Titel

System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform

Stand der Technik

Moderne automobile Systemarchitekturen werden von Tag zu Tag komplexer und leistungsfähiger. Ein sehr repräsentatives Beispiel sind Automatisierte Fahrsysteme (ADS) im Kontext von Self Driving Vehicles (SDV). Diese Systeme müssen entsprechend dem Grad der Fahrautomatisierung (SAE J3016), für den sie entwickelt werden, auch ein hohes Maß an Sicherheit und Verfügbarkeit bieten können.

Der Schwerpunkt der aktuellen Entwicklungen der Automobilhersteller liegt im Bereich von Level 2 bis Level 4. Der wichtigste Übergang ist der zwischen Teilautomatisierung (Level 2) und bedingter Automatisierung (Level 3), da im letzteren Fall kein Fahrer als sicherheitsrelevante unmittelbare Rückfallebene für das Fahren benötigt wird.

Der Hauptunterschied zwischen Stufe 4, mit hoher Automatisierung, und Stufe 5, mit vollständiger Automatisierung, ist die Fähigkeit des Systems, bestimmte eingeschränkte Fahrmodi gegenüber allen Fahrmodi zu handhaben, wenn insbesondere solche Fahrzeugtypen überhaupt kein Lenkrad haben.

Offenbarung der Erfindung

Im Allgemeinen werden innerhalb einer Sollfunktion für automatisiertes Fahren (AD: automatic driving) Daten von verschiedenen Sensoren gesammelt, synthetisiert und fusioniert, um ein Modell der aktuellen Fahrsituation in der Umgebungswahrnehmung (EP: environment perception) und Fahrzeuglokalisierung (VL: vehicle localisation) zu erzeugen. Das Modell wird von der Verhaltensplanung (BP: behavioral planning) verwendet, um einen Fahrweg oder eine Trajektorie in Bezug auf die aktuelle Fahrsituation und die geplante Fahrt zu erstellen. Das Aktuatormanagement (AM: actuator management) sorgt für die Steuerung der verschiedenen Aktuatoren, die dem berechneten Fahrweg folgen.

In Bezug auf die Fahrautomatisierungsstufen (SAE J3016) erfordern automatisierte Fahrsysteme ab Stufe 3+ eine Fail-Operational-Architektur, d.h. das System sollte nach einem Ausfall einer Komponente zumindest noch eine gewisse Zeit sicher Weiterarbeiten.

Gemäß Aspekten der Erfindung wird ein System zum Bereitstellen eines Ausgangssignals, ein Steuergerät, eine mobile Plattform und eine Verwendung eines Systems, gemäß den Merkmalen der unabhängigen Ansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der abhängigen Ansprüche sowie der nachfolgenden Beschreibung.

In dieser gesamten Beschreibung der Erfindung ist die Abfolge von Verfahrensschritten so dargestellt, dass das Verfahren leicht nachvollziehbar ist. Der Fachmann wird aber erkennen, dass viele der Verfahrensschritte auch in einer anderen Reihenfolge durchlaufen werden können und zu dem gleichen oder einem entsprechenden Ergebnis führen. In diesem Sinne kann die Reihenfolge der Verfahrensschritte entsprechend geändert werden. Einige Merkmale sind mit Zählwörtern versehen, um die Lesbarkeit zu verbessern oder die Zuordnung eindeutiger zu machen, dies impliziert aber nicht ein Vorhandensein bestimmter Merkmale.

Ein System mit einem fehlertoleranten Design, d. h. ein fehlertolerantes System, ist konfiguriert, eine definierte Funktionalität aufrechtzuerhalten, wenn Teile des Systems ausfallen, das dazu typischerweise einen hohen Grad an Redundanz aufweist.

Insbesondere hochverfügbaren Systeme können in Bezug auf Fehlertoleranz unterschiedlich konfiguriert sein:

- In einem Fail-Operational-Modus, kann ein vorgesehener Betrieb, möglicherweise für einen begrenzten Zeitraum, fortgesetzt werden, statt komplett auszufallen, wenn ein Teil des Systems ausfällt.

- In einem Fail-Degraded-Modus, kann das System, einen beabsichtigten Betrieb auf einem reduzierten “Niveau“ fortzusetzen, statt vollständig auszufallen, wenn ein Teil des Systems ausfällt. Bei einem Teil-Ausfall innerhalb eines solchen Systems wird ein Übergang vom fehlerhaften Teilsystem zu einem verbleibenden unabhängigen, nicht fehlerhaften Teilsystem durchgeführt.

Darüber hinaus kann ein hochverfügbares System die gesamte elektrische und/oder elektronische Architektur des Fahrzeugs, d. h. einschließlich einer Stromversorgung (PowerNet), Kommunikationsbussen, Kühlsystemen, und insbesondere auch Fehler mit gemeinsamer Ursache berücksichtigen und konfiguriert sein, einen Betrieb auch bei Ausfällen fortsetzen, sodass auch bei Vorliegen eines Fehlers eine Redundanz in dem System mit höchstmöglicher Verfügbarkeit jeweiliger Dienste erforderlich ist.

Im Allgemeinen erfordert eine Funktionalität die der Stufe L3+ (d. h.: L3, L4, L5) entspricht, redundante Strukturen, um nach einem Auftreten eines ersten Fehlers, z. B. eines elektrischen und/oder elektronischen Fehlers (E/E-Fehler) innerhalb eines AD-Systems (Automated Driving System: ADS) eine Fehlerbegrenzung und/oder eine Degradation und/oder eine volle Betriebsfähigkeit zu ermöglichen.

