技术领域
[0001] 本
发明涉及一种按照
权利要求1所述的用于驱控车辆模块的设备、按照权利要求11所述的用于驱控车辆模块的设备和按照权利要求22所述的驾驶员辅助方法,在该驾驶员辅助方法中使用根据本发明的设备。
背景技术
[0002] 车辆模块是车辆的构件。车辆的转向轮例如是车辆模块。电气的/
电子的系统,缩写为E/E系统,同样是车辆模块。可以由多个构件构成的若干功能单元也形成了车辆模块。车辆模块以
控制器来控制和调节。
[0003] 也称为
电子控制单元,即缩写为ECU的控制器,是用于控制和调节的电子构件。在
汽车领域中,ECU使用在多个电子区域中,用以控制和调节车辆功能。集中控制和调节多个彼此相关的功能的ECU称为域ECU。形成功能单元的并且其内出现彼此相关的功能的车辆区域称为车辆域。针对车辆域的示例是
信息娱乐系统、底盘、
驱动器、内饰或安全器件。针对信息娱乐系统的功能例如是运行收音机、CD播放器,建立通话连接、与免提设备的连接等。在正在播放音乐CD时,一旦建立起通话连接,就停止音乐。
[0004] 在用于车辆模块的控制器中,在故障情况下切断控制器是危险的,因为存在控制器的至少一个关键的运行阶段,在该运行阶段中,通过切断控制器会损害一个或多个如在标准ISO 26262中定义的安全目标。因此出于功能的安全原因彼此规定若干容错措施,它们在控制器的故障情况下实现了至少一个紧急运行。在故障情况下实现紧急运行的系统,称为故障
操作系统。故障操作系统被这样设计,使得在假设发生故障的区域中,在关键的运行阶段内可以维持必要的剩余功能范围。
发明内容
[0005] 本发明所要解决的技术问题是,提供与
现有技术相比安全性更佳的一种用于驱控车辆模块的设备和一种驾驶员辅助方法,在驾驶员辅助方法中使用这种设备,特别是提供一种用于这种设备的故障操作系统。
[0006] 该技术问题通过一种带有权利要求1的特征的用于驱控车辆模块的设备和一种带有权利要求11的特征的用于驱控车辆模块的设备以及一种带有权利要求22的特征的驾驶员辅助方法解决。
[0007] 有利的设计方案和扩展设计在
从属权利要求中说明。
[0008] 根据本发明的用于驱控车辆模块的设备具有:控制
接口,其中,通过控制接口能驱控车辆模块;至少一个第一功率处理器,其被构造成用于接收和评估
传感器信号;至少一个第一监控装置,其与第一功率处理器连接,使得第一监控装置依赖于第一功率处理器的状态信号发出监控信号;后备处理器芯,其中,后备处理器芯与第一监控装置连接,使得后备处理器芯依赖于状态信号地通过控制接口驱控车辆模块,至少用以紧急运行。
[0009] 接口是在至少两个功能单元之间的装置,在该接口上要么仅单向地要么双向地交换逻辑参量、例如数据,或者交换物理参量、例如电气信号。交换可以模拟地或数字地进行。接口可以存在于
软件和软件之间、
硬件和硬件之间以及软件和硬件之间和硬件和软件之间。
[0010] 处理器是检测和处理指令的电子
电路。处理器可以以指令的处理结果控制和调节其它的电路并且在此驱动处理器。
[0011] 处理器的一部分称为芯,芯形成了计算单元并且芯本身能够实施一个或多个指令。
[0012] 也作为看
门狗(Watchdog)已知的监控装置是系统的部件,其监控其它的部件的功能、在此为功率处理器的功能。若在此识别到了可能的错误功能,那么这要么根据安全协议而发出信号,要么导入合适的跳转指令,跳转指令消除即将到来的问题。术语看门狗既包括硬件看门狗也包括软件看门狗。硬件看门狗是电子的部件,其带有与被检查的构件的通信。软件看门狗是在要检查的构件内的检验的软件,该软件检查:所有重要的程序模块是否在预定的时间范围内被正确地实施,或者是否有模块需要不允许的长的处理时间。软件看门狗可以由硬件看门狗监视。作为软件看门狗的备选方案,可以以计数器监视软件,计数器定期地被软件设置到一个特定的值并且被硬件不断递减。若计数器达到值0,而软件没有及时地提高计数器,这就是说,软件处在有故障的状态中。看门狗可以尤其在安全重要的应用中实施并且允许了监控E/E系统是否与ISO26262相符。
