WO2022263416A1 - Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen - Google Patents
Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen Download PDFInfo
- Publication number
- WO2022263416A1 WO2022263416A1 PCT/EP2022/066119 EP2022066119W WO2022263416A1 WO 2022263416 A1 WO2022263416 A1 WO 2022263416A1 EP 2022066119 W EP2022066119 W EP 2022066119W WO 2022263416 A1 WO2022263416 A1 WO 2022263416A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- control
- control function
- output data
- functions
- designed
- Prior art date
Links
- 230000006870 function Effects 0.000 claims abstract description 200
- 230000007257 malfunction Effects 0.000 claims abstract description 11
- 238000000034 method Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 230000009897 systematic effect Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 240000006829 Ficus sundaica Species 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
Definitions
- Control system for at least one receiving device in safety-critical applications
- the present invention relates to a control system for controlling an actuator in a safety-critical system, such as an at least partially automated vehicle.
- monitoring can be added to a control function for a vehicle, for example according to DE 102019 201 491 A1, which independently checks the interventions proposed by the control function with regard to safety requirements.
- control functions can also be implemented with multiple redundancies, for example. If, for example, there are three nominally identical, independent control functions, a malfunction in one of these control functions can be clearly identified, for example by a majority principle, provided that the input and output data and the states of the three independent control functions are synchronized.
- a control system for at least one receiving device was developed.
- This receiving device can in particular be an actuator, for example.
- the receiving device can also be, for example, an intermediate link in a functional chain that generates output data as input data for one or more other systems.
- the control system can generate target trajectories for autonomous driving, which are further processed by downstream motion control systems.
- the movement control can, for example, also be constructed like the control system described here and can generate control signals for the actuator.
- An overall system for at least partially automated driving can therefore contain multiple instances of the control system described here.
- the control system comprises at least one input interface which is designed to read in an input to which the receiving device is to be reacted by controlling.
- the input can represent, for example, a state of a technical system to which the receiving device to be controlled belongs.
- the input interface can be connected to a bus system of the vehicle, for example, so that information can be monitored, subscribed to or specifically called up by all participants in this bus system.
- a plurality of control functions are provided. Each control function is designed to determine output data for the receiving device from an input that has been read in. This output data can be, for example, a control signal for the receiving device, such as an actuator.
- a self-control logic is now provided for each control function, which is designed to detect a malfunction of this control function. For this recognition, the self-control logic can in particular use, for example, the input supplied to the respective control function, internal information of this control function, and/or output data determined by the respective control function. Furthermore, information related to each control function is fed into at least one cross control logic. For example, an implausible or invalid input may indicate that a sensor used to collect that input or a communication link to that sensor is not working.
- An internal status monitoring of the control function can, for example, refer to physical measured variables, such as an operating voltage, a current consumption or a temperature of the control function.
- internal condition monitoring can also include, for example, a "watchdog" that determines whether the control function is possibly stuck in an endless loop or in a comparable state in which it is no longer responding. For example, the output data can be checked to see whether they are within a permissible range of values.
- At least one cross-control logic is also provided. This cross control logic is designed to check whether a control function with
- the term “consistent” means in particular that not only information with the same dimension (e.g. location coordinates with location coordinates) can be compared or otherwise checked for plausibility, but also information with different dimensions, such as location coordinates with measured acceleration values. Furthermore, this term also means that the quantities to be compared with one another do not have to be delivered as exactly synchronously as when comparing nominally identical data with the same dimension. For example, different algorithms used to process raw data for one and the same traffic situation can take different amounts of time to execute.
- At least one output interface for output data that can be connected to the receiving device is provided. Furthermore, switching logic intended. This switching logic is designed to switch the output data determined by one or more of the control functions to the output interface, depending on the determinations of the self-control logic and the determinations of the at least one cross-control logic.
- the receiving device does not have to be part of the control system itself, but the output data can be routed out of the control system to the receiving device.
- interface and “logic” are not to be understood as restricting such that, for example, switching logic or an interface must always be implemented as a separate hardware unit. Rather, these terms should only be understood to mean that the functionality required in each case must be provided in some way. For example, switching logic can also be fully or partially integrated into the respective control functions.
- control system can thus manage with fewer control functions with a comparatively low probability of an undesired event (ie an unintercepted malfunction). For example, a level of reliability that could previously only be achieved with three fully redundant control functions can now also be achieved with only two control functions.
- the extension of monitoring to the combination of self-control logics and cross-control logic is in sum with less hardware effort and at lower cost than adding a third fully redundant control function.
- Complex control functions may require expensive hardware platforms, including, for example, high-performance microprocessors and/or hardware accelerators such as graphics processing units (GPUs).
- GPUs graphics processing units
- control functions may be nominally identical. However, these different control functions are in a particularly advantageous embodiment
- the degree of diagnostic coverage can be further improved through diversity between the control functions.
- random hardware errors e.g. the flipping of individual bits in registers or in the main memory
- Even systematic errors, such as integer overflows, will most likely not occur at exactly the same place in two differently implemented control functions. The same applies accordingly to systematic errors in hardware platforms.
- the self-control logic and the cross-control logic are implemented on hardware with a higher quality class with regard to functional safety than the control functions.
- the quality class can manifest itself in particular, for example, in the presence or absence of a relevant safety-related certification, such as a specific ASIL level. In this way, high-performance and at the same time inexpensive hardware can be used for the control function without relevant compromises in terms of functional safety.
- a high level of performance and high quality in terms of functional safety are goals that are to some extent contradictory.
- high performance is often achieved precisely because the structure sizes of Processors and other semiconductor components are pushed to the limits of what is feasible and the clock rates are selected so high that this is just within the thermal budget.
- measures are detrimental to functional safety, because with small structure sizes, for example, external disturbances, such as those caused by background radiation or electromagnetic interference, require significantly less energy to tip over a bit, for example.
- the likelihood of this happening in a given operating environment is increased with smaller feature sizes.
- different input interfaces are assigned to a plurality of control functions, which are designed to read in inputs that are not congruent. In this way, diversity is also achieved with regard to the inputs.
- An error in an input such as can be caused by a malfunction of a sensor, will then affect the multiple control functions in different ways, since this error is combined with different compositions of other inputs.
- random and systematic errors can be corrected without having to interrupt the operation of the technical system, which contains an actuator to be controlled, for example. Therefore, in a further particularly advantageous embodiment, at least one self-checking logic or cross-checking logic is designed, in response to the determination that a control function is working incorrectly,
- the incorrectly operating control function can be inhibited. That is, it can be prevented from forwarding its determined output data to the output interface.
- This can be implemented, for example, by the switchover logic, but also, for example, in the control function itself or by interrupting a communication connection between the faulty control function and a network with the downstream systems to be controlled.
- At least one control function is designed to determine output data as part of a full range of functions of a technical system to which the actuator belongs.
- both this control function and at least one further control function are designed to determine output data within the scope of a functional scope that is degraded compared to the full functional scope.
- “degraded” can in particular mean, for example, that an available range of functions and/or a quantitative performance of the technical system is reduced compared to the full range of functions. If the control system is used, for example, to control at least one actuator in an at least partially automated vehicle, a degraded range of functions can include, for example, the vehicle only being able to drive at reduced speed or only being able to carry out certain driving maneuvers.
- this further control function can be implemented on a simpler hardware platform, for example.
- the complete hardware equipment that is required to provide the full range of functions only has to be provided once and not multiple times, as is the case with a fully redundant design.
- control function can be used with full hardware equipment that is provided for determining the output data as part of the full range of functions.
- This control function can include, for example, high-performance microprocessors and/or hardware accelerators, such as GPUs, and can be designed, for example, to comprehensively evaluate images recorded in a vehicle environment using neural networks. If this control function malfunctions, the output data can be obtained from a further control function which is only designed to bring the vehicle into a safe state with the aid of reduced driving maneuvers.
