DE102019218074A1 - Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs - Google Patents

Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs Download PDF

Info

Publication number
DE102019218074A1
DE102019218074A1 DE102019218074.4A DE102019218074A DE102019218074A1 DE 102019218074 A1 DE102019218074 A1 DE 102019218074A1 DE 102019218074 A DE102019218074 A DE 102019218074A DE 102019218074 A1 DE102019218074 A1 DE 102019218074A1
Authority
DE
Germany
Prior art keywords
processor unit
parallel system
autonomous
processor units
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102019218074.4A
Other languages
English (en)
Other versions
DE102019218074B4 (de
Inventor
Viktor Rakoczi
Jonas Gomes Filho
Michael KECKEISEN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102019218074.4A priority Critical patent/DE102019218074B4/de
Publication of DE102019218074A1 publication Critical patent/DE102019218074A1/de
Application granted granted Critical
Publication of DE102019218074B4 publication Critical patent/DE102019218074B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00186Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/005Handover processes
    • B60W60/0051Handover processes from occupants to vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Abstract

Die Erfindung betrifft die Steuerung eines Fahrerassistenzsystems (2) eines Kraftfahrzeugs (1), wobei das Fahrerassistenzsystem (2) ein Parallelsystem (9) aus redundant arbeitenden Prozessoreinheiten (3, 4) umfasst. Eine Sicherheits-Prozessoreinheit (5) ist dazu eingerichtet, basierend auf ermittelten Betriebsparameterwerten des Parallelsystems (9) oder dessen einzelner Prozessoreinheiten (3, 4) für jede der Prozessoreinheiten (3, 4) des Parallelsystems (9) einen Einsatzfähigkeitswert zu ermitteln, welcher angibt, in welchem Maße die betreffende Prozessoreinheit (3, 4) des Parallelsystems (9) dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen. Weiterhin ist die Sicherheits-Prozessoreinheit (5) dazu eingerichtet, in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.

