EP4552014A1 - Verfahren und steuergerät zum bestimmen eines sicherheitsintegritätsniveaus einer sicherheitsbezogenen fahrzeugfunktion eines kraftfahrzeugs - Google Patents

Verfahren und steuergerät zum bestimmen eines sicherheitsintegritätsniveaus einer sicherheitsbezogenen fahrzeugfunktion eines kraftfahrzeugs

Info

Publication number
EP4552014A1
EP4552014A1 EP23738482.1A EP23738482A EP4552014A1 EP 4552014 A1 EP4552014 A1 EP 4552014A1 EP 23738482 A EP23738482 A EP 23738482A EP 4552014 A1 EP4552014 A1 EP 4552014A1
Authority
EP
European Patent Office
Prior art keywords
vehicle
safety
function
computer
infrastructure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP23738482.1A
Other languages
English (en)
French (fr)
Inventor
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP4552014A1 publication Critical patent/EP4552014A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2520/00Input parameters relating to overall vehicle dynamics
    • B60W2520/06Direction of travel
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2520/00Input parameters relating to overall vehicle dynamics
    • B60W2520/10Longitudinal speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2554/00Input parameters relating to objects
    • B60W2554/20Static objects
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2554/00Input parameters relating to objects
    • B60W2554/40Dynamic objects, e.g. animals, windblown objects
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2554/00Input parameters relating to objects
    • B60W2554/80Spatial relation or speed relative to objects
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/18Braking system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2710/00Output or target parameters relating to a particular sub-units
    • B60W2710/20Steering systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2720/00Output or target parameters relating to overall vehicle dynamics
    • B60W2720/10Longitudinal speed
    • B60W2720/106Longitudinal acceleration
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/50Indexing scheme relating to G06F9/50
    • G06F2209/509Offload