- a number of further control functions can be used which, for example, enable different gradations of a degraded operation.
- a further control function can be provided for operating the vehicle at reduced speed and another further control function for stopping the vehicle at the next suitable parking space.
- the invention also relates to a method for operating the control system described above, specifically in the application of an automated vehicle to which the actuator to be controlled belongs.
- a first control function determines output data in the frame the full range of functions for automated ferry operations.
- At least one other control function is responsible for determining output data as part of a degraded range of functions.
- the self-control logics and cross-control logics are used to check whether this first control function or another control function is working incorrectly.
- the output data determined by the first control function as part of the full range of functions is output to the actuator.
- the output data determined by the further control function within the scope of the degraded scope of functions are output to the actuator.
- the first control function is prompted to determine output data within the scope of the degraded range of functions and to output this new output data to the actuator.
- the vehicle could still drive with the full range of functions of the first control function.
- the failure of the second control function means that the fallback level required in the event that an error now also occurs in the first control function is no longer available. Therefore, after the failure of the second control function, continued operation of the first control function with the full range of functions is no longer permissible for safety reasons.
- a degraded range of functions is selected for the ferry operation of the vehicle, which requires a lower level of safety integrity than the full range of functions.
- operation in the degraded range of functions may require such a low level of safety integrity that operation of only the first control function without a further fallback level is sufficient for this.
- the degraded range of functions can include, for example, that
- the method can be fully or partially computer-implemented.
- the invention therefore also relates to a computer program with machine-readable instructions which, when executed on one or more computers, cause the computer or computers to carry out the method described.
- control devices for vehicles and embedded systems for technical devices that are also able to execute machine-readable instructions are also to be regarded as computers.
- the invention also relates to a machine-readable data carrier and/or a download product with the computer program.
- a download product is a digital product that can be transmitted over a data network, ie can be downloaded by a user of the data network, and which can be offered for sale in an online shop for immediate download, for example.
- a computer can be equipped with the computer program, with the machine-readable data carrier or with the downloadable product.
- FIG. 1 embodiment of the control system 1 with two control functions 5a-5b;
- FIG. 2 embodiment of the control system 1 with three control functions 5a-5c;
- FIG. 1 Figure 3 embodiment of the method 100 for operating the control system 1.
- FIG. 1 is a schematic drawing of a first embodiment of the control system 1.
- This control system 1 includes a first control function 5a and a second control function 5b.
- the first control function 5a receives an input 4a via at least one first input interface 3a.
- the second control function 5b receives an input 4b via a second input interface 3b.
- the first control function 5a is designed and equipped to determine first output data 6a as part of the full range of functions of the technical system that contains the one actuator or another downstream system as the receiving device 2 .
- the second control function 5b is only designed and equipped to determine second output data 6b as part of a degraded range of functions.
- Each of the control functions 5a, 5b is monitored by a self-control logic 7a, 7b, which uses the respective input 4a or 4b, the respective generated output data 6a or 6b and internal information 9a, 9b from the respective control function 5a, 5b.
- the information 4a, 6a, 9a or 4b, 6b, 9b which relates to the control functions 5a or 5b, is also transferred to the cross-control logic 8a.
- the switching logic 10 determines which output data are output via the output interface 11 to the actuator or the subsequent system 2 .
- the first output data 6a is output to the actuator or the downstream system 2, so that the actuator or the downstream system 2 is controlled within the scope of the full range of functions.
- the second output data 6b is output to the actuator or the subsequent system 2, so that the actuator or the subsequent system 2 is controlled within the scope of the degraded range of functions.
- the first control function 5a is prompted to determine new output data 6a' within the scope of the degraded range of functions. These new output data 6a' are then output to the actuator or the subsequent system 2. As explained above, this implements the requirement from the application that the full range of functions may only be used if the second control function 5b is available as a fallback level.
- FIG. 2 is a schematic drawing of a further exemplary embodiment of the control system 1.
- a third control function 5c is also provided.
- This third control function 5c receives an input 4c via a third input interface 3a and determines output data 6c.
- the input 4c, the output data 6c, and/or internal information 9c of the third control function 5c are routed to the third self-control logic 7c and to a second cross-control logic 8b.
- This second cross-control logic 8b also receives the information 4b, 6b and 9b relating to the second control function 5b.
- the first control function 5a is designed and equipped to determine first output data 6a as part of the full range of functions of the technical system that contains the actuator or the system 2 connected downstream.
- the second control function 5b is designed and equipped to determine second output data 6b as part of a first degraded range of functions of the technical system.
- the third control function 5c is designed and equipped to determine third output data 6c as part of an even more restricted second degraded range of functions of the technical system.
- the first control function 5a no longer has to be additionally designed to also determine new output data 6a′ as part of a degraded range of functions when called upon. Rather, if only one of the control functions 5b or 5c fails, the other control function 5c or 5b is still available as a fallback level. If the first control function 5a is working correctly, it can continue to be operated with the full range of functions.
- FIG. 3 is an exemplary embodiment of the method 100 for operating the control system 1. This exemplary embodiment corresponds to the operating mode already explained in connection with FIG.
- output data 6a are formed by a first control function 5a, which provides the full range of functions for automated driving operation of the vehicle.
- step 120 output data 6b-6c are formed by a further control function 5b-5c, which provides a degraded range of functions for automated driving operation of the vehicle.
- step 130 the self-control logics 7a-7c and cross-control logics 8a, 8b are used to check whether this first control function 5a or another control function 5b-5c is working incorrectly.
- step 140 the output data 6a determined by the first control function 5a are output to the actuator or the system 2 connected downstream.
- step 150 the output data 6b-6c determined by the further control function 5b-5c are output to the actuator or the system 2 connected downstream.
- step 160 the first control function 5a is prompted to determine output data 6a' within the scope of the degraded range of functions. These output data 6a′ are then output to the actuator or the system 2 connected downstream in step 170 .
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Steuerungssystem (1) für mindestens ein empfangendes Gerät (2), umfassend: mindestens eine Eingabeschnittstelle (3a-3c), die dazu ausgebildet ist, eine Eingabe (4a-4c) einzulesen, auf die durch Ansteuerung des empfangenden Geräts (2) reagiert werden soll; eine Mehrzahl von Steuerfunktionen (5a-5c), die jeweils dazu ausgebildet sind, aus einer eingelesenen Eingabe (4a-4c) Ausgabedaten (6a-6c) für den Aktor (2) zu ermitteln; zu jeder Steuerfunktion (5a-5c) eine Selbstkontrolllogik (7a-7c), die dazu ausgebildet ist, eine Fehlfunktion dieser Steuerfunktion (5a-5c) zu erkennen; mindestens eine Kreuzkontrolllogik (8a, 8b), die dazu ausgebildet ist, zu prüfen, ob von einer Steuerfunktion (5a-5c) ermittelte Ausgabedaten (6a- 6c) in Einklang stehen mit • von einer anderen Steuerfunktion (5a -5c) ermittelten Ausgabedaten (6a-6c), • internen Informationen (9a -9c) aus dieser anderen Steuerfunktion (5a -5c) und/oder • einer von dieser anderen Steuerfunktion (5a-5c) verwendeten Eingabe (4a-4c), wobei Information in Bezug auf jede Steuerfunktion (5a-5c) in mindestens eine Kreuzkontrolllogik (8a, 8b) geführt ist; mindestens eine mit dem Aktor (2) verbindbare Ausgabeschnittstelle (11) für Ausgabedaten (6a-6c) sowie Umschaltlogik (10), die dazu ausgebildet ist, abhängig von den Feststellungen der Selbstkontrolllogiken (7a-7c) und den Feststellungen der Kreuzkontrolllogiken (8a, 8b) die von einer oder mehreren der Steuerfunktionen (5a-5c) ermittelten Ausgabedaten (6a-6c) auf die Ausgabeschnittstelle (11) zu schalten.
