EP3642717A1 - Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls - Google Patents

Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls

Info

Publication number
EP3642717A1
EP3642717A1 EP18726393.4A EP18726393A EP3642717A1 EP 3642717 A1 EP3642717 A1 EP 3642717A1 EP 18726393 A EP18726393 A EP 18726393A EP 3642717 A1 EP3642717 A1 EP 3642717A1
Authority
EP
European Patent Office
Prior art keywords
information
core
plausibility check
processor
plausibility
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP18726393.4A
Other languages
English (en)
French (fr)
Inventor
B lent SARI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Publication of EP3642717A1 publication Critical patent/EP3642717A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S13/00Systems using the reflection or reradiation of radio waves, e.g. radar systems; Analogous systems using reflection or reradiation of waves whose nature or wavelength is irrelevant or unspecified
    • G01S13/86Combinations of radar systems with non-radar systems, e.g. sonar, direction finder
    • G01S13/865Combination of radar systems with lidar systems
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S13/00Systems using the reflection or reradiation of radio waves, e.g. radar systems; Analogous systems using reflection or reradiation of waves whose nature or wavelength is irrelevant or unspecified
    • G01S13/86Combinations of radar systems with non-radar systems, e.g. sonar, direction finder
    • G01S13/867Combination of radar systems with cameras
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S13/00Systems using the reflection or reradiation of radio waves, e.g. radar systems; Analogous systems using reflection or reradiation of waves whose nature or wavelength is irrelevant or unspecified
    • G01S13/88Radar or analogous systems specially adapted for specific applications
    • G01S13/93Radar or analogous systems specially adapted for specific applications for anti-collision purposes
    • G01S13/931Radar or analogous systems specially adapted for specific applications for anti-collision purposes of land vehicles
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S17/00Systems using the reflection or reradiation of electromagnetic waves other than radio waves, e.g. lidar systems
    • G01S17/88Lidar systems specially adapted for specific applications
    • G01S17/93Lidar systems specially adapted for specific applications for anti-collision purposes
    • G01S17/931Lidar systems specially adapted for specific applications for anti-collision purposes of land vehicles
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S7/00Details of systems according to groups G01S13/00, G01S15/00, G01S17/00
    • G01S7/02Details of systems according to groups G01S13/00, G01S15/00, G01S17/00 of systems according to group G01S13/00
    • G01S7/40Means for monitoring or calibrating
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S7/00Details of systems according to groups G01S13/00, G01S15/00, G01S17/00
    • G01S7/48Details of systems according to groups G01S13/00, G01S15/00, G01S17/00 of systems according to group G01S17/00
    • G01S7/497Means for monitoring or calibrating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/186Passive fault masking when reading multiple copies of the same data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2420/00Indexing codes relating to the type of sensors based on the principle of their operation
    • B60W2420/40Photo, light or radio wave sensitive means, e.g. infrared sensors
    • B60W2420/403Image sensing, e.g. optical camera
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2420/00Indexing codes relating to the type of sensors based on the principle of their operation
    • B60W2420/40Photo, light or radio wave sensitive means, e.g. infrared sensors
    • B60W2420/408Radar; Laser, e.g. lidar
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/35Data fusion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/187Voting techniques
    • G06F11/188Voting techniques where exact match is not required

