IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフトの特許一覧

特許7089026車両モジュールを制御する装置および方法
<>
  • 特許-車両モジュールを制御する装置および方法 図1
  • 特許-車両モジュールを制御する装置および方法 図2
  • 特許-車両モジュールを制御する装置および方法 図3
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-06-13
(45)【発行日】2022-06-21
(54)【発明の名称】車両モジュールを制御する装置および方法
(51)【国際特許分類】
   G06F 11/07 20060101AFI20220614BHJP
【FI】
G06F11/07 190
G06F11/07 140J
G06F11/07 140R
【請求項の数】 16
(21)【出願番号】P 2020519835
(86)(22)【出願日】2018-05-15
(65)【公表番号】
(43)【公表日】2020-08-13
(86)【国際出願番号】 EP2018062496
(87)【国際公開番号】W WO2018233934
(87)【国際公開日】2018-12-27
【審査請求日】2021-03-15
(31)【優先権主張番号】102017210156.3
(32)【優先日】2017-06-19
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】500045121
【氏名又は名称】ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフト
【氏名又は名称原語表記】ZF FRIEDRICHSHAFEN AG
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】230118913
【弁護士】
【氏名又は名称】杉村 光嗣
(74)【代理人】
【識別番号】100186716
【弁理士】
【氏名又は名称】真能 清志
(72)【発明者】
【氏名】ビュレント サリ
【審査官】川▲崎▼ 博章
(56)【参考文献】
【文献】欧州特許出願公開第03085596(EP,A1)
【文献】国際公開第2016/163249(WO,A1)
【文献】特開2015-118662(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
(57)【特許請求の範囲】
【請求項1】
車両モジュール(2)を制御する装置(1)はセーフティプロセッサ(10)を備え、前記セーフティプロセッサ(10)が、前記セーフティプロセッサ(10)の入力部に少なくとも1つの情報インターフェイス(20)と、前記セーフティプロセッサ(10)の出力部に少なくとも1つの制御インターフェイス(21)と、を備え、前記セーフティプロセッサ(10)は、少なくとも1つの第1コア(11)、第2コア(12)、および第3コア(13)を備え、
a.前記第1コア(11)が、前記情報インターフェイス(20)を介して前記セーフティプロセッサ(10)に導かれた少なくとも1つの第1情報(31)の第1妥当性コントロール(30)を、前記情報インターフェイス(20)を介して前記セーフティプロセッサ(10)に導かれた少なくとも1つの第2情報(32)で実行するよう構成され、
b.前記第2コア(12)が、前記第1情報(31)の第2妥当性コントロール(40)を前記第2情報(32)で実行するよう構成され、
c.前記第3コア(13)が、前記第1コア(11)上で実行された前記第1妥当性コントロール(30)の前記第3コア(13)に転送された結果と、前記第2コア(12)上で実行された前記第2妥当性コントロール(40)の前記第3コア(13)に転送された結果との比較を実行して、前記第1妥当性コントロール(30)および前記第2妥当性コントロール(40)において妥当性が決定された情報(31、32)を、前記制御インターフェイス(21)に転送するよう構成され、前記車両モジュール(2)は、妥当であると決定された前記情報(31、32)で、前記制御インターフェイス(21)を介して制御可能である、装置(1)。
【請求項2】
請求項1に記載の装置(1)であって、前記第1コア(11)が、前記第1妥当性コントロール(30)を、前記第1情報(31)、前記第2情報(32)、および前記情報インターフェイス(20)を介して前記セーフティプロセッサ(10)に供給された少なくとも1つの第3情報(33)のために実行するよう構成され、前記第1情報(31)、前記第2情報(32)、および前記第3情報(33)は、それぞれ、妥当性に関して相互にコントロール可能であることを特徴とする、装置(1)。
【請求項3】
請求項1または2に記載の装置(1)であって、前記第2コア(12)が、前記第2妥当性コントロール(40)を、前記第1情報(31)、前記第2情報(32)、および前記情報インターフェイス(20)を介して前記セーフティプロセッサ(10)に供給された少なくとも1つの第3情報(33)のために実行するよう構成され、前記第1情報(31)、前記第2情報(32)、および前記第3情報(33)は、それぞれ、妥当性に関して相互にコントロール可能であることを特徴とする、装置(1)。
【請求項4】
請求項2または3に記載の装置(1)であって、前記第1コア(11)上で実行された前記第1妥当性コントロール(30)の結果および/または前記第2コア(12)上で実行された前記第2妥当性コントロール(40)の結果は、多数決の観点から妥当性を有する情報(31、32、33)の多数決であることを特徴とする、装置(1)。
【請求項5】
請求項1~4の何れか一項に記載の装置(1)であって、前記セーフティプロセッサ(10)前記第1コア(11)、前記第2コア(12)、および前記第3コア(13)のそれぞれは、冗長電圧供給(14)を備えることを特徴とする、装置(1)。
【請求項6】
請求項1~5の何れか一項に記載の装置(1)であって、前記セーフティプロセッサ(10)前記第1コア(11)、前記第2コア(12)、および前記第3コア(13)のそれぞれは、監視ユニット(15)を備えることを特徴とする、装置(1)。
【請求項7】
請求項1~6の何れか一項に記載の装置(1)であって、前記情報インターフェイス(20)は冗長情報インターフェイス(20)であることを特徴とする、装置(1)。
【請求項8】
車両モジュール(2)用の制御デバイス(3)は、請求項1~7の何れか一項に記載の装置(1)およびパワープロセッサ(50)を備え、前記装置(1)の情報インターフェイス(20)は、前記パワープロセッサ(50)と前記セーフティプロセッサ(10)との間に配置され、
a.前記パワープロセッサ(50)は、検出ユニット(51)および評価ユニット(52)を備え、
b.前記検出ユニット(51)は、少なくとも1つの第1信号(53)および1つの第2信号(54)を検出するよう構成され、
c.前記評価ユニット(52)は、少なくとも、前記第1信号(53)から第1情報(31)を、前記第2信号(54)から第2情報(32)を生成し、
d.前記情報インターフェイス(20)を用いて、少なくとも前記第1信号(53)から生成された前記第1情報(31)および前記第2情報(54)から生成された前記第2情報(32)を、前記車両モジュール(2)を制御するために前記セーフティプロセッサ(10)に伝達可能であることを特徴とする、制御デバイス(3)。
【請求項9】
請求項8に記載の制御デバイス(3)は、前記パワープロセッサ(50)が、少なくとも1つの第1チャネル(56)および前記第1チャネル(56)から分離された第2チャネル(57)を備え、前記第1信号(53)は前記第1チャネル(56)において検出可能であり、検出された前記第1信号(53)から前記第1情報(31)を生成可能であり、前記第2信号(54)は前記第2チャネル(57)において検出可能であり、前記第2情報(32)は前記第1情報(31)から独立して生成可能であることを特徴とする、制御デバイス(3)。
【請求項10】
請求項8または9に記載の制御デバイス(3)であって、前記パワープロセッサ(50)前記第1チャネル(56)および前記第2チャネル(57)のそれぞれは、または前記検出ユニット(51)および前記評価ユニット(52)のそれぞれは、冗長電圧供給(14)を備えることを特徴とする、制御デバイス(3)。
【請求項11】
請求項8~10の何れか一項に記載の制御デバイス(3)であって、前記パワープロセッサ(50)少なくとも前記第1チャネル(56)および前記第2チャネル(57)のそれぞれは、監視ユニット(15)を備えることを特徴とする、制御デバイス(3)。
【請求項12】
請求項8~11の何れか一項に記載の制御デバイス(3)であって、前記評価ユニット(52)は人工知能を有することを特徴とする、制御デバイス(3)。
【請求項13】
請求項8~12の何れか一項に記載の制御デバイス(3)であって、前記検出ユニット(51)によって検出された信号(53、54、55)が、周辺検出センサからのカメラ信号(53)、レーダ信号(54)、および/またはライダ信号(55)であることを特徴とする、制御デバイス(3)。
【請求項14】
請求項8~13の何れか一項に記載の制御デバイス(3)であって、前記車両モジュール(2)は、インフォテインメント、シャーシ、ドライブトレイン、インテリア、および/またはセーフティである車両ドメインであることを特徴とする、制御デバイス(3)。
【請求項15】
請求項8~14の何れか一項に記載の制御デバイス(3)を備えた運転者支援システム(4)。
【請求項16】
請求項8~14の何れか一項に記載の特徴を有する制御デバイス(3)を使用する運転者支援方法(5)であって、
a.パワープロセッサ(50)の検出ユニット(51)を用いて、車両の周辺から信号(53、54、55)を検出するステップ(60)と、
b.前記信号(53、54、55)を評価するステップ(61)と、前記パワープロセッサ(50)の相互に分離されたチャネル(56、57、58)における前記信号(53、54、55)から、評価ユニット(52)を用いて情報(31、32、33)を生成するステップと、
c.情報インターフェイス(20)を介して、セーフティプロセッサ(10)に前記情報(31、32、33)を転送するステップ(62)と、
d.前記セーフティプロセッサ(10)の第1コア(11)上で、各情報(31、32、33)の第1妥当性コントロール(30)を、それぞれ、他の情報(31、32、33)で実行するステップ(63)であって、多数決の観点から他の情報(31、32、33)に対して妥当である情報(31、32、33)の多数決を実行するステップ(63)と、
e.前記セーフティプロセッサ(10)の第2コア(12)上で、各情報(31、32、33)の第2妥当性コントロール(40)を、それぞれ、他の情報(31、32、33)で実行するステップ(64)であって、多数決の観点から他の情報(31、32、33)に対して妥当である情報(31、32、33)の多数決を実行するステップと、
f.前記第1コア(11)上で実行した前記第1妥当性コントロール(30)の結果、および前記第2コア(12)上で実行した前記第2妥当性コントロール(40)の結果を、前記セーフティプロセッサ(10)の第3コア(13)に転送するステップ(65)と、
g.前記第3コア(13)上で、前記第1妥当性コントロール(30)および前記第2妥当性コントロール(40)の結果を比較するステップ(66)と、
h.前記第1妥当性コントロール(30)および前記第2妥当性コントロール(40)において妥当性を決定した情報(31、32)を、制御インターフェイス(21)に転送するステップ(67)と、
i.妥当であると決定された前記情報(31、32)で、車両モジュール(2)を制御するステップ(68)と、を含む運転者支援方法(5)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1に記載の車両モジュールを制御する装置、請求項8に記載の車両モジュール用の制御デバイス、および請求項16に記載の運転者支援方法に関する。
【背景技術】
【0002】
制御デバイスは、略称でECU(Electronic Control Unit)と称される電子制御ユニットでもあり、制御および調整のための電子部品である。自動車分野では、車両機能を制御および調整するために、ECUが複数の電子分野で使用される。従来技術から既知のECUは、それぞれ1つの車両機能を制御および調整する。例えば、カーラジオのCDプレーヤからCDを取り出す機能はあるECUによって、ラジオ局を選局する機能は別のECUによって制御および調整される。
【0003】
現在の部分自動運転車両では、走行の間に100を超える機能が、それぞれ、個別のECUによって制御および調整される。さらなる追加機能ごとに、追加のECUが必要である。高度に自動化された車両、完全自動化された車両、および自律走行車両に向けた開発においては、依然として、制御および調整されなければならない、さらに多くの機能が発生する。特に、道路交通において発生する大量の情報に関しては、より安全に走行可能とすべく、全ての情報を検出可能および評価可能にするために、部分的自動走行車両において既に、多数の機能が制御および調整されなければならない。
【0004】
ECUは、コンピューティングパワーの形態でエネルギを消費する。そのため、エネルギ消費は機能が制御および調整されるたびに増加する。目的とするのは、各個別の機能をそれぞれ1つの個別のECUによって制御および調整するのではなく、複数の相互に関連する機能を1つのECUに組み合わせて、一方ではエネルギ消費を削減し、他方では情報をより効率的に評価することである。
【0005】
機能ユニットを構成する車両領域では、相互に関連する機能が発生する。この種の車両領域は、車両ドメインと称する。車両ドメインの例は、インフォテインメントシステム、シャーシ、ドライブトレイン、インテリア、またはセーフティである。インフォテインメントシステム用の機能は、例えば、ラジオ、CDプレーヤの作動、電話接続の確立、ハンズフリーシステムへの接続等である。例えば、音楽CDが作動している際に電話接続が確立されると、音楽が停止される。車両ドメイン、およびそれらと相互に関連する複数の機能を制御および調整するこの種のECUは、ドメインECUと称する。
【0006】
車両用のECUは、特にシャーシ、ドライブトレイン、およびセーフティの領域においては、信頼性を有して、かつ安全に、要求された機能を提供しなければならず、ECUが利用可能でなければならない。信頼性とは、車両が出発点で適切に機能している限り、車両が支障なく乗員を出発点から目的点まで運ぶべきことを意味する。セーフティとは、原則的に、車両によって人間に対する危険性が発生しないことを意味する。利用可能性とは、車両が可能な限り常に作動準備完了の状態であり、例えば継続的に欠陥があって修理のために作業場にいるような状態ではないことを意味する。
【0007】
さらに、自動車分野に適用される機能安全規格ISO26262によれば、機能障害の際、特に電気的な機能障害、例えば電圧ディップによるECUの故障等のECUの故障の際に、安全対策の形態である対応策によって、容認できない負傷の危険性が確実に回避されなければならない。電圧ディップによる障害発生は、例えば、冗長電圧供給によって回避することができる。
【0008】
部分自動運転車両のために、現在の研究対象であるのは、運転者支援システム用、また略称でADAS(advanced driver assistance system)である先進運転者支援システム用のドメインECUである。ADASシステムは、例えば、カメラのような周辺検出センサを用いて車両の周辺を検出し、それを評価し、対応する情報を車両モジュールに転送して、ドライバがより安全に運転できるよう支援する。ADASシステム用のドメインECUは、ADASドメインECUと称される。ADASドメインECUによって制御および調整される機能は、例えば、道路標示、車両、交通標識、歩行者などの認識である。これらの機能は、中央でADASドメインECUによって制御および調整される。
【0009】
ECUが電気的に障害のない状態にある場合にも、周辺検出センサからのデータを処理するドメインECU、特にADASドメインECUに関しては、安全性上のリスクが存在する。例えば、電子システムとしてのカメラは、障害のない状態にあるにもかかわらず、検出したオブジェクトを誤って理解し、誤って翻訳する可能性がある。
【発明の概要】
【発明が解決しようとする課題】
【0010】
このような場合に、本発明が適用される。本発明の課題は、従来技術から既知のドメインECU、特にADASドメインECUの安全性を改善することである。
【課題を解決するための手段】
【0011】
この課題は、請求項1に記載の特徴を有する装置、請求項8に記載の特徴を有する制御デバイス、および請求項16に記載の運転者支援方法によって解決される。
【0012】
有利な実施形態および発展形態は、従属請求項に記載されている。
【0013】
車両モジュールを制御する装置は、セーフティプロセッサを備える。セーフティプロセッサが、セーフティプロセッサの入力部に少なくとも1つの情報インターフェイスと、セーフティプロセッサの出力部に少なくとも1つの制御インターフェイスと、を備える。セーフティプロセッサは、少なくとも1つの第1コア、第2コア、および第3コアを備える。本発明よれば本質的に、第1コアが、情報インターフェイスを介してセーフティプロセッサに導かれた少なくとも1つの第1情報の第1妥当性(Plausibilitat)コントロールを、情報インターフェイスを介してセーフティプロセッサに導かれた少なくとも1つの第2情報で実行するよう構成され、第2コアが、第1情報の第2妥当性コントロールを第2情報で実行するよう構成され、第3コアが、第1コア上で実行された第1妥当性コントロールの第3コアに転送された結果と、第2コア上で構成された妥当性コントロールの第3コアに転送された結果との比較を実行して、第1妥当性コントロールおよび第2妥当性コントロールにおいて妥当性が決定された情報を、制御インターフェイスに転送するよう構成されている。車両モジュールは、妥当(plausibel)であると決定された情報で、制御インターフェイスを介して制御可能である。
【0014】
車両モジュールは、車両の構成部分である。例えば、車両のステアリングホイールは車両モジュールである。略称でE/Eシステムである電気/電子システムは、同様に車両モジュールである。複数の構成部分から構成可能な機能ユニットも、車両モジュールを構成する。
【0015】
プロセッサは、コマンドを検出して処理する電子回路である。プロセッサは、プロセスを作動させながら、コマンドの処理の結果で他の電気回路を制御および調整できる。
【0016】
プロセッサの一部はコアと称される。コアは、計算ユニットを構成し、それ自体が1つ以上のコマンドを実行できる状態にある。
【0017】
したがって、セーフティプロセッサはマルチコアプロセッサである。マルチコアプロセッサでは、複数のコアが単一のチップ上、つまり半導体素子上に配置されている。マルチコアプロセッサは、複数の個別のコアと比較して、より高い計算能力を達成し、1つのチップに実装する際により安価である。セーフティプロセッサは、マルチコアマイクロコントロールユニットとも、略称でマルチコアMCU(Micro Control Unit)とも称される。
【0018】
インターフェイスは、少なくとも2つの機能ユニットの間の装置である。インターフェイスにおいて、例えばデータ等の論理量、または例えば電気信号等の物理量が、単方向のみで、または双方向で交換される。交換は、アナログまたはデジタルで実行できる。インターフェイスは、ソフトウエアとソフトウエアとの間、ハードウエアとハードウエアとの間、ソフトウエアとハードウエアとの間、およびハードウエアとソフトウエアとの間に存在できる。
【0019】
妥当性コントロールは、値、または一般的には結果を、全く妥当である、つまり容認可能である、明白である、および/または理解可能である、とすることができるか否か、を大まかにチェックする方法である。妥当性コントロールは、ハードウエアおよびソフトウエアの双方において実行可能である。妥当性コントロールは、特に、所定の組み合わせおよびシーケンスで発生可能な信号のモニタリングである。例えば、測定値の妥当な値範囲および時間的経過をチェックできる。変数が所定のデータ型に属している、または既定の値範囲もしくは既定の値セットにあるかどうかの、変数の妥当性の検査も、妥当性コントロールである。妥当性コントロールにおいては、さらに、異なる情報を検出する2つ以上のセンサが、作動時に相互に比較され、例えば逸脱または故障等の障害を探知する。さらに、短絡および/またはグラウンド接触を、妥当性コントロールを用いて探知することができる。
【0020】
情報は、センダが所定の媒体を介してレシーバに伝達することができる知識のサブセットである。第1情報は、好適には第2情報とは異なる。例えば、カメラが給電を介して更なる処理のためにプロセッサに送信するデジタルカメラ画像内の対象オブジェクトは、所定の第1画像情報である。オブジェクトのカメラに対する空間距離は、第2情報を構成する。
【0021】
第1情報の内容が第2情報の内容に関して容認可能である場合、第1情報は第2情報に対して妥当である。第1情報が、その内容に関して、第2情報の内容と一致しない場合には、第1情報は第2情報に対して妥当でない。
【0022】
第1妥当性コントロールおよび第2妥当性コントロールは、それぞれの手順が異なる可能性がある。妥当性コントロールを実行するハードウエアおよびソフトウエアは、異なる妥当性コントロールで障害をチェックすることができる。例えば、測定値は、第1妥当性コントロールにおいては整数として、第2妥当性コントロールにおいては浮動小数点数としてチェックできる。
【0023】
本発明による装置には、車両モジュールが、処理された情報で、直接制御されないという利点がある。情報の処理自体は、確かにISO26262に準拠することができる。しかしながら、この情報が、ISOでは対処できない更なる安全性リスクをもたらす可能性がある。例えば、周辺情報は周辺を誤って反映する可能性がある。これらの追加の安全性リスクを回避するために、セーフティプロセッサにおいて、情報の妥当性が最初にコントロールされ、更なる安全性リスクを除外する。妥当性コントロールによって、ハードウエアおよびソフトウエアが障害なく機能しているかどうか、車両モジュールをより安全に制御するためにどの情報が正しいか、が決定される。情報が妥当性コントロールにおいて、誤っていると認識されると、その情報は制御インターフェイスに転送されない。車両モジュールは、つまり妥当な情報のみで制御されるのである。この場合、妥当であると決定された情報で制御される車両モジュールは、より安全な状態にある。情報での制御とは、複数の情報が存在する場合に、最初にそれらの情報が融合され、融合から生じた情報で、または複数の情報で、車両モジュールが制御されることをも意味する。したがって本発明により、特にADASドメインECU用のセーフティ構造が提供される。
【0024】
したがって、本発明による装置によって、特に周辺が誤って認識される場合に、車両モジュールに対してより安全な状態をとることができる。なぜなら、そのような場合に、車両モジュールが妥当な情報で制御されるためである。カメラ、レーダ、またはライダ(Lidar:Light detection and ranging)等の多様なセンサ信号を冗長信号処理することによって、妥当性の検査を実行可能である。したがって、障害発生時に、誤った信号を認識可能である。障害の場合に、妥当な情報で制御することによって、損害が最小限に保たれる。したがって、装置はフェールセーフである。
【0025】
第1コア上で第1妥当性コントロールが、および第2コア上で第2妥当性コントロールが実行され、第2妥当性コントロールの手順が第1妥当性コントロールと異なってよい、ということには、ハードウエアの障害およびソフトウエアの障害の双方を、第3コア上での比較によって認識できるという利点がある。原則として、第1コアは、第2コアと同一のものを、好適には異なる手順で計算する。第3コア上で、第1コアで達成された結果を比較した場合に、第2コアで達成された結果から逸脱していると決定される場合、ハードウエアの障害および/またはソフトウエアの障害が存在する。
【0026】
本発明の発展実施形態において、第1コアは、第1妥当性コントロールを、第1情報、第2情報、および情報インターフェイスを介してセーフティプロセッサに供給された少なくとも1つの第3情報のために実行するよう構成されている。第1情報、第2情報、および第3情報は、それぞれ、妥当性に関して相互にコントロール可能である。これによって、誤った情報が比較的容易に認識される。例えば、第1情報が第2情報および第3情報に対して妥当であり、第2情報が第3情報に対して妥当である場合、誤った情報はない。これに対して、例えば、第1情報が第2情報および第3情報に対して妥当でないが、第2情報が第3情報に対して妥当である場合には、第1情報が誤っている。
【0027】
有利には、第2コアは、第2妥当性コントロールを、第1情報、第2情報、および情報インターフェイスを介してセーフティプロセッサに伝達された少なくとも1つの第3情報のために実行するよう構成されている。第1情報、第2情報、および第3情報は、それぞれ、妥当性に関して相互にコントロール可能である。これによって、第2コアに対しても、第1コアに対するのと同一の利点が生じる。さらに、これによって3つの情報を第3コアで比較することができる。
【0028】
本発明の発展実施形態において、第1コア上で実行された第1妥当性コントロールの結果および/または第2コア上で実行された第2妥当性コントロールの結果は、多数決の観点から妥当性を有する情報の多数決である。この場合、多数決の観点から他の情報に対して妥当でない情報は誤っている。多数決は、ボーティングとしても既知である。3つの情報が、妥当性に関して相互にコントロールされ、その場合に3つの情報のうちの1つの情報が誤っていると認識されると、3つの情報のうちの2つの情報のみが、車両モジュールを制御するために制御インターフェイスへ転送される。この多数決は、「2oo3ボーティング」つまりtwo out of threeとしても既知である。
【0029】
好適には、セーフティプロセッサは、特に第1コア、第2コア、および第3コアのそれぞれは、冗長電圧供給を備える。技術システムにおいて機能的に同一または同等のリソースが追加的に存在し、障害なく作動している通常の場合においては、それらが必要とされない場合、追加的に存在するリソースは冗長性を有する。障害のために電圧供給が停止すると、装置は、追加の冗長電圧供給が管理する状態におかれる。セーフティプロセッサへの単一の電圧供給において電圧ディップが発生すると、第1、第2、および第3コアを備えたセーフティプロセッサ全体が、故障するであろう。単一の障害原因または単一の事象の結果として生じる、複数のコンポーネントのこうした故障は、共通原因故障と称される。したがって、冗長電圧供給は、電圧供給における電圧ディップに起因する共通原因故障を防止する。
