有效保障控制設(shè)備的安全臨界功能的方法和控制設(shè)備的制作方法
【專利摘要】一種有效保障控制設(shè)備的安全臨界功能的方法和控制設(shè)備���。本發(fā)明涉及一種用于運(yùn)行控制設(shè)備(10)的方法����,該控制設(shè)備借助算法(17)將至少一個(gè)輸入數(shù)據(jù)處理成至少一個(gè)輸出數(shù)據(jù)��,其中僅在輸出數(shù)據(jù)包含在不包括全部可能的輸出數(shù)據(jù)的第一群組中的情況下為檢查所述輸出數(shù)據(jù)而進(jìn)行所述輸出數(shù)據(jù)的第二次確定。
【專利說明】有效保障控制設(shè)備的安全臨界功能的方法和控制設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于運(yùn)行控制設(shè)備的方法�����,該控制設(shè)備將至少一個(gè)輸入數(shù)據(jù)借助算法處理成至少一個(gè)輸出數(shù)據(jù)����。
【背景技術(shù)】
[0002]控制設(shè)備在現(xiàn)有技術(shù)中例如在陸上和/或空中交通工具中以及醫(yī)藥技術(shù)中已經(jīng)廣泛公知。所述類型的控制設(shè)備大多分配有特定的功能并且借助算法將輸入數(shù)據(jù)例如傳感器信號(hào)和/或準(zhǔn)備好的傳感器數(shù)據(jù)處理為輸出數(shù)據(jù)���,所述輸出數(shù)據(jù)用于其他控制目的并且例如通過總線向動(dòng)作器傳輸以直接導(dǎo)致干預(yù)�����,在交通工具中例如為制動(dòng)干預(yù)等�����,和/或由其他中間連接的控制設(shè)備來(lái)處理���,以便確定動(dòng)作器上的干預(yù)進(jìn)而控制指令的必要性。
[0003]控制設(shè)備通常也用于安全臨界信息�,例如在機(jī)動(dòng)車中作為安全系統(tǒng)和自動(dòng)或半自動(dòng)駕駛員輔助系統(tǒng)的控制設(shè)備。安全臨界功能是在某種(很大)程度上危及該控制設(shè)備所在的系統(tǒng)(例如機(jī)動(dòng)車)的整體安全性的功能���。因此存在一些標(biāo)準(zhǔn)以滿足在控制設(shè)備的輸出數(shù)據(jù)的安全性和合理性方面的需求�����。對(duì)于機(jī)動(dòng)車?yán)缃⒘藰?biāo)準(zhǔn)ISO 26262(“道路車輛-功能安全性”)����,這是一個(gè)用于機(jī)動(dòng)車中與安全相關(guān)的電氣和/或電子系統(tǒng)的ISO標(biāo)準(zhǔn)。通過實(shí)施該標(biāo)準(zhǔn)應(yīng)該保證具有本發(fā)明所述類型的控制設(shè)備的系統(tǒng)的功能安全性��。
[0004]在現(xiàn)有技術(shù)中已知�,在用于安全臨界功能的控制設(shè)備中使用檢查措施,從而使在確定輸出數(shù)據(jù)時(shí)的錯(cuò)誤盡可能地在錯(cuò)誤地繼續(xù)應(yīng)用該輸出數(shù)據(jù)之前被識(shí)別出�。這些措施大多應(yīng)該識(shí)別出偶然誤差,例如“單比特錯(cuò)誤”(SBE)或“單粒子翻轉(zhuǎn)”(SEU)����,并因此在出現(xiàn)錯(cuò)誤的情況下禁止安全臨界情形。例如在自動(dòng)緊急制動(dòng)系統(tǒng)中應(yīng)該阻止電子故障導(dǎo)致觸發(fā)不必要的緊急制動(dòng)�。
[0005]具體地為此已知,在臨界位置處雙重地(例如步調(diào)一致地)設(shè)計(jì)所使用的硬件和/或所使用的軟件�,從而可以通過冗余計(jì)算識(shí)別出電子故障�����。例如建議,設(shè)置至少一個(gè)額外的處理器�����,該處理器(特別是輕度時(shí)間延遲地)在必要時(shí)在使用另一算法的情況下為使用者最初不可見地同樣確定該至少一個(gè)輸出數(shù)據(jù)���。如果輸出數(shù)據(jù)不一致�,則判斷出出錯(cuò)���。檢查措施也可以包括參與的硬件部件的循環(huán)的自我測(cè)試��。