Description

  • Die Erfindung betrifft die Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst.
  • Aus dem Stand der Technik sind Parallelprozessierungen bekannt, um die Systemverfügbarkeit eines Systems des autonomen Fahrens (im Englischen: Autonomous Driving oder abgekürzt: AD) SAE Level 4 und 5 vorschriftsgemäß nach ISO 26262 zu gewährleisten. Dabei spielen die Redundanz entscheidender Komponenten, Monitoring, Hardware-Robustheit und Software-Robustheit eine wichtige Rolle.
  • Die Parallelprozessierung von Daten wird benutzt, um den Ausfall einer ersten Recheneinheit mit der zweiten, dritten oder n-ten Recheneinheit zu kompensieren. Das „Übergeben“ der Rechenaufgaben an die zweite Recheneinheit erfolgt in einer Parallelprozessierung simultan und ohne eine „Intelligenz“. Vereinfacht gesagt erfolgen die Wirkmechanismen zwischen einem Safety-Controller und den Recheneinheiten stets ereignisbasiert, reaktiv. Konsequent beruht dieses Verfahren auf der Annahme, dass die redundante(n) Recheneinheit(en) intakt und damit voll funktionsfähig ist bzw. sind. Die Redundanz zur Systemverfügbarkeit entfällt jedoch, wenn unmittelbar nach dem Ausfall der ersten Recheneinheit auch die zweite Recheneinheit ausfällt. Beispielsweise kann das System aufgrund von Alterung nicht voll funktionsfähig operieren kann und somit ausfallen. Ein Beispiel hierfür ist eine irreversible Änderung der Toleranzen der Bauteile mit der Folge des thermischen Versagens der Komponenten.
  • Die Zeitdauer, in der die parallelprozessierte Recheneinheit den Ausfall der ersten Recheneinheit kompensiert, ist streng definiert. Beispielsweise ist dieser Zeitraum auf 60 Sekunden bestimmt, bis der sogenannte „Sichere Zustand“ in jedem Fall hergestellt werden muss. Der Sichere Zustand ist ein Zustand, in dem Insassen eines Kraftfahrzeugs, aber auch Menschen außerhalb des Kraftfahrzeugs in Sicherheit sind. Denkbare Zustände wären diesbezüglich ein Fahrzeugstillstand am Straßenrand, oder der Fahrer ist in der Lage, sicher und kontrolliert das Fahrzeug zu übernehmen. Entfällt nebst der ersten Recheneinheit auch die parallelprozessierte Recheneinheit noch vor Erreichen des sicheren Zustands, kann nach den sogenannten EVITA Severity Classes die allerhöchste Severity Stufe S4 eintreten.
  • Eine Aufgabe der vorliegenden Erfindung kann darin gesehen werden, die Systemverfügbarkeit des eingangs genannten Fahrerassistenzsystems zu erhöhen. Die Aufgabe wird gelöst durch die Gegenstände der unabhängigen Patentansprüche. Vorteilhafte Ausführungsformen sind Gegenstand der Unteransprüche, der folgenden Beschreibung sowie der Figuren.
  • Gemäß der vorliegenden Erfindung wird eine Technologie bereitgestellt, die es ermöglicht, die Systemverfügbarkeit im Voraus präventiv zu bestimmen. Die vorliegende Erfindung erhöht insbesondere die Systemverfügbarkeit von Systemen des autonomen Fahrens (im Englischen: Autonomous Driving oder abgekürzt: AD). So werden Präventivmaßnahmen zur Sicherstellung der Systemverfügbarkeit parallelprozessierter Recheneinheiten vorgeschlagen, insbesondere von AD-Systemen. Wenn ermittelte statistische Werte, welche die Überlebenswahrscheinlichkeit der parallelprozessierten Recheneinheit(en) wiedergeben, einen definierten Grenzbereich überschreiten, ist gemäß der vorliegenden Erfindung vorgesehen, die Fahrfunktion erst gar nicht zu gestatten. Ein Ziel ist dabei das Beziffern der Überlebenswahrscheinlichkeit bzw. daraus die mittlere Zeitdauer zum ersten Ausfall MTTF (=Erwartungswert) zu berechnen. Dadurch kann festgestellt werden, wie viele Elemente einer Gruppe (oder aber auch eine Recheneinheit) nach einer bestimmten Zeit noch funktionsfähig sind.
  • In diesem Sinne wird gemäß einem ersten Aspekt der Erfindung eine Sicherheits-Prozessoreinheit zur Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs bereitgestellt, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst.
  • Unter „redundant arbeitenden Prozessoreinheiten“ können mehrere Prozessoreinheiten verstanden werden, wobei eine der Prozessoreinheiten die Ausführung der autonomen oder teilautonomen Fahrfunktion übernimmt, wenn eine andere Prozessoreinheit ausfällt, welche die Fahrfunktion bisher ausgeführt hat. Insbesondere können stets sämtliche Prozessoreinheiten die autonome oder teilautonome Fahrfunktion ausführen, die einsatzfähig sind. Falls eine der Prozessoreinheiten ausfällt, führen die restlichen funktionsfähigen Prozessoreinheiten weiterhin die autonome oder teilautonome Fahrfunktion aus. In diesem Fall kann von „parallelprozessierten“ Prozessoreinheiten gesprochen werden. Unter einsatzfähig kann verstanden werden, dass die zur Ausführung der autonomen oder teilautonomen Fahrfunktion eingerichtete Prozessoreinheit dazu auch in der Lage ist.
  • Das Fahrerassistenzsystem umfasst mehrere Prozessoreinheiten zur Ausführung der autonomen oder teilautonomen Fahrfunktion des Kraftfahrzeugs. Das Merkmal „Prozessoreinheit“ umfasst beispielsweise auch Controller und Field Programmable Gate Arrays (FPGA). Die Prozessoreinheit kann eine einzelne Komponente sein. Weiterhin kann die Prozessoreinheit auch eine Komponentengruppe bilden. In einem einfachen Beispiel umfasst das Fahrerassistenzsystem eine erste Prozessoreinheit und eine zweite Prozessoreinheit, wobei die erste Prozessoreinheit dazu eingerichtet ist, als Ersatz für die zweite Prozessoreinheit die autonome oder teilautonome Fahrfunktion auszuführen, wenn die zweite Prozessoreinheit ausfällt, und wobei die zweite Prozessoreinheit dazu eingerichtet ist, als Ersatz für die erste Prozessoreinheit die autonome oder teilautonome Fahrfunktion auszuführen, wenn die erste Prozessoreinheit ausfällt. In einem weiteren Beispiel mit mehr als zwei Prozessoreinheiten kann das Fahrerassistenzsystem beispielsweise eine erste Prozessoreinheit, eine zweite Prozessoreinheit und eine dritte Prozessoreinheit umfassen, die parallelprozessiert betrieben werden, d.h. alle drei Prozessoreinheiten führen stets gleichzeitig die autonome oder teilautonome Fahrfunktion aus. Fällt jetzt beispielsweise die erste Prozessoreinheit aus, wobei die zweite Prozessoreinheit und die dritte Prozessoreinheit noch einsatzfähig sind, dann führen die zweite und die dritte Prozessoreinheit weiterhin parallel die autonome oder teilautonome Fahrfunktion aus. Sollten zwei der drei Prozessoreinheiten ausfallen, so kann die einzig verbliebene einsatzfähige Prozessoreinheit weiterhin die Fahrfunktion ausführen.
  • Die autonome Fahrfunktion ermöglicht, dass das Kraftfahrzeug selbstständig fährt, d.h. ohne, dass ein Fahrzeuginsasse das Kraftfahrzeug steuert. Der Fahrer hat die Kontrolle über das Kraftfahrzeug an das Fahrerassistenzsystem abgegeben. So umfasst die autonome Fahrfunktion, dass das Kraftfahrzeug - insbesondere mittels der zentralen Prozessoreinheit - dazu eingerichtet ist, beispielsweise Lenk-, Blink-, Beschleunigungs- und Bremsmanöver ohne menschliches Eingreifen durchzuführen sowie insbesondere Außenlicht und Signalgebung wie Blinker des Kraftfahrzeugs zu steuern. Unter der teilautonomen Fahrfunktionen kann eine Fahrfunktionen verstanden werden, die einen Fahrer des Kraftfahrzeugs bei der Steuerung des Kraftfahrzeugs unterstützt, insbesondere bei Lenk-, Blink-, Beschleunigungs- und Bremsmanövern, wobei der Fahrer weiterhin die Kontrolle über das Kraftfahrzeug hat. Unter das Merkmal „autonome oder teilautonome Fahrfunktion“ können auch grundlegende Funktionen oder Funktionsgruppen der Prozessoreinheiten fallen, z.B. (um bei den obigen Beispielen zu bleiben) das Bereitstellen der Versorgungsspannung für die erste, zweite oder dritte Prozessoreinheit.
  • Die Sicherheits-Prozessoreinheit („Safety Controller“) ist dazu eingerichtet, basierend auf ermittelten Betriebsparameterwerten des Parallelsystems oder dessen einzelner Prozessoreinheiten für jede der Prozessoreinheiten des Parallelsystems einen Einsatzfähigkeitswert zu ermitteln, wobei der Einsatzfähigkeitswert angibt, in welchem Maße die betreffende Prozessoreinheit des Parallelsystems dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen. Weiterhin ist die Sicherheits-Prozessoreinheit dazu eingerichtet, in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten den Prozessoreinheiten des Parallelsystems zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen. Das Erlauben bzw. Verbieten muss nicht reaktiv erfolgen, sondern insbesondere präventiv, d.h. bevor die Fahrfunktion bereitgestellt wird. Das Erlauben bzw. Verbieten erfolgt also insbesondere bevor die autonome oder teilautonome Fahrfunktion von den Prozessoreinheiten des Parallelsystems ausgeführt wird.
