用于车辆的控制装置以及辅助系统的制作方法

本发明涉及一种控制装置、尤其是用于车辆的控制装置，以及包含根据本发明的控制装置的用于车辆(半)自主驾驶的辅助系统。

背景技术：

1、诸如机动车辆或摩托车等现代化交通工具越来越多地配置有借助传感器系统检测周围环境、识别交通状况并例如通过制动或转向干预或发出视觉或声学警告等为驾驶员提供支持的驾驶辅助系统。雷达传感器、激光雷达传感器、摄像传感器或类似传感器常被用作检测周围环境的传感器系统。接着，可由通过传感器测定的传感器数据得出有关周围环境的结论，由此，例如可建立一对象分类和/或周围环境分类或一周围环境模型。由于汽车行业当前的自动化趋势，尤其在此类辅助系统直至自主驾驶领域中，电子组件和电气组件的复杂性及对其可用性和功能安全性的要求正迅速提高。在此，组件本身的无故障功能及这些组件之间的无故障协作对无故障交通运行至关重要。在不同组件、功能和子功能的协同作用中，硬件架构和软件架构尤其具有特别重要的意义。

2、在(半)自主驾驶领域中，辅助系统会计算行驶路径或者说要行驶的轨迹(行驶轨迹)及相应的使车辆按此行驶轨迹行驶的驾驶指令。在自动化等级为3级、4级或5级的系统中假定，即使硬件发生故障时，该系统也能提供这类(有效的、即经检查的)行驶轨迹和相应的驾驶指令。在现代化辅助系统中，行驶轨迹通常由在专用片上系统(soc)中运行的软件来计算。为进行复检，第二片上系统(soc)会计算一参考轨迹或一参考通道。如果行驶轨迹与参考轨迹不匹配，则将控制权移交给所谓的后备层面或后备系统。后备层面本身通常也由两个片上系统(soc)构成，一个用于计算行驶轨迹，另一个用于计算参考轨迹。因此，在这类设计方案中需要两个独立的电子控制单元(ecu)，每个控制单元中包含两个功能强劲的片上系统(soc)。这会导致高材料耗费和高材料成本(例如四个片上系统(soc)、两个外壳等)、高生产成本(两个独立的电子控制单元(ecu))、高电力消耗，从而导致高电力成本。此外，进一步将控制权移交给后备层面可能会导致不确定性，因为相关移交例如最长可持续数百毫秒的时间。

3、公布的现有技术

4、从de 10 2018 209 833 a1中已知一种用于控制安全相关过程的方法，其中，为了该控制，使用用于至少两个控制分路的至少两个微控制器，其中，至少两个微控制器中的每一个都设计用于控制该安全相关过程。在此，微控制器处理检测各相应控制分路实际行为的至少一个传感器的数据。此外，两个微控制器之间会交流各传感器的数据或由此得出的数据，其中，每个微控制器都有一决策模块，用于验证传感器数据是否一致。

5、此外，从us2013 007513a1和us2013 024721a1中还已知提高可用性的方法，其中，描述了识别有缺陷子电路的措施，以提高诊断能力。

技术实现思路

1、本发明的任务

2、本发明的任务是提供用于(半)自主驾驶的、克服了现有技术缺点的一种控制装置以及相应的辅助系统，其中，以简单、成本经济合理的方式降低材料耗费和电力消耗。

3、任务的解决方案

4、上述任务通过权利要求1以及并列权利要求的总体教导来解决。在从属权利要求中给出本发明的适宜的设计方案。

5、本发明的控制装置尤其用于车辆，控制装置包括一计算区域和一核查区域/校验区域，其中，计算区域设置用于计算轨迹和输出驾驶指令。核查区域包括两个相互分离的核查平台/校验平台，其中，核查平台分别包括用于监控所计算轨迹的一个驾驶指令及输入监控装置，以及用于将各核查平台相互连接并与计算区域连接的一个通信装置。

6、相应的优点是，只需一个中央控制装置，而不需要两个或更多的控制装置。由此提高了可用性(因为减少了组件数量)，并由此提高了可靠性(由于减少了组件数量)，并扩大了诊断覆盖范围。此外，每个功能所需控制器也更少，这尤其减少了能源消耗和控制器的成本费用。

