DE102021125798A1 - System und Verfahren zur Bereitstellung einer Fahrzeugfunktion - Google Patents

System und Verfahren zur Bereitstellung einer Fahrzeugfunktion Download PDF

Info

Publication number
DE102021125798A1
DE102021125798A1 DE102021125798.0A DE102021125798A DE102021125798A1 DE 102021125798 A1 DE102021125798 A1 DE 102021125798A1 DE 102021125798 A DE102021125798 A DE 102021125798A DE 102021125798 A1 DE102021125798 A1 DE 102021125798A1
Authority
DE
Germany
Prior art keywords
module
function
result
vehicle
functional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021125798.0A
Other languages
English (en)
Inventor
Vito Magnanimo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102021125798.0A priority Critical patent/DE102021125798A1/de
Publication of DE102021125798A1 publication Critical patent/DE102021125798A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/10Path keeping
    • B60W30/12Lane keeping
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/14Adaptive cruise control
    • B60W30/143Speed control
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0297Control Giving priority to different actuators or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Traffic Control Systems (AREA)

Abstract

Es wird ein System zur Bereitstellung einer Fahrzeugfunktion für ein Kraftfahrzeug beschrieben, wobei das System ein erstes Modul umfasst, das eine Funktionseinheit aufweist, die ausgebildet ist, auf Basis von Eingangsdaten ein erstes Funktionsergebnis für die Fahrzeugfunktion zu ermitteln. Das System umfasst ferner ein zweites Modul, das eine Überprüfungseinheit aufweist, die eingerichtet ist, das erste Funktionsergebnis zu überprüfen, um ein validiertes Funktionsergebnis für die Fahrzeugfunktion bereitzustellen. Das zweite Modul umfasst ferner eine zweite Zustandsmanagement-Einheit, die eingerichtet ist, Zeitfenster festzulegen, in denen von dem ersten Modul jeweils ein erstes Funktionsergebnis bereitzustellen ist; zu erkennen, dass durch das erste Modul in zumindest einem festgelegten Zeitfenster kein erstes Funktionsergebnis bereitgestellt wird, und/oder dass von dem ersten Modul außerhalb eines der festgelegten Zeitfenster ein erstes Funktionsergebnis bereitgestellt wird; und in Reaktion darauf zu bewirken, dass die Fahrzeugfunktion in einen sicheren Zustand überführt wird.

