知財求人 - 知財ポータルサイト「IP Force」
▶ ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングの特許一覧
特表2024-535363モバイルプラットフォームの環境の生成された環境モデルに基づいて出力信号を提供するためのシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-30
(54)【発明の名称】モバイルプラットフォームの環境の生成された環境モデルに基づいて出力信号を提供するためのシステム
(51)【国際特許分類】
G06F 11/16 20060101AFI20240920BHJP
G05B 9/03 20060101ALI20240920BHJP
G05B 9/02 20060101ALI20240920BHJP
B60R 16/02 20060101ALI20240920BHJP
G06F 11/20 20060101ALI20240920BHJP
【FI】
G06F11/16 629
G05B9/03
G05B9/02 E
B60R16/02 660J
G06F11/20 615
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024518421
(86)(22)【出願日】2022-08-08
(85)【翻訳文提出日】2024-03-22
(86)【国際出願番号】 EP2022072230
(87)【国際公開番号】W WO2023046358
(87)【国際公開日】2023-03-30
(31)【優先権主張番号】102021210600.5
(32)【優先日】2021-09-23
(33)【優先権主張国・地域又は機関】DE
(81)【指定国・地域】
(71)【出願人】
【識別番号】591245473
【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(72)【発明者】
【氏名】モルロク,フレデリク
(72)【発明者】
【氏名】コウッセルソン,ボリス
(72)【発明者】
【氏名】ヘロルト,ユリア
(72)【発明者】
【氏名】コシオリス,パナジョティス
【テーマコード(参考)】
5B034
5H209
【Fターム(参考)】
5B034AA04
5B034DD01
5H209AA10
5H209BB07
5H209BB18
5H209DD04
5H209EE05
5H209EE11
5H209GG20
5H209SS01
5H209SS02
5H209SS07
5H209SS08
5H209TT02
5H209TT04
(57)【要約】
モバイルプラットフォームの環境の生成された環境モデルに基づいて出力信号を提供するためのシステム(100)であって、
第1のサブシステム(110)と、第2のサブシステム(120)であって、前記第2のサブシステム(120)は、前記第1のサブシステム(110)の機能を冗長的に提供するように構成されている、第2のサブシステム(120)と、第3のサブシステム(130)であって、前記第3のサブシステムは、前記第1のサブシステム(110)および/または前記第2のサブシステム(120)の機能を冗長的に提供するように構成されている、第3のサブシステム(130)と、
第1の比較システム(210)と、第2の比較システム(220)と、を備え、前記第1の比較システム(210)および/または前記第2の比較システム(220)が、前記第1のサブシステム(110)のエラーおよび/または前記第2のサブシステム(120)のエラーおよび/または前記第3のサブシステム(130)のエラーのうちの少なくとも1つのエラーを検知し、かつ/またはそれぞれのエラーのある前記サブシステム(110、120、130)を識別するように構成されている、システム(100)。
【選択図】図1
第1のサブシステム(110)と、第2のサブシステム(120)であって、前記第2のサブシステム(120)は、前記第1のサブシステム(110)の機能を冗長的に提供するように構成されている、第2のサブシステム(120)と、第3のサブシステム(130)であって、前記第3のサブシステムは、前記第1のサブシステム(110)および/または前記第2のサブシステム(120)の機能を冗長的に提供するように構成されている、第3のサブシステム(130)と、
第1の比較システム(210)と、第2の比較システム(220)と、を備え、前記第1の比較システム(210)および/または前記第2の比較システム(220)が、前記第1のサブシステム(110)のエラーおよび/または前記第2のサブシステム(120)のエラーおよび/または前記第3のサブシステム(130)のエラーのうちの少なくとも1つのエラーを検知し、かつ/またはそれぞれのエラーのある前記サブシステム(110、120、130)を識別するように構成されている、システム(100)。
【選択図】図1
【特許請求の範囲】
【請求項1】
モバイルプラットフォームの環境の生成された環境モデルに基づいて出力信号を提供するためのシステム(100)であって、第1のセンサシステム(102)に信号連結されるように構成されている、出力信号を生成するための第1のサブシステム(110)と、
前記第1のセンサシステム(102)に信号連結されるように構成されている、出力信号を生成するための第2のサブシステム(120)であって、前記第2のサブシステム(120)は、前記第1のサブシステム(110)の機能を冗長的に提供するように構成されている、第2のサブシステム(120)と、
出力信号を生成するための第3のサブシステム(130)であって、前記第3のサブシステムは、第2のセンサシステム(104)に信号連結されるように構成されており、
前記第3のサブシステム(130)は、前記第1のサブシステム(110)および/または前記第2のサブシステム(120)の機能を冗長的に提供するように構成されている、第3のサブシステム(130)と、
前記第1のサブシステムの出力部と、前記第2のサブシステムの出力部と、前記第3のサブシステムの出力部とに信号連結されている第1の比較システム(210)と、
前記第1のサブシステムの前記出力部と、前記第2のサブシステムの前記出力部と、前記第3のサブシステムの前記出力部とに信号連結されている第2の比較システム(220)と、を備え、
前記第1の比較システム(210)および前記第2の比較システム(220)が信号連結されており、
前記第1の比較システム(210)および/または前記第2の比較システム(220)は、前記第1のサブシステム(110)のエラーおよび/または前記第2のサブシステム(120)のエラーおよび/または前記第3のサブシステム(130)のエラーのうちの少なくとも1つのエラーを検知し、かつ/またはそれぞれのエラーのある前記サブシステム(110、120、130)を識別するように構成されている、
システム(100)。
【請求項2】
前記第1のサブシステム(110)、前記第2のサブシステム(120)、および前記第1の比較システム(210)が、第1の電子制御ユニット(410)の一部であり、前記第3のサブシステム(130)および前記第2の比較システム(220)が、第2の電子制御ユニット(420)の一部である、請求項1に記載のシステム(100)。
【請求項3】
前記第1の電子制御ユニット(410)の電力が第1の電源(610)によって提供され、前記第2の電子制御ユニット(420)の電力が第2の電源(620)によって提供され、前記第1の電源(610)および前記第2の電源(620)は、前記第1の電源(610)の電力を前記第2の電源(620)の電力から独立して提供するように設定されている、請求項2に記載のシステム(100)。
【請求項4】
前記第1のセンサシステム(102)が前記第2のセンサシステム(104)と同様である、請求項1~3のいずれか一項に記載のシステム(100)。
【請求項5】
前記第2のセンサシステム(104)が前記第1のセンサシステム(102)に対する冗長センサシステムである、請求項1~4のいずれか一項に記載のシステム(100)。
【請求項6】
前記第1の電源(610)を備える前記第1の電子制御ユニット(410)が、出力信号を提供するための前記システムがフォールトトレラントで高い可用性を備えるように、対応して設定および構成されている前記第2の電源(620)を備える第2の電子制御ユニット(420)と協働するように設定および構成されている、請求項1~5のいずれか一項に記載のシステム(100)。