[0013] 第一功率处理器的状态信号包含有关第一功率处理器的硬件和/或软件状态的信息。硬件看门狗例如检测如下情况作为状态信号:第一功率处理器在预定的时间期满之前是否在硬件看门狗中发出通知,类似失能
开关的原理。在无故障的状态下发出通知,在有故障的状态下不发出通知。因此可以确认第一功率处理器的有故障的状态。第一监控装置的监控信号包含要监控的构件是处在无故障的状态中还是处在有故障的状态中的信息。在上述例子中,监控信号处在无故障的状态中,此时发出通知,并且在有故障的状态中不发出通知。监控信号例如在发出通知时具有值1并且在不发出通知时具有值0。
[0014] 紧急运行是车辆模块在有故障状态下的运行,其借助状态信号导入。在紧急运行中,仅维持将车辆驶入到安全的状态中必需的车辆功能。后备处理器芯尤其仅以将车辆驶入到安全的状态中必需的传感器信号来驱控。若例如在高速公路上行驶期间识别到了故障情况,那么仅维持车辆功能并且仅以实现将车辆安全地变道且停到硬路肩上的传感器信号来驱控。因此这不是持久行驶,而是仅能行驶至达到安全的状态。
[0015] 若监控装置识别到了第一功率处理器的有故障的状态,这就是说,监控信号例如具有值0,那么车辆模块通过控制接口由后备处理器芯来驱控。第一功率处理器优选被监控装置禁用并且后备处理器芯同时被激活。后备处理器芯能够驱控设备至少用于紧急运行。因此确保了在第一功率处理器失灵时能为了紧急运行而继续运行车辆模块。
[0016] 设备有利地具有第一信号通道和相对于第一信号通道冗余的第二信号通道,用以将传感器信号导引到设备中,其中,在第一信号通道中,传感器信号能导引给第一功率处理器,并且在第二信号通道中,传感器信号能导引给后备处理器。倘若第一信号通道失效,那么确保了传感器信号被继续导引给后备处理器芯,后备处理器芯以这些传感器信号来实现设备的紧急运行。
[0017] 按照本发明的一种扩展设计,设备具有用于监控传感器信号的监控处理器芯,该监控处理器芯与后备处理器芯连接,使得由监控处理器芯发出的传感器信号能输入到后备处理器芯中。与监控装置不同的是,监控处理器芯是独立自主的计算单元并且是用于激活后备处理器芯的附加的安全措施。监控处理器芯尤其监控:传感器信号是否处在它们各自的有效范围内。监控处理器芯还识别到在开关电路内的
短路和接地。
[0018] 至少第一功率处理器优选被构造成用于接收和评估多个传感器的传感器信号,其中,尤其在第一功率处理器中可以与另一个传感器的传感器信号无关地分别接收和评估一个传感器的传感器信号。这样做的优点是:在接收和/或评估一个传感器信号时的故障不会影响接收和/或评估另一个传感器的另一个传感器信号并且因此没有产生相关的故障。
[0019] 按照本发明的另一种设计方案,后备处理器芯和/或监控处理器芯是安全处理器的芯,其中,控制接口布置在安全处理器和车辆模块之间。安全处理器因此是多芯处理器,在该多芯处理器中,多个芯布置在唯一一个芯片上,这就是说
半导体结构元件上。多芯处理器达到了较高的计算能
力,并且与每个单独的芯布置在一个处理器
基座中且各个处理器基座布置在
主板上的多处理器系统相比,实现在一个芯片上成本更低廉。安全处理器也称为多芯微控制单元,缩写成多芯MCU。
