DE102020215565A1 - Method for bringing a vehicle into a safe condition - Google Patents

Method for bringing a vehicle into a safe condition Download PDF

Info

Publication number
DE102020215565A1
DE102020215565A1 DE102020215565.8A DE102020215565A DE102020215565A1 DE 102020215565 A1 DE102020215565 A1 DE 102020215565A1 DE 102020215565 A DE102020215565 A DE 102020215565A DE 102020215565 A1 DE102020215565 A1 DE 102020215565A1
Authority
DE
Germany
Prior art keywords
vehicle
emergency
fpga
component
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020215565.8A
Other languages
German (de)
Inventor
Viktor Rakoczi
Jonas Gomes Filho
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102020215565.8A priority Critical patent/DE102020215565A1/en
Publication of DE102020215565A1 publication Critical patent/DE102020215565A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/035Bringing the control units into a predefined state, e.g. giving priority to particular actuators
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/402Back-up

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Traffic Control Systems (AREA)

Abstract

Bei einem Verfahren zum Überführen eines Fahrzeugs (9) in einen sicheren Zustand wird das Fahrzeug (9) dadurch in den sicheren Zustand überführt wird, dass ein im Fahrzeug (9) angeordneter FPGA (2) bei einem Ausfall einer Fahrzeug-Rechenkomponente (4.1, 4.2) notfallmässige Rechenoperationen ausführt.In a method for transferring a vehicle (9) to a safe state, the vehicle (9) is transferred to the safe state by an FPGA (2) arranged in the vehicle (9) in the event of a failure of a vehicle computing component (4.1, 4.2) performs emergency arithmetic operations.

Description

Technisches Gebiettechnical field

Die Erfindung betrifft ein Verfahren zum Überführen eines Fahrzeugs in einen sicheren Zustand nach dem Oberbegriff des Anspruchs 1. Die Erfindung betrifft ferner eine Steuervorrichtung, ein Fahrzeug, ein Computerprogramm und ein computerlesbares Medium nach den nebengeordneten Ansprüchen.The invention relates to a method for bringing a vehicle into a safe state according to the preamble of claim 1. The invention also relates to a control device, a vehicle, a computer program and a computer-readable medium according to the independent claims.

Stand der TechnikState of the art

Moderne Fahrzeuge (Autos, Transporter, Lastwagen, Motorräder etc.) umfassen eine Vielzahl an Systemen, die dem Fahrer Informationen zur Verfügung stellen und einzelne Funktionen des Fahrzeugs teil- oder vollautomatisiert steuern. Über unterschiedliche Sensoren werden beispielsweise Daten betreffend die Umgebung der Fahrzeuge sowie andere Verkehrsteilnehmer erfasst. Basierend auf den erfassten Daten kann ein Modell der Fahrzeugumgebung erzeugt werden und auf Veränderungen in dieser Fahrzeugumgebung reagiert werden. Durch die fortschreitende Entwicklung im Bereich der autonom und teilautonom fahrenden Fahrzeuge werden der Einfluss und der Wirkungsbereich solcher Fahrerassistenzsysteme (Advanced Driver Assistance Systems, ADAS) immer grösser. Durch die Entwicklung immer präziserer Sensoren ist es zudem möglich, die Umgebung und den Verkehr immer besser zu erfassen und einzelne Funktionen des Fahrzeugs vollständig oder teilweise ohne Eingriff des Fahrers zu kontrollieren. Fahrerassistenzsysteme einschliesslich autonomer Fahrsysteme (Autonomous Driving Systems) können dabei zur Erhöhung der Sicherheit im Verkehr sowie zur Verbesserung des Fahrkomforts beitragen.Modern vehicles (cars, vans, trucks, motorcycles, etc.) include a large number of systems that provide the driver with information and partially or fully automatically control individual vehicle functions. For example, data relating to the surroundings of the vehicles and other road users is recorded using various sensors. Based on the recorded data, a model of the vehicle environment can be generated and changes in this vehicle environment can be reacted to. Due to the progressive development in the field of autonomous and semi-autonomous vehicles, the influence and scope of such driver assistance systems (Advanced Driver Assistance Systems, ADAS) are increasing. Thanks to the development of ever more precise sensors, it is also possible to record the surroundings and the traffic better and to control individual functions of the vehicle completely or partially without the driver having to intervene. Driver assistance systems, including autonomous driving systems, can contribute to increasing traffic safety and improving driving comfort.

Im Bereich des autonomen Fahrens, insbesondere für die SAE-Autonomiestufen 3, 4 und 5, sind die Sicherheitsanforderungen typischerweise sehr hoch und es ist unverzichtbar, dass auch bei einem Ausfall oder Teilausfall eines technischen Fahrzeugsystems eine Funktionsfähigkeit gewährleistet bleibt (man spricht hier auch vom sogenannten „Fail-Operational-Design“).In the area of autonomous driving, especially for the SAE autonomy levels 3, 4 and 5, the safety requirements are typically very high and it is essential that functionality is guaranteed even in the event of a failure or partial failure of a technical vehicle system (we also speak of the so-called "Fail operational design").

Eine aus dem Stand der Technik bekannte Lösung in Fällen, wo Prozessorkerne oder SoCs (das steht für System on Chip oder auf Deutsch „Ein-Chip-System“) ganz oder zum Teil ausfallen, ist, einen Sicherheitsmechanismus mit Namen „Dekomposition“ zu nutzen, in dessen Rahmen zwei Prozessorkerne oder SoCs die gleichen Rechenoperationen durchführen und die Resultate untereinander vergleichen, um zu überprüfen, ob die Rechenoperationen wie gewünscht durchgeführt werden. Bei dieser Lösung sind in Fällen, wo Probleme festgestellt werden, die möglichen Aktionen jedoch beschränkt, insbesondere wenn die beteiligten SoCs oder Prozessorkerne physikalisch die gleichen sind und/oder sogenannte «common cause»-Probleme vorliegen, also Ausfälle aufgrund gemeinsamer Ursachen, welche beide SoCs oder Prozessorkerne gleichermassen betreffen.A solution known from the prior art in cases where processor cores or SoCs (that stands for system on chip or in German "Ein-Chip-System") fails in whole or in part is to use a safety mechanism called "decomposition". , in which two processor cores or SoCs perform the same arithmetic operations and compare the results with each other to check whether the arithmetic operations are performed as desired. With this solution, however, the possible actions are limited in cases where problems are identified, especially if the SoCs or processor cores involved are physically the same and/or so-called "common cause" problems are present, i.e. failures due to common causes that affect both SoCs or equally affect processor cores.

Die typischen Möglichkeiten zur Lösung dieser Probleme sind normalerweise aufwendig und teuer, zum Beispiel das Einfügen zusätzlicher SoCs oder Prozessorkerne in eine elektronische Recheneinheit oder ein Anschliessen einer komplett redundanten zusätzlichen elektronischen Steuereinheit an ein System.The typical ways to solve these problems are usually complex and expensive, for example adding additional SoCs or processor cores to an electronic processing unit or connecting a fully redundant additional electronic control unit to a system.

Allgemeine Beschreibung der ErfindungGeneral Description of the Invention

Aufgabe der Erfindung ist es, die Nachteile des Stands der Technik zu beheben oder zumindest zu vermindern.The object of the invention is to eliminate or at least reduce the disadvantages of the prior art.

Die Aufgabe wird gelöst durch ein Verfahren zum Überführen eines Fahrzeugs in einen sicheren Zustand, wobei das Fahrzeug dadurch in den sicheren Zustand überführt wird, dass ein im Fahrzeug angeordneter FPGA bei einem Ausfall einer Fahrzeug-Rechenkomponente notfallmässige Rechenoperationen ausführt.The object is achieved by a method for bringing a vehicle into a safe state, the vehicle being brought into the safe state by an FPGA arranged in the vehicle carrying out emergency computing operations in the event of a failure of a vehicle computing component.

Der Ausdruck „Fahrzeug“ umfasst dabei typischerweise jedwede Art von Fahrzeugen, insbesondere Kraftfahrzeuge wie Autos, LKWs, Busse, Krafträder, militärische Fahrzeuge oder landwirtschaftliche Fahrzeuge.The term "vehicle" typically includes any type of vehicle, in particular motor vehicles such as cars, trucks, buses, motorcycles, military vehicles or agricultural vehicles.

