首页> 中国专利> 有效保障控制设备的安全临界功能的方法和控制设备

有效保障控制设备的安全临界功能的方法和控制设备

摘要

一种有效保障控制设备的安全临界功能的方法和控制设备。本发明涉及一种用于运行控制设备(10)的方法,该控制设备借助算法(17)将至少一个输入数据处理成至少一个输出数据,其中仅在输出数据包含在不包括全部可能的输出数据的第一群组中的情况下为检查所述输出数据而进行所述输出数据的第二次确定。

著录项

  • 公开/公告号CN103576545A

    专利类型发明专利

  • 公开/公告日2014-02-12

    原文格式PDF

  • 申请/专利权人 奥迪股份公司;

    申请/专利号CN201310323814.4

  • 发明设计人 S·文德尔;A·克莱因佐格;

    申请日2013-07-30

  • 分类号G05B9/03;G05B23/02;

  • 代理机构北京市中咨律师事务所;

  • 代理人吴鹏

  • 地址 德国因戈尔施塔特

  • 入库时间 2024-02-19 22:31:42

法律信息

  • 法律状态公告日

    法律状态信息

    法律状态

  • 2023-08-11

    未缴年费专利权终止 IPC(主分类):G05B 9/03 专利号:ZL2013103238144 申请日:20130730 授权公告日:20170412

    专利权的终止

  • 2017-04-12

    授权

    授权

  • 2014-03-12

    实质审查的生效 IPC(主分类):G05B9/03 申请日:20130730

    实质审查的生效

  • 2014-02-12

    公开

    公开

说明书

技术领域

本发明涉及一种用于运行控制设备的方法,该控制设备将至少一个输 入数据借助算法处理成至少一个输出数据。

背景技术

控制设备在现有技术中例如在陆上和/或空中交通工具中以及医药技 术中已经广泛公知。所述类型的控制设备大多分配有特定的功能并且借助 算法将输入数据例如传感器信号和/或准备好的传感器数据处理为输出数 据,所述输出数据用于其他控制目的并且例如通过总线向动作器传输以直 接导致干预,在交通工具中例如为制动干预等,和/或由其他中间连接的控 制设备来处理,以便确定动作器上的干预进而控制指令的必要性。

控制设备通常也用于安全临界信息,例如在机动车中作为安全系统和 自动或半自动驾驶员辅助系统的控制设备。安全临界功能是在某种(很大) 程度上危及该控制设备所在的系统(例如机动车)的整体安全性的功能。 因此存在一些标准以满足在控制设备的输出数据的安全性和合理性方面的 需求。对于机动车例如建立了标准ISO 26262(“道路车辆-功能安全性”), 这是一个用于机动车中与安全相关的电气和/或电子系统的ISO标准。通过 实施该标准应该保证具有本发明所述类型的控制设备的系统的功能安全 性。

在现有技术中已知,在用于安全临界功能的控制设备中使用检查措施, 从而使在确定输出数据时的错误尽可能地在错误地继续应用该输出数据之 前被识别出。这些措施大多应该识别出偶然误差,例如“单比特错误”(SBE) 或“单粒子翻转”(SEU),并因此在出现错误的情况下禁止安全临界情 形。例如在自动紧急制动系统中应该阻止电子故障导致触发不必要的紧急 制动。

具体地为此已知,在临界位置处双重地(例如步调一致地)设计所使 用的硬件和/或所使用的软件,从而可以通过冗余计算识别出电子故障。例 如建议,设置至少一个额外的处理器,该处理器(特别是轻度时间延迟地) 在必要时在使用另一算法的情况下为使用者最初不可见地同样确定该至少 一个输出数据。如果输出数据不一致,则判断出出错。检查措施也可以包 括参与的硬件部件的循环的自我测试。

