EP4676798A1 - Module électronique d'aide à la conduite d'un véhicule automobile - Google Patents

Module électronique d'aide à la conduite d'un véhicule automobile

Info

Publication number
EP4676798A1
EP4676798A1 EP24707247.3A EP24707247A EP4676798A1 EP 4676798 A1 EP4676798 A1 EP 4676798A1 EP 24707247 A EP24707247 A EP 24707247A EP 4676798 A1 EP4676798 A1 EP 4676798A1
Authority
EP
European Patent Office
Prior art keywords
output data
block
motor vehicle
electronic module
steering wheel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP24707247.3A
Other languages
German (de)
English (en)
Inventor
El-Hadji-Sidath DIAO
Abdou-Salam GUEYE
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ampere SAS
Original Assignee
Ampere SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ampere SAS filed Critical Ampere SAS
Publication of EP4676798A1 publication Critical patent/EP4676798A1/fr
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/08Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/08Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
    • B60W2040/0818Inactivity or incapacity of driver
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/08Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
    • B60W2040/0872Driver physiology
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2510/00Input parameters relating to a particular sub-units
    • B60W2510/20Steering systems
    • B60W2510/202Steering torque
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/223Posture, e.g. hand, foot, or seat position, turned or inclined
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/229Attention level, e.g. attentive to driving, reading or sleeping