[0006]所有這些在現(xiàn)有技術(shù)中已知的措施在軟件層面和/或硬件層面上都是非常資源緊湊的�,從而增加了控制設(shè)備的成本并且降低了控制設(shè)備的工作效率�����,特別是考慮到�����,由于額外工作的硬件部件和額外的計(jì)算步驟���,造成提高的熱生成和更高的能量需求��。這些缺陷在圖像處理控制設(shè)備中特別明顯地顯露出來(lái)�����。如果例如要在攝像機(jī)的圖像中發(fā)現(xiàn)特定的圖形���,例如人����,就會(huì)給出極其復(fù)雜的計(jì)算過程����,該計(jì)算過程通常被劃分為多個(gè)所謂的假設(shè),例如��,特定尺寸的人在特定的圖像區(qū)域內(nèi)的可能性有多大等�。既然這種控制設(shè)備結(jié)構(gòu)必須緊湊,則在非常小的空間內(nèi)必須實(shí)現(xiàn)非常大量的計(jì)算��,理想的是以純被動(dòng)冷卻的方式實(shí)現(xiàn)���。這種圖像處理控制設(shè)備例如在機(jī)動(dòng)車中使用�,以便分析對(duì)機(jī)動(dòng)車前方進(jìn)行拍攝的攝像機(jī)的數(shù)據(jù)。
[0007]DE 10 2008 060 011 Al涉及一種安全控制裝置和一種用于控制自動(dòng)化設(shè)備的方法�,所述自動(dòng)化設(shè)備包括多個(gè)傳感器和多個(gè)動(dòng)作器��。在此要可以簡(jiǎn)單靈活地指示出系統(tǒng)狀態(tài)��。為此由診斷分析單元產(chǎn)生運(yùn)行狀態(tài)數(shù)據(jù)組���,該運(yùn)行狀態(tài)數(shù)據(jù)組代表確定的運(yùn)行狀態(tài)��,并且該診斷分析單元與用于指示診斷報(bào)告的指示單元的接口相連接�。布爾代數(shù)的狀態(tài)指示器可以驅(qū)控動(dòng)作器�����、例如報(bào)警信號(hào)燈或蜂鳴器�。此處的應(yīng)用程序包括安全控制模塊和標(biāo)準(zhǔn)控制模塊,所述安全控制模塊根據(jù)與安全相關(guān)的控制輸入信號(hào)產(chǎn)生與安全相關(guān)的控制輸出信號(hào)�����,而所述標(biāo)準(zhǔn)控制模塊將其他控制輸入信號(hào)轉(zhuǎn)換為控制輸出信號(hào)�����。
[0008]DE 102 309 026 B4涉及一種用于交通監(jiān)控的方法和裝置����,其中對(duì)所產(chǎn)生的數(shù)字圖像的與假設(shè)有關(guān)的交通圖像序列進(jìn)行定性分析和歸一化/標(biāo)準(zhǔn)化���,從而可以評(píng)估交通狀況,特別是區(qū)別交通參與者的種類并識(shí)別道路交通密度��。
【發(fā)明內(nèi)容】
[0009]因此本發(fā)明的目的在于���,提供一種用于控制設(shè)備的運(yùn)行可能性�,其在維持必需的安全需求的情況下可以提高控制設(shè)備的能量效率和功率效率和/或降低控制設(shè)備的成本�����。
[0010]為實(shí)現(xiàn)該目的�,根據(jù)本發(fā)明,在開頭所述類型的方法中����,確定一輸出數(shù)據(jù),然后檢查該輸出數(shù)據(jù)是否包括在不包含全部可能的輸出數(shù)據(jù)的第一群組中���,然后僅在輸出數(shù)據(jù)包括在第一群組中的情況下進(jìn)行所述輸出數(shù)據(jù)的第二次確定以檢查所述輸出數(shù)據(jù)�。
[0011]本發(fā)明基于這樣的認(rèn)知,即:很多控制設(shè)備相對(duì)于其總運(yùn)行時(shí)間僅很少實(shí)際計(jì)算安全臨界輸出數(shù)據(jù)����,特別是一個(gè)對(duì)通過動(dòng)作器執(zhí)行的干預(yù)進(jìn)行描述的安全臨界輸出數(shù)據(jù)和/或?qū)е峦ㄟ^動(dòng)作器執(zhí)行的干預(yù)的安全臨界輸出數(shù)據(jù)。換句話說這意味著�,大多數(shù)控制設(shè)備僅很少得到有必要進(jìn)行安全臨界干預(yù)的結(jié)論�����。為此的例子是自動(dòng)制動(dòng)干預(yù)��、碰撞警報(bào)�、避讓轉(zhuǎn)向干預(yù)、氣囊釋放等���。如果例如圖像處理控制設(shè)備檢查是否有人位于機(jī)動(dòng)車前方的臨界區(qū)域內(nèi)���,并且是否因此需要進(jìn)行緊急制動(dòng),則極少出現(xiàn)這樣的結(jié)果�����。在其他情況下所述控制設(shè)備的輸出數(shù)據(jù)描述其中不需要進(jìn)行干預(yù)的情況��。
