WO2022268270A1 - Steuereinrichtung sowie assistenzsystem für ein fahrzeug - Google Patents
Steuereinrichtung sowie assistenzsystem für ein fahrzeug Download PDFInfo
- Publication number
- WO2022268270A1 WO2022268270A1 PCT/DE2022/200132 DE2022200132W WO2022268270A1 WO 2022268270 A1 WO2022268270 A1 WO 2022268270A1 DE 2022200132 W DE2022200132 W DE 2022200132W WO 2022268270 A1 WO2022268270 A1 WO 2022268270A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- control device
- platform
- checking
- platforms
- area
- Prior art date
Links
- 238000004364 calculation method Methods 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 22
- 238000012544 monitoring process Methods 0.000 claims abstract description 16
- 238000012545 processing Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 4
- 238000012552 review Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 230000002950 deficient Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000005265 energy consumption Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012824 chemical production Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
- G05D1/0077—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/183—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
- G06F11/184—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2035—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2048—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
Definitions
- the present invention relates to a control device, in particular for a vehicle, and an assistance system for (partially) autonomous driving for a vehicle, which includes a control device according to the invention.
- Modern means of transport such as motor vehicles or motorcycles are increasingly being equipped with driver assistance systems that use sensor systems to detect the environment, recognize the traffic situation and support the driver, e.g. B. by a braking or steering intervention or by the output of a visual or acoustic warning.
- Radar sensors, lidar sensors, camera sensors or the like are regularly used as sensor systems for detecting the surroundings. From the sensor data determined by the sensors, conclusions can then be drawn about the environment, e.g. B. an object and / or environment classification or an environment model can be created.
- Due to current automation trends in the automotive industry especially in the area of such assistance systems through to autonomous driving, the complexity of electronic and electrical components and the requirements for their availability and functional safety are increasing rapidly.
- the error-free function of the individual components and the error-free cooperation of these components is decisive for error-free transport operations.
- the hardware and software architecture is of particular importance when different components and functionalities and subfunctionalities work together.
- a route or a trajectory to be driven (driving trajectory) and corresponding Driving commands are calculated that allow the vehicle to follow this driving trajectory.
- the system In a system with level 3, level 4 or level 5 automation, it is assumed that the system also provides such a (valid, ie checked) travel trajectory and corresponding travel commands if an error occurs in the hardware.
- the driving trajectory is usually calculated by software running on a dedicated system-on-chip (SoC).
- SoC system-on-chip
- a second SoC calculates a reference trajectory or a reference corridor for the cross-check. If the travel trajectory and the reference trajectory do not match, control is transferred to a so-called fallback level or a fallback system.
- the fallback level itself usually consists of two SoCs, one for calculating the travel trajectory and one for calculating the reference trajectory.
- ECU Electronic Control Unit
- SoC SoCs
- the fallback level itself usually consists of two SoCs, one for calculating the travel trajectory and one for calculating the reference trajectory.
- two separate electronic control units ECU; Electronic Control Unit
- SoC SoCs
- material expenditure and material costs e.g. four SoC, two housings and the like
- high production costs two separate ECUs
- power consumption two separate power consumption and thus high electricity costs.
- a further transfer of control to the fallback level can lead to uncertainties, since the transfer can take up to several 100 ms, for example.
- DE 10 2018 209 833 A1 discloses a method for controlling a safety-relevant process, with at least two microcontrollers being used for at least two control strands, with each of the at least two microcontrollers being designed to control the safety-relevant process.
- the microcontrollers process the data from at least one sensor that records the real behavior of the respective control train. Furthermore, the data of the respective sensor or data derived from it are exchanged between the two microcontrollers, with each Microcontroller a decision-making module is provided, which checks whether the data from the sensors are consistent.
- the object of the present invention is now to provide a generic control device and a corresponding assistance system for (partially) autonomous driving, with which the disadvantages of the prior art can be overcome, the cost of materials and power consumption being simpler and cheaper way be reduced.
- the control device can be used in particular for a vehicle and includes a calculation area and a checking area, with the calculation area being set up to calculate trajectories and to output driving commands.
- the checking area comprises two separate checking platforms, the checking platforms each comprising a driving command and input monitor for monitoring the calculated trajectories and a communication device for connecting the checking platforms to one another and to the calculation area.
- the central control device can be implemented by a single SoC or, alternatively, by a multichip module comprising a number of individual ICs (chiplets).
- a top platform and a fallback platform are provided as checking platforms. This will enable a seamless handover from normal operating mode to emergency mode without delay in the event of a computing platform failure. This results in the advantage that a quick switchover of the controller in the event of an error is further promoted or made possible.
- the checking platforms or main platform and fallback platform are logically and/or functionally identical.
- the monitoring platforms or the main platform and fallback platform carry out the monitoring in parallel.
- the checking platform can have at least one safety unit for fault detection, with a checking platform being brought into a fail-safe state by the safety unit as soon as the safety unit detects a fault in this checking platform.
- the security unit of the main platform sends information about its internal status to the fallback platform and vice versa.
- the driving command and input monitoring expediently includes a safety unit which receives error messages from the checking platform and puts the corresponding checking platform into a fail-safe state as soon as the safety unit has been notified of an error.
- the driving command and input monitoring can have a central processing unit, which can be implemented in the FLARDWARE lockstep.
- the calculation area includes several, in particular three, independent computer platforms. As a result, only three (braid performance)
- a computer platform preferably comprises a processing unit for data processing, a memory, in particular for storing programs and/or data of the processing unit, and a communication device, in particular for communication or data transmission of units in the calculation area and/or units in the checking area.
- Each computer platform can expediently calculate the trajectories and the respective driving command independently of the other computer platforms. Furthermore, each computer platform of the calculation area can be supplied via a separate supply voltage.
- Each computer platform of the calculation area preferably has a separate clock generation system. This avoids the probability of an overall system failure due to the failure of a clock generation system.
- the communication between and within the calculation area and the checking area can be protected or encoded using EC codes and/or end-to-end ECC/EDC codes.
- the communication device can be designed as a “Network-on-Chip” (NoC).
- NoC Network-on-chip
- a “network-on-chip” is a network-based communication subsystem on an integrated circuit (IC) or IC component, which is usually used between modules in a “system-on-a-chip” (SoC).
- SoC system-on-a-chip
- the term “Network-on-Chip” (NoC) refers to the needs-based adaptation of the network between the computing units, which are qualitatively designed as needed in terms of latency, bandwidth, safety and security requirements.
- iSd invention under “Network-on-Chip” (NoC) is not the networking of Modules with known bus systems understood (such as. B. CAN, Flexray, Ethernet), z. B. be sought in previous solutions with distributed control units.
- the calculated trajectory and the respective driving command can be checked by means of a comparison test, in particular a 2oo3 comparison.
- the comparison process enables a deviation or tolerance in value and time between the data received from the three computer platforms.
- any other comparison method known from the prior art can also be used, e.g. B. also 2oo4 or the like.
- a triple function and a comparison of the results can be effected by replicated comparison units.
- FIG. 1 shows a simplified schematic representation of an embodiment of a vehicle with a control device according to the invention
- FIG. 2 shows a simplified schematic representation of an embodiment of a driving safety concept of an autonomous L3/L4 system according to the prior art
- FIG. 3 shows a simplified schematic representation of an embodiment of a control device according to the invention comprising a calculation area and a checking area;
- FIG. 4 shows a simplified schematic representation of an embodiment of a driving command and input monitoring of a control device according to the invention
- 5 shows a simplified schematic representation of an embodiment of the supply principle of a control device according to the invention
- FIG. 6 shows a simplified schematic representation of an embodiment of the clock generation principle of a control device according to the invention.
- Reference numeral 1 in Fig. 1 designates a vehicle with various actuators (steering 3, motor 4, brake 5), which has a control device 2 according to the invention (ECU, Electronic Control Unit or ADCU, Assisted and Automated Driving Control Unit), through which a ( partially) automated control of the ego vehicle 1 can take place, e.g. B. in that the control device 2 can access the actuators of the ego vehicle 1 .
- the control device 2 has a memory unit, e.g. B. to store an algorithm, control instructions or patterns.
