DE102017218395A1 - Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen - Google Patents

Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen Download PDF

Info

Publication number
DE102017218395A1
DE102017218395A1 DE102017218395.0A DE102017218395A DE102017218395A1 DE 102017218395 A1 DE102017218395 A1 DE 102017218395A1 DE 102017218395 A DE102017218395 A DE 102017218395A DE 102017218395 A1 DE102017218395 A1 DE 102017218395A1
Authority
DE
Germany
Prior art keywords
main
contractor
vehicle control
client
subcontractor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017218395.0A
Other languages
English (en)
Inventor
Martin Kümmel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Publication of DE102017218395A1 publication Critical patent/DE102017218395A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/035Bringing the control units into a predefined state, e.g. giving priority to particular actuators
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0297Control Giving priority to different actuators or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)

Abstract

Vorgeschlagen wird ein Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen, umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster bzw. Ausfallcluster, umfassend jeweils einen Haupt-Auftraggeber und zumindest einen Neben-Auftraggeber und einen Haupt-Auftragnehmer und zumindest einen Neben-Auftragnehmer, die miteinander und untereinander in Wirkverbindung stehen, wobei für jede von einem der Auftraggeber an einen der Auftragnehmer übermittelte auszuführende Aufgabe eine Priorisierung der Wirkverbindungen zur Ausführung der Aufgabe vorgesehen ist, wobei jede der in jeder der Wirkketten vorgesehenen Komponenten des zumindest einen Auftraggebers und jede der in jeder der Wirkketten vorgesehenen Komponenten des zumindest einen Auftragnehmers ihren eigenen Verfügbarkeits-Zustand erfasst und anderen Komponenten zur Verfügung stellt, und wobei im Falle des Verfügbarkeits-Zustands der Nicht-Verfügbarkeit einer der Komponenten eine Auswahl einer Wirkkette zur Durchführung der auszuführenden Aufgabe basierend auf der Priorisierung der Wirkverbindung erfolgt und diese ausgewählte Wirkkette aktiviert wird.