[0012]現(xiàn)在本發(fā)明建議,代替在整個(gè)運(yùn)行時(shí)間期間冗余地實(shí)施全部計(jì)算����,將輸出數(shù)據(jù)的額外的第二次確定限制在安全臨界的輸出數(shù)據(jù)的群組內(nèi)。因此例如一旦所述輸出數(shù)據(jù)原本的第一次確定直接或間接導(dǎo)致動(dòng)作器的干預(yù)����,則進(jìn)行冗余的第二次確定,以便檢查所述輸出數(shù)據(jù)并因此保障待實(shí)施的干預(yù)����。
[0013]不同于所謂的“雙模冗余系統(tǒng)”,僅對(duì)于(典型很少出現(xiàn)的)動(dòng)作情況/干預(yù)�����、即在存在安全臨界輸出數(shù)據(jù)的情況下才始終需要第二單元/計(jì)算的結(jié)果����。在需要時(shí)發(fā)生檢驗(yàn),這意味著�����,對(duì)于第一群組的輸出數(shù)據(jù)(安全臨界輸出數(shù)據(jù))假定存在錯(cuò)誤并進(jìn)行檢查�。這種措施特別是在其中幻象(誤識(shí)別)與未識(shí)別(漏識(shí)別)相比危險(xiǎn)大得多的系統(tǒng)中是有利的���。
[0014]因此可以提高控制設(shè)備的能量效率,因?yàn)橹豁殞?shí)施總體上少得多的計(jì)算��,這是因?yàn)榘踩R界輸出數(shù)據(jù)�、即輸出數(shù)據(jù)的第一群組的數(shù)據(jù)出現(xiàn)得比其他輸出數(shù)據(jù)少得多,所述其他輸出數(shù)據(jù)可以被分類在與輸出數(shù)據(jù)第一群組元素相異(elementfremd)的輸出數(shù)據(jù)第二群組中�。對(duì)于極其經(jīng)常出現(xiàn)的第二群組的全部輸出數(shù)據(jù),不會(huì)出現(xiàn)冗余的第二次確定���。由此另外也會(huì)減少控制設(shè)備的熱排放并且理想地僅需要較少的硬件部件,從而也可以減少所述控制設(shè)備的重量��。但是所述控制設(shè)備的各部件的單個(gè)成本也會(huì)減少��,由此原則上只需要較小的總功率���。所述控制設(shè)備的滿載度明顯減小�����。
[0015]在所述運(yùn)行方法用于圖像處理控制設(shè)備和/或機(jī)動(dòng)車控制設(shè)備時(shí)本發(fā)明的優(yōu)點(diǎn)特別明顯地顯露出來(lái)�。例如如果通過機(jī)動(dòng)車的圖像處理控制設(shè)備對(duì)特別是朝向機(jī)動(dòng)車前方區(qū)域定向的攝像機(jī)的圖像進(jìn)行分析����,則存在較高的計(jì)算成本���,其中例如被檢查的假設(shè)的相當(dāng)大一部分都會(huì)導(dǎo)致不存在危險(xiǎn)/危險(xiǎn)狀況的結(jié)果。但是��,如果所有這些計(jì)算都冗余地���、最終即雙重地實(shí)施���,則構(gòu)成龐大的計(jì)算成本,該計(jì)算成本在本發(fā)明的框架內(nèi)可以明顯減少�����,這是因?yàn)樗惴ǖ陌踩R界結(jié)果或輸出數(shù)據(jù)特別少����,從而實(shí)際在第二次確定的范圍內(nèi)僅須檢查所述計(jì)算的相當(dāng)小的一部分。因此�����,所需計(jì)算量的近似減半并因此能量效率的相應(yīng)改善可以在圖像處理控制設(shè)備中實(shí)現(xiàn)并且被視為特別有利����。此外��,在機(jī)動(dòng)車中普遍得到明顯改善�����,因?yàn)樵谀抢镄枰騼?yōu)選一種特別緊湊的����、能量效率高的并且冷卻密集少的構(gòu)造方式��。但是原則上也可以設(shè)想�����,不僅在其他交通工具例如空中交通工具中���,而且例如在醫(yī)藥【技術(shù)領(lǐng)域】(其中也經(jīng)常涉及到圖像處理)中例如在放射線照相術(shù)的領(lǐng)域中將根據(jù)本發(fā)明的方法用于其他系統(tǒng)的控制設(shè)備。
