本發(fā)明由根據獨立權利要求1的一種用于車隊的車輛的安全系統(tǒng)出發(fā)并且由根據獨立權利要求5的一種用于驗證用于車隊的車輛中的安全系統(tǒng)的預觸發(fā)功能模塊的相應的裝置出發(fā)。
背景技術:
當今,通?;诮佑|傳感裝置觸發(fā)用于車輛中的被動安全系統(tǒng)的人員保護裝置的不可逆的執(zhí)行器、例如煙火式(pyrotechnisch)安全帶張緊裝置和安全氣囊?,F今,已經在預碰撞階段,基于周圍環(huán)境傳感裝置——例如雷達、視頻或融合系統(tǒng)觸發(fā)人員保護裝置的可逆執(zhí)行器、例如電機式安全帶張緊裝置。對于不可逆執(zhí)行器的觸發(fā),需要非常高的穩(wěn)健度。這由對于由于危險觀察和風險觀察的“錯誤觸發(fā)”(falsepositives:假正)和對于錯誤觸發(fā)的非常低的接受度得出,因為自身在沒有安全風險的情況下而錯誤觸發(fā)時需要維修,這產生成本和惱怒
可以借助用于很多碰撞情況的如今的周圍環(huán)境傳感裝置來顯示用于煙火式執(zhí)行器在碰撞前大約80至40ms的預觸發(fā)范圍內的不可逆觸發(fā)的不可避免的碰撞的需要的實時識別。對此的基礎通過由現有技術已知的預碰撞功能模塊和自動的緊急制動功能模塊建立。
但是,當今例如如此設計所述已知的系統(tǒng),使得相對于錯誤干預或錯誤觸發(fā)(假正)的驗證結果符合少于每車輛壽命一次的要求。對于預觸發(fā)功能模塊(pre-trigger-funktionen),預給定相對于錯誤觸發(fā)高得多的穩(wěn)健度(robustheit)要求,所述高得多的穩(wěn)健度要求以至少3個數量級處于對于錯誤干預或錯誤觸發(fā)的當今的驗證度之下。
由現有技術已知所謂的黑盒驗證(blackboxvalidation),在所述黑盒驗證中,以原型系統(tǒng)(prototyp-system)在實地中行駛如此多的小時,使得可以通過證明在該時間段中沒有出現錯誤觸發(fā)來確保相應的穩(wěn)健度。如果要求的穩(wěn)健度例如小于10-5錯誤/運行小時,則以原型系統(tǒng)在實地中行駛105小時。對于預觸發(fā)功能模塊的需要的數量級,這在系列開發(fā)應用(serienentwicklungs-applikation)中不能夠實現。
技術實現要素:
相比之下,根據本發(fā)明的具有獨立權利要求1的特征的用于車隊的車輛的安全系統(tǒng)以及根據本發(fā)明的具有獨立權利要求5的特征的用于驗證用于車隊的車輛中的安全系統(tǒng)的預觸發(fā)功能模塊的裝置具有如下優(yōu)點:事后、即在安裝之后不僅可以激活用于碰撞識別的算法的軟件組件或參數而且可以激活用于在識別到碰撞時或在即將發(fā)生碰撞時操控執(zhí)行器的預碰撞功能模塊的軟件組件或參數。在此,用于碰撞識別的軟件組件原則上是激活的,但是以關于模擬執(zhí)行器(dummy-aktuator)的不同參數如此長時間地分析處理所述軟件組件,直到可以證明確定的穩(wěn)健度。如果是這種情況,則解鎖具有最佳的參數化的算法用于干預真實的執(zhí)行器。