Description

  • Die Erfindung betrifft ein Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen gemäß dem Oberbegriff des Patentanspruchs 1.
  • Im Kontext von Hochautomatisiertem Fahren (kurz: HAF) ist es unabdingbar, ein entsprechendes Sicherheitssystem zu installieren, das im Falle eines Fehlers oder Ausfalls der Fahrzeugsteuerung gewährleistet, dass die Insassen nicht gefährdet werden. Dies lässt sich über verschiedene Regelungs-Architekturen realisieren, beispielsweise 2-aus-3 Voting oder kalte/heiße Redundanz.
  • In der deutschen Patentanmeldung DE 10 2014 220 781 A1 wird eine Architektur für automatisiertes Fahren beschrieben, die aus einem Aktuator, mindestens einem Sensor und zwei Recheneinheiten besteht. Letztere sollen über eine Kommunikationsverbindung miteinander kommunizieren. Beide Recheneinheiten arbeiten redundant und verfügen über Selbsttests sowie gegenseitige Tests um sicherzustellen, dass sie fehlerfrei funktionieren. Eine Recheneinheit soll dabei die erste Präferenz zum automatisierten Steuern des Fahrzeugs sein und nur bei Ausfall durch die zweite Recheneinheit ersetzt werden. Die Lokalisierung von Fehlern im System erfolgt über den Vergleich von Messwerten mehrerer redundanter Sensoren und initiiert gegebenenfalls einen Wechsel der steuernden Recheneinheit, falls die aktuell steuernde Recheneinheit einen Fehler aufweist. Des Weiteren soll bei Ausfall einer/beider Recheneinheiten stets die Möglichkeit bestehen, dass der Aktuator in eine Sicherheitsposition verfährt.
  • Weiterhin sind aus der DE 101 57 666 A1 , der DE 10 2006 056 668 A1 , der DE 10 2015 115 123 A1 und der EP 1 521 697 B1 Verfahren und Systeme bekannt, die bei Komplettausfall eines Gesamtsystems entweder ein vollwertiges redundantes Ersatz-System oder einen reduzierten Notlauf aktivieren.
  • Es ist eine Aufgabe dieser Erfindung, ein verbessertes Verfahren und System zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen bereitzustellen. Diese Aufgabe wird erfindungsgemäß durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausgestaltungen sind Gegenstand der abhängigen Ansprüche.
  • Wie z.B. aus dem oben genannten Stand der Technik zu erkennen, verfügt ein HAF-fähiges Fahrzeug bereits über mehrere redundante Wirkketten, von denen eine die HAF-Wirkkette ist, die den HAF-Fahrbetrieb ermöglicht. Die anderen Wirkketten dienen lediglich als „Notfall“-Lösung, um das Fahrzeug bei Ausfall der HAF-Wirkkette in eine sichere Position zu manövrieren, z.B. in den Stillstand, oder sie geben dem Fahrer genügend Zeit, die Fahrzeugführung manuell zu übernehmen. Ein dauerhafter normaler HAF-Fahrbetrieb lässt sich mit den Notfall-Wirkketten nicht realisieren, da zum einen jeder weitere Fehler zu einem Totalausfall der Fahrzeugsteuerung führen würde und zum anderen diese Wirkketten ausschließlich aus Komponenten bestehen, die aus Kosten- und Komfortgründen nur für einen Notbetrieb geeignet sind.
  • Die Kommunikation von Systemzuständen im HAF-Modus erfolgt üblicherweise über eine Kommunikationsverbindung zwischen einem Hauptrechner, der das zentrale Element der HAF-Wirkkette ist, und einem Hilfsrechner, der das zentrale Element der Notfall-Wirkkette ist. Auf diese Weise werden derzeit Fehler erkannt und gegebenenfalls zur Notfall-Wirkkette umgeschaltet.
  • Allerdings kann die Notfall-Wirkkette gemäß dem Stand der Technik keinen dauerhaften HAF-Fahrbetrieb realisieren, weswegen die Fahrzeugsteuerung bei einem Fehler in der HAF-Wirkkette vom Fahrer übernommen werden muss. Ferner führt die Kommunikation zwischen den Wirkketten über lediglich eine Kommunikationsverbindung bei einem Ausfall dieser Kommunikationsverbindung dazu, dass sich keinerlei Fehler mehr erkennen und lokalisieren lassen und der HAF-Fahrbetrieb praktisch unmöglich wird. Die Lösung der DE102014220781 A1 ist es, zwei vollständig HAF-fähige Recheneinheiten (Regelungen) bereitzustellen, damit bei Ausfall einer Komponente einer Recheneinheit der HAF-Fahrbetrieb aufrechterhalten werden kann. Diese Lösung ist sehr aufwändig und teuer, und benötigt viel Platz, der in zukünftigen Fahrzeugen immer knapper wird. Deshalb wurde mit der vorliegenden Erfindung der Ansatz verfolgt, eine andere Lösung zu finden, wie nachfolgend beschrieben.
  • Vorgeschlagen wird ein Verfahren zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs, umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster, insbesondere Ausfallcluster, nämlich ein höher priorisiertes Haupt-Cluster und ein niedriger priorisiertes Neben-Cluster. Das Haupt-Cluster umfasst mindestens einen ersten höher priorisierten Auftraggeber, insbesondere Haupt-Auftraggeber, und zumindest einen ersten höher priorisierten Auftragnehmer, insbesondere Haupt-Auftragnehmer. Das Neben-Cluster umfasst mindestens einen zweiten niedriger priorisierten Auftraggeber, insbesondere Neben-Auftraggeber und zumindest einen zweiten niedriger priorisierten Auftragnehmer, insbesondere Neben-Auftragnehmer. Diese Komponenten (Auftraggeber und Auftragnehmer) stehen alle miteinander und untereinander in Wirkverbindung, wobei für jede von einem der Auftraggeber an einen der Auftragnehmer übermittelte auszuführende Aufgabe eine Priorisierung der Wirkverbindungen zur Ausführung der Aufgabe vorgesehen ist, wobei jede der in jeder der Wirkketten vorgesehenen Komponenten des zumindest einen Auftraggebers und jede der in jeder der Wirkketten vorgesehenen Komponenten des zumindest einen Auftragnehmers ihren eigenen Verfügbarkeits-Zustand erfasst und anderen Komponenten zur Verfügung stellt, und wobei im Falle des Verfügbarkeits-Zustands der Nicht-Verfügbarkeit einer der Komponenten eine Auswahl einer Wirkkette zur Durchführung der auszuführenden Aufgabe basierend auf der Priorisierung der Wirkverbindung erfolgt und diese ausgewählte Wirkkette aktiviert wird.
