DE102022206923A1 - Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs - Google Patents

Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs Download PDF

Info

Publication number
DE102022206923A1
DE102022206923A1 DE102022206923.4A DE102022206923A DE102022206923A1 DE 102022206923 A1 DE102022206923 A1 DE 102022206923A1 DE 102022206923 A DE102022206923 A DE 102022206923A DE 102022206923 A1 DE102022206923 A1 DE 102022206923A1
Authority
DE
Germany
Prior art keywords
vehicle
safety
function
computer
infrastructure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022206923.4A
Other languages
English (en)
Inventor
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022206923.4A priority Critical patent/DE102022206923A1/de
Priority to PCT/EP2023/068217 priority patent/WO2024008638A1/de
Publication of DE102022206923A1 publication Critical patent/DE102022206923A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/50Indexing scheme relating to G06F9/50
    • G06F2209/509Offload

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Auxiliary Drives, Propulsion Controls, And Safety Devices (AREA)
  • Traffic Control Systems (AREA)

Abstract

Die Erfindung betrifft ein computerimplementiertes Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs, mit den Schritten: Bereitstellen (S1) zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals (10), welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion (12) bestimmt sind; Bestimmen (S2) eines Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf dem bereitgestellten Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10); und Allokation (S3) einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems. Die Erfindung betrifft des Weiteren ein Steuergerät (20) zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs.

