本发明涉及一种用于控制总成(aggregat,有时也称为机组或动力总成)的功能的功能模块、一种用于工作装置的运行辅助系统的控制单元以及一种这样的工作装置。本发明尤其涉及一种用于优选地自动驾驶车辆的驾驶辅助系统的功能模块、一种用于优选地自动驾驶车辆的驾驶辅助系统的控制单元以及一种这样的尤其构造用于自动驾驶的车辆。
背景技术:
用于工作装置的运行辅助系统且尤其用于车辆的驾驶辅助系统尤其当其构造用于自动驾驶时越来越多地增强地得到使用。因为这样的运行辅助系统和尤其驾驶辅助系统直接干预到尤其车辆的工作装置的运行中,相应的系统部件(systemkomponent)在故障中同样必须在安全模式中且以最低限度的功能保持可运行。
为了可至少部分维持这样的失效安全(fail-safe)特性和失效功能(fail-functional)特性,相对较高的在算法、方法技术和/或电路技术上的成本通常是必要的。然而必要的失效安全特性和失效功能特性不可在所有情况下且不可在任意范围中被确保。
文件de102011086530a1涉及一种带有容错(fehlertolerant)架构的微处理器系统,其构造用于在关联于软件模块的控制的功能的范畴中实施至少部分安全关键的软件模块。
文件de102012024818a1描述了一种用于改善功能安全性且提高电子控制系统的可使用性的方法以及一种这样的电子调节系统(regelungssystem)。
文件de102015211451a1公开了一种用于经由总线系统在系统部件之间待传递的有效数据包(nutzdatenpaket)的操纵保护(manipulationsschutz)的方法。
技术实现要素:
本发明基于如下任务,即,说明一种功能模块、一种用于运行辅助系统的控制单元以及一种这样的工作装置,在其中,以特别简单的器件且然而以可靠的方式可无条件地确保失效安全特性和失效功能特性。
基于本发明的任务在一种带有独立专利权利要求1的特征的功能模块的情形中、在一种根据本发明带有专利权利要求9的特征的用于工作装置的运行辅助系统的控制单元的情形中以及在一种根据本发明带有权利要求10的特征的工作装置的情形中解决。有利的改进方案是相应的从属权利要求的对象。
根据本发明的第一方面创造一种功能模块,尤其用于工作装置的运行辅助系统或用于(优选地自动驾驶)车辆的驾驶辅助系统,其设立用于控制工作装置或者车辆的总成的功能。此外,该功能模块(a)构造成带有主功能单元,其被设立用于产生和提供带有至少一个用于控制总成的功能的功能参数的功能参数组,以及(b)构造成带有检查和辅助功能单元。检查和辅助功能单元被设立,(i)用于检查主功能单元的功能参数组和(ii)用于取决于检查的结果在正常运行模式中输出主功能单元的功能参数组用于控制总成的功能且在辅助运行模式中产生且为了控制总成的功能输出带有至少一个辅助参数的辅助参数组。利用根据本发明所设置的措施因此使得主功能单元的检查成为可能,更确切地说在避免运行中断的情形中,即通过使用检查和辅助功能单元,其在离开正常运行模式的情形中在辅助运行模式的范畴中为了维持基础的总成的功能产生且为了控制总成的功能输出辅助参数组。
当根据一种优选的设计方案形式主功能单元相比检查和辅助功能单元具有更高的在算法和/或电路技术上的控制与功能复杂性时,则根据本发明的功能模块的结构和功能特别有利地设计。
尤其地,主功能单元可被设立用于最高的舒适性且用于满足所有对功能所提出的要求而检查和辅助功能单元更简单且不被设立用于同样的舒适性,其中,后者并不遵循所有对功能的要求,而是仅还遵循对于维持工作装置或者车辆的功能的可靠控制而言最必要的要求。
更高的功能复杂性的概念在关联性上看可连同更大数量的输入(eingabe)或输入(input)、更大数量的用于计算的参数、参数的更大变化、不简单的数学关系和/或不同的关系,尤其取决于状态。
