DE102019205237B4 - Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts - Google Patents

Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts Download PDF

Info

Publication number
DE102019205237B4
DE102019205237B4 DE102019205237.1A DE102019205237A DE102019205237B4 DE 102019205237 B4 DE102019205237 B4 DE 102019205237B4 DE 102019205237 A DE102019205237 A DE 102019205237A DE 102019205237 B4 DE102019205237 B4 DE 102019205237B4
Authority
DE
Germany
Prior art keywords
asil
display
information
security level
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102019205237.1A
Other languages
English (en)
Other versions
DE102019205237A1 (de
Inventor
Jürgen Lerzer
Eduardo BUJAN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102019205237.1A priority Critical patent/DE102019205237B4/de
Publication of DE102019205237A1 publication Critical patent/DE102019205237A1/de
Application granted granted Critical
Publication of DE102019205237B4 publication Critical patent/DE102019205237B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • B60W2050/143Alarm means

Abstract

Verfahren zum Anzeigen einer ASIL-D-Information (11), bei dem- ein ASIL-D-Gerät (10) eine ASIL-D-Information (11) erzeugt;- ein von dem ASIL-D-Gerät (10) verschiedenes und mit dem ASIL-D-Gerät (10) verbundenes anzeigefähiges Gerät (20) ohne Sicherheitsstufe oder mit einer Sicherheitsstufe geringer als ASIL D in einem Anzeigepufferspeicher (230) des anzeigefähigen Geräts (20) einen separaten Bereich (231) für eine ASIL-D-Anzeigeebene (235, 245) bereitstellt;- das ASIL-D-Gerät (10) die erzeugte ASIL-D-Information (11) unmittelbar in den separaten Bereich (231) des anzeigefähigen Geräts (20) überträgt;- das anzeigefähige Gerät (20) einen Anzeigeinhalt des separaten Bereichs (231), welcher die übertragene ASIL-D-Information (11) umfasst, für ein mit dem anzeigefähigen Gerät (20) verbundenes Anzeigemodul (30) als die ASIL-D-Anzeigeebene (235, 245) bereitstellt.