Unter einem „sicheren Zustand“ ist dabei insbesondere ein Zustand zu verstehen, in dem das Fahrzeug weder die Fahrzeuginsassen noch andere Teilnehmer des Strassenverkehrs gefährden kann. Insbesondere ist unter dem „sicheren Zustand“ ein Anhalten beziehungsweise Stopp des Fahrzeugs zu verstehen oder auch eine Langsamfahrt des Fahrzeugs, typischerweise mit maximal 15 km/h, bevorzugt maximal 10 km/h, mit Vorteil maximal 5 km/h.A “safe state” is to be understood in particular as a state in which the vehicle cannot endanger the vehicle occupants or other road users. In particular, the “safe state” is to be understood as stopping the vehicle or driving the vehicle slowly, typically at a maximum of 15 km/h, preferably a maximum of 10 km/h, advantageously a maximum of 5 km/h.

Die Abkürzung „FPGA“ steht für „Field Programmable Gate Array“ oder auf Deutsch „im Feld programmierbare Logik-Gatter-Anordnung“. FPGAs werden in unterschiedlichen elektronischen Recheneinheiten eingesetzt und insbesondere in Anwendungen des autonomen Fahrens häufig genutzt. Der FPGA ist bei typischen Ausführungsformen Teil einer zentralen Fahrzeugsteuerung.The abbreviation "FPGA" stands for "Field Programmable Gate Array" or in German "in the field programmable logic gate array". FPGAs are used in various electronic computing units and are frequently used in autonomous driving applications in particular. In typical embodiments, the FPGA is part of a central vehicle controller.

Unter einem „Ausfall“ ist sowohl ein Komplettausfall als auch ein Teilausfall zu verstehen.A "failure" is understood to mean both a complete failure and a partial failure.

Unter einer „Fahrzeug-Rechenkomponente“ ist insbesondere ein Prozessorkern oder ein SoC zu verstehen.A “vehicle computing component” is to be understood in particular as a processor core or an SoC.

Unter einer „notfallmässigen Rechenoperation“ ist dabei insbesondere eine Rechenoperation zu verstehen, welche als Backup zu normalen Rechenoperationen, insbesondere typischen Rechenoperationen von Prozessorkernen oder SoCs in Fahrzeugsteuerungen, durchgeführt wird.An “emergency arithmetic operation” is to be understood in particular as a arithmetic operation which is carried out as a backup to normal arithmetic operations, in particular typical arithmetic operations of processor cores or SoCs in vehicle controls.

Die Erfindung löst die oben genannte Aufgabe dadurch, dass ein FPGA, welcher in vielen Fahrzeugsteuerungen sowieso verfügbar ist, genutzt wird, um das Fahrzeug in den sicheren Zustand zu überführen. Auf diese Weise ergibt sich eine Ressourceneinsparung.The invention solves the above-mentioned problem in that an FPGA, which is available in many vehicle controllers anyway, is used to transfer the vehicle to the safe state. This results in resource savings.

Bei typischen Ausführungsformen wird der FPGA von einem Normalmodus in einen Notmodus überführt, wenn der Ausfall auftritt. Ein solches Umschalten zwischen einem Normalmodus und einem Notmodus hat den Vorteil, dass der FPGA in dem Normalmodus typische Funktionen eines FPGA, wie beispielsweise eine Gatewayfunktion, ausführen kann und bei Eintreten des Ausfalls in einen Notmodus überführt wird. Eine solche Trennung zwischen Normalmodus und Notmodus ist vorteilhaft, weil sie eine klare Strukturierung der Aufgaben des FPGA mit sich bringt. Prinzipiell ist es jedoch auch denkbar, dass der FPGA keine unterschiedlichen Gateway-Modi umfasst, sondern ganz allgemein geeignet ist, neben Gatewayfunktionen auch notfallmässige Rechenoperationen durchzuführen.In typical embodiments, the FPGA is transitioned from a normal mode to an emergency mode when the failure occurs. Such switching between a normal mode and an emergency mode has the advantage that the FPGA can perform typical functions of an FPGA, such as a gateway function, in the normal mode and is transferred to an emergency mode when the failure occurs. Such a separation between normal mode and emergency mode is advantageous because it entails a clear structuring of the tasks of the FPGA. In principle, however, it is also conceivable that the FPGA does not include different gateway modes, but rather is generally suitable for carrying out emergency computing operations in addition to gateway functions.

Bei typischen Ausführungsformen arbeitet der FPGA im Normalmodus im Wesentlichen ausschliesslich als Gateway und/oder der FPGA führt im Notmodus die notfallmässigen Rechenoperationen aus. Bei typischen Ausführungsformen arbeitet der FPGA im Normalmodus insbesondere als Kommunikations-Gateway und vermittelt beispielsweise eine Kommunikation zwischen Fahrzeugbussen wie CAN/CAN-FD, Ethernet, MIPI/CSI oder anderen Bussystemen und internen Komponenten einer Fahrzeugsteuerung, beispielsweise einem Speicher oder unterschiedlichen Prozessorkernen oder SoCs, wobei die Vermittlung typischerweise mit Hilfe von entsprechenden Backbone-Translations, insbesondere entsprechend dem PCIe-Standard, bewerkstelligt wird.In typical embodiments, the FPGA works essentially exclusively as a gateway in normal mode and/or the FPGA carries out the emergency computing operations in emergency mode. In typical embodiments, the FPGA works in normal mode in particular as a communication gateway and mediates, for example, communication between vehicle buses such as CAN/CAN-FD, Ethernet, MIPI/CSI or other bus systems and internal components of a vehicle controller, for example a memory or different processor cores or SoCs. the switching is typically accomplished with the help of corresponding backbone translations, in particular according to the PCIe standard.

Bei typischen Ausführungsformen wird zum Überführen des FPGA von seinem Normalmodus in seinen Notmodus eine Rekonfigurations-Funktion des FPGA durchgeführt. Eine solche Überführung des FPGA von seinem Normalmodus in seinen Notmodus ist deswegen vorteilhaft, weil FPGAs typischerweise solche Rekonfigurations-Funktionen umfassen und somit bereits vorhandene Fähigkeiten des FPGAs für die Zwecke der Erfindung effizient genutzt werden. Alternativ wäre es jedoch auch möglich, keine bereits im FPGA angelegte Rekonfigurations-Funktion zu nutzen, sondern das Überführen des FPGAs von seinem Normalmodus in seinen Notmodus separat zu programmieren. Bei typischen Ausführungsformen wird die Rekonfigurations-Funktion in weniger als 10 Millisekunden durchgeführt.In typical embodiments, a reconfiguration function of the FPGA is performed to transition the FPGA from its normal mode to its emergency mode. Such a transfer of the FPGA from its normal mode to its emergency mode is advantageous because FPGAs typically include such reconfiguration functions and thus existing capabilities of the FPGA are used efficiently for the purposes of the invention. Alternatively, however, it would also be possible not to use a reconfiguration function already created in the FPGA, but to separately program the transition of the FPGA from its normal mode to its emergency mode. In typical embodiments, the reconfiguration function is performed in less than 10 milliseconds.

Bei typischen Ausführungsformen führen die notfallmässigen Rechenoperationen zu einem sicheren Stillstand des Fahrzeugs. Ein sicherer Stillstand des Fahrzeugs ist eine besonders sichere Ausführungsform des sicheren Zustands, weil von einem solchen Zustand typischerweise keine Gefahr mehr für Fahrzeuginsassen und/oder den allgemeinen Verkehr ausgeht. Insbesondere ist unter einem „sicheren Stillstand“ ein Stillstand zu verstehen, welcher in einem Bereich einer Verkehrsinfrastruktur erfolgt, in dem normalerweise keine Verkehrsmittel unterwegs sind, zumindest nicht schnell. Bei solchen Bereichen kann es sich um Seitenstreifen, Nothaltebuchten, Parkplätze oder dergleichen handeln. Alternativ können die notfallmässigen Rechenoperationen jedoch auch zu anderen sicheren Zuständen, beispielsweise Langsamfahrten, führen.In typical embodiments, the emergency arithmetic operations lead to a safe standstill of the vehicle. A safe standstill of the vehicle is a particularly safe embodiment of the safe state, because such a state typically no longer poses a risk to vehicle occupants and/or general traffic. In particular, a “safe standstill” is to be understood as meaning a standstill that takes place in an area of a traffic infrastructure in which there are normally no means of transport, at least not quickly. Such areas can be hard shoulders, lay-bys, parking lots or the like. Alternatively, however, the emergency arithmetic operations can also lead to other safe conditions, such as slow travel.

