Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Risikobegrenzung von Fehlern in einem Steuerungssystem, insbesondere einem sicherheitsrelevanten Steuerungssystem.

Weiters betrifft die Erfindung ein Verfahren und eine Vorrichtung zur Risikobegrenzung von Fehlern in einem Autonomie Emergency Braking (AEB) System eines Fahrzeugs.

Außerdem betrifft die Erfindung ein Steuerungssystem, insbesondere sicherheitsrelevantes Steuerungssystem, z.B. Autonomie Emergency Braking (AEB) System eines Fahrzeugs, mit einer solchen Vorrichtung.

Schließlich betrifft die Erfindung noch ein Kraftfahrzeug mit zumindest einem solchen Steuerungssystem.

Die vorliegende Erfindung liegt im Bereich der Steuerung von Cyber-Physikalischen Systemen (CPS). Sie beschreibt ein innovatives Verfahren, wie durch die Anwendung von diversitärer Redundanz die Folgen von Software- und Hardwarefehlern abgeschwächt werden können.

Die technischen Entwicklungen auf dem Gebiet der Mikroelektronik ermöglichen den kostengünstigen Bau von autonomen technischen Systemen. In einem autonomen technischen System, bestehend aus einer technischen Anlage, dem zu steuernden Objekt (physical System— PS) und einem das Objekt steuernden Computersystem (cyber System— CS) beobachtet das CS mit einem Sensorsystem das Verhalten des PS und errechnet autonom geeignete Stellwerte für das Aktuatorensystem des zu steuernden Objekts.

Aus der Sicht der Informationsverarbeitung führt das zyklisch arbeitende CS eine gigantische Datenreduktion durch. Ein bildgebendes Sensorsystem erfasst über Kameras oder andere Sensoren (z.B. Radar oder Laser) in jedem Zyklus Megabits von Daten und reduziert diese Daten auf die Vorgaben für einen oder einige wenige Stellwerte, wobei eine solche Vorgabe in einem zehn Bit Datenfeld ausgedrückt werden kann. Die Algorithmen und damit die Software der Bildverarbeitung, die ein Bild analysieren und daraus die geeigneten Stellwerte errechnen, sind sehr umfangreich. Da sich diese Bildverarbeitungssoftware aufgrund ihres Umfangs nicht vollständig testen lässt [3], ist es wahrscheinlich, dass sich in der Software unerkannte Entwurfsfehler befinden, die unter gewissen Bedingungen zu falschen Resultaten führen. Ein Fehler im CS— sei es ein Fehler im Algorithmus, in der Programmierung oder ein Hardwarefehler— führt zu einem Fehler in einem oder wenigen eines zehn Bit breiten Stellwerts.

Es ist eine Aufgabe der vorliegenden Erfindung, eine Begrenzung der Auswirkungen eines Fehlers in einem solchen CS zu ermöglichen.

Diese Aufgabe wird mit einem eingangs erwähnten Verfahren und bzw. einer eingangs erwähnte Vorrichtung zur Risikobegrenzung von Fehlern in einem Steuerungssystem dadurch gelöst, dass erfindungsgemäß, eine, vorzugsweise intelligente, Aktuatorsteuerung (AST) aus den von zwei unabhängigen Fault-Containment-Units (FCU) mittels diversitärer Redundanz ermittelten zwei Stellwerten durch die Anwendung eines gewichteten Mittelwertalgorithmus einen neuen Stellwert errechnet, der trotz des Auftretens eines Fehlers in einer der beiden FCUs bewirkt, dass ein mit dem Steuerungssystem zu steuerndes Objekt, vorzugsweise schnell, in einen sicheren Zustand geführt wird.

Diese Aufgabe wird weiters mit einem eingangs Verfahren bzw. einer eingangs erwähnten Vorrichtung zur Risikobegrenzung von Fehlern in einem Autonomie Emergency Braking (AEB) System eines Fahrzeugs dadurch gelöst, dass erfindungsgemäß eine, vorzugsweise intelligente, Aktuatorsteuerung (AST) aus den von zwei unabhängigen Fault-Containment-Units (FCU) mittels diversitärer Redundanz ermittelten zwei Stellwerten für die Bremskraft durch die Anwendung eines gewichteten Mittelwertalgorithmus, der den Stellwert jener FCU, die eine höhere Bremskraft vorgibt, um ein vorgegebenes Gewicht g stärker gewichtet als den Stellwert jener FCU, die eine geringere Bremskraft vorgibt, einen neuen Stellwert für die Bremskraft errechnet und diesen neuen Stellwert für die Bremskraft in dem Fahrzeug zur Anwendung bringt.