Description

  • Die Erfindung betrifft ein System und ein entsprechendes Verfahren, die es ermöglichen, in effizienter Weise eine Fahrzeugfunktion, insbesondere eine Fahrfunktion zur automatisierten Längs- und/oder Querführung, eines Fahrzeugs mit einem relativ hohen Grad an funktionaler Sicherheit bereitzustellen.
  • Ein Fahrzeug kann ausgebildet sein, ein oder mehrere Fahrzeugfunktionen bereitzustellen, z.B. Fahrfunktionen, die ausgebildet sind, das Fahrzeug zumindest teilweise automatisiert längs- und/oder querzuführen. Die Fahrzeugfunktionen müssen dabei typischerweise einen bestimmten Grad an funktionaler Sicherheit, insbesondere einen bestimmten ASIL (Automotive Safety Integrity Level) Level, aufweisen.
  • Das vorliegende Dokument befasst sich mit der technischen Aufgabe, eine Fahrzeugfunktion mit einem bestimmten Grad an funktionaler Sicherheit in besonders effizienter Weise bereitzustellen.
  • Die Aufgabe wird jeweils durch jeden einzelnen der unabhängigen Ansprüche gelöst. Vorteilhafte Ausführungsformen werden u.a. in den abhängigen Ansprüchen beschrieben. Es wird darauf hingewiesen, dass zusätzliche Merkmale eines von einem unabhängigen Patentanspruch abhängigen Patentanspruchs ohne die Merkmale des unabhängigen Patentanspruchs oder nur in Kombination mit einer Teilmenge der Merkmale des unabhängigen Patentanspruchs eine eigene und von der Kombination sämtlicher Merkmale des unabhängigen Patentanspruchs unabhängige Erfindung bilden können, die zum Gegenstand eines unabhängigen Anspruchs, einer Teilungsanmeldung oder einer Nachanmeldung gemacht werden kann. Dies gilt in gleicher Weise für in der Beschreibung beschriebene technische Lehren, die eine von den Merkmalen der unabhängigen Patentansprüche unabhängige Erfindung bilden können.
  • Gemäß einem Aspekt wird ein System zur Bereitstellung einer Fahrzeugfunktion für ein Kraftfahrzeug beschrieben. Die Fahrzeugfunktion kann dazu ausgelegt sein, das Fahrzeug zumindest teilweise automatisiert längs- und/oder querzuführen. In diesem Zusammenhang kann die Planung von Soll-Trajektorien für das Fahrzeug erfolgen, sodass das Fahrzeug automatisiert entlang der geplanten Soll-Trajektorien geführt werden kann.
  • Das System umfasst ein erstes Modul und ein (davon separates) zweites Modul. Dabei können das erste Modul und das zweite Modul jeweils als separate „system-on -chip“ ausgebildet sein. Ferner können die Module derart ausgebildet sein, dass das zweite Modul einen höheren Grad an funktionaler Sicherheit, insbesondere einen höheren ASIL Level, aufweist als das erste Modul. Das erste Modul kann z.B. gemäß ASIL B, und ggf. zumindest teilweise gemäß QM, ausgebildet sein. Das zweite Modul kann z.B. gemäß ASIL D, und zumindest teilweise gemäß ASIL B, ausgebildet sein.
  • Das erste Modul weist eine Funktionseinheit auf, die ausgebildet ist, auf Basis von Eingangsdaten ein erstes Funktionsergebnis für die Fahrzeugfunktion zu ermitteln. Die Funktionseinheit kann gemäß ASIL B ausgebildet sein. Dabei kann wiederholt, insbesondere periodisch, auf Basis von jeweils aktuellen Eingangsdaten jeweils ein aktualisiertes erstes Funktionsergebnis bereitgestellt werden. Die Eingangsdaten können z.B. Sensordaten von ein oder mehreren Sensoren, insbesondere von ein oder mehreren Umfeldsensoren (etwa einer Kamera, einem Radarsensor, einem Lidarsensor, einem Ultraschallsensor, etc.), des Fahrzeugs umfassen. Das erste Funktionsergebnis kann eine geplante Soll-Fahrtrajektorie für das Fahrzeug umfassen. Zu diesem Zweck kann die Funktionseinheit ausgebildet sein, einen Algorithmus zur Trajektorienplanung auszuführen. In einem Beispiel kann somit von dem ersten Modul, insbesondere von der Funktionseinheit, wiederholt, insbesondere periodisch, auf Basis von aktuellen Eingangsdaten jeweils eine aktualisierte Soll-Fahrtrajektorie für das Fahrzeug bereitgestellt werden.
  • Das zweite Modul umfasst eine Überprüfungseinheit, die eingerichtet ist, das erste Funktionsergebnis zu überprüfen, um ein validiertes Funktionsergebnis für die Fahrzeugfunktion bereitzustellen. Die Überprüfungseinheit kann gemäß ASIL D ausgebildet sein. Die Überprüfungseinheit kann insbesondere eingerichtet sein, das erste Funktionsergebnis anhand von ein oder mehreren Validierungskriterien zu überprüfen, um zu bestimmen, ob das erste Funktionsergebnis validiert werden kann oder nicht. Wenn das erste Funktionsergebnis validiert werden kann, so kann das erste Funktionsergebnis als validiertes Funktionsergebnis weitergegen werden (z.B. als Ausgang der Fahrzeugfunktion). Das validierte Funktionsergebnis kann somit z.B. eine Soll-Fahrtrajektorie für das Fahrzeug umfassen.
