Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD AND CONTROL SYSTEM
Document Type and Number:
WIPO Patent Application WO/2015/154913
Kind Code:
A1
Abstract:
The present invention discloses a method for starting up a function implemented in distributed fashion on a number of computation devices in a control system having at least two computation devices that are coupled by means of a data communication connection, involving provision of output parameters for a number of output variables of the respective computation device, wherein the output variables form function variables for the function, checking, for each input variable of one of the computation devices, which has an associated output variable from one of the further computation devices, whether the output parameters of the output variables correspond to prescribed input parameters of the respective input variables, and start-up of the function if the output parameters of the output variables correspond to the prescribed input parameters of the respective input variables. In addition, the present invention discloses a corresponding control system.

Inventors:
HÖFIG KAI (DE)
ARMBRUSTER MICHAEL (DE)
Application Number:
PCT/EP2015/053914
Publication Date:
October 15, 2015
Filing Date:
February 25, 2015
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AG (DE)
International Classes:
G05B23/02
Domestic Patent References:
WO2009152282A12009-12-17
Foreign References:
US20120330501A12012-12-27
Other References:
SCHNEIDER D ET AL: "Runtime Safety Models in Open Systems of Systems", DEPENDABLE, AUTONOMIC AND SECURE COMPUTING, 2009. DASC '09. EIGHTH IEEE INTERNATIONAL CONFERENCE ON, IEEE, PISCATAWAY, NJ, USA, 12 December 2009 (2009-12-12), pages 455 - 460, XP031610045, ISBN: 978-0-7695-3929-4
SODERBERG ANDREAS ET AL: "Safety contract based design of software components", 2013 IEEE INTERNATIONAL SYMPOSIUM ON SOFTWARE RELIABILITY ENGINEERING WORKSHOPS (ISSREW), IEEE, 4 November 2013 (2013-11-04), pages 365 - 370, XP032533593, DOI: 10.1109/ISSREW.2013.6688922
CHEN D ET AL: "Integrated safety and architecture modeling for automotive embedded systems ; Integrierte Sicherheits- und Architekturmodelle fà 1/4 r automotive eingebettete Systeme", E & I ELEKTROTECHNIK UND INFORMATIONSTECHNIK, SPRINGER-VERLAG, VIENNA, vol. 128, no. 6, 1 June 2011 (2011-06-01), pages 196 - 202, XP019933026, ISSN: 1613-7620, DOI: 10.1007/S00502-011-0007-7
MARTIN HILLENBRAND ET AL: "An approach for rapidly adapting the demands of ISO/DIS 26262 to electric/electronic architecture modeling", RAPID SYSTEM PROTOTYPING (RSP), 2010 21ST IEEE INTERNATIONAL SYMPOSIUM ON, IEEE, PISCATAWAY, NJ, USA, 8 June 2010 (2010-06-08), pages 1 - 7, XP031817034, ISBN: 978-1-4244-7073-0
MICHAEL SCHULZE ET AL: "Functional safety and variability", 20130826; 20130826 - 20130830, 26 August 2013 (2013-08-26), pages 236 - 243, XP058030799, ISBN: 978-1-4503-1968-3, DOI: 10.1145/2491627.2491654
ADLER NICO ET AL: "Rapid safety evaluation of hardware architectural designs compliant with ISO 26262", 2013 INTERNATIONAL SYMPOSIUM ON RAPID SYSTEM PROTOTYPING (RSP), IEEE, 3 October 2013 (2013-10-03), pages 66 - 72, XP032531128, DOI: 10.1109/RSP.2013.6683960
"Functional safety of electrical/electronic/programmable electronic safety-related systems", 2010, article "The International Electrotechnical Commission (IEC): International Standard IEC 61508"
"The International Organization for Standardization (ISO", INTERNATIONAL STANDARD IS026262, 2012
Download PDF:
Claims:
Patentansprüche

1. Verfahren zur Inbetriebnahme einer auf einer Anzahl von Recheneinrichtungen (1-1 - 1-11) verteilt implementierten Funktion (5-1 - 5-n) in einem Steuersystem (2-1 - 2-3) mit mindestens zwei in datenkommunikativer Verbindung gekoppelten Recheneinrichtungen (1-1 - 1-11), aufweisend:

Bereitstellen (Sl) von Ausgangsparametern (3) für eine Anzahl von Ausgangsgrößen (4-1 - 4-4) der jeweiligen Recheneinrich- tung (1-1 - 1-11), wobei die Ausgangsgrößen (4-1 - 4-4) Funk¬ tionsgrößen der Funktion (5-1 - 5-n) bilden;

Überprüfen (S2) für jede Eingangsgröße (6-1 - 6-2) einer der Recheneinrichtungen (1-1 - 1-11), welcher eine Ausgangsgröße (4-1 - 4-4) einer der weiteren Recheneinrichtungen (1-1 - 1- 11) zugeordnet ist, ob die Ausgangsparameter (3) der Aus¬ gangsgrößen (4-1 - 4-4) vorgegebenen Eingangsparametern (7-1 - 7-2) der jeweiligen Eingangsgrößen (6-1 - 6-2) entsprechen; Inbetriebnehmen (S3) der Funktion (5-1 - 5-n) , wenn die Aus¬ gangsparameter (3) der Ausgangsgrößen (4-1 - 4-4) den vorge- gebenen Eingangsparametern (7-1 - 7-2) der jeweiligen Ein¬ gangsgrößen (6-1 - 6-2) entsprechen.

2. Verfahren nach Anspruch 1,

wobei die Ausgangsparameter (3) Qualitätskriterien, insbeson- dere eine Genauigkeit und/oder eine Ausfallwahrscheinlich¬ keit, für die einzelnen Ausgangsgrößen (4-1 - 4-4) angeben; und/oder

wobei die Eingangsparameter (7-1 - 7-2) zumindest erforderli¬ che Qualitätskriterien für die den jeweiligen Eingangsgrößen (6-1 - 6-2) zugeordneten Ausgangsgrößen (4-1 - 4-4) vorgeben.

3. Verfahren nach einem der Ansprüche 1 und 2,

wobei die Ausgangsparameter (3) und/oder die Eingangsparame¬ ter (7-1 - 7-2) jeder der Recheneinrichtungen (1-1 - 1-11) in jeweils einem Komponentenmodell (8-1 - 8-4) bereitgestellt werden;

wobei jedes Komponentenmodell (8-1 - 8-4) aufweist: Eingänge (9-1 - 9-5) und/oder Ausgänge (10-1 - 10-5) der je¬ weiligen Recheneinrichtung (1-1 - 1-11); und/oder

ein Bewertungsmodell (11-1 - 11-5) der jeweiligen Rechenein¬ richtung (1-1 - 1-11), welches die für das Ausführen der Funktion (5-1 - 5-n) in der Recheneinrichtung (1-1 - 1-11) benötigten Ausgangsgrößen (4-1 - 4-4) und/oder Eingangsgrößen (6-1 - 6-2) kennzeichnet; und/oder

ein spezifisches Fehlermodell (12-1 - 12-4), welches mögliche Fehler der jeweiligen Ausgangsgrößen (4-1 - 4-4) und/oder Eingangsgrößen (6-1 - 6-2) kennzeichnet; und/oder

ein allgemeines Fehlermodell (13-1 - 13-4), welches Fehler eines Eingangs und/oder eines Ausgangs der jeweiligen Rechen¬ einrichtung (1-1 - 1-11) kennzeichnet. 4. Verfahren nach einem der Ansprüche 1 bis 3, aufweisend:

Koppeln der in dem Bewertungsmodell (11-1 - 11-5) angegebenen Ausgangsgrößen (4-1 - 4-4) und/oder Eingangsgrößen (6-1 - 6- 2) mit den entsprechenden in dem spezifischen Fehlermodell (12-1 - 12-4) angegebenen Fehlern; und

Koppeln der in dem spezifischen Fehlermodell (12-1 - 12-4) angegebenen Fehler mit den entsprechenden in dem allgemeinen Fehlermodell (13-1 - 13-4) angegebenen Eingängen (9-1 - 9-5) und/oder Ausgängen (10-1 - 10-5) . 5. Verfahren nach Anspruch 4,

wobei beim Überprüfen basierend auf den einzelnen Komponen¬ tenmodellen (8-1 - 8-4) für alle Eingangsgrößen (6-1 - 6-2) und Ausgangsgrößen (4-1 - 4-4), welche Funktionsgrößen der Funktion (5-1 - 5-n) sind, ein hierarchisches Gesamtmodell gebildet wird und in dem hierarchischen Gesamtmodell über¬ prüft wird, ob für alle Funktionsgrößen in der gesamten Hie¬ rarchie des hierarchischen Gesamtmodells die Ausgangsparame¬ ter (3) der entsprechenden Ausgangsgrößen (4-1 - 4-4) den vorgegebenen Eingangsparametern (7-1 - 7-2) der jeweiligen Eingangsgrößen (6-1 - 6-2) entsprechen.

6. Verfahren nach einem der Ansprüche 3 bis 5, wobei jede Recheneinrichtung (1-1 - 1-11) eine eindeutige Kennung (15) aufweist; und/oder

die Komponentenmodelle (8-1 - 8-4) in einem zentralen Modell¬ speicher (16) gespeichert werden.

