-
Stand der Technik
-
Die Erfindung betrifft ein Fehler-tolerantes Datenverarbeitungssystem zum Generieren eines sicheren Verhaltens eines automatisiert betreibbaren Fahrzeugs. Das hier in Rede stehende Datenverarbeitungssystem umfasst dafür mindestens zwei Hardwaremodule, die in einem redundanten Betriebsmodus dazu genutzt werden, unabhängig voneinander jeweils Ergebnisse für eine vorgegebene Aufgabe zu generieren.
-
Typische Aufgaben aus dem Bereich des automatisierten Fahrens sind die Bildung eines Umfeldmodells für die aktuelle Verkehrsszene, die Prädiktion von möglichen Entwicklungen der aktuellen Verkehrsszene, insbesondere die Prädiktion des Verhaltens der einzelnen Verkehrsteilnehmer, und die Bestimmung von Trajektorien für das EGO-Fahrzeug, die dann durch entsprechende Ansteuerung der Aktuatorik des EGO-Fahrzeugs abgefahren werden können. Für all diese Aufgaben müssen in kürzester Zeit große Datenmengen aus unterschiedlichen Datenquellen, wie Sensordaten, Karteninformationen, Positionsdaten, etc., verarbeitet und fusioniert werden. Dafür ist eine hohe Rechenleistung erforderlich.
-
Ausgangspunkt der vorliegenden Erfindung ist ein Datenverarbeitungssystem 10 mit einer Sicherheitsarchitektur, wie in 1 dargestellt. Demnach umfasst das Datenverarbeitungssystem 10 zwei Hardwaremodule A und A' zur Bearbeitung weitestgehend gleicher Teile einer vorgegebenen Aufgabe, z.B. einer Objekterkennung im Rahmen einer Umfeldmodellbildung. Die beiden Hardwaremodule A und A' werden hier dazu genutzt, unabhängig voneinander jeweils Ergebnisse für die vorgegebene Aufgabe zu generieren. Dazu läuft auf jedem der beiden Hardwaremodule A und A' eine entsprechende Software SWA und SWA'. Bei fehlerfreiem Betrieb sollten die beiden Hardwaremodule A und A' also redundante Ergebnisse für die vorgegebene Aufgabe liefern.
-
Das Datenverarbeitungssystem 10 umfasst ferner ein Kombinationsmodul B, das die Ergebnisse der beiden Hardwaremodule A und A' zusammenführt und vergleicht, was Rückschlüsse auf die Fehlersicherheit der Ergebnisse ermöglicht. Die hier dargestellte Sicherheitsarchitektur des Datenverarbeitungssystems 10 stellt also zwei unabhängige Hardware/Software-Zweige A/SWA und A'/SWA' zur parallelen Bearbeitung einer Aufgabe zur Verfügung, um durch geeignete Kombination der unabhängig voneinander gewonnenen Ergebnisse die Sicherheit des Gesamtsystems gegen Hardware-bedingte Fehler zu erhöhen.
-
Im einfachsten Fall sind beiden Hardwaremodule A und A' identisch konfiguriert und auf beiden Hardwaremodulen A und A' wird die identische Software zur Bearbeitung der vorgegebenen Aufgabe genutzt. In diesem Fall benötigen beide Zweige A/SWA und A'/SWA' des Datenverarbeitungssystems 10 identische Eingangsdaten Input A = Input A' und liefern bei fehlerfreiem Betrieb identische Ergebnisse.
Die Fehlersicherheit des Gesamtsystems könnte aber auch dadurch erhöht werden, dass die vorgegebene Aufgabe in den beiden Zweigen A/SWA und A'/SWA' des Datenverarbeitungssystems 10 auf unterschiedliche Weise bearbeitet wird. Handelt es sich bei der vorgegebenen Aufgabe beispielsweise um eine Objekterkennung, dann könnte im einen Zweig A/SWA eine Objekterkennung auf Basis von LIDAR-, RADAR- und Kameradaten vorgenommen werden, während im anderen Zweig A'/SWA' ausschließlich LIDAR-Daten zur Objekterkennung genutzt werden. In diesem Fall werden in den beiden Zweigen A/ASW und A'/SWA' also unterschiedliche Auswertealgorithmen verwendet, die auch unterschiedliche Eingangsdaten Input A # Input A' benötigen. Trotzdem sollten die beiden Zweige A/SWA und A'/SWA' bei fehlerfreiem Betrieb zu denselben Ergebnissen kommen, so dass eine Redundanz zur Erhöhung der Fehlersicherheit gegeben ist.