所有这些在现有技术中已知的措施在软件层面和/或硬件层面上都是 非常资源紧凑的,从而增加了控制设备的成本并且降低了控制设备的工作 效率,特别是考虑到,由于额外工作的硬件部件和额外的计算步骤,造成 提高的热生成和更高的能量需求。这些缺陷在图像处理控制设备中特别明 显地显露出来。如果例如要在摄像机的图像中发现特定的图形,例如人, 就会给出极其复杂的计算过程,该计算过程通常被划分为多个所谓的假设, 例如,特定尺寸的人在特定的图像区域内的可能性有多大等。既然这种控 制设备结构必须紧凑,则在非常小的空间内必须实现非常大量的计算,理 想的是以纯被动冷却的方式实现。这种图像处理控制设备例如在机动车中 使用,以便分析对机动车前方进行拍摄的摄像机的数据。

DE 10 2008 060 011 A1涉及一种安全控制装置和一种用于控制自动化 设备的方法,所述自动化设备包括多个传感器和多个动作器。在此要可以 简单灵活地指示出系统状态。为此由诊断分析单元产生运行状态数据组, 该运行状态数据组代表确定的运行状态,并且该诊断分析单元与用于指示 诊断报告的指示单元的接口相连接。布尔代数的状态指示器可以驱控动作 器、例如报警信号灯或蜂鸣器。此处的应用程序包括安全控制模块和标准 控制模块,所述安全控制模块根据与安全相关的控制输入信号产生与安全 相关的控制输出信号,而所述标准控制模块将其他控制输入信号转换为控 制输出信号。

DE 102 309 026 B4涉及一种用于交通监控的方法和装置,其中对所产 生的数字图像的与假设有关的交通图像序列进行定性分析和归一化/标准 化,从而可以评估交通状况,特别是区别交通参与者的种类并识别道路交 通密度。

发明内容

因此本发明的目的在于,提供一种用于控制设备的运行可能性,其在 维持必需的安全需求的情况下可以提高控制设备的能量效率和功率效率和 /或降低控制设备的成本。

为实现该目的,根据本发明,在开头所述类型的方法中,确定一输出 数据,然后检查该输出数据是否包括在不包含全部可能的输出数据的第一 群组中,然后仅在输出数据包括在第一群组中的情况下进行所述输出数据 的第二次确定以检查所述输出数据。

本发明基于这样的认知,即:很多控制设备相对于其总运行时间仅很 少实际计算安全临界输出数据,特别是一个对通过动作器执行的干预进行 描述的安全临界输出数据和/或导致通过动作器执行的干预的安全临界输 出数据。换句话说这意味着,大多数控制设备仅很少得到有必要进行安全 临界干预的结论。为此的例子是自动制动干预、碰撞警报、避让转向干预、 气囊释放等。如果例如图像处理控制设备检查是否有人位于机动车前方的 临界区域内,并且是否因此需要进行紧急制动,则极少出现这样的结果。 在其他情况下所述控制设备的输出数据描述其中不需要进行干预的情况。

现在本发明建议,代替在整个运行时间期间冗余地实施全部计算,将 输出数据的额外的第二次确定限制在安全临界的输出数据的群组内。因此 例如一旦所述输出数据原本的第一次确定直接或间接导致动作器的干预, 则进行冗余的第二次确定,以便检查所述输出数据并因此保障待实施的干 预。

不同于所谓的“双模冗余系统”,仅对于(典型很少出现的)动作情 况/干预、即在存在安全临界输出数据的情况下才始终需要第二单元/计算的 结果。在需要时发生检验,这意味着,对于第一群组的输出数据(安全临 界输出数据)假定存在错误并进行检查。这种措施特别是在其中幻象(误 识别)与未识别(漏识别)相比危险大得多的系统中是有利的。

因此可以提高控制设备的能量效率,因为只须实施总体上少得多的计 算,这是因为安全临界输出数据、即输出数据的第一群组的数据出现得比 其他输出数据少得多,所述其他输出数据可以被分类在与输出数据第一群 组元素相异(elementfremd)的输出数据第二群组中。对于极其经常出现 的第二群组的全部输出数据,不会出现冗余的第二次确定。由此另外也会 减少控制设备的热排放并且理想地仅需要较少的硬件部件,从而也可以减 少所述控制设备的重量。但是所述控制设备的各部件的单个成本也会减少, 由此原则上只需要较小的总功率。所述控制设备的满载度明显减小。

