车辆的安全运行

1.用于运行多个车辆(110)中的一个车辆(110)的方法(200)，包括如下步骤：
-通过中央机构(105)确定(205)在这多个车辆(110)中存在系统性功能故障，如果所述多个车辆(110)中的每个的相同的系统中存在功能故障，则存在所述系统性功能故障；
-在所述中央机构(105)和该车辆(110)之间提供(215)通讯连接(120、125)；
-将该车辆(110)的至少一个电子控制装置(135、140)置入(260)安全运行模式中，以便保证该车辆(110)的运行安全性。
2.根据前述权利要求所述的方法(200)，其中，将该车辆(110)的多个相互连接的电子控制装置(135、140)置入安全运行模式中，以便保证这些电子控制装置(135、140)的相互协调。
3.根据权利要求1或2所述的方法(200)，其中，所述安全运行模式包括部分地限制所述电子控制装置(135、140)的功能。
4.根据权利要求1或2所述的方法(200)，其中，所述安全运行模式包括使所述电子控制装置(135、140)去激活。
5.根据权利要求1或2所述的方法(200)，其中，只有在确定功能故障不能通过所述通讯连接(120、125)消除后，将所述电子控制装置(135、140)置入所述安全运行模式中。
6.根据权利要求1或2所述的方法(200)，其中，只有在确定在相关车辆(110)内出现功能故障后，将所述电子控制装置(135、140)置入所述安全运行模式中。
7.根据权利要求1或2所述的方法(200)，还包括在所述电子控制装置(135、140)被置入所述安全运行模式中之前，验证(220)所述车辆(110)处在停止状态中。
8.根据权利要求1或2所述的方法(200)，还包括将在所述电子控制装置(135、140)上已执行的改变传输至中央机构(105)的步骤(265)。
9.多个车辆(110)中的一个车辆(110)的车载电子控制装置(135、140)，包括：
-用于与中央机构(105)通讯连接(120、125)的接口(145)；
-其中，所述车载电子控制装置(135)设置用于在通过所述中央机构(105)确定在这多个车辆(110)中存在系统性功能故障后，被置入安全运行模式中，以便保证该车辆(110)的运行安全性。
10.根据权利要求9所述的车载电子控制装置(135、140)，其中，所述中央机构(105)是位置固定的并且所述通讯连接包括无线部分(125)。

车辆的安全运行\n技术领域\n[0001] 本发明涉及一种用于安全运行车辆的方法和装置。本发明尤其涉及一种用于控制车辆的车载电子控制装置的方法和所述电子控制装置。\n背景技术\n[0002] 在车辆中安装有多个电子控制装置(Electronic Control Unit，ECU)并且它们相互连接。针对这些连接可以使用点对点连接或数据总线。这些电子控制装置相互交换消息，以便以联合方式提供更好的功能。例如可以以防抱死系统和导航系统形式设置有两个电子控制装置，其中，车辆速度通过所述防抱死系统确定并且随后被提供给导航系统，以便可以实现给该导航系统的在预先确定的路线上的改善的目标引导。\n[0003] 如果在电子控制装置中一个电子控制装置的范围中有错误，那么其他电子控制装置可能在它们的运行中同样受限。在此，如果第一电子控制装置提供错误信息，那么往往比完全没有出现信息更糟糕。如果第一电子控制装置确定了一个不能自身消除的错误，那么它可以通过如下方式调动到安全运行状态中，即，该第一电子控制装置至少部分执行为其分配的功能。如果是发动机控制器，那么例如能够实现在低车辆速度情况下的紧急运行。\n[0004] 其他电子控制装置可以通过它们将自身带到安全运行模式中的方式作出反应，在这些安全运行模式中，这些其他电子控制装置分别以较小的失效风险执行它们的任务，但必要时仅部分地执行它们的任务。将这些电子控制装置彼此连接的数据总线可为此被划分为子网络，从而使得可以将没有完全起作用的电子控制装置与其他的电子控制装置分开。\n[0005] 但是，该做法局限于在车辆的连续运行中出现并且可以被电子控制装置自身或者相互识别的错误。