Definitions

  • the invention relates to a device for driving a vehicle module according to claim 1, a control device for a vehicle module according to claim 8 and a driver assistance method according to claim 16.
  • Control units also called electronic control units, abbreviated ECUs, are electronic components for controlling and regulating.
  • ECUs are used in several electronic areas to control and regulate vehicle functions.
  • the ECUs known in the prior art each control and regulate a vehicle function, for example, a function for ejecting a CD from a CD player of a car radio is controlled and regulated by an ECU, the function of setting a radio station from another ECU.
  • an ECU consumes energy in the form of computing power, the energy consumption increases with each function to be controlled and regulated.
  • the aim is not to control and regulate each individual function, each with a single ECU, but to merge several inter-related functions in one ECU, on the one hand to reduce energy consumption and, on the other hand, to evaluate information more efficiently.
  • Vehicle areas that form a functional unit have functions that are related to each other. Such vehicle areas are calledakido- mänen.
  • vehicle domains are the infotainment system, the chassis, the drive, the interior or the safety.
  • Functions for the infotainment system include, for example, operating a radio, a CD player, establishing a telephone connection, connecting to a hands-free unit, etc.
  • the music CD is playing, for example, the music is stopped when a telephone connection is made.
  • ECUs which control and regulate vehicle domains and thus several interrelated functions, are called domain ECUs.
  • ECUs for vehicles must provide the required functionality reliably and safely and be available, especially in the chassis, drive and safety.
  • Reliability means that the vehicle should bring occupants without failure from a starting point to a destination point, provided that the vehicle functions properly at the starting point.
  • safety means that the vehicle does not pose any danger to humans.
  • Availability means that the vehicle is ready for use at any time and not, for example. continuously defective in the workshop stands.
  • the Automotive Standard Functional Safety Standard ISO 26262 also requires that in the event of malfunction, in particular electrical malfunction, an ECU, e.g. Failure of the ECU due to a voltage dip, countermeasures in the form of security measures should ensure that unjustifiable injury risks are avoided. An error caused by a voltage dip can be avoided for example by a redundant power supply.
  • domain ECUs for driver assistance systems also known as advanced driver assistance systems, abbreviated ADAS
  • ADAS systems capture environment of a vehicle by means of environment detection sensors such as a camera, evaluate it, and relay corresponding information to vehicle modules to assist the driver in a safe journey.
  • a domain ECU for an ADAS system is called ADAS domain ECU.
  • Functions that are controlled and controlled by an ADAS domain ECU are, for example, recognition of driving track markings, vehicles, traffic signs, pedestrians, etc. These functions are centrally controlled and regulated by the ADAS domain ECU.
  • ADAS domain ECUs which process data from environment detection sensors
  • a camera as an electronic system may be in a good condition, but still misinterpret and misinterpret a detected object.
  • the object of the invention is to improve the security of the domain ECUs known from the prior art, in particular of ADAS domain ECUs.
  • the vehicle module driver comprises a security processor having at least one information interface at an input of the security processor and a control interface at an output of the security processor, the security processor including at least a first core, a second core, and a third core.
  • the first core is designed to execute a first plausibility check of at least one first information passed to the security processor via the information interface with at least one second information passed to the security processor via the information interface, the second core being configured, a second plausibility check of the first information to perform with the second information, the third core is formed, a comparison of a forward to the third core result of the performed on the first core first plausibility control with a forwarded to the third core result of execute the second core trained plausibility check and forward the information for which in the first plausibility check and in the second plausibility check a plausibility has been determined to the control interface, wherein the vehicle module is controlled with the information found to be plausible via the control interface.
  • a vehicle module is a component of a vehicle.
  • a steering wheel of a vehicle is a vehicle module.
  • Electrical / electronic systems abbreviated E / E systems, are also vehicle modules.
  • a processor is an electronic circuit that captures and processes commands. As a result of processing instructions, the processor can control and regulate other electrical circuits, thereby promoting a process.
  • a kernel is a part of a processor which forms a computing unit and which itself is capable of executing one or more instructions.
  • the security processor is thus a multi-core processor in which a plurality of cores are arranged on a single chip, that is, a semiconductor device. Multi-core processors achieve higher computing power and are more cost effective to implement in a single chip than multiple cores.
  • the security processor is also called multicore micro control unit, abbreviated multicore MCU.
  • An interface is a device between at least two functional units at which an exchange of logical quantities, for example data or physical quantities, for example electrical signals, takes place, either only unidirectionally or bidirectionally.
  • the exchange can be analog or digital.
  • An interface may exist between software and software, hardware and hardware, and software and hardware, and hardware and software.
  • Plausibility check is a method by which a value, or generally a result, is superimposed to check whether it is at all plausible, ie acceptable, plausible and / or comprehensible or not. Plausibility checks can be carried out both in hardware and in software. Plausibility checks are, in particular, the monitoring of signals that may only occur in certain combinations and sequences. For example, measured values can be checked for their plausible value range and their time course.
  • the plausibility check of a variable is a plausibility check.
  • two or more sensors which detect different information, are compared with each other during operation in order to detect disturbances, such as deviations or failure.
  • short circuits and / or ground contacts can be detected by means of plausibility checks.
  • the first information is a subset of knowledge that a sender can convey to a receiver through a particular medium.
  • the first information is preferably different from the second information.
  • subject objects in a digital camera image that the camera transmits via electrical power to a processor for further processing are certain first image information. Spatial distances of the objects to the camera form the second information.
  • First information is plausible to second information if the content of the first information is acceptable in terms of the content of the second information. If the first information matches in content with the content of the second information, then the first information is plausible to the second information.
  • the first plausibility check and the second plausibility check may differ in their respective procedures.
  • hardware and software with which the plausibility checks are carried out can be checked for errors.
  • measured values can be checked in a first plausibility check as integers, in a second plausibility check as floating point numbers.
  • the device according to the invention has the advantage that the vehicle module is not directly controlled with processed information. Processing information itself can be compliant with ISO 26262. However, the information may pose further security risks that can not be mapped with ISO 26262. For example, environment information may incorrectly reflect the environment. In order to avoid these additional security risks, the information in the security processor is first checked for plausibility in order to exclude further security risks.
  • the plausibility checks determine whether the hardware and software are functioning without errors and which information is correct for the safe control of the vehicle module. If an information in the plausibility check is detected as faulty, it is not forwarded to the control interface. The vehicle module is thus controlled only with plausible information. The vehicle module, which is controlled with the information found to be plausible, is then in a safe state. Driving with information also means that when there is more information, the information is first merged and the vehicle module is driven with the information or information resulting from the merger. In particular, the invention thus provides a security architecture for ADAS domain ECUs.
  • a secure state for the vehicle module is thus in particular acceptable in the event that an environment is detected incorrectly, since in this case the vehicle module is controlled with plausible information. Due to the redundant signal conditioning of the different sensor signals such as camera, radar or lidar, it is possible to carry out a plausibility check. Thus, it is possible to detect the faulty signal in the event of an error. In the event of a fault, damage is minimized by triggering with plausible information.
  • the device is thus fail-safe, also called fail-safe.
  • the fact that the first plausibility check on the first core and the second plausibility check on the second core are executed, wherein the second plausibility check in the procedure may differ from the first plausibility check, has the advantage that both hardware and software errors are detected.
  • the first core calculates the same as the second core, preferably with different approaches. If a deviation from the result obtained with the second core is found on the third core when comparing the result obtained with the first core, there is a hardware and / or software error.
  • the first core is designed to execute the first plausibility check for the first information, the second information and at least one third information supplied to the security processor via the information interface, the first information the second information and the third information each against each other for plausibility are controllable. This makes it possible to detect incorrect information comparatively easily. For example, if the first information is plausible with the second information and with the third information, and the second information is plausible with the third information, no information is erroneous. If, for example, the first information is not plausible with the second information and not plausible with the third information, but the second information is plausible with the third information, then the first information is erroneous.
  • the second core is designed to execute the second plausibility check for the first information, the second information and at least one third information supplied to the security processor via the information interface, wherein the first information, the second information and the third information can each be checked for plausibility.
  • three pieces of information can be compared to the third core.
  • the result of the first plausibility check carried out on the first core and / or the result of the second plausibility check carried out on the second core is a majority selection of the information with a majority plausibility.
  • the information which is mostly not plausible with the other information, is faulty.
  • the majority vote is also known as voting. If three pieces of information are checked for plausibility, and if one of the three pieces of information is detected as being defective, only two of the three pieces of information are forwarded to the control interface for activating the vehicle module. This majority voting is also known as 2oo3 voting, that is, two out of three.
  • the safety processor in particular in each case the first core, the second core and the third core, preferably has a redundant power supply. Redundancy is the additional presence of functionally identical or comparable resources of a technical system, if they are normally not required for trouble-free operation. If a power supply fails due to an error, the device is in a manageable state due to the additional redundant power supply. With a voltage dip in a single power supply to the security processor, the entire security processor would fail with the first, second, and third cores. Such a multi-component failure that occurs as a result of a single failure cause or a single event is called common cause failure. The redundant power supply thus prevents a common cause failure caused by a voltage dip in a power supply.
  • the security processor preferably has in each case the first core, the second core and the third core, a monitoring device.
  • the monitoring device also known as watchdog, is a component of a system that monitors the functions of other components, in this case the security processor, in particular the first, the second and the third core. If a possible malfunction is detected, this is either signaled according to the security agreement or a suitable jump instruction is initiated, which corrects the pending problem.
  • watchdog includes both hardware watchdogs and software watchdogs.
  • the hardware watchdog is an electronic component with communication to the component being controlled.
  • the software watchdog is a checking software in the component to be checked, which checks whether all important program modules are executed correctly within a given time frame or whether a module is not allowed to be used for the required length of time. needed.
  • watchdogs can be implemented in safety-critical applications and allow monitoring of E / E systems for compliance with IS026262.
  • the information interface is preferably a redundant information interface. Thus, in the event that an information interface fails, an additional information interface is available, which keeps the device in a manageable state.
  • the inventive control device for a vehicle has a device according to the invention and a power processor, wherein the information interface of the device is arranged between the power processor and the security processor, with the features that the power processor has a detection device and an evaluation device, the detection device is formed, at least one to acquire, ie to acquire, the first signal and a second signal, the evaluation device is designed to generate at least first information from the first signal and second information from the second signal, and at least the first signal generated from the first signal by means of the information interface Information and the second information generated from the second signal to the security processor is controllable for driving the vehicle module.
  • the control device has the advantage that the information generated by the evaluation of the signals are not used directly for driving the vehicle module, but are previously checked for plausibility by means of the device according to the invention. This ensures that the vehicle module is controlled only with plausible information and not with faulty information.
  • the power processor has at least a first channel and a second channel separated from the first channel, wherein the first signal can be detected in the first channel and the first information can be generated from the detected first signal, and wherein in the second channel second signal detectable and the second information can be generated independently of the first information.
  • the power processor in particular in each case the first channel and the second channel or respectively the detection device and the evaluation device, preferably has a redundant power supply.
  • the redundant power supply prevents a common cause failure caused by a voltage dip in a power supply.
  • the power processor in particular in each case at least the first channel and the second channel, has a monitoring device, a so-called watchdog.
  • the watchdog can be a hardware and / or software watchdog.
  • the evaluation device on an artificial intelligence means recreating a human-like intelligence, that is, trying to build or program a computer that can handle problems on its own.
  • Artificial intelligence can be realized in particular with artificial neural networks.
  • An artificial neural network is an algorithm that is executed on an electronic circuit and programmed on the model of the neural network of the human brain.
  • Functional units of an artificial neural network are artificial neurons whose output is generally evaluated as the value of an activation function over a weighted sum of the inputs plus a systematic error, the so-called bias.
  • By testing multiple predetermined inputs with different weighting factors and activation functions artificial neural networks, similar to the human brain, are trained or trained.
  • the training of artificial intelligence by means of predetermined inputs is called machine learning.
  • a subset of machine learning is deep learning, in which a series of hierarchical layers of neurons, so-called hidden layer, is used to perform the process of machine learning.
  • An evaluation device with an artificial intelligence can process signals more efficiently than a deterministic evaluation device.
  • the algorithm underlying the artificial intelligence can be executed on a graphics processor, a so-called Graphics Processor Unit, abbreviated GPU.
  • a GPU has the advantage of being able to process several processes simultaneously, which increases the efficiency of the evaluation device.
  • signals detected by the detection device are the signals of surroundings detection sensors, in particular camera signals, radar signals and / or lidar signals.
  • Surround detection sensors provide input to driver assistance systems. For example, if the device of the present invention determines that the camera information is not plausible with the radar information but is plausible with the lidar information, and the radar information is not plausible with the lidar information, then the radar information is the erroneous information.
  • the vehicle module is a vehicle domain, in particular infotainment, chassis, drive, interior and / or security.
  • a driver assistance system comprising an inventive control device is also provided.
  • driver assistance method an inventive control unit is used.
  • the driver assistance method according to the invention has the following steps:
  • driver assistance method it is ensured that only those information items are used to control the vehicle module, which were classified as safe by means of the plausibility checks.
  • FIG. 1 shows an embodiment of a device according to the invention
  • Fig. 2 an embodiment of a control device according to the invention
  • FIG 3 shows an exemplary embodiment of a driver assistance method according to the invention.
  • the device 1 shows a device 1 according to the invention for driving a vehicle module 2.
  • the device 1 has an information interface 20, a safety processor 10 and a control interface 21.
  • a first information 31, a second information 32 and a third information 33 is passed to the security processor 10.
  • the security processor 10 has a first core 11, a second core 12 and a third core 13.
  • Each individual core is connected to a redundant power supply 14.
  • each core is controlled by a monitoring device 15.
  • the first information 31, the second information 32 and the third information 33 each enter the device 1 as a two-channel object.
  • the information 31, 32 and 33 are mutually checked for plausibility in a first plausibility check 30.
  • the information 31, 32 and 33 are mutually checked for plausibility by means of a second plausibility check 40, which is different from the first plausibility check 30.
  • the majority selection is based on the following scheme of majority scheme : 1: not plausible majority voter
  • the device 1 recognizes that the lidar information 33 is faulty.
  • the information 31, 32 and 33 determined to be mutually plausible in the first plausibility check 30 and in the second plausibility check 40 are passed on to the third core 13, in which a comparison 45 of the incoming information is made. If the information found to be mutually plausible in the first core 11 is also recognized as the plausible information in the core 12, which can be determined by a comparison 45, the vehicle module 2 is actuated via the control interface 21 with the mutually plausible information.
  • the third core 13 will detect a hardware and / or software error.
  • control device 3 shows an exemplary embodiment of a control device 3 according to the invention.
  • the control device 3 is used to connect a power processor 50 with a security process. sor 10 via the information interface 20, which is arranged between the power processor 50 and the security processor 10, brought together.
  • the power processor has a detection device 51 and an evaluation device 52.
  • the detection device 51 has a redundant power supply 14.
  • a first signal 53, a second signal 54 and a third signal 55 are collected.
  • the signals 53, 54 and 55 may be, for example, signals from environment detection sensors.
  • the first signal 53 may be a signal from a camera sensor
  • the second signal 54 may be the signal from a radar sensor
  • the third signal 55 may be a signal from a lidar sensor.
  • the signals 53, 54 and 55 are detected and processed in separate channels of the power processor, namely a first channel 56, a second channel 57 and a third channel 58.
  • corresponding information 31, 32, 33 are generated from the signals 53, 54 and 55, which arrive via the information interface 20 in the security processor 1.
  • the information from, for example, a camera signal 53 is then a corresponding camera image.
  • the camera image may be an apron image, a rear field image or a side field image of a vehicle.
  • the evaluation device 52 has an artificial intelligence.
  • Artificial intelligence is an artificial neural network that is trained to recognize traffic situations.
  • the function of the power processor 50 is controlled by a watchdog 15.
  • FIG. 3 shows an exemplary embodiment of a driver assistance method 5 according to the invention that can be executed with a driver assistance system 4.
  • the signals 53, 54 and 55 are first detected by means of the detection device 51 in the method step 60 of the detection. Subsequently, the evaluation 61 of the signals 53, 54 and 55 takes place in the evaluation device 52. The detection 60 and the evaluation 61 of the signals 53, 54 and 55 for the information 31, 32 and 33 takes place in the power processor 50.
  • the evaluated information 31, 32 and 33 are sent via the information interface in the method step 62 of forwarding the information in the security processor 10.
  • the following method steps take place in the security processor 10:
  • the execution of the first plausibility check 30 takes place in the first core 11.
  • Execution 64 of the second plausibility check 40 is carried out in the second core 12.
  • the results of the first plausibility check 30 carried out on the first core 1 1 and the results of the second plausibility check 40 carried out on the second core 12 are forwarded to the third in the method step 65 Core 13 of the security processor headed.
  • a comparison 66 of the results of the plausibility checks 30 and 40 is carried out in the third core 13 of the security processor 10.
  • the information is forwarded 67 for which a plausibility has been determined in the first plausibility check 30 and in the second plausibility check 40 Control interface 22 to the vehicle module 2, wherein the vehicle module 2 is controlled in the method step 68 of the control with the information determined to be plausible.
  • the activation of a vehicle module can take place in such a way that the activation is perceptible in a haptic manner.
  • a steering wheel can be controlled in a detected non-compliance of a traffic lane so that the steering wheel vibrates, what the driver perceives with his sense of touch.
  • the control can also be done visually or acoustically or via actuators, in particular mechatronic actuators.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Electromagnetism (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Traffic Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung stellt eine Vorrichtung zum Ansteuern eines Fahrzeugmoduls mit plausiblen Informationen bereit aufweisend einen mehrkernigen Sicherheitsprozessor, der ausgebildet ist, prozessierte Informationen auf Plausibilität zu kontrollieren. Außerdem wird ein Steuergerät für ein Fahrzeugmodul bereitgestellt aufweisend einen Leistungsprozessor, dessen ausgewertete Informationen über eine Informationsschnittstelle im Sicherheitsprozessor der erfindungsgemäßen Vorrichtung auf Plausibilität hin überprüft werden. Ferner wird ein Fahrerassistenzverfahren bereitgestellt, bei dem ein erfindungsgemäßes Steuergerät verwendet wird.