7. Verfahren nach den Ansprüchen 5 und 6,

wobei beim Überprüfen jede der Recheneinrichtungen (1-1 - 1- 11) die eindeutige Kennung (15) an den zentralen Modellspei¬ cher (16) übermittelt und der zentrale Modellspeicher (16) die Überprüfung durchführt.

8. Verfahren nach einem der Ansprüche 3 bis 6,

wobei die Recheneinrichtungen (1-1 - 1-11) ausgebildet sind, das der jeweiligen Recheneinrichtung (1-1 - 1-11) entspre- chende Komponentenmodell (8-1 - 8-4) aus dem Modellspeicher (16) abzurufen; oder

wobei jede Recheneinrichtung (1-1 - 1-11) das der jeweiligen Recheneinrichtung (1-1 - 1-11) entsprechende Komponentenmo¬ dell (8-1 - 8-4) in einem internen Modellspeicher (16) spei- chert .

9. Verfahren nach Anspruch 8,

wobei jede der Recheneinrichtungen (1-1 - 1-11) ausgebildet ist, ein ihr entsprechendes Teilmodell des hierarchischen Ge- samtmodells zu bewerten.

10. Verfahren nach einem der Ansprüche 8 und 9,

wobei die Komponentenmodelle (8-1 - 8-4) als reduzierte Kom¬ ponentenmodelle (8-1 - 8-4) ausgebildet werden, welche ledig- lieh das allgemeine Fehlermodell (13-1 - 13-4) aufweisen, wo¬ bei die Daten des Bewertungsmodells (11-1 - 11-5) und/oder des spezifischen Fehlermodells (12-1 - 12-4) in das allgemei¬ ne Fehlermodell (13-1 - 13-4) des reduzierten Komponentenmo¬ dells (8-1 - 8-4) integriert werden.

11. Steuersystem (2-1 - 2-3) mit mindestens einer Funktion (5-1 - 5-n) , insbesondere für ein Fahrzeug, mit: mindestens zwei Recheneinrichtungen (1-1 - 1-11), welche mit¬ einander in datenkommunikativer Verbindung gekoppelt sind; wobei jede der Recheneinrichtungen (1-1 - 1-11) ausgebildet ist, Ausgangsgrößen (4-1 - 4-4) als Funktionsgrößen der Funk- tion (5-1 - 5-n) bereitzustellen und Eingangsgrößen (6-1 - 6- 2) als Funktionsgrößen von weiteren der Recheneinrichtungen (1-1 - 1-11) zu empfangen; und

wobei die Recheneinrichtungen (1-1 - 1-11) ausgebildet sind, für jede Eingangsgröße (6-1 - 6-2), welcher eine Ausgangsgrö- ße (4-1 - 4-4) einer der weiteren Recheneinrichtungen (1-1 - 1-11) zugeordnet ist, zu überprüfen, ob vorgegebene Ausgangs¬ parameter (3) der entsprechenden Ausgangsgröße (4-1 - 4-4) vorgegebenen Eingangsparametern (7-1 - 7-2) der jeweiligen Eingangsgröße (6-1 - 6-2) entsprechen; und

wobei die Recheneinrichtungen (1-1 - 1-11) ausgebildet sind, die Funktion (5-1 - 5-n) in Betrieb zu nehmen, wenn die Aus¬ gangsparameter (3) der Ausgangsgrößen (4-1 - 4-4) den vorge¬ gebenen Eingangsparametern (7-1 - 7-2) der jeweiligen Ein¬ gangsgröße (6-1 - 6-2) entsprechen.

12. Steuersystem (2-1 - 2-3) nach Anspruch 11,

wobei die Ausgangsparameter (3) und/oder die Eingangsparame¬ ter (7-1 - 7-2) jeder der Recheneinrichtungen (1-1 - 1-11) in jeweils einem Komponentenmodell (8-1 - 8-4) bereitgestellt werden;

wobei jedes Komponentenmodell (8-1 - 8-4) aufweist:

Eingänge (9-1 - 9-5) und/oder Ausgänge (10-1 - 10-5) der je¬ weiligen Recheneinrichtung (1-1 - 1-11); und/oder

ein Bewertungsmodell (11-1 - 11-5) der jeweiligen Rechenein- richtung (1-1 - 1-11), welches die für das Ausführen der

Funktion (5-1 - 5-n) in der Recheneinrichtung (1-1 - 1-11) benötigten Ausgangsgrößen (4-1 - 4-4) und/oder Eingangsgrößen (6-1 - 6-2) kennzeichnet; und/oder

ein spezifisches Fehlermodell (12-1 - 12-4), welches mögliche Fehler der jeweiligen Ausgangsgrößen (4-1 - 4-4) und/oder Eingangsgrößen (6-1 - 6-2) kennzeichnet; und/oder ein allgemeines Fehlermodell (13-1 - 13-4), welches Fehler eines Eingangs und/oder eines Ausgangs der jeweiligen Rechen¬ einrichtung (1-1 - 1-11) kennzeichnet. 13. Steuersystem (2-1 - 2-3) nach Anspruch 12,

wobei jede Recheneinrichtung (1-1 - 1-11) einen Modellspei¬ cher (16) aufweist, welcher ausgebildet ist, das jeweilige Komponentenmodelle (8-1 - 8-4) zu speichern; oder

wobei das Steuersystem (2-1 - 2-3) einen zentralen Modell- Speicher (16) aufweist, welcher ausgebildet ist, die Kompo¬ nentenmodelle (8-1 - 8-4) zu speichern.

Description:
Beschreibung

Verfahren und Steuersystem

GEBIET DER ERFINDUNG

Die vorliegende Erfindung betrifft ein Verfahren zur Inbe ¬ triebnahme einer auf einer Anzahl von Recheneinrichtungen verteilt implementierten Funktion in einem Steuersystem mit mindestens zwei in datenkommunikativer Verbindung gekoppelten Recheneinrichtungen. Ferner betrifft die vorliegende Erfin ¬ dung ein entsprechendes Steuersystem.

TECHNISCHER HINTERGRUND

Die vorliegende Erfindung wird im folgendem hauptsächlich in Bezug auf die Inbetriebnahme von Funktionen in einem Kraft ¬ fahrzeug dargestellt. Dabei ist die vorliegende Erfindung aber nicht auf den Bereich der Kraftfahrzeuge beschränkt, sondern kann in jedem System eingesetzt werden, in welchem Funktionen verteilt ausgeführt werden. Dies kann z.B. in Automatisierungssystemen der Fall sein.

In modernen Kraftfahrzeugen kann eine Vielzahl verteilter Funktionen den Fahrer bei der Führung des Fahrzeugs unter- stützen .

Als verteilte Funktionen werden dabei diejenigen Funktionen bezeichnet, welche durch ein Zusammenspiel unterschiedlicher vernetzter Steuergeräte bzw. Sensoren implementiert werden.

Beispielsweise kann eine Funktion zum autonomen Führen des Fahrzeugs als eine solche verteilte Funktion implementiert sein. Bei einer solchen Funktion können z.B. mehrere Sensoren jeweils ein Abbild der Fahrzeugumgebung liefern. Ein Steuer ¬ gerät zur Sensorfusion kann von den einzelnen Sensoren z.B. Objektlisten und Belegungsgitter erhalten und diese zu einem globalen Belegungsgitter und einer globalen Objektliste fusi- onieren und dabei z.B. Plausibilisierungen der einzelnen Sen ¬ sordaten durchführen.

Ein Steuergerät einer elektronischen Lenkung kann z.B. basie- rend auf dem globalen Belegungsgitter ein Spur für das Fahr ¬ zeug berechnen und das Fahrzeug auf dieser Spur lenken.

Bei einer solchen verteilten Funktion kann auch eine Vielzahl weiterer Steuergeräte beteiligt sein.

Bei der Entwicklung solcher Fahrzeugfunktionen sind Anforde ¬ rungen an die Verfügbarkeit und Fehleranfälligkeit der jewei ¬ ligen Funktion zu berücksichtigen. Während der Entwicklung solcher Funktionen werden daher soge ¬ nannten FTAs und FMEAs durchgeführt, in welchen potentielle Probleme der Systeme bzw. Funktionen identifiziert werden und deren Auftretenswahrscheinlichkeiten berechnet werden. Be ¬ schrieben werden diese z.B. in dem generischen Standard

IEC61508 (The International Electrotechnical Commission

(IEC): International Standard IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related Systems, 2nd Edition, 2010) und in dem Fahrzeugtechnikbe ¬ reich-spezifischen Standard IS026262 (The International

Organization for Standardization (ISO), International Stan ¬ dard IS026262, Road vehicles - Functional safety - Part 1 to Part 10, 2012) beschrieben.

Während der Entwicklung einer solchen Funktion können einzel- ne Komponenten des Systems, welches die Funktion ausführt, angepasst werden, falls sich herausstellt, dass die entspre ¬ chenden Anforderungen nicht erfüllt werden.

Bei einer Aktualisierung eines Fahrzeugs bzw. eines Fahrzeug- Systems mit einer neuen Funktion, z.B. durch eine Softwareak ¬ tualisierung oder den Download einer „App" durch den Fahr ¬ zeugführer, kann eine solche Überprüfung aber nicht durchge ¬ führt werden. Folglich können neue Funktionen nur einge- schränkt in bereits vorhandenen Fahrzeugsystemen nachgerüstet werden .

