ES2638941T3 - Método para ejecutar una función de seguridad de un vehículo y sistema para ponerlo en práctica - Google Patents

Método para ejecutar una función de seguridad de un vehículo y sistema para ponerlo en práctica Download PDF

Info

Publication number
ES2638941T3
ES2638941T3 ES13753195.0T ES13753195T ES2638941T3 ES 2638941 T3 ES2638941 T3 ES 2638941T3 ES 13753195 T ES13753195 T ES 13753195T ES 2638941 T3 ES2638941 T3 ES 2638941T3
Authority
ES
Spain
Prior art keywords
function
vehicle
data
safety function
failures
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES13753195.0T
Other languages
English (en)
Inventor
Bettina Erdem
Hans-Leo ROSS
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Application granted granted Critical
Publication of ES2638941T3 publication Critical patent/ES2638941T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/20Arrangements for detecting or preventing errors in the information received using signal quality detector
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/406Test-mode; Self-diagnosis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Regulating Braking Force (AREA)
  • Traffic Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Un método para realizar una función de seguridad en un vehículo (2), en donde los datos necesarios para ejecutar la función de seguridad se transmiten a una unidad de control (4) de un vehículo (2) mediante al menos un sistema de comunicación (3) en donde las señales de control son generadas por la unidad de control (4) como una función de los datos transmitidos y se transmiten a una unidad funcional (5) del vehículo (2) en donde la función de seguridad es ejecutadas por la unidad funcional (5) como una función de las señales de control, en donde las pruebas de diagnóstico son ejecutadas repetidamente a intervalos de tiempo, en donde las pruebas de diagnóstico comprueban la existencia de una falla o avería que podría afectar adversamente a la ejecución de la función de seguridad en uno o más de los sistemas eléctricos, electrónicos y/o programables (3-13) utilizados para ejecutar el método, caracterizado porque los metadatos de los datos transmitidos contienen información sobre los sistemas empleados para ejecutar el método, en donde al menos un valor de fiabilidad de los datos es determinado por la unidad de control (4) utilizando esta información cuyo valor depende de la probabilidad de que ocurran fallas o averías que afecten adversamente a la ejecución de la función de seguridad y de la probabilidad de que la existencia de estas fallas o averías sea detectada por las pruebas de diagnóstico y/o por un conductor del vehículo (2) oportunamente antes de que la función de seguridad resulte adversamente afectada, en donde la unidad de control (4) verifica, como una función de al menos un valor de fiabilidad, si los datos transmitidos son confiables para ejecutar la función de seguridad.

