DE102014220781A1 - Ausfallsichere E/E-Architektur für automatisiertes Fahren - Google Patents

Ausfallsichere E/E-Architektur für automatisiertes Fahren Download PDF

Info

Publication number
DE102014220781A1
DE102014220781A1 DE102014220781.9A DE102014220781A DE102014220781A1 DE 102014220781 A1 DE102014220781 A1 DE 102014220781A1 DE 102014220781 A DE102014220781 A DE 102014220781A DE 102014220781 A1 DE102014220781 A1 DE 102014220781A1
Authority
DE
Germany
Prior art keywords
arithmetic unit
actuator
unit
driving function
arithmetic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102014220781.9A
Other languages
English (en)
Inventor
Auf Teilnichtnennung Antrag
Wolfgang Niem
Volker Blaschke
Bernd Müller
Tuelin Baysal
Carsten Gebauer
Heinz Tilsner
Armin Ruehle
Thorsten Huck
Thomas Hogenmueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102014220781.9A priority Critical patent/DE102014220781A1/de
Priority to US14/880,510 priority patent/US9606537B2/en
Priority to CN201510669830.8A priority patent/CN105515739B/zh
Priority to JP2015202861A priority patent/JP6632310B2/ja
Publication of DE102014220781A1 publication Critical patent/DE102014220781A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/14Adaptive cruise control
    • B60W30/143Speed control
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/14Adaptive cruise control
    • B60W30/16Control of distance between vehicles, e.g. keeping a distance to preceding vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Computer Interaction (AREA)
  • Safety Devices In Control Systems (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Game Theory and Decision Science (AREA)
  • Medical Informatics (AREA)

Abstract

System mit einer ersten Recheneinheit und mit einer zweiten Recheneinheit, wobei die erste Recheneinheit eine erste Schnittstelle aufweist, um mit wenigstens einem Sensor und mit wenigstens einem Aktuator in Verbindung zu treten, wobei die zweite Recheneinheit eine zweite Schnittstelle aufweist, um mit wenigstens einem Sensor und mit wenigstens einem Aktuator in Verbindung zu treten, wobei die erste und die zweite Recheneinheit über eine weitere Schnittstelle miteinander in Verbindung stehen können, wobei der Aktuator ein Interface aufweist, wobei das Interface abhängig vom ersten oder vom zweiten Betriebszustand festlegt, ob von der ersten oder der zweiten Recheneinheit ein Steuerbefehl für eine Fahrfunktion angenommen wird, so dass im ersten Betriebszustand nur die erste Recheneinheit den Aktuator ansteuern kann und in einem zweiten Betriebszustand nur die zweite Recheneinheit den Aktuator ansteuern kann.