在本發(fā)明的實施例中,跟蹤目標以便識別不可避免的碰撞的算法基于同樣的基本構思,但是取決于需要的識別率、識別時間和穩(wěn)健度而不同地構型或參數化。則在低驗證度的情況下,第一參數組例如僅能夠實現具有可逆措施的不重要的干預或具有強烈限制的有效范圍的干預,以便因此也在低驗證度的情況下提供高穩(wěn)健度。在高驗證度的情況下,第二參數組能夠實現具有更高的安全風險的干預的激活或不可逆措施的激活以及具有擴展的有效范圍的干預,因為這些通過高驗證度被確保安全。
本發(fā)明的實施方式提供一種用于車隊的車輛的安全系統(tǒng),該安全系統(tǒng)具有人員保護裝置、用于檢測至少一個對碰撞重要的物理參量的接觸傳感裝置、預碰撞系統(tǒng)和分析處理及控制單元,所述預碰撞系統(tǒng)包括用于檢測車輛周圍環(huán)境中的至少一個對碰撞重要的物理參量的周圍環(huán)境傳感裝置,所述分析處理及控制單元分析處理由所述接觸傳感裝置和由所述周圍環(huán)境傳感裝置檢測的用于碰撞識別且用于預碰撞識別的物理參量并且取決于所述分析處理且取決于預給定的參數來操控所述人員保護裝置的至少一個執(zhí)行器。根據本發(fā)明,所述預碰撞系統(tǒng)具有至少一個模擬執(zhí)行器和自適應預觸發(fā)功能模塊,所述自適應預觸發(fā)功能模塊取決于當前驗證度以不同的參數組實現并且分析處理所檢測的用于預碰撞識別的物理參量,以便識別不可避免的碰撞,其中,將所述預觸發(fā)功能模塊限制到模擬運行(dummy-betrieb)的第一參數組如此長時間地實現,直到所述當前驗證度滿足預給定的條件,在所述模擬運行中,如果所述物理參量的分析處理推斷出不可避免的碰撞,則所述預觸發(fā)功能模塊產生用于所述模擬執(zhí)行器的至少一個觸發(fā)信號,其中,預觸發(fā)功能模塊將模擬執(zhí)行器的觸發(fā)與分析處理及控制單元的表現(verhalten)進行比較(abgleichen)并且取決于所述比較而將所述模擬執(zhí)行器的觸發(fā)分級為“正確”或為“錯誤觸發(fā)”。
在自動比較時,將模擬執(zhí)行器的成功的觸發(fā)例如與在車輛中存在的接觸傳感裝置(慣性傳感裝置)的信號進行比較。如果在模擬執(zhí)行器通過預觸發(fā)功能模塊的預碰撞觸發(fā)之后通過接觸傳感裝置或慣性傳感裝置測量到加速脈沖(beschleunigungsimpuls)——所述加速脈沖已促使分析處理及控制單元例如觸發(fā)安全帶張緊裝置,則可以將所述觸發(fā)存儲為“正確”或為“truepositive”(真正)結果。如果沒有這種加速脈沖,則涉及“錯誤觸發(fā)”或“假正”結果,將其存儲。
此外,提出一種用于驗證根據本發(fā)明的車隊的車輛中的安全系統(tǒng)的預觸發(fā)功能模塊的裝置,所述裝置包括具有計算機系統(tǒng)、第二通信裝置和存儲裝置的中央裝置。在此,所述計算機系統(tǒng)通過第二通信裝置與車隊的車輛進行通信并且與所述車輛交換數據。所述中央裝置的計算機系統(tǒng)從車隊的車輛接收模擬執(zhí)行器的觸發(fā)的分級和/或運行小時的總數。計算機系統(tǒng)將所述信息存儲在存儲裝置中。此外,所述計算機系統(tǒng)分析處理所述信息用于計算預觸發(fā)功能模塊的當前的驗證度且用于檢驗第一參數組。
通過在從屬權利要求中列舉的措施和擴展方案,能夠實現在獨立權利要求1中說明的用于車隊的車輛的安全系統(tǒng)的以及在獨立權利要求5中說明的用于驗證用于車隊的車輛的中的安全系統(tǒng)的預觸發(fā)功能模塊的裝置的有利的改善。
特別有利的是,預觸發(fā)功能模塊可以包括數據記錄儀,所述數據記錄儀存儲所述模擬執(zhí)行器的觸發(fā)的分級并且累加運行小時。
在根據本發(fā)明的安全系統(tǒng)的有利的構型中,預觸發(fā)功能模塊可以包括第一通信裝置,通過所述第一通信裝置,可以將所述模擬執(zhí)行器的觸發(fā)的分級和/或運行小時的總數傳輸給中央裝置。此外,第一通信裝置可以從中央裝置接收經更新的第一參數組或接收第二參數組并且提供給預觸發(fā)功能模塊。在此,第二參數組釋放預觸發(fā)功能模塊的根據規(guī)定
在根據本發(fā)明的裝置的有利的構型中,所述計算機系統(tǒng)在需要時求取所述車隊的車輛中的模擬執(zhí)行器的“錯誤觸發(fā)”的數量以及所述車隊的所述車輛的運行小時的總數并且將所述預觸發(fā)功能模塊的當前驗證度計算為對于單位時間而言在所述車輛中的模擬執(zhí)行器的“錯誤觸發(fā)”的數量。所述計算機系統(tǒng)可以將所述預觸發(fā)功能模塊的所計算的當前驗證度與預給定的閾值進行比較,所述預給定的閾值代表所述預觸發(fā)功能模塊的要求的穩(wěn)健度。在此,當對于單位時間而言所述車輛中的模擬執(zhí)行器的“錯誤觸發(fā)”的數量低于所述預給定的閾值時,所述計算機系統(tǒng)將所述第二參數組輸出給所述車隊的車輛。
在根據本發(fā)明的裝置的另一有利的構型中,計算機系統(tǒng)可以通過所述第二通信裝置直接地或通過第三通信裝置與所述車隊的車輛的第一通信裝置進行通信。第三通信裝置例如可以在維修廠中布置并且在診斷期間通過所述第一通信裝置讀取所述預觸發(fā)功能模塊的數據記錄儀。所述通信裝置優(yōu)選實施為ip節(jié)點(ip:internetprotokoll:互聯網協議)。預觸發(fā)功能模塊的軟件組件的解鎖或參數化例如通過與在車隊的相應的車輛中的ip節(jié)點的無線的無線電連接以及可授權的且受保護的下載功能實現。替代地,預觸發(fā)功能模塊的軟件組件的解鎖或參數化可以通過修理廠中的診斷工具、例如在執(zhí)行服務間隔時或在改型(facelifts)時執(zhí)行。讀取在車隊的車輛中收集的數據可以例如同樣通過與車隊的相應的車輛中的ip節(jié)點的無線的無線電連接或通過在修理廠停留時的診斷接口來實現。此外,各個車輛可以周期性地或在觸發(fā)模擬執(zhí)行器之后將收集的數據通過無線電連接傳輸給云端或中央裝置中的服務器。中央裝置例如可以由車輛制造商、供應商或可以持續(xù)地分析處理所收集的數據的服務商設立。因為預觸發(fā)功能模塊的軟件組件的解鎖或參數化涉及安全關鍵的功能的激活,所以無論以何種形式進行的激活都受保護地并且僅通過經授權的位置(stelle)來實現。
本發(fā)明的實施例在附圖中示出并且在以下的說明中進一步闡述。在附圖中,相同的參考標記表明實施相同或類似功能的組件或元件。
附圖說明
圖1示出一種用于驗證用于車隊的車輛中的安全系統(tǒng)的預觸發(fā)功能模塊的裝置的示意性框圖,所述裝置具有根據本發(fā)明的用于車隊的車輛的安全系統(tǒng)的一種實施例。
具體實施方式
如在圖1中顯而易見的是,車隊1包括多個車輛,從多個車輛中例如示出三個車輛1a、1b、1c。所述車輛1a、1b、1c中的每個包括安全系統(tǒng)2,所述安全系統(tǒng)在車隊1的第一車輛1a中詳細示出。
如在圖1中還顯而易見的是,所述安全系統(tǒng)2包括人員保護裝置7、用于檢測至少一個對碰撞重要的物理參量的接觸傳感裝置4、預碰撞系統(tǒng)10以及分析處理及控制單元5.1,所述預碰撞系統(tǒng)包括用于檢測車輛周圍環(huán)境中的至少一個對碰撞重要的物理參量的周圍環(huán)境傳感裝置3,所述分析處理及控制單元分析處理由所述接觸傳感裝置4和由所述周圍環(huán)境傳感裝置3檢測的用于碰撞識別且用于預碰撞識別的物理參量并且取決于所述分析處理且取決于所述預給定的參數來操控所述人員保護裝置7的至少一個執(zhí)行器14a、14b、14c。根據本發(fā)明,預碰撞系統(tǒng)10具有至少一個模擬執(zhí)行器14d和自適應預觸發(fā)功能模塊12,所述自適應預觸發(fā)功能模塊取決于當前驗證度以不同的參數組實現并且分析處理所檢測的用于預碰撞識別的物理參量,以便識別不可避免的碰撞,其中,將所述預觸發(fā)功能模塊12限制到模擬運行的第一參數組如此長時間地實現,直到所述當前驗證度滿足預給定的條件,在所述模擬運行中,如果所述物理參量的分析處理推斷出不可避免的碰撞,則所述預觸發(fā)功能模塊12產生用于所述模擬執(zhí)行器14d的至少一個觸發(fā)信號,其中,預觸發(fā)功能模塊12將模擬執(zhí)行器14d的觸發(fā)與分析處理及控制單元5.1的表現進行比較并且取決于所述比較而將所述模擬執(zhí)行器14d的觸發(fā)分級為“正確”或為“錯誤觸發(fā)”。在通過第一參數組釋放的模擬運行中,在所示出的實施例中,在低驗證度的情況下,例如僅實現具有可逆措施的非關鍵干預或具有強烈限制的有效范圍的干預,以便因此也在低驗證度的情況下提供安全系統(tǒng)2的高穩(wěn)健度。
在所示出的實施例中,預觸發(fā)功能模塊12包括數據記錄儀18和第一通信裝置16,所述數據記錄儀存儲所述模擬執(zhí)行器14d的觸發(fā)的分級并且累加運行小時,通過所述第一通信裝置,模擬執(zhí)行器14d的觸發(fā)的分級和/或運行小時的總數能夠傳輸給中央裝置20。此外,第一通信裝置16從中央裝置20接收經更新的第一參數組或接收第二參數組并且將其提供給預觸發(fā)功能模塊12。第二參數組釋放預觸發(fā)功能模塊12的根據規(guī)定的運行,在所述根據規(guī)定的運行中,預觸發(fā)功能模塊12產生用于人員保護裝置7的至少一個執(zhí)行器14a、14b、14c的觸發(fā)信號。
如在圖1中還顯而易見的是,人員保護裝置7包括由第一執(zhí)行器14a觸發(fā)的可逆拉止裝置(rückhaltemittel)7.1(例如電動的安全帶張緊裝置或主動的發(fā)動機罩)、由第二煙火式執(zhí)行器14b觸發(fā)的不可逆拉止裝置7.2(例如內部安全氣囊和/或外部安全氣囊)以及由第三執(zhí)行器14c觸發(fā)的自適應碰撞結構7.3。另外,可以設置執(zhí)行器,所述執(zhí)行器進行對車輛制動系統(tǒng)、轉向、底盤和/或減震系統(tǒng)的主動干預和/或產生附加的制動作用。
周圍環(huán)境傳感裝置3例如包括用于檢測車輛周圍環(huán)境中的對碰撞重要的物理參量的雷達系統(tǒng)、視頻系統(tǒng)、超聲波系統(tǒng)或激光雷達系統(tǒng)。接觸傳感裝置4例如包括用于檢測對碰撞重要的物理參量的壓力傳感器和/或加速度傳感器。分析處理及控制單元5.1和預碰撞系統(tǒng)10的組件在示出的實施例中在共同的控制設備5中實現。此外,分析處理及控制單元5.1和預觸發(fā)功能模塊12可以融合來自周圍環(huán)境傳感裝置3和接觸傳感裝置4的傳感器信息的任意數據,以便識別即將發(fā)生的碰撞。則例如可以通過周圍環(huán)境傳感裝置3的至少兩個物理上冗余的傳感器信號(例如適合用于位置測量和速度測量的雷達信號以及適合用于對象分類的視頻信號)的智能數據融合來展示足夠良好的且可靠的預碰撞識別。即使這種估計表現出所述預碰撞識別的可行方案,但是根據本發(fā)明的安全系統(tǒng)2的可靠的驗證的要求相對于非期望錯誤觸發(fā)仍然存在。
因此,用于驗證車隊1的車輛1a、1b、1c中的安全系統(tǒng)2的預觸發(fā)功能模塊12的所示出的裝置包括中央裝置20,所述中央裝置包括計算機系統(tǒng)22、第二通信裝置24和存儲裝置28。計算機系統(tǒng)22通過第二通信裝置24與車隊1的車輛1a、1b、1c進行通信并且與車隊1的車輛1a、1b、1c交換數據。計算機系統(tǒng)22從車隊1的車輛1a、1b、1c接收模擬執(zhí)行器14d的觸發(fā)的分級和/或運行小時的總數,將所述數據存儲在存儲裝置28中并且分析處理所述數據用于計算預觸發(fā)功能模塊12的當前驗證度且用于檢驗第一參數組。
計算機系統(tǒng)22在需要時求取車隊1的車輛1a、1b、1c中的模擬執(zhí)行器14d的“錯誤觸發(fā)”的數量以及車隊1的所述車輛1a、1b、1c的運行小時的總數并且將預觸發(fā)功能模塊12的當前驗證度計算為對于單位時間而言在所述車輛1a,1b,1c中的模擬執(zhí)行器14d的“錯誤觸發(fā)”的數量。計算機系統(tǒng)22將預觸發(fā)功能模塊12的所計算的當前驗證度與預給定的閾值進行比較,所述預給定的閾值代表預觸發(fā)功能模塊12的要求的穩(wěn)健度。在此,當對于單位時間而言車輛1a、1b、1c中的模擬執(zhí)行器14d的“錯誤觸發(fā)”的數量低于所述預給定的閾值時,則所述計算機系統(tǒng)22將所述第二參數組輸出給所述車隊1的車輛1a、1b、1c。在高驗證度的情況下,第二參數能夠實現具有更高安全風險的干預的激活或不可逆措施的激活以及具有擴展的有效范圍的干預,因為這些通過高驗證度被確保安全。
如在圖1中還顯而易見的是,計算機系統(tǒng)22可以通過所述第二通信裝置24直接地或通過第三通信裝置26與所述車隊1的車輛1a、1b、1c的第一通信裝置16進行通信。第三通信裝置26例如可以在維修廠中布置并且在診斷期間通過第一通信裝置16讀取預觸發(fā)功能模塊12的數據記錄儀18。
在所示出的實施例中,通信裝置16、24、26分別實施為ip節(jié)點。這以有利的方式通過第二通信裝置24或第三通信裝置26與車輛1a、1b、1c中的第一通信裝置16之間的相應的通信連接借助經授權的和受保護的下載功能能夠實現預觸發(fā)功能模塊12的軟件組件的解鎖或參數化。則可以將參數組從中央裝置20例如直接通過第二通信連接24傳輸給第一通信裝置16或間接通過第二通信連接24和第三通信連接26傳輸給第一通信裝置16。此外,可以在中央裝置20與車隊1的車輛1a、1b、1c之間通過云端交換數據。因為涉及安全關鍵(sicherheitskritisch)的功能的激活,所以無論以何種形式進行的數據傳輸都受保護地并且僅通過經授權的位置來實現。中央裝置20例如可以由車輛制造商、供應商或可以持續(xù)地分析處理所收集的數據的服務商設立。