  • Das „Erlauben“ kann beispielsweise umgesetzt werden, indem die Sicherheits-Prozessoreinheit die Prozessoreinheiten des Parallelsystems anweist, die autonome oder teilautonome Fahrfunktion auszuführen. Weiterhin kann die Sicherheits-Prozessoreinheit die Prozessoreinheiten des Parallelsystems darüber benachrichtigen, dass die Einsatzfähigkeitswerte in einem erlaubten Bereich liegen. In diesem Fall können die Prozessoreinheiten selbst entscheiden, ob sie die autonome oder teilautonome Fahrfunktion ausführen oder nicht. Das „Verbieten“ kann beispielsweise umgesetzt werden, indem die Sicherheits-Prozessoreinheit die Prozessoreinheiten des Parallelsystems anweist, die autonome oder teilautonome Fahrfunktion nicht auszuführen.
  • Um entsprechende statistische Werte zu ermitteln, können zuvor geeignete Betriebsparameter identifiziert werden. Die Betriebsparameterwerte lassen Rückschlüsse darauf zu, ob die einzelnen Prozessoreinheiten des Parallelsystems zur Ausführung der autonomen oder teilautonome Fahrfunktion in der Lage sind oder nicht. Die Betriebsparameterwerte können für die einzelnen Prozessoreinheiten des Parallelsystems ermittelt werden. Die Betriebsparameterwerte sind statistische Werte, die direkt oder indirekt erfasst werden können, was weiter unten näher beschrieben wird. Beispielsweise kann erfasst werden, zu welchem Prozentsatz die einzelnen Prozessoreinheiten des Parallelsystems valide Daten liefern oder wie hoch eine Verlustleistung für die einzelnen Prozessoreinheiten des Parallelsystems ist. Im Sinne eines ergodischen Prozesses kann weiterhin aus Betriebsparameterwerten des Parallelsystems auf die Eigenschaften der einzelnen Prozessoreinheiten geschlossen werden. Dabei kann beispielsweise eine Temperatur des gesamten Parallelsystems mit all seinen Prozessoreinheiten gemessen werten.
  • Gemäß einem zweiten Aspekt der Erfindung wird ein Fahrerassistenzsystem bereitgestellt, das eine Sicherheits-Prozessoreinheit gemäß dem ersten Aspekt der Erfindung und ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst.
  • Gemäß einem dritten Aspekt der Erfindung wird ein Kraftfahrzeug bereitgestellt, das ein Fahrerassistenzsystem gemäß dem zweiten Aspekt der Erfindung umfasst.
  • Gemäß einem vierten Aspekt der Erfindung wird ein Computerprogrammprodukt zur Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs bereitgestellt, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst. Das Computerprogrammprodukt weist, wenn es auf einer Sicherheits-Prozessoreinheit ausgeführt wird, die Sicherheits-Prozessoreinheit an,
    • - basierend auf ermittelten Betriebsparameterwerten des Parallelsystems oder dessen einzelner Prozessoreinheiten für jede der Prozessoreinheiten des Parallelsystems einen Einsatzfähigkeitswert zu ermitteln, wobei der Einsatzfähigkeitswert angibt, in welchem Maße die betreffende Prozessoreinheit des Parallelsystems dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, und
    • - in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten den Prozessoreinheiten des Parallelsystems zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.
  • Gemäß einem fünften Aspekt der Erfindung wird ein Verfahren zur Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs bereitgestellt, wobei das Fahrerassistenzsystem ein Parallelsystem aus redundant arbeitenden Prozessoreinheiten umfasst. Das Verfahren umfasst ein Ermitteln eines Einsatzfähigkeitswerts für jede der Prozessoreinheiten des Parallelsystems basierend auf ermittelten Betriebsparameterwerten des Parallelsystems oder dessen einzelner Prozessoreinheiten, wobei der Einsatzfähigkeitswert angibt, in welchem Maße die betreffende Prozessoreinheit des Parallelsystems dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, wobei in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten die Prozessoreinheiten angewiesen werden, die autonome oder teilautonome Fahrfunktion auszuführen.
  • Die folgenden Ausführungen im Zusammenhang mit vorteilhaften Ausführungsformen der Sicherheits-Prozessoreinrichtung gelten sinngemäß auch für das Fahrerassistenzsystem gemäß dem zweiten Aspekt der Erfindung, für das Kraftfahrzeug gemäß dem dritten Aspekt der Erfindung, für das Computerprogrammprodukt gemäß dem vierten Aspekt der Erfindung und für das Verfahren gemäß dem fünften Aspekt der Erfindung.
  • Die Betriebsparameterwerte können mit einem Gewichtungsfaktor gewichtet werden. Dadurch können einzelne Einflussgrößen des mathematischen Modells gewichtet werden, beispielsweise hinsichtlich ihrer Wichtigkeit oder Zuverlässigkeit. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer Ausführungsform dazu eingerichtet, die Betriebsparameterwerte mit einem Gewichtungsfaktor zu gewichten, und den jeweiligen Einsatzfähigkeitswert für jede der Prozessoreinheiten des Parallelsystems basierend auf den gewichteten Betriebsparameterwerten zu ermitteln.
  • Es kann weiterhin sein, dass ein Schweregrad eines einzelnen Fehlers nicht groß ist, sondern erst in Verbindung mit einem anderen Fehler an Kritikalität zunimmt. Um dies zu berücksichtigen, können die Betriebsparameterwerte korreliert werden. Bei der Korrelation geht es um Abhängigkeiten. Die Korrelation ist ein Bestandteil des sogenannten Degradationskonzepts des Autonomen Fahrens. Gemäß diesem Degradationskonzept soll sichergestellt werden, dass das Kraftfahrzeug sicher autonom oder teilautonom fahren kann, wenn eine Komponente zur Ausführung der autonomen oder teilautonomen Fahrfunktion ausfällt. Dabei ist vorgesehen, dass bei Ausfall beispielsweise eines Sensors oder einer Prozessoreinheit des Parallelsystems ein anderer Sensor oder eine andere Prozessoreinheit des Parallelsystems die Fahrfunktion aufrechterhält. Die Korrelation stellt einen Zusammenhang her zwischen dem Vorhandensein von Daten, den Betriebsparameterwerten und dem Sensorset.
  • Gemäß einer ersten (strengeren) Alternative soll die Sicherheits-Prozessoreinheit die Ausführung der autonomen oder teilautonome Fahrfunktion nur dann zulassen, wenn eine Redundanz vorhanden ist, d.h. das wenigstens zwei Prozessoreinheiten als einsatzfähig erachtet werden. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer Ausführungsform dazu eingerichtet, den Prozessoreinheiten zu erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn wenigstens zwei Einsatzfähigkeitswerte innerhalb eines erlaubten Wertebereichs liegen, und den Prozessoreinheiten zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn weniger als zwei Einsatzfähigkeitswerte innerhalb des erlaubten Wertebereichs liegen. Der „erlaubte Wertebereich“ stellt hierbei einen definierten bzw. festgelegten Wertebereich dar, welcher Funktionsfähigkeitswerte beinhaltet. Es wird angenommen bzw. definiert, dass die betreffende Prozessoreinheit dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, wenn die Prozessoreinheit einen Einsatzfähigkeitswert annimmt, der innerhalb des erlaubten Wertebereichs liegt.
  • Gemäß einer zweiten (weniger strengeren) Alternative soll die Sicherheits-Prozessoreinheit die Ausführung der autonomen oder teilautonome Fahrfunktion auch dann noch zulassen, wenn keine Redundanz mehr vorhanden ist, d.h. das lediglich noch eine einzige Prozessoreinheit als einsatzfähig erachtet wird. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer Ausführungsform dazu eingerichtet, den Prozessoreinheiten zu erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn ein einziger Einsatzfähigkeitswert innerhalb eines erlaubten Bereichs liegt, und den Prozessoreinheiten zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn kein Einsatzfähigkeitswert innerhalb des erlaubten Bereichs liegt.
  • Unterschiedliche Betriebsparameter und Kriterien können Aufschlüsse über verschiedene Eigenschaften bzw. Fähigkeiten oder Funktionen der Prozessoreinheiten zulassen. Dadurch kann bewertet werden, ob die Prozessoreinheiten die autonome oder teilautonome Fahrfunktion ausführen können oder nicht.
  • Die Sicherheits-Prozessoreinheit ist dazu eingerichtet, für die Betriebsparameterwerte für ausgewählte Betriebsparameter zu ermitteln. So kann ein Betriebsparameter ausgewählt werden, welcher die Software-Robustheit der Prozessoreinheiten beschreibt. Beispielsweise können ein Schutz gegen Hitze und/oder gegen Kälte im Hinblick auf Codeausführung und Speicherzugriffe kontrolliert werden. Dies kann über eine Auswertung von erstellten Listen der fehlerhaft ausgeführten Codes und Speicherzugriffe bzw. der prozentualen Qualität erfolgen. Weiterhin kann die redundante Berechnung kritischer Werte kontrolliert werden und eine Überprüfung bzw. ein Abgleich des Rechenergebnisses erfolgen. Ferner kann die Einhaltung von Security Coding-Guidelines (z.B. Robustheit gegen Buffer-Overflows, Invalide Daten) überprüft werden. Außerdem kann überprüft werden, ob eine Belastungsgrenze der Prozessoreinheiten größer ist als ein maximaler Busverkehr. Weiterhin kann ausgewertet werden, ob ein Absturz, ein Ausfall oder eine Nichtverfügbarkeit der Prozessoreinheiten zu einem unerwünschten (Gesamt-)Ausfall der Steuerung des Kraftfahrzeugs oder des Fahrerassistenzsystems führt.
