter dem Kraftfahrzeug 1 her. Auf einem Gehsteig rechts neben der Straße sind Fußgänger 9 in größerer Zahl unterwegs. 3 explains the method according to the invention again in more detail using a traffic situation. There is a control device according to the invention, therefore with a control device according to the invention 1 equipped vehicle 6th about to get on another motor vehicle 7th open that is not in motion. A third motor vehicle 8th drives behind the vehicle 1 here. There are pedestrians on a sidewalk to the right of the street 9 en route in large numbers.

Eine Situationsanalyse, mithin die Umfeldinterpretation, ist in diesem Fall hochkomplex, kann aber aufgrund der Verwendung der zweiten Recheneinheit 4 und entsprechender, die Sicherheitskriterien nicht beachtender Software äußerst schnell und effektiv durchgeführt werden. Aus dieser Umfeldinterpretation wird erkannt, dass verschiedene Betriebsstrategien des Kraftfahrzeugs 6 nicht möglich sind. Die durch den Pfeil 10 angedeutete Notbremsung ist nicht möglich, da von hinten das dritte Kraftfahrzeug 8 naht. Ein Ausweichvorgang wäre eine denkbare Reaktion auf die Situation, wobei jedoch nicht nach rechts in die Fußgänger 9 gelenkt werden darf, vgl. Pfeil 11. Mithin wird als sicheres Fahrmanöver in den Ergebnisdaten ein Ausweichen gemäß dem Pfeil 12 auf die linke Spur 13 als Lösung ermittelt. Dank der Verwendung der ohne Beachtung von Sicherheitskriterien geschaffenen Berechnungsumgebung (zweite Recheneinheit 4, entsprechende Software) wird die hohe Rechenleistung in Echtzeit zur Verfügung gestellt.A situation analysis, and therefore the interpretation of the environment, is highly complex in this case, but it can be done due to the use of the second processing unit 4th and corresponding software that does not comply with the security criteria can be carried out extremely quickly and effectively. From this interpretation of the environment, it is recognized that various operating strategies of the motor vehicle 6th are not possible. The one by the arrow 10 indicated emergency braking is not possible because the third motor vehicle is from behind 8th seam. An evasive maneuver would be a conceivable reaction to the situation, but not to the right into the pedestrian 9 may be steered, cf. arrow 11 . Consequently, evasive action according to the arrow is shown as a safe driving maneuver in the result data 12 on the left lane 13 determined as a solution. Thanks to the use of the calculation environment created without considering safety criteria (second calculation unit 4th , corresponding software), the high computing power is made available in real time.

Die hier getroffene Entscheidung „Ausweichen nach links“, Pfeil 12, erfordert zur Validierung, die durch die die Sicherheitskriterien erfüllenden ersten Recheneinheiten 5a, 5b sowie entsprechenden Sicherheitskriterien erfüllende Software durchgeführt wird, eine weit geringere Anzahl an Prämissen, denn es muss lediglich ermittelt werden, ob die linke Fahrspur 13 tatsächlich frei ist und ob die Trajektorie vorbei an dem weiteren Kraftfahrzeug 7 korrekt berechnet wurde. Die Fußgänger 9 sowie das dritte Kraftfahrzeug 8 betreffende Sensordaten, Algorithmen und/oder Teilauswertungen müssen bei der Validierung nicht mehr herangezogen werden. Mithin ist die Validierung auch durch die Sicherheitskomponenten, also die die Sicherheitskriterien erfüllenden ersten Recheneinheiten 5a, 5b sowie die die Sicherheitskriterium erfüllende, dort ablaufende Software leicht in Echtzeit umsetzbar.The decision made here "Evade to the left", arrow 12 , requires the validation by the first computing units that meet the safety criteria 5a , 5b and software that fulfills the corresponding safety criteria is carried out, a far smaller number of premises, because it only has to be determined whether the left lane 13 is actually free and whether the trajectory past the further motor vehicle 7th was calculated correctly. The pedestrians 9 and the third motor vehicle 8th The relevant sensor data, algorithms and / or partial evaluations no longer have to be used in the validation. The validation is therefore also carried out by the safety components, that is to say the first computing units that meet the safety criteria 5a , 5b as well as the software running there that fulfills the security criterion and can be easily implemented in real time.

