用于自动化行驶的防止失效的E/E结构制造技术

本发明专利技术涉及一种带有第一计算单元和第二计算单元的系统，其中第一计算单元具有第一接口，以便与至少一个传感器和与至少一个执行器相连，其中第二计算单元具有第二接口，以便与至少一个传感器和与至少一个执行器相连，其中第一和第二计算单元能够通过另一个接口彼此相连，其中执行器具有端口，其中所述端口与第一或第二运行状态有关地确定是否从第一或从第二计算单元接收了用于行驶功能的控制命令，从而在第一运行状态中只有第一计算单元能够触发执行器，并且在第二运行状态中只有第二计算单元能够触发执行器。

E/E structure for preventing failure of automatic driving

The invention relates to a system with a first calculating unit and a calculation unit second, wherein the first calculating unit has a first interface to at least one sensor and connected with at least one actuator, which has second computing unit second to interface with at least one sensor and connected with at least one actuator, wherein the first and the second calculation unit to another interface connected to each other through the actuator has a port, wherein the port with the first or second operating state to determine whether from the first or from second calculation unit receiving the control commands for driving function, resulting in the first running, only the first calculating unit can trigger actuator in second, and the calculation in the running state of only second units can trigger actuator.

【技术实现步骤摘要】

本专利技术涉及一种按照专利权利要求1所述的带有两个计算单元的系统以及一种按照专利权利要求19所述的用于执行行驶功能的方法。
技术介绍
在现有技术中已知的是，通过以下方式来实现安全相关的系统，即所述系统在故障情况中过渡到安全的状态中。然后所述安全的状态通常没有功能且例如通过无电的或无能量的系统来表征。此外已知的系统是，在该系统中提供了在用于故障情况的计算能力方面的冗余。防止失效的系统在故障存在的情况下依旧保持其功能。已知的结构是：·3取2投票（2aus3Voting）·双模式-双重结构理论上，同样已知冷冗余和热冗余的应用。
技术实现思路
本专利技术的任务在于，提供一种用于掌控车辆中的自动化任务的系统。本专利技术的任务通过按照专利权利要求1所述的系统和按照专利权利要求19所述的方法来解决。在从属权利要求中说明了其它的实施方式。所描述的系统和所描述的方法的优点在于，保证的是，只有两个计算单元中的一个能够触发执行器。这通过以下方式实现，即第一计算单元和/或第二计算单元和/或执行器构造用于确定，是否第一或第二计算单元能够有效地触发执行器。在一个实施方式中，在第一计算单元的正确的功能中，第一运行状态是活跃的，并且只有第一计算单元能够有效地触发执行器，并且其中在第一计算单元的功能故障中第二运行状态是活跃的，并且只有第二计算单元能够有效地触发执行器。在一个实施方式中，执行器具有端口，其中所述端口确定的是，两个计算单元中的哪个可以将控制命令输出给执行器。以这种方式保证的是，只有实际上具有用于输出控制命令的许可的计算单元也能够将控制命令输出给执行器。另外在无故障的运行中，仅仅设置了第一计算单元。如果第一计算单元具有功能故障，则用于将控制命令输出给执行器的权利能够交接给第二计算单元。该作用方式尤其提供了在通过系统实施自动化的行驶功能时的优点。自动的行驶功能例如是车辆的自动的间距调节、自动的速度调节、自动的制动或自动的转向。自动化的行驶功能的特征在于，系统承担责任并且在出现故障时驾驶员不作为后备层面以供使用。