  • Auch der Hardwareschutz spielt eine wichtige Rolle und kann als Betriebsparameter genutzt werden. Insbesondere kann die Robustheit der Prozessoreinheiten gegen Glitching, insbesondere gegen Power-Glitching und Clock-Glitching ermittelt werden. In der Elektronik bezeichnet man mit Glitching oder Glitch eine kurzzeitige Falschaussage in logischen Schaltungen und eine temporäre Verfälschung einer booleschen Funktion. Diese tritt auf, weil die Signallaufzeiten in den einzelnen Gattern niemals vollkommen gleich sind. Diese Verfälschung wird daher auch als Race Condition bezeichnet. Die Anfälligkeit für Glitches steigt mit der Komplexität, der Geschwindigkeitserhöhung und der Verkleinerung der Schaltungen, kann aber auch bereits bei sehr einfachen Schaltungen vorhanden sein. Sie stellen ein wesentliches Problem bei der Entwicklung moderner elektronischer Schaltungen und schneller Mikroprozessoren dar. Ein Glitch wird manchmal auch als Hazard (engl.: „Gefahr, Risiko, Zufall“) oder Spike (engl.: „Spitze, Dorn“) bezeichnet.
  • Unter Clock-Glitching kann eine Drift an Zeitstempeln verstanden werden. Die Prozessoreinheiten führen insbesondere alle Aktionen gleichzeitig und synchron durch (Zeitsynchronisation). Beispielsweise soll dasselbe Objekt durch alle Prozessoreinheiten gleichzeitig erkannt werden. Sofern entsprechende Schwellwerte nicht eingehalten werden, deutet dies darauf hin, dass die Prozessoreinheiten des Parallelsystems asynchron arbeiten. Dies ist ein Indikator für eine herabgesetzte Einsatzfähigkeit des Parallelsystems.
  • Weiterhin kann eine Leistungsanalyse (im Englischen: Power Analysis) durchgeführt werden. Bei der Leistungsanalyse werden Spannungsfluktuationen oder Stromfluktuationen über die Zeit verfolgt. Dadurch kann kontrolliert werden, ob bestimmte Baugruppen (im vorliegenden Fall: bestimmte Prozessoreinheiten des Parallelsystems) mehr Strom aufnehmen als vorgesehen, was ein Indikator für ein fehlerhaftes Teilsystem ist, im vorliegenden Fall ein Indikator für eine fehlerhafte bzw. nicht voll einsatzfähige Prozessoreinheit des Parallelsystems. Bei der einfachen Leistungsanalyse (SPA) werden Leistungsspuren oder Diagramme der elektrischen Aktivität über die Zeit visuell interpretiert. Die Differential Power Analysis (DPA) ist eine fortgeschrittenere Form der Leistungsanalyse, bei der Zwischenwerte insbesondere innerhalb kryptographischer Berechnungen durch statistische Analyse von Daten, die von mehreren kryptographischen Operationen gesammelt wurden, berechnet werden können.
  • Weiterhin kann kontrolliert werden, dass Temperaturen der Prozessoreinheiten in einem zugelassenen Bereich liegen, der genau spezifiziert werden kann. Ferner kann eine Leistungsaufnahme der Prozessoreinheiten in Bezug zu deren Belastung gesetzt werden.
  • Weiterhin spielt die Fähigkeit bzw. Funktionalität der Prozessoren zur Plausibilisierung eine wichtige Rolle, was gleichzeitig in die Kategorie Software-Robustheit fällt. In diesem Sinne kann geprüft werden, ob die Prozessoreinheiten Sensordaten plausibilisieren können. Nicht plausible Werte sollen automatisch verworfen werden. Dazu kann auf einen Normbereich der Prozessoreinheiten zurückgegriffen werden (Wertebereiche, Häufigkeiten).
  • Außerdem können Monitoring-Parameter genutzt werden, um die Funktionsfähigkeit der Prozessoreinheiten ausführen zu können. In diesem Fall kann ein unabhängiges Monitoring der Prozessoreinheiten und der Software erfolgen. Dazu kann ein sogenannter „Watchdog“ zum Einsatz kommen. Ein Watchdog ist eine Überwachungseinrichtung, insbesondere eine Komponente eines Systems, welche die Funktionen anderer Komponenten, hier der Prozessoreinheiten des Parallelsystems, überwacht. Wird dabei eine mögliche Fehlfunktion erkannt, so kann dies entweder gemäß einer Sicherheitsvereinbarung signalisiert oder eine geeignete Sprunganweisung eingeleitet werden, die das anstehende Problem bereinigt. Der Begriff Watchdog umfasst sowohl Hardware Watchdogs als auch Software Watchdogs. Der Hardware Watchdog ist eine elektronische Komponente mit Kommunikation zu dem Bauteil, das kontrolliert wird. Der Software Watchdog ist eine prüfende Software in dem zu kontrollierenden Bauteil, die kontrolliert, ob alle wichtigen Programmmodule in einem vorgegebenen Zeitrahmen korrekt ausgeführt werden oder ob ein Modul unzulässig lange für die Bearbeitung benötigt. Der Software Watchdog kann von einem Hardware Watchdog überwacht werden. Alternativ zum Software Watchdog kann eine Software mit einem Zähler überwacht werden, der in regelmäßigen Zeiten von der Software auf einen bestimmten Wert gesetzt wird und von der Hardware ständig dekrementiert wird. Erreicht der Zähler den Wert null, hat es die Software nicht rechtzeitig geschafft, den Zähler zu erhöhen, das heißt, die Software befindet sich in einem fehlerhaften Zustand. Watchdogs können insbesondere in sicherheitsrelevanten Anwendungen implementiert werden und erlauben eine Überwachung von E/E Systemen auf Konformität mit IS026262. Außerdem können Daten der 3rdP von den Prozessoreinheiten gegen einen gültigen Nachrichtenkatalog überprüft werden.
  • Weiterhin werden ein kontinuierliches Sampling der Betriebsparameterwerte und das Speichern dieser Daten als Funktion über die Zeit und auch als Histogramm vorgeschlagen. In diesem Sinne werden in einer Ausführungsform - insbesondere mittels der Sicherheits-Prozessoreinheit, die dazu entsprechend eingerichtet bzw. durch das Computerprogrammprodukt angewiesen werden kann - die Betriebsparameterwerte über einen Zeitraum erfasst bzw. ermittelt und basierend auf den über den Zeitraum ermittelten Betriebsparameterwerten wird den Prozessoreinheiten erlaubt oder verboten, die autonome oder teilautonome Fahrfunktion auszuführen. Insbesondere können entsprechende Daten bzw. Werte kontinuierlich erfasst, gespeichert und ausgewertet sowie als Funktion über der Zeit gespeichert werden. Weiterhin können die Daten bzw. Werte in einem Histogramm gespeichert werden. Auf diese Weise können statistische Werte generiert werden, die eine besonders verlässliche Ermittlung der Einsatzfähigkeit der Prozessoren erlauben und dadurch einen besonders sicheren autonomen oder teilautonomen Betrieb des Kraftfahrzeugs ermöglichen.
  • Die über den Zeitraum ermittelten Betriebsparameterwerte können gemäß einer ersten Alternative durch eine indirekte Messung generiert werden. Im Rahmen dieser Alternative kann eine Drift bestimmter Parameter ermittelt werden, um Rückschlüsse auf eine Lebensdauerfunktion der Prozessoreinheiten zu ziehen. Beispielsweise kann eine Verlustleistung der zweiten Prozessoreinheit (insbesondere unter Beachtung der Rahmenbedingungen Außentemperatur, Auslastung durch den Algorithmus und Kühleffektivität) durch eine anfängliche Messung zu einem ersten Zeitpunkt ermittelt werden und beispielsweise 90W betragen. Anhand der gesammelten Daten über die Zeit ist feststellbar (gleiche Rahmenbedingungen), dass die Prozessoreinheit zu einem späteren Zeitpunkt zwar gleich viel Wärme umsetzt wie am Anfang der Messreihe (zum ersten Zeitpunkt); aber die Prozessoreinheit kann nur beispielsweise 90% anstatt 99% an validen Daten liefern. Es häufen sich Fehlrechnungen. Dies ist ein Indikator dafür, dass Bauteile der Prozessoreinheit gealtert sind und die Toleranzen der Prozessoreinheit sich verändert haben. Dies zeigt sich beispielsweise durch Glitching. Dies ist ein Indikator für ein schlechter werdendes System bzw. für eine sinkende Einsatzfähigkeit der Prozessoreinheit.
  • Die über den Zeitraum ermittelten Werte des wenigstens einen Betriebs-Parameters können gemäß einer zweiten Alternative durch eine direkte Messung generiert werden. Dies kann insbesondere über Stichproben erfolgen, die über den Zeitraum verteilt genommen werden können (Prüflose). Dabei können insbesondere Ausfälle und Fehler der Prozessoreinheiten ermittelt, gespeichert und ausgewertet werden.
  • Insbesondere können die Einsatzfähigkeitswerte in Form von Überlebenswahrscheinlichkeiten der jeweiligen Prozessoreinheiten ermittelt werden. Überschreiten die ermittelten statistischen Werte (Betriebsparameterwerte), welche die Überlebenswahrscheinlichkeit der parallelprozessierten Recheneinheiten wiedergeben, einen definierten Grenzbereich, so wird erst gar nicht die Fahrfunktion gestattet. In diesem Sinne ist die Sicherheits-Prozessoreinheit in einer weiteren Ausführungsform dazu eingerichtet, basierend auf den Betriebsparameterwerten für jede der Prozessoreinheiten den Einsatzfähigkeitswert in Form einer Überlebenswahrscheinlichkeit zu ermitteln. In Abhängigkeit von den ermittelten Überlebenswahrscheinlichkeiten kann die Sicherheits-Prozessoreinheit den Prozessoreinheiten erlauben oder verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.
  • In einem Beispiel mit einem Parallelsystem mit einer ersten Prozessoreinheit und mit einer zweiten Prozessoreinheit können über die Zeit mittels der Sicherheits-Prozessoreinheit basierend auf den Betriebsparameterwerten erste Überlebenswahrscheinlichkeiten der ersten Prozessoreinheit und zweite Überlebenswahrscheinlichkeiten der zweiten Prozessoreinheit ermittelt werden. Die Sicherheits-Prozessoreinheit kann den beiden Prozessoreinheiten erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn beide Überlebenswahrscheinlichkeiten innerhalb des definierten erlaubten Wertebereichs liegen, und andernfalls den beiden Prozessoreinheiten verbieten, die autonome oder teilautonome Fahrfunktion auszuführen („Redun-danz-Gebot“-Modus). Alternativ kann die Sicherheits-Prozessoreinheit den beiden Prozessoreinheiten erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn lediglich eine der beiden Überlebenswahrscheinlichkeiten innerhalb des definierten erlaubten Wertebereichs liegt, und nur dann den beiden Prozessoreinheiten verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn keine der beiden Überlebenswahrscheinlichkeiten innerhalb des definierten erlaubten Wertebereichs liegt („Redundanzverlust-Toleranz“-Modus).
  • In einer weiteren Ausführungsform ist die Sicherheits-Prozessoreinheit dazu eingerichtet, basierend auf den ermittelten Überlebenswahrscheinlichkeiten eine Ausfallwahrscheinlichkeit des Parallelsystems aus den redundant arbeitenden Prozessoreinheiten des Parallelsystems zu ermittelten. Somit wird ein einziger Gesamt-Einsatzfähigkeitswert bereitgestellt, der die Einsatzfähigkeit des gesamten Parallelsystems mit all seinen redundant arbeitenden Prozessoreinheiten beschreibt.
  • In einer weiteren Ausführungsform ist die Sicherheits-Prozessoreinheit dazu eingerichtet, basierend auf den ermittelten Überlebenswahrscheinlichkeiten für jede der Prozessoreinheiten des Parallelsystems eine Ausfallrate zu ermitteln, und basierend auf den ermittelten Ausfallraten eine mittlere Zeitdauer bis zum ersten Ausfall des Parallelsystems aus den redundant arbeitenden Prozessoreinheiten zu ermitteln. Die Ausfallrate ist die relative Änderung der Lebensdauerfunktion bzw. der Überlebenswahrscheinlichkeit. Die Ausfallrate gibt an, wie viele Objekte in einer Zeitspanne durchschnittlich ausfallen. Ziel ist das Beziffern der Überlebenswahrscheinlichkeit bzw. daraus die mittlere Zeitdauer zum ersten Ausfall MTTF (=Erwartungswert). Also wird berechnet, wie viele Elemente einer Gruppe (oder aber auch eine einzige Prozessoreinheit) nach einer bestimmten Zeit noch funktionsfähig sind.
  • Im Folgenden werden Ausführungsbeispiele der Erfindung anhand der schematischen Zeichnung näher erläutert, wobei gleiche oder ähnliche Elemente mit dem gleichen Bezugszeichen versehen sind. Hierbei zeigt
    • 1 ein Kraftfahrzeug mit einem Fahrerassistenzsystem mit parallelprozessierten Prozessoreinheiten gemäß der vorliegenden Erfindung,
    • 2 einen Ablauf einer Berechnung einer Ausfallrate des Fahrerassistenzsystems nach 1 basierend auf Überlebenswahrscheinlichkeiten und Betriebsparameterwerten und
    • 3 einen Ablauf einer Berechnung einer mittleren Zeitdauer bis zum ersten Ausfall des Fahrerassistenzsystems nach 1 basierend auf Ausfallraten und Überlebenswahrscheinlichkeiten.
  • 1 zeigt ein Kraftfahrzeug 1. Das Kraftfahrzeug 1 weist ein Fahrerassistenzsystem 2 auf. Das Fahrerassistenzsystem 2 umfasst eine erste Prozessoreinheit 3 und eine zweite Prozessoreinheit 4 sowie eine Sicherheits-Prozessoreinheit 5. Das Kraftfahrzeug kann weiterhin einen Sensor 6 (z.B. ein Kamerasystem), einen Aktuator 7 und eine Antriebseinheit 8 (z.B. mit einem Motor und einem Getriebe) umfassen. Der Aktuator 7 kann auf die Antriebseinheit 8 einwirken, sodass unterschiedliche Betriebspunkte der Antriebseinheit 8 eingestellt werden können, z.B. unterschiedliche Drehzahlen des Motors der Antriebseinheit 8. Die erste Prozessoreinheit 3 und die zweite Prozessoreinheit 4 des Fahrerassistenzsystems 2 können beispielsweise auf Sensordaten zurückgreifen, die von dem Sensor 6 generiert worden sind. Basierend auf den Sensordaten können die beiden Prozessoreinheiten 3, 4 den Aktuator steuern oder regeln, um auf diese Weise beispielsweise eine autonome Fahrfunktion des Kraftfahrzeugs 1 auszuführen.
  • Die erste Prozessoreinheit 3 und die zweite Prozessoreinheit 4 bilden ein Parallelsystem 9 redundant arbeitender Prozessoreinheiten 3, 4. Die erste Prozessoreinheit 3 und die zweite Prozessoreinheit 4 sind in dem gezeigten Ausführungsbeispiel parallelprozessiert, d.h. sowohl die erste Prozessoreinheit 3 als auch die zweite Prozessoreinheit 4 führen stets zur gleichen Zeit Rechenoperationen aus, um die autonome Fahrfunktion auszuführen. Dabei übernimmt die zweite Prozessoreinheit 4 die Ausführung der autonomen Fahrfunktion, wenn die erste Prozessoreinheit 3 ausfällt, und die erste Prozessoreinheit 3 übernimmt die Ausführung der autonomen Fahrfunktion, wenn die zweite Prozessoreinheit 4 ausfällt.
  • Die Sicherheits-Prozessoreinheit 5 ist kommunikativ mit der ersten Prozessoreinheit 3 und mit der zweiten Prozessoreinheit 4 verbunden, sodass die Sicherheits-Prozessoreinheit 5 an die beiden Prozessoreinheiten 3, 4 Anweisungen übermitteln kann. Eine solche Anweisung kann insbesondere verhindern, dass die autonome Fahrfunktion durch eine oder beide Prozessoreinheiten 3, 4 ausgeführt wird. Die Sicherheits-Prozessoreinheit 5 umfasst einen Prozessor 10, der auf eine Speichereinheit 11 der Sicherheits-Prozessoreinheit 5 zugreifen kann. Auf der Speichereinheit 11 ist ein Computerprogrammprodukt 12 gespeichert. Das Computerprogrammprodukt 12 weist, wenn es durch den Prozessor 10 der Sicherheits-Prozessoreinheit 5 ausgeführt wird, die Sicherheits-Prozessoreinheit 5 bzw. deren Prozessor 10 an, die im Folgenden beschriebenen Schritte durchzuführen.
  • So zeigt 2, wie eine Ausfallwahrscheinlichkeit Fsystem des Parallelsystems 9 zu einem bestimmten Zeitpunkt tx mittels der Sicherheits-Prozessoreinheit 5 indirekt ermittelt bzw. berechnet werden kann. Dabei werden durch eine Drift-Ermittlung von bestimmenden Parametern Rückschlüsse auf eine Lebensdauerfunktion der einzelnen Prozessoreinheiten 3, 4 gezogen. Es werden statistische Werte bzw. Daten gesammelt. In dem gezeigten Ausführungsbeispiel werden dabei zunächst folgende statistische Werte bzw. Daten gesammelt:
    • - erste Betriebsparameterwerte W1, welche Rückschlüsse auf einen ersten Einsatzfähigkeitswert der ersten Prozessoreinheit 3 erlauben, und
    • - zweite Betriebsparameterwerte W2, welche ebenfalls Rückschlüsse auf den ersten Einsatzfähigkeitswert der ersten Prozessoreinheit 3 erlauben.
  • Das Sammeln oder Ermitteln der vorstehend genannten Daten kann beispielsweise mittels der Sicherheits-Prozessoreinheit 5 erfolgen. Alternativ können die Daten jedoch auch von einer anderen Funktionseinheit generiert werden, wobei die Sicherheits-Prozessoreinheit 5 in diesem Fall auf die von der anderen Funktionseinheit generierten Daten zugreifen kann.
  • Beispielsweise kann eine Verlustleistung der ersten Prozessoreinheit 3 kontinuierlich ermittelt und als Funktion über der Zeit (also zu mehreren aufeinanderfolgenden Zeitpunkten t2, t3, t4 usw.) gespeichert werden. Dies kann auch in Form eines Histogramms erfolgen. Die gespeicherten Verlustleistungen können beispielsweise die ersten Betriebsparameterwerte W1 darstellen. Beispielsweise kann eine typische Verlustleistung der ersten Prozessoreinheit 3 von 90W angenommen werden. Diese Annahme kann auf Erfahrungswerten beruhen, insbesondere unter Beachtung der Rahmenbedingungen Außentemperatur, Auslastung durch den Algorithmus und Kühleffektivität. Anhand der über die Zeit bei gleichen Rahmenbedingungen gesammelten ersten statistischen Werte W1 kann beispielsweise festgestellt werden, dass die erste Prozessoreinheit 3 zum Zeitpunkt tx gleich viel Wärme umsetzt, wie zu einem vorherigen Zeitpunkt t1 am Anfang der Messreihe (gleichbleibende Verlustleistung). Beispielsweise kann die erste Prozessoreinheit zum Zeitpunkt t1 in Betrieb genommen worden sein. Die Verlustleistungen als erste Betriebsparameterwerte W1 können beispielsweise der Parameter-Kategorie „Hardwareschutz“ zugeordnet werden.
  • Weiterhin kann kontinuierlich über die Zeit kontrolliert und gespeichert werden, ob die erste Prozessoreinheit 3 valide Daten liefert (zweite Betriebsparameterwerte R2). Die Validität der Daten als zweite Betriebsparameterwerte W2 können der Parameter-Kategorie „Software-Robustheit“ zugeordnet werden. Anhand der über die Zeit bei gleichen Rahmenbedingungen gesammelten zweiten Betriebsparameterwerte W2 kann beispielsweise festgestellt werden, dass die erste Prozessoreinheit 3 zum Zeitpunkt tx bei gleichgebliebener Verlustwärme (s.o. Betriebsparameterwert W1) nur beispielsweise 90% anstatt 99% (wie zum Zeitpunkt t1 am Anfang der Messreihe) an validen Daten liefern kann. Es häufen sich Fehlrechnungen. Dies kann insbesondere daran liegen, dass die erste Prozessoreinheit 3 gealtert ist, wobei sich Toleranzen verändert haben. Dies kann sich beispielsweise durch Glitching zeigen.
  • Basierend auf den ersten Betriebsparameterwerten W1 und basierend auf den zweiten Betriebsparameterwerten W2 kann die Sicherheits-Prozessoreinheit 5 für die erste Prozessoreinheit 3 eine erste Überlebenswahrscheinlichkeit R1 berechnen. Dabei können die ersten Betriebsparameterwerte W1 und die zweiten Betriebsparameterwerte W2 jeweils mit Gewichtungsfaktoren m1, m2 versehen werden. Die Gewichtungsfaktoren m1, m2 können beispielsweise eine Wichtigkeit der Betriebsparameterwerte W1, W2 repräsentieren oder eine Zuverlässigkeit, mit welcher sich von den Betriebsparameterwerten W1, W2 auf die erste Überlebenswahrscheinlichkeit R1 schließen lässt.
  • Die erste Überlebenswahrscheinlichkeit R1 kann angeben, zu welchem Prozentsatz die erste Prozessoreinheit 3 nach einer bestimmten Zeit noch funktionsfähig ist. Die erste Überlebenswahrscheinlichkeit R1 ist eine monoton fallende Funktion. Die erste Überlebenswahrscheinlichkeit R1 ist zeitabhängig und nicht konstant. Die erste Überlebenswahrscheinlichkeit R1 ist ein erster Einsatzfähigkeitswert der ersten Prozessoreinheit 3 und gibt an, in welchem Maße die erste Prozessoreinheit 3 beispielsweise zum Zeitpunkt tx dazu in der Lage ist, die autonome Fahrfunktion auszuführen. Die Überlebenswahrscheinlichkeit R1(tx), die sich aus den ersten und zweiten Betriebsparameterwerten W1, W2 zum Zeitpunkt tx ergibt, kann beispielsweise - aufgrund der verschlechterten Software-Robustheit (zweite Betriebsparameterwerte W2) bei unveränderter Verlustleistung (erste Betriebsparameterwerte W1) geringer sein als die Überlebenswahrscheinlichkeit R1(t1), die sich aus den ersten und zweiten Betriebsparameterwerten W1, W2 zum Zeitpunkt t1 am Anfang der Messreihe ergibt.
  • Auf ähnliche Weise wie für die erste Prozessoreinheit 3 können auch für die zweite Prozessoreinheit 4 zunächst Betriebsparameter ausgewählt werden (dabei kann es sich beispielsweise um die gleichen Betriebsparameter handeln, die auch für die erste Prozessoreinheit 3 ausgewählt wurden) und entsprechende dritte Betriebsparameterwerte W3, und vierte Betriebsparameterwerte W4 ermittelt werden. Basierend auf den Betriebsparameterwerten W3, W4 können - optional gewichtet mit Gewichtungsfaktoren m3, m4 (auch hier kann es sich um die gleichen Gewichtungsfaktoren m1, m2 handeln, die für die erste Prozessoreinheit 3 ausgewählt wurden) - zweite Überlebenswahrscheinlichkeiten R2 für die zweite Prozessoreinheit 4 für unterschiedliche Zeitpunkte ermittelt werden, beispielsweise die zweite Überlebenswahrscheinlichkeit R2(tx), die sich aus den dritten und vierten Betriebsparameterwerten W3, W4 zum Zeitpunkt tx ergibt.
  • Das Gegenereignis zu der ersten Überlebenswahrscheinlichkeit R1 der ersten Prozessoreinheit 3 ist eine erste Ausfallwahrscheinlichkeit F1 der ersten Prozessoreinheit 3. Es gilt F1=1-R1. Analog ist das Gegenereignis zu der zweiten Überlebenswahrscheinlichkeit R2 der zweiten Prozessoreinheit 4 eine zweite Ausfallwahrscheinlichkeit F2 der zweiten Prozessoreinheit 3. Es gilt F2=1-R2.
  • Die Sicherheits-Prozessoreinheit 5 erlaubt den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen, wenn beide Prozessoreinheiten 3, 4 von der Sicherheits-Prozessoreinheit 5 als einsatzfähig erachtet werden. Dazu kann die Sicherheits-Prozessoreinheit 5 prüfen, ob die beiden Überlebenswahrscheinlichkeiten R1, R2 oder die beiden Ausfallwahrscheinlichkeiten F1, F2 innerhalb eines definierten erlaubten Wertebereichs liegen. Wenn dies der Fall ist, dann erlaubt die Sicherheits-Prozessoreinheit 5 den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
  • Wenn keine der beiden Überlebenswahrscheinlichkeiten R1, R2 oder keine der beiden Ausfallwahrscheinlichkeiten F1, F2 innerhalb des definierten erlaubten Wertebereichs liegt, dann verbietet die Sicherheits-Prozessoreinheit 5 den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
  • Wenn lediglich eine der beiden Überlebenswahrscheinlichkeiten R1, R2 oder eine der beiden Ausfallwahrscheinlichkeiten F1, F2 innerhalb des definierten erlaubten Wertebereichs liegt, dann kann die Sicherheits-Prozessoreinheit 5 gemäß einer ersten Alternative den Prozessoreinheiten 3, 4 erlauben, die autonome Fahrfunktion auszuführen, wenn das Risiko eingegangen werden soll, die Fahrfunktion auszuführen, ohne dass eine Redundanz durch eine zweite einsatzfähige Prozessoreinheit 3 bzw. 4 vorhanden ist. Falls dieses Risiko nicht eingegangen werden soll, dann verbietet die Sicherheits-Prozessoreinheit 5 gemäß einer zweiten Alternative den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen. Das Computerprogrammprodukt kann für die erste Alternative oder für die zweite Alternative entsprechende Anweisungen für die Sicherheits-Prozessoreinheit 5 enthalten.
  • Basierend auf der ersten Überlebenswahrscheinlichkeit R1 und basierend auf der zweiten Überlebenswahrscheinlichkeit R2 kann die Sicherheits-Prozessoreinheit 5 weiterhin eine Ausfallwahrscheinlichkeit FSystem des Parallelsystems 9 berechnen, d.h. eine Wahrscheinlichkeit, dass beide Prozessoreinheiten 3, 4 ausfallen, z.B. für den Zeitpunkt tx. Die Ausfallwahrscheinlichkeit Fsystem des Parallelsystems 9 kann nach der Formel FSystem(tx)=(1-R1(tx))*(1-R2(tx)) Berechnet werden. Die Sicherheits-Prozessoreinheit 5 erlaubt den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen, wenn die Ausfallwahrscheinlichkeit FSystem des Parallelsystems 9 in einem definierten erlaubten Wertebereich liegt, andernfalls verbietet es den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
  • 3 zeigt weiterhin, dass mittels der Sicherheits-Prozessoreinheit 5 basierend auf der ersten Überlebenswahrscheinlichkeit R1 eine erste Ausfallrate λ1 berechnet werden kann. Dies kann anhand der Formel λ 1 ( t x ) = d R 1 ( t x ) d t R 1 ( t x )
    Figure DE102019218074A1_0001
    erfolgen.
  • Auf ähnliche Weise kann mittels der Sicherheits-Prozessoreinheit 5 basierend auf der zweiten Überlebenswahrscheinlichkeit R2 eine zweite Ausfallrate λ2 berechnet werden. Dies kann anhand der Formel λ 2 ( t x ) = d R 2 ( t x ) d t R 2 ( t x )
    Figure DE102019218074A1_0002
    erfolgen.
  • Basierend auf der ersten Ausfallrate und basierend auf der zweiten Ausfallrate kann mittels der Sicherheits-Prozessoreinheit 5 eine mittlere Zeitdauer MTTFsystem bis zum ersten Ausfall des Parallelsystems 9 mit den redundant arbeitenden Prozessoreinheiten 3,4 berechnet werden. Dies kann anhand der Formel M T T F S y s t e m = 1 λ 1 ( t x ) + 1 λ 2 ( t x ) 1 λ 1 ( t x ) + λ 2 ( t x )
    Figure DE102019218074A1_0003
    erfolgen.
  • Die Sicherheits-Prozessoreinheit 5 erlaubt den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen, wenn die mittlere Zeitdauer MTTFsystem bis zum ersten Ausfall des Parallelsystems 9 in einem definierten erlaubten Wertebereich liegt, andernfalls verbietet es den Prozessoreinheiten 3, 4, die autonome Fahrfunktion auszuführen.
  • Bezugszeichenliste
    • 1
    Kraftfahrzeug
    2
    Fahrerassistenzsystem
    3
    erste Prozessoreinheit
    4
    zweite Prozessoreinheit
    5
    Sicherheits-Prozessoreinheit
    6
    Sensor
    7
    Aktuator
    8
    Antriebseinheit
    9
    Parallelsystem redundant arbeitender Prozessoreinheiten
    10
    Prozessor
    11
    Speichereinheit
    12
    Computerprogrammprodukt

Claims (14)

  1. Sicherheits-Prozessoreinheit (5) zur Steuerung eines Fahrerassistenzsystems (2) eines Kraftfahrzeugs (1), wobei das Fahrerassistenzsystem (2) ein Parallelsystem (9) aus redundant arbeitenden Prozessoreinheiten (3, 4) umfasst, wobei die Sicherheits-Prozessoreinheit (5) dazu eingerichtet ist, - basierend auf ermittelten Betriebsparameterwerten (W1 bis W4) des Parallelsystems (9) oder dessen einzelner Prozessoreinheiten (3, 4) für jede der Prozessoreinheiten (3, 4) des Parallelsystems (9) einen Einsatzfähigkeitswert (R1, R2) zu ermitteln, wobei der Einsatzfähigkeitswert (R1, R2) angibt, in welchem Maße die betreffende Prozessoreinheit (3, 4) des Parallelsystems (9) dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, und - in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten (R1, R2) den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.
  2. Sicherheits-Prozessoreinheit (5) nach Anspruch 1, wobei die Sicherheits-Prozessoreinheit (5) dazu eingerichtet ist, - die Betriebsparameterwerte (W1 bis W4) mit einem Gewichtungsfaktor (m1 bis m4) zu gewichten, und - den Einsatzfähigkeitswert (R1, R2) für jede der Prozessoreinheiten (3, 4) des Parallelsystems (9) basierend auf den gewichteten Betriebsparameterwerten (W1 bis W4) zu ermitteln.
  3. Sicherheits-Prozessoreinheit (5) nach Anspruch 1 oder 2, wobei die Sicherheits-Prozessoreinheit (5) dazu eingerichtet ist, - den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn wenigstens zwei Einsatzfähigkeitswerte (R1, R2) innerhalb eines erlaubten Wertebereichs liegen, und - den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn weniger als zwei Einsatzfähigkeitswerte (R1/R2) innerhalb des erlaubten Wertebereichs liegen.
  4. Sicherheits-Prozessoreinheit (5) nach Anspruch 1 oder 2, wobei die Sicherheits-Prozessoreinheit (5) dazu eingerichtet ist, - den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu erlauben, die autonome oder teilautonome Fahrfunktion auszuführen, wenn ein einziger Einsatzfähigkeitswert (R1/R2) innerhalb eines erlaubten Bereichs liegt, und - den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen, wenn kein Einsatzfähigkeitswert innerhalb des erlaubten Bereichs liegt.
  5. Sicherheits-Prozessoreinheit (5) nach einem der vorstehenden Ansprüche, wobei den Betriebsparameterwerten zugeordnete Betriebsparameter ausgewählt sind aus der Gruppe - Software-Robustheit, - Hardware-Schutz, - Plausibilisierung und - Monitoring.
  6. Sicherheits-Prozessoreinheit (5) nach einem der vorstehenden Ansprüche, wobei die Sicherheits-Prozessoreinheit (5) dazu eingerichtet ist, - die Betriebsparameterwerte (W1 bis W4) über einen Zeitraum zu ermitteln, und - basierend auf den über den Zeitraum ermittelten Betriebsparameterwerten (W1 bis W4) den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.
  7. Sicherheits-Prozessoreinheit (5) nach Anspruch 6, wobei die Sicherheits-Prozessoreinheit (5) dazu eingerichtet ist, die Betriebsparameterwerte (W1 bis W4) mittels einer indirekten Messung oder mittels einer direkten Messung zu ermitteln.
  8. Sicherheits-Prozessoreinheit nach einem der vorstehenden Ansprüche, wobei die Sicherheits-Prozessoreinheit dazu eingerichtet ist, basierend auf den Betriebsparameterwerten (W1 bis W4) für jede der Prozessoreinheiten (3, 4) des Parallelsystems (9) den Einsatzfähigkeitswert in Form einer Überlebenswahrscheinlichkeit (R1, R2) zu ermitteln.
  9. Sicherheits-Prozessoreinheit (5) nach Anspruch 8, wobei die Sicherheits-Prozessoreinheit (5) dazu eingerichtet ist, basierend auf den ermittelten Überlebenswahrscheinlichkeiten (R1, R2) eine Ausfallwahrscheinlichkeit FSystem des Parallelsystems (9) aus den redundant arbeitenden Prozessoreinheiten (3, 4) des Parallelsystems (9) zu ermittelten,
  10. Sicherheits-Prozessoreinheit nach Anspruch 8, wobei die Sicherheits-Prozessoreinheit dazu eingerichtet ist, - basierend auf den ermittelten Überlebenswahrscheinlichkeiten (R1, R2) für jede der Prozessoreinheiten (3, 4) des Parallelsystems (9) eine Ausfallrate (λ1, λ2) zu ermitteln, und - basierend auf den ermittelten Ausfallraten (λ1, λ2) eine mittlere Zeitdauer MTTFsystem bis zum ersten Ausfall des Parallelsystems (9) aus den redundant arbeitenden Prozessoreinheiten (3, 4) zu ermitteln.
  11. Fahrerassistenzsystem (2) umfassend eine Sicherheits-Prozessoreinheit nach einem der vorstehenden Ansprüche und ein Parallelsystem (9) aus redundant arbeitenden Prozessoreinheiten (3, 4).
  12. Kraftfahrzeug umfassend ein Fahrerassistenzsystem nach Anspruch 11.
  13. Computerprogrammprodukt (12) zur Steuerung eines Fahrerassistenzsystems (2) eines Kraftfahrzeugs (1), wobei das Fahrerassistenzsystem (2) ein Parallelsystem (9) aus redundant arbeitenden Prozessoreinheiten (3, 4) umfasst, wobei das Computerprogrammprodukt (12) wenn es auf einer Sicherheits-Prozessoreinheit ausgeführt wird, die Sicherheits-Prozessoreinheit anweist, - basierend auf ermittelten Betriebsparameterwerten (W1 bis W4) des Parallelsystems (9) oder dessen einzelner Prozessoreinheiten (3, 4) für jede der Prozessoreinheiten (3, 4) des Parallelsystems (9) einen Einsatzfähigkeitswert (R1, R2) zu ermitteln, wobei der Einsatzfähigkeitswert (R1, R2) angibt, in welchem Maße die betreffende Prozessoreinheit (3, 4) des Parallelsystems (9) dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, und - in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten (R1, R2) den Prozessoreinheiten (3, 4) des Parallelsystems (9) zu erlauben oder zu verbieten, die autonome oder teilautonome Fahrfunktion auszuführen.
  14. Verfahren zur Steuerung eines Fahrerassistenzsystems (2) eines Kraftfahrzeugs (1), wobei das Fahrerassistenzsystem (2) ein Parallelsystem (9) aus redundant arbeitenden Prozessoreinheiten (3, 4) umfasst, das Verfahren umfassend die Schritte - Ermitteln eines Einsatzfähigkeitswerts (R1, R2) für jede der Prozessoreinheiten (3, 4) des Parallelsystems (9) basierend auf ermittelten Betriebsparameterwerten (W1 bis W4) des Parallelsystems (9) oder dessen einzelner Prozessoreinheiten (3, 4), wobei der Einsatzfähigkeitswert (R1, R2) angibt, in welchem Maße die betreffende Prozessoreinheit (3, 4) des Parallelsystems (9) dazu in der Lage ist, die autonome oder teilautonome Fahrfunktion auszuführen, und - in Abhängigkeit von den ermittelten Einsatzfähigkeitswerten (R1, R2) Anweisen der Prozessoreinheiten (3,4), die autonome oder teilautonome Fahrfunktion auszuführen.
DE102019218074.4A 2019-11-22 2019-11-22 Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs Active DE102019218074B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019218074.4A DE102019218074B4 (de) 2019-11-22 2019-11-22 Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019218074.4A DE102019218074B4 (de) 2019-11-22 2019-11-22 Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs

Publications (2)

Publication Number Publication Date
DE102019218074A1 true DE102019218074A1 (de) 2021-05-27
DE102019218074B4 DE102019218074B4 (de) 2021-10-14

Family

ID=75784116

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019218074.4A Active DE102019218074B4 (de) 2019-11-22 2019-11-22 Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs

Country Status (1)

Country Link
DE (1) DE102019218074B4 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018107938A1 (de) * 2017-04-11 2018-10-11 Toyota Jidosha Kabushiki Kaisha Automatisches Fahrsystem
DE102017216801A1 (de) * 2017-09-22 2019-03-28 Robert Bosch Gmbh Verfahren zum Überwachen mindestens einer Komponente eines Kraftfahrzeugs

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018107938A1 (de) * 2017-04-11 2018-10-11 Toyota Jidosha Kabushiki Kaisha Automatisches Fahrsystem
DE102017216801A1 (de) * 2017-09-22 2019-03-28 Robert Bosch Gmbh Verfahren zum Überwachen mindestens einer Komponente eines Kraftfahrzeugs

Also Published As

Publication number Publication date
DE102019218074B4 (de) 2021-10-14

Similar Documents

Publication Publication Date Title
DE19633952B4 (de) Elektronische Steuerung mit Fehlerdiagnosefunktion
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE112016000264T5 (de) Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
WO2018134023A1 (de) Redundante prozessorarchitektur
WO2013164224A2 (de) Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems, vorzugsweise eines motorsteuersystems eines kraftfahrzeuges
DE102018216423A1 (de) Bestimmung eines Ansteuerungssignals für ein teilautonomes Fahrzeug
EP1615087B1 (de) Steuer- und Regeleinheit
EP3291094A1 (de) Prozessorsystem und verfahren zur überwachung von prozessoren
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
EP3341843A1 (de) Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
EP2494488A1 (de) Verfahren zum ausführen von sicherheits-relevanten und nicht-sicherheits-relevanten softwarekomponenten auf einer hardwareplattform
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE102011003013A1 (de) Verfahren zum Betreiben eines Steuergerätes
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE102020200414A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102019219870A1 (de) Integritätsüberwachung einer Recheneinheit
DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
EP3893113B1 (de) Überwachung einer komponente eines steuerungssystems für ein fortbewegungsmittel
DE102016217762A1 (de) Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit
WO2022263416A1 (de) Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final