DE102022213178A1 - Fehler-tolerantes Datenverarbeitungssystem - Google Patents

Fehler-tolerantes Datenverarbeitungssystem Download PDF

Info

Publication number
DE102022213178A1
DE102022213178A1 DE102022213178.9A DE102022213178A DE102022213178A1 DE 102022213178 A1 DE102022213178 A1 DE 102022213178A1 DE 102022213178 A DE102022213178 A DE 102022213178A DE 102022213178 A1 DE102022213178 A1 DE 102022213178A1
Authority
DE
Germany
Prior art keywords
operating mode
data processing
processing system
complementary
redundant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022213178.9A
Other languages
English (en)
Inventor
Joerg Moennich
Heiko Freienstein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022213178.9A priority Critical patent/DE102022213178A1/de
Priority to US18/522,681 priority patent/US20240190449A1/en
Priority to CN202311671250.3A priority patent/CN118155050A/zh
Publication of DE102022213178A1 publication Critical patent/DE102022213178A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0097Predicting future conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)

Abstract

Vorgeschlagen wird ein Fehler-tolerantes Datenverarbeitungssystem (20) zum Generieren eines sicheren Verhaltens eines automatisiert betreibbaren Fahrzeugs, wobei das Datenverarbeitungssystem (20) mindestens zwei Hardwaremodule (A, A') umfasst, die in einem redundanten Betriebsmodus (1) dazu genutzt werden, unabhängig voneinander jeweils Ergebnisse für eine vorgegebene Aufgabe zu generieren.Erfindungsgemäß ist mindestens ein komplementärer Betriebsmodus (2) vorgesehen, in dem die mindestens zwei Hardwaremodule (A, A') dazu genutzt werden, Ergebnisse für jeweils unterschiedliche Teilaufgaben zu generieren. Außerdem ist mindestens eine Schaltkomponente (3) zum Vorgeben des jeweils aktuellen Betriebsmodus (1; 2) vorgesehen.

