DE102022205944A1 - Verfahren zum Betreiben einer Robotervorrichtung - Google Patents

Verfahren zum Betreiben einer Robotervorrichtung Download PDF

Info

Publication number
DE102022205944A1
DE102022205944A1 DE102022205944.1A DE102022205944A DE102022205944A1 DE 102022205944 A1 DE102022205944 A1 DE 102022205944A1 DE 102022205944 A DE102022205944 A DE 102022205944A DE 102022205944 A1 DE102022205944 A1 DE 102022205944A1
Authority
DE
Germany
Prior art keywords
monitoring
robot device
functions
external
operating mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022205944.1A
Other languages
English (en)
Inventor
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022205944.1A priority Critical patent/DE102022205944A1/de
Priority to PCT/EP2023/064497 priority patent/WO2023241910A1/de
Publication of DE102022205944A1 publication Critical patent/DE102022205944A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Gemäß verschiedenen Ausführungsformen wird ein Verfahren zum Betreiben einer Robotervorrichtung beschrieben, aufweisend Senden, an eine zur Robotervorrichtung externen Überwachungseinrichtung, von Sensordaten zur Überwachung eines Istwerts für eine physikalische Größe, die beim Betrieb der Robotervorrichtung in oder an der Robotervorrichtung auftritt, auf der Grundlage eines Sollwerts für die physikalische Größe, durch die externe Überwachungseinrichtung, Aktivieren, falls bei der Überwachung festgestellt wird, dass die Abweichung zwischen Istwert und Sollwert eine vorgegebene Schwelle überschreitet, eines abgesicherten Betriebsmodus der Robotervorrichtung; Überprüfen, ob ein oder mehrere Funktionen zur Ermittlung des Sollwerts und des Istwerts und zur Überwachung des Istwerts, die zumindest teilweise in der externen Überwachungseinrichtung durchzuführen sind, durchgeführt wurden und Aktivieren des abgesicherten Betriebsmodus, falls detektiert wird, dass die ein oder mehreren Funktionen nicht durchgeführt worden sind.