Description

  • Die Erfindung betrifft ein Verfahren zum Anzeigen einer ASIL-D-Information, bei dem ein ASIL-D-Gerät eine ASIL-D-Information erzeugt, und ein von dem ASIL-D-Gerät verschiedenes und mit dem ASIL-D-Gerät verbundenes anzeigefähiges Gerät die ASIL-D-Information anzeigt. Ferner betrifft die Erfindung ein System mit einem ASIL-D-Gerät und einem von dem ASIL-D-Gerät verschiedenen und mit dem ASIL-D-Gerät verbundenen anzeigefähigen Gerät.
  • Der ISO-Standard ISO26262 definiert für rechnergestützte Geräte (Electronic Control Unit, ECU), welche in Fahrzeugen verbaut werden, vier Sicherheitsstufen (Automotive Safety Integrity Level, ASIL). Diese Sicherheitsstufen werden als ASIL A, ASIL B, ASIL C und ASIL D bezeichnet. Dabei stellt die niedrigste Sicherheitsstufe ASIL A unter den Sicherheitsstufen die schwächsten Sicherheitsanforderungen an ein so klassifiziertes Gerät, während die höchste Sicherheitstufe ASIL D die stärksten Sicherheitsanforderungen an ein so klassifiziertes Gerät stellt.
  • Ein anzeigefähiges Gerät, welches zunehmend als eine zentrale Hochleistungsrechnerplattform (Cockpit High-Performance Computing Plattform, Cockpit HCP) ausgebildet ist, gehört zu den in fast jedem Fahrzeug verbauten Geräten. Die Cockpit-Hochleistungsrechnerplattform integriert Steuerungen von einer Mehrzahl von Fahrzeugsystemen, beispielsweise Komfortsystemen wie einem Informations- und Unterhaltungssystem und/oder bestimmten Fahrassistenzsysteme mit einer geringen Sicherheitsstufe wie beispielsweise einem Navigationssystem, und umfasst in der Regel eine interaktive Mensch-Maschine-Schnittstelle (Human Machine Interface HMI) mit einem Eingabemodul, welches einem Fahrzeuginsassen ein Steuern der integrierten Komfortsysteme und Fahrassistenzsysteme erlaubt, und mit einem Anzeigemodul, welches dem Fahrzeuginsassen einen Betriebszustand des Fahrzeugs und/oder einen Betriebszustand der integrierten Komfortsysteme bzw. Fahrassistenzsysteme anzeigen kann.
  • Durch den hohen Integrationsgrad der Cockpit-Hochleistungsrechnerplattform werden Synergiepotentiale, wie beispielsweise eine einheitliche sämtlichen integrierten Fahrzeugsystemen gemeinsame Mensch-Maschine-Schnittstelle, weitgehend ausgeschöpft, was entsprechend mit geringen Kosten der Cockpit-Hochleistungsrechnerplattform und einer einfachen Handhabung der darin integrierten Fahrzeugsysteme einhergeht. Aufgrund der geringen Sicherheitsrelevanz der üblicherweise integrierten Fahrzeugsysteme muss eine Cockpit-Hochleistungsrechnerplattform für sich genommen regelmäßig relativ geringe Sicherheitsanforderungen erfüllen und ist zumeist mit der Sicherheitsstufe ASIL B klassifiziert. Dies bedeutet, dass die Cockpit-Hochleistungsrechnerplattform ausgebildet ist, Informationen bis zu der Sicherheitsstufe ASIL B anzuzeigen.
  • DE 10 2015 200 292 A1 offenbart ein Anzeigesystem für Informationen bis zu der Sicherheitsstufe ASIL B mit einem anzeigefähigen Gerät und einer Vorrichtung zum Ansteuern des anzeigefähigen Geräts sowie ein Betriebsverfahren für das Anzeigesystem.
  • Gegenwärtig werden zunehmend autonome Fahrfunktionen für Fahrzeuge entwickelt und diese mit entsprechenden Fahrassistenzsystemen ausgestattet. Dabei können die Fahrassistenzsysteme dem Fahrzeug ein vollautonomes, d. h. ganz ohne Mitwirken eines Fahrers auskommendes, oder auch ein teilautonomes, d. h. zumindest zeitweise oder teilweise ohne Mitwirken eines Fahrers auskommendes, Fahren ermöglichen. Fahrassistenzsysteme für teilautnomes oder vollautonomes Fahren besitzen naturgemäß eine hohe Sicherheitsrelevanz für das Fahrzeug und müssen daher relativ hohe Sicherheitsanforderungen erfüllen. Sie sind zumeist je nach Autonomiegrad der Fahrfunktion mit den Sicherheitsstufen ASIL C oder ASIL D klassifiziert.
  • Ein wesentlicher Aspekt eines solchen mit einer hohen Sicherheitsstufe klassifizierten Fahrassistenzsystems liegt darin, dass ein Fahrer den aktuellen Betriebszustand des Fahrassistenzsystems jederzeit sicher kennen oder zumindest sicher erkennen können muss. Mit anderen Worten darf der Fahrer zu keinem Zeitpunkt über den aktuellen Betriebszustand des Fahrassistenzsystems im Unklaren oder gar getäuscht werden. Jedes Fahrassistenzsystem mit einer hohen Sicherheitsstufe muss dem Fahrer daher seinen aktuellen Betriebszustand jederzeit zuverlässig und korrekt mittels einer Information mit einer ebenso hohen Sicherheitsstufe mitteilen. Dabei kommt die größte Bedeutung naturgemäß der Frage zu, ob das Fahrassistenzsystem aktuell aktiv, d. h. eingeschaltet, oder inaktiv, d. h. ausgeschaltet, ist. Der Aktivitätszustand des Fahrassistenzsystems kann die wichtigste von dem Fahrassistenzsystem erzeugte sicherheitskritische Information sein.
  • Das im Fahrzeug verbaute anzeigefähige Gerät, welches die sicherheitskritische Information des Fahrassistenzsystems anzeigt, bevorzugt eine Cockpit-Hochleistungsrechnerplattform, ist in der Regel mit einer geringeren Sicherheitsstufe klassifiziert als das Fahrassistenzsystem. Bereits die geringere Sicherheitsstufe des anzeigefähigen Geräts kann mit einer erhöhten Gefahr für eine irreführende fehlerhafte Anzeige der sicherheitskritischen Information einhergehen. Zur Erhöhung der Zuverlässigkeit und Korrektheit der Anzeige kann einer Fehlfunktion des Anzeigemoduls an sich entgegengewirkt werden.
  • Mit diesem Ziel offenbart DE 10 2017 200 915 A1 ein Verfahren zum Sicherstellen einer Anzeige einer sicherheitskritischen Information. Bei dem Verfahren wird fortlaufend eine Funktion eines Anzeigemoduls geprüft. Wenn dabei eine Fehlerbedingung festgestellt wird, wird ein Anzeigemodus des Anzeigemoduls gestellt, der trotz der vorliegenden Fehlerbedingung jedenfalls ein Anzeigen einer sicherheitskritischen Information ermöglicht. Abgesehen davon wird auch ohne Vorliegen einer Fehlerbedingung ein von dem Anzeigemodul dargestellter Anzeigeinhalt fortwährend mittels eines fehlertoleranten Bildvergleichs verifiziert.
  • Problematisch für die Fahrsicherheit sind in erster Linie diejenigen Fälle, in denen bei einwandfrei funktionierendem Anzeigemodul dennoch eine Anzeige des Betriebszustands des Fahrassistenzsystems von dessen aktuellem Betriebszustand abweicht. Während es vergleichsweise ungefährlich ist, dass dem Fahrer fehlerhaft eine Inaktivität des Fahrassistenzsystems angezeigt wird, während das Fahrassistenzsystem tatsächlich aktiv ist, besteht für das Fahrzeug eine sehr hohe Unfallgefahr, wenn dem Fahrer fehlerhaft eine Aktivität des Fahrassistenzsystems angezeigt wird, während das Fahrassistenzsystem tatsächlich inaktiv ist.
  • Als eine mögliche Ursache für eine ggf. kurzzeitige Diskrepanz zwischen dem aktuellen Betriebszustand des Fahrassistenzsystems und seiner Anzeige kommt das Rendern der zugehörigen sicherheitskritischen Information in Betracht. Diesem Problem widmet sich DE 10 2015 207 354 A1 , indem sie ein Verfahren zum Anzeigen einer sicherheitskritischen Information offenbart, bei dem ein sicherheitskritisches Gerät ein Ausgeben einer vorab gerenderten sicherheitskritischen Information auf ein anzeigefähiges Gerät bewirkt. Dabei wird die vorab gerenderte sicherheitskritische Information stets im Vordergrund eines von einem Anzeigemodul des anzeigefähigen Geräts angezeigten Anzeigeinhalts angezeigt. Auf diese Weise wird sichergestellt, dass das Anzeigen der sicherheitskritischen Information von anderen Informationen unverdeckbar, unverzögert und frei von Renderfehlern erfolgt. Dabei kann die sicherheitskritische Information von einem nach ASIL eingestuften Fahrassistenzsystem erzeugt sein.