在所述运行方法用于图像处理控制设备和/或机动车控制设备时本发 明的优点特别明显地显露出来。例如如果通过机动车的图像处理控制设备 对特别是朝向机动车前方区域定向的摄像机的图像进行分析,则存在较高 的计算成本,其中例如被检查的假设的相当大一部分都会导致不存在危险/ 危险状况的结果。但是,如果所有这些计算都冗余地、最终即双重地实施, 则构成庞大的计算成本,该计算成本在本发明的框架内可以明显减少,这 是因为算法的安全临界结果或输出数据特别少,从而实际在第二次确定的 范围内仅须检查所述计算的相当小的一部分。因此,所需计算量的近似减 半并因此能量效率的相应改善可以在图像处理控制设备中实现并且被视为 特别有利。此外,在机动车中普遍得到明显改善,因为在那里需要或优选 一种特别紧凑的、能量效率高的并且冷却密集少的构造方式。但是原则上 也可以设想,不仅在其他交通工具例如空中交通工具中,而且例如在医药 技术领域(其中也经常涉及到图像处理)中例如在放射线照相术的领域中 将根据本发明的方法用于其他系统的控制设备。

如已经说过的,可以使用对通过动作器的干预进行描述的输出数据和/ 或导致通过动作器的干预的输出数据和/或安全临界输出数据作为第一群 组的输出数据。特别是总是当发生相关部件即动作器的实际驱控时,或者 一般来说,当获得安全临界输出数据时,进行检查,就是说恰好在检查很 重要的情况下进行检查。因此通过根据本发明的方法基本上避免了例如在 紧急制动系统中对用户而言带来对整个系统的疑惑的误触发和类似情况, 同时在不构成误触发风险的非安全临界情况下节省检查。

关于最终是冗余计算的第二次确定可以设想不同可能性,其允许有意 义的检查。因此可以规定,输出数据的第二次检查在使用相同硬件但使用 不同算法的情况下进行。因此在这种情况下,特别是在存储器装置中存储 同样适用于确定输出数据的第二算法。如果现在出现第一群组的输出数据, 并且仅在出现第一群组的输出数据时,调用第二算法以便实现输出数据的 第二次确定和相应的检查。因此可以以不同的方式/途径得到相同的结果, 从而得到合宜的检查。

此外在本发明的框架下还可以,为输出数据的第二次检查而使用至少 一个冗余的硬件部件,特别是另一处理器。显然也可设想额外使用另一种 算法即第二算法。通过这种方式也可以检测到同样在结果中表现出来的处 理器错误。当使用具有多个处理器的多核环境,例如双核环境、四核环境 或三核环境时,其他处理器的使用例如是合宜的。然后可以有针对性地委 托另一处理器执行所述已经导致第一群组的输出数据的运算。

此外在本发明的一种有利的设计方案中可以规定,在所述检查之后和 第二次确定之前进行至少一个参与第一次确定和/或第二次确定的硬件部 件的自我测试。这种对于大多数硬件部件在现有技术中已知的自我测试的 结果也可以在检查输出数据时被考虑。这种自我测试可以特别快速地例如 在1毫秒内实施,并且可以相应地被添加。

在根据本发明的方法的一种改进方案中,可以在所述检查之后和第二 次确定之前检查在存储器装置中存储的算法的完整性和/或在存储器装置 中存储的至少一个输入数据的完整性。因此也可以设想,检查数据——特 别是与算法特别是软件有关的数据和/或输入数据——是否存在有例如由 于存储器装置中的错误而出现的错误。为此例如可以规定,为检查数据完 整性而使用测试值和/或使用CRC方法和/或ECC方法。测试值特别是测 试和在现有技术中已经广泛已知并且现在也可以用来检查数据完整性。循 环冗余校验(cyclic redundancy check,CRC)是一种已知的方法,该方 法确定数据的测试值,以便可以在进行传输和存储时识别错误。ECC存储 器是一种已知的存储器形式,其可以检测并且改正内部数据损坏。在此可 以检测并改正单比特错误。

