-
Die Erfindung betrifft die Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst.
-
Aus dem Stand der Technik sind Parallelprozessierungen bekannt, um die Systemverfügbarkeit eines Systems des autonomen Fahrens (im Englischen: Autonomous Driving oder abgekürzt: AD) SAE Level 4 und 5 vorschriftsgemäß nach ISO 26262 zu gewährleisten. Dabei spielen die Redundanz entscheidender Komponenten, Monitoring, Hardware-Robustheit und Software-Robustheit eine wichtige Rolle.
-
Die Parallelprozessierung von Daten wird benutzt, um den Ausfall einer ersten Recheneinheit mit der zweiten, dritten oder n-ten Recheneinheit zu kompensieren. Das „Übergeben“ der Rechenaufgaben an die zweite Recheneinheit erfolgt in einer Parallelprozessierung simultan und ohne eine „Intelligenz“. Vereinfacht gesagt erfolgen die Wirkmechanismen zwischen einem Safety-Controller und den Recheneinheiten stets ereignisbasiert, reaktiv. Konsequent beruht dieses Verfahren auf der Annahme, dass die redundante(n) Recheneinheit(en) intakt und damit voll funktionsfähig ist bzw. sind. Die Redundanz zur Systemverfügbarkeit entfällt jedoch, wenn unmittelbar nach dem Ausfall der ersten Recheneinheit auch die zweite Recheneinheit ausfällt. Beispielsweise kann das System aufgrund von Alterung nicht voll funktionsfähig operieren kann und somit ausfallen. Ein Beispiel hierfür ist eine irreversible Änderung der Toleranzen der Bauteile mit der Folge des thermischen Versagens der Komponenten.
-
Die Zeitdauer, in der die parallelprozessierte Recheneinheit den Ausfall der ersten Recheneinheit kompensiert, ist streng definiert. Beispielsweise ist dieser Zeitraum auf 60 Sekunden bestimmt, bis der sogenannte „Sichere Zustand“ in jedem Fall hergestellt werden muss. Der Sichere Zustand ist ein Zustand, in dem Insassen eines Kraftfahrzeugs, aber auch Menschen außerhalb des Kraftfahrzeugs in Sicherheit sind. Denkbare Zustände wären diesbezüglich ein Fahrzeugstillstand am Straßenrand, oder der Fahrer ist in der Lage, sicher und kontrolliert das Fahrzeug zu übernehmen. Entfällt nebst der ersten Recheneinheit auch die parallelprozessierte Recheneinheit noch vor Erreichen des sicheren Zustands, kann nach den sogenannten EVITA Severity Classes die allerhöchste Severity Stufe S4 eintreten.
-
Eine Aufgabe der vorliegenden Erfindung kann darin gesehen werden, die Systemverfügbarkeit des eingangs genannten Fahrerassistenzsystems zu erhöhen. Die Aufgabe wird gelöst durch die Gegenstände der unabhängigen Patentansprüche. Vorteilhafte Ausführungsformen sind Gegenstand der Unteransprüche, der folgenden Beschreibung sowie der Figuren.
-
Gemäß der vorliegenden Erfindung wird eine Technologie bereitgestellt, die es ermöglicht, die Systemverfügbarkeit im Voraus präventiv zu bestimmen. Die vorliegende Erfindung erhöht insbesondere die Systemverfügbarkeit von Systemen des autonomen Fahrens (im Englischen: Autonomous Driving oder abgekürzt: AD). So werden Präventivmaßnahmen zur Sicherstellung der Systemverfügbarkeit parallelprozessierter Recheneinheiten vorgeschlagen, insbesondere von AD-Systemen. Wenn ermittelte statistische Werte, welche die Überlebenswahrscheinlichkeit der parallelprozessierten Recheneinheit(en) wiedergeben, einen definierten Grenzbereich überschreiten, ist gemäß der vorliegenden Erfindung vorgesehen, die Fahrfunktion erst gar nicht zu gestatten. Ein Ziel ist dabei das Beziffern der Überlebenswahrscheinlichkeit bzw. daraus die mittlere Zeitdauer zum ersten Ausfall MTTF (=Erwartungswert) zu berechnen. Dadurch kann festgestellt werden, wie viele Elemente einer Gruppe (oder aber auch eine Recheneinheit) nach einer bestimmten Zeit noch funktionsfähig sind.
-
In diesem Sinne wird gemäß einem ersten Aspekt der Erfindung eine Sicherheits-Prozessoreinheit zur Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs bereitgestellt, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst.
-
Unter „redundant arbeitenden Prozessoreinheiten“ können mehrere Prozessoreinheiten verstanden werden, wobei eine der Prozessoreinheiten die Ausführung der autonomen oder teilautonomen Fahrfunktion übernimmt, wenn eine andere Prozessoreinheit ausfällt, welche die Fahrfunktion bisher ausgeführt hat. Insbesondere können stets sämtliche Prozessoreinheiten die autonome oder teilautonome Fahrfunktion ausführen, die einsatzfähig sind. Falls eine der Prozessoreinheiten ausfällt, führen die restlichen funktionsfähigen Prozessoreinheiten weiterhin die autonome oder teilautonome Fahrfunktion aus. In diesem Fall kann von „parallelprozessierten“ Prozessoreinheiten gesprochen werden. Unter einsatzfähig kann verstanden werden, dass die zur Ausführung der autonomen oder teilautonomen Fahrfunktion eingerichtete Prozessoreinheit dazu auch in der Lage ist.
