WO2022152435A1 - Steuerung von zumindest einer sicherheitsfunktion eines kraftfahrzeugs - Google Patents
Steuerung von zumindest einer sicherheitsfunktion eines kraftfahrzeugs Download PDFInfo
- Publication number
- WO2022152435A1 WO2022152435A1 PCT/EP2021/082414 EP2021082414W WO2022152435A1 WO 2022152435 A1 WO2022152435 A1 WO 2022152435A1 EP 2021082414 W EP2021082414 W EP 2021082414W WO 2022152435 A1 WO2022152435 A1 WO 2022152435A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- motor vehicle
- safety
- function
- safety function
- resource
- Prior art date
Links
- 238000000034 method Methods 0.000 claims description 18
- 238000005265 energy consumption Methods 0.000 claims description 9
- 238000013461 design Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 80
- 238000012545 processing Methods 0.000 description 18
- 238000012356 Product development Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/0098—Details of control systems ensuring comfort, safety or stability not otherwise provided for
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/03—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/03—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
- B60R16/0315—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for using multiplexing techniques
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0005—Processor details or data handling, e.g. memory registers or chip architecture
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0006—Digital architecture hierarchy
Definitions
- the invention relates to a device and a method for controlling at least one safety function of a motor vehicle.
- automated driving can be understood as driving with automated longitudinal or lateral guidance or autonomous driving with automated longitudinal and lateral guidance.
- automated driving includes automated driving with any degree of automation. Exemplary degrees of automation are assisted, partially automated, highly automated or fully automated driving. These degrees of automation were defined by the Federal Highway Research Institute (BASt) (see BASt publication “Research compact”, issue 11/2012).
- assisted driving the driver constantly guides the longitudinal or lateral guidance, while the system takes over the other function within certain limits.
- TAF semi-automated driving
- the system takes over longitudinal and lateral guidance for a certain period of time and/or in specific situations, whereby the driver has to constantly monitor the system, as with assisted driving.
- HAD highly automated driving
- VAF fully automated driving
- highly automated driving (HAF) corresponds to level 3 of the SAE J3016 standard.
- SAE J3016 also provides SAE Level 5 as the highest degree of automation, which is not included in the BASt definition.
- SAE Level 5 corresponds to driverless driving, in which the system can automatically handle all situations like a human driver throughout the journey; a driver is generally no longer required.
- a first aspect of the invention relates to a device for controlling at least one safety function of a motor vehicle.
- the at least one safety function of the motor vehicle is in particular a function of the motor vehicle for fault detection and/or fault response, i.e. a dedicated function for fault detection or for reacting to detected faults, with a fault being a fault in an electrical and/or electronic subsystem or a component of the motor vehicle.
- An error is a deviation of the actual behavior of the subsystem or the component from an intended behavior of the subsystem or the component.
- the at least one safety function is a safety-critical customer function of the motor vehicle, ie a customer function which, if executed incorrectly, would endanger a person in the motor vehicle, a person in the vicinity of the motor vehicle or the environment.
- the at least one security function is an abstract security concept that is implemented by a number of sub-functions such as a multi-channel system, in which several channels calculate independently of one another and the results are then combined.
- the device is set up to determine a current driving situation of the motor vehicle, for example using sensors in the motor vehicle.
- the device is set up to determine a safety level required in the current driving situation of the motor vehicle.
- ASIL Automotive Safety Integrity Level
- QM Quality of Service
- the safety level required in the current driving situation is in particular a performance level of at least one component of the motor vehicle, for example a sensor of the motor vehicle.
- the device is set up, for example, to determine the safety level required in the current driving situation of the motor vehicle in that the device provides the result of a hazard and risk analysis to be carried out according to ISO 26262 during the development of the motor vehicle.
- This result indicates a required safety level in the form of at least one required ASIL for driving situations and states of the motor vehicle. Since the device is set up to determine the current driving situation of the motor vehicle and is also able to determine the current state of the motor vehicle, the Device for this specific driving situation and the specific state of the motor vehicle using the result of the hazard and risk analysis determine the safety level required in the current driving situation.
- the safety level required in the current driving situation of the motor vehicle itself must be determined with the highest possible safety level.
- the device is set up to control the at least one safety function as a function of the required safety level.
- the device is set up to determine a maximum safety level that can be achieved with the at least one safety function.
- the device is set up, for example, to provide the results of safety analyzes that were carried out during the development of the motor vehicle and, for example, the fulfillment of requirements from volumes 4 (“Product development: system level”), 5 (“Product development: hardware level”) and /or 6 (product development: software level) of ISO 26262 by evaluating at least one safety function.
- the maximum safety level that can be achieved with the at least one safety function can be determined.
- the device is set up when the required security level is lower than the achievable with the at least one security function, maximum security level to control the security function in such a way that a actually with the at least the safety level achieved by a safety function reaches or exceeds the required safety level, and an actual energy consumption of the at least one safety function is lower than an energy consumption of the at least one safety function when the maximum safety level that can be achieved with the at least one safety function is reached.
- the device is set up to implement this control by reducing the performance of the at least one safety function, for example by reducing a sampling rate or a resolution or by deactivating a subfunction.