[0020] 有利的是,至少一个、特别是冗余的信息接口布置在第一功率处理器与安全处理器之间,用以将由第一功率处理器评估的传感器信号转达给安全处理器。冗余是在无干扰的运行中在正常情况下不需要而额外地存在技术系统的功能上相同的或相似的资源。因此在信息接口失效的情况下,提供了额外的信息接口。
[0021] 安全处理器优选被构造成用于检查经评估的传感器信号的可信度,用来以被确认为是可信的信息来驱控车辆模块。可信度检查是如下方法,以该方法来对值或通常对结果凭粗略估计进行检验以确定其是否是可信的,即是否是可接受的,是否是合理的和/或是否是能理解的。可信度检查既能在硬件中执行也能在软件中执行。在硬件中的可信度检查当然局限于对例如仅允许以特定的组合和顺序出现的信号的监控。例如可以检验测量值的可信的值域和其时间上的走向。在软件技术中,变量的可信度表明:该变量是否属于特定的数据类型或者是否处在预定的值域内或预定的一组值中。可信度检查是一种附加措施,以其可以较为有利地确认,由第一功率处理器评估的传感器信号彼此是否是可信的。
[0022] 优选地,安全处理器具有第二监控装置,特别是后备处理器芯和监控处理器芯分别具有第二监控装置。因此,以第二监控装置能有利地实现,关于硬件和/或软件地除了监控第一功率处理器外还监控安全处理器、特别是后备处理器芯和监控处理器芯。
[0023] 优选地,功率处理器和/或安全处理器具有冗余的
电压供应部,特别是后备处理器芯和监控处理器芯分别具有冗余的电压供应部。这样的优点在于,在电压供应部失效时准备好冗余的电压供应部,以避免功率处理器的和/或安全处理器的由电压引起的失效。
[0024] 在本发明的一种特别优选的设计方案中,控制器具有根据本发明的设备。域ECU优选具有根据本发明的设备。ADAS-域-ECU尤其具有根据本发明的设备。ADAS-域-ECU是用于驾驶员辅助系统的域-ECU,也称为高级驾驶员辅助系统,缩写为ADAS。因此本发明尤其提供了呈用于ADAS-域-ECU的故障操作系统形式的安全架构。
[0025] 用于驱控车辆模块的另一个根据本发明的设备具有:控制接口,其中,通过控制接口能驱控车辆模块;第一功率处理器,其被构造成用于接收和评估传感器信号;至少一个第二功率处理器,其被构造成用于接收和评估传感器信号;以及安全处理器,其与第一功率处理器和第二功率处理器连接,使得安全处理器依赖于以第一功率处理器评估的传感器信号的结果且依赖于以第二功率处理器评估的传感器信号的结果来驱控车辆模块。安全处理器借助经评估的传感器信号的结果确认:第一和第二功率处理器是否均无故障地评估传感器信号或者功率处理器是否处在有故障的状态中。在第一功率处理器的有故障的状态中,安全处理器以在第二功率处理器中评估的传感器信号来驱控车辆模块。在第二功率处理器的有故障的状态中,安全处理器以在第一功率处理器中评估的传感器信号来驱控车辆模块。这种设备具有的优点是,在第一功率处理器的有故障的状态下,使用所有由第二功率处理器评估的传感器信号来驱控车辆模块,反之亦然。因此在第一功率处理器的有故障的状态中,不仅实现了车辆模块的紧急运行,而且也实现了正常运行。第二功率处理器相对于第一功率处理器是冗余的。每个另外的冗余的功率处理器额外提高了安全性。
[0026] 第一功率处理器优选通过第一信号通道接收传感器信号并且第二功率处理器优选通过第二信号通道接收传感器信号。
[0027] 优选在第一功率处理器和第二功率处理器之间布置有到安全处理器的信息接口、特别是分别布置有到安全处理器的信息接口,用以将在第一功率处理器和第二功率处理器中评估的信息转达给安全处理器。
[0028] 安全处理器尤为优选具有至少一个第一芯、第二芯和第三芯,其中,第一芯与第一功率处理器连接,使得第一芯实施由第一功率处理器评估的传感器信号,其中,第二芯与第二功率处理器连接,使得第二芯实施由第二功率处理器评估的传感器信号,并且其中,第三芯被构造成用于将在第一芯上实施的传感器信号的实施结果与在第二芯上实施的传感器信号的实施结果相比较,其中,能依赖于比较的结果来驱控车辆模块。通过比较能确认第一功率处理器的和/或第二功率处理器的有故障的状态。因此能以安全处理器的第三芯实现,识别出功率处理器的有故障的状态并且以由处在无故障的状态中的功率处理器评估的传感器信号驱控车辆模块。
[0029] 优选地,设备具有冗余的电压供应部,特别是第一功率处理器、第二功率处理器和安全处理器分别具有冗余的电压供应部。
[0030] 按照本发明的扩展设计,安全处理器的第一芯、第二芯和第三芯分别具有冗余的电压供应部。
[0031] 本发明的一种优选的设计方案是带有另外的根据本发明的设备的控制器。域ECU优选具有另外的根据本发明的设备。ADAS-域-ECU尤其具有另外的根据本发明的设备。ADAS-域-ECU是用于驾驶员辅助系统的域ECU,也称为高级驾驶员辅助系统,缩写为ADAS。因此本发明尤其提供了呈用于ADAS-域-ECU的故障操作系统的形式的安全架构。
[0032] 在本发明的特别优选的设计方案中,第一功率处理器和/或第二功率处理器具有
人工智能,其中,人工智能被构造成用于将由第一功率处理器和/或第二功率处理器接收的传感器信号评估成用于驱控车辆模块的信息。
[0033] 人工智能意味着模仿类人的智能,这就是说,试图构建或编程出能自行处理问题的计算机。尤其能够以
人工神经元网络来实现人工智能。人工神经元网络是在
电子电路上实施的并且在人脑的神经网络模型上编程的
算法。人工神经元网络的功能单元是人工神经元,它们的输出通常作为激活函数的值经评估地通过经加权的输入之和加上系统误差,即所谓的偏差而得出。通过测试多个带有不同的加权因子和激活函数的预先确定的输入,可以教导或训练与人脑类似的人工神经元网络。借助预先确定的输入来训练人工智能称为
机器学习。机器学习的子集是
深度学习,即所谓的深层学习(Deep Learning),在深度学习时使用神经元的一系列分级的层,即所谓的
隐藏层,以便执行机器学习的过程。
[0034] 第一功率处理器和/或第二功率处理器优选被构造成用于接收环境检测传感器的,特别是相机、雷达和/或
激光雷达的传感器信号。由此能够基于由环境检测传感器探测到的信号来驱控车辆模块,对自动驾驶来说这尤其是必需的。
[0035] 在本发明的另一个设计方案中,第一功率处理器和/或第二功率处理器具有检查装置,其中,该检查装置被构造成用于检查由环境检测传感器检测到的环境。尽管环境检测传感器可以作为E/E系统符合ISO26262地并且因此安全地运行,但是可能会出现环境检测传感器错误地理解环境的情形,这是另一个安全
风险。这种基于对环境的错误解释的安全风险无法以ISO 26262进行呈现。但以检查装置也能有利地检查:环境检测传感器是否正确地理解了环境。因此确保了所谓的预期功能安全,缩写为SOTIF。环境检测传感器检测环境并因此生成大量数据。由这些数据以合适的算法来生成对象或其它有用信息、例如到障碍物的距离,这对于自动驾驶至关重要。挑战在于从这些单独的数据正确地生成有用的信息。在功率处理器发生硬件故障或者在发生软件故障以及算法的系统误差时,由于错误识别的环境产生对安全关键的情况的危险非常高。功率处理器的冗余用于在这些情况下维持系统并且因此保持故障操作状态。
[0036] 车辆模块优选是车辆域,特别是信息娱乐系统、底盘、驱动器、内饰和/或安全器件。在驱动器和/或底盘的情况下,车辆模块可以通过
致动器、特别是