Description

  • Die Erfindung betrifft ein System mit zwei Recheneinheiten gemäß Patentanspruch 1 und ein Verfahren zur Durchführung einer Fahrfunktion gemäß Patentanspruch 19.
  • Stand der Technik
  • Im Stand der Technik ist es bekannt, sicherheitsrelevante Systeme dadurch zu realisieren, dass sie im Fehlerfall in einen sicheren Zustand übergehen. Der sichere Zustand ist dann in der Regel nicht funktional und beispielsweise durch ein stromloses oder energieloses System charakterisiert. Weiterhin sind Systeme bekannt, bei denen eine Redundanz in Bezug auf die Rechenleistung für einen Fehlerfall bereitgehalten wird.
  • Ein ausfallsicheres System hält seine Funktion noch in Anwesenheit eines Fehlers aufrecht. Bekannte Architekturen sind:
    • • 2 aus 3 Voting
    • • Duo-Duplex Struktur
  • Prinzipiell ist ebenfalls der Einsatz von kalter und heißer Redundanz bekannt.
  • Offenbarung der Erfindung
  • Die Aufgabe der Erfindung besteht darin, ein System zur Beherrschung einer Automatisierungsaufgabe im Fahrzeug bereitzustellen.
  • Die Aufgabe der Erfindung wird durch das System gemäß Patentanspruch 1 und durch das Verfahren gemäß Patentanspruch 19 gelöst.
  • Weitere Ausführungsformen sind in den abhängigen Ansprüchen angegeben.
  • Ein Vorteil des beschriebenen Systems und des beschriebenen Verfahrens besteht darin, dass sichergestellt ist, dass nur eine der zwei Recheneinheiten einen Aktuator ansteuern kann. Dies wird dadurch erreicht, dass die erste Recheneinheit und/oder die zweite Recheneinheit und/oder der Aktuator ausgebildet sind, um festzulegen, ob die erste oder die zweite Recheneinheit den Aktuator wirksam ansteuern kann.
  • In einer Ausführungsform ist bei einer korrekten Funktion der ersten Recheneinheit ein erster Betriebszustand aktiv ist und nur die erste Recheneinheit kann den Aktuator wirksam ansteuern, und wobei bei einer Fehlfunktion der ersten Recheneinheit ein zweiter Betriebszustand aktiv ist, und nur die zweite Recheneinheit den Aktuator ansteuern kann.
  • In einer Ausführungsform weist der Aktuator ein Interface auf, wobei das Interface festlegt, welche der zwei Recheneinheiten einen Steuerbefehl an den Aktuator abgeben darf. Auf diese Weise ist sichergestellt, dass nur die Recheneinheit, die tatsächlich die Erlaubnis zur Abgabe der Steuerbefehle hat, auch die Steuerbefehle an den Aktuator abgeben kann. Bei einem fehlerfreien Betrieb ist dazu nur die erste Recheneinheit vorgesehen. Weist die erste Recheneinheit eine Fehlfunktion auf, so kann das Recht zur Abgabe eines Steuerbefehls an den Aktuator an die zweite Recheneinheit übergeben werden.
  • Diese Vorgehensweise bietet insbesondere einen Vorteil bei der Ausführung von automatisierten Fahrfunktionen durch das System. Automatische Fahrfunktionen sind zum Beispiel eine automatische Abstandsregelung, eine automatische Geschwindigkeitsregelung, ein automatisches Abbremsen oder eine automatische Lenkung des Fahrzeuges. Automatisierte Fahrfunktionen sind dadurch gekennzeichnet, dass das System die Verantwortung trägt und der Fahrer nicht als Rückfallebene bei Auftritt eines Fehlers zur Verfügung steht.
  • Eine weitere Verbesserung in Bezug auf die Fehlersicherheit wird gemäß einer Weiterbildung erreicht, indem die zweite Recheneinheit ausgebildet ist, um ein Testverfahren durchzuführen. Das Testverfahren wird beispielsweise in einem ersten Betriebszustand durchgeführt, in dem die erste Recheneinheit als funktionsfähig gilt. Das Testverfahren kann sowohl ein Testen der zweiten Recheneinheit als auch ein Testen der ersten Recheneinheit beinhalten.
  • Eine weitere Verbesserung des Systems wird dadurch erreicht, dass das Testverfahren eine Kommunikation zwischen der zweiten und der ersten Recheneinheit betrifft, das heißt, dass die zweite Recheneinheit testet, ob die Kommunikation zwischen der ersten und der zweiten Recheneinheit korrekt funktioniert. Dazu können beispielsweise Testdaten zwischen den Recheneinheiten ausgetauscht werden.
  • Eine weitere Verbesserung des Systems wird dadurch erreicht, dass gemäß einer Weiterbildung die zweite Recheneinheit mithilfe des Testverfahrens eine eigene korrekte Funktionsweise überprüft. Dazu können bestimmte Aufgaben in einem Speicher abgelegt sein, die die zweite Recheneinheit ausführt, wobei ein korrektes Ergebnis der Aufgaben ebenfalls im Speicher abgelegt ist und nach Abarbeitung der Aufgabe von der zweiten Recheneinheit verglichen wird.
  • In einer weiteren Ausführungsform wird das System vom ersten Betriebszustand in den zweiten Betriebszustand geschaltet, wenn eine Fehlfunktion der ersten Recheneinheit erkannt wurde. Die Fehlfunktion kann beispielsweise von der ersten Recheneinheit selbst mithilfe eines entsprechenden Testverfahrens überprüft und erkannt worden sein. Zudem kann aber auch die zweite Recheneinheit eine Fehlfunktion der ersten Recheneinheit mithilfe eines Testverfahrens überprüft und erkannt haben.
  • Eine weitere Verbesserung des Systems wird dadurch erreicht, dass gemäß einer weiteren Ausführungsform der Aktuator ausgebildet ist, um bei Vorliegen einer Fehlfunktion der ersten und/oder der zweiten Recheneinheit den Aktuator in eine Sicherheitsfunktion oder in eine Sicherheitsposition zu steuern. Mithilfe dieser Maßnahme ist es möglich, dass selbst bei einem Ausfall der ersten und der zweiten Recheneinheit der Aktuator selbst beispielsweise mithilfe eines separaten Aktuatorsteuergeräts oder einer separaten elektronischen Schaltung in der Lage ist, den Aktuator mithilfe einer Sicherheitsfunktion zu steuern. Die Sicherheitsfunktion sorgt dafür, dass vorgegebene Sicherheitsbedingungen eingehalten werden.
  • In einer weiteren Ausführungsform sind zwei Aktuatorsteuergeräte vorgesehen, wobei die zwei Aktuatorsteuergeräte mit wenigstens einem Aktuator in Wirkverbindung stehen. Zudem weist jedes Aktuatorsteuergerät ein Interface auf, mit dem die erste und die zweite Recheneinheit verbunden sind. Auf diese Weise wird eine weitere Redundanz für einen Ausfall eines Aktuatorsteuergeräts erreicht.
  • In einer weiteren Ausführungsform wird die Fehleranfälligkeit des Systems dadurch reduziert, dass die erste Recheneinheit und die zweite Recheneinheit mit getrennten elektronischen Stromversorgungssystemen verbunden sind. Somit wird sichergestellt, dass bei einem Ausfall eines Stromversorgungssystems wenigstens eine der zwei Recheneinheiten weiterhin mit Strom versorgt wird. Die zwei Stromversorgungssysteme können Untereinheiten des elektronischen Bordnetzes darstellen oder komplett getrennte Stromversorgungssysteme darstellen, die z.B. von der Batterie oder der Lichtmaschine gespeist werden.
  • Eine weitere Verbesserung des Systems wird dadurch erreicht, dass gemäß einer Weiterbildung die erste Recheneinheit ausgebildet ist, um wenigstens Eingangsdaten für eine Überprüfung einer korrekten Funktionsweise der zweiten Recheneinheit zu liefern. Dadurch wird eine weitere Erhöhung der Sicherheit erreicht, da die Eingangsdaten nicht von der zweiten Recheneinheit, sondern unabhängig von der zweiten Recheneinheit von der ersten Recheneinheit bereitgestellt werden. Somit kann ein Fehler bei der Generierung der Eingangsdaten durch eine Fehlfunktion der zweiten Recheneinheit ausgeschlossen werden.
  • In einer weiteren Ausführungsform ist die erste Recheneinheit ausgebildet, um eine berechnete Steuerung für eine Fahrfunktion an die zweite Recheneinheit zu übermitteln. Zudem ist die zweite Recheneinheit ausgebildet, um die gleiche Berechnung für die gleiche Steuerung durchzuführen. Weiterhin ist die zweite Recheneinheit ausgebildet, um das selbst berechnete Ergebnis mit der von der ersten Recheneinheit übermittelten Steuerung zu vergleichen. Anhand des Vergleiches kann eine Fehlfunktion der ersten und/oder der zweiten Recheneinheit erkannt werden.
  • Eine weitere Verbesserung des Systems wird dadurch erreicht, dass gemäß einer Ausbildungsform wenigstens zwei Sensoren vorgesehen sind, die redundant einen gleichen Parameter messen. Zudem sind wenigstens die erste Recheneinheit mit dem ersten Sensor und die zweite Recheneinheit mit dem zweiten Sensor verbunden. Somit kann die Messung des Parameters abgeglichen und eine Fehlfunktion eines Sensors bzw. einer Recheneinheit erkannt werden.
  • In einer weiteren Ausführungsform können mehrere redundante Sensoren vorgesehen sein, die wenigstens teilweise den gleichen Parameter messen, wobei die erste und die zweite Recheneinheit mit einer Schnittmenge der zwei Sensoren verbunden sind. Auch auf diese Weise kann wenigstens für die Sensoren der Schnittmenge durch einen Vergleich der redundant erfassten bzw. von den Recheneinheiten ermittelten Parametern eine Überprüfung der Parameter der Schnittmenge bzw. eine Überprüfung der Funktionsweise der Recheneinheit durchgeführt werden. Wird beispielsweise nur bei einem redundanten Sensorpaar eine Fehlfunktion durch die erste und die zweite Recheneinheit erkannt, wobei ein anderes Sensorpaar korrekte Messwerte liefert, so kann eine Fehlfunktion bei den Sensoren lokalisiert werden. Ergibt jedoch eine Überprüfung mehrerer Sensoren der Sensorpaare der Schnittmenge durch die erste und die zweite Recheneinheit einen Hinweis auf eine Fehlfunktion, so kann dies auf eine Fehlfunktion der ersten oder der zweiten Recheneinheit hinweisen.
  • In einer weiteren Ausführungsform kann die Sicherheit für eine Übergabeaufforderung einer automatisierten Fahrfunktion verbessert werden. Dazu wird eine Übergabeaufforderung zur Ausführung einer automatisierten Fahrfunktion über getrennte Schnittstellen von der HMI an die zwei Recheneinheiten übergeben. Die zwei Recheneinheiten sind ausgebildet, um getrennt voneinander eine Übernahme der Fahrfunktion der HMI anzuzeigen. Weiterhin ist die HMI ausgebildet, um die automatisierte Fahrfunktion nur dann an die erste Recheneinheit zu übergeben, wenn beide Recheneinheiten anzeigen, dass sie korrekt funktionieren und die automatisierte Fahrfunktion ausführen können.
  • Ein weitere Verbesserung der Sicherheit des Systems wird dadurch erreicht, dass gemäß einer Ausführungsform die erste Recheneinheit eine Übernahme der automatisierten Fahrfunktion der HMI signalisiert, wenn die erste Recheneinheit sich selbst als funktionsfähig einschätzt und zudem von der zweiten Recheneinheit die Information bekommt, dass auch die zweite Recheneinheit funktionsfähig ist. Zudem sendet die zweite Recheneinheit eine Übernahme der Fahrfunktion an die HMI, wenn sich die zweite Recheneinheit als funktionsfähig einschätzt und von der ersten Recheneinheit die Information bekommt, dass sich auch die erste Recheneinheit als funktionsfähig einschätzt. Auf diese Weise wird eine erhöhte Absicherung einer tatsächlichen Funktionsfähigkeit der ersten und der zweiten Recheneinheit vor der Übernahme einer automatisierten Fahrfunktion erreicht.
  • Die Fahrfunktion, deren Übernahme angeboten wird, kann beispielsweise eine Lenkfunktion, eine Beschleunigungsfunktion oder eine Abbremsfunktion oder auch eine Kombination solcher Funktionen sein.
  • Eine weitere Verbesserung des Systems wird gemäß einer Weiterbildung dadurch erreicht, dass in einem zweiten Betriebszustand, in dem die zweite Recheneinheit die Fahrfunktion ausführt, die Ausführung der Fahrfunktion an die erste Recheneinheit zurückgegeben wird, wenn die erste Recheneinheit anzeigt, dass die erste Recheneinheit wieder funktionsfähig ist. Damit kann ein vorübergehender Ausfall der ersten Recheneinheit überbrückt werden und wieder in den ersten Betriebszustand übergegangen werden. Somit wird ein robusteres System bereitgestellt.