Um dies zu erreichen, kann ein System so ausgelegt werden, dass:

- in jedem Fehlerszenario innerhalb der Haupt- ECU (electronic control unit), als primäres System, oder Backup- ECU, als sekundäre System, eine notwendige Systemfunktionalität weiterhin zur Verfügung steht. Dabei kann die Systemfunktionalität entsprechend dem Szenario vollständig oder herabgesetzte sein.

- ein jeweiliges Steuergerät (Haupt- Steuergerät, als primäres System, oder Backup-Steuergerät, als sekundäre System, konfiguriert ist, einen eigenen Ausfall zu erkennen und zu verhindern, dass ungültige Daten an weiterverarbeitende Stufen, wie beispielsweise Aktoren, kommuniziert werden. Zu verhindern, dass ungültige Daten an weiterverarbeitende Stufen kommuniziert werden, kann als Passivierung oder “Fail-Silent“ Konfiguration definiert werden.

- Weiterverarbeitende Stufen des Systems, wie beispielsweise Aktoren, können konfiguriert sein, z.B. eine Unterbrechung einer Kommunikation mit einer vorherigen Stufe zu erkennen und nur noch Kommunikation von verbleibenden gültigen Steuergeräten zu akzeptieren.

Gemäß ISO 26262:2018 müssen elektronische und/oder elektrische Ausfälle (E/E-Ausfälle), in Bezug auf zufällige transiente/permanente Hardware (HW)- Ausfälle, innerhalb des Systems mit einer SPFM (Single Point Fault Metrie) von

> 99 % erkannt werden, wobei das ASIL D-Verfügbarkeitssicherheitsziel angenommen wird. Diese Anforderung kann einem einzelnen Steuergerät (electronic control unit: ECU) in Bezug auf die erste Fehlererkennung zugewiesen werden. Jedes Steuergerät muss in der Lage sein, seine eigenen E/E-Ausfälle mit einer SPFM > 99% zu erkennen.

Wenn ein erster Ausfall innerhalb des Hauptsteuergeräts (primäres System) erkannt wird, kann das System mit seinem redundanten Backup-Steuergerät (sekundäre System) reagieren, um das Fahrzeug zu steuern und das Fahrzeug innerhalb eines EOTTI (Emergency Operation Tolerance Time Intervall) in einen sicheren Zustand mit minimalem Risiko zu bringen.

Gemäß einem Aspekt der Erfindung wird ein System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform, mit: einem ersten Subsystem zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit einem ersten Sensorsystem gekoppelt zu werden; einem zweiten Subsystem zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit dem ersten Sensorsystem gekoppelt zu werden; wobei das zweite Subsystem konfiguriert ist, eine Funktionalität des ersten Subsystems redundant bereitzustellen ein drittes Subsystem, zum Generieren des Ausgangssignals; wobei das dritte Subsystem konfiguriert ist, signalmäßig mit einem zweiten Sensorsystem gekoppelt zu werden; wobei das dritte Subsystem konfiguriert ist, die Funktionalität des ersten Subsystems und/oder des zweiten Subsystems redundant bereitzustellen; ein erstes Vergleichssystem, das signalmäßig mit einem Ausgang des ersten Subsystems und einem Ausgang des zweiten Subsystems und einem Ausgang des dritten Subsystems gekoppelt ist; ein zweites Vergleichssystem, das signalmäßig mit dem Ausgang des ersten Subsystems und dem Ausgang des zweiten Subsystems und dem Ausgang des dritten Subsystems gekoppelt ist; wobei das erste Vergleichssystem und das zweite Vergleichssystem signalmäßig gekoppelt sind; und das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, zumindest einen Fehler des ersten Subsystems und/oder einen Fehler des zweiten Subsystems und/oder einen Fehler des dritten Subsystems zu erkennen und/oder das jeweilige fehlerhafte Subsystem zu identifizieren.

Gemäß einem Aspekt kann das Ausgangssignal ein beliebiges Signal für eine Steuerung eines nachgeschalteten Systems sein und/oder ein Umfeldmodell des Umfelds der mobilen Plattform sein und/oder eine Trajektorie sein, die insbesondere aus einer Planung einer Route für die mobile Plattform resultiert, und/oder Regelsignale für die mobile Plattform sein, um, mittels des Aktuators-Systems, bzw. einzelner Aktuatoren des Aktuators-Systems, eine Trajektorie abzufahren. Mit anderen Worten kann das Ausgangssignal des jeweiligen Subsystems ein generisches Signal sein, das an ein nachfolgendes weiterverarbeitendes System bereitgestellt wird.

Entsprechend einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, einen Fehler des ersten Subsystems oder einen Fehler des zweiten Subsystems oder einen Fehler des dritten Subsystems zu erkennen und das jeweilige fehlerhafte Subsystem zu identifizieren.

Entsprechend einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, mindestens einen Fehler des ersten Subsystems und/oder mindestens einen vom ersten Subsystems unabhängigen und ungleichen Fehler des zweiten Subsystems und/oder mindestens einen vom ersten und zweiten Subsystem unabhängigen und ungleichen Fehler des dritten Subsystems zu erkennen.

Entsprechend einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und/oder das zweite Vergleichssystem konfiguriert sind, eine Un Verfügbarkeit des ersten Subsystems und/oder eine Un Verfügbarkeit des zweiten Subsystems und/oder eine Un Verfügbarkeit des dritten Subsystems zu erkennen und das jeweilige unverfügbare Subsystem zu identifizieren

Insbesondere kann das beschriebene System mit redundanten Sensorsystemen und/oder mit redundanten Steuergeräten, d.h. Haupt-und Back-up- Steuergeräten, als primäres System und sekundäres System, wie der ersten elektronischen Steuereinheit und zweiten elektronischen Steuereinheit und/oder mit redundanten Aktuatoren und/oder mit redundanter Kommunikation zwischen Aktuatoren und den jeweiligen Steuergeräten, konfiguriert sein, um gegenüber Ausfällen von Teilsystemen möglichst fehlertolerant zu sein. Vorteilhafterweise ist dieses System fehlertolerant gegenüber einem Ausfall von einem der drei Subsysteme, insbesondere für zufällige Hardwareausfällen, was insbesondere bei einem Einsatz in einem zumindest teilautomatisiertes Fahrsystem (ADS: Automated Driving Systems) gefordert sein kann.