- One advantage of this embodiment is that, despite maintaining the safety level required in the current driving situation, the energy required to carry out the safety function is reduced and the motor vehicle as a whole is therefore operated in a more energy-efficient manner.
- the device is set up to deactivate the at least one safety function in order to control the at least one safety function as a function of the required safety level.
- the device is set up to reduce a performance of the at least one safety function, for example by reducing a sensor range and/or a sensor resolution of a sensor that supplies an input signal of the safety function, in order to reduce the at least one safety function in To control dependence of the required security level.
- the at least one safety function is a multi-channel system architecture a system of the motor vehicle, the multi-channel capability being realized, for example, in hardware and/or in software.
- the device is set up to deactivate at least one channel of the multi-channel system architecture of the motor vehicle system in order to control the at least one safety function as a function of the required safety level. This frees up the resources needed to calculate the deactivated channel.
- a further advantageous embodiment of the invention is a system for resource planning of a motor vehicle, the system comprising a device according to one of the claims.
- the system is set up to determine at least one resource of the motor vehicle that has become free by controlling the at least one safety function, for example computing time and/or memory of a control unit of the motor vehicle that has become free, and to plan the at least one resource of the motor vehicle that has become free.
- the at least one safety function for example computing time and/or memory of a control unit of the motor vehicle that has become free
- the system is set up to schedule the at least one resource that has become available by making the at least one resource that has become available available to a driver assistance function for the motor vehicle, with the driver assistance function having access to longitudinal and/or lateral guidance of the motor vehicle is prevented.
- the driver assistance function is operated in what is known as a “shadow mode”, in which the driver assistance function accepts input signals and processes them, but does not output any control signals to actuators of the motor vehicle.
- This embodiment has the advantage that the driver assistance function can thus be tested under real conditions without interfering with the operation of the motor vehicle.
- a new version of the driver assistance function that has not yet been made available to the driver of the motor vehicle can be tested and deviations in behavior between the new version and a previous version of the driver assistance function can be determined, for example.
- the system is set up to schedule the at least one resource that has become free by making the resource available to a driver assistance function, the driver assistance function being controlled in such a way that the operational design domain of the driver assistance function is expanded.
- the operational design domain of the driver assistance function is a subset of all possible driving situations in which the driver assistance function works with sufficient quality.
- the operational design domain can limit the speed range of the motor vehicle in which the driver assistance function works with sufficient quality.
- the operational design domain can limit the complexity of an area surrounding the motor vehicle, for example if the driver assistance function only works with sufficient quality in controlled, freeway-like driving situations, but not in highly complex, urban driving situations.
- the operational design domain can be expanded for some driver assistance functions if resources are available. For example, with more resources available, more objects in the area surrounding the motor vehicle can be processed and/or more complex image processing algorithms can be used for recognition and/classification of objects in the area surrounding the motor vehicle.
- the system is set up to schedule the at least one resource that has become free by the system being set up to check the functionality of the resource, in particular by carrying out a function test of the resource, which cannot be carried out if the Resource is used, such as a memory test.
- a second aspect of the invention relates to a method for controlling at least one safety function of a motor vehicle.
- One step of the method is determining a current driving situation of the motor vehicle.
- a further step of the method is the determination of a safety level required in the current driving situation of the motor vehicle.
- a further step of the method is controlling the at least one safety function as a function of the required safety level.
- FIG. 1 shows an exemplary embodiment of the device according to the invention
- FIG. 2 shows an exemplary embodiment of the method according to the invention.
- FIG. 1 shows a device according to the invention for controlling at least one safety function of a motor vehicle.
- the at least one safety function is a multi-channel system architecture C1, C2, C3 of a system in the motor vehicle.
- sensor data SD are processed by three parallel processing channels C1, C2, C3, with the three parallel processing channels C1, C2, C3 being distributed between two control units E1, E2 of the motor vehicle in such a way that the two processing channels C1, C2 are executed on the control unit E1 and processing channel C3 is executed on controller E3.
- the device is set up to determine 100 a current driving situation of the motor vehicle, to determine 150 a maximum safety level that can be achieved with the at least one safety function, and to determine 200 a safety level required in the current driving situation of the motor vehicle.
- the device is set up when the required security level is lower than the achievable with the at least one security function, the maximum security level control 300 the safety function in such a way that a safety level actually achieved with the at least one safety function reaches or exceeds the required safety level, and an actual energy consumption of the at least one safety function is lower than an energy consumption of the at least one safety function when the at least one safety function is reached, maximum security levels.
- the device is set up to deactivate at least one channel of the multi-channel system architecture C1, C2, C3 of the motor vehicle system in order to control the at least one safety function depending on the required safety level 300.
- the parallel, redundant calculation of the processing channels C1 and C2 is carried out in order to achieve a safety goal that is rated with a safety level of ASIL D in a very critical driving situation of the motor vehicle, by dividing this safety level through ASIL decomposition into two safety levels ASIL B (D) is shared, then one of the two processing channels C1 and C2 can be deactivated if the safety target is only rated with a safety level of ASIL B in the current driving situation of the motor vehicle.
