DE102021100420A1 - Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs - Google Patents

Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs Download PDF

Info

Publication number
DE102021100420A1
DE102021100420A1 DE102021100420.9A DE102021100420A DE102021100420A1 DE 102021100420 A1 DE102021100420 A1 DE 102021100420A1 DE 102021100420 A DE102021100420 A DE 102021100420A DE 102021100420 A1 DE102021100420 A1 DE 102021100420A1
Authority
DE
Germany
Prior art keywords
motor vehicle
safety
function
safety function
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021100420.9A
Other languages
English (en)
Inventor
Sebastian Schneider
Luca Parolini
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102021100420.9A priority Critical patent/DE102021100420A1/de
Priority to CN202180087625.4A priority patent/CN116710340A/zh
Priority to US18/271,701 priority patent/US20240051552A1/en
Priority to PCT/EP2021/082414 priority patent/WO2022152435A1/de
Publication of DE102021100420A1 publication Critical patent/DE102021100420A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • B60R16/0315Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for using multiplexing techniques
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Ein Aspekt der Erfindung betrifft eine Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs, wobei die Vorrichtung eingerichtet ist eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln, ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln, und die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.

Description

  • Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
  • Unter dem Begriff „automatisiertes Fahren“ kann im Rahmen des Dokuments ein Fahren mit automatisierter Längs- oder Querführung oder ein autonomes Fahren mit automatisierter Längs- und Querführung verstanden werden. Der Begriff „automatisiertes Fahren“ umfasst ein automatisiertes Fahren mit einem beliebigen Automatisierungsgrad. Beispielhafte Automatisierungsgrade sind ein assistiertes, teilautomatisiertes, hochautomatisiertes oder vollautomatisiertes Fahren. Diese Automatisierungsgrade wurden von der Bundesanstalt für Straßenwesen (BASt) definiert (siehe BASt-Publikation „Forschung kompakt“, Ausgabe 11/2012). Beim assistierten Fahren führt der Fahrer dauerhaft die Längs- oder Querführung aus, während das System die jeweils andere Funktion in gewissen Grenzen übernimmt. Beim teilautomatisierten Fahren (TAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum und/oder in spezifischen Situationen, wobei der Fahrer das System wie beim assistierten Fahren dauerhaft überwachen muss. Beim hochautomatisierten Fahren (HAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum, ohne dass der Fahrer das System dauerhaft überwachen muss; der Fahrer muss aber in einer gewissen Zeit in der Lage sein, die Fahrzeugführung zu übernehmen. Beim vollautomatisierten Fahren (VAF) kann das System für einen spezifischen Anwendungsfall das Fahren in allen Situationen automatisch bewältigen; für diesen Anwendungsfall ist kein Fahrer mehr erforderlich. Die vorstehend genannten vier Automatisierungsgrade gemäß der Definition der BASt entsprechen den SAE-Level 1 bis 4 der Norm SAE J3016 (SAE - Society of Automotive Engineering). Beispielsweise entspricht das hochautomatisierte Fahren (HAF) gemäß der BASt dem Level 3 der Norm SAE J3016. Ferner ist in der SAE J3016 noch der SAE-Level 5 als höchster Automatisierungsgrad vorgesehen, der in der Definition der BASt nicht enthalten ist. Der SAE-Level 5 entspricht einem fahrerlosen Fahren, bei dem das System während der ganzen Fahrt alle Situationen wie ein menschlicher Fahrer automatisch bewältigen kann; ein Fahrer ist generell nicht mehr erforderlich.
  • Aus dem Stand der Technik ist bekannt, dass der Betrieb eines Kraftfahrzeugs zur Gefährdung von Personen und der Umwelt führen kann. Zur Vermeidung dieser Gefährdungen werden deshalb Sicherheitsfunktionen für Kraftfahrzeuge entwickelt. Diese Sicherheitsfunktionen benötigen aber während des Betriebs des Kraftfahrzeugs Energie, was zu einer Erhöhung der von dem Kraftfahrzeug ausgestoßenen Emissionen und/oder zu einer Verringerung der Reichweite des Kraftfahrzeugs führt.