机电一体化的致动器来驱控。在信息娱乐系统领域中,可以通过听觉和/或视觉来驱控车辆模块。在内饰领域中,车辆模块也可以通过触觉加以控制,例如在车道保持辅助系统中通过
方向盘的振动。
[0037] 驾驶员辅助系统也处在本发明的范畴内,该驾驶员辅助系统具有根据本发明的设备。
[0038] 使用根据本发明的设备的按照本发明的驾驶员辅助方法具有下列步骤:
[0039] -在至少第一功率处理器中接收至少一个环境检测传感器的传感器信号;
[0040] -将传感器信号评估成用于驱控车辆模块的信息;
[0041] -监控第一功率处理器的状态并且依赖于第一功率处理器的状态发出监控信号;
[0042] -为了车辆模块的紧急运行,依赖于监控信号利用后备处理器来驱控车辆模块。
[0043] 因此,通过根据本发明的驾驶员辅助方法能够实现的是,在识别到故障情况时使车辆模块至少为了紧急运行而继续运行。
[0044] 车辆模块有利地以第二功率处理器驱控。这实现了车辆模块在第一功率处理器失效时的正常运行。
[0045] 在一种优选的设计方案中,第一功率处理器和/或第二功率处理器具有检查装置,其中,该检查装置检查由环境检测传感器检测到的环境。
附图说明
[0046] 接下来借助下列附图阐释本发明。附图中:
[0047] 图1示出根据本发明的用于驱控车辆模块的设备的一个
实施例;
[0048] 图2示出另外的根据本发明的用于驱控车辆模块的设备的一个实施例;
[0049] 图3示出根据本发明的用于驱控车辆模块的设备的另一个实施例;并且[0050] 图4示出根据本发明的驾驶员辅助方法的一个实施例。
[0051] 在附图中,倘若没有另行说明,相同的附图标记标注有相同的功能的相同的部件。为清楚起见,在各个附图中仅标明重要的参考部件。
具体实施方式
[0052] 图1的用于驱控车辆模块2的设备1具有第一功率处理器10和后备处理器芯21。传感器信号31在设备1的第一信号通道4中导入到第一功率处理器10中并且在第二信号通道5中导引给后备处理器芯21。传感器信号31可以是环境检测传感器的信号,例如相机、雷达或光学雷达的信号。
[0053] 第一功率处理器10的状态由第一监控装置11借助第一功率处理器的状态信号来检测。第一监控装置11例如检验:第一功率处理器关于硬件是否正确地运行,或者用于评估所接收的传感器信号31的软件是否正确地工作并且发出相应的监控信号。借助监控信号能确认第一功率处理器的有故障的状态。当第一监控装置11确认了第一功率处理器的有故障的状态时,第一监控装置11激活后备处理器芯21,后备处理器芯使得为了紧急运行而能通过控制接口3驱控车辆模块2。
[0054] 在第一功率处理器10的没有故障的状态中,传感器信号31由第一功率处理器10评估成信息40。通过控制接口3以信息40来驱控车辆模块2。以信息40驱控也意味着,在多个信息40中,先进行信息40的合并并且以由合并得出的一个信息40或若干信息40驱控车辆模块2。
[0055] 为了评估传感器信号31,第一功率处理器10具有检查装置13、数据接收装置14和评估装置15。检查装置13检查:传感器信号31是否正确地反映出环境。正确地反映出环境的传感器信号31在数据接收装置14中被收集并且紧接着在评估装置15中加以评估。
[0056] 评估装置15具有人工智能,其可以从例如相机图像
鉴别出交通相关的对象,如行人、其它车辆或交通标志。经这样评估的信息40被导入到控制接口3中,控制接口产生相应的用于驱控车辆模块2的指令。
[0057] 在图1中额外示出了监控处理器芯22,传感器信号31被导入给该监控处理器芯的输入端。由监控处理器芯22监控的传感器信号31然后形成后备处理器芯21的输入。
[0058] 图2示出了设备8,该设备除了第一功率处理器10外还具有第二功率处理器12。传感器信号31冗余地施加在第一功率处理器10和第二功率处理器12上。
[0059] 第一功率处理器10和第二功率处理器12分别由监控装置11监控。
[0060] 设备8还具有安全处理器20。该安全处理器20通过信息接口6获得经第一功率处理器和第二功率处理器评估的信息40。
[0061] 安全处理器具有第一芯23,第一芯处理第一功率处理器10的经评估的信息40。此外,安全处理器20还具有第二芯24,第二芯处理第二功率处理器的经评估的信息。在安全处理器的第一芯23和第二芯24中对经评估的信息40的处理的结果被转达给安全处理器的第三芯25并且在第三芯25中相互比较。在比较中,第三芯25识别:第一功率处理器10和第二功率处理器12是否均处在无故障的状态中或者功率处理器10、12中的其中一个功率处理器是否处在有故障的状态中。
[0062] 针对第一功率处理器10处在有故障的状态中的情况,由安全处理器10的第三芯25仅使用经第二功率处理器12评估的信息40来驱控车辆模块2。相应地也适用于第二功率处理器12的有故障的状态。
[0063] 安全处理器20也具有第二监控装置26作为进一步的安全措施。
[0064] 此外,第一功率处理器10和第二功率处理器12与冗余的电压供应部7连接。
[0065] 图3表明,设备1的后备处理器芯21和监控处理器芯22也可以是安全处理器20的芯。
[0066] 为了紧急运行,可以以在图4中示出的驾驶员辅助方法驱控车辆模块。在功率处理器10中接收和评估传感器信号31。通过控制接口3,以经评估的传感器信号31来驱控车辆模块2。
[0067] 接收和评估的过程由监控装置11监控。功率处理器10例如在无故障的状态中以规律的时间间隔发出带有预定的值和/或预定的时间变化走向的信号给监控装置11。这个信号是功率处理器10的状态信号。在功率处理器的有故障的状态中,也就是说在硬件和/或软件中有故障时,状态信号可能偏离预定的值和/或预定的时间变化走向或者功率处理器10不发送状态信号给监控装置11。
[0068] 依赖于这个状态信号,监控装置11发出监控信号。若监控装置11例如收到带有预定的值的状态信号,那么监控信号可以是数字1,数字1于是表征功率处理器10的无故障的状态。若监控装置11在预定的时间间隔内没有收到状态信号,那么监控信号可以是数字0,数字0于是表征功率处理器的有故障的状态。
[0069] 若在监控装置11中确认了功率处理器10的无故障的状态,也就是说,监控信号例如是数字1,那么以在功率处理器10中经评估的传感器信号31来驱控车辆模块2。若由监控装置11确认了功率处理器10的有故障的状态,也就是说,监控信号例如是数字0,那么以后备处理器21驱控车辆模块2。
[0070] 附图标记列表
[0071] 1 设备
[0072] 2 车辆模块
[0073] 3 控制接口
[0074] 4 第一信号通道
[0075] 5 第二信号通道
[0076] 6 信息接口
[0077] 7 冗余的电压供应部
[0078] 8 设备
[0079] 10 第一功率处理器
[0080] 11 第一监控装置
[0081] 12 第二功率处理器
[0082] 13 检查装置
[0083] 14 数据接收装置
[0084] 15 评估装置
[0085] 20 安全处理器
[0086] 21 后备处理器芯
[0087] 22 监控处理器芯
[0088] 23 第一芯
[0089] 24 第二芯
[0090] 25 第三芯
[0091] 26 第二监控装置
[0092] 30 传感器
[0093] 31 传感器信号
[0094] 40 信息