鉴于安全方面此外如下是特别有利的,额外地或备选地主功能单元鉴于功能和/或运行安全性根据iso-26262标准的qm水平来构造。
此外就此而言按照根据本发明的功能模块的另一改进方案可作如下设置,即,检查和辅助功能单元鉴于功能和/或运行安全性根据iso-26262标准的asil-d水平构造。
总体来看,因此得出一种用于功能模块的结构,其可实现在asil-d水平上的整体上相对复杂的功能,其中,在故障中辅助功能在asil-d等级的较高的安全水平上被提供且替代地(ablösend)补充带有qm水平的更复杂设计的主功能单元,从而利用根据本发明的功能模块在整体上同样可确保带有失效安全特性和/或带有失效功能特性的复杂功能。
为了可确保到基础的工作装置的具体运行情况处的尽可能紧密的联系(kopplung),在根据本发明的功能模块的另一设计方案形式的情形中作如下设置,即,主功能单元和/或检查和辅助功能单元被设立用于接收对于基础的工作装置或者基础的车辆且尤其相应的总成的状态和/或运行而言有代表性的且尤其相同的带有至少一个输入参数的输入参数组且基于功能参数组或者辅助参数组的产生。
辅助功能同样可具有较小的输入参数组。
原则上存在检查主功能单元的正确运转的不同可行性方案。
当基于检查结果得出主功能单元的正确功能时,则检查和辅助功能单元总是在正常运行模式中工作,其中,在该模式中主功能单元的功能参数组尤其不变地被输出且因此在一定程度上被递送过去(durchreichen)。
如果基于通过检查和辅助功能单元的检查结果得出主功能单元的不正确的工作原理,则变换到辅助运行模式中,在其中例如在检查和辅助功能单元中在考虑状态和运行且例如同样地基础的总成或同样地另外的单元(例如同样地功能模块和与此相连接的传感器本身)的全部情况的情形下产生且为了控制总成的功能输出辅助参数。
在根据本发明的功能模块的一种设计方案形式的情形中,检查和辅助功能单元被设立用于关于基础的工作装置或者基础的车辆且尤其相应的总成的状态和/或运行对于合理性而言检查通过主功能单元所产生和提供的且通过检查和辅助功能单元由主功能单元所接收的功能参数。
在此如下是特别有利的,检查和辅助功能单元被设立用于在存在合理性的情形中在正常运行模式中且在缺少合理性的情形中在辅助运行模式中操作。
原则上,在辅助运行模式中确定的或所有由主功能单元所产生和提供的用于可靠地维持运行的功能参数可被修改,其中,按照应用同样可标明确定的参数值。
因此在根据本发明的功能模块的另一有利的改进方案的情形中作如下设置,即,检查和辅助功能单元被设立用于在辅助运行模式中将通过主功能单元所产生和提供的且通过检查和辅助功能单元由主功能单元所接收的功能参数置到值零上、到取决于状态和/或运行的饱和的且尤其最小值上、到取决于状态和/或运行的饱和的且尤其最大值上且/或到以相比在主功能单元中更小的复杂性待确定的取决于状态和/或运行的额定值上且作为辅助参数输出。
原则上,功能模块的对于相应的应用而言合适的设计方案形式整体而言是可设想的且其不被绑定于确定的物理结构处。
因此,按照根据本发明的功能模块的优选的设计方案形式,该功能模块可完全或尤其鉴于主功能单元和/或检查和辅助功能单元部分构造成软件部件(softwarekomponent)且/或构造成特定应用的集成电路、即构造成asic。
所有混合形式是同样可设想的,在其中确定的部件在硬件上实现,其它的与之相反作为软件实现方案存在。
根据本发明的另一方面同样创造一种用于工作装置的运行辅助系统且尤其用于(优选地自动驾驶)车辆的驾驶辅助系统的控制单元。其构造成带有至少一个根据本发明设计的用于控制工作装置或者车辆的总成的功能的功能模块。