【請求項7】
前記第1の比較システム(210)および前記第2の比較システム(220)が、前記それぞれのサブシステム(110、120、130)による環境モデルの決定時における前記第1のサブシステム(110)のエラーおよび/または前記第2のサブシステム(120)のエラーおよび/または前記第3のサブシステム(130)のエラーを検知するように設定されている、請求項1~6のいずれか一項に記載のシステム(100)。
【請求項8】
前記第1の比較システム(210)が、それぞれ識別された前記第1のサブシステム(110)および/または前記第2のサブシステム(120)および/または前記第3のサブシステム(130)において検知されたエラーに応じて、選択的に、前記第1のサブシステム(110)の出力信号または前記第2のサブシステム(120)の出力信号をアクチュエータシステム(500)に提供するように設定されている、請求項1~7のいずれか一項に記載のシステム(100)。
【請求項9】
前記第1の比較システム(210)が、それぞれ識別された前記第1のサブシステム(110)および/または前記第2のサブシステム(120)および/または前記第3のサブシステム(130)において検知されたエラーに応じて、前記第1のサブシステム(110)の出力信号および前記第2のサブシステム(120)の出力信号を前記アクチュエータシステム(500)に提供するように設定されている、請求項1~8のいずれか一項に記載のシステム(100)。
【請求項10】
前記第2の比較システム(220)が、それぞれ識別された前記第1のサブシステム(110)および/または前記第2のサブシステム(120)および/または前記第3のサブシステム(130)において検知されたエラーに応じて、前記第3のサブシステム(130)の出力信号を前記アクチュエータシステム(500)に提供するように設定されている、請求項1~9のいずれか一項に記載のシステム(100)。
【請求項11】
- 前記第1のセンサシステム(102)の信号を提供するための第1の入力部と、- 前記第2のセンサシステム(104)の信号を提供するための第2の入力部と、
- 第1の演算装置であって、前記第1の演算装置は、前記第1のサブシステム(110)および/または前記第2のサブシステム(120)によって、前記モバイルプラットフォームの環境の環境モデルを生成するように設定されている、第1の演算装置と、
- 第2の演算装置であって、前記第2の演算装置は、前記第3のサブシステム(130)によって、前記モバイルプラットフォームの環境の環境モデルを生成するように設定されている、第2の演算装置と、
- 前記第1の演算装置の制御信号を前記アクチュエータシステム(500)に提供するための第1の出力部(415)と、
- 前記第2の演算装置の制御信号を前記アクチュエータシステム(500)に提供するための第2の出力部(425)と、を備え、
前記第1の演算装置が、前記第1の出力部(415)に前記第1のサブシステム(110)の出力信号または前記第2のサブシステム(120)の出力信号を選択的に提供するための前記第1の比較システム(210)を有し、
前記第2の演算装置は、前記第2の出力部(425)に前記第3のサブシステム(130)の出力信号を選択的に提供するための前記第2の比較システム(220)を有する、
請求項1~10のいずれか一項に記載のシステム(100)。
【請求項12】
請求項11に記載のシステムを有する車両で使用するための制御装置。
【請求項13】
請求項12に記載の制御装置を有する少なくとも部分的に自動化されたモバイルプラットフォーム、特に、車両。
【請求項14】
モバイルプラットフォームの環境の環境モデルを生成するための、請求項1~11のいずれか一項に記載のシステムの使用。【発明の詳細な説明】
【背景技術】
【0001】
近年の自動車システムアーキテクチャは、日ごとに複雑かつ高性能になってきている。自動運転車(SDV:self driving vehicles)に関連する自動運転システム(ADS:automatic driving system)は、その非常に代表的な例である。これらのシステムは、開発対象の運転自動化レベル(SAEJ3016)に応じて、高い安全性と可用性も提供できなければならない。
【0002】
自動車メーカーによる現在の開発の重点は、レベル2からレベル4までの範囲にある。最も重要な移行は、部分自動化(レベル2)と条件付き自動化(レベル3)の間であり、後者の場合、運転に対する安全性に関連する直接的なフォールバックレベルとして運転者が不要になる。
【0003】
高度な自動化を伴うレベル4と、完全な自動化を伴うレベル5との主な違いは、特にステアリングホイールが全くない車種の場合、全ての運転モードに対して所定の限定された運転モードを取り扱うシステムの性能である。
【発明の概要】
【課題を解決するための手段】
【0004】
一般的に、自動運転(AD:automatic driving)の目標機能では、環境検知(EP:environment perception)および車両位置特定(VL:vehicle localisation)において、現在の運転状況のモデルを生成するために、様々なセンサからデータが収集、合成、融合される。このモデルは行動計画(BP:behavioral planning)によって使用され、現在の運転状況と計画された運転に関するルートや軌道を作成する。アクチュエータマネジメント(AM:actuator management)は、計算されたルートを辿る様々なアクチュエータを制御する。
【0005】
運転自動化レベル(SAEJ3016)に関して、レベル3+以降の自動運転システムは、フェールオペレーショナルアーキテクチャ、すなわち、コンポーネントが故障した後でも少なくとも一定時間はシステムが安全に作動し続けることが要求される。
【0006】
本発明の態様によれば、独立形式請求項の特徴にしたがって、出力信号を提供するためのシステム、制御装置、モバイルプラットフォーム、およびシステムの使用が提案される。有利な実施形態は、引用形式請求項および以下の説明の主題である。
【0007】
この発明の記述全体において、一連の方法ステップが、方法を容易に理解できるように示されている。しかしながら、当業者であれば、方法ステップの多くを異なる順序で実施しても、同じ結果または相当する結果を導くことができると認識するであろう。この意味で、方法ステップの順序は適宜変更してもよい。一部の特徴には、読みやすさを向上させたり、対応付けを明確にしたりするために数詞が付されているが、これは特定の特徴の存在を暗示するものではない。
【0008】
フォールトトレラント設計のシステム、すなわちフォールトトレラントシステムは、システムの一部が故障しても定義された機能を維持するように構成されており、典型的には高度な冗長性を有する。
【0009】
特に高い可用性を備えたシステムは、フォールトトレランスに関して異なる構成が可能である。
- フェールオペレーショナルモードでは、システムの一部が故障しても、完全に故障する代わりに、所定の動作を、場合によっては限られた時間だけ継続することができる。
- フェールオペレーショナルモードでは、システムの一部が故障しても、完全に故障する代わりに、所定の動作を、場合によっては限られた時間だけ継続することができる。
【0010】
- フェールデグレードモードでは、システムの一部が故障しても、完全に故障する代わりに、「レベル」を下げた状態で意図する動作を継続することができる。
このようなシステム内で一部の故障が発生した場合、エラーのあるサブシステムから、残りの独立したエラーのないサブシステムへの移行が実行される。
このようなシステム内で一部の故障が発生した場合、エラーのあるサブシステムから、残りの独立したエラーのないサブシステムへの移行が実行される。
【0011】
さらに、高い可用性を備えたシステムは、車両の電気的および/または電子的アーキテクチャ全体、すなわち、電源(PowerNet)、通信バス、冷却システム、および特に共通の原因によるエラーも含めて考慮することができ、故障の場合でも動作を継続するように構成することができるため、エラーが存在していても、それぞれのサービスの可能な限り高い可用性を有するシステムにおいて冗長性が要求される。
【0012】
