Nothing Special   »   [go: up one dir, main page]

DE102020200414A1 - Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall - Google Patents

Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall Download PDF

Info

Publication number
DE102020200414A1
DE102020200414A1 DE102020200414.5A DE102020200414A DE102020200414A1 DE 102020200414 A1 DE102020200414 A1 DE 102020200414A1 DE 102020200414 A DE102020200414 A DE 102020200414A DE 102020200414 A1 DE102020200414 A1 DE 102020200414A1
Authority
DE
Germany
Prior art keywords
application instances
vehicle
application
configuration
redundancy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020200414.5A
Other languages
English (en)
Inventor
Tobias Kain
Julian-Steffen Müller
Maximilian Wesche
Hendrik Decke
Fabian Plinke
Andreas Braasch
Johannes Heinrich
Timo Horeis
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102020200414.5A priority Critical patent/DE102020200414A1/de
Publication of DE102020200414A1 publication Critical patent/DE102020200414A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs (50) in einem Fehlerfall, wobei Anwendungsinstanzen (60-x,61-x) gemäß einer vorgegebenen Konfiguration (62) verteilt auf mehreren Berechnungsknoten (70-x) ausgeführt werden, wobei zumindest einem Teil der Anwendungsinstanzen (60-x,61-x) erfasste Sensordaten (10) mindestens eines Sensors (51) zugeführt werden und wobei zumindest von einem Teil der Anwendungsinstanzen (60-x,61-x) Steuersignale (30) zum Steuern des Fahrzeugs (50) erzeugt und bereitstellt werden, wobei die Anwendungsinstanzen (60-x,61-x) mittels mindestens einer Monitoreinrichtung (2) überwacht werden, wobei ein Fehler in einer Anwendungsinstanz (60-x,61-x) erkannt wird, wobei der erkannte Fehler durch Umschalten auf Anwendungsinstanzen (61-x), die zu jeweils betroffenen Anwendungsinstanzen (60-x) redundant sind, mittels einer Umschalteinrichtung (3) isoliert wird, und wobei für die Anwendungsinstanzen (60-x,61-x) vorgegebene Redundanzbedingungen (11) durch Umkonfigurieren der Konfiguration (62) mittels einer Redundanzwiederherstellungseinrichtung (4) wiederhergestellt werden, wobei das Erkennen, Isolieren und Umschalten priorisiert innerhalb einer vorgegebenen Zeitdauer durchgeführt werden. Die Erfindung betrifft ferner eine entsprechende Vorrichtung (1).