  • Eine weitere Möglichkeit zum Vermeiden einer irreführenden Anzeige eines Betriebszustands eines autonomen Fahrassistenzsystems besteht darin, einen möglicherweise falschen Anzeigeinhalt vorsorglich zu verdunkeln, während das Fahrassistenzsystem inaktiv ist. So offenbart DE 10 2016 003 359 A1 offenbart ein Verfahren, bei dem ein mit ASIL D klassifiziertes autonomes Fahrassistenzsystem eine Beleuchtung eines Anzeigemoduls derart steuert, dass die Beleuchtung nur bei einem aktiven Fahrassistenzsystem eingeschaltet ist, um dem Fahrer eine Information über das Vorliegen einer autonomen Fahrfunktion anzuzeigen. Entsprechend ist andernfalls die Beleuchtung abgeschaltet, so dass der Fahrer durch eine von dem Anzeigemodul fehlerhaft und irreführend angezeigte Information über das Vorliegen der autonomen Fahrfunktion keinesfalls getäuscht werden kann.
  • Eine weitere bekannte Möglichkeit besteht darin, für das anzeigefähige Gerät dieselbe hohe Sicherheitsstufe zu verlangen, mit welcher das betreffende Fahrassistenzsystem klassifiziert ist. Alternativ dazu kann die Gefahr einer irreführenden fehlerhaften Anzeige der sicherheitskritischen Information durch Schaffung einer Redundanz verringert werden, indem die sicherheitskritische Information gleichzeitig auf zwei Anzeigemodulen mit einer geringeren Sicherheitsstufe angezeigt wird. Beide Varianten gehen aber mit höheren Kosten für das anzeigefähige Gerät bzw. die anzeigefähigen Geräte einher.
  • Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zum Anzeigen einer ASIL-D-Information vorzuschlagen, bei dem eine ASIL-D-Information eines ASIL-D-Geräts mittels eines anzeigefähigen Geräts mit einer Sicherheitsstufe geringer als ASIL D zuverlässig und korrekt angezeigt wird. Darüber hinaus ist es Aufgabe der Erfindung, ein System mit einem ASIL-D-Gerät und einem anzeigefähigen Geräts mit einer Sicherheitsstufe geringer als ASIL D zur Verfügung zustellen, welches eine ASIL-D-Information des ASIL-D-Geräts zuverlässig und korrekt anzeigt.
  • Gegenstand der Erfindung ist ein Verfahren zum Anzeigen einer ASIL-D-Information, bei dem ein ASIL-D-Gerät eine ASIL-D-Information erzeugt und ein von dem ASIL-D-Gerät verschiedenes und mit dem ASIL-D-Gerät verbundenes anzeigefähiges Gerät die ASIL-D-Information anzeigt. Das ASIL-D-Gerät kann ein Fahrassistenzsystem mit einer voll- oder teilautonomen Fahrfunktion sein. Die ASIL-D-Information betrifft bevorzugt einen Betriebszustand des Fahrassistenzsystems, besonders bevorzugt eine bloße Aktivität, also einen Aktivitätszustand, des Fahrassistenzsystems, d. h. die Frage, ob das Fahrassistenzsystem aktiv oder inaktiv ist. Der Fachmann versteht, dass die Erfindung ohne weiteres auch auf den Fall anwendbar ist, in dem das Fahrassistenzsystem eine teilautonome Fahrfunktion aufweist, mit der Sicherheitsstufe ASIL C klassifiziert ist und somit eine ASIL-C-Information erzeugt. Entsprechend kann das Schutzbegehren alternativ oder zusätzlich auch auf ein Verfahren gerichtet werden, bei dem ein ASIL-C-Gerät eine ASIL-C-Information erzeugt.
  • Bei dem anzeigefähigen Gerät handelt es sich vorteilhaft um eine Cockpit-Hochleistungsrechnerplattform, welche wie üblich maximal mit der Sicherheitsstufe ASIL B klassifiziert ist. Diese Gerätekonstellation dürfte in der Praxis aus wirtschaftlichen Gründen sehr häufig anzutreffen sein, so dass sich eine Vielzahl von Verwendungsmöglichkeiten für die Erfindung ergibt.
  • Bei dem erfindungsgemäßen Verfahren
    • - stellt ein von dem ASIL-D-Gerät verschiedenes und mit dem ASIL-D-Gerät verbundenes anzeigefähiges Gerät ohne Sicherheitsstufe oder mit einer Sicherheitsstufe geringer als ASIL D in einem Anzeigepufferspeicher des anzeigefähigen Geräts einen separaten Bereich für eine ASIL-D-Anzeigeebene bereit;
    • - überträgt das ASIL-D-Gerät die erzeugte ASIL-D-Information unmittelbar in den separaten Bereich des anzeigefähigen Geräts; und
    • - stellt das anzeigefähige Gerät einen Anzeigeinhalt des separaten Bereichs, welcher die übertragene ASIL-D-Information umfasst, für ein mit dem anzeigefähigen Gerät verbundenes Anzeigemodul als die ASIL-D-Anzeigeebene bereit.
  • Das ASIL-D-Gerät greift demnach ausschließlich, d. h. ohne Mitwirken von Funktionsmodulen des anzeigefähigen Geräts, und unmittelbar schreibend auf den separaten Bereich des Anzeigepufferspeichers des anzeigefähigen Geräts zu. Auf diese Weise ist sichergestellt, dass die ASIL-D-Information nicht durch das anzeigefähige Gerät verändert oder verfälscht werden kann. Dem anzeigefähigen Gerät obliegt es, den Anzeigeinhalt des separaten Bereichs, der eine ASIL-D-Anzeigeebene bildet, an das Anzeigemodul auszugeben. Alternativ kann auch das Anzeigemodul den separaten Bereich des Anzeigepufferspeichers selbständig auslesen.
  • In einer bevorzugten Ausführungsform
    • - stellt das anzeigefähige Gerät in dem Anzeigepufferspeicher einen von dem separaten Bereich verschiedenen weiteren Bereich des Anzeigepufferspeichers jeweils für eine Anzeigeebene ohne Sicherheitsstufe und/oder für eine Anzeigeebene mit der Sicherheitsstufe geringer als ASIL D bereit;
    • - erzeugt ein Funktionsmodul ohne Sicherheitsstufe des anzeigefähigen Geräts eine Information ohne Sicherheitsstufe und/oder erzeugt ein Funktionsmodul mit der Sicherheitsstufe geringer als ASIL D eine Information mit der Sicherheitsstufe geringer als ASIL D;
    • - überträgt das Funktionsmodul ohne Sicherheitsstufe die erzeugte Information ohne Sicherheitsstufe in den weiteren Bereich und/oder überträgt das Funktionsmodul mit der Sicherheitsstufe geringer als ASIL D die erzeugte Information mit der Sicherheitsstufe geringer als ASIL D in den weiteren Bereich;
    • - führt ein Mischmodul des anzeigefähigen Geräts den Anzeigeinhalt des sicheren Bereichs, welcher die ASIL-D-Information umfasst, und einen Anzeigeinhalt des weiteren Bereichs, welcher die Information ohne Sicherheitsstufe und/oder die Information mit einer Sicherheitsstufe geringer als ASIL D umfasst, derart zu einem gemischten Anzeigeinhalt zusammen, dass die ASIL-D-Anzeigeebene stets einen Vordergrund des gemischten Anzeigeinhalts und die Anzeigeebene ohne Sicherheitsstufe und die Anzeigeebene mit einer Sicherheitsstufe geringer als ASIL D einen Hintergrund des gemischten Anzeigeinhalts bildet; und
    • - stellt das anzeigefähige Gerät den gemischten Anzeigeinhalt für das Anzeigemodul bereit.
