WO2016162624A1 - Method for implementing a motor vehicle function in accordance with standard asil levels, corresponding system, and motor vehicle including such a system - Google Patents

Method for implementing a motor vehicle function in accordance with standard asil levels, corresponding system, and motor vehicle including such a system Download PDF

Info

Publication number
WO2016162624A1
WO2016162624A1 PCT/FR2016/050768 FR2016050768W WO2016162624A1 WO 2016162624 A1 WO2016162624 A1 WO 2016162624A1 FR 2016050768 W FR2016050768 W FR 2016050768W WO 2016162624 A1 WO2016162624 A1 WO 2016162624A1
Authority
WO
WIPO (PCT)
Prior art keywords
function
level
motor vehicle
asil
implementing
Prior art date
Application number
PCT/FR2016/050768
Other languages
French (fr)
Inventor
Paul Degoul
Michel LEEMAN
Original Assignee
Valeo Equipements Electriques Moteur
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valeo Equipements Electriques Moteur filed Critical Valeo Equipements Electriques Moteur
Publication of WO2016162624A1 publication Critical patent/WO2016162624A1/en

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/186Passive fault masking when reading multiple copies of the same data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Definitions

  • the present invention relates to a method for implementing a function of a motor vehicle conforming to standard ASIL levels ("Automotive Security Integrity Level” in English terminology, ie "Level of requirement in terms of Automotive Safety ").
  • the invention also relates to a system capable of implementing this method, as well as the motor vehicle comprising this system.
  • a fail-safe system maintains its functionality or at least reduced functionality in the event of any simple failure.
  • a fail-operational system requires a redundant data bus and power supplies as well as a redundant electronic computing unit (ECU or "Electronic Computing Unit” in English terminology).
  • ECU electronic computing unit
  • a possible hardware architecture for realizing a fail-safe electronic computing unit is known as Duplex - Double architecture, and its use is common in avionics.
  • a Duplex-Dual architecture may be two classic passive after-failure ECUs in a car and a switch, as shown in Figure 1.
  • the two ECUs can be based for example on the use of a synchronous double-core microcontroller said LSDC (acronym for "Lock Step Dual Core" in English terminology).
  • LSDC synchronous double-core microcontroller
  • the output data is that provided by the first electronic computing unit.
  • the status of the first electronic computing unit is non-functional, i.e., it fails, the output data is that provided by the second electronic computing unit.
  • the status of the second electronic computing unit is used to report the hidden errors, when it is not operational, and is no longer able to take over the failure of the first electronic computing unit.
  • the switch is a switch network.
  • the ISO 26262 standard establishes a formal framework for the functional safety of modules in the automotive industry.
  • the ISO 26262 standard states that the software's "safety" must be systematically taken into account throughout the software development cycle.
  • An ASIL is assigned on the basis of the risk of the occurrence of a hazardous event taking into account the periodicity of the situation, the impact of any damage, and to what extent this situation can be controlled and managed.
  • the ISO 26262 standard defines four ASILs indicated by letters from A to D, the latter corresponding to the lowest risk and the highest security requirement level.
  • a level of security requirement indicated by QM (“Quality Management” ie “Quality Management") is assigned to non-critical functions.
  • the implementation of the function in both ECUs will require either that the software be developed at the ASIL D level, or will require an ASIL decomposition, as defined in the ISO 26262 standard.
  • ASIL decomposition two redundant modules developed at a lower level of criticality can be implemented in both ECUs.
  • Developing a complex application software at the ASIL D level is not the strategy generally adopted in an automotive industrial development, for reasons of cost and development time. Therefore, an ASIL decomposition leading to lower ASILs will be preferred at least for application software.
  • an ASIL decomposition requires a redundant and diverse implementation. In these conditions, whatever the hardware architecture chosen to realize the passive electronic computing units after failure, two different algorithms will be necessary in order to ensure the independence between the two redundant modules implemented in each ECU, otherwise the ASIL decomposition to reduce the ASIL is not allowed by ISO 26262.
  • the software modules implemented in each of the electronic computing units of a Duplex-Double architecture must also have diversity.
  • the patent application US20150057908 discloses an engine control unit performing qualified safety functions at an ASIL B level by means of a microcontroller qualified at a level ASIL B and a qualified integrated circuit at a level QM.
  • ASIL decomposition disclosed in this application does not seem to be able to be transposed to a Duplex-Double architecture, as described above, to be qualified at a level ASIL D or ASIL C.
  • the present invention therefore aims to satisfy this need.
  • It relates specifically to a method of implementing a function of a motor vehicle conforming to standard ASIL levels corresponding to increasing security requirements levels QM, A, B, C, D such as those defined. by the ISO 26262 standard.
  • the method in question is of the type of those implementing this function with a first level of requirement in terms of security by at least means having a second level of security requirement lower than the first requirement level. security terms for a design diversity of these means less than four.
  • this first level of requirement in terms of security is rated D or C and the second level of requirement in terms of security is rated B, A or QM,
  • This function is performed, according to the invention, in parallel from at least one input data by first and second passive passive calculation electronic units respectively generating at least first and second output data constituting alternatively at least a nominal output data of the function according to a state of the first and second electronic calculation units.
  • the first and second electronic calculation units each execute an identical set of three different software modules performing this function and generating the first and second output data via first and second voters. majority, the second level of security requirement of at least one of the three modules being two degrees lower than the first level of security requirement.
  • the first and second electronic calculation units respectively perform, on the one hand, a first and a second module, and, on the other hand, the second and third modules among a set of three different modules performing this function and generating the first and second output data via first and second majority voters taking into account the first, second and third intermediate outputs respectively generated by the first, second and third modules, the second level of security requirement of at least one of the first, second and third modules being two degrees lower than the first level of security requirement.
  • first and second electronic calculation units each execute a first identical module having an ASIL D rating and, respectively, second and third different modules having another ASIL QM rating.
  • the invention also relates to a system for implementing a function of a motor vehicle conforming to standard ASIL levels corresponding to increasing security requirements levels QM, A, B, C, D such as those defined by the ISO 26262 standard, suitable for implementing the process described above.
  • This system is of the type of those implementing this function with a first level of requirement in terms of security and comprising at least a first electronic computing unit, means for acquiring an input data of the function and means generating at least a first output of the function having a second level of security requirement lower than the first level of security requirement.
  • the first level of requirement in terms of security is rated D or C and the second level of requirement in terms of security is rated B, A or QM for a diversity of design of these means of security. generation less than four.
  • this system further comprises a second electronic computing unit generating at least a second output data of the function, and switching means for generating at least one nominal output data by switching the first output data or the second output data according to a state of the first and second electronic computing units, said first and second electronic computing units being passive after failure.
  • the system for implementing a function of a motor vehicle conforming to standard ASIL levels also comprises an identical set of three modules. different performing this function performed by each of the first and second electronic computing units, and first and second majority voters generating the first and second output data, the second level of security requirement of at least one of these three modules being two degrees lower than the first level of security requirement.
  • the system further comprises, on the one hand, a first and a second one of a set of three different modules implementing the function executed by the first electronic computing unit, and, secondly, the second and third modules among this set of three different modules executed by the second electronic computing unit, and first and second majority voters taking into account the first, second and third intermediate outputs respectively generated by the first, second and second and third modules, the second level of security requirement of at least one of the first, second and third modules being two degrees lower than the first security requirement level.
  • system further comprises a first identical module having an ASIL D rating executed by each of the first and second computing units and second and third different modules having another ASIL QM rating executed. respectively by these first and second electronic calculation units.
  • this function is preferably a detection of an object
  • the input data is derived a LIDAR, or a radar, or a camera
  • at least one nominal output data advantageously generates a control of a group comprising a steering control, a motor control and a brake control.
  • At least one output data preferably generates the command by means of a path planning module ASIL D.
  • the invention also relates to a motor vehicle of the type of those comprising an advanced driving assistance system authorizing an automatic motorway driving comprising a system for implementing a function of a motor vehicle conforming to standard ASIL levels such as as previously described.
  • Figure 1 is a block diagram of an operational duplex-dual hardware architecture after a known state of the art failure.
  • Figure 2 is a block diagram of a system for implementing a function of a motor vehicle conforming to standard ASIL levels, based on the architecture shown in Figure 1, known from the state of the art.
  • FIG. 3 is a block diagram of a system for implementing a function of a motor vehicle conforming to standard ASIL levels, based on the architecture shown in FIG. 1, according to the first embodiment of FIG. invention.
  • FIG. 4 is a block diagram of a system for implementing a function of a motor vehicle conforming to standard ASIL levels, based on the architecture shown in FIG. 1, according to the second embodiment of FIG. invention.
  • FIG. 5 is a block diagram of an advanced driver assistance system for automatic highway driving known from the state of the art.
  • Figure 6 is a block diagram of an advanced driver assistance system that allows automatic highway driving based on the implementation of a motor vehicle function conforming to standard ASIL levels shown in Figure 3. DESCRIPTION OF THE PREFERRED EMBODIMENTS OF THE INVENTION
  • a possible architecture 1 for the implementation of the critical functions of an autonomous vehicle is that already widely used in avionics shown in FIG.
  • An input data 2 of the function to be produced is processed simultaneously by two electronic calculation units 3, 4 which generate output data 5, 6. It will be noted here that the terms "output data (s)" used in FIG. This application must not be interpreted strictly and also cover one or more exit orders.
  • a nominal output data item 7 is formed either by a first output data item 5 generated by a first 3 of the electronic calculation units 3, 4 when the latter is operating normally, or by a second output data item 6 generated by a second 4 of the electronic computing units 3, 4 when the first 3 is in failure.
  • An indication of the state, or status 10, of the second electronic computing unit 4 makes it possible to highlight the hidden errors.
  • This method consisting in implementing, for performing a function of a qualified motor vehicle at a first level of security requirement, qualified modules at a second level lower than the first, is well known from the state of the art. technical.
  • the method according to the invention is implemented in a system 16 shown in FIG. 3.
  • the design diversity is reduced to three by implementing three algorithms 12, 13, 14 in the two electronic computing units 17, 18 which include voters 19, 20 making a majority vote between intermediate outputs 21, 22, 23 generated by the algorithms 12, 13, 14.
  • ASIL D function the three modules 12, 13, 14 must be developed in ASIL B.
  • ASIL function C one of the redundant modules 12, 13, 14 can be developed in ASIL A, the other two modules being developed in ASIL B.
  • FIG. 3 is an exemplary implementation of a function in ASIL D by three modules 12, 13, 14 in ASIL B.
  • An advantage of this first embodiment of the invention is that the two electronic calculation units 17, 18 are identical and can therefore have the same stock reference.
  • a disadvantage is that three redundant modules 12, 13, 14 are executed on each ECUs 17, 18. This increases the computing power to implement and the size of the memory required.
  • a possible variant of this first embodiment is to permanently run first and second modules 12, 13, but to start the execution of a third module 14 only in case of disagreement between the first and second intermediate outputs. 21, 22 of the first and second modules 12, 13. This reduces the calculation load of the ECUs. However, this is only applicable if the fault tolerance time interval is relatively long.
  • the method according to the invention is implemented in a system 24 shown in FIG. 4.
  • the design diversity is also reduced to three, only two 12, 13 of the three diversified algorithms 12, 13, 14 are executed on the first electronic computing unit 25 and two others 13, 14 of these three are executed on the second unit of electronic calculation 26.
  • the intermediate output 21, 23 of the module 12, 14 which is not executed on one of the electronic calculation units 25, 26 is sent to it by the other module 12, 14, so that the majority voters 19, 20 generate the output data 5, 6 of the function.
  • FIG. 4 is an example of implementation of a function in ASIL D by three modules 12, 13, 14 in ASIL B.
  • the advantage of this second embodiment of the invention compared to the first embodiment is that less computing power and less memory are needed.
  • the disadvantage is the need for cross-communication between the two ECUs and two diversified ECUs.
  • the first module implementing the function that is executed on each electronic computing unit is qualified ASIL D
  • the second and third different qualified modules ASIL QM are each executed on each of the calculation units. electronic 3, 4.
  • a diversity of design for the first module is not necessary, since it is qualified to the same level of ASIL D security requirement as the function to be implemented. In this way the design diversity remains less than four.
  • a typical example of application of the invention is an advanced driver assistance system (ADAS) at level four, such as a system.
  • ADAS advanced driver assistance system
  • MDS automatic motorway driving
  • the human driver can rest on the MDS to control the vehicle while driving on a highway, which allows him to answer his emails, watch TV, etc.
  • the MDS has a complete picture of the driving environment of the vehicle thanks to its redundant sensors. It can track other vehicles, it can also make decisions, such as braking or steer to avoid collisions with other vehicles, or even overtake to maintain a given speed.
  • FIG. 5 shows an overview of a simplified MDS 27 known from the state of the art, taking only the front sensors 28, 29, 30 into account.
  • a complete system also requires rear sensors and lateral sensors, for among other things to allow a lane change.
  • Three front sensors 28, 29, 30 of various technologies (LIDAR 28, radar 29, camera 30) are used to maintain sufficient detection performance (detection of objects and their tracking 31, 32, by the LIDAR 28 and the radar 29, or simple detection of the objects 33 by the camera 30) under any environmental conditions after a first failure.
  • a fusion of the complementary information 34 from the front sensors 28, 29, 30 makes it possible to identify the road, the other vehicles, the obstacles, etc.
  • a planning of the trajectory 35 determines the trajectory of the vehicle. Lateral and longitudinal control 36 calculates the steering controls 37, motor 38 and braking 39 so that the vehicle follows the planned path.
  • ASIL D Regarding the level of requirement in terms of security, for the MDS, make a bad decision or not to detect an obstacle is rated ASIL D.
  • Each sensor before 28, 29, 30 is qualified only ASIL B thanks to the redundancy of these front sensors 28, 29, 30.
  • the MDS 27 must remain operational after a first failure, as it may take more than ten seconds for the driver to regain control. The sudden complete loss of the availability of the system 27 must therefore be qualified ASIL D.
  • the method for implementing a function of a motor vehicle conforming to standard ASIL levels makes it possible to reduce the ASIL D security requirement levels of information fusion functions 34 and trajectory planning. 35, and also lateral and longitudinal control 36.
  • Figure 6 is an example of an MDS system 40 based on the invention, where only the reduction of the security requirement level is applied to the information merging function 24, while the trajectory planning function and the lateral and longitudinal control 41 remain qualified ASIL D, in order to simplify the scheme.
  • Three different modules 12, 13, 14 implementing the "information merging" function 34 are executed by the two electronic calculation units 17, 18 according to the first embodiment of the invention shown in FIG. 3. This implementation avoids the use of four different modules if only two modules were executed in each ECU 17, 18, as known from the state of the art ( Figure 2).
  • the output data 5 of the first electronic computing unit 17 form the steering controls 37, motor 38 and braking 39 unless this first electronic computing unit 17 is no longer operational.
  • the switch 8 supplies the commands 37, 38, 39 coming from the second electronic unit 18.
  • a possible variant of this example is the implementation of the "information fusion" function 34 in application of the second embodiment of the invention shown in FIG. 4. The only difference is that the first module 12 implementing the "merge" function information "is not implemented in the second electronic computing unit 26 and that the third module 14 implementing this function is not implemented in the first electronic computing unit 25. In addition, the intermediate output 21 of the first module 12 is sent to the second electronic computing unit 26, and the intermediate output 23 of the third module 14 is sent to the first electronic computing unit 25.
  • a similar description could include automotive after-failure operational systems different from an MDS, such as electric power steering (or EPS) or braking systems.
  • MDS electric power steering
  • EPS electric power steering

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

The invention relates to a method which makes it possible to implement a motor vehicle function in accordance with standard ASIL levels corresponding to increasing safety requirement levels QM, A, B, C, and D, such as those defined by the ISO 26262 standard. The method implements said function using a first safety requirement level by at least means (12, 13, 14) having a second safety requirement level that is lower than said first safety requirement level. In accordance with the invention, for a design variant with less than four means (12, 13, 14), the first safety requirement level is rated D or C and the second safety requirement level is rated B, A or QM.

Description

PROCEDE D'IMPLEMENTATION D'UNE FONCTION D'UN VEHICULE AUTOMOBILE CONFORME A DES NIVEAUX ASIL STANDARDS, SYSTEME CORRESPONDANT ET VEHICULE AUTOMOBILE COMPRENANT UN TEL METHOD FOR IMPLEMENTING A FUNCTION OF A MOTOR VEHICLE IN ACCORDANCE WITH STANDARD ASIL LEVELS, CORRESPONDING SYSTEM AND MOTOR VEHICLE COMPRISING SUCH AS
SYSTEME SYSTEM
DOMAINE TECHNIQUE DE L'INVENTION. TECHNICAL FIELD OF THE INVENTION
La présente invention concerne un procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards ("Automotive Security Integrity Level" en terminologie anglaise, c'est-à-dire "Niveau d'exigence en termes de Sécurité en Automobile").  The present invention relates to a method for implementing a function of a motor vehicle conforming to standard ASIL levels ("Automotive Security Integrity Level" in English terminology, ie "Level of requirement in terms of Automotive Safety ").
L'invention concerne également un système apte à la mise en œuvre de ce procédé, ainsi que le véhicule automobile comprenant ce système.  The invention also relates to a system capable of implementing this method, as well as the motor vehicle comprising this system.
ARRIERE PLAN TECHNOLOGIQUE DE L'INVENTION. BACKGROUND ART OF THE INVENTION.
Le développement récent des véhicules autonomes (niveaux d'automatisation 4 et 5 tels que définis par la Société des Ingénieurs de l'Automobile (SAE, acronyme de "Society of Automotive Engineers") requiert des systèmes opérationnels après défaillance ("fail operational") au lieu des systèmes classiques dans les applications critiques en termes de sécurité dans l'automobile qui ne requièrent que des systèmes passifs après défaillance ("fail silent").  The recent development of autonomous vehicles (levels of automation 4 and 5 as defined by the Society of Automotive Engineers (SAE)) requires fail operational systems ("fail operational") instead of conventional systems in automotive safety critical applications that require only passive fail-safe systems.
Un système opérationnel après défaillance maintient sa fonctionnalité ou au moins une fonctionnalité réduite dans le cas d'une défaillance simple quelconque.  A fail-safe system maintains its functionality or at least reduced functionality in the event of any simple failure.
Un système opérationnel après défaillance nécessite un bus de données et des alimentations redondants ainsi qu'une unité de calcul électronique (ECU ou "Electronique Computing Unit" en terminologie anglaise) redondante.  A fail-operational system requires a redundant data bus and power supplies as well as a redundant electronic computing unit (ECU or "Electronic Computing Unit" in English terminology).
Une architecture matérielle possible pour réaliser une unité de calcul électronique opérationnelle après défaillance est connue en tant qu'architecture Duplex - Double, et son utilisation est courante en avionique.  A possible hardware architecture for realizing a fail-safe electronic computing unit is known as Duplex - Double architecture, and its use is common in avionics.
Une architecture Duplex- Double peut être constituée par deux ECU passives après défaillance classiques en automobile et un commutateur, comme le montre la Figure 1.  A Duplex-Dual architecture may be two classic passive after-failure ECUs in a car and a switch, as shown in Figure 1.
Les deux ECUs peuvent être basées par exemple sur l'utilisation d'un microcontrôleur à double cœur synchrone dit LSDC (acronyme de "Lock Step Dual Core" en terminologie anglaise). Quand un statut de la première unité de calcul électronique est fonctionnel, les données de sortie sont celles fournies par la première unité de calcul électronique. Quand le statut de la première unité de calcul électronique est non-fonctionnel, c'est-à-dire qu'elle est en défaillance, les données de sortie sont celles fournies par la seconde unité de calcul électronique. Le statut de la seconde unité de calcul électronique est utilisé pour rapporter les erreurs cachées, quand elle n'est pas opérationnelle, et qu'elle n'est plus capable de prendre le relais en .cas de défaillance de la première unité de calcul électronique. Dans le cas de données de sortie multiples, le commutateur est un réseau de commutateurs. The two ECUs can be based for example on the use of a synchronous double-core microcontroller said LSDC (acronym for "Lock Step Dual Core" in English terminology). When a status of the first electronic computing unit is functional, the output data is that provided by the first electronic computing unit. When the status of the first electronic computing unit is non-functional, i.e., it fails, the output data is that provided by the second electronic computing unit. The status of the second electronic computing unit is used to report the hidden errors, when it is not operational, and is no longer able to take over the failure of the first electronic computing unit. . In the case of multiple output data, the switch is a switch network.
En ce qui concerne le logiciel, le standard ISO 26262 établit un cadre formel pour la sécurité fonctionnelle des modules dans l'automobile. La norme ISO 26262 stipule que la sécurité (« safety » en anglais) du logiciel doit être prise en compte de manière systématique pendant tout le cycle de développement du logiciel.  With regard to software, the ISO 26262 standard establishes a formal framework for the functional safety of modules in the automotive industry. The ISO 26262 standard states that the software's "safety" must be systematically taken into account throughout the software development cycle.
Un ASIL est attribué sur la base du risque de l'occurrence d'un événement dangereux en prenant en compte la périodicité de la situation, l'impact d'un dommage éventuel, et dans quelle mesure cette situation peut être contrôlée et gérée.  An ASIL is assigned on the basis of the risk of the occurrence of a hazardous event taking into account the periodicity of the situation, the impact of any damage, and to what extent this situation can be controlled and managed.
La norme ISO 26262 définit quatre ASIL indiqués par des lettres de A à D, cette dernière correspondant au risque le plus faible et au niveau d'exigence en termes de sécurité le plus élevé. Un niveau d'exigence en termes de sécurité indiqué par QM ("Qualité Management" c'est-à-dire "Gestion de la Qualité") est assigné aux fonctions non- critiques.  The ISO 26262 standard defines four ASILs indicated by letters from A to D, the latter corresponding to the lowest risk and the highest security requirement level. A level of security requirement indicated by QM ("Quality Management" ie "Quality Management") is assigned to non-critical functions.
Beaucoup de fonctions de véhicules autonomes auront au moins deux contraintes de sécurité ASIL D contradictoires. D'une part, une décision erronée sera ASIL D, et, d'autre part, la perte de la fonction sera aussi ASIL D.  Many autonomous vehicle functions will have at least two contradictory ASIL D security constraints. On the one hand, an erroneous decision will be ASIL D, and, on the other hand, the loss of the function will also ASIL D.
Pour satisfaire une décision correcte au niveau ASIL D, l'implémentation de la fonction dans les deux ECUs requerra soit que le logiciel soit développé au niveau ASIL D, soit requerra une décomposition ASIL, telle que définie dans la norme ISO 26262. Dans le cas d'une décomposition ASIL, deux modules redondants développés à un niveau inférieur de criticité peuvent être implémentés dans les deux ECUs. Développer un logiciel d'application complexe au niveau ASIL D n'est pas la stratégie généralement retenue dans un développement industriel automobile, pour des raisons de coût et de durée de développement. Par conséquent, une décomposition ASIL conduisant à des ASILs inférieurs sera préférée au moins pour les logiciels d'applications. Cependant, une décomposition ASIL nécessite une implémentation redondante et diversifiée. Dans ces conditions, quelle que soit l'architecture matérielle choisie pour réaliser les unités de calcul électroniques passives après défaillance, deux algorithmes différents seront nécessaires de façon à assurer l'indépendance entre les deux modules redondants implémentés dans chaque ECU, sinon la décomposition ASIL pour réduire l'ASIL n'est pas autorisée par la norme ISO 26262. To satisfy a correct decision at the ASIL D level, the implementation of the function in both ECUs will require either that the software be developed at the ASIL D level, or will require an ASIL decomposition, as defined in the ISO 26262 standard. of an ASIL decomposition, two redundant modules developed at a lower level of criticality can be implemented in both ECUs. Developing a complex application software at the ASIL D level is not the strategy generally adopted in an automotive industrial development, for reasons of cost and development time. Therefore, an ASIL decomposition leading to lower ASILs will be preferred at least for application software. However, an ASIL decomposition requires a redundant and diverse implementation. In these conditions, whatever the hardware architecture chosen to realize the passive electronic computing units after failure, two different algorithms will be necessary in order to ensure the independence between the two redundant modules implemented in each ECU, otherwise the ASIL decomposition to reduce the ASIL is not allowed by ISO 26262.
En outre pour satisfaire à la contrainte de disponibilité en cas de défaillance simple, les modules logiciels implémentés dans chacune des unités de calcul électroniques d'une architecture Duplex-Double doivent aussi présenter une diversité.  Furthermore, to satisfy the availability constraint in the event of a simple failure, the software modules implemented in each of the electronic computing units of a Duplex-Double architecture must also have diversity.
Si ce n'était pas le cas, une erreur systématique affectant l'un des deux algorithmes redondants dans l'une des deux ECUs passives après défaillance affecterait aussi l'autre ECU. Si cette erreur était activée sur l'une des ECU, elle serait activée simultanément sur l'autre, car les données d'entrée des deux ECUs sont les mêmes, et par conséquent, les deux ECUs défailliraient simultanément, ne satisfaisant pas de ce fait la contrainte de disponibilité. Etant donné que la raison fondamentale de la défaillance est une erreur d'un logiciel de plus faible ASIL, cela n'est pas acceptable.  If this were not the case, a systematic error affecting one of the two redundant algorithms in one of the two passive ECUs after failure would also affect the other ECU. If this error was activated on one of the ECUs, it would be activated simultaneously on the other, because the input data of the two ECUs are the same, and therefore, the two ECUs would fail simultaneously, not satisfying this fact. the availability constraint. Since the fundamental reason for the failure is an error of a weaker ASIL software, this is not acceptable.
Cela signifie que pour une fonction soumise à deux contraintes de sécurité contradictoires ASIL D (ou C), l'une portant sur la validité des données de sortie, et l'autre sur la disponibilité de ces données de sortie, quand une architecture Duplex- Double est utilisée, quatre modules logiciels différents seront nécessaires comme le montre la Figure 2. Mais dans de nombreux cas, il n'est pas possible de satisfaire à la condition de diversité logicielle, c'est-à-dire qu'il n'est pas possible de trouver quatre algorithmes différents pour une même fonction.  This means that for a function subject to two conflicting ASIL D (or C) security constraints, one relating to the validity of the output data, and the other to the availability of this output data, when a Duplex- Double is used, four different software modules will be needed as shown in Figure 2. But in many cases, it is not possible to satisfy the software diversity requirement, that is, it does not It is not possible to find four different algorithms for the same function.
II est évidemment plus facile de développer un système, ou un sous-système, qualifié en tant qu'ASIL B plutôt qu'ASIL D.  It is obviously easier to develop a system, or subsystem, qualified as ASIL B rather than ASIL D.
