DE102019201487A1

DE102019201487A1 - Method and device for checking the integrity of an artificial intelligence module of a robot and method and system for checking the integrity of the server

Info

Publication number: DE102019201487A1
Application number: DE102019201487.9A
Authority: DE
Inventors: Marlon Ramon Ewert
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2019-02-06
Filing date: 2019-02-06
Publication date: 2020-08-06

Abstract

Die Erfindung betrifft eine verbesserte Möglichkeit zur Integritätsprüfung eines Künstlichen-Intelligenz-Moduls eines zumindest teilautonomen Roboters. Ein entsprechendes Verfahren umfasst den Schritt eines Betreibens des KI-Moduls (123, 123', 123") in einer roboterseitigen Simulationsumgebung (125), in der eine durch das KI-Modul (123, 123', 123") bewirkbare, zumindest teilweise automatisierte Steuerung des Roboters verhindert wird. Ferner umfasst das Verfahren den Schritt eines Zuführens, innerhalb der Simulationsumgebung (125), von Stimulationsdaten (126) an das KI-Modul (123, 123', 123"), einen Schritt eines Erhaltens, innerhalb der Simulationsumgebung (125), von Ausgangsdaten (127) des KI-Moduls (123, 123', 123") als Antwort auf die zugeführten Stimulationsdaten (126) und einen Schritt eines Vergleichens der von dem KI-Modul (123, 123', 123") erhaltenen Ausgangsdaten (127) mit Referenzausgangsdaten (128), die den zugeführten Stimulationsdaten (126) zuordbar oder zugeordnet sind. In Abhängigkeit des Vergleichs wird die Integrität des KI-Moduls (123, 123', 123") bestimmt.The invention relates to an improved possibility for checking the integrity of an artificial intelligence module of an at least partially autonomous robot. A corresponding method comprises the step of operating the KI module (123, 123 ', 123 ") in a robot-based simulation environment (125) in which an at least partially automated control of the robot is prevented. The method further comprises the step of supplying, within the simulation environment (125), stimulation data (126) to the AI module (123, 123 ', 123 ″), a step of receiving, within the simulation environment (125), output data (127) of the KI module (123, 123 ', 123 ") in response to the supplied stimulation data (126) and a step of comparing the output data (127) received from the KI module (123, 123', 123") with reference output data (128) which can be or are assigned to the supplied stimulation data (126). The integrity of the KI module (123, 123 ', 123 ") is determined as a function of the comparison.

Description

Die vorliegende Erfindung betrifft ein Verfahren sowie eine Vorrichtung zur Integritätsprüfung eines Künstlichen-Intelligenz-Moduls, KI-Moduls, eines Roboters. Ferner betrifft die Erfindung ein Computerprogramm zur Integritätsprüfung eines KI-Moduls sowie ein maschinenlesbares Speichermedium. Zudem betrifft die Erfindung ein serverbasiertes Verfahren sowie ein serverbasiertes System zur Integritätsprüfung eines Künstlichen-Intelligenz-Moduls, KI-Moduls, eines Roboters durch einen Server.The present invention relates to a method and a device for checking the integrity of an artificial intelligence module, AI module, and a robot. The invention further relates to a computer program for checking the integrity of an AI module and a machine-readable storage medium. In addition, the invention relates to a server-based method and a server-based system for checking the integrity of an artificial intelligence module, AI module, of a robot by a server.

Stand der TechnikState of the art

Im Bereich der Automatisierungstechnik, der Robotik usw., beispielsweise im Bereich von wenigstens teilautonomen Robotern, insbesondere zumindest teilweise automatisiert fahrenden Fahrzeugen, wird häufig künstliche Intelligenz (KI) eingesetzt. Diese KI kann beispielsweise durch ein Künstliches-Intelligenz-Modul, KI-Modul, repräsentiert sein. Der Funktionsumfang der KI bzw. des KI-Moduls kann dabei beispielsweise von dem Automatisierungsgrad des Roboters abhängen, der z.B. in der Fahrzeugtechnik von assistiertem Fahren, über eine Teilautomatisierung und Hochautomatisierung bis hin zur Vollautomatisierung reichen kann.Artificial intelligence (AI) is often used in the field of automation technology, robotics, etc., for example in the field of at least partially autonomous robots, in particular at least partially automated vehicles. This AI can be represented, for example, by an artificial intelligence module, AI module. The range of functions of the AI or the AI module can depend, for example, on the degree of automation of the robot, which e.g. in vehicle technology can range from assisted driving, partial automation and high automation to full automation.

Ein solches KI-Modul kann in einem Roboter beispielsweise zur Objekterkennung im Roboterumfeld, zur Bewegungsplanung, insbesondere Fahrstrategieplanung, zur Trajektorienplanung, zur Ansteuerung von Roboteraktuatoren zur Steuerung einer Quer- und/oder Längsbewegung des Roboters usw. eingesetzt werden.Such an AI module can be used in a robot, for example for object detection in the robot environment, for movement planning, in particular driving strategy planning, for trajectory planning, for controlling robot actuators for controlling a transverse and / or longitudinal movement of the robot, etc.

Dabei kann das KI-Modul wenigstens ein künstliches neuronales Netz, KNN, umfassen, das im Allgemeinen für seinen Einsatz im Roboter trainiert wird. Während einer entsprechenden Trainings- bzw. Lernphase, die dem Betrieb der KI im Fahrbetrieb vorausgeht, können dem KI-Modul beispielsweise Eingangsdaten bzw. Eingangssignale und Gewichte, die einen Informationsfluss innerhalb des KNN beeinflussen, zugeführt werden. Durch Lernregeln oder ähnliches können insbesondere die Gewichte nach und nach angepasst werden, bis das KI-Modul einen gewünschten Informationsfluss, und in Reaktion darauf eine gewünschte zumindest teilweise automatisierte Steuerung des Roboters, ermöglicht und für einen Produktivbetrieb, z.B. in der Fahrzeugtechnik einem Fahrbetrieb, freigegeben werden kann.The AI module can include at least one artificial neural network, KNN, which is generally trained for its use in the robot. During a corresponding training or learning phase that precedes the operation of the AI while driving, input data or input signals and weights that influence an information flow within the KNN can be fed to the AI module, for example. By means of learning rules or the like, the weights in particular can be gradually adjusted until the AI module enables a desired flow of information and, in response, a desired, at least partially automated control of the robot, and for productive operation, e.g. in vehicle technology a driving operation can be released.

Das entsprechende, insbesondere für den Produktivbetrieb freigegebene KI-Modul kann beispielsweise während der Roboterproduktion oder bei einem Softwareupdate in einem Datenspeicher des Roboters abgelegt werden. Bei elektronischen Systemen können generell Datenfehler auftreten. Beispielsweise kann es während des Softwareupdates zu insbesondere digitalen Übertragungsfehlern kommen. Gleichermaßen können in dem Datenspeicher beispielsweise Bitfehler, die auch als Bitkipper bezeichnet werden können, auftreten.The corresponding AI module, in particular released for productive operation, can be stored in a data memory of the robot, for example, during robot production or during a software update. Data errors can generally occur in electronic systems. For example, digital transmission errors in particular can occur during the software update. Similarly, bit errors, which can also be referred to as bit tippers, can occur in the data memory, for example.

Wird das KI-Modul jedoch mit einem Datenfehler, wie etwa einem Bitfehler bzw. Bitkipper, ausgeführt, können bei dem durch das KI-Modul zumindest teilweise gesteuerten Fahrbetriebs unerwünschte Fehler auftreten. Beispielsweise kann es zu gefährlichen Fahrsituationen kommen, die im Straßenverkehr jedoch möglichst vermieden werden sollen.However, if the AI module is executed with a data error, such as a bit error or bit tipper, undesired errors can occur in the driving operation that is at least partially controlled by the AI module. For example, dangerous driving situations can occur, which should be avoided as much as possible in road traffic.

Offenbarung der ErfindungDisclosure of the invention

Ausführungsformen der Erfindung stellen ein verbessertes Verfahren und eine verbesserte Vorrichtung zur Integritätsprüfung eines Künstlichen-Intelligenz-Moduls, KI-Moduls, eines , insbesondere teilautonomen, Roboters sowie ein serverbasiertes Verfahren und System zur Verfügung. Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen, der Beschreibung sowie den begleitenden Figuren.Embodiments of the invention provide an improved method and an improved device for checking the integrity of an artificial intelligence module, an AI module, a robot, in particular a partially autonomous robot, and a server-based method and system. Advantageous developments of the invention result from the dependent claims, the description and the accompanying figures.

Ein erster Aspekt der Erfindung stellt ein Verfahren zur Integritätsprüfung eines Künstlichen-Intelligenz-Moduls, KI-Moduls, eines, insbesondere wenigstens teilautonomen, Roboters zur Verfügung.A first aspect of the invention provides a method for checking the integrity of an artificial intelligence module, an AI module, of a robot, in particular a robot that is at least partially autonomous.

Bei dem KI-Modul kann es sich insbesondere um ein maschinelles Lernsystem handeln, welches speziell zur Roboteranalyse und/oder Robotersteuerung trainiert wurde. Das KI-Modul kann beispielsweise ein Software-Modul oder ein Software-System sein, das auch auf mehrere Entitäten verteilt sein kann. Das KI-Modul kann aber auch teilweise oder vollständig in Hardware implementiert sein. Es kann beispielsweise auch ein oder mehrere künstliche neuronale Netze, KNN, aufweisen. Unter der Integrität des KI-Moduls kann insbesondere eine Korrektheit bzw. Unversehrtheit von Daten und/oder eine korrekte Funktionsweise des Systems verstanden werden.The AI module can in particular be a machine learning system that has been specially trained for robot analysis and / or robot control. The AI module can be, for example, a software module or a software system, which can also be distributed over several entities. The AI module can also be partially or completely implemented in hardware. For example, it can also have one or more artificial neural networks, KNN. The integrity of the AI module can be understood to mean, in particular, the correctness or integrity of data and / or the correct functioning of the system.

