特許 7206410 安全システムおよび安全システムの作動方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-01-06

(45)【発行日】2023-01-17

(54)【発明の名称】安全システムおよび安全システムの作動方法

(51)【国際特許分類】

   H04L 1/22 20060101AFI20230110BHJP

   G08G 1/16 20060101ALI20230110BHJP

   B60W 50/023 20120101ALI20230110BHJP

   G05B 9/03 20060101ALI20230110BHJP

【ＦＩ】

H04L1/22

G08G1/16 C

B60W50/023

G05B9/03

【請求項の数】 9

(21)【出願番号】P 2021549495

(86)(22)【出願日】2020-02-07

(65)【公表番号】

(43)【公表日】2022-04-13

(86)【国際出願番号】 EP2020053092

(87)【国際公開番号】W WO2020173682

(87)【国際公開日】2020-09-03

【審査請求日】2021-08-23

(31)【優先権主張番号】102019202527.7

(32)【優先日】2019-02-25

(33)【優先権主張国・地域又は機関】DE

(73)【特許権者】

【識別番号】591245473

【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング

【氏名又は名称原語表記】ＲＯＢＥＲＴ ＢＯＳＣＨ ＧＭＢＨ

(74)【代理人】

【識別番号】100118902

【弁理士】

【氏名又は名称】山本 修

(74)【代理人】

【識別番号】100196508

【弁理士】

【氏名又は名称】松尾 淳一

(74)【代理人】

【識別番号】100161908

【弁理士】

【氏名又は名称】藤木 依子

(72)【発明者】

【氏名】ヘス，フェリックス

(72)【発明者】

【氏名】ロス，ハンス－レオ

【審査官】川口 貴裕

(56)【参考文献】

【文献】特開２０００－０９２０３３（ＪＰ，Ａ）

【文献】特開２０１６－０１２９１２（ＪＰ，Ａ）

【文献】特開２０１９－０２６０６７（ＪＰ，Ａ）

【文献】米国特許出願公開第２０１７／０１３２８５３（ＵＳ，Ａ１）

【文献】国際公開第２０１８／２１１７５７（ＷＯ，Ａ１）

【文献】欧州特許出願公開第００７３８９７３（ＥＰ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ １／２２

Ｇ０８Ｇ １／１６

Ｂ６０Ｗ ５０／０２３

Ｇ０５Ｂ ９／０３

(57)【特許請求の範囲】

【請求項1】

－ 第１のチャネルおよび第２のチャネルにデータを供給するステップと、
－ 前記第１のチャネルにおいて前記データから第１の情報を生成し、前記第２のチャネルにおいて前記データから第２の情報を生成するステップであって、前記第１の情報および前記第２の情報は、それぞれ、異なるコンピュータ装置によって互いに独立して生成され、前記第１の情報の生成と前記第２の情報の生成は異なる時点において実行される、ステップと、
－ 前記第１のチャネルにおいて前記第１の情報から第１の検査キーを生成し、前記第２のチャネルにおいて前記第２の情報から第２の検査キーを生成するステップと、
－ 前記第１の情報、前記第２の情報、前記第１の検査キー、および前記第２の検査キーを検査装置に供給するステップと、
－ 前記第１の検査キーと前記第２の検査キーとの比較に応じて前記第１の情報および前記第２の情報を使用するステップと、
を有する安全システムの作動方法。

【請求項2】

前記第１の情報および前記第２の情報を生成するステップにおいて、前記データから複数の前記第１の情報が生成され、前記データから複数の前記第２の情報が生成され、
前記第１の検査キーおよび前記第２の検査キーを生成するステップにおいて、前記複数の第１の情報から複数の前記第１の検査キーが生成され、前記複数の第２の情報から複数の前記第２の検査キーが生成される、請求項１に記載の方法。

【請求項3】

前記第１のチャネルおよび前記第２のチャネルのうちの一方のチャネルでエラーが発生した場合に、他方のチャネルの前記第１の情報または前記第２の情報が使用される、請求項１または２に記載の方法。