Description

  • Stand der Technik
  • Die Erfindung betrifft ein Fehler-tolerantes Datenverarbeitungssystem zum Generieren eines sicheren Verhaltens eines automatisiert betreibbaren Fahrzeugs. Das hier in Rede stehende Datenverarbeitungssystem umfasst dafür mindestens zwei Hardwaremodule, die in einem redundanten Betriebsmodus dazu genutzt werden, unabhängig voneinander jeweils Ergebnisse für eine vorgegebene Aufgabe zu generieren.
  • Typische Aufgaben aus dem Bereich des automatisierten Fahrens sind die Bildung eines Umfeldmodells für die aktuelle Verkehrsszene, die Prädiktion von möglichen Entwicklungen der aktuellen Verkehrsszene, insbesondere die Prädiktion des Verhaltens der einzelnen Verkehrsteilnehmer, und die Bestimmung von Trajektorien für das EGO-Fahrzeug, die dann durch entsprechende Ansteuerung der Aktuatorik des EGO-Fahrzeugs abgefahren werden können. Für all diese Aufgaben müssen in kürzester Zeit große Datenmengen aus unterschiedlichen Datenquellen, wie Sensordaten, Karteninformationen, Positionsdaten, etc., verarbeitet und fusioniert werden. Dafür ist eine hohe Rechenleistung erforderlich.
  • Ausgangspunkt der vorliegenden Erfindung ist ein Datenverarbeitungssystem 10 mit einer Sicherheitsarchitektur, wie in 1 dargestellt. Demnach umfasst das Datenverarbeitungssystem 10 zwei Hardwaremodule A und A' zur Bearbeitung weitestgehend gleicher Teile einer vorgegebenen Aufgabe, z.B. einer Objekterkennung im Rahmen einer Umfeldmodellbildung. Die beiden Hardwaremodule A und A' werden hier dazu genutzt, unabhängig voneinander jeweils Ergebnisse für die vorgegebene Aufgabe zu generieren. Dazu läuft auf jedem der beiden Hardwaremodule A und A' eine entsprechende Software SWA und SWA'. Bei fehlerfreiem Betrieb sollten die beiden Hardwaremodule A und A' also redundante Ergebnisse für die vorgegebene Aufgabe liefern.
  • Das Datenverarbeitungssystem 10 umfasst ferner ein Kombinationsmodul B, das die Ergebnisse der beiden Hardwaremodule A und A' zusammenführt und vergleicht, was Rückschlüsse auf die Fehlersicherheit der Ergebnisse ermöglicht. Die hier dargestellte Sicherheitsarchitektur des Datenverarbeitungssystems 10 stellt also zwei unabhängige Hardware/Software-Zweige A/SWA und A'/SWA' zur parallelen Bearbeitung einer Aufgabe zur Verfügung, um durch geeignete Kombination der unabhängig voneinander gewonnenen Ergebnisse die Sicherheit des Gesamtsystems gegen Hardware-bedingte Fehler zu erhöhen.
  • Im einfachsten Fall sind beiden Hardwaremodule A und A' identisch konfiguriert und auf beiden Hardwaremodulen A und A' wird die identische Software zur Bearbeitung der vorgegebenen Aufgabe genutzt. In diesem Fall benötigen beide Zweige A/SWA und A'/SWA' des Datenverarbeitungssystems 10 identische Eingangsdaten Input A = Input A' und liefern bei fehlerfreiem Betrieb identische Ergebnisse.
    Die Fehlersicherheit des Gesamtsystems könnte aber auch dadurch erhöht werden, dass die vorgegebene Aufgabe in den beiden Zweigen A/SWA und A'/SWA' des Datenverarbeitungssystems 10 auf unterschiedliche Weise bearbeitet wird. Handelt es sich bei der vorgegebenen Aufgabe beispielsweise um eine Objekterkennung, dann könnte im einen Zweig A/SWA eine Objekterkennung auf Basis von LIDAR-, RADAR- und Kameradaten vorgenommen werden, während im anderen Zweig A'/SWA' ausschließlich LIDAR-Daten zur Objekterkennung genutzt werden. In diesem Fall werden in den beiden Zweigen A/ASW und A'/SWA' also unterschiedliche Auswertealgorithmen verwendet, die auch unterschiedliche Eingangsdaten Input A # Input A' benötigen. Trotzdem sollten die beiden Zweige A/SWA und A'/SWA' bei fehlerfreiem Betrieb zu denselben Ergebnissen kommen, so dass eine Redundanz zur Erhöhung der Fehlersicherheit gegeben ist.
  • Das Beispiel der Objekterkennung veranschaulicht, dass die beiden Hardwaremodule A und A' nicht unbedingt identisch konfiguriert sein müssen. Insbesondere wenn die vorgegebene Aufgabe in den beiden Zweigen A/SWA und A'/SWA' mit unterschiedlichen Ansätzen bearbeitet wird, können sich die beiden Hardwaremodule A und A' in ihrer Prozessorausstattung, Speicherkapazität, Schnittstellen, etc. deutlich unterscheiden.
  • Im Rahmen der voranstehend beschriebenen redundanten Sicherheitsarchitektur werden die Rechenleistungen und Kapazitäten der beiden Hardwaremodule A und A' für weitgehend gleiche Teile einer vorgegebenen Aufgabe verwendet, um bestimmte Sicherheitsanforderungen für diese Aufgabe zu erfüllen, beispielsweise gemäß ASIL (Automotive Safety Integrity Level), den von ISO 26262 spezifizierten Sicherheitsanforderungsstufen für sicherheitsrelevante Systeme in Kraftfahrzeugen.
