Titel

Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems

Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitssystems. Die Erfindung betrifft ferner ein Sicherheitssystem. Die Erfindung betrifft ferner eine Verwendung eines Sicherheitssystems. Die Erfindung betrifft ferner ein Compu terprogrammprodukt.

Stand der Technik

Moderne Sicherheitssysteme, insbesondere für Automatisierungssysteme von mobilen und insbesondere automobilen Anwendungen erfordern echtzeitfähige, redundante Datenströme. Neben der Auswertung von Videodaten werden 3D- Modelle kontinuierlich zeitsynchron durch komplexe Sensoren, wie zum Beispiel □DAR-, Radarsensoren, usw. mit der realen Umgebung abgeglichen. Ein Zeit verzug von ca. 100ms bedeutet bei einer Geschwindigkeit von ca. 100 km/h über 3m Abweichung im Modell von der Realität. Dies bedeutet mehr als eine Stra ßenbreite und kann in einer Kurve bereits eine Kollision mit dem Gegenverkehr verursachen.

Um Elektronikfehler zu entdecken und auch um diese Fehler zu beherrschen, zu korrigieren oder das Umschalten auf redundante Funktionen sicherzustellen, müssen die genannten Datenströme synchronisiert werden, damit ein rechtzeiti ger Vergleich in den Datenströmen stattfinden kann.

Bei einer konventionellen Synchronisierung wird ein Datenstrom angehalten und erst, wenn sich der zweite Datenstrom auf demselben Synchronisierungspunkt befindet, können die Daten verglichen werden. Dies kann nachteilig zu einer erheblichen Reduzierung von Geschwindigkeit füh ren, mit der diese Daten verarbeitet werden.

Weiterhin gibt es erhebliche Anforderungen an Performance, wenn in kurzer Zeit sehr große Datenmengen miteinander verglichen werden sollen, wobei auch der Vergleich selbst erhebliche Zeit in Anspruch nimmt, die die Leistungsfähigkeit des Gesamtsystems beträchtlich reduzieren kann.

Im Allgemeinen ist eine Funktion auch eine Kette von verschiedenartigen Teil funktionen, die Zwischenergebnisse produzieren, die dann die Basis für eine wei tere Verarbeitung bilden. Liegen die Zwischenergebnisse nicht rechtzeitig vor oder werden gar Falschinformationen weiter verarbeitet, können daraus massive Systemfehler resultieren, die bei sicherheitsrelevanten Systemen zu einer Ge fährdung von Personen führen können. Insbesondere bei der Erfassung von Da ten (z.B. durch Sensoren) müssen diese Daten auf Korrektheit und Rechtzeitig keit geprüft werden, bevor diese zur Verarbeitung weitergegeben werden. Die Verarbeitung mit unterschiedlichen Algorithmen bedarf ebenfalls einer zeitlichen und inhaltlichen Prüfung, bevor ein Aktuator mit den entsprechenden Informatio nen angesteuert wird.

Weiterhin ist es bei einem redundanten Sicherheitssystem wichtig, dass beim Ausfall eines Kanals der zweite Kanal rechtzeitig die Aufgabe des ausgefallenen Kanals übernehmen kann, sodass die Sicherheitsfunktion ohne Unterbrechung weiter gewährleistet ist.

Insbesondere beim automatisierten Fahren ist es wesentlich, die sicherheitsrele vanten Funktionen auch fehlertolerant auszulegen, sodass die elektronische Funktion auch im Fehlerfall verfügbar ist. Hier hat die Redundanz eine doppelte Funktion, nämlich die Fehlerentdeckung und die Erhöhung der Verfügbarkeit der Funktion. Insbesondere bei Brems- und Lenksystemen ist dies während der Fahrt ein besonderes Risiko, weil das Fahrzeug plötzlich nicht mehr brems- bzw. lenkbar wird. DE 100 32 216 A1 offenbart ein Sicherheitssystem in einem Kraftfahrzeug und ein Verfahren, bei dem ein Hauptrechner die Sensor- und Konfigurationseingän ge steuert und diagnostiziert.