Das vorgeschlagene Verfahren, das insbesondere computerimplementiert sein kann, weist die folgenden Schritte auf:

- Das KI-Modul des Roboters wird in einer roboterseitigen Simulationsumgebung betrieben, in welcher Simulationsumgebung eine durch das KI-Modul bewirkbare, zumindest teilweise automatisierte Steuerung des Roboters verhindert wird. In anderen Worten wird das KI-Modul wenigstens für die Dauer der Integritätsprüfung innerhalb des Roboters so abgekapselt in einer sicheren Laufzeitumgebung betrieben, dass trotz des Betriebs des KI-Moduls eine Ansteuerung von Roboteraktuatoren, wie etwa einem Roboterantrieb, einer Roboterbewegungsteuerung, wie etwa einer Fahrzeuglenkung usw., oder dergleichen verhindert wird. Der Roboter lässt sich aus dieser Simulationsumgebung heraus also weder direkt noch indirekt durch das KI-Modul steuern. Die Simulationsumgebung kann beispielsweise durch eine Unterbrechung des Informationsflusses von dem KI-Modul hin zu den Roboteraktuatoren oder allgemein ansteuerbaren Roboter(teil)systemen bewerkstelligt werden.
- Innerhalb der Simulationsumgebung werden dem KI-Modul Stimulationsdaten zugeführt. Die Stimulationsdaten können auch als Eingangsdaten bzw. Eingangswerte verstanden werden, die einem Eingang des KI-Moduls, z.B. einer Eingangsschicht des KNN, zugeführt werden, um eine Datenverarbeitung bzw. einen Informationsfluss innerhalb des KI-Moduls zu erzeugen.
- Innerhalb der Simulationsumgebung werden Ausgangsdaten des KI-Moduls als Antwort auf die zugeführten Stimulationsdaten erhalten. Die Ausgangsdaten können auch als Ausgabewerte bezeichnet werden und werden durch die Datenverarbeitung bzw. den Informationsfluss innerhalb des KI-Moduls auf Basis der zugeführten Stimulationsdaten erzeugt. Die Ausgangsdaten können an einem Ausgang des KI-Moduls, z.B. einer Ausgangsschicht des KNN, erhalten werden.
- Die von dem KI-Modul erhaltenen Ausgangsdaten werden mit Referenzausgangsdaten verglichen, die den zugeführten Stimulationsdaten zuordbar oder zugeordnet sind. In anderen Worten, können die Ausgangsdaten des KI-Moduls mit Sollwerten, also den Referenzausgangsdaten, verglichen werden, ohne dass dabei eine Ansteuerung der Roboteraktuatoren stattfindet. Der Vergleich der Daten auf Übereinstimmung und/oder Abweichung ist ein Indikator für die Integrität des KI-Moduls.
- In Abhängigkeit vom Ergebnis des Vergleichs der Ausgangsdaten mit den Referenzausgangsdaten wird die Integrität des KI-Moduls bestimmt. Dabei kann die Integrität des KI-Moduls als gegeben angesehen werden, d.h. insbesondere eine Korrektheit bzw. Unversehrtheit von Daten und/oder eine korrekte Funktionsweise des Systems bestätigt werden, wenn das Ergebnis des Vergleichs eine Übereinstimmung der Ausgangsdaten mit den Referenzausgangsdaten ergibt. Dagegen kann die Integrität des KI-Moduls als nicht gegeben angesehen werden, wenn das Ergebnis des Vergleichs eine Abweichung der Ausgangsdaten von den Referenzausgangsdaten ergibt.

The proposed method, which can in particular be computer-implemented, has the following steps:

- The AI module of the robot is operated in a robot-side simulation environment, in which simulation environment an at least partially automated control of the robot that can be effected by the AI module is prevented. In other words, the AI module is operated at least for the duration of the integrity check within the robot in a safe runtime environment in such a way that, despite the operation of the AI module, a control of Robot actuators such as a robot drive, robot motion control such as vehicle steering, etc., or the like are prevented. The robot cannot be controlled from this simulation environment either directly or indirectly by the AI module. The simulation environment can be accomplished, for example, by interrupting the flow of information from the AI module to the robot actuators or generally controllable robot (sub) systems.
- The AI module receives stimulation data within the simulation environment. The stimulation data can also be understood as input data or input values which are fed to an input of the AI module, for example an input layer of the KNN, in order to generate data processing or an information flow within the AI module.
- Within the simulation environment, output data of the AI module are received in response to the stimulation data supplied. The output data can also be referred to as output values and are generated by the data processing or the information flow within the AI module on the basis of the stimulation data supplied. The output data can be obtained at an output of the KI module, e.g. an output layer of the KNN.
- The output data obtained from the AI module are compared with reference output data that can be assigned or assigned to the stimulation data supplied. In other words, the output data of the KI module can be compared with setpoints, that is, the reference output data, without the robot actuators being activated. The comparison of the data for agreement and / or deviation is an indicator of the integrity of the AI module.
- The integrity of the AI module is determined depending on the result of the comparison of the output data with the reference output data. The integrity of the AI module can be regarded as given, ie in particular the correctness or integrity of data and / or the correct functioning of the system can be confirmed if the result of the comparison shows that the output data match the reference output data. In contrast, the integrity of the AI module can be considered not to be given if the result of the comparison shows a deviation of the output data from the reference output data.

Das Verfahren ermöglicht vorteilhafterweise eine Integritätsprüfung des KI-Moduls, bei der die Korrektheit bzw. Unversehrtheit von Daten und/oder die korrekte Funktionsweise des KI-Moduls überprüft wird. So kann insbesondere verhindert werden, dass das KI-Modul beispielsweise mit beschädigten, veralteten, manipulierten oder anderweitig inkorrekten Dateninhalten oder mit beschädigten, veralteten, manipulierten oder anderweitig inkorrekten Gewichten des KNN einen Roboterbetrieb, z.B. einen Fahrbetrieb eines Fahrzeugs, zumindest teilweise automatisiert steuert.The method advantageously enables an integrity check of the AI module, in which the correctness or integrity of data and / or the correct functioning of the AI module is checked. In particular, it can be prevented that the AI module, for example, contains damaged, outdated, manipulated or otherwise incorrect data or with damaged, outdated, manipulated or otherwise incorrect weights of the KNN a robot operation, e.g. controls driving operation of a vehicle, at least partially automatically.

Allgemein kann es sich bei dem, insbesondere wenigstens teilautonomen, Roboter um ein zumindest teilweise automatisiert fahrendes Fahrzeug handeln. Alternativ dazu, kann es sich bei dem wenigstens teilautonomen Roboter auch um einen anderen mobilen Roboter handeln, beispielsweise um einen solchen, der sich durch Fliegen, Schwimmen, Tauchen oder Schreiten fortbewegt. Bei dem mobilen Roboter kann es sich beispielsweise auch um einen wenigstens teilautonomen Rasenmäher oder einen wenigstens teilautonomen Putzroboter oder ähnliches handeln.In general, the, in particular at least partially autonomous, robot can be an at least partially automated vehicle. As an alternative to this, the at least partially autonomous robot can also be another mobile robot, for example one that moves by flying, swimming, diving or walking. The mobile robot can also be, for example, an at least partially autonomous lawn mower or an at least partially autonomous cleaning robot or the like.

Optional kann die Integritätsprüfung während der Roboterproduktion, z.B. bei einem End-of-Line (EOL)-Test, bei einer Inbetriebnahme des Roboters, wie etwa einem Fahrzeugstart, wie etwa beim Schalten der Klemme 15 eines Fahrzeugs, beispielsweise auch beim Herstellen eines Fahrbereitschaftszustands eines Hybrid- oder Elektrofahrzeugs, zu einem detektierten Beginn eines Fahrzyklus, bei Erreichen bestimmter Diagnosebedingungen usw. durchgeführt werden. Alternativ auch beim Stillstand an einer Ampel oder im geparkten Zustand. Optionally, the integrity check during robot production, e.g. in an end-of-line (EOL) test, when the robot is started up, such as when the vehicle is started, such as when the terminal 15 of a vehicle is switched, for example when a hybrid or electric vehicle is in a ready-to-drive state, at a detected start a driving cycle, when certain diagnostic conditions, etc. are reached. Alternatively, when the vehicle is stationary at a traffic light or in a parked state.

Weiter optional, kann das KI-Modul während der Roboterproduktion oder eines Softwareupdates in einen nichtflüchtigen Speicher, z.B. einem ROM, einem Flash-Speicher usw., des Roboters, beispielsweise eines elektronischen Steuergeräts, gespeichert, d.h. in einen Speicherbereich des nichtflüchtigen Speichers geschrieben, werden. Zum Betrieb bzw. zur Ausführung des KI-Moduls in dem Roboter kann zunächst der entsprechende Speicherinhalt des nichtflüchtigen Speichers in einen flüchtigen Speicher, z.B. einem RAM, übertragen bzw. dort gespeichert werden.Further optionally, the AI module can be stored in a non-volatile memory, e.g., during robot production or a software update. a ROM, a flash memory, etc., of the robot such as an electronic control device. are written into a memory area of the non-volatile memory. To operate or execute the AI module in the robot, the corresponding memory content of the non-volatile memory can first be converted into a volatile memory, e.g. a RAM, can be transferred or saved there.

Gemäß einer Weiterbildung kann nur bei einer, insbesondere vollständigen, ggf. bitweisen, Übereinstimmung der Ausgangsdaten mit den Referenzausgangsdaten, also den Solldaten, überhaupt ein Betrieb des KI-Moduls außerhalb der Simulationsumgebung zur zumindest teilweise automatisierten Steuerung des Roboters freigegeben werden. In anderen Worten, kann das geprüfte KI-Modul für einen zumindest teilweise automatisierten Fahrbetrieb in diesem Fahrzyklus freigeschaltet werden, wenn die Ausgangsdaten des KI-Moduls den vorgegebenen Referenzausgangsdaten entsprechen. Entsprechen die Ausgangsdaten des KI-Moduls dagegen nicht den Referenzausgangsdaten, so wird das KI-Modul zumindest in der momentanen Form nicht für einen zumindest teilweise automatisierten Fahrbetrieb freigegeben. Damit kann sichergestellt werden, dass das KI-Modul nur dann außerhalb der sicheren Simulationsumgebung betrieben wird, wenn die Korrektheit bzw. Unversehrtheit von Daten und/oder der korrekten Funktionsweise des Systems positiv geprüft worden ist.According to a further development, operation of the AI module outside the simulation environment for at least partially automated control of the robot can only be enabled if the output data match the reference output data, that is to say the target data, in particular completely, possibly bit by bit. In other words, the tested AI module can be used for at least partially automated driving be activated in this driving cycle if the output data of the AI module correspond to the specified reference output data. If, on the other hand, the output data of the AI module do not correspond to the reference output data, the AI module, at least in its current form, is not released for at least partially automated driving. This ensures that the AI module is only operated outside the safe simulation environment if the correctness or integrity of the data and / or the correct functioning of the system has been checked positively.