Description

  • Die Erfindung betrifft ein Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
  • Des Weiteren betrifft die Erfindung ein Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
  • Sicherheitsnormen wie die ISO 26262 beschreiben das empfohlene Vorgehen zur Entwicklung von sicherheitsbezogenen Funktionen. Ein erster Schritt ist hierbei die Bestimmung der Sicherheitsintegrität von Funktionen auf Basis einer Risikoanalyse, z.B. der Hazard Analysis and Risk Assessment (HARA) in der ISO 26262. Diese erfolgt während der Entwicklungszeit auf Basis von Annahmen über den Einsatz der Funktion bzw. des Systems, das die betreffende Funktion enthält.
  • In der ISO 26262 erfolgt das z.B. über die Parameter einer Auftretenswahrscheinlichkeit einer Situation, in der eine Fehlfunktion gefährlich sein könnte, einer möglichen Kontrollierbarkeit dieser Fehlfunktion und einer Schwere der Auswirkung, falls diese Fehlfunktion in dieser Situation nicht kontrolliert werden kann. Die Bewertung ergibt dann ein notwendiges Sicherheitsintegritätsniveau (z.B. ASIL) einer Funktion, auf Basis dessen die notwendigen Entwicklungsprozesse und Sicherheitsmechanismen aus der Sicherheitsnorm abgeleitet werden.
  • Daraus ergeben sich sowohl anzuwendende Design- und Testmethoden für die Hardware und Software, als auch notwendige ASIL-Compliance von Hardware Komponenten, auf denen die sicherheitsbezogene Software später läuft, die z.B. durch umfangreiche Diagnosen und die Bereitstellung von Hardware-Redundanzen erreicht werden kann.
  • DE 102015200422 A1 offenbart ein Fahrzeugsteuerungs- und Berechnungssystem, umfassend eine Aufgabensteuerung im Fahrzeug, einen fahrzeugspezifischen Berechnungsmanager in einem Cloud-Netzwerk und einen drahtlosen Datenkanal, der die Aufgabensteuerung und das Cloud-Netzwerk koppelt, wobei die Aufgabensteuerung Betriebsaufgaben im Fahrzeug mittels datenbezogener Ressourcen in dem Cloud-Netzwerk durchführt, wobei bei Initiierung einer der Betriebsaufgaben die Aufgabensteuerung ein Austausch-Signal an den Berechnungsmanager als Ressourcenanforderung sendet, wobei der Berechnungsmanager mindestens einen Cloud-basierten Agenten aus einer Datenbank vorbestimmter Agenten als Reaktion auf das Austausch-Signal aufruft, und wobei die Aufgabensteuerung die Betriebsaufgabe durch Kommunikation mit dem aufgerufenen Agenten vollendet.
  • DE 102019214453 A1 offenbart ein Verfahren zum sicheren Ausführen einer mittels eines Kraftfahrzeugs bereitgestellten Funktion, umfassend die folgenden Schritte: Empfangen von Infrastrukturdatensignalen, welche Infrastrukturdaten repräsentieren, welche für eine mittels eines Kraftfahrzeugs bereitgestellte Funktion bestimmt sind, Empfangen von Sicherheitsbedingungssignalen, welche zumindest eine Sicherheitsbedingung repräsentieren, welche erfüllt sein muss, damit die Funktion basierend auf den Infrastrukturdaten ausgeführt werden darf, Prüfen, ob die zumindest eine Sicherheitsbedingung erfüllt ist, Ermitteln, ob die Funktion basierend auf den Infrastrukturdaten ausgeführt werden darf, basierend auf einem Ergebnis des Prüfens, Erzeugen von Ergebnissignalen, welche ein Ergebnis des Ermittelns repräsentieren und Ausgeben der erzeugten Ergebnissignale.
  • Üblicherweise wird der ASIL einer Funktion während der Entwicklungszeit auf Basis von Annahmen über die „worst case“ Situationen bestimmt und fest zugeordnet. Allerdings ist durch Betrachtung der Vielzahl an möglichen Situationen leicht nachvollziehbar, dass die Fehlfunktion einer sicherheitsbezogenen Funktion in vielen dieser Situationen gar nicht gefährlich ist. Das trifft sowohl auf Primärfunktionen wie Aktuatorik-Ansteuerung, z.B. ungewolltes Motor-Aus im Stillstand, als auch auf Sekundärfunktionen wie die Umfeldwahrnehmung, z.B. Objekterkennung in fernen Bereichen bei langsamer Fahrt, zu.
  • Der Erfindung liegt somit die Aufgabe zugrunde, ein verbessertes Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs bereitzustellen, welche eine situationsbedingte Bestimmung eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion ermöglicht.
  • Die Aufgabe wird mit einem computerimplementierten Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs mit den Merkmalen des Patentanspruchs 1 gelöst.
  • Darüber hinaus wird die Aufgabe mit einem Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs mit den Merkmalen des Patentanspruchs 13 gelöst.
  • Ferner wird die Aufgabe mit einem Computerprogramm mit den Merkmalen des Patentanspruchs 14 und einem computerlesbaren Datenträger mit den Merkmalen des Patentanspruchs 15 gelöst.
  • Offenbarung der Erfindung
  • Die vorliegende Erfindung schafft ein computerimplementiertes Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