DE 10 2008 008 555 B4 offenbart ein Verfahren zum Minimieren von Gefahrensi tuationen bei Fahrzeugen.

Offenbarung der Erfindung

Es ist eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zum Betreiben eines Sicherheitssystems bereitzustellen.

Die Aufgabe wird gemäß einem ersten Aspekt gelöst mit einem Verfahren zum Betreiben eines Sicherheitssystems, aufweisend die Schritte:

Zuführen von Daten an wenigstens zwei Kanäle;

Generieren von Informationen aus den Daten in den wenigstens zwei Kanälen;

Generieren eines Prüfschlüssels aus den Informationen in den wenigs tens zwei Kanälen;

Zuführen der Informationen und der Prüfschlüssel der beiden Kanäle an eine Prüfeinrichtung; und

Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel.

Auf diese Weise wird ein Verfahren zum Betreiben eines Sicherheitssystems be reitgestellt, welches insbesondere in Echtzeit-Anwendungen sinnvoll ist. Vorteil haft sind bei dem vorgeschlagenen Verfahren keine aufwendigen Aktionen wie zum Beispiel Idle-Modi, Synchronisierungsschritte, usw., wie sie in präemptiven Echtzeitsystemen vorgesehen sind, erforderlich. Im Ergebnis können dadurch die Informationen in vorteilhafter Weise zu anderen Zeitpunkten verglichen werden, zu denen sie generiert wurden. Dadurch können die Rechenkapazitäten der bei den Kanäle vorteilhaft bestmöglich genutzt werden.

Gemäß einem zweiten Aspekt wird die Aufgabe gelöst mit einem Sicherheitssys tem, aufweisend: zwei Rechnereinrichtungen zum unabhängigen Generieren von Informa tionen aus zugeführten Daten in wenigstens zwei Kanälen, wobei aus den Informationen der wenigstens zwei Kanäle ein dazugehöriger Prüf schlüssel generiert wird; und

eine Prüfeinrichtung, an die die Informationen der wenigstens zwei Kanä le zuführbar sind; wobei

mittels der Prüfeinrichtung die Informationen der wenigstens zwei Kanäle in Abhängigkeit vom Vergleich definiert verwendbar gemacht werden.

Vorteilhafte Weiterbildungen des Verfahrens sind Gegenstand von abhängigen Ansprüchen.

Eine vorteilhafte Weiterbildung des Verfahrens sieht vor, dass das Generieren der Informationen aus den Daten und das Generieren der Prüfschlüssel aus den Informationen zu definierten Zeitpunkten durchgeführt werden. Dadurch wird vor teilhaft ein mehrstufiges Verfahren bereitgestellt, welches die Informationen zu unterschiedlichen Zeitpunkten überprüft.

Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass im Falle eines Fehlers eines Kanals die Informationen des anderen Kanals genutzt wer den. Ein Sicherheitsniveau des Sicherheitssystems ist auf diese Weise vorteilhaft erhöht.

Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Prüf einrichtung anhand wenigstens eines definierten Kriteriums entscheidet, welche Informationen aus welchem Kanal verworfen werden können. Dadurch kann vor teilhaft entschieden, wann Informationen genutzt bzw. als ungültig verworfen werden.

Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Infor mationen per Drahtloskommunikation an ein Fahrzeug gesendet werden. Vorteil haft ist dabei eine Anwendung unterstützt, bei der zum Beispiel mittels WiFi In struktionen an ein automatisiertes Fahrzeug (zum Beispiel in einem Parkhaus) gesendet werden. Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Daten von einer Sensoreinrichtung bereitgestellt werden. Auf diese Weise sind Anwen dungen des Verfahrens ermöglicht, die Sensordaten möglichst in Echtzeit verar beiten.

Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von mehreren Figuren detailliert beschrieben. Die Figuren sind vor allem dazu gedacht, die erfindungswesentlichen Prinzipien zu verdeutlichen.

