DE102021209684A1 - System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems - Google Patents

System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems Download PDF

Info

Publication number
DE102021209684A1
DE102021209684A1 DE102021209684.0A DE102021209684A DE102021209684A1 DE 102021209684 A1 DE102021209684 A1 DE 102021209684A1 DE 102021209684 A DE102021209684 A DE 102021209684A DE 102021209684 A1 DE102021209684 A1 DE 102021209684A1
Authority
DE
Germany
Prior art keywords
data
component
received
requirement
clock
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021209684.0A
Other languages
English (en)
Inventor
Hans-Leo Ross
Lucas Heil
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021209684.0A priority Critical patent/DE102021209684A1/de
Priority to US17/896,256 priority patent/US20230075731A1/en
Priority to CN202211064261.0A priority patent/CN115743152A/zh
Publication of DE102021209684A1 publication Critical patent/DE102021209684A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/06Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Safety Devices In Control Systems (AREA)
  • Traffic Control Systems (AREA)

Abstract

System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems
Ein System (200) zum Überwachen einer Wirkkette (100) mit Komponenten zum Ausführen einer automatisierten Fahrfunktion eines Kraftfahrzeugs (20) weist eine Datenvermittlungseinrichtung (31) und ein Überwachungsmodul (32) auf. Die Datenvermittlungseinrichtung (31) ist zum Vermitteln eines Datenaustauschs zwischen zumindest einer ersten Komponente (33) und einer zweiten Komponente (34) eingerichtet. Das Überwachungsmodul (32) ist dazu eingerichtet, zu prüfen, ob ein Überwachungssignal zur zweiten Komponente (34) in einem Grundtakt (38) von der zweiten Komponente (34) empfangen wird. Die Datenvermittlungseinrichtung (31) ist dazu eingerichtet ist, einen Empfangstaktbedarf, innerhalb dessen Daten von der zweiten Komponente (34) empfangen werden sollen, zu empfangen und in einem dem Empfangstaktbedarf entsprechenden Grundtakt (38) oder einem dem Empfangstaktbedarf entsprechenden ganzzahligen Vielfachen des Grundtakts (38) an die zweite Komponente (34) zu übermitteln. Das Überwachungsmodul (32) ist dazu eingerichtet, zu prüfen, ob an die zweite Komponente (34) übermittelte Daten im Empfangstaktbedarf empfangen werden und solche zur Verwendung durch die zweite Komponente (34) freizugeben.

