-
Die Erfindung betrifft ein Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
-
Des Weiteren betrifft die Erfindung ein Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
-
Sicherheitsnormen wie die ISO 26262 beschreiben das empfohlene Vorgehen zur Entwicklung von sicherheitsbezogenen Funktionen. Ein erster Schritt ist hierbei die Bestimmung der Sicherheitsintegrität von Funktionen auf Basis einer Risikoanalyse, z.B. der Hazard Analysis and Risk Assessment (HARA) in der ISO 26262. Diese erfolgt während der Entwicklungszeit auf Basis von Annahmen über den Einsatz der Funktion bzw. des Systems, das die betreffende Funktion enthält.
-
In der ISO 26262 erfolgt das z.B. über die Parameter einer Auftretenswahrscheinlichkeit einer Situation, in der eine Fehlfunktion gefährlich sein könnte, einer möglichen Kontrollierbarkeit dieser Fehlfunktion und einer Schwere der Auswirkung, falls diese Fehlfunktion in dieser Situation nicht kontrolliert werden kann. Die Bewertung ergibt dann ein notwendiges Sicherheitsintegritätsniveau (z.B. ASIL) einer Funktion, auf Basis dessen die notwendigen Entwicklungsprozesse und Sicherheitsmechanismen aus der Sicherheitsnorm abgeleitet werden.
-
Daraus ergeben sich sowohl anzuwendende Design- und Testmethoden für die Hardware und Software, als auch notwendige ASIL-Compliance von Hardware Komponenten, auf denen die sicherheitsbezogene Software später läuft, die z.B. durch umfangreiche Diagnosen und die Bereitstellung von Hardware-Redundanzen erreicht werden kann.
-
DE 102015200422 A1 offenbart ein Fahrzeugsteuerungs- und Berechnungssystem, umfassend eine Aufgabensteuerung im Fahrzeug, einen fahrzeugspezifischen Berechnungsmanager in einem Cloud-Netzwerk und einen drahtlosen Datenkanal, der die Aufgabensteuerung und das Cloud-Netzwerk koppelt, wobei die Aufgabensteuerung Betriebsaufgaben im Fahrzeug mittels datenbezogener Ressourcen in dem Cloud-Netzwerk durchführt, wobei bei Initiierung einer der Betriebsaufgaben die Aufgabensteuerung ein Austausch-Signal an den Berechnungsmanager als Ressourcenanforderung sendet, wobei der Berechnungsmanager mindestens einen Cloud-basierten Agenten aus einer Datenbank vorbestimmter Agenten als Reaktion auf das Austausch-Signal aufruft, und wobei die Aufgabensteuerung die Betriebsaufgabe durch Kommunikation mit dem aufgerufenen Agenten vollendet.
-
DE 102019214453 A1 offenbart ein Verfahren zum sicheren Ausführen einer mittels eines Kraftfahrzeugs bereitgestellten Funktion, umfassend die folgenden Schritte: Empfangen von Infrastrukturdatensignalen, welche Infrastrukturdaten repräsentieren, welche für eine mittels eines Kraftfahrzeugs bereitgestellte Funktion bestimmt sind, Empfangen von Sicherheitsbedingungssignalen, welche zumindest eine Sicherheitsbedingung repräsentieren, welche erfüllt sein muss, damit die Funktion basierend auf den Infrastrukturdaten ausgeführt werden darf, Prüfen, ob die zumindest eine Sicherheitsbedingung erfüllt ist, Ermitteln, ob die Funktion basierend auf den Infrastrukturdaten ausgeführt werden darf, basierend auf einem Ergebnis des Prüfens, Erzeugen von Ergebnissignalen, welche ein Ergebnis des Ermittelns repräsentieren und Ausgeben der erzeugten Ergebnissignale.
-
Üblicherweise wird der ASIL einer Funktion während der Entwicklungszeit auf Basis von Annahmen über die „worst case“ Situationen bestimmt und fest zugeordnet. Allerdings ist durch Betrachtung der Vielzahl an möglichen Situationen leicht nachvollziehbar, dass die Fehlfunktion einer sicherheitsbezogenen Funktion in vielen dieser Situationen gar nicht gefährlich ist. Das trifft sowohl auf Primärfunktionen wie Aktuatorik-Ansteuerung, z.B. ungewolltes Motor-Aus im Stillstand, als auch auf Sekundärfunktionen wie die Umfeldwahrnehmung, z.B. Objekterkennung in fernen Bereichen bei langsamer Fahrt, zu.
-
Der Erfindung liegt somit die Aufgabe zugrunde, ein verbessertes Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs bereitzustellen, welche eine situationsbedingte Bestimmung eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion ermöglicht.