- the processing channel C3 is outsourced to the control unit E2, for example, in order to prevent a failure of all processing channels C1, C2, C3 due to a common cause (so-called “common cause failure”), for example due to a power failure of the control unit E1.
- the motor vehicle includes a system for resource planning of the motor vehicle, the system including the device according to the invention for controlling the at least one safety function of the motor vehicle.
- the system is set up to determine 400 at least one resource of the motor vehicle that has been released by controlling the at least one safety function and to plan 500 the at least one resource of the motor vehicle that has been released.
- the system can schedule the at least one freed resource 500 by using the at least one freed resource of a driver assistance function for the motor vehicle is made available, the driver assistance function being prevented from accessing a longitudinal and/or lateral guide of the motor vehicle.
- a driver assistance function can thus be executed in the so-called “shadow mode”.
- the system can schedule the at least one freed resource 500 by the system setting up a functionality of the Check resource, for example, by setting up the system that To check the functionality of processors and / or memory of the control unit E2 using a processor and / or memory test method.
- FIG. 2 shows an exemplary embodiment of a method for controlling at least one safety function of a motor vehicle.
- One step of the method is determining 100 a current driving situation of the motor vehicle.
- a further step of the method is the determination 150 of a maximum safety level that can be achieved with the at least one safety function.
- a further step of the method is the determination 200 of a safety level required in the current driving situation of the motor vehicle.
- a further step of the method is controlling 300 the safety function in such a way that a safety level actually achieved with the at least one safety function reaches or exceeds the required safety level, and an actual energy consumption of the at least one safety function is lower than an energy consumption of the at least one safety function when the maximum safety level that can be achieved with the at least one safety function is reached.
- a further step of the method is the determination 400 of determining at least one resource of the motor vehicle that has become free as a result of the control of the at least one safety function.
- a further step of the method is scheduling 500 the at least one released resource of the motor vehicle.
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Abstract
Ein Aspekt der Erfindung betrifft eine Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs, wobei die Vorrichtung eingerichtet ist eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln, ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln, und die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.
Description
Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs
Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
Unter dem Begriff „automatisiertes Fahren“ kann im Rahmen des Dokuments ein Fahren mit automatisierter Längs- oder Querführung oder ein autonomes Fahren mit automatisierter Längs- und Querführung verstanden werden. Der Begriff „automatisiertes Fahren“ umfasst ein automatisiertes Fahren mit einem beliebigen Automatisierungsgrad. Beispielhafte Automatisierungsgrade sind ein assistiertes, teilautomatisiertes, hochautomatisiertes oder vollautomatisiertes Fahren. Diese Automatisierungsgrade wurden von der Bundesanstalt für Straßenwesen (BASt) definiert (siehe BASt-Publikation „Forschung kompakt“, Ausgabe 11/2012). Beim assistierten Fahren führt der Fahrer dauerhaft die Längs-
oder Querführung aus, während das System die jeweils andere Funktion in gewissen Grenzen übernimmt. Beim teilautomatisierten Fahren (TAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum und/oder in spezifischen Situationen, wobei der Fahrer das System wie beim assistierten Fahren dauerhaft überwachen muss. Beim hochautomatisierten Fahren (HAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum, ohne dass der Fahrer das System dauerhaft überwachen muss; der Fahrer muss aber in einer gewissen Zeit in der Lage sein, die Fahrzeugführung zu übernehmen. Beim vollautomatisierten Fahren (VAF) kann das System für einen spezifischen Anwendungsfall das Fahren in allen Situationen automatisch bewältigen; für diesen Anwendungsfall ist kein Fahrer mehr erforderlich. Die vorstehend genannten vier Automatisierungsgrade gemäß der Definition der BASt entsprechen den SAE-Level 1 bis 4 der Norm SAE J3016 (SAE - Society of Automotive Engineering). Beispielsweise entspricht das hochautomatisierte Fahren (HAF) gemäß der BASt dem Level 3 der Norm SAE J3016. Ferner ist in der SAE J3016 noch der SAE-Level 5 als höchster Automatisierungsgrad vorgesehen, der in der Definition der BASt nicht enthalten ist. Der SAE- Level 5 entspricht einem fahrerlosen Fahren, bei dem das System während der ganzen Fahrt alle Situationen wie ein menschlicher Fahrer automatisch bewältigen kann; ein Fahrer ist generell nicht mehr erforderlich.
Aus dem Stand der Technik ist bekannt, dass der Betrieb eines Kraftfahrzeugs zur Gefährdung von Personen und der Umwelt führen kann. Zur Vermeidung dieser Gefährdungen werden deshalb Sicherheitsfunktionen für Kraftfahrzeuge entwickelt. Diese Sicherheitsfunktionen benötigen aber während des Betriebs des Kraftfahrzeugs Energie, was zu einer Erhöhung der von dem Kraftfahrzeug ausgestoßenen Emissionen und/oder zu einer Verringerung der Reichweite des Kraftfahrzeugs führt.
Es ist Aufgabe der Erfindung, den Energieverbrauch von Sicherheitsfunktionen für Kraftfahrzeuge zu verringern.