Claims (9)

Steuergerät (1) für ein Kraftfahrzeug (6), ausgebildet zur Ausführung wenigstens einer Sensordaten wenigstens einen Sensors (2) auswertenden, insbesondere sicherheitsrelevanten Funktion, aufweisend wenigstens eine erste Recheneinheit (5a, 5b) und eine zweite Recheneinheit (4), die leistungsfähiger als die erste Recheneinheit (5a, 5b) ist, wobei die zweite Recheneinheit (4) zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten ausgebildet ist und die erste Recheneinheit (5a, 5b) zur Validierung der Ergebnisdaten der zweiten Recheneinheit (4) ausgebildet ist, dadurch gekennzeichnet, dass die erste Recheneinheit (5a, 5b) einem Sicherheitskriterium entspricht, wobei die zweite Recheneinheit (4) dem Sicherheitskriterium nicht entspricht, wobei die Auswertung in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar ist, wobei die erste Recheneinheit (5a, 5b) bei der Validierung nur zur Durchführung der nicht die gesamte Auswertung umfassenden Teilauswertungen, die den aktuellen Ergebnisdaten zugeordnet sind, ausgebildet ist.Control unit (1) for a motor vehicle (6), designed to carry out at least one sensor (2) evaluating, in particular safety-relevant function, having at least one first computing unit (5a, 5b) and one second computing unit (4), which are more powerful than is the first computing unit (5a, 5b), the second computing unit (4) being designed to determine result data of the function by evaluating the sensor data and the first computing unit (5a, 5b) being designed to validate the result data of the second computing unit (4) , characterized in that the first arithmetic unit (5a, 5b) corresponds to a security criterion, the second arithmetic unit (4) not corresponding to the security criterion, the evaluation being divisible into partial evaluations that can be assigned to specific result data, the first arithmetic unit (5a, 5b) at the validation only to carry out the partial evaluation which does not include the entire evaluation ngen, which are assigned to the current result data, is formed. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass das Sicherheitskriterium die Erfüllung eines Sicherheitsstandards betrifft.Control unit after Claim 1 , characterized in that the security criterion relates to the fulfillment of a security standard. Steuergerät nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass auf der ersten Recheneinheit (5a, 5b) eine dem und/oder einem weiteren Sicherheitskriterium entsprechende Software und auf der zweiten Recheneinheit (4) eine nicht dem bzw. dem weiteren Sicherheitskriterium entsprechende Software ausgeführt wird. Control unit after Claim 1 or 2 , characterized in that software corresponding to the and / or a further security criterion is executed on the first arithmetic unit (5a, 5b) and software not corresponding to the further security criterion is executed on the second arithmetic unit (4). Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die erste Recheneinheit (5a, 5b) zur Validierung der Ergebnisdaten unter Verwendung eines gegenüber der zweiten Recheneinheit (4) reduzierten Satzes von Sensordaten als Eingangsdaten und/oder eines gegenüber der zweiten Recheneinheit (4) reduzierten Satzes von Algorithmen ausgebildet ist.Control device according to one of the preceding claims, characterized in that the first computing unit (5a, 5b) for validating the result data using a set of sensor data that is reduced compared to the second computing unit (4) as input data and / or one compared to the second computing unit (4) reduced set of algorithms. Steuergerät nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die zweite Recheneinheit (4) zur Auswahl einer zu verwendenden Betriebsstrategie aus einer Mehrzahl möglicher Betriebsstrategien ausgebildet ist und die erste Recheneinheit (5a, 5b) zur Verwendung von lediglich auf die ausgewählte Betriebsstrategie bezogenen Sensordaten als Eingangsdaten und/oder Algorithmen ausgebildet ist.Control unit according to one of the Claims 1 to 3 , characterized in that the second computing unit (4) is designed to select an operating strategy to be used from a plurality of possible operating strategies and the first computing unit (5a, 5b) is designed to use only sensor data related to the selected operating strategy as input data and / or algorithms is. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Funktion eine auf einen vollständig autonomen Betrieb des Kraftfahrzeugs (6) gerichtete Funktion eines vollautonomen Fahrzeugsystems ist.Control device according to one of the preceding claims, characterized in that the function is a function of a fully autonomous vehicle system aimed at completely autonomous operation of the motor vehicle (6). Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Recheneinheit (4) zu einer Situationsanalyse anhand der insbesondere Sensordaten von Umfeldsensoren umfassenden Sensordaten ausgebildet ist.Control device according to one of the preceding claims, characterized in that the second arithmetic unit (4) is designed for a situation analysis based on the sensor data including, in particular, sensor data from environment sensors. Kraftfahrzeug (6), aufweisend wenigstens ein Steuergerät (1) nach einem der vorangehenden Ansprüche.Motor vehicle (6), having at least one control device (1) according to one of the preceding claims. Verfahren zum abgesicherten Durchführen wenigstens einer Sensordaten wenigstens eines Sensors auswertenden, insbesondere sicherheitsrelevanten Funktion eines Fahrzeugsystems eines Kraftfahrzeugs in einem Steuergerät, aufweisend wenigstens eine erste, wenigstens einem Sicherheitskriterium entsprechende Recheneinheit und wenigstens eine zweite, nicht dem Sicherheitskriterium entsprechende Recheneinheit, die leistungsfähiger als die erste Recheneinheit ist, wobei die zweite Recheneinheit zur Ermittlung von Ergebnisdaten der Funktion durch Auswertung der Sensordaten und die erste Recheneinheit zur Validierung der Ergebnisdaten der zweiten Recheneinheit verwendet wird, wobei die Auswertung in bestimmten Ergebnisdaten zuordenbare Teilauswertungen aufteilbar ist, wobei durch die erste Recheneinheit bei der Validierung nur die nicht die gesamte Auswertung umfassende Teilauswertung, die den aktuellen Ergebnisdaten zugeordnet ist, ausgewertet wird.A method for the secure implementation of at least one sensor-evaluating, in particular safety-relevant, function of a vehicle system of a motor vehicle in a control device, having at least one first computing unit corresponding to at least one safety criterion and at least one second computing unit not corresponding to the safety criterion, which is more powerful than the first computing unit The second arithmetic unit is used to determine result data of the function by evaluating the sensor data and the first arithmetic unit is used to validate the result data of the second arithmetic unit, the evaluation being able to be divided into partial evaluations that can be assigned to specific result data, with the first arithmetic unit only during validation the partial evaluation which does not include the entire evaluation and which is assigned to the current result data is evaluated.
DE102014014858.0A 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function Active DE102014014858B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102014014858.0A DE102014014858B4 (en) 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014014858.0A DE102014014858B4 (en) 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function