[0016]如已經(jīng)說過的���,可以使用對(duì)通過動(dòng)作器的干預(yù)進(jìn)行描述的輸出數(shù)據(jù)和/或?qū)е峦ㄟ^動(dòng)作器的干預(yù)的輸出數(shù)據(jù)和/或安全臨界輸出數(shù)據(jù)作為第一群組的輸出數(shù)據(jù)��。特別是總是當(dāng)發(fā)生相關(guān)部件即動(dòng)作器的實(shí)際驅(qū)控時(shí)�,或者一般來(lái)說,當(dāng)獲得安全臨界輸出數(shù)據(jù)時(shí)�����,進(jìn)行檢查�,就是說恰好在檢查很重要的情況下進(jìn)行檢查。因此通過根據(jù)本發(fā)明的方法基本上避免了例如在緊急制動(dòng)系統(tǒng)中對(duì)用戶而言帶來(lái)對(duì)整個(gè)系統(tǒng)的疑惑的誤觸發(fā)和類似情況�,同時(shí)在不構(gòu)成誤觸發(fā)風(fēng)險(xiǎn)的非安全臨界情況下節(jié)省檢查。
[0017]關(guān)于最終是冗余計(jì)算的第二次確定可以設(shè)想不同可能性��,其允許有意義的檢查�����。因此可以規(guī)定���,輸出數(shù)據(jù)的第二次檢查在使用相同硬件但使用不同算法的情況下進(jìn)行���。因此在這種情況下,特別是在存儲(chǔ)器裝置中存儲(chǔ)同樣適用于確定輸出數(shù)據(jù)的第二算法�。如果現(xiàn)在出現(xiàn)第一群組的輸出數(shù)據(jù),并且僅在出現(xiàn)第一群組的輸出數(shù)據(jù)時(shí)���,調(diào)用第二算法以便實(shí)現(xiàn)輸出數(shù)據(jù)的第二次確定和相應(yīng)的檢查�����。因此可以以不同的方式/途徑得到相同的結(jié)果��,從而得到合宜的檢查���。
[0018]此外在本發(fā)明的框架下還可以�,為輸出數(shù)據(jù)的第二次檢查而使用至少一個(gè)冗余的硬件部件��,特別是另一處理器�。顯然也可設(shè)想額外使用另一種算法即第二算法。通過這種方式也可以檢測(cè)到同樣在結(jié)果中表現(xiàn)出來(lái)的處理器錯(cuò)誤��。當(dāng)使用具有多個(gè)處理器的多核環(huán)境�����,例如雙核環(huán)境�����、四核環(huán)境或三核環(huán)境時(shí)�,其他處理器的使用例如是合宜的�。然后可以有針對(duì)性地委托另一處理器執(zhí)行所述已經(jīng)導(dǎo)致第一群組的輸出數(shù)據(jù)的運(yùn)算����。
[0019]此外在本發(fā)明的一種有利的設(shè)計(jì)方案中可以規(guī)定�,在所述檢查之后和第二次確定之前進(jìn)行至少一個(gè)參與第一次確定和/或第二次確定的硬件部件的自我測(cè)試。這種對(duì)于大多數(shù)硬件部件在現(xiàn)有技術(shù)中已知的自我測(cè)試的結(jié)果也可以在檢查輸出數(shù)據(jù)時(shí)被考慮���。這種自我測(cè)試可以特別快速地例如在I毫秒內(nèi)實(shí)施��,并且可以相應(yīng)地被添加���。
[0020]在根據(jù)本發(fā)明的方法的一種改進(jìn)方案中,可以在所述檢查之后和第二次確定之前檢查在存儲(chǔ)器裝置中存儲(chǔ)的算法的完整性和/或在存儲(chǔ)器裝置中存儲(chǔ)的至少一個(gè)輸入數(shù)據(jù)的完整性���。因此也可以設(shè)想���,檢查數(shù)據(jù)一一特別是與算法特別是軟件有關(guān)的數(shù)據(jù)和/或輸入數(shù)據(jù)——是否存在有例如由于存儲(chǔ)器裝置中的錯(cuò)誤而出現(xiàn)的錯(cuò)誤。為此例如可以規(guī)定����,為檢查數(shù)據(jù)完整性而使用測(cè)試值和/或使用CRC方法和/或ECC方法。測(cè)試值特別是測(cè)試和在現(xiàn)有技術(shù)中已經(jīng)廣泛已知并且現(xiàn)在也可以用來(lái)檢查數(shù)據(jù)完整性�。循環(huán)冗余校驗(yàn)(cyclic redundancy check,CRC)是一種已知的方法,該方法確定數(shù)據(jù)的測(cè)試值,以便可以在進(jìn)行傳輸和存儲(chǔ)時(shí)識(shí)別錯(cuò)誤。ECC存儲(chǔ)器是一種已知的存儲(chǔ)器形式�,其可以檢測(cè)并且改正內(nèi)部數(shù)據(jù)損壞。在此可以檢測(cè)并改正單比特錯(cuò)誤���。