Definitions

  • the invention relates to a method for determining a safety integrity level of a safety-related vehicle function of a motor vehicle.
  • the invention further relates to a control device for determining a safety integrity level of a safety-related vehicle function of a motor vehicle.
  • a first step here is to determine the safety integrity of functions based on a risk analysis, e.g. the Hazard Analysis and Risk Assessment (HARA) in ISO 26262. This is done during the development period based on assumptions about the use of the function or system, that contains the function in question.
  • HAA Hazard Analysis and Risk Assessment
  • DE 102015200422 A1 discloses a vehicle control and calculation system comprising a task controller in the vehicle, a vehicle-specific calculation manager in a cloud network and a wireless data channel that couples the task controller and the cloud network, wherein the task controller manages operational tasks in the vehicle using data-related resources in the Cloud network performs, wherein upon initiation of one of the operational tasks, the task controller sends an exchange signal to the calculation manager as a resource request, the calculation manager calling at least one cloud-based agent from a database of predetermined agents in response to the exchange signal, and wherein the Task control completes the operational task through communication with the called agent.
  • DE 102019214453 A1 discloses a method for safely executing a function provided by a motor vehicle, comprising the following steps: receiving infrastructure data signals which represent infrastructure data which are intended for a function provided by a motor vehicle, receiving security condition signals which represent at least one security condition, which must be fulfilled so that the function can be executed based on the infrastructure data, checking whether the at least one security condition is fulfilled, determining whether the function can be executed based on the infrastructure data, based on a result of the checking, generating result signals, which represent a result of the determination and outputting the generated result signals.
  • the ASIL of a function is determined and assigned during development based on assumptions about the “worst case” situations. However, by considering the multitude of possible In many situations it is easy to understand that the malfunction of a safety-related function is not dangerous at all in many of these situations. This applies both to primary functions such as actuator control, e.g. unwanted engine shutdown when stationary, as well as to secondary functions such as environmental perception, e.g. object recognition in distant areas when driving slowly.
  • the invention is therefore based on the object of providing an improved method and control device for determining a safety integrity level of a safety-related vehicle function of a motor vehicle, which enables a situation-dependent determination of a safety integrity level of a safety-related vehicle function.
  • the task is solved with a computer-implemented method for determining a safety integrity level of a safety-related vehicle function of a motor vehicle with the features of patent claim 1.
  • the present invention provides a computer-implemented method for determining a safety integrity level of a safety-related vehicle function of a motor vehicle.
  • the method includes providing at least one infrastructure and/or vehicle sensor data signal, which represents infrastructure and/or vehicle sensor data that is intended for a safety-related vehicle function provided by a motor vehicle. Furthermore, the method includes determining the safety integrity level of the safety-related vehicle function based on the provided at least one infrastructure and/or vehicle sensor data signal. The method also includes an allocation of a calculation of the safety-related vehicle function to a vehicle-internal and/or a vehicle-external system, taking into account a predetermined safety integrity of the vehicle-internal and/or the vehicle-external system.
  • the safety integrity level of the vehicle function represents or describes a level of the safety integrity of the vehicle function.
  • the safety integrity of the vehicle function refers in particular to a reliability of the vehicle function, which can be determined, for example, by means of a risk assessment.
  • the safety integrity of the vehicle-internal and/or vehicle-external system can be represented, for example, by an ASIL score or ASIL value.
  • the present invention further provides a control device for determining a safety integrity level of a safety-related vehicle function of a motor vehicle.
  • the control device includes means for receiving the at least one infrastructure and/or vehicle sensor data signal, which represents infrastructure and/or vehicle sensor data that is intended for a safety-related vehicle function provided by a motor vehicle.
  • the control device further comprises means for determining a safety integrity level of the safety-related vehicle function based on the infrastructure and/or vehicle sensor data signal provided.
  • the control unit also includes means for allocating a calculation of the safety-related vehicle function to a vehicle-internal and/or a vehicle-external system, taking into account a predetermined safety integrity of the vehicle-internal and/or vehicle-external system.
  • the present invention further provides a computer program with program code in order to carry out the method according to the invention when the computer program is executed on a computer and a computer-readable data carrier with program code of a computer program in order to carry out the method according to the invention when the computer program is executed on a computer.
  • a safety-related function is implemented using software specifically developed for this purpose with the corresponding ASIL and on hardware specifically developed for this purpose with the corresponding ASIL.
  • software specifically developed for this purpose with the corresponding ASIL
  • hardware specifically developed for this purpose with the corresponding ASIL.
  • One idea of the present invention is therefore to enable a dynamic, in particular real-time, determination of the ASIL of safety-related functions or sub-functions based on a currently given context such as a driving situation and/or a vehicle condition.
  • the allocation of the calculation of the safety-related vehicle function to the vehicle-internal and/or the vehicle-external system is carried out if the predetermined safety integrity of the vehicle-internal and/or the vehicle-external system meets the specific safety integrity level of the safety-related vehicle function.
  • safety-related functions per se can be dynamically outsourced from the vehicle in order to free up internal resources or use them for more complex safety-related calculations.
  • functions of automated driving such as environment perception, adaptive behavior planning and/or trajectory planning, the calculation effort of which can vary significantly dynamically depending on the given driving situation, e.g. the complexity of the driving situation and the environment.
  • the at least one infrastructure and/or vehicle sensor data signal provided includes driving situation parameters, in particular a vehicle speed, a direction of movement and/or a geographical position, of an ego vehicle, in particular of the motor vehicle. A current driving situation is thus accurately reflected in the infrastructure and/or vehicle sensor data signal.
  • the provided at least one infrastructure and/or vehicle sensor data signal is a criticality parameter of a current driving situation, in particular a distance and/or a relative movement of the motor vehicle to static and/or dynamic objects in certain areas of a vehicle environment , includes or is.
  • the provided at least one infrastructure and/or vehicle sensor data signal is stored in a map in areas in which predetermined object types, in particular people and/or vehicles, are not located with a predetermined minimum probability and relative to the motor vehicle defined areas, includes or are. This means that infrastructure data can also be included in determining the safety integrity level of the safety-related vehicle function.
  • determining the safety integrity level of the safety-related vehicle function includes a dynamic classification of a vehicle environment using a classification algorithm, wherein the classification algorithm is applied to the provided at least one infrastructure and/or vehicle sensor data signal, and a plurality of outputs classes representing the safety integrity level of the safety-related vehicle function.