Publications (2)

Publication Number Publication Date
DE102014014858A1 DE102014014858A1 (en) 2016-04-07
DE102014014858B4 true DE102014014858B4 (en) 2020-09-03

Family

ID=55530925

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014014858.0A Active DE102014014858B4 (en) 2014-10-06 2014-10-06 Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function

Country Status (1)

Country Link
DE (1) DE102014014858B4 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016005730A1 (en) * 2016-05-10 2017-11-16 Audi Ag Method for evaluating environmental data in a control unit of a motor vehicle, control unit and motor vehicle
DE102016125240A1 (en) * 2016-12-21 2018-06-21 Endress+Hauser SE+Co. KG Electronic circuit for a field device of automation technology
DE102019203251B3 (en) * 2019-03-11 2020-06-18 Volkswagen Aktiengesellschaft Process and system for safe signal manipulation for testing integrated safety functionalities
DE102019218082A1 (en) * 2019-11-22 2021-05-27 Zf Friedrichshafen Ag Device and method for creating a safe state in a vehicle
DE102021213077A1 (en) 2021-11-22 2023-05-25 Zf Friedrichshafen Ag Method for monitoring signal processing for an automated driving system and control unit for an automated driving system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4137124A1 (en) * 1991-11-12 1993-05-13 Teves Gmbh Alfred CIRCUIT ARRANGEMENT FOR A BRAKE SYSTEM WITH ANTI-BLOCKING PROTECTION AND / OR DRIVE SLIP CONTROL

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4137124A1 (en) * 1991-11-12 1993-05-13 Teves Gmbh Alfred CIRCUIT ARRANGEMENT FOR A BRAKE SYSTEM WITH ANTI-BLOCKING PROTECTION AND / OR DRIVE SLIP CONTROL

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KOEPERNIK, Dr. J. u.a.: Funktionale Sicherheit in der Entwicklung von Fahrwerks und Fahrerassistenz-Systemen: Fokus Systemarchitektur. Vector Congress, 7./8. Oktober 2008 *
SUNDARAM P. u.a.: Controller Integrity in Automotive Failsafe System Architectures. SAE Technical Paper Series, April 2006 *

Also Published As

Publication number Publication date
DE102014014858A1 (en) 2016-04-07

Similar Documents

Publication Publication Date Title
DE102014014858B4 (en) Control unit for a motor vehicle, motor vehicle and method for the secure execution of a function
EP3580737B1 (en) Method for coordinating the traffic of a plurality of motor vehicles within a predetermined infrastructure region and server device, motor vehicle and system
DE102014205180A1 (en) Method and device for operating a vehicle
EP2693278B1 (en) Method for efficiently securing the safety-critical functions of a control device and control device
DE102014221682A1 (en) Method and device for operating a vehicle
EP3285163A1 (en) Fault-tolerant method and device of controlling an autonomous technical plant by means of diverse trajector planning
DE102013013865B3 (en) Method for operating a motor vehicle with a safety system and a fully automatic driver assistance system and motor vehicle
DE102013019027A1 (en) Method for operating a safety system of a motor vehicle and motor vehicle
DE102011005844A1 (en) Method for automatic controlling of vehicle, involves processing transverse movement of vehicle by decision tree and processing longitudinal movement of vehicle by another decision tree
EP2099667B1 (en) Method for ensuring or maintaining the function of a complex complete safety-critical system
DE102019214453A1 (en) Method for performing a function of a motor vehicle
DE102018216423A1 (en) Determination of a control signal for a semi-autonomous vehicle
DE102012207215A1 (en) Method and device for monitoring functions of a computer system, preferably an engine control system of a motor vehicle
DE102019134258A1 (en) Method for controlling a driving function of a vehicle
WO2020109136A1 (en) Method, computer program and device for evaluating the criticality of an option for human control of a vehicle, which has an automated control system
DE102019214461A1 (en) Method for remote control of a motor vehicle
DE102019202025B4 (en) System and method for the safe operation of an automated vehicle
DE102019214482A1 (en) Method for the safe, at least partially automated, driving of a motor vehicle
DE102015010270B4 (en) Method for operating driver assistance systems in a motor vehicle and motor vehicle
DE102016122611A1 (en) Method and device for operating a driver assistance function for a lane change, computer program and computer program product
DE112018005794T5 (en) System and method for controlling a motor vehicle for autonomous driving
WO2023012243A1 (en) System, method and software for operating a driver assistance system
DE102020211965A1 (en) Method for operating a motor vehicle
DE102019214484A1 (en) Procedure for the secure determination of infrastructure data
DE102019008894A1 (en) Method for recognizing unsafe driving behavior of a vehicle traveling ahead for a vehicle, control device and vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final