Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug

Die vorliegende Erfindung betrifft eine Steuereinrichtung, insbesondere für ein Fahrzeug, sowie ein Assistenzsystem zum (teil-) autonomen Fahren für ein Fahrzeug, welches eine erfindungsgemäße Steuereinrichtung umfasst.

Technologischer Hintergrund

Moderne Fortbewegungsmittel wie Kraftfahrzeuge oder Motorräder werden zunehmend mit Fahrerassistenzsystemen ausgerüstet, welche mit Hilfe von Sensorsystemen die Umgebung erfassen, Verkehrssituation erkennen und den Fahrer unterstützen, z. B. durch einen Brems- oder Lenkeingriff oder durch die Ausgabe einer optischen oder akustischen Warnung. Als Sensorsysteme zur Umgebungserfassung werden regelmäßig Radarsensoren, Lidarsensoren, Kamerasensoren oder dergleichen eingesetzt. Aus den durch die Sensoren ermittelten Sensordaten können anschließend Rückschlüsse auf die Umgebung gezogen werden, womit z. B. eine Objekt- und/oder Umgebungsklassifizierung bzw. ein Umfeldmodell erstellt werden kann. Aufgrund von aktuellen Automatisierungstrends bei der Automobilindustrie insbesondere im Bereich derartiger Assistenzsysteme bis hin zum autonomen Fahren lassen die Komplexität elektronischer und elektrischer Komponenten sowie die Anforderungen an deren Verfügbarkeit und funktionaler Sicherheit rapide anwachsen. Dabei ist die fehlerfreie Funktion der Komponenten im Einzelnen und die fehlerfreie Zusammenarbeit dieser Komponenten ausschlaggebend für einen fehlerfreien Verkehrsbetrieb. Bei der Zusammenarbeit von unterschiedlichen Komponenten und Funktionalitäten und Subfunktionalitäten ist insbesondere die Hard- und Softwarearchitektur von besonderer Bedeutung.

Im Bereich des (teil-) autonomen Fahrens werden über das Assistenzsystem ein Fahrweg bzw. eine zu fahrende Trajektorie (Fahrttrajektorie) und entsprechende Fahrbefehle berechnet, die das Fahrzeug dieser Fahrttrajektorie folgen lassen. Bei einem System mit Automatisierungsgrad Level 3, Level 4 oder Level 5 wird davon ausgegangen, dass das System auch eine solche (gültige, d. h. geprüfte) Fahrttrajektorie und entsprechende Fahrbefehle bereitstellt, wenn in der Hardware ein Fehler auftritt. In modernen Assistenzsystemen wird die Fahrttrajektorie in der Regel durch eine Software berechnet, die auf einem dedizierten System-on-Chip (SoC) läuft. Für die Gegenprüfung berechnet ein zweites SoC eine Referenztrajektorie bzw. einen Referenzkorridor. Wenn die Fahrttrajektorie und die Referenztrajektorie nicht übereinstimmen, wird die Steuerung an eine so genanntes Rückfallebene bzw. ein Rückfallsystem übergeben. Die Rückfallebene selbst besteht in der Regel wiederum aus zwei SoC, einem für die Berechnung der Fahrttrajektorie und einem für die Berechnung der Referenztrajektorie. Bei derartigen Ausgestaltungen werden daher zwei separate elektronische Steuergeräte (ECU; Electronic Control Unit) mit zwei leistungsstarken SoC in jedem Steuergerät benötigt. Dies führt zu hohem Materialaufwand und Materialkosten (z. B. vier SoC, zwei Gehäuse und dergleichen), hohen Produktionskosten (zwei separate ECU), hohem Stromverbrauch und somit hohen Stromkosten. Darüber hinaus kann eine weitere Übergabe der Steuerung an die Rückfallebene zu Unsicherheiten führen, da die Übergabe beispielsweise bis zu mehreren 100 ms dauern kann.

Druckschriftlicher Stand der Technik

Aus der DE 10 2018 209 833 A1 ist ein Verfahren für die Steuerung eines sicherheitsrelevanten Vorgangs bekannt, wobei für die Steuerung wenigstens zwei Mikrocontroller für wenigstens zwei Steuerstränge eingesetzt werden, wobei jeder der wenigstens zwei Mikrocontroller für die Steuerung des sicherheitsrelevanten Vorgangs ausgebildet wird. Die Mikrocontroller verarbeiten dabei die Daten wenigstens eines Sensors, der das reale Verhalten des jeweiligen Steuerstrangs erfasst. Ferner werden die Daten des jeweiligen Sensors oder davon abgeleitete Daten zwischen den beiden Mikrocontrollern ausgetauscht, wobei pro Mikrocontroller ein Entscheidermodul vorgesehenen ist, welches überprüft, ob die Daten der Sensoren konsistent sind.