Description

  • Die vorliegende Erfindung betrifft ein System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs, ein Verfahren zum Betreiben des Systems sowie ein Computerprogrammprodukt zum Durchführen des Verfahrens.
  • In modernen vernetzten Steuerungssystemen (englisch: Distributed Control Systems) funktionieren bekannte klassische Absicherungsmaßnahmen nicht notwendigerweise. Insbesondere bei Cloud-Netzwerken oder in „nicht-von-Neumannarchitekturen“ und auch bei neuartigen Steuerungs- und Prozessorarchitekturen, Quanten-Computern usw. funktionieren klassische Absicherungsmaßnahmen auf Basis eines Eingabe-Verarbeitung-Ausgabe (kurz: EVA) Prinzips nicht mehr.
  • So sind in einer typischen Autosar-Architektur (englisch: automotive open system architecture) Steuergeräte und eine Kommunikation weitestgehend noch auf dem EVA-Prinzip basierend, wobei die Steuergeräte mit CAN-, Flexray-, oder mit einer Ethernet-Verbindung typischerweise über Punkt-zu-Punkt Verbindungen kommunizieren.
  • In einer dienstorientierten Architektur oder gar auf Mikroprozessor-Systemen mit beispielsweise einer Posix-Architektur (englisch: portable operating system interface) arbeitet man typischerweise dienstorientiert. Dies wird zu einem besonderen Problem bei verknüpften Diensten, wie man sie beispielsweise in einer Cloud für Sicherheitsmaßnahmen nutzt, beispielsweise für eine Authentifizierung einer Mehrzahl von Teilnehmer, beispielsweise mittels SCIM (englisch: system for cross-domain identity management).
  • Um die Möglichkeit zu haben auch in den höheren Automatisierungsstufen automatisiertes Fahren zu ermöglichen, beispielsweise Level 5 (voll automatisiert ohne einen Fahrer im Fahrzeug), müssen auch im Fehlerfall alle Systeme im Fahrzeug verfügbar sein womit eine Redundanz unumgänglich ist. Insbesondere bei redundanten Systemen ist eine Synchronisierung notwendig, damit das redundante System rechtzeitig umschalten oder in einen aktiven Steuerungsmodus geschaltet werden kann, insbesondere bei Fehlern oder unplausiblen Zuständen zwischen einer Steuerung und einem Aktor.
  • In einer Autosar-Architektur ist es die Aufgabe eines BSW (englisch: basic software module), Eingabedaten und Ausgabedaten durch eine sogenannte Abstraktionsschicht derart anzupassen, dass diese ohne Fehlereinflüsse in den jeweiligen Verarbeitungsstufen korrekt und funktional sicher verarbeitet werden können. Jedes Steuergerät kann unterschiedliche Informationen an nachfolgende Steuergeräte senden. So können beispielsweise Informationen über physikalische Größen, wie etwa ein Bremsdruck, ein Moment, ein Winkel usw., Informationen zu Objekten, beispielsweise von im Rahmen einer Perzeption erfassten Objekten, Vektoren für eine Bewegung, verschiedene Szenarien und Ereignisse und andere semantische Codierungen gesendet werden. Ebenso kann ein Kontext für erfasst Objekte, beispielsweise eine Präsenz eines Freiraums oder Informationen über Bewegungsverhalten von Objekten oder Hindernissen erfasst werden.
  • Nicht nur für die C2X- (Car2lnfrastructure) Kommunikation ist eine selektive rechtzeitige Koordination von Daten notwendig. In Echtzeitsystemen mit entsprechender Verfügbarkeitsanforderungen ist eine solche Datenkoordination bis hin zum Aktor notwendig, beispielsweise im Fall einer Lenkung, die relevante Daten zu spät oder gar verfälscht erhält, was zu Unfällen führen kann. Erhält die Lenkung auf zwei oder mehr unabhängigen Wegen, widersprüchliche Daten, so kann eine eindeutige und korrekte Funktion der Lenkung nicht gewährleistet werden.
  • Ferner gibt es für Lenk- und Bremssysteme immer mehr kaskadierte Regelschleifen. Insbesondere in den Regelschleifen ist eine Synchronisierung am Aktor erforderlich, sodass redundanten Strukturen zum Beispiel auch rechtzeitig über einen Ausfall oder einen Fehlerzustand informieren und angemessen reagieren können müssen. Beispielsweise wird ein Regler in einer Lenkung typischerweise mit einer Zeitbasis von 10ms betrieben, weshalb eine Echtzeitsynchronisierungen für den jeweiligen Regler und seine Regler Kaskaden über eine Erfassung einer Kontextumgebung (z.B. einer Straße und ihr Zustand) mittels zumindest eines Sensors erforderlich ist. Insbesondere in solchen Regelkreisen und ihren Kaskaden, müssen die Führungsgrößen und die Störgrößen zeitlich aufeinander abgestimmt sein.
  • Ein Aktor benötigt ferner Informationen darüber, aus welcher Quelle Steuerungsdaten stammen, wie alt diese sind und welcher Wert für eine Aktuation, d.h. für die zumindest eine automatisierte Fahrfunktion, der korrekte ist. Dies ist sowohl für eine Betriebssicherheit als auch im Hinblick auf eine Informationssicherheit relevant. Auf Basis dieser Informationskombination kann beispielsweise eine Lenkung oder eine Bremse angesteuert werden. Die Aktoren im Fahrzeug benötigen aus verschiedenen Quellen je nach Position des Fahrzeugs, Wetterbedingungen, Straßenbedingungen, Verkehrsbedingungen usw. sehr unterschiedliche Daten aus verschiedenen Quellen. Diese Daten müssen rechtzeitig und auch für alle beteiligten Komponenten verfügbar sein. Dazu sind bestimmte Mechanismen notwendig, die Datenflüsse entsprechend steuern und überwachen.
  • Somit werden aktive zeitgesteuerte Sicherheitsmechanismen notwendig, um Daten für eine Aktor Steuerung (als Führungsgröße oder als Feedback) rechtzeitig und zeitsynchron zu einer abgestimmten Reaktion an einem redundanten Aktor zu gewährleisten. Es muss ein Mechanismus an einem finalen Element, beispielsweise an einem Aktor, der eine Fahrzeugreaktion bestimmt, implementiert werden, welches den Zeithorizont im finalen Element sicherstellt und dynamisch umschalten kann.
  • Eine Aufgabe der vorliegenden Erfindung besteht darin, ein verbessertes System zum Überwachen einer Wirkkette mit Komponenten einer zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs bereitzustellen, ein Verfahren zum Betreiben des Systems anzugeben sowie ein Computerprogrammprodukt zum Durchführen des Verfahrens bereitzustellen. Diese Aufgabe wird jeweils durch ein System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs, ein Verfahren zum Betreiben des Systems sowie ein Computerprogrammprodukt zum Durchführen des Verfahrens mit jeweils den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen sind in abhängigen Ansprüchen angegeben.
  • Ein System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs weist eine Datenvermittlungseinrichtung und ein Überwachungsmodul auf. Die Datenvermittlungseinrichtung ist zum Vermitteln eines Datenaustauschs zwischen zumindest einer ersten Komponente innerhalb der Wirkkette und zumindest einer zweiten Komponente innerhalb der Wirkkette eingerichtet. Das Überwachungsmodul ist dazu eingerichtet, zu prüfen, ob ein Überwachungssignal über eine Datenverbindung zur zweiten Komponente in einem Grundtakt von der zweiten Komponente empfangen wird. Die Datenvermittlungseinrichtung ist dazu eingerichtet, einen Empfangstaktbedarf, innerhalb dessen Daten von der zweiten Komponente empfangen werden sollen, von der zweiten Komponente zu empfangen und Daten in einem dem Empfangstaktbedarf entsprechenden Grundtakt oder einem dem Empfangstaktbedarf entsprechenden ganzzahligen Vielfachen des Grundtakts an die zweite Komponente zu übermitteln. Das Überwachungsmodul ist dazu eingerichtet, zu prüfen, ob an die zweite Komponente übermittelte Daten im Empfangstaktbedarf empfangen werden und im Empfangstaktbedarf empfangene Daten zur Verwendung durch die zweite Komponente freizugeben.