一般的に、レベルL3+(すなわち:L3、L4、L5)に対応する機能は、ADシステム(Automated Driving System:ADS)内の第1のエラー、例えば電気的および/または電子的エラー(E/E故障)の発生後に、エラー制限および/または劣化および/または完全な動作性を可能にするために、冗長構造を必要とする。
【0013】
これを達成するために、システムは、以下のように構成することができる。
- 1次システムとしてのメインECU(electronic control unit)、または2次システムとしてのバックアップECUにおいて、各エラーシナリオにおいて必要なシステム機能が引き続き利用可能である。システム機能は、シナリオに応じて完全であることもあれば、低下することもある。
- 1次システムとしてのメインECU(electronic control unit)、または2次システムとしてのバックアップECUにおいて、各エラーシナリオにおいて必要なシステム機能が引き続き利用可能である。システム機能は、シナリオに応じて完全であることもあれば、低下することもある。
【0014】
- それぞれの制御装置(1次システムとしてのメイン制御装置、または2次システムとしてのバックアップ制御装置)は、自身の故障を検知し、無効なデータが例えばアクチュエータなどのさらなる処理段階に通信されないように構成されている。無効なデータがさらなる処理段階に通信されないようにすることは、パッシベーションまたは「フェールサイレント」の構成として定義できる。
【0015】
- 例えばアクチュエータなどのシステムのさらなる処理段階は、例えば、前の段階との通信の中断を検知し、残りの有効な制御装置からの通信のみを受け入れる、
ISO26262:2018によると、ランダムな過渡的/永続的ハードウェア(HW)故障に関して、電子的および/または電気的エラー(E/E故障)は、ASILのD可用性安全目標を前提として、≧99%のSPFM(Single Point Fault Metric:単一箇所における故障検出率)で、システム内で検知されなければならない。この要件は、最初のエラー検知に関して、個々の制御装置(electronic control unit:ECU)に割り当てることができる。各ECUは、自身のE/E故障を≧99%のSPFMで検知できなければならない。
ISO26262:2018によると、ランダムな過渡的/永続的ハードウェア(HW)故障に関して、電子的および/または電気的エラー(E/E故障)は、ASILのD可用性安全目標を前提として、≧99%のSPFM(Single Point Fault Metric:単一箇所における故障検出率)で、システム内で検知されなければならない。この要件は、最初のエラー検知に関して、個々の制御装置(electronic control unit:ECU)に割り当てることができる。各ECUは、自身のE/E故障を≧99%のSPFMで検知できなければならない。
【0016】
メイン制御装置(1次システム)内で最初の故障が検知された場合、システムは冗長バックアップ制御装置(2次システム)で応答して車両を制御し、EOTTI(Emergency Operation Tolerance Time Interval:緊急操作許容時間間隔)内に最小限のリスクで車両を安全な状態にすることができる。
【0017】
本発明の一態様によれば、モバイルプラットフォームの環境の生成された環境モデルに基づいて出力信号を提供するためのシステムであって、
第1のセンサシステムに信号連結されるように構成されている、出力信号を生成するための第1のサブシステムと、
第1のセンサシステムに信号連結されるように構成されている、出力信号を生成するための第2のサブシステムであって、第2のサブシステムは、第1のサブシステムの機能を冗長的に提供するように構成されている、第2のサブシステムと、
出力信号を生成するための第3のサブシステムであって、第3のサブシステムは、第2のセンサシステムに信号連結されるように構成されており、
第3のサブシステムは、第1のサブシステムおよび/または第2のサブシステムの機能を冗長的に提供するように構成されている、第3のサブシステムと、
第1のサブシステムの出力部と、第2のサブシステムの出力部と、第3のサブシステムの出力部とに信号連結されている第1の比較システムと、
第1のサブシステムの出力部と、第2のサブシステムの出力部と、第3のサブシステムの出力部とに信号連結されている第2の比較システムと、を備え、
第1の比較システムおよび第2の比較システムは信号連結されており、
第1の比較システムおよび/または第2の比較システムは、第1のサブシステムのエラーおよび/または第2のサブシステムのエラーおよび/または第3のサブシステムのエラーのうちの少なくとも1つのエラーを検知し、かつ/またはそれぞれのエラーのあるサブシステムを識別するように構成されているシステム、が提案される。
第1のセンサシステムに信号連結されるように構成されている、出力信号を生成するための第1のサブシステムと、
第1のセンサシステムに信号連結されるように構成されている、出力信号を生成するための第2のサブシステムであって、第2のサブシステムは、第1のサブシステムの機能を冗長的に提供するように構成されている、第2のサブシステムと、
出力信号を生成するための第3のサブシステムであって、第3のサブシステムは、第2のセンサシステムに信号連結されるように構成されており、
第3のサブシステムは、第1のサブシステムおよび/または第2のサブシステムの機能を冗長的に提供するように構成されている、第3のサブシステムと、
第1のサブシステムの出力部と、第2のサブシステムの出力部と、第3のサブシステムの出力部とに信号連結されている第1の比較システムと、
第1のサブシステムの出力部と、第2のサブシステムの出力部と、第3のサブシステムの出力部とに信号連結されている第2の比較システムと、を備え、
第1の比較システムおよび第2の比較システムは信号連結されており、
第1の比較システムおよび/または第2の比較システムは、第1のサブシステムのエラーおよび/または第2のサブシステムのエラーおよび/または第3のサブシステムのエラーのうちの少なくとも1つのエラーを検知し、かつ/またはそれぞれのエラーのあるサブシステムを識別するように構成されているシステム、が提案される。
【0018】
一態様によれば、出力信号が、後置接続されたシステムの制御のための任意の信号であってもよく、および/または、モバイルプラットフォームの環境の環境モデルであってもよく、および/または、特にモバイルプラットフォームのルート計画から得られる軌道であってもよく、および/または、アクチュエータシステムまたはアクチュエータシステムの個々のアクチュエータによって軌道を走行するためのモバイルプラットフォームの制御信号であってもよい。
【0019】
換言すれば、それぞれのサブシステムの出力信号は、後続の処理システムに提供される一般的な信号であってよい。
一態様によれば、第1の比較システムおよび/または第2の比較システムが、第1のサブシステムのエラーまたは第2のサブシステムのエラーまたは第3のサブシステムのエラーを検知し、それぞれのエラーのあるサブシステムを識別するように構成されていることが提案される。
一態様によれば、第1の比較システムおよび/または第2の比較システムが、第1のサブシステムのエラーまたは第2のサブシステムのエラーまたは第3のサブシステムのエラーを検知し、それぞれのエラーのあるサブシステムを識別するように構成されていることが提案される。
【0020】
一態様によれば、第1の比較システムおよび/または第2の比較システムが、第1のサブシステムの少なくとも1つのエラー、および/または第1のサブシステムとは無関係であり、非類似である第2のサブシステムの少なくとも1つのエラー、および/または第1のサブシステムおよび第2のサブシステムとは無関係であり、非類似である第3のサブシステムの少なくとも1つのエラーを検知するように構成されていることが提案される。
【0021】
一態様によれば、第1の比較システムおよび/または第2の比較システムが、第1のサブシステムの非可用性および/または第2のサブシステムの非可用性および/または第3のサブシステムの非可用性を検知し、それぞれの非可用サブシステムを識別するように構成されていることが提案される。
【0022】