此外,这样的工作装置和尤其自动驾驶车辆同样是本发明的对象,其构造成带有至少一个用于运行工作装置或者车辆的总成且构造成带有控制单元,该控制单元根据本发明且为了控制至少一个总成尤其构造成运行辅助系统和/或驾驶辅助系统的部分。
附图说明
本发明的另外的细节、特征和优点由下面的说明和附图得出。
图1和2以示意性的方式通过框图显示了根据本发明的功能模块的实施方式。
图3同样根据示意性的框图的形式显示了根据本发明的工作装置且尤其根据本发明的车辆在结合运行辅助系统使用根据本发明的功能模块的实施方式的情形下的一种实施方式。
附图标记列表
1车辆、工作装置
2总成
3总成
4总成
5控制总线
10功能模块
11软件部件的层
12运行环境(rte)的层
15基础软件的层
16系统服务
17-1诊断
17-2存储服务
17-3车辆总线连结
17-4设备驱动器(gerätetreiber)和传感装置
17-5电机控制装置(motorsteuerung)
18硬件层
20主功能单元
21确定单元、计算单元
23输入参数组
24-1输入参数
24-2输入参数
25功能参数组
26功能参数
30检查和辅助功能单元
31-1最大比较器
31-2最小比较器
31-3计算单元
33'输入参数组
33(扩展的)输入参数组
34-1输入参数
34-2输入参数
34-3输入参数
35辅助参数组
36辅助参数
50控制单元
100运行辅助系统、驾驶辅助系统。
具体实施方式
随后,在参照图1至3的情形下详细描述了本发明的实施例和技术背景。相同的和等价的以及相同或等价地作用的元件和部件以相同的附图标记来标明。不在其出现的每种情况中重复所标明的元件和部件的详细描述。
示出的特征和另外的特性可以以任意的形式彼此分离且可任意地彼此组合,而不离开本发明的核心。
图1和2根据框图的形式示意性地显示了根据本发明的功能模块10的实施方式。
在根据图1和2的实施方式中,根据本发明的功能模块10由主功能单元20和检查和辅助功能单元30构成。
功能模块10经由一个相应的导线或多个导线或在软件实现方案的情形中经由相应的递交参数列表(übergabeparameterlist)接收带有一个或带有多个输入参数24-1,24-2的输入参数组23,其中,输入参数24-1,24-2例如可以是对于基础的工作装置1或车辆1整体上或工作装置1或车辆1的总成2,3,4的状态和/或运行而言有代表性的。
基于输入参数组23,主功能单元20产生带有至少一个功能参数26的功能参数组25且提供该功能参数组。
根据本发明所设置的检查和辅助功能单元30一方面接收输入参数组33',其与主功能单元20的输入参数组23相同。额外地,检查和辅助功能单元30同样被供应带有功能参数26的功能参数组25,从而检查和辅助功能单元30的输入参数组33由用于主功能单元20的输入参数24-1,24-2、即描述状态和运行的参数和由主功能单元20所产生的功能参数26构成。
基于所有被供应给检查和辅助功能单元30的参数检查主功能单元20是否处在正常的运行状态中,即例如通过检查用于控制总成2,3,4的通过主功能单元20推导出的功能参数26的合理性的存在或不存在。
如果用于控制总成2,3,4的由主功能单元20推导出的功能参数26鉴于描述状态和/或运行的输入参数24是合理的,例如因为其处在与该状态和/或运行相符的值范围中或在相应的值集合(wertemenge)中,则检查和辅助功能单元30在正常运行模式中运行,在其中用于控制总成2,3,4的由主功能单元20推导出的功能参数26被输出。
然而如果用于控制总成2,3,4的由主功能单元20推导出的功能参数26鉴于描述状态和/或运行的输入参数24不合理,例如因为其不处在与状态和/或运行相符的值范围中或在相应的值集合中,则检查和辅助功能单元30在辅助运行模式中运行,在其中用于控制总成2,3,4的由主功能单元20推导出的功能参数26不被直接输出,而是最多以经修改的形式、即以具有至少一个辅助参数36的辅助参数组35的形式,该辅助参数适合在故障情况中同样确保相应的总成2,3,4的功能。
在图1和2中所显示的实施例的情形中,功能模块10(其可构造成asic且/或构造成软件构造(softwarekonstrukt))是所谓的用于转向力支持(lenkkraftunterstützung)的单元,其也被称作lku。
作为模拟或数字电路的实施方案是同样可设想的。鉴于转向力支持lku的图示此处纯示例性地来选择,其中,根据本发明的设计通常在所有功能的情形中可单独地或彼此组合地得到使用。
主功能单元20用于确定作为用于产生实际的转向力支持的功能参数26的参数,更确切地说在iso-26262标准的意义中的安全水平qm上。在此,作为输入参数组23的输入参数24-1和24-2,例如驾驶员手力矩trq的值和车速的值vfzg被供应给主功能单元20。例如在确定单元21中产生和提供用于支持力的值fsoll,该支持力通过转向辅助的相应的总成2,3,4应被施加到待转向的车轮上。
支持力的值fsoll鉴于驾驶员手力矩trq且鉴于车速vfzg检查合理性,例如在使用用于确定对于支持力fsoll而言的最小值min_fsoll和最大值max_fsoll的计算单元31-3的情形下且在使用最大比较器31-1和最小比较器31-2的情形下,从而在单元31-1至31-3的共同作用中饱和的值fsoll在iso-26262标准中的安全水平asil-d上被产生,更确切地说在使用该确定的相比主功能单元20经简化的且因此不太复杂的图式(schema,有时也称为线路图)的情形下。
图3同样根据示意性框图的形式显示了根据本发明的工作装置1且尤其根据本发明的车辆1的一种实施方式,在结合运行辅助系统100、例如在车辆1的驾驶辅助系统100的意义中使用根据本发明的功能模块10的实施方式的情形下。
根据图3的根据本发明的车辆1具有多个总成2,3,4,其经由导线系统或总线5与根据本发明设计的控制单元50有效连接。
根据图3的根据本发明的控制单元50具有多个根据本发明的功能模块10,此外同样具有用于转向力支持的功能模块10,其以lku表示。
所有功能模块10形成根据iso-26262标准的asil-d水平的本质安全的软件部件的层11。
划分成等级地在软件部件的层11下方附加有用于运行环境(rte)的层12。
对此联接有带有基础软件的部件的层15,例如带有系统服务16、以及用于诊断的服务17-1,17-2,17-3,17-4,17-5、存储服务、在车辆中的总线连结(busanbindung),对于设备驱动器且对于传感装置或者对于电机控制装置而言。
划分成等级地向下实现硬件层18的联接。
结合本发明,作为根据autosar(汽车开放系统架构)标准的软件架构的结构同样是可设想的。
本发明的这些和另外的特征和特性借助下面的阐述作进一步说明:
在安全相关的应用和控制单元50的情形中,其必须高度可用,例如在用于自动驾驶车辆1的控制器50的情形中,例如不允许存在由于软件故障引起的失效。
但是因为众所周知例如不可建立可证明无故障的控制架构且尤其不可建立可证明无故障的软件,所以相应的架构必须如此设计,以至于其是容错的或同样是失效功能的,其中,后者意味着如下,即,通过控制架构来控制的运行单元、例如总成或类似物在故障中同样还可以以最小功能运行。
此外存在如下要求,即,控制单元50且尤其控制单元50的软件单元10或sw单元10应尽可能为模块化的且可重复使用的,以便于可普遍地使用相应的控制单元50和其架构且保持集成的软件sw可维护。