In einer Weiterbildung kann während des bereits freigegebenen Betriebs des KI-Moduls außerhalb der Simulationsumgebung zumindest zeitweise ein erneuter Betrieb des KI-Moduls innerhalb der Simulationsumgebung durchgeführt werden. Dabei können zumindest die Schritte des Zuführens der Stimulationsdaten, des Erhaltens der Ausgangsdaten und des Vergleichens der Ausgangsdaten mit den Referenzausgangsdaten erfolgen bzw. wiederholt werden. Die Freigabe des Betriebs des KI-Moduls außerhalb der Simulationsumgebung kann darauf beruhen, dass die vorherige Integritätsprüfung positiv durchgeführt werden konnte. In anderen Worten, kann während des durch das KI-Modul bewirkten zumindest teilweise automatisierten Fahrbetriebs, neben (z.B. parallel zu, zeitlich überschneidend mit oder zeitgleich zu) der eigentlichen Ausführung für die automatisierte Fahrfunktion, auch innerhalb der oben beschriebenen Simulationsumgebung mithilfe der vorhandenen Stimulationsdaten ausgeführt werden, wobei dabei (wieder) die Ausgangsdaten mit den Referenzausgangsdaten verglichen werden. Ist auch diese Integritätsprüfung positiv, so wird das KI-Modul auch weiterhin außerhalb der Simulationsumgebung zum zumindest teilweise automatisierten Fahrbetrieb ausgeführt. Ist die Integritätsprüfung jedoch negativ, so ist dies eine Indikation darauf, dass die Integrität des KI-Moduls während des Fahrbetriebs verletzt wurde. Dies kann beispielsweise auf Bitfehlern bzw. Bitkippern, einem Hackerangriff auf den Roboter oder ähnlichem beruhen. So kann auch während des zumindest teilweise automatisierten Fahrbetriebs beispielsweise laufend, zyklisch usw. eine Integritätsprüfung durchgeführt werden. Dabei kann das KI-Modul aus dem flüchtigen Speicher in einen weiteren Speicherbereich des nichtflüchtigen/flüchtigen Speichers hinein gespeichert und bezüglich Integrität geprüft werden. Nach positiv erfolgter Integritätsprüfung kann eine Umschaltung der zumindest teilweise automatisierten Steuerung auf das neugeladene KI-Modul erfolgen, während die Ausführung des alten KI-Moduls möglichst unmittelbar gestoppt wird. Die Umschaltung kann im Bereich von Millisekunden erfolgen. Das neugeladene KI-Modul kann auch nach anfänglich positiv erfolgter Integritätsprüfung weiterhin zyklisch in der Simulationsumgebung bezüglich Ausgabesollwerte emuliert und geprüft werden.In a further development, the AI module can be operated at least temporarily again within the simulation environment during the already released operation of the AI module outside the simulation environment. At least the steps of supplying the stimulation data, receiving the output data and comparing the output data with the reference output data can be carried out or repeated. The approval of the operation of the AI module outside of the simulation environment can be based on the fact that the previous integrity check was carried out positively. In other words, during the at least partially automated driving operation brought about by the AI module, in addition to (for example parallel to, overlapping with or at the same time as) the actual execution for the automated driving function, it can also be carried out within the simulation environment described above with the aid of the existing stimulation data the output data are compared (again) with the reference output data. If this integrity check is also positive, the AI module continues to be executed outside the simulation environment for at least partially automated driving. However, if the integrity check is negative, this is an indication that the integrity of the AI module has been violated while driving. This can be based, for example, on bit errors or bit tippers, a hacker attack on the robot or the like. In this way, an integrity check can also be carried out, for example, continuously, cyclically, etc. during the at least partially automated driving operation. The AI module can be stored from the volatile memory in a further memory area of the non-volatile / volatile memory and checked for integrity. After a positive integrity check, the at least partially automated control can be switched to the newly loaded AI module, while the execution of the old AI module is stopped as soon as possible. Switching can take place in the range of milliseconds. The newly loaded AI module can continue to be emulated and checked cyclically in the simulation environment with regard to output setpoints even after an initially positive integrity check.

Gemäß einer Weiterbildung kann das KI-Modul von einem nichtflüchtigen Speicher in einen flüchtigen Speicher übertragen werden, bevor der Roboter in einen Betriebsbereitschaftszustand überführt wird, und die Stimulationsdaten können dem im flüchtigen Speicher befindlichen KI-Modul zugeführt werden. So kann die Integritätsprüfung mit dem Speicherinhalt, der das KI-Modul repräsentiert, des flüchtigen Speichers durchgeführt werden, auf dem der zumindest teilweise automatisierte Fahrbetrieb beruhen würde.According to a further development, the AI module can be transferred from a non-volatile memory to a volatile memory before the robot is brought into an operational ready state, and the stimulation data can be supplied to the AI module located in the volatile memory. In this way, the integrity check can be carried out with the memory content, which represents the AI module, of the volatile memory on which the at least partially automated driving operation would be based.

In einer Weiterbildung kann ein Übertragungsfehlerindikator erhalten werden, der einen Übertragungsfehler bei dem Übertragen des KI-Moduls von dem nichtflüchtigen Speicher in den flüchtigen Speicher anzeigt, wobei das KI-Modul in Antwort auf den angezeigten Übertragungsfehler zur erneuten Integritätsprüfung erneut in den flüchtigen Speicher übertragen werden kann. Bei der Übertragung des KI-Moduls aus dem nichtflüchtigen Speicher in den flüchtigen Speicher kann es zu Übertragungsfehlern kommen, bei denen es sich z.B. um Bitfehler bzw. Bitkipper handeln kann. Dabei kann bei der Erkennung eines Übertragungsfehlers, der flüchtige Speicher mit dem KI-Modul wieder gelöscht werden und KI-Modul erneut aus dem nichtflüchtigen Speicher in den flüchtigen Speicher übertragen und der Übertragungsfehlerindikator erneut ausgewertet werden. Der Übertragungsfehlerindikator kann beispielsweise eine Prüfsumme, wie etwa ein CRC, oder ähnliches sein. Der Übertragungsfehlerindikator kann bereits vor der Inbetriebnahme des KI-Moduls in der Simulationsumgebung ausgewertet werden und kann so Rechenleistung bzw. Rechenzeit einsparen, wenn bei einem sowieso erkannten Übertragungsfehler nicht auch noch zusätzlich die übrigen Verfahrensschritte innerhalb der Simulationsumgebung durchgeführt werden.In a further development, a transmission error indicator can be obtained which indicates a transmission error during the transfer of the AI module from the non-volatile memory to the volatile memory, the AI module being retransmitted to the volatile memory in order to perform a new integrity check in response to the displayed error can. When the AI module is transferred from the non-volatile memory to the volatile memory, transmission errors can occur, which are e.g. can be bit errors or bit dumpers. When a transmission error is detected, the volatile memory can be deleted using the AI module and the AI module can be transferred from the non-volatile memory to the volatile memory again and the transmission error indicator can be evaluated again. The transmission error indicator can be, for example, a checksum, such as a CRC, or the like. The transmission error indicator can be evaluated in the simulation environment before the AI module is put into operation and can thus save computing power or computing time if, in the event of a transmission error that is detected anyway, the other procedural steps within the simulation environment are not also carried out.

Gemäß einer Weiterbildung kann bei einer Abweichung der Ausgangsdaten von den Referenzausgangsdaten das KI-Modul oder ein Dateninhalt desselben für einen Server bereitgestellt werden, wobei in Antwort auf das Bereitstellen des KI-Moduls oder seines Dateninhalts an den Server ein KI-Modulvergleichsindikator erhalten werden kann, der anzeigt, ob das für den Server bereitgestellte KI-Modul des Roboters mit einem Referenz-KI-Modul des Servers übereinstimmt, und wobei der Roboter anhand des erhaltenen KI-Modulvergleichsindikators angesteuert werden kann. In anderen Worten, kann eine Übertragung der Speicherinhalte an einen Server und/oder eine Cloud über beispielsweise eine Car-to-X Kommunikationsverbindung erfolgen. In dem Server und/oder der Cloud kann der Dateninhalt des KI-Moduls, insbesondere bitweise, mit dem Dateninhalt des dort hinterlegten, insbesondere normierten, Referenz-KI-Moduls des gleichen Typs verglichen werden. Ist der Vergleich in dem Server und/oder der Cloud negativ, so kann das entsprechende KI-Modul für eine weitere Ausführung in dem Roboter von dem Server und/oder der Cloud aus gesperrt werden, indem beispielsweise eine Antwort, nämlich des KI-Modulvergleichsindikators, des Servers und/oder der Cloud an den Roboter übertragen wird. Ist der Datenvergleich in dem Server und/oder der Cloud jedoch positiv, so kann beispielsweise ein Hardwarefehler in dem Roboter ausgegangen werden, da das KI-Modul bei Inbetriebnahme zumindest scheinbar nicht korrekt initialisiert werden konnte. In diesem Fall kann das entsprechende Roboter, insbesondere wenn es sich um ein Fahrzeug handelt, in eine Werkstatt beordert werden, wo beispielsweise ein Austausch der betroffenen Hardwarekomponenten, die dem KI-Modul zugeordnet sind, erfolgen kann.According to a further development, if the output data deviate from the reference output data, the AI module or a data content of the same can be provided for a server, wherein an AI module comparison indicator can be obtained in response to the provision of the AI module or its data content to the server. which indicates whether the robot's AI module provided for the server matches a reference AI module of the server, and the robot can be controlled using the AI module comparison indicator obtained. In other words, the memory contents can be transferred to a server and / or a cloud via, for example, a car-to-X communication link. In the server and / or the cloud, the data content of the AI module, in particular bitwise, can be compared with the data content of the, in particular standardized, Reference AI module of the same type can be compared. If the comparison in the server and / or the cloud is negative, the corresponding AI module can be blocked for further execution in the robot from the server and / or the cloud by, for example, a response, namely the AI module comparison indicator, of the server and / or the cloud is transferred to the robot. However, if the data comparison in the server and / or the cloud is positive, a hardware error in the robot can be assumed, for example, since the AI module at least apparently could not be correctly initialized during commissioning. In this case, the corresponding robot, in particular if it is a vehicle, can be ordered to a workshop where, for example, the hardware components concerned, which are assigned to the AI module, can be exchanged.

In einer Weiterbildung können die Stimulationsdaten erste Stimulationsdaten umfassen, die dazu eingerichtet sein können, eine erste Schicht eines mehrschichtigen künstlichen neuronalen Netzes, KNN, des KI-Moduls zur Erzeugung der Ausgangsdaten anzusteuern, und die Simulationsdaten können ferner zweite Stimulationsdaten umfassen, die dazu eingerichtet sein können, eine zur ersten Schicht unterschiedliche, zweite Schicht des KNN zur Erzeugung der Ausgangsdaten anzusteuern. In anderen Worten, können dem KI-Modul neben Stimulationsdaten aus einem bestimmten Wertebereich auch gezielt Grenzwerte des bestimmten Wertebereichs zugeführt werden, die z.B. einer kritischen Fahrsituation zugeordnet sind. Hierzu können, insbesondere schrittweise, maximale und minimale Signale von einem oder mehreren Sensoren oder sonstige Grenzwerte oder kritische Eingangsdaten in das KI-Modul eingespeist und mit den entsprechenden Referenzausgangsdaten verglichen werden. So können auch Fehler des KI-Moduls identifiziert werden, die beispielsweise in tiefer liegenden Schichten des KNN begründet sind.In a further development, the stimulation data can include first stimulation data, which can be set up to control a first layer of a multi-layer artificial neural network, KNN, of the KI module for generating the output data, and the simulation data can also include second stimulation data set up for this can control a second layer of the KNN different from the first layer in order to generate the output data. In other words, in addition to stimulation data from a specific value range, the AI module can also be supplied with targeted limit values of the specific value range, which e.g. are assigned to a critical driving situation. For this purpose, in particular step-by-step, maximum and minimum signals from one or more sensors or other limit values or critical input data can be fed into the AI module and compared with the corresponding reference output data. In this way, errors in the AI module can also be identified that are caused, for example, by the lower layers of the KNN.