Definitions

  • the present invention relates generally to safety in the automotive field.
  • the invention finds a particularly advantageous application in the design of secure software for automating the driving of motor vehicles.
  • This ISO26262 standard defines levels of requirements in terms of automotive safety ranging from ASIL-A level (least critical level) to ASIL-D level (most critical level).
  • the SAEJ3016 standard defines degrees of driving delegation, the highest level (five) designating fully autonomous vehicles and the other levels designating vehicles requiring a more or less high attention.
  • the driver attention monitoring function must then also satisfy a given ASIL level (for example an ASIL-B level).
  • ASIL level for example an ASIL-B level.
  • a first strategy consists of measuring the torque exerted by the driver on the steering wheel when a second strategy consists of equipping the steering wheel with capacitive sensors.
  • the second strategy is the one that gives the best results, but it is much more expensive than the first which does not require any dedicated sensors (those used are already present in the vehicles being sufficient).
  • document US20210024075 proposes using artificial intelligence (in this case a neural network) in order to improve the detection of the driver's hands on the steering wheel.
  • artificial intelligence in this case a neural network
  • the present invention proposes a solution allowing the use of algorithms that are difficult to qualify at an ASIL level, while limiting their development cost.
  • the invention proposes an electronic module for assisting in driving a motor vehicle, comprising:
  • At least one faulty block which receives at least one input data relating to the motor vehicle, and which provides at least one second output data, said second output data being a function of said at least one input data and having a reliability level lower than that of each first output data, and
  • - a security block which receives the first and second output data as input and which provides secure information as output whose reliability level is higher than that of said second output data.
  • the security block makes it possible, on the basis of the data transmitted by the secure blocks, to verify the data transmitted by the fallible block in order to guarantee their validity and to deduce secure information therefrom.
  • said secure information indicates whether a driver of the motor vehicle is attentive
  • said secure information indicates whether or not the driver has his hands on the steering wheel of the motor vehicle
  • said secure information is determined based on the torque exerted by the driver on the steering wheel;
  • said at least one input data item relates to the torque exerted by a driver of the motor vehicle on a steering wheel of the motor vehicle, and said at least one second output data item is determined by comparing said at least one input data item with a threshold;
  • said at least one second output data is determined by means of a neural network
  • the faulty block provides at least one other output data, the secure information being identical to said second output data if at least one condition is met, said condition being that said other output data is comparable to said first output data;
  • said other output data is calculated by the faulty block and is considered comparable to said first output data if it is equal to a value which is a function of said first output data;
  • said other output data is calculated by the faulty block and is considered comparable to said first output data if it is complementary to a function of said first output data;
  • the secure information is identical to said second output data if at least one condition is met, said condition being that said first output data indicates an absence of hardware error.
  • the invention also provides a motor vehicle comprising a chassis and bodywork elements which delimit a passenger compartment, at least two steered wheels, a steering system comprising a steering wheel which is located in the passenger compartment and which is connected to the steered wheels, and a torque sensor adapted to measure the torque exerted by the driver on the steering wheel, as well as an electronic module as mentioned above.
  • FIG.l is a schematic perspective view of a motor vehicle according to the invention.
  • FIG.2 is a schematic view of software for detecting a driver's grip on the steering wheel of the motor vehicle of [Fig.l].
  • FIG.l there is shown a motor vehicle 1 suitable for implementing the invention.
  • this vehicle 1 conventionally comprises a chassis and bodywork elements which delimit a passenger compartment in which there is in particular a seat for the driver 5 of the vehicle, a dashboard and a steering wheel 3. It also comprises wheels, at least two of which are steered.
  • This vehicle 1 comprises a powertrain, a braking system and a steering system for turning the vehicle (not visible in the figure).
  • the steering system comprises an electronically controllable power steering actuator
  • the powertrain comprises an electronically controllable engine control actuator
  • the braking system comprises an electronically controllable braking actuator.
  • This vehicle 1 is further equipped with at least one human-machine interface.
  • the dashboard integrates a display screen 4 and at least one is provided speaker (not visible).
  • the vehicle 1 also comprises an electronic processing unit 2 which comprises one or more computers (microprocessors or microcontrollers), memories and input and output interfaces.
  • an electronic processing unit 2 which comprises one or more computers (microprocessors or microcontrollers), memories and input and output interfaces.
  • the electronic processing unit 2 is adapted to receive different input data, which come from sensors or third-party computers. These input data are for example related to the motor vehicle and its external environment (position on the road, etc.).
  • the electronic processing unit 2 is in particular adapted to receive a signal E2 corresponding to the torque measured by a torque sensor exerted on the steering system. This measured torque corresponds in practice to the torque exerted by the driver on the steering wheel 3.
  • the electronic processing unit 2 is adapted to control the human-machine interface in order to provide the driver with information. It is also adapted to control the power steering actuator, the engine control actuator, and the braking actuator.
  • the electronic processing unit 2 stores a computer application, consisting of computer programs (or “software”) comprising instructions whose execution by the computers allows the implementation of the method described below.
  • One of these driving functions is the automatic regulation of the vehicle speed, known as the ACC function (from the English “Adaptive Cruise Control”).
  • the driver can select a speed setting. This may for example be a specific speed (such as 80 km/h), or a request telling the vehicle to travel if possible at the maximum speed authorized on the traffic lane used.
  • a speed setting such as 80 km/h
  • the ACC function makes it possible to calculate control settings for the engine control actuator and the braking actuator. These settings are calculated so as to regulate the speed of the vehicle either at the speed setting as long as no third-party vehicle is too close in front of the vehicle 1, or at a reduced speed which depends on the speed of the third-party vehicle in front of it, so as to maintain an acceptable safety distance from it.
  • This function allows the vehicle's direction to be automatically controlled so that it remains centered on its lane.
  • the monitoring function which is more specifically the subject of this presentation, makes it possible to check that the driver is attentive to the driving of his vehicle. It is here based on the detection of the driver's holding of the steering wheel 3.
  • This function is necessary for the implementation of the other two functions in the sense that these other two functions can only be implemented if the driver keeps his hands on the steering wheel (permanently or at least intermittently).
  • ASIL safety level (from the English “Automotive Safety Integrity Level”).
  • This ASIL security level makes it possible, on the basis of a risk analysis, to determine to what extent the software is able to implement the function in complete security.
  • software with a guaranteed security level can be classified according to four levels, from the lower level ASIL-A to the higher level ASIL-D (level offering the greatest security), passing in order through levels ASIL-B and ASIL-C.
  • data and materials may be certified by a security level.
  • This security level will again be defined by the aforementioned standard.
  • data, a sensor or a computer may be characterized by its ASIL level.
  • the invention proposes to simplify the design and development of software for assisting in driving a motor vehicle, while ensuring that they have an ASIL level that complies with the specifications.
  • the electronic module 20 is split into several distinct software components hereinafter called “blocks”, including:
  • At least one U3 faulty block with a lower ASIL level typically a QM level
  • a safety block U4 which makes it possible to check the validity of the outputs of each fallible block U3 on the basis of the output of at least one safe block Ul, U2, and which preferably has the desired ASIL level.
  • These blocks are distinct software components. They also preferably form distinct hardware components. In other words, the software components are preferably stored in distinct memories and executed by distinct computers (processors, logic units, etc.).
  • the driving assistance function which will be considered more precisely will therefore be the HOD function, for detecting the driver's steering wheel position.
  • This function will be based on the detection of a torque exerted on the steering wheel 3 by the driver 5.
  • the steering wheel will here be devoid of capacitive sensors for detecting whether or not the driver is placing his hands on the steering wheel.
  • the function will instead be executed on the basis of the data emitted by the torque sensor exerted on the steering wheel.
  • the electronic module 20 implementing this function comprises two safe blocks Ul, U2, i.e. two software components making it possible to provide data at the desired ASIL level, here at ASIL B level.
  • the first safe block Ul is a component for determining both software and hardware faults. Typically, this block makes it possible to detect a fault in the power steering, a fault in the signals circulating on the vehicle's CAN network, a fault in the electronic processing unit 2... Such a block being already known to those skilled in the art, it will not be described further here. It can only be specified that it emits an output signal SI, for example in the form of a Boolean equal to 0 as long as no fault is detected and to 1 otherwise.
  • the second safe block U2 is an interface component for receiving signals E2 from networks external to the electronic processing unit 2, typically CAN or Ethernet networks. This second safe block U2 emits an output signal S2, for example in the form of a variable whose value is equal to the torque exerted by the driver 5 on the steering wheel 3. Typically, it may be an analog-digital interface.
  • the electronic module 20 here comprises a single faulty block U3, that is to say a single software and hardware component which provides data not being at the desired ASIL level, here data at the QM level.
  • This faulty block U3 nevertheless constitutes the heart of the electronic module 20 since it is this which is able to determine whether or not the driver has his hands on the steering wheel.
  • this block is able to first provide a signal S33 relating to whether or not the driver is holding the steering wheel.
  • This signal is presented for example in the form of a Boolean equal to 0 as long as the driver has his hands on the steering wheel and to 1 otherwise.
  • This fallible block U3 is also able to provide two signals S31, S32 which will be used to check whether the signal S33 is reliable. These two signals are preferably formed by forcing the fallible block U3 to execute operations. The reliability of this fallible block U3 can thus be checked by checking that the results of these calculations are correct.
  • one of these signals S31 is equal to the average of the torque exerted by the driver on the steering wheel over a predetermined period, for example of the order of a second.
  • Another of these signals S32 comes from a signal coding operation S33. In this case, it is a mirror version of the S33 signal, which is therefore presented in the form of a boolean equal to 1 as long as the driver has his hands on the steering wheel and 0 otherwise.
  • the faulty block U3 here comprises three units U31, U32, U33.
  • the first and second units U31, U32 are designed to determine in parallel, and on the basis of the signals received, two evaluations of the signal S33.
  • This operation it is considered that the driver has his hands on the steering wheel when the difference between the measured torque and the friction torque exceeds a predetermined threshold.
  • This threshold may vary, for example depending on the speed of the vehicle.
  • the other of these evaluations is carried out by means of a neural network. It is based on a part of the inputs, here on all of them.
  • This neural network could be of any type. Here it is a feedforward / recurrent neural network (“RNN”).
  • RNN feedforward / recurrent neural network
  • This neural network comprises an input layer, at least one hidden layer, and an output layer, with several artificial neurons on the hidden layers.
  • the activation functions used within the hidden layers are for example of the sigmoid type.
  • the neural network will be trained, for example, by back propagation of the error gradient on a training set.
  • the training set will correspond to data values that are already known.
  • the signal S33 On the basis of the two evaluations, it is possible to determine the signal S33, for example by considering one or the other of the two evaluations when they differ, depending on the configuration in which the vehicle is located (the thresholding working for example better at low speed but less well at high speed).
  • the third unit U33 integrated into the faulty block U3 is designed to select one or the other of the two evaluations. It further allows, on the basis of the signal S2, to determine the average of the torque exerted on the steering wheel over a predetermined period (the signal S31). It further allows, on the basis of the signal S33, to determine a mirror version of this signal S33 (i.e. the signal S32).
  • these two signals S31 and S32 will make it possible to checking that the U3 fault block is functioning properly.
  • two separate signals are used to check that the U3 fault block is functioning properly, these signals preferably being formed using operations of different types on separate signals.
  • a larger number or a smaller number of signals could be used to check that the U3 fault block is functioning properly.
  • This securing block U4 is designed to validate or not the signal S33, under at least one condition. In the embodiment described and shown, three conditions are necessary to validate the signal S33.
  • the first condition is controlled by a block U41, which receives as input the signal SI (relating to the presence or absence of a fault, both software and hardware).
  • SI relating to the presence or absence of a fault, both software and hardware.
  • This block U41 checks in practice whether a fault has been detected or not. As long as no fault is detected, this block U41 delivers a signal S41 corresponding to a boolean equal to 1. Otherwise, the signal is zero.
  • the second condition is controlled by two blocks U42 and U43.
  • Block U42 receives as input signal S2 (the measured torque) and deduces an average of the torque measured over the predetermined period.
  • Block U43 compares this average with that calculated by block U3 (signal S31).
  • the third condition is checked by block U44 which receives as input signals S32 and S33, which are assumed to be complementary. If this is indeed the case, the third condition is validated. From then on, this block U44 delivers a signal S44 corresponding to a boolean equal to 1. Otherwise, the signal S44 is zero.
  • the consolidation block U45 provides at the output of the electronic module 20 a signal S4 equal to the signal S33 calculated by the block U3.
  • the signal S33 from the fallible block U3 is reliable. and that it indicates reliably whether or not the driver has his hands on the steering wheel.
  • signal S4 takes a different value from that of signal S33.
  • the signal S33 from the faulty block U3 is not reliable and that, not being able to determine with certainty whether or not the driver has his hands on the steering wheel, it is necessary to deactivate the LCA and ACC functions. It should be noted that this deactivation may be progressive, and take place after several alerts to the driver (displayed on the screen and emitted by the speakers).
  • the U4 security block which responds to ASIL B level and which is based on data from secure blocks, makes it possible to transform a signal S33 at QM level into a signal S4 at ASIL B level.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Control Of Electric Motors In General (AREA)