Denn das System ist konfiguriert einen ersten Fehler zu erkennen, und zusätzlich einen zweiten Fehler, abhängig vom jeweiligen Fehlerszenario, zu erkennen.

Das beschriebene System zum Bereitstellen eines Ausgangssignals optimiert eine Diagnosedeckung eines ersten Fehlers im Vergleich zu einer Verfügbarkeit einer Funktionalität. Denn im Allgemeinen erfordert eine Fehlererkennung immer Erkennungsmechanismen. Diese Erkennungsmechanismen werden mit steigenden Anforderungen an eine erforderliche Diagnoseabdeckung für einen bestimmten Fehlermodus immer komplexer. Dabei sind aber solche Diagnosemechanismen selbst zufälligen Hardware- Fehlern ausgesetzt, die wiederum zu falsch-positiven Detektionen von Fehlern führen können. Daher steigt im allgemeinen eine Wahrscheinlichkeit eines zufälligen Hardwarefehlers, wenn eine Diagnoseabdeckung erhöht wird.

Die Wahrscheinlichkeit des Verlusts der Verfügbarkeit (= Nichtverfügbarkeit) eines Systems mit einer Funktionalität kann entsprechend der folgenden Formel für die Wahrscheinlichkeit P(FV) der Verfügbarkeit der Funktionalität:

P(FV) = P(FA) + P(Efp) bestimmt werden, wobei P (FA) eine Wahrscheinlichkeit für einen Funktionalitäts- Ausfall ist und P (Efp) eine Wahrscheinlichkeit dafür, dass der Erkennungsmechanismus falsch positiv ist. Dieser Zusammenhang wird mit steigender Komplexität der Elemente innerhalb des Systems immer wesentlicher.

Beispielsweise kann eine Ausfallwahrscheinlichkeit eines CPU Lock Steps, bei dem, mit einem, zu einem Haupt- Funktionsblocks redundanten, Vergleichssystem, eine korrekte Funktionalität des Haupt- Funktionsblocks mittels eines Vergleichs- Funktionsblocks bestimmt wird, der eine Übereinstimmung der Funktionalität des Haupt- Funktionsblocks mit dem Vergleichssystem prüft, eine Ausfallwahrscheinlichkeit dieses CPU Lock Step-Gesamtsystems um mehr als den Faktor zwei erhöhen, da neben den Fehlerraten des Haupt- Funktionsblocks und des Vergleichssystems auch der Vergleichs- Funktionsblocks eine falschpositive Fehlerrate aufweist. Darüber hinaus sollte für ein fehlertolerantes System auch ein zweiter auftretender Fehler betrachtet werden. Tritt ein zweiter Fehler in einem solchen System mit einem redundanten Teilsystem innerhalb eines emergency operation tolerance time interval (EOTTI) auf, ist das System nicht mehr in der Lage, das Fahrzeug sicher zu steuern, da keine weiteren Sicherungselemente vorhanden sind.

Diese Tatsache ist unabhängig davon, ob ein zweiter Fehler erkennbar ist oder nicht.

Mit anderen Worten kann ein hoher Diagnoseabdeckungsgrad zu einer geringeren Verfügbarkeit eines Steuergeräts mit einem redundanten Teilsystem führen, insbesondere wenn auch noch ein zweiter Fehler abgedeckt werden soll. In Bezug auf ein Verfügbarkeitsziel ist somit eine andere Lösung als eine hohe Erkennungsabdeckung erforderlich. Denn eine Erhöhung der Erkennungsrate eines Zweitfehlers bedeutet einen zusätzlichen Aufwand, der wiederum die Wahrscheinlichkeit eines Zweitfehlers erhöht. Dies führt zu einem erhöhten Risiko eines Systemausfalls während der emergency operation tolerance time interval (EOTTI). Daher verringert eine höhere Abdeckung für die Erkennung eines zweiten Fehlers die Sicherheit und eine Systemverfügbarkeit.

Daher hat das hier beschriebene System zum Bereitstellen eines Ausgangssignals, insbesondere in Bezug auf die Erkennung eines Zweitfehlers Vorteile im Vergleich zu einem System mit einer Dual-Duplex-Redundanz- Architektur.

Bei einer Dual-Duplex-Redundanz-Architektur wird ein System konfiguriert, das zwei unabhängige Systemzweige, bzw. zwei unabhängige ECUs (electronic control unit), aufweist, die jeweils mit zwei redundanten Funktionsblöcken versehen sind. In dieser Architektur werden in jedem Systemzweig die Ausgangssignale der Redundanzen Funktionsblocks verglichen, um im Fehlerfall, d. h. wenn die Ausgangssignale nicht übereinstimmen, den betreffenden Systemzweig abzuschalten. Sofern der andere Systemzweig korrekt arbeitet, kann mit der Dual-Duplex-Redundanz-Architektur der erste electrical and/or electronic failure (E/E)- Fehler durch den Ergebnisvergleich erkannt und durch den zweiten Systemzweig kompensiert werden. Dazu können die beiden Systemzweige auf jeweils unabhängigen CPUs betrieben werden. Ein Steuergerät mit einer solchen Dual-Duplex-Redundanz-Architektur reagiert im Falle eines detektieren Fehlers mit dem Fail-Silent-Mechanismus und stoppt die Kommunikation zu Aktoren, denen das Ausgangssignal des Systems bereitgestellt wird, während der verbleibende Systemzweig des Steuergeräts weiterhin eine hohe Erkennungsrate für einen weiteren Fehler aufweist, kann aber im Gegensatz zu dem hier beschriebenen System zum Bereitstellen eines Ausgangssignals einen zweiten Fehler nicht mehr kompensieren und hat eine unverminderte Wahrscheinlichkeit für einen zweiten Ausfall.