【請求項4】

前記検査装置は、前記第１の情報および前記第２の情報のいずれを破棄できるかを、少なくとも１つの定義された基準に基づいて決定する、請求項１から３のいずれか一項に記載の方法。

【請求項5】

前記第１の情報または前記第２の情報は無線通信を介して車両に送信される、請求項１から４のいずれか一項に記載の方法。

【請求項6】

前記データはセンサ装置から提供される、請求項１から５のいずれか一項に記載の方法。

【請求項7】

自動駐車システムおよび／または都市環境において実行される、請求項１から６のいずれか一項に記載の方法。

【請求項8】

－ 第１のチャネル内の供給データから第１の情報を生成する第１のコンピュータ装置および第２のチャネル内の前記供給データから第２の情報を生成する第２のコンピュータ装置であって、前記第１のコンピュータ装置は前記第１の情報から第１の検査キーを生成し、前記第２のコンピュータ装置は前記第２の情報から第２の検査キーを生成し、前記第１の情報および前記第２の情報は、互いに独立して生成され、前記第１の情報の生成と前記第２の情報の生成は異なる時点において実行される、第１のコンピュータ装置および第２のコンピュータ装置と、
－ 前記第１の情報、前記第２の情報、前記第１の検査キー、および前記第２の検査キーが供給される検査装置と、を有し、
－ 前記第１の情報および前記第２の情報は、前記検査装置によって実行される前記第１の検査キーと前記第２の検査キーとの比較に応じて使用可能になる、
安全システム。

【請求項9】

請求項１から７のいずれか一項に記載の方法をコンピュータシステムに実行させるためのコンピュータプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、安全システムの作動方法に関する。また、本発明は安全システムに関する。また、本発明は安全システムの使用に関する。また、本発明はコンピュータプログラム製品に関する。

【背景技術】

【0002】

現代の安全システム、特に、移動用途、特に自動車用途の自動化システム用の現代の安全システムには、リアルタイムで使用可能な冗長データストリームが必要とされる。映像データの評価にくわえ、例えばＬｉＤＡＲセンサやレーダーセンサなどの複雑なセンサにより、連続的に時間同期させて、３Ｄモデルを実環境と照合させる。約１００ｍｓの時間遅れとは、約１００ｋｍ／ｈの速度で、モデルの現実からの偏差が３ｍ超あることを意味する。これは道路幅超を意味し、カーブではすでに対向車との衝突を引き起こす可能性がある。

【0003】

電子エラーを見つけるため、また、これらのエラーを制御して修正するため、または冗長機能への切り替えを確実にするためにも、上記のデータストリームは、データストリーム内で適時比較が行われ得るように同期化されなければならない。

【0004】

従来の同期化では、１つのデータストリームを停止し、第２のデータストリームが同じ同期点上にある場合に初めて、データを比較することができる。
これは、これらのデータの処理速度を著しく低下させるという不都合をもたらす可能性がある。

【0005】

さらに、非常に大きいデータ量を短時間で互いに比較する場合には、著しい性能要求があり、比較自体にも著しく時間がかかり、それがシステム全体の性能を大幅に低下させ得る。

【0006】

一般的に、機能とは、中間結果を生み出す異種の部分機能の連鎖でもあり、それらが次いでさらなる処理の基礎を形成する。中間結果が適時に得られないか、またはそれどころか誤った情報がさらに処理されると、そこから大規模なシステムエラーが発生する結果となり、それらは安全関連システムの場合には、人を危険にさらす可能性がある。特に、（例えばセンサにより）データが検出された場合、処理のために転送される前に、このデータの正確性および適時性について検査する必要がある。同様に、異なるアルゴリズムを用いた処理では、対応する情報を用いてアクチュエータを制御する前に、時間および内容の検査が必要となる。

【0007】

さらに、冗長安全システムでは、１つのチャネルが故障した場合に、第２のチャネルが、故障したチャネルのタスクを適時に引き継ぐことができ、安全機能を中断することなく保証し続けることが重要である。