Ferner sind auch aus US 2013 007513 A1 und US 2013 024721 A1 Verfahren bekannt, die sich mit der Erhöhung der Verfügbarkeit befassen, wobei Maßnahmen beschrieben werden, mit denen eine defekte Teilschaltung erkannt wird, um die Diagnosefähigkeit zu erhöhen.

Aufgabe der vorliegenden Erfindung

Die Aufgabe der vorliegenden Erfindung besteht nunmehr darin, eine gattungsgemäße Steuereinrichtung sowie ein entsprechendes Assistenzsystem für (teil-) autonomes Fahren zu Verfügung zu stellen, mit dem die Nachteile aus dem Stand der Technik überwunden werden, wobei der Materialaufwand und der Stromverbrauch in einfacher und kostengünstiger Weise verringert werden.

Lösung der Aufgabe

Die vorstehende Aufgabe wird durch die gesamte Lehre des Anspruchs 1 sowie der nebengeordneten Ansprüche gelöst. Zweckmäßige Ausgestaltungen der Erfindung sind in den Unteransprüchen beansprucht.

Die erfindungsgemäße Steuereinrichtung kann insbesondere für ein Fahrzeug verwendet werden und umfasst einen Berechnungsbereich und einen Überprüfungsbereich, wobei der Berechnungsbereich hergerichtet ist, um Trajektorien zu berechnen und Fahrbefehle auszugeben. Der Überprüfungsbereich umfasst zwei voneinander getrennte Überprüfungsplattformen, wobei die Überprüfungsplattformen jeweils eine Fahrbefehls- und Eingabeüberwachung zur Überwachung der berechneten Trajektorien und eine Kommunikationseinrichtung zur Verbindung der Überprüfungsplattformen untereinander und mit dem Berechnungsbereich umfasst. Daraus resultiert der Vorteil, dass nur eine zentrale Steuereinrichtung benötigt wird, anstatt zwei oder mehrere Steuereinrichtungen. Daraus ergeben sich eine erhöhte Verfügbarkeit (aufgrund reduzierter Anzahl von Komponenten) und somit eine erhöhte Zuverlässigkeit (aufgrund reduzierter Anzahl von Komponenten) sowie eine höhere diagnostische Abdeckung. Ferner werden weniger Steuergeräte pro Funktion benötigt, wodurch der Energieverbrauch und die Steuergerätekosten in besonderem Maße reduziert werden.

Die zentrale Steuereinrichtung kann dabei durch einen einzigen SoC oder alternativ ein Multichipmodul, umfassend mehrere Einzel-ICs (Chiplets), realisiert werden.

Gemäß einer bevorzugten Ausgestaltung der Erfindung sind als Überprüfungsplattformen eine Flauptplattform und eine Rückfallplattform vorgesehen. Dadurch wird eine nahtlose Übergabe vom normalen Betriebsmodus in den Notfallmodus bei Ausfall der Berechnungsplattform ohne Verzögerung ermöglicht werden. Daraus resultiert der Vorteil, dass ein schnelles Umschalten der Steuerung im Fehlerfall noch weiter begünstigt bzw. ermöglicht wird.

Vorzugsweise sind die Überprüfungsplattformen bzw. Flauptplattform und Rückfallplattform logisch und/oder funktional identisch.

Zweckmäßigerweise führen die Überprüfungsplattformen bzw. Flauptplattform und Rückfallplattform die Überwachung parallel aus.

Ferner kann die Überprüfungsplattform mindestens eine Sicherheitseinheit zur Fehlererkennung aufweisen, wobei eine Überprüfungsplattform durch die Sicherheitseinheit in einen ausfallsleisen Zustand gebracht wird, sobald die Sicherheitseinheit einen Fehler in dieser Überprüfungsplattform erkennt.

Vorzugsweise sendet die Sicherheitseinheit der Flauptplattform Informationen über ihren internen Status an die Rückfallplattform und umgekehrt. Zweckmäßigerweise umfasst die Fahrbefehls- und Eingabeüberwachung eine Sicherheitseinheit, welche Fehlermeldungen der Überprüfungsplattform empfängt und die entsprechende Überprüfungsplattform in einen ausfallsleisen Zustand versetzt, sobald der Sicherheitseinheit ein Fehler mitgeteilt wurde.