Insbesondere kann mit dem hier beschriebenen System zum Bereitstellen eines Ausgangssignals eine Wahrscheinlichkeit eines ersten elektrischen Fehlers und/oder elektronischen Fehlers (E/E-failure: electrical and/or electronic failure) innerhalb des Systems, der zu einer Degradierung des Systems führen kann, deutlich reduziert werden.

Ein solcher erster elektrischer Fehler und/oder elektronischer Fehler könnte beispielsweise eine Auslösung einer Ausführung eines Fahrzeugmanövers mit minimalem Risiko, wie z.B. ein Anhalten in einer Rettungsgasse, bedingen.

D. h. das beschriebene System ermöglicht eine hohe Erkennungsabdeckung (SPFM) für jeden ersten elektrischen Fehler und/oder elektronischen Fehler (E/E- Fehler) innerhalb des Systems. Eine solche verbleibende Erkennungsabdeckung für einen zweiten Fehler während der EOTTI kann in dem hier beschriebenen System zum Bereitstellen eines Ausgangssignals für die meisten Fehlerszenarien immer noch hoch sein.

Dabei ist eine Fähigkeit des Systems zur Erkennung eines zweiten Fehlers davon abhängig, in welchem Teil des beschriebenen Systems ein erster Fehler aufgetreten ist. Insbesondere bleibt eine hohe Erkennungsabdeckung für den zweiten Fehler bestehen, wenn der erste Fehler beispielsweise im dritten Subsystem und/oder dem zweiten Vergleichssystem auftritt oder im ersten Subsystem oder dem zweiten Subsystem, die jeweils Teil der ersten elektronischen Steuereinheit sind.

Wenn der erste Fehler beispielsweise in der Stromversorgung oder dem ersten Vergleichssystem der ersten elektronischen Steuereinheit auftritt, kann eine reduzierte Fehlererkennung für den zweiten Fehler noch über zusätzliche Hardware- Fehlererkennungsmechanismen erreicht werden.

Durch die verbleibende Erkennungsabdeckung für einen zweiten Fehler während eines EOTTI (emergency operation tolerance time interval) wird eine Wahrscheinlichkeit einer Nichtverfügbarkeit des Systems während der EOTTI, die zu einer Verletzung des Sicherheitsziels führen könnte, deutlich reduziert.

Da das System weniger Hardware- Komponenten aufweist als beispielsweise eine Dual-Duplex-redundante Autonomous Driving System (ADS)-Compute-Set- Architektur können Kosten für Hardware- Komponenten signifikant reduziert werden.

Da weniger Hardware- Komponenten betrieben werden müssen, kann ein Energieverbrauch des Systems signifikant reduziert werden, wodurch ein CO2- Ausstoß reduziert wird, eine Erhöhung der Reichweite für Elektrofahrzeuge resultiert und ein reduzierter Aufwand für ein Kühlsystem notwendig ist. Darüber hinaus kann vorteilhafter Weise ein Gewicht des so konfigurierten Systems, aufgrund der geringeren Anzahl von Hardware- Komponenten, reduziert werden.

Gemäß einem Aspekt wird vorgeschlagen, dass das erste Subsystem und das zweite Subsystem und das erste Vergleichssystem Teil einer ersten elektronischen Steuereinheit sind; und das dritte Subsystem und das zweite Vergleichssystem Teil einer zweiten elektronischen Steuereinheit sind.

Vorteilhafterweise können die zwei Vergleichssysteme für das beschriebene System auf die erste elektronische Steuereinheit und die zweite elektronische Steuereinheit, d. h. die jeweiligen "compare, select, disable"-Mechanismen, aufgeteilt werden, um Single Point of Failure SPOF (deu.: einzelner Ausfallpunkt), in Bezug auf die Verfügbarkeit, zu vermeiden.

Gemäß einem Aspekt wird vorgeschlagen, dass elektrische Energie für die erste elektronische Steuereinheit von einer ersten Stromversorgung bereitgestellt wird; und elektrische Energie für die zweite elektronische Steuereinheit von einer zweiten Stromversorgung bereitgestellt wird und die erste Stromversorgung und die zweite Stromversorgung eingerichtet sind, die elektrische Energie der ersten Stromversorgung unabhängig von der elektrischen Energie der zweiten Stromversorgung bereitzustellen. Dadurch kann erreicht werden, dass das System fehlertoleranter und höher verfügbar ist.

Gemäß einem Aspekt wird vorgeschlagen, dass das erste Sensorsystem gleich dem zweiten Sensorsystem ist. Dabei kann das erste Sensorsystem und/oder das zweite Sensorsystem eine Vielzahl von Sensoren aufweisen. Gemäß einem Aspekt wird vorgeschlagen, dass das zweite Sensorsystem ein redundantes Sensorsystem zu dem ersten Sensorsystem ist. Wenn das erste Sensorsystem redundant zum zweiten Sensorsystem ist können damit das System zum Bereitstellen des Ausgangssignals höher verfügbar und fehlertoleranter werden.