- the ego vehicle 1 has sensors for detecting the surroundings: a radar sensor 6, a lidar sensor 7 and a front camera 8 as well as several ultrasonic sensors 9a-9d, whose sensor data are used for detecting the surroundings and objects, so that various assistance functions, such as e.g. B. Emergency brake assistant (EBA, Electronic Brake Assist), distance following control (ACC, Adaptive Cruise Control), lane keeping control or a lane keeping assistant (LKA, Lane Keep Assist), parking assistant or the like can be realized.
- EBA Emergency brake assistant
- ACC Adaptive Cruise Control
- LKA Lane Keep Assist
- parking assistant or the like
- the assistance functions are executed via the control device 2 or the algorithm stored there.
- FIG. 2 shows an embodiment of the basic principle of a driving safety concept of an autonomous L3/L4 system according to the prior art.
- the concept provides for a main path 101 and a fallback level 102, the trajectory to be traveled being calculated via the main path 101 (trajectory calculation 106).
- Main path 101 and fallback level 102 are configured as two separate control devices, which include a total of four high-performance SoCs.
- the main path 101 includes a monitor 107, which checks the course of the calculated trajectory and whether this is likely to go into an idle state if an internal error occurs.
- a decision-maker module 110 exchanges status information and monitoring data with a decision-making module 111 of the fallback level 102.
- the fallback level 102 takes over vehicle control if the main path 101 fails, so that route control, steering control, braking system control and drive train control can take place via a redundant communication channel (e.g. via CAN connection), with the fallback level 102 also having a trajectory calculation 108 and a monitor 107 for this purpose includes.
- the actuators (steering 103, motor 104, brake 105) thus receive commands from both paths.
- the design with two separate control devices and four high-performance SoCs results in negative effects with regard to energy consumption and costs.
- control device 2 shows an embodiment of a control device 2 according to the invention, which has a calculation area 10 (compute domain or high-performance computing zone with triplication SW lockstep) and a checking area 11 (check/input/output or
- the calculation area 10 calculates the lanes or trajectories and outputs the corresponding driving recommendations or driving commands.
- the verification section 11 verifies the integrity of the input data received from the vehicle's external control devices and sensors and makes the verified input data available to the calculation section 10 . It can be implemented using a SoC (single chip) or an MCM (multichip module) with a number of chips or chiplets.
- An MCM usually includes several individual (micro) chips (or "dies”), which are housed next to each other (i.e. planar) in a common housing.
- the checking area 11 makes available to the calculation area 10 both the simply received input data and the input data redundantly received via both communication controllers 16a and 16b, as they occur in zone-based vehicle architectures with redundant networks.
- checking section 11 checks the output data calculated by the calculating section 10 .
- security-related Calculates additional information (e.g. checksums, time stamp, message number) for output data that can be sent to external control units and actuator control units (e.g. control units for steering, engine or brakes) of the vehicle.
- the computing area 10 consists of three independent computer platforms 12a-12c.
- Each computer platform 12a-12c preferably comprises processing units (e.g. CPU (Central Processing Unit or main processor), GPU (Graphics Processing Unit or graphics processor), dedicated co-processors as AI (Artificial Intelligence) accelerators, DSP (Digital Signal Processor), memory (e.g. RAM (Random-Access Memory) or SRAM (Static Random-Access Memory or static RAM) or DRAM (Dynamic Random-Access Memory or dynamic RAM) for storing the tasks to be executed by the processing units
- CPU Central Processing Unit or main processor
- GPU Graphics Processing Unit or graphics processor
- dedicated co-processors as AI (Artificial Intelligence) accelerators
- DSP Digital Signal Processor
- memory e.g. RAM (Random-Access Memory) or SRAM (Static Random-Access Memory or static RAM) or DRAM (Dynamic Random-Access Memory or dynamic RAM) for storing the tasks to be executed by the processing units
- the communication device can be configured as a so-called “network on a chip” or “network-on-chip” (NoC). be designed.
- NoC network-on-chip
- Each computer platform runs software for trajectory planning and the calculation of the respective driving command independently of the (two) other computer platforms.
- the project archives and the commands are then sent to the inspection area 11.
- the content of the messages can B. be protected by EC codes (ECC: Error Correction Code).
- ECC Error Correction Code
- End-to-end ECC/EDC codes are protected.
- the response to an ECC/EDC error is programmable.
- the verification area 11 comprises two separate verification platforms, a main platform 13 and a backup platform 14, which are preferably logically and/or functionally identical.
- Each verification platform includes driving command and input monitoring (Driving command & input monitor) 15a, 15b and a communication controller 16a, 16b (z. B. Ethernet, FlexRay, CAN or the like) and also a communication device (z. B. NoC, as shown in Fig. 3) to to connect the components to each other and to the calculation area 10.
- Each driving command and input monitor 15a, 15b includes flardware and software for checking the integrity of the input data received from sensors (e.g. checksums, time stamp, message ID or the like) and providing verified data for calculating the domain in a buffer memory, e.g Comparing the roadway with the driving command and adding safety-relevant additional information (e.g. checksums, time stamp, message number or the like) for data that can be transmitted to an external control unit or ECU.
- sensors e.g. checksums, time stamp, message ID or the like
- safety-relevant additional information e.g. checksums, time stamp, message number or the like
- the trajectory and the driving command can e.g. B. be checked by a "2oo3" (two out of three / two out of three) comparison majority vote.
- the comparison process enables a deviation or tolerance in value and time between the data received from the three computer platforms.
- the driving command and input monitor 15a, 15b contains hardware and/or software for permanent self-monitoring for correct operation, as shown in FIG. 4 using the driving command and input monitor 15a.
- the central processing unit e.g. CPU, processor, microcontrollers or the like
- the central processing unit is implemented in hardware lockstep and correct operation is monitored by comparison units.
- lockstep describes the method for error tolerance and error detection in the hardware, which is achieved by using several identical or similar units such as CPU cores in multi-core processors.
- the memory units (RAM) can z. B. be protected by ECC codes that are calculated and / or checked by ECC / EDC checking units 17a, 17b.
- the interconnect communication is also protected by end-to-end ECC/EDC codes, which are read by a special ECC/EDC checker or security module 18 (Security Module) calculated and/or verified. If one of the (hardware) safety mechanisms mentioned above detects a malfunction, the ECC/EDC checking unit 17a, 17b signals the malfunction to a safety unit 19. The safety unit 19 then brings the corresponding checking platform into a fail-safe state—a so-called fail-silent state. State, that is, in a state in which the function is not performed. Accordingly, this system represents a fail-silent system, which is a type of system that either provides the correct service or function or no service or function at all.
- the security unit 19 of the main platform 13 sends information about its internal status to the fallback level or the fallback platform 14 and vice versa, in particular at definable intervals.
- the "normal", i. H. error-free, operating mode all the actions mentioned are carried out in parallel by the main platform 13 and by the backup platform 14.
- the sending of data to external controllers can be disabled in the normal operating mode for the backup platform 14 if required.
- a safety unit 19 of a verification platform i.e. the main platform 13 or the backup platform 14
- detects an error it puts the corresponding verification platform into a fail-silent state and signals this to the safety unit 16 of the other verification platform via a constantly evaluated signal .
- the safety unit 19 of the main platform 13 detects an error, puts the corresponding main platform 13 into a fail-silent state and signals this to the safety unit 19 of the backup platform 14 via a constantly evaluated signal.
- each of the three computer platforms of the calculation area 10 can be supplied via separate supply voltages, as shown in FIG.
- the three supply voltages V1-V3 resulting from the separate supply voltages come from two independent supply networks 20a, 20b in the vehicle, which can have overvoltage protection 21a, 21b.
- the two checking platforms of the checking area 11 are also operated via two separate supply voltages. In the event of undervoltage, the supplied area or domain can be set to "reset" (ie reset).
- the clock generation system can include a CMU (clock multiplier unit) with PLL (phase-locked loops).
- CMU clock multiplier unit
- PLL phase-locked loops
- the present invention provides a system that is able to detect the occurrence of a system internal fault and still continue normal operation (unless a second independent fault occurs).
- the present invention can thus be used expressly in addition to the area of driver assistance systems in all areas in which an operationally reliable system is required for safety-critical purposes, e.g. B. in aviation, shipping, chemical production processes, power plants and the like.
- the present invention can find application in all areas where a fail-safe system can be beneficial for commercial/disposable purposes (industrial automation, building automation, and the like).