在防止故障方面的另一个改进方案按照一个改型方案来实现，办法是，第二计算单元构造用于执行测试方法。测试方法例如在第一运行状态中执行，在该第一运行状态中，第一计算单元作为功能有效而适用。测试方法能够不仅包含第二计算单元的测试也包含第一计算单元的测试。系统的另一个改进方案通过以下方式实现，即测试方法涉及在第二和第一计算单元之间的通信，也就是说，第二计算单元测试的是，是否在第一和第二计算单元之间的通信正确地起作用。对此，在计算单元之间的测试数据能够得到交换。系统的另一个改进方案通过以下方式实现，即按照一个改型方案，第二计算单元借助于测试方法来检查自身的正确的作用方式。对此能够将确定的任务存放在存储器中，第二计算单元实施所述任务，其中任务的正确的结果同样存放在存储器中并且在完成任务之后由第二计算单元进行比较。在另一个实施方式中，如果识别出第一计算单元的功能故障，系统就由第一运行状态切换到第二运行状态中。功能故障能够例如由第一计算单元自身借助于相应的测试方法来检查和识别。此外当然第二计算单元也能够借助于测试方法已检查和识别出第一计算单元的功能故障。系统的另一个改进方案通过以下方式实现，即按照另一个实施方式，执行器构造用于，在存在第一和/或第二计算单元的功能故障的情况下将执行器控制到安全功能中或安全位置中。借助该措施可能的是，甚至在第一和第二计算单元失效的情况下，执行器本身例如借助于独立的执行器控制器或独立的电子线路可以借助安全功能来控制。安全功能的用处在于，遵循预先设定的安全条件。在另一个实施方式中设置了两个执行器控制器，其中两个执行器控制器与至少一个执行器处于有效连接中。此外，各个执行器控制器具有端口，第一和第二计算单元与该端口相连。以这种方式实现了用于执行器控制器的失效的另一个冗余。在另一个实施方式中通过以下方式减小了系统的故障易发性，即第一计算单元和第二计算单元与分离的电流供应系统相连。因此保证的是，在一个电流供应系统失效的情况下继续用电流供应两个计算单元中的至少一个。两个电流供应系统能够表示车载电网的子单元或表示完全分离的电流供应系统，该电流供应系统例如由电池或发电机（Lichtmaschine）供给。系统的另一个改进方案通过以下方式实现，即按照一个改型方案，第一计算单元构造用于，至少把用于检查正确的作用方式的输入数据提供给第二计算单元。由此实现了安全性的进一步提高，因为输入数据不是由第二计算单元提供，而是与第二计算单元无关地由第一计算单元提供。因此在输入数据的产生中的故障能够通过第二计算单元的功能故障而排除。在另一个实施方式中构造第一计算单元用以把用于行驶功能的所计算的控制传送给第二计算单元。还构造第二计算单元用以执行用于相同的控制的相同的计算。此外构造第二计算单元用以将自身所计算的结果与由第一计算单元所传送的控制相比较。借助于所述比较能够识别第一和/或第二计算单元的功能故障。系统的另一个改进方案通过以下方式实现，即按照一个构造形式设置了至少两个传感器，所述传感器冗余地测量相同的参数。此外，至少第一计算单元与第一传感器并且第二计算单元与第二传感器相连。由此能够比较参数的测量且识别传感器或者说计算单元的功能故障。在另一个实施方式中能够设置多个冗余的传感器，所述传感器至少部分地测量相同的参数，其中第一和第二计算单元与两个传感器的交集（Schnittmenge）相连。同样以这种方式，能够至少针对交集的传感器、通过将冗余地所获取的或者说由计算单元所求取的参数进行比较来执行计算单元的作用方式的检查或者说交集的参数的检查。如果例如仅仅在一个冗余的传感器副中识别出第一和第二计算单元的功能故障，其中另一个传感器副提供了正确的测量值，则能够定位传感器中的功能故障。但是如果交集的传感器副的多个传感器对第一和第二计算单元的检查得出了功能故障方面的指示，则这能够指示第一或第二计算单元的功能故障。在另一个实施方式中，能够改善自动化的行驶功能的用于交接要求的安全性。对此，用于实施自动化的行驶功能的交接要求通过分离的接口从HMI交接到两个计算单元。两个计算单元构造用于彼此分离地显示HMI的行驶功能的接管。此外HMI构造用于，如果两个计算单元显示的是，所述两个计算单元能够正确起作用并且实施行驶功能，则HIM就将自动化的行驶功能交接到第一计算单元。系统的安全性的另一个改进方案通过以下方式实现，即根据一个实施形式，如果第一计算单元自身被认为是功能有效且另外从第二计算单元得到的信息是，第二计算单元也是功能有效的，则第一计算单元就将自动化的行驶功能的接管发信号给HMI。此外，如果第二计算单元被认为是功能有效的且从第一计算单元得到的信息是，第一计算单元也被认为是功能有效的，则第二计算单元就将行驶功能的接管发送到HMI。以这种方式，在接管自动化的行驶功能之前，实现了第一和第二计算单元的实际的功能有效性的增高的保障。行驶功能本文档来自技高网...

