机动车的至少一个安全功能的控制的制作方法

1.本发明涉及一种用于控制机动车的至少一个安全功能的装置和方法。


背景技术：

2.在本文件的范畴中，术语“自动驾驶”可以理解为具有自动纵向或横向控制的驾驶或具有自动纵向和横向控制的自主驾驶。术语“自动驾驶”包括具有任意自动化程度的自动驾驶。示例性的自动化程度有辅助驾驶、部分自动驾驶、高度自动驾驶或全自动驾驶。这些自动化程度由联邦公路研究所(bast)定义(请参阅bast出版物“研究报告”，版本11/2012)。在辅助驾驶中，驾驶员持续执行纵向或横向控制，而系统则在一定限制范围内接管相应的其他功能。在部分自动驾驶(taf)中，系统在一定时间段内和/或在特定情况下接管纵向和横向控制，其中驾驶员必须如在辅助驾驶中一样持续监控系统。在高度自动驾驶(haf)中，系统在一定时间段内接管纵向和横向控制，而无需驾驶员持续地监控系统；然而驾驶员必须能够在一定时间内接管车辆控制。在全自动驾驶(vaf)中，系统可以对于特定应用场合在所有情况下自动管理驾驶；该应用场合不再需要驾驶员。上述四个根据bast定义的自动化程度相应于sae j3016标准(sae-美国汽车工程师协会)的sae级别1至4。例如，根据bast的高度自动驾驶(haf)相应于sae j3016标准的3级。此外，在sae j3016中还规定了sae 5级作为最高自动化程度，其未包含在bast的定义中。sae 5级对应于无人驾驶，其中系统可以在整个行驶期间如人类驾驶员一样自动处理所有情况；一般不再需要驾驶员。
3.从现有技术中已知机动车的运行可能导致对人身和环境的危害。因此，为了避免这些危害而开发机动车的安全功能。然而，这些安全功能在机动车运行期间需要能量，从而导致机动车排放的增加和/或机动车续航里程的减少。