随着系统的增加的复杂性,这些要求变得可更困难地实现,因为各个部件的相互作用、复杂的算法或可自由参数化的结构不再完全可测试且可理解。
用于安全相关的系统的目前的软件架构或sw架构或者置到冗余的计算(帧同步原理(lockstepprinzip))上或者置到监控功能上,其在第二平面中控制第一平面的计算结果。
如果在帧同步运行中的计算或控制的结果彼此偏离,仅系统的禁用保持剩余。
其与监控功能一样表现。其仅可负责第一平面的禁用,从而虽然实现带有失效安全特性的架构,然而不实现带有失效功能特性的架构。
如下是已知的,即,利用三选二判定(zwei-aus-drei-entscheidung,有时也称为三分之二判定)的可能性且引起这样的判定,更确切地说以三个不同编程的系统或以在不同处理器核心上运转的软件单元。
这带来在软件(sw)和/或硬件(hw)中的高消耗且经常要求专营解决方案,因为相对现存的标准缺少兼容性。
此外,本发明同样涉及一种用于实现根据本发明的功能模块10的相应的软件部件的软件架构或sw架构且即结构,以其使得高度可用的软件的开发成为可能。所有模块(被理解为在本发明的意义中的功能模块10)例如作为独立且本质安全的软件部件被提供且可被模块化地集成至整个软件。
本发明尤其同样涉及在根据本发明的功能模块10的意义中的各个sw模块的结构。
每个单独的模块10具有复杂的功能(即通过主功能单元20实现),用于实现所有要求以及用于部件的参数化和与其它模块的通讯。
对于安全相关的系统而言,该功能可根据qm标准来开发,因为其输出不被赋以安全要求。此外,每个模块在根据本发明的功能模块10的意义中提供安全相关的功能,即通过在本发明的意义中的检查和辅助功能单元30实现,通过其尤其以如下方式实现相应的安全要求,即,qm功能且即尤其带有主功能单元20的功能参数26的功能参数组25的输出
(i)被覆盖,
(ii)被置于或迫使到确定的界限或值区间(werteintervalle)中,或
(iii)被置于零。
以该方式,整个部件(即整个功能模块10)本质安全且确保安全兼容的输出,即尤其在iso-26262标准的asil-d水平的意义中,尽管复杂的算法可被计算。
当这些例如设计成本质安全的软件部件的功能模块10分别被设计成所谓的独立安全单元(seooc)时,在随后项目或不同的变型方案中的可重复使用性是可能的。
通过其结构,安全要求可由目标系统释放地测试和验证。
此外,相对常规行为存在下面的主要区别(其可任意地彼此组合):
-在根据本发明的功能模块10的意义中在模块中的应用软件的分布的可能性,尤其作为软件部件,
-复杂的、可参数化的功能的执行的可能性,在同时遵循安全要求(特别地对可使用性)的情形中,
-如下可能性,在每个功能模块10中输出、即qm功能的功能参数组的覆盖、禁用、改变被理解为主功能单元20,通过后置的asil-d功能被理解为检查和辅助功能单元30,为了确保容错而实现,和
-作为seooc单元的执行的可能性且因此在遵循安全要求的情形下普遍的可使用性的可能性。
根据本发明的行为的另外的优点是:
-在根据本发明的结构中带有本质安全的功能模块10的模块化结构的可能性,
-各个功能模块10的可重复使用性的可能性,
-带有容错和/或失效功能特性的设计的实现的可能性,
-在目标系统之外的部件的验证和确认的可能性,更确切地说作为单独的且本质安全的部件,
-用于自动驾驶的sw架构的创造的可能性,和
-成本适宜的实现的可能性。
即使当根据本发明的方面和有利的实施方式借助结合附图所阐释的实施例详细描述时,对于本领域的技术人员而言示出的实施例的特征的修改和组合是可能的,而不离开本发明的范围,其保护范围通过所附权利要求来限定。