  • Ein Fahrzeugsteuerungscluster für hochautomatisiertes Fahren umfasst in der Regel als Auftraggeber eine Fahrzeugführungssteuereinheit, die basierend auf einer zuvor bestimmten Fahrzeug-Soll-Trajektorie Auftragnehmer, wie insbesondere Längsführungs- und/oder Querführungsaktuatoren, ansteuert. Ein wichtiger Auftragnehmer als Längsführungsaktuator ist beispielsweise ein Bremssystem. Ein wichtiger weiterer Auftragnehmer als Querführungsaktuator ist beispielsweise ein Lenksystem. Von einem Ausfallcluster wird gesprochen, wenn ein Fahrzeugsteuerungscluster beispielsweise durch eine gemeinsame Stromversorgung aufgrund eines Einzelfehlers vollständig ausfallen könnte. Die Erfindung betrifft jedoch insbesondere Teilausfälle in einem Fahrzeugsteuerungscluster bzw. Ausfallcluster. Wenn im Folgenden von Ausfallcluster gesprochen wird, ist damit der Einfachheit halber Fahrzeugsteuerungscluster oder Ausfallcluster gemeint.
  • Vorzugsweise werden bei Nicht-Verfügbarkeit des Haupt-Auftraggebers dessen auszuführende Aufgaben vom Neben-Auftraggeber unter Priorisierung eines Haupt-Auftragnehmers durchgeführt.
  • Bei Verfügbarkeit des Haupt-Auftraggebers, aber bei fehlerhafter Unterbrechung der Kommunikationsverbindung des Haupt-Auftraggebers mit dem Neben-Auftraggeber, informiert über die verbleibenden Kommunikationsverbindungen vorzugsweise ein Haupt-Auftragnehmer den Neben-Auftraggeber über die Verfügbarkeit des Haupt-Auftraggebers und damit über die Funktionsfähigkeit der höher priorisierten Wirkkette.
  • Unter funktional redundant ist zu verstehen, dass die Auslegung derart ist, dass Funktionen übernommen werden können, z.B. Bremsen. Allerdings werden hier nicht unbedingt gleichwertige Bauteile, also z.B. zwei vollwertige ABS-Bremsen, bereitgestellt, sondern z.B. eine ABS-Bremse als Hauptauftragnehmer und eine mechanische oder Motor-Bremse als funktional redundante Bremse, also als Neben-Auftragnehmer. Wirkverbindung heißt, dass die einzelnen Komponenten derart in Verbindung stehen, dass sie miteinander kommunizieren und von anderen Komponenten Aufträge zur Durchführung einer Tätigkeit, also z.B. Bremsen, annehmen und durchführen oder zur Durchführung weiter geben können. Der Pfad vom Auftraggeber zum Auftragnehmer, also z.B. von der Hauptrecheneinheit zum Hauptaktuator wird als Wirkkette bezeichnet. Eine Wirkkette kann auch im Falle eines Fehlers der Hauptrecheneinheit von einer Nebenrecheneinheit je nach Priorisierung und Verfügbarkeit der Komponenten zum Hauptauftragnehmer oder zu einem Nebenauftragnehmer führen, wie später beschrieben.
  • In einer Ausführung umfassen der Haupt-Auftraggeber und der zumindest eine Neben-Auftraggeber zumindest jeweils eine funktional redundante Recheneinheit, und der Haupt-Auftragnehmer und der zumindest eine Neben-Auftragnehmer umfassen jeweils zumindest einen oder mehrere funktional redundante Aktuatoren. Bevorzugt umfasst ein Verfügbarkeits-Zustand zumindest die Zustände verfügbar und nicht-verfügbar, insbesondere umfasst der Verfügbarkeits-Zustand ferner initialisieren, erster aktiver Zustand, zweiter aktiver Zustand, passiv. Dabei kann der Zustand passiv auch mit dem Zustand nicht-verfügbar identisch sein, aber auch andere Zustände umfassen.
  • In einer Ausführung umfasst die Wirkverbindung zumindest eine logische Wirkkette und zumindest eine, bevorzugt mehrere, Datenverbindung zwischen einzelnen Komponenten des ersten und des zweiten Ausfallclusters.
  • In einer Ausführung erfolgt für jede Wirkverbindung die Priorisierung für jede Wirkkette zwischen Auftraggeber und Auftragnehmer abhängig von der Verfügbarkeit jeder einzelnen Komponente.
  • In einer Ausführung wertet jede einzelne Komponente den Verfügbarkeits-Zustand einer oder mehrerer ihr benachbarten Komponenten aus.
  • In einer Ausführung nimmt jede einzelne Komponente einen Verfügbarkeits-Zustand basierend zumindest auf dem Verfügbarkeits-Zustand zumindest einer ihrer benachbarten Komponenten an.
  • Je nach Aufbau der Ausfallcluster ist auch eine Kaskadierung von mehreren Auftraggebern und/oder Auftragnehmern in Reihe möglich, so dass bei mehrgliedrigen Wirkketten ein Auftragnehmer gleichzeitig Auftraggeber des nächsten Glieds der Wirkkette sein kann.
  • Die Zustände der einzelnen Komponenten werden basierend auf deren Aufgaben und der Wirkkette, die aktiviert werden soll, gewählt. Sie dienen dazu, dass im Falle eines Fehlers dieser schnell erkannt wird und eine passende andere Wirkkette basierend auf der Verfügbarkeit benachbarter Komponenten und der Priorisierung der Komponenten, aktiviert wird. Dies bewirkt, dass lediglich eine einzige Wirkkette im Fehlerfall verwendet wird. Hierdurch können sicherheitskritische gegenläufige Befehle bzw. Aufträge durch z.B. konkurrierende Auftraggeber verhindert werden, ohne die Priorisierung in z.B. zentralen Steuereinheiten vorzunehmen, da diese erfindungsgemäß nicht benötigt werden.
  • Ferner wird ein System zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs vorgeschlagen, umfassend zumindest ein erstes Ausfallcluster und ein zweites Ausfallcluster, welche funktional redundant ausgelegt sind, wobei jedes der Ausfallcluster jeweils eine Recheneinheit, die als Haupt-Auftraggeber dient, und zumindest eine Recheneinheit, von denen jede als Neben-Auftraggeber dient, und zumindest einen ersten Aktuator, von denen jeder als Haupt-Auftragnehmer dient, und zumindest einen funktional zu jedem der ersten Aktuatoren redundanten zweiten Aktuator, von denen jeder als Neben-Auftragnehmer dient, aufweist,
    wobei die einzelnen Komponenten der Ausfallcluster miteinander und untereinander derart in Wirkverbindung stehen und gebildet sind, dass sie das oben beschriebene Verfahren ausführen.
  • In einer Ausführung umfassen die Ausfallcluster eine Kaskadierung von mehreren Auftraggebern und/oder Auftragnehmern in Reihe, wobei ein Auftragnehmer gleichzeitig Auftraggeber für eine nächste Komponente der Wirkkette sein kann.
  • Ferner wird ein Fahrzeug vorgeschlagen, umfassend das beschriebene System.
  • Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, anhand der Figuren der Zeichnung, die erfindungsgemäße Einzelheiten zeigt, und aus den Ansprüchen. Die einzelnen Merkmale können je einzeln für sich oder zu mehreren in beliebiger Kombination bei einer Variante der Erfindung verwirklicht sein.
  • Bevorzugte Ausführungsformen der Erfindung werden nachfolgend anhand der beigefügten Zeichnung näher erläutert.