Description

Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
Die Erfindung betrifft eine Vorrichtung zum Ansteuern eines Fahrzeugmoduls gemäß Anspruch 1 , ein Steuergerät für ein Fahrzeugmodul gemäß Anspruch 8 und ein Fahrerassistenzverfahren gemäß Anspruch 16.
Steuergeräte, auch electronic control units, abgekürzt ECUs, genannt, sind elektronische Bauteile zum Steuern und Regeln. Im Automotive Bereich werden ECUs in mehreren elektronischen Bereichen eingesetzt zum Steuern und Regeln von Fahrzeugfunktionen. Die aus dem Stand der Technik bekannten ECUs steuern und regeln jeweils eine Fahrzeugfunktion, zum Beispiel wird eine Funktion zum Auswerfen einer CD aus einem CD Spieler eines Autoradios von einer ECU gesteuert und geregelt, die Funktion zum Einstellen eines Radiosenders von einer anderen ECU.
Bei derzeitigen teilautomatisiert fahrenden Fahrzeugen werden während einer Fahrt über 100 Funktionen jeweils von einzelnen ECUs gesteuert und geregelt. Jede weitere hinzukommende Funktion erfordert eine zusätzliche ECU. In der Entwicklung hin zu hochautomatisierten, vollautomatisierten und autonom fahrenden Fahrzeugen fallen noch mehr Funktionen an, die gesteuert und geregelt werden müssen. Insbesondere im Hinblick auf die Vielzahl an im Straßenverkehr entstehenden Informationen müssen bereits in einem teilautomatisiert fahrenden Fahrzeug eine große Anzahl an Funktionen gesteuert und geregelt werden, um alle Informationen erfassen und auswerten zu können zur Ermöglichung einer sicheren Fahrt.
Da eine ECU Energie in Form von Rechenleistung verbraucht, steigt mit jeder zu steuernden und zu regelnden Funktion der Energieverbrauch. Es wird das Ziel verfolgt, nicht jede einzelne Funktion mit jeweils einer einzelnen ECU zu steuern und zu regeln, sondern mehrere, miteinander in Beziehung stehende Funktionen in einer ECU zusammenzuführen, um einerseits den Energieverbrauch zu sinken und andererseits Informationen effizienter auszuwerten.
Bei Fahrzeugbereichen, die eine Funktionseinheit bilden, fallen Funktionen an, die miteinander in Beziehung stehen. Derartige Fahrzeugbereiche heißen Fahrzeugdo- mänen. Beispiele für Fahrzeugdomänen sind das Infotainmentsystem, das Fahrwerk, der Antrieb, das Interieur oder die Sicherheit. Funktionen für das Infotainmentsystem sind zum Beispiel das Betreiben eines Radios, eines CD Spielers, das Herstellen einer Telefonverbindung, einer Verbindung zu einer Freisprechanlage, usw. Bei laufender Musik-CD wird beispielsweise die Musik angehalten, wenn eine Telefonverbindung hergestellt wird. Derartige ECUs, die Fahrzeugdomänen und damit mehrere, miteinander in Beziehung stehende Funktionen, steuern und regeln, heißen domain ECUs.
ECUs für Fahrzeuge müssen die geforderte Funktionalität zuverlässig und sicher liefern und verfügbar sein, insbesondere im Bereich Fahrwerk, Antrieb und Sicherheit. Zuverlässigkeit bedeutet, dass das Fahrzeug Insassen ohne Ausfall von einem Startpunkt zu einem Zielpunkt bringen soll, sofern das Fahrzeug beim Startpunkt ordnungsgemäß funktioniert. Sicherheit bedeutet im Prinzip, dass durch das Fahrzeug keine Gefahr für Menschen entsteht. Verfügbarkeit heißt, dass das Fahrzeug möglichst jederzeit betriebsbereit ist und nicht z.B. fortlaufend defekt in der Werkstatt steht.
Die im Automotive Bereich gültige Functional Safety Norm ISO 26262 fordert außerdem, dass bei Fehlfunktionen, insbesondere elektrischer Fehlfunktion, einer ECU, z.B. Ausfall der ECU durch einen Spannungseinbruch, Gegenmaßnahmen in Form von Sicherheitsmaßnahmen gewähren sollen, dass unvertretbare Verletzungsrisiken vermieden werden. Ein Fehlerfall bedingt durch einen Spannungseinbruch kann beispielsweise durch eine redundante Spannungsversorgung vermieden werden.
Für teilautomatisiert fahrende Fahrzeuge sind domain ECUs für Fahrerassistenzsysteme, auch advanced driver assistance Systems, abgekürzt ADAS, genannt, Gegenstand aktueller Forschung. ADAS Systeme erfassen zum Beispiel mittels Umfelderfassungssensoren wie einer Kamera das Umfeld eines Fahrzeuges, werten dieses aus und Leiten entsprechende Informationen an Fahrzeugmodule weiter, um den Fahrer bei einer sicheren Fahrt zu unterstützen. Eine domain ECU für ein ADAS System wird ADAS-Domain-ECU genannt. Funktionen, die von einer ADAS-Domain- ECU gesteuert und geregelt werden, sind zum Beispiel das Erkennen von Fahr- bahnmarkierungen, Fahrzeugen, Verkehrsschildern, Fußgängern, usw. Diese Funktionen werden zentral von der ADAS-Domain-ECU gesteuert und geregelt.
Für domain-ECUs, insbesondere für ADAS-Domain-ECUs, die Daten von Umfelderfassungssensoren verarbeiten, bestehen Sicherheitsrisiken auch dann, wenn die ECU elektrisch in einem fehlerfreien Zustand sich befindet. Z.B. kann eine Kamera als elektronisches System sich in einem fehlerfreien Zustand befinden, aber trotzdem ein erfasstes Objekt falsch verstehen und falsch interpretieren.
Hier setzt die Erfindung an. Der Erfindung hat die Aufgabe zugrunde gelegen, die Sicherheit der aus dem Stand der Technik bekannten domain ECUs, insbesondere von ADAS-Domain-ECUs, zu verbessern.
Diese Aufgabe wird gelöst mit einer Vorrichtung mit den Merkmalen des Anspruchs 1 , mit einem Steuergerät mit den Merkmalen des Anspruchs 8 und mit einem Fahrerassistenzverfahren mit den Merkmalen des Anspruchs 16.
Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den Unteransprüchen angegeben.
Die Vorrichtung zum Ansteuern eines Fahrzeugmoduls weist einen Sicherheitsprozessor mit wenigstens einer Informationsschnittstelle an einem Eingang des Sicherheitsprozessors und einer Steuerungsschnittstelle an einem Ausgang des Sicherheitsprozessors auf, wobei der Sicherheitsprozessor wenigstens einen ersten Kern, einen zweiten Kern und einen dritten Kern aufweist. Erfindungswesentlich ist, dass der erste Kern ausgebildet ist, eine erste Plausibilitätskontrolle wenigstens einer über die Informationsschnittstelle an den Sicherheitsprozessor geleiteten ersten Information mit wenigstens einer über die Informationsschnittstelle an den Sicherheitsprozessor geleiteten zweiten Information auszuführen, der zweite Kerne ausgebildet ist, eine zweite Plausibilitätskontrolle der ersten Information mit der zweiten Information auszuführen, der dritte Kern ausgebildet ist, einen Vergleich eines an den dritten Kern weitergeleiteten Ergebnisses der auf dem ersten Kern ausgeführten ersten Plausibilitätskontrolle mit einem an den dritten Kern weitergeleiteten Ergebnis der auf dem zweiten Kern ausgebildeten Plausibilitätskontrolle auszuführen und die Informationen, für die in der ersten Plausibilitätskontrolle und in der zweiten Plausibilitätskontrolle eine Plausibilität festgestellt wurde, an die Steuerungsschnittstelle weiterzuleiten, wobei das Fahrzeugmodul mit den als plausibel festgestellten Informationen über die Steuerungsschnittstelle ansteuerbar ist.
Ein Fahrzeugmodul ist ein Bauteil eines Fahrzeuges. Zum Beispiel ist ein Lenkrad eines Fahrzeuges ein Fahrzeugmodul. Elektrische/elektronische Systeme, abgekürzt E/E Systeme, sind ebenfalls Fahrzeugmodule. Auch Funktionseinheiten, die aus mehreren Bauteilen bestehen können, bilden ein Fahrzeugmodul.
Ein Prozessor ist eine elektronische Schaltung, die Befehle erfasst und verarbeitet. Mit dem Ergebnis der Verarbeitung von Befehlen kann der Prozessor andere elektrische Schaltungen steuern und regeln und dabei einen Prozess vorantreiben.
Als Kern wird ein Teil eines Prozessors bezeichnet, der eine Recheneinheit bildet und der selbst in der Lage ist, eine oder mehrere Befehle auszuführen.
Der Sicherheitsprozessor ist damit ein Mehrkernprozessor, bei dem mehrere Kerne auf einem einzigen Chip, das heißt einem Halbleiterbauelement, angeordnet sind. Mehrkernprozessoren erreichen eine höhere Rechenleistung und sind kostengünstiger in einem Chip zu implementieren als mehrere einzelne Kerne. Der Sicherheitsprozessor wird auch multicore micro control unit, abgekürzt multicore MCU, genannt.
Eine Schnittstelle ist eine Einrichtung zwischen wenigstens zwei Funktionseinheiten, an der ein Austausch von logischen Größen, zum Beispiel Daten, oder physikalischen Größen, zum Beispiel elektrischen Signalen, erfolgt, entweder nur unidirektio- nal oder bidirektional. Der Austausch kann analog oder digital erfolgen. Eine Schnittstelle kann zwischen Software und Software, Hardware und Hardware sowie Software und Hardware und Hardware und Software bestehen.