- the present invention enables the control to be switched over without delay in the event of an error—which represents a particular problem in the field of automated driving. This must usually be done within a few milliseconds between the currently used signal chain (e.g. the main platform) and a redundant secondary path (e.g. fallback platform) - otherwise the vehicle would be "driverless” for too long a period of time.
- a redundant secondary path e.g. fallback platform
- an (almost) delay-free switchover cannot easily be achieved in a conventional manner.
- the defective path is determined, whereby it is not sufficient to reinitialize (“perform a reset"), since the system will probably find itself in the defective path again even after the reset.
- the redundant path preferably has the same architecture as the primary path.
- the fail-silent state can also be used, taking into account that due to the architecture described (in particular due to the design as an overall system on a SoC or MCM), there are many possibilities to use the diagnosis option to determine the error or the faulty circuit part - and thus also the availability of the system - to increase. In contrast, this cannot usually be implemented using separate ECU systems.
- the chip used in this case can B. clocked in the range of> 500 MHz. Error-free synchronization can be made possible by simply duplicating the logic (in the synchronized or delayed lock step).
- An advantageous combination of the use of the two error mechanisms lock step for logic and CPU and error detection or ECC (Error Correcting Code) for the memory and regular structures is therefore not readily possible.
- ECC Error Correcting Code
- it has been shown that the combination of the two known mechanisms can reduce the cost and energy consumption to a particular extent.
- the simple use of duplication cannot identify the defective path and provide a reliable statement that a defect was/is present.
- the solution shown thus describes a new type of solution Realization in order to achieve the required switching time and diagnostic options and thus represents a special contribution, especially in the field of control devices.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Remote Sensing (AREA)
- Radar, Positioning & Navigation (AREA)
- Aviation & Aerospace Engineering (AREA)
- Mathematical Physics (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
Die vorliegende Erfindung betrifft eine Steuereinrichtung (2), insbesondere für ein Fahrzeug (1), umfassend einen Berechnungsbereich (10) und einen Überprüfungsbereich (11), wobei der Berechnungsbereich (10) hergerichtet ist, um Trajektorien zu berechnen und Fahrbefehle auszugeben, und der Überprüfungsbereich (11) zwei voneinander getrennte Überprüfungsplattformen umfasst, wobei die Überprüfungsplattformen jeweils eine Fahrbefehls- und Eingabeüberwachung (15a, 15b) zur Überwachung der berechneten Trajektorien und eine Kommunikationseinrichtung zur Verbindung der Überprüfungsplattformen untereinander und mit dem Berechnungsbereich (10) umfasst.
Description
Beschreibung
Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug
Die vorliegende Erfindung betrifft eine Steuereinrichtung, insbesondere für ein Fahrzeug, sowie ein Assistenzsystem zum (teil-) autonomen Fahren für ein Fahrzeug, welches eine erfindungsgemäße Steuereinrichtung umfasst.
Technologischer Hintergrund
Moderne Fortbewegungsmittel wie Kraftfahrzeuge oder Motorräder werden zunehmend mit Fahrerassistenzsystemen ausgerüstet, welche mit Hilfe von Sensorsystemen die Umgebung erfassen, Verkehrssituation erkennen und den Fahrer unterstützen, z. B. durch einen Brems- oder Lenkeingriff oder durch die Ausgabe einer optischen oder akustischen Warnung. Als Sensorsysteme zur Umgebungserfassung werden regelmäßig Radarsensoren, Lidarsensoren, Kamerasensoren oder dergleichen eingesetzt. Aus den durch die Sensoren ermittelten Sensordaten können anschließend Rückschlüsse auf die Umgebung gezogen werden, womit z. B. eine Objekt- und/oder Umgebungsklassifizierung bzw. ein Umfeldmodell erstellt werden kann. Aufgrund von aktuellen Automatisierungstrends bei der Automobilindustrie insbesondere im Bereich derartiger Assistenzsysteme bis hin zum autonomen Fahren lassen die Komplexität elektronischer und elektrischer Komponenten sowie die Anforderungen an deren Verfügbarkeit und funktionaler Sicherheit rapide anwachsen. Dabei ist die fehlerfreie Funktion der Komponenten im Einzelnen und die fehlerfreie Zusammenarbeit dieser Komponenten ausschlaggebend für einen fehlerfreien Verkehrsbetrieb. Bei der Zusammenarbeit von unterschiedlichen Komponenten und Funktionalitäten und Subfunktionalitäten ist insbesondere die Hard- und Softwarearchitektur von besonderer Bedeutung.
Im Bereich des (teil-) autonomen Fahrens werden über das Assistenzsystem ein Fahrweg bzw. eine zu fahrende Trajektorie (Fahrttrajektorie) und entsprechende
Fahrbefehle berechnet, die das Fahrzeug dieser Fahrttrajektorie folgen lassen. Bei einem System mit Automatisierungsgrad Level 3, Level 4 oder Level 5 wird davon ausgegangen, dass das System auch eine solche (gültige, d. h. geprüfte) Fahrttrajektorie und entsprechende Fahrbefehle bereitstellt, wenn in der Hardware ein Fehler auftritt. In modernen Assistenzsystemen wird die Fahrttrajektorie in der Regel durch eine Software berechnet, die auf einem dedizierten System-on-Chip (SoC) läuft. Für die Gegenprüfung berechnet ein zweites SoC eine Referenztrajektorie bzw. einen Referenzkorridor. Wenn die Fahrttrajektorie und die Referenztrajektorie nicht übereinstimmen, wird die Steuerung an eine so genanntes Rückfallebene bzw. ein Rückfallsystem übergeben. Die Rückfallebene selbst besteht in der Regel wiederum aus zwei SoC, einem für die Berechnung der Fahrttrajektorie und einem für die Berechnung der Referenztrajektorie. Bei derartigen Ausgestaltungen werden daher zwei separate elektronische Steuergeräte (ECU; Electronic Control Unit) mit zwei leistungsstarken SoC in jedem Steuergerät benötigt. Dies führt zu hohem Materialaufwand und Materialkosten (z. B. vier SoC, zwei Gehäuse und dergleichen), hohen Produktionskosten (zwei separate ECU), hohem Stromverbrauch und somit hohen Stromkosten. Darüber hinaus kann eine weitere Übergabe der Steuerung an die Rückfallebene zu Unsicherheiten führen, da die Übergabe beispielsweise bis zu mehreren 100 ms dauern kann.
Druckschriftlicher Stand der Technik
Aus der DE 10 2018 209 833 A1 ist ein Verfahren für die Steuerung eines sicherheitsrelevanten Vorgangs bekannt, wobei für die Steuerung wenigstens zwei Mikrocontroller für wenigstens zwei Steuerstränge eingesetzt werden, wobei jeder der wenigstens zwei Mikrocontroller für die Steuerung des sicherheitsrelevanten Vorgangs ausgebildet wird. Die Mikrocontroller verarbeiten dabei die Daten wenigstens eines Sensors, der das reale Verhalten des jeweiligen Steuerstrangs erfasst. Ferner werden die Daten des jeweiligen Sensors oder davon abgeleitete Daten zwischen den beiden Mikrocontrollern ausgetauscht, wobei pro
Mikrocontroller ein Entscheidermodul vorgesehenen ist, welches überprüft, ob die Daten der Sensoren konsistent sind.
Ferner sind auch aus US 2013 007513 A1 und US 2013 024721 A1 Verfahren bekannt, die sich mit der Erhöhung der Verfügbarkeit befassen, wobei Maßnahmen beschrieben werden, mit denen eine defekte Teilschaltung erkannt wird, um die Diagnosefähigkeit zu erhöhen.
Aufgabe der vorliegenden Erfindung
Die Aufgabe der vorliegenden Erfindung besteht nunmehr darin, eine gattungsgemäße Steuereinrichtung sowie ein entsprechendes Assistenzsystem für (teil-) autonomes Fahren zu Verfügung zu stellen, mit dem die Nachteile aus dem Stand der Technik überwunden werden, wobei der Materialaufwand und der Stromverbrauch in einfacher und kostengünstiger Weise verringert werden.
Lösung der Aufgabe
Die vorstehende Aufgabe wird durch die gesamte Lehre des Anspruchs 1 sowie der nebengeordneten Ansprüche gelöst. Zweckmäßige Ausgestaltungen der Erfindung sind in den Unteransprüchen beansprucht.