Description

  • Stand der Technik
  • Die vorliegende Offenbarung bezieht sich auf Verfahren zum Betreiben einer Robotervorrichtung.
  • Offenbarung der Erfindung
  • Die in Software umgesetzten Funktionalitäten für den Betrieb von Robotervorrichtungen hat für einige Anwendungen, z.B. für die Steuerung eines Fahrzeugs, einen beträchtlichen Umfang erreicht.
  • Beispielsweise beschreibt die Veröffentlichung „Standardisiertes E-Gas Überwachungskonzept für Benzin und Diesel Motorsteuerungen“, Arbeitskreis EGAS, 08.07.2015, Version 6.0, im Folgenden als Referenz 1 bezeichnet, verschiedene Funktionen für die Motorsteuerung und deren Überwachung, die in drei Ebenen, („Ebene 1“ bis „Ebene 3“) eingeteilt sind.
  • Es sind Herangehensweisen wünschenswert, die es ermöglichen, solche Funktionen in Robotervorrichtungen, insbesondere (z.B. mobilen) Robotervorrichtungen mit eingeschränkten Verarbeitungsressourcen, effizient und zuverlässig zu implementieren.
  • Gemäß verschiedenen Ausführungsformen wird ein Verfahren zum Betreiben einer Robotervorrichtung bereitgestellt, aufweisend Senden, an eine zur Robotervorrichtung externen Überwachungseinrichtung, von Sensordaten zur Überwachung eines Istwerts für eine physikalische Größe, die beim Betrieb der Robotervorrichtung in oder an der Überwachung eines Istwerts für eine physikalische Größe, die beim Betrieb der Robotervorrichtung in oder an der Robotervorrichtung auftritt, auf der Grundlage eines Sollwerts für die physikalische Größe, durch die externe Überwachungseinrichtung, Aktivieren, falls bei der Überwachung festgestellt wird, dass die Abweichung zwischen Istwert und Sollwert eine vorgegebene Schwelle überschreitet, eines abgesicherten Betriebsmodus der Robotervorrichtung, Überprüfen, ob ein oder mehrere Funktionen zur Ermittlung des Sollwerts und des Istwerts und zur Überwachung des Istwerts, die zumindest teilweise in der externen Überwachungseinrichtung durchzuführen sind, durchgeführt wurden und Aktivieren des abgesicherten Betriebsmodus, falls detektiert wird, dass die ein oder mehreren Funktionen nicht durchgeführt worden sind.
  • Das oben beschriebene Verfahren gewährleistet die Sicherheit bei der Auslagerung einer Überwachungsfunktion in einer externe Überwachungseinrichtung, d.h. in ein externes System wie ein Edge-Computing-Netzwerk oder eine Cloud.
  • Im Folgenden werden verschiedene Ausführungsbeispiele angegeben.
  • Ausführungsbeispiel 1 ist ein Verfahren zum Betreiben einer Robotervorrichtung, wie oben beschrieben.
  • Ausführungsbeispiel 2 ist ein Verfahren nach Ausführungsbeispiel 1, ferner aufweisend Überprüfen, ob eine Kommunikationsverbindung zwischen der Überwachungseinrichtung und der Robotervorrichtung, über die die Überwachungseinrichtung die Aktivierung der Sicherheitsmaßnahme auslösen kann, besteht und Aktivieren des sicheren Betriebsmodus, falls die Kommunikationsverbindung unterbrochen ist.
  • Dies erhöht weiter die Sicherheit der Auslagerung der Überwachungsfunktion, da vermieden wird, dass der sichere Betriebsmodus nicht aktiviert wird (obwohl es nötig wäre), da die Konnektivität zwischen Robotervorrichtung und externer Überwachungseinrichtung verloren gegangen ist.
  • Ausführungsbeispiel 3 ist ein Verfahren nach Ausführungsbeispiel 1 oder 2, wobei die ein oder mehreren Funktionen in einer Sequenz durchzuführen sind und überprüft wird, ob ein oder mehrere Funktionen ausgeführt wurden, indem geprüft wird, ob eine der Sequenz zugeführter Anfrage-Nachricht, die von jeder der Funktionen bei Ausführung der Funktion verarbeitet wird, von der Sequenz zu einer erwarteten Antwort verarbeitet wurde.
  • Dies ermöglicht einen effektiven Test der Verarbeitungskette inklusive der extern ausgeführten Funktionen, d.h. eine Ablaufkontrolle, die die ausgelagerten Funktionen mit einbezieht.
  • Ausführungsbeispiel 4 ist ein Verfahren nach einem der Ausführungsbeispiele 1 bis 3, aufweisend, vor der Überwachung, Prüfen, ob die externe Verarbeitungseinrichtung den abgesicherten Betriebsmodus der Robotervorrichtung aktivieren kann, und Ausgeben eines Fehlersignals, falls die externe Verarbeitungseinrichtung den abgesicherten Betriebsmodus der Robotervorrichtung nicht aktivieren kann.
  • Dadurch kann sichergestellt werden, dass die Aktivierung des abgesicherten Betriebsmodus möglich ist, wenn die Überwachung ergibt, dass er aktiviert werden soll.
  • Ausführungsbeispiel 5 ist ein Verfahren nach Ausführungsbeispiel 4, aufweisend Durchführen der Überwachung in der Robotervorrichtung, falls die externe Verarbeitungseinrichtung den abgesicherten Betriebsmodus der Robotervorrichtung nicht aktivieren kann.
  • Damit ist auch für den Fall, dass die externe Verarbeitungseinrichtung den abgesicherten Betriebsmodus nicht aktivieren kann, ein Betrieb mit Überwachung möglich.
  • Ausführungsbeispiel 6 ist ein Roboterüberwachungssystem, das eingerichtet ist, ein Verfahren nach einem der Ausführungsbeispiele 1 bis 5 durchzuführen.
  • Das Roboterüberwachungssystem beinhaltet Komponenten der Robotervorrichtung und kann auch die externe Überwachungseinrichtung beinhalten.
  • Ausführungsbeispiel 7 ist ein Computerprogramm mit Befehlen, die, wenn sie durch einen Prozessor ausgeführt werden, bewirken, dass der Prozessor ein Verfahren nach einem der Ausführungsbeispiele 1 bis 5 durchführt.
  • Ausführungsbeispiel 8 ist ein Computerlesbares Medium, das Befehle speichert, die, wenn sie durch einen Prozessor ausgeführt werden, bewirken, dass der Prozessor ein Verfahren nach einem der Ausführungsbeispiele 1 bis 5 durchführt.
  • In den Zeichnungen beziehen sich ähnliche Bezugszeichen im Allgemeinen auf dieselben Teile in den ganzen verschiedenen Ansichten. Die Zeichnungen sind nicht notwendigerweise maßstäblich, wobei die Betonung stattdessen im Allgemeinen auf die Darstellung der Prinzipien der Erfindung gelegt wird. In der folgenden Beschreibung werden verschiedene Aspekte mit Bezug auf die folgenden Zeichnungen beschrieben.
    • 1 zeigt ein Fahrzeug.