  • Das zweite Modul umfasst ferner eine (zweite) Zustandsmanagement-Einheit, die eingerichtet ist, Zeitfenster (insbesondere eine zeitliche Sequenz von Zeitfenstern) festzulegen, in denen von dem ersten Modul jeweils ein erstes Funktionsergebnis bereitzustellen ist. Die einzelnen Zeitfenster können ggf. periodisch aufeinander folgen. Die zweite Zustandsmanagement-Einheit kann gemäß ASIL B oder gemäß ASIL D ausgebildet sein.
  • In einem bevorzugten Beispiel weist das erste Modul eine erste Zustandsmanagement-Einheit auf. Die zweite Zustandsmanagement-Einheit (des zweiten Moduls) kann eingerichtet sein, für ein festgelegtes Zeitfenster jeweils eine Anfrage zur Bereitstellung eines ersten Funktionsergebnisses an die erste Zustandsmanagement-Einheit zu senden. Ferner kann die erste Zustandsmanagement-Einheit eingerichtet sein, in Reaktion auf den Empfang der Anfrage die Funktionseinheit zu veranlassen, das erste Funktionsergebnis zu ermitteln und dem zweiten Modul bereitzustellen.
  • Die zweite Zeitmanagement-Einheit kann ferner eingerichtet sein, zu erkennen, dass durch das erste Modul in zumindest einem festgelegten Zeitfenster kein erstes Funktionsergebnis bereitgestellt wird, und/oder dass von dem ersten Modul außerhalb eines der festgelegten Zeitfenster ein erstes Funktionsergebnis bereitgestellt wird. Die zweite Zeitmanagement-Einheit kann insbesondere eingerichtet sein, zu überprüfen, ob von dem ersten Modul in Reaktion auf die jeweils gesendete Anfrage jeweils ein erstes Funktionsergebnis bereitgestellt wird. Insbesondere kann von der zweiten Zeitmanagement-Einheit ggf. erkannt werden, dass von dem ersten Modul kein erstes Funktionsergebnis in Reaktion auf eine gesendete Anfrage bereitgestellt werden. Alternativ oder ergänzend kann ggf. von der zweiten Zeitmanagement-Einheit erkannt werden, dass von dem ersten Modul ein erstes Funktionsergebnis bereitgestellt wird, obwohl dazu keine Anfrage gesendet wurde. Es kann somit ein Fehlverhalten des ersten Moduls erkannt werden.
  • Die zweite Zeitmanagement-Einheit kann eingerichtet sein, in Reaktion auf ein erkanntes Fehlverhalten des ersten Moduls zu bewirken, dass die Fahrzeugfunktion in einen sicheren Zustand überführt wird. Beispielsweise kann ein Abbruch der automatisierten Längs- und/oder Querführung des Fahrzeugs und/oder eine Übergabe der Fahraufgabe an den Fahrer des Fahrzeugs bewirkt werden. Alternativ oder ergänzend kann das Fahrzeug ggf. automatisiert in den Stillstand überführt werden.
  • Es wird somit ein System zur Bereitstellung einer Fahrzeugfunktion beschrieben (z.B. als ein Fahrzeug-Steuergerät), das unterschiedliche Module mit unterschiedlichen Graden an funktionaler Sicherheit dazu nutzt, um in effizienter Weise eine Fahrzeugfunktion mit einem bestimmten Ziel-Grad an funktionaler Sicherheit bereitzustellen. Insbesondere kann dabei ein zweites Modul mit dem Ziel-Grad an funktionaler Sicherheit dazu verwendet werden, die Funktionsergebnisse eines ersten Moduls und/oder die Funktionalität eines ersten Moduls mit einem reduzierten Grad an funktionaler Sicherheit zu überprüfen und/oder zu überwachen.
  • Wie bereits oben dargelegt, kann die Überprüfungseinheit (des zweiten Moduls) eingerichtet sein, das erste Funktionsergebnis zu überprüfen, um zu bestimmen, ob das erste Funktionsergebnis validiert werden kann oder nicht. Die Überprüfungseinheit kann ferner eingerichtet sein, zu bewirken, dass die Fahrzeugfunktion in den sicheren Zustand überführt wird, wenn bestimmt wird, dass das erste Funktionsergebnis nicht validiert werden kann. Es kann somit eine Überprüfung der Genauigkeit des ersten Funktionsergebnisses erfolgen, um den Grad an funktionaler Sicherheit der Fahrzeugfunktion weiter zu erhöhen.
  • Die Bereitstellung der Fahrzeugfunktion kann mit einem Gesamt-Ressourcenaufwand verbunden sein. Das System kann derart ausgebildet sein, dass von dem ersten Modul ein höherer Anteil des Gesamt-Ressourcenaufwands, insbesondere 80% oder mehr des Gesamt-Ressourcenaufwands, erbracht wird als von dem zweiten Modul. So kann die Effizienz des Systems weiter erhöht werden.