[0021]由于在根據(jù)本發(fā)明的方法中僅在通過輸出數(shù)據(jù)確定出必須進(jìn)行第二次確定時(shí)才開始第二次確定���,因此到實(shí)際檢查安全臨界計(jì)算之前出現(xiàn)了一定的等待時(shí)間/延遲時(shí)間。但是在根據(jù)本發(fā)明的方法中也可以設(shè)想將所述等待時(shí)間最小化的可能性����。因此可以在一種實(shí)施例中規(guī)定,在存儲(chǔ)器裝置中一直保留有用于第二次確定的至少一個(gè)中間結(jié)果和/或所述至少一個(gè)輸入數(shù)據(jù)����,特別是保留到?jīng)Q定不進(jìn)行第二次確定為止,和/或到借助第二次確定的結(jié)果進(jìn)行的檢查結(jié)束為止���。因此至少直到清楚是否還需要輸入數(shù)據(jù)為止���,都應(yīng)該在控制設(shè)備的存儲(chǔ)器裝置中保留該輸入數(shù)據(jù)。因此不必費(fèi)力地重新獲取數(shù)據(jù)而是直接重新完整地處理數(shù)據(jù)���。該實(shí)施例可以有利地與通過適當(dāng)方法進(jìn)行的數(shù)據(jù)完整性的檢查相結(jié)合。
[0022]在一種特別有利的實(shí)施例中�����,可以將第二次確定限制在這樣的計(jì)算過程上,即:該計(jì)算過程導(dǎo)致確定屬于第一群組的輸出數(shù)據(jù)���。也就是說�����,并非輸入數(shù)據(jù)的整個(gè)計(jì)算都必須是強(qiáng)制安全臨界的����,從而冗余計(jì)算即第二次確定可以限制在實(shí)際上安全臨界的那部分上���。換句話說���,本發(fā)明建議,用于檢查的第二次確定盡可能部分地或減少地實(shí)施�,其方法為:僅實(shí)際上重復(fù)實(shí)際對(duì)于第一群組的輸出數(shù)據(jù)負(fù)責(zé)的計(jì)算過程,從而在此可以顯著節(jié)省時(shí)間�����。
[0023]在圖像處理的示例中這意味著,當(dāng)如上所述將圖像分析劃分為各個(gè)假設(shè)時(shí)��,僅須檢驗(yàn)最臨界的假設(shè)���,即已經(jīng)導(dǎo)致輸出數(shù)據(jù)并且在必要時(shí)需要干預(yù)的假設(shè)����。因此不是重復(fù)整個(gè)輸入圖像的整個(gè)分析�����,而是最終僅重復(fù)決定性的假設(shè)����。總之就是說����,在為圖像處理而設(shè)計(jì)的、利用假設(shè)進(jìn)行工作的控制設(shè)備中僅檢查已確認(rèn)的��、導(dǎo)致輸出數(shù)據(jù)的假設(shè)��。
[0024]在此在根據(jù)本發(fā)明的方法中顯然可以額外規(guī)定�,輸出數(shù)據(jù)僅在通過檢查確認(rèn)時(shí)才繼續(xù)使用���。這意味著��,僅當(dāng)兩次確定即計(jì)算過程提供相同的輸出數(shù)據(jù)時(shí)(其中顯然在必要時(shí)在連續(xù)的數(shù)值下可以給出公差范圍)���,才實(shí)際使用輸出數(shù)據(jù)例如用以觸發(fā)動(dòng)作器等的干預(yù)�。
[0025]除了上述方法�����,本發(fā)明還涉及一種控制設(shè)備���,其被設(shè)計(jì)用于通過控制硬件和控制軟件實(shí)施根據(jù)本發(fā)明的方法��。關(guān)于根據(jù)本發(fā)明的方法的全部實(shí)施形式都可以類似地移用到根據(jù)本發(fā)明的控制設(shè)備上�,利用該控制設(shè)備因此也可以得到本發(fā)明的優(yōu)點(diǎn)�����。
[0026]根據(jù)本發(fā)明的控制設(shè)備在此優(yōu)選包括至少一個(gè)處理器和至少一個(gè)存儲(chǔ)器裝置�,其中,總體上可以節(jié)省硬件和/或軟件或者更有能量效率地進(jìn)行設(shè)計(jì)��。根據(jù)本發(fā)明的控制設(shè)備尤其為圖像處理控制設(shè)備,其還可以裝在機(jī)動(dòng)車中����。根據(jù)本發(fā)明的控制設(shè)備可以在機(jī)動(dòng)車中構(gòu)成安全系統(tǒng)和/或駕駛員輔助系統(tǒng)的一部分,其中��,所述控制設(shè)備例如可以對(duì)作為輸入數(shù)據(jù)的����、設(shè)置在機(jī)動(dòng)車中的攝像機(jī)的圖像例如在即將發(fā)生的碰撞等方面進(jìn)行分析。
[0027]因此在本發(fā)明的框架內(nèi)可以制造一種機(jī)動(dòng)車���,其包括至少一個(gè)安全系統(tǒng)和/或駕駛員輔助系統(tǒng)��,所述系統(tǒng)配設(shè)有根據(jù)本發(fā)明的控制設(shè)備���。如上所述,正是在機(jī)動(dòng)車中可以特別明顯地看到本發(fā)明的優(yōu)點(diǎn)�。
【專利附圖】
【附圖說明】
[0028]本發(fā)明的其他優(yōu)點(diǎn)和細(xì)節(jié)由下面描述的實(shí)施例以及借助附圖得出。其中:
[0029]圖1示出根據(jù)本發(fā)明的方法的流程圖���,
[0030]圖2示出根據(jù)本發(fā)明的控制設(shè)備��,并且
[0031]圖3示出一種機(jī)動(dòng)車�。【具體實(shí)施方式】
[0032]圖1示出本發(fā)明的一種實(shí)施例的原理流程圖����,該流程圖涉及一種用于運(yùn)行控制設(shè)備的方法,該方法在所述控制設(shè)備本身中實(shí)現(xiàn)��。在此總是僅當(dāng)實(shí)際存在安全臨界結(jié)果時(shí)才實(shí)施冗余計(jì)算以檢查輸出數(shù)據(jù)��,安全臨界結(jié)果的存在借助至少一個(gè)輸出數(shù)據(jù)屬于輸出數(shù)據(jù)的第一群組來(lái)檢查�,所述第一群組并不包含全部可能的輸出數(shù)據(jù)�,而是僅包括安全臨界輸出數(shù)據(jù),此處為描述一種干預(yù)或?qū)е赂深A(yù)的輸出數(shù)據(jù)�����。此處作為實(shí)施例描述的控制設(shè)備是機(jī)動(dòng)車的一種圖像處理控制設(shè)備���,其配屬于安全系統(tǒng)�。例如安全系統(tǒng)可以是行人保護(hù)系統(tǒng)���,在該行人保護(hù)系統(tǒng)中檢查是否在機(jī)動(dòng)車的攝像機(jī)拍攝的圖像中可以看到位于臨界位置的行人�。如果是�����,則產(chǎn)生一輸出數(shù)據(jù),該輸出數(shù)據(jù)作為通過動(dòng)作器(執(zhí)行)的干預(yù)可以觸發(fā)緊急制動(dòng)和/或警報(bào)���。
[0033]在此在圖像處理的框架內(nèi)單個(gè)檢查各種不同的假設(shè)�,例如在一特定圖像片段上可以以何種程度看到特定尺寸的人��。如果特定的假設(shè)適用�����,則控制設(shè)備得出結(jié)論“需要干預(yù)”�����。借助為進(jìn)行圖像處理而設(shè)置的算法得到的控制設(shè)備計(jì)算結(jié)果因此是一個(gè)輸出數(shù)據(jù)����,其在多數(shù)情況下指示為無(wú)危險(xiǎn),但是當(dāng)確定有行人位于危險(xiǎn)位置時(shí)���,輸出數(shù)據(jù)就是要求干預(yù)的輸出數(shù)據(jù)���。
[0034]在此根據(jù)圖1在步驟I中確定實(shí)際的輸出數(shù)據(jù)����。
[0035]在步驟2中檢查:該輸出數(shù)據(jù)是屬于輸出數(shù)據(jù)的第一群組還是非安全臨界的輸出數(shù)據(jù)的第二群組���。如果該輸出數(shù)據(jù)屬于第一群組���,如箭頭3所示,則開始輸出數(shù)據(jù)的第二次確定�����,以便可以對(duì)該輸出數(shù)據(jù)進(jìn)行檢查��。如果該輸出數(shù)據(jù)不屬于輸出數(shù)據(jù)的第一群組���,則通過算法,如箭頭4所示�,以新的輸入數(shù)據(jù)即攝像機(jī)的下一張圖像重新確定新的輸出數(shù)據(jù)。
[0036]在步驟5中現(xiàn)在首先對(duì)所有為第一次確定和隨后的第二次確定所需的控制設(shè)備部件進(jìn)行自我測(cè)試���。如果這里已經(jīng)出現(xiàn)錯(cuò)誤�����,則這就是錯(cuò)誤的安全臨界輸出數(shù)據(jù)的標(biāo)志�。
[0037]在步驟6中,在可能的存儲(chǔ)器錯(cuò)誤方面檢查所有參與數(shù)據(jù)的數(shù)據(jù)完整性�����。首先要注意的是�,在相應(yīng)的存儲(chǔ)器裝置中一直保留輸入數(shù)據(jù)和必要時(shí)所需的中間結(jié)果,直到清楚該輸入數(shù)據(jù)和中間結(jié)果不再被第二次確定所需要或者第二次確定已結(jié)束?���,F(xiàn)在可以檢查這些數(shù)據(jù),例如借助測(cè)試值或測(cè)試和�����,特別是通過CRC方法�����。但是這同樣也適用于要使用的算法的被存儲(chǔ)的軟件��,這意味著���,相應(yīng)的編碼存儲(chǔ)器也可以在控制設(shè)備中進(jìn)行檢查���。不存在數(shù)據(jù)完整性也是安全臨界輸出數(shù)據(jù)有錯(cuò)誤的明顯標(biāo)志��。
[0038]在步驟7中然后實(shí)施第二次確定��,為此可以設(shè)想本發(fā)明框架內(nèi)的多種變型方案�。因此在該實(shí)施例中一方面可以�����,使用相同的硬件特別是至少一個(gè)相同的處理器����,但是使用與在輸出數(shù)據(jù)的第一次確定的框架內(nèi)所使用的算法不同的算法。但是也可以����,委托至少一個(gè)處理器(不管它是冗余設(shè)置的還是出于其他原因例如在多核系統(tǒng)中不參與第一次確定)有針對(duì)性地實(shí)施第二次確定�����。顯然這里也可以使用另一種算法�。
[0039]但是在任何情況下都適用的是,僅檢查實(shí)際導(dǎo)致輸出數(shù)據(jù)的那部分計(jì)算,當(dāng)前因此是指已經(jīng)導(dǎo)致第一群組的輸出數(shù)據(jù)的假設(shè)��。如果在作為輸入數(shù)據(jù)的實(shí)際圖像被處理之前便已知所述假設(shè)的位置或編號(hào)�����,則僅額外需要用于檢驗(yàn)這一假設(shè)的計(jì)算成本或計(jì)算時(shí)間����。因此第二次確定被限制在上次計(jì)算過程的安全臨界部分上。
[0040]在步驟8中然后考慮表示第一群組的輸出數(shù)據(jù)的最終檢查的標(biāo)準(zhǔn)���。這顯然也可以考慮步驟5和6的結(jié)果�。僅當(dāng)確定了在第一次確定和第二次確定中計(jì)算得出的輸出數(shù)據(jù)(必要時(shí)在一公差范圍內(nèi))一致時(shí)����,該輸出數(shù)據(jù)才會(huì)根據(jù)步驟9被繼續(xù)使用,特別是����,其方式為:使該輸出數(shù)據(jù)在機(jī)動(dòng)車的總線系統(tǒng)上給出并且在那里例如通過動(dòng)作器觸發(fā)干預(yù)、例如制動(dòng)干預(yù)�,和/或?qū)е赂深A(yù)地在另一控制設(shè)備中被繼續(xù)處理。
[0041]圖2示出根據(jù)本發(fā)明的控制設(shè)備10的原理圖��。該控制設(shè)備除了連接機(jī)動(dòng)車的總線系統(tǒng)的接口 11之外還包括具有四個(gè)處理器13的四核(處理器)12。此外在根據(jù)圖2的實(shí)施例中還設(shè)置有兩個(gè)存儲(chǔ)器裝置14和15��,其中存儲(chǔ)器裝置14用于存儲(chǔ)數(shù)據(jù)�,特別是也存儲(chǔ)輸入數(shù)據(jù)16。存儲(chǔ)器裝置15是一個(gè)代碼存儲(chǔ)器�����,在該代碼存儲(chǔ)器中存儲(chǔ)有在確定輸出數(shù)據(jù)和實(shí)施本發(fā)明方法的框架內(nèi)所使用的算法17��。
[0042]為機(jī)動(dòng)車的安全系統(tǒng)配設(shè)的圖像處理控制設(shè)備10通過相應(yīng)的控制硬件和控制軟件被設(shè)計(jì)用于實(shí)施根據(jù)本發(fā)明的方法�,從而在那里運(yùn)行根據(jù)圖1的本發(fā)明方法的實(shí)施例。
[0043]圖3示例性地示出控制設(shè)備10在機(jī)動(dòng)車18中的使用���,所述控制設(shè)備在該機(jī)動(dòng)車中配屬于一個(gè)安全系統(tǒng)��。機(jī)動(dòng)車18具有朝向機(jī)動(dòng)車18的前方區(qū)域定向的攝像機(jī)19�����,該攝像機(jī)將其圖像數(shù)據(jù)作為輸入數(shù)據(jù)傳輸?shù)娇刂圃O(shè)備10上。通過總線系統(tǒng)20例如CAN總線����,控制設(shè)備10可以與其他車輛系統(tǒng)特別是動(dòng)作器進(jìn)行通信,其中在此為了舉例而示出制動(dòng)系統(tǒng)21和為警報(bào)而設(shè)計(jì)的指示裝置22,它們可以作為動(dòng)作器分析控制設(shè)備10的輸出數(shù)據(jù)�����。
【權(quán)利要求】
1.一種用于運(yùn)行將至少一個(gè)輸入數(shù)據(jù)借助算法(17)處理成至少一個(gè)輸出數(shù)據(jù)的控制設(shè)備(10)的方法����, 其特征在于, 確定一輸出數(shù)據(jù)��,然后檢查該輸出數(shù)據(jù)是否包含在不包括全部可能的輸出數(shù)據(jù)的第一群組中�����,然后僅在輸出數(shù)據(jù)包含在第一群組中的情況下進(jìn)行所述輸出數(shù)據(jù)的第二次確定��,以對(duì)所述輸出數(shù)據(jù)進(jìn)行檢查�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于����,將對(duì)通過動(dòng)作器的干預(yù)進(jìn)行描述的輸出數(shù)據(jù)和/或?qū)е峦ㄟ^動(dòng)作器的干預(yù)的輸出數(shù)據(jù)和/或安全臨界的輸出數(shù)據(jù)用作為第一群組的輸出數(shù)據(jù)。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于���,所述控制設(shè)備(10)是圖像處理控制設(shè)備(10)和/或機(jī)動(dòng)車(18)的控制設(shè)備(10)�。
4.根據(jù)前述權(quán)利要求之一所述的方法,其特征在于�,所述輸出數(shù)據(jù)僅在通過所述檢查確認(rèn)了的情況下被繼續(xù)使用。
5.根據(jù)前述權(quán)利要求之一所述的方法����,其特征在于,所述輸出數(shù)據(jù)的第二次確定在使用同樣硬件但使用另一算法(17)的情況下進(jìn)行��,或者將至少一個(gè)特別是冗余的硬件部件——特別是另一處理器(13)——用于所述輸出數(shù)據(jù)的第二次確定��。
6.根據(jù)前述權(quán)利要求之一所述的方法�,其特征在于,在所述檢查之后和第二次確定之前執(zhí)行參與了第一次確定和/或第二次確定的至少一個(gè)硬件部件的自我測(cè)試�����。
7.根據(jù)前述權(quán)利要求之一所述的方法�����,其特征在于�,在所述檢查之后和第二次確定之前對(duì)存儲(chǔ)在存儲(chǔ)器裝置(15)中的算法(17)的完整性和/或存儲(chǔ)在存儲(chǔ)器裝置(14)中的至少一個(gè)輸入數(shù)據(jù)的完整性進(jìn)行檢查。
8.根據(jù)權(quán)利要求7所述的方法�,其特征在于,為檢查數(shù)據(jù)完整性而使用測(cè)試值和/或使用CRC方法和/或ECC方法���。
9.根據(jù)前述權(quán)利要求之一所述的方法�,其特征在于�����,特別是直到?jīng)Q定不進(jìn)行第二次確定為止和/或直到借助第二次確定的結(jié)果進(jìn)行的檢查結(jié)束為止����,在存儲(chǔ)器裝置(14)中一直保留用于第二次確定的至少一個(gè)中間結(jié)果和/或所述至少一個(gè)輸入數(shù)據(jù)。
10.根據(jù)前述權(quán)利要求之一所述的方法�,其特征在于,將第二次確定限制在這樣的計(jì)算過程上��,即:該計(jì)算過程為確定屬于第一群組的輸出數(shù)據(jù)構(gòu)成原因��。
11.根據(jù)權(quán)利要求10所述的方法����,其特征在于,在為圖像處理而設(shè)計(jì)的�、利用假設(shè)進(jìn)行工作的控制設(shè)備(10)中僅檢查已確認(rèn)的、導(dǎo)致所述輸出數(shù)據(jù)的假設(shè)�����。
12.—種控制設(shè)備(10),該控制設(shè)備被設(shè)計(jì)用于通過控制硬件和控制軟件實(shí)施根據(jù)前述權(quán)利要求之一的方法�����。
【文檔編號(hào)】G05B9/03GK103576545SQ201310323814
【公開日】2014年2月12日 申請(qǐng)日期:2013年7月30日 優(yōu)先權(quán)日:2012年7月31日
【發(fā)明者】S·文德爾, A·克萊因佐格 申請(qǐng)人:奧迪股份公司