  • In der Praxis kann es jedoch zu Situationen kommen, in denen an die Stelle der ursprünglichen Aufgabe eine neue Aufgabe mit anderen Sicherheitsanforderungen tritt, die aber eine wesentlich höhere Rechenleistung in kürzester Zeit erfordert als die ursprüngliche Aufgabe. Als Beispiel sei hier eine „Pre-Crash-Situation“ genannt. Damit wird eine Situation bezeichnet, in der die Umgebungssituation als kritisch eingeschätzt wird, beispielsweise weil das EGO-Fahrzeug einen räumlichen und/oder zeitlichen Mindestabstand zu einem anderen Verkehrsteilnehmer unterschritten hat oder sehr wahrscheinlich unterschreiten wird. Eine solche Situation erfordert eine schnelle Reaktion und ein Ausweichmanöver, um eine Kollision zu vermeiden oder zumindest abzumildern. In dieser Situation hat die Berechnung einer geeigneten NotfallTrajektorie oberste Priorität. Die Sicherheitsanforderung dieser Situation kann auch ohne die voranstehend beschriebene Dopplung erfüllt werden.
  • Die voranstehend beschriebene Sicherheitsarchitektur bietet keine Möglichkeit, die vorhandenen Hardware-Resourcen dynamisch, d.h. angepasst an die jeweilige Situation und Aufgabe, zur Verfügung zu stellen. Diese Sicherheitsarchitektur sieht immer eine redundante bzw. parallele Bearbeitung der jeweiligen Aufgabe vor.
  • Offenbarung der Erfindung
  • Mit der vorliegenden Erfindung wird vorgeschlagen, die Hardware-Resourcen eines Datenverarbeitungssystems mit einer redundanten Sicherheitsarchitektur dynamisch zu nutzen. Erfindungsgemäß sollen die Hardwaremodule, die im Standardfall redundant genutzt werden, um die Sicherheitsanforderungen der jeweiligen Aufgabe zu erfüllen, in bestimmten Situationen und Konstellationen unter Erfüllung einer für diese Situation unterschiedlichen Sicherheitsanforderung auch anderweitig genutzt werden können.
  • Dies wird erfindungsgemäß dadurch erreicht, dass das fehler-tolerante Datenverarbeitungssystem in mindestens zwei unterschiedlichen Betriebsmodi betreibbar ist, nämlich in einem redundanten und in mindestens einem komplementären Betriebsmodus. Der jeweils aktuelle Betriebsmodus wird mit Hilfe einer Schaltkomponente des erfindungsgemäßen Datenverarbeitungssystems vorgegeben. Während die mindestens zwei Hardwaremodule im redundanten Betriebsmodus dazu genutzt werden, unabhängig voneinander jeweils Ergebnisse für eine vorgegebene Aufgabe zu generieren, werden die mindestens zwei Hardwaremodule in dem mindestens einen komplementären Betriebsmodus dazu genutzt, Ergebnisse für jeweils unterschiedliche Teilaufgaben zu generieren.
  • Bei den Teilaufgaben des komplementären Betriebsmodus kann es sich um Teilaufgaben der vorgegebenen Aufgabe des redundanten Betriebsmodus handeln oder auch um Teilaufgaben einer anderen, neuen Gesamtaufgabe des komplementären Betriebsmodus. Wesentlich ist, dass die mindestens zwei Hardwaremodule in einem komplementären Betriebsmodus nicht zur Bearbeitung ein und derselben Aufgabe genutzt werden, sondern zur Bearbeitung von unterschiedlichen Teilaufgaben, deren Ergebnisse zu einem Gesamtergebnis zusammengeführt werden. In einem komplementären Betriebsmodus werden die mindestens zwei Hardwarekomponenten also möglichst redundanzfrei genutzt, indem die Teilaufgaben in geeigneter Weise definiert und auf die mindestens zwei Hardwarekomponenten verteilt werden. Dadurch kann eine gegebene Aufgabe umfangreicher oder schneller als im redundanten Betriebsmodus bearbeitet werden, da in gleicher Zeit eine größere Datenmenge bearbeitet werden kann bzw. eine vorgegebene Datenmenge in kürzerer Zeit bearbeitet werden kann.
  • An dieser Stelle sei ausdrücklich darauf hingewiesen, dass das erfindungsgemäße Datenverarbeitungssystem grundsätzlich mehrere unterschiedliche komplementäre Betriebsmodi vorsehen kann, die jeweils für unterschiedliche Ausnahmesituationen bzw. -konstellationen konfiguriert sein können. Dies wird nachfolgend in Verbindung mit der Beschreibung der Ausführungsbeispiele nochmals verdeutlicht. Des Weiteren kann das erfindungsgemäße Datenverarbeitungssystem auch mehrere unterschiedliche redundante Betriebsmodi vorsehen, wenn es über mehr als zwei Hardwaremodule verfügt, die wahlweise redundant oder komplementär genutzt werden können. In diesen Fällen könnten unterschiedliche redundante Betriebsmodi durch unterschiedliche Kombinationen von redundanten und/oder komplementären Hardwaremodulen realisiert werden.
  • Des Weiteren sei angemerkt, dass die Schaltkomponente im Kontext der vorliegenden Erfindung funktional definiert ist. Da sie bevorzugt Software-basiert realisiert wird, kann sie im Unterschied zu den mindestens zwei Hardwaremodulen nicht eindeutig im erfindungsgemäßen Datenverarbeitungssystem lokalisiert werden.