Die erfindungsgemäße Steuereinrichtung kann insbesondere für ein Fahrzeug verwendet werden und umfasst einen Berechnungsbereich und einen Überprüfungsbereich, wobei der Berechnungsbereich hergerichtet ist, um Trajektorien zu berechnen und Fahrbefehle auszugeben. Der Überprüfungsbereich umfasst zwei voneinander getrennte Überprüfungsplattformen, wobei die Überprüfungsplattformen jeweils eine Fahrbefehls- und Eingabeüberwachung zur Überwachung der berechneten Trajektorien und eine Kommunikationseinrichtung zur Verbindung der Überprüfungsplattformen untereinander und mit dem Berechnungsbereich umfasst.
Daraus resultiert der Vorteil, dass nur eine zentrale Steuereinrichtung benötigt wird, anstatt zwei oder mehrere Steuereinrichtungen. Daraus ergeben sich eine erhöhte Verfügbarkeit (aufgrund reduzierter Anzahl von Komponenten) und somit eine erhöhte Zuverlässigkeit (aufgrund reduzierter Anzahl von Komponenten) sowie eine höhere diagnostische Abdeckung. Ferner werden weniger Steuergeräte pro Funktion benötigt, wodurch der Energieverbrauch und die Steuergerätekosten in besonderem Maße reduziert werden.
Die zentrale Steuereinrichtung kann dabei durch einen einzigen SoC oder alternativ ein Multichipmodul, umfassend mehrere Einzel-ICs (Chiplets), realisiert werden.
Gemäß einer bevorzugten Ausgestaltung der Erfindung sind als Überprüfungsplattformen eine Flauptplattform und eine Rückfallplattform vorgesehen. Dadurch wird eine nahtlose Übergabe vom normalen Betriebsmodus in den Notfallmodus bei Ausfall der Berechnungsplattform ohne Verzögerung ermöglicht werden. Daraus resultiert der Vorteil, dass ein schnelles Umschalten der Steuerung im Fehlerfall noch weiter begünstigt bzw. ermöglicht wird.
Vorzugsweise sind die Überprüfungsplattformen bzw. Flauptplattform und Rückfallplattform logisch und/oder funktional identisch.
Zweckmäßigerweise führen die Überprüfungsplattformen bzw. Flauptplattform und Rückfallplattform die Überwachung parallel aus.
Ferner kann die Überprüfungsplattform mindestens eine Sicherheitseinheit zur Fehlererkennung aufweisen, wobei eine Überprüfungsplattform durch die Sicherheitseinheit in einen ausfallsleisen Zustand gebracht wird, sobald die Sicherheitseinheit einen Fehler in dieser Überprüfungsplattform erkennt.
Vorzugsweise sendet die Sicherheitseinheit der Flauptplattform Informationen über ihren internen Status an die Rückfallplattform und umgekehrt.
Zweckmäßigerweise umfasst die Fahrbefehls- und Eingabeüberwachung eine Sicherheitseinheit, welche Fehlermeldungen der Überprüfungsplattform empfängt und die entsprechende Überprüfungsplattform in einen ausfallsleisen Zustand versetzt, sobald der Sicherheitseinheit ein Fehler mitgeteilt wurde.
Ferner kann die Fahrbefehls- und Eingabeüberwachung eine zentrale Recheneinheit aufweisen, die im Flardware-Lockstep implementiert sein kann.
Gemäß einer bevorzugten Ausgestaltung der Steuereinrichtung umfasst der Berechnungsbereich mehrere, insbesondere drei unabhängige, Rechnerplattformen. Dadurch werden nur drei (Flochleistungs-)
Rechnerplattformen benötigt, im Gegensatz zum bisherigen Stand der Technik, wonach in der Regel mehr als vier Flochleistungs-Rechnerplattformen vorgesehen sind. Dabei wird die Nutzung vielfältiger Softwareprogramme auf den drei Rechnerplattformen ermöglicht, wobei die Nutzung diverser Software die ASIL-Zersetzung erleichtern kann. Dadurch wird zudem die Nutzung vielfältiger Flardware in den drei Rechnerplattformen ermöglicht (insbesondere wird die Nutzung verschiedener Flardwarebestandteile der ASIL-Dekomposition ermöglicht und es wird eine optimale Anpassung der Leistung an die Anforderungen der entsprechenden Software erzielt). Hierdurch wird der Softwareentwicklungsprozess in besonderem Maße verbessert und/oder vereinfacht.
Vorzugsweise umfasst eine Rechnerplattform eine Verarbeitungseinheit zur Datenverarbeitung, einem Speicher, insbesondere zur Speicherung von Programmen und/oder Daten der Verarbeitungseinheit, sowie eine Kommunikationseinrichtung, insbesondere zur Kommunikation bzw. Datenübertragung von Einheiten des Berechnungsbereichs und/oder Einheiten des Überprüfungsbereichs.
Zweckmäßigerweise kann jede Rechnerplattform die Berechnung der Trajektorien und des jeweiligen Fahrbefehls unabhängig von den anderen Rechnerplattformen ausführen.
Ferner kann jede Rechnerplattform des Berechnungsbereichs über eine separate Versorgungsspannung versorgt wird.
Dadurch, dass die Versorgungsspannungen durch mindestens zwei unabhängige Versorgungsnetze bereitgestellt werden, wird eine zusätzliche Absicherung geschaffen, da im Falle eines Ausfalls eines Versorgungsnetzes immer noch eine Versorgungsspannung über das andere Versorgungsnetz bereitgestellt werden kann. Diese Ausgestaltung stellt eine besonders vorteilhafte Variante dar, insbesondere in Bezug zur „Single-Chip“ oder auch Chiplet-basierten Multichipmodul (MCM) Integration“, da in bekannten Systemen stets darauf geachtet werden muss, dass die Signale der verschiedenen Versorgungsnetze bzw. „Powerdomains“, die im Fehlerfall nicht versorgt werden, nicht zu zusätzlichen unerwarteten Fehlern führen.
Vorzugsweise weist dabei jede Rechnerplattform des Berechnungsbereichs ein separates Taktgenerationssystems auf. Dadurch wird die Wahrscheinlichkeit eines Ausfalls des Gesamtsystems aufgrund des Ausfalls eines Taktgenerationssystems vermieden.
Gemäß einer bevorzugten Ausgestaltung der Steuereinrichtung kann die Kommunikation zwischen und innerhalb von Berechnungsbereich und Überprüfungsbereich anhand von EC-Codes und/oder End-to-End-ECC/EDC-Codes geschützt bzw. codiert werden.
Ferner kann die Kommunikationseinrichtung als „Network-on-Chip“ (NoC) ausgestaltet sein. Ein „Network-on-Chip“ ist dabei ein netzwerkbasiertes Kommunikationssubsystem auf einem integrierten Schaltkreis (IC) bzw. IC-Baustein, das in der Regel zwischen Modulen in einem „System-on-a-Chip“ (SoC) eingesetzt wird. Der Begriff „Network-on-Chip“ (NoC) nimmt i.S.d. Erfindung Bezug auf die bedarfsgerechte Anpassung des Netzwerks zwischen den Berechnungseinheiten, die in Bezug auf Latenz, Bandbreite, Safety- und Security-Anforderungen bedarfsgerecht qualitativ ausgelegt werden. Insbesondere wird i.S.d. Erfindung unter „Network-on-Chip“ (NoC) nicht die Vernetzung von
Modulen mit bekannten Bussystemen verstanden (wie z. B. CAN, Flexray, Ethernet), die z. B. bei bisherigen Lösungen mit verteilten Steuergeräten angestrebt werden.
Zweckmäßigerweise kann die Überprüfung der berechneten Trajektorie und des jeweiligen Fahrbefehls durch einen Vergleichstest, insbesondere einen 2oo3-Vergleichs, überprüft werden. Der Vergleichsvorgang ermöglicht dabei eine Abweichung bzw. Toleranz in Wert und Zeit zwischen den Daten, die von den drei Rechnerplattformen empfangen werden. Alternativ kann natürlich auch jede andere aus dem Stand der Technik bekannte Vergleichsmethode eingesetzt werden, z. B. auch 2oo4 oder dergleichen. Dabei kann eine Triplikenfunktion und ein Vergleich der Ergebnisse durch replizierte Vergleichseinheiten bewirkt werden.