    • Fig. 1 zeigt eine schematische Darstellung, wie mehrere Wirkketten miteinander interagieren können, gemäß einer Ausführung der vorliegenden Erfindung.
    • 2 zeigt eine schematische Darstellung wichtiger Komponenten zur Durchführung des Verfahrens in einem Fahrzeug.
    • 3 zeigt schematisch die erfindungsgemäße Vorgehensweise bei Ausfall des Haupt-Auftraggebers.
    • 4 zeigt schematisch die erfindungsgemäße Vorgehensweise bei Ausfall der Kommunikationsverbindung zwischen dem Haupt-Auftraggeber und dem Neben-Auftraggeber.
    • 5 zeigt schematisch die erfindungsgemäße Vorgehensweise bei Ausfall des Haupt-Auftragnehmers.
    • 6 zeigt schematisch die erfindungsgemäße Vorgehensweise bei Ausfall der Kommunikationsverbindung zwischen dem Haupt-Auftraggeber und dem Haupt-Auftragnehmer.
  • In den nachfolgenden Figurenbeschreibungen sind gleiche Elemente bzw. Funktionen mit gleichen Bezugszeichen versehen.
  • Es wird eine alternative Wirkkettenumschaltung für ein HAF-Fahrzeug vorgeschlagen. Hierbei sollen weiterhin eine HAF-Wirkkette und eine oder mehrere Notfall-Wirkketten genutzt werden. Zum Stand der Technik besteht jedoch der Unterschied, dass idealerweise nur der fehlerhafte Teil der HAF-Wirkkette durch die Notfall-Wirkkette kompensiert werden soll und ansonsten die fehlerfreien Teile der HAF-Wirkkette zur Fahrzeugführung genutzt werden. Dies wird realisiert, indem in jeder beteiligten Komponente, also vor allem Fahrzeugsteuerungsrechner und Aktuatoren, ein individueller Zustandsautomat eingesetzt wird. Die verschiedenen Zustandsautomaten empfangen dabei die Zustandsinformationen von angrenzenden Komponenten aller Wirkketten. Dies erfolgt über typische Kommunikationsverbindungen, z.B. Ethernet, CAN, FlexRay usw. Auf Basis der übermittelten Informationen einer Komponente sollen Zustände entsprechend gewechselt werden, was mit einem teilweisen Wechsel der Wirkkette einhergehen kann. Beim Ausbleiben von Information einer Komponente kann darauf geschlossen werden, dass ein Fehler an der entsprechenden Komponente oder auf der Kommunikationsverbindung vorliegt. Erfindungsgemäß werden neben den eigenen Komponenteninformationen auch stets Informationen über Zustände der angrenzenden Komponenten an den jeweiligen Zustandsautomaten übertragen, wobei nicht alle verfügbaren Zustände, sondern nur die notwendigen Zustände übertragen werden müssen.
  • In 1 ist dargestellt, wie mehrere Wirkketten beispielsweise miteinander interagieren können. Unter Wirkkette ist dabei der Ablauf vom Auftraggeber AG zum Auftragnehmer bzw. -umsetzer AN zu verstehen, also die logische Verbindung, hier mit P0, P1, P2 und P3 bezeichnet, über die realen Kommunikationsverbindungen, hier mit K1, K2, K3, K4 bezeichnet. Dies wird nachfolgend zur Verdeutlichung beschrieben. Mit P0 bis P3 werden die Wirkketten einschließlich Ihrer Priorisierung dargestellt, wobei P0 die höchste Priorität aufweist.
  • Die Darstellung in 1 ist schematisch ausgeführt, um das Prinzip zu verdeutlichen. In diesem Ausführungsbeispiel sind zwei Ausfall-Cluster AC1 und AC2 vorhanden, die jeweils zumindest einen Auftraggeber AG und zumindest einen Auftragnehmer bzw. Auftragumsetzer AN aufweisen.
  • Ein Ausfallcluster ist eine Gruppe von Komponenten, die aufgrund einer gemeinsamen Ursache gleichzeitig ausfallen können, beispielsweise weil diese Komponenten über eine gemeinsame Energieversorgung betrieben werden. Sie können als Hardware oder als Software oder als eine Kombination daraus ausgeführt sein.
  • Auftraggeber AG kann eine Recheneinheit sein, in diesem Beispiel die Hauptrecheneinheit M im ersten Ausfallcluster AC1 und die Notrecheneinheit N im zweiten Ausfallcluster AC2. Recheneinheiten können dabei als ein oder mehrere Steuergeräte ausgebildet sein. Ferner können mehrere Auftragnehmer bzw. Auftragumsetzer AN pro Ausfallcluster AC1 und/oder AC2 vorhanden sein. Auftragnehmer AN können z.B. unterschiedlichste Aktuatoren sein, welche unterschiedlichste Funktionen steuern. Auftragnehmer bzw. Auftragumsetzer AN können z.B. die Hauptbremse X und die Notfallbremse Y sein.
  • Die realen Datenverbindungen sind dabei die Kommunikationsverbindung K2 zwischen M und X und die Kommunikationsverbindung K4 zwischen N und Y als Hauptverbindungen, sowie die Kommunikationsverbindung K1 zwischen M und N und die Kommunikationsverbindung K3 zwischen X und Y als Neben- oder Ausfallverbindungen. Diese Verbindungen sind reale Verbindungen, also z.B- Bussysteme.
  • Damit bei einem Ausfall einer der Komponenten des Auftraggebers AG und/oder des Auftragnehmers bzw. -umsetzers AN nur eine einzige Wirkkette aktiv wird, ist vorgesehen, dass Prioritäten bzw. Hierarchien zwischen den Wirkketten festgelegt werden, in 1 als P0, P1, P2 und P3 bezeichnet, wobei P0 die höchste Priorität hat. Wie in 1 zu sehen, wird also die Wirkkette P0 im ersten Ausfallcluster AC1 zwischen M und X bevorzugt. Sollte nun M ausfallen und N aus dem zweiten Ausfallcluster AC2 aktiv werden, würde N als Auftraggeber AG den Auftragnehmer bzw. -umsetzer AN wählen, der die nächst höhere Priorität P1 aufweist, in diesem Beispiel X. Nur wenn M und X nicht verfügbar wäre, würde N als Ausweichoption Y wählen, da dieses die niedrigste Priorität P3 aufweist.
  • Um eindeutig entscheiden zu können, welche Komponente M, N, X, Y überhaupt verfügbar und bereit ist, Aufgaben zu übernehmen, werden klare, eindeutige Zustände und Zustandsübergänge definiert, die abhängig von den Zuständen der angrenzenden Komponenten und von vorhandenen erkannten Fehlern sind. Zustände können beispielsweise sein: initialisieren, aktiv 1, aktiv 2, bereit, passiv oder auch andere geeignete Zustände.