-
Das Beispiel der Objekterkennung veranschaulicht, dass die beiden Hardwaremodule A und A' nicht unbedingt identisch konfiguriert sein müssen. Insbesondere wenn die vorgegebene Aufgabe in den beiden Zweigen A/SWA und A'/SWA' mit unterschiedlichen Ansätzen bearbeitet wird, können sich die beiden Hardwaremodule A und A' in ihrer Prozessorausstattung, Speicherkapazität, Schnittstellen, etc. deutlich unterscheiden.
-
Im Rahmen der voranstehend beschriebenen redundanten Sicherheitsarchitektur werden die Rechenleistungen und Kapazitäten der beiden Hardwaremodule A und A' für weitgehend gleiche Teile einer vorgegebenen Aufgabe verwendet, um bestimmte Sicherheitsanforderungen für diese Aufgabe zu erfüllen, beispielsweise gemäß ASIL (Automotive Safety Integrity Level), den von ISO 26262 spezifizierten Sicherheitsanforderungsstufen für sicherheitsrelevante Systeme in Kraftfahrzeugen.
-
In der Praxis kann es jedoch zu Situationen kommen, in denen an die Stelle der ursprünglichen Aufgabe eine neue Aufgabe mit anderen Sicherheitsanforderungen tritt, die aber eine wesentlich höhere Rechenleistung in kürzester Zeit erfordert als die ursprüngliche Aufgabe. Als Beispiel sei hier eine „Pre-Crash-Situation“ genannt. Damit wird eine Situation bezeichnet, in der die Umgebungssituation als kritisch eingeschätzt wird, beispielsweise weil das EGO-Fahrzeug einen räumlichen und/oder zeitlichen Mindestabstand zu einem anderen Verkehrsteilnehmer unterschritten hat oder sehr wahrscheinlich unterschreiten wird. Eine solche Situation erfordert eine schnelle Reaktion und ein Ausweichmanöver, um eine Kollision zu vermeiden oder zumindest abzumildern. In dieser Situation hat die Berechnung einer geeigneten NotfallTrajektorie oberste Priorität. Die Sicherheitsanforderung dieser Situation kann auch ohne die voranstehend beschriebene Dopplung erfüllt werden.
-
Die voranstehend beschriebene Sicherheitsarchitektur bietet keine Möglichkeit, die vorhandenen Hardware-Resourcen dynamisch, d.h. angepasst an die jeweilige Situation und Aufgabe, zur Verfügung zu stellen. Diese Sicherheitsarchitektur sieht immer eine redundante bzw. parallele Bearbeitung der jeweiligen Aufgabe vor.
-
Offenbarung der Erfindung
-
Mit der vorliegenden Erfindung wird vorgeschlagen, die Hardware-Resourcen eines Datenverarbeitungssystems mit einer redundanten Sicherheitsarchitektur dynamisch zu nutzen. Erfindungsgemäß sollen die Hardwaremodule, die im Standardfall redundant genutzt werden, um die Sicherheitsanforderungen der jeweiligen Aufgabe zu erfüllen, in bestimmten Situationen und Konstellationen unter Erfüllung einer für diese Situation unterschiedlichen Sicherheitsanforderung auch anderweitig genutzt werden können.
-
Dies wird erfindungsgemäß dadurch erreicht, dass das fehler-tolerante Datenverarbeitungssystem in mindestens zwei unterschiedlichen Betriebsmodi betreibbar ist, nämlich in einem redundanten und in mindestens einem komplementären Betriebsmodus. Der jeweils aktuelle Betriebsmodus wird mit Hilfe einer Schaltkomponente des erfindungsgemäßen Datenverarbeitungssystems vorgegeben. Während die mindestens zwei Hardwaremodule im redundanten Betriebsmodus dazu genutzt werden, unabhängig voneinander jeweils Ergebnisse für eine vorgegebene Aufgabe zu generieren, werden die mindestens zwei Hardwaremodule in dem mindestens einen komplementären Betriebsmodus dazu genutzt, Ergebnisse für jeweils unterschiedliche Teilaufgaben zu generieren.