Description

5
10
15
20
25
30
35
40
45
50
DESCRIPCION
Metodo para ejecutar una funcion de seguridad de un vehlcuio y sistema para ponerlo en practica.
La presente invencion se refiere, en general, a un metodo para la ejecucion de una funcion de seguridad en un vehlcuio y, en particular, a un sistema general para la ejecucion de este metodo de acuerdo con las reivindicaciones.
Los vehlculos modernos vienen equipados cada vez mas con dispositivos de proteccion activos y pasivos. Los dispositivos de proteccion son en general unidades funcionales instaladas en el vehlculo que desempenan funciones de seguridad especiales de forma total o parcialmente automatica. En general, una funcion de seguridad sirve para despues de haber reconocido o determinado un incidente predefinido como peligroso restablecer una condicion de seguridad, como por ejemplo, restablecer o mantener el funcionamiento del vehlculo evitando o, por lo menos, minimizando de esta manera riesgos para las personas o los bienes, as! como lesiones personales o danos materiales. Son funciones de seguridad conocidas y ampliamente utilizadas, por ejemplo, la activacion de airbags mediante un sistema de airbags y el frenado de una o mas ruedas del vehlculo mediante un sistema de control electronico de estabilidad.
Purnendu Sinha describe en “Architectural design and reliability analysis of a fail-operational brake-by- wire system from ISO 26262 perspectives", Reliability Engineering And System Safety, Elsevier Applied Science, GB, Bd. 96, Nr. 10, 15 de marzo de 2011, paginas 1349-1359, ISSN: 0951-8320, un analisis de fiabilidad de un sistema de freno del tipo Brak-by-wire. En este analisis se represento un arbol de averlas de un sistema de freno mediante un diagrama de bloques asignandole a cada bloque una probabilidad de error.
Para la ejecucion de las funciones de seguridad es fundamental contar con los datos necesarios, aquellos que contienen la information necesaria para la ejecucion de la funcion de seguridad, por ejemplo, aquellos relacionados con el funcionamiento o el movimiento del vehlculo.
Estos datos podrlan ser, por ejemplo, datos enviados por una unidad sensora del vehlculo, por ejemplo, una unidad sensora que detecte la cantidad de revoluciones de las ruedas o la posible colision del vehlculo. En la actualidad estan en desarrollo ciertas funciones de seguridad que controlan de forma total o parcial el movimiento del vehlculo en transito y que modifican, por ejemplo, la velocidad o la direction del vehlculo, para evitar un accidente o esquivar un obstaculo.
En general y en particular, en el caso de estas ultimas funciones de seguridad existe cierta incertidumbre si al momento de la ejecucion de la funcion de seguridad correspondiente los datos disponibles (y la informacion que contienen) son seguros y confiables para la ejecucion de la funcion de seguridad. En particular existe la incertidumbre respecto de la calidad, la disponibilidad y la fiabilidad del sistema de comunicacion empleado para la transmision de los datos y, en particular, la incertidumbre respecto de la calidad de los datos enviados y sobre la posible perdida de calidad durante la reception de los datos. Asl, por ejemplo, la perdida o corruption de los datos, que podrla ocurrir como consecuencia de un desperfecto en el sistema de comunicacion durante la transferencia de los datos, podrla afectar a la ejecucion de la funcion de seguridad. Ese efecto adverso a la funcion de seguridad podrla, por ejemplo, provocar que la funcion de seguridad se ejecute en el momento equivocado o mediante un parametro incorrectamente calculado.
La presente invencion tiene por finalidad, proporcionar tanto un metodo como un sistema que permitan la ejecucion segura y confiable de las funciones de seguridad de un vehlculo.
Dicha finalidad de acuerdo con la presente invencion se resolvera mediante un metodo de acuerdo con el objeto principal y mediante un sistema general segun el objeto accesorio. El perfeccionamiento y formas de realization especiales del metodo y del sistema general se pueden se obtener con las reivindicaciones adjuntas.
Por lo tanto, en la presente se proporcionan metodos para realizar una funcion de seguridad en un vehlculo mediante, al menos, unos datos de un sistema de comunicacion, necesarios para la ejecucion de la funcion de seguridad, en una unidad de control del vehlculo. Mediante una unidad de control se generaran senales de control en funcion de los datos recibidos que seran transmitidas por una unidad funcional del vehlculo. La funcion de seguridad se ejecutara a traves de la unidad funcional en funcion de las senales control.
Asimismo, se repetiran pruebas de diagnostico a intervalos para determinar si hubo una falla en uno o mas de los sistemas electricos, electronicos o programables o si se produjo un error que impidio la ejecucion de la funcion de seguridad o que pudiera afectar a los datos relacionados con la seguridad. Estas pruebas de diagnostico se ejecutaran en cada uno de estos sistemas.
5
10
15
20
25
30
35
40
45
50
Respecto del metodo propuesto es asimismo esencial que se transmitan mediante el sistema de comunicacion los metadatos de los datos a traves de la unidad funcional, de modo que la informacion de los metadatos se refiera al menos uno de los sistemas electricos, electronicos y/o programables empleados para realizar el metodo. Preferiblemente, estos metadatos incluyen al menos informacion sobre el sistema de comunicacion. Por medio de la unidad de control se determinara en funcion de esta informacion al menos la fiabilidad de los datos respecto de
-la probabilidad de que se produzca un error o una averla que podrla afectar a la ejecucion de la funcion de seguridad y
la probabilidad de que la existencia de estas fallas o averla sea detectada por las pruebas de diagnostico y/o por un conductor del vehlculo (2) oportunamente antes de que la funcion de seguridad resulte adversamente afectada, en donde la unidad de control (4) verifica, como una funcion de al menos un valor de fiabilidad, si los datos transmitidos son confiables para realizar la funcion de seguridad. Ademas, se puede verificar mediante la unidad de control si estan disponibles los datos necesarios para ejecutar la funcion de seguridad correspondiente (y para el adecuado control de la unidad de funcion) estan completos (incluida la informacion de diagnostico necesaria).
El sistema general que aqul se propone para la ejecucion de la funcion de seguridad de un vehlculo, comprende el vehlculo y un sistema de comunicacion que esta configurado para transmitir los datos necesarios para la ejecucion de la funcion de seguridad por la unidad funcional del vehlculo. La unidad funcional esta configurada para crear, en funcion de los datos trasmitidos, senales de control y transmitirlas mediante una unidad funcional del vehlculo. La funcion de seguridad esta configurada para ejecutar la funcion de seguridad en funcion de las senales de control.
El sistema general esta configurado ademas para realizar repetidamente a intervalos pruebas de diagnostico para verificar si hay una falla en uno o mas sistemas electricos, electronicos y/o programables del sistema general, como por ejemplo, si existe una falla que podrla afectar adversamente la ejecucion de la funcion de seguridad.
Segun el procedimiento propuesto es esencial para el sistema general que el sistema de comunicacion este configurado ademas para transmitir los metadatos de los datos mediante la unidad funcional en donde los metadatos contienen informacion de al menos uno de dichos sistemas del sistema general. Preferiblemente estos metadatos contienen informacion, al menos, sobre el sistema de comunicacion. La unidad funcional esta configurada ademas, en funcion de dicha informacion, para determinar al menos un valor de fiabilidad de los datos respecto de
la probabilidad de que se produzca un error o una averla que podrla afectar la ejecucion de la funcion de seguridad y
la probabilidad de que la existencia de estas fallas o averlas sea detectada por las pruebas de diagnostico y/o por un conductor del vehlculo oportunamente antes de que la funcion de seguridad resulte adversamente afectada, y en funcion de al menos un valor de fiabilidad para verificar si los datos transmitidos son confiables para realizar la funcion de seguridad. Asimismo, se puede configurar la unidad funcional para verificar si los datos necesarios para ejecutar la funcion de seguridad estan disponibles.
Para realizar de forma eficaz la funcion de seguridad es igualmente necesario ademas, que el uso de los datos transmitidos y la informacion que estos contienen permita reconocer cierta situation de riesgo o suceso peligroso, como se describira mas adelante con los ejemplos correspondientes.
La siguiente explication se refiere tanto al metodo como al sistema general propuestos. Esto significa en particular, que ciertos nuevos desarrollos y disenos ejemplificativos, que se describen unicamente en relation con el metodo o unicamente en relacion con el sistema en general, se pueden usar tanto en el sistema general o como en el metodo. El termino “estar configurado” significa que la funcion de seguridad o el sistema (electrico, electronico y/o programable) en cuestion esta disenado y programado de manera tal que las funciones siguientes se pueden realizar mediante la unidad funcional, por ejemplo, ejecutar en el sistema. Por ejemplo, la unidad funcional, como por ejemplo el sistema, puede comprender componentes electricos, electronicos y/o programables, tales como, circuitos, controladores, microchips, sensores, almacenamiento de datos, interfaces, llneas de datos, receptores, transmisores, etc. En particular, el sistema de comunicacion puede comprender una WLAN y/o una red movil y/o un sistema de transmision de datos por cable o inalambrico y la unidad funcional puede estar provista, por ejemplo, de receptores e interfaces de datos compatibles con ellos.
El metodo y el sistema propuestos se distinguen por una “seguridad funcional” particularmente elevada, en la cual la verification de la fiabilidad y disponibilidad de los datos necesarios para la realization estan integrados directamente en el metodo o en el sistema general. Por lo tanto, es posible por ejemplo que, como se describe mas adelante, la funcion de seguridad se ejecute en consideration de los resultados de la verificacion, por ejemplo, solo cuando el resultado de la verificacion sea positivo, es decir cuando los datos disponibles sean suficientemente confiables y (completos) para ejecutar la funcion de seguridad.
5
10
15
20
25
30
35
40
45
50
55
Bajo la seguridad funcional mencionada, en el caso en cuestion se describe parte de la seguridad general del sistema general de la que depende el correcto funcionamiento de los sistemas electricos, electronicos y/o programables (en adelante, sistemas E/E/PE) en relacion con la seguridad del sistema general y, dado el caso, en relacion con servicios externos. En el caso en cuestion, todos los sistemas E/E/EP del sistema general propuesto se especificaran como importantes para la seguridad o importantes para ella, aquellos que se utilizan para la ejecucion del metodo propuesto y aquellos que en caso de que sufran una falla o averla, dicha falla o averla podrla afectar adversamente la ejecucion de la funcion de seguridad. Por consiguiente de aqul en adelante, se debe interpretar como falla o averla de uno de los sistemas E/E/EP toda condicion anormal de los sistemas E/E/EP respectivos, como consecuencia de la cual, el sistema en cuestion ya no puede desempenar su funcion o solo puede hacerlo de forma limitada. La falla o averla de los sistemas E/E/Ep, que individualmente o en combinacion con otras fallas o averlas, impidan ejecutar la funcion de seguridad, siempre y cuando no sean reconocidas oportunamente, se consideraran tambien en adelante como fallas funcionales, fallas relacionadas con la seguridad o fallas con un efecto importante para la seguridad.
Mediante el metodo y el sistema general propuestos todos los riesgos relacionados con fallas funcionales que se reconozcan y analicen durante la fase conceptual de la funcion de seguridad correspondiente y que se tengan en cuenta de forma automatica o automatizada podran ser controlados y minimizados de forma automatica o automatizada. Por ejemplo, el valor de fiabilidad de los datos se puede definir como criterio de verificacion durante la fase conceptual. Durante la fase de uso o de puesta en marcha de la funcion de seguridad se utiliza este valor de fiabilidad para comprobar de forma automatica o automatizada la disponibilidad y seguridad de los datos. El valor de fiabilidad se utiliza como “calificador” electronico, que representa la disponibilidad e integridad de la informacion que se puede utilizar electronicamente. Con el metodo y el sistema general que se proponen en la presente tambien se puede realizar un analisis en llnea de la disponibilidad, integridad y calidad (es decir, la integridad de la seguridad) mediante los datos y la informacion transmitidos por el sistema de comunicacion.