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall. Ferner betrifft die Erfindung ein Fahrzeug mit einer solchen Vorrichtung.
  • Moderne Maschinen weisen eine stets wachsende Anzahl von technischen Komponenten auf, die miteinander in Wechselwirkung stehen. Um einen Weiterbetrieb auch im Falle eines Fehlers bei einer oder mehrerer dieser Komponenten sicherzustellen, ist aus dem Bereich der Luftfahrt das FDIR (Fault, Detection, Isolation, Recovery)-Verfahren bekannt. Hierbei werden Fehler durch eine Überwachung erkannt. Ein erkannter Fehler wird dann durch Umschalten von einer betroffenen Komponente auf eine redundant mit gleicher Funktionalität bereitgehaltene Komponente isoliert. Nach dem Umschalten wird versucht, eine Redundanz wieder herzustellen, indem zusätzliche Komponenten aktiviert werden. Bisher steht jedoch stets eine menschliche Rückfallebene zur Verfügung, die bei Scheitern des Verfahrens eine Steuerung manuell übernehmen kann.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren und eine Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall zu schaffen, bei denen ein Betrieb auch ohne menschliche Rückfallebene aufrecht erhalten werden kann.
  • Die Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 und eine Vorrichtung mit den Merkmalen des Patentanspruchs 8 gelöst. Vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen.
  • Insbesondere wird ein Verfahren zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall zur Verfügung gestellt, wobei Anwendungsinstanzen gemäß einer vorgegebenen Konfiguration verteilt auf mehreren Berechnungsknoten ausgeführt werden, wobei zumindest einem Teil der Anwendungsinstanzen erfasste Sensordaten mindestens eines Sensors zugeführt werden und wobei zumindest von einem Teil der Anwendungsinstanzen Steuersignale zum Steuern des Fahrzeugs erzeugt und bereitstellt werden, wobei die Anwendungsinstanzen und/oder Betriebssysteme und/oder eine mit den Berechnungsknoten korrespondierende Hardware mittels mindestens einer Monitoreinrichtung überwacht werden, wobei ein Fehler in einer Anwendungsinstanz und/oder in einem Betriebssystem und/oder in einer Hardware mittels der mindestens einen Monitoreinrichtung erkannt wird, wobei der erkannte Fehler durch Umschalten auf Anwendungsinstanzen, die zu jeweils betroffenen Anwendungsinstanzen redundant sind, mittels einer Umschalteinrichtung isoliert wird, und wobei für die Anwendungsinstanzen vorgegebene Redundanzbedingungen durch Umkonfigurieren der Konfiguration mittels einer Redundanzwiederherstellungseinrichtung wiederhergestellt werden, wobei das Erkennen, Isolieren und Umschalten priorisiert innerhalb einer vorgegebenen Zeitdauer durchgeführt werden.
  • Ferner wird insbesondere eine Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall geschaffen, wobei in dem Fahrzeug Anwendungsinstanzen gemäß einer vorgegebenen Konfiguration verteilt auf mehreren Berechnungsknoten ausgeführt werden, wobei zumindest einem Teil der Anwendungsinstanzen erfasste Sensordaten mindestens eines Sensors zugeführt werden und wobei zumindest von einem Teil der Anwendungsinstanzen Steuersignale zum Steuern des Fahrzeugs erzeugt und bereitstellt werden, umfassend mindestens eine Monitoreinrichtung, eine Umschalteinrichtung und eine Redundanzwiederherstellungseinrichtung, wobei die mindestens eine Monitoreinrichtung dazu eingerichtet ist, die Anwendungsinstanzen und/oder Betriebssysteme und/oder eine mit den Berechnungsknoten korrespondierende Hardware zu überwachen und einen Fehler in einer Anwendungsinstanz und/oder in einem Betriebssystem und/oder in einer Hardware zu erkennen, wobei die Umschalteinrichtung dazu eingerichtet ist, den erkannten Fehler durch Umschalten auf Anwendungsinstanzen, die zu jeweils betroffenen Anwendungsinstanzen redundant sind, mittels einer Umschalteinrichtung zu isolieren, wobei die Redundanzwiederherstellungseinrichtung dazu eingerichtet ist, für die Anwendungsinstanzen vorgegebene Redundanzbedingungen durch Umkonfigurieren der Konfiguration wiederherzustellen, und wobei die mindestens eine Monitoreinrichtung und die Umschalteinrichtung derart ausgebildet sind, das Erkennen, Isolieren und Umschalten priorisiert innerhalb einer vorgegebenen Zeitdauer durchzuführen.
  • Das Verfahren und die Vorrichtung ermöglichen es, ohne das Vorhandensein einer menschlichen Rückfallebene nach dem Auftreten eines Fehlers in einer oder mehreren Anwendungsinstanzen einen Betrieb bzw. eine automatisierte Fahrt des Fahrzeugs aufrechtzuerhalten. Dies wird dadurch erreicht, dass das Erkennen, das Isolieren und das Umschalten priorisiert innerhalb einer vorgegebenen Zeitdauer durchgeführt werden. Hierzu weisen die mindestens eine Monitoreinrichtung und die Umschalteinrichtung ausreichende Ressourcen (Hardware, Rechenleistung, Speicher etc.) auf bzw. diesen werden hierzu ausreichende Ressourcen zur Verfügung gestellt. Ein nachfolgendes Umkonfigurieren, um vorgegebene Redundanzbedingungen wiederherzustellen, kann hingegen mit geringerer Priorität und ohne zeitliche Vorgabe erfolgen. Beispielhaft sei ein Fehler in einer Anwendungsinstanz genannt, die eine Funktionalität einer automatisierten Lenkung bzw. einer Trajektorienplanung bereitstellt. Hier ist die vorgegebene Zeitdauer, in der das Erkennen, das Isolieren und das Umschalten erfolgen müssen, insbesondere 90 Millisekunden, das heißt innerhalb dieser 90 Millisekunden muss von einer die Lenkung bzw. die Trajektorienplanung bereitstellenden und von dem Fehler betroffenen Anwendungsinstanz auf eine redundante Anwendungsinstanz umgeschaltet werden. Dies erfolgt insbesondere durch Bereitstellen entsprechender Ressourcen (Rechenleistung, Speicher etc.) und entsprechende Priorisierung der Überwachung und des Umschaltens.
  • Ein Vorteil des Verfahrens und der Vorrichtung ist, dass ein Rekonfigurieren des automatisiert fahrenden Fahrzeugs schrittweise und daher insbesondere zeitlich priorisiert mit zeitlichen Vorgaben erfolgen kann. Das Erkennen, das Isolieren und das Umschalten erfolgen innerhalb der vorgegebenen Zeitdauer, sodass eine Funktionalität einer betroffenen Anwendungsinstanz auch nach Auftreten des Fehlers zumindest nach Ablauf der vorgegebenen Zeitdauer wieder bereitgestellt werden kann. Das Wiederherstellen der Redundanzbedingungen erfolgt hingegen mit geringerer Priorisierung und kann daher mehr Zeit in Anspruch nehmen. Hierbei kann sich zunutze gemacht werden, dass eine Komplexität von durchzuführenden Maßnahmen beim Erkennen, Isolieren und Umschalten geringer sein kann als beim Umkonfigurieren.