-
Bei den Teilaufgaben des komplementären Betriebsmodus kann es sich um Teilaufgaben der vorgegebenen Aufgabe des redundanten Betriebsmodus handeln oder auch um Teilaufgaben einer anderen, neuen Gesamtaufgabe des komplementären Betriebsmodus. Wesentlich ist, dass die mindestens zwei Hardwaremodule in einem komplementären Betriebsmodus nicht zur Bearbeitung ein und derselben Aufgabe genutzt werden, sondern zur Bearbeitung von unterschiedlichen Teilaufgaben, deren Ergebnisse zu einem Gesamtergebnis zusammengeführt werden. In einem komplementären Betriebsmodus werden die mindestens zwei Hardwarekomponenten also möglichst redundanzfrei genutzt, indem die Teilaufgaben in geeigneter Weise definiert und auf die mindestens zwei Hardwarekomponenten verteilt werden. Dadurch kann eine gegebene Aufgabe umfangreicher oder schneller als im redundanten Betriebsmodus bearbeitet werden, da in gleicher Zeit eine größere Datenmenge bearbeitet werden kann bzw. eine vorgegebene Datenmenge in kürzerer Zeit bearbeitet werden kann.
-
An dieser Stelle sei ausdrücklich darauf hingewiesen, dass das erfindungsgemäße Datenverarbeitungssystem grundsätzlich mehrere unterschiedliche komplementäre Betriebsmodi vorsehen kann, die jeweils für unterschiedliche Ausnahmesituationen bzw. -konstellationen konfiguriert sein können. Dies wird nachfolgend in Verbindung mit der Beschreibung der Ausführungsbeispiele nochmals verdeutlicht. Des Weiteren kann das erfindungsgemäße Datenverarbeitungssystem auch mehrere unterschiedliche redundante Betriebsmodi vorsehen, wenn es über mehr als zwei Hardwaremodule verfügt, die wahlweise redundant oder komplementär genutzt werden können. In diesen Fällen könnten unterschiedliche redundante Betriebsmodi durch unterschiedliche Kombinationen von redundanten und/oder komplementären Hardwaremodulen realisiert werden.
-
Des Weiteren sei angemerkt, dass die Schaltkomponente im Kontext der vorliegenden Erfindung funktional definiert ist. Da sie bevorzugt Software-basiert realisiert wird, kann sie im Unterschied zu den mindestens zwei Hardwaremodulen nicht eindeutig im erfindungsgemäßen Datenverarbeitungssystem lokalisiert werden.
-
In einer vorteilhaften Weiterbildung des erfindungsgemäßen Datenverarbeitungssystems überwacht die Schaltkomponente mindestens eine Umschaltbedingung für einen Wechsel zwischen jeweils zwei unterschiedlichen Betriebsmodi und bewirkt einen Wechsel zwischen diesen beiden Betriebsmodi, wenn die mindestens eine Umschaltbedingung erfüllt ist. Dazu könnte die Schaltkomponente beispielsweise in Form eines Zustandsautomaten realisiert sein, dessen Zustände durch die unterschiedlichen Betriebsmodi des Datenverarbeitungssystems gebildet werden. Die Übergänge zwischen diesen Zuständen werden dann durch die jeweiligen Umschaltbedingungen beschrieben. Eine derartige Schaltkomponente kann auch einfach mehrere Umschaltbedingungen überwachen und so den Wechsel zwischen mehreren möglichen Betriebsmodi steuern. Als Umschaltbedingung könnte beispielsweise die Detektion bzw. Erkennung eines unvorhergesehenen Ereignisses oder einer Notsituation fungieren. Auch der Ausfall oder eine Störung von einzelnen Sensorkomponenten, die Daten für die Umfeldmodellbildung liefern, könnte als Umschaltbedingung definiert sein.