Los datos necesarios para la ejecucion de la funcion de seguridad pueden ser, por ejemplo, datos o senales de medicion aportados por un sensor o una unidad de medicion del sistema general o por informacion derivada de tales datos o senales de medicion. La unidad de medicion puede estar integrada a otro vehlculo o infraestructura (fija). Por consiguiente, estos componentes del vehlculo o de la infraestructura son parte del sistema general propuesto. Los datos, por lo tanto, tambien pueden provenir o ser transmitidos por un socio de comunicaciones externo al vehlculo, como por ejemplo, otro vehlculo (comunicacion car2car, C2C) u otra infraestructura (fija) (comunicacion car2infrastructure, C2X). Los datos pueden ser transmitidos mediante una cadena de diversos socios de comunicacion (vehlculo, infraestructura) a traves de la unidad funcional del vehlculo. Dicha cadena de socios de comunicacion es, por consiguiente, parte del sistema de comunicacion y, por lo tanto, tambien un componente del sistema general aqul propuesto. La comunicacion puede ser tanto cableada o como inalambrica. A continuacion se presentaran otros ejemplos.
De los datos necesarios para la ejecucion de la funcion de seguridad puede resultar que por el momento no constituyan un motivo para ejecutar la funcion de seguridad. Es decir que aun cuando los datos necesarios para ejecutar la funcion de seguridad sean completos y confiables, es posible que no se ejecute realmente dicha funcion. Por lo general, se preve que la funcion de seguridad, como se describe a continuacion, solo se ejecute con la condicion indispensable (pero no suficiente) de que los datos indispensables para ello esten totalmente disponibles y sean suficientemente confiables.
Las pruebas de diagnostico mencionadas para detectar las fallas o averlas mencionadas se pueden ejecutar por ejemplo mediante los correspondientes sistemas E/E/EP del sistema general automaticamente (autopruebas de este sistema). Aunque tambien es posible que se utilicen los sistemas de diagnostico configurados para la ejecucion de las pruebas de diagnostico. De este modo, se pueden ejecutar pruebas de diagnostico que abarquen todo el sistema general. Se entiende que una falla ha sido detectada oportunamente cuando se cuenta con el tiempo suficiente para tomar las medidas correctivas correspondientes para impedir los riesgos o danos causados o relacionados con la falla o minimizarlos al menos a un nivel aceptable.
Los mencionados metadatos pueden contener, por ejemplo, el valor de la anteriormente mencionada probabilidad o el valor de una o varias magnitudes de la que aquella depende, como la tasa de falla, la cobertura de diagnostico, la metrica o las mediciones que se trataran mas adelante. Los metadatos pueden contener asimismo de forma adicional o alternativa la identificacion de dispositivo de uno o varios de los sistemas E/E/EP importantes para la seguridad del sistema general. En este ultimo caso sobre la base a los identificadores de dispositivo se pueden leer los valores de dicha probabilidad y de la tasa de error, de la cobertura de diagnostico, la metrica y/o las mediciones de las que aquella depende pertenecientes al sistema E/E/EP correspondiente mediante, por ejemplo, la unidad de control de un dispositivo de almacenamiento o de una base de datos, para luego usarlos, como se describe, para determinar el valor mlnimo de fiabilidad de los datos. Mediante dichos sistemas E/E/EP se pueden accionar en particular a traves una unidad sensora o de medicion, una unidad de transmision del sistema de comunicacion, un canal de comunicacion del sistema de comunicacion (al igual que, por ejemplo, un sistema WLAN o un sistema movil
5
10
15
20
25
30
35
40
45
50
55
como UMTS, LTE, GPS, GPRS o EDGE) as! como tambien una unidad de control de recepcion. Ademas, la unidad de control y la unidad funcional son logicamente sistemas E/E/EP importantes para la seguridad.
Mediante la mencionada verificacion se puede prever, por ejemplo, si los datos transmitidos necesarios para la ejecucion de la funcion de seguridad seran suficientemente fiables en comparacion con el valor de fiabilidad de los datos con un umbral determinado. Por ejemplo, se puede prever que los datos clasificados como suficientemente seguros son mayores (o como alternativa, menores) que dicho umbral. El umbral se puede determinar segun el potencial de riesgo (por ejemplo, definido teniendo en cuenta la probabilidad de que ocurra el siniestro y la magnitud del dano asociado a la funcion de seguridad) de la funcion de seguridad respectiva, o sea, cuanto mayor el potencial de riesgo de la funcion de seguridad, mas alto sera logicamente el valor elegido para umbral correspondiente. Dado el caso que se puedan proporcionar varios valores de fiabilidad, se podrlan comparar cada uno de los valores de fiabilidad con un umbral predefinido y, por ejemplo, solo se evaluarlan como suficientemente seguros cada uno de los valores de fiabilidad que fuera mayor (o como alternativa, menor) que el umbral correspondiente.
Se consideran valores de fiabilidad en general los valores de mediciones de fiabilidad de los datos en cuestion. Estas mediciones en general dependen de las probabilidades mencionadas y de la probabilidad de que se produzca la falla o averla que podrla afectar adversamente a la ejecucion de la funcion de seguridad y de la probabilidad de que gracias a las pruebas de diagnostico y/o a la intervencion del conductor del vehlculo no se produzca la falla o averla que podrla afectar adversamente a la ejecucion de la medida de seguridad. Tambien es posible que uno o varios de al menos un valor de fiabilidad se obtenga a traves del valor de una de estas probabilidades. Se consideran valores de fiabilidad de los datos, en particular, la tasa de error, el nivel de cobertura de diagnostico y la metrica en cuestion.
Si de la verificacion se desprende que los datos necesarios para la ejecucion de la funcion de seguridad no estan totalmente disponibles o no son suficientemente fiables, se puede prever que los datos transmitidos por la unidad de control no sean utilizados para disparar la funcion de seguridad y/o
que se envle a traves de la unidad de control una senal de desactivacion de la funcion de seguridad, por lo cual principalmente la unidad funcional despues de recibir dicha senal de desactivacion entre automaticamente en un modo de seguridad en el cual no se pueda ejecutar la funcion de seguridad. De este modo se puede estar seguro de que la funcion de seguridad solo se ejecutara si la verificacion determina que los datos necesarios para ello son suficientemente seguros y fiables.
Asimismo el metodo de esta manera determinara que para este caso los datos no estan totalmente disponibles o no son suficientemente seguros. De forma adicional o alternativa es posible controlar mediante la unidad de control un emisor de senal del vehlculo que informe al conductor el resultado de la verificacion y si los datos necesarios para la ejecucion de la funcion de seguridad estan totalmente disponibles y son suficientemente fiables o no. De forma adicional o alternativa se puede prever para ello que, en caso de que la verificacion indique que los datos necesarios para la ejecucion de la funcion de seguridad no estan completamente disponibles o son suficientemente fiables, se controle mediante la unidad de control un emisor de senal que informe al conductor que la funcion de seguridad no esta disponible por el momento.
De este modo, el conductor siempre esta informado de la disponibilidad de la funcion de seguridad.
De este modo el conductor puede ser asistido en su conducta en el transito personalizando el uso u omision de la o las funciones de seguridad y si fuera necesario ajustando la respuesta respectiva. En caso de que, por ejemplo, el conductor fuera advertido oportunamente de que no hay datos suficientemente seguros y necesarios para ejecutar automaticamente la maniobra de frenado o de evasion automatica u otros procedimientos total o parcialmente automatizados del funcionamiento del vehlculo, el conductor podra adoptar la actitud apropiada y conducir con la debida precaucion. De esta manera tambien se puede asegurar que el conductor del vehlculo pueda conducir siempre de forma responsable y confiar entonces en la ejecucion automatica de la funcion de seguridad, como la intervencion autonoma, total o parcialmente automatizada en la conduction del vehlculo cuando se le advierte que los datos necesarios estan completamente disponibles y son suficientemente fiables. Esto cumple con los requisitos de la “Convention de Viena sobre transito”, que establecen que se debe garantizar que el conductor ejerza el control sobre el vehlculo.
Es posible que se calcule al menos un valor de fiabilidad en funcion de al menos de una de las tasas de error siguientes: Ispf, Irf, Impf, MPFi_, ImpFD, Impfp, Is. Estas tasas de error (errores por unidad de tiempo) son valores estadlsticos y se refieren a cierto tipo de falla. A continuation, se indican las definiciones de los distintos tipos de falla. Asimismo cinco de estas tasas de error suelen referirse unicamente a uno de los sistemas E/E/EP importantes para la seguridad, que se utilizan para la ejecucion del metodo y que son parte del sistema general propuesto, y tambien para cierto tipo de fallas que pueden ocurrir en estos sistemas de E/E/EP. Es posible que para cada uno de estos sistemas E/E/EP solo se pueda definir cierto tipo de tasa de error.
5
10
15
20
25
30
35
40
45
50
Cada una de las tasas de error mencionadas de un sistema E/E/EP dado importante para la seguridad indica el numero promedio de fallas para un tipo de error determinado, que se producen en una unidad de tiempo en el sistema E/E/EP respectivo. Una unidad tlpica a tal fin es 10-9fallas por hora. El valor devuelto por estas tasas de error es el tiempo promedio entre fallas (MTBF o MTTF, por sus siglas en ingles), as! como tambien el intervalo entre dos fallas. Las tasas de error se definiran tlpicamente para el tiempo de funcionamiento de cada sistema E/E/EP y, por consiguiente, son respectivamente una medicion de que en el sistema E/E/EP considerado se produjo cierta falla segun Art. 25 durante el perlodo de funcionamiento del sistema E/E/EP. Individualmente son posibles las siguientes definiciones de los distintos tipos de fallas, a las que hacen referencia las respectivas tasas de error: Ispf: fallas que, aun cuando se produzcan individualmente, son funcionales y tienen un efecto importante para la seguridad y cuya existencia no es verificada por las pruebas de diagnostico y, por consiguiente, tampoco pueden ser detectadas oportunamente por las pruebas de diagnostico antes de que la funcion de seguridad sea adversamente afectada;lRF: fallas que, aun cuando se produzcan individualmente, son funcionales y tienen un efecto importante para la seguridad y cuya existencia es verificada por las pruebas de diagnostico pero no son detectadas oportunamente antes de que tengan un efecto adverso sobre la funcion de seguridad (las pruebas de diagnostico tiene tambien una as! denominado demora respecto de este tipo de fallas); Irf: fallas que, cuando se producen o existen junto con otras fallas, son funcionales y tienen ademas un efecto importante para la seguridad, siempre y cuando no se detecten oportunamente pueden producir un efecto adverso en la funcion de seguridad.
lMPF L: fallas, que cuando se producen o existen junto con otras fallas, tienen un efecto importante para la seguridad y son funcionales, y cuya existencia no es verificada por las pruebas de diagnostico as! como tampoco pueden ser detectadas oportunamente por ellas. Estas fallas tambien se pueden describir como fallas latentes; Impfd: fallas, que cuando se producen o existen junto con otras fallas, tienen un efecto importante para la seguridad, son funcionales y su existencia no es verificada por las pruebas de diagnostico as! como tampoco pueden ser detectadas oportunamente por ellas; Impf p: Fallas, que cuando existen u ocurren junto con otras fallas tienen un efecto importante para la seguridad, son funcionales y su existencia puede ser detectada oportunamente por el conductor de un vehlculo; Is: fallas, que aun cuando no sea detectadas, no tienen efectos importantes para la
seguridad y no son funcionales.
Se definiran ademas Impf,dp = Impf,d + Impf,p. Tambien se aplica Impf = Impf,l + Impf,dp. Tambien se aplica l = Ispf + Irf + Impf,l + Impf,dp + Is, en donde I es la tasa de error del sistema E/E/EP considerado del sistemas general y una medicion de la probabilidad de que cualquier falla (funcional o no) se produzca en estos sistemas E/E/EP, en donde I es la tasa de error general del sistema E/E/EP considerado del sistema general y una medicion de la probabilidad, de que se produzca cualquier falla (funcional o no) en ese sistema E/E/EP.
Las tasas de error as! definidas del sistema E/E/EP junto con la norma ISO 26262 se indican con los mismos slmbolos y dimensiones, tal como se establece en el Capltulo 5, Anexo C, Seccion C1 de la norma ISO 26262.
