用于执行车辆的安全功能的方法和执行该方法的系统技术方案

一种用于执行车辆的安全功能的方法和用于执行该方法的系统。本发明专利技术涉及一种用于执行车辆(2)的安全功能的系统(1)和方法，其中，借助至少一个通信系统(3)将数据传输到车辆(2)的控制单元(4)上，其中借助控制单元(4)产生控制信号并且传递到车辆(2)的功能单元(5)上，其中借助功能单元(5)根据控制信号来执行安全功能，其中，在时间间隔中重复执行诊断测试，其中利用诊断测试来检验，在一个或者多个用于执行该方法的电的、电子的和/或可编程的系统(3-13)中是否产生干扰，该干扰会损害安全功能的执行，其中，借助通信系统(3)将数据的元数据传输到控制单元(4)上，其中，元数据包括关于为了执行该方法而应用的系统的信息，其中，借助控制单元(4)在使用该信息的情况下测定数据的至少一个可靠性值，其中，借助控制单元(4)根据至少一个可靠性值来检验，传输的数据对于安全功能的执行是否是可靠的。

【技术实现步骤摘要】
【国外来华专利技术】用于执行车辆的安全功能的方法和执行该方法的系统
本专利技术涉及一种用于执行车辆的安全功能的方法以及一个用于执行该方法的总系统。
技术介绍
现代车辆越来越多地配备主动和被动的保护装置。该保护装置通常是车辆的功能单元，其设置用于半自动或者全自动地实施特殊的安全功能。安全功能典型地用于在识别和确定明确的危险事故或危险状态后使车辆尽可能安全的状态或者运行再次产生，或者保持该状态以便以这种方式避免人员和物品的危险以及人员受伤和物品损坏或至少使其最小化。已知的和已经广泛应用的安全功能是借助安全气囊系统触发安全气囊和借助ESC系统实现对车辆的一个或者多个车轮的制动。为了执行安全功能，基本上需要这样的数据，该数据包含对于执行安全功能来说必要的信息，例如关于车辆的运行和移动状态的信息。该数据可以例如从车辆的传感器单元的传感器数据中推导出来、例如用于检测车轮转数或者用于检测车辆的碰撞的传感器单元的传感器数据中推导出来。当今的研发工作的目的也在于这样的安全功能，例如避免行驶事故或者绕开障碍物，该安全功能完全或部分地接管对行驶的车辆的运动状态的控制以及例如自动地改变车辆的速度或行驶方向。然而通常并且尤其是在上述安全功能的情况中经常产生关于下述情况的不可知性：对于执行相应的安全功能所提供的暂时数据(以及在数据中包含的信息)对于执行该安全功能是否是足够安全和可靠的。尤其是产生关于质量的不可知性、在传输数据时所应用的通信系统的可用性和可靠性以及尤其是关于被传输的数据质量的和关于在数据接收时的数据损失的不可知性。因此，数据损失或者数据失真例如能够通过在数据传输期间在通信系统上出现的干扰而损害安全功能的执行。这样的损害例如可能在于，在错误的时间点或者在是在应用错误计算的参数的情况下执行安全功能。
技术实现思路
因此，本专利技术的目的在于提出一种方法和系统，其分别允许尽可能可靠和安全地执行车辆的安全功能。根据本专利技术，该目的通过本专利技术的方法和通过本专利技术的总系统实现。因此，在在此提出的用于执行车辆的安全功能的方法中，借助于至少一个通信系统将数据传输到车辆的控制单元上，该数据对于执行安全功能是必需的。借助控制单元，根据传输的数据产生控制信号并且传输到车辆的功能单元上。借助功能单元，根据控制信号执行安全功能。此外，以时间间隔重复地执行诊断测试，其中利用诊断测试来检验，在一个或者多个用于执行该方法的电的、电子的和/或可编程的系统中是否产生干扰或者出现错误，该干扰或者错误会损害安全功能的执行或者会损害与安全相关的数据。该诊断测试在每个系统中执行。此外，对于所提出的方法来说重要的是，借助通信系统将数据的元数据传输到控制单元上，其中，元数据包括关于为了执行该方法而应用的电的、电子的和/或可编程的至少一个系统的信息。优选的是，该元数据至少包括关于通信系统的信息。借助控制单元根据该信息测定数据的至少一个可靠性值，该可靠性值-取决于出现干扰或者错误的概率，该干扰或者错误会损害安全功能的执行以及-取决于这样的概率，即该干扰或者错误的出现借助所述诊断测试和/或通过车辆的驾驶员在损害安全功能之前被及时地识别到，其中，借助控制单元根据至少一个可靠性值来检验，传输的数据对于安全功能的执行是否是足够可靠的。此外，借助控制单元可以检验，对于执行安全功能(也就是对于相应地控制功能单元)来说必要的数据是否完全地(包括必要的诊断信息)存在。相应地，在此提出的用于执行车辆的安全功能的总系统包括车辆和通信系统，通信系统配置为，将对于执行安全功能所必需的数据传输到车辆的控制单元上。控制单元配置为根据传输的数据产生控制信号并且传递到车辆的功能单元上。功能单元配置为，根据控制信号来执行安全功能。此外，总系统配置为，以时间间隔重复执行诊断测试以检验：在总系统的一个或者多个电的、电子的和/或可编程的系统中是否产生干扰或出现错误，该干扰和错误会损害安全功能的执行。相应于所提出的方法，对于总系统来说也重要的是，通信系统还配置为，将数据的元数据传输到控制单元上，其中，元数据包括关于总系统的那些所述系统中的至少一个的信息。优选的是，该元数据至少包括关于通信系统的信息。此外，控制单元配置为，根据信息测定数据的至少一个可靠性值，该可靠性值-取决于出现干扰或者错误的概率，该干扰或者错误会损害安全功能的执行以及-取决于这样的概率，即该干扰或者错误的出现借助诊断测试和/或通过车辆的驾驶员在损害所述安全功能之前被及时地识别到，并且根据至少一个可靠性值来检验：传输的数据对于安全功能的执行是否是足够可靠的。此外，控制单元可以配置为，检验对于安全功能的执行来说必要的数据是否是完全存在的。此外，对于安全功能的实际执行来说，典型地必须的是，在使用传输的数据和包含在其中的信息的情况下，识别出确定的危险情况或者确定的危险的意外事故，如接下来根据一些实例所描述的那样。接下来的描述以相同的方式涉及提出的方法和提出的总系统。这尤其意味着，这样的实例可以将改进方案和设计方案也相应地转移到总系统或者方法上，其中，这些改进方案和设计方案仅仅联系到方法或者仅仅联系到总系统来描述。表达方式“设置成”应该理解为，涉及的功能单元或者涉及的(电的、电子的和/或可编程的)系统如此地设计和/或编程，即接下来的功能可以借助功能单元或者系统执行。例如，功能单元或者系统可以包括为此所必需的电的、电子的和/或可编程的组件，例如电路、控制器、微型芯片、传感器、数据存储器、接口、数据线、接收单元、发射单元等等。尤其是，通信系统可以包括WLAN网络和/或移动无线网络和/或另外的有线连接的或者无线的数据传输系统，并且控制单元可以配备与之兼容的接收单元或者数据接口。提出的方法和总系统的特征在于，特别高的所谓“功能安全性”，因为对于执行所必需的数据的安全性和可靠性的检验直接集成在该方法或者总系统中。因此，如下所描述的那样，安全功能例如可以在考虑到该检验结果的情况下执行，例如仅仅在检验得出积极结果时，也就是说，当对于执行安全功能所必需的数据足够可靠(和完全)时。在当前的情况中，所述的功能安全性被描述为总系统的总安全性的一部分，其取决于总系统的与安全相关的电的、电子的和可编程的系统(接下来也称为E/E/PE系统)的以及也许可能的外部装置的正确功能。在当前的情况中，提出的总系统的所有这些E/E/PE系统被描述为涉及安全的或者与安全相关的，其用于执行所提出的方法并且其中在该E/E/PE系统的干扰的情况中，也就是在该E/E/PE系统中出现错误的情况中，安全功能的执行会被该干扰或者被该错误损害。相应地，在此和接下来，E/E/PE系统的干扰或者错误应该被理解为相应的E/E/PE系统的不正常条件，其导致该系统无法再在或者仅仅受限地满足其功能。一旦未及时地识别出E/E/PE系统的干扰或者错误，其单独或者与另外的干扰或者错误组合损害安全功能的执行，那么该干扰或者错误在接下来就被描述为功能性错误、与安全相关的错误或者具有与安全相关的效果的错误。利用提出的方法和总系统可以自动地或者自动化地考虑到，并进而也自动或者自动化地控制和最小化所有由于所有功能性错误造成的风险，在相应的安全功能的计划阶段、还有在应用阶段期间识别和分析出这些功能性错误。例如，数据的提到的可靠性值已经可以在计划阶段定义为检验本文档来自技高网...

【技术保护点】
一种用于执行车辆(2)的安全功能的方法，其中，借助至少一个通信系统(3)将对于执行所述安全功能来说必需的数据传输到所述车辆(2)的控制单元(4)上，其中借助所述控制单元(4)根据传输的所述数据产生控制信号并且传递到所述车辆(2)的功能单元(5)上，其中借助所述功能单元(5)根据所述控制信号来执行所述安全功能，其中，以时间间隔重复执行诊断测试，其中利用所述诊断测试来检验，在一个或者多个用于执行所述方法的电的、电子的和/或能编程的系统(3‑13)中是否产生干扰，所述干扰会损害所述安全功能的执行，其特征在于，借助所述通信系统(3)将所述数据的元数据传输到所述控制单元(4)上，其中，所述元数据包括关于为了执行所述方法而应用的所述系统的信息，其中，借助所述控制单元(4)在使用所述信息的情况下测定所述数据的至少一个可靠性值，所述可靠性值‑取决于出现错误或者干扰的概率，所述错误或者干扰会损害所述安全功能的执行以及‑取决于这样的概率，即所述错误或者干扰的出现借助所述诊断测试和/或通过所述车辆(2)的驾驶员在损害所述安全功能之前被及时地识别到，其中，借助所述控制单元(4)根据至少一个所述可靠性值来检验：传输的所述数据对于所述安全功能的执行是否是足够可靠的。...

【技术特征摘要】
【国外来华专利技术】2012.08.29 DE 102012215343.81.一种用于执行车辆(2)的安全功能的方法，其中，借助至少一个通信系统(3)将对于执行所述安全功能来说必需的数据传输到所述车辆(2)的控制单元(4)上，其中借助所述控制单元(4)根据传输的所述数据产生控制信号并且传递到所述车辆(2)的功能单元(5)上，其中借助所述功能单元(5)根据所述控制信号来执行所述安全功能，其中，以时间间隔重复执行诊断测试，其中利用所述诊断测试来检验，在一个或者多个用于执行所述方法的电的、电子的和/或能编程的系统(3-13)中是否产生干扰，所述干扰会损害所述安全功能的执行，其特征在于，借助所述通信系统(3)将所述数据的元数据传输到所述控制单元(4)上，其中，所述元数据包括关于为了执行所述方法而应用的所述系统的信息，其中，借助所述控制单元(4)在使用所述信息的情况下测定所述数据的至少一个可靠性值，所述可靠性值-取决于出现错误或者干扰的概率，所述错误或者干扰会损害所述安全功能的执行以及-取决于这样的概率，即所述错误或者干扰的出现借助所述诊断测试和/或通过所述车辆(2)的驾驶员在损害所述安全功能之前被及时地识别到，其中，借助所述控制单元(4)根据至少一个所述可靠性值来检验：传输的所述数据对于所述安全功能的执行是否是足够可靠的。2.根据权利要求1所述的方法，其特征在于，如果对于执行所述安全功能所必需的数据不完全存在或者不是足够可靠的，-传输到所述控制单元(4)上的所述数据不被用于对于所述功能单元(5)进行控制，和/或-借助所述控制单元(4)向所述功能单元(5)发出去激活信号，其中所述功能单元在接收到所述去激活信号之后自动地过渡到安全模式中，在所述安全模式中可以不执行所述安全功能，和/或-所述数据在预设的等待时间周期之后被再次传输到所述控制单元(4)上，其中，所述数据以这种方式如此频繁地传输到所述控制单元(4)上，直至所述数据完全存在和足够可靠。3.根据前述权利要求中任一项所述的方法，其特征在于，借助所述控制单元驱控所述车辆(2)的信号发射器，以信号通知所述驾驶员：对于执行所述安全功能必需的数据是否完全存在和足够可靠。4.根据权利要求1或2所述的方法，其特征在于，如果对于执行所述安全功能来说必要的所述数据不完全存在或者不足够可靠，借助所述控制单元(4)来驱控所述信号发射器(17)，以信号通知所述驾驶员所述安全功能的暂时的不可用性。5.根据权利要求3所述的方法，其特征在于，如果对于执行所述安全功能来说必要的所述数据不完全存在或者不足够可靠，借助所述控制单元(4)来驱控所述信号发射器(17)，以信号通知所述驾驶员所述安全功能的暂时的不可用性。6.根据权利要求1或2所述的方法，其特征在于，所述数据取决于至少一个测量单元(12，13)的测量信号来生成。7.根据权利要求5所述的方法，其特征在于，所述数据取决于至少一个测量单元(12，13)的测量信号来生成。8.根据权利要求1或2所述的方法，其特征在于，至少一个所述可靠性值根据至少一个错误率lSPF，lRF，lMPF，lMPF,L，lMPF,P，lMPF,D测定，其中每个所述错误率是错误的平均数，所述错误在一个时间单位内在执行所述方法期间使用的电的、电子的和/或能编程的系统(3-13)中出现，其中，相应的所述错误率分别专有地涉及以下错误类型：-lSPF:错误，甚至当所述错误单独出现时，所述错误也能够对所述安全功能的所述执行造成损害，并且所述错误的出现不通过所述诊断测试检验并且因此通过所述诊断测试也不能在损害所述安全功能之前及时地确定；-lRF：错误，甚至当所述错误单独出现时，所述错误也能够对所述安全功能的所述执行造成损害，并且所述错误的出现通过所述诊断测试检验，但是通过所述诊断测试也不能在损害所述安全功能之前及时地确定；-lMPF：错误，当错误同时与其他的错误一同出现或者存在时，一旦所述错误不能及时地在损害安全功能之前被确定，那么错误是功能性的、即具有与安全功能相关的效果；-lMPF,L：错误，当所述错误同时与其他的错误一同出现或者存在时，所述错误能够对所述安全功能的所述执行造成损害，并且所述错误的出现不通过所述诊断测试进行检验；-lMPF,D：错误，当所述错误同时与其他的错误一同出现或者存在时，所述错误能够对所述安全功能的所述执行造成损害，并且所述错误的出现通过所述诊断测试检验并在损害所述安全功能之前及时地确定；-lMPF,P：错误，当所述错误同时与其他的错误一同出现或者存在时，所述错误能够对所述安全功能的所述执行造成损害，并且所述错误的出现通过所述车辆的驾驶员及时地确定。9.根据权利要求7所述的方法，其特征在于，至少一个所述可靠性值根据至少一个错误率lSPF，lRF，lMPF，lMPF,L，lMPF,P，lMPF,D测定，其中每个所述错误率是错误的平均数，所述错误在一个时间单位内在执行所述方法期间使用的电的、电子的和/或能编程的系统(3-13)中出现，其中，相应的所述错误率分别专有地涉及以下错误类型：-lSPF:错误，甚至当所述错误单独出现时，所述错误也能够对所述安全功能的所述执行造成损害，并且所述错误的出现不通过所述诊断测试检验并且因此通过所述诊断测试也不能在损害所述安全功能之前及时地确定；-lRF：错误，甚至当所述错误单独出现时，所述错误也能够对所述安全功能的所述执行造成损害，并且所述错误的出现通过所述诊断测试检验，但是通过所述诊断测试也不能在损害所述安全功能之前及时地确定；-lMPF：错误，当错误同时与其他的错误一同出现或者存在时，一旦所述错误不能及时地在损害安全功能之前被确定，那么错误是功能性的、即具有与安全功能相关的效果；-lMPF,L：错误，当所述错误同时与其他的错误一同出现或者存在时，所述错误能够对所述安全功能的所述执行造成损害，并且所述错误的出现不通过所述诊断测试进行检验；-lMPF,D：错误，当所述错误同时与其他的错误一同出现或者存在时，所述错误能够对所述安全功能的所述执行造成损害，并且所述错误的出现通过所述诊断测试检验并在损害所述安全功能之前及时地确定；-lMPF,P：错误，当所述错误同时与其他的错误一同出现或者存在时，所述错误能够对所述安全功能的所述执行造成损害，并且所述错误的出现通过所述车辆的驾驶员及时地确定。10.根据权利要求9所述的方法，其特征在于，所述数据的至少一个所述可靠性值的一个可靠性值至少根据至少一个用于执行所述方法的电的、电子的和/或能编程的系统的诊断覆盖度(DCRF)的至少一个值来确定，其中，λ是每个安全相关的硬件元素的故障率，λRF是与硬件元素剩余故障相关的故障率，其中，用于所述系统(3-13)的l通过lSPF+lRF+lMPF,L+lMPF,D+lMPF,P+lS给出，并且lS是在所述系统(3-13)中任意的错误出现的所述错误率。11.根据权利要求9所述的方法，其特征在于，所述数据的至少一个所述可靠性值的一个可靠性值至少根据度量(MSPF，RF)的值来测定，其中，λ是每个安全相关的硬件元素的故障率，λSPF是与硬件元素单点故障相关的故障率，λRF是与硬件元素剩余故障相关的故障率，∑是安全相关的硬件元素的故障率之和，其中总和通过多个在所述方法应用的电的、电子的和能编程的系统...

【专利技术属性】
技术研发人员：贝蒂娜·埃德姆，汉斯里奥·罗斯，
申请(专利权)人：大陆汽车有限责任公司，
类型：发明
国别省市：德国;DE