Ferner kann die Fahrbefehls- und Eingabeüberwachung eine zentrale Recheneinheit aufweisen, die im Flardware-Lockstep implementiert sein kann.

Gemäß einer bevorzugten Ausgestaltung der Steuereinrichtung umfasst der Berechnungsbereich mehrere, insbesondere drei unabhängige, Rechnerplattformen. Dadurch werden nur drei (Flochleistungs-)

Rechnerplattformen benötigt, im Gegensatz zum bisherigen Stand der Technik, wonach in der Regel mehr als vier Flochleistungs-Rechnerplattformen vorgesehen sind. Dabei wird die Nutzung vielfältiger Softwareprogramme auf den drei Rechnerplattformen ermöglicht, wobei die Nutzung diverser Software die ASIL-Zersetzung erleichtern kann. Dadurch wird zudem die Nutzung vielfältiger Flardware in den drei Rechnerplattformen ermöglicht (insbesondere wird die Nutzung verschiedener Flardwarebestandteile der ASIL-Dekomposition ermöglicht und es wird eine optimale Anpassung der Leistung an die Anforderungen der entsprechenden Software erzielt). Hierdurch wird der Softwareentwicklungsprozess in besonderem Maße verbessert und/oder vereinfacht.

Vorzugsweise umfasst eine Rechnerplattform eine Verarbeitungseinheit zur Datenverarbeitung, einem Speicher, insbesondere zur Speicherung von Programmen und/oder Daten der Verarbeitungseinheit, sowie eine Kommunikationseinrichtung, insbesondere zur Kommunikation bzw. Datenübertragung von Einheiten des Berechnungsbereichs und/oder Einheiten des Überprüfungsbereichs.

Zweckmäßigerweise kann jede Rechnerplattform die Berechnung der Trajektorien und des jeweiligen Fahrbefehls unabhängig von den anderen Rechnerplattformen ausführen. Ferner kann jede Rechnerplattform des Berechnungsbereichs über eine separate Versorgungsspannung versorgt wird.

Dadurch, dass die Versorgungsspannungen durch mindestens zwei unabhängige Versorgungsnetze bereitgestellt werden, wird eine zusätzliche Absicherung geschaffen, da im Falle eines Ausfalls eines Versorgungsnetzes immer noch eine Versorgungsspannung über das andere Versorgungsnetz bereitgestellt werden kann. Diese Ausgestaltung stellt eine besonders vorteilhafte Variante dar, insbesondere in Bezug zur „Single-Chip“ oder auch Chiplet-basierten Multichipmodul (MCM) Integration“, da in bekannten Systemen stets darauf geachtet werden muss, dass die Signale der verschiedenen Versorgungsnetze bzw. „Powerdomains“, die im Fehlerfall nicht versorgt werden, nicht zu zusätzlichen unerwarteten Fehlern führen.

Vorzugsweise weist dabei jede Rechnerplattform des Berechnungsbereichs ein separates Taktgenerationssystems auf. Dadurch wird die Wahrscheinlichkeit eines Ausfalls des Gesamtsystems aufgrund des Ausfalls eines Taktgenerationssystems vermieden.

Gemäß einer bevorzugten Ausgestaltung der Steuereinrichtung kann die Kommunikation zwischen und innerhalb von Berechnungsbereich und Überprüfungsbereich anhand von EC-Codes und/oder End-to-End-ECC/EDC-Codes geschützt bzw. codiert werden.

Ferner kann die Kommunikationseinrichtung als „Network-on-Chip“ (NoC) ausgestaltet sein. Ein „Network-on-Chip“ ist dabei ein netzwerkbasiertes Kommunikationssubsystem auf einem integrierten Schaltkreis (IC) bzw. IC-Baustein, das in der Regel zwischen Modulen in einem „System-on-a-Chip“ (SoC) eingesetzt wird. Der Begriff „Network-on-Chip“ (NoC) nimmt i.S.d. Erfindung Bezug auf die bedarfsgerechte Anpassung des Netzwerks zwischen den Berechnungseinheiten, die in Bezug auf Latenz, Bandbreite, Safety- und Security-Anforderungen bedarfsgerecht qualitativ ausgelegt werden. Insbesondere wird i.S.d. Erfindung unter „Network-on-Chip“ (NoC) nicht die Vernetzung von Modulen mit bekannten Bussystemen verstanden (wie z. B. CAN, Flexray, Ethernet), die z. B. bei bisherigen Lösungen mit verteilten Steuergeräten angestrebt werden.

