有效保障控制設備的安全臨界功能的方法和控制設備的制作方法
【專利摘要】一種有效保障控制設備的安全臨界功能的方法和控制設備���。本發(fā)明涉及一種用于運行控制設備(10)的方法�,該控制設備借助算法(17)將至少一個輸入數(shù)據(jù)處理成至少一個輸出數(shù)據(jù)�����,其中僅在輸出數(shù)據(jù)包含在不包括全部可能的輸出數(shù)據(jù)的第一群組中的情況下為檢查所述輸出數(shù)據(jù)而進行所述輸出數(shù)據(jù)的第二次確定�。
【專利說明】有效保障控制設備的安全臨界功能的方法和控制設備
【技術領域】
[0001]本發(fā)明涉及一種用于運行控制設備的方法,該控制設備將至少一個輸入數(shù)據(jù)借助算法處理成至少一個輸出數(shù)據(jù)���。
【背景技術】
[0002]控制設備在現(xiàn)有技術中例如在陸上和/或空中交通工具中以及醫(yī)藥技術中已經(jīng)廣泛公知�。所述類型的控制設備大多分配有特定的功能并且借助算法將輸入數(shù)據(jù)例如傳感器信號和/或準備好的傳感器數(shù)據(jù)處理為輸出數(shù)據(jù)���,所述輸出數(shù)據(jù)用于其他控制目的并且例如通過總線向動作器傳輸以直接導致干預���,在交通工具中例如為制動干預等,和/或由其他中間連接的控制設備來處理��,以便確定動作器上的干預進而控制指令的必要性����。
[0003]控制設備通常也用于安全臨界信息,例如在機動車中作為安全系統(tǒng)和自動或半自動駕駛員輔助系統(tǒng)的控制設備����。安全臨界功能是在某種(很大)程度上危及該控制設備所在的系統(tǒng)(例如機動車)的整體安全性的功能����。因此存在一些標準以滿足在控制設備的輸出數(shù)據(jù)的安全性和合理性方面的需求��。對于機動車例如建立了標準ISO 26262(“道路車輛-功能安全性”)�����,這是一個用于機動車中與安全相關的電氣和/或電子系統(tǒng)的ISO標準��。通過實施該標準應該保證具有本發(fā)明所述類型的控制設備的系統(tǒng)的功能安全性�。
[0004]在現(xiàn)有技術中已知,在用于安全臨界功能的控制設備中使用檢查措施�����,從而使在確定輸出數(shù)據(jù)時的錯誤盡可能地在錯誤地繼續(xù)應用該輸出數(shù)據(jù)之前被識別出�����。這些措施大多應該識別出偶然誤差����,例如“單比特錯誤”(SBE)或“單粒子翻轉”(SEU),并因此在出現(xiàn)錯誤的情況下禁止安全臨界情形��。例如在自動緊急制動系統(tǒng)中應該阻止電子故障導致觸發(fā)不必要的緊急制動��。
[0005]具體地為此已知����,在臨界位置處雙重地(例如步調一致地)設計所使用的硬件和/或所使用的軟件,從而可以通過冗余計算識別出電子故障�。例如建議,設置至少一個額外的處理器����,該處理器(特別是輕度時間延遲地)在必要時在使用另一算法的情況下為使用者最初不可見地同樣確定該至少一個輸出數(shù)據(jù)。如果輸出數(shù)據(jù)不一致�����,則判斷出出錯�����。檢查措施也可以包括參與的硬件部件的循環(huán)的自我測試����。
[0006]所有這些在現(xiàn)有技術中已知的措施在軟件層面和/或硬件層面上都是非常資源緊湊的��,從而增加了控制設備的成本并且降低了控制設備的工作效率�����,特別是考慮到���,由于額外工作的硬件部件和額外的計算步驟,造成提高的熱生成和更高的能量需求�。這些缺陷在圖像處理控制設備中特別明顯地顯露出來。如果例如要在攝像機的圖像中發(fā)現(xiàn)特定的圖形��,例如人��,就會給出極其復雜的計算過程����,該計算過程通常被劃分為多個所謂的假設,例如��,特定尺寸的人在特定的圖像區(qū)域內的可能性有多大等���。既然這種控制設備結構必須緊湊,則在非常小的空間內必須實現(xiàn)非常大量的計算�����,理想的是以純被動冷卻的方式實現(xiàn)。這種圖像處理控制設備例如在機動車中使用��,以便分析對機動車前方進行拍攝的攝像機的數(shù)據(jù)���。