-
Die im redundanten Betriebsmodus vorgegebene Aufgabe und die unterschiedlichen Teilaufgaben des mindestens einen komplementären Betriebsmodus sind bevorzugt in Form von entsprechenden Softwaremodulen auf den mindestens zwei Hardwaremodulen implementiert. Diese Softwaremodule werden dann in Abhängigkeit vom jeweils aktuellen Betriebsmodus abgearbeitet. Dies kann einfach dadurch erreicht werden, dass die Schaltkomponente zur Vorgabe des aktuellen Betriebsmodus einen entsprechenden Entscheidungsparameter setzt, der an einer Programmverzweigungen abgefragt wird, so dass nur die Softwaremodule des jeweils aktuellen Betriebsmodus abgearbeitet werden.
-
Wie bereits voranstehend angedeutet, muss sichergestellt werden, dass den im aktuellen Betriebsmodus abzuarbeitenden Softwaremodulen auf den jeweiligen Hardwaremodulen alle erforderlichen Eingangsdaten zur Verfügung stehen. Vorteilhafterweise erfolgt dies ebenfalls mit Hilfe der Schaltkomponente. So könnte das Setzen eines Entscheidungsparameters zur Vorgabe des aktuellen Betriebsmodus auch das Zuweisen der für den aktuellen Betriebsmodus erforderlichen Eingangsdaten zu den jeweiligen Hardwaremodulen triggern.
-
In einer besonders vorteilhaften Ausführungsform umfasst das erfindungsgemäße Datenverarbeitungssystem mindestens ein Kombinationsmodul zur Kombination der Ergebnisse der jeweiligen Hardwaremodule. Im redundanten Betriebsmodus führt dieses Kombinationsmodul die unabhängig voneinander generierten Ergebnisse für die vorgegebene Aufgabe zusammen, was der Erhöhung der Fehlersicherheit des Systems dient. Im komplementären Betriebsmodus führt es die von den einzelnen Hardwaremodulen generierten Ergebnisse für die unterschiedlichen Teilaufgaben zu einem Gesamtergebnis zusammen, und zwar zu einem Gesamtergebnis für diejenige Aufgabe, die dem komplementären Betriebsmodus zugrunde liegt.
-
In einer Weiterbildung der Erfindung umfasst das Datenverarbeitungssystem neben den mindestens zwei redundant nutzbaren Hardwaremodulen mindestens ein weiteres Hardwaremodul, dem in mindestens einem komplementären Betriebsmodus eine weitere Teilaufgabe zugewiesen werden kann, so dass das weitere Hardwaremodul in diesem komplementären Betriebsmodus dazu genutzt wird, Teilergebnisse für die zugrundeliegende Gesamtaufgabe zu generieren. Dadurch lässt sich der Funktionsumfang bzw. die Leistungsfähigkeit des Datenverarbeitungssystems in mindestens einem komplementären Betriebsmodus noch über die Rechenkapazität der redundant nutzbaren Hardwarekomponenten erweitern.
-
In einer bevorzugten Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems ist die Schaltkomponente dazu ausgelegt, den Eintritt und das Ende einer Fehler-/Ausfallsituation zu erkennen. Diese Fehler-/Ausfallsituation könnte sich auf einzelne Sensorkomponenten, also Datenquellen für die Umfeldmodellbildung, beziehen aber auch auf andere Software oder Hardwarekomponenten des Gesamtsystems zum Generieren eines sicheren Verhaltens eines automatisiert betreibbaren Fahrzeugs. Die Schaltkomponente ist hier ferner dazu ausgelegt, bei Eintritt einer Fehler-/Ausfallsituation einen Wechsel von einem redundanten Betriebsmodus in einen komplementären Betriebsmodus zu bewirken und bei Ende der Fehler-/Ausfallsituation einen Wechsel vom komplementären Betriebsmodus in einen redundanten Betriebsmodus zu bewirken.
-
In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems ist die Schaltkomponente dazu ausgelegt, den Eintritt und das Ende einer Ausnahmesituation, insbesondere einer Pre-Crash Situation, eines Minimum Risk Manövers und/oder einer Notbremsung zu erkennen. In diesem Fall bewirkt die Schaltkomponente bei Eintritt der Ausnahmesituation einen Wechsel von einem redundanten Betriebsmodus in einen komplementären Betriebsmodus und bei Ende der Ausnahmesituation einen Wechsel vom komplementären Betriebsmodus in einen redundanten Betriebsmodus.