Por lo tanto en caso de que al menos uno de dicho valores de fiabilidad de los datos, por ejemplo, se calculen en funcion de una o varias de las magnitudes de Ispf, Irf, Impf, Impf l, Impfp, Lmpfd de los sistemas E/E/EP, se garantiza entonces que el valor de fiabilidad de la probabilidad de existencia de errores o averlas que pueden afectar adversamente a la ejecucion de la funcion de seguridad, as! como tambien en funcion de la probabilidad de que la existencia de una falla o averla sea detectada por las pruebas de diagnostico y/o por un conductor del vehlculo oportunamente antes de que la ejecucion de la funcion de seguridad sea adversamente afectada. En particular es posible que uno o varios o cada uno de al menos uno de los valores de fiabilidad se definan como una de las tasas de error Ispf, Irf, Impf, Impf l, Impf p de uno de los sistemas E/E/EP importantes para la velocidad o en funcion de estas tasas de error.
Por ejemplo, al menos un valor de fiabilidad de al menos uno de los valores de fiabilidad de los datos sea calculado en funcion de al menos un valor de un nivel de cobertura de diagnostico de al menos uno de los sistemas E/E/EP importantes para la seguridad del sistema utilizado para la ejecucion del procedimiento.
imagen1
El nivel de cobertura de diagnostico es en particular una medicion significativa para la fiabilidad de uno de los sistemas E/E/EP importantes para la seguridad. Esta medicion corresponde a la definicion mediciones KDC, RF de la norma ISO 26262, Capltulo 5, Anexo C.3. Tambien es posible que para varios o cada uno de los sistemas E/E/EP importantes para la seguridad del sistema general se calcule le valor de se calculen los niveles de cobertura DCrf. Por ultimo, estos valores se pueden utilizar como valores de fiabilidad de los datos. Es posible, de forma alternativa o
5
10
15
20
25
30
35
40
adicional, determinar uno de los valores de fiabilidad o el valor de fiabilidad como producto del valor de este nivel de cobertura de diagnostico, por consiguiente como DCrf,i xDCrf,2 x DCrf,3 x ... x DCRF,n, es el numero de sistemas E/E/EP importantes para la seguridad del sistema general. Este producto se corresponde con la asf llamada “Ley de Lusser” y es en particular una medicion significativa para la fiabilidad del sistema general y, por lo tanto, tambien para los datos, en particular entonces cuando se conocer para cada uno de los sistemas E/E/eP del sistema general el nivel de cubertura de diagnostico correspondiente (y se incluyen en el producto como uno de los factores) y en cada uno de los sistemas E/E/EP en que dichas pruebas de diagnostico se ejecutan.
En otra forma de realization, mediante la cual para la ejecucion del metodo son utilizados asimismo mas sistemas E/E/EP relacionados para la seguridad, se preve que al menos se use un valor de fiabilidad de al menos uno de los valores de fiabilidad de los datos que depende del valor de la metrica (MsPFRF)
imagen2
La sumatoria incluye varios, preferentemente todos, los sistemas E/E/EP importantes para la seguridad del sistema general que tambien se usan para la ejecucion del metodo. La frase “safety-related HW elements” se refiere en la presente a los sistemas E/E/EP importantes para la seguridad. Esta metrica corresponde a la Norma ISO 26262, Capftulo 5, Anexo C, Section C.2 que se define como “metrica para falla de un solo punto”. La metrica Mspf rf tambien es significativa, cuando dichas pruebas de diagnostico no se ejecutan en todos los sistemas E/E/EP o cuando no se ejecuta ninguna prueba de diagnostico que incluya el sistema general.
En una forma de realizacion del metodo (que comprende ademas el sistema general) se preve que en caso de que los datos necesarios para la ejecucion de la funcion de seguridad no esten completamente disponibles o no sean suficientemente confiables,
los datos se transmitiran nuevamente a traves de la unidad de control transcurrido un tiempo de espera predefinido, en donde los datos se transmiten de esta manera frecuentemente a la unidad control hasta que esten totalmente disponibles y sean suficientemente confiables. Esta es una posibilidad, en que por ejemplo, se puede utilizar information repetida de forma temporal. Por ejemplo, se puede alcanzar en caso de que aparezca un obstaculo ante el vehfculo y sea captado primero con una calidad por ejemplo del 10% de la calidad total del sensor y mas tarde se confirma con una calidad del 50%, en cumplimiento de la ley de fiabilidad para este tipo de informacion redundante una fiabilidad total del 90% de la fiabilidad basica.
En una forma de realizacion se preve que los metadatos durante la puesta en marcha del vehfculo, en particular antes de que comience a circular, se transmitan a traves de la unidad de control, en donde se utilizara al menos un valor de fiabilidad de al menos uno de los valores de fiabilidad de los datos en funcion del valor de la cobertura del diagnostico (DCmpfl).
imagen3
de al menos uno de los sistemas E/E/EP del sistema general, en donde la funcion de seguridad solo se ejecuta con la condition adicional de que este valor de fiabilidad utilizado en la puesta en marcha sea superior a un valor de umbral predeterminado. Este nivel de cobertura de diagnostico corresponde a la definition mediciones Kdcmpfl de la norma ISO 26262, Capftulo 5, Anexo C, Ecuacion C.4. De la misma manera, se calcularan los riesgos correspondientes que se basan en fallas o averfas ya existentes o desconocidas, que solo en combination con otras fallas o averfas afectan adversamente a la funcion de seguridad. El nivel de cobertura de diagnostico DCmpf,l es por lo tanto una medicion particularmente significativa para la fiabilidad correspondiente a una falla latente del sistema general (y, por consiguiente, para los datos), vease mas arriba la definicion de este tipo de tasa de error. Asimismo
5
10
15
20
25
30
35
40
tambien es posible la formation de producto DCrf descrito mas arriba, donde deben cumplirse las condiciones correspondientes.
En una forma de realization se preve que los metadatos durante la puesta en marcha del vehlculo, en particular antes de que comience a circular, se transmitan a traves de la unidad de control, en donde se determinara al menos un valor de fiabilidad de al menos uno de los valores de fiabilidad de los datos en funcion del valor de la metrica
(Mmpfl)
imagen4
en donde la sumatoria incluira varios, preferiblemente todos, los sistemas E/E/EP importantes para la seguridad del sistema general 1, en donde la funcion de seguridad se ejecutara unicamente con la condition adicional de que este valor de fiabilidad supere un umbral dado. Esta metrica corresponde a la Norma ISO 26262, Capltulo 5, Anexo C, Section C0.3 que se define como “metrica para falla latente”. De la misma manera se calcularan los riesgos correspondientes que se basan en fallas o averlas ya existentes o desconocidas, que solo en combination con otras fallas o averlas afectan adversamente a la funcion de seguridad. La metrica Mmpfl es tambien una medicion de fiabilidad de la fiabilidad de los datos, en caso de que las pruebas de diagnosticos no cubran el sistema general y, por ejemplo, solo verifiquen algunos de los sistemas E/E/EP del sistema general relacionados con la seguridad.
En una forma de realizacion del metodo o del sistema general se preve que la funcion de seguridad sea un dispositivo de protection del vehlculo activo o pasivo. Por ejemplo, se puede prever que
la unidad funcional sea un sistema de freno electronico y la funcion de seguridad, un potenciador de freno automatico y/o que
la unidad funcional sea un asistente de freno de emergencia y la funcion de seguridad, una operation de freno total o parcial del vehlculo que se acciona automaticamente y/o que
la unidad funcional sea un asistente de evasion y la funcion de seguridad permita eludir automaticamente un obstaculo y/o
la unidad funcional sea una unidad ESC y la funcion de seguridad un estabilizador automatico del vehlculo, en particular, mediante el frenado de una o varias ruedas del vehlculo y/o la limitation de la potencia del motor del vehlculo y/o que
la unidad funcion sea un sistema de airbag y la funcion de seguridad, la activation del airbag.
Mediante el sistema general tambien se pueden conectar varios vehlculos mediante un dispositivo de carga electrico en donde se establezca la comunicacion y la transferencia de datos entre dicho dispositivo y el vehlculo. Aqul por ejemplo, se puede prever que la funcion de seguridad se interrumpa el suministro de corriente al dispositivo de carga o que se interrumpa el proceso de carga antes de que produzca la sobrecarga de la baterla.
A continuation el metodo y el sistema general aqul propuestos se representaran de forma esquematica en las Figuras 1 a 5 y se explicaran en detalle formas especiales de realizacion. Se muestra:
en la Figura 1 una manera de ejecutar una funcion de seguridad de un vehlculo segun el sistema general de la presente; en la Figura 2 un ejemplo de un diagrama de los principios del sistema;
en la Figura 3 un sistema de bus para la transmision de “mensajes relacionados con la seguridad”;
en la Figura 4 un diagrama de bloques y en la Figura 5 las etapas del control primario.
La Figura 1 muestra una manera, segun el sistema general de la presente, de ejecutar un ejemplo especial del metodo de la presente mediante la ejecucion de una funcion de seguridad de un primer vehlculo 2. El sistema general incluye el primer vehlculo 2 y un sistema de comunicacion 3, que esta configurado para transmitir los datos necesarios para la ejecucion de la funcion de seguridad a traves de una unidad de control 4 del vehlculo. La unidad
8
5
10
15
20
25
30
35
40
45
50
55
de control 4 esta configurada para generar, en funcion de los datos trasmitidos, senales de control y transmitirlas por una unidad funcional del vehiculo 2. La unidad funcional esta configurada para ejecutar la funcion de seguridad en funcion de las senales de control.
Mediante la unidad funcional 5 se acciona un sistema de frenos electronico del vehiculo 2 en la forma de un asistente de frenado de emergencia y mediante una funcion de seguridad se accione automaticamente el frenado total o parcial del vehiculo 2. Del mismo tambien podria preverse que la unidad funcional sea un asistente de evasion y la funcion de seguridad consista en eludir automaticamente un obstaculo y/o la unidad funcional sea una sistema ESC y la funcion de seguridad consista en estabilizar automaticamente el vehiculo, en particular mediante el frenado de una o mas ruedas del vehiculo y/o mediante la limitacion de la potencia del motor del vehiculo y/o la unidad funcional sea un sistema de airbag y la funcion de seguridad el accionamiento de los airbags.
El sistema general 1 esta configurado ademas para repetir a intervalos de tiempo las pruebas de diagnostico para verificar si en uno o mas de los sistemas electricos, electronicos y/o programables, como asi tambien en un sistema E/E/EP importante para la seguridad del sistema general 1 existe una falla o ha ocurrido una averia que podria haber afectado adversamente la ejecucion de la funcion de seguridad. En este ejemplo se propone que se ejecuten autopruebas automaticamente por medio de los sistemas E/E/EP del sistema general 1 (autopruebas del sistema). Aunque tambien es posible que se configuren para la ejecucion de las pruebas de diagnostico los sistemas de diagnostico correspondientes. A los sistemas E/E/EP importantes para la seguridad pertenecen en particular la unidad de control 4, la unidad funcional 5 y el sistema de comunicaciones 3, que en este ejemplo una primera unidad de comunicacion 6 de la unidad de control 4 comprende una segunda unidad de comunicacion 7 y una tercera unidad de comunicacion 8. Las unidades de comunicacion 6, 7, 8 estan configuradas para la transmision inalambrica reciproca de datos por los canales de comunicacion de base movil 9, 10, 11 (como UMTS, LTE, GPS, GPRS o EDGE) Como alternativa se podrian utilizar otras unidades y canales de comunicacion (como por ejemplo, un sistema WLAN).
Respecto de los datos necesarios para la ejecucion de la funcion de seguridad se utilizan mediciones y senales de medicion de una primera y una segunda unidad de medicion 12, 13 del sistema general 1. Las unidades de medicion 12, 13 de este ejemplo, pueden estar integradas respectivamente en un segundo o tercer vehiculo 14, 15 aunque tambien pueden estarlo en una estructura fija. Los vehiculos 14, 15, son, por lo tanto, tambien parte del sistema general 1. Los datos se pueden transmitir por comunicacion car2car (C2C) aunque tambien se pueden transmitir por comunicacion car2infastructure (C2X) en caso de que se utilice dicha estructura. Los datos se pueden transmitir al primer vehiculo 2 traves de una cadena compuesta por el segundo y tercer vehiculo 14, 15.
El sistema de comunicacion 3 esta configurado ademas, para transmitir ademas de los datos, los metadatos de los datos a traves de la unidad de control 4, los cuales incluyen informacion de los metadatos sobre los siguientes sistemas E/E/EP del sistema general 1: la primera unidad de comunicacion 6, la segunda unidad de comunicacion 7, la tercera unidad de comunicacion, los canales de comunicacion 9, 10, 11 y la primera y la segunda unidad de medicion 12, 13.