Erfindungsgemäß wird vorgeschlagen, zwei unabhängige diversitäre Systeme zur Auswertung der Sensordaten vorzusehen. Zwei Computersysteme sind diversitär, wenn sie unterschiedliche Hardware und/ oder unterschiedliche Algorithmen zur Berechnung der Resultate verwenden. Wenn beide diver- sitären Systeme ausreichend getestet worden sind, ist es unwahrscheinlich, dass ein Satz von Eingabedaten gleichzeitig einen Fehler in beiden diversitären Systemen hervorruft.

Die beiden diversitären Systeme errechnen parallel jeweils einen Stellwert für einen Aktua- tor. Im Normalfall, wenn kein Fehler vorliegt, sind die beiden Stellwerte identisch. Liegt ein Fehler vor, so unterscheiden sich die beiden Stellwerte, wobei nicht entschieden werden kann, welcher der beiden Stellwerte fehlerhaft ist. Erfindungsgemäß wird vorgeschlagen, im Falle der Abweichung der beiden Stellwerte durch einen gewichteten Mittelwertalgorithmus aus den beiden vorliegenden Stellwerten einen neuen Stellwert zu ermitteln, der durch die geeignete Auswahl der Gewichtung jenen Stellwert bevorzugt, der schnell zu einem sicheren Zustand des PS führt.

In der veröffentlichen Patentliteratur wurde die US Patentanmeldung [1] gefunden, die sich mit der Modellierung der Folgen eines Fehlers befasst, um diese Folgen abschwächen zu können.

Bevorzugte Ausführungsformen der erfindungsgemäßen Vorrichtungen und der erfindungsgemäßen Verfahren, welche für sich alleine oder in beliebiger Kombination miteinander realisiert sein können, sind im Folgenden beschrieben:

> der im gegenwärtigen Zyklus ermittelte Stellwert durch die Bildung eines weiteren gewichteten Mittelwerts aus dem Stellwert des vergangenen Zyklus und dem ermittelten Stellwert im gegenwärtigen Zyklus wird derart korrigiert, dass die Gewichtung des Stellwerts im vergangenen Zyklus zunimmt, wenn die Differenz zwischen den beiden im gegenwärtigen Zyklus berechneten Stellwerten zunimmt;

> Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die, vorzugsweise intelligente, Aktuatorsteuerung wird auf einer self-checking Hardware ausgeführt;

> die, vorzugsweise intelligente, Aktuatorsteuerung legt bei dem Auftreten von ungleichen Stellwerten eine Fehlermeldung in einem Diagnosespeicher ab. Die vorliegende Erfindung legt ein Verfahren offen, wie durch diversitäre Redundanz in einem Cyber-Physikalischen System (CPS) die Auswirkungen von Fehlern in einem Computersystem auf das Verhalten einer technischen Anlage (zu steuernde Objekt, physikalisches System) begrenzt werden können. Das Verfahren sieht vor, zwei unabhängige diversitäre Computersysteme zur Auswertung der Sensordaten und Berechnung der Stellwerte zu verwenden. Wenn sich aufgrund eines Fehlers die beiden Stellwerte unterscheiden, so wird über einen gewichteten Mittelwertalgorithmus aus den beiden vorliegenden Stellwerten ein neuer Stellwert errechnet, der durch die Auswahl der Gewichtung jenen Stellwert bevorzugt, der die Anlage schnell in eine sicheren Zustand führt.

Das erfindungsgemäße Verfahren wird am Beispiel eines Autonomen Bremssystems in einem Fahrzeug an Hand der Zeichnung im Folgenden erörtert. In dieser zeigt die einzige

Fig. 1 die Struktur eines erfindungsgemäßen redundanten Steuerungssystems,

Das folgende konkrete Beispiel eines autonomen Bremssystems in einem Fahrzeug zeigt eine der vielen möglichen Realisierungen des erfindungsgemäßen Verfahrens.