Offenbarte Verfahrensmerkmale ergeben sich analog aus entsprechenden offen barten Vorrichtungsmerkmalen und umgekehrt. Dies bedeutet insbesondere, dass sich Merkmale, technische Vorteile und Ausführungen betreffend das Ver fahren in analoger Weise aus entsprechenden Ausführungen, Merkmalen und Vorteilen betreffend das Sicherheitssystem ergeben und umgekehrt.

In den Figuren zeigt:

Fig. 1 ein Blockschaltbild einer ersten Ausführungsform eines vorge schlagenen Sicherheitssystems;

Fig. 2 ein Blockschaltbild einer weiteren Ausführungsform eines vorge schlagenen Sicherheitssystems; und

Fig. 3 eine Darstellung eines vorgeschlagenen Verfahrens zum Betrei ben eines Sicherheitssystems.

Beschreibung von Ausführungsformen

Im Folgenden wird der Begriff„automatisiertes Fahrzeug“ synonym in den Be deutungen vollautomatisiertes Fahrzeug, teilautomatisiertes Fahrzeug, vollauto nomes Fahrzeug und teilautonomes Fahrzeug verwendet.

Ein Kerngedanke der Erfindung ist die Bereitstellung einer Überwachungsarchi tektur, die in mehreren Ebenen unterschiedliche zeitliche Aspekte in einem re- dundanten Sicherheitssystem gewährleistet, ohne dass die Leistungsfähigkeit des redundanten Systems reduziert wird.

Erreicht wird mit der Erfindung vorteilhaft, den redundanten Datenstrom mit ma ximaler Leistung durch die beiden Kanäle zu leiten. Hierbei werden in einem pa rallelen Pfad Dateninhalte und bestimmte Sicherheitsschlüssel aus dem System abgegriffen.

Fig. 1 zeigt ein prinzipielles Blockschaltbild einer ersten Ausführungsform eines vorgeschlagenen Sicherheitssystems 100. Man erkennt eine erste Rechnerein richtung 10 mit einer ersten Informationseinrichtung 11a, an die von einer Sen soreinrichtung 1 Daten D zugeführt werden. Aus den Daten D werden mittels der Informationseinrichtung 11a Informationen 11 generiert. Die Informationen 11 werden einer ersten Verschlüsselungseinrichtung 12a zugeführt, aus der diese einen ersten Prüfschlüssel S1 generiert.

Ferner weist das Sicherheitssystem 100 eine zweite Rechnereinrichtung 20 auf, der ebenfalls die Daten D der Sensoreinrichtung 1 zugeführt werden. Mittels ei ner zweiten Informationseinrichtung 21a werden aus den Daten D Informationen 11 generiert, die einer zweiten Verschlüsselungseinrichtung 22a zugeführt wer den, aus denen die zweite Verschlüsselungseinrichtung 22a einen zweiten Prüf schlüssel S2 generiert.

Die Informationen 11 und die Prüfschlüssel S1 , S2 werden einer Prüfeinrichtung 30, die vorzugsweise als eine Sicherheits-SPS ausgebildet ist, zugeführt. Somit ist es für die Prüfeinrichtung 30 möglich, die Informationen 11 unabhängig vom Zeitpunkt der Generierung der Informationen 11 mittels der Informationseinrich tungen 11a, 12a zu vergleichen und nach definierten Kriterien, z.B. auf Korrekt heit und/oder Plausibilität zu prüfen.

Im Ergebnis können die beiden Rechnereinrichtungen 10, 20, die unter Umstän den physikalisch unterschiedlich ausgebildet sind, ihre jeweils optimalen Res sourcen zur Bereitstellung der Informationen 11 nutzen, ohne z.B. zur Erfüllung von Echtzeitanforderungen durch Idle-, Synchronisierung-, und Sicherheitsme chanismen behindert bzw. verlangsamt zu werden. Eine optimale Ausnutzung der Rechenleistung der beiden Rechnereinrichtungen 10, 20 ist auf diese Weise vorteilhaft unterstützt.

In Abhängigkeit vom Resultat des Vergleichs bzw. der Prüfung kann die Prüfein richtung 30 eine Instruktion drahtlos oder drahtgebunden an eine nachgeordnete Einrichtung (beispielsweise eine Schalteinrichtung, nicht dargestellt) abgeben, die Instruktionen für ein automatisiertes Fahrzeug (nicht dargestellt) enthalten.

Im Ergebnis wird dadurch mit dem Sicherheitssystem 100 eine redundante Sig nalkette in zwei Kanälen mit Zeitüberwachung bereitgestellt.

Fig. 2 zeigt ein Blockschaltbild einer zweiten Ausführungsform des vorgeschla genen Sicherheitssystems 100. Man erkennt mehrere Zeitpunkte t0...tn, zu de nen die Informationen li ... l _n definiert aus den Daten D aufbereitet und zu denen zugeordnete Prüfschlüssel S1... Sn aus den Informationen li ... l _n generiert wer den. Dabei ist vorgesehen, den ersten Prüfschlüssel S1 zum Zeitpunkt to zum Beispiel nach der Sensordatenerfassung, einen zweiten Prüfschlüssel S2 zum Zeitpunkt h nach einer logischen Verarbeitung von Algorithmen und einen dritten Prüfschlüssel S3 zum Zeitpunkt t2 nach einer Berechnung der Aktuatorvariablen zu ermitteln. Dadurch ergeben sich durch die genannten Zeitpunkte drei Zeitfens ter, bei denen von der Prüfeinrichtung 30 geprüft wird, ob die jeweiligen Zwi- schenstands-Daten bzw. -Informationen inhaltlich korrekt und rechtzeitig am Prüfpunkt, d.h. an der Prüfeinrichtung 30 angekommen sind. Ist das jeweils in den beiden redundanten Kanälen der Fall, so wird der Datenstrom durch die Prü feinrichtung 30 als zeitlich und inhaltlich korrekt weiter gemeldet.

Es versteht sich natürlich von selbst, dass die Anzahl der gezeigten Zeitpunkte und die zu diesen Zeitpunkten durchgeführten Operationen lediglich exempla risch sind und dass in der Praxis andere, insbesondere wesentlich mehr Zeit punkte vorgesehen sein können, zu denen andere Informationen li ... l _n aus den Daten D aufbereitet und entsprechende Prüfschlüssel generiert werden. Ebenso denkbar ist, dass die Daten nicht unbedingt von einer Sensoreinrichtung 1 stam men müssen, sondern von anderen Einrichtungen bereitgestellt werden können. Da die Datenströme in den beiden Kanälen des Sicherheitssystems 100 auf grund der unterschiedlichen Rechnereinrichtungen 10, 20 in der Regel unter schiedlich schnell sind, wird die Information des„Wächters“ in Form der Prüfein richtung 30 erst anliegen, wenn der redundante Datenstrom auch seinen Prüf schlüssel gemeldet hat. Da die Prüfeinrichtung 30 aber lediglich die Prüfschlüssel S1... Sn prüft, kann die Prüfung vorteilhaft sehr schnell durchgeführt werden. Solange die Prüfung positiv ist, kann z.B. immer der erste Datenstrom des ersten Kanals genutzt werden, um in der nächsten Ebene verarbeitet zu werden. Das Risiko besteht jedoch darin, dass die Prüfeinrichtung 30 einen Fehler feststellt und die Information in der weiteren Bearbeitungskette verwerfen muss.

Es reicht jedoch aus, wenn die Sperrung des fehlerhaften Datenstroms vor dem letzten Funktionselement geschieht, was im Allgemeinen die Ansteuerung des Aktuators (nicht dargestellt) bedeutet. Er schaltet aber am Aktuator nur den feh lerhaften Datenstrom ab und nicht den als korrekt erkannten Datenstrom, somit tritt zwar eine mögliche Verzögerung im Datenstrom auf, die sich aber nur auf die Zeit bezieht, die der zweite Datenstrom dem fehlerhaften hinterhereilt. Bei einer homogenen Redundanz sind die Zeiten im Allgemeinen sehr gering.

Da zeitlich gesehen die Zwischenschritte zum Beispiel nach der Erfassung, nach der Logikverarbeitung und nach der Ansteuerung des Aktuators variieren, liegt die zeitliche Summe oftmals über der geforderten Zeit für die gesamte Kette, da die worst-case-Situation sehr selten eintritt, gleichen sich die Zeiten in den Un terabschnitten meistens aus. Somit muss sicherheitstechnisch nur die Zeit zwi schen der Erfassung der Daten D in der Sensoreinrichtung 1 und der entspre chenden Reaktion im Aktuator gemessen werden. Solange diese für einen fehler freien Kanal unter der geforderten Zeitgrenze liegt, gilt die Sicherheitsreaktion als hinreichend und damit als sicherheitstechnisch„rechtzeitig“.

Die genannten Komponenten des Sicherheitssystems 100 können z.B. über eine geeignete Netzwerkverbindung (z.B. Ethernet) funktional miteinander verbunden sein.

Ein wesentlicher Vorteil der vorgeschlagenen Lösung ist ein erheblich reduzierter Aufwand bei der Synchronisierung des Datenstroms, wodurch die Leistungsfä- higkeit des vorgeschlagenen Sicherheitssystems 100 annähernd Werte eines nicht-sicherheitsrelevanten Systems in einer einkanaligen Realisierung erreicht. Die Redundanz erfordert keine zweite unabhängige Softwareentwicklung, da, da in beiden Pfaden die Nominalfunktion der Informationsbereitstellung aus den Da ten D jeweils identisch implementiert werden kann. Demgegenüber steht nur die Implementierung entsprechender Monitore bzw. Verschlüsselungseinrichtungen, die die notwendigen Prüfschlüssel S1... Sn zur Überprüfung auf Korrektheit der Informationen zu den Zeitpunkten to...t _n generieren.

Ein weiterer Vorteil des vorgeschlagenen Verfahrens besteht darin, dass Fehler nur zu einem Ausfall eines Kanals führen, wobei die zeitliche Verzögerung bei homogener Relevanz als gering angesehen werden kann.

Fig. 3 zeigt einen prinzipiellen Ablauf einer Ausführungsform des vorgeschlage nen Verfahrens.

In einem Schritt 200 wird ein Zuführen von Daten D an wenigstens zwei Kanäle durchgeführt.

In einem Schritt 210 wird ein Generieren von Informationen li ... l _n aus den Daten D in den wenigstens zwei Kanälen durchgeführt.

In einem Schritt 220 wird ein Generieren eines Prüfschlüssels S1... Sn aus den Informationen I in den wenigstens zwei Kanälen durchgeführt.

In einem Schritt 230 wird Zuführen der Informationen li ... l _n und der Prüfschlüssel S1... Sn der beiden Kanäle an eine Prüfeinrichtung 30.

Schließlich wird in einem Schritt 240 ein definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel S1...Sn durchgeführt.

Vorteilhaft lässt sich das vorgeschlagene Verfahrens in einem Sicherheitssystem beim automatisierten Parken und/oder im urbanen Umfeld anwenden. Vorteilhaft kann das vorgeschlagene Verfahren in Form eines Softwarepro gramms mit geeigneten Programmcodemitteln realisiert werden, das auf dem Si cherheitssystem 100 mit dessen Komponenten abläuft. Eine einfache Adaptier- barkeit des Verfahrens ist auf diese Weise möglich.

Der Fachmann wird die Merkmale der Erfindung in geeigneter Weise abändern und/oder miteinander kombinieren, ohne vom Kern der Erfindung abzuweichen. Beispielsweise kann vorgesehen sein, dass die Anzahl der Kanäle des Sicher heitssystems auch größer als zwei ist.