-
Die Aufgabe wird mit einem computerimplementierten Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs mit den Merkmalen des Patentanspruchs 1 gelöst.
-
Darüber hinaus wird die Aufgabe mit einem Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs mit den Merkmalen des Patentanspruchs 13 gelöst.
-
Ferner wird die Aufgabe mit einem Computerprogramm mit den Merkmalen des Patentanspruchs 14 und einem computerlesbaren Datenträger mit den Merkmalen des Patentanspruchs 15 gelöst.
-
Offenbarung der Erfindung
-
Die vorliegende Erfindung schafft ein computerimplementiertes Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
-
Das Verfahren umfasst ein Bereitstellen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion bestimmt sind.
-
Des Weiteren umfasst das Verfahren ein Bestimmen des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal. Das Verfahren umfasst darüber hinaus eine Allokation einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
-
Das Sicherheitsintegritätsniveaus der Fahrzeugfunktion repräsentiert bzw. beschreibt ein Niveau bzw. ein Level bzw. eine Stufe der Sicherheitsintegrität der Fahrzeugfunktion. Die Sicherheitsintegrität der Fahrzeugfunktion bezeichnet insbesondere eine Zuverlässigkeit der Fahrzeugfunktion, welche bspw. mittels einer Risikobeurteilung ermittelbar ist bzw. ermittelt werden kann.
-
Die Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems kann dabei beispielsweise durch einen ASIL-Score bzw. ASIL-Wert repräsentiert werden.
-
Die vorliegende Erfindung schafft des Weiteren ein Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
-
Das Steuergerät umfasst Mittel zum Empfangen des zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignals, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion bestimmt sind.
-
Ferner umfasst das Steuergerät Mittel zum Bestimmen eines Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion basierend auf dem bereitgestellten Infrastruktur- und/oder Fahrzeugsensor-Datensignal. Das Steuergerät umfasst überdies Mittel zur Allokation einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
-
Die vorliegende Erfindung schafft ferner ein Computerprogramm mit Programmcode, um das erfindungsgemäße Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird sowie einen computerlesbaren Datenträger mit Programmcode eines Computerprogramms, um das erfindungsgemäße Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
-
Üblicherweise wird eine sicherheitsbezogene Funktion durch dediziert dafür mit dem entsprechenden ASIL entwickelte Software und auf dediziert dafür mit dem entsprechenden ASIL entwickelte Hardware umgesetzt. In traditionellen Fahrzeug-E/E-Architekturen bringt es somit auch keine Vorteile, Funktionen dynamisch auf Hardware und mit Software mit unterschiedlichen ASIL umsetzen zu wollen, da die entsprechende Hardware und Software bereits vorhanden sind.
-
Zukünftige Fahrzeug-E/E-Architekturen werden jedoch stark mit externen Systemen, z.B. Cloud, Edge, anderen Fahrzeugen und/oder Smart Devices vernetzt sein. Das bietet die Möglichkeit, Funktionen nach außen auszulagern. Für diese Auslagerung ist der ASIL einer Funktion allerdings eine Einschränkung, da diese externen Systeme häufig nicht nach einer Sicherheitsnorm wie der ISO 26262 entwickelt wurden und somit auch nicht die notwendige „ASIL-Compliance“ bieten.
-
Eine Idee der vorliegenden Erfindung ist es daher, eine dynamische, insbesondere Echtzeit-Bestimmung des ASIL von sicherheitsbezogenen Funktionen bzw. Teilfunktionen auf Basis eines aktuell gegebenen Kontexts wie z.B. einer Fahrsituation und/oder einem Fahrzeugzustand zu ermöglichen.
-
Somit kann in vorteilhafter Weise eine gesteuerte Auslagerung dieser Funktionen oder Teilfunktionen auf externe Systeme unter Berücksichtigung der gegebenen Sicherheitsintegrität dieser externen Systeme durchgeführt werden.
-
Gemäß einer bevorzugten Weiterbildung ist vorgesehen, dass die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf das fahrzeuginterne und/oder das fahrzeugexterne System durchgeführt wird, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems das bestimmte Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion erfüllt.
-
Damit können auch per se sicherheitsbezogene Funktionen dynamisch aus dem Fahrzeug ausgelagert werden, um interne Ressourcen freizugeben bzw. für aufwendigere sicherheitsbezogene Berechnungen zu nutzen. Dies ist insbesondere für Funktionen des automatisierten Fahrens wie einer Umfeldwahrnehmung, einer adaptiven Verhaltensplanung und/oder einer Trajektorienplanung vorteilhaft, deren Berechnungsaufwand dynamisch je nach gegebener Fahrsituation, z.B. einer Komplexität der Fahrsituation und des Umfelds stark variieren kann.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das zumindest eine bereitgestellte Infrastruktur- und/oder Fahrzeugsensor-Datensignal Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs, umfasst. Somit wird eine aktuelle Fahrsituation in dem Infrastruktur- und/oder Fahrzeugsensor-Datensignal exakt abgebildet.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds, umfasst oder ist.