  • In einer weiteren Ausführungsform ist die Rückgabe der Fahrfunktion an die erste Recheneinheit auf festgelegte Fahrfunktionen und/oder festgelegte Fehlfunktionen der ersten Recheneinheit begrenzt. Damit können schwerwiegende Fehlfunktionen der ersten Recheneinheit ausgeschlossen werden, bei denen die Gefahr eines erneuten Ausfalls der ersten Recheneinheit relativ hoch ist oder eine Unsicherheit über die korrekte Funktionsweise der ersten Recheneinheit weiter besteht. Zudem kann mithilfe dieser Maßnahme die Rückgabe der Kontrolle an die wieder korrekt funktionierende erste Recheneinheit auf Fahrfunktionen begrenzt werden, die im Bezug auf einen Ausfall der ersten Recheneinheit weniger kritisch sind. Auch dadurch wird die Systemsicherheit erhöht. Die festgelegten Fahrfunktionen oder Fehlerfunktionen sind in einem Speicher der ersten und/oder zweiten Recheneinheit abgelegt.
  • Die Erfindung wird anhand der Figuren näher erläutert. Es zeigen
  • 1 eine schematische Darstellung einer ersten Ausführungsform des Systems,
  • 2 bis 9 verschiedene Teildarstellungen von Systemen mit verschiedenen Ausführungsformen für die Anwendung der Recheneinheiten mit Sensoren.
  • 1 zeigt eine Grundidee des vorgeschlagenen Systems. Eine erste Recheneinheit 1 steht mit wenigstens einem Sensor 3 in Verbindung. Zudem steht die erste Recheneinheit 1 mit wenigstens einem Aktuator 4 in Verbindung. Der Aktuator 4 kann in Form eines einzelnen Aktuators oder in Form von mehreren Aktuatoren oder in Form einer Aktuatorik ausgebildet sein. Weiterhin ist eine zweite Recheneinheit 2 vorgesehen, die ebenfalls mit dem wenigsten einen Sensor 3 und dem wenigstens einen Aktuator 4 in Verbindung steht. Der Sensor kann in Form eines Sensors oder in Form mehrerer Sensoren oder in Form einer Sensorik ausgebildet sein. Zudem weisen die erste und/oder zweite Recheneinheit einen Datenspeicher 15, 16 auf. Weiterhin steht die zweite Recheneinheit 2 über eine Schnittstelle 5 mit der ersten Recheneinheit 1 in Verbindung. Die erste Recheneinheit 1 erfasst die Signale des Sensors 3 und ermittelt daraus gemäß wenigstens einem im ersten Datenspeicher 15 abgelegten Steuerverfahren ein Steuersignal, mit dem die erste Recheneinheit 1 den Aktuator 4 ansteuert. In einem ersten Betriebszustand, in dem die erste Recheneinheit 1 als korrekt funktionsfähig gilt, kann nur die erste Recheneinheit 1 den Aktuator 4 ansteuern. Die zweite Recheneinheit 2 ist zwar sowohl mit dem Sensor 3 als auch mit dem Aktuator 4 verbunden, kann jedoch im ersten Betriebszustand den Aktuator 4 nicht ansteuern. Die Recheneinheiten 1 und 2 sind dabei vorteilhafterweise baulich getrennte Steuergeräte mit einer eigenen mechanischen Begrenzung, die geeignete Dichtigkeitseigenschaften hat.
  • Die erste Recheneinheit 1 erfüllt beispielsweise folgende Bedingungen: sie besitzt eine gute Fehlererkennung für eigene Fehler. Dadurch sollte gewährleistet sein, dass, wenn die erste Recheneinheit 1 ein Steuersignal an den Aktuator 4 sendet, das Steuersignal auch vertrauenswürdig und sicher ist. Wenn die erste Recheneinheit kein sicheres Steuersignal liefern kann, dann sollte sie kein Steuersignal liefern. Eine klassische Umsetzung dieser Fail-silence-Funktion bedeutet, dass die erste Recheneinheit bei einer Fehlfunktion kein Steuersignal an den Aktuator 4 ausgibt. Abhängig von der gewählten Ausführungsform kann die Fail-silence-Funktion auch durch ein geeignetes separates Fehlersignal realisiert werden, das dem Aktuator 4 übermittelt wird. Bei dieser Ausführungsform erkennt der Aktuator 4 bei Eingang eines Fehlersignals der ersten Recheneinheit, dass die Steuersignale der ersten Recheneinheit nicht mehr ausgeführt werden dürfen. Zudem sollte die erste Recheneinheit eine hohe Verfügbarkeit haben, das heißt Fehler und Funktionsausfälle sollten nur sehr selten auftreten.
  • Tritt eine Fehlfunktion, das heißt ein Fehler oder ein Funktionsausfall der ersten Recheneinheit 1 auf, so übernimmt die zweite Recheneinheit 2 die Funktion der ersten Recheneinheit 1. Dazu sollte die zweite Recheneinheit 2 beispielsweise folgende Anforderungen erfüllen: die zweite Recheneinheit 2 sollte unabhängig von der ersten Recheneinheit 1 ausgebildet sein, das heißt physikalisch als eigenes Bauteil. Zudem wäre es vorteilhaft, wenn die zweite Recheneinheit 2 in einem eigenen Gehäuse verbaut ist und vorzugsweise baulich getrennt und beispielsweise an einem anderen Ort eingebaut ist. Weiterhin sollte die zweite Recheneinheit 2 ausgebildet sein, um bei einem Auftreten eines Fehlers der ersten Recheneinheit 1 sehr schnell und nahtlos die Funktion der ersten Recheneinheit 1 übernehmen zu können.
  • Ein Hauptwirkungspfad läuft von dem Sensor 3 über die erste Recheneinheit 1 an den Aktuator 4. Die erste Recheneinheit 1 wertet die Sensorsignale aus und berechnet daraus resultierende Aktionen, das heißt Steuersignale für den Aktuator 4, und gibt diese an den Aktuator 4 weiter. Die zweite Recheneinheit 2 erhält in einer Ausführungsform die gleichen Sensordaten wie die erste Recheneinheit 1. In einer weiteren Ausführungsform kann die zweite Recheneinheit 2 aber auch andere oder ähnliche oder nur eine Teilmenge der Sensordaten der ersten Recheneinheit 1 erhalten. Zudem kann die Anbindung der zweiten Recheneinheit 2 an den wenigstens einen Sensor 3 gleichartig die die Anbindung der ersten Recheneinheit 1 sein. Es kann aber auch eine diversitäre Anbindung, beispielsweise über einen Datenbus, verwendet werden oder eine redundante Verbindung über einen physikalisch getrennten Übertragungskanal.
  • Weiterhin erhält die zweite Recheneinheit 2 von der ersten Recheneinheit 1 über die Datenverbindung 5 vorzugsweise weitere Informationen wie zum Beispiel die Steuersignale, die die erste Recheneinheit 1 an den Aktuator 3 sendet, und/oder einen Fehlerstatus der ersten Recheneinheit 1 und beispielsweise weitere Informationen, die anhand der folgenden Beispiele erläutert werden. Ein Ziel der Datenübertragung zwischen der ersten und der zweiten Recheneinheit 1, 2 besteht darin, dass die zweite Recheneinheit 2 schnell und möglichst nahtlos bei einem Ausfall der ersten Recheneinheit 1 die Steuerung des Aktuators 4 übernehmen kann. Tritt eine Fehlfunktion der ersten Recheneinheit 1 auf, so geht das System in einen zweiten Betriebszustand über, in dem nur noch die zweite Recheneinheit 2 Steuersignale an den Aktuator 4 sendet bzw. der Aktuator 4 nur noch Steuersignale von der zweiten Recheneinheit 2 annimmt und ausführt. Dazu kann der Aktuator ein eigenes Aktuatorsteuergeräts oder wenigstens ein Interface aufweisen, das die Steuersignale der ersten und der zweiten Recheneinheit unterscheiden kann.
  • 2 zeigt eine weitere Ausführungsform des Systems, wobei zusätzlich eine HMI 6, das heißt eine Schnittstelle zwischen den Recheneinheiten und einem Fahrer des Fahrzeuges vorgesehen ist. Die HMI 6 stellt eine Mensch-Maschine-Schnittstelle dar. Die HMI 6 steht mit der ersten Recheneinheit 1, mit der zweiten Recheneinheit 2 und beispielsweise mit dem Aktuator 4 in Verbindung und kann mit diesen Daten, Informationen und Signale austauschen. Die HMI kann in Form von geeigneten Sensoren zur Erfassung von Fahrerinputs, eines Displays oder einer Sprachausgabe und einer Spracheingabe oder einem haptischen Signalaustauschmittel realisiert sein.
  • Eine wesentliche Information von dem System an den Fahrer ist eine Übernahmeaufforderung für eine Fahrfunktion. Die Übernahmeaufforderung wird vom System an den Fahrer über die HMI 6 ausgegeben, wenn das System bestehend aus der ersten und der zweiten Recheneinheit 1, 2 eine Fahrfunktion durchführt, insbesondere die Fahrfunktion automatisiert, d.h. ohne Einwirken des Fahrers durchführt, wobei jedoch das System die Fahrfunktion wieder an den Fahrer übergeben möchte. Für die Übergabe der Fahrfunktion vom System an den Fahrer können funktionale oder auch fehlerverursachte Gründe vorliegen. Ein funktionaler Grund kann beispielsweise darin liegen, dass das System nur auf der Autobahn aktiv ist und vor dem Verlassen der Autobahn ein Signal an den Fahrer abgibt, damit der Fahrer die Fahrfunktion wieder übernimmt oder realisiert, dass das System die automatisierte Fahrfunktion nicht mehr ausführen kann. Ein fehlerverursachter Grund kann zum Beispiel darin liegen, dass das System einen internen Fehler der ersten und/oder der zweiten Recheneinheit 1, 2 oder des Sensors 3 oder des Aktuators 4 detektiert und deshalb das System nur noch eine reduzierte oder gar keine Fahrfunktion, insbesondere keine automatisierte Fahrfunktion mehr durchführen kann. Auch in diesem Fall wird der Fahrer aufgefordert, die Fahrfunktion zu übernehmen bzw. darauf hingewiesen, dass das System die Fahrfunktion nicht mehr ausführen kann.
  • Weiterhin wird ist es von Vorteil, den Fahrer über den aktuellen Zustand des Systems zu informieren. Dabei gibt es mehrere potenziell interessante Zustandsinformationen. Eine qualitative Information besteht zum Beispiel darin, ob sich das System in einer Rückfallebene, das heißt im zweiten Betriebszustand befindet, bei dem die Fahrfunktion nicht von der ersten Recheneinheit 1, sondern von der zweiten Recheneinheit 2 ausgeführt wird. Dieser Fall hätte zugleich eine Aufforderung der Fahraufgabe durch den Fahrer via HMI zur Folge. Zudem ist auch die Information über einen Fehlerzustand in einem der Komponenten wie zum Beispiel der Sensorik, der Recheneinheiten 1, 2 oder der Aktuatorik für den Fahrer von Interesse. Auch dieses kann über die HMI 6 dem Fahrer angezeigt werden. Zudem kann über die HMI 6 dem Fahrer angezeigt werden, unter welchen Randbedingungen das System funktioniert bzw. eine automatisierte Fahrfunktion ausführt. Unter den Randbedingungen können zum Beispiel die Sicherverhältnisse, die Straßentauglichkeit oder die Wetterwahrnehmung genannt werden. Auch diese Information kann für den Fahrer von Interesse sein. Zudem kann der Fahrer Informationen über den Aktuator 4 oder den Sensor 3 über die HMI 6 erhalten. Weiterhin kann es für den Fahrer von Interesse sein zu wissen, ob aus der Sicht des Aktuators 4 der Fahrer oder das System in der Verantwortung für die Steuerung des Aktuators 4 ist.
  • Weitere wichtige Informationen für einen Austausch zwischen dem Fahrer und dem System bestehen in der Übernahmeaufforderung bzw. in der Fahrerübernahme. Mit der Übernahmeaufforderung teilt der Fahrer über die HMI 6 dem System mit, dass er dem System die Kontrolle über wenigstens eine festgelegte Fahrfunktion übergeben will. Mit der Fahrerübernahme teilt der Fahrer dem System mit, dass er die Kontrolle über die Fahrfunktion übernehmen will, die derzeit vom System ausgeführt wird. Diese Informationen sollten möglichst einfach übermittelt werden, wobei die Übermittlung zwischen dem Fahrer und dem System robust, das heißt fehlersicher ausgeführt werden soll.
  • In einem ersten Betriebszustand, in dem das System eine Fahrfunktion insbesondere automatisiert ausführt, schickt nur die erste Recheneinheit 1 Steuersignale an ein Interface 7 des Aktuators 4. Die erste Recheneinheit 1 ist in der Weise ausgebildet, dass bei Erkennen einer eigenen Fehlfunktion die erste Recheneinheit 1 keine weiteren Steuersignale an das Interface 7 abgibt. Bei Erkennen einer Fehlfunktion der Recheneinheit 1 geht das System in den zweiten Betriebszustand über, in dem nur noch die zweite Recheneinheit 2 Steuersignale an das Interface 7 abgibt. Abhängig von der gewählten Ausführung ist die Rückgabe der Fahrfunktion an die erste Recheneinheit auf festgelegte Fahrfunktionen und/oder festgelegte Fehlfunktionen der ersten Recheneinheit begrenzt. Die festgelegten Fahrfunktionen und/oder Fehlfunktionen der ersten Recheneinheit sind im ersten und/oder zweiten Datenspeicher abgelegt.
  • Im ersten Betriebszustand findet eine weitere Kommunikation zwischen der zweiten Recheneinheit 2 und dem Aktuator 4 statt. Diese Kommunikation soll mindestens sicherstellen, dass der Kommunikationspfad zwischen der zweiten Recheneinheit 2 und dem Aktuator 4 funktionsfähig ist. Optional können weitere funktionale oder für Testverfahren verwendete Kommunikationen zwischen der zweiten Recheneinheit 2 und dem Aktuator 4 bzw. dem Interface 7 ausgeführt werden. Beispielsweise kann der Aktuator 4 über das Interface 7 auch eine Information über den Fehlerstatus der Recheneinheit 1, das heißt dem Betriebszustand der Recheneinheit 1 an die Recheneinheit 2 übermitteln.