  • the safety integrity level determined in this way in particular the ASIL, therefore serves as the basis for the allocation of the calculation of the safety-related vehicle function to a vehicle-internal and/or a vehicle-external system.
  • the safety-related vehicle function is a steering, braking and/or acceleration function of the vehicle.
  • the safety-related vehicle function is an environment detection function that records which areas of an environment model to be calculated for the Determining safe behavior of the motor vehicle is relevant and which is not.
  • the recognition of traffic lights is relevant or not depending on the situation in an area, e.g. less relevant for far ahead when ego levels are low.
  • traffic light detection is less relevant, e.g. when there are known non-existence of traffic lights in certain visibility areas, when driving on a motorway, in the left or straight line of vision when making a right turn and when starting off.
  • the detection of people is less relevant or less safety-critical for more distant or cordoned off areas from which people cannot realistically reach the area in front of the vehicle, as well as areas in which no people can realistically be located, e.g. in a tunnel or on a Highway.
  • the safety integrity level of the safety-related vehicle function is determined based on real-time criticality, in particular using at least one real-time infrastructure and/or vehicle sensor data signal.
  • the real-time criticality of the data thus enables real-time outsourcing or allocation of the calculation of the safety-related vehicle function to a vehicle-internal and/or a vehicle-external system.
  • resources available in the vehicle and in the vehicle environment are determined for calculating the safety-related vehicle function, in particular the safety integrity level of a required control device and/or a computer-implemented method operated on the control device and a maximum latency required to calculate the safety-related vehicle function via these resources is determined.
  • This data can therefore also be stored locally in the vehicle in a database (e.g. integrity/performance map of the resources available from a regional position).
  • a database e.g. integrity/performance map of the resources available from a regional position.
  • the allocation of the calculation of the safety-related vehicle function, the safety integrity level of which falls below a predetermined threshold value, is carried out on the vehicle control unit.
  • the software can be executed on an internal control device, on the “Safety” core (e.g. Lockstep-CP U) of the control device, which corresponds to a high ASIL, but that it can be executed on a less secure core, e.g. only with a “QM classification ", allowing execution on redundant GPUs, with comparison of results corresponding to a high ASIL and/or execution on a single GPU with a lower ASIL or "QM rating".
  • the “Safety” core e.g. Lockstep-CP U
  • a less secure core e.g. only with a “QM classification ", allowing execution on redundant GPUs, with comparison of results corresponding to a high ASIL and/or execution on a single GPU with a lower ASIL or "QM rating”.
  • V2X functional execution is requested via V2X on an external system, in particular an edge, fog and/or cloud server, a control device of another road user and/or a smart device, in particular a smartphone .
  • FIG. 1 shows a flowchart of a computer-implemented method for determining a safety integrity level of a safety-related vehicle function of a motor vehicle according to a preferred embodiment of the invention
  • Fig. 2 is a schematic representation of a control device for determining a safety integrity level of a safety-related vehicle function of a motor vehicle according to the preferred embodiment of the invention.
  • determining a safety integrity level 14 of a safety-related vehicle function 12 of a motor vehicle includes providing S1 at least one infrastructure and/or vehicle sensor data signal 10, which represents infrastructure and/or vehicle sensor data which is available for a means Safety-related vehicle function 12 provided by a motor vehicle is determined.
  • the safety-related vehicle function is understood to be a safety-relevant aspect of the vehicle, such as a function relating to acceleration, braking and/or a steering intervention.
  • the method further comprises determining S2 a safety integrity level 14 of the safety-related vehicle function 12 based on the provided at least one infrastructure and/or vehicle sensor data signal 10 and an allocation S3 of a calculation of the safety-related vehicle function 12 to a vehicle-internal and/or a vehicle-external system 16, 18 taking into account a predetermined safety integrity of the vehicle-internal and / or vehicle-external system 16, 18.
  • the allocation of the calculation of the safety-related vehicle function 12 is carried out on the vehicle-internal and/or the vehicle-external system 16, 18 if the predetermined safety integrity of the vehicle-internal and/or the vehicle-external system 16, 18 meets the specific safety integrity level 14 of the safety-related vehicle function 12.
  • the provided at least one infrastructure and/or vehicle sensor data signal 10 includes driving situation parameters, in particular a vehicle speed, a direction of movement and/or a geographical position, of an ego vehicle, in particular of the motor vehicle.
  • the infrastructure and/or vehicle sensor data signal 10 provided further comprises or is a criticality parameter of a current driving situation, in particular a distance and/or a relative movement of the motor vehicle to static and/or dynamic objects in certain areas of a vehicle environment.
  • the provided at least one infrastructure and/or vehicle sensor data signal 10 is stored in a map in areas in which predetermined object types, in particular people and/or vehicles, are located with a predetermined Minimum probability not located and areas defined relative to the motor vehicle.
  • Determining the safety integrity level 14 of the safety-related vehicle function 12 includes a dynamic classification of a vehicle environment using a classification algorithm.
  • the classification algorithm is applied to the provided at least one infrastructure and/or vehicle sensor data signal 10 and outputs a plurality of classes representing the safety integrity level 14 of the safety-related vehicle function 12.
  • the classes issued are different safety integrity levels 14, in particular different ASIL, of the safety-related vehicle function 12.
  • the safety-related vehicle function 12 is a steering, braking and/or acceleration function of the vehicle. Furthermore, the safety-related vehicle function 12 is an environment detection function that records which areas of an environment model to be calculated are relevant for determining safe behavior of the motor vehicle and which are not.
  • the safety integrity level 14 of the safety-related vehicle function 12 is determined based on real-time criticality, in particular using real-time infrastructure and/or vehicle sensor data signals 10.
  • V2X Vehicle-to-everything V2X is the communication between a vehicle and any device that can influence or be influenced by the vehicle.
  • FIG. 2 shows a schematic representation of a control device for determining a safety integrity level 14 of a safety-related vehicle function 12 of a motor vehicle according to the preferred embodiment of the invention.
  • the control device 20 includes means 22 for receiving at least one infrastructure and/or vehicle sensor data signal 10, which represents infrastructure and/or vehicle sensor data that is intended for a safety-related vehicle function 12 provided by a motor vehicle.
  • the control device further comprises means 24 for determining a safety integrity level 14 of the safety-related vehicle function 12 based on the provided at least one infrastructure and/or vehicle sensor data signal 10.
  • the control unit also includes means 26 for allocating S3 a calculation of the safety-related vehicle function 12 to a vehicle-internal and/or a vehicle-external system, taking into account a predetermined safety integrity of the vehicle-internal and/or the vehicle-external system.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Traffic Control Systems (AREA)
  • Auxiliary Drives, Propulsion Controls, And Safety Devices (AREA)