  • In einer vorteilhaften Weiterbildung des erfindungsgemäßen Datenverarbeitungssystems überwacht die Schaltkomponente mindestens eine Umschaltbedingung für einen Wechsel zwischen jeweils zwei unterschiedlichen Betriebsmodi und bewirkt einen Wechsel zwischen diesen beiden Betriebsmodi, wenn die mindestens eine Umschaltbedingung erfüllt ist. Dazu könnte die Schaltkomponente beispielsweise in Form eines Zustandsautomaten realisiert sein, dessen Zustände durch die unterschiedlichen Betriebsmodi des Datenverarbeitungssystems gebildet werden. Die Übergänge zwischen diesen Zuständen werden dann durch die jeweiligen Umschaltbedingungen beschrieben. Eine derartige Schaltkomponente kann auch einfach mehrere Umschaltbedingungen überwachen und so den Wechsel zwischen mehreren möglichen Betriebsmodi steuern. Als Umschaltbedingung könnte beispielsweise die Detektion bzw. Erkennung eines unvorhergesehenen Ereignisses oder einer Notsituation fungieren. Auch der Ausfall oder eine Störung von einzelnen Sensorkomponenten, die Daten für die Umfeldmodellbildung liefern, könnte als Umschaltbedingung definiert sein.
  • Die im redundanten Betriebsmodus vorgegebene Aufgabe und die unterschiedlichen Teilaufgaben des mindestens einen komplementären Betriebsmodus sind bevorzugt in Form von entsprechenden Softwaremodulen auf den mindestens zwei Hardwaremodulen implementiert. Diese Softwaremodule werden dann in Abhängigkeit vom jeweils aktuellen Betriebsmodus abgearbeitet. Dies kann einfach dadurch erreicht werden, dass die Schaltkomponente zur Vorgabe des aktuellen Betriebsmodus einen entsprechenden Entscheidungsparameter setzt, der an einer Programmverzweigungen abgefragt wird, so dass nur die Softwaremodule des jeweils aktuellen Betriebsmodus abgearbeitet werden.
  • Wie bereits voranstehend angedeutet, muss sichergestellt werden, dass den im aktuellen Betriebsmodus abzuarbeitenden Softwaremodulen auf den jeweiligen Hardwaremodulen alle erforderlichen Eingangsdaten zur Verfügung stehen. Vorteilhafterweise erfolgt dies ebenfalls mit Hilfe der Schaltkomponente. So könnte das Setzen eines Entscheidungsparameters zur Vorgabe des aktuellen Betriebsmodus auch das Zuweisen der für den aktuellen Betriebsmodus erforderlichen Eingangsdaten zu den jeweiligen Hardwaremodulen triggern.
  • In einer besonders vorteilhaften Ausführungsform umfasst das erfindungsgemäße Datenverarbeitungssystem mindestens ein Kombinationsmodul zur Kombination der Ergebnisse der jeweiligen Hardwaremodule. Im redundanten Betriebsmodus führt dieses Kombinationsmodul die unabhängig voneinander generierten Ergebnisse für die vorgegebene Aufgabe zusammen, was der Erhöhung der Fehlersicherheit des Systems dient. Im komplementären Betriebsmodus führt es die von den einzelnen Hardwaremodulen generierten Ergebnisse für die unterschiedlichen Teilaufgaben zu einem Gesamtergebnis zusammen, und zwar zu einem Gesamtergebnis für diejenige Aufgabe, die dem komplementären Betriebsmodus zugrunde liegt.
  • In einer Weiterbildung der Erfindung umfasst das Datenverarbeitungssystem neben den mindestens zwei redundant nutzbaren Hardwaremodulen mindestens ein weiteres Hardwaremodul, dem in mindestens einem komplementären Betriebsmodus eine weitere Teilaufgabe zugewiesen werden kann, so dass das weitere Hardwaremodul in diesem komplementären Betriebsmodus dazu genutzt wird, Teilergebnisse für die zugrundeliegende Gesamtaufgabe zu generieren. Dadurch lässt sich der Funktionsumfang bzw. die Leistungsfähigkeit des Datenverarbeitungssystems in mindestens einem komplementären Betriebsmodus noch über die Rechenkapazität der redundant nutzbaren Hardwarekomponenten erweitern.
  • In einer bevorzugten Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems ist die Schaltkomponente dazu ausgelegt, den Eintritt und das Ende einer Fehler-/Ausfallsituation zu erkennen. Diese Fehler-/Ausfallsituation könnte sich auf einzelne Sensorkomponenten, also Datenquellen für die Umfeldmodellbildung, beziehen aber auch auf andere Software oder Hardwarekomponenten des Gesamtsystems zum Generieren eines sicheren Verhaltens eines automatisiert betreibbaren Fahrzeugs. Die Schaltkomponente ist hier ferner dazu ausgelegt, bei Eintritt einer Fehler-/Ausfallsituation einen Wechsel von einem redundanten Betriebsmodus in einen komplementären Betriebsmodus zu bewirken und bei Ende der Fehler-/Ausfallsituation einen Wechsel vom komplementären Betriebsmodus in einen redundanten Betriebsmodus zu bewirken.
  • In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Datenverarbeitungssystems ist die Schaltkomponente dazu ausgelegt, den Eintritt und das Ende einer Ausnahmesituation, insbesondere einer Pre-Crash Situation, eines Minimum Risk Manövers und/oder einer Notbremsung zu erkennen. In diesem Fall bewirkt die Schaltkomponente bei Eintritt der Ausnahmesituation einen Wechsel von einem redundanten Betriebsmodus in einen komplementären Betriebsmodus und bei Ende der Ausnahmesituation einen Wechsel vom komplementären Betriebsmodus in einen redundanten Betriebsmodus.
  • Zeichnungen
    • 1 veranschaulicht die Sicherheitsarchitektur eines Datenverarbeitungssystems 10 gemäß dem Stand der Technik.
    • 2 veranschaulicht die Systemarchitektur eines erfindungsgemäßen Datenverarbeitungssystems 20.
    • 3 veranschaulicht eine Variante der in 2 dargestellten Systemarchitektur.
    • 4 veranschaulicht einen redundanten Betriebsmodus und einen komplementären Betriebsmodus eines erfindungsgemäßen Datenverarbeitungssystems.