Gemäß einer Weiterbildung können die Stimulationsdaten von wenigstens einer roboterseitigen Erfassungseinrichtung erhalten werden, die für die Integritätsprüfung in einem Betriebszustand betrieben wird, der die daraus resultierenden Stimulationsdaten unveränderbar festlegt und/oder vorbestimmt. In anderen Worten, kann die Erfassungseinrichtung, wie etwa Sensoren zur Roboterumfelderfassung, wie etwa eine Kamera, Radarsensoren, LIDAR-Sensoren usw., so konfiguriert sein, dass diese zumindest während eines Zeitabschnitts, z.B. während des Betriebszustands der Initialisierung der Erfassungseinrichtung, verlässliche Standardeingangsdaten, d.h. wertmäßig vorbestimmte Stimulationsdaten, für das KI-Modul bereitstellen kann. Da diese Standardeingangsdaten während der Integritätsprüfung, beispielsweise für eine Dauer von Millisekunden, Sekunden usw., stets bzw. verlässlich gleich sind, können die Stimulationsdaten damit direkt von der Erfassungseinrichtung erhalten werden und müssen nicht in einem Speicher, z.B. dem oben erwähnten nichtflüchtigen Speicher, des Roboters vorgehalten werden. Dies kann insbesondere Speicherplatz einsparen.According to a development, the stimulation data can be obtained from at least one robot-side detection device that is operated for the integrity check in an operating state that fixes and / or predetermines the resulting stimulation data in an unchangeable manner. In other words, the detection device, such as sensors for robot environment detection, such as a camera, radar sensors, LIDAR sensors, etc., can be configured to operate at least for a period of time, e.g. during the operating state of the initialization of the detection device, reliable standard input data, i.e. predetermined stimulation data for the AI module. Since these standard input data are always or reliably the same during the integrity check, for example for a duration of milliseconds, seconds etc., the stimulation data can thus be obtained directly from the detection device and does not have to be stored in a memory, e.g. the above-mentioned non-volatile memory of the robot. This can save storage space in particular.

In einer Weiterbildung können die Referenzausgangsdaten vorab als ein Erwartungswert festgelegt werden, die Stimulationsdaten innerhalb eines festgelegten Wertebereichs variiert werden und die daraus resultierenden Ausgangsdaten mit den Referenzausgangsdaten verglichen werden. In anderen Worten, kann innerhalb der Simulationsumgebung das KI-Modul derart stimuliert werden, dass versucht wird, bestimmte Ausgangsdaten des KI-Moduls zu erzeugen. In diesem Fall werden keine Standardwerte in das KI-Modul eingespeist, sondern es werden ausgehend von bestimmten Referenzausgangsdaten zugeordnete Stimulationsdaten in einem vorgegebenen Wertebereich variiert und somit die erforderlichen Ausgangsdaten erzeugt. Sofern entsprechend vorgegebene Ausgangsdaten des KI-Moduls durch die, ggf. in einem Toleranzbereich liegenden, variablen Stimulationsdaten erzeugt werden konnte, ist das KI-Modul funktionsfähig und kann verwendet werden. Können dagegen vorgegebene Ausgabedaten, wie beispielsweise die Ansteuerung eines bestimmten Roboteraktuators, nicht mit den Stimulationsdaten innerhalb des vorgegebenen Wertebereichs erzeugt werden, so kann dies ein Hinweis auf ein nicht oder nur eingeschränkt funktionsfähiges KI-Modul sein. Durch die Integritätsprüfung mit leicht variablen Stimulationsdaten als Eingangswerte können auch bestimmte Ausgangsdaten bzw. Ausgangswerte des KI-Moduls in einem vorgegebenen Toleranzbereich geprüft werden.In a further development, the reference output data can be defined in advance as an expected value, the stimulation data can be varied within a defined value range and the resulting output data can be compared with the reference output data. In other words, the AI module can be stimulated within the simulation environment in such a way that an attempt is made to generate certain output data of the AI module. In this case, no standard values are fed into the AI module, but instead stimulation data associated with specific reference output data are varied within a predetermined value range and the required output data are thus generated. If correspondingly predetermined output data of the AI module could be generated by the variable stimulation data, which may be within a tolerance range, the AI module is functional and can be used. If, on the other hand, specified output data, such as the activation of a specific robot actuator, cannot be generated with the stimulation data within the specified value range, this can be an indication of an AI module that is not or only partially functional. The integrity check with slightly variable stimulation data as input values also allows certain output data or output values of the AI module to be checked within a predetermined tolerance range.

In einer Weiterbildung kann während der Roboterproduktion bereits eine Integritätsprüfung des KI-Moduls anhand von genormten bzw. vorbestimmten Stimulationsdaten, wie z.B. genormten bzw. vorbestimmten Eingangssignalen, erfolgen. Hierzu können die genormten Stimulationsdaten in den nichtflüchtigen Speicher gespeichert werden. In einer anschließenden initialen Integritätsprüfung können die Ausgangsdaten des KI-Moduls mit den Referenzausgangsdaten verglichen werden. Liegen die Ausgangswerte des KI-Moduls innerhalb eines bestimmten Toleranzbereichs, so wird das KI-Modul für den Roboter, z.B. dieses Fahrzeug, freigegeben, beispielsweise indem ein oder mehrere bestimmte Statusbytes im nichtflüchtigen Speicher gesetzt werden. Darüber hinaus können die Ausgangsdaten von genau dieser initialen, d.h. während der Roboterproduktion durchgeführten, Integritätsprüfung für spätere Integritätsprüfungen, die z.B. bei der Roboterinbetriebnahme, beispielsweise beim Fahrzeugstart oder Herstellen der Fahrbereitschaft, durchgeführt werden, als die Referenzausgangsdaten in den nichtflüchtigen Speicher des Roboters gespeichert werden. Dadurch können die Ausgabewerte entsprechend dem Sollverhalten des KI-Moduls zum Zeitpunkt der Roboterproduktion gespeichert werden.In a further development, an integrity check of the AI module can already be carried out on the basis of standardized or predetermined stimulation data, such as standardized or predetermined input signals, during robot production. For this purpose, the standardized stimulation data can be stored in the non-volatile memory. In a subsequent initial integrity check, the output data of the AI module can be compared with the reference output data. If the output values of the AI module are within a certain tolerance range, the AI module is released for the robot, for example this vehicle, for example by setting one or more specific status bytes in the non-volatile memory. In addition, the output data from exactly this initial integrity check, that is to say carried out during robot production, can be carried out for later integrity checks, which are carried out, for example, when the robot is started up, for example when the vehicle is started or when the vehicle is ready to drive. as the reference output data are stored in the robot's non-volatile memory. This enables the output values to be saved according to the target behavior of the AI module at the time of robot production.

Gemäß einer Weiterbildung kann der Speicherinhalt des flüchtigen Speichers, in welchem sich das KI-Modul insbesondere zur Ausführung außerhalb der Simulationsumgebung befindet, im laufenden Roboterbetrieb, insbesondere zyklisch, mit dem Speicherinhalt des nichtflüchtigen Speichers verglichen werden. Ist diese Integritätsprüfung positiv, so wird das entsprechende KI-Modul auch weiterhin zur zumindest teilweise automatisierten Steuerung des Roboters ausgeführt. Ist diese Integritätsprüfung jedoch negativ, so kann dies ein Hinweis darauf sein, dass sich der Inhalt des flüchtigen Speichers während des laufenden Fahrbetriebs verändert hat. Dies kann beispielsweise aufgrund von Bitfehlern bzw. Bittkippern, oder durch einen Hackerangriff auf den Roboter oder ähnliches erfolgen. In diesem Fall kann das KI-Modul unmittelbar aus dem flüchtigen Speicher in einen weiteren Speicherbereich des flüchtigen Speichers hinein übertragen werden. Optional kann dort nochmals eine Integritätsprüfung durchgeführt werden, wobei bei positiv erfolgter Integritätsprüfung eine Umschaltung der zumindest teilweise automatisierten Steuerung auf das neugeladene KI-Moduls erfolgen kann, während die Ausführung des alten KI-Moduls unmittelbar gestoppt wird. Da dieser Vorgang im Mikrosekundenbereich ablaufen kann, ist die Umschaltung für einen Nutzer des Roboters bzw. für die zumindest teilweise automatisierte Steuerung nicht wahrnehmbar. Ist die Integritätsprüfung beim erneuten Laden des KI-Moduls in den weiteren Speicherbereich des flüchtigen Speichers jedoch negativ, so kann der Roboter in einen sicheren Zustand versetzt werden.According to a further development, the memory content of the volatile memory, in which the AI module is located, in particular for execution outside the simulation environment, can be compared, particularly cyclically, with the memory content of the non-volatile memory during ongoing robot operation. If this integrity check is positive, the corresponding AI module continues to be used for at least partially automated control of the robot. However, if this integrity check is negative, this may indicate that the content of the volatile memory has changed during driving. This can take place, for example, on the basis of bit errors or bit dumpers, or by a hacker attack on the robot or the like. In this case, the AI module can be transferred directly from the volatile memory into a further memory area of the volatile memory. Optionally, an integrity check can be carried out there again, and if the integrity check is positive, the at least partially automated control can be switched to the newly loaded AI module while the execution of the old AI module is stopped immediately. Since this process can take place in the microsecond range, the switchover is imperceptible to a user of the robot or to the at least partially automated control. However, if the integrity check when the AI module is reloaded into the other memory area of the volatile memory is negative, the robot can be put into a safe state.

In einer Weiterbildung können die Stimulationsdaten und/oder die Referenzausgangsdaten von einem Server erhalten werden, der einem serverseitig und/oder cloudseitig betriebenen Referenz-KI-Modul roboterspezifische, insbesondere fahrzeugspezifische, noch genauer fahrzeugtypspezifische, Eingangsdaten zuführt, serverseitig die Referenzausgangsdaten erzeugt, und die Eingangsdaten als die Stimulationsdaten und die Referenzausgaben für den Roboter bereitstellt. In anderen Worten, können Sollwerte für die Ausgangsdaten des roboterseitigen KI-Moduls mit Hilfe des Referenz-KI-Moduls innerhalb des Servers und/oder der Cloud erzeugt werden. Dabei können beispielsweise robotervariantenspezifische, insbesondere fahrzeugvariantenspezifische, Eingangsdaten bzw. Standarddaten oder Grenzwerte in das Referenz-KI-Modul innerhalb des Servers und/oder der Cloud eingespeist und die entsprechenden Referenzausgangsdaten erzeugt werden. Anschließend können genau diese Stimulationsdaten und/oder die Referenzausgangsdaten des KI-Moduls für die entsprechende Robotervariante in dem nichtflüchtigen Speicher für die Integritätsprüfung hinterlegt werden. Die Bereitstellung dieser Daten für das Fahrzeug kann beispielsweise über eine Roboter-to-X Kommunikationsverbindung, insbesondere Car-to-X Kommunikationsverbindung, oder während der -Roboterproduktion erfolgen.In a further development, the stimulation data and / or the reference output data can be obtained from a server which supplies robot-specific, in particular vehicle-specific, more precisely vehicle-specific, input data to a reference AI module operated on the server and / or cloud side, generates the reference output data on the server side, and the input data than the stimulation data and the reference outputs for the robot. In other words, setpoints for the output data of the robot-side AI module can be generated with the aid of the reference AI module within the server and / or the cloud. In this case, for example, robot variant-specific, in particular vehicle variant-specific, input data or standard data or limit values can be fed into the reference AI module within the server and / or the cloud and the corresponding reference output data can be generated. Then precisely these stimulation data and / or the reference output data of the AI module for the corresponding robot variant can be stored in the non-volatile memory for the integrity check. This data can be made available to the vehicle, for example, via a robot-to-X communication link, in particular a car-to-X communication link, or during robot production.