  • In einer Ausführungsform ist das Interface 7 in der Weise ausgebildet, dass das Interface 7 auswählt, welcher Eingang aktiv ist, das heißt welche Recheneinheit 1, 2 Steuersignale an das Interface 7 abgeben darf. In einer Ausführungsform ist es im Systemdesign vorgesehen, dass es als Fehlerfall für die zweite Recheneinheit 2 interpretiert wird, wenn beide Recheneinheiten 1, 2 gleichzeitig Steuerbefehle an das Interface 7 übermitteln. Eine weitere Funktion des Interface 7 besteht darin, dass nicht die erste oder zweite Recheneinheit 1, 2 entscheiden, welche Recheneinheit ein Steuersignal an den Aktuator 4 abgeben darf, sondern dass diese Entscheidung vom Interface 7, das heißt auf der Seite des Aktuators 4 getroffen wird. Auf diese Weise wird verhindert, dass eine Fehlfunktion einer Recheneinheit die Steuerbefehle der anderen, korrekt funktionierenden Recheneinheit negativ beeinflusst.
  • Weiterhin ist es von Vorteil, wenn innerhalb des Systems, das heißt in der HMI 6, im Aktuator 4, in der ersten und zweiten Recheneinheit 1, 2 konsistent die Information vorhanden ist, ob der Fahrer die Verantwortung für die Fahrfunktion oder der erste Betriebszustand vorliegt, in dem die erste Recheneinheit 1 die Verantwortung für die Fahrfunktion oder der zweite Betriebszustand vorliegt, in dem die zweite Recheneinheit 2 die Verantwortung für die Fahrfunktion hat. Erkennt beispielsweise das Interface 7, dass eine Fehlfunktion der ersten und/oder der zweiten Recheneinheit 1, 2 vorliegt, so kann das Interface 7 bzw. der Aktuator 4 ausgebildet sein, um diese Information direkt an das HMI 6 weiterzugeben und damit den Fahrer zu informieren bzw. den Fahrer zur Fahrerübernahme auffordert. Die Fahrerübernahme bedeutet, dass der Fahrer aufgefordert wird, die vom System ausgeführte Fahrfunktion selbst wieder zu übernehmen.
  • Ebenso kann die gleiche Form der Konsistenzsicherung der Information über die aktive Ebene auch beim HMI 6 angewendet werden. Beispielsweise kann vorgesehen sein, die entsprechende Information des Fahrers „ich bin aktiv“ explizit an die weiteren Komponenten wie die Recheneinheiten 1, 2 und den Aktuator 3 weitergeleitet wird.
  • Zudem kann der Aktuator 4 ausgebildet sein, um bei Erkennen einer Fehlfunktion der ersten und/oder der zweiten Recheneinheit 1, 2 einen Systemabschaltpfad 8 anzusteuern. Der Systemabschaltpfad 8 kann in verschiedenen Ausführungsformen vorliegen:
    Als stationäre Größe, die fest im Aktuator 3, beispielsweise in einem Datenspeicher des Aktuators 3 abgelegt ist. Ein Beispiel können Steuerkommandos für den Aktuator für ein Notbremsmanöver bei einer Geradeausfahrt mit einer festen Verzögerung sein.
    Als variable Größe, bei der die Steuersignale für den Aktuator für die aktuell gültige Notabschaltung durch die erste Recheneinheit im ersten Betriebszustand oder durch die zweite Recheneinheit im zweiten Betriebszustand übermittelt werden.
    Als Kombination aus den vorab beschriebenen Verfahren, bei der nur bestimmte Parameter der für die Steuersignale des Aktuators notwendigen Größen vorgegeben werden und die Umsetzung im Aktuator 4 vorgesehen ist: zum Beispiel eine Bremsbeschleunigung und ein Lenkwinkel bzw. ein Lenkwinkelverlauf.
  • In einer weiteren Ausführungsform ist eine fehlertolerante Anbindung des Aktuators 4 vorgesehen. Ein Aktuator 4 kann vorgesehen sein, um eine Bremse eines Fahrzeuges, eine Lenkung eines Fahrzeuges und/oder einen Vortrieb eines Fahrzeuges zu steuern. Sicherheitstechnische Anforderungen an diese Systeme sind auch im Fahrerassistenzkontext voraussichtlich verschieden, es ist jedoch von Vorteil, wenn mindestens ein Teil des Aktuators selbst fehlertolerant gegen elektrische und/oder elektronische Fehler ist: zum Beispiel kann es vorgesehen sein, die Bremse über ein ISP und einen elektronischen Bremskraftverstärker auszuführen.
  • 3 zeigt einen Teilausschnitt einer weiteren Ausführungsform einer möglichen Architektur des Systems. Ein Aktuator 4 weist neben oder zusätzlich zum Interface 7 wenigstens ein Aktuatorsteuergerät 17, 18 oder auch zwei Aktuatorsteuergeräte 17, 18 auf. Das Aktuatorsteuergerät 17, 18 kann auch im Interface 7 integriert sein. Die erste Recheneinheit 1 und die zweite Recheneinheit 2 sind über einen ersten Datenbus 9 mit dem ersten Aktuator 4 und über einen zweiten Datenbus 10 mit einem zweiten Aktuator 11 verbunden. Der zweite Aktuator 11 kann ein Interface 7 und/oder einem Aktuatorsteuergerät aufweisen und ist beispielsweise identisch zum ersten Aktuator 4 ausgebildet. Somit kann jede Recheneinheit 1, 2 Steuersignale an den ersten und den zweiten Aktuator 4, 11 abgeben. Abhängig von der gewählten Ausführungsform können die Aktuatoren 4, 11 redundant vorgesehen sein, sodass im Normalfall nur einer der beiden Aktuatoren 4, 11 verwendet wird. Es ist jedoch auch möglich, dass im Normalfall auch beide Aktuatoren verwendet werden. Diese Vorgehensweisen können sowohl im ersten Betriebszustand als auch im zweiten Betriebszustand verwendet werden. Vorzugsweise ist im System sicherzustellen, dass in allen beteiligten Komponenten die Information darüber, welches der Recheneinheiten 1, 2 aktiv ist, vorhanden ist. Damit wird eine konsistente Information über die Verantwortung die Fahrfunktion bereitgestellt.
  • In einer Ausführungsform können die erste Recheneinheit 1 und die zweite Recheneinheit 2 von verschiedenen elektrischen Stromversorgungssystemen, 19, 20 das heißt von verschiedenen Bordnetzteilen mit Strom versorgt werden. Damit ist eine weitere erhöhte Ausfallsicherheit gegeben. Bei einem mindestens zweikanaligen Bordnetz, das heißt bei zwei getrennten Stromversorgungssystemen 19, 20 ist dies zum Beispiel dadurch realisierbar, dass ein Kanal die erste Recheneinheit 1 versorgt und der andere Kanal die zweite Recheneinheit 2. Zudem kann es vorgesehen sein, dass der erste Aktuator 4 und der zweite Aktuator 11 ebenfalls von getrennten Stromversorgungssystemen mit Strom versorgt werden. Abhängig von der gewählten Ausführungsform können auch andere Teilsysteme wie zum Beispiel die HMI 6 und/oder der Sensor 3 bzw. weitere Sensoren ebenfalls von getrennten elektrischen Stromversorgungssystemen 19, 20 mit Strom versorgt werden. Dadurch wird eine weitere Erhöhung der Fehlertoleranz erreicht. Somit steht im Falle eines Ausfalls eines Bordnetzkanals immer noch ein durchgängig wirkender Kanal zur Verfügung.
  • In einer Ausführungsform ist es vorgesehen, dass die zweite Recheneinheit 2 nicht die Aufgabe hat, die erste Recheneinheit 1 zu überwachen oder Fehler von der ersten Recheneinheit 1 zu detektieren. Es ist allerdings möglich, dass Informationen der ersten Recheneinheit 1 verwendet werden, um die zweite Recheneinheit 2 zu testen. Beispielsweise kann die erste Recheneinheit 1 eine aktuelle Fahrfunktion berechnen und die berechnete Fahrfunktion oder auch andere Steuersignale für den Aktuator 4 an die zweite Recheneinheit 2 senden. Diese Informationen können von der zweiten Recheneinheit 2 benutzt werden, um sich selbst zu testen. Ein Test kann zum Beispiel darin bestehen, dass die zweite Recheneinheit 2 prüft, ob sie ebenfalls die gleiche Fahrfunktion berechnet hätte oder ob sie die von der ersten Recheneinheit 1 berechnete Fahrfunktion für gültig hält. Die Fahrfunktion kann beispielsweise in einer Berechnung einer Bewegungstrajektorie des Fahrzeuges liegen, die einem Straßenverlauf bzw. der Fahrspur des Fahrzeuges folgt. Falls die zweite Recheneinheit 2 bei dieser Überprüfung zu einem negativen Ergebnis kommt, detektiert die zweite Recheneinheit 2 nicht einen Fehler in der ersten Recheneinheit 1, sondern einen Fehler bei sich selbst und meldet diese Fehlfunktion vorzugsweise systemweit, wenigstens an die erste Recheneinheit 1 und/oder an die HMI 6.
  • Erfolgt die Detektion der Fehlfunktion der zweiten Recheneinheit 2 während einer ersten Betriebsphase, so wird dadurch eine Fahrerübernahme für die Fahrfunktion durch den Fahrer erforderlich. Da jedoch immer noch eine funktionierende erste Recheneinheit vorliegt, ist es nicht unbedingt erforderlich, eine schnelle Übernahme der Fahrfunktion durch den Fahrer vorzunehmen. Zudem kann eine Entprellung dieser Fehlermeldung vorgesehen sein, sodass erst nach mehreren Fehlermeldungen durch die zweite Recheneinheit 2 über eine eigene Fehlfunktion eine Aufforderung an den Fahrer ausgegeben wird, die Fahrfunktion zu übernehmen. Erkennt jedoch die zweite Recheneinheit 2 eine Fehlfunktion während eines zweiten Betriebszustandes, so erfolgt sofort die Aufforderung an den Fahrer, die Fahrfunktion zu übernehmen.
  • Weiterhin bietet die parallele Übermittlung der Steuersignale, die die erste Recheneinheit 1 an den Aktuator 4 übermittelt, an die zweite Recheneinheit 2 den Vorteil, dass die zweite Recheneinheit 2 über die aktuellen Steuersignale der aktuellen Fahrfunktion verfügt. Auf diese Weise kann eine möglichst nahtlose Übergabe der Fahrfunktion von der ersten Recheneinheit 1 an die zweite Recheneinheit 2 erreicht werden, falls eine Fehlfunktion der ersten Recheneinheit 1 auftritt. Für die zweite Recheneinheit 2 kann es vorteilhaft sein, die bisherigen Steuersignale, insbesondere eine bisherige Planung einer Fahrtrajektorie des Fahrzeuges, zu kennen, damit eine möglichst kontinuierliche Fortsetzung der Fahrtrajektorie möglich ist. Dies ist beispielsweise von Vorteil, wenn das Fahrzeug gerade eine Kurve mithilfe einer Fahrfunktion durchfährt, wobei die Fahrfunktion von der ersten Recheneinheit 1 ausgeführt wird. Auf diese Weise kann eine ruckminimierte Übergabe der Fahrfunktion von der ersten Recheneinheit 1 auf die zweite Recheneinheit 2 erfolgen. Weiterhin kann es vorteilhaft sein, wenn die erste Recheneinheit 1 weitere Informationen, wie zum Beispiel eine aktuelle Fahrstrategie oder andere interne Zustände der Sensoren und/oder der Aktuatoren und/oder des Fahrzeuges übermittelt.
  • 4 zeigt eine Ausführungsform für einen Teilausschnitt des Systems mit der ersten oder zweiten Recheneinheit 1, 2, wobei nur die Anbindung an Sensoren dargestellt ist. Die Anbindung an weitere Komponenten wie zum Beispiel die HMI 6 oder Aktuatoren 4 ist hier nicht dargestellt. Diese Anbindung entspricht beispielsweise den Ausführungsformen der 1 oder 2. Die erste Recheneinheit 1 steht mit dem ersten Sensor 3 und einem zweiten Sensor 12 in Verbindung. Die zweite Recheneinheit 2 steht mit einem dritten Sensor 13 und mit einem vierten Sensor 14 in Verbindung. Abhängig von der gewählten Ausführungsform kann jeder der Sensoren für sich allein funktional in der Lage sein, ein gewünschtes Messsignal zu erzeugen. Es muss deshalb keine Sensorfusion des ersten und zweiten Sensors bzw. des dritten und vierten Sensors stattfinden. Stattdessen wird in dieser Ausführungsform bei einer Diskrepanz in einer Auswertung der Signale der redundanten Sensoren auf einen Fehler in der Sensorik geschlossen und die erste bzw. die zweite Recheneinheit meldet einen entsprechenden Fehler an weitere Komponenten des Systems wie zum Beispiel die HMI 6 und/oder den Aktuator 4. Bei dieser Ausführungsform sollten die Sensoren hohe Anforderungen an eine Fehlerausfallsicherheit erfüllen. Jeder einzelne Sensor sollte voll funktional hinsichtlich sicherheitsrelevanter Auswertungen wie zum Beispiel einer Objekterkennung sein. Abhängig von der gewählten Ausführungsform kann jeder Sensor aus weiteren Teilsensoren bestehen, sodass innerhalb eines Sensors eine sensorinterne Datenfusion des Sensorsignals erfolgt. Bei dieser Ausführungsform wird ein gemitteltes Sensorsignal an die entsprechende Recheneinheit 1, 2 übermittelt. Weiterhin sollten die redundant vorgesehenen Sensoren 3, 12 bzw. 13, 14 möglichst unabhängig hinsichtlich ihres Fehlerverhaltens sein. Vorzugsweise basieren die redundanten Sensoren auf verschiedenen Sensorprinzipien. Dadurch kann eine erhöhte Fehlerentdeckung in jedem Kanal erreicht werden und eine Unabhängigkeit der Sensorkanäle ermöglicht werden. Bevorzugt werden möglichst diversitäre Sensorprinzipien und Sensorauswertungen wie zum Beispiel Stereo-Video Sensor, Mono-Video Sensor, Lidar-Sensor, Radarsensor, Ultraschallsensor, kapazitiver Sensor und verschiedene Frequenzen und so weiter.