[0007]DE 10 2008 060 011 Al涉及一種安全控制裝置和一種用于控制自動化設備的方法����,所述自動化設備包括多個傳感器和多個動作器���。在此要可以簡單靈活地指示出系統(tǒng)狀態(tài)����。為此由診斷分析單元產(chǎn)生運行狀態(tài)數(shù)據(jù)組�,該運行狀態(tài)數(shù)據(jù)組代表確定的運行狀態(tài),并且該診斷分析單元與用于指示診斷報告的指示單元的接口相連接�����。布爾代數(shù)的狀態(tài)指示器可以驅控動作器��、例如報警信號燈或蜂鳴器�。此處的應用程序包括安全控制模塊和標準控制模塊�,所述安全控制模塊根據(jù)與安全相關的控制輸入信號產(chǎn)生與安全相關的控制輸出信號���,而所述標準控制模塊將其他控制輸入信號轉換為控制輸出信號���。
[0008]DE 102 309 026 B4涉及一種用于交通監(jiān)控的方法和裝置,其中對所產(chǎn)生的數(shù)字圖像的與假設有關的交通圖像序列進行定性分析和歸一化/標準化��,從而可以評估交通狀況�,特別是區(qū)別交通參與者的種類并識別道路交通密度。
【發(fā)明內容】
[0009]因此本發(fā)明的目的在于����,提供一種用于控制設備的運行可能性,其在維持必需的安全需求的情況下可以提高控制設備的能量效率和功率效率和/或降低控制設備的成本����。
[0010]為實現(xiàn)該目的,根據(jù)本發(fā)明�����,在開頭所述類型的方法中����,確定一輸出數(shù)據(jù),然后檢查該輸出數(shù)據(jù)是否包括在不包含全部可能的輸出數(shù)據(jù)的第一群組中���,然后僅在輸出數(shù)據(jù)包括在第一群組中的情況下進行所述輸出數(shù)據(jù)的第二次確定以檢查所述輸出數(shù)據(jù)��。
[0011]本發(fā)明基于這樣的認知�,即:很多控制設備相對于其總運行時間僅很少實際計算安全臨界輸出數(shù)據(jù)���,特別是一個對通過動作器執(zhí)行的干預進行描述的安全臨界輸出數(shù)據(jù)和/或導致通過動作器執(zhí)行的干預的安全臨界輸出數(shù)據(jù)���。換句話說這意味著,大多數(shù)控制設備僅很少得到有必要進行安全臨界干預的結論��。為此的例子是自動制動干預���、碰撞警報��、避讓轉向干預�、氣囊釋放等����。如果例如圖像處理控制設備檢查是否有人位于機動車前方的臨界區(qū)域內,并且是否因此需要進行緊急制動��,則極少出現(xiàn)這樣的結果。在其他情況下所述控制設備的輸出數(shù)據(jù)描述其中不需要進行干預的情況�����。
[0012]現(xiàn)在本發(fā)明建議���,代替在整個運行時間期間冗余地實施全部計算����,將輸出數(shù)據(jù)的額外的第二次確定限制在安全臨界的輸出數(shù)據(jù)的群組內�����。因此例如一旦所述輸出數(shù)據(jù)原本的第一次確定直接或間接導致動作器的干預���,則進行冗余的第二次確定�����,以便檢查所述輸出數(shù)據(jù)并因此保障待實施的干預���。
[0013]不同于所謂的“雙模冗余系統(tǒng)”,僅對于(典型很少出現(xiàn)的)動作情況/干預、即在存在安全臨界輸出數(shù)據(jù)的情況下才始終需要第二單元/計算的結果����。在需要時發(fā)生檢驗���,這意味著���,對于第一群組的輸出數(shù)據(jù)(安全臨界輸出數(shù)據(jù))假定存在錯誤并進行檢查。這種措施特別是在其中幻象(誤識別)與未識別(漏識別)相比危險大得多的系統(tǒng)中是有利的�����。