Description
Beschreibung
Titel:
Steuerungssystem für mindestens ein empfangendes Gerät in sicherheitskritischen Anwendungen
Die vorliegende Erfindung betrifft ein Steuerungssystem für die Ansteuerung eines Aktors in einem sicherheitskritischen System, wie beispielsweise einem zumindest teilweise automatisiert fahrenden Fahrzeug.
Stand der Technik
Viele technische Systeme sind sicherheitskritisch in dem Sinne, dass bei einer Fehlfunktion erhebliche Sach- oder gar Personenschäden entstehen können. Ein Beispiel hierfür sind Systeme, die ein ganz oder teilweise automatisiert fahrendes Fahrzeug steuern.
Um die Wahrscheinlichkeit für Fehlfunktionen zu reduzieren, kann einer Steuerfunktion für ein Fahrzeug beispielsweise gemäß der DE 102019 201 491 Al eine Überwachung hinzugefügt werden, die die von der Steuerfunktion vorgeschlagenen Eingriffe unabhängig im Hinblick auf sicherheitstechnische Anforderungen prüft. Steuerfunktionen können aber auch beispielsweise mehrfach redundant ausgeführt werden. Sind beispielsweise drei nominell identische, voneinander unabhängige Steuerfunktionen vorhanden, kann eine Fehlfunktion einer dieser Steuerfunktionen beispielsweise nach einem Mehrheitsprinzip eindeutig identifiziert werden, sofern die Eingangs- und Ausgangsdaten sowie die Zustände der drei unabhängigen Steuerfunktionen synchronisiert sind.
Offenbarung der Erfindung
Im Rahmen der Erfindung wurde ein Steuerungssystem für mindestens ein empfangendes Gerät entwickelt. Dieses empfangende Gerät kann insbesondere beispielsweise ein Aktor sein. In einem Gesamtsystem für das zumindest teilweise automatisierte Führen eines Fahrzeugs im Verkehr kann das empfangende Gerät aber auch beispielsweise ein Zwischenglied in einer Wirkkette sein, die Ausgabedate als Eingabedaten für ein oder mehrere andere Systeme erzeugt. Beispielsweise kann das Steuerungssystem Sollbahnkurven für das autonome Fahren generieren, die von nachfolgenden Systemen zur Bewegungsregelung weiterverarbeitet werden. Die Bewegungsregelung kann beispielsweise ebenfalls wie das hier beschriebene Steuerungssystem aufgebaut sein und Ansteuersignale für den Aktor generieren. Ein Gesamtsystem für das zumindest teilweise automatisierte Fahren kann also mehrere Instanzen des hier beschriebenen Steuerungssystems enthalten.
Das Steuerungssystem umfasst mindestens eine Eingabeschnittstelle, die dazu ausgebildet ist, eine Eingabe einzulesen, auf die durch Ansteuerung des empfangenden Geräts reagiert werden soll. Die Eingabe kann insbesondere beispielsweise einen Zustand eines technischen Systems repräsentieren, zu dem das anzusteuernde empfangende Gerät gehört. Für den Einsatz in einem Fahrzeug kann die Eingabeschnittstelle beispielsweise mit einem Bussystem des Fahrzeugs verbindbar sein, so dass Informationen von allen Teilnehmern dieses Bussystems mitgehört, abonniert oder gezielt abgerufen werden können.
Es ist eine Mehrzahl von Steuerfunktionen vorgesehen. Jede Steuerfunktion ist jeweils dazu ausgebildet, aus einer eingelesenen Eingabe Ausgabedaten für das empfangende Gerät zu ermitteln. Bei diesen Ausgabedaten kann es sich insbesondere beispielsweise um ein Ansteuersignal für das empfangende Gerät, etwa einen Aktor, handeln. Zu jeder Steuerfunktion ist nun eine Selbstkontrolllogik vorgesehen, die dazu ausgebildet ist, eine Fehlfunktion dieser Steuerfunktion zu erkennen. Für diese Erkennung kann die Selbstkontrolllogik insbesondere beispielsweise die der jeweiligen Steuerfunktion zugeführte Eingabe, interne Informationen dieser Steuerfunktion, und/oder von der jeweiligen Steuerfunktion ermittelte Ausgabedaten, heranziehen. Weiterhin ist Information in Bezug auf jede Steuerfunktion in mindestens eine Kreuzkontrolllogik geführt.
Beispielsweise kann eine unplausible oder ungültige Eingabe darauf hindeuten, dass ein für die Erfassung dieser Eingabe genutzter Sensor oder eine Kommunikationsverbindung zu diesem Sensor nicht funktioniert. Eine interne Zustandsüberwachung der Steuerfunktion kann sich beispielsweise auf physikalische Messgrößen beziehen, wie etwa auf eine Betriebsspannung, eine Stromaufnahme oder eine Temperatur der Steuerfunktion. Eine interne Zustandsüberwachung kann aber auch beispielsweise einen „Watchdog“ beinhalten, der feststellt, ob die Steuerfunktion möglicherweise in einer Endlosschleife oder in einem vergleichbaren Zustand, in dem sie nicht mehr reagiert, festhängt. Die Ausgabedaten können beispielsweise dahingehend überprüft werden, ob sie in einem zulässigen Wertebereich liegen.
Weiterhin ist mindestens eine Kreuzkontrolllogik vorgesehen. Diese Kreuzkontrolllogik ist dazu ausgebildet, zu prüfen, ob ein von einer Steuerfunktion mit
• von einer anderen Steuerfunktion ermittelten Ausgabedaten,
• internen Informationen aus dieser anderen Steuerfunktion und/oder
• einer von dieser anderen Steuerfunktion verwendeten Eingabe in Einklang steht. Auf diese Weise kann der Diagnoseabdeckungsgrad hinsichtlich zufälliger Hardwarefehler sowie Fehler systematischer Natur deutlich verbessert werden. Hierbei bedeutet der Begriff „in Einklang stehen“ insbesondere, dass nicht nur Informationen mit gleicher Dimension (also etwa Ortskoordinaten mit Ortskoordinaten) abgeglichen oder in sonstiger Weise plausibilisiert werden können, sondern auch Informationen mit unterschiedlicher Dimension, wie etwa Ortskoordinaten mit Beschleunigungsmesswerten. Weiterhin steckt in diesem Begriff auch, dass die miteinander abzugleichenden Größen nicht so exakt synchron geliefert werden müssen wie bei einem Vergleich nominell identischer Daten mit gleicher Dimension. So können beispielsweise unterschiedliche Algorithmen, mit denen Rohdaten zu ein und derselben Verkehrssituation verarbeitet werden, unterschiedlich lange zur Ausführung benötigen.
Es ist mindestens eine mit dem empfangenden Gerät verbindbare Ausgabeschnittstelle für Ausgabedaten vorgesehen. Weiterhin ist Umschaltlogik
vorgesehen. Diese Umschaltlogik ist dazu ausgebildet, abhängig von den Feststellungen der Selbstkontrolllogiken und den Feststellungen der mindestens einen Kreuzkontrolllogik die von einer oder mehreren der Steuerfunktionen ermittelten Ausgabedaten auf die Ausgabeschnittstelle zu schalten. Das empfangende Gerät muss nicht Teil des Steuerungssystems selbst sein, sondern die Ausgabedaten können aus dem Steuerungssystem heraus zum empfangenden Gerät geleitet werden.
Hierbei sind die Begriffe „Schnittstelle“ und „Logik“ nicht dahingehend einschränkend zu verstehen, dass beispielsweise eine Umschaltlogik oder eine Schnittstelle immer als separate Hardwareeinheit implementiert sein muss. Vielmehr sind diese Begriffe lediglich dahingehend zu verstehen, dass die jeweils geforderte Funktionalität in irgendeiner Weise bereitgestellt werden muss. So kann beispielsweise eine Umschaltlogik auch ganz oder teilweise in die jeweiligen Steuerfunktionen integriert sein.