-
Dadurch kann ebenfalls die Kritikalität der aktuellen Fahrsituation in die Bestimmung des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion mit einbezogen werden.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden sowie relativ zum Kraftfahrzeug definierte Bereiche, umfasst oder sind. Dadurch können ebenfalls Infrastrukturdaten in die Bestimmung des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion mit einbezogen werden.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das Bestimmen des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus umfasst, wobei der Klassifikationsalgorithmus auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal angewendet wird, und eine Mehrzahl von das Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion repräsentierende Klassen ausgibt. Das so ermittelte Sicherheitsintegritätsniveau, insbesondere der ASIL, dient daher als Grundlage für die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die sicherheitsbezogene Fahrzeugfunktion eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs ist.
-
Dies ermöglicht eine Bestimmung, ob beispielsweise ein ungewolltes Bremsen gefährlich ist, weil sich ein Fahrzeug hinter dem Kraftfahrzeug befindet oder nicht. Ebenso kann dadurch bewertet werden, ob ein ungewolltes Lenken oder Bremsen je nach Fahrzeuggeschwindigkeit und Fahrzeugumgebung gefährlich ist oder nicht.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die sicherheitsbezogene Fahrzeugfunktion eine Umfelderfassungsfunktion ist, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
-
Z.B. ist die Erkennung von Ampeln je nach Situation in einem Bereich relevant oder nicht, z.B. weniger relevant für weit voraus bei niedriger Ego-Geschwindigkeit sowie bei bekanntem Nicht-Vorhandensein/Deaktivierung von Ampeln auf der Strecke, welche Daten durch statische oder dynamische Karteninformationen erlangt werden können.
-
Ferner ist eine Ampelerkennung weniger relevant z.B. bei bekanntem NichtVorhandensein von Ampeln in gewissen Sichtbereichen, bei einer Autobahnfahrt, im Sichtbereich links oder geradeaus bei einer Rechtskurve sowie beim Anfahren.
-
Ferner ist die Erkennung von Personen weniger relevant bzw. weniger sicherheitskritisch für weiter entfernte oder abgesperrte Bereiche, aus denen Personen realistisch nicht den Bereich vor dem Fahrzeug erreichen können sowie Bereiche, in denen sich realistisch keine Personen befinden können, z.B. in einem Tunnel oder auf einer Autobahn.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion basierend auf einer Echtzeit-Kritikalität, insbesondere unter Verwendung zumindest eines Echtzeit-Infrastruktur- und/oder Fahrzeugsensor-Datensignals bestimmt wird.
-
Die Echtzeit-Kritikalität der Daten ermöglicht somit eine Echtzeit Auslagerung bzw. Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass im Fahrzeug und im Fahrzeugumfeld verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion, insbesondere des Sicherheitsintegritätsniveaus eines benötigten Steuergerätes und/oder eines auf dem Steuergerät betriebenen computer-implementierten Verfahrens bestimmt und eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion über diese Ressourcen benötigte maximale Latenz bestimmt wird.
-
Diese Daten können somit auch lokal im Fahrzeug in einer Datenbank (z.B. Integritäts-/Performance-Karte der von einer regionalen Position aus verfügbaren Ressourcen) hinterlegt sein.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion, deren Sicherheitsintegritätsniveau einen vorgegebenen Schwellwert unterschreitet, auf dem Fahrzeugsteuergerät ausgeführt wird.
-
Somit kann beispielsweise eine Ausführung der Software auf einem internen Steuergerät, auf dem „Safety“-Core (z.B. Lockstep-CPU) des Steuergeräts, der einem hohen ASIL entspricht, eine Ausführung auf einem weniger abgesicherten Core, z.B. nur mit „QM-Einstufung“, eine Ausführung auf redundanten GPUs, mit Vergleich der Ergebnisse, der einem hohen ASIL entspricht und/oder eine Ausführung auf einer einzelnen GPU mit niedrigerem ASIL oder „QM-Einstufung“ ermöglicht werden.
-
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass eine Funktionsausführung über V2X auf einem externen System, insbesondere einem Edge-, Fog- und/oder Cloud-Server, einem Steuergerät eines anderen Verkehrsteilnehmers und/oder einem Smart Device, insbesondere einem Smartphone, angefordert wird.