Die Aufgabe wird durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen beschrieben. Es wird darauf hingewiesen, dass zusätzliche Merkmale eines von einem unabhängigen Patentanspruch abhängigen Patentanspruchs ohne die Merkmale des unabhängigen Patentanspruchs oder nur in Kombination mit einer Teilmenge der Merkmale des unabhängigen Patentanspruchs eine eigene und von der Kombination sämtlicher Merkmale des unabhängigen Patentanspruchs unabhängige Erfindung bilden können, die zum Gegenstand eines unabhängigen Anspruchs, einer Teilungsanmeldung oder einer Nachanmeldung gemacht werden kann. Dies gilt in gleicher Weise für in der Beschreibung beschriebene technische Lehren, die eine von den Merkmalen der unabhängigen Patentansprüche unabhängige Erfindung bilden können.
Ein erster Aspekt der Erfindung betrifft eine Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
Die zumindest eine Sicherheitsfunktion des Kraftfahrzeugs ist insbesondere eine Funktion des Kraftfahrzeugs zur Fehlererkennung und/oder zur Fehlerreaktion, also eine dedizierte Funktion zur Erkennung von Fehlem oder zur Reaktion auf erkannte Fehler, wobei ein Fehler ein Fehler eines elektrischen und/oder elektronischen Teilsystems, bzw. einer Komponente des Kraftfahrzeugs ist. Ein Fehler ist dabei eine Abweichung des tatsächlichen Verhaltens des Teilsystems, bzw. der Komponente, von einem vorgesehenen Verhalten des Teilsystems, bzw. der Komponente. Alternativ ist die zumindest eine Sicherheitsfunktion eine sicherheitskritische Kundenfunktion des Kraftfahrzeugs, also eine Kundenfunktion, die bei fehlerhafter Ausführung zu einer Gefährdung einer Person im Kraftfahrzeug, einer Person im Umfeld des Kraftfahrzeugs oder der Umwelt führen würde. Alternativ oder zusätzlich ist die zumindest eine Sicherheitsfunktion ein abstraktes Sicherheitskonzept, das durch mehrere Teilfunktionen umgesetzt
ist, wie beispielsweise ein mehrkanaliges System, bei dem mehrere Kanäle unabhängig voneinander rechnen und deren Ergebnisse dann zusammengeführt werden.
Die Vorrichtung ist eingerichtet eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln, beispielsweise mittels Sensoren des Kraftfahrzeugs.
Außerdem ist die Vorrichtung eingerichtet, ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln.
Das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau ist insbesondere eine von der ISO-Norm ISO 26262 („Road vehicles - Functional safety“) spezifizierte Sicherheitsanforderungsstufe „Automotive Safety Integrity Level“ („ASIL“) für sicherheitsrelevante Systeme in Kraftfahrzeugen. Dabei gibt es die fünf Sicherheitsanforderungsstufen „QM“, „ASIL A“, „ASIL B“, „ASIL C“ und „ASIL D“, wobei QM die niedrigste Stufe und ASIL D die höchste Stufe ist.
Alternativ oder zusätzlich ist das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau insbesondere ein Leistungsniveau zumindest einer Komponente des Kraftfahrzeugs, beispielsweise eines Sensors des Kraftfahrzeugs.
Die Vorrichtung ist beispielweise eingerichtet, das in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliche Sicherheitsniveau zu ermitteln, indem die Vorrichtung das Ergebnis einer während der Entwicklung des Kraftfahrzeugs gemäß ISO 26262 durchzuführende Gefährdungs- und Risikoanalyse bereithält. Dieses Ergebnis gibt für Fahrsituationen und Zustände des Kraftfahrzeugs ein erforderliches Sicherheitsniveau in Form von zumindest eines erforderlichen ASIL an. Da die Vorrichtung eingerichtet ist, die aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln und auch in der Lage ist, den aktuellen Zustand des Kraftfahrzeugs zu ermitteln, kann die
Vorrichtung für diese konkrete Fahrsituation und den konkreten Zustand des Kraftfahrzeugs mittels des Ergebnisses der Gefährdungs- und Risikoanalyse das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau ermitteln.
Das Ermitteln des in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus selbst muss dabei mit einem höchstmöglichen Sicherheitsniveau erfolgen.
Außerdem ist die Vorrichtung eingerichtet, die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.
In einer vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet, ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln.
Hierfür ist die Vorrichtung beispielsweise eingerichtet, die Ergebnisse von Sicherheitsanalysen bereitzustellen, die während der Entwicklung des Kraftfahrzeugs durchgeführt wurden, und die beispielsweise die Erfüllung von Anforderungen aus den Bänden 4 („Produktentwicklung: Systemebene“), 5 („Produktentwicklung: Hardwareebene“) und/oder 6 (Produktentwicklung: Softwareebene) der ISO 26262 durch die zumindest eine Sicherheitsfunktion bewerten.
Durch Ermittlung eines Grades der Erfüllung von Anforderungen der ISO 26262 kann das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau ermittelt werden.
Außerdem ist die Vorrichtung eingerichtet, wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die Sicherheitsfunktion derart zu steuern, dass ein tatsächlich mit der zumindest
einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
Insbesondere ist die Vorrichtung eingerichtet, diese Steuerung umzusetzen, indem die Leistung der zumindest einen Sicherheitsfunktion verringert wird, beispielsweise indem eine Abtastrate oder eine Auflösung verringert wird oder indem eine Teilfunktion deaktiviert wird.