Gemäß einem Aspekt wird vorgeschlagen, dass die erste elektronische Steuereinheit mit der ersten Stromversorgung eingerichtet und konfiguriert ist, mit der entsprechend eingerichteten und konfigurierten zweiten elektronischen Steuereinheit mit der zweiten Stromversorgung so zusammenzuwirken, dass das System zum Bereitstellen des Ausgangssignals fehlertolerant und hoch verfügbar ist.

Gemäß einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem und das zweite Vergleichssystem eingerichtet sind, einen Fehler des ersten Subsystems und/oder einen Fehler des zweiten Subsystems und/oder einen Fehler des dritten Subsystems bei der Bestimmung des Umfeldmodells durch das jeweilige Subsystem zu erkennen.

Dies kann vorteilhafter Weise dadurch erreicht werden, dass die entsprechenden Ausgangssignale der Subsysteme miteinander verglichen werden.

Gemäß einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem eingerichtet ist, ein Ausgangssignal des ersten Subsystems oder ein Ausgangssignal des zweiten Subsystems, wahlweise, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem und/oder dem zweiten Subsystem und/oder dem dritten Subsystem, einem Aktuator-System bereitzustellen.

Damit kann dem Aktuator-System, dass selbst redundant ausgelegt sein kann, ein gültiges Ausgangssignal bereitgestellt werden, auch wenn eines der Subsysteme Fehler aufweist.

Gemäß einem Aspekt wird vorgeschlagen, dass das erste Vergleichssystem eingerichtet ist, das Ausgangssignal des ersten Subsystems und das Ausgangssignal des zweiten Subsystems, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem und/oder dem zweiten Subsystem und/oder dem dritten Subsystem, einem Aktuator-System bereitzustellen.

Damit kann dem Aktuator-System, dass selbst redundant ausgelegt sein kann, ein gültiges Ausgangssignal bereitgestellt werden, auch wenn eines der Subsysteme Fehler aufweist.

Das erste Vergleichssystem kann zum Bereitstellen des Ausgangssignals des ersten oder des zweiten Subsystems an das Aktuator- System mit einem Schalter und/oder einem Umschalter, zum Schalten bzw. Umschalten, signalmäßig gekoppelt sein, um abhängig von einem erkannten Fehler des Ausgangssignal des ersten Subsystems und das Ausgangssignal des zweiten Subsystems dem Aktuator System bereitzustellen. Dazu kann das Ausgangssignal des ersten Subsystems und des zweiten Subsystems dem Umschalter als Eingangssignal bereitgestellt werden, wobei der Umschalter durch das erste Vergleichssystem geschaltet werden kann und das Ausgangssignal des Umschalters kann als Eingangssignal dem Schalter bereitgestellt werden, der mit seinem Ausgang an das Aktuator-System signalmäßig gekoppelt ist.

Gemäß einem Aspekt wird vorgeschlagen, dass das zweite Vergleichssystem eingerichtet ist, ein Ausgangssignal des dritten Subsystems, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem und/oder dem zweiten Subsystem und/oder dem dritten Subsystem, dem Aktuator-System bereitzustellen.

Damit kann einem Ausgang des Systems, bzw. beispielsweise dem Aktuator-System, ein gültiges Ausgangssignal bereitgestellt werden, auch wenn das erste Vergleichssystem das Ausgangssignal des ersten Subsystems und des zweiten Subsystems dem Ausgang des Systems, insbesondere dem Aktuator-System, nicht mehr bereitstellt.

Das zweite Vergleichssystem kann zum Bereitstellen des Ausgangssignals des dritten Subsystems an das Aktuator-System mit einem weiteren Schalter zum Schalten signalmäßig gekoppelt sein, um abhängig von einem erkannten Fehler das Ausgangssignal des dritten Subsystems dem Aktuator-System bereitzustellen. Dazu kann das Ausgangssignal des dritten Subsystems dem weiteren Schalter als Eingangssignal bereitgestellt werden, wobei der weitere Schalter durch das zweite Vergleichssystem geschaltet werden kann und das Ausgangssignal des weiteren Schalters kann als Eingangssignal mit seinem Ausgang an das Aktuator-System signalmäßig gekoppelt sein.

Gemäß einem Aspekt wird vorgeschlagen, dass das System zum Bereitstellen des Ausgangssignals einen ersten Eingang zum Bereitstellen eines Signals des ersten Sensorsystems aufweist; und einen zweiten Eingang zum Bereitstellen eines Signals des zweiten Sensorsystems aufweist; und eine erste Recheneinheit aufweist, wobei die erste Recheneinheit eingerichtet ist, mittels des ersten Subsystems und/oder des zweiten Subsystems, das Ausgangssignal und/oder ein Umfeldmodell des Umfelds der mobilen Plattform zu generieren. Zusätzlich weist das System zum Bereitstellen des Ausgangssignals eine zweite Recheneinheit auf, wobei die zweite Recheneinheit eingerichtet ist, mittels des dritten Subsystems, das Ausgangssignal und/oder das Umfeldmodell des Umfelds der mobilen Plattform zu generieren.

Weiterhin weist das System zum Bereitstellen des Ausgangssignals einen ersten Ausgang zur Bereitstellung von Steuersignalen der ersten Recheneinheit an das Aktuator-System und/oder an ein nachfolgendes System; und einen zweiten Ausgang zur Bereitstellung von Steuersignalen der zweiten Recheneinheit an das Aktuator- System und/oder an ein nachfolgendes System auf, wobei die erste Recheneinheit das erste Vergleichssystem aufweist, um wahlweise ein Ausgangssignal des ersten Subsystems oder des zweiten Subsystems an dem ersten Ausgang bereitzustellen. Die zweite Recheneinheit des Systems zum Bereitstellen des Ausgangssignals weist das zweite Vergleichssystem auf, um wahlweise ein Ausgangssignal des dritten Subsystems an dem zweiten Ausgang des Systems zum Bereitstellen des Ausgangssignals bereitzustellen.