【0008】

特に自動運転では、エラーが発生した際にも電子機能が利用可能なように、安全関連機能に耐エラー性も持たせて設計することが不可欠である。ここで、冗長性は、機能のエラー検出と可用性の向上という二重の機能を有する。特に、ブレーキシステムおよびステアリングシステムでは、車両のブレーキまたはステアリングが突然効かなくなるため、走行中特に危険である。

【0009】

ＤＥ１００３２２１６Ａ１（独国特許出願公開第１００３２２１６号）は、自動車内の安全システムと、メインコンピュータがセンサ入力および構成入力を制御して診断する方法とを開示している。

【0010】

ＤＥ１０２００８００８５５５Ｂ４（独国特許出願公開第１０２００８００８５５５号）は、車両での危険な状況を最小化するための方法を開示している。

【発明の概要】

【0011】

本発明の課題は、安全システムを作動するための改良された方法を提供することである。
課題は、第１の態様によれば、
－ 少なくとも２つのチャネルにデータを供給するステップと、
－ 少なくとも２チャネル内のデータから情報を生成するステップと、
－ 少なくとも２つのチャネル内の情報から検査キーを生成するステップと、
－ ２つのチャネルの情報および検査キーを検査装置に供給するステップと、
－ 検査キーの比較に応じて情報を定義して使用するステップと、
を有する安全システムの作動方法によって解決される。

【0012】

このようにして、特にリアルタイムの用途において有用な安全システムの作動方法が提供される。有利には、提案された方法では、プリエンプティブリアルタイムシステムにあるような、例えばアイドルモード、同期化ステップなどの煩雑な動作を必要としない。その結果、これにより、情報が生成された他の時点で情報を有利に比較できる。これにより、２つのチャネルの演算能力を有利に、最良に利用することができる。

【0013】

課題は、第２の態様によれば、
－ 少なくとも２つのチャネル内の供給データから、独立して情報を生成するための２つのコンピュータ装置であって、少なくとも２つのチャネルの情報から関連する検査キーが生成される、２つのコンピュータ装置と、
－ 少なくとも２つのチャネルの情報を供給可能である検査装置と、を有し、
－ 検査装置によって、少なくとも２つのチャネルの情報は、比較に応じて定義されて使用可能になる、
安全システムによって解決される。

【0014】

方法の有利な改善形態は、従属請求項の主題である。
方法の有利な一改善形態では、データからの情報の生成および情報からの検査キーの生成が、定義された時点に実行される。これにより、有利には、異なる時点で情報を検査する多段階方法が提供される。

【0015】

方法のさらなる有利な一改善形態では、一方のチャネルでエラーが発生した場合に、他方のチャネルの情報が利用される。このようにして、安全システムの安全レベルを有利に向上させている。

【0016】

方法のさらなる有利な一改善形態では、試験装置が、どのチャネルからのどの情報を破棄できるかを、少なくとも１つの定義された基準に基づいて決定する。これにより、いつ情報を利用するか、または無効であるとして破棄するかを有利に決定することができる。

【0017】

方法のさらなる有利な一改善形態では、情報が無線通信を介して車両に送信される。その際有利には、例えばＷｉＦｉを用いて（例えば立体駐車場内の）自動化車両に指令を送信する用途を支援する。

【0018】

方法のさらなる有利な一改善形態では、データがセンサ装置から提供される。このようにして、センサデータを可能な限りリアルタイムで処理する方法の用途が可能となる。
本発明を、以下に複数の図を参照して、さらなる特徴および利点とともに詳述する。図は、とりわけ本発明に不可欠な原理を明らかにすることを意図している。

【0019】

開示された方法の特徴は、対応する開示された装置の特徴から類似して生じ、またその逆も同様である。このことは特に、方法に関する特徴、技術的な利点および実施形態が、安全システムに関する対応する実施形態、特徴および利点から類似して生じることを意味し、またその逆も同様である。

【図面の簡単な説明】

【0020】

【図1】提案された安全システムの第１の実施形態のブロック図である。

【図2】提案された安全システムのさらなる一実施形態のブロック図である。

【図3】提案された安全システムの作動方法の図である。

【発明を実施するための形態】

【0021】

以下では、「自動化車両」という用語は、完全自動化車両、部分自動化車両、完全自律車両および部分自律車両の意味で同義的に使用される。
本発明の核心的な考えは、冗長システムの性能を低下させることなく、複数のレベルで冗長安全システムにおける異なる時間的側面を保証する監視構造を提供することである。