技术实现要素：

4.本发明的目的是减少机动车的安全功能的能量消耗。
5.该目的通过独立权利要求的特征实现。在从属权利要求中说明了有利的实施方式。应指出的是，从属于独立权利要求的权利要求的附加特征在没有独立权利要求的特征或者仅在与独立权利要求的特征子集相组合的情况下可以构成独立于独立权利要求的所有特征组合的单独发明，其可以成为独立权利要求、分案申请或后续申请的主题。这同样适用于说明书中所述的技术理论，其可以形成独立于独立权利要求的特征的发明。
6.本发明的第一方面涉及一种用于控制机动车的至少一个安全功能的装置。
7.机动车的至少一个安全功能特别是用于错误识别和/或错误反应的机动车功能，即用于识别错误或响应于所识别的错误的专用功能，其中错误是机动车的电气和/或电子子系统或者组件的错误。在此，错误是子系统或组件的实际行为与子系统或组件的预期行为的偏差。替代地，该至少一个安全功能是机动车的安全关键的客户功能，即在错误执行的情况下会对机动车中的人、机动车附近的人或环境造成危害的客户功能。替代地或附加地，至少一个安全功能是由多个子功能实现的抽象安全概念，例如多通道系统，其中多个通道
彼此独立地计算，然后合并其结果。
8.该装置被设置为例如借助于机动车的传感器来确定机动车的当前驾驶情况。
9.此外，该装置被设置为在机动车的当前驾驶情况下确定所需的安全级别。
10.当前驾驶情况下所需的安全级别特别是iso标准iso 26262(“道路车辆-功能安全”)为机动车安全相关系统规定的安全要求级别“汽车安全完整性等级”(“asil”)。在此有五个安全要求级别“qm”、“asil a”、“asil b”、“asil c”和“asil d”，其中qm为最低级别，asil d为最高级别。
11.替代地或附加地，在当前驾驶情况下所需的安全级别特别是机动车的至少一个组件、例如机动车的传感器的性能水平。
12.例如，装置被配置为通过提供根据iso 26262在机动车开发过程中进行的危害和风险分析的结果来确定机动车当前驾驶情况下所需的安全级别。该结果以至少一个所需asil的形式表明对于机动车的驾驶情况和状态所需的安全级别。由于该装置被配置用于确定机动车的当前驾驶情况，并且还能够确定机动车的当前状态，因此装置可以针对机动车的该具体驾驶情况和具体状态通过危害和风险分析的结果来确定在当前驾驶情况下所需的安全级别。
13.在此，在机动车当前驾驶情况下所需的安全级别的确定本身必须以尽可能高的安全级别来进行。
14.此外，装置被设置为根据所需的安全级别来控制至少一个安全功能。
15.为此，该装置例如被配置为提供在机动车的开发过程中进行的安全分析的结果，并且例如评估至少一个安全功能对iso 26262第4卷(“产品开发：系统级”)、第5卷(“产品开发：硬件级”)和/或第6卷(产品开发：软件级)中的要求的符合情况。
16.通过确定符合iso 26262要求的程度，可以确定以至少一个安全功能可达到的最高安全级别。
17.此外，当所需的安全级别低于以至少一个安全功能可实现的最高安全级别时，装置被配置为以如下方式控制安全功能，使得以至少一个安全功能实际实现的安全级别达到或超过所需的安全级别，并且使得至少一个安全功能的实际能量消耗小于至少一个安全功能在达到以至少一个安全功能可实现的最高安全级别时的能量消耗。
18.该装置特别是被配置为通过降低至少一个安全功能的性能来实现该控制，例如通过降低采样率或分辨率或者通过停用部分功能。
19.该实施方式的优点在于，尽管符合在当前驾驶情况下所需的安全级别，但执行安全功能所需的能量被减少，从而机动车作为一个整体更高效地运行。
20.在本发明的另一个有利的实施方式中，该装置被配置为停用至少一个安全功能，以根据所需的安全级别来控制至少一个安全功能。
21.在本发明的另一有利实施方式中，该装置被配置为降低至少一个安全功能的性能，例如通过降低提供安全功能输入信号的传感器的传感器范围和/或传感器分辨率，以根据所需的安全级别来控制至少一个安全功能。
22.在本发明的另一有利实施方式中，至少一个安全功能是机动车的系统的多通道系统架构，其中多通道性例如以硬件和/或软件实现。
23.在此，该装置被配置为停用机动车的系统的多通道系统架构中的至少一个通道，
以根据所需的安全级别来控制至少一个安全功能。由此释放了被停用的通道的计算所需的资源。
24.本发明的另一有利实施方式为一种用于机动车的资源规划的系统，其中该系统包括根据权利要求之一的装置。
25.该系统被配置为确定机动车的通过控制至少一个安全功能所释放的至少一个资源，例如机动车控制单元的所释放的计算时间和/或所释放的存储器，并且规划机动车的所释放的至少一个资源。
26.在本发明的另一有利实施方式中，系统被设置为：通过将所释放的至少一个资源提供给用于机动车的驾驶员辅助功能来规划所释放的至少一个资源，其中防止驾驶员辅助功能访问机动车的纵向和/或横向控制。
27.换言之，驾驶员辅助功能以所谓的“影子模式”运行，其中驾驶员辅助功能虽然接收并处理输入信号，但不向机动车的执行器输出控制信号。
28.该实施方式的优点在于，驾驶员辅助功能由此可以在真实条件下进行测试而不会干扰机动车的运行。因此，例如可以测试尚未对机动车驾驶员可用的驾驶员辅助功能的新版本，并且例如可以确定驾驶员辅助功能的新版本和先前版本之间的行为偏差。
29.在本发明的另一有利实施例中，系统被配置为：通过将资源提供给驾驶员辅助功能来规划所释放的至少一个资源，其中驾驶员辅助功能被控制为使得扩展驾驶员辅助功能的运行设计域。