    • 2 veranschaulicht eine Architektur zur Auslagerung einer Überwachungsfunktion in ein externes System (Cloud oder Edge) aus einem Fahrzeug über eine drahtlose Verbindung.
    • 3 zeigt eine Ausführungsform, bei der Diagnosefunktionen für die Eingangsdaten in dem externen System erfolgen.
    • 4 zeigt eine Ausführungsform, in der neben den Diagnosefunktionen auch Applikationsfunktionen in das externe System verschoben und dort überwacht werden.
    • 5 zeigt ein Ablaufdiagramm, das ein Verfahren zum Betreiben einer Robotervorrichtung veranschaulicht.
  • Die folgende ausführliche Beschreibung bezieht sich auf die begleitenden Zeichnungen, die zur Erläuterung spezielle Details und Aspekte dieser Offenbarung zeigen, in denen die Erfindung ausgeführt werden kann. Andere Aspekte können verwendet werden und strukturelle, logische und elektrische Änderungen können durchgeführt werden, ohne vom Schutzbereich der Erfindung abzuweichen. Die verschiedenen Aspekte dieser Offenbarung schließen sich nicht notwendigerweise gegenseitig aus, da einige Aspekte dieser Offenbarung mit einem oder mehreren anderen Aspekten dieser Offenbarung kombiniert werden können, um neue Aspekte zu bilden.
  • Im Folgenden werden verschiedene Beispiele genauer beschrieben.
  • 1 zeigt ein Fahrzeug 101.
  • Im Beispiel von 1 ist ein Fahrzeug 101, beispielsweise ein PKW oder LKW, mit einer Fahrzeugsteuereinrichtung (z.B. bestehend aus einer oder mehreren Electronic Control Units (ECU)) 102 versehen.
  • Die Fahrzeugsteuereinrichtung 102 weist Datenverarbeitungskomponenten auf, z.B. einen Prozessor (z.B. eine CPU (Zentraleinheit)) 103 und einen Arbeitsspeicher 104 zum Speichern von Steuersoftware 107, gemäß der die Fahrzeugsteuereinrichtung 102 arbeitet, und Daten, die von dem Prozessor 103 verarbeitet werden. Die Fahrzeugsteuereinrichtung 102 kann mehrere Datenverarbeitungsvorrichtungen aufweisen (z.B. ECUs), die über ein internes Kommunikationsnetz (z.B. einen CAN-Bus) miteinander verbunden sind. Diese können die Steuerungssoftware 107 auch verteilt ausführen.
  • Beispielsweise weist die gespeicherte Steuerungssoftware (Computerprogramm) Anweisungen auf, die, wenn der Prozessor sie ausführt (oder mehrere Prozessoren sie verteilt ausführen), bewirken, dass der Prozessor 103 (oder die Prozessoren) Fahrerassistenz-Funktionen ausführt (oder auch Fahrdaten sammelt) oder sogar das Fahrzeug autonom steuert.
  • Zukünftige Fahrzeug-E/E-Architekturen werden voraussichtlich stark mit externen Systemen, z.B. Cloud, Edge, anderen Fahrzeugen, Smart Devices, vernetzt sein, da z.B. auf Basis der 5G-Technologie die Kommunikation zwischen den Systemen mit sehr geringer Latenz erfolgen kann. Das wird die Möglichkeit bieten, während des Fahrbetriebs Ressourcen außerhalb des Fahrzeugs zu nutzen, um z.B. Funktionen auszulagern oder externe Sensorik in die Bildung des eigenen Umfeldmodells einzubinden. Je nach Auslagerungsgrad ist denkbar, dass auch die Überwachung von Fahrzeugfunktionen (z.B. Motorsteuerung) nach außen (z.B. Cloud, Edge) vergeben bzw. durch externe Systeme unterstützt wird.
  • Beispielsweise kann das Fahrzeug 101 (praktisch dauerhaft, oder zumindest für große Zeitabschnitte seines Betriebs) die mit einem externen System 105 wie z.B. einem oder mehreren Servern einer Cloud oder einer Edge-Computing Plattform vernetzt sein (hier über ein Kommunikationsnetz 106) und eine Kommunikation zwischen dem Fahrzeug 101 (allgemein einer Robotervorrichtung, insbesondere einer mobilen Robotervorrichtung) und dem externen System 105 mit geringer Latenz bereitgestellt werden (z.B. mittels 5G).
  • Gemäß verschiedenen Ausführungsformen wird eine Überwachungsfunktionalität, die insbesondere einen Vergleich eines Istwerts mit einem Sollwert oder einem Schwellwert (der z.B. eine maximale Abweichung von einem Sollwert repräsentiert) beinhaltet, ausgelagert, also im Beispiel von 1 in dem externen System 105, z.B. einer Cloud, statt intern im Fahrzeug 101, ausgeführt.
  • Dies beinhaltet Sicherheitsfunktionalitäten für die Cloud-basierte (oder Edgebasierte) (Funktion-)Überwachung von Fahrzeugsystemen, wie z.B. die Motorsteuerung. Im Folgenden wird als Beispiel eine Architektur beschrieben, mit der die Funktionsüberwachung (d.h. die Funktionalität der Ebene 2 im Sinne von Referenz 1) von einem Fahrzeug 101 (allgemein einer Robotervorrichtung) in ein externes System 105 (z.B. eine Cloud) verschoben werden kann.
  • Damit können die Ressourcen für die Ebene 2-Anteile der Steuerung (Software (SW) und Hardware (HW), z.B. reservierter Speicherbereich) im Fahrzeug 101 eingespart werden. Hierbei können Ressourcen des externen Systems 105 auch mehrfach genutzt werden, z.B. wechselnd für sich im Betrieb befindliche Fahrzeuge, eventuell auch parallel für mehrere Fahrzeug.
  • Durch die Auslagerung kann auch die Auswirkung fahrzeuginterner latenter Fehler (z.B. dauerhaft korrupter Speicherbereiche) und transienter Fehler (z.B. temporär, z.B. durch Alpha-Teilchen, veränderter Speicherbereiche) reduziert werden, die zur Reduzierung der Verfügbarkeit fahrzeuginterner Ressourcen führen können, da weniger fahrzeuginterne HW-Ressourcen (z.B. für die Überwachung reservierter Speicherbereich) genutzt werden.
  • Damit reduzieren sich auch weiter die fahrzeugintern notwendigen Maßnahmen zur Gewährleistung der „Freedom from Interference“ (FFI) zwischen der ASIL X-Sicherheits-Software (Ebene 2) und der QM(Quality Management)-Anwendungs-Software, da eine physische Trennung über die kabellose Schnittstelle (d.h. das Netzwerk 106) erfolgt. Außerdem können Eingriffe von Ebene 1-SW in die Ebene 3-SW (im Sinne der Referenz 1) in der Cloud erkannt werden.
  • Anpassungen der Überwachungsfunktion, die durch Änderungen in der Anwendungs-Software (SW-Updates oder Konfigurationsänderungen) notwendig werden, können rein in dem externen System 105 erfolgen.
  • Alle HW-bezogenen Anteile der Überwachung (z.B. I/O Pins, Bus, uC) können im Feld (d.h. z.B. beim eingesetzten Fahrzeug) unverändert bleiben und können durch die beschriebene Architektur ausreichend abgesichert werden.