Bei typischen Ausführungsformen umfassen die notfallmässigen Rechenoperationen eine Verarbeitung von Informationen einer Sensor-Untergruppe des Fahrzeugs. Unter einer „Sensor-Untergruppe“ ist dabei eine Gruppe von Fahrzeugsensoren eines Fahrzeugs zu verstehen, welche jedoch nicht alle Fahrzeugsensoren dieses Fahrzeugs umfasst. Bei typischen Ausführungsformen umfasst die Sensor-Untergruppe besonders wichtige Fahrzeugsensoren, insbesondere solche Fahrzeugsensoren, welche bereits Objektdaten und/oder vorverarbeitete Daten, nicht jedoch Rohdaten, liefern. Mit anderen Worten umfasst die Sensor-Untergruppe also bei typischen Ausführungsformen ausschliesslich Sensoren, welche geeignet sind, Objektdaten und/oder vorverarbeitete Daten zu liefern. Dadurch, dass lediglich solche Objektdaten und/oder vorverarbeitete Daten genutzt werden, wird die Belastung des FPGAs während des Notmodus klein gehalten. Dies wirkt sich typischerweise positiv auf ein schnelles Erreichen des sicheren Zustands aus. Die Sensor-Untergruppe umfasst typischerweise einen Radarsensor und/oder einen Kamerasensor, insbesondere einen Kurzstreckenradarsensor und/oder einen Mittelstreckenradarsensor und/oder eine Frontkamera und/oder eine Rückkamera. Alternativ dazu ist es jedoch auch möglich, dass die notfallmässigen Rechenoperationen eine Verarbeitung von Informationen aller Sensoren des Fahrzeugs umfassen.In typical embodiments, the emergency computing operations include processing information from a sensor subgroup of the vehicle. A “sensor subgroup” is to be understood as meaning a group of vehicle sensors of a vehicle which, however, does not include all vehicle sensors of this vehicle. In typical embodiments, the sensor subgroup includes particularly important vehicle sensors, in particular those vehicle sensors that already supply object data and/or pre-processed data, but not raw data. In other words, in typical embodiments, the sensor subgroup exclusively includes sensors that are suitable for supplying object data and/or preprocessed data. Because only such object data and/or preprocessed data are used, the load on the FPGA during the emergency mode is kept small. This typically has a positive effect on reaching the safe state quickly. The sensor subgroup typically includes a radar sensor and/or a camera sensor, in particular a short-range radar sensor and/or a medium-range radar sensor and/or a front camera and/or a rear camera. As an alternative to this, however, it is also possible for the emergency computing operations to include processing of information from all of the vehicle's sensors.

Bei typischen Ausführungsformen umfassen die notfallmässigen Rechenoperationen eine Bildverarbeitung und/oder eine Sensordaten-Fusion und/oder eine Routenplanung und/oder eine Notfall-Fahrerassistenzsystem-Funktion und/oder eine Notfall-Pilot-Funktion. Unter einer „Bildverarbeitung“ ist dabei eine Verarbeitung von Daten zu verstehen, welche von Kamerasensoren des Fahrzeugs an den FPGA geschickt werden. Unter einer „Sensordaten-Fusion“ ist dabei typischerweise ein Verquicken von Daten unterschiedlicher Sensoren zu verstehen. Unter einer „Routenplanung“ ist dabei ganz allgemein eine Berechnung eines Fahrtwegs des Fahrzeugs, insbesondere bis zu einem sicheren Stillstand des Fahrzeugs, zu verstehen. Unter einer „ Notfall-Fahrerassistenzsystem-Funktion“ ist dabei eine Rechenoperation zu verstehen, welche ein oder mehrere Fahrerassistenzsysteme, insbesondere besonders sicherheitsrelevante Fahrerassistenzsysteme wie zum Beispiel ABS, EPS, Notbremsfunktion oder dergleichen, aufrechterhält und/oder typischerweise weniger sicherheitsrelevante Fahrerassistenzsysteme herunterfährt, beispielsweise um Ressourcen des FPGA zu sparen und den Fokus im Wesentlichen komplett auf ein schnellstmögliches Erreichen des sicheren Zustands zu legen. Unter einer „Notfall-Pilot-Funktion“ ist dabei eine Funktion zu verstehen, welche beispielsweise eine Autopilot-Funktion des Fahrzeugs derart konfiguriert, dass der Autopilot alles daransetzt, das Fahrzeug schnellstmöglich und möglichst sicher in den sicheren Zustand zu überführen. Beispielsweise kann die Notfall-Pilot-Funktion ein sicheres Abbremsen und/oder ein sicheres Einlenken und/oder eine Abfrage von Sensordaten des Fahrzeugs in bestimmten Abständen umfassen.In typical embodiments, the emergency computing operations include image processing and/or sensor data fusion and/or a route planning function and/or an emergency driver assistance system function and/or an emergency pilot function. "Image processing" is understood to mean the processing of data that is sent to the FPGA by the vehicle's camera sensors. A "sensor data fusion" is typically understood to mean a combination of data from different sensors. “Route planning” is to be understood in very general terms as a calculation of a route taken by the vehicle, in particular until the vehicle is safely at a standstill. An “emergency driver assistance system function” is to be understood as an arithmetic operation which maintains one or more driver assistance systems, in particular particularly safety-related driver assistance systems such as ABS, EPS, emergency braking or the like, and/or typically shuts down less safety-related driver assistance systems, for example by using resources of the FPGA and to essentially focus completely on reaching the safe state as quickly as possible. An “emergency pilot function” is to be understood as meaning a function which, for example, configures an autopilot function of the vehicle in such a way that the autopilot does everything it can to transfer the vehicle to the safe state as quickly and safely as possible. For example, the emergency pilot function can include safe braking and/or safe turning and/or a request for sensor data from the vehicle at certain intervals.

Bei typischen Ausführungsformen wird das Überführen des FPGAs von dem Normalmodus in den Notmodus dadurch bewerkstelligt, dass bei einem Erkennen des Ausfalls aus einem Speicher eine Notmodus-Konfigurations-Bitreihe ausgelesen und ausgeführt wird. Dabei umfasst der Speicher typischerweise eine Normalmodus-Konfigurations-Bitreihe und eine Notmodus-Konfigurations-Bitreihe. Ein derartiges Auslesen einer Notmodus-Konfigurations-Bitreihe aus einem Speicher, insbesondere einem Speicher einer zentralen Fahrzeugsteuerung oder einer elektronischen Recheneinheit ganz allgemein, hat den Vorteil, dass der Notmodus standardisiert, schnell und effizient erreicht wird.In typical embodiments, the transition of the FPGA from the normal mode to the emergency mode is accomplished in that when the failure is detected, an emergency mode configuration bit series is read from a memory and executed. In this case, the memory typically includes a normal mode configuration bit series and an emergency mode configuration bit series. Such a reading out of an emergency mode configuration bit series from a memory, in particular a memory of a central vehicle controller or an electronic processing unit in general, has the advantage that the emergency mode is reached in a standardized, fast and efficient manner.

Bei typischen Ausführungsformen umfasst das Verfahren einen Ausfall-Erkennungsschritt, während welches der Ausfall der Fahrzeug-Rechenkomponente erkannt wird, einen Rekonfigurations-Schritt, während welches der FPGA vom Normalmodus in den Notmodus überführt wird, einen Rechenschritt, während welches der FPGA die notfallmässigen Rechenoperationen durchführt, und einen Stoppschritt, während welches das Fahrzeug gestoppt wird. Bei typischen Ausführungsformen wird der Ausfall der Fahrzeug-Rechenkomponente dadurch erkannt, dass ein Watchdog, welcher typischerweise im FPGA oder in seiner Peripherie angelegt ist, eine Warnmeldung erhält.In typical embodiments, the method includes a failure detection step, during which the failure of the vehicle computing component is detected, a reconfiguration step, during which the FPGA is switched from normal mode to emergency mode, a computing step, during which the FPGA performs the emergency computing operations , and a stopping step during which the vehicle is stopped. In typical embodiments, the failure of the vehicle computing component is detected by a watchdog, which is typically set up in the FPGA or in its periphery, receiving a warning message.

Die Aufgabe wird ferner gelöst durch eine Steuervorrichtung, umfassend Mittel zur Durchführung eines der vorgenannten Verfahren. Eine solche Steuervorrichtung löst die erfindungsgemässe Aufgabe dadurch, dass sie ein Fahrzeug im Falle eines Ausfalls einer Fahrzeug-Rechenkomponente effizient in einen sicheren Zustand überführt. Bei typischen Ausführungsformen umfasst die Steuervorrichtung einen FPGA oder ist ein FPGA. Bei typischen Ausführungsform umfasst die Steuervorrichtung eine Fahrzeugsteuerung oder ist eine Fahrzeugsteuerung.The object is also achieved by a control device comprising means for carrying out one of the aforementioned methods. Such a control device achieves the object according to the invention in that it efficiently transfers a vehicle to a safe state in the event of a failure of a vehicle computing component. In typical embodiments, the control device includes an FPGA or is an FPGA. In a typical embodiment, the control device comprises a vehicle controller or is a vehicle controller.

Bei typischen Ausführungsformen umfasst die Steuervorrichtung einen FPGA, eine Fahrzeug-Rechenkomponente, einen Speicher und eine Rekonfigurations-Komponente, wobei der Speicher typischerweise eine Normalmodus-Konfigurations-Bitreihe und/oder eine Notmodus-Konfigurations-Bitreihe umfasst, wobei die Rekonfigurations-Komponente geeignet ist, bei einem Ausfall der Fahrzeug-Rechenkomponente den FPGA von einem Normalmodus in einen Notmodus zu überführen, typischerweise dadurch, dass die Notmodus-Konfigurations-Bitreihe aus dem Speicher geladen und ausgeführt wird. Die Fahrzeug-Rechenkomponente umfasst dabei typischerweise einen Prozessorkern oder SoC, typischerweise mehrere Prozessorkerne oder SoCs. Bei typischen Ausführungsformen ist die Fahrzeug-Rechenkomponente ein Prozessorkern und/oder ein SoC.In typical embodiments, the controller includes an FPGA, a vehicle computing component, a memory, and a reconfiguration component, where the memory typically includes a normal mode configuration bit stream and/or an emergency mode configuration bit stream, where the reconfiguration component is appropriate to transfer the FPGA from a normal mode to an emergency mode in the event of a failure of the vehicle computing component, typically by loading the emergency mode configuration bit series from memory and executing it. The vehicle computing component typically includes a processor core or SoC, typically multiple processor cores or SoCs. In typical embodiments, the vehicle computing component is a processor core and/or an SoC.

Bei typischen Ausführungsformen umfasst die Steuervorrichtung eine Bildverarbeitungs-Komponente und/oder eine Sensordaten-Fusionskomponente und/oder eine Routenplanungs-Komponente und/oder eine Notfall-Fahrerassistenzsystem-Komponente und/oder eine Notfall-Pilot-Komponente.In typical embodiments, the control device includes an image processing component and/or a sensor data fusion component and/or a route planning component and/or an emergency driver assistance system component and/or an emergency pilot component.

Bei typischen Ausführungsformen ist/sind eine oder mehrere der vorgenannten Komponenten und/oder Vorrichtungen und/oder Systeme zumindest teilweise mittels Computerprogrammcode implementiert. Insbesondere ist/sind bei typischen Ausführungsformen die Rekonfigurations-Vorrichtung und/oder die Bildverarbeitungs-Komponente und/oder die Sensordaten-Fusionskomponente und/oder die Routenplanungs-Komponente und/oder die Notfall-Fahrerassistenzsystem-Komponente und/oder die Notfall-Pilot-Komponente mittels Computerprogrammcode implementiert.In typical embodiments, one or more of the aforementioned components and/or devices and/or systems is/are implemented at least in part using computer program code. In particular, in typical embodiments, the reconfiguration device and/or the image processing component and/or the sensor data fusion component and/or the route planning component and/or the emergency driver assistance system component and/or the emergency pilot component is/are implemented using computer program code.

Die Aufgabe wird ferner gelöst durch ein Fahrzeug, geeignet zur Durchführung eines Verfahrens nach zumindest einer der vorgenannten Ausführungsformen, wobei das Fahrzeug typischerweise eine vorgenannte Steuervorrichtung umfasst.The object is also achieved by a vehicle suitable for carrying out a method according to at least one of the aforementioned aspects guidlines, wherein the vehicle typically includes an aforementioned control device.

Ein Computerprogramm umfasst in einer Ausführungsform der Erfindung Befehle, die bei der Ausführung des Computerprogramms durch einen Computer diesen veranlassen, eines der vorgenannten Verfahren auszuführen. Das Computerprogramm kann dabei auch als Computerprogrammprodukt bezeichnet werden.In one embodiment of the invention, a computer program comprises instructions which, when the computer program is executed by a computer, cause the latter to execute one of the aforementioned methods. The computer program can also be referred to as a computer program product.

Ein computerlesbares Medium umfasst in einer Ausführungsform der Erfindung Computerprogrammcode zur Durchführung eines der vorgenannten Verfahren. Unter dem Begriff „computerlesbares Medium“ sind dabei insbesondere aber nicht ausschliesslich Festplatten und/oder Server und/oder Memorysticks und/oder Flash-Speicher und/oder DVDs und/oder Bluerays und/oder CDs zu verstehen. Zusätzlich ist unter dem Begriff „computerlesbares Medium“ auch ein Datenstrom zu verstehen, wie er beispielsweise entsteht, wenn ein Computerprogramm und/oder ein Computerprogrammprodukt aus dem Internet heruntergeladen wird.In one embodiment of the invention, a computer-readable medium comprises computer program code for carrying out one of the aforementioned methods. The term “computer-readable medium” is to be understood in particular, but not exclusively, as hard drives and/or servers and/or memory sticks and/or flash memories and/or DVDs and/or Blu-rays and/or CDs. In addition, the term “computer-readable medium” also means a data stream, such as that created when a computer program and/or a computer program product is downloaded from the Internet.

Mit Hilfe der Erfindung ist es insbesondere möglich, einen oder mehrere der folgenden Vorteile zu erreichen:

  • - Da ein FPGA in vielen Fahrzeugsteuerungen bereits vorhanden ist, wird keine zusätzliche Hardware benötigt.
  • - Die Fehleranfälligkeit des Gesamtsystems kann so gering gehalten werden.
  • - Es kann eine gute Kosteneffizienz erreicht werden.
  • - Die Lösung ist eine besonders vorteilhafte Möglichkeit, ein Fail-Operational-Design zu erreichen.
  • - Die notfallmässigen Rechenoperationen können sehr schnell eingeleitet werden, weil eine Rekonfiguration des FPGA typischerweise 10 Millisekunden bis 100 Millisekunden schneller ist, als es eine Aktivierung eines externen Geräts wäre.
  • - Bei Steuergeräten, welche bereits einen FPGA als Gateway umfassen, ist keine bauliche Veränderung nötig.
With the help of the invention it is possible in particular to achieve one or more of the following advantages:
  • - Since an FPGA is already present in many vehicle controls, no additional hardware is required.
  • - The susceptibility to errors in the overall system can be kept to a minimum.
  • - Good cost efficiency can be achieved.
  • - The solution is a particularly advantageous way to achieve a fail-operational design.
  • - The emergency computing operations can be initiated very quickly because a reconfiguration of the FPGA is typically 10 milliseconds to 100 milliseconds faster than activating an external device.
  • - No structural changes are necessary for control units that already include an FPGA as a gateway.