特に、記述されたシステムは、サブシステムの故障に関して可能な限りフォールトトレラントであるために、冗長センサシステム、および/または冗長制御装置、すなわち、第1の電子制御ユニットおよび第2の電子制御ユニットのような1次システムおよび2次システムとしてのメイン制御装置およびバックアップ制御装置、および/または冗長アクチュエータ、および/またはアクチュエータと各制御装置との間の冗長通信、を用いて構成することができる。
【0023】
有利には、このシステムは、3つのサブシステムのうち1つのサブシステムの故障、特に、少なくとも部分自動運転システム(ADS:Automated Driving Systems)で使用する場合に特に必要とされる可能性のあるランダムなハードウェアの故障に対してフォールトトレラントである。
【0024】
これは、システムが第1のエラーを検知し、それぞれのエラーシナリオに応じて、追加的に第2のエラーを検知するように構成されているためである。
出力信号を提供する記述されたシステムは、機能の可用性と比較して、第1のエラーの診断カバー率を最適化する。一般的に、エラー検知には常に検知機構が必要である。これらの検知機構は、特定のエラーモードに対する必要な診断カバー率の要件が増加するにつれてより複雑になる。しかし、このような診断機構は、それ自体がランダムなハードウェアエラーにさらされるため、エラーの偽陽性検知を引き起こす可能性がある。したがって、一般的に、診断カバー率が上がると、ランダムなハードウェアエラーの確率が高くなる。
出力信号を提供する記述されたシステムは、機能の可用性と比較して、第1のエラーの診断カバー率を最適化する。一般的に、エラー検知には常に検知機構が必要である。これらの検知機構は、特定のエラーモードに対する必要な診断カバー率の要件が増加するにつれてより複雑になる。しかし、このような診断機構は、それ自体がランダムなハードウェアエラーにさらされるため、エラーの偽陽性検知を引き起こす可能性がある。したがって、一般的に、診断カバー率が上がると、ランダムなハードウェアエラーの確率が高くなる。
【0025】
ある機能を有するシステムの可用性が失われる(=利用不可能になる)確率は、その機能が利用可能である確率P(FV)に対する式
【0026】
【数1】
【0027】
例えば、メイン機能ブロックに対して冗長的な比較システムを備え、メイン機能ブロックの機能の一致を比較システムで検査する比較機能ブロックを用いてメイン機能ブロックの正しい機能が特定されるCPUロックステップの故障確率は、メイン機能ブロックと比較システムのエラー率に加えて、比較機能ブロックも偽陽性エラー率を有するため、このCPUロックステップのシステム全体の故障確率を2倍以上増加させる可能性がある。
【0028】
さらに、フォールトトレラントシステムでは、第2の発生エラーも考慮する必要がある。このような冗長サブシステムを備えるシステムにおいて、緊急操作許容時間間隔(EOTTI)内に第2のエラーが発生する場合、それ以上の安全要素が存在しないため、システムは車両を安全に制御することができなくなる。
【0029】
この事実は、第2の故障が検知可能かどうかとは無関係である。
換言すれば、特に第2のエラーもカバーする必要がある場合、診断のカバー率が高いと、冗長サブシステムを備える制御装置の可用性が低くなる可能性がある。
換言すれば、特に第2のエラーもカバーする必要がある場合、診断のカバー率が高いと、冗長サブシステムを備える制御装置の可用性が低くなる可能性がある。
【0030】
したがって、可用性目標に関しては、高い検知カバー率以外の解決策が必要となる。これは、第2のエラーの検知率を高めることは、さらなる労力を意味し、ひいては第2のエラーの確率を高めることになるためである。これは、緊急操作許容時間間隔(EOTTI)中のシステム故障リスクの増大につながる。したがって、第2のエラー検知カバー率が上がるほど、安全性とシステムの可用性が低下する。
【0031】
したがって、出力信号を提供するためのここに記述されたシステムは、特に第2のエラーの検知に関して、二重冗長アーキテクチャを備えるシステムに比べて利点を有する。
二重冗長アーキテクチャでは、2つの独立したシステムブランチ、または2つの独立したECU(electronic control unit:電子制御ユニット)を備えるシステムが構成され、各システムブランチは2つの冗長機能ブロックを備える。このアーキテクチャでは、冗長機能ブロックの出力信号が各システムブランチで比較されて、エラーのある場合、すなわち出力信号が一致しない場合に、該当するシステムブランチのスイッチが切断される。もう一方のシステムブランチが正常に動作している場合、二重冗長アーキテクチャにより、第1の電気的および/または電子的(E/E)エラーを、結果を比較することで検知し、第2のシステムブランチで補償することができる。このために、2つのシステムブランチはそれぞれ独立したCPU上で作動させることができる。
二重冗長アーキテクチャでは、2つの独立したシステムブランチ、または2つの独立したECU(electronic control unit:電子制御ユニット)を備えるシステムが構成され、各システムブランチは2つの冗長機能ブロックを備える。このアーキテクチャでは、冗長機能ブロックの出力信号が各システムブランチで比較されて、エラーのある場合、すなわち出力信号が一致しない場合に、該当するシステムブランチのスイッチが切断される。もう一方のシステムブランチが正常に動作している場合、二重冗長アーキテクチャにより、第1の電気的および/または電子的(E/E)エラーを、結果を比較することで検知し、第2のシステムブランチで補償することができる。このために、2つのシステムブランチはそれぞれ独立したCPU上で作動させることができる。
【0032】
このような二重冗長アーキテクチャを備える制御装置は、エラーが検出された場合にフェールサイレント機構で反応し、システムの出力信号が提供されるアクチュエータへの通信を停止し、一方で、制御装置の残りのシステムブランチは、さらなるエラーに対して引き続き高い検知率を有するが、出力信号を提供するためのここに記述されたシステムとは対照的に、第2のエラーをもはや補償することができず、第2の故障の確率は減少しない。
【0033】
特に、出力信号を提供するためのここに記述されたシステムは、システムの劣化につながり得るシステム内の第1の電気的エラーおよび/または電子的エラー(E/Eエラー)の確率を大幅に低減することができる。
【0034】
このような第1の電気的エラーおよび/または電子的エラーは、例えば、緊急車線での停止など、リスクを最小限に抑えた車両操縦の実行を引き起こす可能性がある。
すなわち、記述されたシステムは、システム内の第1の電気的エラーおよび/または電子的エラー(E/Eエラー)それぞれに対して高い検知カバー率(SPFM)を可能にする。EOTTI中の第2のエラーに対するそのような残りの検知カバー率は、出力信号を提供するためのここに記述されたシステムにおいて、多くのエラーシナリオに対して依然として高い可能性がある。
すなわち、記述されたシステムは、システム内の第1の電気的エラーおよび/または電子的エラー(E/Eエラー)それぞれに対して高い検知カバー率(SPFM)を可能にする。EOTTI中の第2のエラーに対するそのような残りの検知カバー率は、出力信号を提供するためのここに記述されたシステムにおいて、多くのエラーシナリオに対して依然として高い可能性がある。
【0035】
ここで、第2のエラーを検知するシステムの性能は、記述されたシステムのどこの部分で第1のエラーが発生したかに依存する。特に、第1のエラーが、例えば第3のサブシステムおよび/または第2の比較システムにおいて発生した場合、あるいは、それぞれ第1の電子制御ユニットの部分である第1のサブシステムまたは第2のサブシステムにおいて発生した場合、第2のエラーに対する高い検知カバー率が維持される。
【0036】
第1のエラーが、例えば第1の電子制御ユニットの電源または第1の比較システムにおいて発生した場合、第2のエラーに対して低減したエラー検知率は、依然として、追加のハードウェアエラー検知機構を介して達成することができる。
【0037】
EOTTI(emergency operation tolerance time interval:緊急操作許容時間間隔)中に第2のエラーに対する検知範囲が残っていることで、安全目標の違反につながる可能性がある、EOTTI中にシステムが使用できなくなる確率が大幅に減少する。
【0038】