  • Durch die Auslagerung von Überwachungsfunktionalität kann diese selbst umfangreicher und detaillierter und damit rechenintensiver gestaltet werden, da Ressourcen im externen System 105 (wie einer Cloud) erheblich weniger beschränkt sind als im Fahrzeug 101.
  • Bei der Bestimmung der passenden (sicheren) Fehlerreaktion können Kontextinformationen (z.B. Fahrzeugumgebung), die (nur) in dem externen System 105 verfügbar sind, berücksichtigt werden (z.B. keine sofortige Abschaltung bei Fehler, falls keine Gefahr besteht). Dies kann auch in einer hybriden Variante genutzt werden: Das externe System 105 greift nur - mit engeren Überwachungsgrenzen - ein, wenn sich das Fahrzeug in einer seltenen E1- oder E2-Situation (nach der Klassifikation von Häufigkeiten von Situationen gemäß ISO 26262) befindet, die engere Grenzen benötigt.
  • Die Überwachungsfunktionalität kann von dem externen System 105 als Service angeboten werden (z.B. mit einem entsprechenden Preismodell (z.B. pay-peruse)).
  • Gemäß verschiedenen Ausführungsformen beinhaltet die Architektur eine abstrahierte Schnittstelle zwischen dem Fahrzeug 101 und dem externen System 105 wodurch der Einsatz von austauschbaren ECU-HW-Modulen je Fahrzeug (z.B. SoCs mit höherer Rechenleistung) unterstützt wird, da die funktionale Überwachung unabhängig von der konkreten fahrzeuginternen HW im externen System 105 erfolgen kann.
  • 2 veranschaulicht eine Architektur zur Auslagerung einer Überwachungsfunktion 201 in ein externes System (Cloud oder Edge) aus einem Fahrzeug über eine drahtlose Verbindung 202.
  • Die Funktionen der Ebenen 1, 2, 3 im Sinne von Referenz 1 sind mit L1, L2 bzw. L3 gekennzeichnet. Die Funktionen unterhalb der gestrichelten Linie, die die Verbindung 202 kennzeichnet, werden im Fahrzeug bereitgestellt und die Funktionen oberhalb der gestrichelten Linie im externen System.
  • Im Fahrzeug werden Eingaben 203 für die Überwachung erzeugt und geliefert, z.B. über eine Bus-Schnittstelle (z.B. CAN), eine digitale Sensorschnittstelle (SPI), einen analoge Sensorschnittstelle (mit einem Analog-Digital-Wandler ADC) oder über Variablenwerte in einem RAM.
  • Diese werden dann zunächst von einer HW-Eingabediagnostikeinrichtung 204 überprüft (z.B. bei redundanten Sensoren darauf, dass die Sensordaten zusammenpassen). Die HW-Eingabediagnostikeinrichtung 204 hat beispielsweise Funktionen für eine Bus-Diagnostik 205, Schnittstellen-Diagnostik 206, ADC-Diagnostik 207 und RAM-Diagnostik 208.
  • Die überprüften Ergebnisse liefert die HW-Eingabediagnostikeinrichtung 204 an eine Konnektivitätssteuereinheit (CCU) 218, die sie, ggf. zusammen mit Metadaten wie Anforderungen von Systemen im Fahrzeug, als Daten 209 an die Überwachungsfunktion 201 übermittelt.
  • Außerdem liefert die HW-Eingabediagnostikeinrichtung 204 die überprüften Eingabedaten an eine Applikationssoftware 210. Diese erzeugt ein oder mehrere Applikationsergebnisse, beispielsweise einen Sollwert (z.B. ein mittels des Gaspedals eingestelltes Moment). Diese wird von der Konnektivitätssteuereinheit 218 an das externe System geliefert.
  • Die Bereitstellung der Daten 209 und der Applikationsergebnisse 211 von der Konnektivitätssteuereinheit 218 an das externe System erfolgt beispielsweise als Service.
  • Stellt die Überwachungsfunktion 201 einen Fehler fest (z.B. ein mittels des Gaspedals eingestelltes Moment weicht stark von einem erzeugten Moment, das sie aus den in den Daten 206 enthaltenen Messdaten ermittelt, ab), so schickt sie ein Fehlersignal an einen Abschalt-Manager 212. Dieser informiert über eine durch die Konnektivitätssteuereinheit 205 bereitgestellte Watchdog-Kommunikationsfunktionalität 213 einen Watchdog (WD) 214 im Fahrzeug der bei einem Fehler eine Abschaltung oder Einschränkung 215 von Funktionen des Fahrzeugs vornimmt (d.h. einen abgesicherten Betriebsmodus aktiviert), z.B. mittels ein oder mehrere Hardware-Signale an ein Relais, eine Stromversorgungsstufe, einen Bus-Transceiver, einen Schalter (z.B. IGBT) etc. Beispielsweise kann die Geschwindigkeit des Fahrzeugs reduziert werden oder im Falle eines autonomen Fahrzeugs das Fahrzeug an den Rand fahren und anhalten.
  • Die Watchdog-Kommunikationsfunktionalität 213 und der Watchdog 214 stellen so einen sicheren, von außen aktivierbaren Abschaltpfad bzw. Übergangspfad (für einen Übergang in einen sicheren Zustand (z.B. Abschaltung Stromversorgung Endstufen, Deaktivierung Bus-Kommunikation) aus dem externen System bereit.
  • Das externe System, insbesondere die Komponenten, die die Überwachungsfunktion 201 und den Abschalt-Manager 212 implementieren, kann als Überwachungseinrichtung angesehen werden, die extern zu der Robotervorrichtung ist.
  • Es kann vorgesehen sein, dass der Abschaltpfad auf latente Fehler geprüft werden kann (d.h. darauf, ob über den Watchdog 214 die Abschaltung oder Einschränkung 215 vorgenommen werden kann). Diese Prüfung wird z.B. zu Beginn eines Betriebszyklus vorgenommen und kann auch aus dem externen System durchgeführt werden, z.B. durch den Abschalt-Manager 212.
  • Außerdem kann vorgesehen sein, dass die Überwachungsfunktion 201 auch das Verhalten eines digitalen Zwillings (DT für Digital Twin) 222 in die Überwachung einbezieht bzw. aus dem digitalen Zwilling selbst eine Anforderung für eine Abschaltung oder Einschränkung an den Abschalt-Manager 212 gegeben wird, der den Watchdog 214 entsprechend benachrichtigt.
  • Das Kommunikationsmodul, d.h. die Konnektivitätssteuereinheit 218 kommuniziert nach außen und gibt Nachrichten aus der dem externen System intern weiter. In die Konnektivitätssteuereinheit 218 ist beispielsweise ein SW-Modul integriert, das die Watchdog-Kommunikationsfunktionalität 213 bereitstellt, d.h. mit dem Watchdog 214 kommuniziert, wobei bei Ausfall des Kommunikationsmoduls (und damit dem Ausfall des Durchgriffs aus dem externen System auf das Fahrzeug) der Watchdog 214 automatisch getriggert wird, sodass er die Abschaltung oder Einschränkung 215 vornimmt.
