WO2023046358A1 - System zum bereitstellen eines ausgangssignals basierend auf einem generierten umfeldmodell eines umfelds einer mobilen plattform - Google Patents

System zum bereitstellen eines ausgangssignals basierend auf einem generierten umfeldmodell eines umfelds einer mobilen plattform Download PDF

Info

Publication number
WO2023046358A1
WO2023046358A1 PCT/EP2022/072230 EP2022072230W WO2023046358A1 WO 2023046358 A1 WO2023046358 A1 WO 2023046358A1 EP 2022072230 W EP2022072230 W EP 2022072230W WO 2023046358 A1 WO2023046358 A1 WO 2023046358A1
Authority
WO
WIPO (PCT)
Prior art keywords
subsystem
output signal
comparison
output
error
Prior art date
Application number
PCT/EP2022/072230
Other languages
English (en)
French (fr)
Inventor
Panagiotis Kosioris
Julia Heroldt
Frederik Morlok
Boris Kousselson
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to CN202280064288.1A priority Critical patent/CN117980886A/zh
Priority to EP22761530.9A priority patent/EP4405820A1/de
Publication of WO2023046358A1 publication Critical patent/WO2023046358A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • G06F11/185Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality and the voting is itself performed redundantly
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Definitions

  • ADS Automated Driving Systems
  • SDV Self Driving Vehicles
  • SAE J3016 level of driving automation
  • level 2 The focus of the current developments of the automobile manufacturers is in the area from level 2 to level 4.
  • level 3 conditional automation
  • Level 4 with high automation
  • Level 5 with full automation
  • AD automatic driving
  • data from various sensors are collected, synthesized and fused to create a model of the current driving situation in environmental perception (EP: environment perception) and vehicle localization (VL: vehicle localisation).
  • the model is used by behavioral planning (BP) to To create a route or a trajectory in relation to the current driving situation and the planned trip.
  • Actuator management controls the various actuators that follow the calculated path.
  • a system with a fault-tolerant design i. H. a fault-tolerant system, is configured to maintain a defined functionality when parts of the system fail, typically having a high degree of redundancy to do so.
  • a fail-degraded mode if a part of the system fails, the system can continue intended operation at a reduced “level” instead of failing completely. In the event of a partial failure within such a system, a transition is made from the faulty subsystem to a remaining independent, non-faulty subsystem.
  • a high-availability system can include the entire electrical and/or electronic architecture of the vehicle, i. H. including a power supply (PowerNet), communication buses, cooling systems, and in particular errors with a common cause, and configured to continue operation even in the event of failures, so that redundancy in the system with the highest possible availability of the respective services is required even if there is an error.
  • PowerNet power supply
  • a functionality corresponding to level L3+ (i.e.: L3, L4, L5) requires redundant structures in order to be able to recover after a first error has occurred, e.g. B. an electrical and / or electronic error (E / E error) within an AD system (Automated Driving System: ADS) to allow error limitation and / or degradation and / or full operability.
  • E / E error electrical and / or electronic error
  • AD system Automatic Driving System: ADS
  • a system can be designed so that:
  • a respective control unit (main control unit, as primary system, or backup control unit, as secondary system) is configured to detect its own failure and to prevent invalid data from being communicated to further processing stages, such as actuators. To prevent That invalid data is communicated to further processing stages can be defined as passivation or "fail-silent" configuration.
  • Further processing stages of the system can be configured, e.g. to recognize an interruption in communication with a previous stage and only accept communication from remaining valid control units.
  • E/E electronic and/or electrical failures, related to random transient/permanent hardware (HW)- Failures within the system with a SPFM (single point fault metric) of
  • This request can be assigned to a single electronic control unit (ECU) related to the first fault detection.
  • ECU electronice control unit
  • Each control unit must be able to detect its own E/E failures with an SPFM > 99%.
  • the system can respond with its redundant backup ECU (secondary system) to control the vehicle and bring the vehicle to a safe state within an EOTTI (Emergency Operation Tolerance Time Interval). condition with minimal risk.
  • EOTTI Ergency Operation Tolerance Time Interval
  • a system for providing an output signal based on a generated environment model of an environment of a mobile platform comprising: a first subsystem for generating the output signal, which is configured to be signally coupled to a first sensor system; a second subsystem for generating the output signal, configured to be signally coupled to the first sensor system; wherein the second subsystem is configured to redundantly provide a functionality of the first subsystem a third subsystem for generating the output signal; wherein the third subsystem is configured to be signally coupled to a second sensor system; wherein the third subsystem is configured to redundantly provide the functionality of the first subsystem and/or the second subsystem; a first comparison system signally coupled to an output of the first subsystem and an output of the second subsystem and an output of the third subsystem; a second comparison system signally coupled to the output of the first subsystem and the output of the second subsystem and the output of the third subsystem; wherein the first comparison system and the second comparison system are signally coupled; and the first comparison system and/
  • the output signal can be any signal for controlling a downstream system and/or an environment model of the environment of the mobile platform and/or a trajectory that results in particular from planning a route for the mobile platform and/or Be control signals for the mobile platform to, by means of the actuator system, or individual actuators of the actuator system, to drive a trajectory.
  • the output signal of the respective subsystem can be a generic signal that is provided to a subsequent further processing system.
  • the first comparison system and/or the second comparison system be configured to detect an error in the first subsystem or an error in the second subsystem or an error in the third subsystem and to identify the respective faulty subsystem.
  • the first comparison system and/or the second comparison system are configured to have at least one error in the first subsystem and/or at least one error in the second subsystem that is independent of the first subsystem and is unequal and/or at least one error in the first and second subsystems to detect independent and unequal errors of the third subsystem.
  • the first comparison system and/or the second comparison system are configured to recognize an unavailability of the first subsystem and/or an unavailability of the second subsystem and/or an unavailability of the third subsystem and the respective unavailable subsystem to identify
  • This system is advantageously fault-tolerant to a failure of one of the three subsystems, in particular to random hardware failures, which can be required in particular when used in an at least partially automated driving system (ADS: Automated Driving Systems).
  • ADS Automated Driving Systems
  • the system is configured to recognize a first error and also to recognize a second error, depending on the respective error scenario.
  • the system described for providing an output signal optimizes diagnostic coverage of a first fault compared to availability of functionality.
  • error detection always requires detection mechanisms. These detection mechanisms are becoming more and more complex with increasing requirements for a required diagnostic coverage for a specific failure mode. However, such diagnostic mechanisms are themselves exposed to random hardware errors, which in turn can lead to false-positive detections of errors. Therefore, in general, a probability of an accidental hardware failure increases as diagnostic coverage is increased.
  • a probability of failure of a CPU lock step in which, with a comparison system that is redundant to a main function block, a correct functionality of the main function block is determined by means of a comparison function block, which indicates that the functionality of the main function block matches the comparison system checks increase the probability of failure of this overall CPU lock step system by more than a factor of two, since the comparison function blocks also have a false-positive error rate in addition to the error rates of the main function block and the comparison system.
  • a second occurring error should also be considered for a fault-tolerant system. If a second error occurs in such a system with a redundant subsystem within an emergency operation tolerance time interval (EOTTI), the system is no longer able to safely control the vehicle because there are no other safety elements.
  • EOTTI emergency operation tolerance time interval
  • a high degree of diagnostic coverage can lead to a lower availability of a control unit with a redundant subsystem, especially if a second fault is also to be covered.
  • a solution other than high detection coverage is required. Because an increase in the detection rate of a second error means additional effort, which in turn increases the probability of a second error. This leads to an increased risk of system failure during the emergency operation tolerance time interval (EOTTI). Therefore, higher coverage for second fault detection reduces safety and system availability.
  • EOTTI emergency operation tolerance time interval
  • the system described here for providing an output signal therefore has advantages compared to a system with a dual-duplex redundancy architecture, in particular with regard to the detection of a second error.
  • a system In a dual-duplex redundancy architecture, a system is configured that has two independent system branches, or two independent ECUs (electronic control units), each of which is provided with two redundant function blocks.
  • the output signals of the redundant function blocks are compared in each system branch in order to switch off the relevant system branch in the event of an error, ie if the output signals do not match.
  • the first electrical and/or electronic failure (E/E) error can be detected with the dual duplex redundancy architecture by comparing the results and can be compensated for by the second system branch.
  • the two system branches can each be operated on independent CPUs.
  • a control unit with such a dual-duplex redundancy architecture reacts with the fail-silent mechanism and stops communication with actuators to which the system output signal is provided, while the remaining system branch of the control unit continues to have a high detection rate for a further error, but in contrast to the system described here for providing an output signal can no longer compensate for a second error and has an undiminished probability of a second failure.
  • a probability of a first electrical error and/or electronic error (E/E-failure: electrical and/or electronic failure) within the system, which can lead to a degradation of the system, can become clear be reduced.
  • Such a first electrical and/or electronic failure could, for example, result in initiation of execution of a minimal risk vehicle maneuver such as stopping in an emergency lane.
  • SPFM high detection coverage
  • E/E fault electronic fault
  • the ability of the system to recognize a second error depends on which part of the system described a first error has occurred.
  • a high detection coverage for the second error remains if the first error occurs, for example, in the third subsystem and/or the second comparison system or in the first subsystem or the second subsystem, each of which is part of the first electronic control unit.
  • ADS Autonomous Driving System
  • the energy consumption of the system can be significantly reduced, which reduces CO2 emissions, increases the range for electric vehicles and reduces the cost of a cooling system.
  • the weight of the system configured in this way can advantageously be reduced due to the smaller number of hardware components.
  • first subsystem and the second subsystem and the first comparison system are part of a first electronic control unit; and the third subsystem and the second comparison system are part of a second electronic control unit.
  • the two comparison systems can be reduced to the first electronic control unit and the second electronic control unit, i. H. the respective "compare, select, disable” mechanisms, in order to avoid single point of failure SPOF (English: single point of failure) in relation to availability.
  • SPOF Single point of failure
  • electrical energy for the first electronic control unit is provided by a first power supply; and electrical energy for the second electronic control unit is provided by a second power supply, and the first power supply and the second power supply are configured to provide the electrical energy of the first power supply independently of the electrical energy of the second power supply. In this way it can be achieved that the system is more fault-tolerant and has higher availability.
  • the first sensor system is the same as the second sensor system.
  • the first sensor system and/or the second sensor system can have a multiplicity of sensors.
  • the second sensor system is a redundant sensor system to the first sensor system. If the first sensor system is redundant to the second sensor system, the system for providing the output signal can thus become more available and fault-tolerant.
  • the first electronic control unit is set up and configured with the first power supply to interact with the correspondingly set up and configured second electronic control unit with the second power supply such that the system for providing the output signal is fault-tolerant and highly available.
  • the first comparison system and the second comparison system are set up to detect an error in the first subsystem and/or an error in the second subsystem and/or an error in the third subsystem when the respective subsystem determines the environment model.
  • the first comparison system is set up, an output signal from the first subsystem or an output signal from the second subsystem, optionally depending on a detected error in the respectively identified first subsystem and/or the second subsystem and/or the third subsystem , to provide an actuator system.
  • a valid output signal can thus be provided to the actuator system, which itself can be designed redundantly, even if one of the subsystems has errors.
  • the first comparison system is set up, the output signal of the first subsystem and the output signal of the second subsystem, depending on a detected error in the respectively identified first subsystem and/or the second subsystem and/or the third subsystem Provide actuator system.
  • a valid output signal can thus be provided to the actuator system, which itself can be designed redundantly, even if one of the subsystems has errors.
  • the first comparison system can be used to provide the output signal of the first or the second subsystem to the actuator system with a switch and/or a switch, for switching or switching, be coupled in terms of signal in order to provide the actuator system depending on a detected error of the output signal of the first subsystem and the output signal of the second subsystem.