\n发明内容\n[0006] 本发明的任务是：提供用于提前主动处理车辆的车载电子控制装置的功能故障的方法和装置。本发明借助于依据本发明的方法和依据本发明的控制装置解决此任务。从属权利要求描述优选的实施方式。\n[0007] 用于运行多个车辆中的一个车辆的依据本发明的方法包括如下步骤：通过中央机构确定在这多个车辆中存在系统性功能故障；在中央机构和车辆之间提供通讯连接；和将该车辆的至少一个电子控制装置置入安全运行模式中，以便保证该车辆的运行安全性。\n[0008] 这样可以消除或避免例如基于该车辆车载电子控制装置的有错误的编程而掺入的功能故障。依据本发明可以如此地运行车辆，使得甚至不出现所述功能故障。由此可以提高车辆的运行安全性。通过相应地经常性使用此方法可以以相同方式来运行包括可比较的电子控制装置的整个车辆系列。总的交通安全性可以由此提高。各个车辆经受维护的必要性可以从时间上得以调整。\n[0009] 在一优选的实施方式中，将一个车辆的多个彼此连接的电子控制装置置入安全运行状态中，以便保证这些电子控制装置的相互协调。为此，可以尤其地使用将这些电子控制装置彼此连接的通讯网络的子网络运行。可以以这种方式使不受功能故障影响的电子控制装置与有缺陷的部件隔离。同时可以这样地运行由于功能故障而受影响的电子控制装置，使得避免后续错误或后续损失。\n[0010] 在另一变型方案中，所述安全运行模式包括部分地限制所述电子控制装置的功能。尤其当该电子控制装置控制车辆的安全性功能、例如制动器的防抱死功能时，该功能是有益的，该防抱死功能即使在功能受限时还能对车辆的运行安全起积极作用。尽管保留了受限的功能，仍可以避免出现所述功能故障。\n[0011] 在一变型方案中，所述安全运行模式包括电子控制装置的去激活。尤其当通过电子控制装置实现的功能是车辆驾驶者也可以自己接管的舒适性功能、例如内室中的温度控制时，这是有利的。这样可以避免车辆的或电子控制装置的未限定的或对于驾驶者而言不理解的运行状态。\n[0012] 在一实施方式中，只有在确定在相关车辆中出现功能故障后才将电子控制装置带到安全运行模式中。为此可以尤其确定：是否可以在当前车辆中满足如下的边界条件：在这些边界条件下、功能故障不仅潜在地、而且实际上出现。如果在电子控制装置上有功能故障，但该功能故障在当前车辆中不会导致对车辆部件的错误影响，那么可以避免用于电子控制装置的安全运行状态。因此可以避免电子控制装置不正确地或匆忙地带到所述安全运行状态中。\n[0013] 在一实施方式中检验：在电子控制装置被调动到安全运行模式前，车辆处于停止状态中。在一变型方案中，所述车辆必须在上面描述的、检验是否在当前车辆中出现功能故障期间也处于停止状态中。因此可以避免在车辆的操作中或在驾驶车辆情况下的未限定的运行状态或对于车辆驾驶者而言不清楚的状况。\n[0014] 在一实施方式中，将在电子控制装置上已执行的改变传输给中央机构。因此可以共同评价对多个车辆上的改变的认识。从中可以获得关于在车辆的电子控制装置上的稍后改变的认识，由此可以避免不必要的或有错误的改变。\n[0015] 计算机程序产品包括执行所描述的方法的程序代码器件，如果所述计算机程序产品在处理装置上运行或在计算机可读的数据载体上存储的话。\n[0016] 依据本发明的、多个车辆中的一个车辆的车载电子控制装置包括用于与中央机构通讯连接的接口，并且被设置用于，在通过中央机构确定在这多个车辆中存在系统性功能故障后，被置入安全运行模式中，以便保证车辆的运行安全性。\n[0017] 尤其地，可设置所述控制装置用于：将其他电子控制装置也带到安全运行模式中以及必要时将电子控制装置之间的通讯网络划分为多个子网络，以便将完全具备运行能力的电子控制装置和只部分具备运行能力的电子控制装置分开。\n[0018] 优选的是，所述中央机构是位置固定的并且所述通讯连接包括无线部分。可以在需要时或在时间上受控地建立与中央机构的通讯连接，以便确定：在这多个车辆中是否存在所述系统性功能故障。