Respecto de estos metadatos se utiliza para cada uno de estos sistemas E/E/EP el valor de las siguientes tasas de error, que corresponden cada una a un tipo de falla que se puede presentar en los sistemas E/E/EP correspondientes: Ispf, Irf, Impf, Impf,l, Impf,d, Impf p, Is donde las tasas de error son las definidas anteriormente. (Por tal motivo no se repiten las definiciones especificadas con anterioridad.) 45
Dichos datos se pueden usar ademas o en lugar de los valores de estas tasas de error aunque tambien se pueden usar los valores del nivel de cobertura de diagnostico o las metricas, por ejemplo, las metricas y niveles de diagnostico de cobertura tal como se indica a continuation. Los metadatos se pueden usar ademas o en lugar de los identificadores de uno o varios de dichos o todos los sistemas E/E/EP importantes para la seguridad del sistema general 1. En el ultimo caso sobre la base de estos identificadores de dispositivo se pueden leer de un almacenamiento 16 o base de datos y seguir utilizando los valores de tasa de error, nivel de cobertura de diagnostico o metricas que corresponde a los sistemas E/E/EP mediante la unidad de control 4.
Las tasas de error especificadas mas arriba tanto de la unidad de control 4 como las de la unidad funcional, que son asimismo sistemas E/E/EP del sistema general 1, se guardan en el almacenamiento 16 de la unidad de control y no se trasmiten como metadatos.
La unidad de control esta configurada, en funcion de dicha informacion, y de la tasa de error, para calcular el valor de fiabilidad de los datos. Entonces estas tasas de error dependen de la probabilidad de que la existencia de fallas o averias que podrian afectar adversamente a la ejecucion de la funcion de seguridad y de la probabilidad de que la existencia de estas fallas o averias sea reconocida por las pruebas de diagnostico y/o por el conductor del vehiculo oportunamente antes de que afecte adversamente a la ejecucion de la funcion de seguridad; los valores de fiabilidad tambien dependen de dichas probabilidades.
Se calcularan mediante la unidad de control 4 los valores del nivel de cobertura de diagnostico (DCRF) de
DCRr
\-^1x100
l X J
de la primera unidad de comunicacion 6, de la segunda unidad de comunicacion 7, de la tercera unidad de comunicacion 8, de los canales de comunicacion 9, 10, 11, la primera y la segunda unidad de medicion 12, 13 as!
5 como tambien de la unidad de control 4 y de la unidad funcional 5. Por ultimo se determinara uno de los valores de fiabilidad como producto del valor de estos niveles de cobertura de diagnostico DCrf,1 x DCrf,2 x DCrf,3 x ... x DCRF,n, donde n representa la cantidad de sistemas E/E/EP importantes para la seguridad del sistema general 1. En caso de que se puedan utilizar indistintamente los datos de medicion de ambas unidades de medicion 12, 13 para controlar la unidad funcional, los niveles de ambas unidades de medicion 12, 13, todas las unidades de 10 comunicacion 6, 7, 8 y todos los canales de comunicacion 9, 10, 11 van al producto y, por lo tanto, al valor de probabilidad. De no ser asl, solo el nivel de cobertura de diagnostico de esa unidad de medicion se incluira en el producto, y por consiguiente, en el valor de fiabilidad uno de cuyos valores de medicion se utilizo realmente en el control de la unidad funcion y solo el nivel de cobertura de diagnostico de aquellos canales de comunicacion y unidades de comunicacion que participaron realmente en la transmision de dicho valor de medicion. En este caso es 15 posible por ejemplo, como se describe mas adelante, que se elija el valor de medicion de aquella unidad de medicion con la cual se pueden alcanzar un mayor valor de fiabilidad de los datos. Tambien es posible de manera analoga, determinar un valor de fiabilidad alternativo (o adicional) de los datos como valor de la metrica (M spf,rf)
imagen5
20 Por medio de la unidad de control 4 se confirma en funcion del valor de fiabilidad de los datos dados como producto del valor de estos DCRF si la transmision de datos necesarios para la ejecucion de la funcion de seguridad son suficientemente confiables, en tanto se compara el valor de fiabilidad de los datos con un umbral dado. Los datos se consideraran entonces suficientemente seguros si el valor de fiabilidad es mayor (o como alternativa, menor) que dicho umbral. El umbral se fija en funcion del potencial de riesgo de la funcion de seguridad. Cuanto mayor el 25 potencial de riesgo de la funcion de seguridad, mayor sera el umbral correspondiente.
Asimismo, se puede configurar la unidad funcional para verificar si los datos necesarios para realizar la funcion de seguridad estan totalmente disponibles.
Si de la verificacion se desprende que los datos necesarios para la ejecucion de la funcion de seguridad no estan completamente disponibles o no son suficientemente confiables, se puede prever que los datos transmitidos por la 30 unidad funcional no sean utilizados para activar la funcion de seguridad 5. Ademas, en este caso se envla una senal de desactivacion desde la unidad de control 4 a la unidad funcional 5, y por consiguiente, la unidad funcional 5 despues de recibir la senal de desactivacion entra automaticamente en un modo de seguridad en el cual no se puede ejecutar la funcion de seguridad. De este modo se garantiza que la funcion de seguridad se ejecutara solo si la verificacion determina que los datos necesarios para ello son suficientemente seguros y confiables. Asimismo de 35 esta manera el metodo determinara que para este caso los datos no estan totalmente disponibles o no son suficientemente seguros.
Se preve ademas que es posible controlar mediante la unidad de control 4 un emisor de senal 17 del primer vehlculo 2 que informe al conductor el resultado de la verificacion y ademas si los datos necesarios para la ejecucion de la funcion de seguridad estan totalmente disponibles y son suficientemente fiables o no. Se preve ademas que en caso 40 de que la verificacion indique que los datos necesarios para la ejecucion de la funcion de seguridad no estan completamente disponibles o no son suficientemente confiables, se controle mediante la unidad de control 4 el emisor de senal que informe al conductor que la funcion de seguridad no esta disponible por el momento.
De la transmision de los datos se puede determinar, en particular, que por el momento no hay motivo para la ejecucion de la funcion de seguridad. Esto tambien se puede comunicar al conductor mediante el emisor de senal 45 17, en caso de que estos datos sean suficientemente confiables. Es decir que aun cuando los datos necesarios para
10
15
20
25
30
35
40
ejecutar la funcion de seguridad este completamente disponibles y sean confiables, es posible que no se ejecute realmente dicha funcion.
Se puede prever ademas que los metadatos de los datos ya se hayan transmitido mediante la unidad de control 4 durante la puesta en marcha del vehlculo 2 antes de iniciar el un viaje. Naturalmente esto solo es posible cuando la transmision de los datos y los metadatos se puede realizar durante la puesta en marcha. Esto se puede lograr facilmente en algunos casos en los que las unidades de medicion 12, 13 al igual que el sistema de comunicacion 3 estan integrados al primer vehlculo 2. Esto suele ser as! cuando la unidad funcional 5 es una unidad ESC y la funcion de seguridad consiste en estabilizar el vehlculo 2 automaticamente como por ejemplo, mediante el frenado de una o varias ruedas del vehlculo o mediante la reduccion de la potencia del motor del vehlculo.
Durante la puesta en marcha del vehlculo se activan estos sistemas y se transmiten los metadatos a traves de la unidad de control 4. Luego se pueden calcular los valores del nivel de cobertura del diagnostico (D cmpf ,l)
imagen6
de la primera unidad de comunicacion 6, de la segunda unidad de comunicacion 7, de la tercera unidad de comunicacion 8, de los canales de comunicacion 9, 10, 11, la primera y la segunda unidad de medicion 12, 13 as! como tambien de la unidad de control 4 y de la unidad funcional 5. Entonces, se determinara como valor de fiabilidad adicional de los datos el producto de los valores de este nivel de cobertura de diagnostico as! como tambien el valor de DCmpf,l,1 DCmpf,l,2 x DCmpf,l,3 x ... x DCMPF,L,n
imagen7
Tambien es posible, que segun corresponda se determine un valor de fiabilidad alternativo (o adicional) de los datos como un valor de la metrica (Mmpf,l), donde se realice preferentemente la sumatoria de todos los sistemas E/E/EP importantes para la seguridad del sistema general 1. La funcion de seguridad se ejecutara entonces solo con la condicion adicional de que el valor de fiabilidad obtenido de DCmpf,l (o como alternativa de M MPF L ) supere un umbral prestablecido. En esta forma de realizacion de ejemplo ademas se volveran a transmitir los datos, en caso de que los datos necesarios la ejecucion de la funcion de seguridad en la unidad de control 4 no esten completamente disponibles o no sean suficientemente confiables, despues de que haya transcurrido un tiempo de espera dado a traves de la unidad de control 4; los datos se volveran a transmitir de esta manera a traves de una unidad de control 4 a intervalos hasta que los datos esten completamente disponibles y sean suficientemente confiables. De esta manera en caso de que la primera unidad de medicion detecte un obstaculo para el vehlculo primero con una calidad de, por ejemplo, del 10% de la calidad maxima de la unidad de medicion 12 y sea detectado mas tarde con una calidad del 50% por la segunda unidad de medicion 13, en cumplimiento de la ley de fiabilidad para este tipo de informacion redundante se alcanzara una fiabilidad general respecto de fiabilidad basica superior al 90%. Mediante esta confirmacion mutua de los metadatos de la primera unidad de medicion 12 y de los metadatos de la segunda unidad de medicion 13 puede de esta manera se pueden obtener un valor de fiabilidad de estos datos, suficientemente alto para la ejecucion de la funcion de seguridad, si bien los datos medidos por las unidades de medicion 12, 13 transmitidos por separado no hayan sido suficientemente fiables.
Los componentes que se muestran en las Figuras 2 a 5 corresponden a un vehlculo normal, segun las pollticas vigentes pertinentes. En conjunto el sistema basico aqul descrito, que incluye frenos, direccion, etc. se corresponde con los sistemas aprobados. La funcion aqul descrita debe controlar un vehlculo en transito a fin de que circule de forma segura (mediante un sistema parcial o totalmente automatico) asistiendo al conductor (en el sentido de los sistemas de asistencia al conductor actuales) de modo que pueda conducir de manera independiente o bien bajo el control de otros sistemas o complementos. De modo que la intervention externa solo pueda frenar o acelerar el vehlculo. En otras especificaciones esto se describira mediante el control de la velocidad del vehlculo, en donde el rango de velocidad entre la desaceleracion hasta la detention y aceleracion es de hasta 130 km/h.
Segun principios similares es posible que vehlculo sea objeto de interferencias transversales (p.ej., por la conduction o por frenado lateral, como ESC) o verticales (sistema dinamico de amortiguacion por resortes), sin embargo para ello se incluyen otros sensores y actuadores.
5
10
15
20
25
30
35
El diseno del dispositivo de control, cuyo as! llamado calificador lleva el sistema de la invencion, debe cumplir con la norma ISO 26262 una vez aplicado el ASIL maximo.
En la Figura 2, el diagrama de bloques principios debe interpretarse como un ejemplo. La informacion externa al vehlculo proviene en este ejemplo de un portal de transito y se puede transmitir mediante comunicaciones V2I y TTS-G5. La informacion interna del vehlculo de los sensores a bordo en la Figura 2 proviene de las camaras o de otros sensores del vehlculo (como por ejemplo, el sistema ESC).
Los elementos mas importantes son:
E1- un portal en una autopista equipado con un sistema de comunicacion V2X capaz de entregar informacion relacionada con la seguridad. - llmite de velocidad permitido para los proximos tramos de carretera, informacion sobre el tiempo o sobre problemas de transito que podrlan afectar a la conduccion del vehlculo por parte del conductor. (Niebla, contaminacion, embotellamientos, etc.)
E2 - Sistema de transmision de datos a una central de control de transito
E3 - Procesamiento de datos en la central de control de transito
E4 - Sistema de transmision de datos que pone a disposicion de los vehlculos en las areas la central de control de transito por medio de la telefonla movil. En el sentido estricto de central de transito con el vehlculo respectivo.
E5 - Sistema de camaras que permite el reconocimiento de senales de transito, condicion que va delante, de personas y senalizacion de autopistas, etc.