  • 5 zeigt einen Teilausschnitt des Systems, wobei nur die Anbindung der ersten oder zweiten Recheneinheit 1, 2 an Sensoren dargestellt ist. Die Anbindung an weitere Komponenten wie zum Beispiel die HMI 6 oder Aktuatoren 4 ist hier nicht dargestellt. Diese Anbindung entspricht beispielsweise den Ausführungsformen der 1 oder 2. Bei dieser Ausführungsform sind nur drei Sensoren 3, 12, 13 vorgesehen. Die Recheneinheit 1 ist mit dem ersten Sensor 3 und dem zweiten Sensor 12 verbunden. Die zweite Recheneinheit 2 ist mit dem dritten Sensor 13 verbunden. Diese Ausführungsform ist technisch einfacher und kostengünstiger, wobei jedoch die zweite Recheneinheit 2 keine Online-Fehlererkennung des Sensorsignals mehr durchführen kann. Für eine Plausibilisierung oder für einen Test des dritten Sensors 13 kann im Normalbetrieb oder im ersten Betriebszustand auf Daten des ersten und/oder des zweiten Sensors 3, 12 zurückgegriffen werden. Diese werden von der ersten Recheneinheit 1 an die zweite Recheneinheit 2 übermittelt. Vorzugsweise ist, wie im Beispiel von 4 bereits erläutert, der erste Sensor 3 voll funktional und unabhängig vom zweiten Sensor 12. Zudem kann vorgesehen sein, dass auch der dritte Sensor 13 voll funktional und unabhängig von dem ersten und dem zweiten Sensor 3, 12 ausgebildet ist.
  • 6 zeigt eine weitere Ausführungsform für die Anbindung der ersten oder zweiten Recheneinheit 1, 2 an vier Sensoren 3, 12, 13, 14. Die Anbindung an weitere Komponenten wie zum Beispiel die HMI 6 oder Aktuatoren 4 ist hier nicht dargestellt. Diese Anbindung entspricht beispielsweise den Ausführungsformen der 1 oder 2. Bei dieser Ausführungsform ist jede Recheneinheit 1, 2 mit jedem der Sensoren 3, 12, 13, 14 verbunden. Bei dieser Ausführungsform kann eine Fusion der Sensorsignale in der Recheneinheit 1, 2 erfolgen. Zudem ist es in dieser Ausführungsform nicht erforderlich, dass jeder Sensor für sich alleine schon voll funktionsfähig ist. Es reicht aus, wenn wenigstens zwei Sensoren zusammen die gewünschte Messung durchführen können.
  • 7 zeigt eine ähnliche Ausführungsform wie 6, wobei jedoch anstelle von vier Sensoren nur drei Sensoren vorgesehen sind. Die in den 6 und 7 dargestellten Ausführungsformen sind fehlertolerant gegen Sensorfehler.
  • 8 zeigt eine weitere Ausführungsform für die Anbindung der ersten oder zweiten Recheneinheit an vier Sensoren 3, 12, 13, 14. In dieser Ausführungsform ist die erste Recheneinheit 1 mit dem ersten, dem zweiten und dem dritten Sensor 3, 12, 13 verbunden. Die zweite Recheneinheit 2 ist mit dem zweiten, dritten und vierten Sensor 12, 13, 14 verbunden. Bei dieser Ausführungsform ist eine bessere Fehlererkennung bei einem Ausfall einer der Sensoren möglich, da die erste Recheneinheit 1 unabhängig von der zweiten Recheneinheit 2 nur auf den ersten Sensor 3 und die zweite Recheneinheit 2 unabhängig von der ersten Recheneinheit 1 nur auf den vierten Sensor 14 zugreift.
  • Auch 9 zeigt eine Anbindung der ersten oder zweiten Recheneinheit 1, 2, bei der eine erhöhte Fehlerunabhängigkeit vom Ausfall eines Sensors gegeben ist. Bei dieser Ausführungsform ist die erste Recheneinheit 1 mit dem ersten, zweiten und dritten Sensor 3, 12, 13 verbunden. Die zweite Recheneinheit 2 ist nur mit dem zweiten Sensor 12 verbunden.
  • Test der Rückfallebene
  • Während eines Normalbetriebes des Systems laufen vorteilhafterweise permanent Testverfahren auf der zweiten Recheneinheit 2. Diese Testverfahren prüfen beispielsweise die an die zweite Recheneinheit 2 angeschlossenen Sensoren und auch die Erzeugung der Steuersignale durch die zweite Recheneinheit 2. Dazu können entsprechende Steuerschaltungen vorgesehen sein. In vorteilhafter Weise sind die Testverfahren in der Weise ausgebildet, dass sie innerhalb kurzer Zeit unterbrochen werden können, wenn die erste Recheneinheit 1 eine Fehlfunktion meldet. Abhängig von der gewählten Ausführungsform kann die Durchführung der Testverfahren 50 % oder mehr der Rechenleistung der zweiten Recheneinheit beanspruchen. Für die zweite Recheneinheit ist eine hohe Coverage nachzuweisen. Es kann deshalb vorteilhaft sein, sehr umfangreiche Testverfahren durchzuführen, die auch zeitaufwendig sein können. Zudem können, wie bereits oben erläutert, Daten der ersten Recheneinheit 1 für die Durchführung der Testverfahren verwendet werden.
  • Übergabeprotokoll
  • Bei einer Übergabe der Kontrolle über eine Fahrfunktion des Fahrzeuges vom Fahrer auf das System mit der ersten oder zweiten Recheneinheit 1, 2 wird beispielsweise eine Übernahmeaufforderung über die HMI 6 an die erste Recheneinheit 1 und an die zweite Recheneinheit 2 übermittelt. Die Übertragung kann über den gleichen oder zwei verschiedene Kommunikationskanäle erfolgen. Die entsprechenden Kommunikationskanäle können wie in 1 oder 2 ausgebildet sein. Nach Erhalten der Übergabeaufforderung prüfen die erste und die zweite Recheneinheit 1, 2 ihren Status und ihre Funktionsfähigkeit beispielsweise in Abhängigkeit von dem Betriebszustand des Fahrzeuges bzw. dem Betriebsort des Fahrzeuges. Beispielsweise kann es vorgesehen sein, dass die Ausführung einer Fahrfunktion, insbesondere die automatisierte Ausführung einer Fahrfunktion nur in einem festgelegten Betriebszustand des Fahrzeuges oder in einer festgelegten geografischen Region wie zum Beispiel einer Autobahn funktioniert. Somit wird vor der Übernahme durch die erste und die zweite Recheneinheit überprüft, ob die erste und die zweite Recheneinheit die zur Übernahme festgelegte Fahrfunktion derzeit überhaupt ausführen können. Die erste und die zweite Recheneinheit können die Fahrfunktion nicht ausführen, wenn wenigstens eine der zwei Recheneinheiten eine Fehlerfunktion aufweist. Nur wenn beide Recheneinheiten 1, 2 die zur Übergabe festgelegte Fahrfunktion fehlerfrei ausführen können, sollte eine Übernahme durch die zwei Recheneinheiten erfolgen.
  • In einer Ausführungsform tauschen zunächst nach Erhalt der Übernahmeaufforderung durch die HMI 6 die zwei Recheneinheiten 1, 2 den entsprechenden Status über eine Fehlfunktion und ihre Funktionsfähigkeit aus. Anschließend übermittelt die erste Recheneinheit 1 ein Ok für die Übernahme der Fahrfunktion an den Fahrer beispielsweise über das HMI, wenn sich die erste Recheneinheit selbst als fehlerfrei ansieht und in der Lage sieht, die Fahrfunktion auszuführen und zudem von der zweiten Recheneinheit die Information bekommen hat, dass auch die zweite Recheneinheit fehlerfrei ist und die Fahrfunktion ausführen kann. In der gleichen Weise übermittelt die zweite Recheneinheit ein Ok für die Übernahme der Fahrfunktion an den Fahrer beispielsweise über das HMI 6, wenn sich die zweite Recheneinheit selbst als fehlerfrei und in der Lage sieht, die Fahrfunktion auszuführen und wenn die zweite Recheneinheit von der ersten Recheneinheit die Information bekommen hat, dass die erste Recheneinheit fehlerfrei ist und die Fahrfunktion ausführen kann. Nach Erhalt der Ok-Information von der ersten und der zweiten Recheneinheit 1, 2 sendet beispielsweise das HMI 6 eine entsprechende Aktivierungsbestätigung an die erste Recheneinheit 1 und gegebenenfalls an weitere Systemteile wie zum Beispiel die zweite Recheneinheit 2, die Aktuatoren 4 und/oder die Sensoren 3.
  • Rückübergabe
  • In einer Ausführungsform erlaubt die vorgeschlagene Architektur einen Wechsel von der zweiten Betriebsphase, in der die Fahrfunktion von der zweiten Recheneinheit 2 ausgeführt wird, in die erste Betriebsphase. Stellt während der zweiten Betriebsphase die erste Recheneinheit 1 fest, dass sie wieder fehlerfrei funktioniert und die Fahrfunktion ausführen kann, dann kann sie über eine entsprechende Rückübergabeprozedur wieder die Kontrolle über die Fahrfunktion übernehmen. Dies kann beispielsweise vorteilhaft sein, wenn der Fehler in der ersten Recheneinheit 1 nur vorübergehend war oder wenn der Fehler durch Lücken beispielsweise bei den Sensoren 3 verursacht wurde, die bei einer anderen Straßensituation wieder verschwunden sind.
  • Die Rückübergabe kann folgende Schritte aufweisen: In einer Ausführungsform kann eine Klassifizierung der Fehler vorgesehen sein, bei deren Auftreten in der ersten Recheneinheit 1 ein Rückgang zum ersten Betriebszustand möglich ist. Dazu können entsprechende Tabellen mit den Fehlern in einem Datenspeicher, beispielsweise in der zweiten Recheneinheit 2, abgelegt sein. Bei Verwendung der Klassifizierung ist nur bei einem Fehler, der für den Übergang zur ersten Betriebsphase freigegeben ist, eine Rückübergabe möglich. Abhängig von der gewählten Ausführungsform kann auch ein Fehlertyp in der Klassifizierung festgelegt sein, bei dessen Auftreten in der ersten Recheneinheit 1 ein Rückgang von der zweiten Betriebsphase in die erste Betriebsphase möglich ist. Zudem kann ein Informationsaustausch zwischen der ersten und zweiten Recheneinheit 1, 2 vorgesehen sein, um die Fehler, bei denen eine Rückübergabe möglich ist, auszutauschen.
  • Zudem kann eine Rückgabeprüfung der ersten Recheneinheit 1 vorgesehen sein. Bei dieser Prüfung kann beispielsweise ein kompletter Reset der ersten Recheneinheit 1 und die Durchführung aller Initialisierungstests vorgesehen sein. Ebenfalls können spezielle Testverfahren abgespeichert sein, die zur Untersuchung des aufgetretenen Fehlertyps vorgesehen sind. Weiterhin kann eine Signalisierung von der ersten Recheneinheit 1 an die zweite Recheneinheit 2 und an die HMI 6 und vorzugsweise an den Aktuator 3 vorgesehen sein, mit dem angezeigt wird, dass die erste Recheneinheit 1 wieder funktionsfähig ist.
  • Zudem kann vorgesehen sein, dass die zweite Recheneinheit 2 eine Information an die erste Recheneinheit 1 übermittelt, die funktional eine nahtlose Übernahme der Fahrfunktion durch die erste Recheneinheit 1 ermöglicht. Diese Information kann z.B. der Information entsprechen, die in der ersten Betriebsphase von der ersten Recheneinheit 1 an die zweite Recheneinheit 2 erfolgt. Durch das hier vorgeschlagene Rückgabeverfahren ist es möglich, eine Fahrerübernahme im Fehlerfall der ersten Recheneinheit 1 nicht dringlich anzufordern, sondern mit vorgegebenen, vorzugsweise längeren Zeitkonstanten. Wenn die zweite Recheneinheit 2 tatsächlich auch bezüglich der funktionalen Fehlereffekte sehr gut unabhängig von der ersten Recheneinheit 1 ist, kann der Weiterbetrieb durch die zweite Recheneinheit 2 durchaus im Bereich von Minuten liegen. Somit ist ausreichend Zeit für eine mögliche Rückübertragung bzw. einen Übergang von der zweiten Betriebsphase in die erste Betriebsphase. Wenn die erste Recheneinheit 1 erfolgreich einen Übergang von der zweiten Betriebsphase in die erste Betriebsphase erreicht hat, liegt wieder ein redundantes, korrekt funktionierendes System vor, das – im Rahmen der Funktionseinschränkungen – auch unbeschränkt weiter weiterbetrieben werden kann. Unter diesen Annahmen ist es auch nicht zwangsläufig notwendig, den Fahrer innerhalb sehr kurzer Zeit nach Auftreten des Fehlers zu informieren.
  • Abhängig von der gewählten Ausführungsform kann die Funktion in der zweiten Betriebsphase im Vergleich zur Funktion in der ersten Betriebsphase eingeschränkt werden. Beispielsweise können in der zweiten Betriebsphase langsamere Geschwindigkeiten, größere Abstände, keine Überholmanöver oder die Bevorzugung einer vorgegebenen Fahrspur, in Deutschland der rechten Fahrspur bei einer mehrspurigen Fahrbahn zur Sicherheit gewählt werden, damit bei einem zusätzlichen Ausfall der zweiten Recheneinheit 2 das Gefahrenpotenzial reduziert ist und der Fahrer mehr Zeit für eine abrupte Übernahme der Fahrfunktion hat. Sollte im zweiten Betriebszustand die zweite Recheneinheit eine Fehlfunktion aufweisen, so ist eine entsprechende Anzeige an den Fahrer beispielsweise über das HMI erforderlich. Bei dieser Anzeige wird der Fahrer aufgefordert, die automatisierte Fahrfunktion sofort selbst wieder zu übernehmen.