  • Durch die Verwendung einer zweiten Zustandsmanagement-Einheit in dem zweiten Modul, die z.B. gemäß ASIL B oder ASIL D ausgebildet ist, kann es ermöglicht werden, in dem ersten Modul in effizienter Weise eine erste Zustandsmanagement-Einheit zu verwenden, die nur gemäß QM (Quality Management) ausgebildet ist. Es kann somit auf die ASIL Zertifizierung der ersten Zustandsmanagement-Einheit verzichtet werden. Dabei kann von der zweiten Zustandsmanagement-Einheit mit dem Ziel-Grad an funktionaler Sicherheit gewährleistet werden, dass die Fahrzeugfunktion in einen sicheren Zustand degradiert wird, insbesondere wenn von der zweiten Zustandsmanagement-Einheit erkannt wird, dass von dem ersten Modul unerwartet ein erstes Funktionsergebnis bereitgestellt wird und/oder dass von dem ersten Modul in Reaktion auf eine Anfrage kein erstes Funktionsergebnis bereitgestellt wird.
  • Gemäß einem weiteren Aspekt wird ein (Straßen-) Kraftfahrzeug (insbesondere ein Personenkraftwagen oder ein Lastkraftwagen oder ein Bus oder ein Motorrad) beschrieben, das das in diesem Dokument beschriebene System umfasst.
  • Gemäß einem weiteren Aspekt wird ein Verfahren zur Bereitstellung einer Fahrzeugfunktion für ein Kraftfahrzeug beschrieben. Die Fahrzeugfunktion kann dabei anhand eines Systems bereitgestellt werden, das ein erstes Modul und ein (separates) zweites Modul umfasst. Dabei kann das zweite Modul einen höheren Grad an funktionaler Sicherheit aufweisen als das erste Modul.
  • Das Verfahren umfasst das Ermitteln, z.B. anhand einer Funktionseinheit des ersten Moduls, eines ersten Funktionsergebnisses für die Fahrzeugfunktion auf Basis von Eingangsdaten. Das Verfahren kann ferner umfassen, das Überprüfen des ersten Funktionsergebnisses, z.B. anhand einer Überprüfungseinheit des zweiten Moduls, um ein validiertes Funktionsergebnis für die Fahrzeugfunktion bereitzustellen.
  • Das Verfahren umfasst ferner das Festlegen, z.B. anhand einer zweiten Zustandsmanagement-Einheit des zweiten Moduls, von Zeitfenstern, in denen von dem ersten Modul jeweils ein erstes Funktionsergebnis bereitzustellen ist. Außerdem kann das Verfahren umfassen, das Erkennen, z.B. anhand der zweiten Zustandsmanagement-Einheit, dass durch das erste Modul in zumindest einem festgelegten Zeitfenster kein erstes Funktionsergebnis bereitgestellt wird, und/oder dass von dem ersten Modul außerhalb eines der festgelegten Zeitfenster ein erstes Funktionsergebnis bereitgestellt wird. Des Weiteren kann das Verfahren in Reaktion darauf umfassen, das Bewirken, z.B. anhand der zweiten Zustandsmanagement-Einheit, dass die Fahrzeugfunktion in einen sicheren Zustand überführt wird.
  • Es ist zu beachten, dass die in diesem Dokument beschriebenen Verfahren, Vorrichtungen und Systeme sowohl alleine, als auch in Kombination mit anderen in diesem Dokument beschriebenen Verfahren, Vorrichtungen und Systemen verwendet werden können. Des Weiteren können jegliche Aspekte der in diesem Dokument beschriebenen Verfahren, Vorrichtungen und Systemen in vielfältiger Weise miteinander kombiniert werden. Insbesondere können die Merkmale der Ansprüche in vielfältiger Weise miteinander kombiniert werden. Ferner sind in Klammern aufgeführte Merkmale als optionale Merkmale zu verstehen.
  • Im Weiteren wird die Erfindung anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
    • 1a ein beispielhaftes Fahrzeug;
    • 1b eine beispielhafte Fahrtrajektorie für ein Fahrzeug;
    • 2 ein beispielhaftes System zur Bereitstellung einer Fahrzeugfunktion; und
    • 3 ein Ablaufdiagramm eines beispielhaften Verfahrens zur Bereitstellung einer Fahrzeugfunktion.
  • Wie eingangs dargelegt, befasst sich das vorliegende Dokument mit der effizienten Bereitstellung einer Fahrzeugfunktion, die einen bestimmten Grad an funktionaler Sicherheit aufweist. In diesem Zusammenhang zeigt 1a ein beispielhaftes Fahrzeug 100, das ein oder mehrere Umfeldsensoren 102 (z.B. eine Kamera, einen Radarsensor, einen Lidarsensor, einen Ultraschallsensor, etc.) umfasst, die eingerichtet sind, Umfelddaten (d.h. Sensordaten) in Bezug auf das Umfeld des Fahrzeugs 100 zu erfassen. Ferner umfasst das Fahrzeug 100 ein oder mehrere Längs- und/oder Querführungsaktiren 103 (z.B. einen Antriebsmotor, eine Lenkvorrichtung, eine Bremsvorrichtung, etc.), die eingerichtet sind, automatische Eingriffe in die Längs- und/oder Querführung des Fahrzeugs 100 zu bewirken.