Ein Vorteil dieser Ausführungsform besteht darin, dass trotz Einhalten des in der aktuellen Fahrsituation erforderlichen Sicherheitsniveaus die für die Ausführung der Sicherheitsfunktion notwendige Energie verringert wird und somit das Kraftfahrzeug als Ganzes energieeffizienter betrieben wird.
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet, die zumindest eine Sicherheitsfunktion zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet ist, eine Leistung der zumindest einen Sicherheitsfunktion zu verringern, beispielsweise indem eine Sensorreichweite und/oder eine Sensorauflösung eines Sensors, der ein Eingangssignal der Sicherheitsfunktion liefert, verringert werden, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die zumindest eine Sicherheitsfunktion eine mehrkanalige Systemarchitektur
eines Systems des Kraftfahrzeugs ist, wobei die Mehrkanaligkeit beispielsweise in Hardware und/oder in Software realisiert ist.
Dabei ist die Vorrichtung eingerichtet, zumindest einen Kanal der mehrkanaligen Systemarchitektur des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern. Dadurch werden die zur Berechnung des deaktivierten Kanals notwendigen Ressourcen frei.
Eine weitere vorteilhafte Ausführungsform der Erfindung ist ein System zur Ressourcenplanung eines Kraftfahrzeugs, wobei das System eine Vorrichtung nach einem der Ansprüche umfasst.
Das System ist eingerichtet zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln, beispielsweise freigewordene Rechenzeit und/oder freigewordener Speicher eines Steuergeräts des Kraftfahrzeugs, und die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen.
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.
Mit anderen Worten wird die Fahrerassistenzfunktion einem sog. „shadow mode“ betrieben, in dem die Fahrerassistenzfunktion zwar Eingangssignale entgegennimmt und diese verarbeitet, aber keine Steuersignale an Aktuatoren des Kraftfahrzeugs ausgibt.
Diese Ausführungsform hat den Vorteil, dass die Fahrerassistenzfunktion somit unter realen Bedingen getestet werden kann, ohne den Betrieb des Kraftfahrzeugs zu stören. Somit kann beispielsweise eine neue Version der Fahrerassistenzfunktion, die dem Fahrer des Kraftfahrzeugs noch nicht zur Verfügung gestellt wurde, getestet werden und es können beispielsweise Abweichungen im Verhalten zwischen der neuen Version und einer Vorgängerversion der Fahrerassistenzfunktion ermittelt werden.
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem die Ressource einer Fahrerassistenzfunktion zur Verfügung gestellt wird, wobei die Fahrerassistenzfunktion derart angesteuert wird, dass sich die operational design domain der Fahrerassistenzfunktion erweitert.
Die operational design domain der Fahrerassistenzfunktion ist dabei eine Teilmenge aller möglichen Fahrsituationen, in der die Fahrerassistenzfunktion in ausreichender Qualität funktioniert.
Beispielsweise kann die operational design domain Geschwindigkeitsbereich des Kraftfahrzeugs eingrenzen, in dem die Fahrerassistenzfunktion in ausreichender Qualität funktioniert. Alternativ oder zusätzlich kann die operational design domain eine Komplexität eines Umfelds des Kraftfahrzeugs beschränken, beispielsweise wenn die Fahrerassistenzfunktion nur in kontrollierten, autobahnähnlichen Fahrsituationen mit ausreichender Qualität funktioniert aber nicht in hochkomplexen, urbanen Fahrsituationen.
Für manche Fahrerassistenzfunktionen kann prinzipbedingt die operational design domain erweitert werden, wenn Ressourcen zur Verfügung stehen. So können beispielsweise mit mehr zur Verfügung stehenden Ressourcen mehr Objekte im Umfeld des Kraftfahrzeugs verarbeitet werden und/oder es können aufwändigere Bildverarbeitungsalgorithmen zur Erkennung
und/Klassifikation von Objekten im Umfeld des Kraftfahrzeugs zum Einsatz kommen.
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen, insbesondere indem ein Funktionstest der Ressource durchgeführt wird, der nicht durchgeführt werden kann, wenn die Ressource genutzt wird, wie beispielsweise ein Speichertest.
Ein zweiter Aspekt der Erfindung betrifft ein Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
Ein Schritt des Verfahrens ist das Ermitteln einer aktuellen Fahrsituation des Kraftfahrzeugs.
Ein weiterer Schritt des Verfahrens ist das Ermitteln eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus.
Ein weiterer Schritt des Verfahrens ist das Steuern der zumindest einen Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus.
Die vorstehenden Ausführungen zur erfindungsgemäßen Vorrichtung nach dem ersten Aspekt der Erfindung gelten in entsprechender Weise auch für das erfindungsgemäße Verfahren nach dem zweiten Aspekt der Erfindung. An dieser Stelle und in den Patentansprüchen nicht explizit beschriebene vorteilhafte Ausführungsbeispiele des erfindungsgemäßen Verfahrens entsprechen den vorstehend beschriebenen oder in den Patentansprüchen beschriebenen vorteilhaften Ausführungsbeispielen der erfindungsgemäßen Vorrichtung.
Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels unter Zuhilfenahme der beigefügten Zeichnungen beschrieben. In diesen zeigen:
Fig. 1 ein Ausführungsbeispiel der erfindungsgemäßen Vorrichtung, und Fig. 2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens.
Fig. 1 zeigt eine erfindungsgemäße Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
Die zumindest eine Sicherheitsfunktion ist eine mehrkanalige Systemarchitektur C1 , C2, C3 eines Systems des Kraftfahrzeugs.
Dabei werden Sensordaten SD von drei parallelen Verarbeitungskanälen C1 , C2, C3 verarbeitet, wobei die drei parallelen Verarbeitungskanäle C1 , C2, C3 auf zwei Steuergeräte E1 , E2 des Kraftfahrzeugs derart verteilt sind, dass die zwei Verarbeitungskanäle C1 , C2 auf dem Steuergerät E1 ausgeführt werden und der Verarbeitungskanal C3 auf dem Steuergerät E3 ausgeführt wird.
Aus den Ergebnissen der drei parallelen Verarbeitungskanäle C1 , C2, C3 werden dann beispielsweise Trajektorien TR bestimmt, die zum automatisierten Betrieb des Kraftfahrzeugs verwendet werden können.
Die Vorrichtung ist eingerichtet eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln 100, ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln 150 und ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln 200.
Außerdem ist die Vorrichtung eingerichtet, wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die
Sicherheitsfunktion derart zu steuern 300, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
Dabei ist die Vorrichtung eingerichtet, zumindest einen Kanal der mehrkanaligen Systemarchitektur C1 , C2, C3 des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern 300.
Wenn beispielsweise die parallele, redundante Berechnung der Verarbeitungskanäle C1 und C2 deshalb erfolgt, um ein Sicherheitsziel zu erreichen, dass bei einer sehr kritischen Fahrsituation des Kraftfahrzeugs mit einem Sicherheitsniveau von ASIL D bewertet ist, indem dieses Sicherheitsniveau durch ASIL-Dekomposition in zwei Sicherheitsniveaus ASIL B(D) geteilt wird, dann kann einer der beiden Verarbeitungskanäle C1 und C2 deaktiviert werden, wenn in der aktuellen Fahrsituation des Kraftfahrzeugs das Sicherheitsziel nur mit einem Sicherheitsniveau von ASIL B bewertet ist.
Alternativ oder zusätzlich ist der Verarbeitungskanäle C3 beispielsweise auf das Steuergerät E2 ausgelagert, um ein Versagen aller Verarbeitungskanäle C1 , C2, C3 aufgrund einer gemeinsamen Ursache (sog. „common cause failure“) zu verhindern, beispielsweise aufgrund eines Stromausfalls des Steuergeräts E1 .
Wenn nun in der aktuellen Fahrsituation des Kraftfahrzeugs ein Ausfall aller Verarbeitungskanäle C1 , C2, C3 tolerierbar ist, beispielsweise weil sich das Kraftfahrzeug nur mit geringer Geschwindigkeit bewegt und somit ein Ausfall
der Verarbeitungskanäle C1 , C2, C3 durch jeden anzunehmenden Fahrer beherrschbar ist, so kann der Verarbeitungskanal C3 deaktiviert werden und gegebenenfalls sogar das gesamte Steuergerät E2.
Insbesondere umfasst das Kraftfahrzeug ein System zur Ressourcenplanung des Kraftfahrzeugs, wobei das System die erfindungsgemäße Vorrichtung zur Steuerung der zumindest einen Sicherheitsfunktion des Kraftfahrzeugs umfasst.
Das System ist eingerichtet zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln 400 und die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen 500.
Wenn beispielsweise die zur Berechnung des Verarbeitungskanals C2 auf dem Steuergerät E1 verwendeten Ressourcen frei geworden sind, weil der Verarbeitungskanal C2 auf dem Steuergerät E1 deaktiviert wurde, so kann das System die zumindest eine freigewordene Ressource verplanen 500, indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.
Somit kann mit anderen Worten statt dem Verarbeitungskanal C2 eine Fahrerassistenzfunktion im sog. „shadow mode“ ausgeführt werden.
Wenn beispielsweise die zur Berechnung des Verarbeitungskanals C3 auf dem Steuergerät E2 verwendeten Ressourcen frei geworden sind, weil der Verarbeitungskanal C3 auf dem Steuergerät E2 deaktiviert wurde, so kann das System die zumindest eine freigewordene Ressource verplanen 500, indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen, beispielsweise indem das System eingerichtet ist, die
Funktionsfähigkeit von Prozessoren und/oder Speichern des Steuergeräts E2 mittels eines Prozessor- und/oder Speichertestverfahrens zu prüfen.
Fig. 2 zeigt ein Ausführungsbeispiel eines Verfahrens zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.
Ein Schritt des Verfahrens ist das Ermitteln 100 einer aktuellen Fahrsituation des Kraftfahrzeugs.