Im Juni 2012 hat die NCAP (European New Car Assessment Program) Organisation eine Road- map [4] veröffentlicht, aus der hervorgeht, dass im Jahr 2016 Autonomous Emergency Braking (AEB) Systeme in neuen Kraftfahrzeugen auf breiter Front eingeführt werden sollen. Mit der vorliegenden Erfindung lassen sich die Zuverlässigkeit und Sicherheit von autonomen Bremssystemen verbessern.

Die wesentliche Idee der vorliegenden Erfindung - in Bezug auf AEB Systeme - besteht darin, die die Umgebung beobachtenden Sensoren und die zur Auswertung erforderliche Elektronik auf zwei autarke Fault-Containment Units (FCU) aufzuteilen [2] und die von den beiden unabhängigen FCUs ermittelten Stellwerte derart zu fusionieren, dass das Fahrzeug auch bei Auftreten eines Fehlers in einer FCU schnell in einen sicheren Zustand gebracht werden kann. Unter einer FCU wird ein abgekapseltes Sensor/ Hardware/ Software Subsystem verstanden, wobei die unmittelbaren Auswirkungen eines Fehlers dieses Subsystems (gleichgültig ob es sich um einen Hardware oder Software oder Sensorfehler handelt) auf dieses Subsystem eingegrenzt sind [5, S.136]. Eine FCU ist autark, wenn diese FCU in der Lage ist, die geforderte Funktionalität ohne Bezugnahme auf eine weitere FCU zu erbringen. Erfindungsgemäß besteht ein AEB System aus den zwei FCUs 110 und 120. Die FCU 110 verfügt über Sensoren (z.B. Kamera, Radar) 111 und 112 zur Beobachtung der Umgebung des Fahrzeugs. Die FCU 120 verfügt über Sensoren 121 und 122. Die Sensoren 111, 112, 121 und 122 werden zyklisch ausgelesen, wobei die Dauer eines Zyklus typischerweise 10 msec beträgt. In der FCU 110 übernimmt die Sensor Fusion Komponente 113 die Sensordaten und errechnet einen Stellwert für die Bremsaktuatoren, wobei der Stellwert 0 bedeutet, nicht zu bremsen, und der Stellwert 2 bedeutet, die maximale Bremskraft zu aktivieren. Analog berechnet die Sensor Fusion Komponente 123 den Stellwert der FCU 120. Die beiden Stellwerte werden über die Datenleitungen 114 und 124 an die intelligente Aktuatorsteuerung (AST) 100 zur Steuerung der Bremsen ausgegeben. Die AST 100 kann auf einer self-checking Hardware exekutiert werden, um einen Hardwarefehler der AST 100 sofort erkennen zu können. Es wird angenommen, dass die relativ einfache Software der AST 100 frei von Entwurfsfehlern ist.

Im fehlerfreien Fall sind die beiden Stellwerte der FCUs 110 und 120 identisch und es ist daher unwesentlich, welcher der beiden Stellwerte von der AST 100 übernommen wird.

Im Fehlerfall werden die beiden Stellwerte der FCUs 110 und 120 unterschiedlich sein. Im Extremfall ermittelt in einem Zyklus FCU 110 den Wert 1 (Vollbremsung) und FCU 120 den Wert 0 (nicht bremsen). Da angenommen wird, dass nur eine FCU fehlerhaft ist, ist einer dieser beiden Werte richtig, der andere falsch. Es ist nicht bekannt, welcher Wert richtig und welcher Wert falsch ist. Wenn der richtige Wert 0 (nicht bremsen) ist, dann kann die Wahl des falschen Wertes 1— nicht notwendige spontane Vollbremsung— zu einem Auffahrunfall durch das folgende Fahrzeug führen. Wenn hingegen der richtige Wert 1 (Vollbremsung) ist, dann führt die Wahl des falschen Wertes 0 wahrscheinlich zu einem Unfall. Um das Risiko einer falschen Wahl zu begrenzen, wird vorgeschlagen, im Fehlerfall (ungleiche Stellwerte der beiden FCUs) durch einen gewichteten Mittelwertalgorithmus einen Stellwert zu errechnen, der aus Sicherheitsüberlegungen die Alternative bremsen stärker gewichtet als die Alternative nicht bremsen.

Weiter wird vorgeschlagen, dass im Fehlerfall (ungleiche Stellwerte) die intelligente AST eine Fehlermeldung im Diagnosespeicher des Fahrzeugs ablegt. Erfindungsgemäß ermittelt die AST 100 aus den beiden Stellwerten der FCUs 110 und 120 durch Anwendung der folgenden Formel den Stellwert B; des gegenwärtigen Zyklus i

Bi = (g*B gross + B _k lein)/(g+l) wobei Bgross der größere der beiden Stellwerte und B n der kleinere der beiden Stellwerte der FCUs 110 und 120 ist. Die Variable g gibt an, mit welchem Gewicht der größere Stellwerte {stärker bremsen) zu berücksichtigen ist im Vergleich zum kleineren Stellwert {weniger stark bremsen).

Im folgenden Beispiel wird g = 3 angenommen, d.h. in dem gewichteten Mittelwertalgorithmus hat der größere Stellwert ein dreimal so großes Gewicht wie der kleinere Stellwert. Durch die stärkere Gewichtung des größeren Stellwerts wird erreicht, dass das Fahrzeug im Fehlerfall schnell in einen sicheren Zustand (beispielsweise in einen abbremsenden oder abgebremsten Zustand oder Stillstand) geführt wird.

Tab. 1: Stellwert als Funktion von Bgross und Bmn, g ⁼ 3

Das Beispiel mit der Gewichtung g = 3 zeigt, dass im betrachteten Extremfall, d.h. eine FCU verlangt Vollbremsung, die andere nicht bremsen, eine Bremskraft von 75% zur Anwendung gebracht wird. Aus der Tabelle 1 ist auch ersichtlich, dass im fehlerfreien Fall (Diagonale in Tab.l) keine Modifikation des Stellwerts erfolgt.

Zum Unterschied von Systemen der Analogtechnik sind in digitalen Systemen die Auswirkungen eines Fehlers auf das Resultat unvorhersehbar. Um eine extreme, durch einen Fehler hervorgerufene spontane Reaktion des PS (im obigen Beispiel das Kraftfahrzeug) weiter abzufedern, kann der Stellwert Bi im Zyklus i beim plötzlichen Auftreten einer großen Differenz der errechneten Stellwerten der beiden FCUs durch eine gewichtete Mittelwertbildung aus dem gegenwärtigen Stellwert und dem Stellwert des unmittelbar vorgelagerten Zyklus i-1 weiter korrigiert werden. Dazu wird vorgeschlagen, dass die AST 100 einen korrigierten Stellwert Z wie folgt berechnet:

ZW ⁼ (Bi + Bj-i *(B _gro ß ^~ Bklein))/(1 + B _gro ß ^~ Bklein)

Wenn (Β^ ₀ β - Bkkin) = 0 (gleiche Stellwerte , dann ist Bik _or = Bi, d.h. es erfolgt keine Korrektur. Wenn hingegen (B _gW ß - Bkkm) = 1 (Extremfall) dann ist Bikor = (Bi + Bj-i)/2, d.h. Bikor nimmt den Mittelwert der beiden letzten Zyklen an. Für alle anderen Werte von (Β^ ₀ β - Bkkm) liegt der Wert Bikor zwischen diesen beiden Grenzen. Diese Berechnung des korrigierten Stellwertes Bikor führt zur Abfederung einer spontanen Reaktion, die durch einen Fehler hervorgerufen wurde.

Das vorgeschlagene Verfahren kann in redundanten Systemen mit verhältnismäßig geringem Aufwand realisiert werden und führt zu einer signifikanten Erhöhung der Zuverlässigkeit und Sicherheit von autonomen Steuerungssystemen.

Zitierte Literatur:

[1] US Pat Appl 20090299713. Miller, P.J. et al. Method ofModeUing the Effect ofa Fault on the Behavior ofa System. Published on Dec. 3, 2009.

[2] Österreichische Patentanmeldung A 200/2013 der FTS Computertechnik. Vorrichtung und Verfahren zur autonomen Steuerung von Kraftfahrzeugen. Eingereicht am 14.3.2013

[3] Littlewood, B. & L. Strigini, (1993). Validation of ultra-high dependability for software-based Systems. Comm. ACM. Vol. 36(11). (pp. 69-80).

[4] NCAP Rating Group. EURO NCAP Rating Review 2012. Online at: http: / / www.euroncap.com

[5] Kopetz, H. Real-Time Systems, Design Principles for Distributed Embedded Applications. Springer Verlag. 2011.