  • Es ist Aufgabe der Erfindung, den Energieverbrauch von Sicherheitsfunktionen für Kraftfahrzeuge zu verringern.
  • Die Aufgabe wird durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen beschrieben. Es wird darauf hingewiesen, dass zusätzliche Merkmale eines von einem unabhängigen Patentanspruch abhängigen Patentanspruchs ohne die Merkmale des unabhängigen Patentanspruchs oder nur in Kombination mit einer Teilmenge der Merkmale des unabhängigen Patentanspruchs eine eigene und von der Kombination sämtlicher Merkmale des unabhängigen Patentanspruchs unabhängige Erfindung bilden können, die zum Gegenstand eines unabhängigen Anspruchs, einer Teilungsanmeldung oder einer Nachanmeldung gemacht werden kann. Dies gilt in gleicher Weise für in der Beschreibung beschriebene technische Lehren, die eine von den Merkmalen der unabhängigen Patentansprüche unabhängige Erfindung bilden können.
  • Ein erster Aspekt der Erfindung betrifft eine Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
  • Die zumindest eine Sicherheitsfunktion des Kraftfahrzeugs ist insbesondere eine Funktion des Kraftfahrzeugs zur Fehlererkennung und/oder zur Fehlerreaktion, also eine dedizierte Funktion zur Erkennung von Fehlern oder zur Reaktion auf erkannte Fehler, wobei ein Fehler ein Fehler eines elektrischen und/oder elektronischen Teilsystems, bzw. einer Komponente des Kraftfahrzeugs ist. Ein Fehler ist dabei eine Abweichung des tatsächlichen Verhaltens des Teilsystems, bzw. der Komponente, von einem vorgesehenen Verhalten des Teilsystems, bzw. der Komponente. Alternativ ist die zumindest eine Sicherheitsfunktion eine sicherheitskritische Kundenfunktion des Kraftfahrzeugs, also eine Kundenfunktion, die bei fehlerhafter Ausführung zu einer Gefährdung einer Person im Kraftfahrzeug, einer Person im Umfeld des Kraftfahrzeugs oder der Umwelt führen würde. Alternativ oder zusätzlich ist die zumindest eine Sicherheitsfunktion ein abstraktes Sicherheitskonzept, das durch mehrere Teilfunktionen umgesetzt ist, wie beispielsweise ein mehrkanaliges System, bei dem mehrere Kanäle unabhängig voneinander rechnen und deren Ergebnisse dann zusammengeführt werden.
  • Die Vorrichtung ist eingerichtet eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln, beispielsweise mittels Sensoren des Kraftfahrzeugs.
  • Außerdem ist die Vorrichtung eingerichtet, ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln.
  • Das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau ist insbesondere eine von der ISO-Norm ISO 26262 („Road vehicles - Functional safety“) spezifizierte Sicherheitsanforderungsstufe „Automotive Safety Integrity Level“ („ASIL“) für sicherheitsrelevante Systeme in Kraftfahrzeugen. Dabei gibt es die fünf Sicherheitsanforderungsstufen „QM“, „ASIL A“, „ASIL B“, „ASIL C“ und „ASIL D“, wobei QM die niedrigste Stufe und ASIL D die höchste Stufe ist.
  • Alternativ oder zusätzlich ist das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau insbesondere ein Leistungsniveau zumindest einer Komponente des Kraftfahrzeugs, beispielsweise eines Sensors des Kraftfahrzeugs.
  • Die Vorrichtung ist beispielweise eingerichtet, das in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliche Sicherheitsniveau zu ermitteln, indem die Vorrichtung das Ergebnis einer während der Entwicklung des Kraftfahrzeugs gemäß ISO 26262 durchzuführende Gefährdungs- und Risikoanalyse bereithält. Dieses Ergebnis gibt für Fahrsituationen und Zustände des Kraftfahrzeugs ein erforderliches Sicherheitsniveau in Form von zumindest eines erforderlichen ASIL an. Da die Vorrichtung eingerichtet ist, die aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln und auch in der Lage ist, den aktuellen Zustand des Kraftfahrzeugs zu ermitteln, kann die Vorrichtung für diese konkrete Fahrsituation und den konkreten Zustand des Kraftfahrzeugs mittels des Ergebnisses der Gefährdungs- und Risikoanalyse das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau ermitteln.