-
Zeichnungen
-
- 1 veranschaulicht die Sicherheitsarchitektur eines Datenverarbeitungssystems 10 gemäß dem Stand der Technik.
- 2 veranschaulicht die Systemarchitektur eines erfindungsgemäßen Datenverarbeitungssystems 20.
- 3 veranschaulicht eine Variante der in 2 dargestellten Systemarchitektur.
- 4 veranschaulicht einen redundanten Betriebsmodus und einen komplementären Betriebsmodus eines erfindungsgemäßen Datenverarbeitungssystems.
-
Beschreibung von Ausführungsbeispielen
-
Die Systemarchitektur des in 2 dargestellten Datenverarbeitungssystems 20 basiert auf der aus dem Stand der Technik bekannten Sicherheitsarchitektur des Datenverarbeitungssystems 10, welches eingangs in Verbindung mit 1 erläutert wurde. Das Datenverarbeitungssystem 20 umfasst ebenfalls zwei Hardwaremodule A und A', die aber im Unterschied zum Datenverarbeitungssystem 10 in zwei unterschiedlichen Betriebsmodi 1 oder 2 genutzt werden können. In einem ersten, redundanten Betriebsmodus 1 werden die beiden Hardwaremodule A und A' dazu genutzt, für eine vorgegebene Aufgabe unabhängig voneinander jeweils Ergebnisse zu generieren, um so die Sicherheit des Systems gegen Hardware-bedingte Fehler zu erhöhen. Der redundante Betriebsmodus 1 entspricht der Realisierung des Datenverarbeitungssystems 10. Im zweiten, komplementären Betriebsmodus 2 bearbeitet jede der beiden Hardwaremodule A und A' nur einen Teil einer Gesamtaufgabe, und zwar unterschiedliche Teile, so dass sich die Ergebnisse der einzelnen Hardwaremodule A und A' ergänzen und zu einem Gesamtergebnis beitragen. Eine Redundanz der Teilergebnisse wird im komplementären Betriebsmodus 2 nicht angestrebt.
-
Das Datenverarbeitungssystem 20 umfasst des Weiteren eine Schaltkomponente 3, die den jeweils aktuellen Betriebsmodus 1 oder 2 vorgibt. Dazu überwacht die Schaltkomponente 3 im hier beschriebenen Ausführungsbeispiel zwei Umschaltbedingungen I und II für einen Wechsel zwischen den Betriebsmodi 1 und 2. Befindet sich das System im redundanten Betriebsmodus 1, so überwacht die Schaltkomponente 3 die erste Umschaltbedingung I für den Wechsel in den komplementären Betriebsmodus 2. Für den Wechsel aus dem komplementären Betriebsmodus 2 zurück in den redundanten Betriebsmodus 1 überwacht die Schaltkomponente 3 die zweite Umschaltbedingung II. Die Schaltkomponente 3 bewirkt immer dann, aber auch nur dann, einen Wechsel zwischen den Betriebsmodi 1 und 2, wenn die jeweils relevante, überwachte Umschaltbedingung I oder II erfüllt ist. Das dafür erforderliche Einwirken der Schaltkomponente 3 auf die Hardwaremodule A und A' wird in 2 durch entsprechende Pfeile zwischen diesen Komponenten angedeutet.
Die Funktionsweise der Schaltkomponente 3 entspricht der eines Zustandsautomaten, dessen Zustandsdiagramm 30 in der linken Hälfte von 2 dargestellt ist. Die beiden Betriebsmodi 1und 2 bilden die Zustände 1 und 2 und die Übergänge I und II zwischen diesen Zuständen 1 und 2 werden durch die Umschaltbedingungen I und II beschrieben.