【技术保护点】
带有第一计算单元（1）和第二计算单元（2）的系统，其中第一计算单元（1）具有接口，以便与至少一个传感器（3）和至少一个执行器（4）相连，其中第二计算单元（2）具有接口，以便与至少一个传感器（3）和至少一个执行器（4）相连，其中第一和第二计算单元（1、2）通过接口（5）彼此相连，其中第一计算单元（1）和/或第二计算单元（2）和/或执行器（4）被构造用于确定是否第一或第二计算单元（1、2）能够有效地触发执行器（4）。

【技术特征摘要】
2014.10.14 DE 102014220781.91.带有第一计算单元（1）和第二计算单元（2）的系统，其中第一计算单元（1）具有接口，以便与至少一个传感器（3）和至少一个执行器（4）相连，其中第二计算单元（2）具有接口，以便与至少一个传感器（3）和至少一个执行器（4）相连，其中第一和第二计算单元（1、2）通过接口（5）彼此相连，其中第一计算单元（1）和/或第二计算单元（2）和/或执行器（4）被构造用于确定是否第一或第二计算单元（1、2）能够有效地触发执行器（4）。
2.按照权利要求1所述的系统，其中执行器（4）具有端口（7），其中端口（7）与第一或第二运行状态有关地确定的是，是否从第一或从第二计算单元（1、2）接收用于行驶功能的控制命令，从而在第一运行状态中只有第一计算单元（1）能够触发执行器（4），并且在第二运行状态中只有第二计算单元（2）能够触发执行器（4）。
3.按前述权利要求中任一项所述的系统，其中在第一计算单元（1）的正确的功能中，第一运行状态是活跃的，并且只有第一计算单元（1）能够有效地触发执行器，并且其中在第一计算单元（1）的功能故障中第二运行状态是活跃的，并且只有第二计算单元（2）能够有效地触发执行器（4）。
4.按前述权利要求中任一项所述的系统，其中尤其在第一运行状态中构造第二计算单元（2）用以执行测试方法。
5.按照权利要求4所述的系统，其中测试方法涉及在第二和第一计算单元（1、2）之间的通信。
6.按照权利要求4或5所述的系统，其中测试方法涉及在第二计算单元（2）和执行器（4）之间的通信。
7.按照前述权利要求4到6中任一项所述的系统，其中测试方法涉及第二计算单元（2）的作用方式的检查。
8.按前述权利要求中任一项所述的系统，其中执行器（4）构造用于，在存在第一和/或第二计算单元（1、2）的功能故障的情况下，将执行器（4）控制到安全功能（8）中或安全位置中。
9.按前述权利要求中任一项所述的系统，其中设置了两个执行器控制器（17、18），其中两个执行器控制器（17、18）与至少一个执行器处于作用连接中，其中各个执行器控制器（17、18）与两个计算单元相连。
10.按前述权利要求中任一项所述的系统，其中第一和第二计算单元（1、2）由分离的电流供应系统（19、20）用电供应。
11.按前述权利要求中任一项所述的系统，其中第一计算单元（1）构造用于，将针对用于检查正确的作用方式的测试方法的输入数据提供给第二计算单元（2）。
12.按前述权利要求中任一项所述的系统...

【专利技术属性】
技术研发人员：T霍根米勒，T胡克，U克斯肯，A吕勒，H蒂尔斯纳，C格鲍尔，T拜萨尔，B米勒，V布拉施克，W尼姆，
申请(专利权)人：罗伯特·博世有限公司，
类型：发明
国别省市：德国;DE