Par conséquent, des incitations de coût et d'ordre pragmatique conduisent à situer tout ou partie d'un projet à un niveau le plus bas possible dans l'échelle des ASIL, tout en visant une qualification globale la plus haute possible.  As a result, cost and pragmatic incentives lead to placing all or part of a project at the lowest possible level in the ASIL scale, while aiming for the highest possible global qualification.
Par exemple, la demande brevet US20150057908 décrit une unité de contrôle moteur remplissant des fonctions de sécurité qualifiée à un niveau ASIL B au moyen d'un microcontrôleur qualifié à un niveau ASIL B et d'un circuit intégré qualifié à un niveau QM.  For example, the patent application US20150057908 discloses an engine control unit performing qualified safety functions at an ASIL B level by means of a microcontroller qualified at a level ASIL B and a qualified integrated circuit at a level QM.
La décomposition ASIL exposée dans cette demande, ne semble pas pouvoir être transposée à une architecture Duplex-Double, telle que décrite ci-dessus, devant être qualifiée à un niveau ASIL D ou ASIL C. The ASIL decomposition disclosed in this application does not seem to be able to be transposed to a Duplex-Double architecture, as described above, to be qualified at a level ASIL D or ASIL C.
Il existe donc un besoin pour une solution technique permettant de qualifier cette architecture à ces niveaux ASIL élevés en utilisant une implémentation qualifiée à un niveau inférieur, tout en limitant la diversité de conception.  There is therefore a need for a technical solution to qualify this architecture at these high ASIL levels using a qualified implementation at a lower level, while limiting the design diversity.
DESCRIPTION GENERALE DE L'INVENTION. GENERAL DESCRIPTION OF THE INVENTION
La présente invention vise par conséquent à satisfaire ce besoin.  The present invention therefore aims to satisfy this need.
Elle a précisément pour objet un procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards correspondant à des niveaux d'exigence en termes de sécurité croissants QM, A, B, C, D tels que ceux définis par la norme ISO 26262.  It relates specifically to a method of implementing a function of a motor vehicle conforming to standard ASIL levels corresponding to increasing security requirements levels QM, A, B, C, D such as those defined. by the ISO 26262 standard.
Le procédé dont il s'agit est du type de ceux implémentant cette fonction avec un premier niveau d'exigence en termes de sécurité par au moins des moyens présentant un second niveau d'exigence en termes de sécurité inférieur au premier niveau d'exigence en termes de sécurité pour une diversité de conception de ces moyens inférieure à quatre.  The method in question is of the type of those implementing this function with a first level of requirement in terms of security by at least means having a second level of security requirement lower than the first requirement level. security terms for a design diversity of these means less than four.
Selon l'invention, ce premier niveau d'exigence en termes de sécurité est coté D ou C et le second niveau d'exigence en termes de sécurité est coté B, A ou QM,  According to the invention, this first level of requirement in terms of security is rated D or C and the second level of requirement in terms of security is rated B, A or QM,
Cette fonction est réalisée, selon l'invention, en parallèle à partir d'au moins une donnée d'entrée par des première et seconde unités électroniques de calcul passives après défaillance générant respectivement au moins des première et seconde données de sortie constituant alternativement au moins une donnée de sortie nominale de la fonction selon un état des première et seconde unités électroniques de calcul.  This function is performed, according to the invention, in parallel from at least one input data by first and second passive passive calculation electronic units respectively generating at least first and second output data constituting alternatively at least a nominal output data of the function according to a state of the first and second electronic calculation units.
Dans un premier mode de réalisation de l'invention, les première et seconde unités électroniques de calcul exécutent chacune un ensemble identique de trois modules logiciels différents réalisant cette fonction et générant les première et seconde données de sortie par l'intermédiaire de premier et second voteurs majoritaires, le second niveau d'exigence en termes de sécurité d'au moins un des trois modules étant inférieur de deux degrés au premier niveau d'exigence en termes de sécurité.  In a first embodiment of the invention, the first and second electronic calculation units each execute an identical set of three different software modules performing this function and generating the first and second output data via first and second voters. majority, the second level of security requirement of at least one of the three modules being two degrees lower than the first level of security requirement.
Dans un deuxième mode de réalisation de l'invention, les première et seconde unités électroniques de calcul exécutent respectivement, d'une part, un premier et un deuxième modules, et, d'autre part, le deuxième et un troisième modules parmi un ensemble de trois modules différents réalisant cette fonction et générant les première et seconde données de sortie par l'intermédiaire de premier et second voteurs majoritaires prenant en compte des première, deuxième et troisième sorties intermédiaires générées respectivement par les premier, deuxième et troisième modules, le second niveau d'exigence en termes de sécurité d'au moins un des premier, deuxième et troisième modules étant inférieur de deux degrés au premier niveau d'exigence en termes de sécurité. In a second embodiment of the invention, the first and second electronic calculation units respectively perform, on the one hand, a first and a second module, and, on the other hand, the second and third modules among a set of three different modules performing this function and generating the first and second output data via first and second majority voters taking into account the first, second and third intermediate outputs respectively generated by the first, second and third modules, the second level of security requirement of at least one of the first, second and third modules being two degrees lower than the first level of security requirement.
Dans un troisième mode de réalisation de l'invention, des première et seconde unités électroniques de calcul exécutent chacune un premier module identique ayant une cotation ASIL D et, respectivement, des deuxième et troisième modules différents ayant une autre cotation ASIL QM.  In a third embodiment of the invention, first and second electronic calculation units each execute a first identical module having an ASIL D rating and, respectively, second and third different modules having another ASIL QM rating.
L'invention concerne également un système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards correspondant à des niveaux d'exigence en termes de sécurité croissants QM, A, B, C, D tels que ceux définis par la norme ISO 26262, apte à la mise œuvre du procédé exposé ci- dessus.  The invention also relates to a system for implementing a function of a motor vehicle conforming to standard ASIL levels corresponding to increasing security requirements levels QM, A, B, C, D such as those defined by the ISO 26262 standard, suitable for implementing the process described above.
Ce système est du type de ceux implémentant cette fonction avec un premier niveau d'exigence en termes de sécurité et comprenant au moins une première unité de calcul électronique, des moyens d'acquisition d'une donnée d'entrée de la fonction et des moyens de génération d'au moins une première donnée de sortie de la fonction présentant un second niveau d'exigence en termes de sécurité inférieur au premier niveau d'exigence en termes de sécurité.  This system is of the type of those implementing this function with a first level of requirement in terms of security and comprising at least a first electronic computing unit, means for acquiring an input data of the function and means generating at least a first output of the function having a second level of security requirement lower than the first level of security requirement.
Dans le système selon l'invention, le premier niveau d'exigence en termes de sécurité est coté D ou C et le second niveau d'exigence en termes de sécurité est coté B, A ou QM pour une diversité de conception de ces moyens de génération inférieure à quatre.  In the system according to the invention, the first level of requirement in terms of security is rated D or C and the second level of requirement in terms of security is rated B, A or QM for a diversity of design of these means of security. generation less than four.
Selon l'invention, ce système comprend en outre une seconde unité de calcul électronique générant au moins une seconde donnée de sortie de la fonction, et des moyens de commutation pour produire au moins une donnée de sortie nominale en commutant la première donnée de sortie ou la seconde donnée de sortie selon un état des première et seconde unités électroniques de calcul, ces première et seconde unités électroniques de calcul étant passives après défaillance.  According to the invention, this system further comprises a second electronic computing unit generating at least a second output data of the function, and switching means for generating at least one nominal output data by switching the first output data or the second output data according to a state of the first and second electronic computing units, said first and second electronic computing units being passive after failure.
Dans le premier mode de réalisation de l'invention, le système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards comprend en outre un ensemble identique de trois modules différents réalisant cette fonction exécutés par chacune des première et seconde unités électroniques de calcul, et des premier et second voteurs majoritaires générant les première et seconde données de sortie, le second niveau d'exigence en termes de sécurité d'au moins un de ces trois modules étant inférieur de deux degrés au premier niveau d'exigence en termes de sécurité. In the first embodiment of the invention, the system for implementing a function of a motor vehicle conforming to standard ASIL levels also comprises an identical set of three modules. different performing this function performed by each of the first and second electronic computing units, and first and second majority voters generating the first and second output data, the second level of security requirement of at least one of these three modules being two degrees lower than the first level of security requirement.
Dans le deuxième mode de réalisation de l'invention, le système comprend en outre d'une part, un premier et un deuxième modules parmi un ensemble de trois modules différents réalisant la fonction exécutés par la première unité de calcul électronique, et, d'autre part, le deuxième et un troisième modules parmi cet ensemble de trois modules différents exécutés par la seconde unité de calcul électronique, et des premier et second voteurs majoritaires prenant en compte des première, deuxième et troisième sorties intermédiaires générées respectivement par les premier, deuxième et troisième modules, le second niveau d'exigence en termes de sécurité d'au moins un des premier, deuxième et troisième modules étant inférieur de deux degrés au premier niveau d'exigence en termes de sécurité.  In the second embodiment of the invention, the system further comprises, on the one hand, a first and a second one of a set of three different modules implementing the function executed by the first electronic computing unit, and, secondly, the second and third modules among this set of three different modules executed by the second electronic computing unit, and first and second majority voters taking into account the first, second and third intermediate outputs respectively generated by the first, second and second and third modules, the second level of security requirement of at least one of the first, second and third modules being two degrees lower than the first security requirement level.
Dans le troisième mode de réalisation de l'invention, le système comprend en outre un premier module identique ayant une cotation ASIL D exécuté par chacune des première et seconde unités électroniques de calcul et des deuxième et troisième modules différents ayant une autre cotation ASIL QM exécutés respectivement par ces première et seconde unités électroniques de calcul.  In the third embodiment of the invention, the system further comprises a first identical module having an ASIL D rating executed by each of the first and second computing units and second and third different modules having another ASIL QM rating executed. respectively by these first and second electronic calculation units.
Dans ces trois mode de réalisation du système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon l'invention, cette fonction est de préférence une détection d'un objet, la donnée d'entrée est issue d'un LIDAR, ou d'un radar, ou d'une caméra, et d'au moins une donnée de sortie nominale génère avantageusement une commande d'un groupe comprenant une commande de direction, une commande moteur et une commande de freinage.  In these three embodiments of the system for implementing a function of a motor vehicle conforming to standard ASIL levels according to the invention, this function is preferably a detection of an object, the input data is derived a LIDAR, or a radar, or a camera, and at least one nominal output data advantageously generates a control of a group comprising a steering control, a motor control and a brake control.
Selon l'invention, au moins une donnée de sortie génère préférentiellement la commande au moyen d'un module de planification de trajectoire coté ASIL D.  According to the invention, at least one output data preferably generates the command by means of a path planning module ASIL D.
L'invention concerne aussi un véhicule automobile du type de ceux comportant un système d'assistance à la conduite avancé autorisant une conduite automatique sur autoroute comprenant un système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards tel que décrit précédemment. Ces quelques spécifications essentielles auront rendu évidents pour l'homme de métier les avantages apportés par le procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon l'invention, ainsi que par le système correspondant, et par le véhicule automobile comprenant un tel système, par rapport à l'état de la technique antérieur. The invention also relates to a motor vehicle of the type of those comprising an advanced driving assistance system authorizing an automatic motorway driving comprising a system for implementing a function of a motor vehicle conforming to standard ASIL levels such as as previously described. These few essential specifications will have made obvious to the skilled person the advantages provided by the method of implementing a function of a motor vehicle conforming to standard ASIL levels according to the invention, as well as by the corresponding system, and by the motor vehicle comprising such a system, compared to the state of the prior art.
Les spécifications détaillées de l'invention sont données dans la description qui suit en liaison avec les dessins ci-annexés. Il est à noter que ces dessins n'ont d'autre but que d'illustrer le texte de la description et ne constituent en aucune sorte une limitation de la portée de l'invention.  The detailed specifications of the invention are given in the following description in conjunction with the accompanying drawings. It should be noted that these drawings have no other purpose than to illustrate the text of the description and do not constitute in any way a limitation of the scope of the invention.
BREVE DESCRIPTION DES DESSINS. BRIEF DESCRIPTION OF THE DRAWINGS
La Figure 1 est un schéma synoptique d'une architecture matérielle Duplex- Double opérationnelle après défaillance connue de l'état de la technique.  Figure 1 is a block diagram of an operational duplex-dual hardware architecture after a known state of the art failure.
La Figure 2 est un schéma synoptique d'un système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards, basé sur l'architecture montrée sur la Figure 1 , connu de l'état de la technique.  Figure 2 is a block diagram of a system for implementing a function of a motor vehicle conforming to standard ASIL levels, based on the architecture shown in Figure 1, known from the state of the art.
La Figure 3 est un schéma synoptique d'un système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards, basé sur l'architecture montrée sur la Figure 1 , selon le premier mode de réalisation de l'invention.  FIG. 3 is a block diagram of a system for implementing a function of a motor vehicle conforming to standard ASIL levels, based on the architecture shown in FIG. 1, according to the first embodiment of FIG. invention.
La Figure 4 est un schéma synoptique d'un système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards, basé sur l'architecture montrée sur la Figure 1 , selon le deuxième mode de réalisation de l'invention.  FIG. 4 is a block diagram of a system for implementing a function of a motor vehicle conforming to standard ASIL levels, based on the architecture shown in FIG. 1, according to the second embodiment of FIG. invention.
La Figure 5 est un schéma synoptique d'un système d'assistance à la conduite avancé autorisant une conduite automatique sur autoroute connu de l'état de la technique.  Figure 5 is a block diagram of an advanced driver assistance system for automatic highway driving known from the state of the art.
La Figure 6 est un schéma synoptique d'un système d'assistance à la conduite avancé autorisant une conduite automatique sur autoroute basé sur le système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards montré sur la Figure 3. DESCRIPTION DES MODES DE REALISATION PREFERES DE L'INVENTION.Figure 6 is a block diagram of an advanced driver assistance system that allows automatic highway driving based on the implementation of a motor vehicle function conforming to standard ASIL levels shown in Figure 3. DESCRIPTION OF THE PREFERRED EMBODIMENTS OF THE INVENTION
Ainsi que cela a déjà été rappelé en préambule, une architecture 1 possible pour l'implémentation des fonctions critiques d'un véhicule autonome est celle déjà largement utilisée en avionique représentée sur la Figure 1. As already mentioned in the preamble, a possible architecture 1 for the implementation of the critical functions of an autonomous vehicle is that already widely used in avionics shown in FIG.
Une donnée d'entrée 2 de la fonction à réaliser est traitée simultanément par deux unités électroniques de calcul 3, 4 qui génèrent des données de sortie 5, 6. On notera ici que les termes « donnée(s) de sortie » utilisés dans la présente demande ne doivent pas être interprétés de manière stricte et couvrent également une ou des commandes de sortie.  An input data 2 of the function to be produced is processed simultaneously by two electronic calculation units 3, 4 which generate output data 5, 6. It will be noted here that the terms "output data (s)" used in FIG. This application must not be interpreted strictly and also cover one or more exit orders.
Une donnée de sortie nominale 7 est formée soit par une première donnée de sortie 5 générée par une première 3 des unités électroniques de calcul 3, 4 quand celle-ci fonctionne normalement, soit par une seconde donnée de sortie 6 générée par une seconde 4 des unités électroniques de calcul 3, 4 quand la première 3 est en défaillance.  A nominal output data item 7 is formed either by a first output data item 5 generated by a first 3 of the electronic calculation units 3, 4 when the latter is operating normally, or by a second output data item 6 generated by a second 4 of the electronic computing units 3, 4 when the first 3 is in failure.
Le passage de l'une à l'autre des données de sortie 5, 6 est assuré par un commutateur 8 en fonction de l'état 9 de la première unité électronique de calcul 3.  The transition from one to the other of the output data 5, 6 is ensured by a switch 8 as a function of the state 9 of the first electronic computing unit 3.
Une indication de l'état, ou le statut 10, de la seconde unité électronique de calcul 4 permet de mettre en évidence 1 1 les erreurs cachées.  An indication of the state, or status 10, of the second electronic computing unit 4 makes it possible to highlight the hidden errors.
Dans le but d'implémenter une fonction qualifiée à un premier niveau ASIL C ou D, il est connu de l'état de la technique de mettre en œuvre, répartis deux à deux dans les unités de calcul électroniques 3, 4, quatre modules différents 12, 13, 14, 15 qualifiés à un second niveau ASIL A ou B, respectivement, comme cela est représenté sur la Figure 2.  In order to implement a qualified function at a first ASIL level C or D, it is known from the state of the art to implement, divided two by two in the electronic calculation units 3, 4, four different modules 12, 13, 14, 15 qualified at a second level ASIL A or B, respectively, as shown in Figure 2.
Ce procédé consistant à mettre en œuvre, pour réaliser une fonction d'un véhicule automobile qualifiée à un premier niveau d'exigence en termes de sécurité, des modules qualifiés à un second niveau inférieur au premier, est bien connu de l'état de la technique.  This method consisting in implementing, for performing a function of a qualified motor vehicle at a first level of security requirement, qualified modules at a second level lower than the first, is well known from the state of the art. technical.
Toutefois, un tel procédé connu exige le plus souvent d'être en mesure de développer plusieurs modules 12, 13, 14, 15 différents, ce qui n'est pas toujours possible pour certaines fonctions.  However, such a known method most often requires being able to develop several modules 12, 13, 14, 15 different, which is not always possible for some functions.
Au contraire, dans le procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards correspondant aux niveaux d'exigence en termes de sécurité croissants QM, A, B, C, D de la norme ISO 26262, selon l'invention, la diversité des modules 12, 13, 14, 15 est limitée. Dans un premier mode de réalisation, le procédé selon l'invention est mis en œuvre dans un système 16 représenté sur la Figure 3. On the contrary, in the method of implementing a function of a motor vehicle conforming to standard ASIL levels corresponding to the increasing safety requirement levels QM, A, B, C, D of ISO 26262, according to the invention, the diversity of the modules 12, 13, 14, 15 is limited. In a first embodiment, the method according to the invention is implemented in a system 16 shown in FIG. 3.
La diversité de conception est réduite à trois en implémentant trois algorithmes 12, 13, 14 dans les deux unités de calcul électroniques 17, 18 qui comprennent des voteurs 19, 20 effectuant un vote majoritaire entre des sorties intermédiaires 21 , 22, 23 générées par les algorithmes 12, 13, 14.  The design diversity is reduced to three by implementing three algorithms 12, 13, 14 in the two electronic computing units 17, 18 which include voters 19, 20 making a majority vote between intermediate outputs 21, 22, 23 generated by the algorithms 12, 13, 14.
Dans le cas de la production d'une faute dans l'un des trois algorithmes 12, 13, 14, les deux unités de calcul électroniques 17, 18 seront impactées mais resteront opérationnelles étant donné que les deux autres algorithmes 12, 13, 14 continueront de fournir des sorties cohérentes.  In the case of the production of a fault in one of the three algorithms 12, 13, 14, the two electronic computing units 17, 18 will be impacted but will remain operational since the other two algorithms 12, 13, 14 will continue. to provide consistent outputs.
Pour réaliser une fonction ASIL D, les trois modules 12, 13, 14 doivent être développé en ASIL B. Pour réaliser une fonction ASIL C, l'un des modules redondants 12, 13, 14 peut être développé en ASIL A, les deux autres modules étant développés en ASIL B.  To perform an ASIL D function, the three modules 12, 13, 14 must be developed in ASIL B. To perform an ASIL function C, one of the redundant modules 12, 13, 14 can be developed in ASIL A, the other two modules being developed in ASIL B.
Dans ce premier mode de réalisation, la Figure 3 est un exemple d'implémentation d'une fonction en ASIL D par trois modules 12, 13, 14 en ASIL B.  In this first embodiment, FIG. 3 is an exemplary implementation of a function in ASIL D by three modules 12, 13, 14 in ASIL B.
Un avantage de ce premier mode de réalisation de l'invention est que les deux unités de calcul électroniques 17, 18 sont identiques et qu'elles peuvent par conséquent avoir une même référence de stock. Toutefois, un désavantage est que trois modules 12, 13, 14 redondants sont exécutés sur chaque ECUs 17, 18. Cela accroît la puissance de calcul à mettre en œuvre ainsi que la taille de la mémoire nécessaire.  An advantage of this first embodiment of the invention is that the two electronic calculation units 17, 18 are identical and can therefore have the same stock reference. However, a disadvantage is that three redundant modules 12, 13, 14 are executed on each ECUs 17, 18. This increases the computing power to implement and the size of the memory required.
Une variante possible de ce premier mode de réalisation est d'exécuter en permanence des premier et deuxième modules 12, 13, mais de ne lancer l'exécution d'un troisième module 14 qu'en cas de désaccord entre les première et deuxième sorties intermédiaires 21 , 22 des premier et deuxième modules 12, 13. Cela diminue la charge de calcul des ECUs. Cependant, cela n'est applicable que si l'intervalle de temps de tolérance de défaillance est relativement long.  A possible variant of this first embodiment is to permanently run first and second modules 12, 13, but to start the execution of a third module 14 only in case of disagreement between the first and second intermediate outputs. 21, 22 of the first and second modules 12, 13. This reduces the calculation load of the ECUs. However, this is only applicable if the fault tolerance time interval is relatively long.
Dans un deuxième mode de réalisation, le procédé selon l'invention est mis en œuvre dans un système 24 représenté sur la Figure 4.  In a second embodiment, the method according to the invention is implemented in a system 24 shown in FIG. 4.
La diversité de conception est également réduite à trois, seulement deux 12, 13 des trois algorithmes 12, 13, 14 diversifiés sont exécutés sur la première unité de calcul électronique 25 et deux autres 13, 14 parmi ces trois sont exécutés sur la seconde unité de calcul électronique 26. La sortie intermédiaire 21 , 23 du module 12, 14 qui n'est pas exécuté sur l'une des unités de calcul électroniques 25, 26 lui est envoyée par l'autre module 12, 14, de façon que les voteurs majoritaires 19, 20 génèrent les données de sortie 5, 6 de la fonction. The design diversity is also reduced to three, only two 12, 13 of the three diversified algorithms 12, 13, 14 are executed on the first electronic computing unit 25 and two others 13, 14 of these three are executed on the second unit of electronic calculation 26. The intermediate output 21, 23 of the module 12, 14 which is not executed on one of the electronic calculation units 25, 26 is sent to it by the other module 12, 14, so that the majority voters 19, 20 generate the output data 5, 6 of the function.
Dans ce deuxième mode de réalisation, la Figure 4 est un exemple d'implémentation d'une fonction en ASIL D par trois modules 12, 13, 14 en ASIL B.  In this second embodiment, FIG. 4 is an example of implementation of a function in ASIL D by three modules 12, 13, 14 in ASIL B.
L'avantage de ce deuxième mode de réalisation de l'invention comparé au premier mode de réalisation est que moins de puissance de calcul et moins de mémoire sont nécessaires. Le désavantage est la nécessité d'une communication croisée entres les deux ECUs et de deux ECUs diversifiés.  The advantage of this second embodiment of the invention compared to the first embodiment is that less computing power and less memory are needed. The disadvantage is the need for cross-communication between the two ECUs and two diversified ECUs.
Dans un troisième mode de réalisation de l'invention, le premier module implémentant la fonction qui est exécuté sur chaque unité de calcul électronique est qualifié ASIL D, et les deuxième et troisième modules différents qualifiés ASIL QM sont exécutés chacun sur chacune des unités de calcul électroniques 3, 4.  In a third embodiment of the invention, the first module implementing the function that is executed on each electronic computing unit is qualified ASIL D, and the second and third different qualified modules ASIL QM are each executed on each of the calculation units. electronic 3, 4.
Une diversité de conception pour le premier module n'est pas nécessaire, puisqu'il est qualifié au même niveau d'exigence en termes de sécurité ASIL D que la fonction à implémenter. De la sorte la diversité de conception reste inférieure à quatre.  A diversity of design for the first module is not necessary, since it is qualified to the same level of ASIL D security requirement as the function to be implemented. In this way the design diversity remains less than four.
Un exemple typique d'application de l'invention est un système d'assistance à la conduite avancé (ou ADAS, c'est-à-dire "Advanced Driving Assistance System" en terminologie anglaise) de niveau quatre, tel qu'un système autorisant une conduite automatique sur autoroute (ou MDS, c'est-à-dire "Motorway Driver System" en terminologie anglaise). Le conducteur humain peut se reposer sur le MDS pour contrôler le véhicule en circulant sur une autoroute, ce qui lui permet de répondre à ses courriels, de regarder la télévision, etc....  A typical example of application of the invention is an advanced driver assistance system (ADAS) at level four, such as a system. authorizing automatic motorway driving (or MDS, that is to say "Motorway Driver System" in English terminology). The human driver can rest on the MDS to control the vehicle while driving on a highway, which allows him to answer his emails, watch TV, etc.
Le MDS a une image complète de l'environnement de conduite du véhicule grâce à ses capteurs redondants. Il peut suivre les autres véhicules, il peut aussi prendre des décisions, telles que freiner ou braquer pour éviter des collisions avec les autres véhicules, ou même effectuer un dépassement pour conserver une vitesse donnée.  The MDS has a complete picture of the driving environment of the vehicle thanks to its redundant sensors. It can track other vehicles, it can also make decisions, such as braking or steer to avoid collisions with other vehicles, or even overtake to maintain a given speed.
La Figure 5 montre une vue d'ensemble d'un MDS 27 simplifié connu de l'état de la technique, prenant seulement en compte les capteurs avant 28, 29, 30. Un système complet nécessite également des capteurs arrière et des capteurs latéraux, pour entre autres choses permettre un changement de voie. Trois capteurs avant 28, 29, 30 de technologies diverses (LIDAR 28, radar 29, caméra 30) sont utilisés pour maintenir des performances de détection suffisantes (détection des objets et leur suivi 31 , 32, par le LIDAR 28 et le radar 29, ou simple détection des objets 33 par la caméra 30) dans n'importe quelles conditions environnementales après une première défaillance. FIG. 5 shows an overview of a simplified MDS 27 known from the state of the art, taking only the front sensors 28, 29, 30 into account. A complete system also requires rear sensors and lateral sensors, for among other things to allow a lane change. Three front sensors 28, 29, 30 of various technologies (LIDAR 28, radar 29, camera 30) are used to maintain sufficient detection performance (detection of objects and their tracking 31, 32, by the LIDAR 28 and the radar 29, or simple detection of the objects 33 by the camera 30) under any environmental conditions after a first failure.
Une fusion des informations 34 complémentaires issues des capteurs avant 28, 29, 30 permet d'identifier la route, les autres véhicules, les obstacles...  A fusion of the complementary information 34 from the front sensors 28, 29, 30 makes it possible to identify the road, the other vehicles, the obstacles, etc.
Une planification de la trajectoire 35 détermine la trajectoire du véhicule. Le contrôle latéral et longitudinal 36 calcule les commandes de direction 37, moteur 38 et de freinage 39 de manière que le véhicule suive la trajectoire planifiée.  A planning of the trajectory 35 determines the trajectory of the vehicle. Lateral and longitudinal control 36 calculates the steering controls 37, motor 38 and braking 39 so that the vehicle follows the planned path.
En ce qui concerne le niveau d'exigence en termes de sécurité, pour le MDS, prendre une mauvaise décision ou ne pas détecter un obstacle est coté ASIL D. Chaque capteur avant 28, 29, 30 est qualifié seulement ASIL B grâce à la redondance de ces capteurs avant 28, 29, 30.  Regarding the level of requirement in terms of security, for the MDS, make a bad decision or not to detect an obstacle is rated ASIL D. Each sensor before 28, 29, 30 is qualified only ASIL B thanks to the redundancy of these front sensors 28, 29, 30.
Dans cet état de la technique, la fusion des informations 34 des capteurs avant 28, 29, 30, la planification de trajectoire 35, et le contrôle latéral et longitudinal 36 doivent être qualifiés à ASIL D.  In this state of the art, the fusion of the information 34 of the front sensors 28, 29, 30, the trajectory planning 35, and the lateral and longitudinal control 36 must be qualified to ASIL D.
De plus, le système MDS 27 doit rester opérationnel après une première défaillance, car il peut prendre plus de dix seconde au conducteur pour reprendre la main. La perte brusque complète de la disponibilité du système 27 doit donc être qualifiée ASIL D.  In addition, the MDS 27 must remain operational after a first failure, as it may take more than ten seconds for the driver to regain control. The sudden complete loss of the availability of the system 27 must therefore be qualified ASIL D.
Le procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon l'invention permet de réduire les niveaux d'exigence en termes de sécurité ASIL D des fonctions de fusion des informations 34 et de planification de trajectoire 35, et également du contrôle latéral et longitudinal 36.  The method for implementing a function of a motor vehicle conforming to standard ASIL levels according to the invention makes it possible to reduce the ASIL D security requirement levels of information fusion functions 34 and trajectory planning. 35, and also lateral and longitudinal control 36.
La Figure 6 est un exemple de système MDS 40 basé sur l'invention, où seule la réduction du niveau d'exigence en termes de sécurité est appliquée à la fonction de fusion des informations 24, tandis que la fonction de planification de trajectoire et le le contrôle latéral et longitudinal 41 restent qualifiés ASIL D, dans le but de simplifier le schéma.  Figure 6 is an example of an MDS system 40 based on the invention, where only the reduction of the security requirement level is applied to the information merging function 24, while the trajectory planning function and the lateral and longitudinal control 41 remain qualified ASIL D, in order to simplify the scheme.
Trois modules différents 12, 13, 14 implémentant la fonction "fusion des informations" 34 sont exécutés par les deux unités de calcul électroniques 17, 18 en application du premier mode de réalisation de l'invention montré sur la Figure 3. Cette implémentation évite le recours à quatre modules différents si seulement deux modules étaient exécutés dans chaque ECU 17, 18, comme il est connu de l'état de la technique (Figure 2). Three different modules 12, 13, 14 implementing the "information merging" function 34 are executed by the two electronic calculation units 17, 18 according to the first embodiment of the invention shown in FIG. 3. This implementation avoids the use of four different modules if only two modules were executed in each ECU 17, 18, as known from the state of the art (Figure 2).
Les données de sortie 5 de la première unité de calcul électronique 17 forment les commandes de direction 37, moteur 38 et de freinage 39 à moins que cette première unité de calcul électronique 17 ne soit plus opérationnelle. Dans ce cas le commutateur 8 fournit les commandes 37, 38, 39 issues de la deuxième unité électronique 18.  The output data 5 of the first electronic computing unit 17 form the steering controls 37, motor 38 and braking 39 unless this first electronic computing unit 17 is no longer operational. In this case, the switch 8 supplies the commands 37, 38, 39 coming from the second electronic unit 18.
Une variante possible de cet exemple est l'implémentation de la fonction "fusion des informations" 34 en application du deuxième mode de réalisation de l'invention montré sur la Figure 4. La seule différence est que le premier module 12 implémentant la fonction "fusion des informations" n'est pas implémenté dans la seconde unité de calcul électronique 26 et que le troisième module 14 implémentant cette fonction n'est pas implémenté dans la première unité de calcul électronique 25. De plus, la sortie intermédiaire 21 du premier module 12 est envoyée à la seconde unité de calcul électronique 26, et la sortie intermédiaire 23 du troisième module 14 est envoyée à la première unité de calcul électronique 25.  A possible variant of this example is the implementation of the "information fusion" function 34 in application of the second embodiment of the invention shown in FIG. 4. The only difference is that the first module 12 implementing the "merge" function information "is not implemented in the second electronic computing unit 26 and that the third module 14 implementing this function is not implemented in the first electronic computing unit 25. In addition, the intermediate output 21 of the first module 12 is sent to the second electronic computing unit 26, and the intermediate output 23 of the third module 14 is sent to the first electronic computing unit 25.
Comme il va de soi, l'invention ne se limite pas aux seuls modes de réalisation préférentiels décrits ci-dessus.  It goes without saying that the invention is not limited to the only preferred embodiments described above.
Une description similaire pourrait porter sur des systèmes opérationnels après défaillance dans le domaine de l'automobile différents d'un MDS, notamment des systèmes de direction assistée électriques (ou EPS, acronyme de "Electric Power Steering" en terminologie anglaise) ou de freinage.  A similar description could include automotive after-failure operational systems different from an MDS, such as electric power steering (or EPS) or braking systems.
Ces autres modes de réalisation ne sortiraient pas du cadre de la présente invention dans la mesure où ils résultent des revendications ci-après.  These other embodiments are not outside the scope of the present invention insofar as they result from the claims below.

Claims

REVENDICATIONS
1) Procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards correspondant à des niveaux d'exigence en termes de sécurité croissants, notés QM, A, B, C, D, le procédé étant du type de ceux implémentant ladite fonction avec un premier niveau d'exigence en termes de sécurité par au moins des moyens (12, 13, 14, 15) présentant un second niveau d'exigence en termes de sécurité inférieur audit premier niveau d'exigence en termes de sécurité, caractérisé en ce que ladite fonction est réalisée en parallèle à partir d'au moins une donnée d'entrée (2) par des première et seconde unités électroniques de calcul (3, 4, 17, 18, 25, 26) passives après défaillance générant respectivement au moins des première et seconde données de sortie (5, 6) constituant alternativement au moins une donnée de sortie nominale (7) de ladite fonction selon un état desdites première et seconde unités électroniques de calcul (3, 4, 17, 18, 25, 26), ledit premier niveau d'exigence en termes de sécurité étant coté D ou C et ledit second niveau d'exigence en termes de sécurité étant coté B, A ou QM, pour une diversité desdits moyens (12, 13, 14) inférieure à quatre. 1) A method for implementing a function of a motor vehicle conforming to standard ASIL levels corresponding to increasing levels of safety requirements, denoted QM, A, B, C, D, the method being of the type those implementing said function with a first level of security requirement by at least means (12, 13, 14, 15) having a second level of security requirement lower than said first requirement level in terms of security. characterized in that said function is carried out in parallel from at least one input data (2) by first and second passive computing units (3, 4, 17, 18, 25, 26) after failure respectively generating at least first and second output data (5, 6) alternately constituting at least one nominal output data (7) of said function in accordance with a state of said first and second electronic computing units (3, 4, 1 7, 18, 25, 26), said first security requirement level being rated D or C and said second security requirement level being rated B, A or QM, for a variety of said means (12). , 13, 14) less than four.
2) Procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon la revendication 1 précédente, caractérisé en ce que lesdites première et seconde unités électroniques de calcul (17, 18) exécutent chacune un ensemble identique de trois modules (12, 13, 14) différents réalisant ladite fonction et générant lesdites première et seconde données de sortie (5, 6) par l'intermédiaire de premier et second voteurs majoritaires (19, 20), ledit second niveau d'exigence en termes de sécurité d'au moins un desdits trois modules étant inférieur de deux degrés audit premier niveau d'exigence en termes de sécurité. 2) A method of implementing a function of a motor vehicle conforming to standard ASIL levels according to the preceding claim 1, characterized in that said first and second electronic calculation units (17, 18) each execute an identical set of three different modules (12, 13, 14) performing said function and generating said first and second output data (5, 6) through first and second majority voters (19, 20), said second level of requirement security terms of at least one of said three modules being two degrees lower than said first level of security requirement.
3) Procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon la revendication 1 précédente, caractérisé en ce que lesdites première et seconde unités électroniques de calcul (25, 26) exécutent respectivement, d'une part, un premier et un deuxième modules (12, 13), et, d'autre part, ledit deuxième et un troisième modules (13, 14) parmi un ensemble de trois modules (12, 13, 14) différents réalisant ladite fonction et générant lesdites première et seconde données de sortie (5, 6) par l'intermédiaire de premier et second voteurs majoritaires (19, 20) prenant en compte des première, deuxième et troisième sorties intermédiaires (21 , 22, 23) générées respectivement par lesdits premier, deuxième et troisième modules (12, 13, 14), ledit second niveau d'exigence en termes de sécurité d'au moins un desdits premier, deuxième et troisième modules (12, 13, 14) étant inférieur de deux degrés audit premier niveau d'exigence en termes de sécurité. 3) A method of implementing a function of a motor vehicle conforming to standard ASIL levels according to the preceding claim 1, characterized in that said first and second electronic calculation units (25, 26) execute respectively, a first and second modules (12, 13), and secondly and third modules (13, 14) among a set of three different modules (12, 13, 14) carrying out said function and generating said first and second output data (5, 6) through first and second majority voters (19, 20) taking into account first, second and third outputs intermediates (21, 22, 23) respectively generated by said first, second and third modules (12, 13, 14), said second level of security requirement of at least one of said first, second and third modules (12). , 13, 14) being two degrees lower than said first level of security requirement.
4) Procédé d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon la revendication 1 précédente, caractérisé en ce que lesdites première et seconde unités électroniques de calcul (3, 4) exécutent chacune un premier module identique ayant une cotation ASIL D et, respectivement, des deuxième et troisième modules différents ayant une autre cotation ASIL QM. 4) A method of implementing a function of a motor vehicle conforming to standard ASIL levels according to claim 1, characterized in that said first and second electronic calculation units (3, 4) each execute a first identical module having an ASIL D rating and, respectively, second and third different modules having another ASIL QM rating.
5) Système d'implémentation (1 , 16, 24, 27, 40) d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards correspondant à des niveaux d'exigence en termes de sécurité croissants, notés QM, A, B, C, D, apte à la mise œuvre du procédé selon l'une quelconque des revendications 1 à 4 précédentes du type de ceux implémentant ladite fonction avec un premier niveau d'exigence en termes de sécurité et comprenant au moins une première unité de calcul électronique (3, 17, 25), des moyens d'acquisition d'une donnée d'entrée (2) de ladite fonction et des moyens de génération (12, 13, 14) d'au moins une première donnée de sortie (5) de ladite fonction présentant un second niveau d'exigence en termes de sécurité inférieur audit premier niveau d'exigence en termes de sécurité, caractérisé en ce qu'il comprend en outre une seconde unité de calcul électronique (18 , 26) générant au moins une seconde donnée de sortie (6) de ladite fonction, et un commutateur (8) produisant au moins une donnée de sortie nominale (7) en commutant ladite première donnée de sortie (5) ou ladite seconde donnée de sortie (6) selon un état desdites première et seconde unités électroniques de calcul (16, 17, 25, 26), lesdites première et seconde unités électroniques de calcul étant passives après défaillance, et ledit premier niveau d'exigence en termes de sécurité étant coté D ou C et ledit second niveau d'exigence en termes de sécurité étant coté B, A ou QM, pour une diversité desdits moyens (12, 13, 14) inférieure à quatre. 5) System for implementing (1, 16, 24, 27, 40) a function of a motor vehicle conforming to standard ASIL levels corresponding to increasing safety requirements, denoted by QM, A, B, C, D, suitable for implementing the method according to any one of the preceding claims 1 to 4 of the type of those implementing said function with a first level of requirement in terms of security and comprising at least a first unit of electronic calculation (3, 17, 25), means for acquiring an input data item (2) of said function and means for generating (12, 13, 14) at least one first output data item ( 5) of said function having a second level of security requirement lower than said first level of security requirement, characterized in that it further comprises a second electronic computing unit (18, 26) generating at minus a second output datum (6) of said function, and a switch (8) producing at least one nominal output data (7) by switching said first output data (5) or said second output data (6) according to a state of said first and second electronic computing units (16, 17 , 25, 26), said first and second electronic computing units being passive after failure, and said first security requirement level being rated D or C and said second security requirement level being rated B, A or QM, for a diversity of said means (12, 13, 14) less than four.
6) Système d'implémentation (16, 40) d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon la revendication 5 précédente, caractérisé en ce qu'il comprend en outre un ensemble identique de trois modules (12, 13, 14) différents réalisant ladite fonction exécutés par chacune desdites première et seconde unités électroniques de calcul (17, 18), et des premier et second voteurs majoritaires (19, 20) générant lesdites première et seconde données de sortie (5, 6), ledit second niveau d'exigence en termes de sécurité d'au moins un desdits trois modules étant inférieur de deux degrés audit premier niveau d'exigence en termes de sécurité. 6) Implementation system (16, 40) of a motor vehicle function according to standard ASIL levels according to the preceding claim 5, characterized in that it further comprises an identical set of three different modules (12, 13, 14) realizing said function executed by each of said first and second electronic calculation units (17, 18), and first and second majority voters (19, 20) generating said first and second output data (5, 6), said second level of security requirement of at least one of said three modules being two degrees lower than said first requirement level in terms of of security.
7) Système d'implémentation (24) d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon la revendication 5 précédente, caractérisé en ce qu'il comprend en outre d'une part, un premier et un deuxième modules (12, 13) parmi un ensemble de trois modules (12, 13, 14) différents réalisant ladite fonction exécutés par ladite première unité de calcul électronique (25), et, d'autre part, ledit deuxième et un troisième modules (13, 14) parmi ledit ensemble de trois modules (12, 13, 14) différents exécutés par ladite seconde unité de calcul électronique (26), et des premier et second voteurs majoritaires (19, 20) prenant en compte des première, deuxième et troisième sorties intermédiaires (21 , 22, 23) générées respectivement par lesdits premier, deuxième et troisième modules (12, 13, 14), ledit second niveau d'exigence en termes de sécurité d'au moins un desdits premier, deuxième et troisième modules (12, 13, 14) étant inférieur de deux degrés audit premier niveau d'exigence en termes de sécurité. 7) System for implementing (24) a function of a motor vehicle conforming to standard ASIL levels according to the preceding claim 5, characterized in that it furthermore comprises on the one hand a first and a second module One of a plurality of three different modules (12, 13, 14) carrying out said function executed by said first electronic computing unit (25), and secondly and third modules (13, 13). 14) among said set of three different modules (12, 13, 14) executed by said second electronic computing unit (26), and first and second majority voters (19, 20) taking into account first, second and third outputs intermediates (21, 22, 23) respectively generated by said first, second and third modules (12, 13, 14), said second level of security requirement of at least one of said first, second and third modules (12). , 13, 14) being lower two degrees to the first level of security requirement.
8) Système d'implémentation d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon la revendication 5 précédente, caractérisé en ce qu'il comprend en outre un premier module identique ayant une cotation ASIL D exécuté par chacune desdites première et seconde unités électroniques de calcul (3, 4) et des deuxième et troisième modules différents ayant une autre cotation ASIL QM exécutés respectivement par lesdites première et seconde unités électroniques de calcul (3, 4). 8) System for implementing a function of a motor vehicle conforming to standard ASIL levels according to the preceding claim 5, characterized in that it further comprises a first identical module having a rating ASIL D executed by each of said first and second electronic computing units (3, 4) and second and third different modules having another ASIL QM rating executed respectively by said first and second electronic computing units (3, 4).
9) Système d'implémentation (40) d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon l'une quelconque des revendications 5 à 8 précédentes, caractérisé en que ladite fonction est une détection d'un objet, ladite donnée d'entrée (2) est issue d'un LIDAR (28), ou d'un radar (29), ou d'une caméra (30), et ladite au moins une donnée de sortie nominale (7) génère une commande d'un groupe comprenant une commande de direction (37), une commande moteur (38) et une commande de freinage (39). 9) System for implementing (40) a function of a motor vehicle conforming to standard ASIL levels according to any one of the preceding claims 5 to 8, characterized in that said function is a detection of an object, said input data (2) is derived from a LIDAR (28), or a radar (29), or a camera (30), and said at least one nominal output data (7) generates a command a group comprising a steering control (37), an engine control (38) and a brake control (39).
10) Système d'implémentation (40) d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon la revendication 9 précédente, caractérisé en que ladite au moins une donnée de sortie (5, 6) génère ladite commande (37, 38, 39) au moyen d'un module de planification de trajectoire (41 ) coté ASIL D. 11 ) Véhicule automobile du type de ceux comportant un système d'assistance à la conduite avancé autorisant une conduite automatique sur autoroute, caractérisé en qu'il comprend un système d'implémentation (16, 24, 40) d'une fonction d'un véhicule automobile conforme à des niveaux ASIL standards selon l'une quelconque des revendications 5 à 10 précédentes. 10) System for implementing (40) a function of a motor vehicle conforming to standard ASIL levels according to the preceding claim 9, characterized in that said at least one output data item (5, 6) generates said command (37). , 38, 39) by means of a trajectory planning module (41) ASIL D side. 11) Motor vehicle of the type of those comprising an advanced driving assistance system allowing automatic driving on the motorway, characterized in that it comprises an implementation system (16, 24, 40) of a motor vehicle function according to standard ASIL levels according to any one of the preceding claims 5 to 10.
PCT/FR2016/050768 2015-04-07 2016-04-05 Method for implementing a motor vehicle function in accordance with standard asil levels, corresponding system, and motor vehicle including such a system WO2016162624A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1552961 2015-04-07
FR1552961A FR3034882B1 (en) 2015-04-07 2015-04-07 METHOD FOR IMPLEMENTING A FUNCTION OF A MOTOR VEHICLE CONFORMING TO ASIL STANDARD LEVELS, CORRESPONDING SYSTEM AND MOTOR VEHICLE COMPRISING SUCH A SYSTEM

Publications (1)

Publication Number Publication Date
WO2016162624A1 true WO2016162624A1 (en) 2016-10-13

Family

ID=55971139

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2016/050768 WO2016162624A1 (en) 2015-04-07 2016-04-05 Method for implementing a motor vehicle function in accordance with standard asil levels, corresponding system, and motor vehicle including such a system

Country Status (2)

Country Link
FR (1) FR3034882B1 (en)
WO (1) WO2016162624A1 (en)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018069061A1 (en) * 2016-10-14 2018-04-19 Valeo Schalter Und Sensoren Gmbh Method of formulating a piloting supervision setpoint for a driving member of an automotive vehicle
WO2018237121A1 (en) * 2017-06-23 2018-12-27 Nvidia Corporation Method of using a single controller (ecu) for a fault-tolerant/fail-operational self-driving system
WO2018233934A1 (en) * 2017-06-19 2018-12-27 Zf Friedrichshafen Ag Device and method for controlling a vehicle module
WO2019025333A1 (en) * 2017-08-02 2019-02-07 Valeo Schalter Und Sensoren Gmbh Method for creating a control setpoint for a driving member of a motor vehicle
WO2019040229A1 (en) * 2017-08-24 2019-02-28 Qualcomm Incorporated Computing device to provide access control to a hardware resource
EP3473512A1 (en) * 2017-10-19 2019-04-24 Volkswagen Aktiengesellschaft Functional module, control unit for an operating assisting system and working device
EP3495218A1 (en) * 2017-12-07 2019-06-12 TTTech Computertechnik AG Fault-tolerant computer system for assisted and autonomous driving
CN112224200A (en) * 2019-06-28 2021-01-15 纬湃科技投资(中国)有限公司 Controller of vehicle equipment control system and function safety control method
EP3778309A1 (en) * 2019-08-15 2021-02-17 Beijing Baidu Netcom Science and Technology Co., Ltd. Autonomous vehicle and system for autonomous vehicle
CN112805201A (en) * 2018-10-09 2021-05-14 日立安斯泰莫株式会社 Vehicle control system
CN113497582A (en) * 2020-04-06 2021-10-12 奥迪股份公司 Control device, control circuit and motor vehicle
US11171481B1 (en) 2020-11-23 2021-11-09 Ford Global Technologies, Llc Dual-supply automotive electrical system with protection of motion control components
US11243257B2 (en) 2017-10-23 2022-02-08 Volkswagen Aktiengesellschaft Control system for a battery system
US20220057798A1 (en) * 2018-02-13 2022-02-24 Nvidia Corporation Sharing sensor data between multiple controllers to support vehicle operations
CN114655145A (en) * 2020-12-24 2022-06-24 上海汽车集团股份有限公司 Power supply method of domain controller and domain controller
EP4005892A4 (en) * 2019-07-30 2022-08-24 Mazda Motor Corporation Vehicle control system
US12030444B2 (en) 2021-06-21 2024-07-09 Ford Global Technologies, Llc Selective actuation of vehicle components using two control modules

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007045398A1 (en) * 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integrated microprocessor system for safety-critical regulations
US20130346783A1 (en) * 2010-09-28 2013-12-26 Samsung Sdi Co Ltd Method and Arrangement for Monitoring at least one Battery, Battery having such an Arrangement, and Motor Vehicle having a Corresponding Battery
US20140067192A1 (en) * 2012-08-28 2014-03-06 GM Global Technology Operations LLC Active safety systems of vehicles with graphical microprocessors
EP2765045A1 (en) * 2013-02-12 2014-08-13 Paravan GmbH Circuit for controlling an acceleration, braking and steering system of a vehicle
US20150057908A1 (en) 2013-07-30 2015-02-26 MAGNETI MARELLI S.p.A. Asil b-compliant implementation of automotive safety-related functions by means of a high diagnosability, quality managed-compliant integrated circuit

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007045398A1 (en) * 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integrated microprocessor system for safety-critical regulations
US20130346783A1 (en) * 2010-09-28 2013-12-26 Samsung Sdi Co Ltd Method and Arrangement for Monitoring at least one Battery, Battery having such an Arrangement, and Motor Vehicle having a Corresponding Battery
US20140067192A1 (en) * 2012-08-28 2014-03-06 GM Global Technology Operations LLC Active safety systems of vehicles with graphical microprocessors
EP2765045A1 (en) * 2013-02-12 2014-08-13 Paravan GmbH Circuit for controlling an acceleration, braking and steering system of a vehicle
US20150057908A1 (en) 2013-07-30 2015-02-26 MAGNETI MARELLI S.p.A. Asil b-compliant implementation of automotive safety-related functions by means of a high diagnosability, quality managed-compliant integrated circuit

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3058378A1 (en) * 2016-10-14 2018-05-11 Valeo Schalter Und Sensoren Gmbh METHOD FOR PRODUCING A STEERING SUPERVISION SETTING OF A DRIVING DEVICE OF A MOTOR VEHICLE
WO2018069061A1 (en) * 2016-10-14 2018-04-19 Valeo Schalter Und Sensoren Gmbh Method of formulating a piloting supervision setpoint for a driving member of an automotive vehicle
CN110770707A (en) * 2017-06-19 2020-02-07 Zf 腓德烈斯哈芬股份公司 Device and method for controlling a vehicle module
WO2018233934A1 (en) * 2017-06-19 2018-12-27 Zf Friedrichshafen Ag Device and method for controlling a vehicle module
WO2018237121A1 (en) * 2017-06-23 2018-12-27 Nvidia Corporation Method of using a single controller (ecu) for a fault-tolerant/fail-operational self-driving system
US11214273B2 (en) 2017-06-23 2022-01-04 Nvidia Corporation Method of using a single controller (ECU) for a fault-tolerant/fail-operational self-driving system
WO2019025333A1 (en) * 2017-08-02 2019-02-07 Valeo Schalter Und Sensoren Gmbh Method for creating a control setpoint for a driving member of a motor vehicle
FR3069830A1 (en) * 2017-08-02 2019-02-08 Valeo Schalter Und Sensoren Gmbh METHOD FOR PRODUCING A DRIVING SETTING OF A DRIVING DEVICE OF A MOTOR VEHICLE
EP3661827A1 (en) * 2017-08-02 2020-06-10 Valeo Schalter und Sensoren GmbH Method for creating a control setpoint for a driving member of a motor vehicle
WO2019040229A1 (en) * 2017-08-24 2019-02-28 Qualcomm Incorporated Computing device to provide access control to a hardware resource
US10482289B2 (en) 2017-08-24 2019-11-19 Qualcomm Incorporated Computing device to provide access control to a hardware resource
EP3473512A1 (en) * 2017-10-19 2019-04-24 Volkswagen Aktiengesellschaft Functional module, control unit for an operating assisting system and working device
US10983519B2 (en) 2017-10-19 2021-04-20 Volkswagen Aktiengesellschaft Functional module, control unit for an operation assistance system, and device
US11243257B2 (en) 2017-10-23 2022-02-08 Volkswagen Aktiengesellschaft Control system for a battery system
EP3495218A1 (en) * 2017-12-07 2019-06-12 TTTech Computertechnik AG Fault-tolerant computer system for assisted and autonomous driving
US10919524B2 (en) 2017-12-07 2021-02-16 Tttech Auto Ag Fault-tolerant computer system for assisted and autonomous driving
US11874662B2 (en) * 2018-02-13 2024-01-16 Nvidia Corporation Sharing sensor data between multiple controllers to support vehicle operations
US20220057798A1 (en) * 2018-02-13 2022-02-24 Nvidia Corporation Sharing sensor data between multiple controllers to support vehicle operations
CN112805201A (en) * 2018-10-09 2021-05-14 日立安斯泰莫株式会社 Vehicle control system
CN112224200A (en) * 2019-06-28 2021-01-15 纬湃科技投资(中国)有限公司 Controller of vehicle equipment control system and function safety control method
EP4005892A4 (en) * 2019-07-30 2022-08-24 Mazda Motor Corporation Vehicle control system
EP3778309A1 (en) * 2019-08-15 2021-02-17 Beijing Baidu Netcom Science and Technology Co., Ltd. Autonomous vehicle and system for autonomous vehicle
US11912291B2 (en) 2019-08-15 2024-02-27 Apollo Intelligent Driving Technology (Beijing) Co., Ltd. Autonomous vehicle and system for autonomous vehicle
EP3893386A1 (en) * 2020-04-06 2021-10-13 Audi Ag Control device, control circuit and motor vehicle
CN113497582A (en) * 2020-04-06 2021-10-12 奥迪股份公司 Control device, control circuit and motor vehicle
US12028008B2 (en) 2020-04-06 2024-07-02 Audi Ag Control unit, control circuit and motor vehicle
US11171481B1 (en) 2020-11-23 2021-11-09 Ford Global Technologies, Llc Dual-supply automotive electrical system with protection of motion control components
CN114655145A (en) * 2020-12-24 2022-06-24 上海汽车集团股份有限公司 Power supply method of domain controller and domain controller
CN114655145B (en) * 2020-12-24 2023-12-22 上海汽车集团股份有限公司 Power supply method of domain controller and domain controller
US12030444B2 (en) 2021-06-21 2024-07-09 Ford Global Technologies, Llc Selective actuation of vehicle components using two control modules

Also Published As

Publication number Publication date
FR3034882B1 (en) 2018-12-07
FR3034882A1 (en) 2016-10-14

Similar Documents

Publication Publication Date Title
WO2016162624A1 (en) Method for implementing a motor vehicle function in accordance with standard asil levels, corresponding system, and motor vehicle including such a system
EP3242823B1 (en) Architecture for a driving assistance system with conditional automation
JP6611664B2 (en) Automatic operation control device and automatic operation control method
CN110709303B (en) Vehicle control device
US11536569B2 (en) IMU data offset compensation for an autonomous vehicle
FR3037564A1 (en) BRAKING SYSTEM FOR AIRCRAFT
US20240195716A1 (en) Validation of Time Synchronization
FR2977934A1 (en) METHOD AND DEVICE FOR DETERMINING THE PROBABLE PATH OF A VEHICLE
JP6463571B1 (en) Vehicle control device
US11981348B2 (en) Automated driving control system and automated driving control apparatus
Cusumano Self-driving vehicle technology: progress and promises
WO2023006709A1 (en) Method for controlling a vehicle and avoiding obstacles
FR3114067A1 (en) At least partially automated method of guiding a vehicle
US10394241B2 (en) Multi-stage voting control
US20210086790A1 (en) Method for driving a motor vehicle in at least partially automated fashion
CN110794802A (en) Fault diagnosis processing method and device
US11318953B2 (en) Fault-tolerant embedded automotive applications through cloud computing
Leibinger Software architectures for advanced driver assistance systems (ADAS)
US11745732B2 (en) Certified control for self-driving cars
US20230082947A1 (en) Motion manager, vehicle, vehicle control method, and non-transitory storage medium
US20240166245A1 (en) Mutual monitoring of high-performance computing (hpc) systems to control vehicle operation
FR3122126A3 (en) Integrated electronic body and electronic motor control device for connected and energy-efficient electric vehicles
Ohl From research to mass production–using a versatile platform for developing new HAD software functions
US20220388508A1 (en) Lane keeping controller, vehicle system including the same, and method thereof
WO2023083693A1 (en) Motor vehicle driving assistance module and method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16722917

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16722917

Country of ref document: EP

Kind code of ref document: A1