[0014]因此可以提高控制設備的能量效率�,因為只須實施總體上少得多的計算,這是因為安全臨界輸出數(shù)據(jù)�����、即輸出數(shù)據(jù)的第一群組的數(shù)據(jù)出現(xiàn)得比其他輸出數(shù)據(jù)少得多�,所述其他輸出數(shù)據(jù)可以被分類在與輸出數(shù)據(jù)第一群組元素相異(elementfremd)的輸出數(shù)據(jù)第二群組中。對于極其經(jīng)常出現(xiàn)的第二群組的全部輸出數(shù)據(jù)�,不會出現(xiàn)冗余的第二次確定。由此另外也會減少控制設備的熱排放并且理想地僅需要較少的硬件部件����,從而也可以減少所述控制設備的重量�。但是所述控制設備的各部件的單個成本也會減少���,由此原則上只需要較小的總功率�����。所述控制設備的滿載度明顯減小�。
[0015]在所述運行方法用于圖像處理控制設備和/或機動車控制設備時本發(fā)明的優(yōu)點特別明顯地顯露出來�。例如如果通過機動車的圖像處理控制設備對特別是朝向機動車前方區(qū)域定向的攝像機的圖像進行分析,則存在較高的計算成本���,其中例如被檢查的假設的相當大一部分都會導致不存在危險/危險狀況的結果�����。但是���,如果所有這些計算都冗余地、最終即雙重地實施��,則構成龐大的計算成本���,該計算成本在本發(fā)明的框架內可以明顯減少�,這是因為算法的安全臨界結果或輸出數(shù)據(jù)特別少,從而實際在第二次確定的范圍內僅須檢查所述計算的相當小的一部分����。因此,所需計算量的近似減半并因此能量效率的相應改善可以在圖像處理控制設備中實現(xiàn)并且被視為特別有利���。此外,在機動車中普遍得到明顯改善����,因為在那里需要或優(yōu)選一種特別緊湊的、能量效率高的并且冷卻密集少的構造方式�����。但是原則上也可以設想���,不僅在其他交通工具例如空中交通工具中���,而且例如在醫(yī)藥【技術領域】(其中也經(jīng)常涉及到圖像處理)中例如在放射線照相術的領域中將根據(jù)本發(fā)明的方法用于其他系統(tǒng)的控制設備。
[0016]如已經(jīng)說過的��,可以使用對通過動作器的干預進行描述的輸出數(shù)據(jù)和/或導致通過動作器的干預的輸出數(shù)據(jù)和/或安全臨界輸出數(shù)據(jù)作為第一群組的輸出數(shù)據(jù)。特別是總是當發(fā)生相關部件即動作器的實際驅控時��,或者一般來說�,當獲得安全臨界輸出數(shù)據(jù)時,進行檢查���,就是說恰好在檢查很重要的情況下進行檢查����。因此通過根據(jù)本發(fā)明的方法基本上避免了例如在緊急制動系統(tǒng)中對用戶而言帶來對整個系統(tǒng)的疑惑的誤觸發(fā)和類似情況��,同時在不構成誤觸發(fā)風險的非安全臨界情況下節(jié)省檢查�。
[0017]關于最終是冗余計算的第二次確定可以設想不同可能性,其允許有意義的檢查�。因此可以規(guī)定,輸出數(shù)據(jù)的第二次檢查在使用相同硬件但使用不同算法的情況下進行���。因此在這種情況下���,特別是在存儲器裝置中存儲同樣適用于確定輸出數(shù)據(jù)的第二算法。如果現(xiàn)在出現(xiàn)第一群組的輸出數(shù)據(jù)�,并且僅在出現(xiàn)第一群組的輸出數(shù)據(jù)時,調用第二算法以便實現(xiàn)輸出數(shù)據(jù)的第二次確定和相應的檢查��。因此可以以不同的方式/途徑得到相同的結果,從而得到合宜的檢查����。
[0018]此外在本發(fā)明的框架下還可以,為輸出數(shù)據(jù)的第二次檢查而使用至少一個冗余的硬件部件����,特別是另一處理器。顯然也可設想額外使用另一種算法即第二算法��。通過這種方式也可以檢測到同樣在結果中表現(xiàn)出來的處理器錯誤����。當使用具有多個處理器的多核環(huán)境����,例如雙核環(huán)境、四核環(huán)境或三核環(huán)境時����,其他處理器的使用例如是合宜的。然后可以有針對性地委托另一處理器執(zhí)行所述已經(jīng)導致第一群組的輸出數(shù)據(jù)的運算�����。
[0019]此外在本發(fā)明的一種有利的設計方案中可以規(guī)定,在所述檢查之后和第二次確定之前進行至少一個參與第一次確定和/或第二次確定的硬件部件的自我測試����。這種對于大多數(shù)硬件部件在現(xiàn)有技術中已知的自我測試的結果也可以在檢查輸出數(shù)據(jù)時被考慮。這種自我測試可以特別快速地例如在I毫秒內實施�,并且可以相應地被添加。
[0020]在根據(jù)本發(fā)明的方法的一種改進方案中�,可以在所述檢查之后和第二次確定之前檢查在存儲器裝置中存儲的算法的完整性和/或在存儲器裝置中存儲的至少一個輸入數(shù)據(jù)的完整性。因此也可以設想�����,檢查數(shù)據(jù)一一特別是與算法特別是軟件有關的數(shù)據(jù)和/或輸入數(shù)據(jù)——是否存在有例如由于存儲器裝置中的錯誤而出現(xiàn)的錯誤����。為此例如可以規(guī)定,為檢查數(shù)據(jù)完整性而使用測試值和/或使用CRC方法和/或ECC方法���。測試值特別是測試和在現(xiàn)有技術中已經(jīng)廣泛已知并且現(xiàn)在也可以用來檢查數(shù)據(jù)完整性����。循環(huán)冗余校驗(cyclic redundancy check,CRC)是一種已知的方法,該方法確定數(shù)據(jù)的測試值����,以便可以在進行傳輸和存儲時識別錯誤�。ECC存儲器是一種已知的存儲器形式�,其可以檢測并且改正內部數(shù)據(jù)損壞。在此可以檢測并改正單比特錯誤��。
[0021]由于在根據(jù)本發(fā)明的方法中僅在通過輸出數(shù)據(jù)確定出必須進行第二次確定時才開始第二次確定�����,因此到實際檢查安全臨界計算之前出現(xiàn)了一定的等待時間/延遲時間���。但是在根據(jù)本發(fā)明的方法中也可以設想將所述等待時間最小化的可能性���。因此可以在一種實施例中規(guī)定,在存儲器裝置中一直保留有用于第二次確定的至少一個中間結果和/或所述至少一個輸入數(shù)據(jù)����,特別是保留到?jīng)Q定不進行第二次確定為止���,和/或到借助第二次確定的結果進行的檢查結束為止���。因此至少直到清楚是否還需要輸入數(shù)據(jù)為止,都應該在控制設備的存儲器裝置中保留該輸入數(shù)據(jù)���。因此不必費力地重新獲取數(shù)據(jù)而是直接重新完整地處理數(shù)據(jù)�����。該實施例可以有利地與通過適當方法進行的數(shù)據(jù)完整性的檢查相結合����。
[0022]在一種特別有利的實施例中,可以將第二次確定限制在這樣的計算過程上�,即:該計算過程導致確定屬于第一群組的輸出數(shù)據(jù)。也就是說�����,并非輸入數(shù)據(jù)的整個計算都必須是強制安全臨界的�����,從而冗余計算即第二次確定可以限制在實際上安全臨界的那部分上�����。換句話說����,本發(fā)明建議���,用于檢查的第二次確定盡可能部分地或減少地實施,其方法為:僅實際上重復實際對于第一群組的輸出數(shù)據(jù)負責的計算過程��,從而在此可以顯著節(jié)省時間�����。
[0023]在圖像處理的示例中這意味著���,當如上所述將圖像分析劃分為各個假設時��,僅須檢驗最臨界的假設�����,即已經(jīng)導致輸出數(shù)據(jù)并且在必要時需要干預的假設��。因此不是重復整個輸入圖像的整個分析�,而是最終僅重復決定性的假設�??傊褪钦f,在為圖像處理而設計的�、利用假設進行工作的控制設備中僅檢查已確認的����、導致輸出數(shù)據(jù)的假設�。