  • Dabei überwacht jede Komponente ihren eigenen Verfügbarkeits-Zustand selbst und entscheidet für sich selbst, d.h. ohne Vorgabe durch z.B. einen Zentralrechner, welchen Zustand sie annimmt oder annehmen kann und stellt diesen für andere Komponenten zur Verfügung. Diese Entscheidung wird zum einen basierend auf dem eigenen möglichen Verfügbarkeits-Zustand getroffen. Und zum anderen werden die Verfügbarkeits-Zustände der benachbarten Komponenten betrachtet. Wenn also z.B. eine in der Wirkkette nachfolgende Komponente einen Verfügbarkeits-Zustand meldet oder aufweist, der als nicht verfügbar eingestuft wird, als z.B. nicht bereit oder nicht aktiv, kann die in der Wirkkette vorausliegende Komponente diesen Zustand erfassen und deshalb eine andere Wirkkette verwenden, um eine Aufgabe auszuführen, oder alternativ selbst einen Verfügbarkeits-Zustand einnehmen, der als nicht verfügbar bzw. nicht aktiv eingestuft wird. In 1 wäre dies die Verwendung von Y, wenn X einen Verfügbarkeits-Zustand von nicht verfügbar, also z.B. nicht aktiv, nicht bereit oder passiv anzeigen würde.
  • Ferner werden über eine Priorisierung oder Degradation, je nach Ausführung, festgelegt, ob und welche Komponenten des Systems bevorzugt verwendet werden. Dabei ist keine explizite Priorisierungs-Einheit vorgesehen. Die Priorisierung erfolgt implizit in den einzelnen Komponenten, wobei die Priorisierung der Wirkketten zum Designzeitpunkt erfolgt und in Form von Regeln zum Wechsel der Zustände in den Komponenten implementiert wird. Die Degradation erfolgt zur Laufzeit, wenn Komponenten oder Kommunikationsverbindungen nicht verfügbar bzw. fehlerhaft sind.
  • Basierend auf den vorhandenen Zuständen und einer vorhandenen Priorisierung wird dann von jeder Komponente selbst entschieden, ob sie in einen aktiven Verfügbarkeits-Zustand wechselt oder nicht. Dies erfolgt unter anderem über einen Zustandsautomaten. Die Kombination aller Komponenten, die sich in einem aktiven Verfügbarkeitszustand befinden, ergibt so die aktive Wirkkette, die aufgrund der aktuellen Fehlersituation verwendet werden soll bzw. muss. Diese Verkettung von Zustandsinformationen und Priorisierungen ermöglicht es, dass für jede auszuführende Aktion und jedes mögliche Fehlerbild lediglich eine einzige Wirkkette verwendet wird. Durch die Priorisierung kann auch eine in dem ersten Ausfallcluster AC1 vorhandene und bevorzugt zu verwendende Komponente von dem zweiten Ausfallcluster AC2 angesteuert werden. Somit können funktionstüchtige Hauptkomponenten auch dann verwendet werden, wenn ein Teil der eigentlichen Hauptsteuerung ausgefallen ist. Dies ist in 1 über die Wirkkette von N nach X über die Kommunikationsverbindungen K4 und K3 gezeigt, wobei Y die Verbindung zwischen K4 und K3 realisiert, welche eingreift, wenn z.B. M nicht bereit oder nicht aktiv ist. Somit kann die logische Priorisierung P1 realisiert werden.
  • Dabei verwenden die Zustandsautomaten einer Komponente die Zustände der anderen Komponenten als Eingangsinformationen. Das Routing der Zustandsinformationen über die verschiedenen Kommunikationsverbindungen ist für die Auslegung der Fehlerlokalisation und der Reaktionsmaßnahmen von essenzieller Bedeutung. Aufgrund der vielen unterschiedlichen Möglichkeiten des Routings, welcher auch abhängig von der Anzahl und Art der Komponenten und der eingesetzten Kommunikationsverbindungen sind, kann hier kein gesamtheitlicher Überblick über einen geeigneten Ablauf gegeben werden. Der Fachmann kann aber entscheiden, welche Komponenten zu priorisieren sind, wie im Beispiel für die Hauptbremse gezeigt, und welche Zustände verwendet werden, um eine optimale Regelung zu erzielen.
  • Beispielsweise kann für eine Priorisierung von Aktuatoren das bevorzugte Nutzen der Hauptbremse X genannt werden, wenn sie funktionstüchtig, also z.B. in einem aktiven oder bereiten Zustand, ist.
  • Ferner wird die Hauptrecheneinheit zur HAF-Regelung priorisiert, wenn sie funktionstüchtig ist, also z.B. in einem aktiven oder bereiten Zustand, ist, und wenn die Nutzung der Hauptrecheneinheit nicht der in diesem Beispiel wichtigsten Priorisierung, nämlich der Nutzung der Hauptbremse X, entgegenläuft.
  • Durch geeignete Gestaltung der auf den Komponenten eingesetzten Zustandsautomaten und des Routings der Zustandsinformationen zwischen den Komponenten kann vollständig sichergestellt werden, dass bei einem beliebigen Fehler in einer der Komponenten oder auf einer der Kommunikationsverbindungen jeweils genau eine Wirkkette, also die HAF-Wirkkette oder eine der Notfall-Wirkketten, aktiviert wird und die Fahrzeugsteuerung bis zur Fahrerübernahme oder bis zum Erreichen des sicheren Zustands übernimmt. Dabei kann eine funktionstüchtige Komponente in einem anderen Ausfallcluster als dem aktiven Ausfallcluster, ebenfalls angesteuert werden, wenn sie eine höhere Priorität als die funktional dazu redundante Komponente aufweist. Dies ist in 1 gezeigt. Hier ist gezeigt, dass eine logische zweithöchste Priorisierung P1 zwischen N und X besteht, wenn die logische Verbindung P0 zwischen M und X ausgefallen ist, wobei die Kommunikation aufgrund der vorhandenen Kommunikationspfade K1, K4, K3 von N über Y zu X erfolgt. In der Regel kommuniziert bei einem Ausfall von M die dazu funktional redundante Komponente N mit Y und weist Y an, eine bestimmte Aufgabe zu erfüllen, da N annimmt, dass die höchstpriorisierte Wirkkette P0 von M nach X nicht funktioniert. Da Y aber den Verfügbarkeits-Zustand seiner benachbarten Komponente X überwacht und außerdem diese eine Priorisierung P1 gegenüber der Priorisierung P3 von N nach Y Vorrang hat, kann Y im Falle, dass X den Verfügbarkeits-Zustand als verfügbar anzeigt, die Aufgabe an X als bevorzugten Auftragnehmer AN weitergeben.
  • Auch im Falle eines Ausfalls einer Kommunikationsverbindung K1 bis K4 kann das beschriebene Konzept in angepasster Form angewendet werden.
  • Der besonders problematische Ausfall einer Kommunikationsverbindung K1-K4, z.B. für HAF-Systeme ohne redundante Kommunikationsverbindung zwischen Hauptrechner und Hilfsrechner, führt nicht zu zwei gleichzeitig aktiven Notfall-Wirkketten, die durch gegenläufige Steuerung die Fahrzeugsicherheit gefährden würde. Stattdessen kann durch das Hinzuziehen der Zustandsinformationen der in der jeweiligen Wirkkette angrenzenden Komponenten auf genau eine Notfall-Wirkkette umgeschaltet werden. Durch mehrere Aktuatoren mit vergleichbarer Wirkung in den unterschiedlichen Wirkketten ist auch bei einem Fehler in einer Aktuatorkomponente eine funktionsfähige Fahrzeugsteuerung bis zur Fahrerübernahme oder bis zum Erreichen des sicheren Zustands sichergestellt.
