用于控制驾驶功能的方法和设备与流程

1.本发明涉及一种用于控制驾驶功能的方法。本发明此外涉及相应的设备、相应的计算机程序和相应的存储介质。


背景技术：

2.在us2019047579 a1中描述涉及提供高功能安全性的方法和设备。在一种实施方式中，主核（master-kern）执行一个或多个操作，以便支持驾驶员辅助系统或自主驾驶，其中所述主核在一定程度上“以同步的方式”（lockstep（锁步））与从核（slave-kern）耦合。主核和从核接收相同的输入信号，并且所述紧密耦合的核逻辑引起：响应于主核的第一输出和从核的第二输出的比较而产生信号。所产生的信号作为对于第一输出和第二输出之间的不一致性的响应而导致所述一个或多个操作的中断。其他实施方式同样被公开并要求得到保护。
3.在根据us2018370540a1的自行式自主车辆中，控制架构在同一箱中包括多个处理器。每个处理器均监控其他处理器并且在需要时采取适当的安全措施。一些处理器可能执行具有低优先级的休眠状态的（ruhend）或冗余的功能，当确定出另一处理器发生了故障，所述具有低优先级的休眠状态的或冗余的功能则变成激活的。这些处理器彼此无关地被供电并且彼此无关地执行从传感器数据处理直至具有不同硬件功能的操作指令的冗余算法。硬件和软件多样性改善错误容限（fehlertoleranz）。
4.根据us2019334706a1的自主驾驶控制装置包括多个并行处理器，这些处理器使用从多个自主驾驶传感器接收的共同的输入数据来工作。多个并行处理器中的每一个均包括通信电路、通用处理器、安全处理器子系统（scs）和安全子系统（sms）。通信电路支持并行处理器之间的通信，包括并行处理器的通用处理器之间的通信、在使用scs密码的情况下在并行处理器的安全处理器子系统之间的通信以及在使用sms密码的情况下在并行处理器的安全子系统之间的通信在内，其中sms密码与scs密码不同。scs和sms可以分别包含专用硬件并且尤其是包含存储器，以便支持通信。


