高级驾驶员辅助系统的安全监测器技术方案

基于或使用开发中的软件的输出来操纵受监督车辆的方法，开发中的软件是ASIL‑分类功能的一部分，并且开发中的软件尚未完成所述ASIL‑分类功能的所述ASIL分类所需或高度需要的软件开发过程。提供了安全设备，其中提供了安全监测器，安全设备包括所述安全监测器，安全监测器根据特定软件开发要求来实施，所述特定软件开发要求是针对ASIL‑分类功能的ASIL分类所需的要求，安全监测器监测开发中的软件的输出，安全监测器将所述输出分类为安全的或不安全的，并在安全监测器将所述输出分类为不安全的情况下安全设备执行安全机制，所述安全机制使得受监督车辆不根据所述输出操纵，并在安全监测器将所述输出分类为安全的情况下，基于或使用所述输出操纵受监督车辆。

【技术实现步骤摘要】
高级驾驶员辅助系统的安全监测器
本专利技术涉及一种基于或使用开发中的软件的输出来操纵受监督车辆的方法，其中开发中的软件是ASIL-分类功能的一部分，其中例如ASIL-分类功能是ASILA-分类功能、或ASILB-分类功能、或ASILC-分类功能、或ASILD-分类功能，以及其中开发中的软件尚未完成所述ASIL-分类功能的所述ASIL分类所需要或高度需要的软件开发过程。此外，本专利技术涉及一种用于监测和控制受监督车辆中的开发中的软件的输出的设备（所谓的安全设备），其中开发中的软件是ASIL-分类功能的一部分，其中例如ASIL-分类功能是ASILA-分类功能、或ASILB-分类功能、或ASILC-分类功能、或ASILD-分类功能，以及其中开发中的软件尚未完成所述ASIL-分类功能的所述ASIL分类所需要或高度需要的软件开发过程，并且其中受监督车辆配置成根据所述开发中的软件的输出来进行操纵。如果车辆未被相应地控制，则所述输出可能是不安全的，并且因此可能导致受监督车辆的不安全操纵。最后，本专利技术涉及用于操纵受监督车辆的架构，其中该架构包括一个、两个或多个传感器、一个、两个或多个致动器。
技术介绍
现代汽车通常以数百万行代码的量级实施大量的软件。此软件中的一些是汽车中的安全关键或安全相关功能的一部分，例如，通常是自动巡航控制和致动器控制。为了确保安全，根据如例如在ISO26262标准中定义的严格的软件设计规则来开发这样的软件。特别地，所述ISO26262标准定义了从ASILA（最不关键的ASIL）到ASILD（最关键的ASIL）的汽车安全完整性等级（ASIL）。在汽车的设计时间期间，向安全相关和安全关键功能分配适当的ASIL，并且基于此ASIL分类，由ISO26262标准推荐或高度推荐了适当的软件开发机制。自然地，功能被分类得越关键，对于软件开发过程就被（高度）推荐得越严格。软件开发中的这种严格在成果（effort）方面是昂贵的，而且在开发时间方面也是昂贵的。
技术实现思路
本专利技术的目的是公开一种用于降低软件开发成本和软件开发时间的方法、设备和整体汽车车载软件/硬件架构。利用如上所述的方法来实现此目的，其中提供了一种安全设备，例如在于所述安全设备在受监督车辆中实施，其中提供了安全监测器，其中优选地，安全设备包括所述安全监测器，其中安全监测器根据特定软件开发要求来实施，其中所述特定软件开发要求是针对ASIL-分类功能的ASIL分类所需的要求，并且其中安全监测器监测开发中的软件的输出，并且安全监测器将所述输出分类为安全的或不安全的，并且其中安全设备在安全监测器将所述输出分类为不安全的情况下执行安全机制，其中所述安全机制使得受监督车辆不根据所述输出进行操纵，并且其中在安全监测器将所述输出分类为安全的情况下，基于或使用所述输出来操纵受监督车辆。此外，利用如上所述的设备来实现该目的，其中安全设备适配成执行所述开发中的软件，其中所述执行生成输出，或者其中不安全设备执行所述开发中的软件，从而生成输出，并且其中安全设备适配成借助于通信基础设施从不安全设备中接收所述输出，并且其中安全设备包括安全监测器，并且其中安全监测器根据特定软件开发要求来实施，其中所述特定软件开发要求是针对ASIL-分类功能的ASIL分类所需的要求，并且其中安全监测器适配成监测开发中的软件的输出，并且其中安全监测器适配成将所述输出分类为安全的或不安全的，并且其中安全设备适配成在安全监测器将所述输出分类为不安全的情况下执行安全机制，其中所述安全机制使得受监督车辆不根据所述输出进行操纵，并且其中在安全监测器将所述输出分类为安全的情况下，基于或使用所述输出操纵受监督车辆。最后，利用如上所提及的架构来实现该目的，其中架构包括安全设备，并且其中架构包括开发中的软件，其中所述开发中的软件在所述安全设备中执行，或者其中架构另外包括不安全设备，并且其中开发中的软件在所述不安全设备上执行，并且其中开发中的软件至少基于所述传感器的传感器读数而产生输出，其中可以通过向致动器提供所述输出来基于或使用所述输出操纵受监督车辆，其中开发中的软件是ASIL-分类功能的一部分，其中例如ASIL-分类功能是ASILA-分类功能、或ASILB-分类功能、或ASILC-分类功能、或ASILD-分类功能，以及其中开发中的软件尚未完成所述ASIL-分类功能的所述ASIL分类所需要或高度需要的软件开发过程，并且其中安全设备被配置为如上所述的设备，并且其中安全设备适配成在安全监测器将所述输出分类为不安全的情况下执行安全机制，其中所述安全机制使得受监督车辆不根据所述输出进行操纵，并且其中在安全监测器将所述输出分类为安全的情况下，致动器基于或使用所述输出来操纵受监督车辆。开发中的软件的输出被监测，并且在所述安全监测器将所述输出分类为不安全的情况下，触发了包括在所述安全设备中的安全功能，并且所述安全功能使得所述输出既不被致动器使用，并且也不被用于操纵所述受监督车辆的目的的致动器处理元件使用。因此，当所述软件仍在开发中并且针对所述软件的ASIL鉴定过程未完成时，能够在汽车上部署用于ASIL-分类功能的所述软件。我们将这样的软件称为处于开发中的ASIL-分类功能，并且针对该功能，ASIL鉴定过程尚未完成“开发中的软件”。开发中的软件一旦部署在汽车上就具有通过产生输出来影响汽车的物理移动的能力。由于开发中的软件尚未完成ASIL鉴定，因此存在其输出可能以不安全的方式影响汽车移动的风险。这样的不安全影响可以是例如当输出导致汽车与街道上的物体碰撞时，导致汽车的乘客或汽车周围的其它人类受伤害。因此，本专利技术公开了保护机制，统称为“安全监测器”，其监测输出并且在所述安全监测器识别潜在地导致不安全行为的输出的那些情况下干涉输出。在这种上下文下，干涉意味着安全监测器禁止执行不安全输出。这可以例如通过安全监测器来实现，以在输出是不安全的情况下阻止该输出，并且以导致激活（或切换到）使用代替（不安全的）输出的输出的备用系统。优选地，开发中的软件限于高级驾驶员辅助功能和低于等级3的自动驾驶功能（根据SAEJ3016）。这意味着在开发中的软件SID的这些部署的情况下，驾驶员负责始终监测汽车行为并在危险情况下进行干涉。由此申请公开的方法特征在于，通过“安全监测器”的实施来实现开发中的软件的部署，所述“安全监测器”已经完全根据开发中的软件应当被开发到的（但是开发尚未完成的）ASIL要求来实施，并且所述“安全监测器”控制开发中的软件的输出。当安全监测器将开发中的软件的输出分类为“不安全”时，安全监测器可以修改所述输出。为了所述分类，所述安全监测器可以实施验证模块的可变集合。由此申请公开的设备是实施安全监测器的实体。所述设备可以被配置成实施安全监测器和开发中的软件两者，或者仅实施安全监测器。由此申请公开的汽车车载软件/硬件架构描述了在汽车中的所述方法和设备的实施方式选项。可以提供的是，安全监测器包括一个、两个或多个验证模块，其中所述一个、两个或多个验证模块各自对本文档来自技高网...