  • Das Verfahren umfasst ein Bereitstellen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion bestimmt sind.
  • Des Weiteren umfasst das Verfahren ein Bestimmen des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal. Das Verfahren umfasst darüber hinaus eine Allokation einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
  • Das Sicherheitsintegritätsniveaus der Fahrzeugfunktion repräsentiert bzw. beschreibt ein Niveau bzw. ein Level bzw. eine Stufe der Sicherheitsintegrität der Fahrzeugfunktion. Die Sicherheitsintegrität der Fahrzeugfunktion bezeichnet insbesondere eine Zuverlässigkeit der Fahrzeugfunktion, welche bspw. mittels einer Risikobeurteilung ermittelbar ist bzw. ermittelt werden kann.
  • Die Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems kann dabei beispielsweise durch einen ASIL-Score bzw. ASIL-Wert repräsentiert werden.
  • Die vorliegende Erfindung schafft des Weiteren ein Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
  • Das Steuergerät umfasst Mittel zum Empfangen des zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignals, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion bestimmt sind.
  • Ferner umfasst das Steuergerät Mittel zum Bestimmen eines Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion basierend auf dem bereitgestellten Infrastruktur- und/oder Fahrzeugsensor-Datensignal. Das Steuergerät umfasst überdies Mittel zur Allokation einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
  • Die vorliegende Erfindung schafft ferner ein Computerprogramm mit Programmcode, um das erfindungsgemäße Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird sowie einen computerlesbaren Datenträger mit Programmcode eines Computerprogramms, um das erfindungsgemäße Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
  • Üblicherweise wird eine sicherheitsbezogene Funktion durch dediziert dafür mit dem entsprechenden ASIL entwickelte Software und auf dediziert dafür mit dem entsprechenden ASIL entwickelte Hardware umgesetzt. In traditionellen Fahrzeug-E/E-Architekturen bringt es somit auch keine Vorteile, Funktionen dynamisch auf Hardware und mit Software mit unterschiedlichen ASIL umsetzen zu wollen, da die entsprechende Hardware und Software bereits vorhanden sind.
  • Zukünftige Fahrzeug-E/E-Architekturen werden jedoch stark mit externen Systemen, z.B. Cloud, Edge, anderen Fahrzeugen und/oder Smart Devices vernetzt sein. Das bietet die Möglichkeit, Funktionen nach außen auszulagern. Für diese Auslagerung ist der ASIL einer Funktion allerdings eine Einschränkung, da diese externen Systeme häufig nicht nach einer Sicherheitsnorm wie der ISO 26262 entwickelt wurden und somit auch nicht die notwendige „ASIL-Compliance“ bieten.
  • Eine Idee der vorliegenden Erfindung ist es daher, eine dynamische, insbesondere Echtzeit-Bestimmung des ASIL von sicherheitsbezogenen Funktionen bzw. Teilfunktionen auf Basis eines aktuell gegebenen Kontexts wie z.B. einer Fahrsituation und/oder einem Fahrzeugzustand zu ermöglichen.
  • Somit kann in vorteilhafter Weise eine gesteuerte Auslagerung dieser Funktionen oder Teilfunktionen auf externe Systeme unter Berücksichtigung der gegebenen Sicherheitsintegrität dieser externen Systeme durchgeführt werden.
  • Gemäß einer bevorzugten Weiterbildung ist vorgesehen, dass die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf das fahrzeuginterne und/oder das fahrzeugexterne System durchgeführt wird, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems das bestimmte Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion erfüllt.
  • Damit können auch per se sicherheitsbezogene Funktionen dynamisch aus dem Fahrzeug ausgelagert werden, um interne Ressourcen freizugeben bzw. für aufwendigere sicherheitsbezogene Berechnungen zu nutzen. Dies ist insbesondere für Funktionen des automatisierten Fahrens wie einer Umfeldwahrnehmung, einer adaptiven Verhaltensplanung und/oder einer Trajektorienplanung vorteilhaft, deren Berechnungsaufwand dynamisch je nach gegebener Fahrsituation, z.B. einer Komplexität der Fahrsituation und des Umfelds stark variieren kann.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das zumindest eine bereitgestellte Infrastruktur- und/oder Fahrzeugsensor-Datensignal Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs, umfasst. Somit wird eine aktuelle Fahrsituation in dem Infrastruktur- und/oder Fahrzeugsensor-Datensignal exakt abgebildet.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds, umfasst oder ist.
  • Dadurch kann ebenfalls die Kritikalität der aktuellen Fahrsituation in die Bestimmung des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion mit einbezogen werden.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden sowie relativ zum Kraftfahrzeug definierte Bereiche, umfasst oder sind. Dadurch können ebenfalls Infrastrukturdaten in die Bestimmung des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion mit einbezogen werden.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das Bestimmen des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus umfasst, wobei der Klassifikationsalgorithmus auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal angewendet wird, und eine Mehrzahl von das Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion repräsentierende Klassen ausgibt. Das so ermittelte Sicherheitsintegritätsniveau, insbesondere der ASIL, dient daher als Grundlage für die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die sicherheitsbezogene Fahrzeugfunktion eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs ist.
  • Dies ermöglicht eine Bestimmung, ob beispielsweise ein ungewolltes Bremsen gefährlich ist, weil sich ein Fahrzeug hinter dem Kraftfahrzeug befindet oder nicht. Ebenso kann dadurch bewertet werden, ob ein ungewolltes Lenken oder Bremsen je nach Fahrzeuggeschwindigkeit und Fahrzeugumgebung gefährlich ist oder nicht.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die sicherheitsbezogene Fahrzeugfunktion eine Umfelderfassungsfunktion ist, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
  • Z.B. ist die Erkennung von Ampeln je nach Situation in einem Bereich relevant oder nicht, z.B. weniger relevant für weit voraus bei niedriger Ego-Geschwindigkeit sowie bei bekanntem Nicht-Vorhandensein/Deaktivierung von Ampeln auf der Strecke, welche Daten durch statische oder dynamische Karteninformationen erlangt werden können.
  • Ferner ist eine Ampelerkennung weniger relevant z.B. bei bekanntem NichtVorhandensein von Ampeln in gewissen Sichtbereichen, bei einer Autobahnfahrt, im Sichtbereich links oder geradeaus bei einer Rechtskurve sowie beim Anfahren.
  • Ferner ist die Erkennung von Personen weniger relevant bzw. weniger sicherheitskritisch für weiter entfernte oder abgesperrte Bereiche, aus denen Personen realistisch nicht den Bereich vor dem Fahrzeug erreichen können sowie Bereiche, in denen sich realistisch keine Personen befinden können, z.B. in einem Tunnel oder auf einer Autobahn.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion basierend auf einer Echtzeit-Kritikalität, insbesondere unter Verwendung zumindest eines Echtzeit-Infrastruktur- und/oder Fahrzeugsensor-Datensignals bestimmt wird.
  • Die Echtzeit-Kritikalität der Daten ermöglicht somit eine Echtzeit Auslagerung bzw. Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass im Fahrzeug und im Fahrzeugumfeld verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion, insbesondere des Sicherheitsintegritätsniveaus eines benötigten Steuergerätes und/oder eines auf dem Steuergerät betriebenen computer-implementierten Verfahrens bestimmt und eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion über diese Ressourcen benötigte maximale Latenz bestimmt wird.
  • Diese Daten können somit auch lokal im Fahrzeug in einer Datenbank (z.B. Integritäts-/Performance-Karte der von einer regionalen Position aus verfügbaren Ressourcen) hinterlegt sein.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion, deren Sicherheitsintegritätsniveau einen vorgegebenen Schwellwert unterschreitet, auf dem Fahrzeugsteuergerät ausgeführt wird.
  • Somit kann beispielsweise eine Ausführung der Software auf einem internen Steuergerät, auf dem „Safety“-Core (z.B. Lockstep-CPU) des Steuergeräts, der einem hohen ASIL entspricht, eine Ausführung auf einem weniger abgesicherten Core, z.B. nur mit „QM-Einstufung“, eine Ausführung auf redundanten GPUs, mit Vergleich der Ergebnisse, der einem hohen ASIL entspricht und/oder eine Ausführung auf einer einzelnen GPU mit niedrigerem ASIL oder „QM-Einstufung“ ermöglicht werden.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass eine Funktionsausführung über V2X auf einem externen System, insbesondere einem Edge-, Fog- und/oder Cloud-Server, einem Steuergerät eines anderen Verkehrsteilnehmers und/oder einem Smart Device, insbesondere einem Smartphone, angefordert wird.
  • Somit kann eine Ausführung auf einem externen System, das gemäß einem hohen Sicherheitsintegritätslevel entwickelt wurde, eine Ausführung auf redundanten externen Systemen mit niedriger Sicherheitsintegrität oder reiner „QM-Einstufung“, mit lokalem Vergleich der Ergebnisse für eine höhere Sicherheitsintegrität („SW Lockstep“) und eine Ausführung auf einem einzelnen externen System mit niedriger Sicherheitsintegrität oder reiner „QM-Einstufung“ ermöglicht werden.
  • Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren.
  • Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale der Erfindung.
  • Kurze Beschreibung der Zeichnungen
  • Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der Erfindung vermitteln. Sie veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Prinzipien und Konzepten der Erfindung.
  • Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die dargestellten Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.
  • Es zeigen:
    • 1 ein Ablaufdiagramm eines computerimplementierten Verfahrens zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs gemäß einer bevorzugten Ausführungsform der Erfindung; und
    • 2 eine schematische Darstellung eines Steuergerätes zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs gemäß der bevorzugten Ausführungsform der Erfindung.
  • Das ist 1 gezeigte computerimplementierte Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus 14 einer sicherheitsbezogenen Fahrzeugfunktion 12 eines Kraftfahrzeugs umfasst ein Bereitstellen S1 zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion 12 bestimmt sind.
  • Die sicherheitsbezogene Fahrzeugfunktion wird dabei als einen sicherheitsrelevanten Aspekt des Fahrzeugs wie z.B. ein Beschleunigen, Bremsen und/oder einen Lenkeingriff betreffende Funktion verstanden.
  • Das Verfahren umfasst ferner ein Bestimmen S2 eines Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10 und eine Allokation S3 einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 auf ein fahrzeuginternes und/oder ein fahrzeugexternes System 16, 18 unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems 16, 18.
  • Die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 wird dabei auf das fahrzeuginterne und/oder das fahrzeugexterne System 16, 18 durchgeführt, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems 16, 18 das bestimmte Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 erfüllt.
  • Das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 umfasst Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs.
  • Das bereitgestellte Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 umfasst oder ist des Weiteren ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds. Darüber hinaus ist das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden sowie relativ zum Kraftfahrzeug definierte Bereiche.
  • Das Bestimmen des Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 umfasst eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus.
  • Der Klassifikationsalgorithmus wird auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 angewendet und gibt eine Mehrzahl von das Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 repräsentierende Klassen aus. Die ausgegebenen Klassen sind dabei unterschiedliche Sicherheitsintegritätsniveaus 14, insbesondere unterschiedliche ASIL, der sicherheitsbezogenen Fahrzeugfunktion 12.
  • Die sicherheitsbezogene Fahrzeugfunktion 12 ist eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs. Ferner ist die sicherheitsbezogene Fahrzeugfunktion 12 eine Umfelderfassungsfunktion, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
  • Das Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 wird basierend auf einer Echtzeit-Kritikalität, insbesondere unter Verwendung von Echtzeit-Infrastruktur- und/oder Fahrzeugsensor-Datensignalen 10 bestimmt.
  • Im Fahrzeug und im Fahrzeugumfeld werden verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion 12, insbesondere des Sicherheitsintegritätsniveaus 14 eines benötigten Steuergerätes und/oder eines auf dem Steuergerät 20 betriebenen computer-implementierten Verfahrens bestimmt. Ferner wird eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion 12 über diese Ressourcen benötigte maximale Latenz bestimmt. Die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12, deren Sicherheitsintegritätsniveau 14 einen vorgegebenen Schwellwert unterschreitet, wird auf dem Steuergerät 20 ausgeführt.
  • Eine Funktionsausführung über V2X wird auf einem externen System, insbesondere ein Edge Server, Fog, Cloud, Steuergerät 20 eines anderen Verkehrsteilnehmers, Smart Device angefordert. Vehicle-to-everything V2X ist die Kommunikation zwischen einem Fahrzeug und jeder Einrichtung, die das Fahrzeug beeinflussen oder von ihm beeinflusst werden kann.
  • 2 zeigt eine schematische Darstellung eines Steuergerätes zum Bestimmen eines Sicherheitsintegritätsniveaus 14 einer sicherheitsbezogenen Fahrzeugfunktion 12 eines Kraftfahrzeugs gemäß der bevorzugten Ausführungsform der Erfindung.
  • Das Steuergerät 20 umfasst Mittel 22 zum Empfangen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion 12 bestimmt sind.
  • Ferner umfasst das Steuergerät Mittel 24 zum Bestimmen eines Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10.
  • Das Steuergerät umfasst darüber hinaus Mittel 26 zur Allokation S3 einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102015200422 A1 [0006]
    • DE 102019214453 A1 [0007]

Claims (15)

  1. Computerimplementiertes Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs, mit den Schritten: Bereitstellen (S1) zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals (10), welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion (12) bestimmt sind; Bestimmen (S2) des Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10); und Allokation (S3) einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf ein fahrzeuginternes und/oder ein fahrzeugexternes System (16, 18) unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems (16, 18).
  2. Computerimplementiertes Verfahren nach Anspruch 1, wobei die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf das fahrzeuginterne und/oder das fahrzeugexterne System (16, 18) durchgeführt wird, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems (16, 18) das bestimmte Sicherheitsintegritätsniveau (14) der sicherheitsbezogenen Fahrzeugfunktion (12) erfüllt.
  3. Computerimplementiertes Verfahren nach Anspruch 1 oder 2, wobei das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10) Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs, umfasst.
  4. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10) ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds, umfasst.
  5. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das bereitgestellte Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10) in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden, sowie relativ zum Kraftfahrzeug definierte Bereiche umfasst.
  6. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das Bestimmen des Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus umfasst, wobei der Klassifikationsalgorithmus auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10) angewendet wird, und eine Mehrzahl von das Sicherheitsintegritätsniveau (14) der sicherheitsbezogenen Fahrzeugfunktion (12) repräsentierende Klassen ausgibt.
  7. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei die sicherheitsbezogene Fahrzeugfunktion (12) eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs ist.
  8. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei die sicherheitsbezogene Fahrzeugfunktion (12) eine Umfelderfassungsfunktion ist, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
  9. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das Sicherheitsintegritätsniveau (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf einer Echtzeit-Kritikalität, insbesondere unter Verwendung von Echtzeit-Infrastruktur- und/oder Fahrzeugsensor-Datensignalen (10), bestimmt wird.
  10. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei im Fahrzeug und im Fahrzeugumfeld verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion (12), insbesondere des Sicherheitsintegritätsniveaus (14) eines benötigten Steuergerätes und/oder eines auf dem Steuergerät (20) betriebenen computer-implementierten Verfahrens bestimmt und eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion (12) über diese Ressourcen benötigte maximale Latenz bestimmt wird.
  11. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12), deren Sicherheitsintegritätsniveau (14) einen vorgegebenen Schwellwert unterschreitet, auf dem Steuergerät (20) ausgeführt wird.
  12. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei eine Funktionsausführung über V2X auf einem externen System, insbesondere ein Edge Server, Fog, Cloud, Steuergerät (20) eines anderen Verkehrsteilnehmers, Smart Device angefordert wird.
  13. Steuergerät (20) zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs, mit: Mitteln (22) zum Bereitstellen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals (10), welche Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentieren, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion (12) bestimmt sind; Mitteln (24) zum Bestimmen des Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10); und Mitteln (26) zur Allokation (S3) einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
  14. Computerprogramm mit Programmcode, um das Verfahren nach einem der Ansprüche 1 bis 12 durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
  15. Computerlesbarer Datenträger mit Programmcode eines Computerprogramms, um das Verfahren nach einem der Ansprüche 1 bis 12 durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
DE102022206923.4A 2022-07-06 2022-07-06 Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs Pending DE102022206923A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022206923.4A DE102022206923A1 (de) 2022-07-06 2022-07-06 Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs
PCT/EP2023/068217 WO2024008638A1 (de) 2022-07-06 2023-07-03 Verfahren und steuergerät zum bestimmen eines sicherheitsintegritätsniveaus einer sicherheitsbezogenen fahrzeugfunktion eines kraftfahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022206923.4A DE102022206923A1 (de) 2022-07-06 2022-07-06 Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs

Publications (1)

Publication Number Publication Date
DE102022206923A1 true DE102022206923A1 (de) 2024-01-11

Family

ID=87155677

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022206923.4A Pending DE102022206923A1 (de) 2022-07-06 2022-07-06 Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs

Country Status (2)

Country Link
DE (1) DE102022206923A1 (de)
WO (1) WO2024008638A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200422A1 (de) 2014-01-22 2015-07-23 Ford Global Technologies, Llc Fahrzeugspezifisches Berechnungsmanagementsystem für Cloud-Datenverarbeitung
DE102019214453A1 (de) 2019-09-23 2021-03-25 Robert Bosch Gmbh Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190047581A1 (en) * 2017-08-14 2019-02-14 GM Global Technology Operations LLC Method and apparatus for supporting mission-critical applications via computational cloud offloading
DE102018009906A1 (de) * 2018-12-20 2020-06-25 Volkswagen Aktiengesellschaft Verfahren zum Management von Rechnerkapazitäten in einem Netzwerk mit mobilen Teilnehmern
US11334382B2 (en) * 2019-04-30 2022-05-17 Intel Corporation Technologies for batching requests in an edge infrastructure

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200422A1 (de) 2014-01-22 2015-07-23 Ford Global Technologies, Llc Fahrzeugspezifisches Berechnungsmanagementsystem für Cloud-Datenverarbeitung
DE102019214453A1 (de) 2019-09-23 2021-03-25 Robert Bosch Gmbh Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs

Also Published As

Publication number Publication date
WO2024008638A1 (de) 2024-01-11

Similar Documents

Publication Publication Date Title
DE102016000493B4 (de) Verfahren zum Betrieb eines Fahrzeugsystems und Kraftfahrzeug
DE102018128289B4 (de) Verfahren und vorrichtung für eine autonome systemleistung und zur einstufung
EP3371025B1 (de) Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug
DE102020209680B3 (de) Signalverarbeitungspfad, Vorrichtung zur Umfelderkennung und Verfahren zur Validierung eines automatisiert betreibbaren Fahrsystems
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102017006338B4 (de) Verfahren zum effizienten Validieren und der sicheren Applikation von autonomen und teilautonomen Fahrzeugen
DE102022200536B3 (de) Fahrassistenzeinrichtung und Verfahren zum Durchführen einer wenigstens teilautomatischen Fahrzeugfunktion in Abhängigkeit von einer zu bewertenden Fahrstrecke
DE102019214482A1 (de) Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102019214484A1 (de) Verfahren zum sicheren Ermitteln von Infrastrukturdaten
DE102019214413A1 (de) Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102020200133A1 (de) Verfahren und Vorrichtung zum Betreiben eines automatisierten Fahrzeugs
DE102022206923A1 (de) Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs
EP4105811A1 (de) Computerimplementiertes verfahren zum szenariobasierten testen und/oder homologation von zu testenden zumindest teilweise autonomen fahrfunktionen durch key performance indicators (kpi)
DE102019215141B4 (de) Verfahren zum Prognostizieren einer zukünftigen Verkehrssituation in einer Umgebung eines Kraftfahrzeugs durch Bestimmen mehrerer in sich konsistenter Gesamtszenarios für unterschiedliche Verkehrsteilnehmer; Kraftfahrzeug
WO2022077042A1 (de) Verfahren und ein system zum testen eines fahrerassistenzsystems für ein fahrzeug
DE112020006317T5 (de) Computersystem und verfahren zum trainieren eines verkehrsagenten in einer simulationsumgebung
DE102019216956A1 (de) Verfahren und Vorrichtung zum Bestimmen von Notfalltrajektorien und zum Betreiben von automatisierten Fahrzeugen
DE112018005796T5 (de) System und Verfahren zum Steuern eines Kraftfahrzeugs zum autonomen Fahren
DE102022206924A1 (de) Computerimplementiertes Verfahren und Steuergerät zum Bestimmen eines geforderten Sicherheitsintegritätsniveaus sicherheitsbezogener Fahrzeugfunktionen
DE102022212708A1 (de) Verfahren zum Prüfen einer digitalen Karte eines Umfelds eines Kraftfahrzeugs
WO2021104904A1 (de) Modulpriorisierungsverfahren, modulpriorisierungsmodul, kraftfahrzeug
DE102022212110A1 (de) Erfüllung einer Sicherheitsanforderung von mindestens einem Fahrzeug
DE102021202903A1 (de) Verfahren zum Bewerten einer Software für ein Steuergerät eines Fahrzeugs
DE102022127015A1 (de) Konzept der integralen Sicherheit mit erweitertem Wirkungsbereich
DE102022200139A1 (de) Verfahren zur Optimierung der Umfeldwahrnehmung für ein Fahrunterstützungssystem mittels zusätzlicher Referenzsensorik

Legal Events

Date Code Title Description
R163 Identified publications notified