このシステムは、例えば二重冗長自律運転システム(ADS)のコンピュートセットアーキテクチャよりもハードウェアコンポーネントが少ないため、ハードウェアコンポーネントのコストを大幅に削減することができる。
【0039】
稼働させるハードウェアコンポーネントが少ないため、システムのエネルギー消費量を大幅に削減することができ、これによりCO2排出量を削減し、電気自動車の航続距離が伸びる結果となり、冷却システムの負荷を減らすことができる。さらに、このように構成されているシステムは、ハードウェアコンポーネントの数が少ないため、重量を有利に低減することができる。
【0040】
一態様によれば、第1のサブシステム、第2のサブシステム、および第1の比較システムが第1の電子制御ユニットの一部であり、第3のサブシステムおよび第2の比較システムが第2の電子制御ユニットの一部であることが提案される。
【0041】
有利には、記述されたシステムのための2つの比較システムは、可用性の点で単一障害点SPOFを回避するために、第1の電子制御ユニットと第2の電子制御ユニット、すなわちそれぞれの「比較、選択、無効化」機構を分割することができる。
【0042】
一態様によれば、第1の電子制御ユニットの電力が第1の電源によって提供され、第2の電子制御ユニットの電力が第2の電源によって提供され、第1の電源および第2の電源は、第1の電源の電力を第2の電源の電力から独立して提供するように設定されていることが提案される。これにより、システムをよりフォールトトレラントに、より高い可用性を備えるようにすることができる。
【0043】
一態様によれば、第1のセンサシステムが第2のセンサシステムと同様であることが提案される。ここで、第1のセンサシステムおよび/または第2のセンサシステムは、複数のセンサを有していてもよい。
【0044】
一態様によれば、第2のセンサシステムが第1のセンサシステムに対する冗長センサシステムであることが提案される。第1のセンサシステムが第2のセンサシステムに対して冗長的である場合、出力信号を提供するためのシステムは、より可用性が高くなり、よりフォールトトレラントとすることができる。
【0045】
一態様によれば、第1の電源を備える第1の電子制御ユニットが、出力信号を提供するためのシステムがフォールトトレラントで高い可用性を備えるように、対応して設定および構成されている第2の電源を備える第2の電子制御ユニットと協働するように設定および構成されていることが提案される。
【0046】
一態様によれば、第1の比較システムおよび第2の比較システムが、それぞれのサブシステムによる環境モデルの決定時における第1のサブシステムのエラーおよび/または第2のサブシステムのエラーおよび/または第3のサブシステムのエラーを検知するように設定されていることが提案される。
【0047】
これは、有利には、サブシステムの対応する出力信号を互いに比較することによって達成することができる。
一態様によれば、第1の比較システムが、それぞれ識別された第1のサブシステムおよび/または第2のサブシステムおよび/または第3のサブシステムにおいて検知されたエラーに応じて、選択的に、第1のサブシステムの出力信号または第2のサブシステムの出力信号をアクチュエータシステムに提供するように設定されていることが提案される。
一態様によれば、第1の比較システムが、それぞれ識別された第1のサブシステムおよび/または第2のサブシステムおよび/または第3のサブシステムにおいて検知されたエラーに応じて、選択的に、第1のサブシステムの出力信号または第2のサブシステムの出力信号をアクチュエータシステムに提供するように設定されていることが提案される。
【0048】
このようにして、サブシステムの1つにエラーがあっても、それ自体は冗長的に設計することができるアクチュエータシステムに、有効な出力信号を提供することができる。
一態様によれば、第1の比較システムが、それぞれ識別された第1のサブシステムおよび/または第2のサブシステムおよび/または第3のサブシステムにおいて検知されたエラーに応じて、第1のサブシステムの出力信号および第2のサブシステムの出力信号をアクチュエータシステムに提供するように設定されていることが提案される。
一態様によれば、第1の比較システムが、それぞれ識別された第1のサブシステムおよび/または第2のサブシステムおよび/または第3のサブシステムにおいて検知されたエラーに応じて、第1のサブシステムの出力信号および第2のサブシステムの出力信号をアクチュエータシステムに提供するように設定されていることが提案される。
【0049】
このようにして、サブシステムの1つにエラーがあっても、それ自体は冗長的に設計することができるアクチュエータシステムに、有効な出力信号を提供することができる。
第1のサブシステムの出力信号または第2のサブシステムの出力信号を、検知されたエラーに応じてアクチュエータシステムに提供するために、第1の比較システムは、第1のサブシステムのまたは第2のサブシステムの出力信号を提供するために、スイッチおよび/または切換スイッチと、スイッチ切換えまたは切換えのために信号連結することができる。このために、第1のサブシステムの出力信号および第2のサブシステムの出力信号は、入力信号として切換スイッチに提供することができ、切換スイッチは、第1の比較システムによってスイッチ切換えすることができ、切換スイッチの出力信号は、アクチュエータシステムへの出力部に信号連結されているスイッチへ入力信号として提供することができる。
第1のサブシステムの出力信号または第2のサブシステムの出力信号を、検知されたエラーに応じてアクチュエータシステムに提供するために、第1の比較システムは、第1のサブシステムのまたは第2のサブシステムの出力信号を提供するために、スイッチおよび/または切換スイッチと、スイッチ切換えまたは切換えのために信号連結することができる。このために、第1のサブシステムの出力信号および第2のサブシステムの出力信号は、入力信号として切換スイッチに提供することができ、切換スイッチは、第1の比較システムによってスイッチ切換えすることができ、切換スイッチの出力信号は、アクチュエータシステムへの出力部に信号連結されているスイッチへ入力信号として提供することができる。
【0050】
一態様によれば、第2の比較システムが、それぞれ識別された第1のサブシステムおよび/または第2のサブシステムおよび/または第3のサブシステムにおける検知されたエラーに応じて、第3のサブシステムの出力信号をアクチュエータシステムに提供するように設定されていることが提案される。
【0051】
このようにして、第1の比較システムが第1のサブシステムおよび第2のサブシステムの出力信号をシステムの出力部、特にアクチュエータシステムに提供することができなくなった場合でも、有効な出力信号をシステムの出力部、例えばアクチュエータシステムに提供することができる。
【0052】
第2の比較システムは、第3のサブシステムの出力信号をアクチュエータシステムに提供するために、スイッチ切換え用のさらなるスイッチに信号連結することができ、検知されたエラーに応じて第3のサブシステムの出力信号をアクチュエータシステムに提供することができる。このために、第3のサブシステムの出力信号は、入力信号としてさらなるスイッチに提供されてもよく、さらなるスイッチは、第2の比較システムによってスイッチ切換えされ、さらなるスイッチの出力信号は、入力信号としてアクチュエータシステムへの出力部に信号連結されてもよい。
【0053】
一態様によれば、出力信号を提供するためのシステムが、
- 第1のセンサシステムの信号を提供するための第1の入力部と、
- 第2のセンサシステムの信号を提供するための第2の入力部と、
- 第1の演算装置と、を備え、第1の演算装置は、第1のサブシステムおよび/または第2のサブシステムによって、出力信号および/またはモバイルプラットフォームの環境の環境モデルを生成するように設定されている、
ことが提案される。
- 第1のセンサシステムの信号を提供するための第1の入力部と、
- 第2のセンサシステムの信号を提供するための第2の入力部と、
- 第1の演算装置と、を備え、第1の演算装置は、第1のサブシステムおよび/または第2のサブシステムによって、出力信号および/またはモバイルプラットフォームの環境の環境モデルを生成するように設定されている、
ことが提案される。
【0054】