Claims (19)

  1. System mit einer ersten Recheneinheit (1) und mit einer zweiten Recheneinheit (2), wobei die erste Recheneinheit (1) eine Schnittstelle aufweist, um mit wenigstens einem Sensor (3) und mit wenigstens einem Aktuator (4) in Verbindung zu treten, wobei die zweite Recheneinheit (2) eine Schnittstelle aufweist, um mit wenigstens einem Sensor (3) und mit wenigstens einem Aktuator (4) in Verbindung zu treten, wobei die erste und die zweite Recheneinheit (12) über eine Schnittstelle (5) miteinander in Verbindung stehen, wobei die erste Recheneinheit (1) und/oder die zweite Recheneinheit (2) und/oder der Aktuator (4) ausgebildet sind, um festzulegen, ob die erste oder die zweite Recheneinheit (1, 2) den Aktuator (4) wirksam ansteuern kann.
  2. System nach Anspruch 1, wobei der Aktuator (4) ein Interface (7) aufweist, wobei das Interface (7) abhängig von einem ersten oder von einem zweiten Betriebszustand festlegt, ob von der ersten oder von der zweiten Recheneinheit (1, 2) ein Steuerbefehl für eine Fahrfunktion angenommen wird, so dass im ersten Betriebszustand nur die erste Recheneinheit (1) den Aktuator (4) ansteuern kann und im zweiten Betriebszustand nur die zweite Recheneinheit (2) den Aktuator (4) ansteuern kann.
  3. System nach einem der vorhergehenden Ansprüche, wobei bei einer korrekten Funktion der ersten Recheneinheit (1) ein erster Betriebszustand aktiv ist und nur die erste Recheneinheit (1) den Aktuator wirksam ansteuern kann, und wobei bei einer Fehlfunktion der ersten Recheneinheit (1) ein zweiter Betriebszustand aktiv ist, und nur die zweite Recheneinheit (2) den Aktuator (4) wirksam ansteuern kann.
  4. System nach einem der vorhergehenden Ansprüche, wobei insbesondere im ersten Betriebszustand die zweite Recheneinheit (2) ausgebildet ist, um ein Testverfahren durchzuführen.
  5. System nach Anspruch 4, wobei das Testverfahren eine Kommunikation zwischen der zweiten und der ersten Recheneinheit (1, 2) betrifft.
  6. System nach Anspruch 4 oder 5, wobei das Testverfahren eine Kommunikation zwischen der zweiten Recheneinheit (2) und dem Aktuator (4) betrifft.
  7. System nach einem der Ansprüche 4 bis 6, wobei das Testverfahren eine Überprüfung der Funktionsweise der zweiten Recheneinheit (2) betrifft.
  8. System nach einem der vorhergehenden Ansprüche, wobei der Aktuator (4) ausgebildet ist, um bei Vorliegen einer Fehlfunktion der ersten und/oder der zweiten Recheneinheit (1, 2) den Aktuator (4) in eine Sicherheitsfunktion (8) oder in eine Sicherheitsposition zu steuern.
  9. System nach einem der vorhergehenden Ansprüche, wobei zwei Aktuatorsteuergeräte (17, 18) vorgesehen sind, wobei die zwei Aktuatorsteuergeräte (17, 18) mit wenigstens einem Aktuator in Wirkverbindung stehen, wobei jedes Aktuatorsteuergerät (17, 18) mit den zwei Recheneinheiten verbunden ist.
  10. System nach einem der vorhergehenden Ansprüche, wobei die erste und die zweite Recheneinheit (1, 2) von getrennten elektrischen Stromversorgungssystemen (19, 20) mit Strom versorgt werden.
  11. System nach einem der vorhergehenden Ansprüche, wobei die erste Recheneinheit (1) ausgebildet ist, um wenigstens Eingangsdaten für ein Testverfahren zum Überprüfung einer korrekten Funktionsweise an die zweite Recheneinheit (2) zu liefern.
  12. System nach einem der vorhergehenden Ansprüche, wobei die erste Recheneinheit (1) ausgebildet ist, um eine berechnete Fahrfunktion, insbesondere eine automatisierte Fahrfunktion an die zweite Recheneinheit (2) zu übermitteln, wobei die zweite Recheneinheit (2) eine Berechnung für die gleiche Fahrfunktion durchführt und die selbst berechnete Fahrfunktion mit der übermittelten Fahrfunktion vergleicht und anhand des Vergleichs eine Fehlfunktion der zweiten Recheneinheit (2) überprüft.
  13. System nach einem der vorhergehenden Ansprüche, wobei wenigstens ein erster und ein zweiter Sensor (3, 12, 13, 14) vorgesehen sind, die redundant einen gleichen Parameter messen, und wobei wenigstens die erste Recheneinheit (1) mit dem ersten Sensor (3) und die zweite Recheneinheit mit dem zweiten Sensor (12) verbunden ist.
  14. System nach Anspruch 13, wobei mehrere Sensoren (3, 12, 13, 14) vorgesehen sind, wobei jede Recheneinheit (1, 2) mit einer Schnittmenge der Sensoren (3, 12, 13, 14) in Verbindung steht, wobei alle Sensoren (3, 12, 13, 14) mit einer Recheneinheit (1, 2) verbunden ist.
  15. System nach einem der vorhergehenden Ansprüche, wobei eine HMI (6) ausgebildet ist, um eine Übergabeaufforderung zur Ausführung eine automatisierte Fahrfunktion insbesondere über getrennte Schnittstellen an die zwei Recheneinheiten (1, 2) zu übergeben, wobei die zwei Recheneinheiten (1, 2) ausgebildet sind, um getrennt voneinander eine Übernahme der Fahrfunktion der HMI (6) anzuzeigen, und wobei die HMI (6) die automatisierte Fahrfunktion nur dann an die erste Recheneinheit (1) übergibt, wenn beide Recheneinheiten (1, 2) anzeigen, dass sie korrekt funktionieren und die Fahrfunktion ausführen können.
  16. System nach Anspruch 15, wobei die erste Recheneinheit (1) eine Übernahme an die HMI (6) sendet, wenn die erste Recheneinheit (1) sich selbst als funktionsfähig einschätzt und zudem die erste Recheneinheit (1) von der zweiten Recheneinheit (2) die Information bekommen hat, dass auch die zweite Recheneinheit (2) funktionsfähig ist, wobei die zweite Recheneinheit eine Übernahme an die HMI (6) sendet, wenn sich die zweite Recheneinheit (2) als funktionsfähig einschätzt und die zweite Recheneinheit (2) von der ersten Recheneinheit (1) die Information bekommt, dass sich auch die erste Recheneinheit (1) als funktionsfähig einschätzt.
  17. System nach einem der vorhergehenden Ansprüche, wobei in einem zweiten Betriebszustand, in dem die zweite Recheneinheit (2) eine Fahrfunktion ausführt, die Ausführung der Fahrfunktion an die erste Recheneinheit (1) zurück gegeben wird, wenn die erste Recheneinheit (1) anzeigt, dass sie wieder funktionsfähig ist.
  18. System nach Anspruch 17, wobei die Rückgabe der Fahrfunktion an die erste Recheneinheit (1) auf festgelegte Fehlfunktionen und/oder festgelegte Fahrfunktionen begrenzt ist.
  19. Verfahren zum Betreiben eines Systems mit einer ersten Recheneinheit und mit einer zweiten Recheneinheit, wobei die erste Recheneinheit eine Schnittstelle aufweist, um mit wenigstens einem Sensor und mit wenigstens einem Aktuator in Verbindung zu treten, wobei die zweite Recheneinheit eine Schnittstelle aufweist, um mit wenigstens einem Sensor und mit wenigstens einem Aktuator in Verbindung zu treten, wobei die erste und die zweite Recheneinheit über eine Schnittstelle miteinander in Verbindung stehen, wobei die erste Recheneinheit und/oder die zweite Recheneinheit und/oder der Aktuator festzulegen, ob die erste oder die zweite Recheneinheit (1, 2) den Aktuator (4) wirksam ansteuern kann.
DE102014220781.9A 2014-10-14 2014-10-14 Ausfallsichere E/E-Architektur für automatisiertes Fahren Pending DE102014220781A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102014220781.9A DE102014220781A1 (de) 2014-10-14 2014-10-14 Ausfallsichere E/E-Architektur für automatisiertes Fahren
US14/880,510 US9606537B2 (en) 2014-10-14 2015-10-12 Fail-safe EE architecture for automated driving
CN201510669830.8A CN105515739B (zh) 2014-10-14 2015-10-13 具有第一计算单元和第二计算单元的系统和运行系统的方法
JP2015202861A JP6632310B2 (ja) 2014-10-14 2015-10-14 自動化された運転のためのフェールセーフe/eアーキテクチャ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014220781.9A DE102014220781A1 (de) 2014-10-14 2014-10-14 Ausfallsichere E/E-Architektur für automatisiertes Fahren