  • Eine Anwendungsinstanz ist insbesondere ein Prozess, der eine bestimmte Funktionalität bereitstellt und der auf mindestens einem Berechnungsknoten ausgeführt wird. Beispielsweise kann eine Anwendungsinstanz eine der folgenden Funktionalitäten im Zusammenhang mit einem automatisierten Fahren bereitstellen: Umfeldwahrnehmung, Lokalisierung, Navigation, Trajektorienplaner oder eine Prognose des eigenen Verhaltens und/oder des Verhaltens von Objekten um Umfeld des Fahrzeugs etc. Hierzu erhält zumindest ein Teil der Anwendungsinstanzen Sensordaten, die mittels mindestens eines Sensors erfasst wurden und/oder Daten von anderen Anwendungsinstanzen. Zumindest ein Teil der Anwendungsinstanzen stellt Steuersignale für das Fahrzeug bereit. Die Anwendungsinstanzen können insbesondere in einem aktiven und in mindestens einem passiven Betriebszustand betrieben werden. Im aktiven Betriebszustand hat die Anwendungsinstanz einen direkten Einfluss auf die Steuerung des Fahrzeugs. Im mindestens einen passiven Betriebszustand läuft eine Anwendungsinstanz hingegen redundant neben einer gleichartigen aktiven Anwendungsinstanz, bekommt die gleichen Eingangsdaten zugeführt und erzeugt die gleichen Ausgangsdaten bzw. Steuersignale, hat aber keinen Einfluss auf die Steuerung des Fahrzeugs. Es können verschiedene Stufen des passiven Zustands vorgesehen sein, die sich beispielsweise nur darin unterscheiden, wie schnell eine passive Anwendungsinstanz in den aktiven Betriebszustand überführt werden kann. Im Rahmen des Verfahrens werden insbesondere sowohl die aktiven als auch die passiven Anwendungsinstanzen überwacht. Im Falle eines Fehlers, der passive Anwendungsinstanzen betrifft, kann das Verfahren dann entsprechend ausgeführt werden, wobei das Isolieren und Umschalten entfallen können und eine betroffene passive Anwendungsinstanz lediglich beendet wird und durch eine neu gestartete passive Anwendungsinstanz mit der gleichen Funktionalität ersetzt wird, sodass Redundanzbedingungen wieder hergestellt sind.
  • Eine Konfiguration umfasst insbesondere eine Zuordnung von aktiven und passiven Anwendungsinstanzen zu einzelnen Berechnungsknoten. Die Konfiguration legt insbesondere fest, welche Anwendungsinstanz auf welchem Berechnungsknoten ausgeführt wird, sowie die jeweils zugehörigen Betriebszustände. Die Konfiguration ist abhängig von vorgegebenen Redundanzbedingungen, die jeweils in Abhängigkeit der Funktionalitäten der Anwendungsinstanzen vorgegeben sind oder vorgegeben werden. Beispielsweise kann vorgesehen sein, dass die Redundanzbedingung eine einfache Redundanz vorschreibt. Zu einer Funktionalität werden dann eine aktive Anwendungsinstanz und eine passive Anwendungsinstanz betrieben. Es können je nach Anwendungsszenario unterschiedliche Redundanzbedingungen für die gleichen Funktionalitäten vorgesehen sein, z.B. einfache (z.B. Fußgängererkennung auf einer Autobahn) oder mehrfache Redundanz (z.B. vierfache Redundanz bei einer Fußgängererkennung in einer Spielstraße).
  • Das Fahrzeug ist insbesondere ein Kraftfahrzeug. Prinzipiell kann das Fahrzeug jedoch auch ein anderes Land-, Wasser-, Luft-, Schienen- oder Raumfahrzeug sein.
  • Es kann vorgesehen sein, dass für jede Anwendungsinstanz eine Monitoreinrichtung verwendet wird. Ferner kann vorgesehen sein, dass für jedes Betriebssystem und/oder jede Hardware jeweils eine Monitoreinrichtung verwendet wird. Hierdurch kann eine Überwachung zuverlässiger und schneller ausgeführt werden, sodass ein Fehler schneller erkannt werden kann.
  • Teile der Vorrichtung, insbesondere die mindestens eine Monitoreinrichtung, die Umschalteinrichtung und/oder die Redundanzwiederherstellungseinrichtung, können einzeln oder zusammengefasst als eine Kombination von Hardware und Software ausgebildet sein, beispielsweise als Programmcode, der auf einem Mikrocontroller oder Mikroprozessor ausgeführt wird. Es kann jedoch auch vorgesehen sein, dass Teile einzeln oder zusammengefasst als anwendungsspezifische integrierte Schaltung (ASIC) ausgebildet sind.
  • In einer Ausführungsform ist vorgesehen, dass die vorgegebene Zeitdauer in Abhängigkeit von mindestens einer von dem erkannten Fehler betroffenen Anwendungsinstanz festgelegt ist oder festgelegt wird. Hierdurch kann die vorgegebene Zeitdauer und eine hiermit einhergehende Priorisierung auf eine betroffene Anwendungsinstanz zugeschnitten werden. Insbesondere wird oder ist die vorgegebene Zeitdauer in Abhängigkeit der von der Anwendungsinstanz bereitgestellten Funktionalität festgelegt. Um Sicherheitskriterien zu berücksichtigen, kann beispielsweise eine vorgegebene Zeitdauer für eine Notbremsfunktionalität kürzer gewählt sein als für eine Beschleunigungsfunktionalität.
  • In einer Ausführungsform ist vorgesehen, dass nach dem Umkonfigurieren mittels einer Optimierungseinrichtung eine Optimierung der Konfiguration nach mindestens einem Optimierungskriterium durchgeführt wird, wobei die optimierte Konfiguration eingestellt wird. Hierdurch kann nach einem Umschalten und Wiederherstellen von vorgegebenen Redundanzbedingungen eine Konfiguration derart abgeändert werden, dass mindestens ein Optimierungskriterium erfüllt ist. Dies ermöglicht insbesondere, nach einem zeitlich priorisierten Reagieren auf einen Fehler eine Realisierung von übergeordneten Zielen (wieder) zu ermöglichen. Das Optimieren selbst kann sowohl zeitlich als auch in Bezug auf eine benötigte Rechenleistung nachrangig erfolgen, da die Optimierung im Gegensatz zum Erkennen, Isolieren und Umschalten in der Regel nicht zeitkritisch ist. Es kann daher ein schrittweises Umkonfigurieren und Optimieren erfolgen.
  • Das Optimieren erfolgt beispielsweise mittels eines der folgenden Verfahren: ganzzahlige lineare Optimierung (engl. integer linear programming), evolutionäre Spieltheorie (engl. evolutionary game theory) oder bestärkendes Lernen (engl. reinforcement learning). Zum Optimieren werden die Anwendungsinstanzen mit jeweils zugehörigen Anforderungen (Rechenleistung, Speicherbedarf etc.) auf die vorhandenen Berechnungsknoten, die jeweils bestimmte Ressourcen (Rechenleistung, Speicher etc.) bereitstellen, verteilt. Dies erfolgt derart, dass das mindestens eine Optimierungskriterium erfüllt ist. Das Optimierungskriterium kann insbesondere eine Vorgabe für eine zu maximierende oder zu minimierende Größe beinhalten. Das Verteilen der Anwendungsinstanzen auf die einzelnen Berechnungsknoten erfolgt im Rahmen der Optimierung derart, dass nach dem Optimieren sowohl die Anforderungen und die vorgegebenen Redundanzbedingungen als auch das mindestens eine Optimierungskriterium erfüllt sind.
  • In einer Ausführungsform der Vorrichtung ist entsprechend vorgesehen, dass die Vorrichtung eine Optimierungseinrichtung umfasst, wobei die Optimierungseinrichtung dazu eingerichtet ist, nach dem Umkonfigurieren eine Optimierung der Konfiguration nach mindestens einem Optimierungskriterium durchzuführen, und die optimierte Konfiguration einzustellen oder das Einstellen zu veranlassen.