さらに、出力信号を提供するためのシステムが、第2の演算装置を有し、第2の演算装置は、第3のサブシステムによって、出力信号および/またはモバイルプラットフォームの環境の環境モデルを生成するように設定されている。
【0055】
さらに、出力信号を提供するためのシステムが、第1の演算装置の制御信号をアクチュエータシステムおよび/または後続システムに提供するための第1の出力部と、第2の演算装置の制御信号をアクチュエータシステムおよび/または後続システムに提供するための第2の出力部と、を備え、第1の演算装置は、第1の出力部に第1のサブシステムの出力信号または第2のサブシステムの出力信号を選択的に提供するための第1の比較システムを有する。出力信号を提供するためのシステムの第2の演算装置は、出力信号を提供するためのシステムの第2の出力部に第3のサブシステムの出力信号を選択的に提供するための第2の比較システムを有する。
【0056】
一態様によれば、第1の演算装置および/または第2の演算装置が、1つまたは複数のシステムオンチップを有していてもよい。
特に、第1の演算装置が、第1のサブシステムおよび第2のサブシステムの機能を提供するためにそれぞれシステムオンチップを有していてもよく、第2の演算装置は、第3のサブシステムの機能を提供するためにさらなるシステムオンチップを有していてもよい。
特に、第1の演算装置が、第1のサブシステムおよび第2のサブシステムの機能を提供するためにそれぞれシステムオンチップを有していてもよく、第2の演算装置は、第3のサブシステムの機能を提供するためにさらなるシステムオンチップを有していてもよい。
【0057】
一態様によれば、出力信号が、後置接続されたシステムを制御するための任意の信号であってもよく、および/または、モバイルプラットフォームの環境の環境モデルであってもよく、および/または、特にモバイルプラットフォームのルート計画から得られる軌道であってもよく、および/または、アクチュエータシステムまたはアクチュエータシステムの個々のアクチュエータによって軌道を走行するためのモバイルプラットフォームの制御信号であってもよい。
【0058】
出力信号を提供するための上述のシステムのうちの1つを有する車両で使用するための制御装置が提案される。
このような制御装置は、さらなる機能を有していてもよい。
このような制御装置は、さらなる機能を有していてもよい。
【0059】
有利には、このような制御装置を用いると、システムを、特に運転自動化レベル3+、4および5(SAE J3016)の自動運転システムなど、異なるモバイルプラットフォームに容易に統合することができる。
【0060】
モバイルプラットフォーム、特に上述の制御装置を有する少なくとも部分的に自動化された車両が提案される。
有利には、このように装備されたモバイルプラットフォームは、出力信号を提供するための上述のシステムの全ての利点を実現することができる。
有利には、このように装備されたモバイルプラットフォームは、出力信号を提供するための上述のシステムの全ての利点を実現することができる。
【0061】
モバイルプラットフォームの環境の環境モデルを生成するための上述のシステムの使用が提案される。
モバイルプラットフォームは、移動可能である少なくとも部分的に自動化されたシステム、および/または車両の運転支援システムであると理解することができる。例としては、少なくとも部分的に自動化された車両または運転支援システムを備える車両が考えられる。すなわち、この文脈では、少なくとも部分的に自動化されたシステムは、少なくとも部分的に自動化された機能に関連するモバイルプラットフォームを含むが、モバイルプラットフォームには、運転支援システムを含む車両および他の移動機械も含まれる。モバイルプラットフォームの他の例としては、複数のセンサを備える運転支援システム、ロボット掃除機や芝刈り機のようなマルチセンサ移動ロボット、マルチセンサ監視システム、製造機械、パーソナルアシスタント、またはアクセス制御システムが考えられる。これらのシステムは、それぞれ完全または部分的に自動化されたシステムとすることができる。
モバイルプラットフォームは、移動可能である少なくとも部分的に自動化されたシステム、および/または車両の運転支援システムであると理解することができる。例としては、少なくとも部分的に自動化された車両または運転支援システムを備える車両が考えられる。すなわち、この文脈では、少なくとも部分的に自動化されたシステムは、少なくとも部分的に自動化された機能に関連するモバイルプラットフォームを含むが、モバイルプラットフォームには、運転支援システムを含む車両および他の移動機械も含まれる。モバイルプラットフォームの他の例としては、複数のセンサを備える運転支援システム、ロボット掃除機や芝刈り機のようなマルチセンサ移動ロボット、マルチセンサ監視システム、製造機械、パーソナルアシスタント、またはアクセス制御システムが考えられる。これらのシステムは、それぞれ完全または部分的に自動化されたシステムとすることができる。
【図面の簡単な説明】
【0062】
本発明の実施例を、図1を参照して記述し、以下により詳細に説明する。
【図1】出力信号を提供するためのシステムである。
【図2】出力信号を提供するためのシステムにおける部分的な故障の例である。
【図3】出力信号を提供するためのシステムにおける部分的な故障のさらなる例である。
【発明を実施するための形態】
【0063】
図1は、モバイルプラットフォームの環境の生成された環境モデルに基づいて出力信号を提供するためのシステムを有する、特に、例えば車両などのモバイルプラットフォームで使用するための制御装置を概略的に示す。制御装置は、モバイルプラットフォームの環境の環境モデルを生成するために使用することができる。出力信号は、後置接続されたシステムを制御するための、および/または、モバイルプラットフォームの環境の環境モデルに対する、および/または、特にモバイルプラットフォームのルート計画から得られる軌道に対する任意の信号であってもよく、および/または、アクチュエータシステムまたはアクチュエータシステムの個々のアクチュエータによって軌道を走行するためのモバイルプラットフォームに対する制御信号であってもよい。
【0064】
システム100は、出力信号の生成に適しており、第1のセンサシステム102に信号連結されるように構成されている第1のサブシステム110を含む。
さらに、システム100は、第1のセンサシステム102に信号連結されるように構成されている、出力信号を生成するための第2のサブシステム120を含む。第2のサブシステム120は、第1のサブシステム110の機能を冗長的に提供するように構成されている。
さらに、システム100は、第1のセンサシステム102に信号連結されるように構成されている、出力信号を生成するための第2のサブシステム120を含む。第2のサブシステム120は、第1のサブシステム110の機能を冗長的に提供するように構成されている。
【0065】
さらに、システム100は、第2のセンサシステム104に信号連結されるように構成されている、出力信号を生成するための第3のサブシステム130を含む。
第3のサブシステム130は、第1のサブシステム110および/または第2のサブシステム120の機能を冗長的に提供するように構成されている。
第3のサブシステム130は、第1のサブシステム110および/または第2のサブシステム120の機能を冗長的に提供するように構成されている。
【0066】
代替的または追加的に、第1および第2のサブシステム110、120は、第2のセンサシステム104に信号連結されてもよく、および/または、第3のサブシステム130は、第1のセンサシステム102に信号連結されてもよく、特に、第1のセンサシステム102は、第2のセンサシステム104に対して冗長的であってもよい。第1のセンサシステム102および第2のセンサシステム104は、それぞれ複数のセンサシステムを含んでもよい。
【0067】
代替的または追加的に、第1のセンサシステム102は、第2のセンサシステム104と同様であってもよい。
さらに、システム100は、第1のサブシステム110の出力部と、第2のサブシステム120の出力部と、第3のサブシステム130の出力部とに信号連結されている第1の比較システム210を含む。
さらに、システム100は、第1のサブシステム110の出力部と、第2のサブシステム120の出力部と、第3のサブシステム130の出力部とに信号連結されている第1の比較システム210を含む。