  • the output signal of the first subsystem and the second subsystem can be provided to the changeover switch as an input signal, in which case the changeover switch can be switched by the first comparison system and the output signal of the changeover switch can be provided as an input signal to the switch, which is connected to the actuator system with its output is signal-coupled.
  • the second comparison system is set up to provide the actuator system with an output signal from the third subsystem depending on a detected fault in the respectively identified first subsystem and/or the second subsystem and/or the third subsystem.
  • a valid output signal can thus be provided to an output of the system, or for example to the actuator system, even if the first comparison system no longer provides the output signal of the first subsystem and the second subsystem to the output of the system, in particular to the actuator system.
  • the second comparison system can be signal-coupled to a further switch for switching in order to provide the output signal of the third subsystem to the actuator system depending on a detected error.
  • the output signal of the third subsystem can be provided to the further switch as an input signal, wherein the further switch can be switched by the second comparison system and the output signal of the further switch can be signal-coupled as an input signal with its output to the actuator system.
  • the system for providing the output signal has a first input for providing a signal of the first sensor system; and a second input for providing a signal of the second sensor system; and has a first computing unit, wherein the first computing unit is set up to generate the output signal and/or an environment model of the environment of the mobile platform by means of the first subsystem and/or the second subsystem.
  • the system for providing the output signal has a second processing unit, the second processing unit being set up to generate the output signal and/or the environment model of the environment of the mobile platform by means of the third subsystem.
  • the system for providing the output signal has a first output for providing control signals from the first computing unit to the actuator system and/or to a subsequent system; and a second output for providing control signals from the second arithmetic unit to the actuator system and/or to a downstream system, the first arithmetic unit having the first comparison system in order to optionally provide an output signal from the first subsystem or the second subsystem at the first output .
  • the second arithmetic unit of the system for providing the output signal has the second comparison system in order to optionally provide an output signal of the third subsystem at the second output of the system for providing the output signal.
  • the first processing unit and/or the second processing unit can have one or more systems-on-chip.
  • the first processor can have a system-on-chip to provide the functionality of the first subsystem and the second subsystem
  • the second processor can have a further system-on-chip to provide the functionality of the third subsystem
  • the output signal can be any signal for controlling a downstream system and/or an environment model of the environment of the mobile platform and/or a trajectory that results in particular from planning a route for the mobile platform and/or Control signals for the mobile platform in order to follow a trajectory using the actuator system or individual actuators of the actuator system.
  • a control device for use in a vehicle which has one of the systems described above for providing an output signal. Such a control device can also have additional functions.
  • the system can easily be integrated into different mobile platforms, such as in particular automated driving systems for driving automation levels 3+, 4 and 5 (SAE J3016).
  • a mobile platform, and in particular an at least partially automated vehicle, is proposed, which has a control unit as described above.
  • a mobile platform so equipped can realize all the advantages of the system for providing the output signal described above.
  • a mobile platform can be understood to mean an at least partially automated system that is mobile and/or a driver assistance system of a vehicle.
  • An example can be an at least partially automated vehicle or a vehicle with a driver assistance system. That is, in this context, an at least partially automated system includes a mobile platform in terms of at least partially automated functionality, but a mobile platform also includes vehicles and other mobile machines including driver assistance systems.
  • Other examples of mobile platforms can be driver assistance systems with multiple sensors, mobile multi-sensor robots such as robotic vacuum cleaners or lawn mowers, a multi-sensor monitoring system, a manufacturing machine, a personal assistant or an access control system. Each of these systems can be a fully or partially automated system.
  • FIG. 1 An exemplary embodiment of the invention is illustrated with reference to FIG. 1 and explained in more detail below. Show it:
  • FIG. 1 shows a system for providing an output signal
  • FIG. 2 shows an example of a partial failure in the system for providing an output signal
  • FIG. 3 further examples of partial failures in the system for providing an output signal.
  • FIG. 1 schematically outlines a control unit, in particular for use in a mobile platform, such as in a vehicle, which has a system for providing an output signal based on a generated environment model an environment of a mobile platform.
  • the control device can be used to generate an environment model of an environment of the mobile platform.
  • the output signal can be any signal for controlling a downstream system and/or an environment model of the environment of the mobile platform and/or a trajectory that results in particular from planning a route for the mobile platform and/or a control signal for be the mobile platform in order to follow a trajectory using the actuator system or individual actuators of the actuator system.
  • the system 100 includes a first subsystem 110 operable to generate the output signal and configured to be signally coupled to a first sensor system 102 .
  • the system 100 further includes a second output signal generation subsystem 120 configured to be signally coupled to the first sensor system 102 .
  • the second subsystem 120 is configured to provide a functionality of the first subsystem 110 redundantly.
  • the system 100 further includes a third subsystem 130 for generating the output signal, the third subsystem being configured to be signally coupled to a second sensor system 104 .
  • the third subsystem 130 is configured to provide the functionality of the first subsystem 110 and/or the second subsystem 120 in a redundant manner.
  • the first and the second subsystem 110, 120 can be coupled in terms of signal to the second sensor system 104 and/or the third subsystem 130 can be coupled in terms of signal to the first sensor system 102; in particular, the first sensor system 102 can be redundant to the second sensor system 104 .
  • the first sensor system 102 and the second sensor system 104 may each include a plurality of sensor systems. Alternatively or additionally, the first sensor system 102 can be the same as the second sensor system 104 .
  • system 100 includes a first comparison system 210 signally coupled to an output of the first subsystem 110 and an output of the second subsystem 120 and an output of the third subsystem 130 .
  • a second comparison system 220 of the system 100 is signally coupled to the output of the first subsystem 110 and the output of the second subsystem 120 and the output of the third subsystem 130 .
  • the first comparison system 210 and the second comparison system 220 are signally coupled, as indicated by a double arrow between the comparison systems in FIG is indicated in Figures 1 to 3 in order in particular to provide corresponding comparison results of the respective comparison system with 210, 220, and the first comparison system 210 and the second comparison system 220 are configured to detect at least one error in the first subsystem 110 and/or one error in the second subsystem 120 and /or to detect an error in the third subsystem 130 and in particular to identify the respective faulty subsystem 110, 120, 130.
  • the redundantly calculated output signals of the first subsystem 110 and of the second subsystem 120 and of the third subsystem 130 can be compared to detect an error, in particular random hardware failure errors.
  • Such a comparison with the first comparison system 210 described and the second comparison system 220 described can also be used to uniquely identify the respective subsystem in which an error has occurred.
  • the subsystem with the failure can be deactivated separately, with two redundant subsystems being retained for redundant provision of the output signals, so that another error can be detected.
  • the comparison of the output signals themselves can be a simple "bit equal" comparison, e.g. B. by arithmetic checksum test, alternatively or additionally, the comparison of the output signals can also be more complex.
  • the second subsystem 120 together with the first comparison system 210 can be understood as a first detection and backup system 125 for the first subsystem 110 and/or the third subsystem 130.
  • the third subsystem 130 together with the second comparison system 220 can be understood as a second detection and backup system 135 for the first subsystem 110 and/or the second subsystem 120.
  • the first subsystem 110 and the second subsystem 120 and the first comparison system 210 are part of a first electronic control unit 410.
  • the third subsystem 130 and the second comparison system 220 are part of a second electronic control unit 420.
  • This division, in particular of the two comparison systems 210, 220, into the first electronic control unit and the second electronic control unit, ie the respective "compare, select, disable" Mechanisms can be implemented in such a way that single points of failure in terms of availability are avoided.
  • electrical energy for the first electronic control unit 410 is provided by a first power supply 610 and electrical energy for the second electronic control unit 420 is provided by a second power supply 620.
  • the first power supply 610 and the second power supply 620 are set up to provide the electrical energy independently of one another.
  • the first power supply 610 and the second power supply 620 can supply an actuator system 500, which can contain redundant actuators, with electrical energy in a correspondingly redundant manner in each case to increase the fail-safety system.
  • the system for providing the output signal can be designed to be fault-tolerant and highly available by setting up and configuring the first electronic control unit 410 with the first power supply 610, with the correspondingly set up and configured second electronic control unit 420 with the second power supply 620 to cooperate accordingly highly available.
  • the first comparison system 210 is equipped with a switch 310, to which the first comparison system 210 is coupled in terms of signal, either an output signal from the first subsystem 110 or an output signal from the second subsystem 120, depending on a detected error in the respectively identified first subsystem 110 and /or the second subsystem 120 and/or the third subsystem 130 to provide an actuator system 500 at an output 415 of the system 100.
  • the first comparison system 210 is set up with a switch 320, to which the first comparison system 210 is signal-coupled, the output signal of the first subsystem 110 and the output signal of the second subsystem 120, depending on a detected error in the respectively identified first subsystem 110 and /or the second subsystem 120 and/or the third Subsystem 130, the actuator system 500 at the output 415 of the system 100, according to a "fail silent mechanism" to provide.
  • the second comparison system 220 is set up with a switch 330, to which the second comparison system 220 is coupled in terms of signal, an output signal of the third subsystem 130, depending on a detected error in the respectively identified first subsystem 110 and/or the second subsystem 120 and/or the third subsystem 130, the actuator system 500 at an output 425 of the system 100, corresponding to a "fail silent mechanism".
  • Figure 2 outlines schematically how the system 100, in the event of an error in the first subsystem 110, connects the redundantly determined output signal of the second subsystem 120 to the output 415 of the system 100 by means of the first comparison system 210, which acts on the changeover switch 310. to provide it to the actuator system 500 instead of the output of the first subsystem 110.
  • the first comparison system 210 compares the output signals of the first subsystem 110 and the second subsystem 120 and the third subsystem 130 and, when an error is detected, in particular a random hardware failure error, switches the changeover switch 310 so that the output signal of the second subsystem 120 at the Output 415 of system 100 is provided.
  • an error can be detected and identified in the corresponding subsystem of the three subsystems 110, 120, 130.
  • the subsystem with the relevant error or failure can be deactivated separately, with two redundant subsystems, namely the second subsystem 120 and the third subsystem 130, for providing the output signals and detecting a second errors are preserved.
  • the failed lane (calculation track), or the relevant subsystem 110, 120, 130 separately switched off without both redundant communication channels to the actuators being lost at the same time.
  • a high detection range remains for a second failure within an EOTTI after the occurrence of a first failure.
  • Figure 3 schematically outlines a reduced detection range for a second failure within an EOTTI of the system 100 in the event of a fault or failure in the first power supply 610 and/or in the event of a fault in the first comparison system 210.
  • the first comparison system 210 deactivates the switch 320 so that neither the first subsystem 110 nor the second subsystem 120 provides an output signal at the output 415 of the system 100 for an actuator system 500 .
  • the second comparison system 220 is configured and set up to detect and identify both the error in the power supply 610 and the error in the first comparison system 210 and switches the output signal of the third subsystem 130, by means of the switch 330, to which the second comparison system 220 is signal-coupled is, to an output 425 of the system 100, for provision to the actuator system 500.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Es wird ein System (100) zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform vorgeschlagen, mit: einem ersten Subsystem (110), einem zweiten Subsystem (120), wobei das zweite Subsystem (120) konfiguriert ist, eine Funktionalität des ersten Subsystems (110) redundant bereitzustellen und einem dritten Subsystem (130), wobei das dritte Subsystem (130) konfiguriert ist, die Funktionalität des ersten Subsystems (110) und/oder des zweiten Subsystems (120) redundant bereitzustellen; einem ersten Vergleichssystem (210), einem zweiten Vergleichssystem (220), wobei das erste Vergleichssystem (210) und/oder das zweite Vergleichssystem (220) konfiguriert sind, zumindest einen Fehler des ersten Subsystems (110) und/oder einen Fehler des zweiten Subsystems (120) und/oder einen Fehler des dritten Subsystems (130) zu erkennen und/oder das jeweilige fehlerhafte Subsystem (110, 120, 130) zu identifizieren.