  • In einer Ausführungsform ist vorgesehen, dass das mindestens eine Optimierungskriterium in Abhängigkeit eines aktuellen Kontextes festgelegt wird oder festgelegt ist. Hierdurch können übergeordnete Ziele in Abhängigkeit des aktuellen Kontextes, in dem sich das Fahrzeug gerade befindet, berücksichtigt werden. Insbesondere können hierdurch unterschiedliche und variable übergeordnete Ziele flexibel berücksichtigt werden.
  • In einer Ausführungsform ist vorgesehen, dass der aktuelle Kontext eine aktuelle Fahrsituation und/oder einen aktuellen Fahrzeugstatus und/oder einen aktuellen Umweltzustand umfasst. So kann ein Optimierungskriterium beispielsweise ein aktuelles Umfeld oder eine aktuelle Verkehrssituation des Fahrzeugs berücksichtigen. Beispielsweise können Redundanzbedingungen für unterschiedliche Fahrsituationen unterschiedlich sein, z.B. kann für eine Funktionalität einer Fußgängererkennung auf einer Autobahn keine oder eine einfache Redundanz, in einer Spielstraße oder einer „Tempo 30“-Zone hingegen eine vierfache Redundanz vorgegeben sein.
  • Es kann vorgesehen sein, dass das mindestens eine Optimierungskriterium unter Berücksichtigung eines zukünftigen Kontextes festgelegt wird. Hierdurch kann das Optimieren vorausschauend durchgeführt werden. Beispielsweise kann ein zukünftiger Kontext auf Grundlage einer von einem Navigationssystem oder einer entsprechenden Anwendungsinstanz bereitgestellten Fahrtroute geschätzt werden.
  • In einer Ausführungsform ist vorgesehen, dass als ein Optimierungskriterium die Verwendung einer möglichst geringen Anzahl von Berechnungsknoten vorgegeben ist oder vorgegeben wird. Hierdurch können eine benötigte Leistung und ein Energieverbrauch reduziert werden.
  • In einer Ausführungsform ist vorgesehen, dass das Fahrzeug mittels einer Ausfallsicherungseinrichtung in einen sicheren Zustand überführt wird, wenn mindestens eine vorgegebene Redundanzbedingung durch das Umkonfigurieren nicht erfüllt werden kann. Hierdurch kann sichergestellt werden, dass eine automatisierte Fahrt bei Nichterreichen einer vorgegebenen Redundanzbedingung beendet wird. Eine vorgegebene Redundanzbedingung wird beispielsweise dann nicht erreicht, wenn keine ausreichenden Rechenressourcen zur Verfügung stehen. Die Ausfallsicherungseinrichtung kann einzeln oder zusammengefasst mit anderen Einrichtungen der Vorrichtung als eine Kombination von Hardware und Software ausgebildet sein, beispielsweise als Programmcode, der auf einem Mikrocontroller oder Mikroprozessor ausgeführt wird. Es kann jedoch auch vorgesehen sein, dass Teile einzeln oder zusammengefasst als anwendungsspezifische integrierte Schaltung (ASIC) ausgebildet sind.
  • Weitere Merkmale zur Ausgestaltung der Vorrichtung ergeben sich aus der Beschreibung von Ausgestaltungen des Verfahrens. Die Vorteile der Vorrichtung sind hierbei jeweils die gleichen wie bei den Ausgestaltungen des Verfahrens.
  • Nachfolgend wird die Erfindung anhand bevorzugter Ausführungsbeispiele unter Bezugnahme auf die Figuren näher erläutert. Hierbei zeigen:
    • 1 eine schematische Darstellung einer Ausführungsform der Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall;
    • 2 ein schematisches Ablaufdiagramm einer Ausführungsform des Verfahrens zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall;
    • 3a - 3d schematische Darstellungen zur Verdeutlichung einzelner Maßnahmen der in der 2 gezeigten Ausführungsform des Verfahrens.
  • In 1 ist eine schematische Darstellung einer Ausführungsform der Vorrichtung 1 zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs 50 in einem Fehlerfall gezeigt.
  • In dem Fahrzeug 50 werden Anwendungsinstanzen 60 gemäß einer vorgegebenen Konfiguration 62 verteilt auf mehreren Berechnungsknoten ausgeführt. Die Anwendungsinstanzen 60, 61 stellen beispielsweise eine Funktionalität für eine Umfeldwahrnehmung, eine Lokalisierung, eine Navigation und/oder eine Trajektorienplanung bereit. Zumindest einem Teil der Anwendungsinstanzen 60, 61 werden erfasste Sensordaten 10 mindestens eines Sensors 51 des Fahrzeugs 50 (oder sonstiger beispielsweise ein Umfeld des Fahrzeugs 50 erfassender Sensoren) zugeführt. Zumindest von einem Teil der Anwendungsinstanzen 60, 61 werden Steuersignale 30 zum Steuern des Fahrzeugs 50 erzeugt und bereitstellt. Die bereitgestellten Steuersignale 30 der jeweils aktiven Anwendungsinstanzen 60 werden einer Aktorik 52 des Fahrzeugs 50 zugeführt, die eine automatisierte Fahrt des Fahrzeugs 50 umsetzt.
  • Die Vorrichtung 1 umfasst eine Monitoreinrichtung 2, eine Umschalteinrichtung 3 und eine Redundanzwiederherstellungseinrichtung 4. Insbesondere ist vorgesehen, dass für jede der Anwendungsinstanzen 60, 61, für jedes Betriebssystem und für jede die Berechnungsknoten bereitstellende Hardware jeweils eine Monitoreinrichtung 2 bereitgestellt wird (der Übersichtlichkeit halber ist nur ein Monitoreinrichtung 2 dargestellt). Teile der Vorrichtung 1 können einzeln oder zusammengefasst als eine Kombination von Hardware und Software ausgebildet sein, beispielsweise als Programmcode, der auf einem Mikrocontroller oder Mikroprozessor ausgeführt wird. Es kann darüber hinaus vorgesehen sein, dass das Bereitstellen einer Funktionalität der Anwendungsinstanzen 60, 61 und der Vorrichtung 1 gemeinsam, beispielsweise mittels einer Datenverarbeitungseinrichtung des Fahrzeugs 50, erfolgt.
  • Die Anwendungsinstanzen 60, 61 und/oder Betriebssysteme und/oder eine mit den Berechnungsknoten korrespondierende Hardware werden von der Monitoreinrichtung 2 überwacht. Die Monitoreinrichtung 2 erkennt Fehler in den Anwendungsinstanzen 60, 61 und/oder den Betriebssystemen und/oder in der Hardware.
  • Wird ein Fehler erkannt, so wird der erkannte Fehler durch Umschalten auf passive Anwendungsinstanzen 61, die zu jeweils von dem Fehler betroffenen Anwendungsinstanzen 60 redundant sind, mittels der Umschalteinrichtung 3 isoliert. Die Umschalteinrichtung 3 aktiviert hierzu die jeweilige redundante passive Anwendungsinstanz 61, welche die Funktionalität der von dem Fehler betroffenen Anwendungsinstanz 60 übernimmt, während die betroffene Anwendungsinstanz 60 deaktiviert wird. Sind mehrere Anwendungsinstanzen 60 betroffen, werden entsprechend die jeweils redundanten passiven Anwendungsinstanzen 61 aktiviert.
  • Das Erkennen, das Isolieren und das Umschalten werden hierbei priorisiert innerhalb einer vorgegebenen Zeitdauer durchgeführt. Die Monitoreinrichtung 2 und die Umschalteinrichtung 3 sind entsprechend hierzu eingerichtet bzw. deren Funktionalität wird mit einer entsprechend hohen Priorisierung bereitgestellt.