【0068】
システム100の第2の比較システム220は、第1のサブシステム110の出力部と、第2のサブシステム120の出力部と、第3のサブシステム130の出力部とに信号連結されている。
【0069】
第1の比較システム210および第2の比較システム220は、図1から図3において比較システム間の二重矢印で示されているように、特に、それぞれの比較システム210、220の対応する比較結果を提供するために信号連結され、第1の比較システム210および第2の比較システム220は、第1のサブシステム110の少なくとも1つのエラーおよび/または第2のサブシステム120のエラーおよび/または第3のサブシステム130のエラーを検知し、特に、それぞれエラーのあるサブシステム110、120、130を識別するように構成されている。
【0070】
エラー、特にランダムハードウェア故障エラーを検知するために、第1のサブシステム110、第2のサブシステム120、および第3のサブシステム130の冗長的に計算された出力信号を比較することができる。記載された第1の比較システム210と、記載された第2の比較システム220とのこのような比較によって、エラーが発生したそれぞれのサブシステムをさらに明確に識別することができる。
【0071】
このエラー検知とエラー位置特定により、故障が発生したサブシステムを個別に停止させることができるが、出力信号の冗長的な提供のために2つの冗長サブシステムを維持することができるため、さらなるエラーを検出することができる。
【0072】
出力信号の比較自体は、例えば数学的なチェックサム検査による単純な「ビットイコール」比較とすることができ、代替的または追加的に、出力信号の比較はより複雑にしてもよい。
【0073】
出力信号の計算時におけるそれぞれのサブシステムとの中間比較ステップは、エラーを検知するための待ち時間自体を短縮することができる。中間比較は、検知機構の有効性を証明するための労力を削減し、診断カバー率を向上させることができる。
【0074】
換言すれば、第2のサブシステム120は、第1の比較システム210とともに、第1のサブシステム110および/または第3のサブシステム130のための第1の検出およびバックアップシステム125として理解することができる。対応して、第3のサブシステム130は、第2の比較システム220とともに、第1のサブシステム110および/または第2のサブシステム120のための第2の検出およびバックアップシステム135として理解することができる。
【0075】
第1のサブシステム110、第2のサブシステム120、および第1の比較システム210は、第1の電子制御ユニット410の一部である。
第3のサブシステム130および第2の比較システム220は、第2の電子制御ユニット420の一部である。特に、2つの比較システム210、220の、第1の電子制御ユニットおよび第2の電子制御ユニットへの分割、すなわちそれぞれの「比較、選択、無効化」機構への分割は、可用性に関する単一障害点が回避されるように行うことができる。
第3のサブシステム130および第2の比較システム220は、第2の電子制御ユニット420の一部である。特に、2つの比較システム210、220の、第1の電子制御ユニットおよび第2の電子制御ユニットへの分割、すなわちそれぞれの「比較、選択、無効化」機構への分割は、可用性に関する単一障害点が回避されるように行うことができる。
【0076】
システム100のフェールセーフ性を高めるために、第1の電子制御ユニット410のための電力は第1の電源610によって提供され、第2の電子制御ユニット420のための電力は第2の電源620によって提供される。第1の電源610と第2の電源620は、互いに独立して電力を提供するように設定されている。特に、第1の電源610および第2の電源620は、冗長アクチュエータを含んでもよいアクチュエータシステム500に、フェールセーフ性を高めるそれぞれ冗長的なアクチュエータに応じて、冗長的に電力を供給することができる。
【0077】
第1の電源610を備える第1の電子制御ユニット410が、第2の電源620を備え、対応して設定および構成されている第2の電子制御ユニット420と高い可用性を備えて相互作用するように設定および構成されていることで、出力信号を提供するためのシステムは、これら2つの電源610、620によりフォールトトレラントかつ高い可用性を備えて設計することができる。
【0078】
それぞれ識別された第1のサブシステム110および/または第2のサブシステム120および/または第3のサブシステム130において検知されたエラーに応じて、第1のサブシステム110の出力信号または第2のサブシステム120の出力信号を、システム100の出力部415のアクチュエータシステム500に選択的に提供するように、第1の比較システム210は、第1の比較システム210が信号連結される切換スイッチ310を備えて設定されている。
【0079】
さらに、それぞれ識別された第1のサブシステム110および/または第2のサブシステム120および/または第3のサブシステム130において検知されたエラーに応じて、第1のサブシステム110の出力信号および第2のサブシステム120の出力信号を、「フェールサイレント機構」に対応して、システム100の出力部415のアクチュエータシステム500に提供するように、第1の比較システム210は、第1の比較システム210が信号連結されるスイッチ320を備えて設定されている。
【0080】
さらに、それぞれ識別された第1のサブシステム110および/または第2のサブシステム120および/または第3のサブシステム130において検知されたエラーに応じて、第3のサブシステム130の出力信号を、「フェールサイレント機構」に対応して、システム100の出力部425のアクチュエータシステム500に提供するように、第2の比較システム220は、第2の比較システム220が信号連結されるスイッチ330を備えて設定されている。
【0081】
図2は、第1のサブシステム110にエラーが発生した場合に、システム100が、第1のサブシステム110の出力信号の代わりにアクチュエータシステム500に提供するために、切換スイッチ310に作用する第1の比較システム210によって、第2のサブシステム120の冗長的に決定された出力信号をシステム100の出力部415に接続する方法を概略的に示す。
【0082】
このために、第1の比較システム210は、第1のサブシステム110、第2のサブシステム120、および第3のサブシステム130の出力信号を比較し、エラー、特にランダムなハードウェア故障エラーを検知すると、第2のサブシステム120の出力信号がシステム100の出力部415に提供されるように切換スイッチ310を切り換える。
【0083】
第1の比較システム210によって3つのサブシステム110、120、130を比較することにより、エラーを検知するだけでなく、エラーを3つのサブシステム110、120、130の対応するサブシステムにおいて識別することもできる。
【0084】
このエラー検知およびエラー位置特定により、出力信号を提供し第2のエラーを検知するための2つの冗長サブシステム、すなわち第2のサブシステム120および第3のサブシステム130を保持したまま、該当するエラーまたは故障を有するサブシステムを個別に停止することができる。
【0085】
換言すれば、3つの独立した計算トレースの比較に基づいて、3つのサブシステム110、120、130におけるランダムなハードウェア故障に関して、第1の故障を有する計算トレースを一意的に識別することができる。
【0086】
エラー検知とエラー位置特定により、故障したレーン(計算トレース)または該当するサブシステム110、120、130は、アクチュエータへの両方の冗長通信チャネルを同時に失うことなく、個別にスイッチを切断することができる。
【0087】
すなわち、システム100では、第1のエラーの発生後、EOTTI内の第2の故障に対して高い検出範囲が残ることを意味する。
図3は、第1の電源610にエラーまたは故障が発生した場合、および/または第1の比較システム210にエラーが発生した場合の、システム100のEOTTI内の第2の故障に対する低減された検出範囲を概略的に示す。
図3は、第1の電源610にエラーまたは故障が発生した場合、および/または第1の比較システム210にエラーが発生した場合の、システム100のEOTTI内の第2の故障に対する低減された検出範囲を概略的に示す。