Abstract

Die Erfindung betrifft ein computerimplementiertes Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs, mit den Schritten: Bereitstellen (S1) zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals (10), welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion (12) bestimmt sind; Bestimmen (S2) eines Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf dem bereitgestellten Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10); und Allokation (S3) einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems. Die Erfindung betrifft des Weiteren ein Steuergerät (20) zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs.

Description

Beschreibung
Titel
Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs
Die Erfindung betrifft ein Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
Des Weiteren betrifft die Erfindung ein Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
Sicherheitsnormen wie die ISO 26262 beschreiben das empfohlene Vorgehen zur Entwicklung von sicherheitsbezogenen Funktionen. Ein erster Schritt ist hierbei die Bestimmung der Sicherheitsintegrität von Funktionen auf Basis einer Risikoanalyse, z.B. der Hazard Analysis and Risk Assessment (HARA) in der ISO 26262. Diese erfolgt während der Entwicklungszeit auf Basis von Annahmen über den Einsatz der Funktion bzw. des Systems, das die betreffende Funktion enthält.
In der ISO 26262 erfolgt das z.B. über die Parameter einer Auftretenswahrscheinlichkeit einer Situation, in der eine Fehlfunktion gefährlich sein könnte, einer möglichen Kontrollierbarkeit dieser Fehlfunktion und einer Schwere der Auswirkung, falls diese Fehlfunktion in dieser Situation nicht kontrolliert werden kann. Die Bewertung ergibt dann ein notwendiges Sicherheitsintegritätsniveau (z.B. ASIL) einer Funktion, auf Basis dessen die notwendigen Entwicklungsprozesse und Sicherheitsmechanismen aus der Sicherheitsnorm abgeleitet werden. Daraus ergeben sich sowohl anzuwendende Design- und Testmethoden für die Hardware und Software, als auch notwendige ASIL-Compliance von Hardware Komponenten, auf denen die sicherheitsbezogene Software später läuft, die z.B. durch umfangreiche Diagnosen und die Bereitstellung von Hardware- Redundanzen erreicht werden kann.
DE 102015200422 Al offenbart ein Fahrzeugsteuerungs- und Berechnungssystem, umfassend eine Aufgabensteuerung im Fahrzeug, einen fahrzeugspezifischen Berechnungsmanager in einem Cloud-Netzwerk und einen drahtlosen Datenkanal, der die Aufgabensteuerung und das Cloud-Netzwerk koppelt, wobei die Aufgabensteuerung Betriebsaufgaben im Fahrzeug mittels datenbezogener Ressourcen in dem Cloud-Netzwerk durchführt, wobei bei Initiierung einer der Betriebsaufgaben die Aufgabensteuerung ein Austausch- Signal an den Berechnungsmanager als Ressourcenanforderung sendet, wobei der Berechnungsmanager mindestens einen Cloud-basierten Agenten aus einer Datenbank vorbestimmter Agenten als Reaktion auf das Austausch-Signal aufruft, und wobei die Aufgabensteuerung die Betriebsaufgabe durch Kommunikation mit dem aufgerufenen Agenten vollendet.
DE 102019214453 Al offenbart ein Verfahren zum sicheren Ausführen einer mittels eines Kraftfahrzeugs bereitgestellten Funktion, umfassend die folgenden Schritte: Empfangen von Infrastrukturdatensignalen, welche Infrastrukturdaten repräsentieren, welche für eine mittels eines Kraftfahrzeugs bereitgestellte Funktion bestimmt sind, Empfangen von Sicherheitsbedingungssignalen, welche zumindest eine Sicherheitsbedingung repräsentieren, welche erfüllt sein muss, damit die Funktion basierend auf den Infrastrukturdaten ausgeführt werden darf, Prüfen, ob die zumindest eine Sicherheitsbedingung erfüllt ist, Ermitteln, ob die Funktion basierend auf den Infrastrukturdaten ausgeführt werden darf, basierend auf einem Ergebnis des Prüfens, Erzeugen von Ergebnissignalen, welche ein Ergebnis des Ermittelns repräsentieren und Ausgeben der erzeugten Ergebnissignale.
Üblicherweise wird der ASIL einer Funktion während der Entwicklungszeit auf Basis von Annahmen über die „worst case“ Situationen bestimmt und fest zugeordnet. Allerdings ist durch Betrachtung der Vielzahl an möglichen Situationen leicht nachvollziehbar, dass die Fehlfunktion einer sicherheitsbezogenen Funktion in vielen dieser Situationen gar nicht gefährlich ist. Das trifft sowohl auf Primärfunktionen wie Aktuatorik-Ansteuerung, z.B. ungewolltes Motor-Aus im Stillstand, als auch auf Sekundärfunktionen wie die Umfeldwahrnehmung, z.B. Objekterkennung in fernen Bereichen bei langsamer Fahrt, zu.
Der Erfindung liegt somit die Aufgabe zugrunde, ein verbessertes Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs bereitzustellen, welche eine situationsbedingte Bestimmung eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion ermöglicht.
Die Aufgabe wird mit einem computerimplementierten Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs mit den Merkmalen des Patentanspruchs 1 gelöst.
Darüber hinaus wird die Aufgabe mit einem Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs mit den Merkmalen des Patentanspruchs 13 gelöst.
Ferner wird die Aufgabe mit einem Computerprogramm mit den Merkmalen des Patentanspruchs 14 und einem computerlesbaren Datenträger mit den Merkmalen des Patentanspruchs 15 gelöst.
Offenbarung der Erfindung
Die vorliegende Erfindung schafft ein computerimplementiertes Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
Das Verfahren umfasst ein Bereitstellen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals, welches Infrastruktur- und/oder Fahrzeugsensor- Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion bestimmt sind. Des Weiteren umfasst das Verfahren ein Bestimmen des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal. Das Verfahren umfasst darüber hinaus eine Allokation einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
Das Sicherheitsintegritätsniveaus der Fahrzeugfunktion repräsentiert bzw. beschreibt ein Niveau bzw. ein Level bzw. eine Stufe der Sicherheitsintegrität der Fahrzeugfunktion. Die Sicherheitsintegrität der Fahrzeugfunktion bezeichnet insbesondere eine Zuverlässigkeit der Fahrzeugfunktion, welche bspw. mittels einer Risikobeurteilung ermittelbar ist bzw. ermittelt werden kann.
Die Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems kann dabei beispielsweise durch einen ASIL-Score bzw. ASIL-Wert repräsentiert werden.
Die vorliegende Erfindung schafft des Weiteren ein Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs.
Das Steuergerät umfasst Mittel zum Empfangen des zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignals, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion bestimmt sind.
Ferner umfasst das Steuergerät Mittel zum Bestimmen eines Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion basierend auf dem bereitgestellten Infrastruktur- und/oder Fahrzeugsensor- Datensignal. Das Steuergerät umfasst überdies Mittel zur Allokation einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.
Die vorliegende Erfindung schafft ferner ein Computerprogramm mit Programmcode, um das erfindungsgemäße Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird sowie einen computerlesbaren Datenträger mit Programmcode eines Computerprogramms, um das erfindungsgemäße Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
Üblicherweise wird eine sicherheitsbezogene Funktion durch dediziert dafür mit dem entsprechenden ASIL entwickelte Software und auf dediziert dafür mit dem entsprechenden ASIL entwickelte Hardware umgesetzt. In traditionellen Fahrzeug-E/E-Architekturen bringt es somit auch keine Vorteile, Funktionen dynamisch auf Hardware und mit Software mit unterschiedlichen ASIL umsetzen zu wollen, da die entsprechende Hardware und Software bereits vorhanden sind.
Zukünftige Fahrzeug-E/E-Architekturen werden jedoch stark mit externen Systemen, z.B. Cloud, Edge, anderen Fahrzeugen und/oder Smart Devices vernetzt sein. Das bietet die Möglichkeit, Funktionen nach außen auszulagern. Für diese Auslagerung ist der ASIL einer Funktion allerdings eine Einschränkung, da diese externen Systeme häufig nicht nach einer Sicherheitsnorm wie der ISO 26262 entwickelt wurden und somit auch nicht die notwendige „ASIL- Compliance“ bieten.
Eine Idee der vorliegenden Erfindung ist es daher, eine dynamische, insbesondere Echtzeit-Bestimmung des ASIL von sicherheitsbezogenen Funktionen bzw. Teilfunktionen auf Basis eines aktuell gegebenen Kontexts wie z.B. einer Fahrsituation und/oder einem Fahrzeugzustand zu ermöglichen.
Somit kann in vorteilhafter Weise eine gesteuerte Auslagerung dieser Funktionen oder Teilfunktionen auf externe Systeme unter Berücksichtigung der gegebenen Sicherheitsintegrität dieser externen Systeme durchgeführt werden. Gemäß einer bevorzugten Weiterbildung ist vorgesehen, dass die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf das fahrzeuginterne und/oder das fahrzeugexterne System durchgeführt wird, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems das bestimmte Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion erfüllt.
Damit können auch per se sicherheitsbezogene Funktionen dynamisch aus dem Fahrzeug ausgelagert werden, um interne Ressourcen freizugeben bzw. für aufwendigere sicherheitsbezogene Berechnungen zu nutzen. Dies ist insbesondere für Funktionen des automatisierten Fahrens wie einer Umfeldwahrnehmung, einer adaptiven Verhaltensplanung und/oder einer Trajektorienplanung vorteilhaft, deren Berechnungsaufwand dynamisch je nach gegebener Fahrsituation, z.B. einer Komplexität der Fahrsituation und des Umfelds stark variieren kann.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das zumindest eine bereitgestellte Infrastruktur- und/oder Fahrzeugsensor- Datensignal Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs, umfasst. Somit wird eine aktuelle Fahrsituation in dem Infrastruktur- und/oder Fahrzeugsensor- Datensignal exakt abgebildet.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor- Datensignal ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds, umfasst oder ist.
Dadurch kann ebenfalls die Kritikalität der aktuellen Fahrsituation in die Bestimmung des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion mit einbezogen werden. Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor- Datensignal in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden sowie relativ zum Kraftfahrzeug definierte Bereiche, umfasst oder sind. Dadurch können ebenfalls Infrastrukturdaten in die Bestimmung des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion mit einbezogen werden.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das Bestimmen des Sicherheitsintegritätsniveaus der sicherheitsbezogenen Fahrzeugfunktion eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus umfasst, wobei der Klassifikationsalgorithmus auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal angewendet wird, und eine Mehrzahl von das Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion repräsentierende Klassen ausgibt. Das so ermittelte Sicherheitsintegritätsniveau, insbesondere der ASIL, dient daher als Grundlage für die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die sicherheitsbezogene Fahrzeugfunktion eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs ist.
Dies ermöglicht eine Bestimmung, ob beispielsweise ein ungewolltes Bremsen gefährlich ist, weil sich ein Fahrzeug hinter dem Kraftfahrzeug befindet oder nicht. Ebenso kann dadurch bewertet werden, ob ein ungewolltes Lenken oder Bremsen je nach Fahrzeuggeschwindigkeit und Fahrzeugumgebung gefährlich ist oder nicht.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die sicherheitsbezogene Fahrzeugfunktion eine Umfelderfassungsfunktion ist, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
Z.B. ist die Erkennung von Ampeln je nach Situation in einem Bereich relevant oder nicht, z.B. weniger relevant für weit voraus bei niedriger Ego-
Geschwindigkeit sowie bei bekanntem Nicht-Vorhandensein/Deaktivierung von Ampeln auf der Strecke, welche Daten durch statische oder dynamische Karteninformationen erlangt werden können.
Ferner ist eine Ampelerkennung weniger relevant z.B. bei bekanntem Nicht- Vorhandensein von Ampeln in gewissen Sichtbereichen, bei einer Autobahnfahrt, im Sichtbereich links oder geradeaus bei einer Rechtskurve sowie beim Anfahren.
Ferner ist die Erkennung von Personen weniger relevant bzw. weniger sicherheitskritisch für weiter entfernte oder abgesperrte Bereiche, aus denen Personen realistisch nicht den Bereich vor dem Fahrzeug erreichen können sowie Bereiche, in denen sich realistisch keine Personen befinden können, z.B. in einem Tunnel oder auf einer Autobahn.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass das Sicherheitsintegritätsniveau der sicherheitsbezogenen Fahrzeugfunktion basierend auf einer Echtzeit- Kritikalität, insbesondere unter Verwendung zumindest eines Echtzeit-Infrastruktur- und/oder Fahrzeugsensor-Datensignals bestimmt wird.
Die Echtzeit-Kritikalität der Daten ermöglicht somit eine Echtzeit Auslagerung bzw. Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion auf ein fahrzeuginternes und/oder ein fahrzeugexternes System.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass im Fahrzeug und im Fahrzeugumfeld verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion, insbesondere des Sicherheitsintegritätsniveaus eines benötigten Steuergerätes und/oder eines auf dem Steuergerät betriebenen computer-implementierten Verfahrens bestimmt und eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion über diese Ressourcen benötigte maximale Latenz bestimmt wird.