Zweckmäßigerweise kann die Überprüfung der berechneten Trajektorie und des jeweiligen Fahrbefehls durch einen Vergleichstest, insbesondere einen 2oo3-Vergleichs, überprüft werden. Der Vergleichsvorgang ermöglicht dabei eine Abweichung bzw. Toleranz in Wert und Zeit zwischen den Daten, die von den drei Rechnerplattformen empfangen werden. Alternativ kann natürlich auch jede andere aus dem Stand der Technik bekannte Vergleichsmethode eingesetzt werden, z. B. auch 2oo4 oder dergleichen. Dabei kann eine Triplikenfunktion und ein Vergleich der Ergebnisse durch replizierte Vergleichseinheiten bewirkt werden.

Beschreibung der Erfindung anhand von Ausführungsbeispielen.

Im Folgenden wird die Erfindung anhand von zweckmäßigen Ausführungsbeispielen näher erläutert. Es zeigen:

Fig. 1 eine vereinfachte schematische Darstellung einer Ausgestaltung eines Fahrzeuges mit einer erfindungsgemäßen Steuereinrichtung;

Fig. 2 eine vereinfachte schematische Darstellung einer Ausgestaltung eines Fahrsicherheitskonzepts eines autonomen L3/L4-Systems gemäß dem Stand der Technik;

Fig. 3 eine vereinfachte schematische Darstellung einer Ausgestaltung einer erfindungsgemäßen Steuereinrichtung umfassend einen Berechnungsbereich und einen Überprüfungsbereich;

Fig. 4 eine vereinfachte schematische Darstellung einer Ausgestaltung einer Fahrbefehls- und Eingabeüberwachung einer erfindungsgemäßen Steuereinrichtung; Fig. 5 eine vereinfachte schematische Darstellung einer Ausgestaltung des Versorgungsprinzips einer erfindungsgemäßen Steuereinrichtung, sowie

Fig. 6 eine vereinfachte schematische Darstellung einer Ausgestaltung des Taktgenerationsprinzips einer erfindungsgemäßen Steuereinrichtung.

Bezugsziffer 1 in Fig. 1 bezeichnet ein Fahrzeug mit verschiedenen Aktoren (Lenkung 3, Motor 4, Bremse 5), welches eine erfindungsgemäße Steuereinrichtung 2 (ECU, Electronic Control Unit oder ADCU, Assisted and Automated Driving Control Unit) aufweist, durch die eine (teil-) automatisierte Steuerung des Ego-Fahrzeuges 1 erfolgen kann, z. B. indem die Steuereinrichtung 2 auf die Aktoren des Ego-Fahrzeuges 1 zugreifen kann. Zudem weist die Steuereinrichtung 2 eine Speichereinheit auf, um z. B. einen Algorithmus, Steueranweisungen oder Muster zu speichern. Ferner weist das Ego-Fahrzeug 1 Sensoren zur Umfelderfassung auf: einen Radarsensor 6, einen Lidarsensor 7 und eine Frontkamera 8 sowie mehrere Ultraschallsensoren 9a-9d, deren Sensordaten zur Umfeld- und Objekterkennung genutzt werden, sodass verschiedene Assistenzfunktionen, wie z. B. Notbremsassistent (EBA, Electronic Brake Assist), Abstandsfolgeregelung (ACC, Adaptive Cruise Control), Spurhalteregelung bzw. ein Spurhalteassistent (LKA, Lane Keep Assist), Parkassistent oder dergleichen, realisiert werden können. Die Ausführung der Assistenzfunktionen erfolgt dabei über die Steuereinrichtung 2 bzw. dem dort hinterlegten Algorithmus.