Ein zweiter Aspekt der Erfindung stellt eine Vorrichtung zur Verfügung, die dazu eingerichtet ist, das vorstehend beschriebene Verfahren in einer oder mehreren der beschriebenen Ausführungsvarianten auszuführen. Die Vorrichtung kann beispielsweise als elektronisches Steuergerät oder als Steuergeräteverbund ausgebildet sein. Zudem kann die Vorrichtung wenigstens einen Prozessor, einen Speicher, wie etwa einen flüchtigen und einen nichtflüchtigen Speicher, eine oder mehrere Datenschnittstellen zu Erfassungseinrichtungen, wie etwa Sensoren, des Roboters, und/oder zu Roboteraktuatoren, eine Kommunikationsschnittstelle für eine Roboter-to-X Kommunikationsverbindung , wie etwa eine Car-to-X Kommunikation, usw. aufweisen.A second aspect of the invention provides an apparatus which is set up to carry out the method described above in one or more of the described embodiment variants. The device can be designed, for example, as an electronic control device or as a control device network. In addition, the device can have at least one processor, a memory, such as a volatile and a non-volatile memory, one or more data interfaces to detection devices, such as sensors, the robot, and / or to robot actuators, a communication interface for a robot-to-X communication connection , such as car-to-x communication, etc.

Ein dritter Aspekt betrifft ein Verfahren zur Integritätsprüfung eines Künstlichen-Intelligenz-Moduls, KI-Moduls, eines Roboters durch einen Server und/oder eine Cloud.A third aspect relates to a method for checking the integrity of an artificial intelligence module, AI module, a robot by a server and / or a cloud.

Das Verfahren weist die folgenden Schritte auf:

- Erhalten einer KI-Modul-Information, die dem KI-Modul des Roboters zuordbar ist,
- Betreiben eines Referenz-KI-Moduls, das dem KI-Modul des Roboters entspricht, zum Erhalten von Referenzausgangsdaten, die das Referenz-KI-Modul als Antwort auf zugeführte Eingangsdaten erzeugt, und
- Bereitstellen von wenigstens den Referenzausgangsdaten für den Roboter.

The process has the following steps:

Obtaining an AI module information that can be assigned to the robot's AI module,
Operating a reference AI module corresponding to the robot's AI module to obtain reference output data generated by the reference AI module in response to input data supplied, and
- Providing at least the reference output data for the robot.

Mit diesem Verfahren kann die Integritätsprüfung, ggf. auch zusätzlich, mit einer Entität außerhalb des Roboters durchgeführt werden, wobei ein Server und/oder eine Cloud eine höhere Datensicherheit als der Roboter bzw. eine elektronische Vorrichtung desselben aufweisen können, so dass das Referenz-KI-Modul als besonders integer bzw. datensicher erachtet werden kann.With this method, the integrity check, possibly also additionally, can be carried out with an entity outside the robot, wherein a server and / or a cloud can have higher data security than the robot or an electronic device thereof, so that the reference AI Module can be regarded as particularly integral or data-secure.

Ein vierter Aspekt der Erfindung betrifft ein serverbasiertes System, das dazu eingerichtet ist, ein Verfahren gemäß dem dritten Aspekt durchzuführen. Das System kann eine Datenverarbeitungseinrichtung, mit einem Prozessor, Speicher, Datenschnittstellen, Kommunikationsschnittstellen usw. aufweisen.A fourth aspect of the invention relates to a server-based system which is set up to carry out a method according to the third aspect. The system can have a data processing device with a processor, memory, data interfaces, communication interfaces, etc.

Ein fünfter Aspekt der Erfindung betrifft ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Computerprogramms durch einen Computer diesen veranlassen, ein Verfahren gemäß dem ersten Aspekt oder dem dritten Aspekt durchzuführen. A fifth aspect of the invention relates to a computer program, comprising instructions which, when the computer program is executed by a computer, cause the computer to carry out a method according to the first aspect or the third aspect.

Das Computerprogramm kann beispielsweise in einem Arbeitsspeicher einer Datenverarbeitungseinrichtung, wie etwa eines Datenprozessors geladen und/oder gespeichert sein, wobei die Datenverarbeitungseinrichtung auch Teil einer Ausführungsform der vorliegenden Erfindung sein kann. Diese Datenverarbeitungseinrichtung kann dazu eingerichtet sein, Verfahrensschritte des oben beschriebenen Verfahrens durchzuführen. Die Datenverarbeitungseinrichtung kann ferner dazu eingerichtet sein, das Computerprogramm bzw. das Verfahren automatisch auszuführen und/oder durch Eingaben eines Benutzers auszuführen. Das Computerprogramm kann auch über ein Datennetzwerk, wie etwa das Internet, bereitgestellt und von einem solchen Datennetzwerk aus in den Arbeitsspeicher der Datenverarbeitungseinrichtung heruntergeladen werden. Das Computerprogramm kann auch eine Aktualisierung eines bereits vorhandenen Computerprogramms umfassen, wodurch das vorhandene Computerprogramm beispielsweise zum Ausführen des oben beschriebenen Verfahrens befähigt werden kann.The computer program can, for example, be loaded and / or stored in a working memory of a data processing device, such as a data processor, wherein the data processing device can also be part of an embodiment of the present invention. This data processing device can be set up to carry out method steps of the method described above. The data processing device can also be set up to automatically execute the computer program or the method and / or to execute it by inputting a user. The computer program can also be provided via a data network, such as the Internet, and can be downloaded from such a data network into the main memory of the data processing device. The computer program can also include an update of an already existing computer program, whereby the existing computer program can be enabled, for example, to carry out the method described above.

Ein sechster Aspekt der Erfindung betrifft ein maschinenlesbares Speichermedium, auf dem ein Computerprogramm gemäß dem fünften Aspekt gespeichert ist.A sixth aspect of the invention relates to a machine-readable storage medium on which a computer program according to the fifth aspect is stored.

Das maschinenlesbare Speichermedium kann insbesondere, aber nicht notwendigerweise, ein nichtflüchtiges Medium sein, das sich insbesondere zum Speichern und/oder Verteilen eines Computerprogramms eignet. Das maschinenlesbare Speichermedium kann eine CD-ROM, eine DVD-ROM, ein optisches Speichermedium, ein Festkörpermedium oder ähnliches sein, das zusammen mit oder als Teil anderer Hardware geliefert wird. Zusätzlich oder alternativ dazu, kann das maschinenlesbare Speichermedium auch in anderer Form verteilt bzw. vertrieben werden, beispielsweise über ein Datennetzwerk, wie etwa das Internet oder andere drahtgebundene oder drahtlose Telekommunikationssysteme. Hierzu kann das maschinenlesbare Speichermedium beispielsweise als ein oder mehrere Datenpakete ausgeführt sein.The machine-readable storage medium can, in particular, but not necessarily, be a non-volatile medium which is particularly suitable for storing and / or distributing a computer program. The machine-readable storage medium may be a CD-ROM, a DVD-ROM, an optical storage medium, a solid-state medium or the like, which is supplied together with or as part of other hardware. Additionally or alternatively, the machine-readable storage medium can also be distributed or distributed in another form, for example via a data network, such as the Internet or other wired or wireless telecommunication systems. For this purpose, the machine-readable storage medium can be designed, for example, as one or more data packets.

Weitere, die Erfindung verbessernde Maßnahmen werden nachstehend gemeinsam mit der Beschreibung der bevorzugten Ausführungsbeispiele der Erfindung anhand von Figuren näher dargestellt.Further measures improving the invention are described in more detail below together with the description of the preferred exemplary embodiments of the invention with reference to figures.

FigurenlisteFigure list

Im Folgenden werden vorteilhafte Ausführungsbeispiele der Erfindung mit Bezug auf die begleitenden Figuren detailliert beschrieben. Es zeigen:

1 einen Roboter, der hier exemplarisch als Fahrzeug ausgebildet ist, mit einer Vorrichtung zur Integritätsprüfung eines Künstlichen-Intelligenz-Moduls,
2 ein Blockdiagramm zur Veranschaulichung einer Integritätsprüfung eines Künstlichen-Intelligenz-Moduls eines Roboters und
3 ein Blockdiagramm zur Veranschaulichung einer Integritätsprüfung eines Künstlichen-Intelligenz-Moduls eines Roboters unter Zuhilfenahme einer Servereinrichtung und/oder einer Cloud.

In the following, advantageous exemplary embodiments of the invention are described in detail with reference to the accompanying figures. Show it:

1 a robot, which is designed here as an example as a vehicle, with a device for checking the integrity of an artificial intelligence module,
2nd a block diagram illustrating an integrity check of an artificial intelligence module of a robot and
3rd a block diagram illustrating an integrity check of an artificial intelligence module of a robot with the aid of a server device and / or a cloud.

Die Figuren sind lediglich schematisch und nicht maßstabsgetreu. In den Figuren sind gleiche, gleichwirkende oder ähnliche Elemente durchgängig mit gleichen Bezugszeichen versehen.The figures are only schematic and are not to scale. In the figures, the same, equivalent or similar elements are provided with the same reference numerals throughout.

Ausführungsformen der ErfindungEmbodiments of the invention

1 zeigt einen wenigstens teilautonomen Roboter 100, der hier lediglich exemplarisch als Fahrzeug ausgebildet ist und im Folgenden als solches bezeichnet wird. Bei dem Fahrzeug 100 handelt es sich hier exemplarisch um ein zumindest teilweise automatisiert fahrendes, insbesondere aber ein hoch- oder vollautomatisiertes, Kraftfahrzeug. Dementsprechend verfügt das Fahrzeug 100 über (nicht näher bezeichnete) Aktuatoren und einen Fahrzeugantrieb, die zur automatisierten Fahrsteuerung, beispielsweise zum Beschleunigen, Bremsen, Lenken usw., des Fahrzeugs 100 elektronisch angesteuert werden können. Alternativ dazu, kann es sich bei dem wenigstens teilautonomen Roboter auch um einen anderen mobilen Roboter (nicht abgebildet) handeln, beispielsweise um einen solchen, der sich durch Fliegen, Schwimmen, Tauchen oder Schreiten fortbewegt. Bei dem mobilen Roboter kann es sich beispielsweise auch um einen wenigstens teilautonomen Rasenmäher oder einen wenigstens teilautonomen Putzroboter handeln. Auch in diesen Fällen können ein oder mehrere Aktuatoren, z.B. ein Antrieb und/oder eine Lenkung des mobilen Roboters derart elektronisch angesteuert werden, dass sich der Roboter wenigstens teilautonom bewegt. 1 shows an at least partially autonomous robot 100 , which is designed here only as an example as a vehicle and is referred to below as such. With the vehicle 100 it is an example of an at least partially automated driving vehicle, but in particular a highly or fully automated motor vehicle. Accordingly, the vehicle 100 via (unspecified) actuators and a vehicle drive, for automated driving control, for example for accelerating, braking, steering, etc., of the vehicle 100 can be controlled electronically. Alternatively, the at least partially autonomous robot can also be another mobile robot (not shown), for example one that moves through flying, swimming, diving or walking. The mobile robot can also be, for example, an at least partially autonomous lawn mower or an at least partially autonomous cleaning robot. In these cases too, one or more actuators, for example a drive and / or a steering of the mobile robot, can be controlled electronically in such a way that the robot moves at least partially autonomously.