  • Eine Steuereinheit 101 des Fahrzeugs 100 kann eingerichtet sein, eine Fahrzeugfunktion, insbesondere eine Fahrfunktion zur zumindest teilweise automatisierten Längs- und/oder Querführung, des Fahrzeugs 100 bereitzustellen. Zu diesem Zweck können die Umfelddaten der ein oder mehreren Umfeldsensoren 102 ausgewertet werden. Ferner können die ein oder mehreren Aktoren 103 in Abhängigkeit von den ausgewerteten Umfelddaten angesteuert werden, um das Fahrzeug 100 zumindest teilweise automatisiert längs- und/oder querzuführen.
  • 1b zeigt das Fahrzeug 100 auf einer mehrspurigen Fahrbahn 111. Im Rahmen einer Fahrzeugfunktion kann es erforderlich sein, (wiederholt, insbesondere periodisch) eine Soll-Fahrtrajektorie 110 für das Fahrzeug 100 zu planen, z.B. um das Fahrzeug 100 automatisiert von einer ersten Fahrspur auf eine zweite Fahrspur des Fahrbahn 111 zu führen. Die Trajektorienplanung sollte dabei einen bestimmten Grad an funktionaler Sicherheit, z.B. ASIL D, aufweisen, um eine Fahrzeugfunktion mit einem entsprechend hohen Grad an funktionaler Sicherheit bereitzustellen.
  • 2 zeigt ein beispielhaftes System 200 zur Bereitstellung einer bestimmten Fahrzeugfunktion. Die Steuereinheit 101 des Fahrzeugs 100 kann ein oder mehrere derartige Systeme 200 umfassen. Das System 200 wird beispielhaft in Bezug auf die Durchführung einer Trajektorienplanung beschrieben. Das System 200 kann jedoch in entsprechender Weise auf andere Aufgaben angewendet werden, die mit einem gestimmten Grad an funktionaler Sicherheit in einem Fahrzeug 100 zu erbringen sind.
  • Das System 200 umfasst ein erstes Modul 210, das z.B. als ein erstes system-onchip (SOC) 219 auf einem ersten Chip implementiert ist. Ferner umfasst das System 200 ein zweites Modul 220, das z.B. als ein zweite SOC 229 auf einem unterschiedlichen zweiten Chip implementiert ist. Das zweite Modul 220 weist den Ziel-Grad an funktionaler Sicherheit (z.B. ASIL D) für die bereitzustellende Fahrzeugfunktion (z.B. für die Trajektorienplanung) auf. Das erste Modul 210 kann einen gegenüber dem Ziel-Grad reduzierten Grad an funktionaler Sicherheit (z.B. ASIL B) aufweisen.
  • Das erste Modul 210 umfasst eine erste Zustandsmanagement-Einheit 211, die eingerichtet ist, den Zustand des ersten Moduls 210 festzulegen, zu steuern und/oder zu überwachen. Des Weiteren umfasst das erste Modul 210 eine Funktionseinheit 212, die ausgebildet ist, die eigentliche Funktion des Systems 200 (z.B. die Planung einer Fahrtrajektorie 110) zu erbringen. Die Funktionseinheit 212 kann dabei durch die erste Zustandsmanagement-Einheit 211 gestartet und/oder getaktet werden, um ein erstes Funktionsergebnis 215 (z.B. eine geplante Soll-Trajektorie 110) bereitzustellen. Das erste Funktionsergebnis 215 kann dabei auf Basis von Eingangsdaten 202 des Systems 200 (z.B. anhand der Umfelddaten der ein oder mehreren Umfeldsensoren 102 des Fahrzeugs 100) ermittelt werden.
  • Das zweite Modul 220 umfasst eine Überprüfungseinheit 222, die eingerichtet ist, das von dem ersten Modul 210 bereitgestellte erste Funktionsergebnis 215 zu überprüfen und zu validieren, um ein validiertes Funktionsergebnis 203 (z.B. ein Steuersignal für die ein oder mehreren Aktoren 103 des Fahrzeugs 100 und/oder eine validierte Soll-Traj ektorie 110) bereitzustellen.
  • Des Weiteren umfasst das zweite Modul 220 eine zweite Zustandsmanagement-Einheit 221, die eingerichtet ist, den Zustand des zweiten Moduls 220 festzulegen, zu steuern und/oder zu überwachen. Insbesondere kann von der zweiten Zustandsmanagement-Einheit 221 jeweils ein Zeitpunkt und/oder ein Zeitfenster festgelegt werden, an bzw. für den ein validiertes Funktionsergebnis 203 bereitzustellen ist. Die zweite Zustandsmanagement-Einheit 221 kann dann eine Anfrage 225 zur Bereitstellung eines ersten Funktionsergebnisses 215 an das erste Modul 210 stellen. Es kann dann von der ersten Zustandsmanagement-Einheit 211 des ersten Moduls 210 koordiniert werden, dass in Reaktion auf die Anfrage 225 von der Funktionseinheit 212 das erste Funktionsergebnis 215 bereitgestellt wird.