-
Das Fahrerassistenzsystem umfasst mehrere Prozessoreinheiten zur Ausführung der autonomen oder teilautonomen Fahrfunktion des Kraftfahrzeugs. Das Merkmal „Prozessoreinheit“ umfasst beispielsweise auch Controller und Field Programmable Gate Arrays (FPGA). Die Prozessoreinheit kann eine einzelne Komponente sein. Weiterhin kann die Prozessoreinheit auch eine Komponentengruppe bilden. In einem einfachen Beispiel umfasst das Fahrerassistenzsystem eine erste Prozessoreinheit und eine zweite Prozessoreinheit, wobei die erste Prozessoreinheit dazu eingerichtet ist, als Ersatz für die zweite Prozessoreinheit die autonome oder teilautonome Fahrfunktion auszuführen, wenn die zweite Prozessoreinheit ausfällt, und wobei die zweite Prozessoreinheit dazu eingerichtet ist, als Ersatz für die erste Prozessoreinheit die autonome oder teilautonome Fahrfunktion auszuführen, wenn die erste Prozessoreinheit ausfällt. In einem weiteren Beispiel mit mehr als zwei Prozessoreinheiten kann das Fahrerassistenzsystem beispielsweise eine erste Prozessoreinheit, eine zweite Prozessoreinheit und eine dritte Prozessoreinheit umfassen, die parallelprozessiert betrieben werden, d.h. alle drei Prozessoreinheiten führen stets gleichzeitig die autonome oder teilautonome Fahrfunktion aus. Fällt jetzt beispielsweise die erste Prozessoreinheit aus, wobei die zweite Prozessoreinheit und die dritte Prozessoreinheit noch einsatzfähig sind, dann führen die zweite und die dritte Prozessoreinheit weiterhin parallel die autonome oder teilautonome Fahrfunktion aus. Sollten zwei der drei Prozessoreinheiten ausfallen, so kann die einzig verbliebene einsatzfähige Prozessoreinheit weiterhin die Fahrfunktion ausführen.
-
Die autonome Fahrfunktion ermöglicht, dass das Kraftfahrzeug selbstständig fährt, d.h. ohne, dass ein Fahrzeuginsasse das Kraftfahrzeug steuert. Der Fahrer hat die Kontrolle über das Kraftfahrzeug an das Fahrerassistenzsystem abgegeben. So umfasst die autonome Fahrfunktion, dass das Kraftfahrzeug - insbesondere mittels der zentralen Prozessoreinheit - dazu eingerichtet ist, beispielsweise Lenk-, Blink-, Beschleunigungs- und Bremsmanöver ohne menschliches Eingreifen durchzuführen sowie insbesondere Außenlicht und Signalgebung wie Blinker des Kraftfahrzeugs zu steuern. Unter der teilautonomen Fahrfunktionen kann eine Fahrfunktionen verstanden werden, die einen Fahrer des Kraftfahrzeugs bei der Steuerung des Kraftfahrzeugs unterstützt, insbesondere bei Lenk-, Blink-, Beschleunigungs- und Bremsmanövern, wobei der Fahrer weiterhin die Kontrolle über das Kraftfahrzeug hat. Unter das Merkmal „autonome oder teilautonome Fahrfunktion“ können auch grundlegende Funktionen oder Funktionsgruppen der Prozessoreinheiten fallen, z.B. (um bei den obigen Beispielen zu bleiben) das Bereitstellen der Versorgungsspannung für die erste, zweite oder dritte Prozessoreinheit.
-
Die Sicherheits-Prozessoreinheit („Safety Controller“) ist dazu eingerichtet, basierend auf ermittelten Betriebsparameterwerten des Parallelsystems oder dessen einzelner Prozessoreinheiten für jede der Prozessoreinheiten des Parallelsystems einen Einsatzfähigkeitswert zu ermitteln, wobei der Einsatzfähigkeitswert angibt, in welchem Maße die betreffende Prozessoreinheit des Parallelsystems dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen. Weiterhin ist die Sicherheits-Prozessoreinheit dazu eingerichtet, in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten den Prozessoreinheiten des Parallelsystems zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen. Das Erlauben bzw. Verbieten muss nicht reaktiv erfolgen, sondern insbesondere präventiv, d.h. bevor die Fahrfunktion bereitgestellt wird. Das Erlauben bzw. Verbieten erfolgt also insbesondere bevor die autonome oder teilautonome Fahrfunktion von den Prozessoreinheiten des Parallelsystems ausgeführt wird.
-
Das „Erlauben“ kann beispielsweise umgesetzt werden, indem die Sicherheits-Prozessoreinheit die Prozessoreinheiten des Parallelsystems anweist, die autonome oder teilautonome Fahrfunktion auszuführen. Weiterhin kann die Sicherheits-Prozessoreinheit die Prozessoreinheiten des Parallelsystems darüber benachrichtigen, dass die Einsatzfähigkeitswerte in einem erlaubten Bereich liegen. In diesem Fall können die Prozessoreinheiten selbst entscheiden, ob sie die autonome oder teilautonome Fahrfunktion ausführen oder nicht. Das „Verbieten“ kann beispielsweise umgesetzt werden, indem die Sicherheits-Prozessoreinheit die Prozessoreinheiten des Parallelsystems anweist, die autonome oder teilautonome Fahrfunktion nicht auszuführen.
-
Um entsprechende statistische Werte zu ermitteln, können zuvor geeignete Betriebsparameter identifiziert werden. Die Betriebsparameterwerte lassen Rückschlüsse darauf zu, ob die einzelnen Prozessoreinheiten des Parallelsystems zur Ausführung der autonomen oder teilautonome Fahrfunktion in der Lage sind oder nicht. Die Betriebsparameterwerte können für die einzelnen Prozessoreinheiten des Parallelsystems ermittelt werden. Die Betriebsparameterwerte sind statistische Werte, die direkt oder indirekt erfasst werden können, was weiter unten näher beschrieben wird. Beispielsweise kann erfasst werden, zu welchem Prozentsatz die einzelnen Prozessoreinheiten des Parallelsystems valide Daten liefern oder wie hoch eine Verlustleistung für die einzelnen Prozessoreinheiten des Parallelsystems ist. Im Sinne eines ergodischen Prozesses kann weiterhin aus Betriebsparameterwerten des Parallelsystems auf die Eigenschaften der einzelnen Prozessoreinheiten geschlossen werden. Dabei kann beispielsweise eine Temperatur des gesamten Parallelsystems mit all seinen Prozessoreinheiten gemessen werten.
-
Gemäß einem zweiten Aspekt der Erfindung wird ein Fahrerassistenzsystem bereitgestellt, das eine Sicherheits-Prozessoreinheit gemäß dem ersten Aspekt der Erfindung und ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst.
-
Gemäß einem dritten Aspekt der Erfindung wird ein Kraftfahrzeug bereitgestellt, das ein Fahrerassistenzsystem gemäß dem zweiten Aspekt der Erfindung umfasst.
-
Gemäß einem vierten Aspekt der Erfindung wird ein Computerprogrammprodukt zur Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs bereitgestellt, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst. Das Computerprogrammprodukt weist, wenn es auf einer Sicherheits-Prozessoreinheit ausgeführt wird, die Sicherheits-Prozessoreinheit an,
- - basierend auf ermittelten Betriebsparameterwerten des Parallelsystems oder dessen einzelner Prozessoreinheiten für jede der Prozessoreinheiten des Parallelsystems einen Einsatzfähigkeitswert zu ermitteln, wobei der Einsatzfähigkeitswert angibt, in welchem Maße die betreffende Prozessoreinheit des Parallelsystems dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, und
- - in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten den Prozessoreinheiten des Parallelsystems zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.
-
Gemäß einem fünften Aspekt der Erfindung wird ein Verfahren zur Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs bereitgestellt, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst. Das Verfahren umfasst ein Ermitteln eines Einsatzfähigkeitswerts für jede der Prozessoreinheiten des Parallelsystems basierend auf ermittelten Betriebsparameterwerten des Parallelsystems oder dessen einzelner Prozessoreinheiten, wobei der Einsatzfähigkeitswert angibt, in welchem Maße die betreffende Prozessoreinheit des Parallelsystems dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, wobei in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten die Prozessoreinheiten angewiesen werden, die autonome oder teilautonome Fahrfunktion auszuführen.
-
Die folgenden Ausführungen im Zusammenhang mit vorteilhaften Ausführungsformen der Sicherheits-Prozessoreinrichtung gelten sinngemäß auch für das Fahrerassistenzsystem gemäß dem zweiten Aspekt der Erfindung, für das Kraftfahrzeug gemäß dem dritten Aspekt der Erfindung, für das Computerprogrammprodukt gemäß dem vierten Aspekt der Erfindung und für das Verfahren gemäß dem fünften Aspekt der Erfindung.
-
Die Betriebsparameterwerte können mit einem Gewichtungsfaktor gewichtet werden. Dadurch können einzelne Einflussgrößen des mathematischen Modells gewichtet werden, beispielsweise hinsichtlich ihrer Wichtigkeit oder Zuverlässigkeit. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer Ausführungsform dazu eingerichtet, die Betriebsparameterwerte mit einem Gewichtungsfaktor zu gewichten, und den jeweiligen Einsatzfähigkeitswert für jede der Prozessoreinheiten des Parallelsystems basierend auf den gewichteten Betriebsparameterwerten zu ermitteln.
-
Es kann weiterhin sein, dass ein Schweregrad eines einzelnen Fehlers nicht groß ist, sondern erst in Verbindung mit einem anderen Fehler an Kritikalität zunimmt. Um dies zu berücksichtigen, können die Betriebsparameterwerte korreliert werden. Bei der Korrelation geht es um Abhängigkeiten. Die Korrelation ist ein Bestandteil des sogenannten Degradationskonzepts des Autonomen Fahrens. Gemäß diesem Degradationskonzept soll sichergestellt werden, dass das Kraftfahrzeug sicher autonom oder teilautonom fahren kann, wenn eine Komponente zur Ausführung der autonomen oder teilautonomen Fahrfunktion ausfällt. Dabei ist vorgesehen, dass bei Ausfall beispielsweise eines Sensors oder einer Prozessoreinheit des Parallelsystems ein anderer Sensor oder eine andere Prozessoreinheit des Parallelsystems die Fahrfunktion aufrechterhält. Die Korrelation stellt einen Zusammenhang her zwischen dem Vorhandensein von Daten, den Betriebsparameterwerten und dem Sensorset.
-
Gemäß einer ersten (strengeren) Alternative soll die Sicherheits-Prozessoreinheit die Ausführung der autonomen oder teilautonome Fahrfunktion nur dann zulassen, wenn eine Redundanz vorhanden ist, d.h. das wenigstens zwei Prozessoreinheiten als einsatzfähig erachtet werden. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer Ausführungsform dazu eingerichtet, den Prozessoreinheiten zu erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn wenigstens zwei Einsatzfähigkeitswerte innerhalb eines erlaubten Wertebereichs liegen, und den Prozessoreinheiten zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn weniger als zwei Einsatzfähigkeitswerte innerhalb des erlaubten Wertebereichs liegen. Der „erlaubte Wertebereich“ stellt hierbei einen definierten bzw. festgelegten Wertebereich dar, welcher Funktionsfähigkeitswerte beinhaltet. Es wird angenommen bzw. definiert, dass die betreffende Prozessoreinheit dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, wenn die Prozessoreinheit einen Einsatzfähigkeitswert annimmt, der innerhalb des erlaubten Wertebereichs liegt.
-
Gemäß einer zweiten (weniger strengeren) Alternative soll die Sicherheits-Prozessoreinheit die Ausführung der autonomen oder teilautonome Fahrfunktion auch dann noch zulassen, wenn keine Redundanz mehr vorhanden ist, d.h. das lediglich noch eine einzige Prozessoreinheit als einsatzfähig erachtet wird. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer Ausführungsform dazu eingerichtet, den Prozessoreinheiten zu erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn ein einziger Einsatzfähigkeitswert innerhalb eines erlaubten Bereichs liegt, und den Prozessoreinheiten zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn kein Einsatzfähigkeitswert innerhalb des erlaubten Bereichs liegt.
-
Unterschiedliche Betriebsparameter und Kriterien können Aufschlüsse über verschiedene Eigenschaften bzw. Fähigkeiten oder Funktionen der Prozessoreinheiten zulassen. Dadurch kann bewertet werden, ob die Prozessoreinheiten die autonome oder teilautonome Fahrfunktion ausführen können oder nicht.
-
Die Sicherheits-Prozessoreinheit ist dazu eingerichtet, für die Betriebsparameterwerte für ausgewählte Betriebsparameter zu ermitteln. So kann ein Betriebsparameter ausgewählt werden, welcher die Software-Robustheit der Prozessoreinheiten beschreibt. Beispielsweise können ein Schutz gegen Hitze und/oder gegen Kälte im Hinblick auf Codeausführung und Speicherzugriffe kontrolliert werden. Dies kann über eine Auswertung von erstellten Listen der fehlerhaft ausgeführten Codes und Speicherzugriffe bzw. der prozentualen Qualität erfolgen. Weiterhin kann die redundante Berechnung kritischer Werte kontrolliert werden und eine Überprüfung bzw. ein Abgleich des Rechenergebnisses erfolgen. Ferner kann die Einhaltung von Security Coding-Guidelines (z.B. Robustheit gegen Buffer-Overflows, Invalide Daten) überprüft werden. Außerdem kann überprüft werden, ob eine Belastungsgrenze der Prozessoreinheiten größer ist als ein maximaler Busverkehr. Weiterhin kann ausgewertet werden, ob ein Absturz, ein Ausfall oder eine Nichtverfügbarkeit der Prozessoreinheiten zu einem unerwünschten (Gesamt-)Ausfall der Steuerung des Kraftfahrzeugs oder des Fahrerassistenzsystems führt.
-
Auch der Hardwareschutz spielt eine wichtige Rolle und kann als Betriebsparameter genutzt werden. Insbesondere kann die Robustheit der Prozessoreinheiten gegen Glitching, insbesondere gegen Power-Glitching und Clock-Glitching ermittelt werden. In der Elektronik bezeichnet man mit Glitching oder Glitch eine kurzzeitige Falschaussage in logischen Schaltungen und eine temporäre Verfälschung einer booleschen Funktion. Diese tritt auf, weil die Signallaufzeiten in den einzelnen Gattern niemals vollkommen gleich sind. Diese Verfälschung wird daher auch als Race Condition bezeichnet. Die Anfälligkeit für Glitches steigt mit der Komplexität, der Geschwindigkeitserhöhung und der Verkleinerung der Schaltungen, kann aber auch bereits bei sehr einfachen Schaltungen vorhanden sein. Sie stellen ein wesentliches Problem bei der Entwicklung moderner elektronischer Schaltungen und schneller Mikroprozessoren dar. Ein Glitch wird manchmal auch als Hazard (engl.: „Gefahr, Risiko, Zufall“) oder Spike (engl.: „Spitze, Dorn“) bezeichnet.
-
Unter Clock-Glitching kann eine Drift an Zeitstempeln verstanden werden. Die Prozessoreinheiten führen insbesondere alle Aktionen gleichzeitig und synchron durch (Zeitsynchronisation). Beispielsweise soll dasselbe Objekt durch alle Prozessoreinheiten gleichzeitig erkannt werden. Sofern entsprechende Schwellwerte nicht eingehalten werden, deutet dies darauf hin, dass die Prozessoreinheiten des Parallelsystems asynchron arbeiten. Dies ist ein Indikator für eine herabgesetzte Einsatzfähigkeit des Parallelsystems.
-
Weiterhin kann eine Leistungsanalyse (im Englischen: Power Analysis) durchgeführt werden. Bei der Leistungsanalyse werden Spannungsfluktuationen oder Stromfluktuationen über die Zeit verfolgt. Dadurch kann kontrolliert werden, ob bestimmte Baugruppen (im vorliegenden Fall: bestimmte Prozessoreinheiten des Parallelsystems) mehr Strom aufnehmen als vorgesehen, was ein Indikator für ein fehlerhaftes Teilsystem ist, im vorliegenden Fall ein Indikator für eine fehlerhafte bzw. nicht voll einsatzfähige Prozessoreinheit des Parallelsystems. Bei der einfachen Leistungsanalyse (SPA) werden Leistungsspuren oder Diagramme der elektrischen Aktivität über die Zeit visuell interpretiert. Die Differential Power Analysis (DPA) ist eine fortgeschrittenere Form der Leistungsanalyse, bei der Zwischenwerte insbesondere innerhalb kryptographischer Berechnungen durch statistische Analyse von Daten, die von mehreren kryptographischen Operationen gesammelt wurden, berechnet werden können.
-
Weiterhin kann kontrolliert werden, dass Temperaturen der Prozessoreinheiten in einem zugelassenen Bereich liegen, der genau spezifiziert werden kann. Ferner kann eine Leistungsaufnahme der Prozessoreinheiten in Bezug zu deren Belastung gesetzt werden.
-
Weiterhin spielt die Fähigkeit bzw. Funktionalität der Prozessoren zur Plausibilisierung eine wichtige Rolle, was gleichzeitig in die Kategorie Software-Robustheit fällt. In diesem Sinne kann geprüft werden, ob die Prozessoreinheiten Sensordaten plausibilisieren können. Nicht plausible Werte sollen automatisch verworfen werden. Dazu kann auf einen Normbereich der Prozessoreinheiten zurückgegriffen werden (Wertebereiche, Häufigkeiten).
-
Außerdem können Monitoring-Parameter genutzt werden, um die Funktionsfähigkeit der Prozessoreinheiten ausführen zu können. In diesem Fall kann ein unabhängiges Monitoring der Prozessoreinheiten und der Software erfolgen. Dazu kann ein sogenannter „Watchdog“ zum Einsatz kommen. Ein Watchdog ist eine Überwachungseinrichtung, insbesondere eine Komponente eines Systems, welche die Funktionen anderer Komponenten, hier der Prozessoreinheiten des Parallelsystems, überwacht. Wird dabei eine mögliche Fehlfunktion erkannt, so kann dies entweder gemäß einer Sicherheitsvereinbarung signalisiert oder eine geeignete Sprunganweisung eingeleitet werden, die das anstehende Problem bereinigt. Der Begriff Watchdog umfasst sowohl Hardware Watchdogs als auch Software Watchdogs. Der Hardware Watchdog ist eine elektronische Komponente mit Kommunikation zu dem Bauteil, das kontrolliert wird. Der Software Watchdog ist eine prüfende Software in dem zu kontrollierenden Bauteil, die kontrolliert, ob alle wichtigen Programmmodule in einem vorgegebenen Zeitrahmen korrekt ausgeführt werden oder ob ein Modul unzulässig lange für die Bearbeitung benötigt. Der Software Watchdog kann von einem Hardware Watchdog überwacht werden. Alternativ zum Software Watchdog kann eine Software mit einem Zähler überwacht werden, der in regelmäßigen Zeiten von der Software auf einen bestimmten Wert gesetzt wird und von der Hardware ständig dekrementiert wird. Erreicht der Zähler den Wert null, hat es die Software nicht rechtzeitig geschafft, den Zähler zu erhöhen, das heißt, die Software befindet sich in einem fehlerhaften Zustand. Watchdogs können insbesondere in sicherheitsrelevanten Anwendungen implementiert werden und erlauben eine Überwachung von E/E Systemen auf Konformität mit IS026262. Außerdem können Daten der 3rdP von den Prozessoreinheiten gegen einen gültigen Nachrichtenkatalog überprüft werden.