Plausibilitätskontrolle ist eine Methode, mit der ein Wert oder allgemein ein Ergebnis überschlagsmäßig darauf hin überprüft wird, ob es überhaupt plausibel, d.h. an- nehmbar, einleuchtend und/oder nachvollziehbar sein kann oder nicht. Plausibilitäts- kontrollen sind sowohl in Hardware wie in Software ausgeführbar. Plausibilitätskon- trollen sind insbesondere die Überwachung von Signalen, die nur in bestimmten Kombinationen und Reihenfolgen auftreten dürfen. Zum Beispiel können Messwerte auf ihren plausiblen Wertebereich und ihren zeitlichen Verlauf geprüft werden. Auch die Plausibilisierung einer Variablen, ob sie zu einem bestimmten Datentyp gehört oder in einem vorgegebenen Wertebereich oder einer vorgegebenen Wertemenge liegt, ist eine Plausibilitätskontrolle. In einer Plausibilitätskontrolle werden ferner zwei oder mehrere Sensoren, die unterschiedliche Informationen erfassen, im Betrieb gegeneinander verglichen, um Störungen, wie zum Beispiel Abweichungen oder Ausfall, zu detektieren. Außerdem können Kurzschlüsse und/oder Massenkontakte mittels Plausibilitätskontrollen detektiert werden.
Information ist eine Teilmenge an Wissen, die ein Sender einem Empfänger über ein bestimmtes Medium vermitteln kann. Die erste Information ist bevorzugt verschieden von der zweiten Information. Beispielsweise sind Gegenstandsobjekte in einem digitalen Kamerabild, das die Kamera über eine elektrische Versorgung an einen Prozessor zur Weiterverarbeitung sendet, bestimmte erste Bildinformationen. Räumliche Abstände der Gegenstände zu der Kamera bilden die zweite Information.
Eine erste Information ist plausibel zu einer zweiten Information, wenn der Gehalt der ersten Information annehmbar hinsichtlich des Gehalts der zweiten Information ist. Wenn die erste Information in ihrem Gehalt mit dem Gehalt der zweiten Information übereinstimmt, dann ist die erste Information plausibel zu der zweiten Information.
Die erste Plausibilitätskontrolle und die zweite Plausibilitätskontrolle können sich in ihrer jeweiligen Vorgehensweise unterscheiden. Mit unterschiedlichen Plausibilitätskontrollen können Hardware und Software, mit denen die Plausibilitätskontrollen durchgeführt werden, auf Fehler überprüft werden. Zum Beispiel können Messwerte in einer ersten Plausibilitätskontrolle als ganze Zahlen, in einer zweiten Plausibilitätskontrolle als Fließkommazahlen überprüft werden. Die erfindungsgemäße Vorrichtung hat den Vorteil, dass das Fahrzeugmodul nicht unmittelbar mit prozessierten Informationen angesteuert wir. Eine Prozessierung von Informationen an sich kann zwar konform mit ISO 26262 sein. Jedoch können die Informationen weitere Sicherheitsrisiken darstellen, die mit ISO 26262 nicht abgebildet werden können. Zum Beispiel können Umfeldinformationen das Umfeld falsch widergeben. Um diese zusätzlichen Sicherheitsrisiken zu vermeiden, werden die Informationen im Sicherheitsprozessor zunächst auf Plausibilität kontrolliert, um weitere Sicherheitsrisikien auszuschließen. Durch die Plausibilitätskontrollen wird festgestellt, ob Hardware und Software fehlerfrei funktionieren und welche Informationen korrekt sind zum sicheren Ansteuern des Fahrzeugmoduls. Wird eine Information in der Plausibilitätskontrolle als fehlerhaft erkannt, wird sie nicht an die Steuerungsschnittstelle weitergeleitet. Das Fahrzeugmodul wird also nur mit plausiblen Informationen angesteuert. Das Fahrzeugmodul, dass mit den als plausibel festgestellten Informationen angesteuert wird, befindet sich dann in einem sicheren Zustand. Ansteuern mit Informationen bedeutet auch, dass bei mehreren Informationen zunächst eine Fusion der Informationen erfolgt und das Fahrzeugmodul mit den aus der Fusion sich ergebenden Information oder Informationen angesteuert wird. Damit stellt die Erfindung insbesondere eine Sicherheitsarchitektur für ADAS-Domain-ECUs bereit.
Mit der erfindungsgemäßen Vorrichtung ist damit insbesondere ein sicherer Zustand für das Fahrzeugmodul einnehmbar für den Fall, dass ein Umfeld falsch erkannt wird, da in diesem Fall das Fahrzeugmodul mit plausiblen Informationen angesteuert wird. Durch die redundante Signalaufbereitung der unterschiedlichen Sensorsignalen wie Kamera, Radar oder Lidar ist es möglich, eine Plausibilisierung durchzuführen. Somit ist es möglich, bei einem Fehlerfall das fehlerhafte Signal zu erkennen. Im Falle eines Fehlers wird durch die Ansteuerung mit plausiblen Informationen ein Schaden möglichst gering gehalten. Die Vorrichtung ist damit ausfallsicher, auch fail-safe genannt.
Dass die erste Plausibilitätskontrolle auf dem ersten Kern und die zweite Plausibilitätskontrolle auf dem zweiten Kern ausgeführt werden, wobei sich die zweite Plausibilitätskontrolle in der Vorgehensweise von der ersten Plausibilitätskontrolle unterscheiden kann, hat den Vorteil, dass sowohl Hardware als auch Softwarefehler er- kannt werden können durch den Vergleich auf dem dritten Kern. Im Prinzip rechnet der erste Kern das Gleiche wie der zweite Kern, bevorzugt mit unterschiedlicher Vorgehensweise. Wird auf dem dritten Kern beim Vergleich des mit dem ersten Kerns erzielten Resultats eine Abweichung von dem mit dem zweiten Kern erzielten Resultats festgestellt, liegt ein Hardware -und/oder Softwarefehler vor.
In einer Weiterbildung der Erfindung ist der erste Kern ausgebildet, die erste Plausibilitatskontrolle für die erste Information, die zweite Information und wenigstens einer dem Sicherheitsprozessor über die Informationsschnittstelle zugeführten dritten Information auszuführen, wobei die erste Information die zweite Information und die dritte Information jeweils gegeneinander auf Plausibilitat kontrollierbar sind. Damit lässt sich eine fehlerhafte Information vergleichsweise einfach erkennen. Ist beispielsweise die erste Information plausibel mit der zweiten Information und mit der dritten Information, und ist die zweite Information plausibel mit der dritten Information, ist keine Information fehlerhaft. Ist dagegen beispielsweise die erste Information nicht plausibel mit der zweiten Information und nicht plausibel mit der dritten Information, aber die zweite Information plausibel mit der dritten Information, dann ist die erste Information fehlerhaft.
Vorteilhafterweise ist der zweite Kern ausgebildet, die zweite Plausibilitatskontrolle für die erste Information, die zweite Information und wenigstens eine dem Sicherheitsprozessor über die Informationsschnittstelle zugeführte dritte Information auszuführen, wobei die erste Information, die zweite Information und die dritte Information jeweils gegeneinander auf Plausibilitat kontrollierbar sind. Damit ergeben sich für den zweiten Kern dieselben Vorteile wie gegenüber dem ersten Kern. Außerdem können damit drei Informationen mit dem dritten Kern verglichen werden.
In einer Weiterbildung der Erfindung ist das Ergebnis der auf dem ersten Kern ausgeführten ersten Plausibilitatskontrolle und/oder das Ergebnis der auf dem zweiten Kern ausgeführten zweiten Plausibilitatskontrolle eine Mehrheitsauswahl der Informationen mit mehrheitlicher Plausibilitat. Dabei ist die Information, die mehrheitlich nicht plausibel mit den anderen Informationen ist, fehlerhaft. Die Mehrheitsauswahl ist auch als Voting bekannt. Werden drei Informationen untereinander auf Plausibilitat kontrolliert, und wird dabei eine der drei Informationen als fehlerhaft erkannt, werden nur zwei der drei Informationen an die Steuerungsschnittstelle zum Ansteuern des Fahrzeugmoduls weitergeleitet. Diese Mehrheitsauswahl ist auch als 2oo3 Voting, das heißt two out of three, bekannt.
Vorzugsweise weist der Sicherheitsprozessor, insbesondere jeweils der erste Kern, der zweite Kern und der dritte Kern, einen redundante Spannungsversorgung auf. Redundanz ist das zusätzliche Vorhandensein funktional gleicher oder vergleichbarer Ressourcen eines technischen Systems, wenn diese bei einem störungsfreien Betrieb im Normalfall nicht benötigt werden. Fällt eine Spannungsversorgung aufgrund eines Fehlers aus, befindet sich die Vorrichtung durch die zusätzliche redundante Spannungsversorgung in einem beherrschbaren Zustand. Bei einem Spannungseinbruch in einer einzigen Spannungsversorgung zu dem Sicherheitsprozessor würde der gesamte Sicherheitsprozessor mit dem ersten, dem zweiten, und dem dritten Kern ausfallen. Ein derartiger Ausfall von mehreren Komponenten, der als Folge einer einzelnen Fehlerursache oder eines einzelnen Ereignisses auftritt, wird common cause failure bezeichnet. Die redundante Spannungsversorgung verhindert damit einem common cause failure bedingt durch einen Spannungseinbruch in einer Spannungsversorgung.