E6 - Sistema de comunicacion del dispositivo de control central del vehlculo
E9 - Dispositivo de control central del vehlculo
El vehlculo cuenta ademas con una pantalla que puede mostrar el estado de los indicadores de seguridad en forma de semaforos.
El dispositivo de control central del vehlculo puede influir a traves de la interfaz de gestion del motor y del dispositivo de control de freno en un intervalo de 0 a 100% respectivos dispositivos de control.
Todos los sistemas E1 a E9 generan cada uno un calificador de diagnostico unico calidad del diagnostico disponible al momento de la transferencia de los datos.
DCSPF = 0 - 60 % diagnostico debil
DCSPF = 60 - 90 % error de sistema estatico que dominara.
DCSPF = 90 - 99 % error de sistema dinamico que dominara.
Dependiendo de la interpretacion, cada sistema E1 a E9 proporciona un valor de fiabilidad (tasa de error en -9FIT (error en funcion del tiempo) por hora) que se determinara a partir de la calificacion de seguridad del sistema en el proceso de desarrollo.
Los sensores reduciran el porcentaje del valor de fiabilidad en funcion de la calidad de la captura de informacion correspondiente a la calidad maxima de reconocimiento.
Los calificadores son evaluados como informacion por el conductor segun se indica a continuacion:
Verde: segun informacion segura no se preven riesgos estacionarios en los proximos tramos.
Amarillo: el sistema no puede proporcionar informacion segura, de modo la conduccion del vehlculo depende unicamente del conductor.
comunicacion del vehlculo en la del margen de regulacion de los
para cada sistema que indica la
pertinentes los datos de la conexion movil de la
de manejo del vehlculo
5
10
15
20
25
30
35
40
45
Rojo: se ha detectado con certeza un riesgo en el proximo tramo, en caso de que el conductor no realice ninguna maniobra para evitarlo (como por ejemplo, accionar el acelerador o los frenos) el vehiculo sera frenado en un lapso determinado.
El sistema esta definido de modo que el conductor circule bajo su responsabilidad en el area controlada, por ejemplo, un tramo de autopista vigilado y que ademas sera advertido que debe retomar el control de la conduccion cuando el sistema se lo advierta oportunamente. 1. Conducir a una velocidad fija. Un sistema externo (en este caso la central de control de transito) determina la velocidad.
2. El vehiculo sera acelerado hasta un maximo de 130 km/h por la central de control de transito cuando esta information segura este disponible para el proximo tramo de autopista.
3. El vehiculo sera frenado como maximo hasta su detention por la central de control de transito en funcion de cierta informacion de la central de control de transito disponible.
Durante la conduccion del vehiculo a traves de la central de control de transito, los sensores internos del vehiculo sirven para vigilar el espacio en que se transita. En caso de que estos sensores detecten resultados inesperados (caida de una carga del vehiculo que circula delante), objetos (presencia de personas o animales en la carretera), defectos estructurales de la carretera o relacionados con la position (el vehiculo sale de la carretera), entonces la gestion de la velocidad sera controlada por la informacion segura a traves de dichos sensores. El conductor podra mediante el accionamiento intenso del freno o del acelerador, de todos los sistemas internos y externos recuperar activamente la gestion de la velocidad.
En la Figura 3 se muestra un sistema de bus para la transmision de informacion conceptual relacionada con la seguridad. Todos los calificadores de diagnostico se deben definir durante el desarrollo del sistema. Para todos los sistemas de comunicacion se deben instrumentar las siguientes medidas. De este modo, las imagenes de error estandar necesarias para el diagnostico estaran disponibles tanto para las comunicaciones por cable como para las inalambricas.
Sobre la base del analisis de la seguridad de los datos para el sistema de bus interno del vehiculo se deben definir mas medidas referidas a la integridad de los datos (medidas de seguridad). En caso de que las medidas definidas anteriormente no sean suficientes como datos externos de la central de control de transito entonces se podran integrar todos los calificadores de seguridad o los identificadores de los emisores a la formation del calificador de cobertura de diagnostico. Es decir que el calificador de cobertura de diagnostico solo se podra generar cuando los sistemas de comunicacion de las medidas necesarias para la seguridad de los datos tambien esten activos.
Una aclaracion al respecto: Cuando sea necesario verificar los datos antes de iniciar una action como por ejemplo, conducir, frenar, sera dificil manipular los datos intencionalmente, porque se los debe manipular de dos maneras independiente, para que el efecto pase la prueba de plausibilidad.
Tan pronto esto se demore, podra ser detectado por el calificador.
Una ventaja particular del sistema es que, solo el sistema que lleva el identificador decide respecto de la degradation relacionada con la seguridad y, por consiguiente, se pueden desactivar o incluso eliminar las vias de desconexion en los demas sistemas participantes. En la actualidad los sistemas subordinados se conectan sobre la base de sus propios diagnosticos. Mediante la desconexion o la simple omision de la informacion de seguridad aumenta la disponibilidad del sistema general. Asimismo los sistemas autorreparables pueden, segun su condition, reactivarse sin intervention del mecanico para las funciones de seguridad.
En la Figura 4 se muestra un diagrama de bloques del sistema. Las funciones del dispositivo de seguridad (ECU) comprenden por ejemplo:
recibir las senales de los sensores internos y externos que incluye sus calificadores de datos (datos de fiabilidad, calidad de senal y datos de diagnostico especificos).
reception de peticiones del conductor (que incluyen datos de diagnostico pertinentes respecto de sistemas o componentes)
Control de los actuadores (MM, gestion del motor y BR frenos) a traves de una entrada de control remoto definida de los respectivos actuadores.
Formacion de los calificadores y vigilancia e initiation del cambio del control primario (conduccion del vehiculo)
Registro del estado de calidad en una secuencia y registro de eventos por cada solicitud o transferencia del control primario.
Los componentes o sistemas externos deben suministrar los siguientes datos u otra informacion ademas de los datos de rendimiento:
5 Calidad cuantificada de la informacion de rendimiento relacionada con la seguridad (por ejemplo, la calidad de deteccion de los sensores expresada, por ejemplo, como porcentaje del rendimiento maximo)
La fiabilidad (tasa de error) especlfica de los sistemas o componentes sobre la base de la calificacion de la seguridad durante el desarrollo. Como alternativa esta informacion puede estar almacenada en el dispositivo de control central (ECU). En razon de la integridad de los datos esta informacion tambien puede estar cifrada para 10 evitar la manipulacion de los datos externos.
El estado de diagnostico actual, para el cual los valores pueden ser digitales (diagnostico activo o positivo) tambien se pueden transferir como valor de la cobertura del diagnostico. El nivel de cobertura de diagnostico tambien se basa en los datos de calificacion de seguridad durante el desarrollo del producto. Tambien por razones de seguridad de los datos, estos datos se pueden cifrar o transferir firmados, para evitar la manipulacion externa.
15 Los datos sobre calidad de senal, fiabilidad y cobertura de diagnostico, se pueden cifrar o firmar individualmente o en bloque. Segun el grado de interaccion se pueden encapsular de 1 a 3 conjuntos de datos, de modo haya una interaccion multiple. La multiple interaccion de datos, que pueden estar almacenados o examinados en distintos lugares dificultara la manipulacion voluntaria o involuntaria de los datos. Mediante la encapsulation se puede evitar la manipulacion de los calificadores de seguridad o la adulteration de los datos y, por consiguiente, el sistema puede 20 tomar decisiones mas seguras.
En la Figura 5 se muestran las fases del dominio del vehlculo (control primario). Por cada funcion automatizada del vehlculo, el sistema debe asumir el dominio del (control primario).
Para ello se deben considerar las siguientes fases: - El conductor conduce el vehlculo bajo su responsabilidad, los sistemas de asistencia le brindan apoyo, sin embargo no asumen nunca el control del vehlculo.
25 Cambio del conductor al sistema: el conductor cede claramente el dominio del vehlculo y el sistema esta listo para asumir el control.
El sistema conduce el vehlculo, el conductor vigila el sistema con reserva.
-Cambio del sistema al conductor: el sistema cede el dominio y el conductor lo recibe del sistema. En este caso podrla ser que el conductor asuma directamente el dominio o por solicitud del sistema.
30 En la fase "El conductor conduce", el conductor es responsable del sistema. El sistema se encuentra en disponibilidad y comunica al conductor mediante diagnosticos adecuados su disposition para asumir el dominio del vehlculo.
En la fase "Cambio del conductor al sistema" el conductor le hace saber al sistema que desea ceder el control primario. El se ha cerciorado de que se encuentra en una situation de manejo en que esto es posible y de que no es 35 peligroso ceder el dominio del vehlculo al sistema. El sistema inicializa los sistemas pertinentes para asumir el dominio del vehlculo y activa las funciones correspondientes. Una vez que el sistema asume completamente el control primario, comunica la situacion al conductor.
En la fase "El sistema conduce" el sistema tiene el control primario de la funcion definida. El conductor debe vigilar el vehlculo, las condiciones de manejo y el sistema; el conductor puede en cualquier momento en un intervalo 40 adecuado recuperar el dominio sobre el vehlculo. En la fase "Cambio del sistema al conductor" el sistema puede comunicar la intention del ceder el control primario, o bien, el conductor puede retirar el control primario del sistema.
Aqul se produce nuevamente la division entre la fase "El sistema cede el control primario" y la fase "El conductor retira el control primario al sistema".
En la fase "El sistema cedera el control primario" el sistema reconoce a una distancia segura que el control primario 45 ya no sera seguro (por ejemplo, fin de la autopista). El sistema esta disenado de modo que esta informacion sea recibida por el conductor con suficiente antelacion (por ejemplo, 30 segundos). El escenario debe aplicarse en consecuencia cuando el diagnostico del sistema detecta una falla, que la seguridad del sistema del control no puede
5
10
15
20
25
30
35
manejar de forma segura. En caso que el perlodo de advertencia se defina en 30 segundos, entonces el sistema se debe configurar de modo que pueda conservar el dominio del vehlculo de forma suficientemente segura en ese lapso. Esto se puede garantizar mediante un adecuado diseno de tolerancia a las fallas del sistema.
Para ejecutar la fase "El conductor retira el control primario al sistema", el sistema esta configurado de modo que el conductor pueda recuperar el control primario intuitivamente en cualquier momento. El sistema debe pasar de inmediato al modo de supervision cuando el conductor recupera claramente el control primario.
El sistema reconoce a una distancia suficiente que el control primario ya no sera seguro (por ejemplo, fin de la autopista). El sistema esta disenado de modo que esta informacion sea recibida por el conductor con suficiente antelacion, por ejemplo, 30 segundos. El escenario debe aplicarse en consecuencia cuando el diagnostico del sistema detecta una falla, que la seguridad del sistema del control no puede manejar de forma segura. En caso que el perlodo de advertencia se defina en 30 segundos, entonces el sistema se debe configurar de modo que pueda conservar el dominio del vehlculo de forma suficientemente segura en ese lapso. Esto se puede garantizar mediante un adecuado diseno de tolerancia a las fallas del sistema.
El sistema ha configurado el control primario para la funcion definida. El conductor debe vigilar el vehlculo, las condiciones de manejo y el sistema; el conductor puede en cualquier momento en un intervalo adecuado recuperar el dominio sobre el vehlculo. As! funciona el calificador de seguridad como documentacion archivada en llnea y queda documentado el cambio de control primario. Lista de referencia
Sistema general
Primer vehlculo
Sistema de comunicacion
Unidad de control (ECU)
Unidad funcional
Primera unidad de comunicacion
Segunda unidad de comunicacion
Tercera unidad de comunicacion
Canal de comunicacion
Canal de comunicacion
Canal de comunicacion
Primera unidad de medicion
Segunda unidad de medicion
Segundo vehlculo
Tercer vehlculo
Almacenamiento
Emisor de senal
DC Nivel de cobertura de diagnostico SPFM Metrica de error unico LFM Metrica de error latente
PMHF Tasa de error para evento principal
ASIL Nivel de integridad de la seguridad automotriz