由于在根据本发明的方法中仅在通过输出数据确定出必须进行第二次 确定时才开始第二次确定,因此到实际检查安全临界计算之前出现了一定 的等待时间/延迟时间。但是在根据本发明的方法中也可以设想将所述等待 时间最小化的可能性。因此可以在一种实施例中规定,在存储器装置中一 直保留有用于第二次确定的至少一个中间结果和/或所述至少一个输入数 据,特别是保留到决定不进行第二次确定为止,和/或到借助第二次确定的 结果进行的检查结束为止。因此至少直到清楚是否还需要输入数据为止, 都应该在控制设备的存储器装置中保留该输入数据。因此不必费力地重新 获取数据而是直接重新完整地处理数据。该实施例可以有利地与通过适当 方法进行的数据完整性的检查相结合。

在一种特别有利的实施例中,可以将第二次确定限制在这样的计算过 程上,即:该计算过程导致确定属于第一群组的输出数据。也就是说,并 非输入数据的整个计算都必须是强制安全临界的,从而冗余计算即第二次 确定可以限制在实际上安全临界的那部分上。换句话说,本发明建议,用 于检查的第二次确定尽可能部分地或减少地实施,其方法为:仅实际上重 复实际对于第一群组的输出数据负责的计算过程,从而在此可以显著节省 时间。

在图像处理的示例中这意味着,当如上所述将图像分析划分为各个假 设时,仅须检验最临界的假设,即已经导致输出数据并且在必要时需要干 预的假设。因此不是重复整个输入图像的整个分析,而是最终仅重复决定 性的假设。总之就是说,在为图像处理而设计的、利用假设进行工作的控 制设备中仅检查已确认的、导致输出数据的假设。

在此在根据本发明的方法中显然可以额外规定,输出数据仅在通过检 查确认时才继续使用。这意味着,仅当两次确定即计算过程提供相同的输 出数据时(其中显然在必要时在连续的数值下可以给出公差范围),才实 际使用输出数据例如用以触发动作器等的干预。

除了上述方法,本发明还涉及一种控制设备,其被设计用于通过控制 硬件和控制软件实施根据本发明的方法。关于根据本发明的方法的全部实 施形式都可以类似地移用到根据本发明的控制设备上,利用该控制设备因 此也可以得到本发明的优点。

根据本发明的控制设备在此优选包括至少一个处理器和至少一个存储 器装置,其中,总体上可以节省硬件和/或软件或者更有能量效率地进行设 计。根据本发明的控制设备尤其为图像处理控制设备,其还可以装在机动 车中。根据本发明的控制设备可以在机动车中构成安全系统和/或驾驶员辅 助系统的一部分,其中,所述控制设备例如可以对作为输入数据的、设置 在机动车中的摄像机的图像例如在即将发生的碰撞等方面进行分析。

因此在本发明的框架内可以制造一种机动车,其包括至少一个安全系 统和/或驾驶员辅助系统,所述系统配设有根据本发明的控制设备。如上所 述,正是在机动车中可以特别明显地看到本发明的优点。

附图说明

本发明的其他优点和细节由下面描述的实施例以及借助附图得出。其 中:

图1示出根据本发明的方法的流程图,

图2示出根据本发明的控制设备,并且

图3示出一种机动车。

具体实施方式

图1示出本发明的一种实施例的原理流程图,该流程图涉及一种用于 运行控制设备的方法,该方法在所述控制设备本身中实现。在此总是仅当 实际存在安全临界结果时才实施冗余计算以检查输出数据,安全临界结果 的存在借助至少一个输出数据属于输出数据的第一群组来检查,所述第一 群组并不包含全部可能的输出数据,而是仅包括安全临界输出数据,此处 为描述一种干预或导致干预的输出数据。此处作为实施例描述的控制设备 是机动车的一种图像处理控制设备,其配属于安全系统。例如安全系统可 以是行人保护系统,在该行人保护系统中检查是否在机动车的摄像机拍摄 的图像中可以看到位于临界位置的行人。如果是,则产生一输出数据,该 输出数据作为通过动作器(执行)的干预可以触发紧急制动和/或警报。