【0022】

本発明では、有利には、最大の出力で、２つのチャネルによって冗長データストリームを行うことが達成される。ここでは、パラレルパス内でデータ内容および特定の安全キーがシステムから取り出される。

【0023】

図１は、提案されている安全システム１００の第１の実施形態の基本的なブロック図を示す。センサ装置１からデータＤが供給される第１の情報装置１１ａを有する第１のコンピュータ装置１０が分かる。データＤから情報装置１１ａによって情報Ｉ１が生成される。情報Ｉ１は、第１の暗号化装置１２ａに供給され、そこから第１の暗号化装置１２ａが第１の検査キーＳ１を生成する。

【0024】

また、安全システム１００は、センサ装置１のデータＤが同様に供給される第２のコンピュータ装置２０を有する。第２の情報装置２１ａにより、第２の暗号化装置２２ａに供給されるデータＤから情報Ｉ１が生成され、そこから第２の暗号化装置２２ａが第２の検査キーＳ２を生成する。

【0025】

情報Ｉ１および検査キーＳ１、Ｓ２は、好ましくは安全ＰＬＣ（ｐｒｏｇｒａｍｍａｂｌｅ ｌｏｇｉｃ ｃｏｎｔｒｏｌｌｅｒ）として構成された検査装置３０に供給される。したがって、検査装置３０は、情報Ｉ１が生成された時点とは無関係に、情報装置１１ａ、１２ａによって情報Ｉ１を比較し、定義された基準にしたがって、例えば、正確性および／または妥当性について検査することが可能である。

【0026】

その結果、場合によって物理的に異なって構成されている２つのコンピュータ装置１０、２０は、例えばリアルタイムの要件を満たすために、アイドル機構、同期化機構、および安全機構によって妨げられるかまたは遅延されることなく、情報Ｉ１を提供するために、それらのそれぞれに最適なリソースを利用することができる。２つのコンピュータ装置１０、２０の演算能力の最適な有効利用は、このようにして有利に支援される。

【0027】

比較または検査の結果に応じて、検査装置３０は、自動化車両（図示せず）のための指令を含む下流装置（例えば、スイッチング装置、図示せず）に、無線または有線で指令を出力することができる。

【0028】

その結果、これにより、安全システム１００では時間監視を伴う２つのチャネル内の冗長信号チェーンを提供する。
図２は、提案された安全システム１００の第２の実施形態のブロック図を示す。情報Ｉ_１．．．Ｉ_ｎがデータＤから定義されて処理され利用可能になり、また、割り当てられた検査キーＳ１．．．Ｓｎが情報Ｉ_１．．．Ｉ_ｎから生成される複数の時点ｔ_０．．．ｔ_ｎが分かる。ここで、第１の検査キーＳ１を、例えばセンサデータ検出後の時点ｔ_０に、第２の検査キーＳ２を、アルゴリズムの論理処理後の時点ｔ_１に、また、第３の検査キーＳ３を、アクチュエータ変数の計算後の時点ｔ_２に確定する。これにより、上記の時点は、試験装置３０が、それぞれの中間状態データまたは中間状態情報が試験地点、すなわち試験装置３０に内容的に正確に、適時に到達したかどうかを、検査する３つの時間窓となる。２つの冗長チャネルのそれぞれにおいてこれが当てはまる場合には、データストリームは、時間的にも内容的にも正確であることが試験装置３０によってさらに報告される。

【0029】

当然ながら、示されている時点の数およびこれらの時点で実行される演算は単に例示的なものであり、また、実際には、他の情報Ｉ_１．．．Ｉ_ｎがデータＤから処理され利用可能になり、対応する検査キーが生成される、他の、特に実質的により多くの時点が設けられ得ることは言うまでもない。同様に、データは必ずしもセンサ装置１から発生する必要はなく、他の装置から提供され得ることが考えられ得る。