Claims (12)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    REIVINDICACIONES
    1. Un metodo para realizar una funcion de seguridad en un vehlcuio (2), en donde los datos necesarios para ejecutar la funcion de seguridad se transmiten a una unidad de control (4) de un vehlcuio (2) mediante al menos un sistema de comunicacion (3) en donde las senales de control son generadas por la unidad de control (4) como una funcion de los datos transmitidos y se transmiten a una unidad funcional (5) del vehlculo (2) en donde la funcion de seguridad es ejecutadas por la unidad funcional (5) como una funcion de las senales de control, en donde las pruebas de diagnostico son ejecutadas repetidamente a intervalos de tiempo, en donde las pruebas de diagnostico comprueban la existencia de una falla o averla que podrla afectar adversamente a la ejecucion de la funcion de seguridad en uno o mas de los sistemas electricos, electronicos y/o programables (3-13) utilizados para ejecutar el metodo, caracterizado porque los metadatos de los datos transmitidos contienen informacion sobre los sistemas empleados para ejecutar el metodo, en donde al menos un valor de fiabilidad de los datos es determinado por la unidad de control (4) utilizando esta informacion cuyo valor depende
    de la probabilidad de que ocurran fallas o averlas que afecten adversamente a la ejecucion de la funcion de seguridad y
    de la probabilidad de que la existencia de estas fallas o averlas sea detectada por las pruebas de diagnostico y/o por un conductor del vehlculo (2) oportunamente antes de que la funcion de seguridad resulte adversamente afectada, en donde la unidad de control (4) verifica, como una funcion de al menos un valor de fiabilidad, si los datos transmitidos son confiables para ejecutar la funcion de seguridad.
  2. 2. El metodo de acuerdo con la reivindicacion 1, caracterizado porque si los datos necesarios para ejecutar la funcion de seguridad no estan totalmente disponibles o no son confiables,
    los datos transmitidos a la unidad de control (4) no se usan para accionar la unidad funcional (5) y/o
    se envla una senal de desactivacion a la unidad funcional (5) por medio de la unidad de control (4) en donde, una vez recibida esta senal de desactivacion, la unidad funcional ingresa automaticamente en un modo de seguridad en donde no se puede ejecutar la funcion de seguridad y/o
    los datos se transmiten a la unidad de control (4) nuevamente despues de un tiempo de espera predefinido, en donde los datos se transmiten de esta manera frecuentemente a la unidad de control (4) hasta que los datos esten totalmente disponibles y sean suficientemente confiables.
  3. 3. El metodo de acuerdo de una de las reivindicaciones precedentes caracterizado porque mediante la unidad de control (4) un generador de senales del vehlculo (2) se acciona para indicar al conductor si los datos necesarios para ejecutar la funcion de seguridad estan totalmente disponibles y son confiables.
  4. 4. El metodo de acuerdo con una de las reivindicaciones precedentes, caracterizado porque si los datos necesarios para ejecutar la funcion de seguridad no estan totalmente disponibles o son confiables, se acciona mediante la unidad de control (4) el generador de senales (17) para indicar al conductor la falta de disponibilidad momentanea de la funcion de seguridad.
  5. 5. Metodo de acuerdo con una de las reivindicaciones precedentes caracterizado porque los datos se producen como una funcion de las senales de medicion de al menos una unidad de medicion (12, 13).
  6. 6. Un Metodo de acuerdo con una de las reivindicaciones precedentes caracterizado porque al menos un valor de fiabilidad se determina como una funcion de al menos una de las tasas de error Ispf, Irf, Impf, Impf,l, Impf,p, Impf,d, en donde cada una de estas tasas de error especifica la cantidad de fallas que ocurren en una unidad de tiempo en un sistema electrico, electronico y/o programable (3-13) que se usa para ejecutar el metodo en donde las tasas de error respectivas se relacionan cada una exclusivamente con los siguientes tipos de fallas:
    lsPF:fallas que, aun cuando se produzcan individualmente, pueden afectar adversamente a la ejecucion de la funcion de seguridad y cuya existencia no es verificada por las pruebas de diagnostico y, por consiguiente, tampoco puede ser detectada oportunamente por las pruebas de diagnostico antes de que la funcion de seguridad sea negativamente afectada;
    Ipf: fallas que, aun cuando se produzcan individualmente, pueden afectar adversamente a la ejecucion de la funcion de seguridad y cuya existencia es verificada por las pruebas de diagnostico pero no es detectada por las pruebas de diagnostico oportunamente antes de que la funcion de seguridad sea negativamente afectada;
    5
    10
    15
    20
    25
    30
    35
    Impf,l: fallas que, cuando se producen o existen al mismo tiempo que otras fallas, pueden afectar adversamente a la ejecucion de la funcion de seguridad y cuya existencia no es verificada por las pruebas de diagnostico;
    l mpf,d : fallas que, cuando se producen o existen al mismo tiempo que otras fallas, pueden afectar negativamente la ejecucion de la funcion de seguridad y cuya existencia es verificada y detectada por las pruebas de diagnostico oportunamente antes de que la funcion de seguridad sea adversamente afectada;
    Impf,p: fallas que cuando se producen o existen al mismo tiempo que otras fallas, pueden afectar adversamente a la ejecucion de la funcion de seguridad y cuya existencia es detectada oportunamente por el conductor del vehlculo (2).
  7. 7. El metodo de acuerdo con la reivindicacion 6 caracterizado porque al menos un valor de fiabilidad de al menos un valor de fiabilidad de los datos se determina como una funcion de al menos un valor de DCRF de cobertura de diagnostico de acuerdo con la norma ISO 26262.
    imagen1
    de al menos uno de los sistemas electricos, electronicos y/o programables utilizado para realizar el metodo en donde 1 es especificado para este sistema (3-13) por Ispf+ Irf + Impf,l + Impf,d + Impf,p, e Is es la tasa de error para la existencia de cualquier falla en este sistema (3-13).
  8. 8. El metodo de acuerdo con la reivindicacion 6 o 7 caracterizado porque al menos un valor de fiabilidad de al menos un valor de fiabilidad de los datos se determina como una funcion de al menos un valor de la metrica Mspf,rf de acuerdo con la norma ISO 26262.
    imagen2
    en donde la sumatoria esta compuesta por una pluralidad de sistemas electricos, electricos y programables (3-13) que se usan durante el metodo y en donde pueden producirse fallas que, por si solas o combinadas entre si, pueden afectar adversamente a la ejecucion de la funcion de seguridad, en donde 1 esta especificado por este sistema (313) por Ispf + Irf + Impf,l + Impf,d + Impf,p e Is es la tasa de error para la existencia de cualquier falla en este sistema (3-13).
  9. 9. El metodo de acuerdo con una de las reivindicaciones 6 a 8 caracterizado porque los metadatos ya fueron transmitidos a la unidad de control (4) durante la puesta en marcha del vehlculo (2), en particular antes de iniciar un viaje, en donde al menos un valor de fiabilidad de al menos uno de los valores de fiabilidad de los datos se determina como una funcion del valor de la cobertura de diagnostico DCmpf,l de acuerdo con la norma ISO 26262
    imagen3
    de al menos de uno de los sistemas electricos, electronicos y/o programables que se usa para ejecutar el metodo, en donde la funcion de seguridad se ejecuta unicamente con la condicion adicional de que este valor de fiabilidad que se determina durante el proceso sea mayor que un valor de umbral predefinido, donde 1 es especificado para el sistema (3-13) por Ispf + Irf + Impf,l + Impf,d + Impf,p e Is es la tasa de error para la existencia de cualquier falla en este sistema (3-13).
  10. 10. El metodo de acuerdo con una de las reivindicaciones 6 a 9 caracterizado porque los metadatos ya fueron transmitidos a la unidad de control (4) durante el proceso de puesta en marcha del vehlculo (2), en particular antes de iniciar un viaje, en donde al menos un valor de fiabilidad de al menos uno de los valores de fiabilidad de los datos se determina como una funcion del valor de la metrica Mmpf,l de acuerdo con la norma ISO 26262
    5
    10
    15
    20
    25
    30
    35
    imagen4
    en donde la sumatoria se forma con una pluralidad de sistemas electricos, electronicos y/o programables que se usa durante la realizacion del metodo y en donde puede ocurrir una falla que puede afectar negativamente a la ejecucion de la funcion de seguridad, en donde la funcion de seguridad se ejecuta unicamente con la condition adicional de que este valor de fiabilidad sea mayor que un valor de umbral predefinido, donde 1 es especificado para este sistema (3-13) por Ispf + Irf + Impf,l + Impf,d + Impf,p, e ls es la tasa de error para la existencia de cualquier falla en este sistema (3-13).
  11. 11. El metodo de acuerdo con una de las reivindicaciones precedentes caracterizado porque la unidad funcional (5) es un dispositivo de protection activo o pasivo del vehlculo (2) caracterizado porque:
    la unidad funcional (5) es un sistema de freno electronico y la funcion de seguridad es un potenciador de freno automatico y/o en donde la unidad funcional (5) es un asistente de freno de emergencia y la funcion de seguridad es una operation de freno total o parcial del vehlculo (2) que se acciona automaticamente y/o en donde la unidad funcional (5) es un asistente de evasion y la funcion de seguridad es una action de manejo automatica para eludir un obstaculo y/o
    la unidad funcional (5) es una unidad ESC y la funcion de seguridad consiste en estabilizar automaticamente del vehlculo (2), en particular mediante el frenado de una o mas ruedas del vehlculo (2) y/o acelerando el motor del vehlculo (2) y/o en donde
    -la unidad funcional (5) es un sistema de airbag y la funcion de seguridad es la activation del airbag.
  12. 12. Un sistema general (1) para ejecutar una funcion de seguridad en un vehlculo (2) que comprende el vehlculo y un sistema de comunicacion que esta configurado para transmitir datos que son necesarios para ejecutar la funcion de seguridad a una unidad de control (4) del vehlculo (2), en donde la unidad de control (4) esta configurada para generar senales de control como una funcion de los datos transmitidos y para transmitir dichas senales de control a una unidad funcional (5) del vehlculo (2) en donde la unidad funcional (5) esta configurada para realizar pruebas de diagnostico repetidamente a intervalos de tiempo para verificar la existencia de una falla o desperfecto que podrla afectar adversamente a la ejecucion de la funcion de seguridad en uno o mas sistemas electricos, electronicos y/o programables del sistema general caracterizado porque el sistema de comunicacion tambien esta configurado para transmitir metadatos de los datos a la unidad de control (4), en donde los metadatos contienen information de los sistemas especificado del sistema general, en donde la unidad control (4) esta configurada para determinar al menos un valor de fiabilidad de los datos mediante la unidad de control (4) y como una funcion de esta informacion, dicho valor de fiabilidad depende de la probabilidad de la existencia de fallas que podrlan afectar adversamente a la ejecucion de la funcion y- de la probabilidad de que la existencia de estas fallas sea detectada por las pruebas de diagnostico y/o por un conductor del vehlculo (2) oportunamente antes de que la funcion de seguridad resulte negativamente afectada y para verificar como una funcion de al menos un valor de fiabilidad que los datos transmitidos son confiables para ejecutar la funcion de seguridad.
ES13753195.0T 2012-08-29 2013-08-28 Método para ejecutar una función de seguridad de un vehículo y sistema para ponerlo en práctica Active ES2638941T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102012215343 2012-08-29
DE102012215343.8A DE102012215343A1 (de) 2012-08-29 2012-08-29 Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
PCT/EP2013/067823 WO2014033172A1 (de) 2012-08-29 2013-08-28 Verfahren zum durchführen einer sicherheitsfunktion eines fahrzeugs und system zum durchführen des verfahrens

Publications (1)

Publication Number Publication Date
ES2638941T3 true ES2638941T3 (es) 2017-10-24

Family

ID=49035609

Family Applications (1)

Application Number Title Priority Date Filing Date
ES13753195.0T Active ES2638941T3 (es) 2012-08-29 2013-08-28 Método para ejecutar una función de seguridad de un vehículo y sistema para ponerlo en práctica

Country Status (6)

Country Link
US (1) US9566966B2 (es)
EP (1) EP2891264B1 (es)
CN (1) CN104620530B (es)
DE (1) DE102012215343A1 (es)
ES (1) ES2638941T3 (es)
WO (1) WO2014033172A1 (es)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10023164B2 (en) * 2013-10-17 2018-07-17 Robert Bosch Gmbh Validating automotive safety functions
DE102014209489A1 (de) * 2014-05-20 2015-11-26 Robert Bosch Gmbh Vorrichtung zum sicheren Einbinden einer Softwarekomponente in einem Kraftfahrzeug
DE102015215807A1 (de) * 2015-08-19 2017-02-23 Zf Friedrichshafen Ag Entfernte Fahrerunterstützung
DE102015217389A1 (de) 2015-09-11 2017-03-16 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben eines Fahrzeugs
JP6864992B2 (ja) * 2016-04-28 2021-04-28 日立Astemo株式会社 車両制御システム検証装置及び車両制御システム
DE102016212195A1 (de) 2016-07-05 2018-01-11 Robert Bosch Gmbh Verfahren zum Durchführen eines automatischen Eingriffs in die Fahrzeugführung eines Fahrzeugs
DE102016212196A1 (de) 2016-07-05 2018-01-11 Robert Bosch Gmbh Verfahren zum Auswerten von Sensordaten
DE102016212326A1 (de) * 2016-07-06 2018-01-11 Robert Bosch Gmbh Verfahren zur Verarbeitung von Sensordaten für eine Position und/oder Orientierung eines Fahrzeugs
EP3279830B1 (en) * 2016-08-02 2020-10-28 Veoneer Sweden AB A vision system and method for a motor vehicle
DE102017206288A1 (de) * 2017-04-12 2018-10-18 Continental Teves Ag & Co. Ohg Fahrzeug-zu-X-Kommunikationssystem
DE102017210955A1 (de) 2017-06-28 2019-01-17 Volkswagen Aktiengesellschaft Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum auflösen einer redundanz von zwei oder mehr redundanten modulen
US10937310B2 (en) * 2017-12-29 2021-03-02 Intel IP Corporation Control device and method for controlling a vehicle
US11351988B2 (en) * 2018-07-26 2022-06-07 Byton North America Corporation Use of sound with assisted or autonomous driving
US10776195B2 (en) 2018-08-21 2020-09-15 Continental Teves Ag & Co. Ohg Apparatus for protecting signals
US11129024B2 (en) * 2018-08-21 2021-09-21 Continental Teves Ag & Co. Ohg Vehicle-to-X communication device and method for realizing a safety integrity level in vehicle-to-X communication
CN113242976B (zh) * 2018-10-01 2024-09-17 大众汽车股份公司 用于监测电子系统的可靠性的方法和装置
DE102019218476A1 (de) * 2018-12-04 2020-06-04 Robert Bosch Gmbh Vorrichtung und Verfahren zum Messen, Simulieren, Labeln und zur Bewertung von Komponenten und Systemen von Fahrzeugen
DE102019202925A1 (de) * 2019-03-05 2020-09-10 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben eines automatisierten Fahrzeugs
DE102019203251B3 (de) 2019-03-11 2020-06-18 Volkswagen Aktiengesellschaft Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten
DE102019204637A1 (de) * 2019-04-02 2020-10-08 Robert Bosch Gmbh Verfahren zur schnellen Initialisierung eines elektrischen Energiespeichersystems
DE102019209357B3 (de) * 2019-06-27 2020-10-29 Audi Ag Verfahren zum Ermitteln zumindest eines aktuellen Vertrauenswerts eines Datensatzes eines Kraftfahrzeugs sowie ein Rechensystem hierzu
US11599678B2 (en) * 2019-09-18 2023-03-07 Continental Teves Ag & Co. Ohg Method for ensuring the integrity of data to ensure operational safety and vehicle-to-X device
DE102019214484A1 (de) * 2019-09-23 2021-03-25 Robert Bosch Gmbh Verfahren zum sicheren Ermitteln von Infrastrukturdaten
DE102019214482A1 (de) * 2019-09-23 2021-03-25 Robert Bosch Gmbh Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102020211485A1 (de) * 2020-09-14 2022-03-17 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Führen eines Kraftfahrzeugs
DE102020214599A1 (de) * 2020-11-19 2022-05-19 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Ermitteln eines Typs einer Recheneinrichtung eines Geräts
DE102021201910A1 (de) 2021-03-01 2022-09-01 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zur inhaltlichen Absicherung von Objektdaten zur kollektiven Perzeption
DE102021202935A1 (de) * 2021-03-25 2022-09-29 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Steuern einer Fahrfunktion
DE102021115032A1 (de) 2021-06-10 2022-12-15 Bayerische Motoren Werke Aktiengesellschaft Bestimmung einer Position eines Fahrzeugs
DE102021206319A1 (de) 2021-06-21 2022-12-22 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum infrastrukturgestützten Assistieren eines Kraftfahrzeugs
DE102021210613A1 (de) 2021-09-23 2023-03-23 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Steuern einer Sendeleistung eines aktiven Fahrzeugumfeldsensors
DE102022205943A1 (de) * 2022-06-13 2023-12-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen eines mehrere Einzelkomponenten aufweisenden Systems zum gemeinsamen Durchführen einer Funktion durch die mehreren Einzelkomponenten
DE102022207655A1 (de) 2022-07-26 2024-02-01 Siemens Mobility GmbH Vorrichtung und Verfahren zur Prüfung einer KI-basierten Sicherheitsfunktion eines Steuerungssystems eines Fahrzeugs
DE102022125715A1 (de) 2022-10-05 2024-04-11 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Unterstützungseinrichtung zum Unterstützen einer Robustheitsoptimierung für ein Datenverarbeitungssystem und korrespondierendes CI-System

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835873A (en) * 1997-02-21 1998-11-10 Breed Automotive Technology, Inc. Vehicle safety system with safety device controllers
US7096108B2 (en) * 2003-09-26 2006-08-22 Haldex Brake Products Ab Brake system with distributed electronic control units incorporating failsafe mode
JP2006040122A (ja) * 2004-07-29 2006-02-09 Toyoda Mach Works Ltd プログラマブルコントローラ
DE102007058192A1 (de) * 2007-12-04 2009-06-10 Continental Teves Ag & Co. Ohg Zentrales Steuergerät für mehrere in einem Kraftfahrzeug vorgesehene Assistenzsysteme und Kraftfahrzeug (Wegen nicht zuerkannter Prio)
DE102007062698A1 (de) * 2007-12-27 2009-07-02 Volkswagen Ag Verfahren und Vorrichtung zur Traktionshilfe für einen Kraftfahrzeugführer
DE102009033853A1 (de) * 2009-07-16 2010-05-12 Daimler Ag Verfahren zum Betrieb eines Fahrerassistenzsystems und Vorrichtung zur Durchführung des Verfahrens
US8855898B2 (en) * 2011-04-29 2014-10-07 GM Global Technology Operations LLC Systems and methods to diagnose valve leakage in a vehicle
DE102011115223A1 (de) * 2011-09-24 2013-03-28 Audi Ag Verfahren zum Betrieb eines Sicherheitssystems eines Kraftfahrzeugs und Kraftfahrzeug

Also Published As

Publication number Publication date
EP2891264B1 (de) 2017-05-31
US9566966B2 (en) 2017-02-14
CN104620530A (zh) 2015-05-13
CN104620530B (zh) 2017-12-01
WO2014033172A1 (de) 2014-03-06
US20150210258A1 (en) 2015-07-30
DE102012215343A1 (de) 2014-05-28
EP2891264A1 (de) 2015-07-08

Similar Documents

Publication Publication Date Title
ES2638941T3 (es) Método para ejecutar una función de seguridad de un vehículo y sistema para ponerlo en práctica
US11254333B2 (en) Electronic control device, vehicle control method, and vehicle control program product
ES2895075T3 (es) Sistema de frenado para un vehículo de motor y método de funcionamiento de un sistema de frenado
ES2567052T3 (es) Procedimiento de funcionamiento de un vehículo automóvil durante y/o después de una colisión
EP3318456B1 (en) Vehicle control device, vehicle control method, and program
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
ES2302179T3 (es) Dispositivo de deteccion de fallos de un sistema de control de vehiculo.
US11273842B2 (en) Control system and improved control method for the autonomous control of a motor vehicle
CN111439199B (zh) 报告装置
WO2018059103A1 (zh) 基于同向前车驾驶信息的紧急状况预警方法及系统
CN107571868A (zh) 用于执行对车辆的车辆引导的自动干预的方法
JP2016084092A (ja) 車両の走行制御装置
CN106340192B (zh) 一种智能交通系统及智能交通控制方法
JP2017523074A (ja) 車両動作装置および車両動作方法
US20180052456A1 (en) Testing of an autonomously controllable motor vehicle
US11537122B2 (en) Method for controlling a motor vehicle remotely
CN111665849B (zh) 一种自动驾驶系统
US11352026B2 (en) Vehicle, vehicle monitoring server, vehicle monitoring system, and vehicle monitoring method
JP3788168B2 (ja) 車両の走行支援装置
KR102419243B1 (ko) 적어도 하나의 전기 에너지 저장 장치를 구비한 차량의 보조 시스템의 작동 방법
CN112486152A (zh) 自动驾驶车辆的控制方法和装置、存储介质及电子装置
WO2018066021A1 (ja) 終端防護装置及び終端防護方法
TWI791497B (zh) 鐵道車輛用之安全裝置,鐵道車輛,保持此一鐵道車輛之安全的方法,及相關電腦程式
CN112810620A (zh) 覆盖相邻车道相对速度的运行设计域验证
JP3891206B2 (ja) 車両の走行支援装置