ZUSAMMENFASSUNG DER ERFINDUNG

Die Aufgabe der vorliegenden Erfindung liegt daher darin, ei ¬ ne Möglichkeit zum einfachen Erweitern von Steuersystemen be ¬ reitzustellen. Diese Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 und ein Steuersystem mit den Merkmalen des Patentanspruchs 11 gelöst.

Demgemäß ist vorgesehen:

Ein Verfahren zur Inbetriebnahme einer auf einer Anzahl von Recheneinrichtungen verteilt implementierten Funktion in ei ¬ nem Steuersystem mit mindestens zwei in datenkommunikativer Verbindung gekoppelten Recheneinrichtungen, aufweisend Be- reitstellen von Ausgangsparametern für eine Anzahl von Aus ¬ gangsgrößen der jeweiligen Recheneinrichtung, wobei die Aus ¬ gangsgrößen Funktionsgrößen der Funktion bilden, Überprüfen für jede Eingangsgröße einer der Recheneinrichtungen, welcher eine Ausgangsgröße einer der weiteren Recheneinrichtungen zu- geordnet ist, ob die Ausgangsparameter der Ausgangsgrößen vorgegebenen Eingangsparametern der jeweiligen Eingangsgrößen entsprechen, und Inbetriebnehmen der Funktion, wenn die Aus ¬ gangsparameter der Ausgangsgrößen den vorgegebenen Eingangs ¬ parametern der jeweiligen Eingangsgrößen entsprechen.

Ferner ist vorgesehen:

Ein Steuersystem mit mindestens einer Funktion, insbesondere für ein Fahrzeug, mit mindestens zwei Recheneinrichtungen, welche miteinander in datenkommunikativer Verbindung gekop ¬ pelt sind, wobei jede der Recheneinrichtungen ausgebildet ist, Ausgangsgrößen als Funktionsgrößen der Funktion bereit ¬ zustellen und Eingangsgrößen als Funktionsgrößen von weiteren der Recheneinrichtungen zu empfangen, und wobei die Rechen ¬ einrichtungen ausgebildet sind, für jede Eingangsgröße, wel ¬ cher eine Ausgangsgröße einer der weiteren Recheneinrichtun ¬ gen zugeordnet ist, zu überprüfen, ob vorgegebene Ausgangspa- rameter der entsprechenden Ausgangsgröße vorgegebenen Ein ¬ gangsparametern der jeweiligen Eingangsgröße entsprechen, und wobei die Recheneinrichtungen ausgebildet sind, die Funktion in Betrieb zu nehmen, wenn die Ausgangsparameter der Aus ¬ gangsgrößen den vorgegebenen Eingangsparametern der jeweili- gen Eingangsgröße entsprechen.

Die der vorliegenden Erfindung zu Grunde liegende Erkenntnis besteht darin, dass eine Überprüfung der Anforderungen ein ¬ zelner Funktionsgrößen, welche zur Ausführung einer Funktion benötigt werden, nicht zwingend in einer theoretischen Be ¬ trachtung parallel zur Entwicklung der jeweiligen Funktion erfolgen muss.

Die der vorliegenden Erfindung zu Grunde liegende Idee be- steht nun darin, dieser Erkenntnis Rechnung zu tragen und ein Verfahren vorzusehen, bei welchem die Qualität der Ausgangs ¬ größen von Recheneinrichtungen in Form von Ausgangsparametern und die Anforderungen an Eingangsgrößen in Form von Eingangs ¬ parametern angegeben werden.

Wird nun eine neue Funktion in dem Steuersystem implemen ¬ tiert, z.B. durch einen Softwaredownload, oder eine bereits vorhandene Funktion aktualisiert, kann für jede Rechenein ¬ richtung automatisch geprüft werden, ob die Ausgangsgrößen anderer Recheneinrichtung den Anforderungen an die Eingangs ¬ größen der jeweiligen Recheneinrichtung entsprechen.

Wird eine Übereinstimmung zwischen den Eingangsparametern und den entsprechenden Ausgangsparametern festgestellt, kann die jeweilige Funktion in Betrieb genommen werden.

Dadurch ermöglicht die vorliegende Erfindung eine nachträgli ¬ che Funktionserweiterung in Steuersystemen, bei welcher das Steuersystem selbst prüfen kann, ob die Anforderungen für das Ausführen der jeweiligen Funktion erfüllt sind.

Beispielsweise kann in einem Steuersystem für ein Fahrzeug eine Funktion für eine autonome Steuerung des Fahrzeugs als Softwaremodul nachgerüstet werden. Vor der Inbetriebnahme dieser Funktion kann das Steuersystem des Fahrzeugs automa ¬ tisch prüfen, ob die einzelnen Recheneinrichtungen in dem Fahrzeug die Voraussetzung, insbesondere hinsichtlich der Signalqualität und Verfügbarkeit, für das autonome Steuern des Fahrzeugs erfüllen. Nur wenn dies der Fall ist, wird die Funktion tatsächlich freigegeben. Ist dies nicht der Fall, wird das Ausführen der Funktion verhindert, auch wenn in dem Fahrzeug theoretisch alle notwendigen Sensoren und Aktoren verfügbar wären.

Vorteilhafte Ausführungsformen und Weiterbildungen ergeben sich aus den Unteransprüchen sowie aus der Beschreibung unter Bezugnahme auf die Figuren.

In einer Ausführungsform geben die Ausgangsparameter Quali ¬ tätskriterien, insbesondere eine Genauigkeit und/oder eine Ausfallwahrscheinlichkeit, für die einzelnen Ausgangsgrößen an. Dies ermöglicht es automatisch zu bewerten, ob die ein- zelnen Größen, welche durch die Recheneinrichtungen bereitge ¬ stellt werden, ausreichend genau bzw. sicher sind, um eine vorgegebene Funktion auszuführen. Beispielsweise kann für ei ¬ ne Funktion eine minimale Genauigkeit für eine Funktionsgröße vorgegeben werden, welche erfüllt werden muss, dass die Funk- tion ordnungsgemäß ausgeführt werden kann.

In einer Ausführungsform geben die Eingangsparameter zumin ¬ dest erforderliche Qualitätskriterien für die den jeweiligen Eingangsgrößen zugeordneten Ausgangsgrößen vor. Wird für jede Eingangsgröße, welche als eine Funktionsgröße der Funktion dienen kann, vorgegeben, welche Qualitätskriterien diese er ¬ füllen muss, kann durch einen einfachen Vergleich der Ein ¬ gangsparameter mit den entsprechenden Ausgangsparametern festgestellt werden, ob die Anforderungen der Funktion er ¬ füllt werden.

In einer Ausführungsform werden die Ausgangsparameter

und/oder die Eingangsparameter jeder der Recheneinrichtungen in jeweils einem Komponentenmodell bereitgestellt. Das Kompo ¬ nentenmodell kann z.B. die Teilfunktion der Funktion abbil ¬ den, welche in der jeweiligen Recheneinrichtung ausgeführt wird. Dadurch kann bei einem Hinzufügen z.B. einer neuen Re- cheneinrichtung das entsprechende Komponentenmodell bereitge ¬ stellt werden, ohne dass z.B. ein Gesamtmodell des Steuersys ¬ tems verändert bzw. angepasst werden müsste.

In einer Ausführungsform weist jedes Komponentenmodell auf, Eingänge und/oder Ausgänge der jeweiligen Recheneinrichtung, und/oder ein Bewertungsmodell der jeweiligen Recheneinrich ¬ tung, welches die für das Ausführen der Funktion in der Re ¬ cheneinrichtung benötigten Ausgangsgrößen und/oder Eingangs ¬ größen kennzeichnet, und/oder ein spezifisches Fehlermodell, welches mögliche Fehler der jeweiligen Ausgangsgrößen

und/oder Eingangsgrößen kennzeichnet, und/oder ein allgemei ¬ nes Fehlermodell, welches Fehler eines Eingangs und/oder ei ¬ nes Ausgangs der jeweiligen Recheneinrichtung kennzeichnet. Dabei kann das Modell in unterschiedlichen Ausgestaltungen vorliegen. Beispielsweise kann das Bewertungsmodell der je ¬ weiligen Recheneinrichtung ein qualitatives oder quantitati ¬ ves Modell sein, welches genutzt werden kann, um die Qualität der jeweiligen Komponente zu bewerten. Beispielsweise kann das Bewertungsmodell ein Fehlerbaum-Modell (FTA-Modell) oder ein Fehlermöglichkeits- und -einflussanalyse-Modell (FMEA-

Modell) sein. In solch einem qualitativen oder quantitativen Modell können die Eingangs- und Ausgangsgrößen, welche in der jeweiligen Recheneinrichtung als Funktionsgrößen dienen, ge ¬ kennzeichnet bzw. bewertet werden. Dabei kann den einzelnen Größen z.B. ein sog. Safety Integrity Level, auch SIL-Level oder im Automotive-Bereich ein Automotive SIL-Level, zugewie ¬ sen werden, welcher die Anforderungen der jeweiligen Größe angibt. Insbesondere können die Bewertungen der Ausgangsgrö- ßen einer Recheneinrichtung basierend auf den für die Bildung der jeweiligen Ausgangsgröße notwendigen Eingangsgrößen be ¬ rechnet werden. Das spezifische Fehlermodell kennzeichnet da ¬ bei mögliche Fehler der konkreten Ausgangsgrößen und/oder Eingangsgrößen der jeweiligen Recheneinrichtung. Beispiels ¬ weise kann bei einem Radarsensor in dem spezifischen Fehler ¬ modell für die Radarantenne der Fehler angegeben sein, dass diese trotz einem empfangenen Signal kein Signal ausgibt. Dies kann z.B. auf Grund einer unterbrochen Signalleitung der Fall sein. Das allgemeine Fehlermodell kann in einer Ausfüh ¬ rungsform z.B. einen allgemeinen Fehler eines Eingangssignals und/oder eines Ausgangssignals, wie z.B. Eingangssignal lie ¬ fert keine Werte oder Eingangssignal liefert zu hohe oder zu niedrige Werte, der jeweiligen Recheneinrichtung kennzeich- nen.