Diese Daten können somit auch lokal im Fahrzeug in einer Datenbank (z.B. Integritäts- /Performance- Karte der von einer regionalen Position aus verfügbaren Ressourcen) hinterlegt sein.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion, deren Sicherheitsintegritätsniveau einen vorgegebenen Schwellwert unterschreitet, auf dem Fahrzeugsteuergerät ausgeführt wird.
Somit kann beispielsweise eine Ausführung der Software auf einem internen Steuergerät, auf dem „Safety“-Core (z.B. Lockstep-CP U) des Steuergeräts, der einem hohen ASIL entspricht, eine Ausführung auf einem weniger abgesicherten Core, z.B. nur mit „QM- Einstufung“, eine Ausführung auf redundanten GPUs, mit Vergleich der Ergebnisse, der einem hohen ASIL entspricht und/oder eine Ausführung auf einer einzelnen GPU mit niedrigerem ASIL oder „QM-Einstufung“ ermöglicht werden.
Gemäß einer weiteren bevorzugten Weiterbildung ist vorgesehen, dass eine Funktionsausführung über V2X auf einem externen System, insbesondere einem Edge-, Fog- und/oder Cloud-Server, einem Steuergerät eines anderen Verkehrsteilnehmers und/oder einem Smart Device, insbesondere einem Smartphone, angefordert wird.
Somit kann eine Ausführung auf einem externen System, das gemäß einem hohen Sicherheitsintegritätslevel entwickelt wurde, eine Ausführung auf redundanten externen Systemen mit niedriger Sicherheitsintegrität oder reiner „QM-Einstufung“, mit lokalem Vergleich der Ergebnisse für eine höhere Sicherheitsintegrität („SW Lockstep“) und eine Ausführung auf einem einzelnen externen System mit niedriger Sicherheitsintegrität oder reiner „QM-Einstufung“ ermöglicht werden.
Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale der Erfindung.
Kurze Beschreibung der Zeichnungen
Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der Erfindung vermitteln. Sie veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Prinzipien und Konzepten der Erfindung.
Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die dargestellten Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.
Es zeigen:
Fig. 1 ein Ablaufdiagramm eines computerimplementierten Verfahrens zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs gemäß einer bevorzugten Ausführungsform der Erfindung; und
Fig. 2 eine schematische Darstellung eines Steuergerätes zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs gemäß der bevorzugten Ausführungsform der Erfindung.
Das ist Fig. 1 gezeigte computerimplementierte Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus 14 einer sicherheitsbezogenen Fahrzeugfunktion 12 eines Kraftfahrzeugs umfasst ein Bereitstellen S1 zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion 12 bestimmt sind. Die sicherheitsbezogene Fahrzeugfunktion wird dabei als einen sicherheitsrelevanten Aspekt des Fahrzeugs wie z.B. ein Beschleunigen, Bremsen und/oder einen Lenkeingriff betreffende Funktion verstanden.
Das Verfahren umfasst ferner ein Bestimmen S2 eines Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10 und eine Allokation S3 einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 auf ein fahrzeuginternes und/oder ein fahrzeugexternes System 16, 18 unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems 16, 18.
Die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 wird dabei auf das fahrzeuginterne und/oder das fahrzeugexterne System 16, 18 durchgeführt, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems 16, 18 das bestimmte Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 erfüllt.
Das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor- Datensignal 10 umfasst Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs.
Das bereitgestellte Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 umfasst oder ist des Weiteren ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds. Darüber hinaus ist das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden sowie relativ zum Kraftfahrzeug definierte Bereiche.
Das Bestimmen des Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 umfasst eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus.
Der Klassifikationsalgorithmus wird auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10 angewendet und gibt eine Mehrzahl von das Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 repräsentierende Klassen aus. Die ausgegebenen Klassen sind dabei unterschiedliche Sicherheitsintegritätsniveaus 14, insbesondere unterschiedliche ASIL, der sicherheitsbezogenen Fahrzeugfunktion 12.
Die sicherheitsbezogene Fahrzeugfunktion 12 ist eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs. Ferner ist die sicherheitsbezogene Fahrzeugfunktion 12 eine Umfelderfassungsfunktion, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
Das Sicherheitsintegritätsniveau 14 der sicherheitsbezogenen Fahrzeugfunktion 12 wird basierend auf einer Echtzeit-Kritikalität, insbesondere unter Verwendung von Echtzeit-Infrastruktur- und/oder Fahrzeugsensor-Datensignalen 10 bestimmt.
Im Fahrzeug und im Fahrzeugumfeld werden verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion 12, insbesondere des Sicherheitsintegritätsniveaus 14 eines benötigten Steuergerätes und/oder eines auf dem Steuergerät 20 betriebenen computer-implementierten Verfahrens bestimmt. Ferner wird eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion 12 über diese Ressourcen benötigte maximale Latenz bestimmt. Die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12, deren Sicherheitsintegritätsniveau 14 einen vorgegebenen Schwellwert unterschreitet, wird auf dem Steuergerät 20 ausgeführt. Eine Funktionsausführung über V2X wird auf einem externen System, insbesondere ein Edge Server, Fog, Cloud, Steuergerät 20 eines anderen Verkehrsteilnehmers, Smart Device angefordert. Vehicle-to-everything V2X ist die Kommunikation zwischen einem Fahrzeug und jeder Einrichtung, die das Fahrzeug beeinflussen oder von ihm beeinflusst werden kann.
Fig. 2 zeigt eine schematische Darstellung eines Steuergerätes zum Bestimmen eines Sicherheitsintegritätsniveaus 14 einer sicherheitsbezogenen Fahrzeugfunktion 12 eines Kraftfahrzeugs gemäß der bevorzugten Ausführungsform der Erfindung.
Das Steuergerät 20 umfasst Mittel 22 zum Empfangen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals 10, welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion 12 bestimmt sind.
Ferner umfasst das Steuergerät Mittel 24 zum Bestimmen eines Sicherheitsintegritätsniveaus 14 der sicherheitsbezogenen Fahrzeugfunktion 12 basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal 10.
Das Steuergerät umfasst darüber hinaus Mittel 26 zur Allokation S3 einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion 12 auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems.