Description

Beschreibung
Titel
System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform
Stand der Technik
Moderne automobile Systemarchitekturen werden von Tag zu Tag komplexer und leistungsfähiger. Ein sehr repräsentatives Beispiel sind Automatisierte Fahrsysteme (ADS) im Kontext von Self Driving Vehicles (SDV). Diese Systeme müssen entsprechend dem Grad der Fahrautomatisierung (SAE J3016), für den sie entwickelt werden, auch ein hohes Maß an Sicherheit und Verfügbarkeit bieten können.
Der Schwerpunkt der aktuellen Entwicklungen der Automobilhersteller liegt im Bereich von Level 2 bis Level 4. Der wichtigste Übergang ist der zwischen Teilautomatisierung (Level 2) und bedingter Automatisierung (Level 3), da im letzteren Fall kein Fahrer als sicherheitsrelevante unmittelbare Rückfallebene für das Fahren benötigt wird.
Der Hauptunterschied zwischen Stufe 4, mit hoher Automatisierung, und Stufe 5, mit vollständiger Automatisierung, ist die Fähigkeit des Systems, bestimmte eingeschränkte Fahrmodi gegenüber allen Fahrmodi zu handhaben, wenn insbesondere solche Fahrzeugtypen überhaupt kein Lenkrad haben.
Offenbarung der Erfindung
Im Allgemeinen werden innerhalb einer Sollfunktion für automatisiertes Fahren (AD: automatic driving) Daten von verschiedenen Sensoren gesammelt, synthetisiert und fusioniert, um ein Modell der aktuellen Fahrsituation in der Umgebungswahrnehmung (EP: environment perception) und Fahrzeuglokalisierung (VL: vehicle localisation) zu erzeugen. Das Modell wird von der Verhaltensplanung (BP: behavioral planning) verwendet, um einen Fahrweg oder eine Trajektorie in Bezug auf die aktuelle Fahrsituation und die geplante Fahrt zu erstellen. Das Aktuatormanagement (AM: actuator management) sorgt für die Steuerung der verschiedenen Aktuatoren, die dem berechneten Fahrweg folgen.
In Bezug auf die Fahrautomatisierungsstufen (SAE J3016) erfordern automatisierte Fahrsysteme ab Stufe 3+ eine Fail-Operational-Architektur, d.h. das System sollte nach einem Ausfall einer Komponente zumindest noch eine gewisse Zeit sicher Weiterarbeiten.
Gemäß Aspekten der Erfindung wird ein System zum Bereitstellen eines Ausgangssignals, ein Steuergerät, eine mobile Plattform und eine Verwendung eines Systems, gemäß den Merkmalen der unabhängigen Ansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der abhängigen Ansprüche sowie der nachfolgenden Beschreibung.
In dieser gesamten Beschreibung der Erfindung ist die Abfolge von Verfahrensschritten so dargestellt, dass das Verfahren leicht nachvollziehbar ist. Der Fachmann wird aber erkennen, dass viele der Verfahrensschritte auch in einer anderen Reihenfolge durchlaufen werden können und zu dem gleichen oder einem entsprechenden Ergebnis führen. In diesem Sinne kann die Reihenfolge der Verfahrensschritte entsprechend geändert werden. Einige Merkmale sind mit Zählwörtern versehen, um die Lesbarkeit zu verbessern oder die Zuordnung eindeutiger zu machen, dies impliziert aber nicht ein Vorhandensein bestimmter Merkmale.
Ein System mit einem fehlertoleranten Design, d. h. ein fehlertolerantes System, ist konfiguriert, eine definierte Funktionalität aufrechtzuerhalten, wenn Teile des Systems ausfallen, das dazu typischerweise einen hohen Grad an Redundanz aufweist.
Insbesondere hochverfügbaren Systeme können in Bezug auf Fehlertoleranz unterschiedlich konfiguriert sein:
- In einem Fail-Operational-Modus, kann ein vorgesehener Betrieb, möglicherweise für einen begrenzten Zeitraum, fortgesetzt werden, statt komplett auszufallen, wenn ein Teil des Systems ausfällt.
- In einem Fail-Degraded-Modus, kann das System, einen beabsichtigten Betrieb auf einem reduzierten “Niveau“ fortzusetzen, statt vollständig auszufallen, wenn ein Teil des Systems ausfällt. Bei einem Teil-Ausfall innerhalb eines solchen Systems wird ein Übergang vom fehlerhaften Teilsystem zu einem verbleibenden unabhängigen, nicht fehlerhaften Teilsystem durchgeführt.
Darüber hinaus kann ein hochverfügbares System die gesamte elektrische und/oder elektronische Architektur des Fahrzeugs, d. h. einschließlich einer Stromversorgung (PowerNet), Kommunikationsbussen, Kühlsystemen, und insbesondere auch Fehler mit gemeinsamer Ursache berücksichtigen und konfiguriert sein, einen Betrieb auch bei Ausfällen fortsetzen, sodass auch bei Vorliegen eines Fehlers eine Redundanz in dem System mit höchstmöglicher Verfügbarkeit jeweiliger Dienste erforderlich ist.
Im Allgemeinen erfordert eine Funktionalität die der Stufe L3+ (d. h.: L3, L4, L5) entspricht, redundante Strukturen, um nach einem Auftreten eines ersten Fehlers, z. B. eines elektrischen und/oder elektronischen Fehlers (E/E-Fehler) innerhalb eines AD-Systems (Automated Driving System: ADS) eine Fehlerbegrenzung und/oder eine Degradation und/oder eine volle Betriebsfähigkeit zu ermöglichen.
Um dies zu erreichen, kann ein System so ausgelegt werden, dass:
- in jedem Fehlerszenario innerhalb der Haupt- ECU (electronic control unit), als primäres System, oder Backup- ECU, als sekundäre System, eine notwendige Systemfunktionalität weiterhin zur Verfügung steht. Dabei kann die Systemfunktionalität entsprechend dem Szenario vollständig oder herabgesetzte sein.
- ein jeweiliges Steuergerät (Haupt- Steuergerät, als primäres System, oder Backup-Steuergerät, als sekundäre System, konfiguriert ist, einen eigenen Ausfall zu erkennen und zu verhindern, dass ungültige Daten an weiterverarbeitende Stufen, wie beispielsweise Aktoren, kommuniziert werden. Zu verhindern, dass ungültige Daten an weiterverarbeitende Stufen kommuniziert werden, kann als Passivierung oder “Fail-Silent“ Konfiguration definiert werden.
- Weiterverarbeitende Stufen des Systems, wie beispielsweise Aktoren, können konfiguriert sein, z.B. eine Unterbrechung einer Kommunikation mit einer vorherigen Stufe zu erkennen und nur noch Kommunikation von verbleibenden gültigen Steuergeräten zu akzeptieren.
Gemäß ISO 26262:2018 müssen elektronische und/oder elektrische Ausfälle (E/E-Ausfälle), in Bezug auf zufällige transiente/permanente Hardware (HW)- Ausfälle, innerhalb des Systems mit einer SPFM (Single Point Fault Metrie) von
> 99 % erkannt werden, wobei das ASIL D-Verfügbarkeitssicherheitsziel angenommen wird. Diese Anforderung kann einem einzelnen Steuergerät (electronic control unit: ECU) in Bezug auf die erste Fehlererkennung zugewiesen werden. Jedes Steuergerät muss in der Lage sein, seine eigenen E/E-Ausfälle mit einer SPFM > 99% zu erkennen.
Wenn ein erster Ausfall innerhalb des Hauptsteuergeräts (primäres System) erkannt wird, kann das System mit seinem redundanten Backup-Steuergerät (sekundäre System) reagieren, um das Fahrzeug zu steuern und das Fahrzeug innerhalb eines EOTTI (Emergency Operation Tolerance Time Intervall) in einen sicheren Zustand mit minimalem Risiko zu bringen.
Gemäß einem Aspekt der Erfindung wird ein System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform, mit: einem ersten Subsystem zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit einem ersten Sensorsystem gekoppelt zu werden; einem zweiten Subsystem zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit dem ersten Sensorsystem gekoppelt zu werden; wobei das zweite Subsystem konfiguriert ist, eine Funktionalität des ersten Subsystems redundant bereitzustellen ein drittes Subsystem, zum Generieren des Ausgangssignals; wobei das dritte Subsystem konfiguriert ist, signalmäßig mit einem zweiten Sensorsystem gekoppelt zu werden; wobei das dritte Subsystem konfiguriert ist, die Funktionalität des ersten Subsystems und/oder des zweiten Subsystems redundant bereitzustellen; ein erstes Vergleichssystem, das signalmäßig mit einem Ausgang des ersten Subsystems und einem Ausgang des zweiten Subsystems und einem Ausgang des dritten Subsystems gekoppelt ist; ein zweites Vergleichssystem, das signalmäßig mit dem Ausgang des ersten Subsystems und dem Ausgang des zweiten Subsystems und dem Ausgang des dritten Subsystems gekoppelt ist; wobei das erste Vergleichssystem und das zweite Vergleichssystem signalmäßig gekoppelt sind; und das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, zumindest einen Fehler des ersten Subsystems und/oder einen Fehler des zweiten Subsystems und/oder einen Fehler des dritten Subsystems zu erkennen und/oder das jeweilige fehlerhafte Subsystem zu identifizieren.
Gemäß einem Aspekt kann das Ausgangssignal ein beliebiges Signal für eine Steuerung eines nachgeschalteten Systems sein und/oder ein Umfeldmodell des Umfelds der mobilen Plattform sein und/oder eine Trajektorie sein, die insbesondere aus einer Planung einer Route für die mobile Plattform resultiert, und/oder Regelsignale für die mobile Plattform sein, um, mittels des Aktuators-Systems, bzw. einzelner Aktuatoren des Aktuators-Systems, eine Trajektorie abzufahren. Mit anderen Worten kann das Ausgangssignal des jeweiligen Subsystems ein generisches Signal sein, das an ein nachfolgendes weiterverarbeitendes System bereitgestellt wird.
Entsprechend einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, einen Fehler des ersten Subsystems oder einen Fehler des zweiten Subsystems oder einen Fehler des dritten Subsystems zu erkennen und das jeweilige fehlerhafte Subsystem zu identifizieren.
Entsprechend einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, mindestens einen Fehler des ersten Subsystems und/oder mindestens einen vom ersten Subsystems unabhängigen und ungleichen Fehler des zweiten Subsystems und/oder mindestens einen vom ersten und zweiten Subsystem unabhängigen und ungleichen Fehler des dritten Subsystems zu erkennen.
Entsprechend einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, eine Un Verfügbarkeit des ersten Subsystems und/oder eine Un Verfügbarkeit des zweiten Subsystems und/oder eine Un Verfügbarkeit des dritten Subsystems zu erkennen und das jeweilige unverfügbare Subsystem zu identifizieren
Insbesondere kann das beschriebene System mit redundanten Sensorsystemen und/oder mit redundanten Steuergeräten, d.h. Haupt-und Back-up- Steuergeräten, als primäres System und sekundäres System, wie der ersten elektronischen Steuereinheit und zweiten elektronischen Steuereinheit und/oder mit redundanten Aktuatoren und/oder mit redundanter Kommunikation zwischen Aktuatoren und den jeweiligen Steuergeräten, konfiguriert sein, um gegenüber Ausfällen von Teilsystemen möglichst fehlertolerant zu sein. Vorteilhafterweise ist dieses System fehlertolerant gegenüber einem Ausfall von einem der drei Subsysteme, insbesondere für zufällige Hardwareausfällen, was insbesondere bei einem Einsatz in einem zumindest teilautomatisiertes Fahrsystem (ADS: Automated Driving Systems) gefordert sein kann.
Denn das System ist konfiguriert einen ersten Fehler zu erkennen, und zusätzlich einen zweiten Fehler, abhängig vom jeweiligen Fehlerszenario, zu erkennen.
Das beschriebene System zum Bereitstellen eines Ausgangssignals optimiert eine Diagnosedeckung eines ersten Fehlers im Vergleich zu einer Verfügbarkeit einer Funktionalität. Denn im Allgemeinen erfordert eine Fehlererkennung immer Erkennungsmechanismen. Diese Erkennungsmechanismen werden mit steigenden Anforderungen an eine erforderliche Diagnoseabdeckung für einen bestimmten Fehlermodus immer komplexer. Dabei sind aber solche Diagnosemechanismen selbst zufälligen Hardware- Fehlern ausgesetzt, die wiederum zu falsch-positiven Detektionen von Fehlern führen können. Daher steigt im allgemeinen eine Wahrscheinlichkeit eines zufälligen Hardwarefehlers, wenn eine Diagnoseabdeckung erhöht wird.
Die Wahrscheinlichkeit des Verlusts der Verfügbarkeit (= Nichtverfügbarkeit) eines Systems mit einer Funktionalität kann entsprechend der folgenden Formel für die Wahrscheinlichkeit P(FV) der Verfügbarkeit der Funktionalität:
P(FV) = P(FA) + P(Efp) bestimmt werden, wobei P (FA) eine Wahrscheinlichkeit für einen Funktionalitäts- Ausfall ist und P (Efp) eine Wahrscheinlichkeit dafür, dass der Erkennungsmechanismus falsch positiv ist. Dieser Zusammenhang wird mit steigender Komplexität der Elemente innerhalb des Systems immer wesentlicher.
Beispielsweise kann eine Ausfallwahrscheinlichkeit eines CPU Lock Steps, bei dem, mit einem, zu einem Haupt- Funktionsblocks redundanten, Vergleichssystem, eine korrekte Funktionalität des Haupt- Funktionsblocks mittels eines Vergleichs- Funktionsblocks bestimmt wird, der eine Übereinstimmung der Funktionalität des Haupt- Funktionsblocks mit dem Vergleichssystem prüft, eine Ausfallwahrscheinlichkeit dieses CPU Lock Step-Gesamtsystems um mehr als den Faktor zwei erhöhen, da neben den Fehlerraten des Haupt- Funktionsblocks und des Vergleichssystems auch der Vergleichs- Funktionsblocks eine falschpositive Fehlerrate aufweist. Darüber hinaus sollte für ein fehlertolerantes System auch ein zweiter auftretender Fehler betrachtet werden. Tritt ein zweiter Fehler in einem solchen System mit einem redundanten Teilsystem innerhalb eines emergency operation tolerance time interval (EOTTI) auf, ist das System nicht mehr in der Lage, das Fahrzeug sicher zu steuern, da keine weiteren Sicherungselemente vorhanden sind.
Diese Tatsache ist unabhängig davon, ob ein zweiter Fehler erkennbar ist oder nicht.
Mit anderen Worten kann ein hoher Diagnoseabdeckungsgrad zu einer geringeren Verfügbarkeit eines Steuergeräts mit einem redundanten Teilsystem führen, insbesondere wenn auch noch ein zweiter Fehler abgedeckt werden soll. In Bezug auf ein Verfügbarkeitsziel ist somit eine andere Lösung als eine hohe Erkennungsabdeckung erforderlich. Denn eine Erhöhung der Erkennungsrate eines Zweitfehlers bedeutet einen zusätzlichen Aufwand, der wiederum die Wahrscheinlichkeit eines Zweitfehlers erhöht. Dies führt zu einem erhöhten Risiko eines Systemausfalls während der emergency operation tolerance time interval (EOTTI). Daher verringert eine höhere Abdeckung für die Erkennung eines zweiten Fehlers die Sicherheit und eine Systemverfügbarkeit.
Daher hat das hier beschriebene System zum Bereitstellen eines Ausgangssignals, insbesondere in Bezug auf die Erkennung eines Zweitfehlers Vorteile im Vergleich zu einem System mit einer Dual-Duplex-Redundanz- Architektur.
Bei einer Dual-Duplex-Redundanz-Architektur wird ein System konfiguriert, das zwei unabhängige Systemzweige, bzw. zwei unabhängige ECUs (electronic control unit), aufweist, die jeweils mit zwei redundanten Funktionsblöcken versehen sind. In dieser Architektur werden in jedem Systemzweig die Ausgangssignale der Redundanzen Funktionsblocks verglichen, um im Fehlerfall, d. h. wenn die Ausgangssignale nicht übereinstimmen, den betreffenden Systemzweig abzuschalten. Sofern der andere Systemzweig korrekt arbeitet, kann mit der Dual-Duplex-Redundanz-Architektur der erste electrical and/or electronic failure (E/E)- Fehler durch den Ergebnisvergleich erkannt und durch den zweiten Systemzweig kompensiert werden. Dazu können die beiden Systemzweige auf jeweils unabhängigen CPUs betrieben werden. Ein Steuergerät mit einer solchen Dual-Duplex-Redundanz-Architektur reagiert im Falle eines detektieren Fehlers mit dem Fail-Silent-Mechanismus und stoppt die Kommunikation zu Aktoren, denen das Ausgangssignal des Systems bereitgestellt wird, während der verbleibende Systemzweig des Steuergeräts weiterhin eine hohe Erkennungsrate für einen weiteren Fehler aufweist, kann aber im Gegensatz zu dem hier beschriebenen System zum Bereitstellen eines Ausgangssignals einen zweiten Fehler nicht mehr kompensieren und hat eine unverminderte Wahrscheinlichkeit für einen zweiten Ausfall.
Insbesondere kann mit dem hier beschriebenen System zum Bereitstellen eines Ausgangssignals eine Wahrscheinlichkeit eines ersten elektrischen Fehlers und/oder elektronischen Fehlers (E/E-failure: electrical and/or electronic failure) innerhalb des Systems, der zu einer Degradierung des Systems führen kann, deutlich reduziert werden.
Ein solcher erster elektrischer Fehler und/oder elektronischer Fehler könnte beispielsweise eine Auslösung einer Ausführung eines Fahrzeugmanövers mit minimalem Risiko, wie z.B. ein Anhalten in einer Rettungsgasse, bedingen.
D. h. das beschriebene System ermöglicht eine hohe Erkennungsabdeckung (SPFM) für jeden ersten elektrischen Fehler und/oder elektronischen Fehler (E/E- Fehler) innerhalb des Systems. Eine solche verbleibende Erkennungsabdeckung für einen zweiten Fehler während der EOTTI kann in dem hier beschriebenen System zum Bereitstellen eines Ausgangssignals für die meisten Fehlerszenarien immer noch hoch sein.
Dabei ist eine Fähigkeit des Systems zur Erkennung eines zweiten Fehlers davon abhängig, in welchem Teil des beschriebenen Systems ein erster Fehler aufgetreten ist. Insbesondere bleibt eine hohe Erkennungsabdeckung für den zweiten Fehler bestehen, wenn der erste Fehler beispielsweise im dritten Subsystem und/oder dem zweiten Vergleichssystem auftritt oder im ersten Subsystem oder dem zweiten Subsystem, die jeweils Teil der ersten elektronischen Steuereinheit sind.
Wenn der erste Fehler beispielsweise in der Stromversorgung oder dem ersten Vergleichssystem der ersten elektronischen Steuereinheit auftritt, kann eine reduzierte Fehlererkennung für den zweiten Fehler noch über zusätzliche Hardware- Fehlererkennungsmechanismen erreicht werden.
Durch die verbleibende Erkennungsabdeckung für einen zweiten Fehler während eines EOTTI (emergency operation tolerance time interval) wird eine Wahrscheinlichkeit einer Nichtverfügbarkeit des Systems während der EOTTI, die zu einer Verletzung des Sicherheitsziels führen könnte, deutlich reduziert.
Da das System weniger Hardware- Komponenten aufweist als beispielsweise eine Dual-Duplex-redundante Autonomous Driving System (ADS)-Compute-Set- Architektur können Kosten für Hardware- Komponenten signifikant reduziert werden.
Da weniger Hardware- Komponenten betrieben werden müssen, kann ein Energieverbrauch des Systems signifikant reduziert werden, wodurch ein CO2- Ausstoß reduziert wird, eine Erhöhung der Reichweite für Elektrofahrzeuge resultiert und ein reduzierter Aufwand für ein Kühlsystem notwendig ist. Darüber hinaus kann vorteilhafter Weise ein Gewicht des so konfigurierten Systems, aufgrund der geringeren Anzahl von Hardware- Komponenten, reduziert werden.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Subsystem und das zweite Subsystem und das erste Vergleichssystem Teil einer ersten elektronischen Steuereinheit sind; und das dritte Subsystem und das zweite Vergleichssystem Teil einer zweiten elektronischen Steuereinheit sind.
Vorteilhafterweise können die zwei Vergleichssysteme für das beschriebene System auf die erste elektronische Steuereinheit und die zweite elektronische Steuereinheit, d. h. die jeweiligen "compare, select, disable"-Mechanismen, aufgeteilt werden, um Single Point of Failure SPOF (deu.: einzelner Ausfallpunkt), in Bezug auf die Verfügbarkeit, zu vermeiden.
Gemäß einem Aspekt wird vorgeschlagen, dass elektrische Energie für die erste elektronische Steuereinheit von einer ersten Stromversorgung bereitgestellt wird; und elektrische Energie für die zweite elektronische Steuereinheit von einer zweiten Stromversorgung bereitgestellt wird und die erste Stromversorgung und die zweite Stromversorgung eingerichtet sind, die elektrische Energie der ersten Stromversorgung unabhängig von der elektrischen Energie der zweiten Stromversorgung bereitzustellen. Dadurch kann erreicht werden, dass das System fehlertoleranter und höher verfügbar ist.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Sensorsystem gleich dem zweiten Sensorsystem ist. Dabei kann das erste Sensorsystem und/oder das zweite Sensorsystem eine Vielzahl von Sensoren aufweisen. Gemäß einem Aspekt wird vorgeschlagen, dass das zweite Sensorsystem ein redundantes Sensorsystem zu dem ersten Sensorsystem ist. Wenn das erste Sensorsystem redundant zum zweiten Sensorsystem ist können damit das System zum Bereitstellen des Ausgangssignals höher verfügbar und fehlertoleranter werden.
Gemäß einem Aspekt wird vorgeschlagen, dass die erste elektronische Steuereinheit mit der ersten Stromversorgung eingerichtet und konfiguriert ist, mit der entsprechend eingerichteten und konfigurierten zweiten elektronischen Steuereinheit mit der zweiten Stromversorgung so zusammenzuwirken, dass das System zum Bereitstellen des Ausgangssignals fehlertolerant und hoch verfügbar ist.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und das zweite Vergleichssystem eingerichtet sind, einen Fehler des ersten Subsystems und/oder einen Fehler des zweiten Subsystems und/oder einen Fehler des dritten Subsystems bei der Bestimmung des Umfeldmodells durch das jeweilige Subsystem zu erkennen.
Dies kann vorteilhafter Weise dadurch erreicht werden, dass die entsprechenden Ausgangssignale der Subsysteme miteinander verglichen werden.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem eingerichtet ist, ein Ausgangssignal des ersten Subsystems oder ein Ausgangssignal des zweiten Subsystems, wahlweise, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem und/oder dem zweiten Subsystem und/oder dem dritten Subsystem, einem Aktuator-System bereitzustellen.
Damit kann dem Aktuator-System, dass selbst redundant ausgelegt sein kann, ein gültiges Ausgangssignal bereitgestellt werden, auch wenn eines der Subsysteme Fehler aufweist.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem eingerichtet ist, das Ausgangssignal des ersten Subsystems und das Ausgangssignal des zweiten Subsystems, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem und/oder dem zweiten Subsystem und/oder dem dritten Subsystem, einem Aktuator-System bereitzustellen.
Damit kann dem Aktuator-System, dass selbst redundant ausgelegt sein kann, ein gültiges Ausgangssignal bereitgestellt werden, auch wenn eines der Subsysteme Fehler aufweist.
Das erste Vergleichssystem kann zum Bereitstellen des Ausgangssignals des ersten oder des zweiten Subsystems an das Aktuator- System mit einem Schalter und/oder einem Umschalter, zum Schalten bzw. Umschalten, signalmäßig gekoppelt sein, um abhängig von einem erkannten Fehler des Ausgangssignal des ersten Subsystems und das Ausgangssignal des zweiten Subsystems dem Aktuator System bereitzustellen. Dazu kann das Ausgangssignal des ersten Subsystems und des zweiten Subsystems dem Umschalter als Eingangssignal bereitgestellt werden, wobei der Umschalter durch das erste Vergleichssystem geschaltet werden kann und das Ausgangssignal des Umschalters kann als Eingangssignal dem Schalter bereitgestellt werden, der mit seinem Ausgang an das Aktuator-System signalmäßig gekoppelt ist.
Gemäß einem Aspekt wird vorgeschlagen, dass das zweite Vergleichssystem eingerichtet ist, ein Ausgangssignal des dritten Subsystems, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem und/oder dem zweiten Subsystem und/oder dem dritten Subsystem, dem Aktuator-System bereitzustellen.
Damit kann einem Ausgang des Systems, bzw. beispielsweise dem Aktuator-System, ein gültiges Ausgangssignal bereitgestellt werden, auch wenn das erste Vergleichssystem das Ausgangssignal des ersten Subsystems und des zweiten Subsystems dem Ausgang des Systems, insbesondere dem Aktuator-System, nicht mehr bereitstellt.
Das zweite Vergleichssystem kann zum Bereitstellen des Ausgangssignals des dritten Subsystems an das Aktuator-System mit einem weiteren Schalter zum Schalten signalmäßig gekoppelt sein, um abhängig von einem erkannten Fehler das Ausgangssignal des dritten Subsystems dem Aktuator-System bereitzustellen. Dazu kann das Ausgangssignal des dritten Subsystems dem weiteren Schalter als Eingangssignal bereitgestellt werden, wobei der weitere Schalter durch das zweite Vergleichssystem geschaltet werden kann und das Ausgangssignal des weiteren Schalters kann als Eingangssignal mit seinem Ausgang an das Aktuator-System signalmäßig gekoppelt sein.
Gemäß einem Aspekt wird vorgeschlagen, dass das System zum Bereitstellen des Ausgangssignals einen ersten Eingang zum Bereitstellen eines Signals des ersten Sensorsystems aufweist; und einen zweiten Eingang zum Bereitstellen eines Signals des zweiten Sensorsystems aufweist; und eine erste Recheneinheit aufweist, wobei die erste Recheneinheit eingerichtet ist, mittels des ersten Subsystems und/oder des zweiten Subsystems, das Ausgangssignal und/oder ein Umfeldmodell des Umfelds der mobilen Plattform zu generieren. Zusätzlich weist das System zum Bereitstellen des Ausgangssignals eine zweite Recheneinheit auf, wobei die zweite Recheneinheit eingerichtet ist, mittels des dritten Subsystems, das Ausgangssignal und/oder das Umfeldmodell des Umfelds der mobilen Plattform zu generieren.
Weiterhin weist das System zum Bereitstellen des Ausgangssignals einen ersten Ausgang zur Bereitstellung von Steuersignalen der ersten Recheneinheit an das Aktuator-System und/oder an ein nachfolgendes System; und einen zweiten Ausgang zur Bereitstellung von Steuersignalen der zweiten Recheneinheit an das Aktuator- System und/oder an ein nachfolgendes System auf, wobei die erste Recheneinheit das erste Vergleichssystem aufweist, um wahlweise ein Ausgangssignal des ersten Subsystems oder des zweiten Subsystems an dem ersten Ausgang bereitzustellen. Die zweite Recheneinheit des Systems zum Bereitstellen des Ausgangssignals weist das zweite Vergleichssystem auf, um wahlweise ein Ausgangssignal des dritten Subsystems an dem zweiten Ausgang des Systems zum Bereitstellen des Ausgangssignals bereitzustellen.
Gemäß einem Aspekt kann die erste Recheneinheit und/oder die zweite Recheneinheit ein oder mehrere Systeme-On Chip aufweisen.
Insbesondere kann die erste Recheneinheit zur Bereitstellung der Funktionalität des ersten Subsystems und des zweiten Subsystems jeweils ein System-on-Chip aufweisen die zweite Recheneinheit kann zur Bereitstellung der Funktionalität des dritten Subsystems ein weiteres System on Chip aufweisen.
Gemäß einem Aspekt kann das Ausgangssignal ein beliebiges Signal für eine Steuerung eines nachgeschalteten Systems sein und/oder ein Umfeldmodell des Umfelds der mobilen Plattform sein und/oder eine Trajektorie, die insbesondere aus einer Planung einer Route für die mobile Plattform resultiert, sein und/oder Regelsignale für die mobile Plattform, um, mittels des Aktuators-Systems, bzw. einzelner Aktuatoren des Aktuators-Systems, eine Trajektorie abzufahren.
Es wird ein Steuergerät zur Verwendung in einem Fahrzeug vorgeschlagen, das eines der oben beschriebenen Systeme zum Bereitstellen eines Ausgangssignals aufweist. Dabei kann ein solches Steuergerät auch weitere Funktionen aufweisen.
Vorteilhafterweise kann mit einem solchen Steuergerät das System leicht in unterschiedliche mobile Plattformen, wie insbesondere automatisierte Fahrsysteme für die Fahrautomatisierungsstufen 3+, 4 und 5 (SAE J3016) integriert werden. Es wird eine mobile Plattform, und insbesondere ein zumindest teilautomatisiertes Fahrzeug, vorgeschlagen, das ein oben beschriebenes Steuergerät aufweist. Vorteilhafterweise kann eine so ausgestattete mobile Plattform alle oben beschriebenen Vorteile des Systems zum Bereitstellen des Ausgangssignals realisieren.
Es wird eine Verwendung eines der oben beschriebenen Systeme zum Generieren eines Umfeldmodells eines Umfelds einer mobilen Plattform vorgeschlagen.
Unter einer mobilen Plattform kann ein zumindest teilweise automatisiertes System verstanden werden, welches mobil ist, und/oder ein Fahrerassistenzsystem eines Fahrzeugs. Ein Beispiel kann ein zumindest teilweise automatisiertes Fahrzeug bzw. ein Fahrzeug mit einem Fahrerassistenzsystem sein. Das heißt, in diesem Zusammenhang beinhaltet ein zumindest teilweise automatisiertes System eine mobile Plattform in Bezug auf eine zumindest teilweise automatisierte Funktionalität, aber eine mobile Plattform beinhaltet auch Fahrzeuge und andere mobile Maschinen einschließlich Fahrerassistensystemen. Weitere Beispiele für mobile Plattformen können Fahrerassistenzsysteme mit mehreren Sensoren, mobile Multisensor- Roboter wie z.B. Roboterstaubsauger oder Rasenmäher, ein Multisensor- Überwachungssystem, eine Fertigungsmaschine, ein persönlicher Assistent oder ein Zugangskontrollsystem sein. Jedes dieser Systeme kann ein vollständig oder teilweise automatisiertes System sein.
Ausführungsbeispiele
Ein Ausführungsbeispiel der Erfindung wird mit Bezug auf die Figur 1 dargestellt und im Folgenden näher erläutert. Es zeigen:
Figur 1 ein System zum Bereitstellen eines Ausgangssignals;
Figur 2 ein Beispiel für einen Teil-Ausfall in dem System zum Bereitstellen eines Ausgangssignals mit; und
Figur 3 weitere Beispiele für Teil-Ausfälle in dem System zum Bereitstellen eines Ausgangssignals.
Die Figur 1 skizziert schematisch ein Steuergerät, insbesondere zur Verwendung in einer mobilen Plattform, wie beispielsweise in einem Fahrzeug, das ein System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform, aufweist. Das Steuergerät kann zum Generieren eines Umfeldmodells eines Umfelds der mobilen Plattform verwendet werden. Das Ausgangssignal kann ein beliebiges Signal für eine Steuerung eines nachgeschalteten Systems sein und/oder ein Umfeldmodell des Umfelds der mobilen Plattform sein und/oder eine Trajektorie, die insbesondere aus einer Planung einer Route für die mobile Plattform resultiert, sein und/oder ein Regelsignal für die mobile Plattform sein, um, mittels des Aktuators-Systems, bzw. einzelner Aktuatoren des Aktuators-Systems, eine Trajektorie abzufahren.
Das System 100 enthält ein erstes Subsystem 110, das geeignet ist das Ausgangssignal zu generieren, und das konfiguriert ist, signalmäßig mit einem ersten Sensorsystem 102 gekoppelt zu werden.
Weiterhin enthält das System 100 ein zweites Subsystem 120 zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit dem ersten Sensorsystem 102 gekoppelt zu werden. Dabei ist das zweite Subsystem 120 konfiguriert, eine Funktionalität des ersten Subsystems 110 redundant bereitzustellen.
Weiterhin enthält das System 100 ein drittes Subsystem 130, zum Generieren des Ausgangssignals, wobei das dritte Subsystem konfiguriert ist, signalmäßig mit einem zweiten Sensorsystem 104 gekoppelt zu werden.
Das dritte Subsystem 130 ist konfiguriert, die Funktionalität des ersten Subsystems 110 und/oder des zweiten Subsystems 120 redundant bereitzustellen.
Alternativ oder zusätzlich kann das erste und das zweite Subsystem 110, 120 mit dem zweiten Sensorsystem 104 signalmäßig gekoppelt sein und/oder das dritte Subsystem 130 kann signalmäßig mit dem ersten Sensorsystem 102 gekoppelt sein, insbesondere kann das erste Sensorsystem 102 redundant zum zweiten Sensorsystem 104 sein.
Das erste Sensorsystem 102 und das zweite Sensorsystem 104 kann jeweils eine Vielzahl von Sensorsystemen beinhalten. Alternativ oder zusätzlich kann das erste Sensorsystem 102 gleich dem zweiten Sensorsystem 104 sein.
Zusätzlich enthält das System 100 ein erstes Vergleichssystem 210, das signalmäßig mit einem Ausgang des ersten Subsystems 110 und einem Ausgang des zweiten Subsystems 120 und einem Ausgang des dritten Subsystems 130 gekoppelt ist.
Ein zweites Vergleichssystem 220 des Systems 100 ist signalmäßig mit dem Ausgang des ersten Subsystems 110 und dem Ausgang des zweiten Subsystems 120 und dem Ausgang des dritten Subsystems 130 gekoppelt.
Das erste Vergleichssystem 210 und das zweite Vergleichssystem 220 sind signalmäßig gekoppelt, wie mit einem Doppelpfeil zwischen den Vergleichssystemen in den Figuren 1 bis 3 angedeutet ist, um insbesondere entsprechende Vergleichsergebnisse der jeweiligen Vergleichssystem mit 210, 220 bereitzustellen, und das erste Vergleichssystem 210 das zweite Vergleichssystem 220 sind konfiguriert, zumindest einen Fehler des ersten Subsystems 110 und/oder einen Fehler des zweiten Subsystems 120 und/oder einen Fehler des dritten Subsystems 130 zu erkennen und insbesondere das jeweilige fehlerhafte Subsystem 110, 120, 130 zu identifizieren.