  • Das System beruht auf dem Gedanken, dass die zweite Komponente die Daten zum Ausführen der zumindest einen teilweise automatisierten Fahrfunktion rechtzeitig empfangen kann. Der Grundtakt repräsentiert einen Herzschlag (englisch: heart beat) zum Übermitteln des Überwachungssignals an die zweite Komponente. Dadurch wird sichergestellt, dass die Datenverbindung zur zweiten Komponente funktionsfähig ist. Der zweiten Komponente kann auf diese Weise eine sichere Zeitbasis bereitgestellt werden, eine Synchronisierung redundanter Komponenten durchzuführen und Datenflüsse zur zweiten Komponente hin und von der zweiten Komponente weg anzusteuern. Das Überwachungsmodul kann aus diesem Grund auch als Herzschlag-Modul bezeichnet werden. Das Überwachungssignal kann auch als Herzschlag- bzw. Heartbeat-Signal bezeichnet werden. Dies entspricht im Abbild des Menschen dem Sinusknoten, auf dessen Basis weitere zeitabhängige Funktionen in ganzzahligen Vielfachen einer Basisfrequenz wie auch in Bruchteilen der Basisfrequenz initiiert, synchronisiert und auf zeitliche Aspekte hin überwacht werden.
  • Ein Datenfluss wird vorteilhafterweise korrekt und sicher durch die Datenvermittlungseinrichtung gewährleistet. Dadurch, dass die Datenvermittlungseinrichtung dazu ausgebildet ist, Daten an die zweite Komponente in zeitlichen Abständen zu übermitteln, die einem ganzzahligen Vielfachen des Grundtakts entsprechen, werden die Daten von der zweiten Komponente zeitsynchron mit einem eintreffenden Überwachungssignal empfangen, d.h. zeitsynchron mit einem „Herzschlag“. Sollte dies nicht der Fall sein, kann auf einen Fehler in der Wirkkette geschlossen werden und auf den Fehler hin rechtzeitig reagiert werden.
  • Damit bildet das Überwachungsmodul auch eine Basis, wodurch ein Datenfluss überwachbar und sicher dynamisch an jeweilige Anforderungen anpassbar sein kann. Auf diese Weise wird vorteilhafterweise ein System bereitgestellt, das definierte Anforderungen in Bezug auf funktionale Sicherheit erfüllen kann. Vorteilhafterweise kann das Herzschlagprinzip entlang der vollständigen Wirkkette implementiert sein. Dadurch können Fehler in der gesamten Wirkkette, d.h. beispielsweise auch im Rahmen einer Kommunikation eines automatisierten Kraftfahrzeugs zu Infrastrukturelementen, identifiziert und rechtzeitig kontrolliert werden. Für einen Datenaustausch zwischen den Komponenten der Wirkkette kann beispielsweise ein CAN-Bus verwendet werden, was jedoch nicht zwingend erforderlich ist.
  • In einer Ausführungsform weisen die Komponenten der Wirkkette Elemente aus folgender Gruppe von Elementen auf: Sensor, Sendeeinrichtung, Empfangseinrichtung, Erfassungseinrichtung, Steuereinrichtung, Aktor. Die Komponenten können jedoch auch als andere Elemente ausgebildet sein. In einer Ausführungsform ist die zweite Komponente ein Aktor. Der Aktor ist dazu eingerichtet, Führungsgrößen, Störgrößen und/oder redundante Parameter zu empfangen und die zumindest eine teilweise automatisierte Fahrfunktion des Kraftfahrzeugs auf Basis der Führungsgrößen, der Störgrößen und der redundanten Parameter auszuführen.
  • Der Aktor kann beispielsweise als eine Bremseinrichtung, als eine Lenkeinrichtung oder auch als ein Antrieb ausgebildet sein. Vorteilhafterweise kann dadurch eine funktionale Sicherheit in redundanten Echtzeitnetzwerken bis hin zu einer finalen Reaktion eines Aktors, insbesondere von hoch verfügbaren Aktoren, die gegebenenfalls gegenseitig synchronisiert werden können müssen, gewährleistet werden. Im Fehlerfall kann durch Umkonfiguration redundanter Zweige aktiviert werden, beispielsweise können im Fall einer Störung eines Reglers an einem Aktor verbliebene Regler die Störung kompensieren, sodass keine Auffälligkeiten hinsichtlich einer Aktuation feststellbar sind.
  • Vorteilhafterweise ist es möglich, dass Daten an redundanten Reglern oder Aktoren Taktsynchron empfangen werden, damit im Fehlerfall eine entsprechend koordinierte Gegenreaktion initiiert werden kann. Bei einer redundanten Lenkung und einem Ausfall einer Redundanz muss bei einem geforderten Lenkmanöver nach rechts, eine noch verfügbare redundante Lenkeinrichtung intensiver, d.h. mit einem höheren Moment, nach rechts lenken. Dieser Vorgang muss bei höheren Geschwindigkeiten auch innerhalb einer kleineren Zeitdauer ausgeführt werden, da es sonst beim Redundanzausfall ein signifikantes Verlassen einer Fahrspur zur Folge haben kann.
  • In einer Ausführungsform ist die Datenvermittlungseinrichtung dazu eingerichtet, einen höchstens dem Empfangstaktbedarf entsprechenden Sendetaktbedarf, in dem die erste Komponente Daten an die Datenvermittlungseinrichtung senden soll, an die erste Komponente zu übermitteln. Vorteilhafterweise können Daten dadurch von der ersten Komponente rechtzeitig an die Datenvermittlungseinrichtung gesendet werden, damit diese die von der ersten Komponente empfangenen Daten ihrerseits rechtzeitig, d.h. im Empfangstaktbedarf, an die zweite Komponente übermitteln kann.
  • Die erste Komponente kann beispielsweise dazu eingerichtet sein, Daten an die Datenvermittlungseinrichtung in einem einem ganzzahligen Vielfachen des Grundtakts entsprechenden Sendetaktbedarf zu senden. Vorteilhafterweise erfolgt dadurch die Datenvermittlung zwischen der ersten Komponente und der zweiten Komponente jeweils auf Basis des Grundtakts bzw. des Heartbeats. Vorteilhafterweise lassen sich dadurch auch ein Taktgeber der ersten Komponente und ein Taktgeber der Datenvermittlungseinrichtung miteinander synchronisieren.
  • In einer Ausführungsform ist die zweite Komponente dazu eingerichtet, den Empfangstaktbedarf in Form des Grundtakts oder eines ganzzahligen Vielfachen des Grundtakts bereitzustellen. Vorteilhafterweise lassen sich dadurch ein Taktgeber des Überwachungsmoduls und ein Taktgeber der Datenvermittlungseinrichtung miteinander synchronisieren.
  • In einer Ausführungsform ist die Datenvermittlungseinrichtung für eine Vermittlung eines Datenaustauschs zwischen einer Mehrzahl von ersten Komponenten innerhalb der Wirkkette und einer Mehrzahl von zweiten Komponenten innerhalb der Wirkkette eingerichtet. Die Datenvermittlungseinrichtung ist dazu eingerichtet, von den ersten Komponenten gesendete Daten zu empfangen, den zweiten Komponenten jeweils zumindest einen Teil der empfangenen Daten zuzuordnen und die zugeordneten Daten jeweils an die zweiten Komponenten zu übermitteln.
  • Dadurch wird vorteilhafterweise sichergestellt, dass die zweite Komponente zur Ausführung der zumindest einen automatisierten Fahrfunktion erforderliche Daten empfängt. Die Datenvermittlungseinrichtung kann beispielswiese Bestandteil einer Steuerungseinrichtung sein. In einer Ausführungsform ist die Steuerungseinrichtung als Zentralsteuergerät ausgebildet ist. Beispielsweise kann das Zentralsteuergerät als ein sogenanntes Domänensteuergerät für Fahrerassistenzsysteme (DASy) ausgebildet sein.