【0088】
これらの場合、第1の比較システム210は、第1のサブシステム110または第2のサブシステム120から、アクチュエータシステム500のためのシステム100の出力部415に出力信号が提供されないように、スイッチ320を停止する
第2の比較システム220は、電源610のエラーおよび第1の比較システム210のエラーの両方を検知および識別するように構成および設定されており、第2の比較システム220が信号連結されているスイッチ330によって、第3のサブシステム130の出力信号を、アクチュエータシステム500に提供するためにシステム100の出力部425に切り換える。
第2の比較システム220は、電源610のエラーおよび第1の比較システム210のエラーの両方を検知および識別するように構成および設定されており、第2の比較システム220が信号連結されているスイッチ330によって、第3のサブシステム130の出力信号を、アクチュエータシステム500に提供するためにシステム100の出力部425に切り換える。
【図1】
【図2】
【図3】
【手続補正書】
【提出日】2024-03-22
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
モバイルプラットフォームの環境の生成された環境モデルに基づいて出力信号を提供するためのシステム(100)であって、第1のセンサシステム(102)に信号連結されるように構成されている、出力信号を生成するための第1のサブシステム(110)と、
前記第1のセンサシステム(102)に信号連結されるように構成されている、出力信号を生成するための第2のサブシステム(120)であって、前記第2のサブシステム(120)は、前記第1のサブシステム(110)の機能を冗長的に提供するように構成されている、第2のサブシステム(120)と、
出力信号を生成するための第3のサブシステム(130)であって、前記第3のサブシステムは、第2のセンサシステム(104)に信号連結されるように構成されており、
前記第3のサブシステム(130)は、前記第1のサブシステム(110)および/または前記第2のサブシステム(120)の機能を冗長的に提供するように構成されている、第3のサブシステム(130)と、
前記第1のサブシステムの出力部と、前記第2のサブシステムの出力部と、前記第3のサブシステムの出力部とに信号連結されている第1の比較システム(210)と、
前記第1のサブシステムの前記出力部と、前記第2のサブシステムの前記出力部と、前記第3のサブシステムの前記出力部とに信号連結されている第2の比較システム(220)と、を備え、
前記第1の比較システム(210)および前記第2の比較システム(220)が信号連結されており、
前記第1の比較システム(210)および/または前記第2の比較システム(220)は、前記第1のサブシステム(110)のエラーおよび/または前記第2のサブシステム(120)のエラーおよび/または前記第3のサブシステム(130)のエラーのうちの少なくとも1つのエラーを検知し、かつ/またはそれぞれのエラーのある前記サブシステム(110、120、130)を識別するように構成されている、
システム(100)。
【請求項2】
前記第1のサブシステム(110)、前記第2のサブシステム(120)、および前記第1の比較システム(210)が、第1の電子制御ユニット(410)の一部であり、前記第3のサブシステム(130)および前記第2の比較システム(220)が、第2の電子制御ユニット(420)の一部である、請求項1に記載のシステム(100)。
【請求項3】
前記第1の電子制御ユニット(410)の電力が第1の電源(610)によって提供され、前記第2の電子制御ユニット(420)の電力が第2の電源(620)によって提供され、前記第1の電源(610)および前記第2の電源(620)は、前記第1の電源(610)の電力を前記第2の電源(620)の電力から独立して提供するように設定されている、請求項2に記載のシステム(100)。
【請求項4】
前記第1のセンサシステム(102)が前記第2のセンサシステム(104)と同様である、請求項1に記載のシステム(100)。
【請求項5】
前記第2のセンサシステム(104)が前記第1のセンサシステム(102)に対する冗長センサシステムである、請求項1に記載のシステム(100)。
【請求項6】
前記第1の電源(610)を備える前記第1の電子制御ユニット(410)が、出力信号を提供するための前記システムがフォールトトレラントで高い可用性を備えるように、対応して設定および構成されている前記第2の電源(620)を備える第2の電子制御ユニット(420)と協働するように設定および構成されている、請求項1に記載のシステム(100)。
【請求項7】
前記第1の比較システム(210)および前記第2の比較システム(220)が、前記それぞれのサブシステム(110、120、130)による環境モデルの決定時における前記第1のサブシステム(110)のエラーおよび/または前記第2のサブシステム(120)のエラーおよび/または前記第3のサブシステム(130)のエラーを検知するように設定されている、請求項1に記載のシステム(100)。
【請求項8】
前記第1の比較システム(210)が、それぞれ識別された前記第1のサブシステム(110)および/または前記第2のサブシステム(120)および/または前記第3のサブシステム(130)において検知されたエラーに応じて、選択的に、前記第1のサブシステム(110)の出力信号または前記第2のサブシステム(120)の出力信号をアクチュエータシステム(500)に提供するように設定されている、請求項1に記載のシステム(100)。
【請求項9】
前記第1の比較システム(210)が、それぞれ識別された前記第1のサブシステム(110)および/または前記第2のサブシステム(120)および/または前記第3のサブシステム(130)において検知されたエラーに応じて、前記第1のサブシステム(110)の出力信号および前記第2のサブシステム(120)の出力信号を前記アクチュエータシステム(500)に提供するように設定されている、請求項1に記載のシステム(100)。
【請求項10】
前記第2の比較システム(220)が、それぞれ識別された前記第1のサブシステム(110)および/または前記第2のサブシステム(120)および/または前記第3のサブシステム(130)において検知されたエラーに応じて、前記第3のサブシステム(130)の出力信号を前記アクチュエータシステム(500)に提供するように設定されている、請求項1に記載のシステム(100)。
【請求項11】
- 前記第1のセンサシステム(102)の信号を提供するための第1の入力部と、- 前記第2のセンサシステム(104)の信号を提供するための第2の入力部と、
- 第1の演算装置であって、前記第1の演算装置は、前記第1のサブシステム(110)および/または前記第2のサブシステム(120)によって、前記モバイルプラットフォームの環境の環境モデルを生成するように設定されている、第1の演算装置と、
- 第2の演算装置であって、前記第2の演算装置は、前記第3のサブシステム(130)によって、前記モバイルプラットフォームの環境の環境モデルを生成するように設定されている、第2の演算装置と、
- 前記第1の演算装置の制御信号を前記アクチュエータシステム(500)に提供するための第1の出力部(415)と、
- 前記第2の演算装置の制御信号を前記アクチュエータシステム(500)に提供するための第2の出力部(425)と、を備え、
前記第1の演算装置が、前記第1の出力部(415)に前記第1のサブシステム(110)の出力信号または前記第2のサブシステム(120)の出力信号を選択的に提供するための前記第1の比較システム(210)を有し、
前記第2の演算装置は、前記第2の出力部(425)に前記第3のサブシステム(130)の出力信号を選択的に提供するための前記第2の比較システム(220)を有する、
請求項に記載のシステム(100)。
【請求項12】
請求項11に記載のシステムを有する車両で使用するための制御装置。
【請求項13】
請求項12に記載の制御装置を有する少なくとも部分的に自動化されたモバイルプラットフォーム、特に、車両。
【請求項14】
モバイルプラットフォームの環境の環境モデルを生成するための、請求項1に記載のシステムの使用。【国際調査報告】