  • Das bereitgestellte erste Funktionsergebnis 215 kann dann von der Überprüfungseinheit 222 des zweiten Moduls 220 validiert werden, um an bzw. für den festgelegten Zeitpunkt und/oder für das festgelegte Zeitfenster das validierte Funktionsergebnis 203 bereitzustellen.
  • Die einzelnen Komponenten in dem zweiten Modul 220 weisen jeweils den Ziel-Grad an funktionaler Sicherheit auf. Somit können insbesondere durch die zweite Zustandsmanagement-Einheit 221 gemäß dem Ziel-Grad an funktionaler Sicherheit Zeitfenster festgelegt werden, in denen jeweils ein erstes Funktionsergebnis 215 von dem ersten Modul 210 erwartet wird. Wenn in einem Zeitfenster kein erstes Funktionsergebnis 215 empfangen wird, und/oder wenn außerhalb eines festgelegten Zeitfensters ein erstes Funktionsergebnis 215 empfangen wird, so kann dies als Fehlfunktion des ersten Moduls 210 erkannt werden. In Reaktion darauf kann die zu erbringenden Fahrzeugfunktion in einen sicheren Zustand überführt werden. Beispielsweise kann in einem solchen Fall ein Hand-Over Request an den Fahrer des Fahrzeugs 100 bewirkt werden.
  • Ferner kann durch die Validierung des ersten Funktionsergebnisses 215 anhand der gemäß dem Ziel-Grad an funktionaler Sicherheit ausgebildeten Überprüfungseinheit 222 bewirkt werden, dass die von dem System 200 bereitgestellten (validierten) Funktionsergebnisse 203 einem den Ziel-Grad an funktionaler Sicherheit entsprechende Güte aufweisen.
  • Der primäre Ressourcenaufwand für die Bereitstellung einer Fahrzeugfunktion wird typischerweise durch die Funktionseinheit 212 und somit durch das ersten Modul 210 erbracht. Da diese Komponenten einen reduzierten Grad an funktionaler Sicherheit aufweisen können, können diese Komponenten typsicherweise in relativ effizienter Weise bereitgestellt werden. Andererseits ist der Ressourcenaufwand des zweiten Moduls 220 meist relativ gering, so dass das zweite Modul 220 in effizienter Weise gemäß dem Ziel-Grad an funktionaler Sicherheit bereitgestellt werden kann.
  • 3 zeigt ein Ablaufdiagramm eines beispielhaften (ggf. Computerimplementierten) Verfahrens 300 zur Bereitstellung einer Fahrzeugfunktion für ein Kraftfahrzeug 100. Das Verfahren 300 kann anhand eines Systems 200 ausgeführt werden, das ein erstes Modul 210 und ein (separates) zweites Modul 220 umfasst. Dabei kann das zweite Modul 220 (zumindest teilweise) einen höheren Grad an funktionaler Sicherheit aufweisen als das erste Modul 210. Insbesondere kann die zweite Zustandsmanagement-Einheit 221 des zweiten Moduls 220 einen höheren Grad an funktionaler Sicherheit aufweisen als die erste Zustandsmanagement-Einheit 211 des ersten Moduls 210.
  • Das Verfahren 300 umfasst das Ermitteln 301, z.B. anhand einer Funktionseinheit 212 des ersten Moduls 210, eines ersten Funktionsergebnisses 215 für die Fahrzeugfunktion auf Basis von Eingangsdaten 202. Des Weiteren kann das Verfahren 300 umfassen, das Überprüfen 302 des ersten Funktionsergebnisses 215, z.B. anhand einer Überprüfungseinheit 222 des zweiten Moduls 220, um ein validiertes Funktionsergebnis 203 für die Fahrzeugfunktion bereitzustellen.
  • Das Verfahren 300 umfasst das Festlegen 303, z.B. anhand der zweiten Zustandsmanagement-Einheit 221 des zweiten Moduls 220, von Zeitfenstern, in denen von dem ersten Modul 210 jeweils ein erstes Funktionsergebnis 215 bereitzustellen ist. Des Weiteren kann das Verfahren 300 umfassen, das Erkennen 304, z.B. anhand der zweiten Zustandsmanagement-Einheit 221, dass durch das erste Modul 210 in zumindest einem festgelegten Zeitfenster kein erstes Funktionsergebnis 215 bereitgestellt wird, und/oder dass von dem ersten Modul 210 außerhalb eines der festgelegten Zeitfenster ein erstes Funktionsergebnis 215 bereitgestellt wird. Das Verfahren 300 kann ferner umfassen, in Reaktion darauf, das Bewirken 305, z.B. anhand der zweiten Zustandsmanagement-Einheit 221, dass die Fahrzeugfunktion in einen sicheren Zustand überführt wird.
  • So kann in effizienter Weise eine Fahrzeugfunktion mit einem hohen Grad an funktionaler Sicherheit bereitgestellt werden.
  • Die vorliegende Erfindung ist nicht auf die gezeigten Ausführungsbeispiele beschränkt. Insbesondere ist zu beachten, dass die Beschreibung und die Figuren nur beispielhaft das Prinzip der vorgeschlagenen Verfahren, Vorrichtungen und Systeme veranschaulichen sollen.