Das Fahrzeug 100 verfügt ferner über eine Vorrichtung 110, die zur Integritätsprüfung von Software- und/oder Hardwarekomponenten eingerichtet ist. Die Vorrichtung 110 weist eine Datenverarbeitungsvorrichtung 120 auf, beispielsweise in Form eines Computers bzw. elektronischen Steuergeräts, die ggf. auch zur Ansteuerung der Aktuatoren und des Fahrzeugantriebs eingerichtet ist. Diese Ansteuerung kann über entsprechende Steuerungssignale erfolgen, die von der Vorrichtung 110 bzw. der Datenverarbeitungsvorrichtung 120 ausgegeben und von den Aktuatoren und des Fahrzeugantriebs empfangen und verarbeitet werden. Die Datenverarbeitungseinrichtung 120 weist einen Prozessor 121 sowie einen nichtflüchtigen Speicher 122' und einen flüchtigen Speicher 122" zum Speichern von Programmanweisungen bzw. eines Computerprogramms zum Betrieb des Fahrzeugs 100 und/oder zur Integritätsprüfung von Software- und/oder Hardwarekomponenten auf. In der Datenverarbeitungsvorrichtung 120 ist ein Künstliches-Intelligenz-Modul 123, KI-Modul, implementiert, das z.B. ein maschinelles Lernsystem in Form von einem oder mehreren künstlichen neuronalen Netzen, KNN, umfasst. Das KNN kann z.B. mehrschichtig sein und dementsprechend eine Eingangsschicht, eine oder mehrere Zwischenschichten bzw. hidden layers und eine Ausgangsschicht aufweisen (vgl. beispielsweise die Darstellung des KI-Moduls 123, 123', 123" in 2). In 1 ist das KI-Modul 123 in dem nichtflüchtigen Speicher 122' gespeichert.The vehicle 100 also has a device 110 , which is set up to check the integrity of software and / or hardware components. The device 110 has a data processing device 120 on, for example in the form of a computer or electronic control unit, which may also be set up to control the actuators and the vehicle drive. This control can take place via corresponding control signals from the device 110 or the data processing device 120 output and received and processed by the actuators and the vehicle drive. The data processing device 120 has a processor 121 as well as a non-volatile memory 122 ' and a volatile memory 122 " for storing program instructions or a computer program for operating the vehicle 100 and / or for checking the integrity of software and / or hardware components. In the data processing device 120 is an artificial intelligence module 123 , AI module, which includes, for example, a machine learning system in the form of one or more artificial neural networks, KNN. The KNN can, for example, be multi-layered and accordingly have an input layer, one or more intermediate layers or hidden layers and an output layer (see, for example, the representation of the AI module 123 , 123 ' , 123 " in 2nd ). In 1 is the AI module 123 in the non-volatile memory 122 ' saved.

Die Vorrichtung 110 bzw. die Datenverarbeitungsvorrichtung 120 ist dazu eingerichtet, das KI-Modul 123 in bestimmten Betriebszuständen des Fahrzeugs und/oder bei der Detektion bestimmter Bedingungen, wie etwa Diagnosebedingungen usw., von dem nichtflüchtigen Speicher 122' in den flüchtigen Speicher 122", und umgekehrt, zu übertragen, wie dies in 1 durch Doppelpfeile angedeutet ist. Der Prozessor 121 ist dazu eingerichtet, das KI-Modul 123 bzw. Programmanweisungen desselben aus dem nichtflüchtigen Speicher 122' und/oder dem flüchtigen Speicher 122" auszuführen. Es sei angemerkt, dass der Betrieb des Fahrzeugs 100 im Allgemeinen anhand des in den flüchtigen Speicher 122" übertragenen KI-Moduls 123" erfolgt.The device 110 or the data processing device 120 is set up the AI module 123 in certain operating states of the vehicle and / or when certain conditions, such as diagnostic conditions etc., are detected by the non-volatile memory 122 ' in volatile memory 122 " , and vice versa, to transmit as this in 1 is indicated by double arrows. The processor 121 is set up the AI module 123 or program instructions of the same from the non-volatile memory 122 ' and / or the volatile memory 122 " to execute. It should be noted that the operation of the vehicle 100 generally based on that in volatile memory 122 " transferred AI module 123 " he follows.

Zudem verfügt das Fahrzeug 100 über eine Mehrzahl von Sensoren 130, wie etwa optische Sensoren, Ultraschall- bzw. Radar-Sensoren, LIDAR-Sensoren usw., die ein Fahrzeugumfeld des Fahrzeugs überwachen/erfassen. Erfassungsdaten der Sensoren 130 werden der Datenverarbeitungseinrichtung 120 bzw. der Vorrichtung 110 zur Verfügung gestellt, die dazu eingerichtet ist, anhand der Erfassungsdaten und insbesondere über das KI-Modul 123 u.a. eine Fahrstrategie zu planen und die Fahrzeugaktuatoren und/oder den Fahrantrieb entsprechend anzusteuern. Dementsprechend ist das KI-Modul 123 dazu eingerichtet, beispielsweise die Erfassungsdaten der Sensoren 130 als Eingangsdaten zu erhalten, diese und ggf. zusätzlich zugeführte und/oder erzeugte (Zwischen-)Daten zu verarbeiten und auf der Verarbeitung basierende und/oder daraus erhaltene Ausgangsdaten an ein oder mehrere Fahrzeugsysteme, wie etwa den Aktuatoren und dem Fahrzeugantrieb, bereitzustellen. Die Eingangsdaten und/oder Ausgangsdaten können als Signale zur elektronischen Datenverarbeitung zugeführt und bereitgestellt werden.The vehicle also has 100 via a plurality of sensors 130 , such as optical sensors, ultrasonic or radar sensors, LIDAR sensors, etc., which monitor / detect a vehicle environment of the vehicle. Acquisition data of the sensors 130 the data processing device 120 or the device 110 made available, which is set up based on the acquisition data and in particular via the AI module 123 To plan a driving strategy and to control the vehicle actuators and / or the drive accordingly. The AI module is accordingly 123 set up for this, for example the detection data of the sensors 130 to receive as input data, to process these and, if necessary, additionally supplied and / or generated (intermediate) data and to provide output data based on the processing and / or obtained therefrom to one or more vehicle systems, such as the actuators and the vehicle drive. The input data and / or output data can be supplied and provided as signals for electronic data processing.

2 zeigt in einem Blockdiagramm, wie mittels der Vorrichtung 110 bzw. der Datenverarbeitungseinrichtung 120 eine Integritätsprüfung des KI-Moduls 123 erfolgen kann. Bei der Integritätsprüfung des KI-Moduls 123 erfolgt insbesondere eine Prüfung auf Korrektheit bzw. Unversehrtheit von Dateninhalten und/oder auf eine korrekte Funktionsweise des KI-Moduls 123. 2nd shows in a block diagram how by means of the device 110 or the data processing device 120 an integrity check of the AI module 123 can be done. When checking the integrity of the AI module 123 in particular, the data content is checked for correctness or intactness and / or for the correct functioning of the AI module 123 .

Gemäß 2 wird das KI-Modul 123, bzw. die dieses repräsentierenden Daten, von dem nichtflüchtigen Speicher 122' in den flüchtigen Speicher 122" übertragen, wobei zur besseren Veranschaulichung der das KI-Modul 123 repräsentierende Speicherinhalt des nichtflüchtigen Speichers 122' mit dem Bezugszeichen 123' und der das KI-Modul 123 repräsentierende Speicherinhalt des flüchtigen Speichers 122" mit dem Bezugszeichen 123" bezeichnet ist. Diese Übertragung kann beispielsweise beim Fahrzeugstart, beim Herstellen eines Fahrbereitschaftszustands, beim Erreichen von bestimmten Diagnosebedingungen usw. erfolgen. Oder im Parkzustand oder beim Stillstand an der Ampel oder zyklisch während der Fahrt im Hintergrund.According to 2nd becomes the AI module 123 , or the data representing this, from the non-volatile memory 122 ' in volatile memory 122 " transferred, with the AI module for better illustration 123 representing memory content of the non-volatile memory 122 ' with the reference symbol 123 ' and the the AI module 123 representing memory content of volatile memory 122 " with the reference symbol 123 " is designated. This transmission can take place, for example, when the vehicle is started, when a driving condition is established, when certain diagnostic conditions are reached, etc. Or when parked or at a stop at the traffic lights or cyclically while driving in the background.

Zunächst kann es bei der Übertragung des KI-Moduls 123 von dem nichtflüchtigen Speicher 122' in den flüchtigen Speicher 122" zu einem Übertragungsfehler kommen, so dass das KI-Modul 123" des flüchtigen Speichers nicht (mehr) mit dem KI-Modul 123' des nichtflüchtigen Speichers 122' übereinstimmt. Ein solcher Übertragungsfehler, der sich z.B. durch einen oder mehrere Bitfehler bzw. Bitkipper äußern kann, kann in einem Übertragungsfehlererkennungsmodul 124 erkannt werden. Dieses kann einen Übertragungsfehlerindikator, der einen Übertragungsfehler beim Übertragen des KI-Moduls 123' von dem nichtflüchtigen Speicher 123' in den flüchtigen Speicher 123" anzeigt, bereitstellen. In einigen Ausführungsformen, kann der Übertragungsfehlerindikator eine Prüfsumme, wie etwa ein CRC, oder ähnliches sein. Wenn der Übertragungsfehlerindikator von z.B. der Vorrichtung 110 bzw. der Datenverarbeitungseinrichtung 120 erhalten wird und dieser einen Übertragungsfehler anzeigt, kann das KI-Modul 123' in Antwort auf den angezeigten Übertragungsfehler zur erneuten Integritätsprüfung erneut in den flüchtigen Speicher 122" übertragen werden. Hierzu kann zunächst das KI-Modul 123" wieder aus dem flüchtigen Speicher 122" gelöscht und dann erneut aus dem nichtflüchtigen Speicher 122' dort hinein übertragen bzw. geschrieben werden.First of all, it can when transferring the AI module 123 from the non-volatile memory 122 ' in volatile memory 122 " come to a transmission error, so the AI module 123 " of the volatile memory no longer with the AI module 123 ' of the non-volatile memory 122 ' matches. Such a transmission error, which can be expressed, for example, by one or more bit errors or bit dumpers, can be in a transmission error detection module 124 be recognized. This can be a transmission error indicator, which indicates a transmission error when transmitting the AI module 123 ' from the non-volatile memory 123 ' in volatile memory 123 " indicates, provide. In some embodiments, the transmission error indicator may be a checksum, such as a CRC, or the like. If the transmission error indicator from e.g. the device 110 or the data processing device 120 is received and this indicates a transmission error, the AI module 123 ' in response to the indicated transmission error to re-integrity check into volatile memory 122 " be transmitted. The AI module can be used for this 123 " again from the volatile memory 122 " deleted and then again from the non-volatile memory 122 ' can be transferred or written into it.