-
Weiterhin werden ein kontinuierliches Sampling der Betriebsparameterwerte und das Speichern dieser Daten als Funktion über die Zeit und auch als Histogramm vorgeschlagen. In diesem Sinne werden in einer Ausführungsform - insbesondere mittels der Sicherheits-Prozessoreinheit, die dazu entsprechend eingerichtet bzw. durch das Computerprogrammprodukt angewiesen werden kann - die Betriebsparameterwerte über einen Zeitraum erfasst bzw. ermittelt und basierend auf den über den Zeitraum ermittelten Betriebsparameterwerten wird den Prozessoreinheiten erlaubt oder verboten, die autonome oder teilautonome Fahrfunktion auszuführen. Insbesondere können entsprechende Daten bzw. Werte kontinuierlich erfasst, gespeichert und ausgewertet sowie als Funktion über der Zeit gespeichert werden. Weiterhin können die Daten bzw. Werte in einem Histogramm gespeichert werden. Auf diese Weise können statistische Werte generiert werden, die eine besonders verlässliche Ermittlung der Einsatzfähigkeit der Prozessoren erlauben und dadurch einen besonders sicheren autonomen oder teilautonomen Betrieb des Kraftfahrzeugs ermöglichen.
-
Die über den Zeitraum ermittelten Betriebsparameterwerte können gemäß einer ersten Alternative durch eine indirekte Messung generiert werden. Im Rahmen dieser Alternative kann eine Drift bestimmter Parameter ermittelt werden, um Rückschlüsse auf eine Lebensdauerfunktion der Prozessoreinheiten zu ziehen. Beispielsweise kann eine Verlustleistung der zweiten Prozessoreinheit (insbesondere unter Beachtung der Rahmenbedingungen Außentemperatur, Auslastung durch den Algorithmus und Kühleffektivität) durch eine anfängliche Messung zu einem ersten Zeitpunkt ermittelt werden und beispielsweise 90W betragen. Anhand der gesammelten Daten über die Zeit ist feststellbar (gleiche Rahmenbedingungen), dass die Prozessoreinheit zu einem späteren Zeitpunkt zwar gleich viel Wärme umsetzt wie am Anfang der Messreihe (zum ersten Zeitpunkt); aber die Prozessoreinheit kann nur beispielsweise 90% anstatt 99% an validen Daten liefern. Es häufen sich Fehlrechnungen. Dies ist ein Indikator dafür, dass Bauteile der Prozessoreinheit gealtert sind und die Toleranzen der Prozessoreinheit sich verändert haben. Dies zeigt sich beispielsweise durch Glitching. Dies ist ein Indikator für ein schlechter werdendes System bzw. für eine sinkende Einsatzfähigkeit der Prozessoreinheit.
-
Die über den Zeitraum ermittelten Werte des wenigstens einen Betriebs-Parameters können gemäß einer zweiten Alternative durch eine direkte Messung generiert werden. Dies kann insbesondere über Stichproben erfolgen, die über den Zeitraum verteilt genommen werden können (Prüflose). Dabei können insbesondere Ausfälle und Fehler der Prozessoreinheiten ermittelt, gespeichert und ausgewertet werden.
-
Insbesondere können die Einsatzfähigkeitswerte in Form von Überlebenswahrscheinlichkeiten der jeweiligen Prozessoreinheiten ermittelt werden. Überschreiten die ermittelten statistischen Werte (Betriebsparameterwerte), welche die Überlebenswahrscheinlichkeit der parallelprozessierten Recheneinheiten wiedergeben, einen definierten Grenzbereich, so wird erst gar nicht die Fahrfunktion gestattet. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer weiteren Ausführungsform dazu eingerichtet, basierend auf den Betriebsparameterwerten für jede der Prozessoreinheiten den Einsatzfähigkeitswert in Form einer Überlebenswahrscheinlichkeit zu ermitteln. In Abhängigkeit von den ermittelten Überlebenswahrscheinlichkeiten kann die Sicherheits-Prozessoreinheit den Prozessoreinheiten erlauben oder verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.
-
In einem Beispiel mit einem Parallelsystem mit einer ersten Prozessoreinheit und mit einer zweiten Prozessoreinheit können über die Zeit mittels der Sicherheits-Prozessoreinheit basierend auf den Betriebsparameterwerten erste Überlebenswahrscheinlichkeiten der ersten Prozessoreinheit und zweite Überlebenswahrscheinlichkeiten der zweiten Prozessoreinheit ermittelt werden. Die Sicherheits-Prozessoreinheit kann den beiden Prozessoreinheiten erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn beide Überlebenswahrscheinlichkeiten innerhalb des definierten erlaubten Wertebereichs liegen, und andernfalls den beiden Prozessoreinheiten verbieten, die autonome oder teilautonome Fahrfunktion auszuführen („Redun-danz-Gebot“-Modus). Alternativ kann die Sicherheits-Prozessoreinheit den beiden Prozessoreinheiten erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn lediglich eine der beiden Überlebenswahrscheinlichkeiten innerhalb des definierten erlaubten Wertebereichs liegt, und nur dann den beiden Prozessoreinheiten verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn keine der beiden Überlebenswahrscheinlichkeiten innerhalb des definierten erlaubten Wertebereichs liegt („Redundanzverlust-Toleranz“-Modus).
-
In einer weiteren Ausführungsform ist die Sicherheits-Prozessoreinheit dazu eingerichtet, basierend auf den ermittelten Überlebenswahrscheinlichkeiten eine Ausfallwahrscheinlichkeit des Parallelsystems aus den redundant arbeitenden Prozessoreinheiten des Parallelsystems zu ermittelten. Somit wird ein einziger Gesamt-Einsatzfähigkeitswert bereitgestellt, der die Einsatzfähigkeit des gesamten Parallelsystems mit all seinen redundant arbeitenden Prozessoreinheiten beschreibt.
-
In einer weiteren Ausführungsform ist die Sicherheits-Prozessoreinheit dazu eingerichtet, basierend auf den ermittelten Überlebenswahrscheinlichkeiten für jede der Prozessoreinheiten des Parallelsystems eine Ausfallrate zu ermitteln, und basierend auf den ermittelten Ausfallraten eine mittlere Zeitdauer bis zum ersten Ausfall des Parallelsystems aus den redundant arbeitenden Prozessoreinheiten zu ermitteln. Die Ausfallrate ist die relative Änderung der Lebensdauerfunktion bzw. der Überlebenswahrscheinlichkeit. Die Ausfallrate gibt an, wie viele Objekte in einer Zeitspanne durchschnittlich ausfallen. Ziel ist das Beziffern der Überlebenswahrscheinlichkeit bzw. daraus die mittlere Zeitdauer zum ersten Ausfall MTTF (=Erwartungswert). Also wird berechnet, wie viele Elemente einer Gruppe (oder aber auch eine einzige Prozessoreinheit) nach einer bestimmten Zeit noch funktionsfähig sind.
-
Im Folgenden werden Ausführungsbeispiele der Erfindung anhand der schematischen Zeichnung näher erläutert, wobei gleiche oder ähnliche Elemente mit dem gleichen Bezugszeichen versehen sind. Hierbei zeigt
- 1 ein Kraftfahrzeug mit einem Fahrerassistenzsystem mit parallelprozessierten Prozessoreinheiten gemäß der vorliegenden Erfindung,
- 2 einen Ablauf einer Berechnung einer Ausfallrate des Fahrerassistenzsystems nach 1 basierend auf Überlebenswahrscheinlichkeiten und Betriebsparameterwerten und
- 3 einen Ablauf einer Berechnung einer mittleren Zeitdauer bis zum ersten Ausfall des Fahrerassistenzsystems nach 1 basierend auf Ausfallraten und Überlebenswahrscheinlichkeiten.
-
1 zeigt ein Kraftfahrzeug 1. Das Kraftfahrzeug 1 weist ein Fahrerassistenzsystem 2 auf. Das Fahrerassistenzsystem 2 umfasst eine erste Prozessoreinheit 3 und eine zweite Prozessoreinheit 4 sowie eine Sicherheits-Prozessoreinheit 5. Das Kraftfahrzeug kann weiterhin einen Sensor 6 (z.B. ein Kamerasystem), einen Aktuator 7 und eine Antriebseinheit 8 (z.B. mit einem Motor und einem Getriebe) umfassen. Der Aktuator 7 kann auf die Antriebseinheit 8 einwirken, sodass unterschiedliche Betriebspunkte der Antriebseinheit 8 eingestellt werden können, z.B. unterschiedliche Drehzahlen des Motors der Antriebseinheit 8. Die erste Prozessoreinheit 3 und die zweite Prozessoreinheit 4 des Fahrerassistenzsystems 2 können beispielsweise auf Sensordaten zurückgreifen, die von dem Sensor 6 generiert worden sind. Basierend auf den Sensordaten können die beiden Prozessoreinheiten 3, 4 den Aktuator steuern oder regeln, um auf diese Weise beispielsweise eine autonome Fahrfunktion des Kraftfahrzeugs 1 auszuführen.
-
Die erste Prozessoreinheit 3 und die zweite Prozessoreinheit 4 bilden ein Parallelsystem 9 redundant arbeitender Prozessoreinheiten 3, 4. Die erste Prozessoreinheit 3 und die zweite Prozessoreinheit 4 sind in dem gezeigten Ausführungsbeispiel parallelprozessiert, d.h. sowohl die erste Prozessoreinheit 3 als auch die zweite Prozessoreinheit 4 führen stets zur gleichen Zeit Rechenoperationen aus, um die autonome Fahrfunktion auszuführen. Dabei übernimmt die zweite Prozessoreinheit 4 die Ausführung der autonomen Fahrfunktion, wenn die erste Prozessoreinheit 3 ausfällt, und die erste Prozessoreinheit 3 übernimmt die Ausführung der autonomen Fahrfunktion, wenn die zweite Prozessoreinheit 4 ausfällt.
-
Die Sicherheits-Prozessoreinheit 5 ist kommunikativ mit der ersten Prozessoreinheit 3 und mit der zweiten Prozessoreinheit 4 verbunden, sodass die Sicherheits-Prozessoreinheit 5 an die beiden Prozessoreinheiten 3, 4 Anweisungen übermitteln kann. Eine solche Anweisung kann insbesondere verhindern, dass die autonome Fahrfunktion durch eine oder beide Prozessoreinheiten 3, 4 ausgeführt wird. Die Sicherheits-Prozessoreinheit 5 umfasst einen Prozessor 10, der auf eine Speichereinheit 11 der Sicherheits-Prozessoreinheit 5 zugreifen kann. Auf der Speichereinheit 11 ist ein Computerprogrammprodukt 12 gespeichert. Das Computerprogrammprodukt 12 weist, wenn es durch den Prozessor 10 der Sicherheits-Prozessoreinheit 5 ausgeführt wird, die Sicherheits-Prozessoreinheit 5 bzw. deren Prozessor 10 an, die im Folgenden beschriebenen Schritte durchzuführen.
-
So zeigt 2, wie eine Ausfallwahrscheinlichkeit Fsystem des Parallelsystems 9 zu einem bestimmten Zeitpunkt tx mittels der Sicherheits-Prozessoreinheit 5 indirekt ermittelt bzw. berechnet werden kann. Dabei werden durch eine Drift-Ermittlung von bestimmenden Parametern Rückschlüsse auf eine Lebensdauerfunktion der einzelnen Prozessoreinheiten 3, 4 gezogen. Es werden statistische Werte bzw. Daten gesammelt. In dem gezeigten Ausführungsbeispiel werden dabei zunächst folgende statistische Werte bzw. Daten gesammelt:
- - erste Betriebsparameterwerte W1, welche Rückschlüsse auf einen ersten Einsatzfähigkeitswert der ersten Prozessoreinheit 3 erlauben, und
- - zweite Betriebsparameterwerte W2, welche ebenfalls Rückschlüsse auf den ersten Einsatzfähigkeitswert der ersten Prozessoreinheit 3 erlauben.
-
Das Sammeln oder Ermitteln der vorstehend genannten Daten kann beispielsweise mittels der Sicherheits-Prozessoreinheit 5 erfolgen. Alternativ können die Daten jedoch auch von einer anderen Funktionseinheit generiert werden, wobei die Sicherheits-Prozessoreinheit 5 in diesem Fall auf die von der anderen Funktionseinheit generierten Daten zugreifen kann.
-
Beispielsweise kann eine Verlustleistung der ersten Prozessoreinheit 3 kontinuierlich ermittelt und als Funktion über der Zeit (also zu mehreren aufeinanderfolgenden Zeitpunkten t2, t3, t4 usw.) gespeichert werden. Dies kann auch in Form eines Histogramms erfolgen. Die gespeicherten Verlustleistungen können beispielsweise die ersten Betriebsparameterwerte W1 darstellen. Beispielsweise kann eine typische Verlustleistung der ersten Prozessoreinheit 3 von 90W angenommen werden. Diese Annahme kann auf Erfahrungswerten beruhen, insbesondere unter Beachtung der Rahmenbedingungen Außentemperatur, Auslastung durch den Algorithmus und Kühleffektivität. Anhand der über die Zeit bei gleichen Rahmenbedingungen gesammelten ersten statistischen Werte W1 kann beispielsweise festgestellt werden, dass die erste Prozessoreinheit 3 zum Zeitpunkt tx gleich viel Wärme umsetzt, wie zu einem vorherigen Zeitpunkt t1 am Anfang der Messreihe (gleichbleibende Verlustleistung). Beispielsweise kann die erste Prozessoreinheit zum Zeitpunkt t1 in Betrieb genommen worden sein. Die Verlustleistungen als erste Betriebsparameterwerte W1 können beispielsweise der Parameter-Kategorie „Hardwareschutz“ zugeordnet werden.
-
Weiterhin kann kontinuierlich über die Zeit kontrolliert und gespeichert werden, ob die erste Prozessoreinheit 3 valide Daten liefert (zweite Betriebsparameterwerte R2). Die Validität der Daten als zweite Betriebsparameterwerte W2 können der Parameter-Kategorie „Software-Robustheit“ zugeordnet werden. Anhand der über die Zeit bei gleichen Rahmenbedingungen gesammelten zweiten Betriebsparameterwerte W2 kann beispielsweise festgestellt werden, dass die erste Prozessoreinheit 3 zum Zeitpunkt tx bei gleichgebliebener Verlustwärme (s.o. Betriebsparameterwert W1) nur beispielsweise 90% anstatt 99% (wie zum Zeitpunkt t1 am Anfang der Messreihe) an validen Daten liefern kann. Es häufen sich Fehlrechnungen. Dies kann insbesondere daran liegen, dass die erste Prozessoreinheit 3 gealtert ist, wobei sich Toleranzen verändert haben. Dies kann sich beispielsweise durch Glitching zeigen.
-
Basierend auf den ersten Betriebsparameterwerten W1 und basierend auf den zweiten Betriebsparameterwerten W2 kann die Sicherheits-Prozessoreinheit 5 für die erste Prozessoreinheit 3 eine erste Überlebenswahrscheinlichkeit R1 berechnen. Dabei können die ersten Betriebsparameterwerte W1 und die zweiten Betriebsparameterwerte W2 jeweils mit Gewichtungsfaktoren m1, m2 versehen werden. Die Gewichtungsfaktoren m1, m2 können beispielsweise eine Wichtigkeit der Betriebsparameterwerte W1, W2 repräsentieren oder eine Zuverlässigkeit, mit welcher sich von den Betriebsparameterwerten W1, W2 auf die erste Überlebenswahrscheinlichkeit R1 schließen lässt.
-
Die erste Überlebenswahrscheinlichkeit R1 kann angeben, zu welchem Prozentsatz die erste Prozessoreinheit 3 nach einer bestimmten Zeit noch funktionsfähig ist. Die erste Überlebenswahrscheinlichkeit R1 ist eine monoton fallende Funktion. Die erste Überlebenswahrscheinlichkeit R1 ist zeitabhängig und nicht konstant. Die erste Überlebenswahrscheinlichkeit R1 ist ein erster Einsatzfähigkeitswert der ersten Prozessoreinheit 3 und gibt an, in welchem Maße die erste Prozessoreinheit 3 beispielsweise zum Zeitpunkt tx dazu in der Lage ist, die autonome Fahrfunktion auszuführen. Die Überlebenswahrscheinlichkeit R1(tx), die sich aus den ersten und zweiten Betriebsparameterwerten W1, W2 zum Zeitpunkt tx ergibt, kann beispielsweise - aufgrund der verschlechterten Software-Robustheit (zweite Betriebsparameterwerte W2) bei unveränderter Verlustleistung (erste Betriebsparameterwerte W1) geringer sein als die Überlebenswahrscheinlichkeit R1(t1), die sich aus den ersten und zweiten Betriebsparameterwerten W1, W2 zum Zeitpunkt t1 am Anfang der Messreihe ergibt.
-
Auf ähnliche Weise wie für die erste Prozessoreinheit 3 können auch für die zweite Prozessoreinheit 4 zunächst Betriebsparameter ausgewählt werden (dabei kann es sich beispielsweise um die gleichen Betriebsparameter handeln, die auch für die erste Prozessoreinheit 3 ausgewählt wurden) und entsprechende dritte Betriebsparameterwerte W3, und vierte Betriebsparameterwerte W4 ermittelt werden. Basierend auf den Betriebsparameterwerten W3, W4 können - optional gewichtet mit Gewichtungsfaktoren m3, m4 (auch hier kann es sich um die gleichen Gewichtungsfaktoren m1, m2 handeln, die für die erste Prozessoreinheit 3 ausgewählt wurden) - zweite Überlebenswahrscheinlichkeiten R2 für die zweite Prozessoreinheit 4 für unterschiedliche Zeitpunkte ermittelt werden, beispielsweise die zweite Überlebenswahrscheinlichkeit R2(tx), die sich aus den dritten und vierten Betriebsparameterwerten W3, W4 zum Zeitpunkt tx ergibt.
-
Das Gegenereignis zu der ersten Überlebenswahrscheinlichkeit R1 der ersten Prozessoreinheit 3 ist eine erste Ausfallwahrscheinlichkeit F1 der ersten Prozessoreinheit 3. Es gilt F1=1-R1. Analog ist das Gegenereignis zu der zweiten Überlebenswahrscheinlichkeit R2 der zweiten Prozessoreinheit 4 eine zweite Ausfallwahrscheinlichkeit F2 der zweiten Prozessoreinheit 3. Es gilt F2=1-R2.
-
Die Sicherheits-Prozessoreinheit 5 erlaubt den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen, wenn beide Prozessoreinheiten 3, 4 von der Sicherheits-Prozessoreinheit 5 als einsatzfähig erachtet werden. Dazu kann die Sicherheits-Prozessoreinheit 5 prüfen, ob die beiden Überlebenswahrscheinlichkeiten R1, R2 oder die beiden Ausfallwahrscheinlichkeiten F1, F2 innerhalb eines definierten erlaubten Wertebereichs liegen. Wenn dies der Fall ist, dann erlaubt die Sicherheits-Prozessoreinheit 5 den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
-
Wenn keine der beiden Überlebenswahrscheinlichkeiten R1, R2 oder keine der beiden Ausfallwahrscheinlichkeiten F1, F2 innerhalb des definierten erlaubten Wertebereichs liegt, dann verbietet die Sicherheits-Prozessoreinheit 5 den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
-
Wenn lediglich eine der beiden Überlebenswahrscheinlichkeiten R1, R2 oder eine der beiden Ausfallwahrscheinlichkeiten F1, F2 innerhalb des definierten erlaubten Wertebereichs liegt, dann kann die Sicherheits-Prozessoreinheit 5 gemäß einer ersten Alternative den Prozessoreinheiten 3, 4 erlauben, die autonome Fahrfunktion auszuführen, wenn das Risiko eingegangen werden soll, die Fahrfunktion auszuführen, ohne dass eine Redundanz durch eine zweite einsatzfähige Prozessoreinheit 3 bzw. 4 vorhanden ist. Falls dieses Risiko nicht eingegangen werden soll, dann verbietet die Sicherheits-Prozessoreinheit 5 gemäß einer zweiten Alternative den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen. Das Computerprogrammprodukt kann für die erste Alternative oder für die zweite Alternative entsprechende Anweisungen für die Sicherheits-Prozessoreinheit 5 enthalten.
-
Basierend auf der ersten Überlebenswahrscheinlichkeit R1 und basierend auf der zweiten Überlebenswahrscheinlichkeit R2 kann die Sicherheits-Prozessoreinheit 5 weiterhin eine Ausfallwahrscheinlichkeit FSystem des Parallelsystems 9 berechnen, d.h. eine Wahrscheinlichkeit, dass beide Prozessoreinheiten 3, 4 ausfallen, z.B. für den Zeitpunkt tx. Die Ausfallwahrscheinlichkeit Fsystem des Parallelsystems 9 kann nach der Formel FSystem(tx)=(1-R1(tx))*(1-R2(tx)) Berechnet werden. Die Sicherheits-Prozessoreinheit 5 erlaubt den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen, wenn die Ausfallwahrscheinlichkeit FSystem des Parallelsystems 9 in einem definierten erlaubten Wertebereich liegt, andernfalls verbietet es den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
-
3 zeigt weiterhin, dass mittels der Sicherheits-Prozessoreinheit
5 basierend auf der ersten Überlebenswahrscheinlichkeit R
1 eine erste Ausfallrate λ
1 berechnet werden kann. Dies kann anhand der Formel
erfolgen.
-
Auf ähnliche Weise kann mittels der Sicherheits-Prozessoreinheit
5 basierend auf der zweiten Überlebenswahrscheinlichkeit R
2 eine zweite Ausfallrate λ
2 berechnet werden. Dies kann anhand der Formel
erfolgen.
-
Basierend auf der ersten Ausfallrate und basierend auf der zweiten Ausfallrate kann mittels der Sicherheits-Prozessoreinheit
5 eine mittlere Zeitdauer MTTFsystem bis zum ersten Ausfall des Parallelsystems
9 mit den redundant arbeitenden Prozessoreinheiten 3,4 berechnet werden. Dies kann anhand der Formel
erfolgen.
-
Die Sicherheits-Prozessoreinheit 5 erlaubt den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen, wenn die mittlere Zeitdauer MTTFsystem bis zum ersten Ausfall des Parallelsystems 9 in einem definierten erlaubten Wertebereich liegt, andernfalls verbietet es den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
-
Bezugszeichenliste
-
- 1
- Kraftfahrzeug
- 2
- Fahrerassistenzsystem
- 3
- erste Prozessoreinheit
- 4
- zweite Prozessoreinheit
- 5
- Sicherheits-Prozessoreinheit
- 6
- Sensor
- 7
- Aktuator
- 8
- Antriebseinheit
- 9
- Parallelsystem redundant arbeitender Prozessoreinheiten
- 10
- Prozessor
- 11
- Speichereinheit
- 12
- Computerprogrammprodukt