  • Die Datenvermittlungseinrichtung kann jedoch auch Bestandteil eines Bremssteuergeräts sein. Ein Bremsensteuergerät hat sehr viele heterogene Funktionen, wie beispielsweise ein Antiblockiersystem (ABS), eine elektronische Stabilitätskontrolle (englisch: Electronic Stability Control, ESP) oder eine Traktionskontrolle. Je nach Fahrsituation, Wetter- oder Straßenbedingungen benötigt man für solche Funktionen sehr unterschiedliche Daten auch von Sensoren außerhalb des Bremsensteuergerätes. Diese können vorteilhafterweise durch die Datenvermittlungseinrichtung des Bremssteuergeräts rechtzeitig an zweite Komponenten, beispielsweise an Aktoren, übermittelt werden.
  • In einer Ausführungsform ist das Überwachungsmodul Bestandteil der zweiten Komponente oder ist unmittelbar an der zweiten Komponente angeordnet. Vorteilhafterweise wird dadurch Fehler in der Übertragung der Daten zwischen der zweiten Komponente und dem Überwachungsmodul verhindert oder reduziert. Beispielsweise kann dadurch eine Latenz reduziert werden, da ein Übertragungsweg minimiert ist. Das Überwachungsmodul kann beispielswiese Bestandteil eines Aktors sein. Ist der Aktor beispielsweise ein Schalter kann das Überwachungsmodul unmittelbar am Schalter angeordnet sein.
  • In einer Ausführungsform ist das Überwachungsmodul dazu eingerichtet, im Falle, dass die Daten von der zweiten Komponente nicht im Empfangstaktbedarf empfangen werden, eine Fehlermeldung an die Datenvermittlungseinrichtung zu übermitteln. Die Datenvermittlungseinrichtung ist dazu eingerichtet, auf Basis der Fehlermeldung Daten gemäß einem als sicher festgelegten Prinzip an die zweite Komponente zu übermitteln.
  • Ein Kraftfahrzeug weist ein System gemäß einem der Ausführungsformen auf. Das Kraftfahrzeug kann auch als automatisiertes Kraftfahrzeug bezeichnet werden. Unter einer zumindest teilweise automatisierten Fahrfunktion soll im Rahmen der gesamten vorliegenden Beschreibung eine assistierte Fahrfunktion, eine teilautomatisierte Fahrfunktion, eine hochautomatisierte Fahrfunktion, eine vollautomatisierte Fahrfunktion oder eine autonome Fahrfunktion bezeichnet werden.
  • Ein Verfahren zum Betreiben eines Systems gemäß einer der Ausführungsformen umfasst folgende Verfahrensschritte: Es wird geprüft, ob ein Überwachungssignal über eine Datenverbindung zur zweiten Komponente in einem Grundtakt von der zweiten Komponente empfangen wird. Es wird ein Empfangstaktbedarf empfangen, innerhalb dessen Daten von der zweiten Komponente empfangen werden sollen. Daten werden in einem dem Empfangstaktbedarf entsprechenden Grundtakt oder einem dem Empfangsbedarf entsprechenden ganzzahligen Vielfachen des Grundtakts an die zweite Komponente übermittelt. Es wird geprüft, ob an die zweite Komponente übermittelte Daten im Empfangstaktbedarf empfangen werden. Im Empfangstaktbedarf empfangenen Daten werden zum Ausführen der zumindest einen teilautomatisierten Fahrfunktion verwendet. Vorteilhaft lässt sich das vorgeschlagene Verfahren beispielsweise beim Betreiben eines automatisierten Kraftfahrzeugs, insbesondere im urbanen Umfeld und beim automatisierten Parken des Kraftfahrzeugs anwenden.
  • In einer Ausführungsform weist das Verfahren folgenden zusätzlichen Verfahrensschritt auf: Ein höchstens dem Empfangstaktbedarf entsprechender Sendetaktbedarf wird an die erste Komponente übermittelt. In einer Ausführungsform wird der Empfangstaktbedarf in Form eines ganzzahligen Vielfachen des Grundtakts bereitgestellt. In einer Ausführungsform werden von von der ersten Komponente gesendeten Daten empfangen, zumindest ein Teil der empfangenen Daten zur zweiten Komponente zugeordnet und die zugeordneten Daten an die zweite Komponente übermittelt.
  • In einer Ausführungsform wird im Falle, dass die Daten von der zweiten Komponente nicht im Empfangstaktbedarf empfangen werden, eine Fehlermeldung übermittelt. Daten werden auf Grundlage der Fehlermeldung gemäß einem als sicher festgelegten Prinzip an die zweite Komponente übermittelt.
  • Ein Computerprogrammprodukt umfasst Befehle, die bei Ihrer Ausführung auf einem Computer, diesen dazu veranlassen, ein Verfahren gemäß einer der Ausführungsformen durchzuführen. Das Computerprogrammprodukt kann beispielsweise auf einem maschinenlesbaren Speichermedium gespeichert sein.
  • Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von schematischen Zeichnungen detailliert beschrieben. Es zeigen:
    • 1 ein Blockschaltbild einer Wirkkette zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und eines Systems zum Überwachen der Wirkkette;
    • 2 einen von einer Datenvermittlungseinrichtung vermittelten Datenfluss zwischen ersten und zweiten Komponenten der Wirkkette;
    • 3 einen prinzipiellen Ablauf eines Verfahrens zum Betreiben des Systems; und
    • 4 ein Computerprogrammprodukt zum Durchführen des Verfahrens.
  • 1 zeigt schematisch ein Blockschaltbild einer beispielhaften Wirkkette 100 mit Komponenten zum Ausführen einer zumindest teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs 20 und ein System 200 zum Überwachen der Wirkkette 100. 1 zeigt einen ersten Detaillierungsgrad L1 der Wirkkette 100 und einen zweiten Detaillierungsgrad L2 der Wirkkette 100. In 1 ist beispielhaft eine Wirkkette 100 von einer Backendeinrichtung 10 bis zur Vorrichtungseinrichtung 20 gezeigt.
  • Das System 200 weist eine Datenvermittlungseinrichtung 31 und ein Überwachungsmodul 32 auf. Die Datenvermittlungseinrichtung 31 ist zum Vermitteln eines Datenaustauschs zwischen zumindest einer ersten Komponente innerhalb der Wirkkette 100 und zumindest einer zweiten Komponente innerhalb der Wirkkette 100 eingerichtet. Die Komponenten der Wirkkette 100 können beispielsweise in 1 gezeigte Elemente der Wirkkette 100 aufweisen. Eine Komponente der Wirkkette 100 kann beispielsweise als Sensor S, als eine Sendeeinrichtung 2, als eine Empfangseinrichtung 11, als eine Erfassungseinrichtung 1, 12, als eine Steuerungseinrichtung 13 oder als Aktor A ausgebildet sein. Ein Sensor S kann, wie in 1 gezeigt, kraftfahrzeugseitig oder infrastrukturseitig angeordnet sein. Ist ein Sensor S infrastrukturseitig angeordnet, kann er beispielswiese Bestandteil der Backendeinrichtung 10 sein, die dazu eingerichtet ist, Daten mit dem Kraftfahrzeug 20 über eine Luftschnittstelle 30 (z.B. Mobilfunkstrecke, WLAN-Verbindung, usw.) auszutauschen. Im Allgemeinen müssen die Komponenten der Wirkkette 100 jedoch jeweils nicht notwendigerweise über eine Luftschnittstelle miteinander verbunden sein. Die Erfassungseinrichtung 1 und die Sendeeinrichtung 2 sind ebenfalls Bestandteil der Backendeinrichtung 10. Das Kraftfahrzeug 20 umfasst beispielsweise die Empfangseinrichtung 11, eine Erfassungseinrichtung 12 sowie eine Steuerungseinrichtung 13. Außerdem weist das Kraftfahrzeug 20 optionale Sensoren S zur Erfassung eines Umfelds des Kraftfahrzeugs 20 und Aktuatoren A auf.