由此，可以更容易地并且以时间延迟更少的方式来执行对车辆上的功能故障的提前主动的处理。\n附图说明\n[0019] 现在参照附图对本发明更为详细地进行描述，其中：\n[0020] 图1示出了用于安全运行车辆的系统；和\n[0021] 图2示出了用于安全运行车辆的方法的流程图。\n具体实施方式\n[0022] 图1示出用于安全运行车辆的系统100。所述系统100包括中央机构105和车辆110，所述车辆110是多个同类车辆115中的一辆。中央机构105和车辆110之间的通讯借助于到无线电台122的位置固定的通讯连接120和由该无线电台到车辆110的无线通讯连接125进行。\n可选地，一定数量的供应商130与中央机构105连接，这些供应商分别负责车辆110车载的一个或多个子系统。\n[0023] 所述中央机构105可以是数据处理设施，其尤其包括用于存储各个车辆110或系列车辆115的数据的数据库。所述中央机构也可以在基于云计算服务的意义上通过很多相互处在数据连接中的、多个分散的数据处理装置来提供。\n[0024] 车辆110车载地布置有电子控制装置135以及一个或多个其他的电子控制装置\n140。所述电子控制装置135、140借助于车载网络142彼此连接。该连接可以是完全的或部分的，并且包括点对点连接或包括数据总线。所述电子控制装置135配备有接口145，所述接口与天线150连接。所述天线150和无线电台122是无线通讯连接125的端点。\n[0025] 车辆115在如下意义上是相同类型的，即，它们包括相同的或至少相似的电子控制装置135、140，这些电子控制装置在对应的车辆110上执行相同的或相似的功能。如果例如在第一车辆110的电子控制装置135内存在系统性功能故障，那么在第二车辆的相对应的电子控制装置135内同样存在相同功能故障，这是因为两个电子控制装置135执行由于系统缺陷所涉及的、彼此相应的功能。\n[0026] 另一方面，这两个车辆110例如可以在配备、动力化、功能开启方面或在其他电子控制装置140方面这样地彼此不同：所述系统性功能故障不是在车辆110中的每一个里出现。所述功能故障例如可以与一定的车辆速度相关，而这些车辆之一由于其动力而不能达到该车辆速度。\n[0027] 所述电子控制装置135的系统性功能故障的特征是：所述电子控制装置135虽然是如其制造和必要时编程的那样起作用，但在预先确定的边界条件下或在一定参数下导致这样的功能：该功能对于执行所述电子控制装置135的原始任务没有用或者引起意外的副作用。这样的功能故障可以例如包括针对不相干的测量数据的错误保护、在例如由车辆110之一的驾驶者进行的特定操作情况下的未限定功能，或者错过了与其他电子控制装置140之一的变化了的情况的适配。\n[0028] 在一实施方式中，所述供应商130是制造商、项目责任方或其他对各个电子控制装置135、140的功能性的影响方。例如，相同的电子控制装置135、140可以由一供应商130制造并且安装在不同制造商的车辆110中，其中，在有些情况下进行对应电子控制装置135、140的根据制造商特定的适配。电子控制装置135之一的系统性功能故障常常可以由供应商130确定并且进一步传输给中央机构105。从所述供应商130方面或通过中央机构105可以更准确地确定：在何种情况下出现所述功能故障以及哪些车辆110属于在它们中至少有可能出现所述功能故障的那多个同类车辆115。\n[0029] 图2示出用于安全运行图1中的车辆110的方法200的流程图。有利地，在图1的系统\n100的不同部件上实施所述方法200。在此，方法200的所有在下文中阐释的步骤不都是必要的。\n[0030] 在可选的第一步骤205中，供应商130向中央机构105报告功能故障。随后，在步骤\n210中由所述供应商130方面或中央机构105方面来确定，哪些车辆110属于在它们中至少潜在可能出现所述功能故障的那多个同类车辆115。此外可以确定：以哪种方式检验是否在确定的、个别车辆110上实际能出现所述功能故障。