在此在图像处理的框架内单个检查各种不同的假设,例如在一特定图 像片段上可以以何种程度看到特定尺寸的人。如果特定的假设适用,则控 制设备得出结论“需要干预”。借助为进行图像处理而设置的算法得到的 控制设备计算结果因此是一个输出数据,其在多数情况下指示为无危险, 但是当确定有行人位于危险位置时,输出数据就是要求干预的输出数据。

在此根据图1在步骤1中确定实际的输出数据。

在步骤2中检查:该输出数据是属于输出数据的第一群组还是非安全 临界的输出数据的第二群组。如果该输出数据属于第一群组,如箭头3所 示,则开始输出数据的第二次确定,以便可以对该输出数据进行检查。如 果该输出数据不属于输出数据的第一群组,则通过算法,如箭头4所示, 以新的输入数据即摄像机的下一张图像重新确定新的输出数据。

在步骤5中现在首先对所有为第一次确定和随后的第二次确定所需的 控制设备部件进行自我测试。如果这里已经出现错误,则这就是错误的安 全临界输出数据的标志。

在步骤6中,在可能的存储器错误方面检查所有参与数据的数据完整 性。首先要注意的是,在相应的存储器装置中一直保留输入数据和必要时 所需的中间结果,直到清楚该输入数据和中间结果不再被第二次确定所需 要或者第二次确定已结束。现在可以检查这些数据,例如借助测试值或测 试和,特别是通过CRC方法。但是这同样也适用于要使用的算法的被存 储的软件,这意味着,相应的编码存储器也可以在控制设备中进行检查。 不存在数据完整性也是安全临界输出数据有错误的明显标志。

在步骤7中然后实施第二次确定,为此可以设想本发明框架内的多种 变型方案。因此在该实施例中一方面可以,使用相同的硬件特别是至少一 个相同的处理器,但是使用与在输出数据的第一次确定的框架内所使用的 算法不同的算法。但是也可以,委托至少一个处理器(不管它是冗余设置 的还是出于其他原因例如在多核系统中不参与第一次确定)有针对性地实 施第二次确定。显然这里也可以使用另一种算法。

但是在任何情况下都适用的是,仅检查实际导致输出数据的那部分计 算,当前因此是指已经导致第一群组的输出数据的假设。如果在作为输入 数据的实际图像被处理之前便已知所述假设的位置或编号,则仅额外需要 用于检验这一假设的计算成本或计算时间。因此第二次确定被限制在上次 计算过程的安全临界部分上。

在步骤8中然后考虑表示第一群组的输出数据的最终检查的标准。这 显然也可以考虑步骤5和6的结果。仅当确定了在第一次确定和第二次确 定中计算得出的输出数据(必要时在一公差范围内)一致时,该输出数据 才会根据步骤9被继续使用,特别是,其方式为:使该输出数据在机动车 的总线系统上给出并且在那里例如通过动作器触发干预、例如制动干预, 和/或导致干预地在另一控制设备中被继续处理。

图2示出根据本发明的控制设备10的原理图。该控制设备除了连接机 动车的总线系统的接口11之外还包括具有四个处理器13的四核(处理器) 12。此外在根据图2的实施例中还设置有两个存储器装置14和15,其中 存储器装置14用于存储数据,特别是也存储输入数据16。存储器装置15 是一个代码存储器,在该代码存储器中存储有在确定输出数据和实施本发 明方法的框架内所使用的算法17。

为机动车的安全系统配设的图像处理控制设备10通过相应的控制硬 件和控制软件被设计用于实施根据本发明的方法,从而在那里运行根据图 1的本发明方法的实施例。

图3示例性地示出控制设备10在机动车18中的使用,所述控制设备 在该机动车中配属于一个安全系统。机动车18具有朝向机动车18的前方 区域定向的摄像机19,该摄像机将其图像数据作为输入数据传输到控制设 备10上。通过总线系统20例如CAN总线,控制设备10可以与其他车辆 系统特别是动作器进行通信,其中在此为了举例而示出制动系统21和为警 报而设计的指示装置22,它们可以作为动作器分析控制设备10的输出数 据。

去获取专利,查看全文>

相似文献

  • 专利
  • 中文文献
  • 外文文献
获取专利

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有
  • 客服微信

  • 服务号