-
Somit kann eine Ausführung auf einem externen System, das gemäß einem hohen Sicherheitsintegritätslevel entwickelt wurde, eine Ausführung auf redundanten externen Systemen mit niedriger Sicherheitsintegrität oder reiner „QM-Einstufung“, mit lokalem Vergleich der Ergebnisse für eine höhere Sicherheitsintegrität („SW Lockstep“) und eine Ausführung auf einem einzelnen externen System mit niedriger Sicherheitsintegrität oder reiner „QM-Einstufung“ ermöglicht werden.
-
Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren.
-
Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale der Erfindung.
-
Kurze Beschreibung der Zeichnungen
-
Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der Erfindung vermitteln. Sie veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Prinzipien und Konzepten der Erfindung.
-
Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die dargestellten Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.
-
Es zeigen:
- 1 ein Ablaufdiagramm eines computerimplementierten Verfahrens zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs gemäß einer bevorzugten Ausführungsform der Erfindung; und
- 2 eine schematische Darstellung eines Steuergerätes zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs gemäß der bevorzugten Ausführungsform der Erfindung.
-
Das ist 1 gezeigte computerimplementierte Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus 14 einer sicherheitsbezogenen Fahrzeugfunktion 12 eines Kraftfahrzeugs umfasst ein Bereitstellen S1 zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion 12 bestimmt sind.
-
Die sicherheitsbezogene Fahrzeugfunktion wird dabei als einen sicherheitsrelevanten Aspekt des Fahrzeugs wie z.B. ein Beschleunigen, Bremsen und/oder einen Lenkeingriff betreffende Funktion verstanden.
-
Das Verfahren umfasst ferner ein Bestimmen S2 eines Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10 und eine Allokation S3 einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 auf ein fahrzeuginternes und/oder ein fahrzeugexternes System 16, 18 unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems 16, 18.
-
Die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 wird dabei auf das fahrzeuginterne und/oder das fahrzeugexterne System 16, 18 durchgeführt, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems 16, 18 das bestimmte Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 erfüllt.
-
Das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 umfasst Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs.
-
Das bereitgestellte Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 umfasst oder ist des Weiteren ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds. Darüber hinaus ist das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden sowie relativ zum Kraftfahrzeug definierte Bereiche.
-
Das Bestimmen des Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 umfasst eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus.
-
Der Klassifikationsalgorithmus wird auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 angewendet und gibt eine Mehrzahl von das Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 repräsentierende Klassen aus. Die ausgegebenen Klassen sind dabei unterschiedliche Sicherheitsintegritätsniveaus 14, insbesondere unterschiedliche ASIL, der sicherheitsbezogenen Fahrzeugfunktion 12.
-
Die sicherheitsbezogene Fahrzeugfunktion 12 ist eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs. Ferner ist die sicherheitsbezogene Fahrzeugfunktion 12 eine Umfelderfassungsfunktion, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
-
Das Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 wird basierend auf einer Echtzeit-Kritikalität, insbesondere unter Verwendung von Echtzeit-Infrastruktur- und/oder Fahrzeugsensor-Datensignalen 10 bestimmt.
-
Im Fahrzeug und im Fahrzeugumfeld werden verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion 12, insbesondere des Sicherheitsintegritätsniveaus 14 eines benötigten Steuergerätes und/oder eines auf dem Steuergerät 20 betriebenen computer-implementierten Verfahrens bestimmt. Ferner wird eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion 12 über diese Ressourcen benötigte maximale Latenz bestimmt. Die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12, deren Sicherheitsintegritätsniveau 14 einen vorgegebenen Schwellwert unterschreitet, wird auf dem Steuergerät 20 ausgeführt.
-
Eine Funktionsausführung über V2X wird auf einem externen System, insbesondere ein Edge Server, Fog, Cloud, Steuergerät 20 eines anderen Verkehrsteilnehmers, Smart Device angefordert. Vehicle-to-everything V2X ist die Kommunikation zwischen einem Fahrzeug und jeder Einrichtung, die das Fahrzeug beeinflussen oder von ihm beeinflusst werden kann.
-
2 zeigt eine schematische Darstellung eines Steuergerätes zum Bestimmen eines Sicherheitsintegritätsniveaus 14 einer sicherheitsbezogenen Fahrzeugfunktion 12 eines Kraftfahrzeugs gemäß der bevorzugten Ausführungsform der Erfindung.
-
Das Steuergerät 20 umfasst Mittel 22 zum Empfangen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion 12 bestimmt sind.
-
Ferner umfasst das Steuergerät Mittel 24 zum Bestimmen eines Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10.
-
Das Steuergerät umfasst darüber hinaus Mittel 26 zur Allokation S3 einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102015200422 A1 [0006]
- DE 102019214453 A1 [0007]