Ein weiterer Schritt des Verfahrens ist das Ermitteln 150 eines mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
Ein weiterer Schritt des Verfahrens ist das Ermitteln 200 eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus.
Wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, dann ist ein weiterer Schritt des Verfahrens das Steuern 300 der Sicherheitsfunktion derart, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
Ein weiterer Schritt des Verfahrens ist das Ermitteln 400 zumindest einer durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln.
Ein weiterer Schritt des Verfahrens ist verplanen 500 der zumindest einen freigewordenen Ressource des Kraftfahrzeugs.
Claims
Patentansprüche
1 . Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs, wobei die Vorrichtung eingerichtet ist
• eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln (100),
• ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln (200), und
• die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300).
2. Vorrichtung nach Anspruch 1 , wobei die Vorrichtung eingerichtet ist,
• ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln (150), und
• wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die Sicherheitsfunktion derart zu steuern (300), dass
• ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und
• ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.
Vorrichtung nach einem der vorherigen Ansprüche, wobei die Vorrichtung eingerichtet ist, die zumindest eine Sicherheitsfunktion zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300). Vorrichtung nach einem der vorherigen Ansprüche, wobei die Vorrichtung eingerichtet ist, eine Leistung der zumindest einen Sicherheitsfunktion zu verringern, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300). Vorrichtung nach einem der vorherigen Ansprüche, wobei
• die zumindest eine Sicherheitsfunktion eine mehrkanalige Systemarchitektur (C1 , C2, C3) eines Systems des Kraftfahrzeugs ist, und
• die Vorrichtung eingerichtet ist, zumindest einen Kanal der mehrkanaligen Systemarchitektur (C1 , C2, C3) des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern (300). System zur Ressourcenplanung eines Kraftfahrzeugs, wobei das System eine Vorrichtung nach einem der vorherigen Ansprüche umfasst, und das System eingerichtet ist
• zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln (400), und
• die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen (500).
17
7. System nach Anspruch 6, wobei das System eingerichtet ist, die zumindest eine freigewordene Ressource zu verplanen (500), indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.
8. System nach einem der Ansprüche 6 oder 7, wobei das System eingerichtet ist, die zumindest eine freigewordene Ressource zu verplanen (500), indem die Ressource einer Fahrerassistenzfunktion zur Verfügung gestellt wird, wobei die Fahrerassistenzfunktion derart angesteuert wird, dass sich die operational design domain der Fahrerassistenzfunktion erweitert.
9. System nach einer der Ansprüche 6, 7 oder 8, wobei das System eingerichtet ist, die zumindest eine freigewordene Ressource zu verplanen (500), indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen.
10. Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs, wobei das Verfahren die folgenden Schritte umfasst:
• Ermitteln (100) einer aktuellen Fahrsituation des Kraftfahrzeugs,
• Ermitteln (200) eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus, und
• Steuern (300) der zumindest einen Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202180087625.4A CN116710340A (zh) | 2021-01-12 | 2021-11-22 | 机动车的至少一个安全功能的控制 |
| US18/271,701 US20240051552A1 (en) | 2021-01-12 | 2021-11-22 | Control of at Least One Safety Function of a Motor Vehicle |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102021100420.9 | 2021-01-12 | ||
| DE102021100420.9A DE102021100420A1 (de) | 2021-01-12 | 2021-01-12 | Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2022152435A1 true WO2022152435A1 (de) | 2022-07-21 |
Family
ID=78821189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2021/082414 WO2022152435A1 (de) | 2021-01-12 | 2021-11-22 | Steuerung von zumindest einer sicherheitsfunktion eines kraftfahrzeugs |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240051552A1 (de) |
| CN (1) | CN116710340A (de) |
| DE (1) | DE102021100420A1 (de) |
| WO (1) | WO2022152435A1 (de) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012218361A1 (de) * | 2012-04-04 | 2013-10-10 | Continental Teves Ag & Co. Ohg | Verfahren zum sicheren Betrieb eines Kraftfahrzeugs |
| DE102014224665A1 (de) * | 2014-12-02 | 2016-06-02 | Robert Bosch Gmbh | Fahrerassistenzsteuergerät, Kraftfahrzeug, Verfahren zum Betreiben eines Fahrerassistenzsteuergeräts eines Kraftfahrzeugs |
| EP3312764A2 (de) * | 2016-09-30 | 2018-04-25 | Lg Electronics Inc. | Autonomes fahrzeug |
| WO2018147872A1 (en) * | 2017-02-10 | 2018-08-16 | Nissan North America, Inc. | Autonomous vehicle operational management control |
| DE102017205495A1 (de) * | 2017-03-31 | 2018-10-04 | Conti Temic Microelectronic Gmbh | Vorrichtung und Verfahren zum Fokussieren von Sensoren im fahrdynamischen Grenzbereich für ein Kraftfahrzeug |