  • Der Anzeigepufferspeicher kann demnach zwei weitere Bereiche umfassen, welche jeweils eine Anzeigeebene ohne Sicherheitsstufe bzw. eine Anzeigeebene mit einer Sicherheitsstufe geringer als ASIL-D, bevorzugt eine ASIL-B-Anzeigeebene, enthalten können, welche von entsprechenden Funktionsmodulen des anzeigefähigen Geräts erzeugt werden. Bei den Funktionsmodulen kann es sich beispielsweise um ein Informations- oder Entertainmentsystem bzw. ein Navigationssystem handeln. Die Anzeigeinhalte der bis zu drei Bereiche des Anzeigepufferspeichers werden von dem Mischmodul durch Überlagern oder auf andere Weise zu dem gemischten Anzeigeinhalt zusammengeführt, welcher für das Anzeigemodul bereitgestellt wird. Dabei können die Anzeigeebenen derart hierarchisch übereinander angeordnet werden, dass sich die ASIL-D-Anzeigeebene im Vordergrund, die Anzeigeebene mit der Sicherheitsstufe geringer als ASIL D dahinter und die Anzeigeebene ohne Sicherheitsstufe hinter der Anzeigeebene mit der Sicherheitsstufe geringer als ASIL D befindet, um auszuschließen, dass sicherheitskritischere Informationen durch weniger sicherheitskritische Informationen verdeckt werden.
  • Idealerweise verfällt die ASIL-D-Information in dem separaten Bereich des Anzeigepufferspeichers automatisch nach einer vorbestimmten Zeit oder mit einem Wechsel des Anzeigeinhalts des separaten Bereichs. Dadurch wird einem unerwünschten Einfrieren der ASIL-D-Information und damit eine irreführende fehlerhafte Anzeige der ASIL-D-Information zuverlässig vermieden.
  • Alternativ oder zusätzlich zu dem automatischen Verfallen der ASIL-D-Information in dem separaten Bereich des Anzeigepufferspeichersk kann das anzeigefähige Gerät (20) fortlaufend den separaten Bereich (231) des Anzeigepufferspeichers (230) überwachen und, wenn eine Übertragung der ASIL-D-Information gestört ist, in den weiteren Bereich (232) mit der Sicherheitsstufe geringer als ASIL D eine Absicherungsinformation übertragen sowie das Mischmodul (241) derart steuern, dass es den separaten Bereich (231) beim Zusammenführen ignoriert. Beispielsweise umfasst die Absicherungsinformation einen leeren oder schwarzen Anzeigebereich oder eine Grafik und/oder einen Text, welche eine Inaktivität des ASIL-D-Geräts anzeigen. Das fortlaufende Überwachen ermöglicht dem anzeigefähigen Gerät ein Erkennen eines Einfrierens der ASIL-D-Information. Durch das ersatzweise Anzeigen der Absicherungsinformation anstelle der ASIL-D-Information wird einer irreführenden fehlerhaften Anzeige einer - tatsächlich nicht vorliegenden - Aktivität des ASIL-D-Geräts aktiv entgegengewirkt.
  • In einer vorteilhaften Ausführungsform steuert das ASIL-D-Gerät das den weiteren Bereich des Anzeigepufferspeichers steuernde Funktionsmodul ohne Sicherheitsstufe und/oder das den weiteren Bereich steuernde Funktionsmodul mit der Sicherheitsstufe geringer als ASIL D mittels eines Steuermoduls des anzeigefähigen Geräts. Kurz gesagt, kontrolliert das ASIL-D-Gerät Funktionen des anzeigefähigen Geräts, wodurch die Gefahr einer irreführenden fehlerhaften Anzeige der ASIL-D-Information verringert ist.
  • In einer weiteren vorteilhaften Ausführungsform steuert das ASIL-D-Gerät den weiteren Bereich des Anzeigepufferspeichers mittels eines Steuermoduls des anzeigefähigen Geräts. Mit anderen Worten unterliegt auch der weitere Bereich des Anzeigepufferspeichers des anzeigefähigen Geräts der Kontrolle des ASIL-D-Geräts, wodurch die Gefahr einer irreführenden fehlerhaften Anzeige der ASIL-D-Information weiter verringert ist.
  • Das Anzeigemodul kann den Anzeigeinhalt visuell und/oder akustisch anzeigen. Für eine visuelle Anzeige kann das Anzeigemodul in bekannter Weise beispielsweise einen Flüssigkristallbildschirm (Liquid Crystal Display, LCD) oder ein Head-Up-Display (HUP) umfassen, welches einen Anzeigeinhalt auf einer Windschutzscheibe des Fahrzeugs anzeigt, vorteilhaft als Augmented Reality (AR). Für eine akustische Anzeige kann das Anzeigemodul in bekannter Weise einen oder mehrere Lautsprecher umfassen, welche im Fahrzeug verteilt angeordnet sind.
  • Das anzeigefähige Gerät kann den Anzeigeinhalt auch mittels einer Mehrzahl von mit dem anzeigefähigen Gerät verbundenen Anzeigemodulen anzeigen. Die Mehrzahl von Anzeigemodulen schafft einerseits Redundanz und damit erhöhte Sicherheit gegen den Totalausfall eines Anzeigemoduls. Andererseits ermöglicht sie, Informationen abhängig von der Art und/oder der Sicherheitsstufe getrennt voneinander anzuzeigen.
  • In anderen Ausführungsformen werden aufeinander folgende Anzeigeinhalte eines Anzeigemoduls als ein Videostrom zu dem ASIL-D-Gerät übertragen und überwacht das ASIL-D-Gerät den Videostrom, um ein fehlerhaftes Anzeigen oder Nichtanzeigen der ASIL-D-Information zu erkennen. Der Videostrom erlaubt dem ASIL-D-Gerät ein fortwährendes Überprüfen der Korrektheit der Anzeige, wodurch die Gefahr einer irreführenden fehlerhaften Anzeige verringert ist.
  • Alternativ oder zusätzlich wird aus einem Anzeigeinhalt eines Anzeigemoduls eine Prüfsumme berechnet und überwacht das ASIL-D-Gerät die berechnete Prüfsumme (Cyclic Redundany Check, CRC), um ein fehlerhaftes Anzeigen oder Nichtanzeigen der ASIL-D-Information zu erkennen. Die Prüfsumme erlaubt dem ASIL-D-Gerät ein fortwährendes Überprüfen der Korrektheit der Anzeige, wodurch die Gefahr einer irreführenden fehlerhaften Anzeige verringert ist.
  • Bevorzugt wird die ASIL-D-Information mittels eines ASIL-A-Geräts, eines ASIL-B-Geräts oder eines ASIL-C-Geräts als anzeigefähigem Gerät angezeigt. Besonders bevorzugt ist das anzeigefähige Gerät mit der Sicherheitsstufe ASIL B klassifiziert.
  • Gegenstand der Erfindung ist auch ein System, welches ein ASIL-D-Gerät, ein von dem ASIL-D-Gerät verschiedenes und mit dem ASIL-D-Gerät verbundenes anzeigefähiges Gerät umfasst. Das ASIL-D-Gerät kann als ein sicherheitskritisches Fahrassistenzystem ausgebildet sein und beispielsweise eine vollautonome Fahrfunktion aufweisen. Das anzeigefähige Gerät dient dem Anzeigen einer ASIL-D-Information des ASIL-D-Geräts. Das anzeigefähige Gerät kann mit dem ASIL-D-Gerät über eine dedizierte Verbindung oder eine allgemeine Netzwerkverbindung (Bussystem) verbunden sein. Der Fachmann weiß zu schätzen, dass die Erfindung ohne weiteres auch auf den Fall anwendbar ist, in dem das Fahrassistenzsystem eine teilautonome Fahrfunktion aufweist, mit der Sicherheitsstufe ASIL C klassifiziert ist und somit eine ASIL-C-Information erzeugt. Entsprechend kann das Schutzbegehren auch auf ein ASIL-C-Gerät erstreckt werden, welches eine ASIL-C-Information erzeugt.
  • Erfindungsgemäß ist das anzeigefähige Gerät ein Gerät ohne Sicherheitsstufe oder mit einer Sicherheitsstufe geringer als ASIL D und umfasst das System mindestens ein an das anzeigefähige Gerät angeschlossenes Anzeigemodul und ist konfiguriert, eine ASIL-D-Information mittels des anzeigefähigen Geräts in einem erfindungsgemäßen Verfahren anzuzeigen. Das anzeigefähige Gerät ist wegen der verglichen mit dem ASIL-D-Gerät geringen Sicherheitsstufe kostengünstig und ermöglicht dank des vorgeschlagenen Betriebsverfahrens dennoch eine zuverlässige und korrekte Anzeige einer sicherheitskritischen Information. Das Anzeigemodul kann separat von dem anzeigefähigen Gerät vorgesehen und an das anzeigefähige Gerät angeschlossen oder integriert mit dem anzeigefähigen Gerät ausgebildet sein. Wenn das Anzeigemodul separat von dem anzeigefähigen Gerät vorgesehen ist, kann es mit dem Anzeigemodul über eine dedizierte Verbindung oder eine allgemeine Netzwerkverbindung (Bussystem) verbunden sein.
  • Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass ein anzeigefähiges Gerät mit einer relativ geringen Sicherheitsstufe eine sicherheitskritische Information eines Geräts mit einer relativ hohen Sicherheitsstufe zuverlässig und korrekt anzeigt. Auf diese Weise kann zu relativ geringen Kosten für das anzeigefähige Gerät eine zuverlässige und korrekte Anzeige von Informationen mit einer hohen Sicherheitsstufe realisiert werden. Weiterhin ist vorteilhaft, dass die koststpielige Sicherheitsstufe ASIL D auf diejenigen Geräte beschränkt sein kann, welche eine für das Fahrzeug sicherheitskritische Funktion bereitstellen. Hinzu kommt, dass die Handhabbarkeit des anzeigefähigen Geräts für in das anzeigefähige Gerät integrierte Systeme ohne Sicherheitsstufe oder mit einer relativ geringen Sicherheitsstufe nicht durch Anforderungen einer unnötig höheren Sicherheitsstufe beeinträchtigt ist.
  • Die Erfindung ist anhand einer Ausführungsform in den Zeichnungen schematisch dargestellt und wird unter Bezugnahme auf die Zeichnungen weiter beschrieben. Es zeigt:
    • 1 in einer schematischen Darstellung ein Blockdiagramm eines ersten Systems des Stands der Technik;
    • 2 in einer schematischen Darstellung ein Blockdiagramm eines zweiten Systems des Stands der Technik;
    • 3 in einer schematischen Darstellung ein Blockdiagramm eines Systems nach einer Ausführungsform der Erfindung.
  • 1 zeigt in einer schematischen Darstellung ein Blockdiagramm eines ersten Systems des Stands der Technik. Das System umfasst ein ASIL-D-Gerät 10 und ein anzeigefähiges Gerät 12 mit der Sicherheitsstufe ASIL D sowie ein mit dem anzeigefähigen Gerät 12 verbundenes Anzeigemodul 13 mit der Sicherheitsstufe ASIL D. Das ASIL-D-Gerät 10 erzeugt eine ASIL-D-Information 11 und übermittelt diese an das anzeigefähige Gerät 12. Das anzeigefähige Gerät 12 stellt die ASIL-D-Information für das Anzeigemodul 13 bereit, welches die ASIL-D-Information anzeigt. Bei diesem System erfüllen sämtliche Komponenten die Sicherheitsanforderungen der Sicherheitsstufe ASIL-D, wodurch eine irreführende fehlerhafte Anzeige der ASIL-D-Information praktisch ausgeschlossen ist.
  • 2 zeigt in einer schematischen Darstellung ein Blockdiagramm eines zweiten Systems des Stands der Technik. Das System umfasst ein ASIL-D-Gerät 10 und zwei anzeigefähige Geräte 20 mit der Sicherheitsstufe ASIL B sowie zwei mit jeweils einem anzeigefähigen Gerät 20 verbundene Anzeigemodule 30 mit der Sicherheitsstufe ASIL B. Das ASIL-D-Gerät 10 erzeugt eine ASIL-D-Information 11 und übermittelt diese an beide anzeigefähigen Geräte 20. Jedes anzeigefähige Gerät 20 stellt die ASIL-D-Information für das mit ihm verbundene Anzeigemodul 30 bereit, welches die ASIL-D-Information 11 anzeigt. Bei diesem System sind die anzeigefähigen Geräte 20 mit der Sicherheitsstufe ASIL B, also mit einer Sicherheitsstufe geringer als ASIL-D, klassifiziert. Eine irreführende fehlerhafte Anzeige der ASIL-D-Information 11 wird infolge der Redundanz praktisch ausgeschlossen bzw. einfach erkennbar.
  • Die beiden in den 1 und 2 gezeigten bekannten Lösungen sind jeweils wegen der hohen Sicherheitsstufe des anzeigefähigen Geräts 12 sowie des Anzeigemoduls 13 bzw. wegen der Verdopplung des anzeigefähigen Geräts 20 sowie des Anzeigemoduls 30 teuer in der Herstellung und in der Montage.
  • 3 zeigt in einer schematischen Darstellung ein Blockdiagramm eines Systems 1 nach einer Ausführungsform der Erfindung. Das System 1, umfasst ein ASIL-D-Gerät 10 in Form eines Fahrassistenzsystems für vollautonomes Fahren, welches konfiguriert ist, eine ASIL-D-Information 11 zu erzeugen. Das Fahrassistenzsystem kann alternativ mit der Sicherheitsstufe ASIL C klassifiziert sein und konfiguriert sein, eine ASIL-C-Information zu erzeugen. Bei dieser Alternative wären allerdings im Folgenden sämtliche auf das ASIL-D-Gerät 10 bezogenen Nennungen der Sicherheitsstufe ASIL D durch ASIL C zu ersetzen.
  • Ferner umfasst das System 1 ein von dem ASIL-D-Gerät 10 verschiedenes und mit dem ASIL-D-Gerät 10 verbundenes anzeigefähiges Gerät 20 mit der Sicherheitsstufe ASIL B, welches als eine Cockpit-Hochleistungsrechnerplattform (Cockpit High-Performance Computing Platform, HCP) ausgebildet ist. Die Cockpit-Hochleistungsrechnerplattform kann alternativ mit der Sicherheitsstufe ASIL A oder ASIL C klassifiziert sein. Bei dieser Alternative wären allerdings im Folgenden sämtliche auf das anzeigefähige Gerät bezogenen Nennungen der Sicherheitsstufe ASIL B durch ASIL A bzw. ASIL C zu ersetzen. Insgesamt kann das System bei einem ASIL-D-Gerät 10 ein anzeigefähiges Gerät mit der Sicherheitsstufe ASIL A, ASIL B oder ASIL C umfassen und bei einem ASIL-C-Gerät ein anzeigefähiges Gerät mit der Sicherheitsstufe ASIL A oder ASIL B.
  • Das anzeigefähige Gerät 20 umfasst ein Ein-Chip-System (System on a Chip, SoC) 200 sowie eine physikalische Anzeigeschnittstelle 21 zum Anschließen eines Anzeigemoduls 30 an das anzeigefähige Gerät 20. In anderen Ausführungsformen umfasst das anzeigefähige Gerät 20 keine physikalische Anzeigeschnittstelle 21 und ist das Anzeigemodul 30 in das anzeigefähige Gerät 20 integriert.
  • Das Ein-Chip-System 200 umfasst ein Funktionsmodul 210 ohne Sicherheitsstufe, beispielsweise in Form eines Informations- und Entertainmentsystems, welches konfiguriert ist, Informationen 211 ohne Sicherheitsstufe zu erzeugen. Ferner umfasst das Ein-Chip-System 200 ein Funktionsmodul 220 mit der Sicherheitsstufe ASIL B, beispielsweise ein Navigationssystem, welches konfiguriert ist, eine ASIL-B-Information 221 zu erzeugen.
  • Zu dem Ein-Chip-System 200 gehört auch ein Anzeigepufferspeicher 230, welcher DRAM-Bausteine (Dynamic Random Access Memory) umfasst, aber auch alternative Speicherbausteine aufweisen kann. Das anzeigefähige Gerät 20 stellt in dem Anzeigepufferspeicher 230 einen separaten Bereich 231 für eine ASIL-D-Anzeigeebene 235 und zwei weitere Bereiche 232 jeweils für eine Anzeigeebene 233 ohne Sicherheitsstufe und eine Anzeigeebene 234 mit der Sicherheitsstufe ASIL B bereit. Das ASIL-D-Gerät 10 ist konfiguriert, die erzeugte ASIL-D-Information 11 ohne Mitwirken des anzeigefähigen Geräts 20 unmittelbar in den separaten Bereich 231 zu übertragen. Das Funktionsmodul 210 ohne Sicherheitsstufe ist konfiguriert, die erzeugten Nachrichten 211 ohne Sicherheitsstufe in einen ersten weiteren Bereich 232 des Anzeigepufferspeichers 230 zu übertragen. Weiterhin ist das Funktionsmodul 220 mit der Sicherheitsstufe ASIL B konfiguriert, die erzeugte ASIL-B-Nachricht 221 in den zweiten weiteren Bereich 232 des Anzeigepufferspeichers 230 zu übertragen.
  • Das Ein-Chip-System 200 umfasst zudem ein Anzeigesubsystem 240 mit einem Mischmodul 241, welches ausgebildet ist, in dem separaten Bereich 231 sowie in den beiden weiteren Bereichen 232 enthaltene Anzeigeebenen 243, 244, 245 zu einem gemischten Anzeigeinhalt zusammenzuführen, und ein Schnittstellenmodul 250 zum Verbinden des Ein-Chip-Systems 200 mit einer physikalischen Anzeigeschnittstelle 21 des anzeigefähigen Geräts 20.