  • Beschreibung von Ausführungsbeispielen
  • Die Systemarchitektur des in 2 dargestellten Datenverarbeitungssystems 20 basiert auf der aus dem Stand der Technik bekannten Sicherheitsarchitektur des Datenverarbeitungssystems 10, welches eingangs in Verbindung mit 1 erläutert wurde. Das Datenverarbeitungssystem 20 umfasst ebenfalls zwei Hardwaremodule A und A', die aber im Unterschied zum Datenverarbeitungssystem 10 in zwei unterschiedlichen Betriebsmodi 1 oder 2 genutzt werden können. In einem ersten, redundanten Betriebsmodus 1 werden die beiden Hardwaremodule A und A' dazu genutzt, für eine vorgegebene Aufgabe unabhängig voneinander jeweils Ergebnisse zu generieren, um so die Sicherheit des Systems gegen Hardware-bedingte Fehler zu erhöhen. Der redundante Betriebsmodus 1 entspricht der Realisierung des Datenverarbeitungssystems 10. Im zweiten, komplementären Betriebsmodus 2 bearbeitet jede der beiden Hardwaremodule A und A' nur einen Teil einer Gesamtaufgabe, und zwar unterschiedliche Teile, so dass sich die Ergebnisse der einzelnen Hardwaremodule A und A' ergänzen und zu einem Gesamtergebnis beitragen. Eine Redundanz der Teilergebnisse wird im komplementären Betriebsmodus 2 nicht angestrebt.
  • Das Datenverarbeitungssystem 20 umfasst des Weiteren eine Schaltkomponente 3, die den jeweils aktuellen Betriebsmodus 1 oder 2 vorgibt. Dazu überwacht die Schaltkomponente 3 im hier beschriebenen Ausführungsbeispiel zwei Umschaltbedingungen I und II für einen Wechsel zwischen den Betriebsmodi 1 und 2. Befindet sich das System im redundanten Betriebsmodus 1, so überwacht die Schaltkomponente 3 die erste Umschaltbedingung I für den Wechsel in den komplementären Betriebsmodus 2. Für den Wechsel aus dem komplementären Betriebsmodus 2 zurück in den redundanten Betriebsmodus 1 überwacht die Schaltkomponente 3 die zweite Umschaltbedingung II. Die Schaltkomponente 3 bewirkt immer dann, aber auch nur dann, einen Wechsel zwischen den Betriebsmodi 1 und 2, wenn die jeweils relevante, überwachte Umschaltbedingung I oder II erfüllt ist. Das dafür erforderliche Einwirken der Schaltkomponente 3 auf die Hardwaremodule A und A' wird in 2 durch entsprechende Pfeile zwischen diesen Komponenten angedeutet.
    Die Funktionsweise der Schaltkomponente 3 entspricht der eines Zustandsautomaten, dessen Zustandsdiagramm 30 in der linken Hälfte von 2 dargestellt ist. Die beiden Betriebsmodi 1und 2 bilden die Zustände 1 und 2 und die Übergänge I und II zwischen diesen Zuständen 1 und 2 werden durch die Umschaltbedingungen I und II beschrieben.
  • Im Ausführungsbeispiel der 2 wird außerdem mit Hilfe der Schaltkomponente 3 sichergestellt, dass den jeweiligen Hardwaremodulen A und A' alle erforderlichen Eingangsdaten für den jeweils aktuellen Betriebsmodus 1 oder 2 zur Verfügung stehen. Dafür umfasst das Datenverarbeitungssystem 20 ein Schnittstellenmodul 4, das über die Schaltkomponente 3 angesteuert wird und das die Eingangsdaten 5 des Systems in Abhängigkeit vom jeweils aktuellen Betriebsmodus 1 oder 2 entweder an beide Hardwaremodulen A und A' weiterleitet (redundanter Betriebsmodus 1) oder auf die beiden Hardwaremodule A und A' entsprechend den jeweiligen Teilaufgaben verteilt (komplementärer Betriebsmodus 2).
  • Des Weiteren umfasst das Datenverarbeitungssystem 20 noch ein Kombinationsmodul C, das ebenfalls von der Schaltkomponente 3 angesteuert wird, so dass es in den unterschiedlichen Betriebsmodi 1 und 2 auch unterschiedliche Funktionen wahrnimmt. Im redundanten Betriebsmodus 1 führt es einen Vergleich und ggf. eine Auswahl der unabhängig voneinander generierten Ergebnisse für die vorgegebene Aufgabe durch und trägt so zur Erhöhung der Fehlersicherheit des Systems bei. Im komplementären Betriebsmodus führt es die von den einzelnen Hardwarekomponenten A und A' generierten Ergebnisse für die unterschiedlichen Teilaufgaben zusammen und generiert daraus ein Gesamtergebnis für die dem komplementären Betriebsmodus zugrunde liegende Aufgabe.
  • Das Datenverarbeitungssystem 20 könnte beispielsweise im Rahmen einer Trajektorienplanung eingesetzt werden. Dazu werden alle zur Verfügung stehenden Umfelddaten ausgewertet, um ein Umfeldmodell von der aktuellen Verkehrsszene zu generieren. Diese Umfelddaten bilden die Eingangsdaten 5 des Systems. Eine Aufgabe Im Rahmen der Umfeldmodellbildung ist die Objekterkennung. Die Hardwarekomponenten A und A' sollen hier beide für diese Aufgabe genutzt werden, um redundante Ergebnisse für die Objekterkennung zu generieren. Deshalb werden im redundanten Betriebsmodus 1 auf beiden Hardwarekomponenten A und A' parallel und unabhängig voneinander Softwaremodule abgearbeitet, die eine Objekterkennung auf Basis der Eingangsdaten 5 vornehmen. Dabei stellt das Schnittstellenmodul 4 sicher, dass den jeweiligen Softwaremodulen auch die erforderlichen Eingangsdaten 5 zur Verfügung stehen. Das Kombinationsmodul C vergleicht dann die Ergebnisse der beiden Berechnungszweige.