Abstract

L'invention concerne un module électronique d'aide à la conduite d'un véhicule automobile, comportant : - au moins un bloc sûr (U1, U2) adapté à générer une première donnée de sortie (S1, S2) qui présente un niveau de fiabilité élevé, et - au moins un bloc faillible (U3) qui reçoit au moins une donnée d'entrée relative au véhicule automobile, et qui fournit au moins une deuxième donnée de sortie (S33), ladite deuxième donnée de sortie étant fonction de ladite au moins une donnée d'entrée et présentant un niveau de fiabilité inférieur à celui de chaque première donnée de sortie, et - un bloc de sécurisation (U4) qui reçoit en entrée les première et deuxième donnée de sortie et qui fournit en sortie une information sécurisée (S4) dont le niveau de fiabilité est supérieur à celui de ladite deuxième donnée de sortie.

Description

Description
Titre de l'invention : Module électronique d’aide à la conduite d’un véhicule automobile
Domaine technique de l'invention
[0001] La présente invention concerne de manière générale la sécurité dans le domaine automobile.
[0002] Elle concerne plus particulièrement un module électronique programmé et structuré dans le but d’aider un conducteur à la conduite de son véhicule automobile.
[0003] L’invention trouve une application particulièrement avantageuse dans la conception de logiciels sécurisés permettant d’automatiser la conduite de véhicules automobiles. Etat de la technique
[0004] Les véhicules automobiles modernes comportent plusieurs calculateurs qui offrent une grande quantité de fonctions, dont des fonctions de pilotage autonome ou semi- autonome du véhicule.
[0005] Parmi ces fonctions, on peut par exemple citer la fonction de maintien automatique du véhicule au centre de sa voie de circulation, ou la fonction de régulation adaptative de vitesse (qui permet de maintenir la vitesse du véhicule à une vitesse de consigne et au besoin de réguler cette vitesse si la circulation se densifie afin de maintenir des distances de sécurité adaptées).
[0006] Ces fonctions mettent en œuvre une quantité importante de logiciels, représentant généralement plusieurs millions de lignes de code.
[0007] Certaines de ces fonctions sont critiques pour la sécurité du véhicule. Dès lors, les logiciels doivent être développés selon des règles de conception rigoureuses définies par exemple par la norme ISO26262. Le matériel informatique et les capteurs (caméra, RADAR...) sont également sélectionnés en fonction de cette norme.
[0008] Cette norme ISO26262 définit des niveaux d’exigence en matière de sécurité automobile allant du niveau ASIL-A (niveau le moins critique) au niveau ASIL-D (niveau le plus critique).
[0009] Pendant la conception du véhicule, il est prévu de développer chaque fonction en respectant le niveau ASIL qui lui est assigné.
[0010] Naturellement, plus la fonction est critique, plus le niveau ASIL est élevé, et plus le développement du logiciel s’avère coûteux en termes notamment de temps de développement.
[0011] En parallèle de cela, la norme SAEJ3016 définit des degrés de délégation de conduite, le niveau le plus élevé (cinq) désignant des véhicules entièrement autonomes et les autres niveaux désignant des véhicules requérant de la part du conducteur une attention plus ou moins élevée.
[0012] Dans le cadre de l’automatisation partielle des véhicules (avec un niveau inférieur à quatre), il est nécessaire d’exécuter une fonction de surveillance de l’attention du conducteur. Ce programme peut typiquement consister à surveiller que le conducteur a bien les mains sur le volant. Ainsi, les fonctions de conduite semi-autonome du véhicule pourront être mises en œuvre uniquement si le conducteur a bien les mains sur son volant.
[0013] La fonction de surveillance de l’attention du conducteur doit alors elle aussi satisfaire un niveau ASIL donné (par exemple un niveau ASIL-B).
[0014] Deux stratégies peuvent être employées pour déterminer si le conducteur a les mains sur le volant.
[0015] Une première stratégie consiste à mesurer le couple exercé par le conducteur sur le volant quand une seconde stratégie consiste à équiper le volant de capteur capacitifs.
[0016] La seconde stratégie est celle qui donne les meilleurs résultats, mais elle est beaucoup plus onéreuse que la première qui ne nécessite aucun capteur dédié (ceux utilisés sont déjà présents dans les véhicules étant suffisants).
[0017] Dans ce contexte, le document US20210024075 propose alors d’utiliser l’intelligence artificielle (en l’espèce un réseau de neurones) afin d’améliorer la détection des mains du conducteur sur le volant.
[0018] Cette solution technique s’avère efficace mais elle présente un inconvénient majeur qui la rend en pratique inutilisable : il n’est pas possible de s’assurer à un coût raisonnable que le réseau de neurones présente le niveau ASIL souhaité.
[0019] En outre, une nouvelle norme ISO/PAS 21448 a été introduite pour couvrir les défauts liés aux limitations intrinsèques d’une fonction. La combinaison de ces deux normes pour un composant embarquant des fonctions à base de réseaux de neurones rend alors extrêmement difficile leur qualification.
[0020] C’est la raison pour laquelle la solution technique la meilleure reste celle basée sur la seconde stratégie, dont on rappelle qu’il s’agit de la plus onéreuse.
Présentation de l'invention
[0021] La présente invention propose une solution permettant d’utiliser des algorithmes difficiles à qualifier à un niveau ASIL, en limitant leur coût de développement.
[0022] Plus particulièrement, on propose selon l’invention un module électronique d’aide à la conduite d’un véhicule automobile, comportant :
- au moins un bloc sûr adapté à générer une première donnée de sortie qui présente un niveau de fiabilité élevé, et
- au moins un bloc faillible qui reçoit au moins une donnée d’entrée relative au véhicule automobile, et qui fournit au moins une deuxième donnée de sortie, ladite deuxième donnée de sortie étant fonction de ladite au moins une donnée d’entrée et présentant un niveau de fiabilité inférieur à celui de chaque première donnée de sortie, et
- un bloc de sécurisation qui reçoit en entrée les première et deuxième donnée de sortie et qui fournit en sortie une information sécurisée dont le niveau de fiabilité est supérieur à celui de ladite deuxième donnée de sortie.
[0023] Ainsi, grâce à l’invention, le bloc de sécurisation permet, sur la base des données transmises par les blocs sûrs, de vérifier les données transmisses par le bloc faillible afin de garantir leur validité et d’en déduire une information sécurisée.
[0024] Ainsi, il est possible d’utiliser l’intelligence artificielle pour réaliser des calculs, puis de contrôler le résultat de ces calculs non pas en refaisant ces calculs dans un bloc sûr, mais simplement en vérifiant que le bloc faillible fonctionne correctement.
[0025] Cette solution s’avère donc peu onéreuse en termes de développement et d’implémentation sur un véhicule.
[0026] D’autres caractéristiques avantageuses et non limitatives du module électronique conforme à l’invention, prises individuellement ou selon toutes les combinaisons techniquement possibles, sont les suivantes :
- ladite information sécurisée indique si un conducteur du véhicule automobile est attentif ;