Es wurde erkannt, dass der durch die Kombination aus den Selbstkontrolllogiken und den Kreuzkontrolllogiken erhöhte Diagnoseabdeckungsgrad in Bezug auf Fehlfunktionen
• eine Einsparung von Redundanz und somit eine Kosteneinsparung,
• eine effektivere Detektion und Behandlung systematischer Fehler und zufälliger Hardwarefehler sowie
• eine höhere Leistungsfähigkeit ermöglicht, da beispielsweise im Vergleich zu einer lediglich vollredundanten Ausführung der Steuerfunktionen mit Mehrheitsentscheid keine harte Synchronisation redundanter Kanäle mehr erforderlich ist.
Somit kann das Steuerungssystem im Vergleich zu einer lediglich vollredundanten Ausführung der Steuerfunktionen bei vergleichbar niedriger Wahrscheinlichkeit für ein unerwünschtes Ereignis (d.h., eine nicht abgefangene Fehlfunktion) mit weniger Steuerfunktionen auszukommen. Es kann also beispielsweise ein Niveau an Zuverlässigkeit, das bislang nur mit drei vollredundanten Steuerfunktionen erzielbar war, nunmehr auch mit nur zwei Steuerfunktionen erreicht werden. Die Erweiterung der Überwachung auf die Kombination aus Selbstkontrolllogiken und Kreuzkontrolllogik ist in der Summe
mit geringerem Hardwareaufwand und zu geringeren Kosten zu realisieren als das Hinzufügen einer dritten vollredundanten Steuerfunktion. Komplexe Steuerfunktionen können teure Hardwareplattformen voraussetzen, die beispielsweise Hochleistungs-Mikroprozessoren und/oder Hardwarebeschleuniger, wie etwa Grafikprozessoren (GPUs) enthalten.
Die Steuerfunktionen können beispielsweise nominell identisch sein. In einer besonders vorteilhaften Ausgestaltung sind diese verschiedenen Steuerfunktionen jedoch
• dazu ausgebildet, die ihnen zugeführte Eingabe auf unterschiedlichen Wegen zu Ausgabedaten zu verarbeiten, und/oder
• auf voneinander unabhängigen Hardwareplattformen implementiert.
Auf diese Weise kann durch Diversität zwischen den Steuerfunktionen der Diagnoseabdeckungsgrad nochmals verbessert werden. So werden sich beispielsweise zufällige Hardwarefehler (etwa das Umkippen einzelner Bits in Registern oder im Arbeitsspeicher) während der Verarbeitung der Eingaben zu Zustands- und Ausgabedaten auf unterschiedlichen Wegen mit hoher Wahrscheinlichkeit unterschiedlich aus und werden somit erkannt. Auch systematische Fehler, wie etwa Integer-Überläufe, werden in zwei unterschiedlich implementierten Steuerfunktionen mit hoher Wahrscheinlichkeit nicht an genau der gleichen Stelle auftreten. Gleiches gilt entsprechend bezüglich systematischer Fehler in Hardwareplattformen.
In einer weiteren vorteilhaften Ausgestaltung sind die Selbstkontrolllogiken und die Kreuzkontrolllogiken auf Hardware mit einer höherwertigen Güteklasse in Bezug auf funktionale Sicherheit implementiert als die Steuerfunktionen. Die Güteklasse kann sich insbesondere beispielsweise im Vorhandensein oder Nichtvorhandensein einer einschlägigen sicherheitstechnischen Zertifizierung, etwa eines bestimmten ASIL-Levels, manifestieren. Auf diese Weise kann ohne relevante Abstriche in Bezug auf die funktionale Sicherheit performante und zugleich preisgünstige Hardware für die Steuerfunktion genutzt werden.
Eine hohe Leistung und eine hohe Güte in Bezug auf funktionale Sicherheit sind Ziele, die ein Stück weit gegenläufig sind. So wird eine hohe Leistung beispielsweise häufig gerade dadurch erzielt, dass bei den Strukturgrößen von
Prozessoren und anderen Halbleiterbauelementen an die Grenze des Machbaren gegangen wird und die Taktraten so hoch gewählt werden, dass dies gerade noch im thermischen Budget liegt. Derartige Maßnahmen sind aber der funktionalen Sicherheit abträglich, denn bei kleinen Strukturgrößen benötigen beispielsweise externe Störungen, wie etwa durch Hintergrundstrahlung oder elektromagnetische Interferenz, deutlich weniger Energie, um beispielsweise ein Bit umzukippen. Die Wahrscheinlichkeit, dass dies in einer gegebenen Betriebsumgebung passiert, ist also bei kleineren Strukturgrößen erhöht.
Hardwarekomponenten, die sowohl eine hohe Leistung als auch eine hochwertige Güteklasse in Bezug auf funktionale Sicherheit haben, sind somit aufwändiger herzustellen und überproportional teuer. Die Kombination der Selbstkontrolllogiken mit den Kreuzkontrolllogiken bewirkt ein so hoher Diagnoseabdeckungsgrad hinsichtlich Fehlfunktionen in den Steuerfunktionen, dass die geforderte Sicherheit der Generierung von Ausgabedaten insgesamt auch dann erreicht werden kann, wenn die Steuerfunktionen eine niedrigere Sicherheitsintegritätsstufe als das Gesamtsystem aufweisen. Die Selbstkontrolllogiken und die Kreuzkontrolllogiken sind hingegen vergleichsweise einfach aufgebaut und können daher mit angemessenem Aufwand auf Hardware mit einer hohen Güteklasse in Bezug auf funktionale Sicherheit implementiert werden.
In einer weiteren vorteilhaften Ausgestaltung sind mehreren Steuerfunktionen unterschiedliche Eingabeschnittstellen zugeordnet, die dazu ausgebildet sind, nicht deckungsgleiche Eingaben einzulesen. Auf diese Weise wird eine Diversität auch bezüglich der Eingaben erreicht. Ein Fehler in einer Eingabe, wie er beispielsweise durch eine Fehlfunktion eines Sensors entstehen kann, wird sich dann in unterschiedlicher Weise auf die mehreren Steuerfunktionen auswirken, da dieser Fehler jeweils mit unterschiedlichen Zusammensetzungen weiterer Eingaben kombiniert wird. Je disjunkter die von verschiedenen Steuerfunktionen jeweils genutzten Eingaben sind, desto unwahrscheinlicher ist weiterhin, dass der Ausfall einer bestimmten Eingabe das Erzeugen der Ausgabedaten in mehreren Steuerfunktionen gleichzeitig verhindert oder verfälscht.
Zur Erhöhung der sicherheitsgerichteten Verfügbarkeit des technischen Systems können zufällige und systematische Fehler behoben werden, ohne den Betrieb des technischen Systems, das etwa einen anzusteuernden Aktor enthält, unterbrechen zu müssen. Daher ist in einer weiteren besonders vorteilhaften Ausgestaltung mindestens eine Selbstkontrolllogik oder Kreuzkontrolllogik dazu ausgebildet, in Antwort auf die Feststellung, dass eine Steuerfunktion fehlerhaft arbeitet,
• eine Neuberechnung der Ausgabedaten in dieser Steuerfunktion,
• eine Neukonfiguration dieser Steuerfunktion, und/oder
• einen Neustart dieser Steuerfunktion auszulösen. Alternativ oder auch in Kombination hierzu kann die fehlerhaft arbeitende Steuerfunktion inhibiert werden. Das heißt, sie kann daran gehindert werden, ihre ermittelten Ausgabedaten an die Ausgabeschnittstelle weiterzuleiten. Dies kann beispielsweise durch die Umschaltlogik realisiert werden, aber auch beispielsweise in der Steuerfunktion selbst oder auch etwa durch Unterbrechung einer Kommunikationsverbindung zwischen der fehlerhaft arbeitenden Steuerfunktion und einem Netzwerk mit den anzusteuernden nachfolgenden Systemen.