Beschreibung der Erfindung anhand von Ausführungsbeispielen.
Im Folgenden wird die Erfindung anhand von zweckmäßigen Ausführungsbeispielen näher erläutert. Es zeigen:
Fig. 1 eine vereinfachte schematische Darstellung einer Ausgestaltung eines Fahrzeuges mit einer erfindungsgemäßen Steuereinrichtung;
Fig. 2 eine vereinfachte schematische Darstellung einer Ausgestaltung eines Fahrsicherheitskonzepts eines autonomen L3/L4-Systems gemäß dem Stand der Technik;
Fig. 3 eine vereinfachte schematische Darstellung einer Ausgestaltung einer erfindungsgemäßen Steuereinrichtung umfassend einen Berechnungsbereich und einen Überprüfungsbereich;
Fig. 4 eine vereinfachte schematische Darstellung einer Ausgestaltung einer Fahrbefehls- und Eingabeüberwachung einer erfindungsgemäßen Steuereinrichtung;
Fig. 5 eine vereinfachte schematische Darstellung einer Ausgestaltung des Versorgungsprinzips einer erfindungsgemäßen Steuereinrichtung, sowie
Fig. 6 eine vereinfachte schematische Darstellung einer Ausgestaltung des Taktgenerationsprinzips einer erfindungsgemäßen Steuereinrichtung.
Bezugsziffer 1 in Fig. 1 bezeichnet ein Fahrzeug mit verschiedenen Aktoren (Lenkung 3, Motor 4, Bremse 5), welches eine erfindungsgemäße Steuereinrichtung 2 (ECU, Electronic Control Unit oder ADCU, Assisted and Automated Driving Control Unit) aufweist, durch die eine (teil-) automatisierte Steuerung des Ego-Fahrzeuges 1 erfolgen kann, z. B. indem die Steuereinrichtung 2 auf die Aktoren des Ego-Fahrzeuges 1 zugreifen kann. Zudem weist die Steuereinrichtung 2 eine Speichereinheit auf, um z. B. einen Algorithmus, Steueranweisungen oder Muster zu speichern. Ferner weist das Ego-Fahrzeug 1 Sensoren zur Umfelderfassung auf: einen Radarsensor 6, einen Lidarsensor 7 und eine Frontkamera 8 sowie mehrere Ultraschallsensoren 9a-9d, deren Sensordaten zur Umfeld- und Objekterkennung genutzt werden, sodass verschiedene Assistenzfunktionen, wie z. B. Notbremsassistent (EBA, Electronic Brake Assist), Abstandsfolgeregelung (ACC, Adaptive Cruise Control), Spurhalteregelung bzw. ein Spurhalteassistent (LKA, Lane Keep Assist), Parkassistent oder dergleichen, realisiert werden können. Die Ausführung der Assistenzfunktionen erfolgt dabei über die Steuereinrichtung 2 bzw. dem dort hinterlegten Algorithmus.
In Fig. 2 ist eine Ausgestaltung des Grundprinzips eines Fahrsicherheitskonzepts eines autonomen L3/L4-Systems gemäß dem Stand der Technik dargestellt. Das Konzept sieht dabei einen Hauptpfad 101 und eine Rückfallebene 102 vor, wobei über den Hauptpfad 101 die zu fahrende Trajektorie berechnet wird (Trajektorienberechnung 106). Hauptpfad 101 und Rückfallebene 102 sind dabei als zwei separate Steuereinrichtungen ausgestaltet, die insgesamt vier Hochleistungs-SoC umfassen. Ferner umfasst der Hauptpfad 101 einen Monitor 107, der den Verlauf der berechneten Trajektorie überprüft und ob dieser voraussichtlich in einen Ruhezustand übergeht, wenn ein interner Fehler auftritt. Ein Entscheidermodul 110 tauscht dabei Statusinformationen und Überwachungsdaten
mit einem Entscheidermodul 111 der Rückfallebene 102 aus. Die Rückfallebene 102 übernimmt beim Ausfall des Hauptpfades 101 die Fahrzeugsteuerung, so dass Trassensteuerung, Lenkungssteuerung, Bremsanlagensteuerung und Antriebsstrangsteuerung über einen redundanten Kommunikationskanal (z. B. über CAN Anschluss) erfolgen kann, wobei die Rückfallebene 102 hierzu ebenfalls eine Trajektorienberechnung 108 und einen Monitor 107 umfasst. Die Aktuatoren (Lenkung 103, Motor 104, Bremse 105) erhalten somit von beiden Pfaden Befehle. Durch die Ausgestaltung mit zwei separaten Steuereinrichtungen und vier Hochleistungs-SoC ergeben sich negative Auswirkungen in Hinblick auf Energieverbrauch und Kostenaufwand.
In Fig. 3 ist eine Ausgestaltung einer erfindungsgemäßen Steuereinrichtung 2 dargestellt, die einen Berechnungsbereich 10 (Compute-Domain bzw. High Performance Computing Zone mit Triplication SW Lockstep) und einen Überprüfungsbereich 11 (Check/Input/Output bzw.
Prüfen/Eingabe/Ausgabe-Domain) umfasst. Der Berechnungsbereich 10 berechnet dabei die Fahrspuren bzw. Trajektorien und gibt die entsprechenden Fahrempfehlungen bzw. Fahrbefehle aus. Der Überprüfungsbereich 11 überprüft die Integrität der von den externen Steuergeräten und Sensoren des Fahrzeugs empfangenen Eingabedaten und stellt die geprüften Eingabedaten an den Berechnungsbereich 10 zur Verfügung. Die Realisierung kann dabei durch einen SoC (Single-Chip) oder ein MCM (Multichipmodul) mit mehreren Chips bzw. Chiplets erfolgen. Ein MCM umfasst dabei in der Regel mehrere einzelne (Mikro-) Chips (bzw. „Dies“), die in einem gemeinsamen Gehäuse nebeneinander (d. h. planar) untergebracht sind.
Der Überprüfungsbereich 11 stellt sowohl die einfach empfangen Eingabedaten wie auch die redundant über beide Kommunikationskontroller 16a und 16b empfangenen Eingabedaten, wie sie in zonenbasierten Fahrzeugarchitekturen mit redundanten Netzwerken auftreten, dem Berechnungsbereich 10 zur Verfügung.
Darüber hinaus prüft der Überprüfungsbereich 11 die vom Berechnungsbereich 10 berechneten Ausgabedaten. Außerdem werden sicherheitsrelevante
Zusatzinformationen (z. B. Prüfsummen, Zeitstempel, Nachrichtennummer) für Ausgabedaten berechnet, die an externe Steuergeräte und Aktuatorsteuergeräte (z. B. Steuergeräte für Lenkung, Motor oder Bremse) des Fahrzeugs gesendet werden können.
Der Berechnungsbereich 10 besteht aus drei unabhängigen Rechnerplattformen 12a-12c. Jede Rechnerplattformen 12a-12c umfasst vorzugsweise Verarbeitungseinheiten (z. B. CPU (Central Processing Unit bzw. Hauptprozessor), GPU (Graphics Processing Unit bzw. Grafikprozessor), dedizierte Co-Prozessoren als AI (Artificial Intelligence)-Beschleuniger, DSP (Digital Signal Processor)), Speicher (z. B. RAM (Random-Access Memory) oder SRAM (Static Random-Access Memory bzw. statisches RAM) oder DRAM (Dynamic Random-Access Memory bzw. dynamisches RAM) zur Speicherung der von den Verarbeitungseinheiten auszuführenden Computerprogrammen und Daten, die von den Computerprogrammen verarbeitet werden, Peripheriemodule, die für die Programmausführung benötigt werden (Timer, Interrupt Controller, DMA-Controller) sowie eine Kommunikationseinrichtung (z. B. Interconnect-System) zur Herstellung der Kommunikation zwischen den genannten Komponenten. Beispielsweise kann die Kommunikationseinrichtung, wie in Fig. 3 gezeigt, als sogenanntes „Netzwerk auf einem Chip“ oder „Network-on-Chip“ (NoC) ausgestaltet sein. Jede Rechnerplattform führt Software für die Trajektorienplanung und die Berechnung des jeweiligen Fahrbefehls unabhängig von den (beiden) anderen Rechnerplattformen aus. Die Projektarchive und die Befehle werden dann an den Überprüfungsbereich 11 gesendet. Der Inhalt der Nachrichten kann z. B. durch EC-Codes (ECC: Error Correction Code) geschützt werden. Ferner kann die Kommunikation über die Verbindungsleitungen durch
End-to-End-ECC/EDC-Codes geschützt werden. Darüber hinaus ist die Reaktion auf einen ECC/EDC-Fehler programmierbar.
Der Überprüfungsbereich 11 umfasst zwei voneinander getrennte Überprüfungsplattformen, eine Hauptplattform 13 und eine Rückfallplattform 14, die vorzugsweise logisch und/oder funktional identisch sind. Jede Überprüfungsplattform umfasst dabei eine Fahrbefehls- und Eingabeüberwachung
(Driving command & Input-Monitor) 15a, 15b und einen Kommunikationscontroller 16a, 16b (z. B. Ethernet, FlexRay, CAN oder dergleichen) sowie ebenfalls eine Kommunikationseinrichtung (z. B. NoC, wie in Fig. 3 dargestellt), um die Komponenten untereinander und mit dem Berechnungsbereich 10 zu verbinden.
Jede Fahrbefehls- und Eingabeüberwachung 15a, 15b umfasst Flardware und Software zur Überprüfung der Integrität der von Sensoren empfangenen Eingabedaten (z. B. Prüfsummen, Zeitstempel, Message-ID oder dergleichen) und der Bereitstellung verifizierter Daten zur Berechnung der Domäne in einem Pufferspeicher, zum Vergleichen der Fahrbahn mit dem Fahrbefehl und zum Flinzufügen sicherheitsrelevanter zusätzlicher Informationen (z. B. Prüfsummen, Zeitstempel, Nachrichtennummer oder dergleichen) für Daten, die an eine externe Steuereinheit bzw. ECU übermittelt werden können.
Die Trajektorie und der Fahrbefehl können z. B. durch einen „2oo3“ (two out of three / zwei aus drei)-Vergleichs-Mehrheitsvotum überprüft werden. Der Vergleichsvorgang ermöglicht dabei eine Abweichung bzw. Toleranz in Wert und Zeit zwischen den Daten, die von den drei Rechnerplattformen empfangen werden.
Außerdem enthält die Fahrbefehls- und Eingabeüberwachung 15a, 15b (Driving Command & Input Monitor) Hard- und/oder Software zur permanenten Selbstüberwachung für den korrekten Betrieb, wie in Fig. 4 anhand der Fahrbefehls und Eingabeüberwachung 15a dargestellt. Die zentrale Recheneinheit (z. B. CPU, Prozessor, Mikrokontrollern oder dergleichen) wird im Hardware-Lockstep implementiert und der korrekte Betrieb wird durch Vergleichseinheiten überwacht. Der Begriff Lockstep beschreibt dabei die Methode zur Fehlertoleranz und Fehlererkennung in der Hardware, welche durch den Einsatz mehrerer gleicher oder gleichartiger Einheiten wie CPU-Kerne in Mehrkernprozessoren erreicht wird. Die Speichereinheiten (RAM) können dabei z. B. durch ECC-Codes geschützt werden, die von ECC/EDC-Prüfeinheiten 17a, 17b berechnet und/oder überprüft werden. Die Interconnect-Kommunikation wird zudem durch End-to-End-ECC/EDC-Codes geschützt, die von einer speziellen ECC/EDC-Prüfeinheit bzw. einem Sicherheitsmodul 18 (Security Module)
berechnet und/oder überprüft werden. Falls eine der oben genannten (Hardware-) Sicherheitsmechanismen eine Funktionsstörung erkennt, signalisiert die ECC/EDC-Prüfeinheit 17a, 17b die Funktionsstörung an eine Sicherheitseinheit 19. Die Sicherheitseinheit 19 bringt die entsprechende Überprüfungsplattform dann in einen ausfallsleisen Zustand - einen sogenannten Fail-Silent-State, das heißt in einen Zustand, in dem die Funktion nicht durchgeführt wird. Dementsprechend stellt dieses System ein Fail-Silent-System dar, wobei es sich um einen Systemtyp handelt, der entweder den richtigen Dienst bzw. die fehlerfreie Funktion oder überhaupt keinen Dienst bzw. keine Funktion bereitstellt.
Ferner sendet die Sicherheitseinheit 19 der Hauptplattform 13, insbesondere in festlegbaren Intervallen, Informationen über ihren internen Status an die Rückfallebene bzw. die Rückfallplattform 14 und umgekehrt. Im „normalen“, d. h. fehlerfreien, Betriebsmodus werden alle genannten Aktionen von der Hauptplattform 13 und von der Rückfallplattform 14 parallel ausgeführt. Optional kann das Senden von Daten an externe Steuergeräte im normalen Betriebsmodus für die Rückfallplattform 14 deaktiviert werden, falls dies erforderlich ist. Erkennt eine Sicherheitseinheit 19 einer Überprüfungsplattform (d. h. der Hauptplattform 13 oder der Rückfallplattform 14) einen Fehler, bringt sie die entsprechende Überprüfungsplattform in einen ausfallsleisen Zustand (Fail-Silent-State) und signalisiert dies über ein konstant bewertetes Signal an die Sicherheitseinheit 16 der anderen Überprüfungsplattform. Beispielsweise erkennt die Sicherheitseinheit 19 der Hauptplattform 13 einen Fehler, bringt sie die entsprechende Hauptplattform 13 in einen ausfallsleisen Zustand (Fail-Silent-State) und signalisiert dies über ein konstant bewertetes Signal an die Sicherheitseinheit 19 der Rückfallplattform 14.
Um das Risiko eines Funktionsverlusts aufgrund eines Versorgungsausfalls zu vermeiden, kann jede der drei Rechnerplattformen des Berechnungsbereichs 10 über separate Versorgungsspannungen versorgt werden, wie in Fig. 5 gezeigt. Die aus den separaten Versorgungsspannungen resultierenden drei Versorgungsspannungen V1-V3 stammen aus zwei unabhängigen Versorgungsnetzen 20a, 20b im Fahrzeug, die einen Überspannungsschutz 21a, 21 b aufweisen können. Gemäß dem Stand der Technik werden in aktuellen
Fahrzeugen, die autonomes Fahren anbieten, lediglich zwei unabhängige Versorgungsnetze eingesetzt. Die beiden Über-prüfungsplattformen des Überprüfungsbereichs 11 werden ebenfalls über zwei separate Versorgungsspannungen betrieben. Bei Unterspannung kann der versorgte Bereich bzw. die versorgte Domäne auf „Reset“ gesetzt (d. h. zurückgesetzt) werden. Zusätzlich kann bei Ausfall einer der drei Spannungsversorgungen unter Verwendung von bekannten Schaltungstechniken sichergestellt werden, dass Signale, die eine der drei Rechenplattformen des Berechnungsbereiches 10 verlassen, unter Verwendung des Fehlersignals für die Spannungsversorgung in einen vorher definierten Signalpegel für diesen Fehlerfall geschaltet werden. Ebenso wird jede der drei Rechnerplattformen 12a-12c des Berechnungsbereichs
10 durch ein eigenes Taktgenerationssystem überwacht, um das Risiko eines Funktionsverlusts aufgrund eines Systemausfalls eines einzigen Taktgenerationssystems zu vermeiden. Das Taktgenerationssystem kann dabei, wie in Fig. 6 gezeigt, eine CMU (Clock Multiplier Unit) mit PLL (Phase-Locked Loops) umfassen. Die beiden Überprüfungsplattformen des Überprüfungsbereichs
11 werden ebenfalls von zwei verschiedenen Taktgenerationssystemen überwacht.
Zusammenfassend wird durch die vorliegende Erfindung ein System zur Verfügung gestellt, das in der Lage ist, das Auftreten eines System internen Fehlers zu erkennen und trotzdem den normalen Betrieb fortsetzen kann (sofern kein zweiter unabhängiger Fehler auftritt). Ausdrücklich kann die vorliegende Erfindung somit neben dem Bereich der Fahrerassistenzsysteme in allen Bereichen eingesetzt werden, in denen ein betriebssicheres System für sicherheitskritische Zwecke erforderlich ist, z. B. in Luftfahrt, Schifffahrt, chemische Produktionsprozesse, Kraftwerke und dergleichen. Darüber hinaus kann die vorliegende Erfindung Anwendung finden in allen Bereichen, in denen ein ausfallsicheres System für kommerzielle/verfügbare Zwecke von Vorteil sein kann (industrielle Automatisierung, Gebäudeautomation und dergleichen).