在所述方法200的一变型方案中也可以确定：怎样能够将所述控制装置135设置用于无缺陷地在全部功能范围内起作用，例如通过在一个或多个电子控制装置135、140上进行软件更新。理想地，在此也相同地提供所述软件更新。\n[0031] 随后，在步骤215中，在车辆110和中央机构105之间建立通讯。优选地借助于无线的通讯连接125并且可选地额外借助于位置固定的通讯连接120进行所述通讯，如果设置有该位置固定的通讯连接的话。所述无线的通讯连接125可以例如包括像WLAN、LTE或其他无线电技术那样的无线数据网络。借助于车辆对基础设施(C2I)的传输也是可行的。在另一实施方式中，所述通讯连接125也可以包括通过一个或多个其它车辆110进行的优选无线的传输，这作为车对车(C2C)通讯已公知。\n[0032] 所述通讯连接120、125可以按时间受控地或按事件受控制地，例如在车辆110起动或停机时，由所述控制装置135、140之一或由车辆110的驾驶者引发地建立。\n[0033] 在可选步骤220中确保车辆110处于停止状态。为此可以向车辆110的驾驶者发出将车辆110停下的指示。所述方法200可中断，直至车辆110达到停止状态。\n[0034] 在接下来的步骤225中，优选地执行诊断，用于确定在涉及的车辆110上是否可能出现所述功能故障。以该方式确定，在车辆105上有可能存在的功能故障是否也能实际上出现。该诊断优选建立在供应商130或中央机构105的、上面参考步骤210已描述的认识的基础之上。该诊断可以借助于通讯连接120、125在中央机构105方面执行(远程诊断)或例如作为指令或指令串传输给车辆110，以便在车辆那里在所述控制装置135、140之一上实施(本地诊断)。\n[0035] 如果该诊断导致的结果是所述错误不会出现在该车辆110的车载上，那么所述方法200在步骤230中终止，在该步骤中，可选择向该车辆110的驾驶者发出报告，在该报告中，驾驶者被告知已执行的行动及其结果。必要时，驾驶者可以被要求安排更深入的问题处理，例如在进厂检修范围内的处理。\n[0036] 如果相反确定可能出现功能故障，那么在一可选步骤235中确定：是否可以重新配置所述控制装置135。该重新配置可以例如包括改变控制信息或更换能电子编程的控制装置135的程序部分。为此可以再次应用从供应商130方面或中央机构105方面获得的认识。如果重新配置是可行的，那么就在所述方法200于上面所述的步骤230中终止之前执行在随后的步骤240中执行所述重新配置。\n[0037] 如果重新配置是不可行的或没有设置重新配置，则在步骤245中确定，所述控制装置135的受限运行是否可行。这取决于，所述电子控制装置135执行哪种类型的功能以及存在哪种类型的系统性缺陷。如果受限运行是不可行的或不期望的，则在所述方法200于步骤\n230中终止前，在步骤250中关掉所述控制装置135。\n[0038] 否则，在步骤255中确定，是否或者哪些车辆110的车载控制器140被控制装置135的受限运行所涉及。这一般是与功能故障的控制装置135交换信息的那些其他控制器140。\n[0039] 在一实施方式中，可以在该位置上附加地或替换一前述执行步骤而执行步骤220，在该步骤中确保车辆110处于停止状态中。\n[0040] 在步骤260中，将所有涉及到的控制器135、140调动到安全的运行模式中。与存在的功能故障相关地，可以为所述控制器135、140中的每个选择分别适当的安全运行模式。在此，所述车载网络142可以被划分为子网络，以便以适当的方式将仅还受限地起作用的控制装置135、140与其余控制装置140分开。\n[0041] 在可选步骤265中，将关于在车辆110上执行的步骤的信息借助于通讯连接120、\n125反馈给中央机构105或供应商130。这些信息可以涉及：步骤225的诊断结果；控制装置\n135、140的在车辆110上具体存在的配置；车辆110的配备；行驶功率；停留地点和/或在步骤\n260中执行的将控制装置135、140置入安全运行模式中。接下来，所述方法200在步骤230中终止。