  • Das Ermitteln des in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus selbst muss dabei mit einem höchstmöglichen Sicherheitsniveau erfolgen.
  • Außerdem ist die Vorrichtung eingerichtet, die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.
  • In einer vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet, ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln.
  • Hierfür ist die Vorrichtung beispielsweise eingerichtet, die Ergebnisse von Sicherheitsanalysen bereitzustellen, die während der Entwicklung des Kraftfahrzeugs durchgeführt wurden, und die beispielsweise die Erfüllung von Anforderungen aus den Bänden 4 („Produktentwicklung: Systemebene“), 5 („Produktentwicklung: Hardwareebene“) und/oder 6 (Produktentwicklung: Softwareebene) der ISO 26262 durch die zumindest eine Sicherheitsfunktion bewerten.
  • Durch Ermittlung eines Grades der Erfüllung von Anforderungen der ISO 26262 kann das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau ermittelt werden.
  • Außerdem ist die Vorrichtung eingerichtet, wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die Sicherheitsfunktion derart zu steuern, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
  • Insbesondere ist die Vorrichtung eingerichtet, diese Steuerung umzusetzen, indem die Leistung der zumindest einen Sicherheitsfunktion verringert wird, beispielsweise indem eine Abtastrate oder eine Auflösung verringert wird oder indem eine Teilfunktion deaktiviert wird.
  • Ein Vorteil dieser Ausführungsform besteht darin, dass trotz Einhalten des in der aktuellen Fahrsituation erforderlichen Sicherheitsniveaus die für die Ausführung der Sicherheitsfunktion notwendige Energie verringert wird und somit das Kraftfahrzeug als Ganzes energieeffizienter betrieben wird.
  • In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet, die zumindest eine Sicherheitsfunktion zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.
  • In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet ist, eine Leistung der zumindest einen Sicherheitsfunktion zu verringern, beispielsweise indem eine Sensorreichweite und/oder eine Sensorauflösung eines Sensors, der ein Eingangssignal der Sicherheitsfunktion liefert, verringert werden, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.
  • In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die zumindest eine Sicherheitsfunktion eine mehrkanalige Systemarchitektur eines Systems des Kraftfahrzeugs ist, wobei die Mehrkanaligkeit beispielsweise in Hardware und/oder in Software realisiert ist.
  • Dabei ist die Vorrichtung eingerichtet, zumindest einen Kanal der mehrkanaligen Systemarchitektur des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern. Dadurch werden die zur Berechnung des deaktivierten Kanals notwendigen Ressourcen frei.
  • Eine weitere vorteilhafte Ausführungsform der Erfindung ist ein System zur Ressourcenplanung eines Kraftfahrzeugs, wobei das System eine Vorrichtung nach einem der Ansprüche umfasst.
  • Das System ist eingerichtet zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln, beispielsweise freigewordene Rechenzeit und/oder freigewordener Speicher eines Steuergeräts des Kraftfahrzeugs, und die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen.
  • In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.
  • Mit anderen Worten wird die Fahrerassistenzfunktion einem sog. „shadow mode“ betrieben, in dem die Fahrerassistenzfunktion zwar Eingangssignale entgegennimmt und diese verarbeitet, aber keine Steuersignale an Aktuatoren des Kraftfahrzeugs ausgibt.
  • Diese Ausführungsform hat den Vorteil, dass die Fahrerassistenzfunktion somit unter realen Bedingen getestet werden kann, ohne den Betrieb des Kraftfahrzeugs zu stören. Somit kann beispielsweise eine neue Version der Fahrerassistenzfunktion, die dem Fahrer des Kraftfahrzeugs noch nicht zur Verfügung gestellt wurde, getestet werden und es können beispielsweise Abweichungen im Verhalten zwischen der neuen Version und einer Vorgängerversion der Fahrerassistenzfunktion ermittelt werden.
  • In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem die Ressource einer Fahrerassistenzfunktion zur Verfügung gestellt wird, wobei die Fahrerassistenzfunktion derart angesteuert wird, dass sich die operational design domain der Fahrerassistenzfunktion erweitert.
  • Die operational design domain der Fahrerassistenzfunktion ist dabei eine Teilmenge aller möglichen Fahrsituationen, in der die Fahrerassistenzfunktion in ausreichender Qualität funktioniert. Beispielsweise kann die operational design domain Geschwindigkeitsbereich des Kraftfahrzeugs eingrenzen, in dem die Fahrerassistenzfunktion in ausreichender Qualität funktioniert. Alternativ oder zusätzlich kann die operational design domain eine Komplexität eines Umfelds des Kraftfahrzeugs beschränken, beispielsweise wenn die Fahrerassistenzfunktion nur in kontrollierten, autobahnähnlichen Fahrsituationen mit ausreichender Qualität funktioniert aber nicht in hochkomplexen, urbanen Fahrsituationen.
  • Für manche Fahrerassistenzfunktionen kann prinzipbedingt die operational design domain erweitert werden, wenn Ressourcen zur Verfügung stehen. So können beispielsweise mit mehr zur Verfügung stehenden Ressourcen mehr Objekte im Umfeld des Kraftfahrzeugs verarbeitet werden und/oder es können aufwändigere Bildverarbeitungsalgorithmen zur Erkennung und/Klassifikation von Objekten im Umfeld des Kraftfahrzeugs zum Einsatz kommen.
  • In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen, insbesondere indem ein Funktionstest der Ressource durchgeführt wird, der nicht durchgeführt werden kann, wenn die Ressource genutzt wird, wie beispielsweise ein Speichertest.
  • Ein zweiter Aspekt der Erfindung betrifft ein Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
  • Ein Schritt des Verfahrens ist das Ermitteln einer aktuellen Fahrsituation des Kraftfahrzeugs.
  • Ein weiterer Schritt des Verfahrens ist das Ermitteln eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus.
  • Ein weiterer Schritt des Verfahrens ist das Steuern der zumindest einen Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus.
  • Die vorstehenden Ausführungen zur erfindungsgemäßen Vorrichtung nach dem ersten Aspekt der Erfindung gelten in entsprechender Weise auch für das erfindungsgemäße Verfahren nach dem zweiten Aspekt der Erfindung. An dieser Stelle und in den Patentansprüchen nicht explizit beschriebene vorteilhafte Ausführungsbeispiele des erfindungsgemäßen Verfahrens entsprechen den vorstehend beschriebenen oder in den Patentansprüchen beschriebenen vorteilhaften Ausführungsbeispielen der erfindungsgemäßen Vorrichtung.
  • Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels unter Zuhilfenahme der beigefügten Zeichnungen beschrieben. In diesen zeigen:
    • 1 ein Ausführungsbeispiel der erfindungsgemäßen Vorrichtung, und
    • 2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens.
  • 1 zeigt eine erfindungsgemäße Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
  • Die zumindest eine Sicherheitsfunktion ist eine mehrkanalige Systemarchitektur C1, C2, C3 eines Systems des Kraftfahrzeugs.
  • Dabei werden Sensordaten SD von drei parallelen Verarbeitungskanälen C1, C2, C3 verarbeitet, wobei die drei parallelen Verarbeitungskanäle C1, C2, C3 auf zwei Steuergeräte E1, E2 des Kraftfahrzeugs derart verteilt sind, dass die zwei Verarbeitungskanäle C1, C2 auf dem Steuergerät E1 ausgeführt werden und der Verarbeitungskanal C3 auf dem Steuergerät E3 ausgeführt wird.
  • Aus den Ergebnissen der drei parallelen Verarbeitungskanäle C1, C2, C3 werden dann beispielsweise Trajektorien TR bestimmt, die zum automatisierten Betrieb des Kraftfahrzeugs verwendet werden können.
  • Die Vorrichtung ist eingerichtet eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln 100, ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln 150 und ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln 200.
  • Außerdem ist die Vorrichtung eingerichtet, wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die Sicherheitsfunktion derart zu steuern 300, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
  • Dabei ist die Vorrichtung eingerichtet, zumindest einen Kanal der mehrkanaligen Systemarchitektur C1, C2, C3 des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern 300.
  • Wenn beispielsweise die parallele, redundante Berechnung der Verarbeitungskanäle C1 und C2 deshalb erfolgt, um ein Sicherheitsziel zu erreichen, dass bei einer sehr kritischen Fahrsituation des Kraftfahrzeugs mit einem Sicherheitsniveau von ASIL D bewertet ist, indem dieses Sicherheitsniveau durch ASIL-Dekomposition in zwei Sicherheitsniveaus ASIL B(D) geteilt wird, dann kann einer der beiden Verarbeitungskanäle C1 und C2 deaktiviert werden, wenn in der aktuellen Fahrsituation des Kraftfahrzeugs das Sicherheitsziel nur mit einem Sicherheitsniveau von ASIL B bewertet ist.
  • Alternativ oder zusätzlich ist der Verarbeitungskanäle C3 beispielsweise auf das Steuergerät E2 ausgelagert, um ein Versagen aller Verarbeitungskanäle C1, C2, C3 aufgrund einer gemeinsamen Ursache (sog. „common cause failure“) zu verhindern, beispielsweise aufgrund eines Stromausfalls des Steuergeräts E1.
  • Wenn nun in der aktuellen Fahrsituation des Kraftfahrzeugs ein Ausfall aller Verarbeitungskanäle C1, C2, C3 tolerierbar ist, beispielsweise weil sich das Kraftfahrzeug nur mit geringer Geschwindigkeit bewegt und somit ein Ausfall der Verarbeitungskanäle C1, C2, C3 durch jeden anzunehmenden Fahrer beherrschbar ist, so kann der Verarbeitungskanal C3 deaktiviert werden und gegebenenfalls sogar das gesamte Steuergerät E2.
  • Insbesondere umfasst das Kraftfahrzeug ein System zur Ressourcenplanung des Kraftfahrzeugs, wobei das System die erfindungsgemäße Vorrichtung zur Steuerung der zumindest einen Sicherheitsfunktion des Kraftfahrzeugs umfasst.
  • Das System ist eingerichtet zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln 400 und die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen 500.
  • Wenn beispielsweise die zur Berechnung des Verarbeitungskanals C2 auf dem Steuergerät E1 verwendeten Ressourcen frei geworden sind, weil der Verarbeitungskanal C2 auf dem Steuergerät E1 deaktiviert wurde, so kann das System die zumindest eine freigewordene Ressource verplanen 500, indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.
  • Somit kann mit anderen Worten statt dem Verarbeitungskanal C2 eine Fahrerassistenzfunktion im sog. „shadow mode“ ausgeführt werden.
  • Wenn beispielsweise die zur Berechnung des Verarbeitungskanals C3 auf dem Steuergerät E2 verwendeten Ressourcen frei geworden sind, weil der Verarbeitungskanal C3 auf dem Steuergerät E2 deaktiviert wurde, so kann das System die zumindest eine freigewordene Ressource verplanen 500, indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen, beispielsweise indem das System eingerichtet ist, die Funktionsfähigkeit von Prozessoren und/oder Speichern des Steuergeräts E2 mittels eines Prozessor- und/oder Speichertestverfahrens zu prüfen.
  • 2 zeigt ein Ausführungsbeispiel eines Verfahrens zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
  • Ein Schritt des Verfahrens ist das Ermitteln 100 einer aktuellen Fahrsituation des Kraftfahrzeugs.
  • Ein weiterer Schritt des Verfahrens ist das Ermitteln 150 eines mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
  • Ein weiterer Schritt des Verfahrens ist das Ermitteln 200 eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus.
  • Wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, dann ist ein weiterer Schritt des Verfahrens das Steuern 300 der Sicherheitsfunktion derart, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
  • Ein weiterer Schritt des Verfahrens ist das Ermitteln 400 zumindest einer durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln.
  • Ein weiterer Schritt des Verfahrens ist verplanen 500 der zumindest einen freigewordenen Ressource des Kraftfahrzeugs.