- ladite information sécurisée indique si le conducteur a ou non les mains sur un volant du véhicule automobile ;
- ladite information sécurisée est déterminée en fonction du couple exercé par le conducteur sur le volant ;
- ladite au moins une donnée d’entrée est relative au couple exercé par un conducteur du véhicule automobile sur un volant du véhicule automobile, et ladite au moins une deuxième donnée de sortie est déterminée en comparant ladite au moins une donnée d’entrée avec un seuil ;
- ladite au moins une deuxième donnée de sortie est déterminée au moyen d’un réseau de neurones ;
- le bloc faillible fournit au moins une autre donnée de sortie, l’information sécurisée étant identique à ladite deuxième donnée de sortie si au moins une condition est remplie, ladite condition étant que ladite autre donnée de sortie soit comparable à ladite première donnée de sortie ;
- ladite autre donnée de sortie est calculée par le bloc faillible et est considérée comparable à ladite première donnée de sortie si elle est égale à une valeur fonction de ladite première donnée de sortie ;
- ladite autre donnée de sortie est calculée par le bloc faillible et est considérée comparable à ladite première donnée de sortie si elle est complémentaire d’une fonction de ladite première donnée de sortie ;
- l’information sécurisée est identique à ladite deuxième donnée de sortie si au moins une condition est remplie, ladite condition étant que ladite première donnée de sortie indique une absence d’erreur matérielle.
[0027] L’invention propose également un véhicule automobile comprenant un châssis et des éléments de carrosserie qui délimitent un habitacle, au moins deux roues directrices, un système de direction comprenant un volant qui est situé dans l’habitacle et qui est connecté aux roues directrices, et un capteur de couple adapté à mesurer le couple exercé par le conducteur sur le volant, ainsi qu’un module électronique tel que précité.
[0028] Bien entendu, les différentes caractéristiques, variantes et formes de réalisation de l'invention peuvent être associées les unes avec les autres selon diverses combinaisons dans la mesure où elles ne sont pas incompatibles ou exclusives les unes des autres. Description détaillée de l'invention
[0029] La description qui va suivre en regard des dessins annexés, donnés à titre d’exemples non limitatifs, fera bien comprendre en quoi consiste l’invention et comment elle peut être réalisée.
[0030] Sur les dessins annexés :
[0031] [Fig.l] est une vue schématique en perspective d’un véhicule automobile conforme à l’invention ;
[0032] [Fig.2] est une vue schématique d’un logiciel de détection de la prise en main par un conducteur du volant du véhicule automobile de la [Fig.l].
[0033] Sur la [Fig.l], on a représenté un véhicule 1 automobile adapté à mettre en œuvre l’invention.
[0034] Il s’agit ici d’une voiture. En variante, il pourrait s’agir d’un autre type de véhicule (camion, moto, bus...).
[0035] Ici, ce véhicule 1 comporte classiquement un châssis et des éléments de carrosserie qui délimitent un habitacle dans lequel se trouve notamment un siège pour le conducteur 5 du véhicule, une planche de bord et un volant 3. Il comporte également des roues, dont au moins deux sont directrices.
[0036] Ce véhicule 1 comporte un groupe motopropulseur, un système de freinage et un système de direction permettant de faire tourner le véhicule (non visibles sur la figure). Classiquement, le système de direction comporte un actionneur de direction assistée pilotable électroniquement, le groupe motopropulseur comporte un actionneur de commande de moteur pilotable électroniquement, et le système de freinage comporte un actionneur de freinage pilotable électroniquement.
[0037] Ce véhicule 1 est en outre équipé d’au moins une interface homme-machine. En pratique, la planche de bord intègre un écran d’affichage 4 et il est prévu au moins un haut-parleur (non visible).
[0038] Le véhicule 1 comporte par ailleurs une unité électronique de traitement 2 qui comporte un ou plusieurs calculateurs (microprocesseurs ou microcontrôleurs), des mémoires et des interfaces d'entrée et de sortie.
[0039] Grâce à ses interfaces d'entrée, l’unité électronique de traitement 2 est adaptée à recevoir différentes données d’entrée, qui proviennent de capteurs ou de calculateurs tiers. Ces données d’entrée sont par exemple relatives au véhicule automobile et à son environnement extérieur (position sur la route...).
[0040] L’unité électronique de traitement 2 est notamment adaptée à recevoir un signal E2 correspondant au couple mesuré par un capteur de couple exercé sur le système de direction. Ce couple mesuré correspond en pratique au couple exercé par le conducteur sur le volant 3.
[0041] Elle est également adaptée à recevoir d’autres signaux E31 - E34, dont par exemple la vitesse du véhicule automobile 1.
[0042] Grâce à ses interfaces de sortie, l’unité électronique de traitement 2 est adaptée à commander l’interface homme-machine afin de fournir au conducteur des informations. Elle est également adaptée à commander l’actionneur de direction assistée, l’actionneur de commande de moteur, et l’actionneur de freinage.
[0043] Grâce à ses mémoires, l’unité électronique de traitement 2 mémorise une application informatique, constituée de programmes d’ordinateur (ou « logiciels ») comprenant des instructions dont l’exécution par les calculateurs permet la mise en œuvre du procédé décrit ci-après.
[0044] Dans la suite de cet exposé, on considérera que chaque « logiciel » permet de mettre en œuvre une « fonction » particulière d’aide à la conduite du véhicule.
[0045] Ici, on considérera plus particulièrement trois logiciels permettant d’exécuter deux fonctions distinctes de pilotage autonome du véhicule et une fonction de surveillance de l’attention du conducteur.
[0046] L’une de ces fonctions de pilotage est la régulation automatique de la vitesse du véhicule, dite fonction ACC (de l’anglais « Adaptive Cruise Control »).
[0047] Grâce à cette fonction, le conducteur peut sélectionner une consigne de vitesse. Il peut par exemple s’agir d’une vitesse particulière (telle que 80 km/h), ou d’une requête indiquant au véhicule de rouler si possible à la vitesse maximum autorisée sur la voie de circulation empruntée. Sur la base de cette consigne de vitesse et des données issues de capteurs embarqués dans le véhicule, la fonction ACC permet de calculer des consignes de pilotage de l’actionneur de commande du moteur et de l’actionneur de freinage. Ces consignes sont calculées de façon à réguler la vitesse du véhicule soit à la consigne de vitesse tant qu’aucun véhicule tiers ne précède de trop près le véhicule 1, soit à une vitesse réduite qui dépend de la vitesse du véhicule tiers qui le précède, de manière à conserver avec celui-ci une distance de sécurité acceptable.
[0048] Une autre de ces fonctions de pilotage est le maintien du véhicule au centre de sa voie, dite fonction LCA (de l’anglais « Lane Centering Assist »).
[0049] Cette fonction permet de piloter de manière automatique la direction du véhicule de manière que ce dernier reste centré sur sa voie de circulation.
[0050] La fonction de surveillance, qui fait plus précisément l’objet du présent exposé, permet de contrôler que le conducteur est attentif à la conduite de son véhicule. Elle est ici basée sur la détection de la tenue du volant 3 par le conducteur.