Wie in 2 durch mit einer gestrichelten Umrandung angedeutet, wird das KI-Modul 123, insbesondere das in den nichtflüchtigen Speicher 122" übertragene KI-Modul 123", in einer fahrzeugseitigen Simulationsumgebung 125 betrieben, die so eingerichtet ist, dass eine Ansteuerung der Aktuatoren oder des Fahrantriebs durch Steuerungsdaten bzw. Steuerungssignale des KI-Moduls 123, 123`, 123" nicht angesteuert werden können, weil die Simulationsumgebung beispielsweise keinen Informationsfluss von der Vorrichtung 110 bzw. der Datenverarbeitungseinrichtung 120 zu den Aktuatoren oder den Fahrantrieb zulässt bzw. verhindert.As in 2nd The AI module is indicated by a dashed border 123 , especially that in the non-volatile memory 122 " transferred AI module 123 " , in an on-board simulation environment 125 operated, which is set up in such a way that the actuators or the traction drive are controlled by control data or control signals of the AI module 123 , 123`, 123 "cannot be controlled because the simulation environment, for example, does not have any information flow from the device 110 or the data processing device 120 to the actuators or the travel drive.

Innerhalb der Simulationsumgebung 125, bei der es sich z.B. um eine gekapselte Laufzeitumgebung handelt, wird das KI-Modul 123, 123" mit Hilfe von fest definierten bzw. vorbestimmten Stimulationsdaten 126 angesteuert bzw. stimuliert. Hierzu werden die Stimulationsdaten 126 einem Eingang des KI-Moduls 123, 123", z.B. einer Eingangsschicht seines KNN, zugeführt. In einigen Ausführungsformen werden beispielsweise bei der Fahrzeugproduktion die Stimulationsdaten 126, wie z.B. definierte Erfassungsdaten der Sensoren 130, in dem nichtflüchtigen Speicher 122' abgelegt, bei dem es sich auch um einen weiteren Speicher bzw. Speicherbereich handeln kann. Innerhalb der Integritätsprüfung des KI-Moduls 123, 123" werden diese Erfassungsdaten gezielt innerhalb der Simulationsumgebung 125 dem in den flüchtigen Speicher geladenen Kl-Modul 123, 123" zugeführt und dort verarbeitet.Within the simulation environment 125 , which is, for example, an encapsulated runtime environment, becomes the AI module 123 , 123 " with the help of defined or predetermined stimulation data 126 controlled or stimulated. For this, the stimulation data 126 an input of the AI module 123 , 123 " , eg an input layer of its KNN. In some embodiments, for example, the stimulation data is used in vehicle production 126 , such as defined acquisition data of the sensors 130 , in the non-volatile memory 122 ' filed, which can also be a further memory or memory area. Within the integrity check of the AI module 123 , 123 " these acquisition data are targeted within the simulation environment 125 the Kl module loaded into the volatile memory 123 , 123 " fed and processed there.

In der weiteren Integrationsprüfung werden Ausgabedaten 127 des KI-Moduls 123, 123" dann mit Referenzausgangsdaten 128, die Sollwerte darstellen, durch beispielsweise ein Vergleichsmodul 129 verglichen, ohne dass dabei eine Ansteuerung der Aktuatoren und/oder des Fahrantriebs des Fahrzeugs 100 stattfindet. Die Referenzausgangsdaten 128, also die Sollwerte des Ausgangs des KI-Moduls 123, 123" können ebenfalls bereits bei der Fahrzeugherstellung passend zu den Stimulationseingangsdaten 127 in dem nichtflüchtigen Speicher 122' hinterlegt und für die Integrationsprüfung in der Simulationsumgebung 125 geladen worden sein.In the further integration check, output data are 127 of the AI module 123 , 123 " then with reference output data 128 , which represent setpoints, for example by means of a comparison module 129 compared without triggering the actuators and / or the travel drive of the vehicle 100 takes place. The reference output data 128 , i.e. the setpoints of the output of the AI module 123 , 123 " can also match the stimulation input data during vehicle manufacture 127 in the non-volatile memory 122 ' stored and for the integration test in the simulation environment 125 have been loaded.

In Abhängigkeit vom Ergebnis des Vergleichs wird die Integrität des KI-Moduls 123, 123" bestimmt. Wenn die Ausgangsdaten 127 mit den Referenzausgangsdaten 128 übereinstimmen, beispielsweise bitweise übereinstimmen, wird das KI-Modul 123, 123" für einen Betrieb außerhalb der Simulationsumgebung 125 zur zumindest teilweise automatisierten Steuerung des Fahrzeugs 100 freigegeben. Dies kann beispielsweise durch ein Freigabesignal 140 erfolgen, das insbesondere der Datenverarbeitungseinrichtung 120 bzw. der Vorrichtung 110 oder einer weiteren Steuerungseinrichtung des Fahrzeugs 100 zur Verfügung gestellt wird. Wenn jedoch die Ausgangsdaten 127 mit den Referenzausgangsdaten 128 nicht übereinstimmen, wird das KI-Modul 123, 123" nicht für den Betrieb außerhalb der Simulationsumgebung 125 freigegeben, was z.B. über ein Sperrsignal 150 erfolgen kann.The integrity of the AI module depends on the result of the comparison 123 , 123 " certainly. If the output data 127 with the reference output data 128 agree, for example match bit by bit, the AI module 123 , 123 " for operation outside the simulation environment 125 for at least partially automated control of the vehicle 100 Approved. This can be done, for example, by an enable signal 140 take place, in particular the data processing device 120 or the device 110 or another control device of the vehicle 100 is made available. However, if the output data 127 with the reference output data 128 the AI module will not match 123 , 123 " not for operation outside the simulation environment 125 released, for example via a lock signal 150 can be done.

In einigen Ausführungsformen kann innerhalb der Simulationsumgebung 125 das KI-Modul 123, 123" mit Hilfe der Stimulationsdaten 126 nicht nur eine Ansteuerung des KI-Moduls 123, 123" mit bestimmten Standardwerten, sondern auch eine Ansteuerung der KI mit sogenannten Grenzwerten erfolgen. Hierzu werden beispielsweise schrittweise maximale und minimale Stimulationsdaten 126 oder sonstige Grenzwerte oder kritische Eingangsdaten in das KI-Modul 123, 123" eingespeist und die Ausgangsdaten 127 mit den Referenzausgangsdaten 128 durch das Vergleichsmodul 129 verglichen. Ziel dieser Prüfung kann sein, auch Fehler in tiefer liegenden Schichten des KNN zu erkennen.In some embodiments, within the simulation environment 125 the AI module 123 , 123 " using the stimulation data 126 not just a control of the AI module 123 , 123 " with certain standard values, but also control of the AI with so-called limit values. For this purpose, for example, step-by-step maximum and minimum stimulation data 126 or other limit values or critical input data in the AI module 123 , 123 " and the output data 127 with the reference output data 128 through the comparison module 129 compared. The aim of this test can also be to identify errors in the lower layers of the KNN.

In einigen Ausführungsformen können die Sensoren 130 so konfiguriert sein, dass diese für eine gewisse Zeit, z.B. in einer Initialisierungsphase standardisierte, also stets gleiche, Stimulationsdaten 126 liefern. Da diese Stimulationsdaten 126 dann stets gleich sind, ist ein Ablegen von weiteren Stimulationsdaten 126 im nichtflüchtigen Speicher für die Stimulation des KI-Moduls 123, 123" in der Simulationsumgebung 125 nicht erforderlich. Stattdessen werden die Stimulationsdaten 123 der Sensoren 130 direkt in das KI-Modul 123, 123" eingespeist und nur die Ausgangsdaten 127 mit den hinterlegten Referenzausgangsdaten 128 verglichen.In some embodiments, the sensors 130 be configured so that they are stimulation data standardized for a certain time, for example in an initialization phase, ie always the same 126 deliver. Because this stimulation data 126 then always the same, is a storage of further stimulation data 126 in the non-volatile memory for stimulation of the AI module 123 , 123 " in the simulation environment 125 not mandatory. Instead, the stimulation data 123 of the sensors 130 directly into the AI module 123 , 123 " fed in and only the output data 127 with the stored reference output data 128 compared.

In einigen Ausführungsformen kann das KI-Modul 123, 123" innerhalb der Simulationsumgebung 125 derart stimuliert werden, dass versucht wird, bestimmte Ausgangsdaten 127 zu erzeugen. In diesem Fall werden nicht standardisierte Stimulationsdaten 126 in das KI-Modul 123, 123" eingespeist, sondern es werden ausgehend von bestimmten Soll-Ausgangswerten die dazugehörigen Stimulationsdaten 126 in einem vorgegebenen Rahmen variiert und somit die erforderlichen Ausgangsdaten 127 erzeugt. Sofern entsprechend vorgegebene Ausgangsdaten 127 des KI-Moduls 123, 123" mit Hilfe der in einem Toleranzbereich liegenden variablen Stimulationsdaten 126 erzeugt werden konnten, ist das KI-Modul 123, 123" voll funktionsfähig und kann verwendet bzw. - wie oben beschrieben - für den Betrieb außerhalb der Simulationsumgebung 125 freigegeben werden. Können dagegen vorgegebene Ausgangsdaten 127, wie beispielsweise die Ansteuerung eines bestimmten Aktuators des Fahrzeugs 100, nicht mit den Stimulationsdaten 126 innerhalb der erlaubten Eingangsdatenvariation erzeugt werden, so ist dies ein Hinweis dafür, dass das KI-Modul 123, 123" nicht einwandfrei funktioniert.In some embodiments, the AI module 123 , 123 " within the simulation environment 125 be stimulated in such a way that an attempt is made to obtain certain output data 127 to create. In this case, non-standardized stimulation data 126 into the AI module 123 , 123 " fed, but based on certain target output values, the associated stimulation data 126 varies within a given range and thus the required output data 127 generated. If specified output data 127 of the AI module 123 , 123 " with the help of the variable stimulation data lying within a tolerance range 126 could be created is the AI module 123 , 123 " fully functional and can be used or - as described above - for operation outside the simulation environment 125 be released. Can, on the other hand, predetermined output data 127 , such as the control of a specific actuator of the vehicle 100 , not with the stimulation data 126 generated within the permitted input data variation, this is an indication that the AI module 123 , 123 " not working properly.

3 zeigt eine Ausführungsform, in der das Fahrzeug 100 über eine Car-to-X Kommunikationsverbindung mit einem Server und/oder Cloud 200 für eine Datenkommunikation verbunden ist. Der Server bzw. die Cloud 200 weist eine Datenverarbeitungseinrichtung 210, z.B. einen Computer, auf, der ein zu dem KI-Modul 123 identisches Referenz-KI-Modul 211 vorhalten und ausführen kann. Der Funktionsumfang entspricht im Wesentlichen dem der Simulationsumgebung 125, wobei das Referenz-KI-Modul 211 dazu eingerichtet ist, mit Hilfe von fest definierten bzw. vorbestimmten Stimulationsdaten 212 angesteuert bzw. stimuliert zu werden. Beispielsweise werden die Stimulationsdaten 212 einem Eingang des KI-Moduls 211, z.B. einer Eingangsschicht seines KNN, zugeführt. Nach einer entsprechenden Verarbeitung der zugeführten Stimulationsdaten 212 werden Referenzausgangsdaten 213 erzeugt. 3rd shows an embodiment in which the vehicle 100 via a Car-to-X communication connection with a server and / or cloud 200 is connected for data communication. The server or the cloud 200 has a data processing device 210 , for example a computer, which is one to the AI module 123 identical reference AI module 211 can hold and execute. The range of functions essentially corresponds to that of the simulation environment 125 , where the reference AI module 211 is set up with the help of defined or predetermined stimulation data 212 to be controlled or stimulated. For example, the stimulation data 212 an input of the AI module 211 , eg an input layer of its KNN. After appropriate processing of the supplied stimulation data 212 become reference output data 213 generated.