Publications (1)

Publication Number Publication Date
DE102014220781A1 true DE102014220781A1 (de) 2016-04-14

Family

ID=55644134

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014220781.9A Pending DE102014220781A1 (de) 2014-10-14 2014-10-14 Ausfallsichere E/E-Architektur für automatisiertes Fahren

Country Status (4)

Country Link
US (1) US9606537B2 (de)
JP (1) JP6632310B2 (de)
CN (1) CN105515739B (de)
DE (1) DE102014220781A1 (de)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218395A1 (de) 2016-10-19 2018-04-19 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
DE102017200655A1 (de) 2017-01-17 2018-07-19 Audi Ag Verfahren zum Bereitstellen von aktuatorbasierten Fahrzeugfunktionen in einem Kraftfahrzeug sowie Kraftfahrzeug-Recheneinrichtung und Kraftfahrzeug
EP3473512A1 (de) * 2017-10-19 2019-04-24 Volkswagen Aktiengesellschaft Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
DE102017223723A1 (de) * 2017-12-22 2019-06-27 Continental Teves Ag & Co. Ohg Schaltungsanordnung, Verfahren und Verwendung
DE102018002156A1 (de) * 2018-03-16 2019-09-19 Trw Automotive Gmbh Ein verbessertes Steuerungssystem und ein verbessertes Steuerungsverfahren für das autonome Steuern eines Kraftfahrzeugs
DE102018209662A1 (de) * 2018-06-15 2019-12-19 Robert Bosch Gmbh Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem
WO2020015923A1 (de) * 2018-07-19 2020-01-23 Robert Bosch Gmbh Verfahren zum betreiben eines autonomen fahrzeugs und autonomes fahrzeug
DE112018002176B4 (de) * 2017-05-29 2021-03-04 Mitsubishi Electric Corporation Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
EP3809226A1 (de) * 2019-10-15 2021-04-21 Zenuity AB Verfahren und system zur entwicklung und verifikation von autonomen fahrmerkmalen
DE102019133582A1 (de) * 2019-12-09 2021-06-10 Joyson Safety Systems Germany Gmbh Sensorvorrichtung für eine Lenkvorrichtung eines Kraftfahrzeugs
DE102019219800A1 (de) * 2019-12-17 2021-06-17 Zf Automotive Germany Gmbh Steuerungssystem für ein wenigstens teilweise automatisiertes Kraftfahrzeug und Verfahren zum Steuern eines wenigstens teilautomatisierten Kraftfahrzeugs
DE102020203622A1 (de) 2020-03-20 2021-09-23 Robert Bosch Gesellschaft mit beschränkter Haftung Fahrzeug und Verfahren zur Übergabe einer Lenkfunktion an einen Fahrer eines Fahrzeugs
DE102020117051A1 (de) 2020-06-29 2021-12-30 Thyssenkrupp Ag Sensoranordnung
DE102018206554B4 (de) 2018-04-27 2022-02-10 Robert Bosch Gmbh Autonomes Bremssystem für ein Fahrzeug und Verfahren zum Betreiben eines autonomen Bremssystems eines Fahrzeugs
DE102020128235B3 (de) 2020-09-29 2022-02-10 Nexteer Automotive (Suzhou) Co., Ltd. Verfahren, system und vorrichtung zum steuern eines elektronischen servolenkungssystems