7、在此，中央控制装置可由唯一一个片上系统(soc)实现，作为替代选择，也可由一个包含多个单一集成电路(芯粒)的多芯片模块实现。

8、根据本发明一优选设计方案，设置有一主平台和一后备平台作为核查平台。由此，在计算平台失效时，可无延迟地从正常运行模式无缝切换到应急模式。由此获得的优点是，在发生故障时，可进一步促进或实现快速的控制切换。

9、各核查平台(或者说主平台和后备平台)优选具有完全相同的逻辑和/或功能。

10、适宜地，各核查平台或者说主平台和后备平台并行实施监控。

11、此外，核查平台可包括至少一个用于识别故障的安全单元，其中，一旦安全单元在核查平台上识别到故障，该安全单元就会将该核查平台置入一失效静默状态。

12、主平台的安全单元优选向后备平台发送有关主平台内部状态的信息，反之亦然，后备平台的安全单元向主平台发送有关后备平台内部状态的信息。

13、适宜地，驾驶指令及输入监控装置包括一安全单元，该安全单元接收核查平台故障信息并在安全单元被通知了故障后立即将相应的核查平台置于失效静默状态。

14、此外，驾驶指令及输入监控装置可包括能在硬件锁步中实现的一中央处理单元。

15、根据控制装置一优选设计方案，计算区域包括多个、特别是三个独立的计算机平台。由此只需要三个(高性能)计算机平台，而迄今为止的技术现状一般需要设置四个以上的高性能计算机平台。在此，可在三个计算机平台上使用多种不同的软件程序，其中，使用不同的软件可方便汽车安全性等级(asil)的划分。由此还可在三个计算机平台上使用多种不同的硬件(尤其是，使用不同的硬件组件可进行汽车安全性等级(asil)分解，并实现与相应软件要求相匹配的最佳性能)。这尤其改善和/或简化了软件的研发过程。

16、计算机平台优选包括一用于数据处理的处理单元、一存储器以及一通信装置，通信装置尤其用于计算区域各单元和/或核查区域各单元的通信和/或数据传输，存储器尤其是存储处理单元的数据和/或程序。

17、适宜地，每个计算机平台都可独立于其他计算机平台进行轨迹计算和相应驾驶指令的计算。

18、计算区域的每个计算机平台还可分别通过一单独的供电电压供电。

19、通过使供电电压由至少两个独立的供电网络来提供，提供了额外的保障，因为在一个供电网络失效时，始终尚可通过另一供电网络提供供电电压。这种设计方案尤其在“单芯片”或“基于芯粒的多芯片模块(mcm)集成”方面是一种特别有益的变型方案，因为在已知系统中必须始终注意，故障情况下不供电的不同供电网络或“电源域”的信号不导致额外的意料外的故障。

20、在此，计算区域的每个计算机平台优选都有一独立的时钟发生器系统。由此可避免因时钟发生器系统失效而导致整个系统失效的可能性。

21、根据控制装置一优选设计方案，计算区域和核查区域之间以及计算区域内部和核查区域内部的通信可借助纠错码(ecc)和/或端到端纠错码(ecc)/错误检测码(edc)进行保护或编码。

22、此外，通信装置可被设计成“片上网络”(noc)。在此，“片上网络”是集成电路(ic)或集成电路组件上的一基于网络的子通信系统，通常用于“片上系统”(soc)的各模块之间。在本发明意义上，术语“片上网络”(noc)指的是计算单元之间以需求为导向的网络适配，这些计算单元在延迟、带宽、安全和安保要求方面按照需求进行定性设计。尤其在本发明意义上，“片上网络”(noc)并不被理解为例如在迄今为止的分布式控制器解决方案中所致力的、利用(例如can总线、flexray总线、以太网等)已知总线系统将各模块联网。

23、适宜地，可通过一比较测试、尤其是一2oo3比较，核查所计算轨迹和相应驾驶指令。在此，所述比较过程可确定由三个计算机平台接收到的数据之间在数值和时间上的偏差或误差。作为替代选择，当然也可使用现有技术中已知的任何其他比较方法，例如2oo4或类似方法。在此，可通过复制性比较单元实现三重值函数并进行结果比较。