【技术保护点】
1.一种基于或使用开发中的软件（SID）的输出（SID-OUT）来操纵受监督车辆（SV）的方法，其中所述开发中的软件（SID）是ASIL-分类功能的一部分，其中例如所述ASIL-分类功能是ASIL A-分类功能、或ASIL B-分类功能、或ASIL C-分类功能、或ASIL D-分类功能，/n并且其中所述开发中的软件（SID）尚未完成针对所述ASIL-分类功能的所述ASIL分类所需要或高度需要的软件开发过程，/n其特征在于，/n提供了安全设备（S-DEV），例如在于所述安全设备（S-DEV）在所述受监督车辆（SV）中实施，/n其中提供了安全监测器（MON），其中优选地，所述安全设备（S-DEV）包括所述安全监测器（MON），其中所述安全监测器（MON）是根据特定软件开发要求来实施的，其中所述特定软件开发要求是针对所述ASIL-分类功能的所述ASIL分类所需的要求，以及/n其中所述安全监测器（MON）监测所述开发中的软件（SID）的所述输出（SID-OUT），并且所述安全监测器（MON）将所述输出（SID-OUT）分类为安全的或不安全的，/n并且其中所述安全设备（S-DEV）在所述安全监测器（MON）将所述输出（SID-OUT）分类为不安全的情况下执行安全机制（S-SW），其中所述安全机制（S-SW）使得所述受监督车辆（SV）不根据所述输出（SID-OUT）进行操纵，/n并且其中在所述安全监测器（MON）将所述输出（SID-OUT）分类为安全的情况下，基于或使用所述输出（SID-OUT）操纵所述受监督车辆（SV）。/n...

【技术特征摘要】
20191031 EP 19206483.01.一种基于或使用开发中的软件（SID）的输出（SID-OUT）来操纵受监督车辆（SV）的方法，其中所述开发中的软件（SID）是ASIL-分类功能的一部分，其中例如所述ASIL-分类功能是ASILA-分类功能、或ASILB-分类功能、或ASILC-分类功能、或ASILD-分类功能，
并且其中所述开发中的软件（SID）尚未完成针对所述ASIL-分类功能的所述ASIL分类所需要或高度需要的软件开发过程，
其特征在于，
提供了安全设备（S-DEV），例如在于所述安全设备（S-DEV）在所述受监督车辆（SV）中实施，
其中提供了安全监测器（MON），其中优选地，所述安全设备（S-DEV）包括所述安全监测器（MON），其中所述安全监测器（MON）是根据特定软件开发要求来实施的，其中所述特定软件开发要求是针对所述ASIL-分类功能的所述ASIL分类所需的要求，以及
其中所述安全监测器（MON）监测所述开发中的软件（SID）的所述输出（SID-OUT），并且所述安全监测器（MON）将所述输出（SID-OUT）分类为安全的或不安全的，
并且其中所述安全设备（S-DEV）在所述安全监测器（MON）将所述输出（SID-OUT）分类为不安全的情况下执行安全机制（S-SW），其中所述安全机制（S-SW）使得所述受监督车辆（SV）不根据所述输出（SID-OUT）进行操纵，
并且其中在所述安全监测器（MON）将所述输出（SID-OUT）分类为安全的情况下，基于或使用所述输出（SID-OUT）操纵所述受监督车辆（SV）。


2.根据权利要求1所述的方法，其中所述安全监测器（MON）包括一个、两个或多个验证模块（VM1-VM3），其中所述一个、两个或多个验证模块（VM1-VM3）各自对所述开发中的软件（SID）的所述输出（SID-OUT）执行一个或多个测试，并且其中在由所述验证模块执行的所述一个或多个测试指示所述输出（SID-OUT）是不安全的情况下，所述安全监测器向所述安全设备（S-DEV）的所述安全机制（S-SW）发出信号（S-CTRL）。


3.根据权利要求2所述的方法，其中所述验证模块（VM1-VM3）中的每个执行以下测试中的一个、两个、多个或全部：碰撞概率测试、车辆稳定性测试、合法性和规章测试、舒适性和便利性测试、能量效率测试、用户定义的偏好测试。


4.根据前述权利要求中任一项所述的方法，其中提供了判定装置（DM），其中优选地，所述安全监测器（MON）包括所述判定装置（DM），并且其中优选地，所述判定装置（DM）集成来自所述验证模块（VM1-VM3）的测试结果。


5.一种设备（S-DEV），所谓的安全设备，用于监测和控制受监督车辆（SV）中的开发中的软件（SID）的输出（SID-OUT），
其中所述开发中的软件（SID）是ASIL-分类功能的一部分，其中例如所述ASIL-分类功能是ASILA-分类功能、或ASILB-分类功能、或ASILC-分类功能、或ASILD-分类功能，
并且其中所述开发中的软件（SID）尚未完成针对所述ASIL-分类功能的所述ASIL-分类所需要或高度需要的软件开发过程，
并且其中所述受监督车辆（SV）配置成根据所述开发中的软件（SID）的所述输出（SID-OUT）进行操纵，
其特征在于
所述安全设备（S-DEV）适配成执行所述开发中的软件（SID），其中所述执行生成所述输出（SID-OUT），或者
其中不安全设备（US-DEV）执行所述开发中的软件（SID），从而生成所述输出（SID-OUT），并且其中所述安全设备（S-DEV）适配成借助于通信基础设施（COM）从所述不安全设备（US-DEV）接收所述输出（SID-OUT），
并且其中所述安全设备（S-DEV）包括安全监测器（MON），
并且其中所述安全监测器（MON）根据特定软件开发要求来实施，其中所述特定软件开发要求是针对所述ASIL-分类功能的所述ASIL分类所需的要求，并且
其中所述安全监测器（MON）适配成监测所述开发中的...

【专利技术属性】
技术研发人员：S·波莱德纳，
申请(专利权)人：TTTECH汽车股份公司，
类型：发明
国别省市：奥地利;AT