【0030】

安全システム１００の２つのチャネルのデータストリームは、異なるコンピュータ装置１０、２０のために通例は異なる速度であるため、検査装置３０の形態における「監視者」の情報は、冗長データストリームがその検査キーも報告した場合に初めて利用可能となる。しかし、検査装置３０は検査キーＳ１．．．．Ｓｎのみを検査するため、有利には、非常に迅速に検査を実行することができる。検査が正である限り、例えば第１のチャネルの第１のデータストリームは、常に次のレベルで処理するために利用することができる。しかし、検査装置３０がエラーを確認し、さらなる処理チェーンの中で情報を破棄しなければならない点に危険がある。

【0031】

しかし、エラーのデータストリームのブロッキングが最後の機能要素の前に発生すれば十分であり、これは一般的に、アクチュエータ（図示せず）の制御を意味する。しかし、アクチュエータのエラーのデータストリームのみを遮断し、正しいと認識されたデータストリームは遮断しないため、データストリームに遅延が発生する可能性があるが、これは、第２のデータストリームがエラーのデータストリームに続く時間にのみ関するものである。冗長性が均質である場合は、時間は一般的に非常に小さくなる。

【0032】

時間的に見て、中間ステップは、例えば検出後、論理処理後、およびアクチュエータの制御後に様々であるため、時間の合計は、チェーン全体に必要な時間を上回ることが多く、最悪の状況が発生することは非常にまれであるため、サブセクションでの時間は、通常均衡が取れている。したがって、安全技術的には、センサ装置１におけるデータＤの検出からアクチュエータにおける対応する反応までの時間のみを計測する必要がある。これがエラーのないチャネルに必要な時間制限を下回る限り、安全反応は十分であると考えられ、したがって安全技術的には「適時である」と考えられる。

【0033】

安全システム１００の上記の構成要素は、例えば、適切なネットワーク接続（例えばイーサネット）を介して、機能的に相互接続されていてもよい。
提案された解決手段の大きな利点は、データストリームの同期化にかかる労力が著しく削減されることによって、提案された安全システム１００の性能が、シングルチャネルの実装における非安全関連システムの値に近づくことである。冗長性は、両方のパスにおいて、データＤからの情報を提供する公称機能をそれぞれ同一に実装することができるため、第２の独立したソフトウェア開発を必要としない。一方で、時点ｔ_０．．．ｔ_ｎでの情報の正確性を確認するための必要な検査キーＳ１．．．Ｓｎを生成する、対応するモニタまたは暗号化装置の実装のみが存在する。

【0034】

提案された方法のさらなる利点は、エラーが１つのチャネルの故障をもたらすのみであり、関連性が均一であれば時間遅延が小さいと考えられ得る点にある。
図３は、提案された方法の一実施形態の基本的なシーケンスを示す。

【0035】

ステップ２００では、少なくとも２つのチャネルへのデータＤの供給が実行される。
ステップ２１０では、データＤからの情報Ｉ_１．．．Ｉ_ｎの生成が、少なくとも２つのチャネルで実行される。

【0036】

ステップ２２０では、情報Ｉからの検査キーＳ１．．．Ｓｎの生成が、少なくとも２つのチャネルで実行される。
ステップ２３０では、２つのチャネルの情報Ｉ_１．．．Ｉ_ｎおよび検査キーＳ１．．．Ｓｎが、試験装置３０へ供給される。

【0037】

最後に、ステップ２４０では、検査キーＳ１．．．Ｓｎの比較に応じて、情報の定義された使用が実行される。
有利には、提案された方法は、自動駐車および／または都市環境における安全システムに適用することができる。

【0038】

有利には、提案された方法は、適切なプログラムコード手段を有するソフトウェアプログラムの形態で実現することができ、このソフトウェアプログラムは、その構成要素を有する安全システム１００上で進行する。このようにして、方法を簡単に適応可能にすることが可能である。

【0039】

当業者は、本発明の本質から逸脱することなく、本発明の特徴を好適に改変および／または互いに組み合わせる。例えば、安全システムのチャネル数も３以上とすることができる。

【図1】

【図2】

【図3】