In einer weiteren besonders vorteilhaften Ausgestaltung ist mindestens eine Steuerfunktion dazu ausgebildet, Ausgabedaten im Rahmen eines vollen Funktionsumfang eines technischen Systems, dem der Aktor angehört, zu ermitteln. Zugleich sind sowohl diese Steuerfunktion als auch mindestens eine weitere Steuerfunktion dazu ausgebildet, Ausgabedaten im Rahmen eines gegenüber dem vollen Funktionsumfang degradierten Funktionsumfangs zu ermitteln. „Degradiert“ kann in diesem Zusammenhang insbesondere beispielsweise bedeuten, dass eine verfügbare Funktionsvielfalt, und/oder eine quantitative Leistung, des technischen Systems gegenüber dem vollen Funktionsumfang herabgesetzt ist. Wenn das Steuerungssystem beispielsweise zur Ansteuerung mindestens eines Aktors in einem zumindest teilweise automatisiert fahrenden Fahrzeug dient, kann ein degradierter Funktionsumfang beispielsweise beinhalten, dass das Fahrzeug nur noch mit verminderter Geschwindigkeit fahren oder nur noch bestimmte Fahrmanöver ausführen kann.
Wenn die weitere Steuerfunktion nur zum Ermitteln von Ausgabedaten im Rahmen des degradierten Funktionsumfangs vorgesehen ist, nicht jedoch zum Ermitteln von Ausgabedaten im Rahmen des vollen Funktionsumfangs, kann diese weitere Steuerfunktion beispielsweise auf einer einfacheren Hardwareplattform implementiert sein. Die komplette Hardwareausstattung, die zur Bereitstellung des vollen Funktionsumfangs nötig ist, muss also nur noch einmal bereitgestellt werden und nicht, wie bei vollredundanter Ausführung, mehrfach.
Im Normalbetrieb kann also beispielsweise diejenige Steuerfunktion mit voller Hardwareausstattung genutzt werden, die zum Ermitteln der Ausgabedaten im Rahmen des vollen Funktionsumfangs vorgesehen ist. Diese Steuerfunktion kann beispielsweise Hochleistungs-Mikroprozessoren und/oder Hardwarebeschleuniger, wie etwa GPUs, umfassen und etwa dazu ausgebildet sein, in einem Fahrzeugumfeld aufgenommene Bilder umfassend mit neuronalen Netzwerken auszuwerten. Bei einer Fehlfunktion dieser Steuerfunktion können die Ausgabedaten von einer weiteren Steuerfunktion bezogen werden, die lediglich dazu ausgebildet ist, das Fahrzeug mit Hilfe reduzierter Fahrmanöver in einen sicheren Zustand zu überführen.
Somit wird die vorhandene Hardwareausstattung optimal genutzt, und es liegt nicht etwa eine komplette Hardwareausstattung für den überwiegenden Teil der Betriebsdauer brach.
Es können insbesondere beispielsweise mehrere weitere Steuerfunktionen zum Einsatz kommen, die etwa verschiedene Abstufungen eines degradierten Betriebes ermöglichen. So können beispielsweise eine weitere Steuerfunktion für einen Betrieb des Fahrzeugs bei verminderter Geschwindigkeit und eine andere weitere Steuerfunktion für das Anhalten des Fahrzeugs bei der nächsten geeigneten Parkmöglichkeit vorgesehen sein.
Die Erfindung bezieht sich auch auf ein Verfahren zum Betreiben des zuvor beschriebenen Steuerungssystems speziell in dem Anwendungsfall eines automatisiert fahrenden Fahrzeugs, zu dem der anzusteuernde Aktor gehört. Wie zuvor beschrieben, ermittelt eine erste Steuerfunktion Ausgabedaten im Rahmen
des vollen Funktionsumfangs für den automatisierten Fährbetriebs. Mindestens eine weitere Steuerfunktion ist dafür zuständig, Ausgabedaten im Rahmen eines degradierten Funktionsumfangs zu ermitteln.
Im Rahmen des Verfahrens wird mit den Selbstkontrolllogiken und Kreuzkontrollogiken geprüft, ob diese erste Steuerfunktion oder eine weitere Steuerfunktion fehlerhaft arbeitet.
In Antwort auf die Feststellung, dass keine der Steuerfunktionen fehlerhaft arbeitet, werden die von der ersten Steuerfunktion im Rahmen des vollen Funktionsumfangs ermittelten Ausgabedaten an den Aktor ausgegeben.
In Antwort auf die Feststellung, dass die erste Steuerfunktion fehlerhaft arbeitet, werden die von der weiteren Steuerfunktion im Rahmen des degradierten Funktionsumfangs ermittelten Ausgabedaten an den Aktor ausgegeben.
In Antwort auf die Feststellung, dass die weitere Steuerfunktion fehlerhaft arbeitet, wird die erste Steuerfunktion dazu veranlasst, Ausgabedaten im Rahmen des degradierten Funktionsumfangs zu ermitteln und diese neuen Ausgabedaten an den Aktor auszugeben.
Rein technisch könnte das Fahrzeug bei einem Ausfall der zweiten Steuerfunktion noch mit der ersten Steuerfunktion im Rahmen des vollen Funktionsumfangs fahren. Der Ausfall der zweiten Steuerfunktion führt jedoch dazu, dass die notwendige Rückfallebene für den Fall, dass nun auch ein Fehler in der ersten Steuerfunktion auftritt, nicht mehr gegeben ist. Daher ist nach dem Ausfall der zweiten Steuerfunktion ein Weiterbetrieb der ersten Steuerfunktion mit dem vollen Funktionsumfang sicherheitstechnisch nicht mehr zulässig.
Somit wird in einer besonders vorteilhaften Ausgestaltung ein degradierter Funktionsumfang für den Fährbetrieb des Fahrzeugs gewählt, der eine geringere Sicherheitsintegritätsstufe erfordert als der volle Funktionsumfang. Insbesondere kann beispielsweise der Betrieb im degradierten Funktionsumfang eine so geringe Sicherheitsintegritätsstufe erfordern, dass hierfür der Betrieb nur der ersten Steuerfunktion ohne weitere Rückfallebene ausreicht.
Wie zuvor erläutert, kann der degradierte Funktionsumfang insbesondere beispielsweise umfassen, dass
• die maximale Fahrgeschwindigkeit des Fahrzeugs gegenüber dem vollen Funktionsumfang herabgesetzt wird; und/oder
• das Fahrzeug auf einer zuvor geplanten Notstopp-Trajektorie zum Stehen gebracht wird; und/oder
• das Fahrzeug bei nächster Gelegenheit verkehrsgerecht aus dem öffentlichen Verkehr entfernt wird.
Bereits das Herabsetzen der Fahrgeschwindigkeit kann zur Folge haben, dass eine geringere Sicherheitsintegritätsstufe ausreicht, also beispielsweise die Weiterfahrt nur noch mit der ersten Steuerfunktion zulässig ist. Das Anhalten auf der Notstopp-Trajektorie und das sonstige Entfernen aus dem öffentlichen Verkehr, beispielsweise durch Einparken in die nächste Parklücke, erfordern eine noch geringere Sicherheitsintegritätsstufe und dauern auch nur kurz. Daher können dieser Manöver mit nur noch einer verbliebenen Steuerfunktion durchgeführt werden.
Das Verfahren kann insbesondere ganz oder teilweise computerimplementiert sein. Daher bezieht sich die Erfindung auch auf ein Computerprogramm mit maschinenlesbaren Anweisungen, die, wenn sie auf einem oder mehreren Computern ausgeführt werden, den oder die Computer dazu veranlassen, das beschriebene Verfahren auszuführen. In diesem Sinne sind auch Steuergeräte für Fahrzeuge und Embedded-Systeme für technische Geräte, die ebenfalls in der Lage sind, maschinenlesbare Anweisungen auszuführen, als Computer anzusehen.
Ebenso bezieht sich die Erfindung auch auf einen maschinenlesbaren Datenträger und/oder auf ein Downloadprodukt mit dem Computerprogramm. Ein Downloadprodukt ist ein über ein Datennetzwerk übertragbares, d.h. von einem Benutzer des Datennetzwerks downloadbares, digitales Produkt, das beispielsweise in einem Online-Shop zum sofortigen Download feilgeboten werden kann.
Weiterhin kann ein Computer mit dem Computerprogramm, mit dem maschinenlesbaren Datenträger bzw. mit dem Downloadprodukt ausgerüstet sein.
Weitere, die Erfindung verbessernde Maßnahmen werden nachstehend gemeinsam mit der Beschreibung der bevorzugten Ausführungsbeispiele der Erfindung anhand von Figuren näher dargestellt.
Ausführungsbeispiele
Es zeigt:
Figur 1 Ausführungsbeispiel des Steuerungssystems 1 mit zwei Steuerfunktionen 5a-5b;
Figur 2 Ausführungsbeispiel des Steuerungssystems 1 mit drei Steuerfunktionen 5a-5c;
Figur 3 Ausführungsbeispiel des Verfahrens 100 zum Betreiben des Steuerungssystems 1.
Figur 1 ist eine Schemazeichnung eines ersten Ausführungsbeispiels des Steuerungssystems 1. Dieses Steuerungssystem 1 enthält eine erste Steuerfunktion 5a und eine zweite Steuerfunktion 5b. Die erste Steuerfunktion 5a erhält eine Eingabe 4a über mindestens eine erste Eingabeschnittstelle 3a. Die zweite Steuerfunktion 5b erhält eine Eingabe 4b über eine zweite Eingabeschnittstelle 3b.
Die erste Steuerfunktion 5a ist dazu ausgebildet und ausgerüstet, erste Ausgabedaten 6a im Rahmen des vollen Funktionsumfangs des technischen Systems, das den einen Aktor oder ein anderes nachfolgendes System als empfangendes Gerät 2 enthält, zu ermitteln. Die zweite Steuerfunktion 5b ist lediglich dazu ausgebildet und ausgerüstet, zweite Ausgabedaten 6b im Rahmen eines degradierten Funktionsumfangs zu ermitteln. Jede der Steuerfunktionen
5a, 5b wird jeweils von einer Selbstkontrolllogik 7a, 7b überwacht, die die jeweilige Eingabe 4a bzw. 4b, die jeweils erzeugten Ausgabedaten 6a bzw. 6b sowie interne Informationen 9a, 9b aus der jeweiligen Steuerfunktion 5a, 5b heranzieht. Zusätzlich werden die Informationen 4a, 6a, 9a bzw. 4b, 6b, 9b, die sich auf die Steuerfunktionen 5a bzw. 5b beziehen, auch der Kreuzkontrolllogik 8a übergeben.
Im Zusammenspiel der Selbstkontrolllogiken 7a, 7b und der Kreuzkontrolllogik 8a wird geprüft, ob beide Steuerfunktionen 5a, 5b fehlerfrei arbeiten. Abhängig von den jeweiligen Feststellungen wird über die Umschaltlogik 10 festgelegt, welche Ausgabedaten über die Ausgabeschnittstelle 11 an den Aktor oder das nachfolgende System 2 ausgegeben werden.
Wenn beide Steuerfunktionen 5a, 5b fehlerfrei arbeiten, werden in dem in Figur 1 gezeigten Beispiel die ersten Ausgabedaten 6a an den Aktor oder das nachfolgende System 2 ausgegeben, so dass der Aktor oder das nachfolgende System 2 im Rahmen des vollen Funktionsumfangs angesteuert wird.
Wenn die Steuerfunktion 5a fehlerhaft arbeitet, werden die zweiten Ausgabedaten 6b an den Aktor oder das nachfolgende System 2 ausgegeben, so dass der Aktor oder das nachfolgende System 2 im Rahmen des degradierten Funktionsumfangs angesteuert wird.
Wenn die Steuerfunktion 5b fehlerhaft arbeitet, wird die erste Steuerfunktion 5a dazu veranlasst, neue Ausgabedaten 6a' im Rahmen des degradierten Funktionsumfangs zu ermitteln. Diese neuen Ausgabedaten 6a' werden dann an den Aktor oder das nachfolgende System 2 ausgegeben. Wie zuvor erläutert, wird damit die Vorgabe aus der Anwendung umgesetzt, dass der volle Funktionsumfang nur genutzt werden darf, wenn die zweite Steuerfunktion 5b als Rückfallebene zur Verfügung steht.
Sämtliche Einflussnahme der Kontrolllogiken 7a, 7b, 8a darauf, welche Ausgabedaten 6a, 6b, 6a' an den Aktor oder das nachfolgende System 2 ausgegeben bzw. hierfür eigens neu gebildet wird, geschieht über Sicherheitsanweisungen S.
Figur 2 ist eine Schemazeichnung eines weiteren Ausführungsbeispiels des Steuerungssystems 1. Im Unterschied zu Figur 1 ist noch eine dritte Steuerfunktion 5c vorgesehen. Diese dritte Steuerfunktion 5c erhält eine Eingabe 4c über eine dritte Eingabeschnittstelle 3a und ermittelt Ausgabedaten 6c. Die Eingabe 4c, die Ausgabedaten 6c, und/oder interne Informationen 9c der dritten Steuerfunktion 5c, sind in die dritte Selbstkontrolllogik 7c sowie in eine zweite Kreuzkontrolllogik 8b geführt. Diese zweite Kreuzkontrolllogik 8b erhält zusätzlich die Informationen 4b, 6b und 9b, die sich auf die zweite Steuerfunktion 5b beziehen.
In dem in Figur 2 gezeigten Beispiel ist die erste Steuerfunktion 5a dazu ausgebildet und ausgerüstet, erste Ausgabedaten 6a im Rahmen des vollen Funktionsumfangs des technischen Systems, das den Aktor oder das nachgeschaltete System 2 enthält, zu ermitteln. Die zweite Steuerfunktion 5b ist dazu ausgebildet und ausgerüstet, zweite Ausgabedaten 6b im Rahmen eines ersten degradierten Funktionsumfangs des technischen Systems zu ermitteln.
Die dritte Steuerfunktion 5c ist dazu ausgebildet und ausgerüstet, dritte Ausgabedaten 6c im Rahmen eines noch weiter eingeschränkten zweiten degradierten Funktionsumfangs des technischen Systems zu ermitteln.
Da nun drei Steuerfunktionen 5a-5c vorhanden sind, muss die erste Steuerfunktion 5a nicht mehr zusätzlich dazu ausgebildet sein, auf Zuruf ggfs, ebenfalls neue Ausgabedaten 6a' im Rahmen eines degradierten Funktionsumfangs zu ermitteln. Vielmehr steht bei Ausfall lediglich einer der Steuerfunktionen 5b oder 5c noch die jeweils andere Steuerfunktion 5c bzw. 5b als Rückfallebene zur Verfügung. Sofern die erste Steuerfunktion 5a also fehlerfrei arbeitet, kann sie weiter im vollen Funktionsumfang betrieben werden.
Figur 3 ist ein Ausführungsbeispiel des Verfahrens 100 zum Betreiben des Steuerungssystems 1. Dieses Ausführungsbeispiel korrespondiert zu der bereits im Zusammenhang mit Figur 1 erläuterten Betriebsweise.
In Schritt 110 werden Ausgabedaten 6a von einer ersten Steuerfunktion 5a gebildet, die den vollen Funktionsumfang für einen automatisierten Fährbetrieb des Fahrzeugs bereitstellt.
In Schritt 120 werden Ausgabedaten 6b-6c von einer weiteren Steuerfunktion 5b- 5c gebildet, die einen degradierten Funktionsumfang für einen automatisierten Fährbetrieb des Fahrzeugs bereitstellt.
In Schritt 130 wird mit den Selbstkontrolllogiken 7a-7c und Kreuzkontrollogiken 8a, 8b geprüft, ob diese erste Steuerfunktion 5a oder eine weitere Steuerfunktion 5b-5c fehlerhaft arbeitet.
Wenn keine der Steuerfunktionen 5a-5c fehlerhaft arbeitet (Ergebnis 0), werden in Schritt 140 die von der ersten Steuerfunktion 5a ermittelten Ausgabedaten 6a an den Aktor oder das nachgeschaltete System 2 ausgegeben.
Wenn die erste Steuerfunktion 5a fehlerhaft arbeitet (Ergebnis 1), werden in Schritt 150 die von der weiteren Steuerfunktion 5b-5c ermittelten Ausgabedaten 6b-6c an den Aktor oder das nachgeschaltete System 2 ausgegeben.
Wenn die weitere Steuerfunktion 5b-5c fehlerhaft arbeitet (Ergebnis 2), wird in Schritt 160 die erste Steuerfunktion 5a dazu veranlasst, Ausgabedaten 6a' im Rahmen des degradierten Funktionsumfangs zu ermitteln. Diese Ausgabedaten 6a' werden dann in Schritt 170 an den Aktor oder das nachgeschaltete System 2 ausgegeben.
Claims
1. Steuerungssystem (1) für mindestens ein empfangendes Gerät (2), umfassend:
• mindestens eine Eingabeschnittstelle (3a-3c), die dazu ausgebildet ist, eine Eingabe (4a-4c) einzulesen, auf die durch Ansteuerung des empfangenden Geräts (2) reagiert werden soll;
• eine Mehrzahl von Steuerfunktionen (5a-5c), die jeweils dazu ausgebildet sind, aus einer eingelesenen Eingabe (4a-4c) Ausgabedaten (6a-6c) für das empfangende Gerät (2) zu ermitteln;
• zu jeder Steuerfunktion (5a-5c) eine Selbstkontrolllogik (7a-7c), die dazu ausgebildet ist, eine Fehlfunktion dieser Steuerfunktion (5a-5c) zu erkennen;
• mindestens eine Kreuzkontrolllogik (8a, 8b), die dazu ausgebildet ist, zu prüfen, ob von einer Steuerfunktion (5a-5c) ermittelte Ausgabedaten (6a- 6c) in Einklang stehen mit o von einer anderen Steuerfunktion (5a-5c) ermittelten Ausgabedaten (6a-6c), o internen Informationen (9a-9c) aus dieser anderen Steuerfunktion (5a-5c) und/oder o einer von dieser anderen Steuerfunktion (5a-5c) verwendeten Eingabe (4a-4c), wobei Information in Bezug auf jede Steuerfunktion (5a-5c) in mindestens eine Kreuzkontrolllogik (8a, 8b) geführt ist;
• mindestens eine mit dem Aktor (2) verbindbare Ausgabeschnittstelle (11) für Ausgabedaten (6a-6c) sowie
• Umschaltlogik (10), die dazu ausgebildet ist, abhängig von den Feststellungen der Selbstkontrolllogiken (7a-7c) und den Feststellungen der Kreuzkontrolllogiken (8a, 8b) die von einer oder mehreren der Steuerfunktionen (5a-5c) ermittelten Ausgabedaten (6a-6c) auf die Ausgabeschnittstelle (11) zu schalten.
2. Steuerungssystem (1) nach Anspruch 1, wobei mehreren Steuerfunktionen (5a-5c) unterschiedliche Eingabeschnittstellen (3a-3c) zugeordnet sind, die dazu ausgebildet sind, nicht deckungsgleiche Eingaben (4a- 4c) einzulesen.
3. Steuerungssystem (1) nach einem der Ansprüche 1 bis 2, wobei verschiedene Steuerfunktionen (5a-5c)
• dazu ausgebildet sind, den ihnen zugeführte Eingabe (4a-4c) auf unterschiedlichen Wegen zu Ausgabedaten (6a-6c) zu verarbeiten, und/oder
• auf voneinander unabhängigen Hardwareplattformen implementiert sind.
4. Steuerungssystem (1) nach einem der Ansprüche 1 bis 3, wobei die Selbstkontrolllogiken (7a-7c) und die Kreuzkontrolllogiken (8a, 8b) auf Hardware mit einer höherwertigen Güteklasse in Bezug auf funktionale Sicherheit implementiert sind als die Steuerfunktionen (5a-5c) .
5. Steuerungssystem (1) nach einem der Ansprüche 1 bis 4, wobei mindestens eine Selbstkontrolllogik (7a-7c) oder Kreuzkontrolllogik (8a, 8b) dazu ausgebildet ist, in Antwort auf die Feststellung, dass eine Steuerfunktion (5a-5c) fehlerhaft arbeitet,
• eine Neuberechnung der Ausgabedaten (6a-6c) in dieser Steuerfunktion (5a-5c),
• eine Neukonfiguration dieser Steuerfunktion (5a-5c), und/oder
• einen Neustart dieser Steuerfunktion (5a-5c) auszulösen, und/oder diese Steuerfunktion (5a-5c) zu inhibieren.
6. Steuerungssystem (1) nach einem der Ansprüche 1 bis 5, wobei
• mindestens eine Steuerfunktion (5a-5c) dazu ausgebildet ist, Ausgabedaten (6a-6c) im Rahmen eines vollen Funktionsumfang eines technischen Systems, dem der Aktor (2) angehört, zu ermitteln, und
• diese Steuerfunktion (5a-5c) sowie mindestens eine weitere Steuerfunktion (5a-5c) dazu ausgebildet sind, Ausgabedaten (6a-6c) im
Rahmen eines gegenüber dem vollen Funktionsumfang degradierten Funktionsumfangs zu ermitteln.
7. Steuerungssystem (1) nach einem der Ansprüche 1 bis 6, ausgebildet zur Ansteuerung mindestens eines Aktors (2) in einem zumindest teilweise automatisiert fahrenden Fahrzeug.
8. Verfahren (100) zum Betreiben eines Steuerungssystems (1) nach Anspruch 6 und 7 mit den Schritten:
• Ausgabedaten (6a) werden von einer ersten Steuerfunktion (5a) gebildet (110), die den vollen Funktionsumfang für einen automatisierten Fährbetrieb des Fahrzeugs bereitstellt;
• Ausgabedaten (6b-6c) werden von einer weiteren Steuerfunktion (5b-5c) gebildet (120), die einen degradierten Funktionsumfang für einen automatisierten Fährbetrieb des Fahrzeugs bereitstellt;
• es wird mit den Selbstkontrolllogiken (7a-7c) und Kreuzkontrollogiken (8a, 8b) geprüft (130), ob diese erste Steuerfunktion (5a) oder eine weitere Steuerfunktion (5b-5c) fehlerhaft arbeitet;
• in Antwort auf die Feststellung, dass keine der Steuerfunktionen (5a-5c) fehlerhaft arbeitet, werden die von der ersten Steuerfunktion (5a) ermittelten Ausgabedaten (6a) an den Aktor (2) ausgegeben (140);
• in Antwort auf die Feststellung, dass die erste Steuerfunktion (5a) fehlerhaft arbeitet, werden die von der weiteren Steuerfunktion (5b-5c) ermittelten Ausgabedaten (6b-6c) an den Aktor (2) ausgegeben (150);
• in Antwort auf die Feststellung, dass die weitere Steuerfunktion (5a-5c) fehlerhaft arbeitet, wird die erste Steuerfunktion (5a) dazu veranlasst (160), Ausgabedaten (6a') im Rahmen des degradierten Funktionsumfangs zu ermitteln, und diese Ausgabedaten (6a') werden an den Aktor (2) ausgegeben (170).