Gemäß einem Aspekt kann die erste Recheneinheit und/oder die zweite Recheneinheit ein oder mehrere Systeme-On Chip aufweisen.

Insbesondere kann die erste Recheneinheit zur Bereitstellung der Funktionalität des ersten Subsystems und des zweiten Subsystems jeweils ein System-on-Chip aufweisen die zweite Recheneinheit kann zur Bereitstellung der Funktionalität des dritten Subsystems ein weiteres System on Chip aufweisen.

Gemäß einem Aspekt kann das Ausgangssignal ein beliebiges Signal für eine Steuerung eines nachgeschalteten Systems sein und/oder ein Umfeldmodell des Umfelds der mobilen Plattform sein und/oder eine Trajektorie, die insbesondere aus einer Planung einer Route für die mobile Plattform resultiert, sein und/oder Regelsignale für die mobile Plattform, um, mittels des Aktuators-Systems, bzw. einzelner Aktuatoren des Aktuators-Systems, eine Trajektorie abzufahren.

Es wird ein Steuergerät zur Verwendung in einem Fahrzeug vorgeschlagen, das eines der oben beschriebenen Systeme zum Bereitstellen eines Ausgangssignals aufweist. Dabei kann ein solches Steuergerät auch weitere Funktionen aufweisen.

Vorteilhafterweise kann mit einem solchen Steuergerät das System leicht in unterschiedliche mobile Plattformen, wie insbesondere automatisierte Fahrsysteme für die Fahrautomatisierungsstufen 3+, 4 und 5 (SAE J3016) integriert werden. Es wird eine mobile Plattform, und insbesondere ein zumindest teilautomatisiertes Fahrzeug, vorgeschlagen, das ein oben beschriebenes Steuergerät aufweist. Vorteilhafterweise kann eine so ausgestattete mobile Plattform alle oben beschriebenen Vorteile des Systems zum Bereitstellen des Ausgangssignals realisieren.

Es wird eine Verwendung eines der oben beschriebenen Systeme zum Generieren eines Umfeldmodells eines Umfelds einer mobilen Plattform vorgeschlagen.

Unter einer mobilen Plattform kann ein zumindest teilweise automatisiertes System verstanden werden, welches mobil ist, und/oder ein Fahrerassistenzsystem eines Fahrzeugs. Ein Beispiel kann ein zumindest teilweise automatisiertes Fahrzeug bzw. ein Fahrzeug mit einem Fahrerassistenzsystem sein. Das heißt, in diesem Zusammenhang beinhaltet ein zumindest teilweise automatisiertes System eine mobile Plattform in Bezug auf eine zumindest teilweise automatisierte Funktionalität, aber eine mobile Plattform beinhaltet auch Fahrzeuge und andere mobile Maschinen einschließlich Fahrerassistensystemen. Weitere Beispiele für mobile Plattformen können Fahrerassistenzsysteme mit mehreren Sensoren, mobile Multisensor- Roboter wie z.B. Roboterstaubsauger oder Rasenmäher, ein Multisensor- Überwachungssystem, eine Fertigungsmaschine, ein persönlicher Assistent oder ein Zugangskontrollsystem sein. Jedes dieser Systeme kann ein vollständig oder teilweise automatisiertes System sein.

Ausführungsbeispiele

Ein Ausführungsbeispiel der Erfindung wird mit Bezug auf die Figur 1 dargestellt und im Folgenden näher erläutert. Es zeigen:

Figur 1 ein System zum Bereitstellen eines Ausgangssignals;

Figur 2 ein Beispiel für einen Teil-Ausfall in dem System zum Bereitstellen eines Ausgangssignals mit; und

Figur 3 weitere Beispiele für Teil-Ausfälle in dem System zum Bereitstellen eines Ausgangssignals.

Die Figur 1 skizziert schematisch ein Steuergerät, insbesondere zur Verwendung in einer mobilen Plattform, wie beispielsweise in einem Fahrzeug, das ein System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform, aufweist. Das Steuergerät kann zum Generieren eines Umfeldmodells eines Umfelds der mobilen Plattform verwendet werden. Das Ausgangssignal kann ein beliebiges Signal für eine Steuerung eines nachgeschalteten Systems sein und/oder ein Umfeldmodell des Umfelds der mobilen Plattform sein und/oder eine Trajektorie, die insbesondere aus einer Planung einer Route für die mobile Plattform resultiert, sein und/oder ein Regelsignal für die mobile Plattform sein, um, mittels des Aktuators-Systems, bzw. einzelner Aktuatoren des Aktuators-Systems, eine Trajektorie abzufahren.

Das System 100 enthält ein erstes Subsystem 110, das geeignet ist das Ausgangssignal zu generieren, und das konfiguriert ist, signalmäßig mit einem ersten Sensorsystem 102 gekoppelt zu werden.

Weiterhin enthält das System 100 ein zweites Subsystem 120 zum Generieren des Ausgangssignals, das konfiguriert ist, signalmäßig mit dem ersten Sensorsystem 102 gekoppelt zu werden. Dabei ist das zweite Subsystem 120 konfiguriert, eine Funktionalität des ersten Subsystems 110 redundant bereitzustellen.

Weiterhin enthält das System 100 ein drittes Subsystem 130, zum Generieren des Ausgangssignals, wobei das dritte Subsystem konfiguriert ist, signalmäßig mit einem zweiten Sensorsystem 104 gekoppelt zu werden.

Das dritte Subsystem 130 ist konfiguriert, die Funktionalität des ersten Subsystems 110 und/oder des zweiten Subsystems 120 redundant bereitzustellen.

Alternativ oder zusätzlich kann das erste und das zweite Subsystem 110, 120 mit dem zweiten Sensorsystem 104 signalmäßig gekoppelt sein und/oder das dritte Subsystem 130 kann signalmäßig mit dem ersten Sensorsystem 102 gekoppelt sein, insbesondere kann das erste Sensorsystem 102 redundant zum zweiten Sensorsystem 104 sein.

Das erste Sensorsystem 102 und das zweite Sensorsystem 104 kann jeweils eine Vielzahl von Sensorsystemen beinhalten. Alternativ oder zusätzlich kann das erste Sensorsystem 102 gleich dem zweiten Sensorsystem 104 sein.

Zusätzlich enthält das System 100 ein erstes Vergleichssystem 210, das signalmäßig mit einem Ausgang des ersten Subsystems 110 und einem Ausgang des zweiten Subsystems 120 und einem Ausgang des dritten Subsystems 130 gekoppelt ist.

Ein zweites Vergleichssystem 220 des Systems 100 ist signalmäßig mit dem Ausgang des ersten Subsystems 110 und dem Ausgang des zweiten Subsystems 120 und dem Ausgang des dritten Subsystems 130 gekoppelt.

Das erste Vergleichssystem 210 und das zweite Vergleichssystem 220 sind signalmäßig gekoppelt, wie mit einem Doppelpfeil zwischen den Vergleichssystemen in den Figuren 1 bis 3 angedeutet ist, um insbesondere entsprechende Vergleichsergebnisse der jeweiligen Vergleichssystem mit 210, 220 bereitzustellen, und das erste Vergleichssystem 210 das zweite Vergleichssystem 220 sind konfiguriert, zumindest einen Fehler des ersten Subsystems 110 und/oder einen Fehler des zweiten Subsystems 120 und/oder einen Fehler des dritten Subsystems 130 zu erkennen und insbesondere das jeweilige fehlerhafte Subsystem 110, 120, 130 zu identifizieren.

Für das Erkennen eines Fehlers, insbesondere von zufälligen Hardware- Ausfallfehlern, können die redundant berechneten Ausgangssignale des ersten Subsystems 110 und des zweiten Subsystems 120 und des dritten Subsystem 130 verglichen werden. Durch einen solchen Vergleich mit dem beschriebenen ersten Vergleichssystem 210 und dem beschriebenen zweiten Vergleichssystem 220 kann zusätzlich das jeweilige Subsystem eindeutig identifiziert werden, in dem ein Fehler aufgetreten ist.

Mit dieser Fehlererkennung und Fehler-Lokalisierung kann das Subsystem mit dem Ausfall separat deaktiviert werden, wobei trotzdem zwei redundante Subsysteme, für ein redundantes Bereitstellen der Ausgangssignale erhalten bleiben, sodass ein weiterer Fehler detektiert werden kann.

Der Vergleich der Ausgangssignale selbst kann ein einfacher "Bit-gleich"- Vergleich sein, z. B. durch rechnerische Checksummenprüfung, alternativ oder zusätzlich kann der Vergleich der Ausgangssignale auch komplexer sein.

Zwischengeschaltete Vergleichsschritte bei der Berechnung der Ausgangssignale mit den jeweiligen Subsystemen können eine Latenzzeit für die Erkennung eines Fehlers selbst reduzieren. Zwischenvergleiche können den Aufwand für den Nachweis der Effektivität des Erkennungsmechanismus reduzieren und die Diagnoseabdeckung erhöhen.

Mit anderen Worten kann das zweite Subsystem 120 zusammen mit dem ersten Vergleichssystem 210 als erstes Detektions- und Back-up System 125 für das erste Subsystem 110 und/oder das dritte Subsystem 130 aufgefasst werden. Entsprechend kann das dritte Subsystem 130 zusammen mit dem zweiten Vergleichssystem 220 als zweites Detektion-und Back-up System 135 für das erste Subsystem 110 und/oder das zweite Subsystem 120 aufgefasst werden.

Das erste Subsystem 110 und das zweite Subsystem 120 und das erste Vergleichssystem 210 sind Teil einer ersten elektronischen Steuereinheit 410. Das dritte Subsystem 130 und das zweite Vergleichssystem 220 sind Teil einer zweiten elektronischen Steuereinheit 420. Dieses Aufteilen, insbesondere der beiden Vergleichssystem 210, 220, auf die erste elektronische Steuereinheit und die zweite elektronische Steuereinheit, d. h. die jeweiligen "compare, select, disable"- Mechanismen, können so erfolgen, dass Single Point of Failure, in Bezug auf eine Verfügbarkeit, vermieden werden.

Zur Erhöhung der Ausfallsicherung des Systems 100, wird elektrische Energie für die erste elektronische Steuereinheit 410 von einer ersten Stromversorgung 610 bereitgestellt und elektrische Energie für die zweite elektronische Steuereinheit 420 von einer zweiten Stromversorgung 620 bereitgestellt. Dabei sind die erste Stromversorgung 610 und die zweite Stromversorgung 620 eingerichtet, die elektrischen Energien unabhängig voneinander bereitzustellen. Insbesondere kann die erste Stromversorgung 610 und die zweite Stromversorgung 620 ein Aktuator-System 500, das redundante Aktuatoren beinhalten kann, jeweils redundante Aktuatoren zur Erhöhung der Ausfallsicherung entsprechend redundant mit elektrischer Energie versorgen.