[0051] Cette fonction, dite fonction HOD (de l’anglais « Hands On Detection »), est nécessaire à la mise en œuvre des deux autres fonctions en ce sens que ces deux autres fonctions ne peuvent être implémentées que si le conducteur garde les mains sur son volant (en permanence ou au moins par intermittence).
[0052] A ce stade, on pourra noter que chaque fonction devra être caractérisée par un niveau de fiabilité, ci-après appelé « niveau de sécurité ASIL » (de l’anglais « Automotive Safety Integrity Level »).
[0053] Ce niveau de sécurité ASIL permet, sur la base d’une analyse de risques, de déterminer dans quelle mesure le logiciel est en mesure de mettre en œuvre la fonction en toute sécurité.
[0054] Le niveau de sécurité ASIL considéré sera ici établi conformément à la norme ISO26262.
[0055] Ainsi, un logiciel ayant un niveau de sécurité garanti pourra être classé selon quatre niveaux, du niveau inférieur ASIL-A au niveau supérieur ASIL-D (niveau offrant la plus grande sécurité), en passant dans l’ordre par les niveaux ASIL-B et ASIL-C.
[0056] En revanche, un logiciel ne répondant à aucun niveau de sécurité particulier aura un classement « QM ».
[0057] On dira alors d’un premier logiciel qu’il a un niveau ASIL supérieur à un autre si son niveau ASIL est classé à un niveau supérieur à celui de cet autre logiciel ou si cet autre logiciel est classé « QM ».
[0058] On notera aussi que des données et des matériels pourront être certifiés par un niveau de sécurité. Ce niveau de sécurité sera ici encore défini par la norme précitée. Ainsi, dans la suite, on pourra caractériser une donnée, un capteur ou un calculateur par son niveau ASIL.
[0059] L’invention propose de simplifier la conception et le développement des logiciels d’aide à la conduite du véhicule automobile, tout en leur assurant un niveau ASIL conforme au cahier des charges.
[0060] Pour cela, il est proposé de séparer, dans le module électronique 20 de l’unité électronique de traitement 2 qui est en charge de mettre en œuvre la fonction d’aide à la conduite considérée (ici la fonction HOD) : - des premières fonctionnalités pouvant être développées avec le niveau ASIL requis et
- des secondes fonctionnalités qui ne peuvent pas l’être, puis d’ajouter un bloc de sécurité permettant de vérifier que les secondes fonctionnalités donnent des résultats fiables en se basant pour cela sur les résultats donnés par les premières fonctionnalités.
[0061] Dès lors, le module électronique 20 est scindé en plusieurs composants logiciel distincts ci-après appelés « blocs », dont :
- au moins un bloc sûr Ul, U2 satisfaisant le niveau ASIL recherché,
- au moins un bloc faillible U3 présentant un niveau ASIL inférieur (typiquement un niveau QM), et
- un bloc de sécurité U4 qui permet de contrôler la validité des sorties de chaque bloc faillible U3 sur la base de la sortie d’au moins un bloc sûr Ul, U2, et qui présente de préférence le niveau ASIL recherché.
[0062] Ces blocs sont des composants logiciels distincts. Ils forment en outre, de préférence, des composants matériels distincts. Autrement formulé, les composants logiciels sont de préférence stockés dans des mémoires distinctes et exécutées par des calculateurs (processeurs, unité logique...) distincts.
[0063] Une fois ces blocs définis, il est prévu de créer des scenarii de certification au niveau ASIL souhaité de l’ensemble de la fonction d’aide à la conduite. Ces scenarii sont préférentiellement développés pour valider ce niveau ASIL dans les cas extrêmes, de façon à réduire le nombre de scenarii à envisager.
[0064] Il est ainsi possible de connaître la couverture du modèle choisi, c’est-à-dire le pourcentage de scenarii validés. L’objectif est que l’ensemble des scenarii soient validés, pour que l’ensemble des fonctionnalités soient garanties. On dit que le taux de couverture est de 100%.
[0065] Dans le cadre du présent exposé, la fonction d’aide à la conduite qui sera plus précisément considérée sera donc la fonction HOD, de détection de tenue du volant par le conducteur.
[0066] Cette fonction se basera sur la détection d’un couple exercé sur le volant 3 par le conducteur 5. En d’autres termes, le volant sera ici dépourvu de capteurs capacitifs permettant de détecter si le conducteur pose ou non ses mains sur le volant. La fonction sera au contraire exécutée sur la base des données émises par le capteur de couple exercé sur le volant.
[0067] Ici, le module électronique 20 mettant en œuvre cette fonction comporte deux blocs sûrs Ul, U2, c’est-à-dire deux composants logiciels permettant de fournir des données au niveau ASIL recherché, ici au niveau ASIL B.
[0068] Le premier bloc sûr Ul est un composant permettant de déterminer des défauts tant logiciels que matériels. Typiquement, ce bloc permet de détecter un défaut de la direction assisté, un défaut dans les signaux circulant sur le réseau CAN du véhicule, un défaut de l’unité électronique de traitement 2... Un tel bloc étant déjà connu de F Homme du métier, il ne sera pas ici davantage décrit. On pourra seulement préciser qu’il émet un signal de sortie SI, se présentant par exemple sous la forme d’un booléen égal à 0 tant qu’aucun défaut n'est détecté et à 1 sinon.
[0069] Le second bloc sûr U2 est un composant d’interfaçage permettant de recevoir des signaux E2 provenant de réseaux extérieurs à l’unité électronique de traitement 2, typiquement de réseaux CAN ou Ethernet. Ce second bloc sûr U2 émet un signal de sortie S2, se présentant par exemple sous la forme d’une variable dont la valeur est égale au couple exercé par le conducteur 5 sur le volant 3. Typiquement, il peut s’agir d’une interface analogique numérique.
[0070] Le module électronique 20 comporte ici un seul bloc faillible U3, c’est-à-dire un seul composant logiciel et matériel qui fournit des données n’étant pas au niveau ASIL recherché, ici des données au niveau QM.
[0071] Ce bloc faillible U3 constitue pourtant le cœur du module électronique 20 puisque c’est lui qui est en mesure de déterminer si le conducteur a, ou non, les mains sur le volant.
[0072] Il reçoit en entrée le signal S2 de sortie du second bloc sûr U2 (le couple exercé sur le volant).
[0073] Il reçoit ici en outre plusieurs autres données, à savoir :
- un signal E31 renseignant la vitesse du véhicule,
- un signal E32 signalant toute requête du conducteur relative à la fonction LC A (souhaite-t-il ou non l’activer ?),
- un signal E33 indiquant l’état actif ou non de la fonction LC A et de la fonction ACC, et
- un signal E34 relatif au couple de friction détecté sur le système de direction.
[0074] Sur la base de ces informations, ce bloc est en mesure de fournir tout d’abord un signal S33 relatif à la tenue ou non du volant par le conducteur. Ce signal se présente par exemple sous la forme d’un booléen égal à 0 tant que le conducteur a les mains sur le volant et à 1 sinon.
[0075] Ce bloc faillible U3 est également en mesure de fournir deux signaux S31, S32 qui seront utilisées pour vérifier si le signal S33 est fiable. Ces deux signaux sont de préférence formés en forçant le bloc faillible U3 à exécuter des opérations. La fiabilité de ce bloc faillible U3 pourra ainsi être contrôlée en vérifiant que les résultats de ces calculs sont justes.
[0076] En pratique, l’un de ces signaux S31 est égal à la moyenne du couple exercé par le conducteur sur le volant sur une période prédéterminée, par exemple de l’ordre de la seconde. Un autre de ces signaux S32 est issu d’une opération de codage du signal S33. En l’espèce, il s’agit d’une version miroir du signal S33, qui se présente donc sous la forme d’un booléen égal à 1 tant que le conducteur a les mains sur le volant et à 0 sinon.
[0077] A ce stade, on peut décrire plus en détail comment est ici généré le signal S33 relatif à la tenue ou non du volant par le conducteur.
[0078] Le bloc faillible U3 comporte ici trois unités U31, U32, U33.
[0079] Les première et deuxième unité U31 , U32 sont conçues pour déterminer en parallèle, et sur la base des signaux reçus, deux évaluations du signal S33.
[0080] En variante, une seule des deux évaluations pourrait être réalisée, auquel cas le signal S33 serait égal à cette évaluation.
[0081] Ici, l’une de ces évaluations est réalisée par seuillage.
[0082] Pour cette opération, il est considéré que le conducteur a les mains sur le volant lorsque l’écart entre le couple mesuré et le couple de friction dépasse un seuil prédéterminé. Ce seuil peut varier, par exemple en fonction de la vitesse du véhicule.
[0083] L’autre de ces évaluations est réalisée au moyen d’un réseau de neurones. Il se base sur une partie des entrées, ici sur toutes.
[0084] Ce réseau de neurones pourrait être de tout type. Il s’agit ici d’un réseau de neurones du type « feedforward » / récurrent (« RNN »).
[0085] Ce réseau de neurones comporte une couche d’entrée, au moins une couche cachée, et une couche de sortie, avec plusieurs neurones artificiels sur les couches cachées.
[0086] Les fonctions d’activation utilisées au sein des couches cachées sont par exemple de type sigmoïde.
[0087] L’apprentissage du réseau de neurones se fera par exemple par rétropropagation (on parle de « back propagation ») du gradient de l’erreur, sur un set d’apprentissage. Le set d’apprentissage correspondra à des valeurs de données déjà connues.
[0088] On ne définira pas ici davantage ce réseau de neurones, mais on pourra seulement préciser qu’il est très difficile à qualifier au niveau ASIL B. C’est d’ailleurs la raison pour laquelle le bloc faillible U3 n’est pas ici qualifié au niveau ASIL B.
[0089] Sur la base des deux évaluations, il est possible de déterminer le signal S33, par exemple en considérant plutôt l’une ou l’autre des deux évaluations lorsqu’elles diffèrent, selon la configuration dans laquelle se trouve le véhicule (le seuillage fonctionnant par exemple mieux à basse vitesse mais moins bien à haute vitesse).
[0090] La troisième unité U33 intégrée au bloc faillible U3 est conçue pour sélectionner l’une ou l’autre des deux évaluations. Elle permet en outre, sur la base du signal S2, de déterminer la moyenne du couple exercé sur le volant sur une période prédéterminée (le signal S31). Elle permet en outre, sur la base du signal S33, de déterminer une version miroir de ce signal S33 (c’est-à-dire le signal S32).
[0091] Comme cela a été expliqué supra, ces deux signaux S31 et S32 permettront de contrôler que le bloc faillible U3 fonctionne correctement. On utilise donc ici deux signaux distincts pour vérifier que le bloc faillible U3 fonctionne correctement, ces signaux étant de préférence formé à l’aide d’opérations de types différents portant sur des signaux distincts. En variante, on pourrait utiliser un plus grand nombre ou un plus petit nombre de signaux pour vérifier que le bloc faillible U3 fonctionne correctement.
[0092] On peut maintenant s’intéresser au bloc de sécurisation U4 qui reçoit tous les signaux de sortie des blocs faillible U3 et sûrs Ul, U2.
[0093] Ce bloc de sécurisation U4 est conçu pour valider ou non le signal S33, sous au moins une condition. Dans le mode de réalisation décrit et représenté, trois conditions sont nécessaires pour valider le signal S33.
[0094] La première condition est contrôlée par un bloc U41, qui reçoit en entrée le signal SI (relatif à la présence ou non de défaut tant logiciel que matériel).
[0095] Ce bloc U41 vérifie en pratique si un défaut a été détecté ou non. Tant qu’aucun défaut n’est détecté, ce bloc U41 délivre un signal S41 correspondant à un booléen égal à 1. Sinon, le signal est nul.
[0096] La deuxième condition est contrôlée par deux blocs U42 et U43.
[0097] Le bloc U42 reçoit en entrée le signal S2 (le couple mesuré) et en déduit une moyenne du couple mesurée sur la période prédéterminée.
[0098] Le bloc U43 compare cette moyenne avec celle calculée par le bloc U3 (signal S31).
En pratique, il délivre un signal S43 correspondant à un booléen égal à 1 si les deux moyennes sont du même ordre. Sinon, le signal est nul.
[0099] On notera ici que la vérification de la cohérence des deux valeurs de moyenne du couple se fait en autorisant une marge d’erreur sur une durée maximale. Typiquement, on peut autoriser une marge maximale de 0,1 Nm pendant maximum 100ms.
[0100] L’avantage de ce mécanisme est qu’il va permettre de contrôler la validité du signal S33 en vérifiant que le bloc U3 calcule une moyenne de couple fiable.
[0101] La troisième condition est contrôlée par le bloc U44 qui reçoit en entrée les signaux S32 et S33, lesquels sont supposés être complémentaires. Si c’est bien le cas, la troisième condition est validée. Dès lors, ce bloc U44 délivre un signal S44 correspondant à un booléen égal à 1. Sinon, le signal S44 est nul.
[0102] L’avantage de ce mécanisme est encore une fois de pouvoir contrôler la validité du signal S33 en vérifiant que le bloc U3 donne des résultats fiables, signifiant ainsi que le composant n’est pas corrompu et qu’il n’y pas eu d’erreur de transmission entre ces deux composants.
[0103] Alors, si les trois conditions sont simultanément remplies, c’est-à-dire si tous les signaux S41, S43 et S44 sont égaux à 1, le bloc U45 de consolidation fournit en sortie du module électronique 20 un signal S4 égal au signal S33 calculé par le bloc U3. En d’autres termes, on considère ainsi que le signal S33 issu du bloc faillible U3 est fiable et qu’il indique de manière sure si le conducteur a ou non les mains sur le volant. [0104] Dans le cas contraire, le signal S4 prend une valeur différente de celle du signal S33.
Il s’agit par défaut d’une valeur devant permettre aux fonctions LC A et ACC de s’inactiver. En d’autres termes, on considère ainsi que le signal S33 issu du bloc faillible U3 n’est pas fiable et que, n’étant pas en mesure de déterminer de manière sure si le conducteur a ou non les mains sur le volant, il est nécessaire d’inactiver les fonctions LCA et ACC. On notera que cette inactivation pourra être progressive, et s’opérer après plusieurs alertes à destination du conducteur (affichées sur l’écran et émise par les enceintes).
[0105] On comprend que le bloc de sécurisation U4, qui répond au niveau ASIL B et qui s’appuie sur des données issues de blocs sûrs, permet de transformer un signal S33 au niveau QM en un signal S4 au niveau ASIL B.
[0106] La présente invention n’est nullement limitée au mode de réalisation décrit et représenté, mais l’homme du métier saura y apporter toute variante conforme à l’invention.

Claims

Revendications
[Revendication 1] Module électronique (20) d’aide à la conduite d’un véhicule automobile (1), comportant :
- au moins un bloc sûr (Ul, U2) adapté à générer une première donnée de sortie (SI, S2) qui présente un niveau de fiabilité élevé, et
- au moins un bloc faillible (U3) qui reçoit au moins une donnée d’entrée relative au véhicule automobile, et qui fournit au moins une deuxième donnée de sortie (S33), ladite deuxième donnée de sortie (S33) étant fonction de ladite au moins une donnée d’entrée et présentant un niveau de fiabilité inférieur à celui de chaque première donnée de sortie (SI, S2), et
- un bloc de sécurisation (U4) qui reçoit en entrée les première et deuxième donnée de sortie (SI, S2, S33) et qui fournit en sortie une information sécurisée (S4) dont le niveau de fiabilité est supérieur à celui de ladite deuxième donnée de sortie (S33).
[Revendication 2] Module électronique (20) selon la revendication 1, dans lequel ladite information sécurisée (S4) indique si un conducteur du véhicule automobile (1) est attentif, préférentiellement en renseignant s’il a ou non les mains sur un volant (3) du véhicule automobile (1).
[Revendication 3] Module électronique (20) selon la revendication 2, dans lequel ladite information sécurisée (S4) est déterminée en fonction du couple exercé par le conducteur sur le volant (3).
[Revendication 4] Module électronique (20) selon l’une des revendications 1 à 3, dans lequel ladite au moins une donnée d’entrée est relative au couple exercé par un conducteur du véhicule automobile (1) sur un volant (3) du véhicule automobile (1), et ladite au moins une deuxième donnée de sortie (S33) est déterminée en comparant ladite au moins une donnée d’entrée avec un seuil.
[Revendication 5] Module électronique (20) selon l’une des revendications 1 à 4, dans lequel ladite au moins une deuxième donnée de sortie (S33) est déterminée au moyen d’un réseau de neurones.
[Revendication 6] Module électronique (20) selon l’une des revendications 1 à 5, dans lequel le bloc faillible (U3) fournit au moins une autre donnée de sortie (S31, S32), l’information sécurisée (S4) étant identique à ladite deuxième donnée de sortie (S33) si au moins une condition est remplie, ladite condition étant que ladite autre donnée de sortie (S31, S32) soit comparable à ladite première donnée de sortie (SI, S2).
[Revendication 7] Module électronique (20) selon la revendication 6, dans lequel ladite autre donnée de sortie (S31, S32) est calculée par le bloc faillible (U3) et est considérée comparable à ladite première donnée de sortie (SI, S2) si elle est égale à une valeur fonction de ladite première donnée de sortie (SI, S2).
[Revendication 8] Module électronique (20) selon l’une des revendications 6 et 7, dans lequel ladite autre donnée de sortie (S31, S32) est calculée par le bloc faillible (U3) et est considérée comparable à ladite première donnée de sortie (SI, S2) si elle est complémentaire d’une fonction de ladite première donnée de sortie (SI, S2).
[Revendication 9] Module électronique (20) selon l’une des revendications 1 à 8, dans lequel l’information sécurisée (S4) est identique à ladite deuxième donnée de sortie (S33) si au moins une condition est remplie, ladite condition étant que ladite première donnée de sortie (SI, S2) indique une absence d’erreur matérielle.
[Revendication 10] Véhicule automobile (1) comprenant un châssis et des éléments de carrosserie qui délimitent un habitacle, au moins deux roues directrices, un système de direction comprenant un volant (3) qui est situé dans l’habitacle et qui est connecté aux roues directrices, et un capteur de couple adapté à mesurer le couple exercé par le conducteur sur le volant, caractérisé en ce qu’il comporte en outre un module électronique (20) conforme à l’une des revendications 1 à 9.
EP24707247.3A 2023-03-06 2024-02-29 Module électronique d'aide à la conduite d'un véhicule automobile Pending EP4676798A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2302070A FR3146447B1 (fr) 2023-03-06 2023-03-06 Module électronique d’aide à la conduite d’un véhicule automobile
PCT/EP2024/055291 WO2024184202A1 (fr) 2023-03-06 2024-02-29 Module électronique d'aide à la conduite d'un véhicule automobile

Publications (1)

Publication Number Publication Date
EP4676798A1 true EP4676798A1 (fr) 2026-01-14

Family

ID=86332365

Family Applications (1)

Application Number Title Priority Date Filing Date
EP24707247.3A Pending EP4676798A1 (fr) 2023-03-06 2024-02-29 Module électronique d'aide à la conduite d'un véhicule automobile

Country Status (3)

Country Link
EP (1) EP4676798A1 (fr)
FR (1) FR3146447B1 (fr)
WO (1) WO2024184202A1 (fr)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3026708B1 (fr) * 2014-10-07 2016-11-18 Jtekt Europe Sas Securisation d'une fonction d'aide a la conduite au sein d'une direction assistee
FR3069830B1 (fr) * 2017-08-02 2021-05-07 Valeo Schalter & Sensoren Gmbh Procede d'elaboration d'une consigne de pilotage d'un organe de conduite d'un vehicule automobile
EP3495218B1 (fr) * 2017-12-07 2020-06-24 TTTech Auto AG Système informatique à tolérance de pannes pour une conduite assistée et autonome
DE102019211016B4 (de) 2019-07-25 2025-08-21 Volkswagen Aktiengesellschaft Erkennung von Hands-off-Situationen durch maschinelles Lernen

Also Published As

Publication number Publication date
FR3146447A1 (fr) 2024-09-13
WO2024184202A1 (fr) 2024-09-12
FR3146447B1 (fr) 2025-11-14

Similar Documents

Publication Publication Date Title
EP3114007B1 (fr) Procédé de détection d'une inversion de braquage par surveillance du couple fourni par un moteur d'assistance de direction et application dudit procédé a l'évaluation du frottement
WO2014006330A1 (fr) Procédé de détection du sens de déplacement d'un véhicule automobile
EP3873786B1 (fr) Procédé d'élaboration d'une consigne de pilotage d'un véhicule automobile
CA3135956A1 (fr) Systeme de surveillance de la sante d'un helicoptere
EP3114006B1 (fr) Procédé de filtrage pour la détection des transitions d'un signal de direction assistée
WO2010015765A2 (fr) Procede et systeme de diagnostic de l'etat de fonctionnement d'un systeme de demarrage assiste d'un vehicule automobile
EP3661827B1 (fr) Procédé d'élaboration d'une consigne de pilotage d'un organe de conduite d'un véhicule automobile
EP4676798A1 (fr) Module électronique d'aide à la conduite d'un véhicule automobile
EP2303608A1 (fr) Procede et dispositif de detection de perte de pression dans les pneumatiques
FR3132482A1 (fr) Procédé de détection de danger dans l’environnement d’un véhicule automobile
FR2925408A1 (fr) Procede de gestion de dysfonctionnements d'un systeme de controle a architecture modulaire d'un groupe motopropulseur de vehicule automobile et systeme de controle correspondant
WO2023083693A1 (fr) Module et procédé d'aide à la conduite d'un véhicule automobile
EP2594422B1 (fr) Méthode de détection d'une pédale d'accélarateur bloquée
FR3132489A1 (fr) procédé de formation d’un conducteur à l'usage d'un système de conduite partiellement automatisée d'un véhicule automobile et véhicule automobile configuré pour mettre en œuvre ce procédé
FR2906515A1 (fr) Procede et dispositif de gestion du freinage d'un vehicule automobile.
FR2923012A1 (fr) Procede de determination d'une probabilite de presence de chaines a neige sur les roues d'un vehicule automobile, procede de limitation du braquage des roues d'un vehicule utilisant le procede precedent et systeme de mise en oeuvre
FR2895347A1 (fr) Procede et dispositif de commande de l'angle de braquage de roue arriere d'un vehicule automobile
FR2930219A1 (fr) Procede et systeme de diagnostic de l'etat de fonctionnement d'un mode de demarrage assiste d'un vehicule automobile
EP2124120A1 (fr) Procédé d'aide au diagnostic pour la détermination de cause(s) de dysfonctionnement(s) dans un système complexe
EP1940662B1 (fr) Procede de determination de l'etat des roues d'un vehicule automobile et dispositif de mise en oeuvre
EP1660765A1 (fr) PROCEDE DE DETECTION DE LA DEFAILLANCE D’UN SIGNAL REPRESENTATIF DE L’ENFONCEMENT D’UNE PEDALE D’ACCELERATION DE VEHICULE AUTOMOBILE
EP3938949A1 (fr) Entrainement d'un reseau de neurones, pour l'assistance a la conduite d'un vehicule par determination de delimitations de voie difficilement observables
EP4031425B1 (fr) Procédé de pilotage d'un véhicule automobile
WO2024104839A1 (fr) Procédé de maintien d'un véhicule au centre de sa voie de circulation
WO2023083703A1 (fr) Procédé et dispositif de contrôle et commande d'un moteur de véhicule

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20250822

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR