▶ ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフトの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-06-14
(45)【発行日】2022-06-22
(54)【発明の名称】状態信号に応じて車両モジュールを制御する装置および方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20220615BHJP
G06F 11/20 20060101ALI20220615BHJP
【FI】
G06F11/07 196
G06F11/07 140R
G06F11/20 628
【請求項の数】
24
(21)【出願番号】P 2020519836
(86)(22)【出願日】2018-05-15
(65)【公表番号】
(43)【公表日】2020-08-13
(86)【国際出願番号】 EP2018062497
(87)【国際公開番号】W WO2018233935
(87)【国際公開日】2018-12-27
【審査請求日】2021-03-10
(31)【優先権主張番号】102017210151.2
(32)【優先日】2017-06-19
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】500045121
【氏名又は名称】ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフト
【氏名又は名称原語表記】ZF FRIEDRICHSHAFEN AG
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】230118913
【弁護士】
【氏名又は名称】杉村 光嗣
(74)【代理人】
【識別番号】100186716
【弁理士】
【氏名又は名称】真能 清志
(72)【発明者】
【氏名】ビュレント サリ
【審査官】北川 純次
(56)【参考文献】
【文献】特開2001-022708(JP,A)
【文献】特表2014-529064(JP,A)
【文献】特開2009-137382(JP,A)
【文献】特開2013-003724(JP,A)
【文献】特開2014-235652(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
G06F 11/20
B60R 16/02
(57)【特許請求の範囲】
【請求項1】
車両モジュール(2)を制御する装置(1)であって、前記車両モジュール(2)を制御可能な制御インターフェイス(3)と、
センサ信号(31)を受信して評価するように構成された、少なくとも1つの第1パワープロセッサ(10)と、
少なくとも1つの第1監視ユニット(11)であって、前記第1監視ユニット(11)が前記第1パワープロセッサ(10)の状態信号に応じて監視信号を出力するように前記第1パワープロセッサと接続された、第1監視ユニット(11)と、
前記監視信号に応じて、前記制御インターフェイス(3)を介して少なくとも緊急作動のために前記車両モジュール(2)を制御するように前記第1監視ユニット(11)と接続された、少なくとも1つのフォールバックプロセッサコア(21)と、を備え、
前記フォールバックプロセッサコア(21)は、車両を安全な状態に導くために必要なセンサ信号のみで車両モジュールを制御する、装置(1)。
【請求項2】
請求項1に記載の装置(1)であって、前記センサ信号(31)を前記装置(1)に導く、第1信号チャネル(4)と、前記第1信号チャネル(4)に対して冗長な第2信号チャネル(5)と、を備え、前記センサ信号(31)を、前記第1信号チャネル(4)において前記第1パワープロセッサ(10)に、前記第2信号チャネル(5)において前記フォールバックプロセッサコア(21)に、導くことができることを特徴とする、装置(1)。
【請求項3】
請求項1または2に記載の装置(1)であって、前記センサ信号(31)を監視する監視プロセッサコア(22)を備え、前記監視プロセッサコア(22)が、前記監視プロセッサコア(22)が出力したセンサ信号(31)を前記フォールバックプロセッサコア(21)に入力することができるように、前記フォールバックプロセッサコア(21)と接続されていることを特徴とする、装置(1)。
【請求項4】
請求項1~3の何れか一項に記載の装置(1)であって、少なくとも前記第1パワープロセッサ(10)が、複数のセンサ(30)からセンサ信号(31)を受信して評価するように構成され、特に前記第1パワープロセッサ(10)においては、センサ(30)のセンサ信号(31)はそれぞれ、別のセンサ(30)のセンサ信号(31)から独立して受信可能であり、評価可能であることを特徴とする、装置(1)。
【請求項5】
請求項1~4の何れか一項に記載の装置(1)であって、前記フォールバックプロセッサコア(21)および/または監視プロセッサコア(22)は、セーフティプロセッサ(20)のコアであり、前記制御インターフェイス(3)が、前記セーフティプロセッサ(20)と前記車両モジュール(2)との間に配置されていることを特徴とする、装置(1)。
【請求項6】
請求項5に記載の装置(1)であって、評価されたセンサ信号(31)を前記第1パワープロセッサ(10)から前記セーフティプロセッサ(20)に転送するために、少なくとも1つの、特に冗長な情報インターフェイス(6)が、前記第1パワープロセッサ(10)と前記セーフティプロセッサ(20)との間に配置されていることを特徴とする、装置(1)。
【請求項7】
請求項5または6に記載の装置(1)であって、前記セーフティプロセッサ(20)は、評価されたセンサ信号(31)を妥当性に関してコントロールするように構成されていることを特徴とする、装置(1)。
【請求項8】
請求項5~7の何れか一項に記載の装置(1)であって、前記セーフティプロセッサ(20)は、特に前記フォールバックプロセッサコア(21)および前記監視プロセッサコア(22)はそれぞれ、第2監視ユニット(26)を備えることを特徴とする、装置(1)。
【請求項9】
請求項5~8の何れか一項に記載の装置(1)であって、前記パワープロセッサ(10)は、および/または前記セーフティプロセッサ(20)、特に前記フォールバックプロセッサコア(21)および前記監視プロセッサコア(22)はそれぞれ、冗長電圧供給(7)を備えることを特徴とする、装置(1)。
【請求項10】
請求項1~9の何れか一項に記載の装置(1)を備える制御デバイス。
【請求項11】
車両モジュール(2)を制御する装置(8)であって、前記車両モジュール(2)を制御可能な制御インターフェイス(3)と、
センサ信号(31)を受信して評価するように構成された第1パワープロセッサ(10)と、
センサ信号(31)を受信して評価するように構成された、少なくとも1つの第2パワープロセッサ(12)と、
セーフティプロセッサ(20)と、を備え、前記セーフティプロセッサ(20)が、前記第1パワープロセッサ(10)で評価された前記センサ信号(31)の結果および前記第2パワープロセッサ(12)で評価された前記センサ信号(31)の結果に応じて前記車両モジュール(2)を制御するように、前記第1パワープロセッサ(10)および前記第2パワープロセッサ(12)と接続されており、
前記セーフティプロセッサ(20)が有する前記フォールバックプロセッサコア(21)は、車両を安全な状態に導くために必要なセンサ信号のみで車両モジュールを制御する、装置(8)。
【請求項12】
請求項11に記載の装置(8)であって、前記第1パワープロセッサ(10)と前記第2パワープロセッサ(12)との間に、特にそれぞれ1つの、前記セーフティプロセッサ(20)への情報インターフェイス(6)が配置され、前記情報インターフェイス(6)が、前記第1パワープロセッサ(10)および前記第2パワープロセッサ(12)において評価された情報(40)を前記セーフティプロセッサ(20)に転送することを特徴とする、装置(8)。
【請求項13】
請求項11または12に記載の装置(8)であって、前記セーフティプロセッサ(20)は、少なくとも1つの第1コア(23)、第2コア(24)、および第3コア(25)を備え、前記第1コア(23)は、前記第1パワープロセッサ(10)によって評価されたセンサ信号(31)を前記第1コア(23)が実行するように前記第1パワープロセッサ(10)と接続され、前記第2コア(24)は、前記第2パワープロセッサ(12)によって評価されたセンサ信号(31)を前記第2コア(24)が実行するように前記第2パワープロセッサ(12)と接続され、前記第3コア(25)は、前記第1コア(23)上で実行された前記センサ信号(31)の実行結果と、前記第2コア(24)上で実行された前記センサ信号(31)の実行結果との比較を実行するように構成され、前記車両モジュール(2)は、前記比較の結果に応じて制御可能であることを特徴とする、装置(8)。
【請求項14】
請求項11~13の何れか一項に記載の装置(8)であって、前記装置(8)、特に前記第1パワープロセッサ(10)、前記第2パワープロセッサ(12)、および前記セーフティプロセッサ(20)はそれぞれ、冗長電圧供給(7)を備えることを特徴とする、装置(1)。
【請求項15】
請求項13に記載の装置(8)であって、前記セーフティプロセッサ(20)の前記第1コア(23)、前記第2コア(24)、および前記第3コア(25)はそれぞれ、冗長電圧供給(7)を備えることを特徴とする、装置(8)。
【請求項16】
請求項11~15の何れか一項に記載の装置(8)を備える制御デバイス。
【請求項17】
請求項11~16の何れか一項に記載の装置(1、8)であって、前記第1パワープロセッサ(10)および/または前記第2パワープロセッサ(12)は人工知能を備え、前記人工知能が、前記第1パワープロセッサ(10)および/または前記第2パワープロセッサ(12)によって受信されたセンサ信号(31)を、前記車両モジュール(2)を制御する情報(40)へと評価するように構成されていることを特徴とする、装置(1、8)。
【請求項18】
請求項11~17の何れか一項に記載の装置(1、8)であって、前記第1パワープロセッサ(10)および/または前記第2パワープロセッサ(12)は、周辺検知センサ(30)、特にカメラ、レーダおよび/またはライダからセンサ信号(31)を受信するように構成されていることを特徴とする、装置(1、8)。
【請求項19】
請求項18に記載の装置(1、8)であって、前記第1パワープロセッサ(10)および/または第2パワープロセッサ(12)はコントロールユニット(13)を備え、前記コントロールユニットは、前記周辺検知センサ(30)によって検出された周辺をコントロールするように構成されていることを特徴とする、装置(1、8)。
【請求項20】
請求項1~19の何れか一項に記載の装置(1、8)であって、前記車両モジュール(2)は、特にインフォテインメント、シャーシ、ドライブトレイン、インテリア、および/またはセーフティである車両ドメインであることを特徴とする、装置(1、8)。
【請求項21】
請求項1~20の何れか一項に記載の装置(1、8)を備える運転者支援システム。
【請求項22】
請求項11~19の何れか一項に記載の装置(1、8)が使用される運転者支援方法であって、少なくとも前記第1パワープロセッサ(10)において、少なくとも1つの周辺検知センサ(30)のセンサ信号(31)を受信するステップと、
前記センサ信号(31)を、前記第1パワープロセッサ(10)において、前記車両モジュール(2)を制御する情報(40)へと評価するステップと、
前記第1パワープロセッサの状態を監視し、前記第1パワープロセッサの状態に応じて監視信号を出力するステップと、
前記監視信号に応じて、前記車両モジュールの緊急作動のために、フォールバックプロセッサで前記車両モジュールを制御するステップと、を含む運転者支援方法。
【請求項23】
請求項22に記載の運転者支援方法であって、前記第1パワープロセッサ(10)の非アクティブ時に、前記第2パワープロセッサ(12)で前記車両モジュール(2)を制御することを特徴とする、運転者支援方法。
【請求項24】
請求項22または23に記載の運転者支援方法であって、前記第1パワープロセッサ(10)および/または前記第2パワープロセッサ(12)はコントロールユニット(13)を備え、前記コントロールユニットは、前記第1パワープロセッサ(10)および/または前記第2パワープロセッサ(12)におけるデータ受信の前に、前記センサ信号(31)を、前記周辺検知センサ(30)が周辺を正確に検出したかどうかについてコントロールすることを特徴とする、運転者支援方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1に記載の車両モジュールを制御する装置、請求項11に記載の車両モジュールを制御する装置、および請求項22に記載の、本発明による装置が使用される運転者支援方法に関する。
【背景技術】
【0002】
車両モジュールは、車両の構成部分である。例えば、車両のステアリングホイールは車両モジュールである。略称でE/Eシステムである電気/電子システムは、同様に車両モジュールである。複数の構成部分から構成可能な機能ユニットも、車両モジュールを構成する。車両モジュールは、制御デバイスで制御および調整される。
【0003】
制御デバイスは、略称でECU(Electronic Control Unit)と称される電子制御ユニットでもあり、制御および調整のための電子部品である。自動車分野では、車両機能を制御および調整するために、ECUが複数の電子分野で使用される。相互に関連する複数の機能を中央で制御および調整するECUは、ドメインECUと称する。機能ユニットを構成し、相互に関連する機能が発生する車両領域は、車両ドメインと称する。車両ドメインの例は、インフォテインメントシステム、シャーシ、ドライブトレイン、インテリア、またはセーフティである。インフォテインメントシステム用の機能は、例えば、ラジオ、CDプレーヤの作動、電話接続の確立、ハンズフリーシステムへの接続等である。例えば、音楽CDが作動している際に電話接続が確立されると、音楽が停止される。
【0004】
車両モジュール用の制御デバイスの場合、障害発生の際の制御デバイスのスイッチオフは危険である。なぜなら、ISO26262規格で定義されているように、制御デバイスには、制御デバイスをスイッチオフすることによって1つ以上の安全目的がダメージを受けるような、少なくとも1つの臨界作動フェーズがあるためである。したがって、機能的な安全上の理由からしてすでに、制御デバイスに障害が発生した際に、少なくとも緊急作動を可能にするフォールトトレランス手段が設けられなければならない。障害が発生した際に緊急作動を可能にするシステムは、フェイルオペレーショナルシステムと称される。フェイルオペレーショナルシステムは、障害のある領域が臨界作動フェーズ内にあると認められた場合に、必要な残りの機能範囲を維持することができるように設計されている。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の課題は、従来技術と比較して安全性が改善された、車両モジュールを制御する装置および運転者支援方法を提供することである。この運転者支援方法では、この種の装置が使用され、特に、この種の装置のためにフェイルオペレーショナルシステムが使用される。
【課題を解決するための手段】
【0006】
この課題は、請求項1に記載の特徴を有する車両モジュールを制御する装置、請求項11に記載の特徴を有する車両モジュールを制御する装置、請求項22に記載の特徴を有する運転者支援方法によって達成される。
【0007】
有利な実施形態および発展実施形態は、従属請求項に記載されている。
【0008】
本発明による車両モジュールを制御する装置は、車両モジュールを制御可能な制御インターフェイスと、センサ信号を受信して評価するように構成された、少なくとも1つの第1パワープロセッサと、少なくとも1つの第1監視ユニットであって、第1監視ユニットが第1パワープロセッサの状態信号に応じて監視信号を出力するように第1パワープロセッサと接続された、第1監視ユニットと、状態信号に応じて、制御インターフェイスを介して少なくとも緊急作動のために車両モジュールを制御するように第1監視ユニットと接続されたフォールバックプロセッサコアと、を備える。
【0009】
インターフェイスは、少なくとも2つの機能ユニットの間のユニットである。インターフェイスにおいて、例えばデータ等の論理量、または例えば電気信号等の物理量が、単方向のみで、または双方向で交換される。交換は、アナログまたはデジタルで実行できる。インターフェイスは、ソフトウエアとソフトウエアとの間、ハードウエアとハードウエアとの間、ソフトウエアとハードウエアとの間、およびハードウエアとソフトウエアとの間に存在できる。
【0010】
プロセッサは、コマンドを検出して処理する電子回路である。プロセッサは、プロセスを作動させながら、コマンドの処理の結果で他の電気回路を制御および調整できる。
【0011】
プロセッサの一部はコアと称される。コアは、計算ユニットを構成し、それ自体が1つ以上のコマンドを実行できる状態にある。
【0012】
ウォッチドッグとしても既知である監視ユニットは、他のコンポーネントの機能を監視する、システムのコンポーネントである。ここでは、他のコンポーネントはパワープロセッサである。この場合、機能障害の可能性が認識されると、安全性に関する取決めにしたがって、信号によりそれが通知される、または差し迫った問題をクリアするジャンプ命令が起動される。ウォッチドッグという用語は、ハードウエアウォッチドッグとソフトウエアウォッチドッグの双方を含む。ハードウエアウォッチドッグは、コントロールされる構成部分と通信する電子コンポーネントである。ソフトウエアウォッチドッグは、コントロールされる構成部分におけるチェック用のソフトウエアである。このソフトウエアは、全ての重要なプログラムモジュールが既定の時間枠内で正確に実行されているか、またはモジュールが許容できないほど長い時間を処理のために要しているか、をチェックする。ソフトウエアウォッチドッグは、ハードウエアウォッチドッグによって監視することができる。ソフトウエアウォッチドッグに対して代替的に、定期的にソフトウエアによって所定の値に設定され、ハードウエアによって常にデクリメントされるカウンタで、ソフトウエアを監視することができる。カウンタがゼロの値に達した場合、ソフトウエアは、カウンタの増加を適時に実行できていない。つまり、これはソフトウエアが障害状態にあることを意味する。ウォッチドッグは、特に安全性に関連するアプリケーションで実行されてよい。ウォッチドッグによって、E/EシステムがISO26262に準拠しているかを監視できる。
【0013】
第1パワープロセッサの状態信号は、第1パワープロセッサのハードウエアおよび/またはソフトウエアの状態に関する情報を含む。例えば、ハードウエアウォッチドッグは、デッドマンアラームの原理と同様に、第1パワープロセッサが既定時間の経過する前にハードウエアウォッチドッグに通知したかどうかを、状態信号として検出する。障害のない状態では通知が実行され、障害状態では通知が省略される。これにより、第1パワープロセッサの障害状態を決定することができる。第1監視ユニットの監視信号は、監視されるべき構成部分が障害のない状態にあるか、または障害状態にあるかに関する情報を含む。上記の例では、障害のない状態の監視信号は通知が行われたということであり、障害状態の監視信号は通知が行われていないということである。例えば、監視信号は、通知が実行された場合には、値1を有し、通知が実行されなかった場合には値ゼロを有する。
【0014】
緊急作動は、状態信号に基づいて起動される、障害状態にある車両モジュールの作動である。緊急作動では、車両を安全な状態に導くために必要な車両機能のみが維持される。特に、フォールバックプロセッサコアは、車両を安全な状態に導くために必要なセンサ信号のみで、車両モジュールを制御する。例えば、高速道路を走行中に障害のケースが認識された場合、車両機能のみが維持され、車両モジュールは、車両が安全に位置決めされ、硬路肩に駐車されることを可能にするセンサ信号でのみ制御される。したがって、それは継続的走行ではなく、安全な状態に到達するまでの走行のみが可能である。
【0015】
監視ユニットが第1パワープロセッサの障害状態を認識した場合、すなわち、監視信号が例えばゼロの値を有する場合、車両モジュールは、制御インターフェイスを介してフォールバックプロセッサコアによって制御される。好適には、第1パワープロセッサは監視ユニットによって非アクティブ化され、同時にフォールバックプロセッサコアがアクティブ化される。フォールバックプロセッサコアは、少なくとも緊急作動のために装置を制御することができる状態にある。これによって、第1パワープロセッサが故障した場合に、緊急作動のために車両モジュールを引き続き作動可能とすることが保証される。
【0016】
有利には装置は、センサ信号を装置に導く、第1信号チャネルと、第1信号チャネルに対して冗長な第2信号チャネルと、を備える。センサ信号を、第1信号チャネルにおいて第1パワープロセッサに、第2信号チャネルにおいてフォールバックプロセッサに、導くことができる。第1信号チャネルが故障した場合、これによって、センサ信号をフォールバックプロセッサコアに転送可能であることが保証される。これにより、これらのセンサ信号での、装置の緊急作動が可能になる。
【0017】
本発明の発展実施形態によれば、装置は、センサ信号を監視する監視プロセッサコアを備える。監視プロセッサコアは、監視プロセッサコアが出力したセンサ信号をフォールバックプロセッサコアに入力することができるように、フォールバックプロセッサコアと接続されている。監視プロセッサコアは、監視ユニットに対して独立した計算ユニットであり、フォールバックプロセッサコアをアクティブ化するための追加のセーフティ対策を表す。特に、監視プロセッサコアは、センサ信号がそれぞれのスコープ内にあるかどうかを監視する。監視プロセッサコアはまた、回路内の短絡および接地接点を検出する。
【0018】
好適には、少なくとも第1パワープロセッサは、複数のセンサからセンサ信号を受信して評価するように構成されている。特に第1パワープロセッサにおいては、センサのセンサ信号はそれぞれ、別のセンサのセンサ信号から独立して受信可能であり、評価可能である。これは、センサ信号の受信および/または評価におけるエラーは、さらなるセンサからのさらなるセンサ信号の受信および/または評価に影響を及ぼさず、したがって依存エラーが発生しないという利点を有する。
【0019】
本発明のさらなる実施形態によれば、フォールバックプロセッサコアおよび/または監視プロセッサコアは、セーフティプロセッサのコアである。制御インターフェイスは、セーフティプロセッサと車両モジュールとの間に配置されている。したがって、セーフティプロセッサはマルチコアプロセッサである。マルチコアプロセッサでは、複数のコアが単一のチップ上、つまり半導体素子上に配置されている。マルチコアプロセッサは、各個別コアがプロセッサソケット内に配置され、個々のプロセッサソケットがマザーボード上に配置されているマルチプロセッサシステムと比較して、より高い計算能力を達成し、1つのチップに実装する際により安価である。セーフティプロセッサは、マルチコアマイクロコントロールユニットとも、略称でマルチコアMCU(Micro Control Unit)とも称される。
【0020】
有利には、評価されたセンサ信号を第1パワープロセッサからセーフティプロセッサに転送するために、少なくとも1つの、特に冗長な情報インターフェイスが、第1パワープロセッサとセーフティプロセッサとの間に配置されている。技術システムにおいて機能的に同一または同等のリソースが追加的に存在し、障害なく作動している通常の場合においては、それらが必要とされない場合、追加的に存在するリソースは冗長性を有する。これより、1つの情報インターフェイスが故障した場合、追加の情報インターフェイスを使用可能である。
【0021】
好適には、セーフティプロセッサは、妥当であると決定された情報で車両モジュールを制御するために、評価されたセンサ信号を妥当性に関してコントロールするように構成されている。妥当性コントロールは、値、または一般的には結果を、全く妥当である、つまり容認可能である、明白である、および/または理解可能である、とすることができるか否か、を大まかにチェックする方法である。妥当性コントロールは、ハードウエアおよびソフトウエアの双方において実行可能である。ハードウエアにおける妥当性コントロールは、当然のことながら、例えば、特定の組み合わせおよびシーケンスでのみ発生し得る信号の監視に限定される。例えば、測定値の妥当な値範囲および時間的経過をチェックできる。ソフトウエア技術においては、変数の妥当性の検査は、変数が所定のデータ型に属しているかどうか、または既定の値範囲もしくは既定の値セットにあるかどうかを示す。妥当性コントロールは、第1パワープロセッサによって評価されたセンサ信号が相互に妥当であるかどうかを、より有利に決定できる追加手段である。
【0022】
好適には、セーフティプロセッサは、特にフォールバックプロセッサコアおよび監視プロセッサコアはそれぞれ、第2監視ユニットを備える。したがって、有利にも、第2監視ユニットで、第1パワープロセッサに加えて、セーフティプロセッサを、特にフォールバックプロセッサコアおよび監視プロセッサコアを、ハードウエアおよび/またはソフトウエアに関して監視することが可能である。
【0023】
好適には、パワープロセッサは、および/またはセーフティプロセッサ、特にフォールバックプロセッサコアおよび監視プロセッサコアはそれぞれ、冗長電圧供給を備える。これは、パワープロセッサおよび/またはセーフティプロセッサの電圧関連故障を回避するために、電圧供給に障害が発生した場合に冗長電圧供給が利用可能であるという利点を有する。
【0024】
本発明の特に好適な実施形態において、制御デバイスは本発明による装置を備える。好適には、ドメインECUは本発明による装置を備える。特に、ADASドメインECUは本発明による装置を備える。ADASドメインECUは、略称でADAS(advanced driver assistance system)、すなわち先進運転者支援システムとも呼ばれる運転者支援システム用のドメインECUである。したがって本発明により、特に、ADASドメインECU用のフェイルオペレーショナルシステムの形態であるセーフティ構造が提供される。
【0025】
本発明による車両モジュールを制御するさらなる装置は、車両モジュールを制御可能な制御インターフェイスと、センサ信号を受信して評価するように構成された第1パワープロセッサと、センサ信号を受信して評価するように構成された、少なくとも1つの第2パワープロセッサと、セーフティプロセッサと、を備える。セーフティプロセッサが、第1パワープロセッサで評価されたセンサ信号の結果および第2パワープロセッサで評価されたセンサ信号の結果に応じて車両モジュールを制御するように、第1パワープロセッサおよび第2パワープロセッサと接続されている。セーフティプロセッサは、評価されたセンサ信号の結果に基づいて、第1および第2パワープロセッサがそれぞれ、障害なしでセンサ信号を評価したか、またはパワープロセッサが障害状態にあるかどうかを決定する。第1パワープロセッサの障害状態において、セーフティプロセッサは、第2パワープロセッサにおいて評価されたセンサ信号で車両モジュールを制御する。第2パワープロセッサの障害状態において、セーフティプロセッサは、第1パワープロセッサにおいて評価されたセンサ信号で車両モジュールを制御する。このような装置は、第1パワープロセッサの障害状態の際に、第2パワープロセッサによって評価されたすべてのセンサ信号が、車両モジュールを制御するために使用され、その逆も同様である、という利点を有する。これによって、第1パワープロセッサの障害状態の際に、車両モジュールの緊急作動のみでなく、通常作動もが可能である。第2パワープロセッサは、第1パワープロセッサに対して冗長である。さらなる冗長パワープロセッサはそれぞれ、安全性をさらに向上させる。
【0026】
好適には、第1パワープロセッサは第1信号チャネルを介して、第2パワープロセッサは第2信号チャネルを介して、センサ信号を受信する。
【0027】
好適には、第1パワープロセッサと第2パワープロセッサとの間に、特にそれぞれ1つの、セーフティプロセッサへの情報インターフェイスが配置されている。情報インターフェイスが、第1パワープロセッサおよび第2パワープロセッサにおいて評価された情報をセーフティプロセッサに転送する。
【0028】
特に好適には、セーフティプロセッサは、少なくとも1つの第1コア、第2コア、および第3コアを備える。第1コアは、第1パワープロセッサによって評価されたセンサ信号を第1コアが実行するように第1パワープロセッサと接続され、第2コアは、第2パワープロセッサによって評価されたセンサ信号を第2コアが実行するように第2パワープロセッサと接続され、第3コアは、第1コア上で実行されたセンサ信号の実行結果と、第2コア上で実行されたセンサ信号の実行結果との比較を実行するように構成されている。車両モジュールは、比較の結果に応じて制御可能である。比較によって、第1パワープロセッサおよび/または第2パワープロセッサの障害状態を決定可能である。これによって、セーフティプロセッサの第3コアでパワープロセッサの障害状態を認識し、障害のない状態にあるパワープロセッサによって評価されたセンサ信号で、車両モジュールを制御することが可能である。
【0029】
好適には、装置、特に第1パワープロセッサ、第2パワープロセッサ、およびセーフティプロセッサはそれぞれ、冗長電圧供給を備える。
【0030】
本発明の発展実施形態によれば、セーフティプロセッサの第1コア、第2コア、および第3コアはそれぞれ、冗長電圧供給を備える。
【0031】
本発明の好適な実施形態は、本発明によるさらなる装置を備える制御デバイスである。好適には、ドメインECUは本発明によるさらなる装置を備える。特に、ADASドメインECUは本発明によるさらなる装置を備える。ADASドメインECUは、略称でADAS(advanced driver assistance system)、すなわち先進運転者支援システムとも呼ばれる運転者支援システム用のドメインECUである。したがって本発明により、特に、ADASドメインECU用のフェイルオペレーショナルシステムの形態であるセーフティ構造が提供される。
【0032】
本発明の特に好適な実施形態において、第1パワープロセッサおよび/または第2パワープロセッサは人工知能を備える。人工知能が、第1パワープロセッサおよび/または第2パワープロセッサによって受信されたセンサ信号を、車両モジュールを制御する情報へと評価するように構成されている。
【0033】
人工知能とは、人間に類似した知能がシミュレートされること、すなわち、問題に独立して対処できるコンピュータを構築またはプログラムする試みがなされることを意味する。人工知能は、特に、人工ニューラルネットワークで実現することができる。人工ニューラルネットワークは、電子回路上で実行され、人間の脳のニューラルネットワークのモデルでプログラムされたアルゴリズムである。人工ニューラルネットワークの機能ユニットは、人工ニューロンである。その出力は、一般に、入力の加重和にいわゆるバイアスと称される系統的エラーを足したものによって評価された、活性化関数の値として生じる。異なる重み付け因子および活性化関数を用いて、複数の所定の入力をテストすることによって、人間の脳に類似した人工ニューラルネットワークが、学習または訓練させられる。所定の入力の助けで人工知能を訓練することは、機械学習と称される。機械学習のサブセットは、いわゆるディープラーニングである。ディープラーニングでは、機械学習プロセスを実行するために、複数のニューロンの階層、いわゆる隠れ層が使用される。
【0034】
好適には、第1パワープロセッサおよび/または第2パワープロセッサは、周辺検知センサ、特にカメラ、レーダおよび/またはライダからセンサ信号を受信するように構成されている。これにより、環境検出センサによって検出された信号に基づいて車両モジュールを制御することが可能である。これは、特に自律走行のために必要である。
【0035】
本発明のさらなる実施形態において、第1パワープロセッサおよび/または第2パワープロセッサはコントロールユニットを備える。コントロールユニットは、周辺検知センサによって検出された周辺をコントロールするように構成されている。周辺検知センサは、E/Eシステムとして、ISO26262に準拠し、したがって安全に機能できる。しかしながら、周辺が周辺検知センサに誤って理解され、それがさらなる安全性リスクを表すという場合が生じる可能性がある。周辺の誤った解釈に基づくこのような安全性リスクは、ISO26262では対処することができない。しかしながら、有利にも、コントロールユニットで、周辺検知センサが周辺を正確に理解したかどうかをコントロールすることも可能である。これにより、略称でSOTIF(safety of the intended functions)である、いわゆる意図した機能の安全性が保証される。周辺検知センサは、周囲を検出し、それによって極めて多くのデータが発生する。適切なアルゴリズムを使用して、自律走行に不可欠である、オブジェクト、または障害物までの距離等のさらなる有用な情報が、このデータから生成される。課題は、この個々のデータから有用な情報を正確に生成することである。パワープロセッサのハードウエアエラーまたはソフトウエアエラー、ならびにアルゴリズムにおける系統的エラーの場合、周辺を誤って認識したことによってセーフティクリティカルな状況が発生するリスクが、極めて高い。パワープロセッサの冗長性は、このような場合にシステムを維持し、それによって障害時作動に留まる役割を果たす。
【0036】
好適には、車両モジュールは、特に、インフォテインメント、シャーシ、ドライブトレイン、インテリア、および/またはセーフティである車両ドメインである。ドライブトレインおよび/またはシャーシの場合、車両モジュールは、アクチュエータ、特にメカトロニクスアクチュエータを介して制御することができる。インフォテインメント領域において、車両モジュールは、音響的および/または視覚的に制御することができる。インテリア領域においては、例えばステアリングホイールの振動による車線保持アシストシステムの場合のように、車両モジュールを触覚的に制御することもできる。
【0037】
本発明による装置の1つを備える運転者支援システムも、本発明の範囲内である。
【0038】
本発明による装置の1つが使用される、本発明による運転者支援方法は、以下のステップを含む。
少なくとも第1パワープロセッサにおいて、少なくとも1つの周辺検知センサのセンサ信号を受信するステップと、
センサ信号を、車両モジュールを制御する情報へと評価するステップと、
第1パワープロセッサの状態を監視し、第1パワープロセッサの状態に応じて監視信号を出力するステップと、
監視信号に応じて、車両モジュールの緊急作動のために、フォールバックプロセッサで車両モジュールを制御するステップと、である。
少なくとも第1パワープロセッサにおいて、少なくとも1つの周辺検知センサのセンサ信号を受信するステップと、
センサ信号を、車両モジュールを制御する情報へと評価するステップと、
第1パワープロセッサの状態を監視し、第1パワープロセッサの状態に応じて監視信号を出力するステップと、
監視信号に応じて、車両モジュールの緊急作動のために、フォールバックプロセッサで車両モジュールを制御するステップと、である。
【0039】
したがって、本発明による運転者支援方法によって、障害のケースが検出された際に、少なくとも緊急作動のために車両モジュールを引き続き作動させることが可能である。
【0040】
有利には、車両モジュールを第2パワープロセッサで制御する。これによって、第1パワープロセッサが故障した場合に、車両モジュールの通常作動が可能になる。
【0041】
好適な実施形態において、第1パワープロセッサおよび/または第2パワープロセッサはコントロールユニットを備える。コントロールユニットは、周辺検知センサによって検出された周辺をコントロールする。
【0042】
本発明は、以下の図面を参照して詳説される。
【図面の簡単な説明】
【0043】
【図1】本発明による車両モジュールを制御する装置の実施形態の図である。
【図2】本発明による車両モジュールを制御するさらなる装置の実施形態の図である。
【図3】本発明による車両モジュールを制御する装置のさらなる実施形態の図である。
【図4】本発明による運転者支援方法の実施形態の図である。
【0044】
図面において、特に明記しない限り、同一の符号は、同一の機能を有する同一の部分を示す。明確さを考慮して、関連する参照部分のみが、それぞれの図において番号付けされる。
【発明を実施するための形態】
【0045】
車両モジュール2を制御する図1の装置1は、第1パワープロセッサ10、およびフォールバックプロセッサコア21を備える。センサ信号31は、装置1の第1信号チャネル4において、第1パワープロセッサ10へと導かれ、第2信号チャネル5において、フォールバックプロセッサコア21へと導かれる。センサ信号31は、例えばカメラ、レーダ、またはライダなどの周辺検知センサからの信号とすることができる。
【0046】
第1パワープロセッサ10の状態は、第1パワープロセッサの状態信号を用いて、第1監視ユニット11によって検出される。第1監視ユニット11は、例えば、第1パワープロセッサがハードウエアに関して正しく機能しているかどうか、または受信されたセンサ信号31を評価するソフトウエアが正確に機能しているかどうかを検査し、対応する監視信号を出力する。監視信号に基づいて、第1パワープロセッサの障害状態を決定することができる。第1監視ユニット11が第1パワープロセッサの障害状態を決定した場合、第1監視ユニット11はフォールバックプロセッサコア21を起動することができる。これにより、制御インターフェイス3を介して緊急作動のために車両モジュール2を制御することが可能である。
【0047】
第1パワープロセッサ10が障害のない状態にあるとき、センサ信号31は、第1パワープロセッサ10によって情報40へと評価される。車両モジュール2は、制御インターフェイス3を介して情報40で制御される。情報40での制御とは、複数の情報40が存在する場合に、最初に情報40が融合され、融合から生じた情報40で、または複数の情報40で、車両モジュール2が制御されることをも意味する。
【0048】
センサ信号31を評価するために、第1パワープロセッサ10は、コントロールユニット13と、データ受信ユニット14と、評価ユニット15と、を備える。コントロールユニット13は、センサ信号31が周辺を正確に反映しているかどうかをコントロールする。周辺を正確に反映するセンサ信号31は、データ受信ユニット14で収集され、続いて評価ユニット15において評価される。
【0049】
評価ユニット15は、人工知能を備える。この人工知能は、例えばカメラ画像から、歩行者、他の車両または交通標識等である交通に関連するオブジェクトを識別することができる。このようにして評価された情報40は、制御インターフェイス3に導かれる。制御インターフェイス3が、車両モジュール2を制御するための対応するコマンドを生成する。
【0050】
図1において、さらに監視プロセッサコア22が示される。センサ信号31は、監視プロセッサコア22への入力へ導かれる。監視プロセッサコア22によって監視されたセンサ信号31は、次いで、フォールバックプロセッサコア21の入力を形成する。
【0051】
図2は、第1パワープロセッサ10に加えて第2パワープロセッサ12を備える装置8を示す。センサ信号31は、第1パワープロセッサ10および第2パワープロセッサ12に冗長的に存在する。
【0052】
第1パワープロセッサ10および第2パワープロセッサ12はそれぞれ、監視ユニット11によって監視される。
【0053】
装置8は、さらにセーフティプロセッサ20を備える。セーフティプロセッサ20は、情報インターフェイス6を介して、第1パワープロセッサおよび第2パワープロセッサによって評価された情報40を受信する。
【0054】
セーフティプロセッサは第1コア23を備える。第1コア23は、第1パワープロセッサ10の評価済み情報40を処理する。さらに、セーフティプロセッサ20は第2コア24を備える。第2コア24は、第2パワープロセッサの評価済み情報を処理する。セーフティプロセッサの第1コア23および第2コア24において評価された情報40の処理の結果は、セーフティプロセッサの第3コア25に転送され、第3コア25において相互に比較される。比較において、第3コア25は、第1パワープロセッサ10および第2パワープロセッサ12がそれぞれ、障害のない状態にあるかどうか、またはパワープロセッサ10、12のうちの1つのパワープロセッサが障害状態にあるかどうかを検出する。
【0055】
第1パワープロセッサ10が障害状態にある場合、セーフティプロセッサ20の第3コア25は、第2パワープロセッサ12によって評価された情報40のみを使用して車両モジュール2を制御する。第2パワープロセッサ12の障害状態についても、同様である。
【0056】
さらなるセーフティ対策として、セーフティプロセッサ20は、第2監視ユニット26をも備える。
【0057】
さらに、第1パワープロセッサ10および第2パワープロセッサ12は、冗長電圧供給7と接続されている。
【0058】
図3は、装置1のフォールバックプロセッサコア21および監視プロセッサコア22も、セーフティプロセッサ20のコアとすることができることを示している。
【0059】
図4に示す運転者支援方法で、緊急作動のために車両モジュールを制御することができる。センサ信号31は、パワープロセッサ10において受信され、評価される。車両モジュール2は、制御インターフェイス3を介して、評価されたセンサ信号31で制御される。
【0060】
受信及び評価のプロセスは、監視ユニット11によって監視される。例えば障害のない状態では、パワープロセッサ10は、所定の値および/または所定の時間経過を有する信号を、定期的な時間間隔で監視ユニット11に送信する。この信号は、パワープロセッサ10の状態信号である。パワープロセッサの障害状態では、それがハードウエアおよび/またはソフトウエアにおけるエラーであっても、状態信号が所定の値および/または所定の時間経過から逸脱する可能性があり、またはパワープロセッサ10が状態信号を監視ユニット11に送信しない。
【0061】
この状態信号に応じて、監視ユニット11は監視信号を出力する。例えば、監視ユニット11が所定の値を有する状態信号を受信した場合には、監視信号を、パワープロセッサ10の障害のない状態を特徴付ける数字1とすることができる。監視ユニット11が所定の時間間隔で状態信号を受信しない場合には、監視信号は、パワープロセッサの障害状態を特徴づける数字ゼロとすることができる。
【0062】
監視ユニット11が、パワープロセッサ10の障害のない状態を決定した場合、すなわち、例えば監視信号が数字1であると決定した場合には、車両モジュール2は、パワープロセッサ10で評価されたセンサ信号31で制御される。監視ユニット11が、パワープロセッサ10の障害の障害状態を決定した場合、すなわち、例えば監視信号が数字ゼロであると決定した場合には、車両モジュール2は、フォールバックプロセッサ21で制御される。
【符号の説明】
【0063】
1 装置
2 車両モジュール
3 制御インターフェイス
4 第1信号チャネル
5 第2信号チャネル
6 情報インターフェイス
7 冗長電圧供給
8 装置
10 第1パワープロセッサ
11 第1監視ユニット
12 第2パワープロセッサ
13 コントロールユニット
14 データ受信ユニット
15 評価ユニット
20 セーフティプロセッサ
21 フォールバックプロセッサコア
22 監視プロセッサコア
23 第1コア
24 第2コア
25 第3コア
26 第2監視ユニット
30 センサ
31 センサ信号
40 情報
2 車両モジュール
3 制御インターフェイス
4 第1信号チャネル
5 第2信号チャネル
6 情報インターフェイス
7 冗長電圧供給
8 装置
10 第1パワープロセッサ
11 第1監視ユニット
12 第2パワープロセッサ
13 コントロールユニット
14 データ受信ユニット
15 評価ユニット
20 セーフティプロセッサ
21 フォールバックプロセッサコア
22 監視プロセッサコア
23 第1コア
24 第2コア
25 第3コア
26 第2監視ユニット
30 センサ
31 センサ信号
40 情報
【図1】
【図2】
【図3】
【図4】