Figurenlistecharacter list

Im Folgenden wird die Erfindung anhand von Zeichnungen kurz erläutert, wobei zeigen:

  • 1: eine schematische Ansicht eines erfindungsgemässen Verfahrens zum Überführen eines Fahrzeugs in einen sicheren Zustand als Flussdiagramm,
  • 2: eine schematische Ansicht einer erfindungsgemässen Steuervorrichtung als Blockdiagramm,
  • 3: die Steuervorrichtung aus 2, umfassend einen FPGA in seinem Normalmodus,
  • 4: die Steuervorrichtung aus 2, umfassend den FPGA in seinem Notmodus,
  • 5: eine schematische Darstellung eines erfindungsgemässen Fahrzeugs mit erfindungsgemässer Steuervorrichtung, umfassend den FPGA in seinem Normalmodus, und
  • 6: eine schematische Darstellung eines erfindungsgemässen Fahrzeugs mit erfindungsgemässer Steuervorrichtung, umfassend den FPGA in seinem Notmodus.
The invention is explained briefly below with reference to drawings, which show:
  • 1 : a schematic view of a method according to the invention for transferring a vehicle into a safe state as a flowchart,
  • 2 : a schematic view of a control device according to the invention as a block diagram,
  • 3 : the control device off 2 , comprising an FPGA in its normal mode,
  • 4 : the control device off 2 , comprising the FPGA in its emergency mode,
  • 5 : a schematic representation of a vehicle according to the invention with a control device according to the invention, comprising the FPGA in its normal mode, and
  • 6 1: a schematic representation of a vehicle according to the invention with a control device according to the invention, comprising the FPGA in its emergency mode.

Beschreibung bevorzugter AusführungsbeispieleDescription of preferred embodiments

1 zeigt eine schematische Ansicht eines erfindungsgemässen Verfahrens zum Überführen eines Fahrzeugs in einen sicheren Zustand als Flussdiagramm. Das Verfahren beginnt mit einem Ausfall-Erkennungsschritt S1, während welches der Ausfall einer Fahrzeug-Rechenkomponente erkannt wird. Ein solches Erkennen kann beispielsweise dadurch vonstatten gehen, dass eine Überwachungsvorrichtung, beispielsweise ein Watchdog, in einer Fahrzeugsteuerung registriert, dass ein Ausfall einer Fahrzeug-Rechenkomponente vorliegt. Bei der Fahrzeug-Rechenkomponenten kann es sich zum Beispiel um einen Prozessorkern oder ein SoC handeln. Wurde ein solcher Ausfall erkannt, dann wird in einem Rekonfigurations-Schritt S2 ein FPGA des Fahrzeugs von einem Normalmodus in einen Notmodus überführt. Diese Überführung geht typischerweise dadurch vonstatten, dass aus einem Speicher eine Notmodus-Konfigurations-Bitreihe ausgelesen wird, welche dann ausgeführt wird, sodass der FPGA in seinen Notmodus gebracht wird. Anschliessend folgt ein Rechenschritt S3, während welches der FPGA die notfallmässigen Rechenoperationen durchführt. In 1 sind als Teil des Rechenschritts S3 eine Bildverarbeitung S5, eine Sensordaten-Fusion S6, eine Routenplanung S7, eine Notfall-Fahrerassistenzsystem-Funktion S8 und eine Notfall-Pilot-Funktion S9 als Unterschritte des Rechenschritts S3 dargestellt. Im Rahmen des Rechenschritts S3 können alle diese Rechenoperationen beziehungsweise Unterschritte durchgeführt werden. Es ist jedoch auch möglich, dass nur einer dieser Unterschritte oder einige dieser Unterschritte ausgeführt werden. Bei typischen Verfahren wird zum Beispiel anhand eines vorliegenden Fehlertyps und/oder eines aktuellen Fahrzeugzustands entschieden, welche der in 1 schematisch dargestellten Rechenoperationen S5, S6, S7, S8 und/oder S9 im Rechenschritt S3 ausgeführt werden. Im in 1 gezeigten Ausführungsbeispiel der Erfindung ist das Ziel des Verfahrens ein sicherer Zustand, bei welchem das Fahrzeug sicher zum Stehen kommt. In dem Rechenschritt S3 in 1 wird auf diesen sicheren Zustand hingearbeitet. Das Fahrzeug wird also beispielsweise derart abgebremst und/oder gelenkt, insbesondere mithilfe der notfallmässigen Rechenoperationen, welche im Rechenschritt S3 vom FPGA durchgeführt werden, dass ein sicherer Stillstand des Fahrzeugs als sicherer Zustand erreicht werden kann. Wenn alle dafür notwendigen Rechenoperationen im Rechenschritt S3 durchgeführt wurden, wird in einem Stoppschritt S4 das Fahrzeug schliesslich gestoppt, und der sichere Zustand ist erreicht. 1 shows a schematic view of a method according to the invention for transferring a vehicle into a safe state as a flowchart. The method begins with a failure detection step S1, during which the failure of a vehicle computing component is detected. Such a detection can take place, for example, in that a monitoring device, for example a watchdog, registers in a vehicle controller that there is a failure of a vehicle computing component. The vehicle computing component can be a processor core or a SoC, for example. If such a failure was detected, then in a reconfiguration step S2 an FPGA of the vehicle is transferred from a normal mode to an emergency mode. This transition is typically accomplished by reading a failsafe mode configuration bitstream from memory, which is then executed to place the FPGA in its failsafe mode. This is followed by a computing step S3, during which the FPGA carries out the emergency computing operations. In 1 an image processing S5, a sensor data fusion S6, a route planning S7, an emergency driver assistance system function S8 and an emergency pilot function S9 are shown as part of the calculation step S3 as substeps of the calculation step S3. All of these arithmetic operations or sub-steps can be carried out as part of the arithmetic step S3. However, it is also possible that only one of these sub-steps or some of these sub-steps are carried out. In typical methods, a decision is made, for example based on an existing error type and/or a current vehicle status, which of the 1 Schematically illustrated arithmetic operations S5, S6, S7, S8 and/or S9 are executed in arithmetic step S3. in 1 shown embodiment of the invention the aim of the procedure is a safe state in which the vehicle comes to a safe standstill. In the calculation step S3 in 1 working towards this safe state. For example, the vehicle is braked and/or steered in such a way, in particular with the aid of the emergency arithmetic operations which are carried out by the FPGA in arithmetic step S3, that a safe standstill of the vehicle can be achieved as a safe state. When all of the arithmetic operations necessary for this have been carried out in arithmetic step S3, the vehicle is finally stopped in a stop step S4 and the safe state is reached.

2 zeigt eine schematische Ansicht einer erfindungsgemässen Steuervorrichtung 1 als Blockdiagramm. Bei der Steuervorrichtung 1 kann es sich typischerweise um eine zentrale Fahrzeugsteuerung handeln. Die in 2 gezeigte Steuervorrichtung 1 umfasst einen FPGA 2, einen Speicher 3, zwei SoCs 4.1, 4.2, welche auch als Prozessorkerne 4.1, 4.2 bezeichnet werden können, eine CAN/CAN-FD-Schnittstelle 5, eine Ethernet-Schnittstelle 6, eine MIPI/CSI-Schnittstelle 7 und eine sonstige Schnittstelle 8. Die Schnittstellen 5, 6, 7, 8 dienen dem Datenaustausch zwischen der Steuervorrichtung 1 und einem in 2 nicht explizit gezeigten Sensorsystem eines in 2 ebenfalls nicht explizit gezeigten Fahrzeugs. Die Steuervorrichtung 1 ist Teil dieses in 2 nicht dargestellten Fahrzeugs. Die Funktionsweise der Steuervorrichtung 1 und insbesondere ihres FPGAs 2, welcher entweder in einem Normalmodus oder in einem Notmodus konfiguriert sein kann, wird im Folgenden anhand der 3 bis 6 näher beschrieben. 2 shows a schematic view of a control device 1 according to the invention as a block diagram. The control device 1 can typically be a central vehicle control. In the 2 The control device 1 shown comprises an FPGA 2, a memory 3, two SoCs 4.1, 4.2, which can also be referred to as processor cores 4.1, 4.2, a CAN/CAN FD interface 5, an Ethernet interface 6, a MIPI/CSI Interface 7 and another interface 8. The interfaces 5, 6, 7, 8 are used for data exchange between the control device 1 and an in 2 not explicitly shown sensor system of an in 2 also not explicitly shown vehicle. The control device 1 is part of this in 2 vehicle not shown. The mode of operation of the control device 1 and in particular its FPGA 2, which can be configured either in a normal mode or in an emergency mode, is explained below with reference to FIG 3 until 6 described in more detail.

3 zeigt die Steuervorrichtung 1 aus 2, umfassend den FPGA 2 in seinem Normalmodus. In diesem Normalmodus arbeitet der FPGA 2 als Gateway zwischen den Schnittstellen 5, 6, 7, 8, welche ihrerseits mit dem in der Beschreibung zu 2 genannten Sensorsystem Fahrzeugs zusammenwirken, dem Speicher 3 sowie den beiden SoCs 4.1 und 4.2. Der FPGA 2, welcher in diesem Normalmodus als Gateway konfiguriert ist, steuert also eine Kommunikation zwischen den Schnittstellen 5, 6, 7, 8, dem Speicher 3 und den beiden SoCs 4.1, 4.2. Bei den SoCs 4.1, 4.2 handelt es sich beispielsweise um Performance-SoCs oder Prozessorkerne. Die Kommunikation zwischen dem FPGA 2 und den genannten anderen Komponenten der Steuervorrichtung 1 ist in 3 durch Doppelpfeile zwischen den Komponenten dargestellt. 3 shows the control device 1 2 , comprising the FPGA 2 in its normal mode. In this normal mode, the FPGA 2 works as a gateway between the interfaces 5, 6, 7, 8, which in turn are connected to the description 2 said sensor system vehicle interact, the memory 3 and the two SoCs 4.1 and 4.2. The FPGA 2, which is configured as a gateway in this normal mode, thus controls communication between the interfaces 5, 6, 7, 8, the memory 3 and the two SoCs 4.1, 4.2. The SoCs 4.1, 4.2 are, for example, performance SoCs or processor cores. The communication between the FPGA 2 and the other components of the control device 1 mentioned is in 3 represented by double arrows between the components.

4 zeigt nun abermals die Steuervorrichtung 1 aus 2, wobei sich der FPGA 2 jedoch nicht wie in 3 in seinem Normalmodus, sondern nun in seinem Notmodus befindet. Wie bereits erläutert bedeutet dies, dass der FPGA 2 nicht mehr oder zumindest nicht mehr ausschliesslich als Gateway funktioniert, sondern notfallmässige Rechenoperationen durchführt. Dies ist in 4 dadurch dargestellt, dass innerhalb des FPGAs 2 die Bildverarbeitung S5, die Sensordaten-Fusion S6, die Routenplanung S7, die Notfall-Fahrerassistenzsystem-Funktion S8 und die Notfall-Pilot-Funktion S9 dargestellt sind. Im vorliegenden Ausführungsbeispiel wurde der Notmodus des FPGA 2 deswegen eingeleitet, weil die beiden SoCs 4.1, 4.2 ausgefallen sind. Daher kommuniziert der FPGA 2 nun nur noch mit dem Speicher 3 und den Schnittstellen 5, 6, 7, 8. Eine Kommunikation zwischen dem FPGA 2 und den SoCs 4.1, 4.2 findet nun nicht mehr statt, da diese ausgefallen sind. Entsprechend sind zwischen dem FPGA 2 und den SoCs 4.1, 4.2 keine Doppelpfeile mehr eingezeichnet. 4 now shows the control device 1 again 2 , but the FPGA 2 does not move as in 3 in its normal mode but is now in its emergency mode. As already explained, this means that the FPGA 2 no longer functions, or at least no longer exclusively, as a gateway, but carries out emergency computing operations. this is in 4 represented in that the image processing S5, the sensor data fusion S6, the route planning S7, the emergency driver assistance system function S8 and the emergency pilot function S9 are represented within the FPGA 2. In the present exemplary embodiment, the emergency mode of the FPGA 2 was initiated because the two SoCs 4.1, 4.2 have failed. The FPGA 2 therefore now only communicates with the memory 3 and the interfaces 5, 6, 7, 8. Communication between the FPGA 2 and the SoCs 4.1, 4.2 no longer takes place since these have failed. Accordingly, double arrows are no longer drawn in between the FPGA 2 and the SoCs 4.1, 4.2.

5 zeigt nun eine schematische Darstellung eines erfindungsgemässen Fahrzeugs 9 mit erfindungsgemässer Steuervorrichtung 1, wobei die Steuervorrichtung 1 den FPGA 2 in seinem Normalmodus umfasst. Das Fahrzeug 9 umfasst ferner eine Frontkamera 10, eine Rückkamera 11, einen Kurzstreckenradarsensor 12, einen Mittelstreckenradarsensor 13 sowie drei Rohdatensensoren 14, 15, 16. Die Kameras 10,11 sowie die Radarsensoren 12, 13 führen eine Vorverarbeitung der Daten durch, welche sie erfassen. Daher übermitteln diese Komponenten vorverarbeitete Daten an die Steuervorrichtung 1. Dies ist in 5 dadurch dargestellt, dass die Kommunikation zwischen den Kameras 10, 11 und den Radarsensoren 12, 13 und der Steuervorrichtung 1 mittels durchgezogener Doppelpfeile dargestellt ist. Die Rohdatensensoren 14, 15, 16 führen ihrerseits keine Vorverarbeitung der von ihnen aufgezeichneten Daten durch und übermitteln entsprechend Rohdaten an die Steuervorrichtung 1. Dies ist in 5 durch gestrichelte Doppelpfeile dargestellt. In der in 5 dargestellten Situation arbeitet der FPGA 2 in seinem Normalmodus, denn es liegt kein Ausfall von SoCs oder Prozessorkernen in der Steuervorrichtung 1 vor. 5 now shows a schematic representation of a vehicle 9 according to the invention with a control device 1 according to the invention, the control device 1 including the FPGA 2 in its normal mode. The vehicle 9 also includes a front camera 10, a rear camera 11, a short-range radar sensor 12, a medium-range radar sensor 13 and three raw data sensors 14, 15, 16. The cameras 10, 11 and the radar sensors 12, 13 pre-process the data they collect . Therefore, these components transmit pre-processed data to the control device 1. This is in 5 represented by the fact that the communication between the cameras 10, 11 and the radar sensors 12, 13 and the control device 1 is represented by solid double arrows. For their part, the raw data sensors 14, 15, 16 do not carry out any pre-processing of the data they have recorded and accordingly transmit raw data to the control device 1. This is in 5 represented by dashed double arrows. in the in 5 In the situation shown, the FPGA 2 works in its normal mode because there is no failure of SoCs or processor cores in the control device 1.

In 6 ist nun abermals das Fahrzeug 9 mit seiner Steuervorrichtung 1 und seinem FPGA 2 gezeigt, welches bereits in 5 gezeigt wurde. Im Unterschied zur Situation in 5 befindet sich der FPGA 2 in 6 jedoch in seinem Notmodus. Dieser Notmodus wurde deswegen eingeleitet, weil ein Ausfall beispielsweise eines oder mehrerer SoCs in der Steuervorrichtung 1 erkannt wurde. Wie bereits in 5 sind auch in 6 die Kameras 10, 11 sowie die Radarsensoren 12, 13 dargestellt. In 6 the vehicle 9 is now shown again with its control device 1 and its FPGA 2, which was already shown in 5 was shown. In contrast to the situation in 5 the FPGA is located 2 in 6 but in its emergency mode. This emergency mode was initiated because a failure, for example, of one or more SoCs in control device 1 was detected. As already in 5 are also in 6 the cameras 10, 11 and the radar sensors 12, 13 are shown.

Auch sind in 6 wiederum die Rohdatensensoren 14, 15, 16 dargestellt. Da die Rechenoperationen, welche in der Steuervorrichtung 1 normalerweise die ausgefallenen SoCs ausführen würden, nun zumindest teilweise im Rahmen von notfallmässigen Rechenoperationen vom FPGA 2 in seinem Notmodus ausgeführt werden müssen und da der FPGA 2 typischerweise deutlich weniger leistungsfähig ist als die ausgefallenen SoCs, kommunizieren nun nur noch die Kameras 10, 11 sowie die Radarsensoren 12, 13 mit der Steuervorrichtung 1. Der FPGA 2 arbeitet somit bei den notfallmässigen Rechenoperationen, welche er in seinem Notmodus ausführt, um das Fahrzeug in den sicheren Zustand zu überführen, nun ausschliesslich mit bereits vorverarbeiteten Daten einer Sensor-Untergruppe, wobei die Sensor-Untergruppe die Frontkamera 10, die Rückkamera 11, den Kurzstreckenradarsensor 12 sowie den Mittelstreckenradarsensor 13 umfasst. Die Rohdaten, welche von den Rohdatensensoren 14, 15, 16 aufgezeichnet werden, werden in der in 6 gezeigten Situation nicht mehr berücksichtigt. Dadurch ergeben sich die Vorteile, dass der FPGA 2 zum einen lediglich mit der genannten Sensor-Untergruppe und nicht mit allen Sensoren des Fahrzeugs 9 kommunizieren muss. Zudem bekommt der FPGA 2 von dieser Sensor-Untergruppe bereits vorverarbeitete Daten zur Verfügung gestellt, muss also keine Rechenleistung auf die Verarbeitung von Rohdaten verwenden. Dies ermöglicht es dem FPGA 2, zügig und effizient diejenigen notfallmässigen Rechenoperationen durchzuführen, welche dazu notwendig sind, das Fahrzeug 9 in den sicheren Zustand zu überführen, also beispielsweise auf einem Seitenstreifen einer Fahrbahn zum Stehen zu bringen.Also are in 6 again the raw data sensors 14, 15, 16 are shown. Since the arithmetic operations, which would normally run the failed SoCs in the control device 1, now at least partially in the context of notfallmäs Significant arithmetic operations must be carried out by the FPGA 2 in its emergency mode and since the FPGA 2 is typically significantly less powerful than the failed SoCs, only the cameras 10, 11 and the radar sensors 12, 13 now communicate with the control device 1. The FPGA 2 is working Thus, in the case of emergency computing operations, which he carries out in his emergency mode in order to bring the vehicle into a safe state, now exclusively with already pre-processed data from a sensor subgroup, the sensor subgroup being the front camera 10, the rear camera 11, the short-range radar sensor 12 and the medium-range radar sensor 13 includes. The raw data, which are recorded by the raw data sensors 14, 15, 16, are stored in the 6 situation shown is no longer taken into account. This results in the advantages that the FPGA 2 only has to communicate with the sensor subgroup mentioned and not with all the sensors of the vehicle 9 . In addition, the FPGA 2 is provided with pre-processed data from this sensor subgroup, so it does not have to use any computing power to process raw data. This enables the FPGA 2 to quickly and efficiently carry out those emergency computing operations which are necessary to bring the vehicle 9 into the safe state, ie for example to bring it to a standstill on a hard shoulder of a roadway.

Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt. Der Schutzumfang wird durch die Patentansprüche definiert.The invention is not limited to the exemplary embodiments described. The scope of protection is defined by the patent claims.

Prinzipiell können alle in der Beschreibung oder in den Ansprüchen beschriebenen Verfahren von Vorrichtungen ausgeführt werden, welche Mittel zur Ausführung der jeweiligen Verfahrensschritte dieser Verfahren umfassen.In principle, all methods described in the description or in the claims can be carried out by devices which include means for carrying out the respective method steps of these methods.

BezugszeichenlisteReference List

11
Steuervorrichtungcontrol device
22
FPGAFPGA
33
SpeicherStorage
4.1, 4.24.1, 4.2
SoCsSoCs
55
CAN/CAN-FD-SchnittstelleCAN/CAN FD interface
66
Ethernet-SchnittstelleEthernet interface
77
MIPI/CSI-SchnittstelleMIPI/CSI interface
88th
sonstige Schnittstelleother interface
99
Fahrzeugvehicle
1010
Frontkamerafront camera
1111
Rückkamerarear camera
1212
Kurzstreckenradarsensorshort-range radar sensor
1313
Mittelstreckenradarsensormedium-range radar sensor
14, 15, 1614, 15, 16
Rohdatensensoren raw data sensors
S1S1
Ausfall-Erkennungsschrittfailure detection step
S2S2
Rekonfigurations-Schrittreconfiguration step
S3S3
Rechenschrittcalculation step
S4S4
Stoppschrittstop step
S5S5
Bildverarbeitungimage processing
S6S6
Sensordaten-FusionSensor data fusion
S7S7
Routenplanungroute planning
S8S8
Notfall-Fahrerassistenzsystem-FunktionEmergency driver assistance system function
S9S9
Notfall-Pilot-Funktionemergency pilot function

Claims (15)

Verfahren zum Überführen eines Fahrzeugs (9) in einen sicheren Zustand, dadurch gekennzeichnet, dass das Fahrzeug (9) dadurch in den sicheren Zustand überführt wird, dass ein im Fahrzeug (9) angeordneter FPGA (2) bei einem Ausfall einer Fahrzeug-Rechenkomponente (4.1, 4.2) notfallmässige Rechenoperationen ausführt.Method for transferring a vehicle (9) to a safe state, characterized in that the vehicle (9) is transferred to the safe state by an FPGA (2) arranged in the vehicle (9) in the event of a failure of a vehicle computing component ( 4.1, 4.2) performs emergency arithmetic operations. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der FPGA (2) von einem Normalmodus in einen Notmodus überführt wird, wenn der Ausfall eintritt.procedure after claim 1 , characterized in that the FPGA (2) is transferred from a normal mode to an emergency mode when the failure occurs. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der FPGA (2) im Normalmodus im Wesentlichen ausschliesslich als Gateway arbeitet und/oder dass der FPGA (2) im Notmodus die notfallmässigen Rechenoperationen ausführt.procedure after claim 2 , characterized in that the FPGA (2) works essentially exclusively as a gateway in the normal mode and/or that the FPGA (2) in the emergency mode carries out the emergency arithmetic operations. Verfahren nach einem der Ansprüche 2 bis 3, dadurch gekennzeichnet, dass zum Überführen des FPGA (2) von seinem Normalmodus in seinen Notmodus eine Rekonfigurations-Funktion des FPGA (2) durchgeführt wird.Procedure according to one of claims 2 until 3 , characterized in that a reconfiguration function of the FPGA (2) is carried out to transfer the FPGA (2) from its normal mode to its emergency mode. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die notfallmässigen Rechenoperationen zu einem sicheren Stillstand des Fahrzeugs (9) führen.Method according to one of the preceding claims, characterized in that the emergency arithmetic operations lead to the vehicle (9) coming to a safe standstill. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die notfallmässigen Rechenoperationen eine Verarbeitung von Informationen einer Sensor-Untergruppe (10, 11, 12, 13) des Fahrzeugs (9) umfassen.Method according to one of the preceding claims, characterized in that the emergency computing operations include processing of information from a sensor subgroup (10, 11, 12, 13) of the vehicle (9). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die notfallmässigen Rechenoperationen eine Bildverarbeitung (S5) und/oder eine Sensordaten-Fusion (S6) und/oder eine Routenplanung (S7) und/oder eine Notfall-Fahrerassistenzsystem-Funktion (S8) und/oder eine Notfall-Pilot-Funktion (S9) umfassen.Method according to one of the preceding claims, characterized in that the emergency arithmetic operations are an image processing processing (S5) and/or sensor data fusion (S6) and/or route planning (S7) and/or an emergency driver assistance system function (S8) and/or an emergency pilot function (S9). Verfahren nach einem der Ansprüche 2 bis 7, dadurch gekennzeichnet, dass das Überführen des FPGAs (2) von dem Normalmodus in den Notmodus dadurch bewerkstelligt wird, dass bei einem Erkennen des Ausfalls aus einem Speicher (3) eine Notmodus-Konfigurations-Bitreihe ausgelesen und ausgeführt wird.Procedure according to one of claims 2 until 7 , characterized in that the transfer of the FPGA (2) from the normal mode to the emergency mode is accomplished in that when the failure is detected from a memory (3) an emergency mode configuration bit series is read out and executed. Verfahren nach einem der Ansprüche 2 bis 8, umfassend: - einen Ausfall-Erkennungsschritt (S1), während welches der Ausfall der Fahrzeug-Rechenkomponente (4.1, 4.2) erkannt wird, - einen Rekonfigurations-Schritt (S2), während welches der FPGA (2) vom Normalmodus in den Notmodus überführt wird, - einen Rechenschritt (S3), während welches der FPGA (2) die notfallmässigen Rechenoperationen durchführt, und - einen Stoppschritt (S4), während welches das Fahrzeug (13) gestoppt wird.Procedure according to one of claims 2 until 8th , comprising: - a failure detection step (S1), during which the failure of the vehicle computing component (4.1, 4.2) is detected, - a reconfiguration step (S2), during which the FPGA (2) transfers from normal mode to emergency mode - a computing step (S3) during which the FPGA (2) carries out the emergency computing operations, and - a stopping step (S4) during which the vehicle (13) is stopped. Steuervorrichtung (1), umfassend Mittel zur Durchführung eines der vorgenannten Verfahren.Control device (1), comprising means for carrying out one of the aforementioned methods. Steuervorrichtung (1), nach Anspruch 10, umfassend einen FPGA (2), eine Fahrzeug-Rechenkomponente (4.1, 4.2), einen Speicher (3) und eine Rekonfigurations-Komponente, wobei der Speicher (3) typischerweise eine Normalmodus-Konfigurations-Bitreihe und/oder eine Notmodus-Konfigurations-Bitreihe umfasst, dadurch gekennzeichnet, dass die Rekonfigurations-Komponente geeignet ist, bei einem Ausfall der Fahrzeug-Rechenkomponente (4.1, 4.2) den FPGA (2) von einem Normalmodus in einen Notmodus zu überführen, typsicherweise dadurch, dass die Notmodus-Konfigurations-Bitreihe aus dem Speicher (3) geladen und ausgeführt wird.Control device (1), after claim 10 , comprising an FPGA (2), a vehicle computing component (4.1, 4.2), a memory (3) and a reconfiguration component, the memory (3) typically having a normal mode configuration bit series and/or an emergency mode configuration Includes bit series, characterized in that the reconfiguration component is suitable, in the event of a failure of the vehicle computing component (4.1, 4.2) to convert the FPGA (2) from a normal mode to an emergency mode, typically in that the emergency mode configuration bit series is loaded from memory (3) and executed. Steuervorrichtung (1) nach einem der Ansprüche 10 bis 11, dadurch gekennzeichnet, dass die Steuervorrichtung (1) eine Bildverarbeitungs-Komponente und/oder eine Sensordaten-Fusionskomponente und/oder eine Routenplanungs-Komponente und/oder eine Notfall-Fahrerassistenzsystem-Komponente und/oder eine Notfall-Pilot-Komponente umfasst.Control device (1) according to one of Claims 10 until 11 , characterized in that the control device (1) comprises an image processing component and/or a sensor data fusion component and/or a route planning component and/or an emergency driver assistance system component and/or an emergency pilot component. Fahrzeug (9), geeignet zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 9, wobei das Fahrzeug (9) typischerweise eine Steuervorrichtung (1) nach einem der Ansprüche 10 bis 12 umfasst.Vehicle (9) suitable for carrying out a method according to one of Claims 1 until 9 , Wherein the vehicle (9) typically has a control device (1) according to one of Claims 10 until 12 includes. Computerprogramm, umfassend Befehle, die bei der Ausführung des Computerprogramms durch einen Computer diesen veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 9 auszuführen.Computer program, comprising instructions which, when the computer program is executed by a computer, cause the latter to carry out a method according to one of Claims 1 until 9 to execute. Computerlesbares Medium, dadurch gekennzeichnet, dass das computerlesbare Medium Computerprogrammcode zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 9 umfasst.Computer-readable medium, characterized in that the computer-readable medium contains computer program code for carrying out a method according to one of Claims 1 until 9 includes.
DE102020215565.8A 2020-12-09 2020-12-09 Method for bringing a vehicle into a safe condition Pending DE102020215565A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020215565.8A DE102020215565A1 (en) 2020-12-09 2020-12-09 Method for bringing a vehicle into a safe condition

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020215565.8A DE102020215565A1 (en) 2020-12-09 2020-12-09 Method for bringing a vehicle into a safe condition

Publications (1)

Publication Number Publication Date
DE102020215565A1 true DE102020215565A1 (en) 2022-06-09

Family

ID=81655380

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020215565.8A Pending DE102020215565A1 (en) 2020-12-09 2020-12-09 Method for bringing a vehicle into a safe condition

Country Status (1)

Country Link
DE (1) DE102020215565A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011107550A1 (en) 2011-07-16 2013-01-17 Volkswagen Aktiengesellschaft Control unit for vehicle electrical system for emergency operation and controlling components of motor vehicle, has error locating unit that is connected with external memory besides field programmable gate arrays
US20180050704A1 (en) 2016-08-16 2018-02-22 Uber Technologies, Inc. Autonomous vehicle diagnostic system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011107550A1 (en) 2011-07-16 2013-01-17 Volkswagen Aktiengesellschaft Control unit for vehicle electrical system for emergency operation and controlling components of motor vehicle, has error locating unit that is connected with external memory besides field programmable gate arrays
US20180050704A1 (en) 2016-08-16 2018-02-22 Uber Technologies, Inc. Autonomous vehicle diagnostic system

Similar Documents

Publication Publication Date Title
DE102017209721B4 (en) Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle with the device
DE102018124499A1 (en) Triple fail-safe redundancy for steering systems
EP3584140B1 (en) Vehicle and method and apparatus for controlling a safety-relevant process
DE102020118412A1 (en) INDEPENDENT SAFETY MONITORING OF AN AUTOMATED DRIVING SYSTEM
EP3509917B1 (en) System for driverless operation of utility vehicles
DE102018219674A1 (en) Driving control device and method for vehicle
DE102012207548A1 (en) Fail-safe lane centering control using differential brakes
DE102020116410A1 (en) Device for controlling a brake of an autonomous vehicle
WO2006002695A1 (en) Redundant data bus system
DE102019216474A1 (en) System and method for actuating redundant braking in the event of a main brake failure for an autonomous vehicle
DE102017217856A1 (en) Brake system for a motor vehicle and method for operating a brake system
DE102013020177A1 (en) Motor car, has sensor systems actuated by main control unit in nominal operating mode, and replacement control unit controlling sensor systems if mistake arises in main control unit in emergency operation state
EP3385934B1 (en) Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle using the device
DE112020000597T5 (en) Braking system
DE102017208462A1 (en) Method and device for determining operating data for an automated vehicle
DE102017118174A1 (en) BRAKE-BY-WIRE SYSTEM
DE102017218438A1 (en) Method and system for operating a vehicle
EP3552062A1 (en) Method for providing sensor-based vehicle functions in a motor vehicle, and motor vehicle computing device and motor vehicle
DE102018220605B4 (en) Motor vehicle network and method for operating a motor vehicle network
EP3475772B1 (en) Method for providing actuator-based vehicle functions in a motor vehicle, and motor vehicle computing device and motor vehicle
DE102020215565A1 (en) Method for bringing a vehicle into a safe condition
DE102019111623A1 (en) STEERING APPARATUS AND STEERING PROCEDURE AND STEERING SYSTEM
DE102021210000A1 (en) Method for evaluating an acceleration process of a vehicle, and acceleration system and vehicle
DE102019218082A1 (en) Device and method for creating a safe state in a vehicle
DE102017000693A1 (en) Apparatus and method for monitoring an automated vehicle in a traffic system

Legal Events

Date Code Title Description
R163 Identified publications notified