In einer Ausführungsform weist das Verfahren das Koppeln der in dem Bewertungsmodell angegebenen Ausgangsgrößen und/oder Eingangsgrößen mit den entsprechenden in dem spezifischen Fehlermodell angegebenen Fehlern auf. Ferner weist das Ver ¬ fahren das Koppeln der in dem spezifischen Fehlermodell ange ¬ gebenen Fehler mit den entsprechenden in dem allgemeinen Feh ¬ lermodell angegebenen Fehlern der Eingängen und/oder Ausgän ¬ gen auf. Dies kann z.B. zur Entwurfszeit der Funktion erfol- gen. Dadurch können die Signalpfade und die daraus resultie ¬ renden möglichen Fehler einer Funktion identifiziert werden. Ferner können später bei der Inbetriebnahme der Funktion in einem Steuersystem automatisch die entsprechenden Signalpfade erkannt und automatisch in den konkreten Recheneinrichtungen bewertet werden.

In einer Ausführungsform wird beim Überprüfen basierend auf den einzelnen Komponentenmodellen für alle Eingangsgrößen und Ausgangsgrößen, welche Funktionsgrößen der Funktion sind, ein hierarchisches Gesamtmodell gebildet und in dem hierarchi ¬ schen Gesamtmodell überprüft, ob für alle Funktionsgrößen in der gesamten Hierarchie des hierarchischen Gesamtmodells die Ausgangsparameter der entsprechenden Ausgangsgrößen den vor- gegebenen Eingangsparametern der jeweiligen Eingangsgrößen entsprechen. Wie oben bereits erwähnt, können die Ausgangspa ¬ remeter der Ausgangsgrößen einer Recheneinrichtung in Abhän ¬ gigkeit des jeweiligen Bewertungsmodells und der entsprechen ¬ den Eingangsgrößen der jeweiligen Recheneinrichtung berechnet werden. Auf diese Art kann der komplette Signalpfad einer Funktionsgröße der Funktion in dem hierarchischen Gesamtmo ¬ dell überprüft werden. Dabei können ohne vorherige Kenntnis der einzelnen Recheneinrichtungen und der Ausgangsparameter der jeweiligen Ausgangsgrößen Funktionen vor der Inbetrieb ¬ nahme automatisch in dem jeweiligen Steuersystem bewertet werden .

In einer Ausführungsform weist jede Recheneinrichtung eine eindeutige Kennung auf. Dies ermöglicht die einfache Zuord ¬ nung eines Komponentenmodells zu einer Recheneinrichtung.

In einer Ausführungsform werden die Komponentenmodelle in ei ¬ nem zentralen Modellspeicher gespeichert. Dies ermöglicht ei ¬ ne zentrale Verwaltung und Handhabung der Komponentenmodelle. Ferner muss in den einzelnen Recheneinrichtungen kein Spei ¬ cher für die Komponentenmodelle bereitgestellt werden.

In einer Ausführungsform wird beim Überprüfen jeder der Re ¬ cheneinrichtungen die eindeutige Kennung an den zentralen Mo ¬ dellspeicher übermittelt und der zentrale Modellspeicher führt die Überprüfung durch. Dies ermöglicht eine sehr effi ¬ ziente Berechnung des hierarchischen Gesamtmodells und damit eine sehr effiziente Bewertung des Steuersystems bezüglich einer konkreten Funktion.

In einer Ausführungsform sind die Recheneinrichtungen ausge ¬ bildet, das der jeweiligen Recheneinrichtung entsprechende Komponentenmodell aus dem Modellspeicher abzurufen. In einer Ausführungsform speichert jede Recheneinrichtung das der je ¬ weiligen Recheneinrichtung entsprechende Komponentenmodell in einem internen Modellspeicher. Dies ermöglicht es, auch ohne eine Verbindung zu dem zentralen Datenspeicher eine Bewertung eines Steuersystems bezüglich einer Funktion durchzuführen. In solch einer Ausführungsform kann z.B. eine Recheneinrich ¬ tung die einzelnen Komponentenmodelle von allen Rechenein ¬ richtungen abrufen und die notwendigen Berechnungen durchfüh- ren .

In einer Ausführungsform ist jede der Recheneinrichtungen ausgebildet, ein ihr entsprechendes Teilmodell des hierarchi ¬ schen Gesamtmodells zu bewerten. Dadurch können die notwendi- gen Berechnungen parallelisiert werden und die in den einzel ¬ nen Recheneinrichtungen benötigte Rechenleistung wird redu ¬ ziert .

In einer Ausführungsform werden die Komponentenmodelle als reduzierte Komponentenmodelle ausgebildet, welche lediglich das allgemeine Fehlermodell aufweisen, wobei die Daten des Bewertungsmodells und/oder des spezifischen Fehlermodells in das allgemeine Fehlermodell des reduzierten Komponentenmo ¬ dells integriert werden. Dies reduziert den Rechenaufwand und den Speicherbedarf gegenüber der Ablage des gesamten Kompo ¬ nentenmodells in den einzelnen Recheneinrichtungen.

Die obigen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierun ¬ gen der Erfindung umfassen auch nicht explizit genannte Kom ¬ binationen von zuvor oder im Folgenden bezüglich der Ausfüh ¬ rungsbeispiele beschriebenen Merkmalen der Erfindung. Insbe ¬ sondere wird dabei der Fachmann auch Einzelaspekte als Ver- besserungen oder Ergänzungen zu der jeweiligen Grundform der vorliegenden Erfindung hinzufügen.

INHALTSANGABE DER ZEICHNUNGEN Die vorliegende Erfindung wird nachfolgend anhand der in den schematischen Figuren der Zeichnungen angegebenen Ausfüh ¬ rungsbeispiele näher erläutert. Es zeigen dabei: Fig. 1 ein Ablaufdiagramm einer Ausführungsform des erfindungsgemäßen Verfahrens;

Fig. 2 ein Blockschaltbild einer Ausführungsform ei- nes erfindungsgemäßen Steuersystems;

Fig. 3 eine Ausführungsform eines Metamodells zur Er ¬ läuterung einer Ausführungsform eines erfin ¬ dungsgemäßen Verfahrens;

Fig. 4 ein Blockschaltbild einer weiteren Ausfüh ¬ rungsform eines erfindungsgemäßen Steuersys ¬ tems ; Fig. 5 eine Darstellung einer Ausführungsform eines erfindungsgemäßen Bewertungsmodells; und

Fig. 6 ein Blockschaltbild einer Ausführungsform ei ¬ ner Fahrzeugarchitektur .

In allen Figuren sind gleiche bzw. funktionsgleiche Elemente und Vorrichtungen - sofern nichts anderes angegeben ist - mit denselben Bezugszeichen versehen worden. Unter einer verteilt implementierten Funktion ist eine Funk ¬ tion zu verstehen, die auf mehreren Recheneinrichtungen aus ¬ geführt wird bzw. zu deren Ausführung Funktionsgrößen von mehreren Recheneinrichtungen genutzt werden. Beispielsweise kann eine verteilt implementierte Funktion eine Funktion in einem Fahrzeug sein, welche das Fahrzeug autonom steuert. Da ¬ zu können Daten von intelligenten Sensoren, wie z.B. Radar ¬ sensoren, Kameras, Bewegungs- und Beschleunigungssensoren oder dergleichen genutzt werden. Insbesondere können von den Sensoren bereits aufbereitete Daten, wie z.B. ein Belegungs- gitter der Fahrzeugumgebung, eine Objektliste oder derglei ¬ chen als Funktionsgrößen bereitgestellt werden, die gemeinsam von einem weiteren Steuergerät des Fahrzeugs ausgewertet wer ¬ den, um Aktoren in dem Fahrzeug anzusteuern. Eingangsgrößen und Ausgangsgrößen bezeichnen im Rahmen dieser Patentanmeldung Größen, welche von den einzelnen Rechenein ¬ richtungen ausgegeben werden bzw. von diesen Empfangen und ausgewertet werden. Da Recheneinrichtungen eine Vielzahl von Eingangsgrößen und Ausgangsgrößen aufweisen können, werden lediglich diejenigen Eingangsgrößen und Ausgangsgrößen als Funktionsgrößen bezeichnet, welche zur Ausführung der jewei ¬ ligen Funktion notwendig sind.

Die Eingangsparameter und Ausgangsparameter geben für die je ¬ weiligen Eingangsgrößen und Ausgangsgrößen entsprechende An ¬ forderungen vor, welche die Eingangsgrößen und Ausgangsgrößen erfüllen müssen, um die Funktion zuverlässig ausführen zu können. Dabei können die Eingangsparameter und Ausgangspara ¬ meter unter anderem Fehlerwahrscheinlichkeiten, Genauigkeiten oder dergleichen der Eingangsgrößen und Ausgangsgrößen ange ¬ ben. Die Eingangsparameter und Ausgangsparameter können auch standardisierte Bewertungen der Signale, wie z.B. SIL-Levels nach IEC 61508 oder ASIL-Levels nach ISO 26262 angeben.