9. Verfahren (100) nach Anspruch 8, wobei ein degradierter Funktionsumfang für den Fährbetrieb des Fahrzeugs gewählt wird (131, 141), der eine geringere Sicherheitsintegritätsstufe erfordert als der volle Funktionsumfang.
10. Verfahren (100) nach Anspruch 9, wobei der degradierte Funktionsumfang umfasst, dass
• die maximale Fahrgeschwindigkeit des Fahrzeugs gegenüber dem vollen Funktionsumfang herabgesetzt wird; und/oder · das Fahrzeug auf einer zuvor geplanten Notstopp-Trajektorie zum Stehen gebracht wird; und/oder
• das Fahrzeug bei nächster Gelegenheit verkehrsgerecht aus dem öffentlichen Verkehr entfernt wird.
11. Computerprogramm, enthaltend maschinenlesbare Anweisungen, die, wenn sie auf einem oder mehreren Computern ausgeführt werden, den oder die Computer dazu veranlassen, ein Verfahren (100) nach einem der Ansprüche 8 bis 10 auszuführen.
12. Maschinenlesbarer Datenträger und/oder Downloadprodukt mit dem
Computerprogramm nach Anspruch 11.
13. Ein oder mehrere Computer mit dem Computerprogramm nach Anspruch 11, und/oder mit dem maschinenlesbaren Datenträger und/oder Download produkt nach Anspruch 12.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202280055831.1A CN117859117A (zh) | 2021-06-16 | 2022-06-14 | 用于安全关键应用中的至少一个接收设备的控制系统 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102021206133.8 | 2021-06-16 | ||
| DE102021206133.8A DE102021206133A1 (de) | 2021-06-16 | 2021-06-16 | Steuerungssystem für mindestens ein empfangendes Gerät in sicherheitskritischen Anwendungen |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2022263416A1 true WO2022263416A1 (de) | 2022-12-22 |
Family
ID=82115976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2022/066119 WO2022263416A1 (de) | 2021-06-16 | 2022-06-14 | Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN117859117A (de) |
| DE (1) | DE102021206133A1 (de) |
| WO (1) | WO2022263416A1 (de) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080270746A1 (en) * | 2004-10-25 | 2008-10-30 | Bernd Mueller | Method and Device for Performing Switchover Operations and for Comparing Signals in a Computer System Having at Least Two Processing Units |
| DE102008004205A1 (de) * | 2008-01-14 | 2009-07-16 | Robert Bosch Gmbh | Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen |
| US20140214277A1 (en) * | 2011-09-14 | 2014-07-31 | Zf Lenksysteme Gmbh | Method for operating an electrical power steering mechanism |
| US20190094830A1 (en) * | 2017-09-26 | 2019-03-28 | Renesas Electronics Corporation | Microcontroller and control method of the same |
| US20190283768A1 (en) * | 2018-03-16 | 2019-09-19 | Trw Automotive Gmbh | Control system and improved control method for the autonomous control of a motor vehicle |
| US20200026598A1 (en) * | 2019-09-27 | 2020-01-23 | Gabriele Boschi | Two die system on chip (soc) for providing hardware fault tolerance (hft) for a paired soc |
| DE102019201491A1 (de) | 2019-02-06 | 2020-08-06 | Robert Bosch Gmbh | Messdatenauswertung für fahrdynamische Systeme mit Absicherung der beabsichtigten Funktion |
| US20210146938A1 (en) * | 2017-06-19 | 2021-05-20 | Zf Friedrichshafen Ag | Device and method for controlling a vehicle module depending on a status signal |
-
2021
- 2021-06-16 DE DE102021206133.8A patent/DE102021206133A1/de active Pending
-
2022
- 2022-06-14 WO PCT/EP2022/066119 patent/WO2022263416A1/de active Application Filing
- 2022-06-14 CN CN202280055831.1A patent/CN117859117A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080270746A1 (en) * | 2004-10-25 | 2008-10-30 | Bernd Mueller | Method and Device for Performing Switchover Operations and for Comparing Signals in a Computer System Having at Least Two Processing Units |
| DE102008004205A1 (de) * | 2008-01-14 | 2009-07-16 | Robert Bosch Gmbh | Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen |
| US20140214277A1 (en) * | 2011-09-14 | 2014-07-31 | Zf Lenksysteme Gmbh | Method for operating an electrical power steering mechanism |
| US20210146938A1 (en) * | 2017-06-19 | 2021-05-20 | Zf Friedrichshafen Ag | Device and method for controlling a vehicle module depending on a status signal |
| US20190094830A1 (en) * | 2017-09-26 | 2019-03-28 | Renesas Electronics Corporation | Microcontroller and control method of the same |
| US20190283768A1 (en) * | 2018-03-16 | 2019-09-19 | Trw Automotive Gmbh | Control system and improved control method for the autonomous control of a motor vehicle |
| DE102019201491A1 (de) | 2019-02-06 | 2020-08-06 | Robert Bosch Gmbh | Messdatenauswertung für fahrdynamische Systeme mit Absicherung der beabsichtigten Funktion |
| US20200026598A1 (en) * | 2019-09-27 | 2020-01-23 | Gabriele Boschi | Two die system on chip (soc) for providing hardware fault tolerance (hft) for a paired soc |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102021206133A1 (de) | 2022-12-22 |
| CN117859117A (zh) | 2024-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE102016107015B4 (de) | System mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall | |
| WO2008040641A2 (de) | Verfahren und vorrichtung zur fehlerverwaltung | |
| EP2972601A1 (de) | Verfahren zur risikoabgrenzung von fehlern in einem redundanten sicherheitsrelevanten steuerungssystem für ein kraftfahrzeug | |
| DE19509150C2 (de) | Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage | |
| EP2099667B2 (de) | Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems | |
| DE19500188B4 (de) | Schaltungsanordnung für eine Bremsanlage | |
| WO2018233934A1 (de) | Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls | |
| EP1615087B1 (de) | Steuer- und Regeleinheit | |
| EP3110061A1 (de) | Verteiltes echtzeitcomputersystem sowie verfahren zur erzwingung des fail-silent-verhaltens eines verteilten echtzeitcomputersystems | |
| DE102008004206A1 (de) | Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug | |
| DE102017011685A1 (de) | Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen | |
| DE102013021231A1 (de) | Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät | |
| EP2228723B1 (de) | Verfahren zur Fehlerbehandlung eines Rechnersystems | |
| WO2022263416A1 (de) | Steuerungssystem für mindestens ein empfangendes gerät in sicherheitskritischen anwendungen | |
| EP2013731B1 (de) | Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung | |
| DE102012212680A1 (de) | Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten | |
| DE102015119611B4 (de) | Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen | |
| WO2007017399A1 (de) | Vorrichtung und verfahren zur konfiguration einer halbleiterschaltung | |
| DE102017212560A1 (de) | Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion | |
| DE102019218074B4 (de) | Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs | |
| WO2018050491A1 (de) | Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit | |
| EP4362363A1 (de) | Verfahren und systeme zum bearbeiten von nutzdaten | |
| WO2023232401A1 (de) | Verfahren für einen betrieb eines steuergeräts eines fahrzeuges | |
| WO2022268270A1 (de) | Steuereinrichtung sowie assistenzsystem für ein fahrzeug | |
| DE102021127310A1 (de) | System und Verfahren zur Datenübertragung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22731722 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 18570989 Country of ref document: US |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 202280055831.1 Country of ref document: CN |