30.在此，驾驶员辅助功能的运行设计域是驾驶员辅助功能以足够高的质量工作的所有可能驾驶情况的子集。例如，运行设计域可以限制其中驾驶员辅助功能以足够高的质量工作的机动车速度范围。替代地或附加地，例如，如果驾驶员辅助功能仅在受控的类似高速公路的驾驶情况下而不在高度复杂的城市驾驶情况下以足够高的质量工作，则运行设计域可以限制机动车环境的复杂性。
31.对于某些驾驶员辅助功能，如果资源可用，则可以扩展运行设计域。因此，例如利用更多的可用资源可以处理机动车附近的更多物体，和/或可以使用更复杂的图像处理算法对机动车附近的物体进行识别和/或分类。
32.在本发明的另一有利实施方式中，系统被设置为：通过将系统设置为检验资源的功能性来规划所释放的至少一个资源，特别是通过执行资源的功能测试，其在资源被使用时无法执行，例如存储器测试。
33.本发明的第二方面涉及一种用于控制机动车的至少一个安全功能的方法。
34.该方法的一个步骤是确定机动车的当前驾驶情况。
35.该方法的另一步骤是确定在机动车当前驾驶情况下所需的安全级别。
36.该方法的另一步骤是根据所需的安全级别来控制至少一个安全功能。
37.根据本发明第一方面的本发明的装置的前述实施方式也以相应的方式适用于根据本发明第二方面的本发明方法。在此处以及在权利要求中未明确说明的本发明方法的有利实施例对应于上面所述或在权利要求中所述的本发明装置的有利实施例。
附图说明
38.下面参考附图借助于实施例来说明本发明。其中：
39.图1示出了根据本发明的装置的一个实施例，并且
40.图2示出了根据本发明的方法的一个实施例。
具体实施方式
41.图1示出了根据本发明的用于控制机动车的至少一个安全功能的装置。
42.至少一个安全功能是机动车的系统的多通道系统架构c1、c2、c3。
43.在此将处理三个并行处理通道c1、c2、c3的传感器数据sd，其中三个平行处理通道c1，c2、c3被分配在机动车的两个控制单元e1、e2上，使得两个处理通道c1和c2在控制单元e1上被执行，而处理通道c3在控制单元e3上被执行。
44.然后，从三个并行处理通道c1、c2、c3的结果中例如确定轨迹tr，其可以用于机动车的自动运行。
45.该装置被配置为确定100机动车的当前驾驶情况，确定150以至少一个安全功能可实现的最高安全级别，并且确定200在机动车的当前驾驶情况下所需的安全级别。
46.此外，当所需的安全级别低于以至少一个安全功能可实现的最高安全级别时，该装置被配置为以如下方式控制300安全功能，使得以至少一个安全功能实际实现的安全级别达到或超过所需的安全级别，并且使得至少一个安全功能的实际能量消耗小于至少一个安全功能在达到以至少一个安全功能可实现的最高安全级别时的能量消耗。
47.在此，该装置被配置为停用机动车的系统的多通道系统架构c1、c2、c3中的至少一个通道，以便根据所需的安全级别来控制300至少一个安全功能。
48.例如，如果执行处理通道c1和c2的并行冗余计算以实现如下安全目标，即该安全目标在机动车的非常危急的驾驶情况下被评定为asil d的安全级别，而通过asil分解将安全级别划分为两个asil b(d)的安全级别，则当在机动车的当前驾驶情况下仅以asil b的安全级别来评估安全目标时可以停用两个处理通道c1和c2中的一个。
49.替代地或附加地，例如将处理通道c3转移到控制单元e2上，以防止所有处理通道c1、c2、c3由于共同原因(所谓的“共因失效”)而发生失效，例如由于控制单元e1的电源失效。
50.如果现在在机动车的当前驾驶情况下所有处理通道c1、c2、c3的失效是可容忍的，例如因为机动车仅以低速移动，从而处理通道c1，c2，c3的失效可以由任何假设的驾驶员控制，因此可以停用处理通道c3，并且必要时甚至可以停用整个控制单元e2。
51.机动车特别是包括用于机动车的资源规划的系统，其中该系统包括根据本发明的用于控制机动车的至少一个安全功能的装置。
52.该系统被设置为确定400机动车的通过控制至少一个安全功能所释放的至少一个资源，并且规划500机动车的所释放的至少一个资源。
53.例如，如果因为控制单元e1上的处理通道c2被停用，所以用于在控制单元e1上计算处理通道c2的资源已被释放，则系统可以通过将所释放的至少一个资源提供给用于机动车的驾驶员辅助功能来规划500所释放的至少一个资源，其中防止驾驶员辅助功能访问机动车的纵向和/或横向控制。
54.由此，换言之，代替处理通道c2而以“影子模式”执行驾驶员辅助功能。
55.例如，如果因为控制单元e2上的处理通道c3被停用，所以用于在控制单元e2上计
算处理通道c3的资源已被释放，则系统可以通过将系统设置为检验资源的功能性来规划500所释放的至少一个资源，例如通过将系统设置为借助于处理器和/或存储器测试方法来检验控制单元e2的处理器和/或存储器的功能性。
56.图2示出了用于控制机动车的至少一个安全功能的方法的一个实施例。
57.该方法的一个步骤是确定100机动车的当前驾驶情况。
58.该方法的另一步骤是确定150以至少一个安全功能可实现的最高安全级别。
59.该方法的另一步骤是确定200在机动车的当前驾驶情况下所需的安全级别。
60.如果所需的安全级别低于以至少一个安全功能可实现的最高安全级别，则该方法的另一步骤是将安全功能控制300为使得以至少一个安全功能实际实现的安全级别达到或超过所需的安全级别，并且使得至少一个安全功能的实际能量消耗小于至少一个安全功能在达到以至少一个安全功能可实现的最高安全级别时的能量消耗。
61.该方法的另一步骤是确定400机动车的通过控制至少一个安全功能所释放的至少一个资源。
62.该方法的另一步骤是规划500机动车的所释放的至少一个资源。