Claims (11)

  1. System (200) zur Bereitstellung einer Fahrzeugfunktion für ein Kraftfahrzeug (100); wobei das System (200) umfasst, - ein erstes Modul (210), das eine Funktionseinheit (212) aufweist, die ausgebildet ist, auf Basis von Eingangsdaten (202) ein erstes Funktionsergebnis (215) für die Fahrzeugfunktion zu ermitteln; und - ein zweites Modul (220), das umfasst, - eine Überprüfungseinheit (222), die eingerichtet ist, das erste Funktionsergebnis (215) zu überprüfen, um ein validiertes Funktionsergebnis (203) für die Fahrzeugfunktion bereitzustellen; und - eine zweite Zustandsmanagement-Einheit (221), die eingerichtet ist, - Zeitfenster festzulegen, in denen von dem ersten Modul (210) jeweils ein erstes Funktionsergebnis (215) bereitzustellen ist; - zu erkennen, dass durch das erste Modul (210) in zumindest einem festgelegten Zeitfenster kein erstes Funktionsergebnis (215) bereitgestellt wird, und/oder dass von dem ersten Modul (210) außerhalb eines der festgelegten Zeitfenster ein erstes Funktionsergebnis (215) bereitgestellt wird; und - in Reaktion darauf zu bewirken, dass die Fahrzeugfunktion in einen sicheren Zustand überführt wird; wobei das zweite Modul (220) einen höheren Grad an funktionaler Sicherheit aufweist als das erste Modul (210).
  2. System (200) gemäß Anspruch 1, wobei die Überprüfungseinheit (222) eingerichtet ist, - das erste Funktionsergebnis (215) anhand von ein oder mehreren Validierungskriterien zu überprüfen, um zu bestimmen, ob das erste Funktionsergebnis (215) validiert werden kann oder nicht; und - zu bewirken, dass die Fahrzeugfunktion in den sicheren Zustand überführt wird, wenn bestimmt wird, dass das erste Funktionsergebnis (215) nicht validiert werden kann.
  3. System (200) gemäß einem der vorhergehenden Ansprüche, wobei - die Bereitstellung der Fahrzeugfunktion mit einem Gesamt-Ressourcenaufwand verbunden ist; und - das System (200) derart ausgebildet ist, dass von dem ersten Modul (210) ein höherer Anteil des Gesamt-Ressourcenaufwands, insbesondere 80% oder mehr des Gesamt-Ressourcenaufwands, erbracht wird als von dem zweiten Modul (220).
  4. System (200) gemäß einem der vorhergehenden Ansprüche, wobei - das erste Modul (210) eine erste Zustandsmanagement-Einheit (211) umfasst, - die zweite Zustandsmanagement-Einheit (221) eingerichtet ist, für ein festgelegtes Zeitfenster eine Anfrage (225) zur Bereitstellung eines ersten Funktionsergebnisses (215) an die erste Zustandsmanagement-Einheit (211) zu senden; und - die erste Zustandsmanagement-Einheit (211) eingerichtet ist, in Reaktion auf den Empfang der Anfrage (225) die Funktionseinheit (212) zu veranlassen, das erste Funktionsergebnis (215) zu ermitteln und dem zweiten Modul (220) bereitzustellen.
  5. System (200) gemäß Anspruch 4, wobei die zweite Zustandsmanagement-Einheit (221) eingerichtet ist, - zu überprüfen, ob von dem ersten Modul (210) in Reaktion auf die gesendete Anfrage (225) ein erstes Funktionsergebnis (215) bereitgestellt wird; und - zu bewirken, dass die Fahrzeugfunktion in den sicheren Zustand überführt wird, wenn von dem ersten Modul (210) in Reaktion auf die gesendete Anfrage (225) kein erstes Funktionsergebnis (215) bereitgestellt wird.
  6. System (200) gemäß einem der vorhergehenden Ansprüche, wobei die Eingangsdaten (202) Sensordaten von ein oder mehreren Sensoren, insbesondere von ein oder mehreren Umfeldsensoren (102), des Fahrzeugs (100) umfassen.
  7. System (200) gemäß einem der vorhergehenden Ansprüche, wobei die Fahrzeugfunktion dazu ausgelegt ist, das Fahrzeug (100) zumindest teilweise automatisiert längs- und/oder querzuführen.
  8. System (200) gemäß einem der vorhergehenden Ansprüche, wobei - das erste Funktionsergebnis (215) und/oder das validierte Funktionsergebnis (203) eine geplante Soll-Fahrtrajektorie (110) für das Fahrzeug (100) umfassen; und - die Funktionseinheit (212) ausgebildet ist, einen Algorithmus zur Trajektorienplanung auszuführen.
  9. System (200) gemäß einem der vorhergehenden Ansprüche, wobei - das erste Modul (210) gemäß ASIL B ausgebildet ist; und/oder - das zweite Modul (210) gemäß ASII, D ausgebildet ist.
  10. System (200) gemäß einem der vorhergehenden Ansprüche, wobei das erste Modul (210) und das zweite Modul (220) jeweils als separate „system-on - chip“ ausgebildet sind.
  11. Verfahren (300) zur Bereitstellung einer Fahrzeugfunktion für ein Kraftfahrzeug (100) anhand eines Systems (200) das ein erstes Modul (210) und ein zweites Modul (220) umfasst; wobei das zweite Modul (220) einen höheren Grad an funktionaler Sicherheit aufweist als das erste Modul (210); wobei das Verfahren (300) umfasst, - Ermitteln (301), anhand einer Funktionseinheit (212) des ersten Moduls (210), eines ersten Funktionsergebnisses (215) für die Fahrzeugfunktion auf Basis von Eingangsdaten (202); - Überprüfen (302) des ersten Funktionsergebnisses (215) anhand einer Überprüfungseinheit (222) des zweiten Moduls (220), um ein validiertes Funktionsergebnis (203) für die Fahrzeugfunktion bereitzustellen; - Festlegen (303), anhand einer zweiten Zustandsmanagement-Einheit (221) des zweiten Moduls (220), von Zeitfenstern, in denen von dem ersten Modul (210) jeweils ein erstes Funktionsergebnis (215) bereitzustellen ist; - Erkennen (304), anhand der zweiten Zustandsmanagement-Einheit (221), dass durch das erste Modul (210) in zumindest einem festgelegten Zeitfenster kein erstes Funktionsergebnis (215) bereitgestellt wird, und/oder dass von dem ersten Modul (210) außerhalb eines der festgelegten Zeitfenster ein erstes Funktionsergebnis (215) bereitgestellt wird; und - in Reaktion darauf, Bewirken (305), anhand der zweiten Zustandsmanagement-Einheit (221), dass die Fahrzeugfunktion in einen sicheren Zustand überführt wird.
DE102021125798.0A 2021-10-05 2021-10-05 System und Verfahren zur Bereitstellung einer Fahrzeugfunktion Pending DE102021125798A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021125798.0A DE102021125798A1 (de) 2021-10-05 2021-10-05 System und Verfahren zur Bereitstellung einer Fahrzeugfunktion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021125798.0A DE102021125798A1 (de) 2021-10-05 2021-10-05 System und Verfahren zur Bereitstellung einer Fahrzeugfunktion