  • Ist das Umschalten erfolgt, so werden mit einer geringeren zeitlichen Priorität für die Anwendungsinstanzen 60, 61 vorgegebene Redundanzbedingungen 11 durch Umkonfigurieren der Konfiguration 62 mittels der Redundanzwiederherstellungseinrichtung 4 wiederhergestellt. Die Redundanzbedingungen 11 umfassen insbesondere Vorgaben darüber, welche Anwendungsinstanz 60 mit welcher Redundanz (keine, einfach, zweifach, mehrfach) betrieben werden soll bzw. muss. Die umkonfigurierte Konfiguration 63 wird durch entsprechendes Konfigurieren der Anwendungsinstanzen 60, 61 eingestellt. Das Umkonfigurieren umfasst hierbei insbesondere ein Starten und Einrichten von weiteren passiven Anwendungsinstanzen 61, um eine jeweilige Redundanzbedingung 11 (wieder) zu erfüllen. Wird bei einer geforderten Redundanz aufgrund eines Fehlers eine vormals passive Anwendungsinstanz 61 aktiviert und eine vormals aktive Anwendungsinstanz 60 zum Isolieren deaktiviert, so wird eine neue passive Anwendungsinstanz 61 auf einem der Berechnungsknoten eingerichtet und gestartet, sodass die Redundanz wieder hergestellt ist. Bei mehreren zu isolierenden Anwendungsinstanzen 60 wird entsprechend verfahren.
  • Es kann vorgesehen sein, dass die vorgegebene Zeitdauer in Abhängigkeit von mindestens einer von dem erkannten Fehler betroffenen Anwendungsinstanz 60 festgelegt ist oder festgelegt wird.
  • Es kann vorgesehen sein, dass die Vorrichtung 1 eine Optimierungseinrichtung 5 aufweist. Die Optimierungseinrichtung 5 führt nach dem Umkonfigurieren eine Optimierung der umkonfigurierten Konfiguration 63 nach mindestens einem Optimierungskriterium 12 durch, wobei die optimierte Konfiguration 64 anschließend eingestellt wird.
  • Es kann hierbei vorgesehen sein, dass das mindestens eine Optimierungskriterium 12 in Abhängigkeit eines aktuellen Kontextes festgelegt wird oder festgelegt ist. Beispielsweise können jeweils vorgegebene Optimierungskriterien 12 in Abhängigkeit des Kontextes in einer Datenbank hinterlegt sein. Ein Kontext kann beispielsweise aus Sensordaten, die mittels einer Umfeldsensorik erfasst wurden, und/oder Zustandsdaten des Fahrzeugs 50, die beispielsweise über einen Controller Area Network (CAN)-Bus abgefragt wurden, abgeleitet werden. In Abhängigkeit der Sensordaten und/oder der Zustandsdaten wird aus der Datenbank dann mindestens ein hiermit korrespondierendes Optimierungskriterium 12 abgefragt und beim Optimieren verwendet.
  • Es kann vorgesehen sein, dass der aktuelle Kontext eine aktuelle Fahrsituation und/oder einen aktuellen Fahrzeugstatus und/oder einen aktuellen Umweltzustand umfasst.
  • Weiter kann vorgesehen sein, dass als ein Optimierungskriterium 12 die Verwendung einer möglichst geringen Anzahl von Berechnungsknoten vorgegeben ist oder vorgegeben wird. Dies erlaubt eine Optimierung eines Leistungs- bzw. Energiebedarfs. Zum Erreichen dieses Optimierungskriteriums 12 werden die Anwendungsinstanzen 60, 61 auf eine möglichst geringe Anzahl von Berechnungsknoten verteilt, sodass nicht benötigte Berechnungsknoten deaktiviert werden können.
  • Es kann vorgesehen sein, dass die Vorrichtung 1 eine Ausfallsicherungseinrichtung 6 umfasst. Das Fahrzeug 50 kann mittels der Ausfallsicherungseinrichtung 6 in einen sicheren Zustand überführt werden, wenn mindestens eine vorgegebene Redundanzbedingung 11 durch das Umkonfigurieren nicht erfüllt werden kann. Dies ist beispielsweise der Fall, wenn der Fehler dazu führt, dass insgesamt nicht mehr genug Ressourcen (z.B. Rechenleistung, Speicher etc.) zur Verfügung stehen. Das Fahrzeug 50 wird von der Ausfallsicherungseinrichtung 6 dann beispielsweise an einen Straßenrand gefahren und geparkt, wobei eine automatisierte Weiterfahrt blockiert wird.
  • In 2 ist ein schematisches Ablaufdiagramm einer Ausführungsform des Verfahrens zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall gezeigt.
  • In einem Verfahrensschritt 100 überwachen Monitoreinrichtungen die Anwendungsinstanzen, mit denen die einzelnen Funktionalitäten für das automatisierte Fahren bereitgestellt werden. Ferner überwachen die Monitoreinrichtungen auch Betriebssysteme und/oder eine Hardware, mit bzw. auf denen Berechnungsknoten betrieben werden. Wird kein Fehler erkannt, so wird die Überwachung fortgesetzt.
  • Wird ein Fehler erkannt, so wird eine von dem erkannten Fehler betroffene Anwendungsinstanz in einem Verfahrensschritt 101 mittels einer Umschalteinrichtung 3 isoliert, indem die Anwendungsinstanz deaktiviert wird, wobei hierzu insbesondere ein Einfluss auf eine Steuerung des Fahrzeugs unterbunden wird.
  • In einem Verfahrensschritt 102 wird überprüft, ob eine redundante Anwendungsinstanz existiert. Ist dies nicht der Fall, so wird in einem Verfahrensschritt 103 überprüft, ob Mindestsicherheitsanforderungen erfüllt sind oder nicht. Ist das Ergebnis negativ, so übernimmt die Ausfallsicherheitseinrichtung 6 in einem Verfahrensschritt 104 die Kontrolle über das Fahrzeug und bringt das Fahrzeug in einem Verfahrensschritt 105 einen sicheren Zustand, beispielsweise indem die Ausfallsicherheitseinrichtung 6 das Fahrzeug derart ansteuert, dass das Fahrzeug an einen Straßenrand oder auf einen Parkplatz gefahren wird, dort geparkt wird und für eine (automatisierte) Weiterfahrt blockiert wird. Ist das Ergebnis der Überprüfung in Verfahrensschritt 103 hingegen positiv, so wird mit Verfahrensschritt 108 fortgefahren.
  • Ergibt die Überprüfung in Verfahrensschritt 102 hingegen, dass mindestens eine redundante Anwendungsinstanz existiert, so wählt die Umschalteinrichtung 3 in einem Verfahrensschritt 106 eine redundante Anwendungsinstanz aus und schaltet die ausgewählte redundante Anwendungsinstanz in einem Verfahrensschritt 107 von einem passiven Betriebszustand in einen aktiven Betriebszustand. Die aktivierte redundante Anwendungsinstanz übernimmt dann die Funktionalität der im Verfahrensschritt 101 isolierten bzw. deaktivierten Anwendungsinstanz. Anschließend wird mit Verfahrensschritt 108 fortgefahren.
  • In einem Verfahrensschritt 108 wird von der Redundanzwiederherstellungseinrichtung 4 überprüft, ob ein Berechnungsknoten vorhanden ist, der genug Ressourcen (Rechenleistung, Speicher etc.) frei hat, um eine redundante Anwendungsinstanz mit der Funktionalität der isolierten und aktivierten Anwendungsinstanzen auszuführen.
  • Wurde ein Berechnungsknoten mit ausreichend Ressourcen gefunden, so wird der Berechnungsknoten von der Redundanzwiederherstellungseinrichtung 4 in einem Verfahrensschritt 109 dazu angewiesen, eine redundante Anwendungsinstanz zu starten, beispielsweise indem ein zugehöriger Programmcode in einen Speicher geladen und ausgeführt wird. Die gestartete redundante Anwendungsinstanz wird hierbei in einem passiven Betriebsmodus gestartet und betrieben.
  • Das Starten von redundanten Anwendungsinstanzen erfolgt hierbei jeweils in Abhängigkeit von vorgegebenen Redundanzbedingungen. Die vorgegebenen Redundanzbedingungen geben vor, welcher Grad an Redundanz (einfach, zweifach, vierfach etc.) für eine isolierte bzw. deaktivierte Anwendungsinstanz erreicht werden muss.
  • Wurde kein Berechnungsknoten mit ausreichenden Ressourcen gefunden, so werden in einem Verfahrensschritt 110 Anwendungsinstanzen mit geringer Priorität (z.B. Entertainment, Komfortfunktionen etc.) angehalten und zugehörige Ressourcen werden freigegeben. Anschließend wird zu Verfahrensschritt 108 zurückgesprungen.
  • Nach Wiederherstellen der vorgegebenen Redundanzbedingungen in Verfahrensschritt 109 wird in einem Verfahrensschritt 111 mittels einer Optimierungseinrichtung 5 mindestens ein Ziel definiert, das mindestens ein Optimierungskriterium für eine Optimierung einer Konfiguration der Anwendungsinstanzen bildet.
  • In einem Verfahrensschritt 112 wird die Konfiguration der Anwendungsinstanzen im Hinblick auf das mindestens eine Optimierungskriterium optimiert. Hierzu werden beispielsweise die folgenden Verfahren verwendet: ganzzahlige lineare Optimierung (engl. integer linear programming), evolutionäre Spieltheorie (engl. evolutionary game theory) oder bestärkendes Lernen (engl. reinforcement learning).
  • Zum Optimieren werden die Anwendungsinstanzen mit jeweils zugehörigen Anforderungen (Rechenleistung, Speicherbedarf etc.) auf die vorhandenen Berechnungsknoten, die jeweils bestimmte Ressourcen (Rechenleistung, Speicher etc.) bereitstellen, verteilt. Dies erfolgt derart, dass das mindestens eine Optimierungskriterium erfüllt ist. Das Optimierungskriterium kann insbesondere eine Vorgabe für eine zu maximierende oder zu minimierende Größe beinhalten. Das Verteilen der Anwendungsinstanzen auf die einzelnen Berechnungsknoten erfolgt dann derart, dass sowohl die Anforderungen und die vorgegebenen Redundanzbedingungen als auch das Optimierungskriterium erfüllt sind. Es kann beispielsweise als Optimierungskriterium vorgesehen sein, dass ein Leistungsbedarf und/oder ein Energiebedarf minimiert ist.
  • In einem Verfahrensschritt 113 wird die optimierte Konfiguration ausgerollt, das heißt die optimierte Konfiguration wird umgesetzt, indem eine entsprechende Umkonfiguration durchgeführt wird.
  • In den 3a bis 3d sind schematische Darstellungen zur Verdeutlichung des Verfahrens zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall gezeigt. Das Verfahren wird hierbei beispielsweise gemäß der in der 2 gezeigten Ausführungsform ausgeführt.
  • Die 3a bis 3d zeigen eine Entwicklung der Konfiguration 62 der Anwendungsinstanzen 60-x, 61-x und der Berechnungsknoten 70-x für ein einfaches Beispiel. Hierbei sind sechs Berechnungsknoten 70-x gezeigt. Auf diesen Berechnungsknoten 70-x werden die Anwendungsinstanzen 60-x, 61-x ausgeführt. Die Anwendungsinstanzen 60-x, 61-x sind hierbei entweder aktiv (60-x) oder passiv (61-x), wobei das „x“ im Bezugszeichen unterschiedliche Funktionalitäten bezeichnet, die von den Anwendungsinstanzen 60-x, 61-x jeweils bereitgestellt werden. Die passiven Anwendungsinstanzen 61-x stellen die gleiche Funktionalität wie die jeweils zugehörigen aktiven Anwendungsinstanzen 60-x bereit, haben jedoch keinerlei Einfluss auf eine Steuerung des automatisierten Fahrzeugs und werden nur für einen Fehlerfall bereitgehalten.
  • Es ist beispielhaft gezeigt, dass eine mit einer Trajektorienplanung zusammenfallende Anwendungsinstanz 60-3 auf dem Berechnungsknoten 70-2 von einem Fehler betroffen ist (3a). Der Fehler wird von einer zugehörigen Monitoreinrichtung festgestellt.
  • Die betroffene Anwendungsinstanz 60-3 wird mittels einer Umschalteinrichtung isoliert, das heißt die isolierte Anwendungsinstanz 60-3 hat keine Kontrolle mehr über eine Steuerung des automatisierten Fahrzeugs, und die redundant vorgehaltene Anwendungsinstanz 61-3 (3a) wird aus einem passiven Betriebszustand heraus aktiviert und bildet anschließend die aktive Anwendungsinstanz 60-3 (3b), übernimmt durch das Umschalten also die Trajektorienplanung und erhält durch das Aktivieren Zugang zur Steuerung des automatisierten Fahrzeugs.
  • Das Erkennen des Fehlers und das Umschalten erfolgen priorisiert innerhalb einer vorgegebenen Zeitdauer. Es ist hierbei insbesondere vorgesehen, dass die vorgegebene Zeitdauer in Abhängigkeit von mindestens einer von dem erkannten Fehler betroffenen Anwendungsinstanz 60-3 festgelegt ist oder festgelegt wird. Im gezeigten Beispiel, in dem die betroffene Anwendungsinstanz 60-3 eine Funktionalität einer Trajektorienplanung bereitstellt beträgt die vorgegebene Zeitdauer beispielsweise 90 Millisekunden.
  • Anschließend wird eine durch das Umschalten bzw. das Isolieren verlorengegangene Redundanz wiederhergestellt, indem auf dem Berechnungsknoten 70-3, auf dem noch Ressourcen frei sind, eine neue passive Anwendungsinstanz 61-3 gestartet wird (3c), beispielsweise indem entsprechender Programmcode (für eine Funktionalität „Trajektorienplanung“) in einen Speicher geladen und ausgeführt wird.
  • Mittels einer Optimierungseinrichtung wird eine derart umkonfigurierte Konfiguration 63 der Anwendungsinstanzen 60-x, 61-x nach mindestens einem Optimierungskriterium optimiert. Im gezeigten Beispiel gibt das gewählte Optimierungskriterium vor, dass eine Anzahl an aktiven Berechnungsknoten 70-x minimiert sein soll, um hierdurch einen Leistungsbedarf bzw. einen Energiebedarf zu reduzieren. Eine optimierte Konfiguration 64 sieht im Beispiel vor, dass die passive Anwendungsinstanz 61-1, die auf dem Berechnungsknoten 70-2 ausgeführt wird, auf den Berechnungsknoten 70-5 übertragen wird, sodass der Berechnungsknoten 70-2 deaktiviert werden kann (3d).
  • Es kann ferner vorgesehen sein, dass das mindestens eine Optimierungskriterium in Abhängigkeit eines aktuellen Kontextes festgelegt wird oder festgelegt ist. Hierbei ist insbesondere vorgesehen, dass der aktuelle Kontext eine aktuelle Fahrsituation und/oder einen aktuellen Fahrzeugstatus und/oder einen aktuellen Umweltzustand umfasst.
  • Bezugszeichenliste
    • 1
    Vorrichtung
    2
    Monitoreinrichtung
    3
    Umschalteinrichtung
    4
    Redundanzwiederherstellungseinrichtung
    5
    Optimierungseinrichtung
    6
    Ausfallsicherungseinrichtung
    10
    Sensordaten
    11
    vorgegebene Redundanzbedingung
    12
    Optimierungskriterium
    30
    Steuersignale
    50
    Fahrzeug
    51
    Sensor
    52
    Aktorik
    60/60-x
    (aktive) Anwendungsinstanz
    61/61-x
    (passive) Anwendungsinstanz
    62
    Konfiguration
    63
    umkonfigurierte Konfiguration
    64
    optimierte Konfiguration
    70-x
    Berechnungsknoten
    100-113
    Verfahrensschritte