Unter einer Recheneinrichtung ist jede Einrichtung zu verste ¬ hen, die eine Datenerfassung, Datenverarbeitung und/oder An- steuerung von Aktoren ausführen kann.

Unter einem qualitativen oder quantitativen Modell ist im Rahmen dieser Patentanmeldung ein Modell zu verstehen, wel ¬ ches eine Bewertung der Funktion bzw. eine Bewertung aller für die Funktion notwendigen Funktionsgrößen ermöglicht. Bei- spielsweise kann ein solches Modell ein FTA-Modell, Fault- Tree-Analysis-Model oder Fehlerbaum-Modell, oder ein FMEA- Modell, Fehlermöglichkeits- und -einflussanalyse-Modell , sein. Diese Modelle können z.B. als XML-basierte Modellbe ¬ schreibungen gespeichert werden, jede andere geeignete Mo- dellbeschreibung ist ebenfalls möglich.

Bei der FMEA-Methode zu Qualitätsbetrachtung elektrischer Systeme wird eine so genannte „Vorwärts-Logik" angewendet. Dazu werden die potentiellen Fehler einzelner Elemente als Ausgangsbasis genommen und deren Auswirkungen auf das Gesamt ¬ system untersucht . Die FTA verfolgt den umgekehrten Ansatz. Beginnend bei einem möglichen Fehler des Systems wird untersucht, welche Einzel ¬ fehler oder Fehlerketten zu diesem Fehler führen können.

Aus den FMEA- oder FTA-Analysen können z.B. für alle Rechen- einrichtungen bzw. die Eingangsgrößen und Ausgangsgrößen ei ¬ ner Recheneinrichtung, welche Funktionsgrößen der Funktion bilden, die entsprechenden Eingangsparameter oder Ausgangspa ¬ rameter bestimmt werden. BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN

Fig. 1 zeigt ein Ablaufdiagramm einer Ausführungsform des er ¬ findungsgemäßen Verfahrens zur Inbetriebnahme einer auf einer Anzahl von Recheneinrichtungen 1-1 - 1-11 verteilt implemen- tierten Funktion 5-1 - 5-n in einem Steuersystem 2-1 - 2-3 mit mindestens zwei in datenkommunikativer Verbindung gekop ¬ pelten Recheneinrichtungen 1-1 - 1-11. Unter einer verteilt implementierten Funktion 5-1 - 5-n ist dabei zu verstehen, dass die Funktion auf mindestens zwei Recheneinrichtungen 1-1 - 1-11 berechnet wird. Die Recheneinrichtungen 1-1 - 1-11 können dazu z.B. über einen Datenbus miteinander kommunizie ¬ ren und sich gegenseitig Funktionsgrößen bzw. Ausgangsgrößen 4-1 - 4-4, welche zur Berechnung der Funktion 5-1 - 5-n not ¬ wendig sind, bereitstellen. Dabei sind die Ausgangsgrößen 4-1 - 4-4 jeweils Eingangsgrößen 6-1 - 6-4 der empfangenden Re ¬ cheneinrichtung 1-1 - 1-11 zugeordnet.

Das Verfahren sieht vor, dass Ausgangsparameter 3 für eine Anzahl, also eine oder mehrere, von Ausgangsgrößen 4-1 - 4-4 jeder der Recheneinrichtungen 1-1 - 1-11, welche gleichzeitig Funktionsgrößen der Funktion 5-1 - 5-n sind, bereitgestellt werden. Für andere Ausgangsgrößen, welche keine Funktionsgrö ¬ ßen der Funktion 5-1 - 5-n sind, ist dies nicht notwendig, aber möglich. Werden die Ausgangsparameter 3 für alle Aus ¬ gangsgrößen einer Recheneinrichtung 1-1 - 1-11 bereitge ¬ stellt, können diese bei späteren Erweiterungen der Funktion oder neuen Funktionen genutzt werden.

So, wie die Ausgangsparameter 3 bereitgestellt werden, werden ebenfalls Eingangsparameter 7-1 - 7-2 für die Eingangsgrößen

6-1 - 6-4 bereitgestellt. Die Ausgangsparameter 3 kennzeich ¬ nen dabei gewisse Parameter bzw. Anforderungen, welche die jeweilige Ausgangsgröße erfüllt. Die Eingangsparameter 7-1 -

7-2 kennzeichnen dagegen diejenigen Parameter bzw. Anforde ¬ rungen, welche eine Ausgangsgröße 4-1 - 4-4 einer Rechenein ¬ richtung 1-1 - 1-11 erfüllen muss, die als Eingangsgröße 6-1 - 6-4 einer anderen Recheneinrichtung 1-1 - 1-11 dienen soll.

Das Verfahren sieht ferner für jede der Eingangsgrößen 6-1 - 6-4 das Überprüfen, S2, der Eingangsparameter 7-1 - 7-2 und der entsprechenden Ausgangsparameter 3 vor. Dies kann z.B. durch ein einfaches vergleichen geschehen. Erfüllen die Aus- gangsparameter 3 der Ausgangsgrößen 4-1 - 4-4 die Eingangspa ¬ rameter 7-1 - 7-2 der jeweiligen Eingangsgrößen 6-1 - 6-4, kann die Funktion 5-1 - 5-n in Betrieb genommen werden, S3.

Die Eingangsparameter 7-1 - 7-2 und Ausgangsparameter 3 kön- nen z.B. eine Genauigkeit, eine Ausfallwahrscheinlichkeit, eine Temperaturstabilität bzw. eine LangzeitStabilität , eineL Latenz und dergleichen aufweisen.

Die Bewertung einer Funktion 5-1 - 5-n bzw. der dazu benötig- ten Eingangsgrößen 6-1 - 6-4 und Ausgangsgrößen 4-1 - 4-4 soll während der Laufzeit des Steuersystems 2-1 - 2-3 erfol ¬ gen. Dazu kann in einer Ausführungsform für jede der Rechen ¬ einrichtungen 1-1 - 1-11 ein Komponentenmodell 8-1 - 8-4 be ¬ reitgestellt werden. Dies ermöglicht eine einfache Verknüp- fung der einzelnen Komponentenmodelle 8-1 - 8-4 zu einem Ge ¬ samtmodell, durch welches die gesamte Funktion 5-1 - 5-n ab ¬ gebildet wird. Das Komponentenmodell 8-1 - 8-4 kann in einer Ausführungsform ein Bewertungsmodell 11-1 - 11-5 aufweisen, in welchem die für das Ausführen der Funktion 5-1 - 5-n in der Rechenein ¬ richtung 1-1 - 1-11 benötigten Ausgangsgrößen 4-1 - 4-4 und/oder Eingangsgrößen 6-1 - 6-4 gekennzeichnet werden. Un ¬ ter gekennzeichnet ist dabei zu verstehen, dass eine qualita ¬ tive oder quantitative Bewertung der Ausgangsgrößen 4-1 - 4-4 und/oder Eingangsgrößen 6-1 - 6-4 erfolgt. Dies kann z.B. auf Basis einer FTA-Analyse oder einer FMEA-Analyse oder derglei- chen erfolgen. Das Bewertungsmodell kann dabei auch von der jeweiligen Recheneinrichtung 1-1 - 1-11 selbst generierte Größen, wie z.B. Messwerte, aufweisen. Aus einer FTA-Analyse kann z.B. abgeleitet werden, welche konkreten Elemente einer Recheneinrichtung 1-1 - 1-11 an dem Auftreten eines speziel- len Fehlers beteiligt sein können. Dabei können für jede der Ausgangsgrößen 4-1 - 4-4 und/oder Eingangsgrößen 6-1 - 6-4 z.B. mögliche Fehler angegeben werden und eine entsprechende Wahrscheinlichkeit dazu angegeben werden. Das Komponentenmodell 8-1 - 8-4 kann in einer Ausführungsform ferner ein spezifisches Fehlermodell 12-1 - 12-4 aufweisen, welches mögliche Fehler der jeweiligen konkreten Elemente ei ¬ ner Recheneinrichtung 1-1 - 1-11 den Fehlern der Ausgangsgrö ¬ ßen 4-1 - 4-4 und/oder Eingangsgrößen 6-1 - 6-4 zuordnet. Beispielsweise kann ein konkreter Fehler eines Ultraschall ¬ sensors aus dem Bewertungsmodell 11-1 - 11-5 einem spezifi ¬ schen Fehler eines Entfernungssensors in dem spezifischen Fehlermodell 12-1 - 12-4 zugewiesen werden. In einer Ausführungsform kann ferner ein allgemeines Fehler ¬ modell 13-1 - 13-4 vorgesehen sein, welches Fehler eines Ein ¬ gangs und/oder eines Ausgangs der jeweiligen Recheneinrich ¬ tung 1-1 - 1-11 kennzeichnet. Beispielsweise kann der spezi ¬ fische Fehler eines Entfernungssensors in dem spezifischen Fehlermodell 12-1 - 12-4 einem allgemeinen Fehler zugeordnet werden, der falsche Ausgangsdaten kennzeichnet. In einer Ausführungsform werden Verknüpfungen der Eingänge 9- 1 - 9-5 und/oder Ausgänge 10-1 - 10-5 der jeweiligen Rechen ¬ einrichtung 1-1 - 1-11, die für eine entsprechende Funktion 5-1 - 5-n notwendig sind, hinterlegt.

So kann für eine Funktion 5-1 - 5-n basierend auf den einzel ¬ nen Komponentenmodellen 8-1 -8-4 ein hierarchisches Gesamtmo ¬ dell der Funktion 5-1 - 5-n erzeugt werden und es können die kompletten Signalpfade über alle Recheneinrichtungen 1-1 - 1- 11 hinweg automatisch bewertet werden.

In einer Ausführungsform können die einzelnen Komponentenmo ¬ delle 8-1 - 8-4 dabei in den jeweiligen Recheneinrichtungen 1-1 - 1-11 gespeichert sein. Zusätzlich oder alternativ kön- nen die einzelnen Komponentenmodelle 8-1 - 8-4 aber auch in einem zentralen Modellspeicher 16 hinterlegt sein.

Zum Beispiel kann jeder der Recheneinrichtungen 1-1 - 1-11 eine eindeutige Kennung 15 zugewiesen werden, welche von dem Steuersystem 2-1 - 2-3 z.B. drahtlos an den zentralen Modell ¬ speicher 16 übermittelt werden können. Der zentrale Modell ¬ speicher 16 kann die notwendigen Berechnungen zur Freigabe bzw. Inbetriebnahme der Funktion daraufhin selbst ausführen oder dem Steuersystem 2-1 - 2-3 die einzelnen Komponentenmo- delle 8-1 - 8-4 bereitstellen. Die notwendigen Berechnungen können dann zentral von einer der Recheneinrichtungen 1-1 - 1-11 durchgeführt werden. Alternativ kann jede der Rechenein ¬ richtungen 1-1 - 1-11 die auf ihrem Komponentenmodell 8-1 - 8-4 basierenden Berechnungen zur Freigabe der Funktion selbst ausführen.

In einer Ausführungsform werden die Komponentenmodelle 8-1 - 8-4 in Form von reduzierten Komponentenmodellen 8-1 - 8-4 in den einzelnen Recheneinrichtungen 1-1 - 1-11 gespeichert. Da- zu können vor dem Speichern des jeweiligen Komponentenmodells 8-1 - 8-4 alle Berechnungen bereits ausgeführt werden, die das Bewertungsmodell 11-1 - 11-5 und das spezifische Fehler ¬ modell 12-1 - 12-4 betreffen. Das mehrschichtige Komponenten- modell 8-1 - 8-4 wird sozusagen auf eine Schicht, das allge ¬ meine Fehlermodell 13-1 - 13-4 reduziert. Dazu können z.B. für alle Komponentenmodelle 8-1 - 8-4 gemeinsame Konventionen festgelegt werden, sodass nachträgliche Berechnungen in dem Bewertungsmodell 11-1 - 11-5 und dem spezifischen Fehlermo ¬ dell 12-1 - 12-4 überflüssig werden. Z.B. kann vorgegeben werden, dass Ausfallwahrscheinlichkeiten als 8-Bit Integer- Werte mit einem Zahlenbereich von 0 - 255 angegeben werden. Fig. 2 zeigt ein Blockschaltbild einer Ausführungsform eines erfindungsgemäßen Steuersystems 2-1.

Das Steuersystem 2-1 führt mindestens eine Funktion 5-1 - 5-n aus, welche verteilt auf den zwei Recheneinrichtungen 1-1 und 1-2 ausgeführt wird. Weitere Recheneinrichtungen sind durch drei Punkte angedeutet. Dazu können diese z.B. über einen Datenbus, wie z.B. einen CAN-Bus, einen FlexRay-Bus oder der ¬ gleichen miteinander gekoppelt sein. Jede der Recheneinrichtungen 1-1 und 1-2 ist ausgebildet,

Ausgangsgrößen 4-1, 4-2, die Funktionsgrößen der Funktion 5-1 - 5-n sind, auszugeben und von anderen Recheneinrichtungen 1- 1, 1-2 Eingangsgrößen 6-1; 6-2 zu empfangen, die ebenfalls Funktionsgrößen der Funktion 5-1 - 5-n sind. In Fig. 2 gibt die Recheneinrichtung 1-1 über den Ausgang 10-1 eine Aus ¬ gangsgröße 4-1 aus, die als Eingangsgröße 6-1 über den Ein ¬ gang 9-1 durch die Recheneinrichtung 1-2 empfangen wird. Zu der Ausgangsgröße 4-1 stellt die Recheneinrichtung 1-1 die Ausgangsparameter 3 zur Verfügung, die die Ausgangsgröße 4-1 kennzeichnen. Diese Ausgangsparameter 3 vergleicht die Re ¬ cheneinrichtung 1-2 mit Eingangsparametern 7-1 der Eingangs ¬ größe 6-1. Sind die durch die Eingangsparameter 7-1 vorgege ¬ benen Anforderungen erfüllt, kann die Recheneinrichtung 1-2 ihren Teil der Funktion 5-1 - 5-5n freigeben. Die Rechenein- richtung 1-2 selbst gibt eine Ausgangsgröße 4-2 an die Re ¬ cheneinrichtung 1-1 aus. Der Übersichtlichkeit halber sind zu dieser keine Ausgangsparameter dargestellt. Die Rechenein ¬ richtung 1-1 vergleicht diese mit den entsprechenden Ein- gangsparametern 7-2. Wenn die Ausgangsgröße 4-2 die Anforde ¬ rungen erfüllt, kann die Recheneinrichtung 1-1 ihren Teil der Funktion 5-1 - 5-n ebenfalls freigeben. Geben alle Rechenein ¬ richtungen 1-1, 1-2 ihre Teilfunktionen der Funktion 5-1 - 5- n frei, kann die Funktion 5-1 - 5-n in dem Steuersystem 2-1 ausgeführt werden.

Wie zu Fig. 1 bereits dargestellt, können die Ausgangsparame ¬ ter 3 und/oder die Eingangsparameter 7-1 - 7-2 jeweils in ei- nem Komponentenmodell 8-1 - 8-4 bereitgestellt werden.

Dabei kann jede Recheneinrichtung 1-1, 1-2 einen Modellspei ¬ cher aufweisen, welcher ausgebildet ist, das jeweilige Kompo ¬ nentenmodell 8-1 - 8-4 zu speichern. Insbesondere kann in den einzelnen Recheneinrichtungen 1-1, 1-2 auch ein reduziertes Komponentenmodell 8-1 - 8-4 gespeichert werden, wie oben be ¬ schrieben .

Alternativ kann in dem Steuersystem 2-1 oder extern zu dem Steuersystem ein zentraler Modellspeicher 16 vorgesehen sein, welcher ausgebildet ist, die Komponentenmodelle 8-1 - 8-4 zu speichern .

Die in Fig. 2 dargestellten Verknüpfungen zwischen den ein- zelnen Ausgängen 10-1, 10-2 und den Eingängen 9-1, 9-2 können in einer Ausführungsform während der Entwicklung der Funktion 5-1 - 5-n festgelegt werden. Dies setzt zumindest voraus, dass die Art der Recheneinrichtungen 1-1, 1-2 zur Zeit der Entwicklung der Funktion bekannt ist. Z.B. muss lediglich be- kannt sein, dass ein Ultraschallsensor oder ein Radarsensor in einem Fahrzeug verbaut ist. Welche Qualität der Ultra ¬ schallsensor oder Radarsensor hat, ist zur Entwicklungszeit nicht relevant, da dies zu einer Inbetriebnahme bzw. einer Zertifizierung der Funktion in dem jeweiligen Steuersystem 1- 1 gemäß der vorliegenden Erfindung durchgeführt werden kann.

Fig. 3 zeigt eine Ausführungsform eines Metamodells zur Er ¬ läuterung einer Ausführungsform eines erfindungsgemäßen Ver- fahrens. Dabei kann das Verfahren z.B. für eine Qualitäts ¬ zertifizierung zur Inbetriebnahmezeit genutzt werden. Die Zertifizierung findet also nicht zur Entwicklungszeit statt. Das Metamodell der Fig. 3 ist als UML-Klassendiagramm ausge ¬ bildet. Jede andere Art der Darstellung bzw. Formulierung des Metamodells ist aber ebenfalls möglich.

Adaptierbare Steuersysteme 2-1 - 2-3 bestehen, wie oben be- reits dargestellt, aus einer Mehrzahl eigenständiger Rechen ¬ einrichtungen 1-1 - 1-11, nachfolgend auch als Komponenten des Steuersystems 2-1 - 2-3 bezeichnet. Dabei können diese auch aus einer Hierarchie von Teilkomponenten bestehen. Die Teilkomponenten können z.B. Sensoren, Prozessoren, Eingänge und Ausgänge und dergleichen aufweisen.

Jede Recheneinrichtung 1-1 - 1-11 kann eine Vielzahl von Teilkomponenten (optional) aufweisen und jede Teilkomponente, außer der in der höchsten Ebene angeordneten Recheneinrich- tung 1-1 - 1-11, auch Top-Level-Komponente, gehört genau zu einer Recheneinrichtung 1-1 - 1-11. Die Recheneinrichtungen 1-1 - 1-11 können unter Nutzung von Eingängen 10-3 und Aus ¬ gängen 9-3, z.B. über Anschlussblock 23, miteinander ver ¬ knüpft werden.

Jeder Anschlussblock 23 gehört zu genau einer Recheneinrich ¬ tung 1-1 - 1-11. Jede Recheneinrichtung 1-1 - 1-11 hat exakt ein Komponentenmodell 8-1, welches während der Inbetriebnah ¬ me, z.B. zu Zertifizierungszwecken, untersucht werden kann.

Das Komponentenmodell 8-1 umfasst ein Bewertungsmodell 11-1, welches für die jeweilige Recheneinrichtung 1-1 - 1-11 oder einzelne Teile davon ein quantitatives oder qualitatives Ana ¬ lyse-Modelle aufweist. Solch ein Bewertungsmodell 11-1 kann z.B. ein FTA-Modell oder ein FMEA-Modell oder dergleichen aufweisen und insbesondere zur Entwicklungszeit zur Analyse, beispielsweise der Zuverlässigkeit der Recheneinrichtung 1-1 - 1-11, entworfen werden. Ferner umfasst das Komponentenmodell 8-1 in einer Ausfüh ¬ rungsform zwei Fehler-kategorisierende Systeme bzw. Fehlermo ¬ delle 12-1, 13-1. Das spezifische Fehlermodell 12-1 adres- siert Elemente bzw. Größen des Bewertungsmodells 11-1, die für eine Zertifizierung zur Inbetriebnahmezeit erforderlich sind. Insbesondere kennzeichnet das spezifische Fehlermodell 12-1 mögliche Fehler bzw. Fehlerarten der entsprechenden Ele ¬ mente bzw. Größen. Dazu weist das spezifische Fehlermodell 12-1 einen Abschnitt bzw. ein Eingangsfehlermodell 20-1 auf, das dazu dient, Fehler der eingehenden Funktionsgrößen bzw. Eingangsgrößen 6-1 - 6-4 zu kennzeichnen. Ferner ist ein Ab ¬ schnitt bzw. ein Ausgangsfehlermodell 19-1 vorgesehen, wel ¬ ches dazu dient, Fehler der ausgehenden Funktionsgrößen bzw. Ausgangsgrößen 4-1 - 4-4 zu kennzeichnen.

Das Komponentenmodell 8-1 umfasst ferner ein allgemeines Feh ¬ lermodell 13-1. Dieses dient dazu, die Verbindungen zwischen unterschiedlichen Recheneinrichtungen 1-1 - 1-11 zu kenn- zeichnen und mögliche Fehler der entsprechenden Elemente bzw. Größen zu kennzeichnen. Das allgemeine Fehlermodell 13-1 weist ebenfalls ein Eingangsfehlermodell 18-1 und ein Aus ¬ gangsfehlermodell 17-1 auf. Das Eingangsfehlermodell 18-1 kennzeichnet fehlerhafte oder gestörte Daten bzw. Fehler oder Fehlerarten der jeweiligen Daten, die der jeweiligen Rechen ¬ einrichtung 1-1 - 1-11 von einer der weiteren Recheneinrich ¬ tungen 1-1 - 1-11 z.B. über den Anschlussblock 23 bereitge ¬ stellt werden. Insbesondere zur Entwicklungszeit können die Fehlerarten des Eingangsfehlermodells 18-1, welche die Information über ein ¬ gehende fehlerhafte oder gestörte Daten einer der weiteren Recheneinrichtungen 1-1 - 1-11 bereitstellen, mit den ent ¬ sprechenden Fehlerarten des Eingangsfehlermodells 20-1 des spezifischen Fehlermodells 12-1 verknüpft werden.

Das Ausgangsfehlermodell 17-1 kennzeichnet fehlerhafte oder gestörte Daten bzw. Fehler oder Fehlerarten der jeweiligen Daten, die von der jeweiligen Recheneinrichtung 1-1 - 1-11 an eine der weiteren Recheneinrichtungen 1-1 - 1-11 z.B. über den Anschlussblock 23 bereitgestellt werden. Auch hier können insbesondere zur Entwicklungszeit die Feh ¬ lerarten des Ausgangsfehlermodells 17-1, welche die Informa ¬ tion über ausgehende fehlerhafte oder gestörte Daten der je ¬ weiligen Recheneinrichtungen 1-1 - 1-11 bereitstellen, mit den entsprechenden Fehlerarten des Ausgangsfehlermodells 19-1 des spezifischen Fehlermodells 12-1 verknüpft werden.

Fig. 4 zeigt ein Blockschaltbild einer weiteren Ausführungs ¬ form eines erfindungsgemäßen Steuersystems 2-2. Das Steuersystem 2-2 weist drei Recheneinrichtungen 1-3 - 1-5 auf .

Die Recheneinrichtung 1-3 ist eine Sensoreinrichtung 1-3, insbesondere mit einem Ultraschallsensor zur Entfernungsmes- sung. Die Recheneinrichtung 1-4 ist ausgebildet, die Daten der Recheneinrichtung 1-3 zu plausibilisieren und fehlerhafte Daten zu erkennen. Schließlich ist die Recheneinrichtung 1-5 als eine Steuerung für einen Bremsaktuator ausgebildet, wel ¬ che basierend auf den Daten des Ultraschallsensors eine Ver- zögerung eines Fahrzeugs, z.B. bei einem automatischen Park ¬ vorgang, einleiten kann.

Die Fig. 4 stellt dabei nicht die Komponenten der einzelnen Recheneinrichtungen 1-3 - 1-5 dar, welche notwendig sind, um deren normale Funktion auszuführen. Vielmehr sind in Fig. 4 die einzelnen Modelle dargestellt, welche die jeweiligen Aus ¬ gangs- und Eingangsparameter aufweisen.

Die Recheneinrichtung 1-3 weist ein Komponentenmodell 8-2 mit einem Bewertungsmodell 11-2 auf, welches mit einem spezifi ¬ schen Fehlermodell 12-2 gekoppelt ist. Das spezifische Feh ¬ lermodell 12-2 wiederum ist mit einem allgemeinen Fehlermo ¬ dell 13-2 gekoppelt. In dem Bewertungsmodell 11-2 ist der Fehler 21-1 dargestellt, welcher für einen Fehler des Ultraschallsensors steht. Die Wahrscheinlichkeit für diesen Fehler kann z.B. als Integer Wert mit 8Bit, 16Bit oder 32Bit Genauigkeit angegeben werden. Das Gleiche gilt für alle weiteren Fehler.

Der Fehler 21-1 ist mit dem Ausgangsfehlermodell 19-2 gekop ¬ pelt, in welchem ein spezifischer Entfernungssensorfehler ge- kennzeichnet ist. Schließlich ist das Ausgangsfehlermodell

19-2 mit dem Ausgangsfehlermodell 17-2 gekoppelt, welches ei ¬ nen allgemeinen Datenfehler kennzeichnet. Der allgemeine Da ¬ tenfehler steht z.B. für die Ausgabe von Daten durch die Re ¬ cheneinrichtung 1-3, welche nicht der Realität entsprechen.

Der Ausgang 10-4 der Recheneinrichtung 1-3 ist mit einem Ein ¬ gang 9-4 der Recheneinrichtung 1-4 gekoppelt. Unter dieser Kopplung ist eine Zuweisung zu verstehen, die kennzeichnet, dass die durch den Ausgang 10-4 gekennzeichnete Größe, in diesem Fall der Messwert des Ultraschallsensors, durch die Recheneinrichtung 1-4 erfasst und verarbeitet wird. Dabei muss nicht, wie in Fig. 4 dargestellt, eine diskrete direkte Kopplung zwischen den Recheneinrichtungen 1-3 und 1-4 erfol ¬ gen. Vielmehr können die Messwerte des Ultraschallsensors auf jede beliebige Art und Weise, z.B. über einen digitalen

Datenbus, an die Recheneinrichtung 1-4 übermittelt werden.

Die Recheneinrichtung 1-4 weist einen Eingang 9-4 auf, wel ¬ cher mit dem allgemeinen Fehlermodell 13-3 des Komponentenmo- dells 8-3 gekoppelt ist. Das allgemeine Fehlermodell 13-3 ist mit dem spezifischen Fehlermodell 12-3 gekoppelt, welches mit dem Bewertungsmodell 11-3 gekoppelt ist.

Der Eingang 9-4 ist dabei mit dem Eingangsfehlermodell 18-2, welches einen allgemeinen Fehler einer Eingangsgröße kenn ¬ zeichnet, des allgemeinen Fehlermodells 13-3 gemoppelt. Das Eingangsfehlermodell 18-2 ist mit dem Eingangsfehlermodell 20-2 gekoppelt, welches einen Fehler einer konkreten Funkti ¬ onsgröße kennzeichnet.

In dem Bewertungsmodell 11-3 ist der Fehler 21-2 dargestellt, welcher für einen Fehler in der Qualifikation der Eingangsda ¬ ten steht, wodurch fehlerhafte Eingangsdaten als korrekt bzw. Fehlerfrei gekennzeichnet werden. Die Wahrscheinlichkeit für diesen Fehler kann z.B. ebenfalls als Integer Wert mit 8Bit, 16Bit oder 32Bit Genauigkeit angegeben werden.

Um einen fehlerhaften Wert von der Recheneinrichtung 1-4 an die Recheneinrichtung 1-5 auszugeben, muss sowohl eine feh ¬ lerhafte Eingangsgröße vorliegen, als auch die Qualifikation der fehlerhaften Eingangsgröße scheitern. Dies ist durch die UND-Verknüpfung 22-1 dargestellt, welche eben diese zwei Be ¬ dingungen miteinander verknüpft. Die Wahrscheinlichkeit für das Ausgeben eines fehlerhaften Wertes durch die Rechenein ¬ richtung 1-4 ergibt sich folglich aus der Multiplikation der zwei Wahrscheinlichkeiten für die fehlerhafte Qualifikation und den fehlerhaften Messwert.

Der Ausgang der UND-Verknüpfung 22-1 wird einem Ausgangsfeh ¬ lermodell 19-3 des spezifischen Fehlermodells 12-3 und von dort dem Ausgangsfehlermodell 17-3 des allgemeinen Fehlermo- dells 13-2 zugewiesen.

Schließlich wird der Ausgang des Ausgangsfehlermodells 17-3 dem Ausgang 10-5 der Recheneinrichtung 1-4 zugewiesen. Der Ausgang 10-5 kennzeichnet folglich die Fehlerkombination aus fehlerhaften Messwerten des Ultraschallsensors der Rechenein ¬ richtung 1-3 und einer fehlerhaften Qualifikation der Mess ¬ werte durch die Recheneinrichtung 1-4. Die Wahrscheinlichkeit für das Auftreten kann in Form von entsprechenden Ausgangspa ¬ rametern dargestellt werden.

Der Ausgang 10-4 ist mit dem Eingang 9-5 der Recheneinrich ¬ tung 1-5 gekoppelt, welcher mit dem Eingangsfehlermodell 18-3 des allgemeinen Fehlermodells 13-4 gekoppelt ist. Das Ein- gangsfehlermodell 18-3 ist mit dem Eingangsfehlermodell 20-3 des spezifischen Fehlermodells 12-4 gekoppelt, welcher mit einem Fehler 21-3 des Bewertungsmodells 11-4 gekoppelt ist. Der Fehler 21-3 kennzeichnet ein ungewolltes auslösen eines Bremsvorgangs des Fahrzeugs durch die Recheneinrichtung 1-5 basierend auf fehlerhaften Messwerten des Ultraschallsensors der Recheneinrichtung 1-3, welche durch die Recheneinrichtung 1-4 nicht erkannt wurden.

Zur Zertifizierung der Funktion in dem Steuersystem 2-2 kann die Fehlerwahrscheinlichkeit für das Auftreten des Fehlers 21-3 automatisch berechnet werden und mit einem Grenzwert für die Fehlerwahrscheinlichkeit verglichen werden. Überschreitet die Fehlerwahrscheinlichkeit für das Auftreten des Fehlers

21-3 diesen Grenzwert, wird die Funktion nicht in Betrieb ge ¬ nommen .

In Fig. 4 ist lediglich beispielhaft dargestellt, dass eine Fehlerart eines einzelnen Sensors zur Zertifizierung bzw.

Freigabe genutzt wird. Diese Darstellung stellt eine Verein ¬ fachung dar und dient dem besseren Verständnis. In weiteren Ausführungsformen können daher weitere Größen betrachtet wer ¬ den, die für die Ausführung der Funktion relevant sind.

Insbesondere können nach einer Ausführungsform des erfin ¬ dungsgemäßen Verfahrens alle Größen und alle Recheneinrich ¬ tungen betrachtet werden, die für das Ausführen der Funktion relevant sind.

Die Erstellung der oben erwähnten Modelle der einzelnen Re ¬ cheneinrichtungen 1-3 - 1-5 findet üblicherweise zu einer Entwicklungszeit des Steuersystems 2-2 statt. In einer Aus ¬ führungsform kann die Erstellung der Modelle aber, beispiels- weise unter Verwendung einer entsprechenden Datenbank, wäh ¬ rend der Inbetriebnahme für die Zertifizierung bzw. Qualifi ¬ kation ausgeführt werden. Die einzelnen Recheneinrichtungen 1-3 - 1-5 können für die Inbetriebnahme mit weiteren Recheneinrichtungen 1-3 - 1-5 zur Implementierung z.B. der Funktion einer Fahrzeugverzögerung bei einem automatischen Einparken, wenn Objekte zu nahe am Fahrzeug sind, verknüpft werden. Dieses Verknüpfen muss dabei nicht das Aufbauen neuer physischer Verbindungen aufweisen. Vielmehr können z.B. Daten, die von einer der Recheneinrich ¬ tungen 1-3 - 1-5 auf einem Datenbus ausgegeben werden, von einer weiteren Recheneinrichtung 1-3 - 1-5 eingelesen werden.

Da das Auslösen eines unerwünschten Bremsvorgangs ein mögli ¬ cher Fehlerfall ist, siehe Fehler 21-3, weist die Rechenein ¬ richtung 1-5 die Information zu einer maximal erlaubten Rest ¬ wahrscheinlichkeit für ein unerwünschtes Bremskommando auf. Durch die oben beschriebene Kopplung der einzelnen Rechenein ¬ richtungen 1-3 - 1-5 untereinander, kann in dem Steuersystem 2-2 ein entsprechender Fehlerbaum konstruiert werden, der die Berechnung dieser Restwahrscheinlichkeit ermöglicht. Fig. 5 zeigt eine Darstellung einer Ausführungsform eines er ¬ findungsgemäßen Bewertungsmodells 11-5 in Form eines Fehler ¬ baums, der sich für das Steuersystem der Fig. 4 ergibt.

In dem Fehlerbaum ist der Fehler 21-6, der für ein uner- wünschtes Bremsen des Fahrzeugs steht, auch Hauptereignis ge ¬ nannt, mit einer Wahrscheinlichkeit 25-3 gekennzeichnet. Der Fehler 21-6 ergibt sich dabei aus einer UND-Verknüpfung 22-2 der zwei Fehler 21-4 und 21-5. Dabei steht der Fehler 21-4 für einen Fehler eines Ultra ¬ schallsensors, der mit der Wahrscheinlichkeit 25-1 auftritt. Der Fehler 21-5 steht für einen Fehler in der Erkennung bzw. Qualifikation der fehlerhaften Sensordaten des Ultraschall ¬ sensors .

Da alle Eingangsinformationen für die Bildung des Fehlerbaums bekannt und mit einer Wahrscheinlichkeit belegt sind, kann die resultierende Wahrscheinlichkeit für das Hauptereignis des Fehlerbaums berechnet werden. Diese kann dann mit einem vorgegebenen Wahrscheinlichkeitswert, verglichen werden, um die Funktion 5-1 - 5-n zu zertifizieren. Wenn die resultie ¬ rende Wahrscheinlichkeit, die ausgehend von den Basisereig- nissen, Fehler 21-4 und Fehler 21-5, ermittelt wird, unter ¬ halb des geforderten Wahrscheinlichkeitswert liegt, kann das System die aktuelle Kombination aus Funktionalitäten, bei ¬ spielsweise die Erkennung beschädigter Sensor-Daten und die Qualität der Sensordaten, und die sichere Wechselbeziehung der Komponenten zertifizieren.

Eine solche Zertifizierung bzw. Inbetriebnahme kann z.B. in einem zentralen Modellspeicher 16 hinterlegt werden. Insbe ¬ sondere kann eine solche Zertifizierung in einem solchen zentralen Modellspeicher 16 auch durchgeführt werden, wie oben bereits dargestellt.

Fig. 6 zeigt ein Blockschaltbild eines Fahrzeugs 30 mit einer Ausführungsform eines Steuersystems 2-3.

Das Steuersystem 2-3 weist eine Recheneinrichtung 1-10 auf, die mit einer Recheneinrichtung 1-7 gekoppelt ist, welche wiederum mit einer Recheneinrichtung 1-9 gekoppelt ist. Die Recheneinrichtung 1-7 weist dabei eine Recheneinrichtung 1-11 auf, die als eine „virtuelle" oder logische Recheneinrichtung aus denjenigen Komponenten der Recheneinrichtung 1-7 gebildet wird, die notwendig sind, um die Funktion 5-2 der Rechenein ¬ richtung 1-11 auszuführen. Jede der Recheneinrichtungen 1- 7 - 1-11 weist einen Speicher 32-1 - 32-3 und einen Prozessor 31-1 - 31-3 auf, die dazu dienen eine Funktion 5-1 - 5-n auszuführen. Dabei führen die Recheneinrichtungen 1- 7, 1-9 und 1-10 gemeinsam die Funktion 5-1 aus. In einer Ausführungsform kann die Funktion 5-1 das Ausführen eines Bremsvorgangs sein. Dabei kann die Rechenein ¬ richtung 1-10 z.B. der Recheneinrichtung 1-3 der Fig. 4 ent ¬ sprechen. Die Recheneinrichtung 1-7 kann der Recheneinrich- tung 1-4 der Fig. 4 entsprechen und die Recheneinrichtung 1-9 kann der Recheneinrichtung 1-5 der Fig. 4 entsprechen.

Obwohl die vorliegende Erfindung anhand bevorzugter Ausfüh ¬ rungsformen vorstehend beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Art und Weise modi ¬ fizierbar. Insbesondere lässt sich die Erfindung in mannig ¬ faltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.