技术特征：
1.一种用于控制机动车的至少一个安全功能的装置，其中所述装置被配置为：
·
确定(100)所述机动车的当前驾驶情况，
·
确定(200)在所述机动车的当前驾驶情况下所需的安全级别，并且
·
根据所需的安全级别来控制(300)所述至少一个安全功能。2.根据权利要求1所述的装置，其中所述装置被配置为：
·
确定(150)以所述至少一个安全功能可实现的最高安全级别，并且
·
当所需的安全级别低于以所述至少一个安全功能可实现的最高安全级别时，以如下方式控制(300)所述安全功能：
·
使得以所述至少一个安全功能实际实现的安全级别达到或超过所需的安全级别，并且
·
使得所述至少一个安全功能的实际能量消耗小于所述至少一个安全功能在达到以所述至少一个安全功能可实现的最高安全级别时的能量消耗。3.根据前述权利要求中任一项所述的装置，其中所述装置被配置为：停用所述至少一个安全功能，以根据所需的安全级别来控制(300)所述至少一个安全功能。4.根据前述权利要求中任一项所述的装置，其中所述装置被配置为：降低所述至少一个安全功能的性能，以根据所需的安全级别来控制(300)所述至少一个安全功能。5.根据前述权利要求中任一项所述的装置，其中
·
所述至少一个安全功能是所述机动车的系统的多通道系统架构(c1、c2、c3)，并且
·
所述装置被配置为：停用所述机动车的系统的所述多通道系统架构(c1、c2、c3)中的至少一个通道，以根据所需的安全级别来控制(300)所述至少一个安全功能。6.一种用于机动车的资源规划的系统，其中所述系统包括根据前述权利要求中任一项所述的装置，并且所述系统被配置为：
·
确定(400)所述机动车的通过控制所述至少一个安全功能所释放的至少一个资源，并且
·
规划(500)所述机动车的所释放的所述至少一个资源。7.根据权利要求6所述的系统，其中所述系统被配置为：通过将所释放的所述至少一个资源提供给用于所述机动车的驾驶员辅助功能来规划(500)所释放的所述至少一个资源，其中防止所述驾驶员辅助功能访问所述机动车的纵向和/或横向控制。8.根据权利要求6或7所述的系统，其中所述系统被配置为：通过将所述资源提供给驾驶员辅助功能来规划(500)所释放的所述至少一个资源，其中所述驾驶员辅助功能被控制为使得扩展所述驾驶员辅助功能的运行设计域。9.根据权利要求6、7或8所述的系统，其中所述系统被配置为：通过将所述系统设置为检验所述资源的功能性来规划(500)所释放的所述至少一个资源。10.一种用于控制机动车的至少一个安全功能的方法，其中所述方法包括如下步骤：
·
确定(100)所述机动车的当前驾驶情况，
·
确定(200)在所述机动车的当前驾驶情况下所需的安全级别，并且
·
根据所需的安全级别来控制(300)所述至少一个安全功能。

技术总结
本发明的一个方面涉及一种用于控制机动车的至少一个安全功能的装置，其中该装置被配置为：确定机动车的当前驾驶情况，确定在机动车的当前驾驶情况下所需的安全级别，并且根据所需的安全级别来控制至少一个安全功能。所需的安全级别来控制至少一个安全功能。所需的安全级别来控制至少一个安全功能。


技术研发人员：S
受保护的技术使用者：宝马汽车股份有限公司
技术研发日：2021.11.22
技术公布日：2023/9/7