-
Im Ausführungsbeispiel der 2 wird außerdem mit Hilfe der Schaltkomponente 3 sichergestellt, dass den jeweiligen Hardwaremodulen A und A' alle erforderlichen Eingangsdaten für den jeweils aktuellen Betriebsmodus 1 oder 2 zur Verfügung stehen. Dafür umfasst das Datenverarbeitungssystem 20 ein Schnittstellenmodul 4, das über die Schaltkomponente 3 angesteuert wird und das die Eingangsdaten 5 des Systems in Abhängigkeit vom jeweils aktuellen Betriebsmodus 1 oder 2 entweder an beide Hardwaremodulen A und A' weiterleitet (redundanter Betriebsmodus 1) oder auf die beiden Hardwaremodule A und A' entsprechend den jeweiligen Teilaufgaben verteilt (komplementärer Betriebsmodus 2).
-
Des Weiteren umfasst das Datenverarbeitungssystem 20 noch ein Kombinationsmodul C, das ebenfalls von der Schaltkomponente 3 angesteuert wird, so dass es in den unterschiedlichen Betriebsmodi 1 und 2 auch unterschiedliche Funktionen wahrnimmt. Im redundanten Betriebsmodus 1 führt es einen Vergleich und ggf. eine Auswahl der unabhängig voneinander generierten Ergebnisse für die vorgegebene Aufgabe durch und trägt so zur Erhöhung der Fehlersicherheit des Systems bei. Im komplementären Betriebsmodus führt es die von den einzelnen Hardwarekomponenten A und A' generierten Ergebnisse für die unterschiedlichen Teilaufgaben zusammen und generiert daraus ein Gesamtergebnis für die dem komplementären Betriebsmodus zugrunde liegende Aufgabe.
-
Das Datenverarbeitungssystem 20 könnte beispielsweise im Rahmen einer Trajektorienplanung eingesetzt werden. Dazu werden alle zur Verfügung stehenden Umfelddaten ausgewertet, um ein Umfeldmodell von der aktuellen Verkehrsszene zu generieren. Diese Umfelddaten bilden die Eingangsdaten 5 des Systems. Eine Aufgabe Im Rahmen der Umfeldmodellbildung ist die Objekterkennung. Die Hardwarekomponenten A und A' sollen hier beide für diese Aufgabe genutzt werden, um redundante Ergebnisse für die Objekterkennung zu generieren. Deshalb werden im redundanten Betriebsmodus 1 auf beiden Hardwarekomponenten A und A' parallel und unabhängig voneinander Softwaremodule abgearbeitet, die eine Objekterkennung auf Basis der Eingangsdaten 5 vornehmen. Dabei stellt das Schnittstellenmodul 4 sicher, dass den jeweiligen Softwaremodulen auch die erforderlichen Eingangsdaten 5 zur Verfügung stehen. Das Kombinationsmodul C vergleicht dann die Ergebnisse der beiden Berechnungszweige.
-
Gleichzeitig überwacht die Schaltkomponente 3, ob eine „Pre-Crash Situation“ vorliegt, d.h. ob ein räumlicher oder zeitlicher Mindestabstand zu einem anderen Teilnehmer der Verkehrsszene unterschritten wird. Sollte eine derartige Ausnahmesituation eintreten und beide Hardwaremodule A und A' voll funktionsfähig sein, dann bewirkt die Schaltkomponente 3 einen Wechsel vom redundanten Betriebsmodus in einen komplementären Betriebsmodus 2. Dazu setzt sie einen entsprechenden Entscheidungsparameter, der sowohl vom Schnittstellenmodul 4 als auch von den Hardwaremodulen A und A' als auch vom Kombinationsmodul C abgefragt wird.
-
Aufgabe des komplementären Betriebsmodus 2 könnte es sein, eine Notfalltrajektorie für ein Ausweichmanöver zu berechnen. Diese neue Aufgabe wird mit Hilfe von entsprechenden Softwaremodulen abgearbeitet, die auf die beiden Hardwarekomponenten A und A' verteilt sind und jeweils nur einen Teil der Aufgabe bearbeiten, also nur Teilergebnisse liefern. Die Teilergebnisse werden dann mit Hilfe des Kombinationsmoduls C zu einem Gesamtergebnis zusammengeführt. Durch diese Arbeitsteilung wird eine höhere Performance erreicht, beispielsweise eine kürzere Zykluszeit, wodurch Latenzen und Reaktionszeiten verkürzt werden.