Claims

Ansprüche
1. Computerimplementiertes Verfahren zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs, mit den Schritten: Bereitstellen (Sl) zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals (10), welches Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentiert, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion (12) bestimmt sind;
Bestimmen (S2) des Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10); und
Allokation (S3) einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf ein fahrzeuginternes und/oder ein fahrzeugexternes System (16, 18) unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems (16, 18).
2. Computerimplementiertes Verfahren nach Anspruch 1, wobei die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf das fahrzeuginterne und/oder das fahrzeugexterne System (16, 18) durchgeführt wird, falls die vorgegebene Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems (16, 18) das bestimmte Sicherheitsintegritätsniveau (14) der sicherheitsbezogenen Fahrzeugfunktion (12) erfüllt.
3. Computerimplementiertes Verfahren nach Anspruch 1 oder 2, wobei das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor- Datensignal (10) Fahrsituationsparameter, insbesondere eine Fahrzeuggeschwindigkeit, eine Bewegungsrichtung und/oder eine geographische Position, eines Ego-Fahrzeugs, insbesondere des Kraftfahrzeugs, umfasst.
4. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10) ein Kritikalitätsparameter einer aktuellen Fahrsituation, insbesondere ein Abstand und/oder eine relative Bewegung des Kraftfahrzeugs zu statischen und/oder dynamischen Objekten in bestimmten Bereichen eines Fahrzeugumfelds, umfasst.
5. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das bereitgestellte Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10) in einer Karte hinterlegte Bereiche, in denen sich vorgegebene Objekttypen, insbesondere Personen und/oder Fahrzeuge, mit einer vorgegebenen Mindestwahrscheinlichkeit nicht befinden, sowie relativ zum Kraftfahrzeug definierte Bereiche umfasst.
6. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das Bestimmen des Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) eine dynamische Klassifizierung eines Fahrzeugumfelds unter Verwendung eines Klassifikationsalgorithmus umfasst, wobei der Klassifikationsalgorithmus auf das bereitgestellte zumindest eine Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10) angewendet wird, und eine Mehrzahl von das Sicherheitsintegritätsniveau (14) der sicherheitsbezogenen Fahrzeugfunktion (12) repräsentierende Klassen ausgibt.
7. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei die sicherheitsbezogene Fahrzeugfunktion (12) eine Lenk-, Brems- und/oder Beschleunigungsfunktion des Fahrzeugs ist.
8. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei die sicherheitsbezogene Fahrzeugfunktion (12) eine Umfelderfassungsfunktion ist, die erfasst, welche Bereiche eines zu berechnenden Umfeldmodells für die Bestimmung eines sicheren Verhaltens des Kraftfahrzeugs relevant sind und welche nicht.
9. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei das Sicherheitsintegritätsniveau (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf einer Echtzeit- Kritikalität, insbesondere unter Verwendung von Echtzeit- Infrastruktur- und/oder Fahrzeugsensor-Datensignalen (10), bestimmt wird.
10. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei im Fahrzeug und im Fahrzeugumfeld verfügbare Ressourcen zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion (12), insbesondere des Sicherheitsintegritätsniveaus (14) eines benötigten Steuergerätes und/oder eines auf dem Steuergerät (20) betriebenen computer-implementierten Verfahrens bestimmt und eine zum Berechnen der sicherheitsbezogenen Fahrzeugfunktion (12) über diese Ressourcen benötigte maximale Latenz bestimmt wird.
11. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei die Allokation der Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12), deren Sicherheitsintegritätsniveau (14) einen vorgegebenen Schwellwert unterschreitet, auf dem Steuergerät (20) ausgeführt wird.
12. Computerimplementiertes Verfahren nach einem der vorhergehenden Ansprüche, wobei eine Funktionsausführung über V2X auf einem externen System, insbesondere ein Edge Server, Fog, Cloud, Steuergerät (20) eines anderen Verkehrsteilnehmers, Smart Device angefordert wird. Steuergerät (20) zum Bestimmen eines Sicherheitsintegritätsniveaus (14) einer sicherheitsbezogenen Fahrzeugfunktion (12) eines Kraftfahrzeugs, mit:
Mitteln (22) zum Bereitstellen zumindest eines Infrastruktur- und/oder Fahrzeugsensor-Datensignals (10), welche Infrastruktur- und/oder Fahrzeugsensor-Daten repräsentieren, welche für eine mittels eines Kraftfahrzeugs bereitgestellte sicherheitsbezogene Fahrzeugfunktion (12) bestimmt sind;
Mitteln (24) zum Bestimmen des Sicherheitsintegritätsniveaus (14) der sicherheitsbezogenen Fahrzeugfunktion (12) basierend auf dem bereitgestellten zumindest einen Infrastruktur- und/oder Fahrzeugsensor-Datensignal (10); und
Mitteln (26) zur Allokation (S3) einer Berechnung der sicherheitsbezogenen Fahrzeugfunktion (12) auf ein fahrzeuginternes und/oder ein fahrzeugexternes System unter Berücksichtigung einer vorgegebenen Sicherheitsintegrität des fahrzeuginternen und/oder des fahrzeugexternen Systems. Computerprogramm mit Programmcode, um das Verfahren nach einem der Ansprüche 1 bis 12 durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird. Computerlesbarer Datenträger mit Programmcode eines Computerprogramms, um das Verfahren nach einem der Ansprüche 1 bis 12 durchzuführen, wenn das Computerprogramm auf einem Computer ausgeführt wird.
EP23738482.1A 2022-07-06 2023-07-03 Verfahren und steuergerät zum bestimmen eines sicherheitsintegritätsniveaus einer sicherheitsbezogenen fahrzeugfunktion eines kraftfahrzeugs Pending EP4552014A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022206923.4A DE102022206923A1 (de) 2022-07-06 2022-07-06 Verfahren und Steuergerät zum Bestimmen eines Sicherheitsintegritätsniveaus einer sicherheitsbezogenen Fahrzeugfunktion eines Kraftfahrzeugs
PCT/EP2023/068217 WO2024008638A1 (de) 2022-07-06 2023-07-03 Verfahren und steuergerät zum bestimmen eines sicherheitsintegritätsniveaus einer sicherheitsbezogenen fahrzeugfunktion eines kraftfahrzeugs