  • In einem Detaillierungsgrad L2 erkennt man die vorgehend genannten Komponenten höher aufgelöst. Man erkennt, dass die Erfassungseinrichtung 1 ein Erfassungsmodul 1a sowie ein Veröffentlichungsmodul 1b aufweist, wobei das Erfassungsmodul 1a insbesondere für eine Datenfusionierung und das Veröffentlichungsmodul 1b insbesondere für ein Publizieren bzw. Anbieten von Daten von erfassten Objekten zuständig ist. Ferner erkennt man, dass die Backendeinrichtung 10 ein erstes Datenvermittlungsmodul 3 sowie eine erste Überwachungseinrichtung 4 aufweist. Außerdem weist die Sendeeinrichtung 2 ein erstes Sicherheitsmodul 2a und ein erstes Kommunikationsmodul 2b auf. Die Empfangseinrichtung 11 weist ein zweites Kommunikationsmodul 11 a und ein zweites Sicherheitsmodul 11a auf. Die Erfassungseinrichtung 12 weist ein Subskriptionsmodul 12a und eine zweite Datenvermittlungsmodul 14 auf. Auch diese genannten Komponenten, die im zweiten Detaillierungsgrad L2 der 1 zu erkennen sind, können beispielsweise als Komponenten der Wirkkette 100 ausgebildet sein.
  • Die Datenvermittlungseinrichtung 31 des Systems 200 zum Überwachen der Wirkkette 100 ist für einen bidirektionalen Datenaustausch zwischen einer ersten Komponente und einer zweiten Komponente der Wirkkette 100 eingerichtet. Die Datenvermittlungseinrichtung 31 kann auch für eine Vermittlung eines Datenaustauschs zwischen einer Mehrzahl von ersten Komponenten innerhalb der Wirkkette 100 und einer Mehrzahl von zweiten Komponenten 34 innerhalb der Wirkkette 100 eingerichtet sein. Die Datenvermittlungseinrichtung 31 ist in diesem Fall dazu eingerichtet ist, von den ersten Komponenten gesendete Daten zu empfangen, den zweiten Komponenten jeweils zumindest einen Teil der empfangenen Daten zuzuordnen und die zugeordneten Daten jeweils an die zweiten Komponenten zu übermitteln.
  • Die Datenvermittlungseinrichtung 31 kann beispielsweis Bestandteil der Steuerungseinrichtung 13 des Kraftfahrzeugs 20 sein. Die Steuerungseinrichtung 13 kann beispielsweise als Bremssteuergerät oder ein Zentralsteuergerät, z.B. DASy, sein. Die Datenvermittlungseinrichtung 31 muss jedoch nicht notwendigerweise Bestandteil der Steuerungseinrichtung 13 sein. Sie kann stattdessen auch Bestandteil einer anderen Komponente der Wirkkette 100 sein, beispielsweise eines Routers oder eines Switchs. Die ersten Komponenten sind als Sender von Daten ausgebildet, während die zweiten Komponenten als Empfänger von Daten ausgebildet sind.
  • Im Folgenden wird ein Prinzip des Systems 200 im Wesentlichen anhand einer als ein Aktor A ausgebildeten Komponente beispielhaft erläutert. Das Prinzip kann jedoch auf jede andere beliebige Komponente der Wirkkette 100 übertragen werden. Der Aktor A ist dazu eingerichtet, Führungsgrößen, Störgrößen und redundante Parameter zu empfangen und die zumindest eine teilweise automatisierte Fahrfunktion des Kraftfahrzeugs 20 auf Basis der Führungsgrößen, der Störgrößen und der redundanten Parameter auszuführen. Die zweite Komponente kann jedoch auch beispielsweise als ein Berechnungsmodul ausgebildet sein. Eine Führungsgröße ist eine Eingangsgröße eines Stellglieds. Eine Störgröße ist eine auf die Führungsgröße wirkende Größe.
  • 2 zeigt schematisch einen von einer Datenvermittlungseinrichtung vermittelten Datenfluss zwischen ersten Komponenten 33 und zweiten Komponenten 34 der Wirkkette 100. Die Datenvermittlungseinrichtung 31 ist lediglich beispielhaft Bestandteil der als Zentralsteuergerät 39 eingerichteten Steuerungseinrichtung 13. Die zweiten Komponente 34 weisen entweder jeweils ein Überwachungsmodul 32 auf oder es ist jeweils ein Überwachungsmodul 32 unmittelbar an einer zweiten Komponente 34 angeordnet. Die Überwachungsmodule 32 sind der Einfachheit halber in 2 nicht gezeigt.
  • In der nachfolgenden Beschreibung wird das dem System 200 zugrundeliegende Prinzip im Wesentlichen für lediglich eine erste Komponente 33 und lediglich eine zweite Komponente 34 erläutert. Die nachfolgende Beschreibung gilt jedoch, wo immer lediglich eine erste und lediglich eine zweite Komponente 34 erwähnt werden, auch für eine Mehrzahl von ersten und zweiten Komponenten 33, 34. Im Fall mehrerer erster und zweiter Komponenten 33, 34 ist die Datenvermittlungseinrichtung 31 dazu eingerichtet, empfangene Daten den zweiten Komponenten 34 zuzuordnen und zugeordnete Daten jeweils an die zweiten Komponenten 34 zu übermitteln.
  • Das Überwachungsmodul 32 einer zweiten Komponente 34, beispielswiese eines Aktors A, ist dazu eingerichtet ist, zu prüfen, ob ein Überwachungssignal über eine Datenverbindung zur zweiten Komponente 34 in einem Grundtakt 38 von der zweiten Komponente 34 empfangen wird. Die Datenvermittlungseinrichtung 31 ist dazu eingerichtet, einen Empfangstaktbedarf, innerhalb dessen Daten von der zweiten Komponente 34 empfangen und verwendet werden sollen von der zweiten Komponente 34 zu empfangen und Daten in einem dem Empfangstaktbedarf entsprechenden Grundtakt 38 oder in einem dem Empfangstaktbedarf entsprechenden ganzzahligen Vielfachen des Grundtakts 38 an die zweite Komponente 34 zu übermitteln. Das Überwachungsmodul 32 ist dazu eingerichtet, zu prüfen, ob an die zweite Komponente 34 übermittelte Daten im Empfangstaktbedarf empfangen werden und im Empfangstaktbedarf empfangene Daten zur Verwendung durch die zweite Komponente 34 freizugeben, wodurch die zumindest eine teilweise automatisierte Fahrfunktion rechtzeitig ausgeführt werden kann.
  • Die zweiten Komponenten 34 sind beispielhaft als Aktoren A ausgebildet, wobei 2 beispielhaft insgesamt drei Aktoren A zeigt. Ein erster Aktor 35 kann beispielsweise als Lenkeinrichtung 35 ausgebildet sein. Ein zweiter Aktor 36 kann beispielsweise als Bremseinrichtung 36 ausgebildet sein. Ein dritter Aktor 37 kann beispielsweise als ein Antrieb 37 ausgebildet sein. Damit die Lenkeinrichtung 35 beispielsweise bei einer Geschwindigkeit von mehr als 50km/h einen plötzlichen Spurwechsel ausführen oder einem Hindernis in der Spur ausweichen soll, muss eine redundante Lenkung beispielsweise alle 10 Millisekunden neue Daten erhalten und darauf reagieren können. Eine elektrische Bremseinrichtung 36 erfordert bei gleicher Geschwindigkeit einen Empfangstaktbedarf von beispielsweise 100ms. Der Antrieb 37 sollte bei der entsprechenden Geschwindigkeit Daten beispielsweise in einem Empfangstaktbedarf von 200ms empfangen sollen.
  • Bei langsameren Geschwindigkeiten des Kraftfahrzeugs kann ein erforderlicher Empfangstaktbedarf größer sein, bei höheren Geschwindigkeiten kann der erforderliche Empfangstaktbedarf hingegen kleiner sein. Der erforderliche Empfangstaktbedarf kann aber auch anhand von anderen Systemzuständen, Wetterbedingungen, Fahrbahnzuständen, Verkehrsdichte usw. kontinuierlich angepasst werden. Durch das Herzschlag-Prinzip wird ein Grundtakt 38 zum Übermitteln von Daten zur Verfügung gestellt. Der Grundtakt 38 kann beispielsweise 2ms betragen. Der Grundtakt 38 kann einer ersten Komponente 33, der Datenvermittlungseinrichtung 31 und einer zweiten Komponente 34 jeweils von einem Taktgeber der betreffenden Komponente bereitgestellt werden. Die Taktgeber können ihrerseits überwacht und auf Basis des Grundtakts 38 miteinander synchronisiert werden. Die zweite Komponente 34 kann dazu eingerichtet sein, den Empfangstaktbedarf in Form des Grundtakts 38 oder eines ganzzahligen Vielfachen des Grundtakts 38 bereitzustellen. Hierzu kann die zweite Komponente auf ihren Taktgeber zurückgreifen, der im Grundtakt betrieben wird.