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102329444B1 (ko) * 2014-07-04 2021-11-24 주식회사 만도모빌리티솔루션즈 자동차의 제어 시스템 및 제어방법
DE102015220355A1 (de) * 2015-10-20 2017-04-20 Robert Bosch Gmbh Substitution von Sensormessdaten
US10397019B2 (en) * 2015-11-16 2019-08-27 Polysync Technologies, Inc. Autonomous vehicle platform and safety architecture
DE102016210984A1 (de) * 2016-06-20 2017-12-21 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
US10571913B2 (en) 2016-08-05 2020-02-25 Aptiv Technologies Limited Operation-security system for an automated vehicle
JP6551610B2 (ja) * 2016-09-15 2019-07-31 日産自動車株式会社 車両の制御方法及び車両の制御装置
US10073456B2 (en) * 2016-11-17 2018-09-11 GM Global Technology Operations LLC Automated co-pilot control for autonomous vehicles
US11173922B2 (en) * 2017-06-05 2021-11-16 Hitachi Astemo, Ltd. Vehicle control device and vehicle control system
CN108196547B (zh) * 2018-01-08 2020-06-23 北京图森未来科技有限公司 一种自动驾驶系统
CN108515928A (zh) * 2018-04-28 2018-09-11 安徽江淮汽车集团股份有限公司 用于车身控制器的冗余控制方法及系统
WO2019244269A1 (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 自動運転支援システム及びその動作方法
CN112437735B (zh) * 2018-07-16 2024-06-18 日产自动车株式会社 驾驶辅助车辆的控制方法以及控制系统
CN109367501B (zh) * 2018-09-07 2023-12-26 阿波罗智能技术(北京)有限公司 自动驾驶系统、车辆控制方法及装置
US10838417B2 (en) 2018-11-05 2020-11-17 Waymo Llc Systems for implementing fallback behaviors for autonomous vehicles
US11208111B2 (en) 2018-12-11 2021-12-28 Waymo Llc Redundant hardware system for autonomous vehicles
EP3754449A4 (de) 2018-12-26 2021-09-29 Huawei Technologies Co., Ltd. Fahrzeugsteuerungsverfahren, entsprechende vorrichtung sowie computerspeichermedium
DE102019216342B3 (de) * 2019-10-23 2021-02-11 Thyssenkrupp Ag Auswertevorrichtung zur fehlertoleranten Auswertung von Sensorsignalen für ein Motorsteuergerät einer Kraftfahrzeuglenkung und Kraftfahrzeuglenkung
WO2022096096A1 (en) * 2020-11-05 2022-05-12 Abb Schweiz Ag Method of detecting sensor malfunction, control system, automated guided vehicle and mobile robot
CN112519803A (zh) * 2021-01-07 2021-03-19 蔚来汽车科技(安徽)有限公司 自动驾驶控制系统及自动驾驶控制装置
CN113043969B (zh) * 2021-03-26 2022-12-16 中汽创智科技有限公司 一种车辆功能安全监控方法及系统
AT525924A1 (de) 2022-02-18 2023-09-15 Hofer Powertrain Innovation Gmbh Verteiltes Steuerungs- und Sicherheitssystem für ein Kraftfahrzeug mit wenigstens einem Inverter und ein entsprechendes Verfahren
WO2023201563A1 (zh) * 2022-04-20 2023-10-26 华为技术有限公司 一种控制方法、装置和交通工具
CN117215177A (zh) * 2023-11-09 2023-12-12 北京控制工程研究所 一种天地往返一体化控制系统及控制方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3825280A1 (de) * 1988-07-26 1990-02-01 Bayerische Motoren Werke Ag Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs
US5086499A (en) * 1989-05-23 1992-02-04 Aeg Westinghouse Transportation Systems, Inc. Computer network for real time control with automatic fault identification and by-pass
US5210756A (en) * 1990-09-26 1993-05-11 Honeywell Inc. Fault detection in relay drive circuits
JP3047050B2 (ja) * 1991-10-10 2000-05-29 光洋精工株式会社 電動パワーステアリング装置
IL117792A (en) * 1995-05-08 2003-10-31 Rafael Armament Dev Authority Autonomous command and control unit for mobile platform
JP3660105B2 (ja) * 1997-07-30 2005-06-15 光洋精工株式会社 車両用制御装置
JP3620278B2 (ja) * 1998-03-27 2005-02-16 日産自動車株式会社 車両用定速走行制御システム
DE19834870A1 (de) * 1998-08-01 2000-02-03 Bosch Gmbh Robert Fehlertoleranter elektromechanischer steer-by-wire-Lenksteller
JP4155112B2 (ja) 2003-06-02 2008-09-24 トヨタ自動車株式会社 冗長型制御装置を備えた自動車
US7953536B2 (en) * 2005-07-29 2011-05-31 GM Global Technology Operations LLC Inertial sensor software architecture security method
WO2007084529A2 (en) * 2006-01-17 2007-07-26 Gulfstream Aerospace Corporation System and method for an integrated backup control system
US7877179B2 (en) * 2006-09-12 2011-01-25 GM Global Technology Operations LLC Mechanical and electrical locking coordination security strategy for an active front steer system
US8112191B2 (en) * 2007-04-25 2012-02-07 General Electric Company System and method for monitoring the effectiveness of a brake function in a powered system
FR2943037B1 (fr) * 2009-03-11 2012-09-21 Airbus France Systeme de commande d'aeronef a architecture modulaire integre.
US8930036B2 (en) * 2011-04-13 2015-01-06 GM Global Technology Operations LLC Reconfigurable interface-based electrical architecture
DE102012202175A1 (de) * 2012-02-14 2013-08-14 Robert Bosch Gmbh Verfahren zum automatischen Führen, insbesondere Einparken, eines Kraftfahrzeugs sowie Fahrerassistenzeinrichtung
US8868258B2 (en) * 2012-08-06 2014-10-21 Alliant Techsystems, Inc. Methods and apparatuses for autonomous flight termination
US9090265B2 (en) * 2012-08-28 2015-07-28 GM Global Technology Operations LLC Active safety systems of vehicles with graphical microprocessors
JP2014106854A (ja) * 2012-11-29 2014-06-09 Toyota Infotechnology Center Co Ltd 自動運転車両制御装置および方法
JP5874616B2 (ja) * 2012-11-30 2016-03-02 トヨタ自動車株式会社 移動体及びその制御方法
KR20150017897A (ko) * 2013-08-08 2015-02-23 삼성전자주식회사 복수의 프로세서를 이용하여 센서 출력을 처리하는 사용자 기기 및 방법
EP2924529A1 (de) * 2014-03-26 2015-09-30 Airbus Defence and Space GmbH System für ein Kraftfahrzeug mit redundanten Rechnern

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218395A1 (de) 2016-10-19 2018-04-19 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
DE102017200655A1 (de) 2017-01-17 2018-07-19 Audi Ag Verfahren zum Bereitstellen von aktuatorbasierten Fahrzeugfunktionen in einem Kraftfahrzeug sowie Kraftfahrzeug-Recheneinrichtung und Kraftfahrzeug
US11214207B2 (en) 2017-01-17 2022-01-04 Audi Ag Method for providing actuator-based vehicle functions in a motor vehicle, and motor vehicle computing device and motor vehicle
DE112018002176B4 (de) * 2017-05-29 2021-03-04 Mitsubishi Electric Corporation Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
EP3473512A1 (de) * 2017-10-19 2019-04-24 Volkswagen Aktiengesellschaft Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
US10983519B2 (en) 2017-10-19 2021-04-20 Volkswagen Aktiengesellschaft Functional module, control unit for an operation assistance system, and device
DE102017223723A1 (de) * 2017-12-22 2019-06-27 Continental Teves Ag & Co. Ohg Schaltungsanordnung, Verfahren und Verwendung
DE102018002156A1 (de) * 2018-03-16 2019-09-19 Trw Automotive Gmbh Ein verbessertes Steuerungssystem und ein verbessertes Steuerungsverfahren für das autonome Steuern eines Kraftfahrzeugs
DE102018206554B4 (de) 2018-04-27 2022-02-10 Robert Bosch Gmbh Autonomes Bremssystem für ein Fahrzeug und Verfahren zum Betreiben eines autonomen Bremssystems eines Fahrzeugs
DE102018209662A1 (de) * 2018-06-15 2019-12-19 Robert Bosch Gmbh Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem
WO2020015923A1 (de) * 2018-07-19 2020-01-23 Robert Bosch Gmbh Verfahren zum betreiben eines autonomen fahrzeugs und autonomes fahrzeug
US11427213B2 (en) 2018-07-19 2022-08-30 Robert Bosch Gmbh Method for operating an autonomous vehicle, and autonomous vehicle
EP3809226A1 (de) * 2019-10-15 2021-04-21 Zenuity AB Verfahren und system zur entwicklung und verifikation von autonomen fahrmerkmalen
DE102019133582A1 (de) * 2019-12-09 2021-06-10 Joyson Safety Systems Germany Gmbh Sensorvorrichtung für eine Lenkvorrichtung eines Kraftfahrzeugs
DE102019219800A1 (de) * 2019-12-17 2021-06-17 Zf Automotive Germany Gmbh Steuerungssystem für ein wenigstens teilweise automatisiertes Kraftfahrzeug und Verfahren zum Steuern eines wenigstens teilautomatisierten Kraftfahrzeugs
DE102020203622A1 (de) 2020-03-20 2021-09-23 Robert Bosch Gesellschaft mit beschränkter Haftung Fahrzeug und Verfahren zur Übergabe einer Lenkfunktion an einen Fahrer eines Fahrzeugs
DE102020117051A1 (de) 2020-06-29 2021-12-30 Thyssenkrupp Ag Sensoranordnung
DE102020128235B3 (de) 2020-09-29 2022-02-10 Nexteer Automotive (Suzhou) Co., Ltd. Verfahren, system und vorrichtung zum steuern eines elektronischen servolenkungssystems
US11511802B2 (en) 2020-09-29 2022-11-29 Steering Solutions Ip Holding Corporation Distributed system architecture for an autonomous steering system

Also Published As

Publication number Publication date
CN105515739A (zh) 2016-04-20
JP2016081534A (ja) 2016-05-16
CN105515739B (zh) 2022-04-05
JP6632310B2 (ja) 2020-01-22
US20160103450A1 (en) 2016-04-14
US9606537B2 (en) 2017-03-28

Similar Documents

Publication Publication Date Title
DE102014220781A1 (de) Ausfallsichere E/E-Architektur für automatisiertes Fahren
DE102017209721B4 (de) Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung
EP2974156B1 (de) Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
EP2972607B1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
EP1763454B1 (de) Redundantes datenbussystem
DE112017005762B4 (de) Fahrzeugsteuervorrichtung
DE102018209833B4 (de) Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug
DE102012215343A1 (de) Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
DE102014221682A1 (de) Verfahren und Vorrichtung zum Betreiben eines Fahrzeugs
DE102013020177A1 (de) Kraftfahrzeug
EP3691945A1 (de) Bremssystem für ein kraftfahrzeug und verfahren zum betreiben eines bremssystems
DE10152235B4 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
DE102015217386A1 (de) Verfahren und System zum Betreiben eines Kraftfahrzeugs
WO2014095609A1 (de) Vorrichtung zum ausgeben eines eine physikalische messgrösse anzeigenden messsignals
DE102013113296A1 (de) Redundante Rechenarchitektur
EP3642717A1 (de) Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls
DE112017005108T5 (de) Lenksystem
DE102017218438A1 (de) Verfahren und System zum Betreiben eines Fahrzeugs
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP1615087B1 (de) Steuer- und Regeleinheit
WO2011085861A2 (de) Verfahren und vorrichtung zur unterbindung einer ungewollten beschleunigung eines fahrzeuges
DE102020203419A1 (de) Verfahren und Vorrichtung zum Betreiben eines automatisiert fahrenden Fahrzeugs
EP4007891B1 (de) Verfahren und vorrichtung zur lokalisierung eines fahrzeugs in einer umgebung
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
EP3565752B1 (de) Umschaltung zwischen element-controllern im bahnbetrieb

Legal Events

Date Code Title Description
R012 Request for examination validly filed