Mit diesen zwei Stromversorgungen 610, 620, kann das System zum Bereitstellen des Ausgangssignals fehlertolerant und hoch verfügbar ausgelegt werden, indem die erste elektronische Steuereinheit 410 mit der ersten Stromversorgung 610 eingerichtet und konfiguriert ist, mit der entsprechend eingerichteten und konfigurierten zweiten elektronischen Steuereinheit 420 mit der zweiten Stromversorgung 620 entsprechend hoch verfügbar zusammenzuwirken.

Das erste Vergleichssystem 210 ist mit einem Umschalter 310, mit dem das erste Vergleichssystem 210 signalmäßig gekoppelt ist, eingerichtet, wahlweise ein Ausgangssignal des ersten Subsystems 110 oder ein Ausgangssignal des zweiten Subsystems 120, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem 110 und/oder dem zweiten Subsystem 120 und/oder dem dritten Subsystem 130, einem Aktuator-System 500 an einem Ausgang 415 des Systems 100 bereitzustellen.

Zusätzlich ist das erste Vergleichssystem 210 mit einem Schalter 320, mit dem das erste Vergleichssystem 210 signalmäßig gekoppelt ist, eingerichtet, das Ausgangssignal des ersten Subsystems 110 und das Ausgangssignal des zweiten Subsystems 120, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem 110 und/oder dem zweiten Subsystem 120 und/oder dem dritten Subsystem 130, dem Aktuator-System 500 an dem Ausgang 415 des Systems 100, entsprechend einem “fail silent mechanism“, bereitzustellen.

Zusätzlich ist das das zweite Vergleichssystem 220 mit einem Schalter 330, mit dem das zweite Vergleichssystem 220 signalmäßig gekoppelt ist, eingerichtet, ein Ausgangssignal des dritten Subsystems 130, abhängig von einem erkannten Fehler in dem jeweils identifizierten ersten Subsystem 110 und/oder dem zweiten Subsystem 120 und/oder dem dritten Subsystem 130, dem Aktuator-System 500 an einem Ausgang 425 des Systems 100, entsprechend einem “fail silent mechanism“, bereitzustellen.

Die Figur 2 skizziert schematisch, wie das System 100, bei einem Fehler in dem ersten Subsystem 110, mittels des ersten Vergleichssystems 210, das auf den Umschalter 310 wirkt, das redundant bestimmte Ausgangssignal des zweiten Subsystems 120 mit dem Ausgang 415 des Systems 100 verbindet, um es dem Aktuator System 500, anstelle des Ausgangssignals des ersten Subsystems 110, bereitzustellen.

Dazu vergleicht das erste Vergleichssystem 210 die Ausgangssignale des ersten Subsystems 110 und des zweiten Subsystems 120 und des dritten Subsystems 130 und schaltet beim Erkennen eines Fehlers, insbesondere eines zufälligen Hardware-Ausfallfehlers, den Umschalter 310 so, dass das Ausgangssignal des zweiten Subsystems 120 an dem Ausgang 415 des Systems 100 bereitgestellt wird.

Durch den Vergleich der drei Subsysteme 110, 120, 130 durch das erste Vergleichssystem 210 kann sowohl ein Fehler erkannt, als auch in dem entsprechenden Subsystem der drei Subsysteme 110, 120, 130 identifiziert werden.

Mit dieser Fehlererkennung und Fehler-Lokalisierung kann das Subsystem mit dem betreffenden Fehler, bzw. Ausfall, separat deaktiviert werden, wobei trotzdem zwei redundante Subsysteme, nämlich das zweite Subsystem 120 und das dritte Subsystem 130, für das Bereitstellen der Ausgangssignale und das Erkennen eines zweiten Fehlers erhalten bleiben.

Mit anderen Worten kann anhand eines Vergleichs von 3 unabhängigen Berechnungsspuren, mit Bezug auf einen zufälliger Hardware-ausfall in den drei Subsystemen 110, 120, 130, die Berechnungsspur, die den ersten Ausfall aufweist, eindeutig identifiziert werden.

Aufgrund der Fehlererkennung und -Lokalisierung kann die ausgefallene Lane (Berechnungspur), bzw. das betreffende Subsystem 110, 120, 130 separat abgeschaltet werden, ohne dass gleichzeitig beide redundanten Kommunikationskanäle zu den Aktoren verloren gehen.

D. h. mit dem System 100 verbleibt ein hoher Erfassungsbereich für einen zweiten Ausfall innerhalb einer EOTTI nach dem Auftreten eines ersten Fehlers.

Die Figur 3 skizziert schematisch einen reduzierten Erfassungsbereich für einen zweiten Ausfall innerhalb eines EOTTI des Systems 100 bei einem Fehler, bzw. Ausfall, in der ersten Stromversorgung 610 und/oder bei einem Fehler in dem ersten Vergleichssystem 210.

In diesen Fällen deaktiviert das erste Vergleichssystem 210 den Schalter 320, so dass weder vom ersten Subsystem 110 noch vom zweiten Subsystem 120 ein Ausgangssignal an dem Ausgang 415 des Systems 100 für ein Aktuator System 500 bereitgestellt wird.

Das zweite Vergleichssystem 220 ist konfiguriert und eingerichtet, sowohl den Fehler der Stromversorgung 610 als auch den Fehler des ersten Vergleichssystem 210 zu erkennen und zu identifizieren und schaltet das Ausgangssignal des dritten Subsystems 130, mittels des Schalters 330, mit dem das zweite Vergleichssystem 220 signalmäßig gekoppelt ist, auf einen Ausgang 425 des Systems 100, zur Bereitstellung an das Aktuator System 500.