  • Die Datenvermittlungseinrichtung 31 kann zusätzlich, aber nicht notwendigerweise, dazu eingerichtet sein, einen höchstens dem Empfangstaktbedarf entsprechenden Sendetaktbedarf, in dem die erste Komponente 33 Daten an die Datenvermittlungseinrichtung 31 senden soll, an die erste Komponente 33 zu übermitteln. Dadurch ist die Datenvermittlungseinrichtung 31 dazu eingerichtet, einen Sendetakt an der ersten Komponente 33 einzustellen. Der Sendetakt kann beispielsweise dem Grundtakt 38 oder einem ganzzahligen Vielfachen des Grundtakts 38 entsprechen. Dadurch können Daten von allen ersten Komponenten 33 im richtigen Takt an die zweiten Komponenten 34 übermittelt werden.
  • Die ersten Komponenten 33 können beispielsweise dazu vorgesehen sein, GPS-Daten, Verkehrsdaten, Wetterdaten, Sensordaten und/oder Kartendaten an die Datenvermittlungseinrichtung 31 zu senden. Bei einem Grundtakt 38 von 2ms können die ersten Komponenten 33 beispielsweise dazu eingerichtet sein, Daten mit Frequenzen von beispielsweise 1Hz, 2Hz, 5Hz, 10Hz oder 100Hz an die Datenvermittlungseinrichtung 31 zu senden.
  • Das Überwachungsmodul 32 ist dazu eingerichtet, im Falle, dass die Daten von der zweiten Komponente 34 nicht im Empfangstaktbedarf empfangen werden, eine Fehlermeldung an die Datenvermittlungseinrichtung 31 zu übermitteln. Die Datenvermittlungseinrichtung 31 ist dazu eingerichtet, auf Basis der Fehlermeldung Daten gemäß einem als sicher festgelegten Prinzip an die zweite Komponente 34 zu übermitteln.
  • Sollten Daten von der zweiten Komponente 34 nicht oder nicht rechtzeitig empfangen werden oder, verfälscht empfangen werden und/oder Daten mit einer falschen Signatur von der zweiten Komponente 34 empfangen werden, so kann auf unterschiedliche Fehler geschlossen werden. So kann beispielsweise eine Latenz in der Datenverbindung zur zweiten Komponente 34 vorliegen, wobei es sich um eine temporäre Störung handeln kann. Es kann auch beispielsweise sein, dass ein Taktgeber der Datenvermittlungseinrichtung 31 oder der ersten Komponente 33 defekt ist. Das Überwachungsmodul 33 kann solche Fehler melden und die Datenvermittlungseinrichtung 31 kann vorteilhafterweise daraufhin reagieren und beispielsweise Daten gemäß einem als (funktional) sicher funktionierenden Prinzip an die zweite Komponente übermitteln.
  • Werden Daten nicht korrekt oder nicht rechtzeitig von der zweiten Komponente 34 empfangen, kann es sein, dass die zweite Komponente 34, beispielsweise ein Aktor A, degradiert. Vorteilhafterweise kann die Datenvermittlungseinrichtung 31 Maßnahmen einleiten, die Schäden am Aktor A entgegenwirken. Die Datenvermittlungseinrichtung 32 kann beispielsweise eine Funktionsdegradation einleiten, wobei es sich beispielsweise um das Einleiten eines Bremsvorgangs handeln kann. Die Datenvermittlungseinrichtung 31 kann auch beispielsweise auf eine redundante erste Komponente 33 umschalten, die rechtzeitig Daten liefern kann, wobei beispielsweise anstelle von fahrzeugseitigen Sensoren S auch infrastrukturseitige Sensoren S verwendet werden können. Informationsquellen können also vorteilhafterweise priorisiert werden.
  • Ferner kann die Datenvermittlungseinrichtung 31 beispielsweise eine Fehlerkorrektur von der ersten Komponente 33 anfordern und beispielsweise eine höhere Taktung anfordern. Außerdem können auch Steuerungsmechanismen aktiviert werden, die beispielsweise eine Bremsung und/oder Stabilisierung einer Lenkung anfordern und aktivieren. Diese Steuerungsmechanismen initiieren Funktionen, um zusätzliche Daten zeitgerecht bereitzustellen, eine dynamische Arbitrierung zu initiieren oder eine Funktionsdegradation einzuleiten. Unter einer Arbitrierung versteht man ein Zugangsverfahren für Netzwerke, bei dem sich Nutzer nach einer gegenseitigen Vereinbarung ein Zugangsrecht zuteilen.
  • 3 zeigt schematisch Verfahrensschritte 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51 eines Verfahrens 40 zum Betreiben des Systems 200. Das Verfahren 40 wird im Wesentlichen für lediglich eine erste Komponente 33 und lediglich eine zweite Komponente 34 erläutert. Das Verfahren 40 gilt jedoch analog für eine Mehrzahl von ersten und zweiten Komponenten 33, 34.
  • In einem ersten Verfahrensschritt 41 wird geprüft, ob ein Überwachungssignal über die Datenverbindung zur zweiten Komponente 34 im Grundtakt 38 von der zweiten Komponente 34 empfangen wird. Dies erfolgt durch das Überwachungsmodul 32. In einem optionalen zweiten Verfahrensschritt 42 wird der Empfangstaktbedarfs in Form eines ganzzahligen Vielfachen des Grundtakts 38 von der zweiten Komponente 34 bereitgestellt. In einem dritten Verfahrensschritt 43 wird der Empfangstaktbedarf, innerhalb dessen Daten von der zweiten Komponente 34 empfangen werden sollen, empfangen. Hierbei empfängt die Datenvermittlungseinrichtung 31 den Empfangstaktbedarf.
  • In einem optionalen vierten Verfahrensschritt 44 wird ein höchstens dem Empfangstaktbedarf entsprechender Sendetaktbedarf von der Datenvermittlungseinrichtung 31 an die erste Komponente 33 übermittelt. In einem optionalen fünften Verfahrensschritt 45 werden von der ersten Komponente 33 gesendete Daten von der Datenvermittlungseinrichtung 31 empfangen. In einem optionalen sechsten Verfahrensschritt 46 wird zumindest ein Teil der empfangenen Daten zur zweiten Komponente 34 zugeordnet. Dies erfolgt durch die Datenvermittlungseinrichtung 31. In einem siebten Verfahrensschritt 47 werden Daten in einem dem Empfangstaktbedarf entsprechenden Grundtakt 38 oder in einem dem Empfangsbedarf entsprechenden ganzzahligen Vielfachen des Grundtakts 38 von der Datenvermittlungseinrichtung 31 an die zweite Komponente 34 übermittelt. Erfolgt der optionale sechste Verfahrensschritt 46, so erfolgt im siebten Verfahrensschritt 47 das Übermitteln der zugeordneten Daten an die zweite Komponente 34.
  • In einem achten Verfahrensschritt 48 wird geprüft, ob an die zweite Komponente 34 übermittelte Daten im Empfangstaktbedarf empfangen werden. Ist dies der Fall, werden im Empfangstaktbedarf empfangenen Daten in einem neunten Verfahrensschritt 49 von der zweiten Komponente 34 zur Ausführung der zumindest einen teilweise automatisierten Fahrfunkton verwendet. Sollte das Prüfen im achten Verfahrensschritt 48 ergeben, dass die Daten von der zweiten Komponente 34 nicht im Empfangstaktbedarf empfangen werden, wird in einem optionalen zehnten Verfahrensschritt 50 eine Fehlermeldung übermittelt. In diesem Fall werden in einem optionalen elften Verfahrensschritt 51 Daten gemäß einem als sicher festgelegten Prinzip an die zweite Komponente 34 übermittelt. Diese Daten werden dann im neunten Verfahrensschritt 49 von der zweiten Komponente 34 zur Ausführung der zumindest einen teilweise automatisierten Fahrfunkton verwendet.
  • 4 zeigt schematisch ein Computerprogrammprodukt 52 umfassend Befehle 53, die bei Ihrer Ausführung auf einem Computer, diesen dazu veranlassen, ein Verfahren 40 durchzuführen. Das Computerprogrammprodukt 52 kann beispielsweise auf einem maschinenlesbaren Speichermedium 54 gespeichert sein.

Claims (15)

  1. System (200) zum Überwachen einer Wirkkette (100) mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs (20), aufweisend eine Datenvermittlungseinrichtung (31) und ein Überwachungsmodul (32), wobei die Datenvermittlungseinrichtung (31) zum Vermitteln eines Datenaustauschs zwischen zumindest einer ersten Komponente (33) innerhalb der Wirkkette (100) und zumindest einer zweiten Komponente (34) innerhalb der Wirkkette (100) eingerichtet ist, wobei das Überwachungsmodul (32) dazu eingerichtet ist, zu prüfen, ob ein Überwachungssignal über eine Datenverbindung zur zweiten Komponente (34) in einem Grundtakt (38) von der zweiten Komponente (34) empfangen wird, wobei die Datenvermittlungseinrichtung (31) dazu eingerichtet ist, einen Empfangstaktbedarf, innerhalb dessen Daten von der zweiten Komponente (34) empfangen werden sollen, von der zweiten Komponente (34) zu empfangen und Daten in einem dem Empfangstaktbedarf entsprechenden Grundtakt (38) oder einem dem Empfangstaktbedarf entsprechenden ganzzahligen Vielfachen des Grundtakts (38) an die zweite Komponente (34) zu übermitteln, wobei das Überwachungsmodul (32) dazu eingerichtet ist, zu prüfen, ob an die zweite Komponente (34) übermittelte Daten im Empfangstaktbedarf empfangen werden und im Empfangstaktbedarf empfangene Daten zur Verwendung durch die zweite Komponente (34) freizugeben.
  2. System (200) gemäß Anspruch 1, wobei die Datenvermittlungseinrichtung (31) dazu eingerichtet ist, einen höchstens dem Empfangstaktbedarf entsprechenden Sendetaktbedarf, in dem die erste Komponente (33) Daten an die Datenvermittlungseinrichtung (31) senden soll, an die erste Komponente (33) zu übermitteln.
  3. System (200) gemäß einem der vorhergehenden Ansprüche, wobei die zweite Komponente (34) dazu eingerichtet ist, den Empfangstaktbedarf in Form des Grundtakts (38) oder eines ganzzahligen Vielfachen des Grundtakts (38) bereitzustellen.
  4. System (200) gemäß einem der vorhergehenden Ansprüche, wobei die Datenvermittlungseinrichtung (31) für eine Vermittlung eines Datenaustauschs zwischen einer Mehrzahl von ersten Komponenten (33) innerhalb der Wirkkette (100) und einer Mehrzahl von zweiten Komponenten (34) innerhalb der Wirkkette (100) eingerichtet ist, wobei die Datenvermittlungseinrichtung (31) dazu eingerichtet ist, von den ersten Komponenten (33) gesendete Daten zu empfangen, den zweiten Komponenten (34) jeweils zumindest einen Teil der empfangenen Daten zuzuordnen und die zugeordneten Daten jeweils an die zweiten Komponenten (34) zu übermitteln.
  5. System (200) gemäß einem der vorhergehenden Ansprüche, wobei das Überwachungsmodul (32) Bestandteil der zweiten Komponente (34) ist oder unmittelbar an der zweiten Komponente (34) angeordnet ist.
  6. System (200) gemäß einem der vorhergehenden Ansprüche, wobei die zweite Komponente ein Aktor (A) ist. wobei der Aktor (A) dazu eingerichtet ist, Führungsgrößen, Störgrößen und/oder redundante Parameter zu empfangen und die zumindest eine teilweise automatisierte Fahrfunktion des Kraftfahrzeugs (20) auf Basis der Führungsgrößen, der Führungsgrößen und der redundanten Parameter auszuführen.
  7. System (200) gemäß einem der vorhergehenden Ansprüche, wobei das Überwachungsmodul (32) dazu eingerichtet ist, im Falle, dass die Daten von der zweiten Komponente (34) nicht im Empfangstaktbedarf empfangen werden, eine Fehlermeldung an die Datenvermittlungseinrichtung (31) zu übermitteln, wobei die Datenvermittlungseinrichtung (31) dazu eingerichtet ist, auf Basis der Fehlermeldung Daten gemäß einem als sicher festgelegten Prinzip an die zweite Komponente (34) zu übermitteln.
  8. System (200) gemäß einem der vorhergehenden Ansprüche, wobei die Komponenten der Wirkkette (100) Elemente aus folgender Gruppe von Elementen aufweisen: Sensor (S), Sendeeinrichtung (2), Empfangseinrichtung (11), Erfassungseinrichtung (1, 12), Steuereinrichtung (13), Aktor (A).
  9. Kraftfahrzeug (20), mit einem System (200) gemäß einem der vorhergehenden Ansprüche.
  10. Verfahren (40) zum Betreiben eines Systems (200) gemäß einem der vorhergehenden Ansprüche 1 bis 8 mit folgenden Verfahrensschritten: - Prüfen, ob ein Überwachungssignal über eine Datenverbindung zur zweiten Komponente (34) in einem Grundtakt (38) von der zweiten Komponente (34) empfangen wird, - Empfangen eines Empfangstaktbedarfs, innerhalb dessen Daten von der zweiten Komponente (34) empfangen werden sollen, - Übermitteln von Daten in einem dem Empfangstaktbedarf entsprechenden Grundtakt (38) oder einem dem Empfangsbedarf entsprechenden ganzzahligen Vielfachen des Grundtakts (38) an die zweite Komponente (34), - Prüfen, ob an die zweite Komponente (34) übermittelte Daten im Empfangstaktbedarf empfangen werden, - Verwenden von im Empfangstaktbedarf empfangenen Daten.
  11. Verfahren (40) gemäß Anspruch 10 mit folgendem zusätzlichen Verfahrensschritt: - Übermitteln eines höchstens dem Empfangstaktbedarf entsprechenden Sendetaktbedarfs an die erste Komponente (33).
  12. Verfahren (40) gemäß einem der Ansprüche 10 oder 11 mit folgendem zusätzlichen Verfahrensschritt: - Bereitstellen des Empfangstaktbedarfs in Form eines ganzzahligen Vielfachen des Grundtakts (38).
  13. Verfahren (40) gemäß einem der Ansprüche 10 bis 12 mit folgendem zusätzlichen Verfahrensschritt: - Empfangen von von der ersten Komponente (33) gesendeten Daten, - Zuordnen zumindest eines Teils der empfangenen Daten zur zweiten Komponente (34), - Übermitteln der zugeordneten Daten an die zweite Komponente (34).
  14. Verfahren (40) gemäß einem der Ansprüche 10 bis 13 mit folgendem zusätzlichen Verfahrensschritt im Falle, dass die Daten von der zweiten Komponente (34) nicht im Empfangstaktbedarf empfangen werden: - Übermitteln einer Fehlermeldung, - Übermitteln von Daten gemäß einem als sicher festgelegten Prinzip an die zweite Komponente (34) auf Grundlage der Fehlermeldung.
  15. Computerprogrammprodukt (52), umfassend Befehle (53), die bei Ihrer Ausführung auf einem Computer, diesen dazu veranlassen, ein Verfahren (40) gemäß einem der Ansprüche 10 bis 14 durchzuführen.
DE102021209684.0A 2021-09-03 2021-09-03 System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems Pending DE102021209684A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102021209684.0A DE102021209684A1 (de) 2021-09-03 2021-09-03 System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems
US17/896,256 US20230075731A1 (en) 2021-09-03 2022-08-26 System for monitoring an event chain including components for carrying out at least one semiautomated driving function of a motor vehicle and method for operating the system
CN202211064261.0A CN115743152A (zh) 2021-09-03 2022-09-01 用于监控作用链的系统和用于运行系统的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021209684.0A DE102021209684A1 (de) 2021-09-03 2021-09-03 System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems

Publications (1)

Publication Number Publication Date
DE102021209684A1 true DE102021209684A1 (de) 2023-03-09

Family

ID=85226518

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021209684.0A Pending DE102021209684A1 (de) 2021-09-03 2021-09-03 System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems

Country Status (3)

Country Link
US (1) US20230075731A1 (de)
CN (1) CN115743152A (de)
DE (1) DE102021209684A1 (de)

Also Published As

Publication number Publication date
CN115743152A (zh) 2023-03-07
US20230075731A1 (en) 2023-03-09

Similar Documents

Publication Publication Date Title
EP2974156B1 (de) Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP2972607B1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
EP2033375B1 (de) Verfahren zum übertragen von messdaten und sensoreinrichtung
DE10223880B4 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
DE102013007857B4 (de) Verfahren zum Betrieb eines Bremssystems beim vollautomatischen Fahren und Kraftfahrzeug
DE102014220781A1 (de) Ausfallsichere E/E-Architektur für automatisiertes Fahren
EP2087646B1 (de) Vorrichtung und verfahren zur manipulation von kommunikations-botschaften
DE102020116410A1 (de) Vorrichtung zur Steuerung einer Bremse eines autonomen Fahrzeugs
DE102013020177A1 (de) Kraftfahrzeug
EP1763454A1 (de) Redundantes datenbussystem
DE102012210057A1 (de) Ringförmiges Netzwerk für ein Fahrzeug
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP3371025B1 (de) Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug
DE102018118568A1 (de) Redundante aktive steuerungssystemkoordination
EP3211533A1 (de) Fehlertolerante systemarchitektur zur steuerung einer physikalischen anlage, insbesondere einer maschine oder eines kraftfahrzeugs
DE102007059687A1 (de) Sicherheitskonzept für einen intelligenten Aktor
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102020211557A1 (de) Verfahren und Steuergerät zum Steuern einer Funktionseinheit zur Führung eines Fahrzeugs und Fahrzeugsystem für ein Fahrzeug
DE102021209684A1 (de) System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems
DE102016203966A1 (de) Steuereinheit und Verfahren zur Ansteuerung von zumindest einem Aktuator eines Fahrzeugs
DE112016006679B4 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE102004058996A1 (de) Verfahren und Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand
DE102019217035A1 (de) Verfahren zur Sicherung der Zeitsynchronisation in einem Netzwerk gegen unautorisierte Änderungen

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000