In einigen Ausführungsformen kann eine Generierung der Sollwerte für die Ausgangsdaten 127 des KI-Moduls 123, 123" des Fahrzeugs 100 mit Hilfe des Referenz-KI-Moduls 211 innerhalb des Servers bzw. der Cloud 200 erfolgen. In diesem Fall können beispielsweise fahrzeugvariantenspezifische Eingangsdaten bzw. Standarddaten bzw. Grenzwerte als Stimulationsdaten 212 in das Referenz-KI-Modul 211 innerhalb des Servers bzw. der Cloud 200 eingespeist und die Referenzausgangsdaten 213 erzeugt werden. Anschließend werden genau diese Stimulationsdaten 212 und Referenzausgangsdaten 213 für die oben beschriebene Integritätsprüfung innerhalb des Fahrzeugs 100 hinterlegt, beispielsweise über eine Car-to-X Kommunikationsverbindung zur Datenübertragung an das Fahrzeug 100 oder bereits bei der Fahrzeugproduktion.In some embodiments, generation of the setpoints for the output data 127 of the AI module 123 , 123 " of the vehicle 100 with the help of the reference AI module 211 within the server or the cloud 200 respectively. In this case, input variant data or standard data or limit values can be used as stimulation data, for example 212 into the reference AI module 211 within the server or the cloud 200 and the reference output data 213 be generated. Then exactly this stimulation data 212 and reference output data 213 for the integrity check described above within the vehicle 100 stored, for example via a Car-to-X communication link for data transmission to the vehicle 100 or already during vehicle production.

Ausgehend von den dargestellten Ausführungsbeispielen kann die Erfindung in vielerlei Hinsicht abgewandelt werden.Based on the exemplary embodiments shown, the invention can be modified in many ways.

Beispielsweise kann die Integritätsprüfung bereits bei der Fahrzeugproduktion erfolgen. Hierzu werden die festgelegten Stimulationsdaten 126 bereits zu diesem Zeitpunkt in der Datenverarbeitungseinrichtung 120 bzw. der Vorrichtung 110 nichtflüchtig gespeichert. In einer anschließenden initialen Integritätsprüfung werden die Ausgabewerte des KI-Moduls gegen Sollwerte verglichen (zum Beispiel über eine Diagnosefunktion). Liegen die Ausgangsdaten 127 des KI-Moduls 123, 123" innerhalb eines bestimmten Toleranzbereichs, so wird das KI-Modul 123, 123" für dieses Fahrzeug 100 freigegeben, beispielsweise indem bestimmte Statusbytes im nichtflüchtigen Speicher über die Diagnosefunktion gesetzt werden. Darüber hinaus werden die Ausgangsdaten genau dieser initialen Integritätsprüfung für die oben beschriebene, spätere Integritätsprüfung bei z.B. dem Fahrzeugstart oder den anderen oben beschriebenen Bedingungen in den nichtflüchtigen Speicher 122' des Fahrzeugs 100 abgelegt, welche Ausgangsdaten? dann den Ausgangsdaten 127 entsprechen?. Das bedeutet, dass die Ausgabedaten 127 dem Sollverhalten des KI-Moduls 123 zum Zeitpunkt der Produktion entsprechen.For example, the integrity check can already take place during vehicle production. For this, the defined stimulation data 126 already at this point in the data processing device 120 or the device 110 stored non-volatile. In a subsequent initial integrity check, the output values of the AI module are compared to setpoints (for example using a diagnostic function). Are the initial data 127 of the AI module 123 , 123 " within a certain tolerance range, so the AI module 123 , 123 " for this vehicle 100 released, for example by setting certain status bytes in the non-volatile memory via the diagnostic function. In addition, the output data of precisely this initial integrity check for the later described integrity check when, for example, starting the vehicle or the other conditions described above are stored in the non-volatile memory 122 ' of the vehicle 100 filed, what output data? then the output data 127 correspond?. That means the output data 127 the target behavior of the AI module 123 at the time of production.

Des Weiteren kann in einigen Ausführungsformen der Speicherinhalt des flüchtigen Speichers 122", in welchem sich das KI-Modul 123, 123" im laufenden Fahrzeugbetrieb befindet, zyklisch mit dem Speicherinhalt des flüchtigen Speichers 122' verglichen werden, um beispielsweise festzustellen, ob die Integrität auch während des laufenden Fahrzeugbetrieb gegeben ist. Ist diese Integritätsprüfung positiv, so wird das KI-Modul 123, 123" auch weiterhin ausgeführt. Ist der Integritätstest jedoch negativ, so ist dies ein Hinweis dafür dass sich der Speicherinhalt des flüchtigen Speichers 122" im laufenden Fahrbetrieb geändert hat. Dies kann beispielsweise aufgrund von Bittkippern der Fall sein, oder aber das Fahrzeug wurde im laufenden Betrieb manipuliert, beispielsweise gehackt. In diesem Fall wird die KI unmittelbar aus dem flüchtigen Speicher 122" in einen weiteren Speicherbereich des nichtflüchtigen Speichers 122' hinein geladen und bezüglich Integrität geprüft. Nach positiv erfolgter Integritätsprüfung erfolgt eine Umschaltung der autonomen Fahrfunktion auf das neugeladene KI-Modul 123, während die Ausführung des alten KI-Moduls 123 unmittelbar gestoppt wird. Ist die Integritätsprüfung beim erneuten Laden des KI-Moduls 123 in den weiteren Speicherbereich des flüchtigen Speichers 122" jedoch negativ, so wird das Fahrzeug 100 in einen sicheren Zustand versetzt.Furthermore, in some embodiments, the memory content of volatile memory 122 " , in which the AI module 123 , 123 " is in the running vehicle operation, cyclically with the memory content of the volatile memory 122 ' can be compared, for example, to determine whether the integrity is also present while the vehicle is running. If this integrity check is positive, the AI module 123 , 123 " continue to run. However, if the integrity test is negative, this is an indication that the memory content of the volatile memory 122 " changed while driving. This can be the case, for example, due to bit dumpers, or the vehicle was manipulated, for example hacked, during operation. In this case, the AI is immediately removed from the volatile memory 122 " into another memory area of the non-volatile memory 122 ' loaded into it and checked for integrity. After a positive integrity check, the autonomous driving function is switched to the newly loaded AI module 123 while running the old AI module 123 is stopped immediately. Is the integrity check when reloading the AI module 123 in the further memory area of the volatile memory 122 " however negative, so the vehicle 100 put in a safe state.

Claims

Method for checking the integrity of an artificial intelligence module (123, 123 ', 123 "), AI module, a robot, with the steps: - Operation of the AI module (123, 123 ', 123 ") in a robot-side simulation environment (125) in which an at least partially automated control of the robot which can be achieved by the AI module (123, 123', 123") is prevented , Supplying, within the simulation environment (125), stimulation data (126) to the AI module (123, 123 ', 123 "), - Receiving, within the simulation environment (125), output data of the AI module (123, 123 ', 123 ") in response to the stimulation data (126) supplied Comparing the output data obtained from the AI module (123, 123 ', 123 ") with reference output data which can be assigned or assigned to the stimulation data (126) supplied, - The integrity of the AI module (123, 123 ', 123 ") being determined as a function of the result of the comparison.

Procedure according to Claim 1 , the robot being controlled as a function of the specific integrity of the AI module (123, 123 ', 123 ").

Procedure according to Claim 1 or 2nd Operation of the KI module (123, 123 ', 123 ") outside the simulation environment (125) for at least partially automated control of the robot is only enabled if the output data match the reference output data.

Procedure according to Claim 3 , wherein, during the already released operation of the AI module (123, 123 ', 123 ") outside the simulation environment (125), the AI module (123, 123', 123") is at least temporarily operated again within the simulation environment (125) is carried out, in which at least the steps of supplying the stimulation data (126), obtaining the output data and comparing the output data with the reference output data take place.

Method according to one of the preceding claims, wherein the AI module (123, 123 ', 123 ") is transferred from a non-volatile memory (122') to a volatile memory (122") before the robot (100) switches to an operational state and the stimulation data (126) are supplied to the AI module (123, 123 ', 123 ") located in the volatile memory (122").

Procedure according to Claim 5 a transmission error indicator is obtained which indicates a transmission error in the transfer of the AI module (123, 123 ', 123 ") from the non-volatile memory (123') to the volatile memory (123"), and wherein the AI module (123, 123 ', 123 ") is transferred to the volatile memory (123") in response to the displayed transmission error for the purpose of a new integrity check.

Method according to one of the preceding claims, wherein in the event of a deviation of the output data (127) from the reference output data (128) the AI module (123, 123 ', 123 ") or a data content of the same is provided for a server (200), wherein in In response to the provision of the AI module (123, 123 ', 123 ") or its data content to the server (200), an AI module comparison indicator is obtained which indicates whether the AI module (123 , 123 ', 123 ") of the robot (100) matches a reference AI module of the server (200), and wherein the robot (100) is controlled on the basis of the AI module comparison indicator obtained.

Method according to one of the preceding claims, wherein the stimulation data (126) comprise first stimulation data which are set up to generate a first layer of a multilayered artificial neural network, KNN, of the KI module (123, 123 ', 123 ") for generating the output data and the simulation data further comprise second stimulation data, which are set up to control a second layer of the KNN that is different from the first layer in order to generate the output data.

Method according to one of the preceding claims, wherein the stimulation data (126) are obtained from at least one robot-side detection device (130) which is operated for the integrity check in an operating state which specifies and / or predetermines the stimulation data.

Method according to one of the preceding claims, wherein the reference output data (128) are defined in advance as an expected value, the stimulation data are varied within a defined value range and the resulting output data (127) are compared with the reference output data (128).

Method according to one of the preceding claims, wherein the reference output data (128, 213) are obtained from a server (200) which supplies robot-specific input data (212) to a reference AI module (211) operated on the server side, the reference output data (128, 213) on the server side ) and the input data (212) as the stimulation data (126) and the reference outputs (128, 213) for the robot.

Device which is set up to carry out a method according to one of the Claims 1 to 11 perform.

Method for checking the integrity of an artificial intelligence module (123, 123 ', 123 "), AI module, a robot by a server (200), comprising the steps: Obtaining AI module information that can be assigned to the AI module (123, 123 ', 123 ") of the robot, - Operating a reference AI module (211), which corresponds to the AI module (123, 123 ', 123 ") of the robot, to obtain reference output data (213) which the reference AI module (211) in response generated on input data (212), and - Providing at least the reference output data (213) for the robot.

Server-based system that is set up according to a method Claim 13 perform.

Computer program, comprising commands which cause the computer program to be executed by a computer, a method according to one of the Claims 1 to 11 or 13 to execute.

Machine-readable storage medium on which a computer program is based Claim 15 is saved.