[0024]在此在根據(jù)本發(fā)明的方法中顯然可以額外規(guī)定,輸出數(shù)據(jù)僅在通過檢查確認時才繼續(xù)使用�。這意味著,僅當兩次確定即計算過程提供相同的輸出數(shù)據(jù)時(其中顯然在必要時在連續(xù)的數(shù)值下可以給出公差范圍)�����,才實際使用輸出數(shù)據(jù)例如用以觸發(fā)動作器等的干預�。
[0025]除了上述方法,本發(fā)明還涉及一種控制設備�,其被設計用于通過控制硬件和控制軟件實施根據(jù)本發(fā)明的方法。關于根據(jù)本發(fā)明的方法的全部實施形式都可以類似地移用到根據(jù)本發(fā)明的控制設備上�,利用該控制設備因此也可以得到本發(fā)明的優(yōu)點。
[0026]根據(jù)本發(fā)明的控制設備在此優(yōu)選包括至少一個處理器和至少一個存儲器裝置�,其中,總體上可以節(jié)省硬件和/或軟件或者更有能量效率地進行設計����。根據(jù)本發(fā)明的控制設備尤其為圖像處理控制設備,其還可以裝在機動車中�。根據(jù)本發(fā)明的控制設備可以在機動車中構成安全系統(tǒng)和/或駕駛員輔助系統(tǒng)的一部分,其中,所述控制設備例如可以對作為輸入數(shù)據(jù)的�、設置在機動車中的攝像機的圖像例如在即將發(fā)生的碰撞等方面進行分析。
[0027]因此在本發(fā)明的框架內可以制造一種機動車���,其包括至少一個安全系統(tǒng)和/或駕駛員輔助系統(tǒng)�,所述系統(tǒng)配設有根據(jù)本發(fā)明的控制設備���。如上所述��,正是在機動車中可以特別明顯地看到本發(fā)明的優(yōu)點��。
【專利附圖】
【附圖說明】
[0028]本發(fā)明的其他優(yōu)點和細節(jié)由下面描述的實施例以及借助附圖得出����。其中:
[0029]圖1示出根據(jù)本發(fā)明的方法的流程圖�����,
[0030]圖2示出根據(jù)本發(fā)明的控制設備��,并且
[0031]圖3示出一種機動車�。【具體實施方式】
[0032]圖1示出本發(fā)明的一種實施例的原理流程圖�����,該流程圖涉及一種用于運行控制設備的方法�����,該方法在所述控制設備本身中實現(xiàn)����。在此總是僅當實際存在安全臨界結果時才實施冗余計算以檢查輸出數(shù)據(jù),安全臨界結果的存在借助至少一個輸出數(shù)據(jù)屬于輸出數(shù)據(jù)的第一群組來檢查�,所述第一群組并不包含全部可能的輸出數(shù)據(jù),而是僅包括安全臨界輸出數(shù)據(jù)����,此處為描述一種干預或導致干預的輸出數(shù)據(jù)。此處作為實施例描述的控制設備是機動車的一種圖像處理控制設備����,其配屬于安全系統(tǒng)。例如安全系統(tǒng)可以是行人保護系統(tǒng)��,在該行人保護系統(tǒng)中檢查是否在機動車的攝像機拍攝的圖像中可以看到位于臨界位置的行人���。如果是���,則產(chǎn)生一輸出數(shù)據(jù)���,該輸出數(shù)據(jù)作為通過動作器(執(zhí)行)的干預可以觸發(fā)緊急制動和/或警報。
[0033]在此在圖像處理的框架內單個檢查各種不同的假設���,例如在一特定圖像片段上可以以何種程度看到特定尺寸的人����。如果特定的假設適用���,則控制設備得出結論“需要干預”��。借助為進行圖像處理而設置的算法得到的控制設備計算結果因此是一個輸出數(shù)據(jù)����,其在多數(shù)情況下指示為無危險�,但是當確定有行人位于危險位置時,輸出數(shù)據(jù)就是要求干預的輸出數(shù)據(jù)����。
[0034]在此根據(jù)圖1在步驟I中確定實際的輸出數(shù)據(jù)。
[0035]在步驟2中檢查:該輸出數(shù)據(jù)是屬于輸出數(shù)據(jù)的第一群組還是非安全臨界的輸出數(shù)據(jù)的第二群組���。如果該輸出數(shù)據(jù)屬于第一群組���,如箭頭3所示���,則開始輸出數(shù)據(jù)的第二次確定�����,以便可以對該輸出數(shù)據(jù)進行檢查�。如果該輸出數(shù)據(jù)不屬于輸出數(shù)據(jù)的第一群組,則通過算法�,如箭頭4所示,以新的輸入數(shù)據(jù)即攝像機的下一張圖像重新確定新的輸出數(shù)據(jù)�。
[0036]在步驟5中現(xiàn)在首先對所有為第一次確定和隨后的第二次確定所需的控制設備部件進行自我測試����。如果這里已經(jīng)出現(xiàn)錯誤���,則這就是錯誤的安全臨界輸出數(shù)據(jù)的標志�。
[0037]在步驟6中�,在可能的存儲器錯誤方面檢查所有參與數(shù)據(jù)的數(shù)據(jù)完整性����。首先要注意的是�����,在相應的存儲器裝置中一直保留輸入數(shù)據(jù)和必要時所需的中間結果����,直到清楚該輸入數(shù)據(jù)和中間結果不再被第二次確定所需要或者第二次確定已結束。現(xiàn)在可以檢查這些數(shù)據(jù)��,例如借助測試值或測試和���,特別是通過CRC方法����。但是這同樣也適用于要使用的算法的被存儲的軟件,這意味著,相應的編碼存儲器也可以在控制設備中進行檢查�。不存在數(shù)據(jù)完整性也是安全臨界輸出數(shù)據(jù)有錯誤的明顯標志�����。
[0038]在步驟7中然后實施第二次確定����,為此可以設想本發(fā)明框架內的多種變型方案�。因此在該實施例中一方面可以,使用相同的硬件特別是至少一個相同的處理器��,但是使用與在輸出數(shù)據(jù)的第一次確定的框架內所使用的算法不同的算法。但是也可以����,委托至少一個處理器(不管它是冗余設置的還是出于其他原因例如在多核系統(tǒng)中不參與第一次確定)有針對性地實施第二次確定。顯然這里也可以使用另一種算法�。
[0039]但是在任何情況下都適用的是,僅檢查實際導致輸出數(shù)據(jù)的那部分計算���,當前因此是指已經(jīng)導致第一群組的輸出數(shù)據(jù)的假設�。如果在作為輸入數(shù)據(jù)的實際圖像被處理之前便已知所述假設的位置或編號��,則僅額外需要用于檢驗這一假設的計算成本或計算時間����。因此第二次確定被限制在上次計算過程的安全臨界部分上。
[0040]在步驟8中然后考慮表示第一群組的輸出數(shù)據(jù)的最終檢查的標準���。這顯然也可以考慮步驟5和6的結果��。僅當確定了在第一次確定和第二次確定中計算得出的輸出數(shù)據(jù)(必要時在一公差范圍內)一致時�����,該輸出數(shù)據(jù)才會根據(jù)步驟9被繼續(xù)使用�����,特別是�,其方式為:使該輸出數(shù)據(jù)在機動車的總線系統(tǒng)上給出并且在那里例如通過動作器觸發(fā)干預、例如制動干預���,和/或導致干預地在另一控制設備中被繼續(xù)處理。
[0041]圖2示出根據(jù)本發(fā)明的控制設備10的原理圖�����。該控制設備除了連接機動車的總線系統(tǒng)的接口 11之外還包括具有四個處理器13的四核(處理器)12�����。此外在根據(jù)圖2的實施例中還設置有兩個存儲器裝置14和15����,其中存儲器裝置14用于存儲數(shù)據(jù)���,特別是也存儲輸入數(shù)據(jù)16。存儲器裝置15是一個代碼存儲器����,在該代碼存儲器中存儲有在確定輸出數(shù)據(jù)和實施本發(fā)明方法的框架內所使用的算法17。
[0042]為機動車的安全系統(tǒng)配設的圖像處理控制設備10通過相應的控制硬件和控制軟件被設計用于實施根據(jù)本發(fā)明的方法��,從而在那里運行根據(jù)圖1的本發(fā)明方法的實施例����。
[0043]圖3示例性地示出控制設備10在機動車18中的使用,所述控制設備在該機動車中配屬于一個安全系統(tǒng)�����。機動車18具有朝向機動車18的前方區(qū)域定向的攝像機19���,該攝像機將其圖像數(shù)據(jù)作為輸入數(shù)據(jù)傳輸?shù)娇刂圃O備10上�。通過總線系統(tǒng)20例如CAN總線�����,控制設備10可以與其他車輛系統(tǒng)特別是動作器進行通信,其中在此為了舉例而示出制動系統(tǒng)21和為警報而設計的指示裝置22��,它們可以作為動作器分析控制設備10的輸出數(shù)據(jù)��。
【權利要求】
1.一種用于運行將至少一個輸入數(shù)據(jù)借助算法(17)處理成至少一個輸出數(shù)據(jù)的控制設備(10)的方法���, 其特征在于��, 確定一輸出數(shù)據(jù)�,然后檢查該輸出數(shù)據(jù)是否包含在不包括全部可能的輸出數(shù)據(jù)的第一群組中�,然后僅在輸出數(shù)據(jù)包含在第一群組中的情況下進行所述輸出數(shù)據(jù)的第二次確定,以對所述輸出數(shù)據(jù)進行檢查�����。
2.根據(jù)權利要求1所述的方法���,其特征在于,將對通過動作器的干預進行描述的輸出數(shù)據(jù)和/或導致通過動作器的干預的輸出數(shù)據(jù)和/或安全臨界的輸出數(shù)據(jù)用作為第一群組的輸出數(shù)據(jù)����。
3.根據(jù)權利要求1或2所述的方法,其特征在于���,所述控制設備(10)是圖像處理控制設備(10)和/或機動車(18)的控制設備(10)��。
4.根據(jù)前述權利要求之一所述的方法�,其特征在于,所述輸出數(shù)據(jù)僅在通過所述檢查確認了的情況下被繼續(xù)使用����。
5.根據(jù)前述權利要求之一所述的方法,其特征在于���,所述輸出數(shù)據(jù)的第二次確定在使用同樣硬件但使用另一算法(17)的情況下進行��,或者將至少一個特別是冗余的硬件部件——特別是另一處理器(13)——用于所述輸出數(shù)據(jù)的第二次確定�。
6.根據(jù)前述權利要求之一所述的方法�,其特征在于,在所述檢查之后和第二次確定之前執(zhí)行參與了第一次確定和/或第二次確定的至少一個硬件部件的自我測試���。
7.根據(jù)前述權利要求之一所述的方法��,其特征在于����,在所述檢查之后和第二次確定之前對存儲在存儲器裝置(15)中的算法(17)的完整性和/或存儲在存儲器裝置(14)中的至少一個輸入數(shù)據(jù)的完整性進行檢查���。
8.根據(jù)權利要求7所述的方法����,其特征在于,為檢查數(shù)據(jù)完整性而使用測試值和/或使用CRC方法和/或ECC方法�。
9.根據(jù)前述權利要求之一所述的方法,其特征在于�����,特別是直到?jīng)Q定不進行第二次確定為止和/或直到借助第二次確定的結果進行的檢查結束為止�,在存儲器裝置(14)中一直保留用于第二次確定的至少一個中間結果和/或所述至少一個輸入數(shù)據(jù)。
10.根據(jù)前述權利要求之一所述的方法�,其特征在于,將第二次確定限制在這樣的計算過程上�,即:該計算過程為確定屬于第一群組的輸出數(shù)據(jù)構成原因。
11.根據(jù)權利要求10所述的方法���,其特征在于��,在為圖像處理而設計的����、利用假設進行工作的控制設備(10)中僅檢查已確認的�、導致所述輸出數(shù)據(jù)的假設。
12.—種控制設備(10)�����,該控制設備被設計用于通過控制硬件和控制軟件實施根據(jù)前述權利要求之一的方法��。
【文檔編號】G05B9/03GK103576545SQ201310323814
【公開日】2014年2月12日 申請日期:2013年7月30日 優(yōu)先權日:2012年7月31日
【發(fā)明者】S·文德爾, A·克萊因佐格 申請人:奧迪股份公司