Claims (10)

  1. Verfahren zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs (50) in einem Fehlerfall, wobei Anwendungsinstanzen (60-x,61-x) gemäß einer vorgegebenen Konfiguration (62) verteilt auf mehreren Berechnungsknoten (70-x) ausgeführt werden, wobei zumindest einem Teil der Anwendungsinstanzen (60-x,61-x) erfasste Sensordaten (10) mindestens eines Sensors (51) zugeführt werden und wobei zumindest von einem Teil der Anwendungsinstanzen (60-x,61-x) Steuersignale (30) zum Steuern des Fahrzeugs (50) erzeugt und bereitstellt werden, wobei die Anwendungsinstanzen (60-x,61-x) und/oder Betriebssysteme und/oder eine mit den Berechnungsknoten (70-x) korrespondierende Hardware mittels mindestens einer Monitoreinrichtung (2) überwacht werden, wobei ein Fehler in einer Anwendungsinstanz (60-x,61-x) und/oder in einem Betriebssystem und/oder in einer Hardware mittels der mindestens einen Monitoreinrichtung (2) erkannt wird, wobei der erkannte Fehler durch Umschalten auf Anwendungsinstanzen (61-x), die zu jeweils betroffenen Anwendungsinstanzen (60-x) redundant sind, mittels einer Umschalteinrichtung (3) isoliert wird, und wobei für die Anwendungsinstanzen (60-x,61-x) vorgegebene Redundanzbedingungen (11) durch Umkonfigurieren der Konfiguration (62) mittels einer Redundanzwiederherstellungseinrichtung (4) wiederhergestellt werden, wobei das Erkennen, Isolieren und Umschalten priorisiert innerhalb einer vorgegebenen Zeitdauer durchgeführt werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die vorgegebene Zeitdauer in Abhängigkeit von mindestens einer von dem erkannten Fehler betroffenen Anwendungsinstanz (60-x,61-x) festgelegt ist oder festgelegt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass nach dem Umkonfigurieren mittels einer Optimierungseinrichtung (5) eine Optimierung der Konfiguration (63) nach mindestens einem Optimierungskriterium (12) durchgeführt wird, wobei die optimierte Konfiguration (64) eingestellt wird.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das mindestens eine Optimierungskriterium (12) in Abhängigkeit eines aktuellen Kontextes festgelegt wird oder festgelegt ist.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass der aktuelle Kontext eine aktuelle Fahrsituation und/oder einen aktuellen Fahrzeugstatus und/oder einen aktuellen Umweltzustand umfasst.
  6. Verfahren nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass als ein Optimierungskriterium (12) die Verwendung einer möglichst geringen Anzahl von Berechnungsknoten (70-x) vorgegeben ist oder vorgegeben wird.
  7. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Fahrzeug (50) mittels einer Ausfallsicherungseinrichtung (6) in einen sicheren Zustand überführt wird, wenn mindestens eine vorgegebene Redundanzbedingung (11) durch das Umkonfigurieren nicht erfüllt werden kann.
  8. Vorrichtung (1) zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs (50) in einem Fehlerfall, wobei in dem Fahrzeug (50) Anwendungsinstanzen (60-x,61-x) gemäß einer vorgegebenen Konfiguration (62) verteilt auf mehreren Berechnungsknoten (70-x) ausgeführt werden, wobei zumindest einem Teil der Anwendungsinstanzen (60-x,61-x) erfasste Sensordaten (10) mindestens eines Sensors (51) zugeführt werden und wobei zumindest von einem Teil der Anwendungsinstanzen (60-x,61-x) Steuersignale (30) zum Steuern des Fahrzeugs (50) erzeugt und bereitstellt werden, umfassend: mindestens eine Monitoreinrichtung (2), eine Umschalteinrichtung (3), eine Redundanzwiederherstellungseinrichtung (4), wobei die mindestens eine Monitoreinrichtung (2) dazu eingerichtet ist, die Anwendungsinstanzen (60-x,61-x) und/oder Betriebssysteme und/oder eine mit den Berechnungsknoten (70-x) korrespondierende Hardware zu überwachen und einen Fehler in einer Anwendungsinstanz (60-x,61-x) und/oder in einem Betriebssystem und/oder in einer Hardware zu erkennen, wobei die Umschalteinrichtung (3) dazu eingerichtet ist, den erkannten Fehler durch Umschalten auf Anwendungsinstanzen (61-x), die zu jeweils betroffenen Anwendungsinstanzen (60-x) redundant sind, mittels einer Umschalteinrichtung (3) zu isolieren, wobei die Redundanzwiederherstellungseinrichtung (4) dazu eingerichtet ist, für die Anwendungsinstanzen (60-x,61-x) vorgegebene Redundanzbedingungen (11) durch Umkonfigurieren der Konfiguration (62) wiederherzustellen, und wobei die mindestens eine Monitoreinrichtung (2) und die Umschalteinrichtung (3) derart ausgebildet sind, das Erkennen, Isolieren und Umschalten priorisiert innerhalb einer vorgegebenen Zeitdauer durchzuführen.
  9. Vorrichtung (1) nach Anspruch 8, gekennzeichnet durch eine Optimierungseinrichtung (5), wobei die Optimierungseinrichtung (5) dazu eingerichtet ist, nach dem Umkonfigurieren eine Optimierung der Konfiguration (63) nach mindestens einem Optimierungskriterium (12) durchzuführen, und die optimierte Konfiguration (64) einzustellen oder das Einstellen zu veranlassen.
  10. Fahrzeug (50), umfassend mindestens eine Vorrichtung (1) nach Anspruch 8 oder 9.
DE102020200414.5A 2020-01-15 2020-01-15 Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall Pending DE102020200414A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020200414.5A DE102020200414A1 (de) 2020-01-15 2020-01-15 Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020200414.5A DE102020200414A1 (de) 2020-01-15 2020-01-15 Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall

Publications (1)

Publication Number Publication Date
DE102020200414A1 true DE102020200414A1 (de) 2021-07-15

Family

ID=76542865

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020200414.5A Pending DE102020200414A1 (de) 2020-01-15 2020-01-15 Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall

Country Status (1)

Country Link
DE (1) DE102020200414A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022208250B3 (de) 2022-08-09 2024-01-25 Zf Friedrichshafen Ag System zur Verwaltung verschiedener Fahrzeugkomponenten in einer elektrischen-elektronischen Fahrzeugarchitektur und Fahrzeugarchitektur

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012002280A1 (de) * 2011-02-10 2012-08-30 GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) Verfahren zur dynamischen zuteilung in einer statisch zugeteilten und eingebetteten softwarearchitektur
DE102013205285A1 (de) * 2012-03-30 2013-10-02 GM Global Technology Operations LLC (n.d. Ges. d. Staates Delaware) Systeme und Verfahren für die ECU-Aufgaben-Rekonfiguration

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012002280A1 (de) * 2011-02-10 2012-08-30 GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) Verfahren zur dynamischen zuteilung in einer statisch zugeteilten und eingebetteten softwarearchitektur
DE102013205285A1 (de) * 2012-03-30 2013-10-02 GM Global Technology Operations LLC (n.d. Ges. d. Staates Delaware) Systeme und Verfahren für die ECU-Aufgaben-Rekonfiguration

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022208250B3 (de) 2022-08-09 2024-01-25 Zf Friedrichshafen Ag System zur Verwaltung verschiedener Fahrzeugkomponenten in einer elektrischen-elektronischen Fahrzeugarchitektur und Fahrzeugarchitektur

Similar Documents

Publication Publication Date Title
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP2766235B1 (de) Fahrzeug und verfahren zum steuern eines fahrzeugs
DE112017007616T5 (de) Fahrzeug-Steuerungseinrichtung
WO2019068570A1 (de) Bremssystem für ein kraftfahrzeug und verfahren zum betreiben eines bremssystems
DE102014221682A1 (de) Verfahren und Vorrichtung zum Betreiben eines Fahrzeugs
EP2834103A1 (de) Verfahren zum betrieb eines kraftfahrzeugs während und/oder nach einer kollision
DE102012217002A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb
DE102011005844A1 (de) Automatische Steuerung eines Fahrzeugs
DE102017218395A1 (de) Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
EP3371025B1 (de) Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug
DE102014208666A1 (de) Fahrerassistenzsystem
DE102017220845A1 (de) Verlagerung einer Funktion oder Anwendung von einem Steuergerät
DE102020200414A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102020203419A1 (de) Verfahren und Vorrichtung zum Betreiben eines automatisiert fahrenden Fahrzeugs
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102016117169B4 (de) System zur Energie- und/oder Datenübertragung
DE102018121396A1 (de) Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
EP4132824A2 (de) Systemeinheit mit einem ersten aktorsystem und einem zweiten aktorsystem
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
DE102021206943A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren einer Systemarchitektur eines automatisiert fahrenden Fahrzeugs
DE102020212287A1 (de) Verwendung von Signalintegritäten in Embedded Systemen
DE102020212284A1 (de) Verwendung von Signalintegritäten in Embedded Systemen
DE102021206042A1 (de) Verfahren zum Steuern eines Fahrzeugs

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication