[发明专利]用于控制驾驶功能的方法和设备

说明书

一种用于控制驾驶功能的方法（10），其特征在于以下特征：将对于驾驶功能而言相关的输入数据（11）输送到计算机网络（26）；通过在计算机网络（26）中在至少一个第一计算单元（41）和第二计算单元（42）上冗余地处理输入数据（11）分别产生输出数据（15）；由每个计算单元（41、42）对相应输出数据（15）补充控制字段；将计算单元（41、42）的输出数据（15）输送给比较并确定所述比较的结果（24）；以及根据结果（24），如果输出数据（15）和控制字段经受住所述比较，则将输出数据（15）按具体情况连同相应控制字段一起考虑用于驾驶功能，或者如果输出数据（15）或控制字段有偏差，则标记为有错误的。

技术领域

本发明涉及一种用于控制驾驶功能的方法。本发明此外涉及相应的设备、相应的计算机程序和相应的存储介质。

背景技术

在US2019047579 A1中描述涉及提供高功能安全性的方法和设备。在一种实施方式中，主核（Master-Kern）执行一个或多个操作，以便支持驾驶员辅助系统或自主驾驶，其中所述主核在一定程度上“以同步的方式”（lockstep（锁步））与从核（Slave-Kern）耦合。主核和从核接收相同的输入信号，并且所述紧密耦合的核逻辑引起：响应于主核的第一输出和从核的第二输出的比较而产生信号。所产生的信号作为对于第一输出和第二输出之间的不一致性的响应而导致所述一个或多个操作的中断。其他实施方式同样被公开并要求得到保护。

在根据US2018370540A1的自行式自主车辆中，控制架构在同一箱中包括多个处理器。每个处理器均监控其他处理器并且在需要时采取适当的安全措施。一些处理器可能执行具有低优先级的休眠状态的（ruhend）或冗余的功能，当确定出另一处理器发生了故障，所述具有低优先级的休眠状态的或冗余的功能则变成激活的。这些处理器彼此无关地被供电并且彼此无关地执行从传感器数据处理直至具有不同硬件功能的操作指令的冗余算法。硬件和软件多样性改善错误容限（Fehlertoleranz）。

根据US2019334706A1的自主驾驶控制装置包括多个并行处理器，这些处理器使用从多个自主驾驶传感器接收的共同的输入数据来工作。多个并行处理器中的每一个均包括通信电路、通用处理器、安全处理器子系统（SCS）和安全子系统（SMS）。通信电路支持并行处理器之间的通信，包括并行处理器的通用处理器之间的通信、在使用SCS密码的情况下在并行处理器的安全处理器子系统之间的通信以及在使用SMS密码的情况下在并行处理器的安全子系统之间的通信在内，其中SMS密码与SCS密码不同。SCS和SMS可以分别包含专用硬件并且尤其是包含存储器，以便支持通信。

发明内容

本发明提供根据独立权利要求所述的用于控制驾驶功能的方法、相应的设备、相应的计算机程序以及相应的存储介质。

根据本发明的方案基于以下认识：用于安全的计算单元的典型安全机制也必须在云中被实现，以便也能够在这里在功能上安全地处理数据。针对逻辑单元中的随机硬件错误或用于处理逻辑指令集的典型解决方案是在时钟驱动的（getakt）计算机中通过同构（homogen）冗余计算单元进行同构并行冗余处理。由独立的单元对这些计算单元进行比较。在云中，存储器是易失性的、但也是非易失性的存储器（RAM、ROM、CACHE等），并且整个数据控制（处理程序、多路复用（Multiplex）等）对用户来说并不是透明的和可访问的，所以这些存储器正如硬件本身那样不能直接被监控。因此，必须以加密的形式将数据发送到存储器中以及从存储器发送出数据。出于安全原因，这种E2E防护在云中已经是常见的。为了技术安全地使用所述数据，还必须在运行时间连续地监控这些E2E措施。由此也可以确保数据彼此的不相关性（Unabhängigkeit），使得可以监控所谓的共同原因（Common Cause）（即两个要比较的通道的相关的错误）。

为了实现肯定的比较，输入数据也必须被同步和比较。这同样适用于输出数据，所述输出数据时间同步地被同步和比较以进行进一步处理。这样的时钟驱动的冗余控制单元通常被称为锁步控制器。在云中，E2E防护于是也在相应的锁步比较中同样被检查。