技术实现要素：

5.本发明提供根据独立权利要求所述的用于控制驾驶功能的方法、相应的设备、相应的计算机程序以及相应的存储介质。
6.根据本发明的方案基于以下认识：用于安全的计算单元的典型安全机制也必须在云中被实现，以便也能够在这里在功能上安全地处理数据。针对逻辑单元中的随机硬件错误或用于处理逻辑指令集的典型解决方案是在时钟驱动的（getakt）计算机中通过同构（homogen）冗余计算单元进行同构并行冗余处理。由独立的单元对这些计算单元进行比较。在云中，存储器是易失性的、但也是非易失性的存储器（ram、rom、cache等），并且整个数据控制（处理程序、多路复用（multiplex）等）对用户来说并不是透明的和可访问的，所以这些存储器正如硬件本身那样不能直接被监控。因此，必须以加密的形式将数据发送到存储器
中以及从存储器发送出数据。出于安全原因，这种e2e防护在云中已经是常见的。为了技术安全地使用所述数据，还必须在运行时间连续地监控这些e2e措施。由此也可以确保数据彼此的不相关性（unabh
ä
ngigkeit），使得可以监控所谓的共同原因（common cause）（即两个要比较的通道的相关的错误）。
7.为了实现肯定的比较，输入数据也必须被同步和比较。这同样适用于输出数据，所述输出数据时间同步地被同步和比较以进行进一步处理。这样的时钟驱动的冗余控制单元通常被称为锁步控制器。在云中，e2e防护于是也在相应的锁步比较中同样被检查。
8.锁步首先用于：能够监控计算单元（alu，算术逻辑单元（arithmetic logic unit））中的偶发的（sporadisch）和随机的错误。通过可以使用不同的语义和编码并且将所述语义和编码输送给锁步并且可以将所述语义和编码引入到e2e监控中，在运行时间期间偶发系统错误也变得可检测。通过所述语义和编码，也实现如下诊断，所述诊断使得能够推断出错误原因。从而可以选择性地对待有错误的信息和数据包，并且也可以执行“优雅降级（graceful degradation）”、即有条件降级。
9.由于时间同步，传统的锁步控制器比普通的单核计算机更缓慢。此外，所述传统的锁步控制器通常具有以下缺点：通过比较只能确定信息彼此间的可能偏差，而不能确定冗余计算机中的哪一个是有错误的。响应于两个计算单元的输出数据的否定比较，这两个计算单元因此通常被关断。因此，该单元是较不可用的。此外，操作的所有结果大多都被包括在该比较之内。
10.为了实现进一步的运行时间优化和可用性优化，锁步比较装置也可以被构造为表决器（voter）。在这里于是可以比较3个源，于是2个正确的相同信息就已经足以能够标识相关错误。从而首先相同的对可以作为“安全信息”被传递用于进行处理。从而第三通道中的错误可以被容忍或也被使用用于对于系统性能的诊断和用于优化。
11.在此背景下，所提出的解决方案的优点在于：仅比较安全相关的数据并且将所述安全相关的数据优选地贯彻到底地（durchg
ä
ngig）（端到端（end to end），e2e）以受防护的方式输送给比较装置。从而也可以标识错误的源。例如，autosar标准提供相关的控制字段和安全机制。
12.通过在从属权利要求中列出的措施，在独立权利要求中说明的基本思想的有利改进和改善是可能的。因此可以规定，输入数据也配备有控制字段并且在所述控制字段不一致的情况下被丢弃。相应的设计考虑以下情况：在云计算机中附加地存在外部黑客和外来数据流可能到达这样的计算单元的风险。因此，不仅在计算单元和比较装置之间的数据流在每个步骤（step）中都必须充分地鉴于不相关性被监控，而且输入数据也必须被屏蔽免受外部影响。
13.用于基本功能计算的所有数据（用于交通控制（verkehrssteuerung）的所有模型、诊断数据等）都可以在云中以最高性能正常地被计算。所有安全相关的数据都可以以加密的方式并行地从过程中被截取并且被比较。然后也可以立刻将基本数据转发给进行进一步处理的单元，并且只有在成功的锁步比较之后，才通过比较装置激活相关的安全属性用于进一步处理。从而提高信息可用性并且补偿了相比于单核而言锁步比较关于时间方面的缺点。
附图说明
14.本发明的实施例在附图中示出并且在以下描述中更详细地予以阐述。其中：图1示出锁步的基本结构。
15.图2示出具有输入和输出数据流的三个服务器。
16.图3示出针对不同车辆技术安全要求等级（automotive safety integrity level（汽车安全完整性等级）, asil）上的数据的多级锁步原理。
17.图4示出锁步原理在kubernetes集群中的实施。
18.图5示出逻辑锁步功能的uml序列图。
19.图6示出在副本（replicas）之间以e2e防护进行的数据交换。
20.图7示出在独立的、特别受防护的容器中高可用度的锁步应用程序的示例。
具体实施方式
21.图1图解具有根据本发明的功能的计算机网络（rechnerverbund）（集群（cluster））。这些基本功能在两个不同的服务器（31、32）上同构冗余地被执行，其结果由独立的比较装置（vergleicher）（25；以下也称为“比较器（komparator）”）进行比较。为了进一步提高锁步的可用性，可以给计算机网络补充第三同构冗余服务器（33），以使其成为按照iec 61508的具有“2oo3”架构的容错调节系统（regelsystem）。如果在这样的架构中两个结果一致，则转发一致的信息。
22.控制程序（任务调度程序（task scheduler），23）设置处理步骤。如果结果相互偏差，那么按照常规方法只能丢弃这些数据；在这种情况下，这两个计算核通常通过所谓的看门狗被关断。相反，根据本发明的方法则追求以下目标：标记有错误的数据本身并且因此维持数据流。此外，要比较的数据应该被减少为基本的（wesentlich）安全信息。
23.如图2所阐明的，给所有三个服务器（31、32、33）输送相同的输入数据（11）。为了实现尽可能大的不相关性，所有外部的和服务器内部的数据流都应该贯彻到底地被防护。在第一处理步骤中应该确保，在相同的时间点检测所有服务器（31、32、33）的输入数据（11），以便使比较基于统一的数据状态（datenstand）。
24.在为了发送而对输出数据（15）进行编制（aufbereiten）之前，在输入数据（11）的所述同步之后是实际的逻辑数据处理。通常，这三个处理步骤时钟同步地运行，这与单核系统相比而言决定性地延长了锁步系统的运行时间。
25.通过根据本发明的e2e防护还考虑在云中分布式处理的特殊挑战，其方式是：使得对锁步系统的所有相关影响均导致有用数据和e2e控制字段之间的不一致，并且使其例如在循环冗余检验或其他安全性检验的范畴内可以被检测。只要服务器（31、32、33）的输出数据（15）相同，也可以将所述输出数据传输给后续的计算单元或车辆。即使在通信的范畴内运行时间波动或数据丢失的情况下，也已经可以将第一个到来的包考虑用于安全的驾驶功能。
26.原则上，如在本地服务器上那样，也可以在云中例如借助于docker（码头工人）通过容器虚拟化实现虚拟计算单元的分离。在这种情况下，每个应用程序容器都用作独立的计算单元。通常，并非这种计算单元的所有数据和功能都是安全相关的；因此，要处理的输入数据（11）的量可以通过限制于安全相关数据而被减少。
processing），在所述编码处理过程中，仅以锁步方法比较编码，并且无延迟地转发评价为正确的数据。
36.图7示出方法（10）的一种可能的变型方案。尤其是在输出的情况下，比较装置（25-图1）也可以附加地比较时间戳并且从而比较给所述比较装置输送（17）输出数据（15）的时间点。在实时系统的情况下，此外可以在这一点检查数据是否及时地被输送（17）给比较器（25-图1）。如果数据及其控制字段或签名在比较中证明为不正确的，则这种延迟的认识尽管如此仍能够被转发给另一计算单元并且被配备（20）明确的签名，所述签名将该结果（24-图1）标记为延迟的，但不标记为在内容上是错误的。该提示在有关系统中通常导致降级。在软实时应用中，也可以容忍这样的结果（24-图1）。
37.比较器（25-图1）还可以异步地检查所有特征；因此可以例如以在逻辑上不同地分级的方式检查数据、签名和时间戳的比较，使得只有在执行所有比较和检查之后才以时间偏移的方式发送最高安全等级上的最终结果（24-图1）。