| DE102017208505A1 (de) * | 2017-05-19 | 2018-11-22 | Bayerische Motoren Werke Aktiengesellschaft | Fahrerassistenz-Einrichtung mit automatischem Angebot einer Fahrerassistenzfunktion und entsprechendes Verfahren |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012015272A1 (de) | 2012-07-31 | 2014-02-06 | Audi Ag | Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät |
| DE102019206026A1 (de) | 2019-04-26 | 2020-10-29 | Robert Bosch Gmbh | Verfahren zur Ermittlung eines Sicherheitsniveaus einer Sollfunktion eines Fahrzeugs, Sicherheitssystem und Fahrzeug |
| DE102019114854B4 (de) | 2019-06-03 | 2021-06-24 | Pilz Gmbh & Co. Kg | Vorrichtung und Verfahren zur energieeffizienten Ausführung einer Sicherheitsfunktion |
-
2021
- 2021-01-12 DE DE102021100420.9A patent/DE102021100420A1/de active Pending
- 2021-11-22 US US18/271,701 patent/US20240051552A1/en active Pending
- 2021-11-22 CN CN202180087625.4A patent/CN116710340A/zh active Pending
- 2021-11-22 WO PCT/EP2021/082414 patent/WO2022152435A1/de active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012218361A1 (de) * | 2012-04-04 | 2013-10-10 | Continental Teves Ag & Co. Ohg | Verfahren zum sicheren Betrieb eines Kraftfahrzeugs |
| DE102014224665A1 (de) * | 2014-12-02 | 2016-06-02 | Robert Bosch Gmbh | Fahrerassistenzsteuergerät, Kraftfahrzeug, Verfahren zum Betreiben eines Fahrerassistenzsteuergeräts eines Kraftfahrzeugs |
| EP3312764A2 (de) * | 2016-09-30 | 2018-04-25 | Lg Electronics Inc. | Autonomes fahrzeug |
| WO2018147872A1 (en) * | 2017-02-10 | 2018-08-16 | Nissan North America, Inc. | Autonomous vehicle operational management control |
| DE102017205495A1 (de) * | 2017-03-31 | 2018-10-04 | Conti Temic Microelectronic Gmbh | Vorrichtung und Verfahren zum Fokussieren von Sensoren im fahrdynamischen Grenzbereich für ein Kraftfahrzeug |
| DE102017208505A1 (de) * | 2017-05-19 | 2018-11-22 | Bayerische Motoren Werke Aktiengesellschaft | Fahrerassistenz-Einrichtung mit automatischem Angebot einer Fahrerassistenzfunktion und entsprechendes Verfahren |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116710340A (zh) | 2023-09-05 |
| US20240051552A1 (en) | 2024-02-15 |
| DE102021100420A1 (de) | 2022-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE19933086B4 (de) | Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten | |
| DE3825280A1 (de) | Steuersystem fuer stelleinrichtungen eines kraftfahrzeugs | |
| DE19509150C2 (de) | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage | |
| EP3709166B1 (de) | Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten | |
| EP2099667B1 (de) | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems | |
| DE19927657A1 (de) | Partitionierung und Überwachung von softwaregesteuerten Systemen | |
| DE19749068A1 (de) | Verfahren und Vorrichtung zur Überwachung eines Rechnersystems bestehend aus wenigstens zwei Prozessoren | |
| DE602006000220T2 (de) | Bremssystem mit mindestens einem Freigabesignal für Bremsregler und Verfahren zu dessen Anwendung | |
| DE102019214461A1 (de) | Verfahren zum Fernsteuern eines Kraftfahrzeugs | |
| EP3179372A1 (de) | Verfahren und vorrichtung zum testen einer mehrzahl von steuereinheiten einer technischen einheit | |
| DE10142511B4 (de) | Fehlerbehandlung von Softwaremodulen | |
| WO2022152435A1 (de) | Steuerung von zumindest einer sicherheitsfunktion eines kraftfahrzeugs | |
| DE102012221277A1 (de) | Fahrzeugsteuervorrichtung | |
| AT515341B1 (de) | Verfahren zur Überprüfung der Abarbeitung von Software | |
| DE102019214482A1 (de) | Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs | |
| DE102007046731B4 (de) | Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug | |
| WO2021089499A1 (de) | Verfahren und system zum prüfen einer automatisierten fahrfunktion durch reinforcement-learning | |
| DE102016219315B4 (de) | Verfahren und Vorrichtung zur Vermeidung einer ungewollten Beschleunigung eines Kraftfahrzeugs | |
| WO2019196985A1 (de) | Bewegungsplanung mittels invariant sicherer zustände eines kraftfahrzeugs | |
| EP3720056B1 (de) | Verfahren und system zur parallelen echtzeitanalyse bei funktionsprüfungen von hardware und software von steuergeräten | |
| EP3779619A1 (de) | Emergente risiken eines technischen systems | |
| DE102015217158B4 (de) | Fortbewegungsmittel, Steuergerät und Verfahren zur Überwachung einer Soll-Kraft eines elektromechanisch unterstützten Lenksystems | |
| WO2011113405A1 (de) | Steuergeräteanordnung | |
| EP4077075B1 (de) | Systemarchitektur eines elektronischen bremssystems | |
| WO2013000562A1 (de) | Power-management für multicore prozessoren in einem kraftfahrzeug mit einer vielzahl von betriebskomponenten |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21819365 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 202180087625.4 Country of ref document: CN |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 18271701 Country of ref document: US |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 21819365 Country of ref document: EP Kind code of ref document: A1 |