Vorzugsweise weist der Sicherheitsprozessor insbesondere jeweils der erste Kern, der zweite Kern und der dritte Kern, eine Überwachungseinrichtung auf. Die Überwachungseinrichtung, auch als Watchdog bekannt, ist eine Komponente eines Systems, die die Funktionen anderer Komponenten, hier dem Sicherheitsprozessor, insbesondere dem ersten, dem zweiten und dem dritten Kern, überwacht. Wird dabei eine mögliche Fehlfunktion erkannt, so wird dies entweder gemäß Sicherheitsvereinbarung signalisiert oder eine geeignete Sprunganweisung eingeleitet, die das anstehende Problem bereinigt. Der Begriff Watchdog umfasst sowohl Hardware- Watchdogs als auch Software- Watchdogs. Der Hardware-Watchdog ist eine elektronische Komponente mit Kommunikation zu dem Bauteil, das kontrolliert wird. Der Software-Watchdog ist eine prüfende Software in dem zu kontrollierenden Bauteil, die kontrolliert, ob alle wichtigen Programmmodule in einem vorgegebenen Zeitrahmen korrekt ausgeführt werden oder ob ein Modul unzulässig lange für die Bear- beitung benötigt. Watchdogs können insbesondere in sicherheitsrelevante Anwendungen implementiert werden und erlauben eine Überwachung von E/E Systemen auf Konformität mit IS026262.
Bevorzugt ist die Informationsschnittstelle eine redundante Informationsschnittstelle. Damit steht für den Fall, dass eine Informationsschnittstelle ausfällt, eine zusätzliche Informationsschnittstelle zur Verfügung, die die Vorrichtung in einem beherrschbaren Zustand führt.
Das erfindungsgemäße Steuergerät für ein Fahrzeug weist eine erfindungsgemäße Vorrichtung und einen Leistungsprozessor auf, wobei die Informationsschnittstelle der Vorrichtung zwischen dem Leistungsprozessor und dem Sicherheitsprozessor angeordnet ist, mit den Merkmalen, dass der Leistungsprozessor eine Erfassungseinrichtung und eine Auswerteeinrichtung aufweist, die Erfassungseinrichtung ausgebildet ist, wenigstens ein erstes Signal und ein zweites Signal zu erfassen, das heißt zu akquirieren, die Auswerteeinrichtung ausgebildet ist, wenigstens aus dem ersten Signal eine erste Information und aus dem zweiten Signal eine zweite Information zu erzeugen, und mittels der Informationsschnittstelle wenigstens die aus dem ersten Signal erzeugte erste Information und die aus dem zweiten Signal erzeugte zweite Information an den Sicherheitsprozessor leitbar ist zum Ansteuern des Fahrzeugmoduls. Das erfindungsgemäße Steuergerät bietet den Vorteil, dass die von der Auswerteeinrichtung aus den Signalen erzeugten Informationen nicht unmittelbar zum Ansteuern des Fahrzeugmoduls verwendet werden, sondern zuvor mittels der erfindungsgemäßen Vorrichtung auf Plausibilität kontrolliert werden. Damit wird erreicht, dass das Fahrzeugmodul nur mit plausiblen Informationen und nicht mit fehlerhaften Informationen angesteuert wird.
Gemäß einer bevorzugten Ausgestaltung der Erfindung weist der Leistungsprozessor wenigstens einen ersten Kanal und einen von dem ersten Kanal getrennten zweiten Kanal, wobei in dem ersten Kanal das erste Signal erfassbar und aus dem erfassten ersten Signal die erste Information erzeugbar ist und wobei in dem zweiten Kanal das zweite Signal erfassbar und die zweite Information unabhängig von der ersten Information erzeugbar ist. Damit wird sichergestellt, dass das erste Signal und das zweite Signal unabhängig voneinander bearbeitet werden. Gemäß der ISO Norm 26262 ist damit ein freedom from interference gewährleistet. Ein Fehler in Kanal 2 verursacht aufgrund der Unabhängigkeit keinen Fehler in Kanal 1 und umgekehrt.
Vorzugsweise weist der Leistungsprozessor, insbesondere jeweils der erste Kanal und der zweite Kanal oder jeweils die Erfassungseinrichtung und die Auswerteeinrichtung, eine redundante Spannungsversorgung auf. Die redundante Spannungsversorgung verhindert einen common cause failure bedingt durch einen Spannungseinbruch in einer Spannungsversorgung.
In einer Weiterbildung der Erfindung weist der Leistungsprozessor, insbesondere jeweils wenigstens der erste Kanal und der zweite Kanal, eine Überwachungseinrichtung, einen sogenannten Watchdog, auf. Der Watchdog kann ein Hardware- und/oder Software-Watchdog sein.
Gemäß einer besonders bevorzugten Ausgestaltung der Erfindung weist die Auswerteeinrichtung eine künstliche Intelligenz auf. Künstliche Intelligenz bedeutet, dass eine menschenähnliche Intelligenz nachgebildet wird, d.h. es wird versucht, einen Computer zu bauen oder zu programmieren, der eigenständig Probleme bearbeiten kann. Künstliche Intelligenz kann insbesondere mit künstlichen neuronale Netzwerken realisiert werden. Ein künstliches neuronales Netzwerk ist ein Algorithmus, der auf einer elektronischen Schaltung ausgeführt wird und am Vorbild des neuronalen Netzwerks des menschlichen Gehirns programmiert ist. Funktionseinheiten eines künstlichen neuronalen Netzwerks sind künstliche Neuronen, deren Output sich im Allgemeinen als Wert einer Aktivierungsfunktion ausgewertet über eine gewichtete Summe der Inputs plus einem systematischen Fehler, dem sogenannten bias, ergibt. Durch Testen von mehreren vorbestimmten Inputs mit verschiedenen Gewichtungsfaktoren und Aktivierungsfunktionen werden künstliche neuronale Netzwerke, ähnlich dem menschlichen Gehirn, angelernt oder trainiert. Das Trainieren einer künstlichen Intelligenz mit Hilfe von vorbestimmten Inputs wird maschinelles Lernen genannt. Eine Teilmenge des maschinellen Lernens ist das tiefgehende Lernen, das sogenannte Deep Learning, bei dem eine Reihe hierarchischer Schichten von Neuronen, sogenannte hidden layer, genutzt wird, um den Prozess des maschinellen Lernens durchzuführen.
Eine Auswerteeinrichtung mit einer künstlichen Intelligenz kann Signale effizienter bearbeiten als eine deterministische Auswerteeinrichtung. Insbesondere kann der Algorithmus, der der künstlichen Intelligenz zugrunde liegt, auf einem Grafikprozessor, einem sogenannten Graphics Processor Unit, abgekürzt GPU, ausgeführt werden. Eine GPU hat den Vorteil, mehrere Prozesse gleichzeitig parallel bearbeiten zu können, was die Effizienz der Auswerteeinrichtung steigert.
Zweckmäßigerweise sind von der Erfassungseinrichtung erfasste Signale die Signale von Umfelderfassungssensoren, insbesondere Kamerasignale, Radarsignale und/oder Lidar Signale. Umfelderfassungssensoren liefern Eingangssignale für Fahrerassistenzsysteme. Wird mit der erfindungsgemäßen Vorrichtung beispielsweise festgestellt, dass die Kamerainformationen nicht plausibel mit den Radarinformationen sind, jedoch plausibel mit den Lidar Informationen, und sind die Radarinformationen nicht plausibel mit den Lidar Informationen, dann sind die Radarinformationen die fehlerhafte Information.
Besonders bevorzugt ist das Fahrzeugmodul einer Fahrzeugdomäne, insbesondere Infotainment, Fahrwerk, Anrieb, Interieur und/oder Sicherheit.
Erfindungsgemäß wird auch ein Fahrerassistenzsystem aufweisend ein erfindungsgemäßes Steuergerät bereitgestellt.
Bei dem erfindungsgemäßen Fahrerassistenzverfahren wird ein erfindungsgemäßes Steuergerät verwendet. Das erfindungsgemäße Fahrerassistenzverfahren weist die folgenden Schritte auf:
- Erfassen von Signalen aus dem Umfeld eines Fahrzeuges mit der Erfassungseinrichtung des Leistungsprozessors, - Auswerten der Signale und Erzeugen von Informationen aus den Signalen in voneinander getrennten Kanälen des Leistungsprozessors mittels der Auswerteeinrichtung,
- Weiterleiten der Informationen über die Informationsschnittstelle an den
Sicherheitsprozessors,
- Ausführen der ersten Plausibilitätskontrolle einer jeder der Informationen mit jeder der anderen Informationen auf dem ersten Kern des ersten Sicherheitsprozessors, wobei eine Mehrheitsauswahl der Informationen, die mehrheitlich plausibel mit den anderen Informationen sind, erfolgt,
- Ausführen der zweiten Plausibilitätskontrolle einer jeder der Informationen mit jeder der anderen Informationen auf den zweiten Kern des Sicherheitsprozessors, wobei eine Mehrheitsauswahl der Informationen, die mehrheitlich plausibel mit den anderen Informationen sind, erfolgt
- Weiterleiten des Ergebnisses der auf dem ersten Kern ausgeführten Plausibilitätskontrolle und des Ergebnisses der auf dem zweiten Kern ausgeführten zweiten Plausibilitätskontrolle an den dritten Kern des Sicherheitsprozessors,
- Vergleichen der Ergebnisse der ersten Plausibilitätskontrolle und der zweiten Plausibilitätskontrolle auf dem dritten Kern,
- Weiterleiten der Informationen, für die in der ersten Plausibilitätskontrolle und in der zweiten Plausibilitätskontrolle eine Plausibilität festgestellt wurde an die Steuerungsschnittstelle und
- Ansteuern des Fahrzeugmoduls mit den als plausibel festgestellten Informationen
Mit dem erfindungsgemäßen Fahrerassistenzverfahren wird gewährleistet, dass nur diejenigen Informationen zur Ansteuerung des Fahrzeugmoduls verwendet werden, die mittels den Plausibilitätskontrollen als sicher eingestuft wurden.
Die Erfindung wird anhand der nachfolgenden Figuren ausführlich erläutert. Es zeigen:
Fig. 1 : ein Ausführungsbeispiel einer erfindungsgemäßen Vorrichtung, Fig. 2: ein Ausführungsbeispiel eines erfindungsgemäßen Steuergeräts, und
Fig. 3: ein Ausführungsbeispiel eines erfindungsgemäßen Fahrerassistenzverfahrens.
Gleiche Bezugsziffern kennzeichnen dabei gleiche oder funktionsgleiche Merkmale. In den jeweiligen Figuren werden übersichtshalber nur die jeweiligen relevanten Bezugsziffern angegeben.
Fig. 1 zeigt eine erfindungsgemäße Vorrichtung 1 zum Ansteuern eines Fahrzeugmoduls 2. Die Vorrichtung 1 weist eine Informationsschnittstelle 20, einen Sicherheitsprozessor 10 und eine Steuerungsschnittstelle 21 auf. Über die Informationsschnittstelle 20 wird eine erste Information 31 , eine zweite Information 32 und eine dritte Information 33 an den Sicherheitsprozessor 10 geleitet. Der Sicherheitsprozessor 10 weist einen ersten Kern 11 , einen zweiten Kern 12 und einen dritten Kern 13 auf. Jeder einzelne Kern ist mit einer redundanten Spannungsversorgung 14 verbunden. Außerdem wird jeder Kern von einer Überwachungseinrichtung 15 kontrolliert.
Es liegt auch im Rahmen der Erfindung, dass die erste Information 31 , die zweite Information 32 und die dritte Information 33 jeweils als zweikanaliges Objekt in die Vorrichtung 1 eingehen.
In dem ersten Kern 11 werden die Informationen 31 , 32 und 33 gegenseitig auf Plau- sibilität in einer ersten Plausibilitätskontrolle 30 überprüft. In dem zweiten Kern 12 werden die Informationen 31 , 32 und 33 gegenseitig auf Plausibilität mittels einer zweiten Plausibilitätskontrolle 40, die verschieden von der ersten Plausibilitätskontrolle 30 ist, überprüft.
Für den Fall, dass die erste Information 31 die mit einer Kamera erfassten Umfeldinformationen ist, die zweite Information 32 die mit einem Radar erfassten Informationen ist und die dritte Information 33 die mit einem Lidar erfassten Umfeldinformation ist, basiert die Mehrheitsauswahl auf folgendem Schema majority voter Schema: 1: nicht plausibel Majority voter
0: plausibel
Fehlerhafte
Camera/Radar Camera/Lidar Radar/Lidar Informationen
Kombinationen 0 0 0 keine
Kom inationen 1 0 0 keine
Kombinationen 0 1 0 keine
Kombinationen 0 0 1 keine
Kom inationen 1 1 0 Camera
Kombinationen 0 1 1 Li dar
Kombinationen 1 0 1 Radar
Kombinationen 1 1 1 alle
Ist beispielsweise die Kamerainformation 31 plausibel mit der Radarinformation 32, aber nicht mit der Lidar Information 33, und ist die Radarinformation 32 nicht plausibel mit der Lidar Information 33, dann erkennt die Vorrichtung 1 , dass die Lidar Information 33 fehlerhaft ist.
Die in der ersten Plausibilitätskontrolle 30 und in der zweiten Plausibilitätskontrolle 40 jeweils als zueinander plausibel festgestellten Informationen 31 , 32 und 33 werden an den dritten Kern 13 weitergeleitet, in dem ein Vergleich 45 der eingehenden Informationen erfolgt. Werden die in dem ersten Kern 11 als zueinander plausibel festgestellten Informationen auch als die plausiblen Informationen in dem Kern 12 erkannt, was durch einen Vergleich 45 festgestellt werden kann, wird das Fahrzeugmodul 2 über die Steuerungsschnittstelle 21 mit den zueinander plausiblen Informationen angesteuert.
Sollte das Ergebnis des Vergleichs 45 sein, dass die in dem ersten Kern 11 als zueinander plausiblen festgestellten Informationen von den in dem zweiten Kern 12 zueinander als plausiblen festgestellten Informationen abweichen sollte, wird von dem dritten Kern 13 ein Hardware- und/oder Softwarefehler erkannt.
Fig. 2 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Steuergeräts 3. Mit dem Steuergerät 3 wird ein Leistungsprozessor 50 mit einem Sicherheitsprozes- sor 10 über die Informationsschnittstelle 20, die zwischen dem Leistungsprozessor 50 und dem Sicherheitsprozessor 10 angeordnet ist, zusammengebracht.
Der Leistungsprozessor weist eine Erfassungseinrichtung 51 und eine Auswerteeinrichtung 52 auf. Die Erfassungseinrichtung 51 eine redundante Spannungsversorgung 14 auf. In der Erfassungseinrichtung wird ein erstes Signal 53, ein zweites Signal 54 und ein drittes Signal 55 gesammelt. Die Signale 53, 54 und 55 können beispielsweise Signale von Umfelderfassungssensoren sein. Beispielsweise kann das erste Signal 53 ein Signal von einem Kamerasensor, das zweite Signal 54 das Signal von einem Radarsensor und das dritte Signal 55 ein Signal von einem Lidar Sensor sein.
Die Signale 53, 54 und 55 werden in voneinander getrennten Kanälen des Leistungsprozessors, nämlich einem ersten Kanal 56, einem zweiten Kanal 57 und einem dritten Kanal 58, erfasst und verarbeitet.
In der Auswerteeinrichtung 52 werden aus den Signalen 53, 54 und 55 entsprechende Informationen 31 , 32, 33 erzeugt, die über die Informationsschnittstelle 20 in den Sicherheitsprozessor 1 gelangen. Die Informationen aus beispielsweise einem Kamerasignal 53 ist dann ein entsprechendes Kamerabild. Bei dem Kamerabild kann es sich abhängig von der verwendeten Kamera um ein Vorfeldbild, ein Rückfeldbild oder ein Seitenfeldbild eines Fahrzeuges handeln.
Die Auswerteeinrichtung 52 weist eine künstliche Intelligenz auf. Die künstliche Intelligenz ist dabei ein künstliches neuronales Netzwerk, das darauf trainiert ist, Verkehrssituationen zu erkennen.
Die Funktion des Leistungsprozessors 50 wird mit einem Watchdog 15 kontrolliert.
Als Leistungsprozessor 50 wird insbesondere ein hochleistungsfähiger Prozessor verwendet. Der Chip, auf dem der Leistungsprozessor 50 implementiert ist, heißt auch Performance- oder Power-Chip. Als Sicherheitsprozessor kann ein Prozessor mit weniger Leistung verwendet werden. Fig. 3 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Fahrerassistenzverfahrens 5, das mit einem Fahrerassistenzsystem 4 ausgeführt werden kann. Die Signale 53, 54 und 55 werden zunächst mittels der Erfassungseinrichtung 51 in dem Verfahrensschritt 60 des Erfassens erfasst. Anschließend erfolgt das Auswerten 61 der Signale 53, 54 und 55 in der Auswerteeinrichtung 52. Das Erfassen 60 und das Auswerten 61 der Signale 53, 54 und 55 zu den Informationen 31 , 32 und 33 erfolgt in dem Leistungsprozessor 50.
Die ausgewerteten Informationen 31 , 32 und 33 werden über die Informationsschnittstelle in dem Verfahrensschritt 62 des Weiterleitens der Informationen in den Sicherheitsprozessor 10 geleitet.
In dem Sicherheitsprozessor 10 erfolgen die folgenden Verfahrensschritte: In dem ersten Kern 1 1 erfolgt das Ausführen 63 der ersten Plausibilitätskontrolle 30.
In dem zweiten Kern 12 erfolgt das Ausführen 64 der zweiten Plausibilitätskontrolle 40. Die Ergebnisse der auf dem ersten Kern 1 1 ausgeführten ersten Plausibilitätskontrolle 30 und die Ergebnisse der auf dem zweiten Kern 12 ausgeführten zweiten Plausibilitätskontrolle 40 werden in dem Verfahrensschritt 65 des Weiterleitens an den dritten Kern 13 des Sicherheitsprozessors geleitet. In dem dritten Kern 13 des Sicherheitsprozessors 10 erfolgt ein Vergleichen 66 der Ergebnisse der Plausibili- tätskontrollen 30 und 40. Anschließend erfolgt ein Weiterleiten 67 der Informationen, für die in der ersten Plausibilitätskontrolle 30 und in der zweiten Plausibilitätskontrolle 40 eine Plausibilität festgestellt wurde, über die Steuerungsschnittstelle 22 an das Fahrzeugmodul 2, wobei das Fahrzeugmodul 2 in dem Verfahrensschritt 68 des An- steuerns mit den als plausibel festgestellten Informationen angesteuert wird.
Im Rahmen der Erfindung kann die Ansteuerung eines Fahrzeugmoduls derart erfolgen, dass die Ansteuerung haptisch wahrnehmbar ist. Zum Beispiel kann ein Lenkrad bei einem festgestellten Nichteinhalten einer Fahrspur derart angesteuert werden, dass das Lenkrad vibriert, was der Fahrer mit seinem Tastsinn wahrnimmt. Die Ansteuerung kann auch visuell oder akustisch erfolgen oder über Aktuatoren, insbesondere mechatronische Aktuatoren. Bezuqszeichen Vorrichtung
Fahrzeugmodul
Steuergerät
Fahrerassistenzsystem
Fahrerassistenzverfahren
Sicherheitsprozessor
erster Kern
zweiter Kern
dritter Kern
Spannungsversorgung
Überwachungseinrichtung
Informationsschnittstelle
Steuerungsschnittstelle
erste Plausibilitätskontrolle
erste Information
zweite Information
dritte Information
zweite Plausibilitätskontrolle
Vergleich
Leistungsprozessor
Erfassungseinrichtung
Auswerteeinrichtung
erstes Signal
zweites Signa
drittes Signal
erster Kanal
zweiter Kanal
dritter Kanal
Erfassen
Auswerten
Weiterleiten Informationen Ausführen erste Plausibilitätskontrolle Ausführen zweite Plausibilitätskontrolle Weiterleiten
Vergleichen
Weiterleiten plausible Informationen Ansteuern

Claims

Patentansprüche
1. Vorrichtung (1 ) zum Ansteuern eines Fahrzeugmoduls (2) aufweisend einen Sicherheitsprozessor (10) mit wenigstens einer Informationsschnittstelle (20) an einem Eingang des Sicherheitsprozessors (10) und einer Steuerungsschnittstelle (21 ) an einem Ausgang des Sicherheitsprozessors (10), wobei der Sicherheitsprozessor (10) wenigstens einen ersten Kern (11 ), einen zweiten Kern (12) und einen dritten Kern (13) aufweist, mit den weiteren Merkmalen, dass
a. der erste Kern (11 ) ausgebildet ist, eine erste Plausibilitätskontrolle (30) wenigstens einer über die Informationsschnittstelle (20) an den Sicherheitsprozessor (10) geleiteten ersten Information (31 ) mit wenigstens einer über die Informationsschnittstelle (20) an den Sicherheitsprozessor (10) geleiteten zweiten Information
(32) auszuführen;
b. der zweite Kern (12) ausgebildet ist, eine zweite Plausibilitätskontrolle (40) der ersten Information (31 ) mit der zweiten Information (32) auszuführen;
c. der dritte Kern (13) ausgebildet ist, einen Vergleich (45) eines an den dritten Kern (13) weitergeleiteten Ergebnisses der auf dem ersten Kern (11 ) ausgeführten ersten Plausibilitätskontrolle (30) mit einem an den dritten Kern (13) weitergeleiteten Ergebnis der auf dem zweiten Kern (12) ausgeführten zweiten Plausibilitätskontrolle (40) auszuführen und die Informationen (31 , 32), für die in der ersten Plausibilitätskontrolle (30) und in der zweiten Plausibilitätskontrolle (40) eine Plausibilität festgestellt wurde, an die Steuerungsschnittstelle (22) weiterzuleiten, wobei das Fahrzeugmodul (2) mit den als plausibel festgestellten Informationen (31 , 32) über die Steuerungsschnittstelle (22) ansteuerbar ist.
2. Vorrichtung (1 ) nach Anspruch 1 , dadurch gekennzeichnet, dass
der erste Kern (11 ) ausgebildet ist, die erste Plausibilitätskontrolle (40) für die erste Information (31 ), die zweite Information (32) und wenigstens eine dem Sicherheitsprozessor (10) über die Informationsschnittstelle (20) zugeführten dritten Information
(33) auszuführen, wobei die erste Information (31 ), die zweite Information (32) und die dritte Information (33) jeweils gegeneinander auf Plausibilität kontrollierbar sind.
3. Vorrichtung (1 ) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Kern (11 ) ausgebildet ist, die zweite Plausibilitätskontrolle (40) für die erste Information (31 ), die zweite Information (32) und wenigstens eine dem Sicherheitsprozessor (10) über die Informationsschnittstelle (20) zugeführte dritte Information (33) auszuführen, wobei die erste Information (31), die zweite Information (32) und die dritte Information (33) jeweils gegeneinander auf Plausibilität kontrollierbar sind.
4. Vorrichtung (1 ) nach Anspruch 2 und/oder Anspruch 3, dadurch gekennzeichnet, dass das Ergebnis der auf dem ersten Kern (11 ) ausgeführten ersten Plausibilitätskontrolle (30) und/oder das Ergebnis der auf dem zweiten Kern (12) ausgeführten zweiten Plausibilitätskontrolle (40) eine Mehrheitsauswahl der Informationen (31 , 32, 33) mit mehrheitlicher Plausibilität ist.
5. Vorrichtung (1 ) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der Sicherheitsprozessor (10), insbesondere jeweils der erste Kern (11 ), der zweite Kern (12) und der dritte Kern (13), eine redundante Spannungsversorgung (14) aufweist.
6. Vorrichtung (1 ) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der Sicherheitsprozessor (10), insbesondere jeweils der erste Kern (11 ), der zweite Kern (12) und der dritte Kern (13), eine Überwachungseinrichtung (15) aufweist.
7. Vorrichtung (1 ) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Informationsschnittstelle (20) eine redundante Informationsschnittstelle (20) ist.
8. Steuergerät (3) für ein Fahrzeugmodul (2) aufweisend eine Vorrichtung (1 ) nach einem der vorangehenden Ansprüche und einen Leistungsprozessor (50), wobei die Informationsschnittstelle (20) der Vorrichtung (1 ) zwischen dem Leistungsprozessor (50) und dem Sicherheitsprozessor (10) angeordnet ist, mit den Merkmalen, dass a. der Leistungsprozessor (50) eine Erfassungseinrichtung (51 ) und eine Auswerteeinrichtung (52) aufweist;
b. die Erfassungseinrichtung (51 ) ausgebildet ist, wenigstens ein erstes Signal (53) und ein zweites Signal (54) zu erfassen;
c. die Auswerteeinrichtung (52) ausgebildet ist, wenigstens aus dem ersten Signal (53) eine erste Information (31 ) und aus dem zweiten Signal (54) eine zweite Information (32) zu erzeugen, und
d. mittels der Informationsschnittstelle (20) wenigstens die aus dem ersten Signal (53) erzeugte erste Information (31 ) und die aus dem zweiten Signal (54) erzeugte zweite Information (32) an den Sicherheitsprozessor leitbar ist zum Ansteuern des Fahrzeugmoduls (2).
9. Steuergerät (3) nach Anspruch 8, dadurch gekennzeichnet, dass der Leistungsprozessor (50) wenigstens einen ersten Kanal (56) und einen von dem ersten Kanal (56) getrennten zweiten Kanal (57) aufweist, wobei in dem ersten Kanal (56) das erste Signal (53) erfassbar und aus dem erfassten ersten Signal die erste Information (31 ) erzeugbar ist und wobei in dem zweiten Kanal (57) das zweite Signal (54) erfassbar und die zweite Information (32) unabhängig von der ersten Information (31 ) erzeugbar ist.
10. Steuergerät (3) nach Anspruch 8 oder Anspruch 9, dadurch gekennzeichnet, dass
der Leistungsprozessor (50), insbesondere jeweils der erste Kanal (56) und der zweite Kanal (57) oder jeweils die Erfassungseinrichtung (51 ) und die Auswerteeinrichtung (52), eine redundante Spannungsversorgung (14) aufweist.
11. Steuergerät (3) nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass der Leistungsprozessor (10), insbesondere jeweils wenigstens der erste Kanal (56) und der zweite Kanal (57), eine Überwachungseinrichtung (15) aufweist.
12. Steuergerät (3) nach einem der Ansprüche 8 bis 11 , dadurch gekennzeichnet, dass die Auswerteeinrichtung (52) eine künstliche Intelligenz aufweist.
13. Steuergerät (3) nach einem der Ansprüche 8 bis 12, dadurch gekennzeichnet, dass von der Erfassungseinrichtung (51 ) erfasste Signale (53, 54, 55) die Signale (53, 54, 55) von Umfelderfassungssensoren, insbesondere Kamerasignale (53), Radarsignale (54) und/oder Lidarsignale (55), sind.
14. Steuergerät (3) nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass das Fahrzeugmodul (2) eine Fahrzeugdomäne, insbesondere Infotainment, Fahrwerk, Antrieb, Interieur und/oder Sicherheit, ist.
15. Fahrerassistenzsystem (4) aufweisend ein Steuergerät (3) nach einem der Ansprüche 8 bis 14.
16. Fahrerassistenzverfahren (5), bei dem ein Steuergerät (3) mit den Merkmalen nach einem der Ansprüche 8 bis 14 verwendet wird, und das folgende Schritten aufweist:
a. Erfassen (60) von Signalen (53, 54, 55) aus dem Umfeld eines Fahrzeuges mit der Erfassungseinrichtung (51 ) des Leistungsprozessors (50);
b. Auswerten (61 ) der Signale (53, 54, 55) und Erzeugen von Informationen (31 , 32, 33) aus den Signalen (53, 54, 55) in voneinander getrennten Kanälen (56, 57, 58) des Leistungsprozessors (50) mittels der Auswerteeinrichtung (52);
c. Weiterleiten (62) der Informationen (31 , 32, 33) über die Informationsschnittstelle (20) an den Sicherheitsprozessor (10);
d. Ausführen (63) der ersten Plausibilitätskontrolle (30) einer jeder der Informationen (31 , 32, 33) mit jeder der anderen Informationen (31 , 32, 33) auf dem ersten Kern (11) des Sicherheitsprozessors (10), wobei eine Mehrheitsauswahl der Informationen (31 , 32, 33), die mehrheitlich plausibel mit den anderen Informationen (31 , 32, 33) sind, erfolgt;
e. Ausführen (64) der zweiten Plausibilitätskontrolle (40) einer jeder der Informationen (31 , 32, 33) mit jeder der anderen Informationen (31 , 32, 33) auf dem zweiten Kern (12) des Sicherheitsprozessors (10), wobei eine Mehrheitsauswahl der Informationen (31 , 32, 33), die mehrheitlich plausibel mit den anderen Informationen (31 , 32, 33) sind, erfolgt; f. Weiterleiten (65) des Ergebnisses der auf dem ersten Kern (11 ) ausgeführten ersten Plausibilitätskontrolle (30) und des Ergebnisses der auf dem zweiten Kern (11) ausgeführten zweiten Plausibilitätskontrolle (40) an den dritten Kern (13) des Sicherheitsprozessors (10) ;
g. Vergleichen (66) der Ergebnisse der ersten Plausibilitätskontrolle (30) und der zweiten Plausibilitätskontrolle (40) auf dem dritten Kern (13);
h. Weiterleiten (67) der Informationen (31 , 32), für die in der ersten Plausibilitätskontrolle (30) und in der zweiten Plausibilitätskontrolle (40) eine Plausibilität festgestellt wurde, an die Steuerungsschnittstelle (21 ), und
i. Ansteuern (68) des Fahrzeugmoduls (2) mit den als plausibel festgestellten Informationen (31 , 32).
EP18726393.4A 2017-06-19 2018-05-15 Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls Withdrawn EP3642717A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017210156.3A DE102017210156B4 (de) 2017-06-19 2017-06-19 Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
PCT/EP2018/062496 WO2018233934A1 (de) 2017-06-19 2018-05-15 Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls

Publications (1)

Publication Number Publication Date
EP3642717A1 true EP3642717A1 (de) 2020-04-29

Family

ID=62222629

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18726393.4A Withdrawn EP3642717A1 (de) 2017-06-19 2018-05-15 Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls

Country Status (6)

Country Link
US (1) US20210146939A1 (de)
EP (1) EP3642717A1 (de)
JP (1) JP7089026B2 (de)
CN (1) CN110770707A (de)
DE (1) DE102017210156B4 (de)
WO (1) WO2018233934A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109101011A (zh) * 2017-06-20 2018-12-28 百度在线网络技术(北京)有限公司 无人驾驶车辆的传感器监控方法、装置、设备及存储介质
DE102019202527A1 (de) * 2019-02-25 2020-08-27 Robert Bosch Gmbh Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
JP7298323B2 (ja) * 2019-06-14 2023-06-27 マツダ株式会社 外部環境認識装置
DE102020123920B3 (de) 2020-09-15 2021-08-19 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Verfahren und System zum automatischen Labeling von Radardaten
DE102021104917A1 (de) 2021-03-02 2022-09-08 Bayerische Motoren Werke Aktiengesellschaft Fahrerüberwachungssystem für kraftfahrzeug
DE102021204239A1 (de) 2021-04-09 2022-10-13 Continental Autonomous Mobility Germany GmbH Verfahren zum Betrieb eines Assistenzsystems sowie Assistenzsystem
EP4403881A1 (de) * 2023-01-19 2024-07-24 Leuze electronic GmbH + Co. KG Sensoranordnung und verfahren zum betrieb einer sensoranordnung

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527323A1 (de) * 1995-07-26 1997-01-30 Siemens Ag Schaltungsanordnung zum Steuern einer Einrichtung in einem Kraftfahrzeug
DE19829126A1 (de) * 1997-11-22 1999-05-27 Itt Mfg Enterprises Inc Elektromechanisches Bremssystem
DE10148348B4 (de) * 2001-09-29 2004-04-15 Daimlerchrysler Ag Redundate Spannungsversorgung für dreikanaligen elektrischen Verbraucher
US7421478B1 (en) * 2002-03-07 2008-09-02 Cisco Technology, Inc. Method and apparatus for exchanging heartbeat messages and configuration information between nodes operating in a master-slave configuration
DE102006062300B4 (de) * 2006-12-18 2011-07-21 Arnold, Roland, 72539 Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
DE102010013349B4 (de) * 2010-03-30 2013-06-13 Eads Deutschland Gmbh Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
DE102010013943B4 (de) * 2010-04-06 2018-02-22 Audi Ag Verfahren und Vorrichtung für eine Funktionsprüfung einer Objekt-Erkennungseinrichtung eines Kraftwagens
DE102013202253A1 (de) * 2013-02-12 2014-08-14 Paravan Gmbh Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
DE102013218812A1 (de) * 2013-09-19 2015-03-19 Robert Bosch Gmbh Fahrerassistenzsystem für ein Kraftfahrzeug
DE102013021231A1 (de) * 2013-12-13 2015-06-18 Daimler Ag Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
JP5867495B2 (ja) * 2013-12-20 2016-02-24 株式会社デンソー 電子制御装置
DE102014217321A1 (de) * 2014-08-29 2016-03-03 Continental Teves Ag & Co. Ohg Mikrocontrollersystem und Verfahren für sicherheitskritische Kraftfahrzeugsysteme sowie deren Verwendung
FR3034882B1 (fr) * 2015-04-07 2018-12-07 Valeo Equipements Electriques Moteur Procede d'implementation d'une fonction d'un vehicule automobile conforme a des niveaux asil standards, systeme correspondant et vehicule automobile comprenant un tel systeme
WO2016163249A1 (ja) * 2015-04-08 2016-10-13 日立オートモティブシステムズ株式会社 パワーステアリング装置および車両搭載機器の制御装置
EP3085596B1 (de) * 2015-04-20 2017-11-29 Autoliv Development AB Elektronisches fahrzeugsicherheitssteuerungssystem
EP3357778B1 (de) * 2015-09-30 2022-10-26 Sony Group Corporation Antriebssteuerungsvorrichtung, antriebssteuerungsverfahren und programm

Also Published As

Publication number Publication date
JP7089026B2 (ja) 2022-06-21
DE102017210156A1 (de) 2018-12-20
DE102017210156B4 (de) 2021-07-22
WO2018233934A1 (de) 2018-12-27
JP2020524352A (ja) 2020-08-13
US20210146939A1 (en) 2021-05-20
CN110770707A (zh) 2020-02-07

Similar Documents

Publication Publication Date Title
DE102017210156B4 (de) Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
WO2018233935A1 (de) Vorrichtung und verfahren zur ansteuerung eines fahrzeugmoduls in abhängigkeit eines zustandssignals
EP2972607B1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
DE102014220781A1 (de) Ausfallsichere E/E-Architektur für automatisiertes Fahren
DE102019201382A1 (de) Vorrichtung und verfahren zum steuern eines fahrzeugs auf dergrundlage von redundanter architektur
DE102012024818A1 (de) Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
DE102018002156A1 (de) Ein verbessertes Steuerungssystem und ein verbessertes Steuerungsverfahren für das autonome Steuern eines Kraftfahrzeugs
DE112018006702T5 (de) Bestimmung der zuverlässigkeit von fahrzeugsteuerbefehlen unter verwendung eines abstimmungsmechanismus
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE102017214531A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb sowie Kraftfahrzeug
DE102018114192B4 (de) Steuersystem mit mehrstufiger wahlsteuerung und verfahren zum betreiben eines steuersystems zum ausgeben eines gewählten befehls an eine aktuatorvorrichtung
DE102017218438A1 (de) Verfahren und System zum Betreiben eines Fahrzeugs
WO2022268270A1 (de) Steuereinrichtung sowie assistenzsystem für ein fahrzeug
DE102013220526A1 (de) Ausfallsicherere Sensorarchitektur für Fahrerassistenzsysteme
WO2017080942A1 (de) Verfahren zum betreiben eines steuergeräts eines kraftfahrzeugs
EP4007891B1 (de) Verfahren und vorrichtung zur lokalisierung eines fahrzeugs in einer umgebung
EP3341843B1 (de) Verfahren und vorrichtung zum überwachen eines zustandes einer elektronischen schaltungseinheit eines fahrzeugs
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102022212513A1 (de) Fahrzeuglenkvorrichtung und fahrzeuglenkverfahren
DE102021206297A1 (de) Verfahren und System zum Betreiben eines wenigstens teilweise automatisierten Fahrzeugs
DE102022108001A1 (de) System und verfahren zur bestimmung eines status einer zweiten ecu unter verwendung eines gemeinsam genutzten sensors in einem system mit zwei ecus
DE102008043089A1 (de) Verfahren zur Überwachung der Funktionsfähigkeit eines elektronischen Bausteins
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20191126

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20201202

RIN1 Information on inventor provided before grant (corrected)

Inventor name: SARI, BUELENT

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20210413