Ferner ermöglicht die vorliegende Erfindung ein verzögerungsfreies Umschalten der Steuerung im Fehlerfall - was ein besonderes Problem im Bereich des automatisierten Fahrens darstellt. Hierzu muss in der Regel innerhalb von wenigen
Millisekunden zwischen der aktuell genutzten Signalkette (z. B. der Hauptplattform) und einem redundanten Sekundärpfad (z. B. Rückfallplattform) umgeschaltet werden - Andernfalls wäre das Fahrzeug über einen zu langen Zeitraum "fahrerlos". Eine (nahezu) verzögerungsfreie Umschaltung kann in herkömmlicher weise jedoch nicht ohne Weiteres erreicht werden. Ferner wird zur Absicherung des Gesamtsystems der defekte Pfad ermittelt, wobei es nicht ausreichend ist, erneut zu initialisieren („Reset“ ausführen), da sich das System auch nach dem Reset wahrscheinlich erneut in dem fehlerhaften Pfad wiederfinden wird. Somit wäre eine deterministische und minimale Umschaltzeit im Fehlerfall nicht gegeben. Ein Reset der Steuereinheit würde in jedem Fall eine neue Initialisierung des Systems erfordern, die mehrere Sekunden bis zu Minuten benötigen kann. In vorteilhafter Weise hat sich gezeigt, dass durch die beschriebene Erfindung ein Umschalten in der geforderten Zeit ermöglicht werden kann. Ein weiterer Vorteil ist, dass der redundante Pfad vorzugsweise die gleiche Architektur des Primärpfades aufweist. In besonderen Fehlerfällen kann auch auf Fail-Silent-State zurückgegriffen werden, wobei berücksichtigt wird, dass aufgrund der beschriebenen Architektur (insbesondere durch die Ausgestaltung als Gesamtsystem auf einem SoC oder MCM) sich vielfältige Möglichkeiten ergeben, die Diagnosemöglichkeit zur Bestimmung des Fehlers bzw. des fehlerhaften Schaltungsteils - und damit auch die Verfügbarkeit des Systems - zu erhöhen. Demgegenüber ist dies über getrennte ECU-Systeme in der Regel nicht realisierbar.
Der dabei eingesetzte Chip kann z. B. im Bereich von > 500 MHz getaktet werden. Durch die einfache Aufdopplung der Logik (im synchronized oder delayed Lock-Step) kann eine fehlerfreie Synchronisierung ermöglicht werden. Eine vorteilhafte Kombination der Nutzung der beiden Fehlermechanismen Lock-Step für Logic und CPU sowie Fehlererkennung bzw. ECC (Error Correcting Code) für den Speicher und regelmäßige Strukturen ist daher nicht ohne weiteres möglich. In vorteilhafter Weise hat sich dabei gezeigt, dass die Kombination der beiden bekannten Mechanismen den Kosten- und Energieaufwand in besonderem Maße verringern kann. Die einfache Anwendung der Aufdopplung kann dabei den defekten Pfad nicht identifizieren und eine sichere Aussage liefern, dass ein Defekt vorlag/vorliegt. Die aufgezeigte Lösung beschreibt somit eine neuartige
Realisierung, um die geforderte Umschaltzeit und Diagnosemöglichkeit zu erreichen und stellt somit einen besonderen Beitrag insbesondere auf dem Gebiet der Steuereinrichtungen dar.
Bezugszeichenliste
1 Fahrzeug
2 Steuereinrichtung
3 Lenkung
4 Motor
5 Bremse
6 Radarsensor
7 Lidarsensor
8 Kamera
9a-9d Ultraschallsensor
10 Berechnungsbereich
11 Überprüfungsbereich
12a-12c Rechnerplattform
13 Hauptplattform
14 Rückfallplattform
15, 15b Fahrbefehls- und Eingabeüberwachung 16a 16b Kommunikationscontroller 17a, 17b ECC/EDC-Prüfeinheit 18 Sicherheitsmodul 19 Sicherheitseinheit
20a, 20b Versorgungsnetz 21a, 21b Überspannungsschutz 101 Hauptpfad 102 Rückfallebene
103 Lenkung
104 Motor
105 Bremse
106 T rajektorienberechnung
107 Monitor
108 T rajektorienberechnung
Monitor
Entscheidermodul
Entscheidermodul
Claims
1. Steuereinrichtung (2), insbesondere für ein Fahrzeug (1), umfassend einen Berechnungsbereich (10) und einen Überprüfungsbereich (11), wobei der Berechnungsbereich (10) hergerichtet ist, um Trajektorien zu berechnen und Fahrbefehle auszugeben, und der Überprüfungsbereich (11) zwei voneinander getrennte Überprüfungsplattformen umfasst, wobei die Überprüfungsplattformen jeweils eine Fahrbefehls- und Eingabeüberwachung (15a, 15b) zur Überwachung der berechneten Trajektorien und eine Kommunikationseinrichtung zur Verbindung der Überprüfungsplattformen untereinander und mit dem Berechnungsbereich (10) umfasst.
2. Steuereinrichtung (2) nach Anspruch 1 , d a d u r c h gekennzeichnet, dass als Überprüfungsplattformen eine Flauptplattform (13) und eine Rückfallplattform (14) vorgesehen sind.
3. Steuereinrichtung (2) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Überprüfungsplattformen logisch und/oder funktional identisch sind.
4. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfungsplattformen die Überwachung parallel ausführen.
5. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfungsplattform mindestens eine Sicherheitseinheit (19) zur Fehlererkennung aufweist, wobei eine Überprüfungsplattform durch die Sicherheitseinheit (19) in einen ausfallsleisen Zustand gebracht wird, sobald die Sicherheitseinheit (19) einen Fehler in dieser Überprüfungsplattform erkennt.
6. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche 2-5, dadurch gekennzeichnet, dass die Sicherheitseinheit (19) der Hauptplattform (13) Informationen über ihren internen Status an die Rückfallplattform (14) sendet und umgekehrt.
7. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Fahrbefehls- und Eingabeüberwachung (15a, 15b) eine Sicherheitseinheit (19) umfasst, welche Fehlermeldungen der Überprüfungsplattform empfängt und die entsprechende Überprüfungsplattform in einen ausfallsleisen Zustand versetzt, sobald der Sicherheitseinheit (19) ein Fehler mitgeteilt wurde.
8. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Fahrbefehls- und Eingabeüberwachung (15a, 15b) eine zentrale Recheneinheit aufweist, die im Hardware-Lockstep implementiert ist.
9. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Berechnungsbereich (10) mehrere, insbesondere drei unabhängige, Rechnerplattformen (12a-12c) umfasst.
10. Steuereinrichtung (2) nach Anspruch 9, dadurch gekennzeichnet, dass eine Rechnerplattform (12a-12c) eine Verarbeitungseinheit zur Datenverarbeitung, einem Speicher, insbesondere zur Speicherung von Programmen und/oder Daten der Verarbeitungseinheit, sowie eine Kommunikationseinrichtung, insbesondere zur Kommunikation von Einheiten des Berechnungsbereichs (10) und/oder Einheiten des Überprüfungsbereichs (11 ).
11. Steuereinrichtung (2) nach einem der Ansprüche 9 oder 10, dadurch gekennzeichnet, dass jede Rechnerplattform (12a-12c) die
Berechnung der Trajektorien und des jeweiligen Fahrbefehls unabhängig von den anderen Rechnerplattformen (12a-12c) ausführt.
12. Steuereinrichtung (2) nach einem der Ansprüche 9-11 , d a d u r c h gekennzeichnet, dass jede Rechnerplattform (12a-12c) des Berechnungsbereichs (10) über eine separate Versorgungsspannung (V1 -V3) versorgt wird.
13. Steuereinrichtung (2) nach Anspruch 12, dadurch gekennzeichnet, dass die Versorgungsspannungen (V1 -V3) durch mindestens zwei unabhängige Versorgungsnetze (20a, 20b) bereitgestellt werden.