Publications (1)

Publication Number Publication Date
DE102021125798A1 true DE102021125798A1 (de) 2023-04-06

Family

ID=85570690

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021125798.0A Pending DE102021125798A1 (de) 2021-10-05 2021-10-05 System und Verfahren zur Bereitstellung einer Fahrzeugfunktion

Country Status (1)

Country Link
DE (1) DE102021125798A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3085596A1 (de) 2015-04-20 2016-10-26 Autoliv Development AB Elektronisches fahrzeugsicherheitssteuerungssystem
DE102020106283B3 (de) 2020-03-09 2021-07-22 Audi Aktiengesellschaft Kraftfahrzeug und Verfahren zum Betrieb eines Kraftfahrzeugs

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3085596A1 (de) 2015-04-20 2016-10-26 Autoliv Development AB Elektronisches fahrzeugsicherheitssteuerungssystem
DE102020106283B3 (de) 2020-03-09 2021-07-22 Audi Aktiengesellschaft Kraftfahrzeug und Verfahren zum Betrieb eines Kraftfahrzeugs

Similar Documents

Publication Publication Date Title
DE102017210859A1 (de) Verfahren zur Selbstüberprüfung von Fahrfunktionen eines autonomen oder teilautonomen Fahrzeuges
DE102016212326A1 (de) Verfahren zur Verarbeitung von Sensordaten für eine Position und/oder Orientierung eines Fahrzeugs
DE102016212195A1 (de) Verfahren zum Durchführen eines automatischen Eingriffs in die Fahrzeugführung eines Fahrzeugs
DE102015217388A1 (de) Verfahren und Vorrichtung zum Betreiben eines innerhalb eines Parkplatzes fahrerlos fahrenden Kraftfahrzeugs
DE102019204943A1 (de) Verfahren und Vorrichtung zum teleoperierten Fahren eines Fahrzeuges
DE102016226309A1 (de) Vorrichtung und Verfahren zur Fahrzeugführung eines Kraftfahrzeugs
DE102015218361A1 (de) Verfahren und Testeinheit zur Verifizierung einer Fahrzeugfunktion
DE102019217428A1 (de) Verfahren zum Betreiben eines Fahrerassistenzsystems, Fahrerassistenzsystem und Fahrzeug
DE102017006338B4 (de) Verfahren zum effizienten Validieren und der sicheren Applikation von autonomen und teilautonomen Fahrzeugen
EP4288955A1 (de) Verfahren zum infrastrukturgestützten assistieren mehrerer kraftfahrzeuge
DE102018205011A1 (de) Verfahren und System zum kontrollierten Überführen von Fahrzeugen einer Fahrzeugflotte in einen sicheren Zustand
DE102019127050A1 (de) Verfahren und Vorrichtung zur Selbstdiagnose eines Umfeldsensors
DE102019205957A1 (de) Verfahren zum kontrollierten Befahren einer Gegenfahrbahn
WO2021130066A1 (de) Training von neuronalen netzen durch ein neuronales netz
DE102022208199A1 (de) Sicherheitssteuerung für automatisiertes Fahren
DE102021205965A1 (de) Verfahren zum zumindest teilautomatisierten Überführen eines Kraftfahrzeugs
DE102021125798A1 (de) System und Verfahren zur Bereitstellung einer Fahrzeugfunktion
DE102019113963A1 (de) Verfahren und Steuereinheit zum Betreiben einer Fahrfunktion
DE102019214484A1 (de) Verfahren zum sicheren Ermitteln von Infrastrukturdaten
DE102019214482A1 (de) Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102022119781A1 (de) System zur Führung eines autonomen Fahrzeugs durch ein Schlepptaxi
EP4320021A1 (de) Verfahren zum betrieb eines assistenzsystems sowie assistenzsystem
DE102017215208A1 (de) Konzept zum fahrerlosen Führen eines Kraftfahrzeugs auf einer schrägen Rampe eines Parkplatzes
DE102019127245A1 (de) Fahrsystem und Verfahren zum zumindest teilweise automatisierten Fahren
DE102016004292A1 (de) Verfahren zum Betrieb eines Fahrzeuges

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed