[发明专利]有效保障控制设备的安全临界功能的方法和控制设备

说明书

技术领域

本发明涉及一种用于运行控制设备的方法，该控制设备将至少一个输入数据借助算法处理成至少一个输出数据。

背景技术

控制设备在现有技术中例如在陆上和/或空中交通工具中以及医药技术中已经广泛公知。所述类型的控制设备大多分配有特定的功能并且借助算法将输入数据例如传感器信号和/或准备好的传感器数据处理为输出数据，所述输出数据用于其他控制目的并且例如通过总线向动作器传输以直接导致干预，在交通工具中例如为制动干预等，和/或由其他中间连接的控制设备来处理，以便确定动作器上的干预进而控制指令的必要性。

控制设备通常也用于安全临界信息，例如在机动车中作为安全系统和自动或半自动驾驶员辅助系统的控制设备。安全临界功能是在某种（很大）程度上危及该控制设备所在的系统（例如机动车）的整体安全性的功能。因此存在一些标准以满足在控制设备的输出数据的安全性和合理性方面的需求。对于机动车例如建立了标准ISO 26262（“道路车辆-功能安全性”），这是一个用于机动车中与安全相关的电气和/或电子系统的ISO标准。通过实施该标准应该保证具有本发明所述类型的控制设备的系统的功能安全性。

在现有技术中已知，在用于安全临界功能的控制设备中使用检查措施，从而使在确定输出数据时的错误尽可能地在错误地继续应用该输出数据之前被识别出。这些措施大多应该识别出偶然误差，例如“单比特错误”（SBE）或“单粒子翻转”（SEU），并因此在出现错误的情况下禁止安全临界情形。例如在自动紧急制动系统中应该阻止电子故障导致触发不必要的紧急制动。

具体地为此已知，在临界位置处双重地（例如步调一致地）设计所使用的硬件和/或所使用的软件，从而可以通过冗余计算识别出电子故障。例如建议，设置至少一个额外的处理器，该处理器（特别是轻度时间延迟地）在必要时在使用另一算法的情况下为使用者最初不可见地同样确定该至少一个输出数据。如果输出数据不一致，则判断出出错。检查措施也可以包括参与的硬件部件的循环的自我测试。

所有这些在现有技术中已知的措施在软件层面和/或硬件层面上都是非常资源紧凑的，从而增加了控制设备的成本并且降低了控制设备的工作效率，特别是考虑到，由于额外工作的硬件部件和额外的计算步骤，造成提高的热生成和更高的能量需求。这些缺陷在图像处理控制设备中特别明显地显露出来。如果例如要在摄像机的图像中发现特定的图形，例如人，就会给出极其复杂的计算过程，该计算过程通常被划分为多个所谓的假设，例如，特定尺寸的人在特定的图像区域内的可能性有多大等。既然这种控制设备结构必须紧凑，则在非常小的空间内必须实现非常大量的计算，理想的是以纯被动冷却的方式实现。这种图像处理控制设备例如在机动车中使用，以便分析对机动车前方进行拍摄的摄像机的数据。

DE 10 2008 060 011 A1涉及一种安全控制装置和一种用于控制自动化设备的方法，所述自动化设备包括多个传感器和多个动作器。在此要可以简单灵活地指示出系统状态。为此由诊断分析单元产生运行状态数据组，该运行状态数据组代表确定的运行状态，并且该诊断分析单元与用于指示诊断报告的指示单元的接口相连接。布尔代数的状态指示器可以驱控动作器、例如报警信号灯或蜂鸣器。此处的应用程序包括安全控制模块和标准控制模块，所述安全控制模块根据与安全相关的控制输入信号产生与安全相关的控制输出信号，而所述标准控制模块将其他控制输入信号转换为控制输出信号。

DE 102 309 026 B4涉及一种用于交通监控的方法和装置，其中对所产生的数字图像的与假设有关的交通图像序列进行定性分析和归一化/标准化，从而可以评估交通状况，特别是区别交通参与者的种类并识别道路交通密度。

发明内容

因此本发明的目的在于，提供一种用于控制设备的运行可能性，其在维持必需的安全需求的情况下可以提高控制设备的能量效率和功率效率和/或降低控制设备的成本。

为实现该目的，根据本发明，在开头所述类型的方法中，确定一输出数据，然后检查该输出数据是否包括在不包含全部可能的输出数据的第一群组中，然后仅在输出数据包括在第一群组中的情况下进行所述输出数据的第二次确定以检查所述输出数据。