  • Vorteile des erfindungsgemäßen Verfahrens sind, dass eine Aufrechterhaltung des HAF-Fahrbetriebs eines HAF-Fahrzeugs mit bestehender Wirkketten-Architektur, d.h. lediglich eine reine HAF-Wirkkette und eine oder mehrere Notfall-(Teil-)Wirkketten, möglich ist. Somit ist keine zweite HAF-fähige Wirkkette notwendig, wodurch sowohl eine Platz- als auch eine Kosteneinsparung erzielt werden.
  • Ferner führt die Nutzung bestehender einfacher Kommunikationsverbindungen zwischen Komponenten und Wirkketten zu Kosteneinsparung und einer besseren Vernetzung der Komponenten und Zustandsautomaten, sowie zu einer zuverlässigen, schnellen Fehlerlokalisation.
  • Ein Einzelfehler führt unabhängig vom Fehlerort (Hauptrechner, Hilfsrechner, Aktuator, Kommunikationsverbindung) immer zur Aktivierung genau einer Wirkkette, die die Fahrzeugsteuerung bis zur Fahrerübernahme oder bis zum Erreichen des sicheren Zustands sicherstellt.
  • Im Gegensatz zu bekannten Systemen in Fahrzeugen müssen keine redundanten Recheneinheiten verwendet werden, welche die volle Funktionalität beim Ausfall der Hauptrecheneinheit übernehmen. Vielmehr können durch geeignetes Routing, wie oben beschrieben, bevorzugt zu verwendende Komponenten, z.B. Aktuatoren wie die Hauptbremse, auch bei einem Ausfall der Hauptrecheneinheit M weiter verwendet werden, so dass ein autonomes Fahren bis zu einem vorgegebenen Ziel oder Zustand sichergestellt werden kann. Somit wird ein verbessertes fail-operational-System aus zwei parallelen fail-silent-Kanälen bereitgestellt, bei denen je nach Verfügbarkeit die Wirkketten miteinander interagieren können und somit die jeweils bestmögliche bzw. bevorzugte Komponente für die Aufgabe verwendet werden kann. Außerdem müssen die Komponenten auch nicht über zweikanalige, redundante Kommunikationsverbindungen miteinander vernetzt werden.
  • In 2 ist ein Fahrzeug 100 dargestellt, welches das beschriebene System zur Durchführung des Verfahrens aufweist und das erste und das zweite Ausfallcluster AC1 und AC2 umfasst. In der Regel sind zwei Ausfallcluster AC1 und AC2 ausreichend, da hier genügen Wirkketten realisiert werden können, um einen autonomen Fahrbetrieb aufrecht zu erhalten, zumindest für eine vorbestimmte Zeitspanne. Jedes der Ausfallcluster AC1 und AC2 umfasst zumindest eine Recheneinheit M, N, welche zumindest funktional redundant zueinander sind, wie oben beschrieben. Diese dienen als Haupt- bzw. Neben-Auftraggeber AG und weisen die Haupt- bzw. Neben-Auftragnehmer AN, welche in der Regel mindestens aus Aktuatoren X, Y bestehen, an, Aufgaben auszuführen, z.B. zu bremsen. Die Erfindung ist nicht auf das Beispiel des Bremsens beschränkt. Dieses ist lediglich sehr anschaulich, um die Priorisierung einer Komponente zu beschreiben, so dass auch bei einer Umschaltung auf eine Neben-Wirkkette die Verwendung eines Hauptaktuators möglich ist, da eine Kommunikationsverbindung zwischen den Komponenten besteht.
  • In den 3 und 4 ist ein Beispiel für ein erfindungsgemäßes System dargestellt, bei dem wieder zwei funktional redundante Fahrzeugsteuerungscluster AC1 und AC2 dargestellt sind, wobei das Haupt-Fahrzeugsteuerungscluster AC1 als Haupt-Auftraggeber AG beispielsweise eine erste Fahrzeugführungssteuereinheit M und als Haupt-Auftragnehmer AN beispielsweise eine vollwertige ABS-Bremsanlage X, die auf alle vier Räder wirkt, umfasst. Das Neben-Fahrzeugsteuerungscluster AC2 umfasst als Neben-Auftraggeber AG beispielsweise eine zweite Fahrzeugführungssteuereinheit N, die als Neben-Auftragnehmer AN beispielsweise eine nur auf zwei Räder wirkende Zusatz-Bremsanlage Y umfasst.
  • In 3 ist gestrichelt ein Ausfall (also eine Nicht-Verfügbarkeit) des Haupt-Auftraggebers M skizziert, wonach dessen auszuführende Aufgaben vom Neben-Auftraggeber N unter Wirkketten-Priorisierung P1 des Haupt-Auftragnehmers X durchgeführt werden.
  • In 4 ist gestrichelt eine fehlerhafte Unterbrechung der Kommunikationsverbindung K1 des Haupt-Auftraggebers M mit dem Neben-Auftraggeber N bei Verfügbarkeit des Haupt-Auftraggebers M skizziert, wonach der Neben-Auftragnehmer N durch den Haupt-Auftragnehmer X mittels der Kommunikationsverbindungen K3 und K4 über die Verfügbarkeit des Haupt-Auftraggebers M informiert wird und somit der Haupt-Auftraggeber M unter Wirkketten-Priorisierung P0 des Haupt-Auftraggebers M und des Haupt-Auftragnehmers X weiterarbeiten kann. Der Neben-Auftragnehmer N bleibt daher weiterhin im nicht-aktiven Standby-Zustand.
  • In 5 ist gestrichelt ein Ausfall (also eine Nicht-Verfügbarkeit) des Haupt-Auftragnehmers X skizziert, wonach dessen auszuführende Aufgaben vom Neben-Auftragnehmer Y unter Wirkketten-Priorisierung P2 des Haupt-Auftraggebers M durchgeführt werden.
  • In 6 ist gestrichelt eine fehlerhafte Unterbrechung der Kommunikationsverbindung K1 des Haupt-Auftraggebers M mit dem Haupt-Auftragnehmer X skizziert, wonach der Neben-Auftraggeber N durch den Haupt-Auftragnehmer X mittels der Kommunikationsverbindungen K3 und K4 über die Nicht-Verfügbarkeit der Wirkverbindung P0 informiert wird und somit der Neben-Auftraggeber N unter Wirkketten-Priorisierung P1 des Haupt-Auftragnehmers X die Wirkverbindung P1 aktiviert. Der Haupt-Auftraggeber M geht dabei in einen inaktiven Zustand, da die Wirkverbindung P1 gegenüber der ebenfalls funktionsfähigen Wirkverbindungen P2 höher priorisiert ist.
  • In diesen Beispielen existieren also priorisierte Wirkverbindungen von jedem Auftraggeber M und N zu jedem Auftragnehmer X und Y, wobei die Priorisierungsreihenfolge der Wirkverbindungen P0 bis P3 festgelegt sind. Über eine entsprechende erfindungsgemäße Gestaltung der in den Komponenten eingesetzten Zustandsautomaten können diese Wirkverbindungen mit der erforderlichen Priorisierung dargestellt werden. Mit P0 bis P3 werden wieder die Wirkketten einschließlich Ihrer Priorisierung dargestellt, wobei P0 die höchste Priorität aufweist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102014220781 A1 [0003, 0008]
    • DE 10157666 A1 [0004]
    • DE 102006056668 A1 [0004]
    • DE 102015115123 A1 [0004]
    • EP 1521697 B1 [0004]