Publications (1)

Publication Number Publication Date
EP4552014A1 true EP4552014A1 (de) 2025-05-14

Family

ID=87155677

Family Applications (1)

Application Number Title Priority Date Filing Date
EP23738482.1A Pending EP4552014A1 (de) 2022-07-06 2023-07-03 Verfahren und steuergerät zum bestimmen eines sicherheitsintegritätsniveaus einer sicherheitsbezogenen fahrzeugfunktion eines kraftfahrzeugs

Country Status (5)

Country Link
US (1) US20260001562A1 (de)
EP (1) EP4552014A1 (de)
CN (1) CN119497849A (de)
DE (1) DE102022206923A1 (de)
WO (1) WO2024008638A1 (de)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9231998B2 (en) 2014-01-22 2016-01-05 Ford Global Technologies, Llc Vehicle-specific computation management system for cloud computing
US20190047581A1 (en) * 2017-08-14 2019-02-14 GM Global Technology Operations LLC Method and apparatus for supporting mission-critical applications via computational cloud offloading
DE102018009906A1 (de) * 2018-12-20 2020-06-25 Volkswagen Aktiengesellschaft Verfahren zum Management von Rechnerkapazitäten in einem Netzwerk mit mobilen Teilnehmern
US11334382B2 (en) * 2019-04-30 2022-05-17 Intel Corporation Technologies for batching requests in an edge infrastructure
DE102019214453B4 (de) 2019-09-23 2026-01-15 Robert Bosch Gmbh Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs
EP3816741B1 (de) * 2019-10-31 2023-11-29 TTTech Auto AG Sicherheitsmonitor für erweiterte fahrerassistenzsysteme
JP7471756B2 (ja) * 2021-08-04 2024-04-22 矢崎総業株式会社 車両システム
US20230153384A1 (en) * 2021-11-09 2023-05-18 Gm Cruise Holdings Llc Training classification model for an autonomous vehicle by using an augmented scene

Also Published As

Publication number Publication date
CN119497849A (zh) 2025-02-21
US20260001562A1 (en) 2026-01-01
DE102022206923A1 (de) 2024-01-11
WO2024008638A1 (de) 2024-01-11

Similar Documents

Publication Publication Date Title
DE102015001971A1 (de) Verfahren und Überwachungsvorrichtung zur Überwachung von Fahrerassistenzsystemen
DE102015202837A1 (de) Fehlerbehandlung in einem autonomen Fahrzeug
EP4226248A1 (de) Verfahren und ein system zum testen eines fahrerassistenzsystems für ein fahrzeug
DE102022200536B3 (de) Fahrassistenzeinrichtung und Verfahren zum Durchführen einer wenigstens teilautomatischen Fahrzeugfunktion in Abhängigkeit von einer zu bewertenden Fahrstrecke
DE102020209680B3 (de) Signalverarbeitungspfad, Vorrichtung zur Umfelderkennung und Verfahren zur Validierung eines automatisiert betreibbaren Fahrsystems
DE102019214482A1 (de) Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102019214484A1 (de) Verfahren zum sicheren Ermitteln von Infrastrukturdaten
DE102020103507A1 (de) Online-fahrleistungsbewertung mit räumlichen und temporären verkehrsinformationen für autonome fahrsysteme
EP4105811A1 (de) Computerimplementiertes verfahren zum szenariobasierten testen und/oder homologation von zu testenden zumindest teilweise autonomen fahrfunktionen durch key performance indicators (kpi)
DE102019214413A1 (de) Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs
EP3742419B1 (de) Risikoreduzierung im strassenverkehr
WO2022096236A1 (de) Verfahren zum ermitteln einer existenzwahrscheinlichkeit eines möglichen elements in einer umgebung eines kraftfahrzeugs, fahrerassistenzsystem und kraftfahrzeug
DE102021211711A1 (de) Fahrerassistenzsystem und Verfahren zum Steuern eines Kraftfahrzeugs
EP4412882B1 (de) Verfahren zur planung einer trajektorie eines fahrmanövers eines kraftfahrzeugs, computerprogrammprodukt, computerlesbares speichermedium sowie fahrzeug
DE102021202903A1 (de) Verfahren zum Bewerten einer Software für ein Steuergerät eines Fahrzeugs
DE102023206691A1 (de) Verfahren zur Erhöhung einer Sicherheit an einer Querungsanlage
DE112023002374T5 (de) Verarbeitungssystem und informationspräsentationsvorrichtung
DE102022214267A1 (de) Computer-implementiertes Verfahren und System zur Verhaltensplanung eines zumindest teilautomatisierten EGO-Fahrzeugs
DE112020006317T5 (de) Computersystem und verfahren zum trainieren eines verkehrsagenten in einer simulationsumgebung
EP4552014A1 (de) Verfahren und steuergerät zum bestimmen eines sicherheitsintegritätsniveaus einer sicherheitsbezogenen fahrzeugfunktion eines kraftfahrzeugs
WO2023245217A1 (de) Verfahren zum trainieren eines künstlichen neuronalen netzes eines fahrermodells
DE102022212110A1 (de) Erfüllung einer Sicherheitsanforderung von mindestens einem Fahrzeug
DE102023203666A1 (de) Computer-implementiertes Verfahren zur Prädiktion des Verhaltens eines Teilnehmers einer Verkehrsszene
DE102019215141B4 (de) Verfahren zum Prognostizieren einer zukünftigen Verkehrssituation in einer Umgebung eines Kraftfahrzeugs durch Bestimmen mehrerer in sich konsistenter Gesamtszenarios für unterschiedliche Verkehrsteilnehmer; Kraftfahrzeug
WO2021089242A1 (de) Verfahren und vorrichtung zum bestimmen von notfalltrajektorien und zum betreiben von automatisierten fahrzeugen

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20250206

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)