  • Weiterhin umfasst das Ein-Chip-System 200 ein erstes Steuermodul 260, welches konfiguriert ist, dem ASIL-D-Gerät 10 ein Steuern der Funktionsmodule 210, 220 zu ermöglichen, und ein von dem erste Steuermodul 260 verschiedenes zweites Steuermodul 270, welches konfiguriert ist, dem ASIL-D-Gerät 10 ein Steuern des Anzeigepufferspeichers 230 zu ermöglichen. Die Funktionen der beiden Steuermodule 260, 270 können auch in einem Steuermodul des anzeigefähigen Geräts integriert sein.
  • Das System 1 umfasst überdies ein Anzeigemodul 30, das an das anzeigefähige Gerät 20, genauer gesagt an die physikalische Anzeigeschnittstelle 21 des anzeigefähigen Geräts 20, angeschlossen ist. Das Anzeigemodul 30 ist mit dem ASIL-D-Gerät 10 verbunden und konfiguriert, aus aufeinander folgenden Anzeigeinhalten einen Videostrom 31 zu erzeugen und/oder aus einem Anzeigeinhalt eine Prüfsumme 32 zu berechnen und den Videostrom 31 und/oder die berechnete Prüfsumme 32 zu dem ASIL-D-Gerät 10 zu übertragen. Entsprechend ist das ASIL-D-Gerät 10 konfiguriert, den übertragenen Videostrom 31 und/oder die übertragene Prüfsumme 32 zu überwachen.
  • Insgesamt ist das System 1 konfiguriert, die erzeugte ASIL-D-Information 11 mittels des anzeigefähigen Geräts 20 in dem nachfolgend beschriebenen Verfahren anzuzeigen.
  • Während des Betriebs des Systems 1 erzeugt das ASIL-D-Gerät 10 eine ASIL-D-Information 11. Die ASIL-D-Information betrifft den Betriebsszustand des ASIL-D-Geräts 10, beispielsweise den Aktivitätszustand des ASIL-D-Geräts 10, d. h. die Frage, ob das ASIL-D-Gerät 10 aktiv oder inaktiv ist.
  • Das ASIL-D-Gerät 10 überträgt die erzeugte ASIL-D-Information 11 unter Bildung einer ASIL-D-Anzeigeebene 235 unmittelbar, d. h. ohne Mitwirken des anzeigefähigen Geräts 20 in den separaten Bereich 231 des anzeigefähigen Geräts 20. Das anzeigefähige Gerät 20 stellt einen Anzeigeinhalt des separaten Bereichs 231, welcher die übertragene ASIL-D-Information 11 umfasst, infolgedessen für das Anzeigemodul 30 als eine ASIL-D-Anzeigeebene 245 bereit.
  • Das Funktionsmodul 210 ohne Sicherheitsstufe des anzeigefähigen Geräts 20 erzeugt eine Information 211 ohne Sicherheitsstufe und überträgt die erzeugte Information 211 ohne Sicherheitsstufe unter Bildung einer Anzeigeebene 233 ohne Sicherheitsstufe in den ersten weiteren Bereich 232.
  • Das Funktionsmodul 220 mit der Sicherheitsstufe ASIL B erzeugt eine ASIL-B-Information 221 und überträgt die erzeugte ASIL-B-Information unter Bildung einer ASIL-B-Anzeigeebene 234 in den zweiten weiteren Bereich 232.
  • Das anzeigefähige Gerät 20 überwacht fortlaufend den separaten Bereich 231 des Anzeigepufferspeichers 230, um ein Einfrieren der ASIL-D-Information zu erkennen. Wenn eine Übertragung der ASIL-D-Information gestört ist, überträgt das anzeigefähige Gerät in den weiteren Bereich 232 mit der Sicherheitsstufe geringer als ASIL D eine Absicherungsinformation und steuert das Mischmodul 241 derart, dass es den separaten Bereich 231 beim Zusammenführen ignoriert. Beispielsweise umfasst die Absicherungsinformation einen leeren oder schwarzen Anzeigebereich oder eine Grafik und/oder einen Text, welche eine Inaktivität des ASIL-D-Geräts 10 anzeigen. Durch das ersatzweise Anzeigen der Absicherungsinformation anstelle der ASIL-D-Information 11 wird einer irreführenden fehlerhaften Anzeige einer - tatsächlich nicht vorliegenden - Aktivität des ASIL-D-Geräts 10 aktiv entgegengewirkt.
  • Die Anzeigeinhalte der Bereiche 231, 232, 233 werden mittels Speicherdirektzugriff (Direct Memory Access, DMA) zu dem Mischmodul 241 übertragen. Das Mischmodul 241 führt einen Anzeigeinhalt des separaten Bereichs 231, welcher die ASIL-D-Information 11 umfasst, und einen Anzeigeinhalt des ersten weiteren Bereichs 232, welcher die Information 211 ohne Sicherheitsstufe umfasst, sowie einen Anzeigeinhalt des zweiten weiteren Bereichs 232, welcher die ASIL-B-Information 221 umfasst, derart zu einem gemischten Anzeigeinhalt zusammenführt, dass die ASIL-D-Anzeigeebene 245 einen Vordergrund des gemischten Anzeigeinhalts bildet, die ASIL-B-Anzeigeebene 244 dahinter angeordnet wird und die Anzeigeebene 243 ohne Sicherheitsstufe einen Hintergrund der beiden Anzeigeebenen 244, 245 bilden.
  • Das ASIL-D-Gerät 10 kann mittels des Steuermoduls 260 das den ersten weiteren Bereich 232 des Anzeigepufferspeichers 230 steuernde Funktionsmodul 210 ohne Sicherheitsstufe und das den zweiten weiteren Bereich 232 steuernde Funktionsmodul 220 mit der Sicherheitsstufe ASIL B steuern. Zusätzlich kann das ASIL-D-Gerät 10 die beiden weiteren Bereiche 232 des Anzeigepufferspeichers 230 mittels des Steuermoduls 270 steuern.
  • Das anzeigefähige Gerät 20 stellt den gemischten Anzeigeinhalt für das Anzeigemodul 30 bereit, welches den gemischten Anzeigeinhalt visuell, beispielsweise mittels eines Head-Up-Displays (HUD), und/oder akustisch mittels eines Lautsprechers anzeigt.
  • In anderen Ausführungsformen zeigt das anzeigefähige Gerät 20 den Anzeigeinhalt gleichzeitig mittels einer Mehrzahl von mit dem anzeigefähigen Gerät 20 verbundenen Anzeigemodulen 30 an, beispielsweise gleichzeitig mittels eines Head-Up-Displays und mittels eines Flüssigkristallbildschirms (LCD).
  • Aufeinander folgende Anzeigeinhalte des Anzeigemoduls 30 werden fortlaufend als ein Videostrom 31 zu dem ASIL-D-Gerät 10 übertragen, und das ASIL-D-Gerät 10 überwacht den Videostrom 31, um ein fehlerhaftes Anzeigen oder Nichtanzeigen der ASIL-D-Information 11 zu erkennen.
  • In anderen Ausführungsformen wird alternativ oder zusätzlich aus einem Anzeigeinhalt des Anzeigemoduls 30 wiederholt eine Prüfsumme 32 berechnet (Cyclic Redundancy Check, CRC) und zu dem ASIL-D-Gerät 10 übertragen, und das ASIL-D-Gerät 10 überwacht fortlaufend die berechnete Prüfsumme 32, um ein fehlerhaftes Anzeigen oder Nichtanzeigen der ASIL-D-Information 11 zu erkennen.
  • Bezugszeichenliste
    • 1
    System
    10
    ASIL-D-Gerät (ECU)
    11
    ASIL-D-Information
    12
    anzeigefähiges ASIL-D-Gerät (ECU)
    13
    ASIL-D-Anzeigemodul
    20
    anzeigefähiges Gerät (ECU)
    200
    Ein-Chip-System
    210
    Funktionsmodul ohne Sicherheitsstufe
    211
    Information ohne Sicherheitsstufe
    220
    Funktionsmodul mit einer Sicherheitsstufe geringer als ASIL D
    221
    Information mit einer Sicherheitsstufe geringer als ASIL D
    230
    Anzeigepufferspeicher
    231
    separater Bereich
    232
    weiterer Bereich
    233
    Anzeigeebene ohne Sicherheitsstufe
    234
    Anzeigeebene mit einer Sicherheitsstufe geringer als ASIL D
    235
    ASIL-D-Anzeigeebene
    240
    Anzeigesubsystem
    241
    Mischmodul
    242
    Speicherdirektzugriff
    243
    Anzeigeebene ohne Sicherheitsstufe
    244
    Anzeigeebene mit einer Sicherheitsstufe geringer als ASIL D
    245
    ASIL-D-Anzeigeebene
    250
    Schnittstellenmodul
    260
    Steuermodul
    270
    Steuermodul
    21
    Anzeigeschnittstelle
    30
    Anzeigemodul
    31
    Videostrom
    32
    Prüfsumme