14. Steuereinrichtung (2) nach einem der Ansprüche 9-13, d a d u r c h gekennzeichnet, dass jede Rechnerplattform (12a-12c) des Berechnungsbereichs (10) ein separates Taktgenerationssystems (V1-V3) aufweist.
15. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Kommunikation zwischen und innerhalb von Berechnungsbereich (10) und Überprüfungsbereich (11) anhand von EC-Codes und/oder End-to-End-ECC/EDC-Codes geschützt wird.
16. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Kommunikationseinrichtung als Network-on-Chip (NoC) ausgestaltet ist.
17. Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfung der berechneten Trajektorie und des jeweiligen Fahrbefehls durch einen Vergleichstest, insbesondere einen 2oo3-Vergleichs, überprüft werden.
18. Assistenzsystem zum (teil-) autonomen Fahren für ein Fahrzeug (1), umfassend eine Steuereinrichtung (2) nach einem der vorhergehenden Ansprüche.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202280039950.8A CN117425881A (zh) | 2021-06-22 | 2022-06-15 | 用于车辆的控制装置以及辅助系统 |
| EP22743733.2A EP4359933A1 (de) | 2021-06-22 | 2022-06-15 | Steuereinrichtung sowie assistenzsystem für ein fahrzeug |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102021206379.9 | 2021-06-22 | ||
| DE102021206379.9A DE102021206379A1 (de) | 2021-06-22 | 2021-06-22 | Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2022268270A1 true WO2022268270A1 (de) | 2022-12-29 |
Family
ID=82608052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/DE2022/200132 WO2022268270A1 (de) | 2021-06-22 | 2022-06-15 | Steuereinrichtung sowie assistenzsystem für ein fahrzeug |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP4359933A1 (de) |
| CN (1) | CN117425881A (de) |
| DE (1) | DE102021206379A1 (de) |
| WO (1) | WO2022268270A1 (de) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102008004206A1 (de) * | 2008-01-14 | 2009-07-16 | Robert Bosch Gmbh | Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug |
| US20110246820A1 (en) * | 2010-03-18 | 2011-10-06 | Toyota Jidosha Kabushiki Kaisha | Microcomputer mutual monitoring system and a microcomputer mutual monitoring method |
| EP2482149A2 (de) * | 2011-02-01 | 2012-08-01 | Keihin Corporation | Elektronische Steuereinheit |
| US20130007513A1 (en) | 2010-03-23 | 2013-01-03 | Adrian Traskov | Redundant two-processor controller and control method |
| US20130024721A1 (en) | 2010-03-23 | 2013-01-24 | Lukusa Didier Kabulepa | Control computer system, method for controlling a control computer system, and use of a control computer system |
| US20180202544A1 (en) * | 2015-09-29 | 2018-07-19 | Hitachi Automotive Systems, Ltd. | Monitoring system and vehicle control device |
| US20180267549A1 (en) * | 2017-03-17 | 2018-09-20 | Tttech Computertechnik Ag | Error procedure for controlling an autonomous controlled object |
| DE102018209833A1 (de) | 2018-06-19 | 2019-12-19 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug |
| US20200017114A1 (en) * | 2019-09-23 | 2020-01-16 | Intel Corporation | Independent safety monitoring of an automated driving system |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5843786B2 (ja) | 2009-12-18 | 2016-01-13 | コンティ テミック マイクロエレクトロニック ゲゼルシャフト ミットベシュレンクテル ハフツングConti Temic microelectronic GmbH | 制御装置にある監視計算機 |
| DE102016102259A1 (de) | 2016-02-10 | 2017-08-10 | Hella Kgaa Hueck & Co. | Rechner- und Funktionsarchitektur zur Erhöhung der Ausfallsicherheit einer Hilfskraftlenkung |
-
2021
- 2021-06-22 DE DE102021206379.9A patent/DE102021206379A1/de active Pending
-
2022
- 2022-06-15 CN CN202280039950.8A patent/CN117425881A/zh active Pending
- 2022-06-15 WO PCT/DE2022/200132 patent/WO2022268270A1/de active Application Filing
- 2022-06-15 EP EP22743733.2A patent/EP4359933A1/de active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102008004206A1 (de) * | 2008-01-14 | 2009-07-16 | Robert Bosch Gmbh | Anordnung und Verfahren zur Fehlererkennung und -behandlung in einem Steuergerät in einem Kraftfahrzeug |
| US20110246820A1 (en) * | 2010-03-18 | 2011-10-06 | Toyota Jidosha Kabushiki Kaisha | Microcomputer mutual monitoring system and a microcomputer mutual monitoring method |
| US20130007513A1 (en) | 2010-03-23 | 2013-01-03 | Adrian Traskov | Redundant two-processor controller and control method |
| US20130024721A1 (en) | 2010-03-23 | 2013-01-24 | Lukusa Didier Kabulepa | Control computer system, method for controlling a control computer system, and use of a control computer system |
| EP2482149A2 (de) * | 2011-02-01 | 2012-08-01 | Keihin Corporation | Elektronische Steuereinheit |
| US20180202544A1 (en) * | 2015-09-29 | 2018-07-19 | Hitachi Automotive Systems, Ltd. | Monitoring system and vehicle control device |
| US20180267549A1 (en) * | 2017-03-17 | 2018-09-20 | Tttech Computertechnik Ag | Error procedure for controlling an autonomous controlled object |
| DE102018209833A1 (de) | 2018-06-19 | 2019-12-19 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug |
| US20200017114A1 (en) * | 2019-09-23 | 2020-01-16 | Intel Corporation | Independent safety monitoring of an automated driving system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117425881A (zh) | 2024-01-19 |
| DE102021206379A1 (de) | 2022-12-22 |
| EP4359933A1 (de) | 2024-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2972607B1 (de) | Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät | |
| DE102017209721B4 (de) | Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung | |
| EP2641176B1 (de) | Mikroprozessorsystem mit fehlertoleranter architektur | |
| EP2550599B1 (de) | Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems | |
| DE102017106087A1 (de) | Fehlertoleranz-muster und schaltprotokoll für mehrere hot- und cold-standby-redundanzen | |
| EP3211533B1 (de) | Fehlertolerante systemarchitektur zur steuerung einer physikalischen anlage, insbesondere einer maschine oder eines kraftfahrzeugs | |
| DE102014220781A1 (de) | Ausfallsichere E/E-Architektur für automatisiertes Fahren | |
| EP3642716A1 (de) | Vorrichtung und verfahren zur ansteuerung eines fahrzeugmoduls in abhängigkeit eines zustandssignals | |
| DE102015003194A1 (de) | Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern | |
| WO2017137222A1 (de) | Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung | |
| WO2008040641A2 (de) | Verfahren und vorrichtung zur fehlerverwaltung | |
| EP3642717A1 (de) | Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls | |
| DE102017106086A1 (de) | Hybrid-dual-duplex fail-betriebsmuster und verallgemeinerung einer beliebigen anzahl an ausfällen | |
| EP1053153B1 (de) | Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung | |
| EP1615087B1 (de) | Steuer- und Regeleinheit | |
| WO2022268270A1 (de) | Steuereinrichtung sowie assistenzsystem für ein fahrzeug | |
| EP2228723B1 (de) | Verfahren zur Fehlerbehandlung eines Rechnersystems | |
| DE102011087063A1 (de) | Kontrollrechnersystem und Verfahren zur beschleunigten Initialisierung einzelner Module | |
| WO2011044603A1 (de) | Verfahren zum ausführen von sicherheits-relevanten und nicht-sicherheits-relevanten softwarekomponenten auf einer hardwareplattform | |
| DE102012212680A1 (de) | Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten | |
| WO2011113405A1 (de) | Steuergeräteanordnung | |
| DE112020007774T5 (de) | Fahrzeugsteuersystem | |
| DE102022205944A1 (de) | Verfahren zum Betreiben einer Robotervorrichtung | |
| WO2023046358A1 (de) | System zum bereitstellen eines ausgangssignals basierend auf einem generierten umfeldmodell eines umfelds einer mobilen plattform | |
| WO2023066624A1 (de) | Datenverarbeitungsnetzwerk zur datenverarbeitung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22743733 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 202280039950.8 Country of ref document: CN |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 18570458 Country of ref document: US |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2022743733 Country of ref document: EP |
|
| ENP | Entry into the national phase |
Ref document number: 2022743733 Country of ref document: EP Effective date: 20240122 |