  • Gleichzeitig überwacht die Schaltkomponente 3, ob eine „Pre-Crash Situation“ vorliegt, d.h. ob ein räumlicher oder zeitlicher Mindestabstand zu einem anderen Teilnehmer der Verkehrsszene unterschritten wird. Sollte eine derartige Ausnahmesituation eintreten und beide Hardwaremodule A und A' voll funktionsfähig sein, dann bewirkt die Schaltkomponente 3 einen Wechsel vom redundanten Betriebsmodus in einen komplementären Betriebsmodus 2. Dazu setzt sie einen entsprechenden Entscheidungsparameter, der sowohl vom Schnittstellenmodul 4 als auch von den Hardwaremodulen A und A' als auch vom Kombinationsmodul C abgefragt wird.
  • Aufgabe des komplementären Betriebsmodus 2 könnte es sein, eine Notfalltrajektorie für ein Ausweichmanöver zu berechnen. Diese neue Aufgabe wird mit Hilfe von entsprechenden Softwaremodulen abgearbeitet, die auf die beiden Hardwarekomponenten A und A' verteilt sind und jeweils nur einen Teil der Aufgabe bearbeiten, also nur Teilergebnisse liefern. Die Teilergebnisse werden dann mit Hilfe des Kombinationsmoduls C zu einem Gesamtergebnis zusammengeführt. Durch diese Arbeitsteilung wird eine höhere Performance erreicht, beispielsweise eine kürzere Zykluszeit, wodurch Latenzen und Reaktionszeiten verkürzt werden.
  • Alternativ oder auch zusätzlich zu der voranstehend beschriebenen Umschaltbedingung könnte die Schaltkomponente 3 auch überwachen, ob ein sogenanntes Minimum Risk Manöver oder eine Notbremsung eingeleitet wird, und dies als Bedingung für das Umschalten in einen weiteren komplementären Betriebsmodus werten. In diesem Fall könnte das System in dem weiteren komplementären Betriebsmodus die Situation in einem höheren Takt von wenigen ms analysieren, während die Minimum Risk- bzw. Notbremsungs-Trajektorie umgesetzt wird, um ggf. eine verbesserte Trajektorie zu ermitteln und zu triggern.
  • 3 illustriert ein Ausführungsbeispiel der Erfindung, bei dem mehrere Steuergerätmodule A, D und E in einem Primärsteuergerät 31 eines Fahrzeugs integriert sind. Dabei ist das Steuergerätmodul A aufgrund der ASIL Einstufung durch ein weiteres Steuergerät A' redundant ausgelegt. Kommt das Fahrzeug nun in einen Fahrzustand, in dem eine niedrigere ASIL Einstufung ohne Redundanz zulässig ist, wie beispielsweise in eine bedrohliche Pre-Crash Situation, dann können die vorher redundanten Systeme A und A' in einem komplementären Betriebsmodus so verwendet werden, dass sie sich eine neue gemeinsame Rechenaufgabe teilen. Auch die weiteren Steuergerätmodule D und E, die im redundanten Betriebsmodus beispielsweise für nicht sicherheitsrelevante Funktionen zuständig sind, können im komplementären Betriebsmodus zur Bearbeitung von Teilen der neuen gemeinsamen Rechenaufgabe hinzugezogen werden, um die Performance deutlich zu verbessern. Im Anwendungsbeispiel könnte die Rechenleistung eines herkömmlichen Systems mit redundanten Steuergerätmodulen A und A' durch ein System mit den Steuergerätmodulen A+D+E+A` im komplementären Betriebsmodus um mehr als das Doppelte erhöht werden, um ggf. einen drohenden Unfall zu mindern oder zu vermeiden.
  • Die linke Bildhälfte von 4 illustriert den redundanten Betriebsmodus eines erfindungsgemäßen Datenverarbeitungssystems mit zwei Hardwaremodule A und A', während die rechte Bildhälfte einen komplementären Betriebsmodus veranschaulicht.
    Im redundanten Betriebsmodus liefern zwei Sensoreinheiten 41 und 42 jeweils beiden Hardwaremodulen A und A' Sensordaten. Beide Hardwaremodule A und A' verarbeiten diese Sensordaten unabhängig voneinander und generieren so bei fehlerfreiem Betrieb redundante Ergebnisse für eine vorgegebene Aufgabe, beispielsweise im Rahmen der Umfeldmodellbildung. Fällt eine Sensoreinheit aus oder verfügt kurzfristig über ein zu niedriges Confidence Level, hier die Sensoreinheit 41, so triggert dies im vorliegenden Ausführungsbeispiel das Umschalten in den in der rechten Bildhälfte dargestellten komplementären Betriebsmodus. Die beiden Hardwaremodule werden hier nun beide dazu genutzt, die Sensordaten der verbleibenden Sensoreinheit 42 zu verarbeiten und auszuwerten. Durch diese sich ergänzende Nutzung der Hardwaremodule A und A' kann der Ausfall der Sensoreinheit 41 und der dadurch bedingte Wegfall der Sensorredundanz durch die deutlich höhere Performance hinsichtlich Berechnungszyklen, Verarbeitung der Abtastwerte, etc. des Gesamtsystems zumindest teilweise kompensiert werden, um die Sicherheit des Systems zu erhöhen, zumindest bis die Sensorredundanz wiederhergestellt ist.
  • Die voranstehend erörterten Ausführungsbeispiele veranschaulichen, dass erfindungsgemäße Datenverarbeitungssysteme die Vorteile einer redundanten Sicherheitsarchitektur nutzen, aber in bestimmten Situationen auch auf einen möglichst redundanzfreien Betrieb umschalten können, um so die technische Kapazität aller Komponenten möglichst weitgehen zu nutzen.

Claims (8)

  1. Fehler-tolerantes Datenverarbeitungssystem (20) zum Generieren eines sicheren Verhaltens eines automatisiert betreibbaren Fahrzeugs, wobei das Datenverarbeitungssystem (20) mindestens zwei Hardwaremodule (A, A') umfasst, die in einem redundanten Betriebsmodus (1) dazu genutzt werden, unabhängig voneinander jeweils Ergebnisse für eine vorgegebene Aufgabe zu generieren, dadurch gekennzeichnet, dass mindestens ein komplementärer Betriebsmodus (2) vorgesehen ist, in dem die mindestens zwei Hardwaremodule (A, A') dazu genutzt werden, Ergebnisse für jeweils unterschiedliche Teilaufgaben zu generieren, und dass mindestens eine Schaltkomponente (3) zum Vorgeben des jeweils aktuellen Betriebsmodus (1; 2) vorgesehen ist.
  2. Datenverarbeitungssystem (20) nach Anspruch 1, dadurch gekennzeichnet, dass die Schaltkomponente (3) mindestens eine Umschaltbedingung für einen Wechsel zwischen jeweils zwei unterschiedlichen Betriebsmodi (1, 2) überwacht und einen Wechsel zwischen diesen beiden Betriebsmodi (1, 2) bewirkt, wenn die mindestens eine Umschaltbedingung erfüllt ist.
  3. Datenverarbeitungssystem (20) nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass die vorgegebene Aufgabe und die unterschiedlichen Teilaufgaben in Form von entsprechenden Softwaremodulen auf den mindestens zwei Hardwaremodulen (A, A') implementiert sind und dass diese Softwaremodule in Abhängigkeit vom jeweils aktuellen Betriebsmodus (1; 2) abgearbeitet werden.
  4. Datenverarbeitungssystem (20) nach Anspruch 3, dadurch gekennzeichnet, dass mit Hilfe der Schaltkomponente (3) sichergestellt wird, dass den im aktuellen Betriebsmodus (1; 2) abzuarbeitenden Softwaremodulen auf den jeweiligen Hardwaremodulen (A, A') alle erforderlichen Eingangsdaten (5) zur Verfügung stehen.
  5. Datenverarbeitungssystem (20) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass mindestens ein Kombinationsmodul (C) vorgesehen ist, mit dem a. im redundanten Betriebsmodus (1) die unabhängig voneinander generierten Ergebnisse für die vorgegebene Aufgabe zur Erhöhung der Fehlersicherheit zusammengeführt werden, und b. im komplementären Betriebsmodus (2) die generierten Ergebnisse für die unterschiedlichen Teilaufgaben zu einem Gesamtergebnis zusammengeführt werden.
  6. Datenverarbeitungssystem nach Anspruch 5, dadurch gekennzeichnet, dass mindestens ein weiteres Hardwaremodul (D) vorgesehen ist, dem in mindestens einem komplementären Betriebsmodus (2) eine weitere Teilaufgabe zugewiesen wird, so dass das weitere Hardwaremodul (D) in diesem komplementären Betriebsmodus (2) dazu genutzt wird, Teilergebnisse zu generieren und dem Kombinationsmodul (C) zur Verfügung zu stellen.
  7. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Schaltkomponente dazu ausgelegt ist, a. den Eintritt und das Ende einer Fehler-/Ausfallsituation zu erkennen, b. bei Eintritt einer Fehler-/Ausfallsituation einen Wechsel von einem redundanten Betriebsmodus in einen komplementären Betriebsmodus zu bewirken und c. bei Ende der Fehler-/Ausfallsituation einen Wechsel vom komplementären Betriebsmodus in einen redundanten Betriebsmodus zu bewirken.
  8. Datenverarbeitungssystem (20) nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Schaltkomponente (3) dazu ausgelegt ist a. Den Eintritt und das Ende einer Ausnahmesituation, insbesondere einer Pre-Crash Situation, eines Minimum Risk Manövers und/oder einer Notbremsung zu erkennen, b. bei Eintritt der Ausnahmesituation einen Wechsel von einem redundanten Betriebsmodus (1) in einen komplementären Betriebsmodus (2) zu bewirken und c. bei Ende der Ausnahmesituation einen Wechsel vom komplementären Betriebsmodus (2) in einen redundanten Betriebsmodus (1) zu bewirken.
DE102022213178.9A 2022-12-07 2022-12-07 Fehler-tolerantes Datenverarbeitungssystem Pending DE102022213178A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102022213178.9A DE102022213178A1 (de) 2022-12-07 2022-12-07 Fehler-tolerantes Datenverarbeitungssystem
US18/522,681 US20240190449A1 (en) 2022-12-07 2023-11-29 Error-tolerant data processing system
CN202311671250.3A CN118155050A (zh) 2022-12-07 2023-12-07 容错的数据处理***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022213178.9A DE102022213178A1 (de) 2022-12-07 2022-12-07 Fehler-tolerantes Datenverarbeitungssystem