  • Alternativ kann der Watchdog 214 auch Teil der CCU 218 sein bzw. die CCU 218 einen direkten Durchgriff auf den Abschaltpfad (z.B. Endstufen, Kommunikations-Bus) haben.
  • Im Fahrzeug ist weiterhin eine Hardware-Diagnostik/FFI-Einrichtung 216 vorgesehen, die eine Funktion 217 zur Diagnose von internen Hardwarekomponenten wie z.B. Prozessoren (CPU, TPU, GPU etc.) und zur Gewährleistung von FFI aufweist.
  • 3 zeigt eine Ausführungsform, bei der Diagnosefunktionen für die Eingangsdaten im externen System 301 erfolgen. Beispielsweise kann das externen System folgende Diagnosefunktionen ausführen:
    • • Bus (CAN, SPI): Prüfung über End-to-End-Absicherungsmaßnahmen, z.B. Prüfsumme (Korrektheit) und/oder Frame-Counter (Timing)
    • • Sensordaten: Plausibilitätscheck einzelner oder mehrerer Sensoren auf Basis von Redundanz und/oder eines physikalischen Modells, z.B. zwei unabhängige Messungen (Drehzahl, Strom, Spannung, Moment, ...)
    • • RAM: z.B. Vergleich Doppelablage
  • Damit können, falls jeweilige Voraussetzungen erfüllt sind (z.B. End-to-End-Absicherungsmaßnahmen in Bus-Nachrichten, Verfügbarkeit von Sicherheitsmetadaten, Plausibilisierungsmöglichkeit über ein physikalisches Modell) die Diagnose der Eingangsgrößen in die Überwachung ebenfalls teilweise oder ganz in das externe System 105 verschoben werden.
  • 4 zeigt eine Ausführungsform, in der neben den Diagnosefunktionen 401 auch Applikationsfunktionen 402 (Ebene 1) in das externe System verschoben und dort überwacht (Ebene 2) werden.
  • Unabhängig davon, welche Funktionen ausgelagert werden, werden gemäß verschiedenen Ausführungsformen systeminterne Funktionen und Schnittstellen für die Durchführung einer Ablaufkontrolle im externen System bereitgestellt. Diese sorgen dafür, dass systeminterne Sicherheitsfunktionen wie die Funktionen 205, 206, 207, 208, 218 zur (z.B. HW-)Diagnose und Gewährleistung der FFI ausgeführt wurden. Dazu weist die Architektur eine PFC- und Metadaten-Überwachungseinrichtung 219 auf.
  • In 2 ist die Ablaufkontrolle (PFC für Program Flow Check durch den strichpunktierten Nachrichtenfluss dargestellt.
  • Der Watchdog schickt eine Anfrage-Nachricht 220 („Query“, z.B. einen 8-BitWert) 501 an die internen Komponenten Systems und erwartet eine Antwort („Response“, z.B. 32-Bit) innerhalb eines Zeitfensters. Hier schickt sie die Anfrage-Nachricht 220 zunächst an die Hardware-Diagnostik/FFI-Einrichtung 216, die sie an die HW-Eingabediagnostikeinrichtung 204 weiterleitet. Die HW-Eingabediagnostikeinrichtung 204 schickt die Anfrage-Nachricht 220 weiter an die Überwachungsfunktion 201 und diese an die PFC- und Metadaten-Überwachungseinrichtung 219. Wie in 2 gezeigt, weisen die Funktionen der Hardware-Diagnostik/FFI-Einrichtung 216, der HW-Eingabediagnostikeinrichtung 204 und der Überwachungsfunktion 201 PFC-Funktionen auf, die die Anfrage-Nachricht 220 verarbeiten, auf eine jeweilige vorgegebene Art verarbeiten sodass, wenn die Anfrage-Nachricht 220 alle Funktionen durchlaufen hat, also alle diese Funktionen ausgeführt wurden, die so verarbeitete Anfrage-Nachricht 221 einen bestimmten erwarteten Wert aufweist. Die verarbeitete Anfrage-Nachricht 221 ist nur dann korrekt (d.h. enthält den erwarteten Wert), wenn alle Funktionen, die auf diese Weise PFC-verknüpft sind, in der richtigen Reihenfolge aufgerufen wurden.
  • Die PFC- und Metadaten-Überwachungseinrichtung 219 vergleicht diesen erwarteten Wert mit dem, den die von ihr empfangene verarbeitete Anfrage-Nachricht 221 enthält und gibt entsprechend eine Antwort (über den Abschalt-Manager 212) an den Watchdog. Die Antwort zeigt bei Übereinstimmung der Werte dem Watchdog an, dass die Funktionen ausgeführt wurden, oder bei Abweichung, dass mindestens eine Funktion nicht ausgeführt wurde. Im letzten Fall kann der Watchdog geeignet reagieren, z.B. wiederum eine Abschaltung oder Einschränkung 215 von Funktionen des Fahrzeugs vornehmen oder zumindest einen Fehlerzähler hochzählen und eine Abschaltung oder Einschränkung 215 von Funktionen des Fahrzeugs vornehmen, wenn der Zähler eine Schwelle überschreitet. Auch bei nicht rechtzeitiger Antwort kann der Watchdog auf diese Weise reagieren.
  • Im Beispiel von 2 wird die Antwort (zumindest zum Teil) im externen System berechnet. Dadurch wird durch die PFC auch die Verfügbarkeit des externen Systems geprüft. Die PFC-Funktionalität von der PFC- und Metadaten-Überwachungseinrichtung 219, d.h. den Vergleich der verarbeiteten Anfrage-Nachricht 221 mit dem erwarteten Wert kann aber auch vom Watchdog übernommen werden. Nichtsdestotrotz kann die Anfrage-Nachricht 220 über das externe System geführt werden, um dessen Verfügbarkeit mittels des PFC zu überwachen.
  • Die Ablaufkontrolle kann analog für die Architekturen von 3 und 4 implementiert werden, wie dort durch die PFC-Funktionen der verschiedenen Einheiten und die strichpunktierten Pfade angedeutet ist.
  • Für die oben beschriebenen Funktionalitäten wird eine geeignete Vernetzung, d.h. eine stabile, idealerweise sogar redundante Verbindung vom Fahrzeug 101 (allgemein eine Robotervorrichtung) in die Cloud (allgemein das externe System) bereitgestellt, z.B. über 5G, 5G+, 6G, im gesamten Einsatzbereich der Robotervorrichtung bzw. die oben beschriebenen Funktionalitäten werden nur eingesetzt, wenn eine solche Vernetzung vorhanden ist. Beispielsweise kann vor Beginn einer Fahrt eine prädiktive Einschätzung des erreichbaren QoS (Quality of Service) entlang der geplanten Route erfolgen.
  • Die Vernetzung wird dabei so bereitgestellt (bzw. geprüft, ob sie dieses Erfordernis erfüllt, bevor die Überwachung ausgelagert wird), dass die Kommunikation zwischen Cloud und Fahrzeug mit ausreichend niedriger Latenz erfolgen kann, damit die insgesamt zu erreichende Fehlertoleranzzeit (inklusive Entprellung) nicht überschritten wird (ca. 500ms für Motorsteuerung, HV-Batterie, hybrider Antriebstrang; 200ms für elektrischer Antrieb).
  • Es kann eine initiale Synchronisierung der Fahrzeug- und Cloud-Funktionen vorgesehen sein, z.B. beim Start des Fahrzeugs. Außerdem kann eine regelmäßige Re-Synchronisierung während des Betriebs vorgesehen sein, um z.B. beide Funktionsanteile auch nach Wechsel zwischen Basis-Stationen für die Kommunikation (z.B. im 5G-Netzwerk) synchron zu halten. Die Cloud (d.h. allgemein das externen System) und das Fahrzeug (allgemein die Robotervorrichtung) können alternativ eine gleiche absolute Zeitbasis nutzen.
  • Zusammengefasst wird gemäß verschiedenen Ausführungsformen ein Verfahren bereitgestellt, wie in 5 dargestellt.
  • 5 zeigt ein Ablaufdiagramm 500, das ein Verfahren zum Betreiben einer Robotervorrichtung veranschaulicht.
  • In 501 werden an eine zur Robotervorrichtung externen Überwachungseinrichtung Sensordaten zur Überwachung eines Istwerts für eine physikalische Größe, die beim Betrieb der Robotervorrichtung in oder an der Robotervorrichtung auftritt, auf der Grundlage eines Sollwerts für die physikalische Größe, durch die externe Überwachungseinrichtung. Dies bedeutet, dass die Sensordaten der Überwachungseinrichtung die Ermittlung des Istwerts und/oder des Sollwerts ermöglichen, sodass sie den Istwert überwachen kann.
  • In 502 wird, falls bei der Überwachung festgestellt wird, dass die Abweichung zwischen Istwert und Sollwert eine vorgegebene Schwelle überschreitet, ein abgesicherter Betriebsmodus der Robotervorrichtung aktiviert.
  • In 503 wird überprüft, ob ein oder mehrere Funktionen zur Ermittlung des Sollwerts und des Istwerts und zur Überwachung des Istwerts, die zumindest teilweise in der externen Überwachungseinrichtung durchzuführen sind, durchgeführt wurden.
  • In 504 wird der abgesicherte Betriebsmodus aktiviert, falls detektiert wird, dass die ein oder mehreren Funktionen nicht durchgeführt worden sind.
  • Der abgesicherte Betriebsmodus kann verschiedene Sicherheitsmaßnahmen wie oben beschrieben beinhalten. Diese brauchen nicht in allen Fällen des abgesicherten Betriebsmodus übereinstimmen, d.h. die Sicherheitsmaßnahmen, die ergriffen werden, wenn die Abweichung die vorgegebene Schwelle überschreitet, können sich von denen unterscheiden, die ergriffen werden, wenn detektiert wurde, dass die ein oder mehreren Funktionen nicht durchgeführt worden sind.
  • Die Robotervorrichtung ist beispielsweise mobil. In diesem Fall kann „extern“ bedeutet, dass sich die Überwachungseinrichtung nicht notwendig mit der Robotervorrichtung mitbewegt (also stationär ist oder zumindest unabhängig davon bewegt werden kann). Extern kann auch so verstanden werden, dass die Robotervorrichtung und die Komponenten der Überwachungseinrichtung in getrennten Gehäusen enthalten sind (wobei sie nicht notwendig jeweils nur in einem Gehäuse enthalten sein brauchen). Die Überwachungseinrichtung ist über eine Kommunikationsverbindung, beispielsweise über ein Kommunikationsnetzwerk, z.B. ein drahtloses Kommunikationsnetzwerk, z.B. ein Mobilfunk-Netzwerk, mit der Robotervorrichtung verbunden.
  • Das Verfahren von 5 kann durch eine oder mehrere Datenverarbeitungseinheiten (intern in der Robotervorrichtung und extern zur Robotervorrichtung) durchgeführt werden. Der Begriff „Datenverarbeitungseinheit“ kann als irgendein Typ von Entität verstanden werden, die die Verarbeitung von Daten oder Signalen ermöglicht. Die Daten oder Signale können beispielsweise gemäß mindestens einer (d.h. einer oder mehr als einer) speziellen Funktion behandelt werden, die durch die Datenverarbeitungseinheit durchgeführt wird. Eine Datenverarbeitungseinheit kann eine analoge Schaltung, eine digitale Schaltung, eine Logikschaltung, einen Mikroprozessor, einen Mikrocontroller, eine Zentraleinheit (CPU), eine Graphikverarbeitungseinheit (GPU), einen Digitalsignalprozessor (DSP), eine integrierte Schaltung einer programmierbaren Gatteranordnung (FPGA) oder irgendeine Kombination davon umfassen oder aus dieser ausgebildet sein. Irgendeine andere Weise zum Implementieren der jeweiligen Funktionen, die hierin genauer beschrieben werden, kann auch als Datenverarbeitungseinheit oder Logikschaltungsanordnung verstanden werden. Es können ein oder mehrere der im Einzelnen hier beschriebenen Verfahrensschritte durch eine Datenverarbeitungseinheit durch eine oder mehrere spezielle Funktionen ausgeführt (z. B. implementiert) werden, die durch die Datenverarbeitungseinheit durchgeführt werden.
  • Der Begriff „Robotervorrichtung“ kann als sich auf irgendein technisches System (mit einem mechanischen Teil, dessen Bewegung gesteuert wird) beziehend verstanden werden, wie z. B. eine computergesteuerte Maschine, ein Fahrzeug, ein Haushaltsgerät, ein Elektrowerkzeug, eine Fertigungsmaschine, einen persönlichen Assistenten oder ein Zugangssteuersystem.
  • Verschiedene Ausführungsformen können Sensorsignale von verschiedenen Sensoren wie z. B. Video, Radar, LiDAR, Ultraschall, Bewegung, Wärmeabbildung usw. empfangen und verwenden, beispielsweise um den Sollwert und/oder den Istwert zu ermitteln.
  • Die Schnittstelle zwischen Robotervorrichtung und externer Überwachungseinrichtung kann derart ausgestaltet sein, dass sie abstrahiert, welche aus einer Menge von möglichen Hardwarekomponenten in der Robotervorrichtung eingesetzt werden, d.h. sodass die genaue Hardware der Robotervorrichtung für die externe Überwachungseinrichtung transparent ist. Insbesondere kann die Hardware der Robotervorrichtung ausgetauscht werden, ohne die Überwachung zu beeinträchtigen.
  • Obwohl spezielle Ausführungsformen hier dargestellt und beschrieben wurden, wird vom Fachmann auf dem Gebiet erkannt, dass die speziellen Ausführungsformen, die gezeigt und beschrieben sind, gegen eine Vielfalt von alternativen und/oder äquivalenten Implementierungen ausgetauscht werden können, ohne vom Schutzbereich der vorliegenden Erfindung abzuweichen. Diese Anmeldung soll irgendwelche Anpassungen oder Variationen der speziellen Ausführungsformen abdecken, die hier erörtert sind. Daher ist beabsichtigt, dass diese Erfindung nur durch die Ansprüche und die Äquivalente davon begrenzt ist.