Für das Erkennen eines Fehlers, insbesondere von zufälligen Hardware- Ausfallfehlern, können die redundant berechneten Ausgangssignale des ersten Subsystems 110 und des zweiten Subsystems 120 und des dritten Subsystem 130 verglichen werden. Durch einen solchen Vergleich mit dem beschriebenen ersten Vergleichssystem 210 und dem beschriebenen zweiten Vergleichssystem 220 kann zusätzlich das jeweilige Subsystem eindeutig identifiziert werden, in dem ein Fehler aufgetreten ist.
Mit dieser Fehlererkennung und Fehler-Lokalisierung kann das Subsystem mit dem Ausfall separat deaktiviert werden, wobei trotzdem zwei redundante Subsysteme, für ein redundantes Bereitstellen der Ausgangssignale erhalten bleiben, sodass ein weiterer Fehler detektiert werden kann.
Der Vergleich der Ausgangssignale selbst kann ein einfacher "Bit-gleich"- Vergleich sein, z. B. durch rechnerische Checksummenprüfung, alternativ oder zusätzlich kann der Vergleich der Ausgangssignale auch komplexer sein.
Zwischengeschaltete Vergleichsschritte bei der Berechnung der Ausgangssignale mit den jeweiligen Subsystemen können eine Latenzzeit für die Erkennung eines Fehlers selbst reduzieren. Zwischenvergleiche können den Aufwand für den Nachweis der Effektivität des Erkennungsmechanismus reduzieren und die Diagnoseabdeckung erhöhen.
Mit anderen Worten kann das zweite Subsystem 120 zusammen mit dem ersten Vergleichssystem 210 als erstes Detektions- und Back-up System 125 für das erste Subsystem 110 und/oder das dritte Subsystem 130 aufgefasst werden. Entsprechend kann das dritte Subsystem 130 zusammen mit dem zweiten Vergleichssystem 220 als zweites Detektion-und Back-up System 135 für das erste Subsystem 110 und/oder das zweite Subsystem 120 aufgefasst werden.
Das erste Subsystem 110 und das zweite Subsystem 120 und das erste Vergleichssystem 210 sind Teil einer ersten elektronischen Steuereinheit 410. Das dritte Subsystem 130 und das zweite Vergleichssystem 220 sind Teil einer zweiten elektronischen Steuereinheit 420. Dieses Aufteilen, insbesondere der beiden Vergleichssystem 210, 220, auf die erste elektronische Steuereinheit und die zweite elektronische Steuereinheit, d. h. die jeweiligen "compare, select, disable"- Mechanismen, können so erfolgen, dass Single Point of Failure, in Bezug auf eine Verfügbarkeit, vermieden werden.
Zur Erhöhung der Ausfallsicherung des Systems 100, wird elektrische Energie für die erste elektronische Steuereinheit 410 von einer ersten Stromversorgung 610 bereitgestellt und elektrische Energie für die zweite elektronische Steuereinheit 420 von einer zweiten Stromversorgung 620 bereitgestellt. Dabei sind die erste Stromversorgung 610 und die zweite Stromversorgung 620 eingerichtet, die elektrischen Energien unabhängig voneinander bereitzustellen. Insbesondere kann die erste Stromversorgung 610 und die zweite Stromversorgung 620 ein Aktuator-System 500, das redundante Aktuatoren beinhalten kann, jeweils redundante Aktuatoren zur Erhöhung der Ausfallsicherung entsprechend redundant mit elektrischer Energie versorgen.
Mit diesen zwei Stromversorgungen 610, 620, kann das System zum Bereitstellen des Ausgangssignals fehlertolerant und hoch verfügbar ausgelegt werden, indem die erste elektronische Steuereinheit 410 mit der ersten Stromversorgung 610 eingerichtet und konfiguriert ist, mit der entsprechend eingerichteten und konfigurierten zweiten elektronischen Steuereinheit 420 mit der zweiten Stromversorgung 620 entsprechend hoch verfügbar zusammenzuwirken.
Das erste Vergleichssystem 210 ist mit einem Umschalter 310, mit dem das erste Vergleichssystem 210 signalmäßig gekoppelt ist, eingerichtet, wahlweise ein Ausgangssignal des ersten Subsystems 110 oder ein Ausgangssignal des zweiten Subsystems 120, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem 110 und/oder dem zweiten Subsystem 120 und/oder dem dritten Subsystem 130, einem Aktuator-System 500 an einem Ausgang 415 des Systems 100 bereitzustellen.
Zusätzlich ist das erste Vergleichssystem 210 mit einem Schalter 320, mit dem das erste Vergleichssystem 210 signalmäßig gekoppelt ist, eingerichtet, das Ausgangssignal des ersten Subsystems 110 und das Ausgangssignal des zweiten Subsystems 120, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem 110 und/oder dem zweiten Subsystem 120 und/oder dem dritten Subsystem 130, dem Aktuator-System 500 an dem Ausgang 415 des Systems 100, entsprechend einem “fail silent mechanism“, bereitzustellen.
Zusätzlich ist das das zweite Vergleichssystem 220 mit einem Schalter 330, mit dem das zweite Vergleichssystem 220 signalmäßig gekoppelt ist, eingerichtet, ein Ausgangssignal des dritten Subsystems 130, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem 110 und/oder dem zweiten Subsystem 120 und/oder dem dritten Subsystem 130, dem Aktuator-System 500 an einem Ausgang 425 des Systems 100, entsprechend einem “fail silent mechanism“, bereitzustellen.
Die Figur 2 skizziert schematisch, wie das System 100, bei einem Fehler in dem ersten Subsystem 110, mittels des ersten Vergleichssystems 210, das auf den Umschalter 310 wirkt, das redundant bestimmte Ausgangssignal des zweiten Subsystems 120 mit dem Ausgang 415 des Systems 100 verbindet, um es dem Aktuator System 500, anstelle des Ausgangssignals des ersten Subsystems 110, bereitzustellen.
Dazu vergleicht das erste Vergleichssystem 210 die Ausgangssignale des ersten Subsystems 110 und des zweiten Subsystems 120 und des dritten Subsystems 130 und schaltet beim Erkennen eines Fehlers, insbesondere eines zufälligen Hardware-Ausfallfehlers, den Umschalter 310 so, dass das Ausgangssignal des zweiten Subsystems 120 an dem Ausgang 415 des Systems 100 bereitgestellt wird.
Durch den Vergleich der drei Subsysteme 110, 120, 130 durch das erste Vergleichssystem 210 kann sowohl ein Fehler erkannt, als auch in dem entsprechenden Subsystem der drei Subsysteme 110, 120, 130 identifiziert werden.
Mit dieser Fehlererkennung und Fehler-Lokalisierung kann das Subsystem mit dem betreffenden Fehler, bzw. Ausfall, separat deaktiviert werden, wobei trotzdem zwei redundante Subsysteme, nämlich das zweite Subsystem 120 und das dritte Subsystem 130, für das Bereitstellen der Ausgangssignale und das Erkennen eines zweiten Fehlers erhalten bleiben.
Mit anderen Worten kann anhand eines Vergleichs von 3 unabhängigen Berechnungsspuren, mit Bezug auf einen zufälliger Hardware-ausfall in den drei Subsystemen 110, 120, 130, die Berechnungsspur, die den ersten Ausfall aufweist, eindeutig identifiziert werden.
Aufgrund der Fehlererkennung und -Lokalisierung kann die ausgefallene Lane (Berechnungspur), bzw. das betreffende Subsystem 110, 120, 130 separat abgeschaltet werden, ohne dass gleichzeitig beide redundanten Kommunikationskanäle zu den Aktoren verloren gehen.
D. h. mit dem System 100 verbleibt ein hoher Erfassungsbereich für einen zweiten Ausfall innerhalb einer EOTTI nach dem Auftreten eines ersten Fehlers.
Die Figur 3 skizziert schematisch einen reduzierten Erfassungsbereich für einen zweiten Ausfall innerhalb eines EOTTI des Systems 100 bei einem Fehler, bzw. Ausfall, in der ersten Stromversorgung 610 und/oder bei einem Fehler in dem ersten Vergleichssystem 210.
In diesen Fällen deaktiviert das erste Vergleichssystem 210 den Schalter 320, so dass weder vom ersten Subsystem 110 noch vom zweiten Subsystem 120 ein Ausgangssignal an dem Ausgang 415 des Systems 100 für ein Aktuator System 500 bereitgestellt wird.
Das zweite Vergleichssystem 220 ist konfiguriert und eingerichtet, sowohl den Fehler der Stromversorgung 610 als auch den Fehler des ersten Vergleichssystem 210 zu erkennen und zu identifizieren und schaltet das Ausgangssignal des dritten Subsystems 130, mittels des Schalters 330, mit dem das zweite Vergleichssystem 220 signalmäßig gekoppelt ist, auf einen Ausgang 425 des Systems 100, zur Bereitstellung an das Aktuator System 500.

Claims

Ansprüche
1. System (100) zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform, mit: einem ersten Subsystem (110) zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit einem ersten Sensorsystem (102) gekoppelt zu werden; einem zweiten Subsystem (120) zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit dem ersten Sensorsystem (102) gekoppelt zu werden; wobei das zweite Subsystem (120) konfiguriert ist, eine Funktionalität des ersten Subsystems (110) redundant bereitzustellen ein drittes Subsystem (130), zum Generieren des Ausgangssignals; wobei das dritte Subsystem konfiguriert ist, signalmäßig mit einem zweiten Sensorsystem (104) gekoppelt zu werden; wobei das dritte Subsystem (130) konfiguriert ist, die Funktionalität des ersten Subsystems (110) und/oder des zweiten Subsystems (120) redundant bereitzustellen; ein erstes Vergleichssystem (210), das signalmäßig mit einem Ausgang des ersten Subsystems und einem Ausgang des zweiten Subsystems und einem Ausgang des dritten Subsystems gekoppelt ist; ein zweites Vergleichssystem (220), das signalmäßig mit dem Ausgang des ersten Subsystems und dem Ausgang des zweiten Subsystems und dem Ausgang des dritten Subsystems gekoppelt ist; wobei das erste Vergleichssystem (210) und das zweite Vergleichssystem (220) signalmäßig gekoppelt sind; und das erste Vergleichssystem (210) und/oder das zweite Vergleichssystem (220) konfiguriert sind, zumindest einen Fehler des ersten Subsystems (110) und/oder einen Fehler des zweiten Subsystems (120) und/oder einen Fehler des dritten Subsystems (130) zu erkennen und/oder das jeweilige fehlerhafte Subsystem (110, 120, 130) zu identifizieren.
2. System (100) gemäß Anspruch 1, wobei das erste Subsystem (110) und das zweite Subsystem (120) und das erste Vergleichssystem (210) Teil einer ersten elektronischen Steuereinheit (410) sind; und das dritte Subsystem (130) und das zweite Vergleichssystem (220) Teil einer zweiten elektronischen Steuereinheit (420) sind.
3. System (100) gemäß Anspruch 2, wobei elektrische Energie für die erste elektronische Steuereinheit (410) von einer ersten Stromversorgung (610) bereitgestellt wird; und elektrische Energie für die zweite elektronische Steuereinheit (420) von einer zweiten Stromversorgung (620) bereitgestellt wird; und die erste Stromversorgung (610) und die zweite Stromversorgung (620) eingerichtet sind, die elektrische Energie der ersten Stromversorgung (610) unabhängig von der elektrischen Energie der zweiten Stromversorgung (620) bereitzustellen.
4. System (100) gemäß einem der vorhergehenden Ansprüche, wobei das erste Sensorsystem (102) gleich dem zweiten Sensorsystem (104) ist.
5. System (100) gemäß einem der vorhergehenden Ansprüche, wobei das zweite Sensorsystem (104) ein redundantes Sensorsystem zu dem ersten Sensorsystem (102) ist.
6. System (100) gemäß einem der vorhergehenden Ansprüche, wobei die erste elektronische Steuereinheit (410) mit der ersten Stromversorgung (610) eingerichtet und konfiguriert ist, mit der entsprechend eingerichteten und konfigurierten zweiten elektronischen Steuereinheit (420) mit der zweiten Stromversorgung (620) so zusammenzuwirken, dass das System zum Bereitstellen des Ausgangssignals fehlertolerant und hoch verfügbar ist.
7. System (100) gemäß einem der vorhergehenden Ansprüche, wobei das erste Vergleichssystem (210) und das zweite Vergleichssystem (220) eingerichtet sind, einen Fehler des ersten Subsystems (110) und/oder einen Fehler des zweiten Subsystems (120) und/oder einen Fehler des dritten Subsystems (130) bei einer Bestimmung des Umfeldmodells durch das jeweilige Subsystem (110, 120, 130) zu erkennen.
8. System (100) gemäß einem der vorhergehenden Ansprüche, wobei das erste Vergleichssystem (210) eingerichtet ist, wahlweise ein Ausgangssignal des ersten Subsystems (110) oder ein Ausgangssignal des zweiten Subsystems (120), abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem (110) und/oder dem zweiten Subsystem (120) und/oder dem dritten Subsystem (130), einem Aktuator-System (500) bereitzustellen.
9. System (100) gemäß einem der vorhergehenden Ansprüche, wobei das erste Vergleichssystem (210) eingerichtet ist, das Ausgangssignal des ersten Subsystems (110) und das Ausgangssignal des zweiten Subsystems (120), abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem (110) und/oder dem zweiten Subsystem (120) und/oder dem dritten Subsystem (130), dem Aktuator- System (500) bereitzustellen.
10. System (100) gemäß einem der vorhergehenden Ansprüche, wobei das zweite Vergleichssystem (220) eingerichtet ist, ein Ausgangssignal des dritten Subsystems (130), abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem (110) und/oder dem zweiten Subsystem (120) und/oder dem dritten Subsystem (130), dem Aktuator-System (500) bereitzustellen.
11. System (100) gemäß einem der vorhergehenden Ansprüche, mit, einem ersten Eingang zum Bereitstellen eines Signals des ersten
Sensorsystems (102); einem zweiten Eingang zum Bereitstellen eines Signals des zweiten Sensorsystems (104); einer ersten Recheneinheit, wobei die erste Recheneinheit eingerichtet ist, mittels des ersten Subsystems (110) und/oder des zweiten Subsystems (120), das Umfeldmodell des Umfelds der mobilen Plattform zu generieren; einer zweiten Recheneinheit, wobei die zweite Recheneinheit eingerichtet ist, mittels des dritten Subsystems (130), das Umfeldmodell des Umfelds der mobilen Plattform zu generieren; einem ersten Ausgang (415) zur Bereitstellung von Steuersignalen der ersten Recheneinheit an das Aktuator-System (500); einem zweiten Ausgang (425) zur Bereitstellung von Steuersignalen der zweiten Recheneinheit an das Aktuator-System (500); wobei die erste Recheneinheit das erste Vergleichssystem (210) aufweist, um wahlweise ein Ausgangssignal des ersten Subsystems (110) oder des zweiten Subsystems (120) an dem ersten Ausgang (415) bereitzustellen; und wobei die zweite Recheneinheit das zweite Vergleichssystem (220) aufweist, um wahlweise ein Ausgangssignal des dritten Subsystems (130) an dem zweiten Ausgang (425) bereitzustellen.
12. Steuergerät zur Verwendung in einem Fahrzeug, das eine System gemäß
Anspruch 11 aufweist.
13. Mobile Plattform, insbesondere ein zumindest teilautomatisiertes Fahrzeug, das ein Steuergerät gemäß Anspruch 12 aufweist.
14. Verwendung eines Systems gemäß einem der Ansprüche 1 bis 11 zum Generieren eines Umfeldmodells eines Umfelds einer mobilen Plattform.
PCT/EP2022/072230 2021-09-23 2022-08-08 System zum bereitstellen eines ausgangssignals basierend auf einem generierten umfeldmodell eines umfelds einer mobilen plattform WO2023046358A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202280064288.1A CN117980886A (zh) 2021-09-23 2022-08-08 用于基于移动平台的环境的生成的环境模型来提供输出信号的系统
EP22761530.9A EP4405820A1 (de) 2021-09-23 2022-08-08 System zum bereitstellen eines ausgangssignals basierend auf einem generierten umfeldmodell eines umfelds einer mobilen plattform

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021210600.5 2021-09-23
DE102021210600.5A DE102021210600A1 (de) 2021-09-23 2021-09-23 System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform

Publications (1)

Publication Number Publication Date
WO2023046358A1 true WO2023046358A1 (de) 2023-03-30

Family

ID=83149223

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/072230 WO2023046358A1 (de) 2021-09-23 2022-08-08 System zum bereitstellen eines ausgangssignals basierend auf einem generierten umfeldmodell eines umfelds einer mobilen plattform

Country Status (4)

Country Link
EP (1) EP4405820A1 (de)
CN (1) CN117980886A (de)
DE (1) DE102021210600A1 (de)
WO (1) WO2023046358A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4752869A (en) * 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
US20180267549A1 (en) * 2017-03-17 2018-09-20 Tttech Computertechnik Ag Error procedure for controlling an autonomous controlled object

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4752869A (en) * 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
US20180267549A1 (en) * 2017-03-17 2018-09-20 Tttech Computertechnik Ag Error procedure for controlling an autonomous controlled object

Also Published As

Publication number Publication date
EP4405820A1 (de) 2024-07-31
CN117980886A (zh) 2024-05-03
DE102021210600A1 (de) 2023-03-23

Similar Documents

Publication Publication Date Title
DE102018209833B4 (de) Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug
EP2765045B1 (de) Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
DE112017005645T5 (de) Motorsteuersystem und elektrisches servolenksystem
EP3810486B1 (de) Kraftfahrzeuglenkung mit einem redundant ausgelegten steuergerät
DE112018001544T5 (de) Fahrzeugsteuervorrichtung
WO2017137222A1 (de) Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung
DE102013020177A1 (de) Kraftfahrzeug
EP0236803A1 (de) Verfahren zum Betrieb einer fehlergesicherten hochverfügbaren Multiprozessor-Zentralsteuereinheit eines Vermittlungssystemes
DE102017218395A1 (de) Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
DE102013113296A1 (de) Redundante Rechenarchitektur
DE112017005108T5 (de) Lenksystem
DE112020005598T5 (de) Motorantriebssystem
EP1401690A1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
WO2021089307A1 (de) Vorrichtung zur steuerung eines automatisierten fahrbetriebs eines fahrzeugs
DE102016221250A1 (de) Verfahren zum Betreiben eines Bordnetzes
EP1615087B1 (de) Steuer- und Regeleinheit
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE4113959A1 (de) Ueberwachungseinrichtung
DE102016203974A1 (de) Verfahren und Vorrichtung zum Versorgen einer Einrichtung mit elektrischer Energie
WO2008017438A1 (de) Ansteuersystem für eine antriebseinheit eines kraftfahrzeuges
WO2023046358A1 (de) System zum bereitstellen eines ausgangssignals basierend auf einem generierten umfeldmodell eines umfelds einer mobilen plattform
EP3470301B1 (de) Lenkungssteuersystem für ein lenksystem eines kraftfahrzeuges sowie verfahren zum betreiben eines lenkungssteuersystems
DE102021124495A1 (de) Elektronische parkbremssteuervorrichtung und -verfahren
DE102020200414A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22761530

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 18578897

Country of ref document: US

ENP Entry into the national phase

Ref document number: 2024518421

Country of ref document: JP

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 202280064288.1

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 2022761530

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2022761530

Country of ref document: EP

Effective date: 20240423