Claims (16)

  1. Verfahren zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster (AC1, AC2), umfassend jeweils einen Haupt-Auftraggeber (AG; M) und zumindest einen Neben-Auftraggeber (AG; N) und einen Haupt-Auftragnehmer (AN; X) und zumindest einen Neben-Auftragnehmer (AN, Y), die miteinander und untereinander über die Kommunikationsverbindungen (K1, K2, K3, K4) in Wirkverbindung (P0, P1, P2, P3) stehen, wobei für jede von einem der Auftraggeber (AG) an einen der Auftragnehmer (AN) übermittelte auszuführende Aufgabe eine Priorisierung der Wirkverbindungen (P0, P1, P2, P3) zur Ausführung der Aufgabe vorgesehen ist, wobei jede der in jeder der Wirkketten (P0, P1, P2, P3) vorgesehenen Komponenten (M; N) des zumindest einen Auftraggebers (AG) und jede der in jeder der Wirkketten vorgesehenen Komponenten (X; Y) des zumindest einen Auftragnehmers (AN) ihren eigenen Verfügbarkeits-Zustand erfasst und anderen Komponenten (M; N; X; Y) zur Verfügung stellt, und wobei im Falle des Verfügbarkeits-Zustands der Nicht-Verfügbarkeit einer der Komponenten (M; N; X; Y) eine Auswahl einer Wirkkette zur Durchführung der auszuführenden Aufgabe basierend auf der Priorisierung (P0, P1, P2, P3) der Wirkverbindung erfolgt und diese ausgewählte Wirkkette aktiviert wird.
  2. Verfahren nach Anspruch 1, wobei der Haupt-Auftraggeber (AG; M) und der zumindest eine Neben-Auftraggeber (AG; N) zumindest jeweils eine funktional redundante Recheneinheit umfassen, und der Haupt-Auftragnehmer (AN; X) und der zumindest eine Neben-Auftragnehmer (AN, Y) jeweils zumindest einen oder mehrere funktional redundante Aktuatoren umfassen.
  3. Verfahren nach Anspruch 1 oder 2, wobei ein Verfügbarkeits-Zustand zumindest die Zustände verfügbar und nicht-verfügbar umfasst, oder der Verfügbarkeits-Zustand zusätzlich initialisieren, erster aktiver Zustand, zweiter aktiver Zustand umfasst.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Wirkverbindung zumindest eine logische Wirkkette (P0, P1, P2, P3) und zumindest eine Datenverbindung (K1, K2, K3, K4) zwischen einzelnen Komponenten (M; N; X; Y) des ersten und des zweiten Fahrzeugsteuerungsclusters (AC1, AC2) umfasst.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei für jede Wirkverbindung die Priorisierung (P0, P1, P2, P3) für jede Wirkkette zwischen Auftraggeber (AG; M; N) und Auftragnehmer (AN; X, Y) abhängig von der Verfügbarkeit jeder einzelnen Komponente (M; N; X; Y) erfolgt.
  6. Verfahren nach Anspruch 5, wobei jede einzelne Komponente (M; N; X; Y) den Verfügbarkeits-Zustand einer oder mehrerer ihr benachbarten Komponenten (M; N; X; Y) auswertet.
  7. Verfahren nach Anspruch 6, wobei jede einzelne Komponente (M; N; X; Y) einen Verfügbarkeits-Zustand basierend auf dem Verfügbarkeits-Zustand zumindest einer ihrer benachbarten Komponenten (M; N; X; Y) annimmt.
  8. Verfahren zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster (AC1, AC2), wobei ein Haupt-Fahrzeugsteuerungscluster (AC1) mindestens einen Haupt-Auftraggeber (AG; M) und mindestens einen Haupt-Auftragnehmer (AN; X) umfasst und wobei ein Neben-Fahrzeugsteuerungscluster (AC2) mindestens einen Neben-Auftraggeber (AG; N) und mindestens einen Neben-Auftragnehmer (AN; Y) umfasst, wobei alle Auftraggeber und -nehmer (M, N, X, Y) miteinander über die Kommunikationsverbindungen (K1, K2, K3, K4) in Wirkverbindung (P0, P1, P2, P3) stehen, wobei bei Nicht-Verfügbarkeit des Haupt-Auftraggebers (M) dessen auszuführenden Aufgaben vom Neben-Auftraggeber (N) unter der Wirkketten-Priorisierung (P1) der (des) Haupt-Auftragnehmer(s) (X) über die Kommunikationsverbindungen (K3 und K4) durchgeführt werden.
  9. Verfahren zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster (AC1, AC2), wobei ein Haupt-Fahrzeugsteuerungscluster (AC1) mindestens einen Haupt-Auftraggeber (AG; M) und mindestens einen Haupt-Auftragnehmer (AN; X) umfasst und wobei ein Neben-Fahrzeugsteuerungscluster (AC2) mindestens einen Neben-Auftraggeber (AG; N) und mindestens einen Neben-Auftragnehmer (AN; Y) umfasst, wobei alle Auftraggeber und -nehmer (M, N, X, Y) miteinander über die Kommunikationsverbindungen (K1, K2, K3, K4) in Wirkverbindung (P0, P1, P2, P3) stehen, wobei bei Verfügbarkeit des Haupt-Auftraggebers (M), aber bei fehlerhafter Unterbrechung der Kommunikationsverbindung (K1) des Haupt-Auftraggebers (M) mit dem Neben-Auftraggeber (N), durch die verbleibenden Kommunikationsverbindungen (K2, K3, K4) der Neben-Auftraggeber (N) durch den/einen Haupt-Auftragnehmer (X) über die Verfügbarkeit des Haupt-Auftraggebers (M) informiert wird, damit die höhere Wirkketten-Priorisierung (P0) beibehalten werden kann.
  10. Verfahren zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster (AC1, AC2), wobei ein Haupt-Fahrzeugsteuerungscluster (AC1) mindestens einen Haupt-Auftraggeber (AG; M) und mindestens einen Haupt-Auftragnehmer (AN; X) umfasst und wobei ein Neben-Fahrzeugsteuerungscluster (AC2) mindestens einen Neben-Auftraggeber (AG; N) und mindestens einen Neben-Auftragnehmer (AN; Y) umfasst, wobei alle Auftraggeber und -nehmer (M, N, X, Y) miteinander über die Kommunikationsverbindungen (K1, K2, K3, K4) in Wirkverbindung (P0, P1, P2, P3) stehen, wobei bei Nicht-Verfügbarkeit des Haupt-Auftragnehmers (X) dessen vom Haupt-Auftraggeber (M) vorgegebenen und auszuführenden Aufgaben vom Neben-Auftragnehmer (Y) unter der Wirkketten-Priorisierung (P2) über die Kommunikationsverbindungen (K1 und K4) durchgeführt werden.
  11. Verfahren zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster (AC1, AC2), wobei ein Haupt-Fahrzeugsteuerungscluster (AC1) mindestens einen Haupt-Auftraggeber (AG; M) und mindestens einen Haupt-Auftragnehmer (AN; X) umfasst und wobei ein Neben-Fahrzeugsteuerungscluster (AC2) mindestens einen Neben-Auftraggeber (AG; N) und mindestens einen Neben-Auftragnehmer (AN; Y) umfasst, wobei alle Auftraggeber und -nehmer (M, N, X, Y) miteinander über die Kommunikationsverbindungen (K1, K2, K3, K4) in Wirkverbindung (P0, P1, P2, P3) stehen, wobei bei Nicht-Verfügbarkeit der Kommunikationsverbindung (K1) des Haupt-Auftraggebers (M) mit dem Haupt-Auftragnehmer (X) der Neben-Auftraggeber (N) durch den Haupt-Auftragnehmer (X) mittels der Kommunikationsverbindungen (K3 und K4) über die Nicht-Verfügbarkeit der betroffenen Wirkverbindung (P0) informiert wird und somit der Neben-Auftraggeber (N) die Wirkketten-Priorisierung (P1) zwischen dem Neben-Auftraggeber (N) und dem Haupt-Auftragnehmer (X) aktiviert.
  12. System zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest ein erstes Fahrzeugsteuerungscluster (AC1) und ein zweites Fahrzeugsteuerungscluster (AC2), welche funktional redundant ausgelegt sind, wobei jedes der Fahrzeugsteuerungscluster (AC1, AC2) jeweils eine Recheneinheit, die als Haupt-Auftraggeber (AG; M) dient, und zumindest eine Recheneinheit, von denen jede als Neben-Auftraggeber (AG; N) dient, und zumindest einen ersten Aktuator, von denen jeder als Haupt-Auftragnehmer (AN; X) dient, und zumindest einen funktional zu jedem der ersten Aktuatoren redundanten zweiten Aktuator, von denen jeder als Neben-Auftragnehmer (AN, Y) dient, aufweist, wobei die einzelnen Komponenten (AG, AN) der Fahrzeugsteuerungscluster (AC1, AC2) miteinander und untereinander derart in Kommunikations- und Wirkverbindung (K1, K2, K3, K4; P0, P1, P2, P3) stehen und gebildet sind, dass sie das Verfahren nach einem der vorhergehenden Ansprüche ausführen.
  13. System zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster (AC1, AC2), wobei ein Haupt-Fahrzeugsteuerungscluster (AC1) mindestens einen Haupt-Auftraggeber (AG; M) und mindestens einen Haupt-Auftragnehmer (AN; X) umfasst und wobei ein Neben-Fahrzeugsteuerungscluster (AC2) mindestens einen Neben-Auftraggeber (AG; N) und mindestens einen Neben-Auftragnehmer (AN; Y) umfasst, wobei alle Auftraggeber und -nehmer (M, N, X, Y) miteinander über die Kommunikationsverbindungen (K1, K2, K3, K4) in Wirkverbindung (P0, P1, P2, P3) stehen, wobei bei Nicht-Verfügbarkeit des Haupt-Auftraggebers (M) dessen auszuführende Aufgaben vom Neben-Auftraggeber (N) unter Priorisierung (P1) der (des) Haupt-Auftragnehmer(s) (X) durchführbar sind.
  14. System zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs (100), umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster (AC1, AC2), wobei ein Haupt-Fahrzeugsteuerungscluster (AC1) mindestens einen Haupt-Auftraggeber (AG; M) und mindestens einen Haupt-Auftragnehmer (AN; X) umfasst und wobei ein Neben-Fahrzeugsteuerungscluster (AC2) mindestens einen Neben-Auftraggeber (AG; N) und mindestens einen Neben-Auftragnehmer (AN; Y) umfasst, wobei alle Auftraggeber und -nehmer (M, N, X, Y) miteinander über die Kommunikationsverbindungen (K1, K2, K3, K4) in Wirkverbindung (P0, P1, P2, P3) stehen, wobei bei Verfügbarkeit des Haupt-Auftraggebers (M), aber bei fehlerhafter Unterbrechung der Wirkverbindung (K1) des Haupt-Auftraggebers (M) mit dem Neben-Auftraggeber (N), durch die verbleibenden Kommunikationsverbindungen (K2, K3, K4) der Neben-Auftraggeber (N) durch den/einen Haupt-Auftragnehmer (X) über die Verfügbarkeit des Haupt-Auftraggebers (M) informierbar ist.
  15. System nach einem der vorangegangenen Ansprüche, wobei die Fahrzeugsteuerungscluster (AC1, AC2) eine Kaskadierung von mehreren Auftraggebern (AG) und/oder Auftragnehmern (AN) in Reihe umfassen, wobei ein Auftragnehmer (AN) gleichzeitig Auftraggeber (AG) für eine nächste Komponente (AG, AN) der Wirkkette sein kann.
  16. Fahrzeug, umfassend ein System zur Durchführung eines Verfahrens nach einem der vorangegangenen Ansprüche.
DE102017218395.0A 2016-10-19 2017-10-13 Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen Pending DE102017218395A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016220508.0 2016-10-19
DE102016220508 2016-10-19

Publications (1)

Publication Number Publication Date
DE102017218395A1 true DE102017218395A1 (de) 2018-04-19

Family

ID=61764726

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017218395.0A Pending DE102017218395A1 (de) 2016-10-19 2017-10-13 Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen

Country Status (1)

Country Link
DE (1) DE102017218395A1 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019108412A1 (de) * 2019-04-01 2020-10-01 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Verfahren und Vorrichtung zur Ansteuerung von zumindest einem Aktuator eines Aktuatorsystems
CN112298208A (zh) * 2020-10-21 2021-02-02 长城汽车股份有限公司 自动驾驶横向辅助控制方法及横向辅助系统
DE102019217002A1 (de) * 2019-11-05 2021-05-06 Zf Friedrichshafen Ag Fahrzeugsteuerungsvorrichtung, Fahrzeugsteuerungsverfahren sowie Fahrzeug
DE102020121244A1 (de) 2020-08-12 2022-02-17 Bayerische Motoren Werke Aktiengesellschaft Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren
DE102021207578A1 (de) 2021-07-16 2023-01-19 Volkswagen Aktiengesellschaft Vorrichtung und Verfahren zur Erzeugung und Übertragung von Steuerbefehlen für ein automatisiert fahrendes Kraftfahrzeug
DE102021212193A1 (de) 2021-10-28 2023-05-04 Zf Friedrichshafen Ag Fahrzeugsteuerungssystem und Verfahren, insbesondere für eine E/E-Architektur
DE102022121140B3 (de) 2022-08-22 2024-01-25 Cariad Se Verfahren zum Betreiben eines zumindest teilweise assistiert betriebenen Kraftfahrzeugs, Computerprogrammprodukt sowie Assistenzsystem
DE102023200911B3 (de) 2023-02-03 2024-05-08 Continental Autonomous Mobility Germany GmbH Verfahren sowie Assistenzsystem zum Steuern eines Fahrzeuges

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10157666A1 (de) 2001-11-24 2003-06-05 Zf Lenksysteme Gmbh Lenksystem für ein Fahrzeug
DE102006056668A1 (de) 2006-11-30 2008-06-05 Continental Teves Ag & Co. Ohg Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems
EP1521697B1 (de) 2002-07-05 2012-12-19 Continental Teves AG & Co. oHG Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102014220781A1 (de) 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren
DE102015115123A1 (de) 2015-09-09 2017-03-09 Robert Bosch Automotive Steering Gmbh Vorrichtung zum Betreiben eines Servolenksystems, Servolenksystem

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10157666A1 (de) 2001-11-24 2003-06-05 Zf Lenksysteme Gmbh Lenksystem für ein Fahrzeug
EP1521697B1 (de) 2002-07-05 2012-12-19 Continental Teves AG & Co. oHG Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102006056668A1 (de) 2006-11-30 2008-06-05 Continental Teves Ag & Co. Ohg Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems
DE102014220781A1 (de) 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren
DE102015115123A1 (de) 2015-09-09 2017-03-09 Robert Bosch Automotive Steering Gmbh Vorrichtung zum Betreiben eines Servolenksystems, Servolenksystem

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019108412A1 (de) * 2019-04-01 2020-10-01 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Verfahren und Vorrichtung zur Ansteuerung von zumindest einem Aktuator eines Aktuatorsystems
US11787427B2 (en) 2019-04-01 2023-10-17 Knorr-Bremse Systeme Fuer Nutzfahrzeuge Gmbh Method and device for controlling at least one actuator of an actuator system
DE102019217002A1 (de) * 2019-11-05 2021-05-06 Zf Friedrichshafen Ag Fahrzeugsteuerungsvorrichtung, Fahrzeugsteuerungsverfahren sowie Fahrzeug
DE102020121244A1 (de) 2020-08-12 2022-02-17 Bayerische Motoren Werke Aktiengesellschaft Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren
CN112298208A (zh) * 2020-10-21 2021-02-02 长城汽车股份有限公司 自动驾驶横向辅助控制方法及横向辅助系统
DE102021207578A1 (de) 2021-07-16 2023-01-19 Volkswagen Aktiengesellschaft Vorrichtung und Verfahren zur Erzeugung und Übertragung von Steuerbefehlen für ein automatisiert fahrendes Kraftfahrzeug
DE102021212193A1 (de) 2021-10-28 2023-05-04 Zf Friedrichshafen Ag Fahrzeugsteuerungssystem und Verfahren, insbesondere für eine E/E-Architektur
DE102022121140B3 (de) 2022-08-22 2024-01-25 Cariad Se Verfahren zum Betreiben eines zumindest teilweise assistiert betriebenen Kraftfahrzeugs, Computerprogrammprodukt sowie Assistenzsystem
DE102023200911B3 (de) 2023-02-03 2024-05-08 Continental Autonomous Mobility Germany GmbH Verfahren sowie Assistenzsystem zum Steuern eines Fahrzeuges

Similar Documents

Publication Publication Date Title
DE102017218395A1 (de) Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
EP1540428B1 (de) Redundante steuergeräteanordnung
EP2676200B1 (de) Halbleiterschaltkreis und verfahren in einem sicherheitskonzept zum einsatz in einem kraftfahrzeug
EP3211533B1 (de) Fehlertolerante systemarchitektur zur steuerung einer physikalischen anlage, insbesondere einer maschine oder eines kraftfahrzeugs
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102013020177A1 (de) Kraftfahrzeug
EP2078253A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE102017106086A1 (de) Hybrid-dual-duplex fail-betriebsmuster und verallgemeinerung einer beliebigen anzahl an ausfällen
EP1615087B1 (de) Steuer- und Regeleinheit
EP3250427B1 (de) Fahrzeugsteuervorrichtung und verfahren
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102018220605A1 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP2449438B1 (de) Verfahren und system zur ansteuerung von mindestens einem aktuator
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102020121244A1 (de) Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren
DE102011115318B4 (de) Flugsteuerungssystem
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
WO2005096108A2 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102020200414A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
EP3565752B1 (de) Umschaltung zwischen element-controllern im bahnbetrieb
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
WO2014019722A1 (de) Vorrichtung und verfahren zur realisierung eines steuersystems mit hoher verfügbarkeit und/oder integrität
DE102019134872B4 (de) Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed