WO2017167556A1 - Bereitstellung eines sicherheitsrelevanten parameters - Google Patents

Bereitstellung eines sicherheitsrelevanten parameters Download PDF

Info

Publication number
WO2017167556A1
WO2017167556A1 PCT/EP2017/055390 EP2017055390W WO2017167556A1 WO 2017167556 A1 WO2017167556 A1 WO 2017167556A1 EP 2017055390 W EP2017055390 W EP 2017055390W WO 2017167556 A1 WO2017167556 A1 WO 2017167556A1
Authority
WO
WIPO (PCT)
Prior art keywords
quality
determination
parameter
component
function
Prior art date
Application number
PCT/EP2017/055390
Other languages
English (en)
French (fr)
Inventor
Joachim Geiger
Michael Schwab
Goetz Braeuchle
Uwe Martin
Sebastian MUNZ
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2017167556A1 publication Critical patent/WO2017167556A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/0215Sensor drifts or sensor failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0295Inhibiting action of specific actuators or systems

Definitions

  • the invention relates to the provision of a safety-relevant parameter.
  • the invention relates to a safety-relevant parameter on board a motor vehicle.
  • a first control unit and a second control unit are connected to each other by means of a data bus.
  • the first controller is configured to determine a predetermined parameter based on sensor values.
  • the second control unit evaluates the provided parameter and controls a safety-relevant function of the motor vehicle.
  • the parameter may indicate the relative speed to an object in the vicinity of the motor vehicle, and the second control device may be configured to intervene in a longitudinal or lateral control of the motor vehicle in order to prevent a collision with the object.
  • the quality of determination of the parameter by the first control device must be above a predetermined level. If this level can not be reached, for example because a sensor required to determine the parameter malfunctions, the parameter may not be provided at all, or an indication may be provided that the parameter may be invalid. If the second control unit determines that the parameter was not determined with sufficient determination quality, then the safety-relevant function usually only be switched off completely. Further differentiation is usually not possible.
  • the invention has for its object to provide an improved technique for providing such a parameter.
  • the invention solves this problem by means of the subjects of the independent claims. Subclaims give preferred embodiments again.
  • a first component for use on board a motor vehicle is adapted to scan an information source; determine a parameter based on the sampled information; to determine a quality of determination; and provide the parameter and the quality of destination, the quality of destination being indicated as the ASIL level.
  • the first component can thus directly enable a second component to which the parameter is directed to make an assessment of the quality of determination.
  • the second component can thereby tune its own mode of operation to the determination quality of the first component.
  • the first component need not have information about a construction, a function or a requirement of the second component on the quality of determination.
  • the principle of functional separation which can serve a functional safety on board the motor vehicle, can be implemented improved.
  • a second component for use on board a motor vehicle is adapted to receive a parameter; to receive a quality of determination of the parameter, the quality of determination being indicated as ASIL level; determine a function that requires the parameter with no higher than the received quality of destination; and perform the specific function.
  • the second component can cooperate in particular with the abovementioned first component.
  • Both components can be implemented independently of one another as programmable microcomputers and configured to execute a respective method which can be present as a computer program product.
  • a system for controlling a motor vehicle includes the first component described above and the described second component.
  • the two components are interconnected by means of a communication bus to transmit the parameter and the determination quality.
  • a first method comprises steps of scanning at least one information source, determining a parameter based on the sampled information, determining a quality of determination, and providing the parameter and the quality of determination.
  • the quality of determination is given as an ASIL level.
  • the first method can proceed on the above-mentioned first component and is particularly suitable for use on board a motor vehicle.
  • a safety-relevant function that makes use of the particular parameter requires a quality of determination of the parameter in a predetermined one
  • ASIL level By normalizing the quality of determination to ASIL levels, comprehensive processing of the quality of determination is possible independently of a manufacturer or a control unit that performs the safety-relevant function. Special definitions for the meaning and content of the individual levels of the quality of determination need not be given.
  • the ASIL stages include a value "QM", which indicates the absence of a reference to a safety-relevant function.If a function that has no safety reference uses the parameter, it may therefore be sufficient to always use the parameter and to determine the quality of determination A simple functionality on board the motor vehicle can be implemented with little effort.
  • the quality of determination be determined on the basis of the type and number of sampled information sources.
  • the ASIL level may be higher than when only one or a few sources of information are sampled.
  • Some sources of information are set up to provide information with greater reliability and / or accuracy. If such an information source is used for the determination of the parameter, then the quality of determination can be increased.
  • the information source preferably comprises a sensor, but in another embodiment may also comprise another source, for example a control device or a receiving device for communication with an external device. It is particularly preferred that the parameter relates to the speed of movement of a motor vehicle.
  • a safety-relevant system such as a driving stability system, such as ABS or ESP, a pre-crash system or an automatic emergency call system can be controlled.
  • a driving stability system such as ABS or ESP
  • a pre-crash system such as a pre-crash system
  • an automatic emergency call system can be controlled.
  • the parameter may also relate to a braking dynamic variable.
  • This variable may for example concern a braking torque, a braking force or a brake pressure in a hydraulic brake system.
  • a safety-relevant system like the one mentioned above
  • Stabilization system can thereby realize an extended operation or emergency operation.
  • the parameter and the determination quality are provided in separate messages.
  • functions which evaluate only the parameter or only the quality of determination can be kept simpler.
  • both information can be transmitted with varying frequency or urgency.
  • the parameter and the quality of destination are provided in a common message. Advantageously, this always provides both information together.
  • a range of values of the provided quality of determination comprises one or more values for special states. Such a condition may exist for "errors", for example if a determination of the parameter was not possible due to contradictory information
  • Value may include "undefined” and, for example, express that an apparatus for performing the method is not yet ready to specify the parameter and / or the quality of determination.
  • a second method which may in particular proceed on the above-mentioned second component, comprises steps of receiving a parameter, the Receiving a quality of determination of the parameter, wherein the quality of determination is indicated as an ASIL level, determining a function that requires the parameter with no higher than the received quality of determination, and performing the function.
  • different functions are provided to which different ASIL stages are assigned, but which pursue a common goal.
  • the most desirable function or an emergency function can be carried out in each case.
  • It can also be provided several emergency functions, each associated with an ASIL level.
  • the common goal of the functions may be, for example, a stabilization of a chassis of the motor vehicle.
  • a more precise engagement of a wheel brake can be controlled, for example, than at a lower ASIL level at which the motor vehicle may no longer be wheel-selectively decelerated or must be differentiated depending on the purpose between a deceleration function and a stabilization function.
  • the function is not performed if it requires a quality of determination that is above the received quality of destination.
  • Fig. 1 a system on board a motor vehicle
  • FIG. 2 is a flowchart of a method of controlling the motor vehicle of FIG. 1.
  • FIG. FIG. 1 shows a system 100, in particular for use on board a motor vehicle.
  • the system 100 comprises a first component 105, a second component 110 and optionally a third component 1 15.
  • the first component 105 is connected to the components 1 10 and 1 15 by means of a communication device 120, which preferably has a data bus, for example the CAN
  • Each of the components 105 to 15 can each comprise a control unit.
  • the components 105 to 15 are preferably realized in the form of programmable microcomputers.
  • the first component 105 is connected to one or more information sources 125.
  • the illustrated first component 105 is in communication with a wheel sensor 125.1, an optical camera 125.2 and an acceleration or rotation rate measuring device 125.3. It is also possible to use a plurality of, in particular identical sensors 125, which can be attached to different installation locations. It is assumed that the first component 105 is adapted to determine a parameter indicative of a driving speed of the motor vehicle. Other or other information sources 125 may also be used. The driving speed of the motor vehicle may already be determinable on the basis of each of the information sources 125. Reliability or accuracy of the particular parameter can be increased by fusing the information of the various information sources 125 together or making them plausible.
  • the first component 105 determines, for example, based on a type or number of the used information sources 125, in addition to the parameter also a determination quality indicating how well the parameter could be determined.
  • the quality of determination indicates one of the known ASIL levels defined in ISO 26262. According to this standard, the highest attainable quality of the ASIL-D level is less good. Certain parameters may be classified in the ASIL-C, ASIL-B or ASIL-A levels. The lowest level may refer to the ASIL-QM level, which does not provide any safety-related use of the parameter.
  • the particular parameter and the quality of determination are communicated to components 110 or 115, either in common or in separate messages.
  • the second component 110 is set up to control a function on the basis of the parameter determined by the first component 105.
  • the function to be controlled is safety relevant in that a faulty control causes the risk of personal injury or property damage.
  • the function may be configured to intervene in a longitudinal or lateral control of the motor vehicle.
  • at least one substitute function is provided which requires a determination quality of the parameter with a lower ASIL stage. If the parameter can not be determined by the first component 105 at the high ASIL level, then the second component 110 may transition from executing the main function to executing the replacement function. If the quality of determination increases again later, the substitute function can be used to return to the main function.
  • the third component 15 is set up to execute a further function on board the motor vehicle as a function of the parameter determined by means of the first component 105. For this purpose, again a quality of determination of the parameter from a predetermined ASIL stage is required. Can the first
  • Component 105 does not provide the parameter with the required ASIL level, so the third component 1 15 set their function. If the parameter is available again at a later time with the required high quality of determination, the third component 15 can resume its function.
  • FIG. 2 shows a flowchart of a method 200 for controlling the motor vehicle 100 from FIG. 1.
  • the steps shown in an upper area of the illustration may be the first component 105 and the steps illustrated at the bottom of the second component 110 or the third component
  • the method 200 or parts thereof may be implemented as a computer program product.
  • a parameter is determined in a step 210.
  • Step 215 determines a quality of the determination of the parameter. This quality is expressed in a step 220 as the ASIL stage. The conventions of ISO 26262 preferably apply here.
  • the parameter and the quality of determination are provided or transmitted in a step 225, for example on the communication device 120 of FIG. 1.
  • a step 230 the quality of determination is evaluated. In one embodiment, which corresponds to the procedure explained above with reference to the second component 110, it is checked in a step 235 whether the determination quality reaches at least a predefined ASIL stage. If so, an associated function 240 is executed.
  • step 245 it is checked whether at least one other, lower ASIL level has been reached. If this is the case, an assigned function is executed. These steps can be executed as many times as there are ASIL stages, each of which has a function associated with the method 200. In the present embodiment, the determination quality is checked so often until it has reached the level ASIL-A in a step 245, whereupon in step 250 an associated second function is executed, or alternatively at least the level ASIL-QM in a step 255, in this case, a first function in step
  • the quality of determination is usually transmitted numerically, predetermined digits being associated with the predetermined ASIL levels.
  • additional numbers are provided for special conditions. These may include, for example, a digit for "error" or "undefined".
  • An evaluation by means of comparison and function can take place as described above.
  • the executed function can also be the empty function.
  • only one comparison is made and there is no replacement function, so that only either a predetermined function is executed or no function at all.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Traffic Control Systems (AREA)

Abstract

Ein Verfahren (200) umfasst Schritte des Abtastens (205) wenigstens einer Informationsquelle (125.1, 125.2, 125.3); des Bestimmens (210) eines Parameters auf der Basis der abgetasteten Information; des Bestimmens (215) einer Bestimmungsgüte; und des Bereitstellens (225) des Parameters und der Bestimmungsgüte. Dabei ist die Bestimmungsgüte als ASIL-Stufe angegeben.

Description

Beschreibung
Titel
[Bereitstellung eines sicherheitsrelevanten Parameters! Stand der Technik
Die Erfindung betrifft die Bereitstellung eines sicherheitsrelevanten Parameters. Insbesondere betrifft die Erfindung einen sicherheitsrelevanten Parameter an Bord eines Kraftfahrzeugs.
Stand der Technik
An Bord eines Kraftfahrzeugs sind ein erstes Steuergerät und ein zweites Steuergerät mittels eines Datenbusses miteinander verbunden. Das erste Steuergerät ist dazu eingerichtet, auf der Basis von Sensorwerten einen vorbestimmten Parameter zu bestimmen. Das zweite Steuergerät wertet den bereitgestellten Parameter aus und steuert eine sicherheitsrelevante Funktion des Kraftfahrzeugs. Beispielsweise kann der Parameter auf die Relativgeschwindigkeit zu einem Objekt im Umfeld des Kraftfahrzeugs hinweisen und das zweite Steuergerät kann dazu eingerichtet sein, in eine Längs- oder Quersteuerung des Kraftfahrzeugs einzugreifen, um eine Kollision mit dem Objekt zu verhindern.
Um eine Fehlfunktion des sicherheitsrelevanten zweiten Steuergeräts zu verhindern, muss die Bestimmungsgüte des Parameters durch das erste Steuergerät über einem vorbestimmten Niveau liegen. Kann dieses Niveau nicht erreicht werden, beispielsweise weil ein zur Bestimmung des Parameters erforderlicher Sensor eine Fehlfunktion aufweist, so kann der Parameter überhaupt nicht bereitgestellt werden oder es kann ein Hinweis darauf bereitgestellt werden, dass der Parameter möglicherweise ungültig ist. Bestimmt das zweite Steuergerät, dass der Parameter nicht mit ausreichender Bestimmungsgüte bestimmt wurde, so kann die sicherheitsrelevante Funktion üblicherweise nur noch vollständig abgeschaltet werden. Eine weitere Differenzierung ist in der Regel nicht möglich.
Der Erfindung liegt die Aufgabe zugrunde, eine verbesserte Technik zur Bereitstellung eines solchen Parameters anzugeben. Die Erfindung löst diese Aufgabe mittels der Gegenstände der unabhängigen Ansprüche. Unteransprüche geben bevorzugte Ausführungsformen wieder.
Offenbarung der Erfindung
Eine erste Komponente zur Verwendung an Bord eines Kraftfahrzeugs ist dazu eingerichtet, eine Informationsquelle abzutasten; einen Parameter auf der Basis der abgetasteten Information zu bestimmen; eine Bestimmungsgüte zu bestimmen; und den Parameter und die Bestimmungsgüte bereitzustellen, wobei die Bestimmungsgüte als ASIL-Stufe angegeben ist. Die erste Komponente kann auf diese Weise eine zweite Komponente, an die der Parameter gerichtet ist, unmittelbar in die Lage versetzen, eine Einschätzung der Bestimmungsgüte durchzuführen. Die zweite Komponente kann dadurch ihre eigene Funktionsweise auf die Bestimmungsgüte der ersten Komponente abstimmen. Die erste Komponente muss keine Informationen über einen Aufbau, eine Funktion oder eine Anforderung der zweiten Komponente an die Bestimmungsgüte haben. Das Prinzip der Funktionstrennung, das einer Funktionssicherheit an Bord des Kraftfahrzeugs dienen kann, kann so verbessert umgesetzt werden.
Eine zweite Komponente zur Verwendung an Bord eines Kraftfahrzeugs ist dazu eingerichtet, einen Parameter zu empfangen; eine Bestimmungsgüte des Parameters zu empfangen, wobei die Bestimmungsgüte als ASIL-Stufe angegeben ist; eine Funktion zu bestimmen, die den Parameter mit keiner höheren als der empfangenen Bestimmungsgüte erfordert; und die bestimmte Funktion auszuführen. Die zweite Komponente kann insbesondere mit der oben genannten ersten Komponente zusammenwirken.
Beide Komponenten können unabhängig voneinander als programmierbare Mikrocomputer ausgeführt und dazu eingerichtet sein, jeweils ein Verfahren durchzuführen, das als Computerprogrammprodukt vorliegen kann. Ein System zur Steuerung eines Kraftfahrzeugs umfasst die oben beschriebene erste Komponente und die beschriebene zweite Komponente. Bevorzugt sind die beiden Komponenten mittels eines Kommunikationsbusses miteinander verbunden, um den Parameter und die Bestimmungsgüte zu übermitteln.