Claims (8)

  1. Verfahren zum Betreiben einer Robotervorrichtung, aufweisend: Senden, an eine zur Robotervorrichtung externen Überwachungseinrichtung, von Sensordaten zur Überwachung eines Istwerts für eine physikalische Größe, die beim Betrieb der Robotervorrichtung in oder an der Robotervorrichtung auftritt, auf der Grundlage eines Sollwerts für die physikalische Größe, durch die externe Überwachungseinrichtung; Aktivieren, falls bei der Überwachung festgestellt wird, dass die Abweichung zwischen Istwert und Sollwert eine vorgegebene Schwelle überschreitet, eines abgesicherten Betriebsmodus der Robotervorrichtung; Überprüfen, ob ein oder mehrere Funktionen zur Ermittlung des Sollwerts und des Istwerts und zur Überwachung des Istwerts, die zumindest teilweise in der externen Überwachungseinrichtung durchzuführen sind, durchgeführt wurden; und Aktivieren des abgesicherten Betriebsmodus, falls detektiert wird, dass die ein oder mehreren Funktionen nicht durchgeführt worden sind.
  2. Verfahren nach Anspruch 1, ferner aufweisend Überprüfen, ob eine Kommunikationsverbindung zwischen der Überwachungseinrichtung und der Robotervorrichtung, über die die Überwachungseinrichtung die Aktivierung der Sicherheitsmaßnahme auslösen kann, besteht und Aktivieren des sicheren Betriebsmodus, falls die Kommunikationsverbindung unterbrochen ist.
  3. Verfahren nach Anspruch 1 oder 2, wobei die ein oder mehreren Funktionen in einer Sequenz durchzuführen sind und überprüft wird, ob ein oder mehrere Funktionen ausgeführt wurden, indem geprüft wird, ob eine der Sequenz zugeführter Anfrage-Nachricht, die von jeder der Funktionen bei Ausführung der Funktion verarbeitet wird, von der Sequenz zu einer erwarteten Antwort verarbeitet wurde.
  4. Verfahren nach einem der Ansprüche 1 bis 3, aufweisend, vor der Überwachung, Prüfen, ob die externe Verarbeitungseinrichtung den abgesicherten Betriebsmodus der Robotervorrichtung aktivieren kann, und Ausgeben eines Fehlersignals, falls die externe Verarbeitungseinrichtung den abgesicherten Betriebsmodus der Robotervorrichtung nicht aktivieren kann.
  5. Verfahren nach Anspruch 4, aufweisend Durchführen der Überwachung in der Robotervorrichtung, falls die externe Verarbeitungseinrichtung den abgesicherten Betriebsmodus der Robotervorrichtung nicht aktivieren kann.
  6. Roboterüberwachungssystem, das eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 5 durchzuführen.
  7. Computerprogramm mit Befehlen, die, wenn sie durch einen Prozessor ausgeführt werden, bewirken, dass der Prozessor ein Verfahren nach einem der Ansprüche 1 bis 5 durchführt.
  8. Computerlesbares Medium, das Befehle speichert, die, wenn sie durch einen Prozessor ausgeführt werden, bewirken, dass der Prozessor ein Verfahren nach einem der Ansprüche 1 bis 5 durchführt.
DE102022205944.1A 2022-06-13 2022-06-13 Verfahren zum Betreiben einer Robotervorrichtung Pending DE102022205944A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022205944.1A DE102022205944A1 (de) 2022-06-13 2022-06-13 Verfahren zum Betreiben einer Robotervorrichtung
PCT/EP2023/064497 WO2023241910A1 (de) 2022-06-13 2023-05-31 Verfahren zum betreiben einer robotervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022205944.1A DE102022205944A1 (de) 2022-06-13 2022-06-13 Verfahren zum Betreiben einer Robotervorrichtung