In Fig. 2 ist eine Ausgestaltung des Grundprinzips eines Fahrsicherheitskonzepts eines autonomen L3/L4-Systems gemäß dem Stand der Technik dargestellt. Das Konzept sieht dabei einen Hauptpfad 101 und eine Rückfallebene 102 vor, wobei über den Hauptpfad 101 die zu fahrende Trajektorie berechnet wird (Trajektorienberechnung 106). Hauptpfad 101 und Rückfallebene 102 sind dabei als zwei separate Steuereinrichtungen ausgestaltet, die insgesamt vier Hochleistungs-SoC umfassen. Ferner umfasst der Hauptpfad 101 einen Monitor 107, der den Verlauf der berechneten Trajektorie überprüft und ob dieser voraussichtlich in einen Ruhezustand übergeht, wenn ein interner Fehler auftritt. Ein Entscheidermodul 110 tauscht dabei Statusinformationen und Überwachungsdaten mit einem Entscheidermodul 111 der Rückfallebene 102 aus. Die Rückfallebene 102 übernimmt beim Ausfall des Hauptpfades 101 die Fahrzeugsteuerung, so dass Trassensteuerung, Lenkungssteuerung, Bremsanlagensteuerung und Antriebsstrangsteuerung über einen redundanten Kommunikationskanal (z. B. über CAN Anschluss) erfolgen kann, wobei die Rückfallebene 102 hierzu ebenfalls eine Trajektorienberechnung 108 und einen Monitor 107 umfasst. Die Aktuatoren (Lenkung 103, Motor 104, Bremse 105) erhalten somit von beiden Pfaden Befehle. Durch die Ausgestaltung mit zwei separaten Steuereinrichtungen und vier Hochleistungs-SoC ergeben sich negative Auswirkungen in Hinblick auf Energieverbrauch und Kostenaufwand.

In Fig. 3 ist eine Ausgestaltung einer erfindungsgemäßen Steuereinrichtung 2 dargestellt, die einen Berechnungsbereich 10 (Compute-Domain bzw. High Performance Computing Zone mit Triplication SW Lockstep) und einen Überprüfungsbereich 11 (Check/Input/Output bzw.

Prüfen/Eingabe/Ausgabe-Domain) umfasst. Der Berechnungsbereich 10 berechnet dabei die Fahrspuren bzw. Trajektorien und gibt die entsprechenden Fahrempfehlungen bzw. Fahrbefehle aus. Der Überprüfungsbereich 11 überprüft die Integrität der von den externen Steuergeräten und Sensoren des Fahrzeugs empfangenen Eingabedaten und stellt die geprüften Eingabedaten an den Berechnungsbereich 10 zur Verfügung. Die Realisierung kann dabei durch einen SoC (Single-Chip) oder ein MCM (Multichipmodul) mit mehreren Chips bzw. Chiplets erfolgen. Ein MCM umfasst dabei in der Regel mehrere einzelne (Mikro-) Chips (bzw. „Dies“), die in einem gemeinsamen Gehäuse nebeneinander (d. h. planar) untergebracht sind.

Der Überprüfungsbereich 11 stellt sowohl die einfach empfangen Eingabedaten wie auch die redundant über beide Kommunikationskontroller 16a und 16b empfangenen Eingabedaten, wie sie in zonenbasierten Fahrzeugarchitekturen mit redundanten Netzwerken auftreten, dem Berechnungsbereich 10 zur Verfügung.

Darüber hinaus prüft der Überprüfungsbereich 11 die vom Berechnungsbereich 10 berechneten Ausgabedaten. Außerdem werden sicherheitsrelevante Zusatzinformationen (z. B. Prüfsummen, Zeitstempel, Nachrichtennummer) für Ausgabedaten berechnet, die an externe Steuergeräte und Aktuatorsteuergeräte (z. B. Steuergeräte für Lenkung, Motor oder Bremse) des Fahrzeugs gesendet werden können.

Der Berechnungsbereich 10 besteht aus drei unabhängigen Rechnerplattformen 12a-12c. Jede Rechnerplattformen 12a-12c umfasst vorzugsweise Verarbeitungseinheiten (z. B. CPU (Central Processing Unit bzw. Hauptprozessor), GPU (Graphics Processing Unit bzw. Grafikprozessor), dedizierte Co-Prozessoren als AI (Artificial Intelligence)-Beschleuniger, DSP (Digital Signal Processor)), Speicher (z. B. RAM (Random-Access Memory) oder SRAM (Static Random-Access Memory bzw. statisches RAM) oder DRAM (Dynamic Random-Access Memory bzw. dynamisches RAM) zur Speicherung der von den Verarbeitungseinheiten auszuführenden Computerprogrammen und Daten, die von den Computerprogrammen verarbeitet werden, Peripheriemodule, die für die Programmausführung benötigt werden (Timer, Interrupt Controller, DMA-Controller) sowie eine Kommunikationseinrichtung (z. B. Interconnect-System) zur Herstellung der Kommunikation zwischen den genannten Komponenten. Beispielsweise kann die Kommunikationseinrichtung, wie in Fig. 3 gezeigt, als sogenanntes „Netzwerk auf einem Chip“ oder „Network-on-Chip“ (NoC) ausgestaltet sein. Jede Rechnerplattform führt Software für die Trajektorienplanung und die Berechnung des jeweiligen Fahrbefehls unabhängig von den (beiden) anderen Rechnerplattformen aus. Die Projektarchive und die Befehle werden dann an den Überprüfungsbereich 11 gesendet. Der Inhalt der Nachrichten kann z. B. durch EC-Codes (ECC: Error Correction Code) geschützt werden. Ferner kann die Kommunikation über die Verbindungsleitungen durch

End-to-End-ECC/EDC-Codes geschützt werden. Darüber hinaus ist die Reaktion auf einen ECC/EDC-Fehler programmierbar.

Der Überprüfungsbereich 11 umfasst zwei voneinander getrennte Überprüfungsplattformen, eine Hauptplattform 13 und eine Rückfallplattform 14, die vorzugsweise logisch und/oder funktional identisch sind. Jede Überprüfungsplattform umfasst dabei eine Fahrbefehls- und Eingabeüberwachung (Driving command & Input-Monitor) 15a, 15b und einen Kommunikationscontroller 16a, 16b (z. B. Ethernet, FlexRay, CAN oder dergleichen) sowie ebenfalls eine Kommunikationseinrichtung (z. B. NoC, wie in Fig. 3 dargestellt), um die Komponenten untereinander und mit dem Berechnungsbereich 10 zu verbinden.

Jede Fahrbefehls- und Eingabeüberwachung 15a, 15b umfasst Flardware und Software zur Überprüfung der Integrität der von Sensoren empfangenen Eingabedaten (z. B. Prüfsummen, Zeitstempel, Message-ID oder dergleichen) und der Bereitstellung verifizierter Daten zur Berechnung der Domäne in einem Pufferspeicher, zum Vergleichen der Fahrbahn mit dem Fahrbefehl und zum Flinzufügen sicherheitsrelevanter zusätzlicher Informationen (z. B. Prüfsummen, Zeitstempel, Nachrichtennummer oder dergleichen) für Daten, die an eine externe Steuereinheit bzw. ECU übermittelt werden können.

Die Trajektorie und der Fahrbefehl können z. B. durch einen „2oo3“ (two out of three / zwei aus drei)-Vergleichs-Mehrheitsvotum überprüft werden. Der Vergleichsvorgang ermöglicht dabei eine Abweichung bzw. Toleranz in Wert und Zeit zwischen den Daten, die von den drei Rechnerplattformen empfangen werden.

Außerdem enthält die Fahrbefehls- und Eingabeüberwachung 15a, 15b (Driving Command & Input Monitor) Hard- und/oder Software zur permanenten Selbstüberwachung für den korrekten Betrieb, wie in Fig. 4 anhand der Fahrbefehls und Eingabeüberwachung 15a dargestellt. Die zentrale Recheneinheit (z. B. CPU, Prozessor, Mikrokontrollern oder dergleichen) wird im Hardware-Lockstep implementiert und der korrekte Betrieb wird durch Vergleichseinheiten überwacht. Der Begriff Lockstep beschreibt dabei die Methode zur Fehlertoleranz und Fehlererkennung in der Hardware, welche durch den Einsatz mehrerer gleicher oder gleichartiger Einheiten wie CPU-Kerne in Mehrkernprozessoren erreicht wird. Die Speichereinheiten (RAM) können dabei z. B. durch ECC-Codes geschützt werden, die von ECC/EDC-Prüfeinheiten 17a, 17b berechnet und/oder überprüft werden. Die Interconnect-Kommunikation wird zudem durch End-to-End-ECC/EDC-Codes geschützt, die von einer speziellen ECC/EDC-Prüfeinheit bzw. einem Sicherheitsmodul 18 (Security Module) berechnet und/oder überprüft werden. Falls eine der oben genannten (Hardware-) Sicherheitsmechanismen eine Funktionsstörung erkennt, signalisiert die ECC/EDC-Prüfeinheit 17a, 17b die Funktionsstörung an eine Sicherheitseinheit 19. Die Sicherheitseinheit 19 bringt die entsprechende Überprüfungsplattform dann in einen ausfallsleisen Zustand - einen sogenannten Fail-Silent-State, das heißt in einen Zustand, in dem die Funktion nicht durchgeführt wird. Dementsprechend stellt dieses System ein Fail-Silent-System dar, wobei es sich um einen Systemtyp handelt, der entweder den richtigen Dienst bzw. die fehlerfreie Funktion oder überhaupt keinen Dienst bzw. keine Funktion bereitstellt.

Ferner sendet die Sicherheitseinheit 19 der Hauptplattform 13, insbesondere in festlegbaren Intervallen, Informationen über ihren internen Status an die Rückfallebene bzw. die Rückfallplattform 14 und umgekehrt. Im „normalen“, d. h. fehlerfreien, Betriebsmodus werden alle genannten Aktionen von der Hauptplattform 13 und von der Rückfallplattform 14 parallel ausgeführt. Optional kann das Senden von Daten an externe Steuergeräte im normalen Betriebsmodus für die Rückfallplattform 14 deaktiviert werden, falls dies erforderlich ist. Erkennt eine Sicherheitseinheit 19 einer Überprüfungsplattform (d. h. der Hauptplattform 13 oder der Rückfallplattform 14) einen Fehler, bringt sie die entsprechende Überprüfungsplattform in einen ausfallsleisen Zustand (Fail-Silent-State) und signalisiert dies über ein konstant bewertetes Signal an die Sicherheitseinheit 16 der anderen Überprüfungsplattform. Beispielsweise erkennt die Sicherheitseinheit 19 der Hauptplattform 13 einen Fehler, bringt sie die entsprechende Hauptplattform 13 in einen ausfallsleisen Zustand (Fail-Silent-State) und signalisiert dies über ein konstant bewertetes Signal an die Sicherheitseinheit 19 der Rückfallplattform 14.

Um das Risiko eines Funktionsverlusts aufgrund eines Versorgungsausfalls zu vermeiden, kann jede der drei Rechnerplattformen des Berechnungsbereichs 10 über separate Versorgungsspannungen versorgt werden, wie in Fig. 5 gezeigt. Die aus den separaten Versorgungsspannungen resultierenden drei Versorgungsspannungen V1-V3 stammen aus zwei unabhängigen Versorgungsnetzen 20a, 20b im Fahrzeug, die einen Überspannungsschutz 21a, 21 b aufweisen können. Gemäß dem Stand der Technik werden in aktuellen Fahrzeugen, die autonomes Fahren anbieten, lediglich zwei unabhängige Versorgungsnetze eingesetzt. Die beiden Über-prüfungsplattformen des Überprüfungsbereichs 11 werden ebenfalls über zwei separate Versorgungsspannungen betrieben. Bei Unterspannung kann der versorgte Bereich bzw. die versorgte Domäne auf „Reset“ gesetzt (d. h. zurückgesetzt) werden. Zusätzlich kann bei Ausfall einer der drei Spannungsversorgungen unter Verwendung von bekannten Schaltungstechniken sichergestellt werden, dass Signale, die eine der drei Rechenplattformen des Berechnungsbereiches 10 verlassen, unter Verwendung des Fehlersignals für die Spannungsversorgung in einen vorher definierten Signalpegel für diesen Fehlerfall geschaltet werden. Ebenso wird jede der drei Rechnerplattformen 12a-12c des Berechnungsbereichs

10 durch ein eigenes Taktgenerationssystem überwacht, um das Risiko eines Funktionsverlusts aufgrund eines Systemausfalls eines einzigen Taktgenerationssystems zu vermeiden. Das Taktgenerationssystem kann dabei, wie in Fig. 6 gezeigt, eine CMU (Clock Multiplier Unit) mit PLL (Phase-Locked Loops) umfassen. Die beiden Überprüfungsplattformen des Überprüfungsbereichs

11 werden ebenfalls von zwei verschiedenen Taktgenerationssystemen überwacht.

Zusammenfassend wird durch die vorliegende Erfindung ein System zur Verfügung gestellt, das in der Lage ist, das Auftreten eines System internen Fehlers zu erkennen und trotzdem den normalen Betrieb fortsetzen kann (sofern kein zweiter unabhängiger Fehler auftritt). Ausdrücklich kann die vorliegende Erfindung somit neben dem Bereich der Fahrerassistenzsysteme in allen Bereichen eingesetzt werden, in denen ein betriebssicheres System für sicherheitskritische Zwecke erforderlich ist, z. B. in Luftfahrt, Schifffahrt, chemische Produktionsprozesse, Kraftwerke und dergleichen. Darüber hinaus kann die vorliegende Erfindung Anwendung finden in allen Bereichen, in denen ein ausfallsicheres System für kommerzielle/verfügbare Zwecke von Vorteil sein kann (industrielle Automatisierung, Gebäudeautomation und dergleichen).

Ferner ermöglicht die vorliegende Erfindung ein verzögerungsfreies Umschalten der Steuerung im Fehlerfall - was ein besonderes Problem im Bereich des automatisierten Fahrens darstellt. Hierzu muss in der Regel innerhalb von wenigen Millisekunden zwischen der aktuell genutzten Signalkette (z. B. der Hauptplattform) und einem redundanten Sekundärpfad (z. B. Rückfallplattform) umgeschaltet werden - Andernfalls wäre das Fahrzeug über einen zu langen Zeitraum "fahrerlos". Eine (nahezu) verzögerungsfreie Umschaltung kann in herkömmlicher weise jedoch nicht ohne Weiteres erreicht werden. Ferner wird zur Absicherung des Gesamtsystems der defekte Pfad ermittelt, wobei es nicht ausreichend ist, erneut zu initialisieren („Reset“ ausführen), da sich das System auch nach dem Reset wahrscheinlich erneut in dem fehlerhaften Pfad wiederfinden wird. Somit wäre eine deterministische und minimale Umschaltzeit im Fehlerfall nicht gegeben. Ein Reset der Steuereinheit würde in jedem Fall eine neue Initialisierung des Systems erfordern, die mehrere Sekunden bis zu Minuten benötigen kann. In vorteilhafter Weise hat sich gezeigt, dass durch die beschriebene Erfindung ein Umschalten in der geforderten Zeit ermöglicht werden kann. Ein weiterer Vorteil ist, dass der redundante Pfad vorzugsweise die gleiche Architektur des Primärpfades aufweist. In besonderen Fehlerfällen kann auch auf Fail-Silent-State zurückgegriffen werden, wobei berücksichtigt wird, dass aufgrund der beschriebenen Architektur (insbesondere durch die Ausgestaltung als Gesamtsystem auf einem SoC oder MCM) sich vielfältige Möglichkeiten ergeben, die Diagnosemöglichkeit zur Bestimmung des Fehlers bzw. des fehlerhaften Schaltungsteils - und damit auch die Verfügbarkeit des Systems - zu erhöhen. Demgegenüber ist dies über getrennte ECU-Systeme in der Regel nicht realisierbar.

Der dabei eingesetzte Chip kann z. B. im Bereich von > 500 MHz getaktet werden. Durch die einfache Aufdopplung der Logik (im synchronized oder delayed Lock-Step) kann eine fehlerfreie Synchronisierung ermöglicht werden. Eine vorteilhafte Kombination der Nutzung der beiden Fehlermechanismen Lock-Step für Logic und CPU sowie Fehlererkennung bzw. ECC (Error Correcting Code) für den Speicher und regelmäßige Strukturen ist daher nicht ohne weiteres möglich. In vorteilhafter Weise hat sich dabei gezeigt, dass die Kombination der beiden bekannten Mechanismen den Kosten- und Energieaufwand in besonderem Maße verringern kann. Die einfache Anwendung der Aufdopplung kann dabei den defekten Pfad nicht identifizieren und eine sichere Aussage liefern, dass ein Defekt vorlag/vorliegt. Die aufgezeigte Lösung beschreibt somit eine neuartige Realisierung, um die geforderte Umschaltzeit und Diagnosemöglichkeit zu erreichen und stellt somit einen besonderen Beitrag insbesondere auf dem Gebiet der Steuereinrichtungen dar.

Bezugszeichenliste

1 Fahrzeug

2 Steuereinrichtung

3 Lenkung

4 Motor

5 Bremse

6 Radarsensor

7 Lidarsensor

8 Kamera

9a-9d Ultraschallsensor

10 Berechnungsbereich

11 Überprüfungsbereich

12a-12c Rechnerplattform

13 Hauptplattform

14 Rückfallplattform

15, 15b Fahrbefehls- und Eingabeüberwachung 16a 16b Kommunikationscontroller 17a, 17b ECC/EDC-Prüfeinheit 18 Sicherheitsmodul 19 Sicherheitseinheit

20a, 20b Versorgungsnetz 21a, 21b Überspannungsschutz 101 Hauptpfad 102 Rückfallebene

103 Lenkung

104 Motor

105 Bremse

106 T rajektorienberechnung

107 Monitor

108 T rajektorienberechnung Monitor

Entscheidermodul

Entscheidermodul