Ein erstes Verfahren umfasst Schritte des Abtastens wenigstens einer Informationsquelle, des Bestimmens eines Parameters auf der Basis der abgetasteten Information, des Bestimmens einer Bestimmungsgüte und des Bereitstellens des Parameters und der Bestimmungsgüte. Dabei ist die Bestimmungsgüte als ASIL- Stufe angegeben.
Das erste Verfahren kann auf der oben genannten ersten Komponente ablaufen und eignet sich insbesondere zur Anwendung an Bord eines Kraftfahrzeugs. Eine sicherheitsrelevante Funktion, die von dem bestimmten Parameter Gebrauch macht, erfordert eine Bestimmungsgüte des Parameters in einer vorbestimmten
ASIL-Stufe. Durch die Normierung der Bestimmungsgüte auf ASIL-Stufen ist unabhängig von einem Hersteller oder einem Steuergerät, das die sicherheitsrelevante Funktion ausführt, eine übergreifende Verarbeitung der Bestimmungsgüte möglich. Spezielle Definitionen für Bedeutung und Inhalt der einzelnen Stufen der Bestimmungsgüte müssen nicht gegeben werden. Die ASIL-Stufen umfassen einen Wert„QM", der für das Fehlen des Bezugs zu einer sicherheitsrelevanten Funktion steht. Verwendet eine Funktion, die keinen Sicherheitsbezug hat, den Parameter, so kann es daher ausreichen, den Parameter stets zu verwenden und die Bestimmungsgüte zu vernachlässigen. Eine einfache Funktionalität an Bord des Kraftfahrzeugs kann dadurch mit wenig Aufwand implementiert werden.
Es ist bevorzugt, dass die Bestimmungsgüte auf der Basis von Art und Anzahl der abgetasteten Informationsquellen bestimmt wird. Werden mehrere Informationsquellen abgetastet, so kann die ASIL-Stufe höher sein als wenn nur eine oder wenige Informationsquellen abgetastet werden. Einige Informationsquellen sind dazu eingerichtet, Informationen mit höherer Zuverlässigkeit und/oder Genauigkeit bereitzustellen. Wird eine solche Informationsquelle für die Bestimmung des Parameters verwendet, so kann die Bestimmungsgüte erhöht sein. Die Informationsquelle umfasst bevorzugt einen Sensor, kann in einer weiteren Ausführungs- form jedoch auch eine andere Quelle umfassen, beispielsweise ein Steuergerät oder eine Empfangseinrichtung zur Kommunikation mit einem externen Gerät. Es ist besonders bevorzugt, dass der Parameter die Bewegungsgeschwindigkeit eines Kraftfahrzeugs betrifft. Auf der Basis der Bewegungsgeschwindigkeit kann ein sicherheitsrelevantes System wie ein Fahrstabilisierungssystem, etwa ABS oder ESP, ein Pre-Crash-System oder ein automatisches Notrufsystem gesteuert werden. Durch die Angabe der Bestimmungsgüte der Bewegungsgeschwindigkeit als ASIL-Stufe können die genannten sicherheitsrelevanten Systeme oder Einrichtungen oder eine andere Funktionskomponente an Bord des Kraftfahrzeugs verbessert auch mit einer ungenau, unzuverlässig oder unscharf bestimm- ten Bewegungsgeschwindigkeit arbeiten.
In einer anderen Ausführungsform kann der Parameter auch eine bremsdynamische Größe betreffen. Diese Größe kann beispielsweise ein Bremsmoment, eine Bremskraft oder einen Bremsdruck in einem hydraulischen Bremssystem betref- fen. Ein sicherheitsrelevantes System wie das oben angesprochene dynamische
Stabilisierungssystem kann dadurch einen erweiterten Betrieb oder einen Notbetrieb realisieren.
In einer Variante werden der Parameter und die Bestimmungsgüte in separaten Nachrichten bereitgestellt. Dadurch können Funktionen, die nur den Parameter oder nur die Bestimmungsgüte auswerten, einfacher gehalten sein. Außerdem können beide Informationen unterschiedlich häufig oder dringlich übermittelt werden. In einer anderen Ausführungsform werden der Parameter und die Bestimmungsgüte in einer gemeinsamen Nachricht bereitgestellt. Vorteilhafterweise lie- gen dadurch stets beide Informationen gemeinsam vor.
Es ist bevorzugt, dass ein Wertebereich der bereitgestellten Bestimmungsgüte einen oder mehrere Werte für besondere Zustände umfasst. Ein solcher Zustand kann für„Fehler" gegeben sein, beispielsweise wenn eine Bestimmung des Para- meters aufgrund widersprüchlicher Informationen nicht möglich war. Ein anderer
Wert kann„Undefiniert" umfassen und beispielsweise ausdrücken, dass eine Vorrichtung zur Durchführung des Verfahrens noch nicht bereit ist, den Parameter und/oder die Bestimmungsgüte anzugeben.
Ein zweites Verfahren, das insbesondere auf der oben genannten zweiten Komponente ablaufen kann, umfasst Schritte des Empfangens eines Parameters, des Empfangens einer Bestimmungsgüte des Parameters, wobei die Bestimmungsgüte als ASIL-Stufe angegeben ist, des Bestimmens einer Funktion, die den Parameter mit keiner höheren als der empfangenen Bestimmungsgüte erfordert, und des Ausführens der Funktion.
In einer bevorzugten Ausführungsform sind unterschiedliche Funktionen vorgesehen, denen unterschiedliche ASIL-Stufen zugeordnet sind, die aber ein gemeinsames Ziel verfolgen. So kann jeweils in Abhängigkeit der Bestimmungsgüte die wünschenswerteste Funktion oder eine Notfunktion ausgeführt werden. Es können auch mehrere Notfunktionen bereitgestellt sein, die jeweils einer ASIL-Stufe zugeordnet sind. Das gemeinsame Ziel der Funktionen kann beispielsweise eine Stabilisierung eines Fahrwerks des Kraftfahrzeugs sein. Bei einer hohen Bestimmungsgüte des Parameters, beispielsweise der Fahrzeuggeschwindigkeit, kann beispielsweise ein präziserer Eingriff einer Radbremse gesteuert werden als bei einer niedrigeren ASIL-Stufe, bei der das Kraftfahrzeug möglicherweise nicht mehr radindividuell abgebremst werden kann oder je nach Zweck unterschieden werden muss zwischen einer Verzögerungsfunktion und einer Stabilisierungsfunktion.
In einer anderen Ausführungsform wird die Funktion nicht ausgeführt, wenn sie eine Bestimmungsgüte erfordert, die über der empfangenen Bestimmungsgüte liegt.
Kurze Beschreibung der Figuren
Die Erfindung wird nun mit Bezug auf die beigefügten Figuren genauer beschrieben, in denen:
Fig. 1 . ein System an Bord eines Kraftfahrzeugs; und
Fig. 2. ein Ablaufdiagramm eines Verfahrens zum Steuern des Kraftfahrzeugs von Fig. 1 darstellt. Figur 1 zeigt ein System 100, insbesondere zum Einsatz an Bord eines Kraftfahrzeugs. Das System 100 umfasst eine erste Komponente 105, eine zweite Komponente 1 10 und optional eine dritte Komponente 1 15. Die erste Komponente 105 ist mit den Komponenten 1 10 und 1 15 mittels einer Kommunikationseinrich- tung 120 verbunden, die bevorzugt einen Datenbus, beispielsweise den CAN-
Bus, umfasst. Jede der Komponenten 105 bis 1 15 kann jeweils ein Steuergerät umfassen. Die Komponenten 105 bis 1 15 sind bevorzugt in Form von programmierbaren Mikrocomputern realisiert.
Die erste Komponente 105 ist mit einer oder mehreren Informationsquellen 125 verbunden. In beispielhafter Weise steht die dargestellte erste Komponente 105 in Verbindung mit einem Radsensor 125.1 , einer optischen Kamera 125.2 und einem Beschleunigungs- oder Dreh raten messgerät 125.3. Es können auch mehrere, insbesondere baugleiche Sensoren 125 verwendet werden, die an unterschiedlichen Einbauorten angebracht sein können. Dabei wird angenommen, dass die erste Komponente 105 dazu eingerichtet ist, einen Parameter zu bestimmen, der auf eine Fahrgeschwindigkeit des Kraftfahrzeugs hinweist. Es können auch weitere oder andere Informationsquellen 125 verwendet werden. Die Fahrgeschwindigkeit des Kraftfahrzeugs kann auf der Basis jeder der Informationsquellen 125 bereits bestimmbar sein. Eine Zuverlässigkeit oder Genauigkeit des bestimmten Parameters kann erhöht werden, indem die Informationen der verschiedenen Informationsquellen 125 miteinander fusioniert bzw. gegeneinander plausibilisiert werden. Die erste Komponente 105 bestimmt, beispielsweise auf der Basis einer Art oder Anzahl der verwendeten Informationsquellen 125, zusätzlich zu dem Parameter auch eine Bestimmungsgüte, die darauf hinweist, wie gut der Parameter bestimmt werden konnte.
Es wird vorgeschlagen, dass die Bestimmungsgüte auf eine der bekannten ASIL- Stufen hinweist, die in ISO 26262 definiert sind. Nach dieser Norm entspricht die höchste erzielbare Güte der Stufe ASIL-D weniger gut bestimmte Parameter können in den Stufen ASIL-C, ASIL-B oder ASIL-A klassifiziert sein. Die niedrigste Stufe kann die Stufe ASIL-QM betreffen, bei der keinerlei sicherheitsrelevante Verwendung des Parameters vorgesehen ist. Der bestimmte Parameter und die Bestimmungsgüte werden - gemeinsam oder in separaten Nachrichten - an die Komponenten 1 10 oder 1 15 übermittelt. Die zweite Komponente 1 10 sei dazu eingerichtet, eine Funktion auf der Basis des durch die erste Komponente 105 bestimmten Parameters zu steuern. Die zu steuernde Funktion ist sicherheitsrelevant, indem eine Fehlsteuerung das Risiko eines Personen- oder Sachschadens bedingt. Insbesondere kann die Funktion dazu eingerichtet sein, in eine Längs- oder Quersteuerung des Kraftfahrzeugs einzugreifen. Bevorzugt ist zusätzlich zu einer Hauptfunktion, die in einem üblichen Fahrbetrieb des Kraftfahrzeugs ausgeführt werden soll und die eine erste, hohe ASIL-Stufe erfordert, noch wenigstens eine Ersatzfunktion vorgesehen, die eine Bestimmungsgüte des Parameters mit einer geringeren ASIL-Stufe erfordert. Kann der Parameter nicht mit der hohen ASIL-Stufe durch die erste Komponente 105 bestimmt werden, so kann die zweite Komponente 1 10 von der Ausführung der Hauptfunktion auf die Ausführung der Ersatzfunktion übergehen. Steigt die Bestimmungsgüte später wieder an, so kann von der Ersatzfunktion zurück auf die Hauptfunktion übergegangen werden.