【0030】
好適には、セーフティプロセッサは、特に第1コア、第2コア、および第3コアのそれぞれは、監視ユニットを備える。ウォッチドッグとしても既知である監視ユニットは、他のコンポーネントの機能を監視する、システムのコンポーネントである。ここでは、他のコンポーネントはセーフティプロセッサであり、特に第1コア、第2コア、および第3コアである。この場合、機能障害の可能性が認識されると、安全性に関する取決めにしたがって、信号によりそれが通知される、または差し迫った問題をクリアするジャンプ命令が起動される。ウォッチドッグという用語は、ハードウエアウォッチドッグとソフトウエアウォッチドッグの双方を含む。ハードウエアウォッチドッグは、コントロールされる構成部分と通信する電子コンポーネントである。ソフトウエアウォッチドッグは、コントロールされる構成部分におけるチェック用のソフトウエアである。このソフトウエアは、全ての重要なプログラムモジュールが既定の時間枠内で正しく実行されているか、またはモジュールが許容できないほど長い時間を処理のために要しているか、をチェックする。ウォッチドッグは、特に安全性に関連するアプリケーションで実行されてよい。ウォッチドッグによって、E/EシステムがISO26262に準拠しているかを監視できる。
【0031】
好適には、情報インターフェイスは冗長情報インターフェイスである。これより、1つの情報インターフェイスが故障した場合、追加の情報インターフェイスを使用可能である。追加の情報インターフェイスが、装置を、追加の情報インターフェイスが管理する状態に導く。
【0032】
本発明による車両用の制御デバイスは、本発明による装置およびパワープロセッサを備える。装置の情報インターフェイスは、パワープロセッサとセーフティプロセッサとの間に配置されている。制御デバイスは以下の特徴を備える。パワープロセッサは検出ユニットおよび評価ユニットを備える。検出ユニットは、少なくとも1つの第1信号および1つの第2信号を検出、つまり取得するよう構成されている。評価ユニットは、少なくとも、第1信号から第1情報を、第2信号から第2情報を生成し、情報インターフェイスを用いて、少なくとも第1信号から生成された第1情報および第2情報から生成された第2情報を、車両モジュールを制御するためにセーフティプロセッサに伝達可能である。本発明による制御デバイスは、評価ユニットによって信号から生成された情報が、車両モジュールを制御するために直接には使用されず、本発明による装置を用いて、妥当性に関して事前にコントロールされるという利点を提供する。これによって、車両モジュールは、妥当な情報でのみ制御され、誤った情報では制御されない。
【0033】
本発明の好適な実施形態により、パワープロセッサは、少なくとも1つの第1チャネルおよび第1チャネルから分離された第2チャネルを備える。第1信号は第1チャネルにおいて検出可能である。検出された第1信号から第1情報を生成可能である。第2信号は第2チャネルにおいて検出可能である。第2情報は第1情報から独立して生成可能である。これによって、確実に、第1信号および第2信号は相互に独立して処理される。これによって、ISO規格による「干渉からの自由(freedom from interference)」が保証される。独立性のために、チャンネル2における障害はチャンネル1における障害を引き起こすことなく、逆も同様である。
【0034】
好適には、パワープロセッサは、特に第1チャネルおよび第2チャネルのそれぞれは、または検出ユニットおよび評価ユニットのそれぞれは、冗長電圧供給を備える。冗長電圧供給は、電圧供給における電圧ディップに起因する共通原因故障を防止する。
【0035】
本発明の発展実施形態において、パワープロセッサは、特に少なくとも第1チャネルおよび第2チャネルのそれぞれは、いわゆるウォッチドッグである監視ユニットを備える。ウォッチドッグは、ハードウエアウォッチドッグおよび/またはソフトウエアウォッチドッグであってよい。
【0036】
本発明の特に好適な実施形態により、評価ユニットは人工知能を有する。人工知能とは、人間に類似した知能がシミュレートされること、すなわち、問題に独立して対処できるコンピュータを構築またはプログラムする試みがなされることを意味する。人工知能は、特に、人工ニューラルネットワークで実現することができる。人工ニューラルネットワークは、電子回路上で実行され、人間の脳のニューラルネットワークのモデルでプログラムされたアルゴリズムである。人工ニューラルネットワークの機能ユニットは、人工ニューロンである。その出力は、一般に、入力の加重和にいわゆるバイアスと称される系統的エラーを足したものによって評価された、活性化関数の値として生じる。異なる重み付け因子および活性化関数を用いて、複数の所定の入力をテストすることによって、人間の脳に類似した人工ニューラルネットワークが、学習または訓練させられる。所定の入力の助けで人工知能を訓練することは、機械学習と称される。機械学習のサブセットは、いわゆるディープラーニングである。ディープラーニングでは、機械学習のプロセスを実行するために、複数のニューロンの階層、いわゆる隠れ層が使用される。
【0037】
人工知能を有する評価ユニットは、決定論的評価ユニットよりも効率的に信号を処理することができる。特に、人工知能の基礎となるアルゴリズムは、グラフィックプロセッサ、略称GPUのいわゆるグラフィックプロセッサユニット上で実行できる。GPUには、複数のプロセスを同時に並行して処理できるという利点がある。これは、評価ユニットの効率を向上させる。
【0038】
検出ユニットによって検出された信号が、周辺検出センサからの信号、特にカメラ信号、レーダ信号、および/またはライダ信号であることが有用である。周辺検出センサは、運転者支援システム用の入力信号を提供する。例えば、本発明による装置が、カメラ情報がレーダ情報に対して妥当ではないが、ライダ情報に対しては妥当であり、レーダ情報がライダ情報に対して妥当でないと決定した場合、レーダ情報は誤った情報である。
【0039】
特に好適には、車両モジュールは、特に、インフォテインメント、シャーシ、ドライブトレイン、インテリア、および/またはセーフティである車両ドメインである。
【0040】
本発明により、本発明による制御デバイスを備えた運転支援システムも提供される。
【0041】
本発明による運転者支援方法では、本発明による制御デバイスを使用する。本発明による運転者支援方法は、以下のステップを含む。
パワープロセッサの検出ユニットを用いて、車両の周辺から信号を検出するステップと、
信号を評価するステップと、パワープロセッサの相互に分離されたチャネルにおける信号から、評価ユニットを用いて情報を生成するステップと、
情報インターフェイスを介して、セーフティプロセッサに情報を転送するステップと、
第1セーフティプロセッサの第1コア上で、各情報の第1妥当性コントロールを、それぞれ、他の情報で実行するステップであって、多数決の観点から他の情報に対して妥当である情報の多数決を実行ステップと、
セーフティプロセッサの第2コア上で、各情報の第2妥当性コントロールを、それぞれ、他の情報で実行するステップであって、多数決の観点から他の情報に対して妥当である情報の多数決を実行するステップと、
第1コア上で実行した妥当性コントロールの結果、および第2コア上で実行した第2妥当性コントロールの結果を、セーフティプロセッサの第3コアに転送するステップと、
第3コア上で、第1妥当性コントロールおよび第2妥当性コントロールの結果を比較するステップと、
第1妥当性コントロールおよび第2妥当性コントロールにおいて妥当性を決定した情報を、制御インターフェイスに転送するステップと、
妥当である決定された情報で、車両モジュールを制御するステップである。
【0042】
本発明による運転者支援方法によって、妥当性コントロールを用いて安全と分類された情報のみを、車両モジュールを制御するために使用することが保証される。
【0043】
本発明は、以下の図面を参照して詳説される。
【図面の簡単な説明】
【0044】
図1】本発明による装置の実施形態の図である。
図2】本発明による制御デバイスの実施形態の図である。
図3】本発明による運転者支援方法の実施形態の図である。
【0045】
この場合、同一の符号は、同一または機能的に同一の特徴を示す。明確さを考慮して、関連する符号のみが、それぞれの図に記載される。
【発明を実施するための形態】
【0046】
図1は、車両モジュール2を制御する、本発明による装置1を示す。装置1は、情報インターフェイス20と、セーフティプロセッサ10と、制御インターフェイス21と、を備える。情報インターフェイス20を介して、第1情報31、第2情報32、および第3情報33は、セーフティプロセッサ10に導かれる。セーフティプロセッサ10は、第1コア11と、第2コア12と、第3コア13と、を備える。個別のコアは、それぞれ冗長電圧供給14と接続されている。さらに、各コアは監視ユニット15によって制御される。
【0047】
また、第1情報31、第2情報32、および第3情報33は、それぞれ2チャンネルのオブジェクトとして装置1に入ることも、本発明の範囲内である。
【0048】
第1コア11では、第1妥当性コントロール30において、情報31、32、および33の妥当性が、相互にチェックされる。第2コアでは、第1妥当性コントロール30と異なる第2妥当性コントロール40を用いて、情報31、32、および33の妥当性が、相互にチェックされる。
【0049】
第1情報31がカメラで検出された周辺情報であり、第2情報32がレーダで検出された情報であり、第3情報33がライダで検出された周辺情報である場合、多数決は以下の多数決ボータスキームに基づく。
【0050】
【表1】
【0051】
例えば、カメラ情報31は、レーダ情報32に対して妥当であるが、ライダ情報33に対しては妥当でなく、レーダ情報32は、ライダ情報33に対して妥当でない場合、装置1は、ライダ情報33が誤っていると認識する。
【0052】
第1妥当性コントロール30および第2妥当性コントロール40において、それぞれ、相互に妥当であると決定された情報31、32、および33は、第3コア13に転送される。第3コア13では、入力した情報を比較するステップ45を実行する。第1コアで相互に妥当であると決定された情報が、コア12においても妥当な情報と認識されると、これを、比較するステップ45によって決定可能である。この場合車両モジュール2は、相互に妥当な情報で、制御インターフェイス21を介して制御される。
【0053】
比較するステップ45の結果、第1コア11において相互に妥当であると決定された情報が、第2コア12において相互に妥当であると決定された情報と異なる場合には、第3コアによって、ハードウエアの障害および/またはソフトウエアの障害が認識される。
【0054】
図2は、本発明による制御デバイス3の実施形態を示す。パワープロセッサ50は、セーフティプロセッサ10と共に、パワープロセッサ50とセーフティプロセッサ10との間に配置された情報インターフェイス20を介して、制御デバイス3と一体化される。
【0055】
パワープロセッサは、検出ユニット51および評価ユニット52を備える。検出ユニット51は、冗長電圧供給14を備える。検出ユニットにおいて、第1信号53、第2信号54、および第3信号55が収集される。信号53、54、および55は、例えば周辺検出センサからの信号であってよい。例えば、第1信号53はカメラセンサからの信号であり、第2信号54はレーダセンサからの信号であり、および第3信号55はライダセンサからの信号であってよい。
【0056】
信号53、54、および55は、パワープロセッサの相互に分離されたチャネルにおいて、つまり第1チャネル56、第2チャネル57、および第3チャネル58において検出され、処理される。
【0057】
評価ユニット52では、信号53、54、および55から、対応する情報31、32、33が生成される。これらの情報31、32、33は、情報インターフェイス20を介してセーフティプロセッサ10に到達する。例えばカメラ信号53からの情報は、対応するカメラ画像である。使用されるカメラに応じて、カメラ画像は、車両の前方視野画像、後方視野画像、または側方視野画像であってよい。
【0058】
評価ユニット52は、人工知能を有する。この場合、人工知能は、交通状況を認識するよう訓練された人工ニューラルネットワークである。
【0059】
パワープロセッサ50の機能は、ウォッチドッグ15でコントロールされる。
【0060】
パワープロセッサ50として、特に高性能プロセッサが使用される。その上にパワープロセッサ50が実装されているチップは、パフォーマンスチップ、またはパワーチップとも称される。性能がより低いプロセッサは、セーフティプロセッサとして使用することができる。
【0061】
図3は、運転者支援システム4で実行できる、本発明による運転者支援方法5の実施形態を示す。まず、検出ユニット51を用いて、検出する方法のステップ60において信号53、54、55を検出する。続いて、信号53、54、および55を評価するステップ61を評価ユニット52において実行する。情報31、32、および33に対する信号53、54、および55を、検出するステップ60および評価するステップ61をパワープロセッサ50において実行する。
【0062】
評価した情報31、32、および33を、情報を転送する方法のステップ62において、情報インターフェイスを介してセーフティプロセッサ10に導く。
【0063】
セーフティプロセッサ10において、以下の方法のステップを実行する。第1コア11において、第1妥当性コントロール30を実行するステップ63を行う。
第2コア12において、第2妥当性コントロール40を実行するステップ64を行う。第1コア11上で実行した第1妥当性コントロール30の結果、および第2コア12上で実行した第2妥当性コントロール40の結果を、転送する方法のステップ65において、セーフティプロセッサの第3コア13に導く。セーフティプロセッサ10の第3コア13において、妥当性コントロール30および40の結果を比較するステップ66を実行する。続いて、第1妥当性コントロール30および第2妥当性コントロール40において妥当性を決定した情報を、制御インターフェイス22を介して車両モジュール2に転送する、妥当な情報を転送するステップ67を実行する。制御する方法のステップ68において、妥当であると決定された情報で、車両モジュール2を制御する。
【0064】
本発明の範囲において、車両モジュールは、制御が触覚的に知覚可能であるように制御される。例えば、車線を順守していないと決定された場合には、ステアリングホイールが振動し、運転者が自身の触覚で振動を知覚するようにステアリングほいーりを制御することができる。制御は、視覚的または聴覚的に、または、特にメカトロニクスアクチュエータであるアクチュエータを介して実行することもできる。
【符号の説明】
【0065】
1 装置
2 車両モジュール
3 制御デバイス
4 運転者支援システム
5 運転者支援方法
10 セーフティプロセッサ
11 第1コア
12 第2コア
13 第3コア
14 電圧供給
15 監視ユニット
20 情報インターフェイス
21 制御インターフェイス
30 第1妥当性コントロール
31 第1情報
3 第2情報
33 第3情報
40 第2妥当性コントロール
45 比較するステップ
50 パワープロセッサ
51 検出ユニット
52 評価ユニット
53 第1信号
54 第2信号
55 第3信号
56 第1チャネル
57 第2チャネル
58 第3チャネル
60 検出するステップ
61 評価するステップ
62 情報を転送するステップ
63 第1妥当性コントロールを実行するステップ
64 第2妥当性コントロールを実行するステップ
65 転送するステップ
66 比較するステップ
67 妥当な情報を転送するステップ
68 制御するステップ
図1
図2
図3