Claims (10)

  1. Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs, wobei die Vorrichtung eingerichtet ist • eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln (100), • ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln (200), und • die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300).
  2. Vorrichtung nach Anspruch 1, wobei die Vorrichtung eingerichtet ist, • ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln (150), und • wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die Sicherheitsfunktion derart zu steuern (300), dass • ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und • ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
  3. Vorrichtung nach einem der vorherigen Ansprüche, wobei die Vorrichtung eingerichtet ist, die zumindest eine Sicherheitsfunktion zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300).
  4. Vorrichtung nach einem der vorherigen Ansprüche, wobei die Vorrichtung eingerichtet ist, eine Leistung der zumindest einen Sicherheitsfunktion zu verringern, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300).
  5. Vorrichtung nach einem der vorherigen Ansprüche, wobei • die zumindest eine Sicherheitsfunktion eine mehrkanalige Systemarchitektur (C1, C2, C3) eines Systems des Kraftfahrzeugs ist, und • die Vorrichtung eingerichtet ist, zumindest einen Kanal der mehrkanaligen Systemarchitektur (C1, C2, C3) des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300).
  6. System zur Ressourcenplanung eines Kraftfahrzeugs, wobei das System eine Vorrichtung nach einem der vorherigen Ansprüche umfasst, und das System eingerichtet ist • zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln (400), und • die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen (500).
  7. System nach Anspruch 6, wobei das System eingerichtet ist, die zumindest eine freigewordene Ressource zu verplanen (500), indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.
  8. System nach einem der Ansprüche 6 oder 7, wobei das System eingerichtet ist, die zumindest eine freigewordene Ressource zu verplanen (500), indem die Ressource einer Fahrerassistenzfunktion zur Verfügung gestellt wird, wobei die Fahrerassistenzfunktion derart angesteuert wird, dass sich die operational design domain der Fahrerassistenzfunktion erweitert.
  9. System nach einer der Ansprüche 6, 7 oder 8, wobei das System eingerichtet ist, die zumindest eine freigewordene Ressource zu verplanen (500), indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen.
  10. Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs, wobei das Verfahren die folgenden Schritte umfasst: • Ermitteln (100) einer aktuellen Fahrsituation des Kraftfahrzeugs, • Ermitteln (200) eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus, und • Steuern (300) der zumindest einen Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus.
DE102021100420.9A 2021-01-12 2021-01-12 Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs Pending DE102021100420A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102021100420.9A DE102021100420A1 (de) 2021-01-12 2021-01-12 Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs
CN202180087625.4A CN116710340A (zh) 2021-01-12 2021-11-22 机动车的至少一个安全功能的控制
US18/271,701 US20240051552A1 (en) 2021-01-12 2021-11-22 Control of at Least One Safety Function of a Motor Vehicle
PCT/EP2021/082414 WO2022152435A1 (de) 2021-01-12 2021-11-22 Steuerung von zumindest einer sicherheitsfunktion eines kraftfahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021100420.9A DE102021100420A1 (de) 2021-01-12 2021-01-12 Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs

Publications (1)

Publication Number Publication Date
DE102021100420A1 true DE102021100420A1 (de) 2022-07-14

Family

ID=78821189

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021100420.9A Pending DE102021100420A1 (de) 2021-01-12 2021-01-12 Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs

Country Status (4)

Country Link
US (1) US20240051552A1 (de)
CN (1) CN116710340A (de)
DE (1) DE102021100420A1 (de)
WO (1) WO2022152435A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012015272A1 (de) 2012-07-31 2014-02-06 Audi Ag Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
DE102019206026A1 (de) 2019-04-26 2020-10-29 Robert Bosch Gmbh Verfahren zur Ermittlung eines Sicherheitsniveaus einer Sollfunktion eines Fahrzeugs, Sicherheitssystem und Fahrzeug
DE102019114854A1 (de) 2019-06-03 2020-12-03 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zur energieeffizienten Ausführung einer Sicherheitsfunktion

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012218361A1 (de) * 2012-04-04 2013-10-10 Continental Teves Ag & Co. Ohg Verfahren zum sicheren Betrieb eines Kraftfahrzeugs
DE102014224665A1 (de) * 2014-12-02 2016-06-02 Robert Bosch Gmbh Fahrerassistenzsteuergerät, Kraftfahrzeug, Verfahren zum Betreiben eines Fahrerassistenzsteuergeräts eines Kraftfahrzeugs
KR101891612B1 (ko) * 2016-09-30 2018-08-24 엘지전자 주식회사 자율 주행 차량
CN110603497B (zh) * 2017-02-10 2021-11-16 日产北美公司 自主车辆操作管理控制的自主车辆和方法
DE102017205495A1 (de) * 2017-03-31 2018-10-04 Conti Temic Microelectronic Gmbh Vorrichtung und Verfahren zum Fokussieren von Sensoren im fahrdynamischen Grenzbereich für ein Kraftfahrzeug
DE102017208505A1 (de) * 2017-05-19 2018-11-22 Bayerische Motoren Werke Aktiengesellschaft Fahrerassistenz-Einrichtung mit automatischem Angebot einer Fahrerassistenzfunktion und entsprechendes Verfahren

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012015272A1 (de) 2012-07-31 2014-02-06 Audi Ag Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
DE102019206026A1 (de) 2019-04-26 2020-10-29 Robert Bosch Gmbh Verfahren zur Ermittlung eines Sicherheitsniveaus einer Sollfunktion eines Fahrzeugs, Sicherheitssystem und Fahrzeug
DE102019114854A1 (de) 2019-06-03 2020-12-03 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zur energieeffizienten Ausführung einer Sicherheitsfunktion

Also Published As

Publication number Publication date
CN116710340A (zh) 2023-09-05
US20240051552A1 (en) 2024-02-15
WO2022152435A1 (de) 2022-07-21

Similar Documents

Publication Publication Date Title
DE19933086B4 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE102015217386A1 (de) Verfahren und System zum Betreiben eines Kraftfahrzeugs
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE19749068A1 (de) Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE4203704A1 (de) Verfahren zur initialisierung eines elektronischen regelsystems insbesondere in einem kraftfahrzeug
DE19927657A1 (de) Partitionierung und Überwachung von softwaregesteuerten Systemen
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
WO2008065059A1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE4445651A1 (de) Verfahren zur Steuerung von technischen Vorgängen
DE102021100420A1 (de) Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs
DE10208866A1 (de) Einrichtung und Verfahren zur Beurteilung und Erzielung von Sicherheit bei Systemen sowie entsprechendes Computerprogramm
DE102019214482A1 (de) Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs
AT515341B1 (de) Verfahren zur Überprüfung der Abarbeitung von Software
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
WO2018134218A1 (de) Verfahren zum bereitstellen von aktuatorbasierten fahrzeugfunktionen in einem kraftfahrzeug sowie kraftfahrzeug-recheneinrichtung und kraftfahrzeug
WO2021089499A1 (de) Verfahren und system zum prüfen einer automatisierten fahrfunktion durch reinforcement-learning
DE102016219315B4 (de) Verfahren und Vorrichtung zur Vermeidung einer ungewollten Beschleunigung eines Kraftfahrzeugs
DE102008000253A1 (de) Prozessorgesundheitsprüfung unter Verwendung eines intelligenten Peripheriegerätes
WO2019196985A1 (de) Bewegungsplanung mittels invariant sicherer zustände eines kraftfahrzeugs
EP3720056B1 (de) Verfahren und system zur parallelen echtzeitanalyse bei funktionsprüfungen von hardware und software von steuergeräten
DE102020125483A1 (de) Fahrassistenzsystem für ein Fahrzeug und Verfahren zum Qualifizieren von Umfelddaten zur Verwendung beim automatisierten Fahren eines Fahrzeugs
DE102011105617A1 (de) Kraftfahrzeug mit einer Vielzahl von Betriebskomponenten
WO2011113405A1 (de) Steuergeräteanordnung

Legal Events

Date Code Title Description
R163 Identified publications notified