Publications (1)

Publication Number Publication Date
DE102022205944A1 true DE102022205944A1 (de) 2023-12-14

Family

ID=86764895

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022205944.1A Pending DE102022205944A1 (de) 2022-06-13 2022-06-13 Verfahren zum Betreiben einer Robotervorrichtung

Country Status (2)

Country Link
DE (1) DE102022205944A1 (de)
WO (1) WO2023241910A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018251771A1 (de) 2018-12-28 2020-07-02 Robert Bosch Gmbh Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102019201689A1 (de) 2019-02-11 2020-08-13 Zf Friedrichshafen Ag Verfahren und Steuereinheit zum Betreiben eines autonomen Fahrzeugs

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9315178B1 (en) * 2012-04-13 2016-04-19 Google Inc. Model checking for autonomous vehicles
US11052918B2 (en) * 2018-06-13 2021-07-06 City University Of Hong Kong System and method for controlling operation of an autonomous vehicle
US10845800B2 (en) * 2018-10-08 2020-11-24 Ford Global Technologies, Llc Vehicle software check
US11157374B2 (en) * 2018-12-28 2021-10-26 Intel Corporation Technologies for efficient reliable compute operations for mission critical applications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018251771A1 (de) 2018-12-28 2020-07-02 Robert Bosch Gmbh Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102019201689A1 (de) 2019-02-11 2020-08-13 Zf Friedrichshafen Ag Verfahren und Steuereinheit zum Betreiben eines autonomen Fahrzeugs

Also Published As

Publication number Publication date
WO2023241910A1 (de) 2023-12-21

Similar Documents

Publication Publication Date Title
DE112017006451B4 (de) Gemeinsam genutzte Backup-Einheit und Steuersystem
EP2974156B1 (de) Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE10341786B4 (de) Elektronische Fahrzeugsteuervorrichtung
DE102018201119A1 (de) Verfahren zum Überwachen der Energieversorgung eines Kraftfahrzeugs mit automatisierter Fahrfunktion
DE102018127423A1 (de) Redundante fahrzeugleistungsversorgungssteuersysteme und -verfahren
EP3211533B1 (de) Fehlertolerante systemarchitektur zur steuerung einer physikalischen anlage, insbesondere einer maschine oder eines kraftfahrzeugs
DE102015003194A1 (de) Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
WO2017137222A1 (de) Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung
DE102006028695A1 (de) Elektronisches Steuersystem mit Fehlfunktionsüberwachung
DE102019117434A1 (de) System und verfahren für batteriezellenausgleich
DE10223880A1 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
DE102017122778B4 (de) Bordnetz sowie verfahren zur steuerung eines bordnetzesfür ein fahrzeug
EP1053153B1 (de) Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
EP1700211B1 (de) Laden von software-modulen
DE102015202326A1 (de) Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit
DE102022205944A1 (de) Verfahren zum Betreiben einer Robotervorrichtung
DE102015224823B4 (de) Elektronische Steuervorrichtung
DE102012209144A1 (de) Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens
DE102019111623A1 (de) Lenksteuerapparat und lenksteuerverfahren und lenksystem
EP1733284A2 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE10211280A1 (de) Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
DE102022124470B3 (de) Verfahren zur Steuerung einer Diagnosesession eines Fahrzeugs, Computerprogram, Vorrichtung und Fahrzeug
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs

Legal Events

Date Code Title Description
R163 Identified publications notified