-
Alternativ oder auch zusätzlich zu der voranstehend beschriebenen Umschaltbedingung könnte die Schaltkomponente 3 auch überwachen, ob ein sogenanntes Minimum Risk Manöver oder eine Notbremsung eingeleitet wird, und dies als Bedingung für das Umschalten in einen weiteren komplementären Betriebsmodus werten. In diesem Fall könnte das System in dem weiteren komplementären Betriebsmodus die Situation in einem höheren Takt von wenigen ms analysieren, während die Minimum Risk- bzw. Notbremsungs-Trajektorie umgesetzt wird, um ggf. eine verbesserte Trajektorie zu ermitteln und zu triggern.
-
3 illustriert ein Ausführungsbeispiel der Erfindung, bei dem mehrere Steuergerätmodule A, D und E in einem Primärsteuergerät 31 eines Fahrzeugs integriert sind. Dabei ist das Steuergerätmodul A aufgrund der ASIL Einstufung durch ein weiteres Steuergerät A' redundant ausgelegt. Kommt das Fahrzeug nun in einen Fahrzustand, in dem eine niedrigere ASIL Einstufung ohne Redundanz zulässig ist, wie beispielsweise in eine bedrohliche Pre-Crash Situation, dann können die vorher redundanten Systeme A und A' in einem komplementären Betriebsmodus so verwendet werden, dass sie sich eine neue gemeinsame Rechenaufgabe teilen. Auch die weiteren Steuergerätmodule D und E, die im redundanten Betriebsmodus beispielsweise für nicht sicherheitsrelevante Funktionen zuständig sind, können im komplementären Betriebsmodus zur Bearbeitung von Teilen der neuen gemeinsamen Rechenaufgabe hinzugezogen werden, um die Performance deutlich zu verbessern. Im Anwendungsbeispiel könnte die Rechenleistung eines herkömmlichen Systems mit redundanten Steuergerätmodulen A und A' durch ein System mit den Steuergerätmodulen A+D+E+A` im komplementären Betriebsmodus um mehr als das Doppelte erhöht werden, um ggf. einen drohenden Unfall zu mindern oder zu vermeiden.
-
Die linke Bildhälfte von 4 illustriert den redundanten Betriebsmodus eines erfindungsgemäßen Datenverarbeitungssystems mit zwei Hardwaremodule A und A', während die rechte Bildhälfte einen komplementären Betriebsmodus veranschaulicht.
Im redundanten Betriebsmodus liefern zwei Sensoreinheiten 41 und 42 jeweils beiden Hardwaremodulen A und A' Sensordaten. Beide Hardwaremodule A und A' verarbeiten diese Sensordaten unabhängig voneinander und generieren so bei fehlerfreiem Betrieb redundante Ergebnisse für eine vorgegebene Aufgabe, beispielsweise im Rahmen der Umfeldmodellbildung. Fällt eine Sensoreinheit aus oder verfügt kurzfristig über ein zu niedriges Confidence Level, hier die Sensoreinheit 41, so triggert dies im vorliegenden Ausführungsbeispiel das Umschalten in den in der rechten Bildhälfte dargestellten komplementären Betriebsmodus. Die beiden Hardwaremodule werden hier nun beide dazu genutzt, die Sensordaten der verbleibenden Sensoreinheit 42 zu verarbeiten und auszuwerten. Durch diese sich ergänzende Nutzung der Hardwaremodule A und A' kann der Ausfall der Sensoreinheit 41 und der dadurch bedingte Wegfall der Sensorredundanz durch die deutlich höhere Performance hinsichtlich Berechnungszyklen, Verarbeitung der Abtastwerte, etc. des Gesamtsystems zumindest teilweise kompensiert werden, um die Sicherheit des Systems zu erhöhen, zumindest bis die Sensorredundanz wiederhergestellt ist.
-
Die voranstehend erörterten Ausführungsbeispiele veranschaulichen, dass erfindungsgemäße Datenverarbeitungssysteme die Vorteile einer redundanten Sicherheitsarchitektur nutzen, aber in bestimmten Situationen auch auf einen möglichst redundanzfreien Betrieb umschalten können, um so die technische Kapazität aller Komponenten möglichst weitgehen zu nutzen.