Publications (1)

Publication Number Publication Date
DE102022213178A1 true DE102022213178A1 (de) 2024-06-13

Family

ID=91186233

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022213178.9A Pending DE102022213178A1 (de) 2022-12-07 2022-12-07 Fehler-tolerantes Datenverarbeitungssystem

Country Status (3)

Country Link
US (1) US20240190449A1 (de)
CN (1) CN118155050A (de)
DE (1) DE102022213178A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615366B1 (en) 1999-12-21 2003-09-02 Intel Corporation Microprocessor with dual execution core operable in high reliability mode
DE10332700A1 (de) 2003-06-24 2005-01-13 Robert Bosch Gmbh Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer Prozessoreinheit sowie entsprechende Prozessoreinheit
DE10349580A1 (de) 2003-10-24 2005-05-25 Robert Bosch Gmbh Verfahren und Vorrichtung zur Operandenverarbeitung in einer Prozessoreinheit
DE102005037212A1 (de) 2005-08-08 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Trennung der Abarbeitung von Programmcode bei einem Rechnersystem mit wenigstens zwei Ausführungseinheiten
DE102009001048A1 (de) 2009-02-20 2010-08-26 Robert Bosch Gmbh Vorrichtung und Verfahren zur Prüfung der Arbeitsweise eines Rechnersystems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6615366B1 (en) 1999-12-21 2003-09-02 Intel Corporation Microprocessor with dual execution core operable in high reliability mode
DE10332700A1 (de) 2003-06-24 2005-01-13 Robert Bosch Gmbh Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer Prozessoreinheit sowie entsprechende Prozessoreinheit
DE10349580A1 (de) 2003-10-24 2005-05-25 Robert Bosch Gmbh Verfahren und Vorrichtung zur Operandenverarbeitung in einer Prozessoreinheit
DE102005037212A1 (de) 2005-08-08 2007-02-15 Robert Bosch Gmbh Verfahren und Vorrichtung zur Trennung der Abarbeitung von Programmcode bei einem Rechnersystem mit wenigstens zwei Ausführungseinheiten
DE102009001048A1 (de) 2009-02-20 2010-08-26 Robert Bosch Gmbh Vorrichtung und Verfahren zur Prüfung der Arbeitsweise eines Rechnersystems

Also Published As

Publication number Publication date
CN118155050A (zh) 2024-06-07
US20240190449A1 (en) 2024-06-13

Similar Documents

Publication Publication Date Title
EP2974156B1 (de) Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
DE102013213169A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb
DE102013213171A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb
DE1538493B2 (de) Verfahren und Schaltungsanordnunge zur direkten digitalen Regelung
DE102017218395A1 (de) Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
EP3371025B1 (de) Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug
WO2016087117A1 (de) Fahrerassistenzsteuergerät, kraftfahrzeug, verfahren zum betreiben eines fahrerassistenzsteuergeräts eines kraftfahrzeugs
WO2020108709A1 (de) Verfahren zum planen eines von einem parkassistenzsystem unterstützten parkvorgangs
EP3667568A1 (de) Konfiguration eines steuerungssystems für ein zumindest teilautonomes kraftfahrzeug
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102017220845A1 (de) Verlagerung einer Funktion oder Anwendung von einem Steuergerät
WO2013007349A1 (de) Verfahren und system zur dynamischen verteilung von programmfunktionen in verteilten steuerungssystemen
DE102019202527A1 (de) Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
EP3935463B1 (de) Verfahren und vorrichtung zum betreiben eines automatisierten fahrzeugs
DE102022213178A1 (de) Fehler-tolerantes Datenverarbeitungssystem
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102017110753A1 (de) Vorrichtung zum fehlertoleranten Betrieb eines technischen Systems
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
EP4232905A1 (de) Datenverarbeitungsnetzwerk zur datenverarbeitung
DE10229686A1 (de) Verfahren und Steuergerät zur Steuerung des Ablaufs eines multitaskingfähigen Computerprogramms
DE102009027369A1 (de) Verfahren sowie System zur Ansteuerung von mindestens einem Aktuator
DE102020200414A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE102018202296A1 (de) Radarsensor-System und Verfahren zum Betreiben eines Radarsensor-Systems
DE102022121140B3 (de) Verfahren zum Betreiben eines zumindest teilweise assistiert betriebenen Kraftfahrzeugs, Computerprogrammprodukt sowie Assistenzsystem

Legal Events

Date Code Title Description
R163 Identified publications notified