Die dritte Komponente 1 15 sei dazu eingerichtet, eine weitere Funktion an Bord des Kraftfahrzeugs in Abhängigkeit des mittels der ersten Komponente 105 bestimmten Parameters auszuführen. Hierzu ist wieder eine Bestimmungsgüte des Parameters von einer vorbestimmten ASIL-Stufe erforderlich. Kann die erste
Komponente 105 den Parameter nicht mit der geforderten ASIL-Stufe bereitstellen, so kann die dritte Komponente 1 15 ihre Funktion einstellen. Ist zu einem späteren Zeitpunkt der Parameter wieder mit der geforderten hohen Bestimmungsgüte verfügbar, so kann die dritte Komponente 1 15 ihre Funktion wieder aufnehmen.
Figur 2 zeigt ein Ablaufdiagramm eines Verfahrens 200 zum Steuern des Kraftfahrzeugs 100 aus Figur 1. Die in einem oberen Bereich der Darstellung gezeigten Schritte können der ersten Komponente 105 und die im unteren Bereich dar- gestellten Schritte der zweiten Komponente 1 10 oder der dritten Komponente
1 15 zugeordnet werden. Das Verfahren 200 oder Teile davon können als Computerprogrammprodukt ausgeführt sein.
In einem ersten Schritt 205 werden eine oder mehrere Informationsquellen 125 abgetastet. Auf der Basis der abgetasteten Informationen wird in einem Schritt 210 ein Parameter bestimmt. Davor, danach oder nebenläufig dazu wird in einem Schritt 215 eine Güte der Bestimmung des Parameters bestimmt. Diese Güte wird in einem Schritt 220 als ASIL-Stufe ausgedrückt. Dabei gelten bevorzugt die Konventionen der ISO 26262. Der Parameter und die Bestimmungsgüte werden in einem Schritt 225 bereitgestellt oder übermittelt, beispielsweise auf der Kom- munikationseinrichtung 120 von Figur 1 .
In einem Schritt 230 wird die Bestimmungsgüte ausgewertet. In einer Ausführungsform, die der oben mit Bezug auf die zweite Komponente 1 10 erläuterten Vorgehensweise entspricht, wird in einem Schritt 235 überprüft, ob die Bestim- mungsgüte mindestens eine vorbestimmte ASIL-Stufe erreicht. Ist dies der Fall, so wird eine zugeordnete Funktion 240 ausgeführt.
Andernfalls wird überprüft, ob wenigstens eine andere, niedrigere ASIL-Stufe erreicht ist. Ist dies der Fall, so wird eine zugeordnete Funktion ausgeführt. Diese Schritte können so oft ausgeführt werden, wie es ASIL-Stufen gibt, denen jeweils eine Funktion im Rahmen des Verfahrens 200 zugeordnet ist. In der vorliegenden Ausführungsform wird die Bestimmungsgüte so oft überprüft, bis sie in einem Schritt 245 die Stufe ASIL-A erreicht hat, woraufhin in einem Schritt 250 eine zugeordnete zweite Funktion ausgeführt wird, oder hilfsweise wenigstens die Stufe ASIL-QM in einem Schritt 255, in diesem Fall wird eine erste Funktion im Schritt
260 ausgeführt. Andernfalls, wenn nicht einmal die unterste definierte ASIL-Stufe erreicht ist, kann eine Ersatzfunktion im Schritt 265 ausgeführt werden. Es ist zu beachten, dass die Anzahl der dargestellten Vergleiche maximal so groß sein kann wie der Wertebereich der ASIL-Stufen und dass nicht jede in ISO 26262 de- finierte ASIL-Stufe einem Vergleich zugeordnet sein muss.
Die Bestimmungsgüte wird üblicherweise numerisch übermittelt, wobei vorbestimmten Ziffern die vorbestimmten ASIL-Stufen zugeordnet sind. In einer Ausführungsform sind zusätzlich noch Ziffern für Sonderkonditionen vorgesehen. Diese können beispielsweise eine Ziffer für„Fehler" oder„Undefiniert" umfassen.
Eine Auswertung mittels Vergleich und Funktion kann erfolgen wie oben beschrieben ist. Die ausgeführte Funktion kann auch die leere Funktion sein. Außerdem ist es möglich, auch mehrere Funktionen parallel auszuführen, wenn die jeweils ihnen zugeordnete ASIL-Stufe durch die Bestimmungsgüte erreicht ist. In einer anderen Ausführungsform, die der oben mit Bezug auf die dritte Komponente 1 15 beschriebenen Vorgehensweise entspricht, wird nur ein Vergleich durchgeführt und es gibt keine Ersatzfunktion, sodass nur entweder eine vorbestimmte Funktion ausgeführt wird oder gar keine Funktion.

Claims

Ansprüche
Erste Komponente (105) zur Verwendung an Bord eines Kraftfahrzeugs, wobei die erste Komponente (105) dazu eingerichtet ist:
- eine Informationsquelle (125) abzutasten;
- einen Parameter auf der Basis der abgetasteten Information zu bestimmen;
- eine Bestimmungsgüte zu bestimmen; und
- den Parameter und die Bestimmungsgüte bereitzustellen,
dadurch gekennzeichnet, dass
- die Bestimmungsgüte als ASIL-Stufe angegeben ist.
Zweite Komponente (1 10, 1 15) zur Verwendung an Bord eines Kraftfahrzeugs, wobei die zweite Komponente (1 10, 1 15) dazu eingerichtet ist:
- einen Parameter zu empfangen;
- eine Bestimmungsgüte des Parameters zu empfangen,
- wobei die Bestimmungsgüte als ASIL-Stufe angegeben ist;
- eine Funktion zu bestimmen, die den Parameter mit keiner höheren als der empfangenen Bestimmungsgüte erfordert; und
- die bestimmte Funktion auszuführen.
System (100) zur Steuerung eines Kraftfahrzeugs, umfassend:
- eine erste Komponente (105) nach Anspruch 1 ; und
- eine zweite Komponente (1 10, 1 15), nach Anspruch 2.
Verfahren (200), umfassend:
- Abtasten (205) wenigstens einer Informationsquelle (125);
- Bestimmen (210) eines Parameters auf der Basis der abgetasteten Information;
- Bestimmen (215) einer Bestimmungsgüte; und
- Bereitstellen (225) des Parameters und der Bestimmungsgüte
dadurch gekennzeichnet, dass die Bestimmungsgüte als ASIL-Stufe angegeben ist.
5. Verfahren (200) nach Anspruch 4, wobei die Bestimmungsgüte auf der Basis von Art und Anzahl der abgetasteten Informationsquellen (125) bestimmt wird.
6. Verfahren (200) nach Anspruch 4 oder 5, wobei der Parameter die Bewegungsgeschwindigkeit eines Kraftfahrzeugs betrifft. 7. Verfahren (200) nach Anspruch 4 oder 5, wobei der Parameter eine bremsdynamische Größe betrifft.
8. Verfahren (200) nach einem der vorangehenden Ansprüche, wobei der Parameter und die Bestimmungsgüte in separaten Nachrichten bereitgestellt wer- den.
9. Verfahren (200) nach einem der vorangehenden Ansprüche, wobei ein Wertebereich der bereitgestellten Bestimmungsgüte einen Wert für„Fehler" um- fasst.
10. Verfahren (200) nach einem der vorangehenden Ansprüche, wobei ein Wertebereich der bereitgestellten Bestimmungsgüte einen Wert„Undefiniert" um- fasst. 1 1 . Verfahren (200), umfassend:
- Empfangen (230) eines Parameters;
- Empfangen (230) einer Bestimmungsgüte des Parameters,
- wobei die Bestimmungsgüte als ASIL-Stufe angegeben ist,
- Bestimmen (235, 245, 255) einer Funktion, die den Parameter mit keiner höheren als der empfangenen Bestimmungsgüte erfordert; und
- Ausführen (240, 250, 260) der Funktion.
12. Verfahren (200) nach Anspruch 1 1 , wobei anstelle einer Funktion, die den Parameter mit einer höheren als der empfangenen Bestimmungsgüte erfordert, eine Ersatzfunktion (265) ausgeführt wird.
PCT/EP2017/055390 2016-03-29 2017-03-08 Bereitstellung eines sicherheitsrelevanten parameters WO2017167556A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016205078.8A DE102016205078A1 (de) 2016-03-29 2016-03-29 Bereitstellung eines sicherheitsrelevanten Parameters
DE102016205078.8 2016-03-29

Publications (1)

Publication Number Publication Date
WO2017167556A1 true WO2017167556A1 (de) 2017-10-05

Family

ID=58360961

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/055390 WO2017167556A1 (de) 2016-03-29 2017-03-08 Bereitstellung eines sicherheitsrelevanten parameters

Country Status (2)

Country Link
DE (1) DE102016205078A1 (de)
WO (1) WO2017167556A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005048015A1 (de) * 2005-10-07 2007-04-12 Robert Bosch Gmbh Plausibilisierung von Sensorsignalen in Fahrzeugsystemen
DE102006032727A1 (de) * 2006-07-14 2008-01-31 Lucas Automotive Gmbh Verfahren und Vorrichtung zur Plausibilitätskontrolle von Messwerten im Kraftfahrzeugumfeld
DE102007058192A1 (de) * 2007-12-04 2009-06-10 Continental Teves Ag & Co. Ohg Zentrales Steuergerät für mehrere in einem Kraftfahrzeug vorgesehene Assistenzsysteme und Kraftfahrzeug (Wegen nicht zuerkannter Prio)
DE102009019792A1 (de) * 2009-05-02 2010-11-04 Leopold Kostal Gmbh & Co. Kg Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005048015A1 (de) * 2005-10-07 2007-04-12 Robert Bosch Gmbh Plausibilisierung von Sensorsignalen in Fahrzeugsystemen
DE102006032727A1 (de) * 2006-07-14 2008-01-31 Lucas Automotive Gmbh Verfahren und Vorrichtung zur Plausibilitätskontrolle von Messwerten im Kraftfahrzeugumfeld
DE102007058192A1 (de) * 2007-12-04 2009-06-10 Continental Teves Ag & Co. Ohg Zentrales Steuergerät für mehrere in einem Kraftfahrzeug vorgesehene Assistenzsysteme und Kraftfahrzeug (Wegen nicht zuerkannter Prio)
DE102009019792A1 (de) * 2009-05-02 2010-11-04 Leopold Kostal Gmbh & Co. Kg Steuersystem zum sicheren Betreiben von mindestens einer Funktionskomponente

Also Published As

Publication number Publication date
DE102016205078A1 (de) 2017-10-05

Similar Documents

Publication Publication Date Title
DE102015216494A1 (de) Verfahren und Vorrichtung zur Erkennung wenigstens einer Sensorfunktion wenigstens eines ersten Sensor wenigstens eines ersten Fahrzeugs
DE102012215343A1 (de) Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
DE102014210485A1 (de) Verfahren und Vorrichtung zum Überwachen eines eine zumindest teilautomatisierte Fahrfunktion bereitstellendes System eines Fahrzeugs
DE102016105016A1 (de) Verfahren zur Erkennung eines Ausfalls eines Sensors einer Fahrzeugsicherheitseinrichtung
EP3802244A1 (de) Steuereinrichtung und verfahren für die ansteuerung eines aktuators zur betätigung von bremsmitteln eines fahrzeuges, insbesondere eines schienenfahrzeugs
DE102011081640B4 (de) Steuersystem
DE102006026879A1 (de) Sensor und Verfahren zur Datengewinnung
EP2701018B1 (de) Verfahren zur sicheren Parametrierung eines Feldgeräts
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE102014009060B4 (de) Einparksteuervorrichtung und Steuerverfahren für diese
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
DE102017209720A1 (de) Vorrichtung und Verfahren zum pilotierten Fahren eines Kraftfahrzeugs
WO2013023868A1 (de) Anfahrunterstützung mit kupplungsschleifpunktadaption
DE10065759A1 (de) Vorrichtung und Verfahren zur Überwachung eines Drucksensors
EP3583009B1 (de) Verfahren und vorrichtung zur festlegung einer maximalgeschwindigkeit für ein fahrzeug und automatisiertes fahrsystem
WO2017167556A1 (de) Bereitstellung eines sicherheitsrelevanten parameters
DE102005028153B4 (de) Verfahren zur Steuerung einer Lenkeinrichtung
DE102013214401A1 (de) Verfahren und Vorrichtung zum Betreiben eines Fahrerassistenzsystems
WO1999001718A1 (de) Verfahren und vorrichtung zur überwachung von sensoren in einem fahrzeug
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
DE102017109175A1 (de) Steuereinrichtung, Fahrerassistenzsystem, Kraftfahrzeug und Verfahren zum Steuern einer Fahrerassistenzfunktion
DE102012202294A1 (de) Verfahren und Kontrollsystem zur Plausibilisierung eines ersten Fahrerwunschsensors in Bezug auf einen zweiten zum ersten unterschiedlichen Fahrerwunschsensor eines Kraftfahrzeugs
DE102009046337A1 (de) Verfahren zur Einstellung eines Grenzwerts einer Fahrzeugzustandsgröße bei einem Unfall
DE102015011310A1 (de) Verfahren und System für einen Fahrzeugstart einer Fahrzeugkolonne
DE102016219315B4 (de) Verfahren und Vorrichtung zur Vermeidung einer ungewollten Beschleunigung eines Kraftfahrzeugs

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17712040

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 17712040

Country of ref document: EP

Kind code of ref document: A1