Claims (10)

  1. Verfahren zum Anzeigen einer ASIL-D-Information (11), bei dem - ein ASIL-D-Gerät (10) eine ASIL-D-Information (11) erzeugt; - ein von dem ASIL-D-Gerät (10) verschiedenes und mit dem ASIL-D-Gerät (10) verbundenes anzeigefähiges Gerät (20) ohne Sicherheitsstufe oder mit einer Sicherheitsstufe geringer als ASIL D in einem Anzeigepufferspeicher (230) des anzeigefähigen Geräts (20) einen separaten Bereich (231) für eine ASIL-D-Anzeigeebene (235, 245) bereitstellt; - das ASIL-D-Gerät (10) die erzeugte ASIL-D-Information (11) unmittelbar in den separaten Bereich (231) des anzeigefähigen Geräts (20) überträgt; - das anzeigefähige Gerät (20) einen Anzeigeinhalt des separaten Bereichs (231), welcher die übertragene ASIL-D-Information (11) umfasst, für ein mit dem anzeigefähigen Gerät (20) verbundenes Anzeigemodul (30) als die ASIL-D-Anzeigeebene (235, 245) bereitstellt.
  2. Verfahren nach Anspruch 1, bei dem - das anzeigefähige Gerät (20) in dem Anzeigepufferspeicher (230) einen von dem separaten Bereich (231) verschiedenen weiteren Bereich (232) des Anzeigepufferspeichers (230) jeweils für eine Anzeigeebene (233, 243) ohne Sicherheitsstufe und/oder für eine Anzeigeebene (234, 244) mit der Sicherheitsstufe geringer als ASIL D bereitstellt; - ein Funktionsmodul (210) ohne Sicherheitsstufe des anzeigefähigen Geräts (20) eine Information (211) ohne Sicherheitsstufe erzeugt und/oder ein Funktionsmodul (220) mit der Sicherheitsstufe geringer als ASIL D eine Information (221) mit der Sicherheitsstufe geringer als ASIL D erzeugt; - das Funktionsmodul (210) ohne Sicherheitsstufe die erzeugte Information (211) ohne Sicherheitsstufe in den weiteren Bereich (232) überträgt und/oder das Funktionsmodul (220) mit der Sicherheitsstufe geringer als ASIL D die erzeugte Information (221) mit der Sicherheitsstufe geringer als ASIL D in den weiteren Bereich (232) überträgt; - ein Mischmodul (241) des anzeigefähigen Geräts (20) den Anzeigeinhalt des separaten Bereichs (231), welcher die ASIL-D-Information (11) umfasst, und einen Anzeigeinhalt des weiteren Bereichs (232), welcher die Information (211) ohne Sicherheitsstufe und/oder die Information (221) mit der Sicherheitsstufe geringer als ASIL D umfasst, derart zu einem gemischten Anzeigeinhalt zusammenführt, dass die ASIL-D-Anzeigeebene (235, 245) stets einen Vordergrund des gemischten Anzeigeinhalts und die Anzeigeebene (233, 243) ohne Sicherheitsstufe und die Anzeigeebene (234, 244) mit einer Sicherheitsstufe geringer als ASIL D einen Hintergrund des gemischten Anzeigeinhalts bildet; - das anzeigefähige Gerät (20) den gemischten Anzeigeinhalt für das Anzeigemodul (30) bereitstellt.
  3. Verfahren nach Anspruch 2, bei dem das anzeigefähige Gerät (20) fortlaufend den separaten Bereich (231) des Anzeigepufferspeichers (230) überwacht und, wenn eine Übertragung der ASIL-D-Information gestört ist, in den weiteren Bereich (232) mit der Sicherheitsstufe geringer als ASIL D eine Absicherungsinformation überträgt sowie das Mischmodul (241) derart steuert, dass es den separaten Bereich (231) beim Zusammenführen ignoriert.
  4. Verfahren nach einem der Ansprüche 2 oder 3, bei dem das ASIL-D-Gerät (10) das den weiteren Bereich (232) des Anzeigepufferspeichers (230) steuernde Funktionsmodul (210) ohne Sicherheitsstufe und/oder das den weiteren Bereich (232) steuernde Funktionsmodul (220) mit der Sicherheitsstufe geringer als ASIL D mittels eines Steuermoduls (260) des anzeigefähigen Geräts (20) steuert.
  5. Verfahren nach einem der Ansprüche 1 bis 4, bei dem das ASIL-D-Gerät (10) den weiteren Bereich (232) des Anzeigepufferspeichers (230) mittels eines Steuermoduls (270) des anzeigefähigen Geräts (20) steuert.
  6. Verfahren nach einem der Ansprüche 1 bis 5, bei dem das Anzeigemodul (30) den Anzeigeinhalt visuell und/oder akustisch anzeigt und/oder bei dem das anzeigefähige Gerät (20) den Anzeigeinhalt mittels einer Mehrzahl von mit dem anzeigefähigen Gerät (20) verbundenen Anzeigemodulen (30) anzeigt.
  7. Verfahren nach einem der Ansprüche 1 bis 6, bei dem aufeinander folgende Anzeigeinhalte eines Anzeigemoduls (30) als ein Videostrom (31) zu dem ASIL-D-Gerät (10) übertragen werden und das ASIL-D-Gerät (10) den Videostrom (31) überwacht, um ein fehlerhaftes Anzeigen oder Nichtanzeigen der ASIL-D-Information (11) zu erkennen.
  8. Verfahren nach einem der Ansprüche 1 bis 7, bei dem aus einem Anzeigeinhalt eines Anzeigemoduls (30) eine Prüfsumme (32) berechnet und zu dem ASIL-D-Gerät (10) übertragen wird und das ASIL-D-Gerät (10) die berechnete Prüfsumme (32) überwacht, um ein fehlerhaftes Anzeigen oder Nichtanzeigen der ASIL-D-Information (11) zu erkennen.
  9. Verfahren nach einem der Ansprüche 1 bis 8, bei dem die ASIL-D-Information (11) mittels eines ASIL-A-Geräts, eines ASIL-B-Geräts oder eines ASIL-C-Geräts als anzeigefähigem Gerät (20) angezeigt wird.
  10. System (1), welches ein ASIL-D-Gerät (10), ein von dem ASIL-D-Gerät (10) verschiedenes und mit dem ASIL-D-Gerät (10) verbundenes anzeigefähiges Gerät (20) ohne Sicherheitsstufe oder mit einer Sicherheitsstufe geringer als ASIL D und mindestens ein an das anzeigefähige Gerät (20) angeschlossenes Anzeigemodul (30) umfasst und konfiguriert ist, eine ASIL-D-Information (11) mittels des anzeigefähigen Geräts (20) in einem Verfahren nach einem der Ansprüche 1 bis 9 anzuzeigen.
DE102019205237.1A 2019-04-11 2019-04-11 Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts Active DE102019205237B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019205237.1A DE102019205237B4 (de) 2019-04-11 2019-04-11 Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019205237.1A DE102019205237B4 (de) 2019-04-11 2019-04-11 Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts

Publications (2)

Publication Number Publication Date
DE102019205237A1 DE102019205237A1 (de) 2020-10-15
DE102019205237B4 true DE102019205237B4 (de) 2022-06-15

Family

ID=72613575

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019205237.1A Active DE102019205237B4 (de) 2019-04-11 2019-04-11 Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts

Country Status (1)

Country Link
DE (1) DE102019205237B4 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114655145B (zh) * 2020-12-24 2023-12-22 上海汽车集团股份有限公司 一种域控制器的供电方法和域控制器
DE102021001673B3 (de) 2021-03-30 2022-06-15 Mercedes-Benz Group AG Verfahren und Vorrichtung zur sicheren Anzeige von ASIL-relevanten Daten auf einer Anzeigevorrichtung eines Kraftfahrzeuges
DE102021121563A1 (de) 2021-08-19 2023-02-23 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Steuerung einer Displayeinheit eines Fahrzeugs, Displayeinheit für ein Fahrzeug und Interaktionskoordinator-Applikation

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200292A1 (de) 2015-01-13 2016-07-14 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ansteuern eines Anzeigegerätes und Anzeigesystem
DE102015207354A1 (de) 2015-04-22 2016-10-27 Bayerische Motoren Werke Aktiengesellschaft Anwenderschnittstelle, Fortbewegungsmittel, medizintechnische Vorrichtung und Verfahren zur Anzeige eines Hinweises für einen Anwender
DE102016003359A1 (de) 2016-03-18 2017-09-21 Daimler Ag Anzeigevorrichtung
DE102017200915A1 (de) 2017-01-20 2018-07-26 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zum Anzeigen eines Hinweises für einen Anwender und Arbeitsvorrichtung

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200292A1 (de) 2015-01-13 2016-07-14 Robert Bosch Gmbh Verfahren und Vorrichtung zum Ansteuern eines Anzeigegerätes und Anzeigesystem
DE102015207354A1 (de) 2015-04-22 2016-10-27 Bayerische Motoren Werke Aktiengesellschaft Anwenderschnittstelle, Fortbewegungsmittel, medizintechnische Vorrichtung und Verfahren zur Anzeige eines Hinweises für einen Anwender
DE102016003359A1 (de) 2016-03-18 2017-09-21 Daimler Ag Anzeigevorrichtung
DE102017200915A1 (de) 2017-01-20 2018-07-26 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zum Anzeigen eines Hinweises für einen Anwender und Arbeitsvorrichtung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Norm ISO 26262-1 2018-12-00. Road vehicles - Functional safety - Part 1: Vocabulary. 43 S.

Also Published As

Publication number Publication date
DE102019205237A1 (de) 2020-10-15

Similar Documents

Publication Publication Date Title
DE102019205237B4 (de) Anzeigen einer ASIL-D-Information mittels eines weniger sicheren Geräts
EP3067873A1 (de) Verfahren zur gemeinsamen darstellung sicherheitskritischer und nicht-sicherheitskritischer informationen und anzeigevorrichtung
WO2020020526A1 (de) Verfahren und vorrichtung zur unterstützung einer aufmerksamkeit und/oder fahrbereitschaft eines fahrers bei einem automatisierten fahrvorgang eines fahrzeugs
EP2099667B1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102015200292A1 (de) Verfahren und Vorrichtung zum Ansteuern eines Anzeigegerätes und Anzeigesystem
DE102014008808A1 (de) Verfahren zur Absicherung der Übertragung von sicherheitsrelevanten Kamerabildern
WO2014108165A1 (de) Vorrichtung und verfahren zum anzeigen einer information auf einer anzeigeeinrichtung in einem fahrzeug
DE102017207557B4 (de) Verfahren zum Steuern einer Bedienvorrichtung eines Kraftfahrzeugs sowie Bedienvorrichtung und Kraftfahrzeug
EP3571085A1 (de) Verfahren und vorrichtung zum anzeigen eines hinweises für einen anwender und arbeitsvorrichtung
EP3510577A1 (de) Konzept zum erfassen eines umfelds eines kraftfahrzeugs
DE102016216980A1 (de) Verfahren und Vorrichtung zum Bereitstellen einer Information bezüglich eines Personenschutzsystems eines Fahrzeugs unter Verwendung eines mobilen Endgeräts
DE102016004042A1 (de) Verfahren zur Herstellung einer Komunikationsverbindung zwischen einem Kraftfahrzeug und einem mobilen Endbenutzergerät, Computerprogrammprodukt, mobiles Endbenutzergerät, System und Kraftfahrzeug
DE112012005693T5 (de) Informationsverarbeitungseinrichtung und Informationsverarbeitungsverfahren
DE102015207354A1 (de) Anwenderschnittstelle, Fortbewegungsmittel, medizintechnische Vorrichtung und Verfahren zur Anzeige eines Hinweises für einen Anwender
WO2013037827A1 (de) Vorrichtung zum verteilen von daten über ein fahrzeug
DE102013021137A1 (de) Verfahren zum Betreiben einer Datenschnittstelle eines Kraftwagens und Kraftwagen
DE10340247B4 (de) Vorrichtung zur Ansteuerung von mehreren Displays in einem Kraftfahrzeug
WO2020177913A1 (de) Vorrichtung zur bereitstellung von bilddaten
EP3695268B1 (de) Tragbare vorrichtung zur reduzierung von simulatorkrankheitsbedingten störungen bei verwendung einer elektronischen datenbrille in einem fahrzeug
DE102016213314A1 (de) Verfahren und System zur Aktivierung eines hochautomatisierten Fahrbetriebs bei einem Kraftfahrzeug
DE102020110528A1 (de) Kamerasignalüberwachungsvorrichtung und -verfahren
DE102022209301B4 (de) Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand
DE102019206028B3 (de) Grafiksystem für ein Fahrzeug
EP3058547B1 (de) Verfahren und anordnung zur darstellung eines anzeigeelements
DE102018215265A1 (de) Verfahren und Steuereinrichtung zum Betreiben einer am Kopf tragbaren Anzeigeeinrichtung in einem Kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final