DE102019201689A1

DE102019201689A1 - Method and control unit for operating an autonomous vehicle

Info

Publication number: DE102019201689A1
Application number: DE102019201689.8A
Authority: DE
Inventors: Steffen Biel; Markus Birk; Carolin Heller
Original assignee: ZF Friedrichshafen AG
Current assignee: ZF Friedrichshafen AG
Priority date: 2019-02-11
Filing date: 2019-02-11
Publication date: 2020-08-13
Also published as: WO2020164814A1

Abstract

Steuereinheit (20) für ein autonomes oder teilautonomes Fahrzeug (10), umfassend einen Prozessor (40), der dazu ausgelegt ist, über eine Schnittstelle (45) zu einem Fahrzeugkommunikationsnetz (28) Ist-Zustandsdaten bezüglich dem Fahrzeug (1) zu erhalten, über eine Schnittstelle (47) zu einer Funkverbindung (37), von einem Leitsystem (100) Soll-Zustandsdaten oder Steuerbefehle zu empfangen; eine Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten zu bestimmen; und basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten ein oder mehrere Fahrzeugkomponenten (12, 14, 16, 18) anzusteuern, um einen sicheren Zustand des Fahrzeugs (10) zu erreichen oder zu erhalten.

Control unit (20) for an autonomous or partially autonomous vehicle (10), comprising a processor (40) which is designed to receive actual status data relating to the vehicle (1) via an interface (45) to a vehicle communication network (28), receiving target status data or control commands from a control system (100) via an interface (47) to a radio link (37); to determine a deviation between the target status data and the actual status data; and to control one or more vehicle components (12, 14, 16, 18) based on the deviation between the target state data and the actual state data in order to achieve or maintain a safe state of the vehicle (10).

Description

TECHNISCHES GEBIETTECHNICAL AREA

Die vorliegende Offenbarung betrifft das Gebiet der autonomen Fahrzeuge, insbesondere eine Steuereinheit und ein Verfahren zum Steuern eines autonomen oder teilautonomen Fahrzeugs, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten.The present disclosure relates to the field of autonomous vehicles, in particular a control unit and a method for controlling an autonomous or partially autonomous vehicle in order to achieve or maintain a safe state of the vehicle.

TECHNISCHER HINTERGRUNDTECHNICAL BACKGROUND

Autonome oder teilautonome Fahrzeuge weisen Sensoren auf, die zumindest das Vorfeld des Fahrzeugs in Fahrtrichtung sensorisch erfassen und deren Daten in einer Steuereinheit mittels geeigneter Software ausgewertet werden. Auf Grundlage der durch diese Datenverarbeitung gewonnenen Informationen kann eine Steuereinheit über entsprechende Aktuatoren Brems-, Geschwindigkeits-, Abstands-, Kompensations- und/oder Ausweichregelungen selbsttätig auslösen und durchführen.Autonomous or semi-autonomous vehicles have sensors that detect at least the area in front of the vehicle in the direction of travel by sensors and whose data are evaluated in a control unit using suitable software. On the basis of the information obtained through this data processing, a control unit can automatically initiate and carry out braking, speed, distance, compensation and / or evasive regulation via appropriate actuators.

Ein sich autonom bewegendes Fahrzeug, beispielsweise ein fahrerloses Transportsystem (FTS), ein autonomer PKW, ein Schienenfahrzeug oder ein Boot sollte mit Hilfe einer am Fahrzeug verbauten Telemetrie oder einer ähnlichen physikalischen Funkverbindung unter Berücksichtigung der funktionalen Sicherheit jederzeit überwacht und ferngesteuert werden können. Das Fahrzeug soll so vor Sachbeschädigung und dessen Umgebung (z.B. Personen, Hindernisse, Objekte oder andere Fahrzeuge) vor Schaden geschützt werden.An autonomously moving vehicle, for example a driverless transport system (AGV), an autonomous car, a rail vehicle or a boat should be able to be monitored and remotely controlled at any time with the help of telemetry built into the vehicle or a similar physical radio link, taking functional safety into account. The aim is to protect the vehicle from damage to property and its surroundings (e.g. people, obstacles, objects or other vehicles) from damage.

Veranlasst durch die EG-Verordnung Nr. 661/2009 werden zunehmend als AEBS (Advanced Emergency Braking System) bekannte Notbremssysteme in Nutzfahrzeugen eingesetzt, die beim Vorliegen bestimmter Sensordaten ein Warnsignal ausgeben und erforderlichenfalls autonom eine Notbremsung mit einer größtmöglichen Verzögerung des Fahrzeugs einleiten, um eine Kollision mit einem anderen Fahrzeug, einer Person oder einem stationären Hindernis zu vermeiden, oder zumindest um die Folgen einer bevorstehenden Kollision zu mindern.Caused by EC Regulation No. 661/2009, emergency braking systems known as AEBS (Advanced Emergency Braking System) are increasingly being used in commercial vehicles, which output a warning signal when certain sensor data is available and, if necessary, autonomously initiate emergency braking with the greatest possible deceleration of the vehicle in order to avoid a To avoid a collision with another vehicle, a person or a stationary obstacle, or at least to reduce the consequences of an impending collision.

Der Betrieb eines autonomen Fahrzeugs sollte auch in unvorhergesehenen Situationen und bei Auftreten von technischen Fehlern, Fehlverhalten anderer Verkehrsteilnehmer und schlechten Witterungsbedingungen möglichst sicher sein. Die Erhaltung eines sicheren Zustandes zu jedem Zeitpunkt einer Fahrt ist notwendig, damit keine Gefahr vom Fahrzeug für die Passagiere oder andere Verkehrsteilnehmer ausgeht.The operation of an autonomous vehicle should be as safe as possible, even in unforeseen situations and when technical errors occur, incorrect behavior of other road users and bad weather conditions. Maintaining a safe condition at all times of a journey is necessary so that the vehicle does not pose any danger to passengers or other road users.

Die vorliegende Erfindung wurde hinsichtlich der vorstehend beschriebenen Problematik entwickelt, und es ist Aufgabe der vorliegenden Erfindung, eine abgesicherte Fernbedienung für Fahrzeuge zu realisieren.The present invention was developed with regard to the problems described above, and it is the object of the present invention to implement a secured remote control for vehicles.

Diese Aufgabe wird durch die Steuereinheit nach Anspruch 1, das Steuerungssystem nach Anspruch 8, das Leitsystem nach Anspruch 10, und die Verfahren zur Steuerung eines autonomen oder teilautonomen Fahrzeugs nach Anspruch 12 und 13 gelöst. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen und der folgenden Beschreibung bevorzugter Ausführungsbeispiele der vorliegenden Erfindung.This object is achieved by the control unit according to claim 1, the control system according to claim 8, the control system according to claim 10, and the method for controlling an autonomous or partially autonomous vehicle according to claims 12 and 13. Further advantageous embodiments of the invention emerge from the subclaims and the following description of preferred exemplary embodiments of the present invention.

Die Ausführungsbeispiele zeigen eine Steuereinheit für ein autonomes oder teilautonomes Fahrzeug, umfassend einen Prozessor, der dazu ausgelegt ist, über eine Schnittstelle zu einem Fahrzeugkommunikationsnetz Ist-Zustandsdaten bezüglich des Fahrzeugs zu erhalten, über eine Schnittstelle zu einer Funkverbindung von einem Leitsystem Soll-Zustandsdaten oder Steuerbefehle zu empfangen; eine Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten zu bestimmen; und basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten ein oder mehrere Fahrzeugkomponenten anzusteuern, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten.The exemplary embodiments show a control unit for an autonomous or partially autonomous vehicle, comprising a processor which is designed to receive actual status data relating to the vehicle via an interface to a vehicle communication network, target status data or control commands via an interface to a radio link from a control system to recieve; to determine a deviation between the target status data and the actual status data; and to control one or more vehicle components based on the discrepancy between the target status data and the actual status data in order to achieve or maintain a safe status of the vehicle.

Bei dem Fahrzeug kann es sich insbesondere um ein fahrerloses autonomes oder um ein teilautonom bewegtes Fahrzeug handeln. Es kann sich beispielsweise um ein Land-, Luft- oder Wasserfahrzeug handeln, beispielsweise um ein fahrerloses Transportsystem (FTS), einen autonomen PKW, ein Schienenfahrzeug, eine Drohne oder ein Boot.The vehicle can in particular be a driverless, autonomous vehicle or a partially autonomous vehicle. For example, it can be a land, air or water vehicle, for example a driverless transport system (AGV), an autonomous car, a rail vehicle, a drone or a boat.

Die Zustandsdaten betreffen den Zustand des Fahrzeugs beziehungsweise der Fahrzeugkomponenten. Unter einem Zustand des Fahrzeugs kann insbesondere seine Position, Lage, Bewegungsrichtung und Geschwindigkeit verstanden werden. Bei einem Wasserfahrzeug kann der Zustand des Fahrzeugs beispielsweise den Abstand über Grund betreffen.The status data relate to the status of the vehicle or the vehicle components. A state of the vehicle can in particular be understood to mean its position, location, direction of movement and speed. In the case of a watercraft, the condition of the vehicle can relate to the distance above ground, for example.

Bei dem Prozessor kann es sich beispielsweise um eine Recheneinheit wie eine zentrale Verarbeitungseinheit (CPU = central processing unit) handeln, die Programminstruktionen ausführt.The processor can be, for example, a computing unit such as a central processing unit (CPU = central processing unit) that executes program instructions.

Die Erfassung, Überprüfung und Verarbeitung der Ist-Zustandsdaten, beispielsweise der Fahrzeugdaten (z.B. CAN- oder Kameradaten) erfolgt vorzugsweise in Echtzeit.The acquisition, checking and processing of the actual status data, for example the vehicle data (e.g. CAN or camera data) is preferably carried out in real time.

Die Verbindung zwischen Leitsystem und Fahrzeug kann separat/redundant abgesichert werden und das Fahrzeug kann unmittelbar nach Auftreten eines Notfalls, beispielsweise im Fall eines Abbruchs der Funkverbindung, eines fehlerhaften Fahrzeugzustands oder von fehlerhaften Steuerdaten, oder bei Erkennung einer Gefahr, in einen sichern Zustand überführt werden.The connection between the control system and the vehicle can be secured separately / redundantly and the vehicle can immediately follow Occurrence of an emergency, for example in the case of a break in the radio connection, a faulty vehicle state or faulty control data, or if a danger is detected, can be transferred to a safe state.

Der Prozessor der Steuereinheit ist ferner dazu ausgelegt, die Ist-Zustandsdaten über die Funkverbindung an das Leitsystem zu senden. Die Steuereinheit ermöglicht insbesondere eine sichere Übertragung von Fahrzeug-Zustandsdaten (z.B. CAN-Daten) sowie Überwachungsdaten über die Funkverbindung. Beispielsweise können die an das Leitsystem gesendeten Ist-Zustandsdaten Bilddaten umfassen, die mit einem im Fahrzeug integrierten Bildsensor erfasst wurden.The processor of the control unit is also designed to send the actual status data to the control system via the radio link. In particular, the control unit enables secure transmission of vehicle status data (e.g. CAN data) and monitoring data via the radio link. For example, the actual status data sent to the control system can include image data that were captured with an image sensor integrated in the vehicle.

Die Ist-Zustandsdaten können beispielweise eine Position, eine Geschwindigkeit, einen Lenkwinkel, eine Gierwinkelgeschwindigkeit, eine Gierrate, einen Lagewinkel, eine Lagewinkelbeschleunigung, eine Beschleunigung und/oder eine Querbeschleunigung, oder Daten von Umfeldsensoren umfassen.The actual status data can include, for example, a position, a speed, a steering angle, a yaw angle speed, a yaw rate, a position angle, a position angle acceleration, an acceleration and / or a transverse acceleration, or data from environment sensors.

Beispielsweise kann der Prozessor der Steuereinheit dazu ausgelegt sein, von einem am Fahrzeug integrierten optischen Sensor Bilddaten bezüglich einer Fahrzeugumgebung zu erhalten. Die von dem optischen Sensor gelieferten Daten können mittels einer Bildbearbeitung verarbeitet und aufbereitet werden und mit vorgegebenen Bilddaten verglichen werden, um auf eine kritische Fahrsituation zu schließen. Der optische Sensor kann eine Kamera oder eine Infrarotkamera sein.For example, the processor of the control unit can be designed to receive image data relating to a vehicle environment from an optical sensor integrated in the vehicle. The data supplied by the optical sensor can be processed and prepared by means of image processing and compared with specified image data in order to infer a critical driving situation. The optical sensor can be a camera or an infrared camera.

Ferner kann der Prozessor der Steuereinheit dazu ausgelegt sein, eine Bewegungsrichtung des Fahrzeugs zu erfassen. Hierdurch kann beispielsweise eine Abschätzung erfolgen, ob ein vorgegebener Positionsbereich verlassen wird, wenn die aktuelle Bewegungsrichtung beibehalten wird. Diese Information kann dazu verwendet werden, die aktuelle Position des Fahrzeugs bei einem Nähern an die Grenzen des vorgegebenen Positionsbereichs mit einer höheren Positionsermittlungsfrequenz zu ermitteln und mit einer vorgegebenen Soll-Position zu vergleichen. Dadurch kann ein fehlerhafter Fahrzeugzustand (eine fehlerhafte Position) mit einer minimalen Verzögerung festgestellt werden.Furthermore, the processor of the control unit can be designed to detect a direction of movement of the vehicle. In this way, it is possible, for example, to estimate whether a predetermined position range will be left if the current direction of movement is maintained. This information can be used to determine the current position of the vehicle when approaching the limits of the predetermined position range with a higher position determination frequency and to compare it with a predetermined target position. Thereby, a defective vehicle condition (defective position) can be detected with a minimum delay.

Des Weiteren kann die Steuereinheit dazu ausgelegt sein, eine kritische Fahrsituation anhand einer mittels eines Sensors erfassten Gierwinkelgeschwindigkeit und/oder einer Querbeschleunigung des Fahrzeugs zu erkennen.Furthermore, the control unit can be designed to recognize a critical driving situation on the basis of a yaw rate and / or a lateral acceleration of the vehicle detected by means of a sensor.

Auch können die Ist-Zustandsdaten eine Ist-Trajektorie umfassen und die Steuereinheit kann dazu ausgelegt sein, einen Fehlerzustand anhand eines Abgleichs mit einer Soll-Trajektorie zu erkennen.The actual state data can also include an actual trajectory and the control unit can be designed to recognize an error state on the basis of a comparison with a setpoint trajectory.

Darüber hinaus kann die Steuereinheit dazu ausgelegt sein, Informationen über einen Antriebsenergiespeicher und über die Antriebseinheit (z. B. Funktionsinformationen) zu erhalten. Basierend auf diesen Informationen kann die Steuereinheit ermitteln, ob das Erreichen des vorgegebenen Ziels sichergestellt werden kann. Ist dies nicht der Fall, kann ein Steuerbefehl erzeugt werden, um das Fahrzeug in einen sicheren Zustand zu überführen.In addition, the control unit can be designed to receive information about a drive energy store and about the drive unit (for example functional information). On the basis of this information, the control unit can determine whether it can ensure that the specified destination can be achieved. If this is not the case, a control command can be generated to bring the vehicle into a safe state.

Gemäß eines Ausführungsbeispiels der vorliegenden Erfindung können die Soll-Zustandsdaten eine Sollposition, eine Sollorientierung oder Steuerbefehle umfassen.According to an exemplary embodiment of the present invention, the target status data can include a target position, a target orientation or control commands.

Beispielsweise kann der Sollzustand des Fahrzeugs durch eine Sollposition in einem kartesischen Koordinatensystem (x, y, z) sowie durch eine durch einen Lagewinkel (Roll, Pitch, Yaw) beschriebene Sollorientierung des Fahrzeugs definiert sein.For example, the target state of the vehicle can be defined by a target position in a Cartesian coordinate system (x, y, z) and by a target orientation of the vehicle described by a position angle (roll, pitch, yaw).

Des Weiteren können die Soll-Zustandsdaten ein modellbasiertes Bild umfassen und der Prozessor kann dazu ausgelegt sein, die Abweichung zwischen den vorgegebenen Soll-Zustandsdaten und den Ist-Zustandsdaten auf Grundlage einer modellbasierten Plausibilisierung zu erkennen.Furthermore, the target status data can include a model-based image and the processor can be designed to recognize the discrepancy between the specified target status data and the actual status data on the basis of a model-based plausibility check.

Der Prozessor der Steuereinheit kann ferner dazu ausgelegt sein, Zeitstempel auszuwerten, die mit den Soll-Zustandsdaten empfangen werden. Anhand der Zeitstempel kann die Steuereinheit erkennen, für welchen Zeitpunkt ein Steuerbefehl vorgesehen war und notfalls Befehle verwerfen oder korrigieren, um einen kurzzeitigen Ausfall der Funkverbindung zu kompensieren.The processor of the control unit can also be designed to evaluate time stamps that are received with the target status data. On the basis of the time stamp, the control unit can recognize the point in time for which a control command was provided and, if necessary, discard or correct commands in order to compensate for a brief failure of the radio link.

Des Weiteren können die Soll-Zustandsdaten, die von der Steuereinheit gemäß der vorliegenden Erfindung vom Leitsystem empfangen werden, Informationen umfassen, die einen sicheren Fahrbereich definieren. Falls die Funkverbindung zum Leitsystem abbricht, darf sich das Fahrzeug weiterhin in dem sicheren Fahrbereich bewegen.Furthermore, the target status data that are received by the control unit according to the present invention from the control system can include information that defines a safe driving area. If the radio connection to the control system breaks down, the vehicle can continue to move in the safe driving area.

Die Ausführungsbeispiele zeigen ferner auch ein Steuerungssystem für ein autonomes oder teilautonomes Fahrzeug, umfassend die Steuereinheit wie sie oben beschrieben wurde, sowie eine Notaus-Steuereinheit, die dazu ausgelegt ist, über eine zweite Funkverbindung ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs zu empfangen, und in Reaktion auf das Aktivierungssignal ein oder mehrere Fahrzeugkomponenten so anzusteuern, dass ein sicherer Zustand des Fahrzeugs erreicht wird.The exemplary embodiments also show a control system for an autonomous or partially autonomous vehicle, comprising the control unit as described above, and an emergency stop control unit which is designed to receive an activation signal for a safe state of the vehicle via a second radio link, and to control one or more vehicle components in response to the activation signal in such a way that a safe state of the vehicle is achieved.

Auf diese Weise erfolgt die Erlangung eines sicheren Zustands eines autonomen Fahrzeugs ohne das Mitwirken eines menschlichen Fahrers unter Einsatz von redundanten und dadurch hoch verfügbaren Systemen.In this way, a safe state of an autonomous vehicle is achieved without the involvement of a human driver Use of redundant and therefore highly available systems.

Die Ausführungsbeispiele zeigen ferner auch ein Fahrzeug, umfassend eine Steuereinheit oder ein Steuersystem, wie sie oben beschrieben wurden.The exemplary embodiments furthermore also show a vehicle comprising a control unit or a control system as described above.

Die Ausführungsbeispiele zeigen ferner auch ein Leitsystem für ein autonomes oder teilautonomes Fahrzeug, umfassend einen Prozessor, der dazu ausgelegt ist: Soll-Zustandsdaten über eine Funkverbindung an eine Steuereinheit eines autonomen oder teilautonomen Fahrzeugs zu senden; Ist-Zustandsdaten über die Funkverbindung von der Steuereinheit des autonomen oder teilautonomen Fahrzeugs zu empfangen; eine Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten zu bestimmen; und basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten die Steuereinheit des autonomen oder teilautonomen Fahrzeugs über die Funkverbindung anzusteuern, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten.The exemplary embodiments also show a control system for an autonomous or partially autonomous vehicle, comprising a processor which is designed to: send target status data via a radio link to a control unit of an autonomous or partially autonomous vehicle; To receive actual status data via the radio link from the control unit of the autonomous or partially autonomous vehicle; to determine a deviation between the target status data and the actual status data; and based on the deviation between the target status data and the actual status data, to control the control unit of the autonomous or semi-autonomous vehicle via the radio link in order to achieve or maintain a safe status of the vehicle.

Der Prozessor des Leitsystems kann ferner dazu ausgelegt sein, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten oder aufgrund eines manuellen Befehls, eine Notaus-Steuereinheit im autonomen oder teilautonomen Fahrzeug über eine zweite Funkverbindung anzusteuern, um das Fahrzeug in einen sicheren Zustand zu überführen.The processor of the control system can also be designed to control an emergency stop control unit in the autonomous or semi-autonomous vehicle via a second radio link based on the deviation between the target status data and the actual status data or on the basis of a manual command in order to switch the vehicle into one safe state.

Die Ausführungsbeispiele zeigen ferner auch ein Verfahren zur Steuerung eines autonomen oder teilautonomen Fahrzeugs, umfassend die Schritte: Erhalten, über eine Schnittstelle zu einem Fahrzeugkommunikationsnetz von Ist-Zustandsdaten bezüglich des Fahrzeugs, Empfangen, über eine Schnittstelle zu einer Funkverbindung, von einem Leitsystem von Soll-Zustandsdaten oder Steuerbefehlen; Bestimmen einer Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten; und Ansteuern, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten, von ein oder mehreren Fahrzeugkomponenten, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten.The exemplary embodiments also show a method for controlling an autonomous or semi-autonomous vehicle, comprising the steps: receiving, via an interface to a vehicle communication network, actual status data relating to the vehicle, receiving, via an interface to a radio link, from a control system of target Status data or control commands; Determining a deviation between the target status data and the actual status data; and controlling, based on the deviation between the target status data and the actual status data, one or more vehicle components in order to achieve or maintain a safe status of the vehicle.

Die Ausführungsbeispiele zeigen ferner auch ein Verfahren zur Leitung eines autonomen oder teilautonomen Fahrzeugs, umfassend die Schritte: Senden von Soll-Zustandsdaten über eine Funkverbindung an eine Steuereinheit eines autonomen oder teilautonomen Fahrzeugs; Empfangen von Ist-Zustandsdaten über die Funkverbindung von der Steuereinheit des autonomen oder teilautonomen Fahrzeugs; Bestimmen einer Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten; und Ansteuern, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten, von der Steuereinheit des autonomen oder teilautonomen Fahrzeugs über die Funkverbindung, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten.The exemplary embodiments also show a method for managing an autonomous or partially autonomous vehicle, comprising the steps of: sending target status data via a radio link to a control unit of an autonomous or partially autonomous vehicle; Receiving actual status data via the radio link from the control unit of the autonomous or semi-autonomous vehicle; Determining a deviation between the target status data and the actual status data; and controlling, based on the deviation between the target status data and the actual status data, from the control unit of the autonomous or partially autonomous vehicle via the radio link in order to achieve or maintain a safe status of the vehicle.

Das Verfahren kann ferner den Schritt umfassen : Ansteuern, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten oder aufgrund eines manuellen Befehls, einer Notaus-Steuereinheit im autonomen oder teilautonomen Fahrzeug über eine zweite Funkverbindung, um das Fahrzeug in einen sicheren Zustand zu überführen.The method can further include the step of activating, based on the discrepancy between the target status data and the actual status data or on the basis of a manual command, an emergency stop control unit in the autonomous or semi-autonomous vehicle via a second radio link in order to put the vehicle in a safe position Convict state.

Ausführungsformen werden nun beispielhaft und unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, in denen:

1 ein Blockdiagramm zeigt, das schematisch die Konfiguration eines autonomen Fahrzeugs gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt;
2 ein autonomes Fahrzeug gemäß der Erfindung zeigt, das über eine Funkverbindung mit einem als Leitstand bezeichneten externen Server in Verbindung steht;
3 ein Blockdiagramm zeigt, das eine beispielhafte Konfiguration der Safety-Steuereinheit 20 darstellt;
4a, b und c ein Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung veranschaulichen, wobei 4a die Schritte zeigt, die in dem Leitstand-Server ausgeführt werden zeigt, 4b die Schritte zeigt, die in der Safety-Steuereinheit des Fahrzeugs ausgeführt werden und 4c die Schritte zeigt, die in der Notaus-Steuereinheit ausgeführt werden;
5a ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung zeigt, wobei die Schritte dargestellt sind, die in dem Leitstand-Server ausgeführt werden;
5b ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung zeigt, wobei die Schritte dargestellt sind, die in dem Leitstand-Server ausgeführt werden;
6a eine Ausführungsform der Übertragung von Steuerbefehlen von Leitstand zur Safety-Steuereinheit zeigt; und
6b eine weitere Ausführungsform der Übertragung von Steuerbefehlen von Leitstand zur Safety-Steuereinheit zeigt.

Embodiments will now be described by way of example and with reference to the accompanying drawings, in which:

1 Fig. 13 is a block diagram schematically showing the configuration of an autonomous vehicle according to an embodiment of the present invention;
2 Figure 3 shows an autonomous vehicle according to the invention communicating via a radio link to an external server called a control room;
3 shows a block diagram showing an exemplary configuration of the safety control unit 20th represents;
4a, b and c illustrate an embodiment of a method according to the present invention, wherein 4a shows the steps to be performed in the control room server shows 4b shows the steps carried out in the vehicle's safety control unit and 4c shows the steps performed in the emergency stop control unit;
5a Figure 3 shows another embodiment of a method in accordance with the present invention showing the steps performed in the control room server;
5b Figure 3 shows another embodiment of a method in accordance with the present invention showing the steps performed in the control room server;
6a shows an embodiment of the transmission of control commands from the control station to the safety control unit; and
6b shows another embodiment of the transmission of control commands from the control station to the safety control unit.

1 zeigt ein Blockdiagramm, das schematisch die Konfiguration eines autonomen Fahrzeugs 10 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt. Das autonome Fahrzeug 10 umfasst mehrere elektronische Komponenten, welche via ein Fahrzeugkommunikationsnetzwerk 28 miteinander verbunden sind. Das Fahrzeugkommunikationsnetzwerk 28 kann beispielsweise ein im Fahrzeug eingebautes standardgemäßes Fahrzeugkommunikationsnetzwerk wie etwa ein CAN-Bus (controller area network), ein LIN-Bus (local interconnect network), ein LAN-Bus (local area network), ein MOST-Bus und/oder ein FlexRay-Bus (registered trademark) oder dergleichen sein. 1 Fig. 3 is a block diagram schematically showing the configuration of an autonomous vehicle 10 according to an embodiment of present invention. The autonomous vehicle 10 includes several electronic components that communicate via a vehicle communication network 28 are interconnected. The vehicle communication network 28 For example, a standard vehicle communication network installed in the vehicle such as a CAN bus (controller area network), a LIN bus (local interconnect network), a LAN bus (local area network), a MOST bus and / or a FlexRay Bus (registered trademark) or the like.

In dem in 1 dargestellten Beispiel umfasst das autonome Fahrzeug 10 eine Steuereinheit 12 (ECU 1) für ein Bremssystem. Das Bremssystem bezieht sich dabei auf die Komponenten, die ein Bremsen des Fahrzeugs ermöglichen. Das autonome Fahrzeug 10 umfasst ferner eine Steuereinheit 14 (ECU 2), die einen Antriebsstrang steuert. Der Antriebsstrang bezieht sich dabei auf die Antriebskomponenten des Fahrzeugs. Der Antriebsstrang kann einen Motor, ein Getriebe, eine Antriebs-/ Propellerwelle, ein Differential und einen Achsantrieb umfassen. Das autonome Fahrzeug 10 umfasst ferner eine Steuereinheit 16 (ECU 3), die ein Lenksystem steuert. Das Lenksystem bezieht sich dabei auf die Komponenten, die eine Richtungssteuerung des Fahrzeugs ermöglichen.In the in 1 The example shown includes the autonomous vehicle 10 a control unit 12th (ECU 1) for a braking system. The braking system refers to the components that enable the vehicle to brake. The autonomous vehicle 10 further comprises a control unit 14th (ECU 2) that controls a power train. The drive train refers to the drive components of the vehicle. The powertrain may include an engine, a transmission, a drive / propeller shaft, a differential, and a final drive. The autonomous vehicle 10 further comprises a control unit 16 (ECU 3 ) that controls a steering system. The steering system refers to the components that enable directional control of the vehicle.

Die Steuereinheiten 12, 14 und 16 können ferner von den oben genannten Fahrzeugsubsystemen Fahrzeugbetriebsparameter empfangen, die diese mittels einem oder mehreren Fahrzeugsensoren erfassen. Fahrzeugsensoren sind vorzugsweise solche Sensoren, die einen Zustand des Fahrzeugs oder einen Zustand von Fahrzeugteilen erfassen, insbesondere deren Bewegungszustand. Die Sensoren können einen Fahrgeschwindigkeitssensor, einen Gierraten-Sensor, einen Beschleunigungssensor, einen Lenkradwinkelsensor, einen Fahrzeuglastsensor, Temperatursensoren, Drucksensoren und dergleichen umfassen. Beispielsweise können auch Sensoren entlang der Bremsleitung angeordnet sein, um Signale auszugeben, die den Bremsflüssigkeitsdruck an verschiedenen Stellen entlang der hydraulischen Bremsleitung anzeigen. Andere Sensoren in der Nähe des Rades können vorgesehen sein, welche die Radgeschwindigkeit und den Bremsdruck erfassen, der am Rad aufgebracht wird.The control units 12th , 14th and 16 can also receive vehicle operating parameters from the vehicle subsystems mentioned above, which these detect by means of one or more vehicle sensors. Vehicle sensors are preferably those sensors that detect a state of the vehicle or a state of vehicle parts, in particular their state of movement. The sensors may include a vehicle speed sensor, a yaw rate sensor, an acceleration sensor, a steering wheel angle sensor, a vehicle load sensor, temperature sensors, pressure sensors, and the like. For example, sensors can also be arranged along the brake line in order to output signals which indicate the brake fluid pressure at various points along the hydraulic brake line. Other sensors in the vicinity of the wheel can be provided which detect the wheel speed and the brake pressure applied to the wheel.

Die Fahrzeugsensorik des autonomen Fahrzeugs 10 umfasst darüber hinaus eine Satellitennavigationseinheit 24 (GNSS-Einheit). Es sei darauf hingewiesen, dass im Kontext der vorliegenden Erfindung GNSS stellvertretend für sämtliche Globale Navigationssatellitensysteme (GNSS) steht, wie z.B. GPS, A-GPS, Galileo, GLONASS (Russland), Compass (China), IRNSS (Indien) und dergleichen.The vehicle sensors of the autonomous vehicle 10 also includes a satellite navigation unit 24 (GNSS unit). It should be pointed out that, in the context of the present invention, GNSS is representative of all global navigation satellite systems (GNSS), such as GPS, A-GPS, Galileo, GLONASS (Russia), Compass (China), IRNSS (India) and the like.

Das autonome Fahrzeug 10 umfasst ferner ein oder mehrer Sensoren, welche dazu ausgelegt sind, das Umfeld des Fahrzeugs zu erfassen, wobei die Sensoren am Fahrzeug montiert sind und Bilder des Umfelds des Fahrzeugs erfassen, oder Objekte oder Zustände im Umfeld des Fahrzeugs erkennen. Die Umfeldsensoren 26 umfassen insbesondere Kameras, Radar-Sensoren, Lidar-Sensoren, UltraschallSensoren oder dergleichen. Die Umfeldsensoren 26 können innerhalb des Fahrzeugs oder außerhalb des Fahrzeugs (z. B. an der Außenseite des Fahrzeugs) angeordnet sein. Beispielsweise kann eine Kamera in einem vorderen Bereich des Fahrzeugs 10 zur Aufnahme von Bildern eines vor dem Fahrzeug befindlichen Bereichs vorgesehen sein.The autonomous vehicle 10 furthermore comprises one or more sensors which are designed to detect the surroundings of the vehicle, the sensors being mounted on the vehicle and recording images of the surroundings of the vehicle, or to detect objects or states in the surroundings of the vehicle. The environment sensors 26th include in particular cameras, radar sensors, lidar sensors, ultrasonic sensors or the like. The environment sensors 26th can be arranged inside the vehicle or outside the vehicle (e.g. on the outside of the vehicle). For example, a camera in a front area of the vehicle 10 be provided for recording images of an area in front of the vehicle.

Das autonome Fahrzeug 10 umfasst ferner eine Steuereinheit für autonomes Fahren 18 (ECU 4). Die Steuereinheit für autonomes Fahren 18 ist dazu ausgelegt, das autonome Fahrzeug 10 so zu steuern, dass dieses ganz oder teilweise ohne Einfluss eines menschlichen Fahrers agieren kann. Die Steuereinheit für autonomes Fahren 18 steuert ein oder mehrere Fahrzeugsubsysteme während das Fahrzeug im autonomen Modus betrieben wird, nämlich das Bremssystem 12, das Antriebssystem 14 und das Lenksystem 16. Hierfür kann die Steuereinheit für autonomes Fahren 18 beispielsweise über das Fahrzeugkommunikationsnetzwerk 28 mit den entsprechenden Steuereinheiten 12, 14 und 16 kommunizieren. Die Steuereinheit für autonomes Fahren 18 umfasst insbesondere ein Bildverarbeitungssystem zur Durchführung von Bildverarbeitungsprozessen. Bei den Bildverarbeitungsprozessen handelt es sich beispielsweise um die Verarbeitung von Bilddaten der Umfeldsensoren 26, beispielsweise von Bilddaten eines von einer Kamera in Fahrtrichtung aufgenommenen Bildes des Bereichs vor dem Fahrzeug.The autonomous vehicle 10 further comprises a control unit for autonomous driving 18th (ECU 4). The control unit for autonomous driving 18th is designed to be the autonomous vehicle 10 to be controlled in such a way that it can act completely or partially without the influence of a human driver. The control unit for autonomous driving 18th controls one or more vehicle subsystems while the vehicle is operating in autonomous mode, namely the braking system 12th , the drive system 14th and the steering system 16 . The control unit for autonomous driving can be used for this 18th for example via the vehicle communication network 28 with the corresponding control units 12th , 14th and 16 communicate. The control unit for autonomous driving 18th comprises in particular an image processing system for performing image processing processes. The image processing processes are, for example, the processing of image data from the environmental sensors 26th , for example from image data of an image recorded by a camera in the direction of travel of the area in front of the vehicle.

Wenn steuerungsseitig oder fahrerseitig ein Betriebszustand für das autonome Fahren aktiviert ist, bestimmt die Steuereinheit für autonomes Fahren 18, auf Grundlage von Eingaben, wie beispielsweise Daten über eine vorgegebene Strecke, von Daten von der Satellitennavigationseinheit, von Umweltsensoren aufgenommenen Umgebungsdaten, sowie von mittels den Fahrzeugsensoren erfassten Fahrzeugbetriebsparametern, die der Steuereinheit 18 von den Steuereinheiten 12, 14 und 16 zugeleitet werden, Parameter für den autonomen Betrieb des Fahrzeugs (beispielsweise Soll-Geschwindigkeit, Soll-Moment, Lenkvorgang und dergleichen). Die Parameter können dazu dienen, Aspekte der Fahrzeugsubsysteme, einschließlich Antriebsstrang, Bremssystem und Lenksystem, sowie Hilfsverhalten (z.B. Einschalten der Beleuchtung) zu steuern.If an operating state for autonomous driving is activated on the control side or on the driver side, the control unit determines for autonomous driving 18th on the basis of inputs, such as data about a predetermined route, of data from the satellite navigation unit, of environmental data recorded by environmental sensors, and of vehicle operating parameters recorded by the vehicle sensors, which the control unit 18th from the control units 12th , 14th and 16 parameters for the autonomous operation of the vehicle (for example target speed, target torque, steering process and the like). The parameters can be used to control aspects of the vehicle subsystems, including the drive train, braking system and steering system, as well as auxiliary behavior (e.g. switching on the lights).

Das autonome Fahrzeug 10 umfasst ferner eine Safety-Steuereinheit (Safety-ECU) 20, welche dazu dient, das Fahrzeug in einem sicheren Zustand zu halten beziehungsweise in einen sicheren Zustand zu bringen. Die Safety-Steuereinheit 20 ist eine systemunabhängige Steuereinheit, in der Fahrzeugdaten (z.B. CAN- oder Kameradaten) in Echtzeit erfasst, geprüft und verarbeitet werden. Die Safety-Steuereinheit 20 ist ferner dazu ausgelegt, über eine Funkverbindung (siehe 2) erfasste Daten an einen Leitstand weiterzugeben und von dem Leitstand Sollwerte oder Steuerbefehle entgegenzunehmen. Die Safety-Steuereinheit 20 ist so konfiguriert, dass sie bei Erkennen eines Fehlerzustandes auf Grundlage der erfassten Fahrzeugdaten Steuerbefehle erzeugt, um das Fahrzeug in einen sicheren Zustand zu überführen. Wenn eine Abweichung auftritt, steuert insbesondere die Safety-Steuereinheit 20 die Steuereinheiten 12, 14, 16, 18 so an, dass sich das Fahrzeug selbsttätig in einen sicheren Zustand (z.B. v=0 km/h und letzter erfolgreich übertragener Lenkwinkel) bringen kann. Aufbau und Funktionalität der Safety-Steuereinheit 20 sind in den Ausführungsbeispielen der 2, 3, 4b und 5 detaillierter beschrieben.The autonomous vehicle 10 also includes a safety control unit (safety ECU) 20th which serves to keep the vehicle in a safe condition to keep or to bring to a safe state. The safety control unit 20th is a system-independent control unit in which vehicle data (e.g. CAN or camera data) are recorded, checked and processed in real time. The safety control unit 20th is also designed to use a radio link (see 2 ) to pass on recorded data to a control room and to receive setpoints or control commands from the control room. The safety control unit 20th is configured in such a way that it generates control commands on the basis of the recorded vehicle data upon detection of a fault condition in order to transfer the vehicle to a safe condition. If a deviation occurs, the safety control unit in particular controls 20th the control units 12th , 14th , 16 , 18th in such a way that the vehicle can automatically bring itself to a safe state (e.g. v = 0 km / h and the last successfully transmitted steering angle). Structure and functionality of the safety control unit 20th are in the embodiments of 2 , 3 , 4b and 5 described in more detail.

Das autonome Fahrzeug 10 kann ferner eine Notaus-Steuereinheit 30 umfassen. Die Notaus-Steuereinheit 30 ist so ausgelegt, dass sie über eine Funkverbindung mit einem als Leitstand bezeichneten externen Zentralrechner (im Folgenden „Server“) 100 kommuniziert und, wenn sie von dem Leitstand ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs empfängt, die autonome Steuereinheit 18 beziehungsweise die Steuereinheiten 12, 14 und 16 des Fahrzeugs so ansteuert, dass das Fahrzeug in einen sicheren Zustand (z.B. v=0 km/h und letzter erfolgreich übertragener Lenkwinkel, siehe oben) überführt wird.The autonomous vehicle 10 can also have an emergency stop control unit 30th include. The emergency stop control unit 30th is designed in such a way that it can be connected to an external central computer called a control station (hereinafter "server") 100 communicates and, when it receives an activation signal for a safe condition of the vehicle from the control center, the autonomous control unit 18th or the control units 12th , 14th and 16 controls the vehicle in such a way that the vehicle is brought into a safe state (e.g. v = 0 km / h and the last successfully transferred steering angle, see above).

Das autonome Fahrzeug 10 umfasst ferner eine Benutzerschnittstelle 32 (HMI = Human-Machine-Interface), die einem Fahrzeuginsassen ermöglicht, mit einem oder mehreren Fahrzeugsystemen in Interaktion zu stehen. Diese Benutzerschnittstelle 32 (beispielsweise eine GUI = graphical user interface) kann eine elektronische Anzeige zum Ausgeben einer Graphik, von Symbolen und/oder Inhalt in Textform, und eine Eingabeschnittstelle zum Empfangen einer Eingabe (beispielsweise manuelle Eingabe, Spracheingabe und Eingabe durch Gesten, Kopf- oder Augenbewegungen) umfassen. Die Eingabeschnittstelle kann beispielsweise Tastaturen, Schalter, berührungsempfindliche Bildschirme (Touchscreen), Eye-Tracker und dergleichen umfassen.The autonomous vehicle 10 further comprises a user interface 32 (HMI = Human-Machine-Interface) that enables a vehicle occupant to interact with one or more vehicle systems. This user interface 32 (for example a GUI = graphical user interface) can be an electronic display for outputting graphics, symbols and / or content in text form, and an input interface for receiving input (for example manual input, voice input and input through gestures, head or eye movements) include. The input interface can include, for example, keyboards, switches, touch-sensitive screens (touchscreen), eye trackers and the like.

2 zeigt ein autonomes Fahrzeug 10 gemäß der Erfindung, das über eine Funkverbindung mit einem als Leitstand bezeichneten externen Zentralrechner (im Folgenden „Server“) 100 in Verbindung steht. 2 shows an autonomous vehicle 10 according to the invention, which is connected via a radio link to an external central computer called a control station (hereinafter "server") 100 communicates.

Das autonome Fahrzeug 10 gemäß der Erfindung umfasst insbesondere eine autonome Steuereinheit (ECU 4) 18, eine Safety-Steuereinheit (Safety-ECU) 20 und eine Notaus-Steuereinheit (Notaus-ECU) 30. Von einem Leitstand 100 aus (z.B. initiiert von einem Leitstandmitarbeiter oder einem Softwareleitsystem) wird eine erste Funkverbindung 37 zum Fahrzeug 10 aufgebaut. Das im Fahrzeug 10 integrierte Funkmodul 34 stellt eine Verbindung zu einer systemunabhängigen Safety-ECU 20 her, in der Fahrzeugdaten (z.B. CAN- oder Kameradaten) in Echtzeit erfasst, geprüft und verarbeitet werden. Die Safety-ECU 20 ist dazu ausgelegt, über das Funkmodul 34 mit dem Leitstand 100 zu kommunizieren. Die Safety-ECU 20 ist so ausgelegt, dass sie Daten, wie beispielsweise Soll-Zustandsdaten bzw. Steuerbefehle vom Leitstand empfängt, und Daten, wie beispielsweise Ist-Zustandsdaten (Kamerabilder, Position, Geschwindigkeit und dergleichen) an den Leitstand überträgt.The autonomous vehicle 10 according to the invention in particular comprises an autonomous control unit (ECU 4) 18th , a safety control unit (Safety-ECU) 20th and an emergency stop control unit (emergency stop ECU) 30th . From a control room 100 a first radio connection is established (e.g. initiated by a control room employee or a software control system) 37 to the vehicle 10 built up. That in the vehicle 10 integrated radio module 34 provides a connection to a system-independent safety ECU 20th in which vehicle data (e.g. CAN or camera data) are recorded, checked and processed in real time. The safety ECU 20th is designed to use the radio module 34 with the control center 100 to communicate. The safety ECU 20th is designed in such a way that it receives data such as target status data or control commands from the control center and transmits data such as actual status data (camera images, position, speed and the like) to the control center.

Der Leitstand 100 umfasst einen Zentralrechner (Server) 110 und eine Kommunikationsschnittstelle, im dargestellten Beispiel ein Funkmodul 130. Der Leitstand ist dazu ausgelegt, einen Abgleich der tatsächlichen aktuellen Zustandsdaten (Ist-Zustandsdaten) des Fahrzeugs mit vorgegebenen Soll-Zustandsdaten durchzuführen und, basierend auf einer Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten die Safety-Steuereinheit 20 des Fahrzeugs 10 anzusteuern, um einen sicheren Zustand des Fahrzeugs 10 zu erreichen oder zu erhalten.The control room 100 includes a central computer (server) 110 and a communication interface, in the example shown, a radio module 130 . The control station is designed to compare the actual current status data (actual status data) of the vehicle with specified target status data and, based on a deviation between the target status data and the actual status data, the safety control unit 20th of the vehicle 10 to drive to a safe condition of the vehicle 10 to achieve or to obtain.

Der Leitstand ist ferner dazu ausgelegt, ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs über eine zweite Funkverbindung 38 an eine Notaus-Steuereinheit 30 im Fahrzeug zu übermitteln, wenn die Ist-Zustandsdaten des Fahrzeugs von den vorgegebenen Soll-Zustandsdaten abweichen, wie dies in den 4a und 5 beispielhaft beschrieben ist. Die Ist-Zustandsdaten werden hierbei von der Safety-ECU 20 des Fahrzeugs 10 über die erste Kommunikationsschnittstelle 34 an den Leitstand-Server 110 übermittelt.The control center is also designed to send an activation signal for a safe condition of the vehicle via a second radio link 38 to an emergency stop control unit 30th to be transmitted in the vehicle when the actual status data of the vehicle deviate from the specified target status data, as shown in the 4a and 5 is described by way of example. The actual status data are provided by the safety ECU 20th of the vehicle 10 via the first communication interface 34 to the control room server 110 transmitted.

Der Leitstand ist ferner dazu ausgelegt, bei Abbruch der Funkverbindung mit der Safety-Steuerung über die zweite Funkverbindung 38 ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs an die Notaus-Steuereinheit 30 im Fahrzeug zu übermitteln. Bei Ausfall der Kommunikation mit der Safety-Steuerung über die erste Funkverbindung 37 ist somit eine Aktivierung eines sicheren Zustandes im Fahrzeug über die zweite Funkverbindung 38 noch immer möglich. Die Notaus-Steuereinheit 30 ist hierbei über ein zweites Funkmodul 36 mit dem Leitstand 100 verbunden und ist so ausgelegt, dass sie, wenn sie von dem Leitstand 100 ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs empfängt, die Steuereinheiten 12, 14, 16, 18 des Fahrzeugs so ansteuert, dass das Fahrzeug in einen sicheren Zustand (z.B. v=0 km/h und letzter erfolgreich übertragener Lenkwinkel, siehe oben) überführt wird. Somit wird über ein zweites von der Safety-ECU 20 unabhängiges System ebenfalls eine Funkverbindung zum Fahrzeug 10 hergestellt. Auf diese Weise kann beim Auftreten eines Fehlers das Fahrzeug 10 über die Betätigung eines Notaus-Schalters in einen sicheren Zustand überführt werden. Ein Mitarbeiter im Leitstand kann z.B. einen Handsender betätigen. Weiterhin kann das Leitsystem automatisiert erkennen, dass die Soll-Vorgaben vom Fahrzeug falsch interpretiert bzw. umgesetzt werden und daraufhin den Notaus-Schalter aktivieren (vgl. 4a und entsprechende Beschreibung).The control center is also designed to use the second radio connection if the radio connection with the safety controller is broken 38 an activation signal for a safe condition of the vehicle to the emergency stop control unit 30th to be transmitted in the vehicle. If communication with the safety controller fails via the first radio connection 37 is thus an activation of a safe state in the vehicle via the second radio link 38 still possible. The emergency stop control unit 30th is here via a second radio module 36 with the control center 100 connected and is designed so that when they are from the control room 100 an activation signal for a safe condition of the vehicle receives, the control units 12th , 14th , 16 , 18th controls the vehicle in such a way that the vehicle is brought into a safe state (e.g. v = 0 km / h and the last successfully transferred steering angle, see above). This means that the Safety-ECU uses a second 20th independent system also has a radio link to the vehicle 10 manufactured. In this way, if an error occurs, the vehicle can 10 can be brought into a safe state by actuating an emergency stop switch. An employee in the control room can, for example, operate a hand-held transmitter. Furthermore, the control system can automatically recognize that the target specifications are incorrectly interpreted or implemented by the vehicle and then activate the emergency stop switch (cf. 4a and corresponding description).

Vorteilhafter Weise kann zur Kommunikation zwischen dem Fahrzeug 10 und dem Leitstand 100 ein hybrides Kommunikationssystem eingesetzt werden. Die Kommunikation zwischen dem Fahrzeug 10 und dem Leitstand kann beispielsweise durch die gemeinsame Integration von ad-hoc-basierten Telekommunikations-Standards nach IEEE 802.11, ETSI ITS-G5 im 5,9-GHz-Bereich und der verfügbaren Standards für volldigitale Mobilfunknetze, wie 3GPP Long Term Evolution (LTE) im 800-MHz-, 1800-MHz- und 2600-MHz-Bereich, erreicht werden. Um die Ausfallsicherheit zu erhöhen, verwenden die beiden Funkverbindungen 37, 38 vorzugsweise unterschiedliche Technologien, beispielsweise unterschiedliche Frequenzbänder, unterschiedliche Übertragungsraten, oder dergleichen.It can advantageously be used for communication between the vehicle 10 and the control center 100 a hybrid communication system can be used. Communication between the vehicle 10 and the control center, for example, through the joint integration of ad-hoc-based telecommunications standards according to IEEE 802.11, ETSI ITS-G5 in the 5.9 GHz range and the available standards for fully digital cellular networks, such as 3GPP Long Term Evolution (LTE) in the 800 MHz, 1800 MHz and 2600 MHz range. In order to increase the reliability, the two use radio links 37 , 38 preferably different technologies, for example different frequency bands, different transmission rates, or the like.

Die Safety-ECU 20 gemäß der Erfindung ist dazu ausgelegt, Fahrzeugzustandsparameter (z.B. CAN- oder Kameradaten) in Echtzeit zu erfassen, diese zu verarbeiten und bei Erkennen eines Fehlerzustands eine entsprechende Fahrzeugreaktion einzuleiten, so dass sich das Fahrzeug selbsttätig in einen sicheren Zustand bringt. Die Safety-ECU 20 ist insbesondere dazu ausgelegt, beispielsweise durch den Abgleich der Ist-Zustandsdaten mit vorgegeben Soll-Zustandsdaten zu erkennen, dass ein Fehlerzustand vorliegt und in diesem Fall eine Anweisung oder eine instruktive Aktion an die autonome Steuereinheit 18 zurückzumelden, um das Fahrzeug in einen sicheren Zustand zu überführen. Die Safety-ECU 20 ist insbesondere so konfiguriert, dass sie durch den Abgleich zwischen Soll- und Ist-Zustandsdaten, beispielsweise zwischen Soll- und Ist-Position, Abweichungen in der Steuerung erkennt.The safety ECU 20th According to the invention, it is designed to record vehicle state parameters (e.g. CAN or camera data) in real time, process them and initiate a corresponding vehicle reaction when an error state is detected, so that the vehicle automatically brings itself to a safe state. The safety ECU 20th is designed in particular to recognize, for example by comparing the actual status data with specified target status data, that an error status is present and in this case an instruction or an instructive action to the autonomous control unit 18th report back to bring the vehicle into a safe state. The safety ECU 20th is configured in particular in such a way that it detects deviations in the control system by comparing target and actual status data, for example between target and actual position.

Das Überführen des Fahrzeugs in einen sicheren Zustand kann beispielsweise eine oder mehrere der folgenden Maßnahmen umfassen: Reduzieren der aktuellen Geschwindigkeit, Abbremsen des Fahrzeugs mit einer maximal möglichen Bremskraft, Erhöhung von Sicherheitsabständen, Änderungen bei der Planung und Durchführung von Fahrmanövern (zum Beispiel erhöhte Kurvenradien) und Anhalten des Fahrzeugs an einem sicheren Abstellort (z. B. Seitenstreifen der Autobahn, Straßenrand, Parkplatz). Ferner kann beispielsweise nach einem kurzzeitigen Ausfall der Funkverbindung die Safety-Steuereinheit 20 eine erneute Anforderung des letzten Steuerbefehls der Leitzentrale vornehmen. Daneben sind weitere Maßnahmen denkbar, welche allesamt das Ziel verfolgen, das Fahrzeug vor Sachbeschädigung und dessen Umgebung (z.B. Personen, Hindernisse, Objekte oder andere Fahrzeuge) vor einem Schaden zu schützen.Bringing the vehicle to a safe state can include, for example, one or more of the following measures: reducing the current speed, braking the vehicle with the maximum possible braking force, increasing safety distances, making changes in the planning and execution of driving maneuvers (e.g. increased curve radii) and stopping the vehicle in a safe place (e.g., hard shoulder of the highway, curb, parking lot). Furthermore, the safety control unit can, for example, after a brief failure of the radio link 20th request the last control command from the control center again. In addition, further measures are conceivable, all of which pursue the goal of protecting the vehicle from damage to property and its surroundings (e.g. people, obstacles, objects or other vehicles) from damage.

Die Safety-ECU 20 kann ferner dazu ausgelegt sein, eine Vermeidungs- beziehungsweise Abschwächreaktion des Fahrzeugs auf einen oder mehrere vordefinierte Fehlerzustände bereitzustellen. Die vordefinierten Fehlerzustände können kritischen Fahrsituationen oder Fahrereignissen entsprechen, die ein drohendes Sicherheitsrisiko darstellen. Wenn das autonome Fahrzeug erwartungsgemäß gesteuert wird, kann es sein, dass solche Bedingungen oder Ereignisse nicht oder nur sehr selten auftreten, so dass die endgültige Kontrolle des Fahrzeugs allein bei der autonomen Steuereinheit 18 liegt, die den autonomen Betrieb ermöglicht. Erkennt jedoch die Safety-ECU 20, dass die Soll-Vorgaben vom Fahrzeug falsch interpretiert beziehungsweise umsetzt werden, so kann die Safety-ECU, unabhängig von der Steuereinheit 18 für autonomes Fahren, das Fahrzeugverhalten bestimmen, beispielsweise indem sie Fahrzeugaktuatoren direkt anspricht, oder der Steuereinheit 18 für autonomes Fahren Vorgaben macht, welche diese zu realisieren hat.The safety ECU 20th can furthermore be designed to provide an avoidance or attenuation reaction of the vehicle to one or more predefined error states. The predefined error states can correspond to critical driving situations or driving events that represent an impending safety risk. If the autonomous vehicle is controlled as expected, it is possible that such conditions or events do not occur or only very rarely, so that the final control of the vehicle is solely with the autonomous control unit 18th which enables autonomous operation. However, the Safety-ECU detects 20th that the target specifications are incorrectly interpreted or implemented by the vehicle, the safety ECU can, independently of the control unit 18th for autonomous driving that determine the vehicle behavior, for example by directly addressing vehicle actuators, or the control unit 18th makes specifications for autonomous driving, which this has to be implemented.

Die Safety-ECU kann beispielsweise dazu ausgelegt sein, durch den Abgleich der Ist-Zustandsdaten mit vorgegeben Soll-Zustandsdaten ein Abweichen der Daten (beispielsweise einen zu geringen Sicherheitsabstand) und somit eine kritische Fahrsituation, beispielsweise eine drohende Kollision mit einem vorausfahrenden Fahrzeug oder einem ortsfesten Hindernis, zu erkennen und in diesem Fall autonom einen Notbremsvorgang mit einer maximal möglichen Bremskraft beziehungsweise einer maximal möglichen Verzögerung des Eigenfahrzeugs einzuleiten, um das Fahrzeug in einen sicheren Zustand zu überführen oder zumindest um die Folgen einer möglichen Kollision zu mindern.The safety ECU can, for example, be designed to compare the actual status data with the specified target status data to avoid any discrepancies between the data (for example, a safety distance that is too small) and thus a critical driving situation, for example an impending collision with a vehicle ahead or a stationary vehicle Recognize obstacle and in this case autonomously initiate an emergency braking process with a maximum possible braking force or a maximum possible deceleration of the own vehicle in order to put the vehicle in a safe state or at least to reduce the consequences of a possible collision.

Die Safety-ECU 20 ist ferner dazu ausgelegt, über den Fahrzeugkommunikationsbus (28 in 1) Zustandsdaten von der autonomen Steuereinheit und/oder über das Fahrzeugkommunikationsnetzwerk 28 von anderen Fahrzeugkomponenten zu empfangen. Die Safety-ECU 20 kann insbesondere dazu ausgelegt sein, von der autonomen Steuereinheit 18 Eingaben zu empfangen. Die von der autonomen Steuereinheit 18 bereitgestellten Eingaben können beispielsweise einer von der Sensoreinheit 26 erfassten aktuellen Position des Fahrzeugs, einer Geschwindigkeit, einer Beschleunigung, einem Lenkwinkel und dergleichen entsprechen. Alternativ kann die Safety-ECU 20 diese Informationen auch direkt von den jeweiligen Fahrzeugkomponenten erhalten.The safety ECU 20th is also designed to use the vehicle communication bus ( 28 in 1 ) Status data from the autonomous control unit and / or via the vehicle communication network 28 from other vehicle components. The safety ECU 20th can in particular be designed to be used by the autonomous control unit 18th Receive input. The ones from the autonomous control unit 18th The inputs provided can, for example, be one from the sensor unit 26th the detected current position of the vehicle, a speed, an acceleration, a steering angle and the like. Alternatively, the Safety-ECU 20th receive this information directly from the respective vehicle components.

Die Safety-ECU 20 kann die aktuellen Zustandsdaten regelmäßig mit einer vorgegebenen Frequenz ermitteln bzw. abrufen. Die Zustandsdatenermittlungsfrequenz kann in Abhängigkeit von der Fahrzeuggeschwindigkeit variieren, z. B. kann die Zustandsdatenermittlungsfrequenz bei zunehmender Geschwindigkeit zunehmen.The safety ECU 20th can determine or retrieve the current status data regularly at a specified frequency. The condition data acquisition frequency may vary depending on the vehicle speed, e.g. B. the status data determination frequency can increase with increasing speed.

Alternativ zu dem in 2 dargestellten Ausführungsbeispiel können auch mehrere Safety-ECUs im Fahrzeug vorgesehen sein, um eine Ausfallsicherung oder einen Bypass des autonomen Steuersystems (ECU4) zu realisieren. Auch kann die hier beschriebene Funktionalität der Safety-ECU und die Funktionalität der Steuereinheit 18 für autonomes Fahren zusammen in einer gemeinsamen Steuereinheit realisiert werden.As an alternative to the in 2 A plurality of safety ECUs can also be provided in the vehicle in order to implement a failover or a bypass of the autonomous control system (ECU4). The functionality of the safety ECU described here and the functionality of the control unit 18th for autonomous driving can be implemented together in a common control unit.

3 zeigt ein Blockdiagramm, das eine beispielhafte Konfiguration der Safety-ECU (Safety-ECU) 20 darstellt. Bei der Safety-ECU kann es sich beispielsweise um ein Steuergerät (electronic control unit ECU oder electronic control module ECM) handeln. Die Safety-ECU umfasst einen Prozessor 40. Bei dem Prozessor 40 kann es sich beispielsweise um eine Recheneinheit wie eine zentrale Verarbeitungseinheit (CPU = central processing unit) handeln, die Programminstruktionen ausführt. Die Safety-ECU 20 umfasst ferner einen Speicher und eine Eingabe/ Ausgabe-Schnittstelle. Der Speicher kann aus einem oder mehreren nichtflüchtigen computerlesbaren Medien bestehen und umfasst mindestens einen Programmspeicherbereich und einen Datenspeicherbereich. Der Programmspeicherbereich und der Datenspeicherbereich können Kombinationen von verschiedenen Arten von Speicher umfassen, beispielsweise von einem Nur-Lese-Speicher 43 (ROM = Read-only memory) und einem Direktzugriffsspeicher 42 (RAM = Random Access Memory) (z. B. dynamischer RAM („DRAM“), synchron DRAM („SDRAM“) usw.). Ferner kann die Safety-ECU ein externes Speicherlaufwerk 44, wie beispielsweise ein externes Festplattenlaufwerk (hard disk drive: HDD), ein Flashspeicher-Laufwerk oder ein nicht flüchtiges Festkörperlaufwerk (solid state drive: SSD) umfassen. Die Safety-ECU 20 umfasst ferner eine Kommunikationsschnittstelle 45, über welche die Steuereinheit mit dem Fahrzeugkommunikationsnetzwerk (28 in 1) kommunizieren kann. 3 shows a block diagram showing an exemplary configuration of the Safety-ECU (Safety-ECU) 20th represents. The safety ECU can, for example, be a control device (electronic control unit ECU or electronic control module ECM). The safety ECU includes a processor 40 . At the processor 40 For example, it can be a computing unit such as a central processing unit (CPU) that executes program instructions. The safety ECU 20th further comprises a memory and an input / output interface. The memory can consist of one or more non-transitory computer-readable media and comprises at least a program storage area and a data storage area. The program memory area and the data memory area can comprise combinations of different types of memory, for example read-only memory 43 (ROM = Read-only memory) and a random access memory 42 (RAM = Random Access Memory) (e.g. dynamic RAM ("DRAM"), synchronous DRAM ("SDRAM"), etc.). The Safety-ECU can also use an external storage drive 44 such as an external hard disk drive (HDD), a flash memory drive, or a nonvolatile solid state drive (SSD). The safety ECU 20th further comprises a communication interface 45 via which the control unit connects to the vehicle communication network ( 28 in 1 ) can communicate.

Mit Bezug auf 4a wird zunächst ein beispielhaftes Verfahren aus Sicht des Leitstandes (100 in 2) beschrieben. Das Verfahren kann beispielsweise von einem Prozessor des Servers (110 in 2) im Leitstand ausgeführt werden. In einem Schritt S400 sendet der Leitstand über eine erste Funkverbindung (37 in 2) eine Soll-Position an die Safety-ECU (20 in 2) des Fahrzeugs (siehe 4b für eine Nutzung dieser Information durch die Safety-ECU). In einem Schritt S402 ruft der Leitstand über die erste Funkverbindung eine Ist-Position von der Safety-ECU des Fahrzeugs ab. In einem Schritt S404 überprüft der Leitstand, ob die Ist-Position von der Safety-ECU empfangen wurde oder nicht. Wurde die von der Safety-ECU übersandte Ist-Position korrekt im Leitstand empfangen (d.h. es liegt beispielsweise kein Ausfall der Funkverbindung vor), so wird mit Schritt S406 fortgefahren. In Schritt S406 wird bestimmt, ob die Differenz zwischen der Soll-Position und der Ist-Position einen vorgegebenen Schwellwert S überschreitet oder nicht. Wird bestimmt, dass die Differenz zwischen der Soll-Position und der Ist-Position den vorgegebenen Schwellwert S nicht überschreitet, so folgert der Leitstand daraus, dass die Soll-Vorgaben vom Fahrzeug richtig interpretiert bzw. umgesetzt wurden, und der Prozess wird neu gestartet. Wird dagegen bestimmt, dass die Differenz den vorgegebenen Schwellwert S überschreitet, so folgert der Leitstand daraus, dass die Soll-Vorgaben vom Fahrzeug falsch interpretiert bzw. umgesetzt wurden und es wird mit Schritt S408 fortgefahren. In einem Schritt S408 wird, über eine zweite Funkverbindung (38 in 2), ein Aktivierungssignal für einen sicheren Zustand an die Notaus-Steuereinheit (30 in 2) des Fahrzeugs übertragen. Die Schritte, die in der Notaus-Steuereinheit durchgeführt werden, werden nachstehend mit Bezug auf 4c beschrieben. Wurde in Schritt S404 keine Ist-Position von der Safety-ECU empfangen, beispielsweise im Fall eines Abbruchs der Funkverbindung zwischen Fahrzeug und Leitstand, so geht der Prozess unmittelbar zu Schritt S408 über und es wird direkt ein Aktivierungssignal für einen sicheren Zustand an die Notaus-Steuereinheit des Fahrzeugs übertragen.Regarding 4a First, an exemplary procedure from the point of view of the control center ( 100 in 2 ) described. The method can be used, for example, by a processor of the server ( 110 in 2 ) are carried out in the control room. In one step S400 the control center sends via an initial radio link ( 37 in 2 ) a target position to the safety ECU ( 20th in 2 ) of the vehicle (see 4b for the use of this information by the Safety-ECU). In one step S402 the control center calls up an actual position from the safety ECU of the vehicle via the first radio link. In one step S404 the control center checks whether the actual position has been received from the safety ECU or not. If the actual position sent by the Safety-ECU was correctly received in the control center (ie there is no failure of the radio link, for example), then step S406 proceeded. In step S406 it is determined whether the difference between the target position and the actual position exceeds a predetermined threshold value S or not. If it is determined that the difference between the target position and the actual position does not exceed the specified threshold value S, the control station concludes from this that the target specifications have been correctly interpreted or implemented by the vehicle, and the process is restarted. If, on the other hand, it is determined that the difference exceeds the specified threshold value S, the control center concludes from this that the target specifications have been incorrectly interpreted or implemented by the vehicle, and step is followed S408 proceeded. In one step S408 via a second radio link ( 38 in 2 ), an activation signal for a safe state to the emergency stop control unit ( 30th in 2 ) of the vehicle. The steps performed in the emergency stop control unit are described below with reference to FIG 4c described. Has been in step S404 If no actual position is received from the Safety-ECU, for example in the event of a break in the radio connection between the vehicle and the control center, the process goes directly to step S408 via and an activation signal for a safe condition is transmitted directly to the emergency stop control unit of the vehicle.

Der Abgleich des Soll- und Ist-Zustandes vom Fahrzeug kann z.B. mit Hilfe einer klassischen „WatchDog“-Funktionalität erfolgen. Der Schwellwert S ist im Leitstand entweder fest vorgegeben (z.B. S = 2m), oder kann im Leitstand auch dynamisch in Abhängigkeit anderer Größen wie beispielsweise der Geschwindigkeit des Fahrzeugs oder dergleichen festgelegt werden.The comparison of the target and actual state of the vehicle can e.g. with the help of a classic "WatchDog" functionality. The threshold value S is either fixed in the control room (e.g. S = 2m), or can also be set dynamically in the control room as a function of other variables such as the speed of the vehicle or the like.

Oben wurde ein automatisierter Prozess zur Initiierung eines Notaus-Prozesses beschrieben. Alternativ könnten die Sollposition und die Istposition des Fahrzeugs (und ggf. auch andere vom Fahrzeug erhaltene Informationen) auch einem Leitstandsmitarbeiter auf einem Bildschirm angezeigt werden, so dass dieser ein Notaus manuell einleiten kann, falls er dies für erforderlich hält.An automated process for initiating an emergency stop process was described above. Alternatively, the target position and the actual position of the vehicle (and possibly also other information received from the vehicle) could also be displayed to a control center employee on a screen so that he or she can manually initiate an emergency stop if he considers this to be necessary.

Mit Bezug auf 4b wird im Folgenden ein beispielhaftes Verfahren aus Sicht der Safety-ECU (20 in 2) beschrieben. Das Verfahren kann beispielsweise von einem Prozessor (40 in 3) der Safety-ECU ausgeführt werden. In einem Schritt S450 sendet die Safety-ECU über die erste Funkverbindung die Ist-Position des Fahrzeugs an den Leitstand-Server (vgl. Schritt S402 in 4a). In einem Schritt S452 empfängt die Safety-ECU, über die erste Funkverbindung, die vorgegebene Soll-Position vom Leitstand-Server (vgl. Schritt S400 in 4a). In einem Schritt S454 wird bestimmt, ob die Differenz zwischen der Soll-Position und der Ist-Position einen vorgegebenen Schwellwert S überschreitet oder nicht. Wird bestimmt, dass die Differenz zwischen der Soll-Position und der Ist-Position den vorgegebenen Schwellwert S nicht überschreitet, so folgert die Saefety-ECU daraus, dass die Soll-Vorgaben vom Fahrzeug richtig interpretiert bzw. umgesetzt wurden, und der Prozess wird neu gestartet. Wird dagegen bestimmt, dass die Differenz den vorgegebenen Schwellwert S überschreitet, so folgert die Safety-ECU daraus, dass die Soll-Vorgaben vom Fahrzeug falsch interpretiert bzw. umgesetzt wurden und es wird mit Schritt S456 fortgefahren. In Schritt S456 steuert die Safety-ECU die autonome Steuereinheit des Fahrzeugs so an, dass das Fahrzeug in einen sicheren Zustand überführt wird. Regarding 4b an exemplary procedure from the point of view of the safety ECU ( 20th in 2 ) described. The method can be used, for example, by a processor ( 40 in 3 ) of the Safety-ECU. In one step S450 The Safety-ECU sends the actual position of the vehicle to the control room server via the first radio link (see step S402 in 4a) . In one step S452 the Safety-ECU receives the specified target position from the control room server via the first radio link (see step S400 in 4a) . In one step S454 it is determined whether the difference between the target position and the actual position exceeds a predetermined threshold value S or not. If it is determined that the difference between the target position and the actual position does not exceed the specified threshold value S, the safety ECU concludes from this that the target specifications have been correctly interpreted or implemented by the vehicle, and the process is new started. If, on the other hand, it is determined that the difference exceeds the specified threshold value S, the safety ECU concludes from this that the target specifications have been incorrectly interpreted or implemented by the vehicle, and step is followed S456 proceeded. In step S456 the safety ECU controls the autonomous control unit of the vehicle in such a way that the vehicle is put into a safe state.

Mit Bezug auf 4c wird im Folgenden das Verfahren aus Sicht der Notaus-Steuereinheit (30 in 2) beschrieben. In einem Schritt S480 bestimmt die Notaus-Steuereinheit, ob ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs von dem Leitstand-Server empfangen wurde oder nicht (vgl. Schritt S408 in 4a). Wird bestimmt, dass kein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs empfangen wurde, so wird der Prozess neu gestartet. Wird dagegen bestimmt, dass ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs empfangen wurde, so steuert die Notaus-Steuereinheit die autonome Steuereinheit des Fahrzeugs so an, dass das Fahrzeug in einen sicheren Zustand überführt wird.Regarding 4c The following describes the procedure from the point of view of the emergency stop control unit ( 30th in 2 ) described. In one step S480 the emergency stop control unit determines whether or not an activation signal for a safe condition of the vehicle has been received by the control room server (see step S408 in 4a) . If it is determined that no activation signal for a safe condition of the vehicle has been received, the process is restarted. If, on the other hand, it is determined that an activation signal for a safe state of the vehicle has been received, the emergency stop control unit controls the autonomous control unit of the vehicle in such a way that the vehicle is transferred to a safe state.

Mit den Ausführungsformen der 4a, b, und c liegt damit liegt eine redundante Sicherheitsfunktionalität vor, denn sollte ein Problem mit der Funkverbindung zur Safety-ECU bestehen (Funkverbindung 37 in 2), so dass die Safety-ECU nicht selbst dazu in der Lage ist, ein erforderliches Notaus zu erkennen oder zu initieren, so kann dies dennoch der Leitstand erkennen und über die redundante Funkverbindung (Funkverbindung 38 in 2) zur Notaus-ECU des Fahrzeugs ein Notaus initiert werden.With the embodiments of 4a, b , and c if there is redundant safety functionality, if there is a problem with the radio connection to the safety ECU (radio connection 37 in 2 ), so that the Safety-ECU is not able to recognize or initiate a necessary emergency stop itself, the control center can still recognize this and via the redundant radio connection (radio connection 38 in 2 ) an emergency stop can be initiated for the emergency stop ECU of the vehicle.

5a zeigt ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung, wobei die Schritte dargestellt sind, die in dem Leitstand-Server ausgeführt werden. In einem Schritt S500 bestimmt der Leitstand-Server eine Soll-Trajektorie für das Fahrzeug. In einem Schritt S502 ruft der Leitstand über die erste Funkverbindung eine Ist-Trajektorie von der Safety-ECU des Fahrzeugs ab. In einem Schritt S504 empfängt der Leitstand über die erste Funkverbindung zudem Kamerabilder von der Safety-ECU des Fahrzeugs. In einem Schritt S506 werden die Kamerabilder zusammen mit der Soll- und Ist-Trajektorie visualisiert und beispielsweise auf einem Bildschirm zur Anzeige gebracht. Auf diese Weise ist für einen Leitstandsmitarbeiter ein komfortabler Abgleich des Fahrzeugistzustandes mit dem Sollzustand möglich. Gemäß dem in 5a dargestellten Ausführungsbeispiel werden somit zur Plausibilisierung des Fahrzeugzustandes Kamerabilder verwendet, in denen die Soll- und Ist-Trajektorie des Fahrzeugs visualisiert ist. 5a Figure 3 shows a further embodiment of a method according to the present invention, showing the steps that are carried out in the control room server. In one step S500 the control room server determines a target trajectory for the vehicle. In one step S502 the control center calls up an actual trajectory from the safety ECU of the vehicle via the first radio link. In one step S504 the control center also receives camera images from the vehicle's safety ECU via the first radio link. In one step S506 the camera images are visualized together with the target and actual trajectories and displayed on a screen, for example. In this way, a control center employee can conveniently compare the actual vehicle status with the target status. According to the in 5a Thus, camera images are used to check the plausibility of the vehicle state, in which the target and actual trajectories of the vehicle are visualized.

5b zeigt ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung, wobei die Schritte dargestellt sind, die in dem Leitstand-Server ausgeführt werden. In einem Schritt S550 bestimmt der Leitstand-Server eine Sollposition und eine Sollausrichtung (Heading) für das Fahrzeug. In einem Schritt S552 erfolgt ein modellbasiertes Bestimmen eines Umgebungsbildes auf Grundlage der Sollposition und der Sollausrichtung. In einem Schritt S554 wird das Bild an die Safety-ECU des Fahrzeugs übertragen. In diesem Fall wird modellbasiert ein Bild von der Fahrzeugumgebung erzeugt, das den Sollvorgaben des Leitstands entspricht. 5b Figure 3 shows a further embodiment of a method according to the present invention, showing the steps that are carried out in the control room server. In one step S550 the control room server determines a target position and a target orientation (heading) for the vehicle. In one step S552 a model-based determination of an image of the surroundings takes place on the basis of the target position and the target orientation. In one step S554 the image is transmitted to the vehicle's safety ECU. In this case, a model-based image of the vehicle environment is generated that corresponds to the target specifications of the control center.

Dieses Bild wird vom Leitstand and die Safety-ECU übertragen. Durch diese Bildübertragung kann die Fahrzeug-interne Lokalisierung plausibilisiert werden, beispielsweise indem das vom Leitstand empfangene modellbasierte Bild mit ein oder mehreren Bildern der Umfeldsensoren (26 in 1), beispielsweise einer Kamera, verglichen wird. D.h., mit Hilfe einer modellbasierten Plausibilisierung kann ebenfalls ein Abgleich des Fahrzeugzustandes erfolgen. Es können beispielsweise Straßen-, Gebäude- und Landschafts-Modelle herangezogen werden, wie sie dem Fachmann aus Navigationssystemen bekannt sind.This image is transmitted from the control station to the safety ECU. This image transmission can be used to check the plausibility of the vehicle's internal localization, for example by combining the model-based image received from the control center with one or more images of the surroundings sensors ( 26th in 1 ), for example a camera. That is, with the help of a model-based plausibility check, the vehicle status can also be compared. For example, street, building and landscape models can be used as they are known to those skilled in the art from navigation systems.

6a zeigt eine Ausführungsform der Übertragung von Steuerbefehlen vom Leitstand zur Safety-ECU. Ein erster Steuerbefehl „Soll-Lenkwinkel = - 90°“ (scharf links) wird an die Safety-ECU übersandt. Der Steuerbefehl enthält als zusätzliche Information einen Zeitstempel 7:52:20, der angibt, für welche Uhrzeit der Steuerbefehl vorgesehen ist. Zwei Sekunden später wird ein zweiter Steuerbefehl „Soll-Lenkwinkel = 0°“ (geradaus) mit Zeitstempel 7:52:22 an die Safety-ECU übersandt. Danach wird ein dritter Steuerbefehl „Soll-Lenkwinkel = + 90°“ (scharf rechts) mit Zeitstempel 7:52:23 an die Safety-ECU übersandt. Ist die Funkverbindung zwischen Leitstand und Safety-ECU unterbrochen, so werden Befehle vom Leitstand bzw. der Kommunikationseinrichtung für die Dauer des Ausfalls zwischengespeichert und nach Wiederaufbau der Funkverbindung übermittelt. Anhand der Zeitstempel kann die Safety-ECU erkennen, für welchen Zeitpunkt ein Steuerbefehl vorgesehen war und notfalls Befehle verwerfen oder korrigieren, um den kurzzeitigen Ausfall der Funkverbindung zu kompensieren. Alternativ oder zusätzlich können auch Positionierungsdaten auf diese Weise übertragen werden. 6a shows an embodiment of the transmission of control commands from the control station to the safety ECU. A first control command “target steering angle = - 90 °” (sharp left) is sent to the safety ECU. The control command contains a time stamp 7:52:20 as additional information, which specifies the time of day for the control command. Two seconds later, a second control command “Target steering angle = 0 °” (straight ahead) with a time stamp of 7:52:22 is sent to the Safety ECU. Then a third control command “target steering angle = + 90 °” (sharp right) with time stamp 7:52:23 is sent to the safety ECU. Is the radio connection between the control center and the safety ECU interrupted, commands from the control station or the communication device are temporarily stored for the duration of the failure and transmitted after the radio link has been re-established. Using the time stamp, the Safety-ECU can recognize the point in time for which a control command was intended and, if necessary, reject or correct commands in order to compensate for the brief failure of the radio link. Alternatively or additionally, positioning data can also be transmitted in this way.

6b zeigt eine weitere Ausführungsform der Übertragung von Steuerbefehlen vom Leitstand zur Safety-ECU. Ein Steuerbefehl „Soll-Lenkwinkel = - 10°“ wird an die Safety-ECU übersandt. Ein Parameter „aktuell“ gibt an, dass es sich dabei um einen aktuell gültigen Steuerbefehl handelt. Gleichzeitig mit der Übersendung dieses Steuerbefehls wird ein zweiter Steuerbefehl „Soll-Lenkwinkel = - 8°“ an die Safety-ECU übersandt. Ein Parameter „vorherig“ gibt an, dass es sich bei diesem Steuerbefehl um einen dem aktuellen Steuerbefehl unmittelbar vorhergehenden Steuerbefehl handelt, also den zuletzt von der Leitstelle gesendeten Steuerbefehl. Durch Vergleich dieses vorherigen Steuerbefehls mit dem in der Safety-ECU vorliegenden Steuerbefehl kann die Safety-ECU erkennen, ob ein konsistenter Empfang von Steuerbefehlen erfolgt, oder ob womöglich Steuerbefehle aufgrund von Übertragungsfehlern verloren gegangen sind. Alternativ könnten Steuerbefehle auch mit laufenden Nummern versehen werden und die Safety-ECU könnte anhand der Nummern der empfangenen Befehle solche Rückschlüsse ziehen. Alternativ oder zusätzlich können auch Positionierungsdaten auf diese Weise übertragen werden. 6b shows another embodiment of the transmission of control commands from the control station to the safety ECU. A control command "target steering angle = - 10 °" is sent to the safety ECU. A "current" parameter indicates that this is a currently valid control command. Simultaneously with the transmission of this control command, a second control command “target steering angle = - 8 °” is sent to the safety ECU. A “previous” parameter indicates that this control command is a control command immediately preceding the current control command, ie the control command last sent by the control center. By comparing this previous control command with the control command present in the Safety-ECU, the Safety-ECU can recognize whether control commands have been received consistently or whether control commands have possibly been lost due to transmission errors. Alternatively, control commands could also be provided with sequential numbers and the safety ECU could draw such conclusions based on the numbers of the commands received. Alternatively or additionally, positioning data can also be transmitted in this way.

Die Safety-Steuereinheit 20 kann ferner so ausgelegt sein, dass sie einen Fehler auf Grundlage eines vorgegebenen Schwellwerts ausgibt. Wenn die Abweichung von einer Ist-Größe zu einem zuvor empfangenen Steuerbefehl über einer definierten Schwelle liegt, dann liegt höchstwahrscheinlich ein Übermittlungsfehler vor (z.B. Lenkwinkel vorher 90° links, neuer Lenkwinkel 90° rechts). Diese Situation kann dann durch die erneute Anforderung des letzten Steuerbefehls gelöst werden.The safety control unit 20th can furthermore be designed such that it outputs an error on the basis of a predetermined threshold value. If the deviation from an actual value to a previously received control command is above a defined threshold, then there is most likely a transmission error (e.g. steering angle previously 90 ° left, new steering angle 90 ° right). This situation can then be resolved by requesting the last control command again.

Um die Konsistenz der Daten, d.h. der Steuerbefehle bzw. Sollwerte vom Leitstand and die Safety-Steuereinheit bzw. von Sensordaten und Fahrzeuginformationen von der Safety-ECU and den Leitstand sicherzustellen, könnten diese mit Hilfe der BlockChain-Technologie übertragen und validiert werden.To ensure the consistency of the data, i.e. to ensure the control commands or setpoints from the control center to the safety control unit or of sensor data and vehicle information from the safety ECU to the control center, these could be transmitted and validated with the help of BlockChain technology.

Als weitere Alternative wird vom Leitsystem ein sicherer Fahrbereich („Safety-Area“) definiert und an das Fahrzeug übermittelt. Durch diese Übermittlung einer Safety-Area durch das Leitsystem können bestimmte Pfade vom Leitsystem z.B. gesperrt oder eingeschränkt werden. Die Definition einer virtuellen Grenze kann entweder Positionsabhängig via GNSS-Technologie (oder andere Funktechnologien wie WLAN oder UWB) vom Leitsystem definiert werden oder ist abhängig von einer Umfeldsensorik welche in der Infrastruktur der Umgebung verbaut ist. Falls die Funkverbindung zum Leitstand abbricht, darf sich das Fahrzeug weiterhin in der gegebenen Safety-Area bewegen. Fällt die Funkverbindung über einen längeren Zeitraum aus, kann die weitere Steuerung kaskadenartig durch den Abgleich mit bereits übermittelten Fahrzeugdaten bis hin zum Not-Stop realisiert werden. Erkennt das Fahrzeug beispielsweise selbst über ein Lokalisierungsverfahren, dass es eine gegebene Safety-Area verlässt, dann schaltet es sich selbsttätig ab (v=0 km/h). Hierfür wird beispielsweise eine prädizierte (nächste erwartete) Ist-Position auf Grundlage der aktuellen Fahrzeuggeschwindigkeit und Orientierung berechnet (Safety-Area-Position und Heading), um vorherzusagen, wohin sich das Fahrzeug bewegen wird. Danach erfolgt ein Abgleich der durch die Safety-Area vom Leitstand vorgegebene Soll-Position (bzw. Sollpositionen) mit der Fahrzeug-internen Berechnung (prädizierte Position). Wird anhand einer Abweichung zwischen Soll und Prädiktion erkannt, dass das Fahrzeug die Safety-Area verlässt, dann schaltet das Fahrzeug selbsttätig ab. Bei dieser Alternative kann der Funk-Notaus-Schalter ggf. eingespart werden.As a further alternative, the control system defines a safe driving area (“Safety Area”) and transmits it to the vehicle. This transmission of a safety area by the control system enables certain paths from the control system, e.g. blocked or restricted. The definition of a virtual boundary can either be defined by the control system as a function of position via GNSS technology (or other radio technologies such as WLAN or UWB) or it is dependent on an environment sensor system which is built into the infrastructure of the environment. If the radio connection to the control center breaks down, the vehicle may continue to move in the given safety area. If the radio connection fails over a longer period of time, further control can be implemented in a cascade-like manner by comparing it with vehicle data that has already been transmitted, including an emergency stop. For example, if the vehicle detects that it is leaving a given safety area using a localization process, it switches itself off (v = 0 km / h). For this purpose, for example, a predicted (next expected) actual position is calculated on the basis of the current vehicle speed and orientation (safety area position and heading) in order to predict where the vehicle will move. The target position (or target positions) specified by the safety area from the control center is then compared with the vehicle-internal calculation (predicted position). If, on the basis of a deviation between the target and the prediction, it is recognized that the vehicle is leaving the safety area, the vehicle switches off automatically. With this alternative, the radio emergency stop switch can be saved if necessary.

Zusätzlich oder alternativ kann auch dynamisch eine Safety-Area um das Fahrzeug selbst definiert werden. Zur Definition der Safety-Area können beispielsweise mit Hilfe der GNSS-Technologie oder von Daten von Umfeldsensoren virtuelle Grenzen um das Fahrzeug herum errichtet werden. Eine solche unmittelbar vor dem Fahrzeug befindliche Safety-Area kann insbesondere ganz oder in Teilgebiete zerlegt für andere Fahrzeuge gesperrt werden. Somit kann z.B. eine Kollision mit anderen Fahrzeugen vermieden werden. Eine solche dynamische SafetyArea (virtuelle Grenze) um das Fahrzeug selbst kann durch die am Fahrzeug befindliche Umfeldsensorik zudem überwacht werden. In der Safety-Area können z.B. Hindernisse, Objekte oder fremde Fahrzeuge aufgeführt werden. Die Safety-Area oder deren Teilbereiche können auch verwendet werden, um benutzerdefinierte Warnmeldungen auszulösen, z.B. Informationen über Geschwindigkeitsbegrenzungen oder andere Sicherheitshinweise.Additionally or alternatively, a safety area can be dynamically defined around the vehicle itself. To define the safety area, virtual boundaries can be set up around the vehicle with the help of GNSS technology or data from environment sensors, for example. Such a safety area located directly in front of the vehicle can, in particular, be blocked completely or broken down into sub-areas for other vehicles. Thus e.g. a collision with other vehicles can be avoided. Such a dynamic safety area (virtual boundary) around the vehicle itself can also be monitored by the environment sensors on the vehicle. In the safety area, e.g. Obstacles, objects or foreign vehicles are listed. The safety area or its sub-areas can also be used to trigger user-defined warning messages, e.g. Information about speed limits or other safety notices.

BezugszeichenlisteList of reference symbols

1010: autonomes Fahrzeugautonomous vehicle
1212th: Steuereinheit für LenksystemControl unit for steering system
1414th: Steuereinheit für BremssystemControl unit for braking system
1616: Steuereinheit für AntriebstrangControl unit for drive train
1818th: Steuereinheit für autonomes FahrenControl unit for autonomous driving
2020th: Safety-Steuereinheit (Safety-ECU)Safety control unit (Safety ECU)
2424: SatellitennavigationseinheitSatellite navigation unit
2626th: SensoreinrichtungSensor device
2828: FahrzeugkommunikationsnetzwerkVehicle communication network
3030th: Notaus-Steuereinheit (Notaus-ECU)Emergency stop control unit (emergency stop ECU)
3232: BenutzerschnittstelleUser interface
3434: Funkmodul der Safety-ECURadio module of the safety ECU
3636: Funkmodul der Notaus-SteuereinheitRadio module of the emergency stop control unit
3737: erste Funkverbindungfirst radio connection
3838: zweite Funkverbindungsecond radio link
4040: Prozessorprocessor
4242: RAM-SpeicherRAM
4343: ROM-SpeicherROM memory
4444: SpeicherlaufwerkStorage drive
4545: KommunikationsschnittstelleCommunication interface
100100: LeitstandControl room
110110: Leitstand-ServerControl room server
130130: Leitstand-FunkmodulControl room radio module

Claims

Control unit (20) for an autonomous or partially autonomous vehicle (10), comprising a processor (40) which is designed to to receive actual status data relating to the vehicle (10) via an interface (45) to a vehicle communication network (28), to receive target status data or control commands from a control system (100) via an interface (47) to a radio link (37); to determine a deviation between the target status data and the actual status data; and to control one or more vehicle components (12, 14, 16, 18) based on the deviation between the target state data and the actual state data in order to achieve or maintain a safe state of the vehicle (10).

Control unit (20) Claim 1 , wherein the processor (40) is designed to send the actual status data to the control system (100) via the radio link (37).

Control unit (20) Claim 1 or 2 , wherein the actual status data include a position, a speed, a steering angle, a yaw rate, a yaw rate, a position angle, a position angle acceleration, an acceleration and / or a lateral acceleration, or data from environment sensors.

Control unit (20) according to one of the preceding claims, wherein the target status data include a target position, a target orientation or control commands.

Control unit (20) according to one of the preceding claims, wherein the target status data comprise a model-based image and the processor (40) is designed to recognize the deviation between the specified target status data and the actual status data on the basis of a model-based plausibility check.

Control unit (20) according to one of the preceding claims, wherein the processor (40) is designed to evaluate time stamps that are received with the target status data.

Control unit (20) according to one of the preceding claims, wherein the target status data include information that defines a safe driving area.

Control system for an autonomous or partially autonomous vehicle (10), comprising the control unit (20) according to one of the preceding claims, as well as an emergency stop control unit (30) which is designed to send an activation signal for a safe state via a second radio link (38) of the vehicle, and to control one or more vehicle components (12, 14, 16, 18) in response to the activation signal in such a way that a safe state of the vehicle is achieved.

Vehicle (10) comprising a control unit (20) according to one of the Claims 1 to 7th or a tax system according to Claim 8 .

Control system (100) for an autonomous or partially autonomous vehicle (10), comprising a processor (110) which is designed to: To send target status data via a radio link (37) to a control unit (20) of an autonomous or partially autonomous vehicle (10); Receiving actual status data via the radio link (37) from the control unit (20) of the autonomous or partially autonomous vehicle (10); to determine a deviation between the target status data and the actual status data; and to control the control unit (20) of the autonomous or semi-autonomous vehicle (10) via the radio link (37) based on the deviation between the target status data and the actual status data in order to achieve or maintain a safe status of the vehicle (10).

Control system (100) Claim 10 , wherein the processor (110) is further designed, based on the deviation between the target status data and the actual status data or on the basis of a manual command to control an emergency stop control unit (30) in the autonomous or semi-autonomous vehicle (10) via a second radio link (38) in order to bring the vehicle (10) into a safe state.

A method for controlling an autonomous or partially autonomous vehicle (10), comprising the steps: Obtaining, via an interface (45) to a vehicle communication network (28), actual status data relating to the vehicle (1), Receiving, via an interface (47) to a radio link (37), from a control system (100) of target status data or control commands; Determining a deviation between the target status data and the actual status data; and Activate one or more vehicle components (12, 14, 16, 18) based on the deviation between the target status data and the actual status data in order to achieve or maintain a safe status of the vehicle (10).

A method for managing an autonomous or partially autonomous vehicle (10), comprising the steps: Sending target status data via a radio link (37) to a control unit (20) of an autonomous or semi-autonomous vehicle (10); Receiving actual status data via the radio link (37) from the control unit (20) of the autonomous or semi-autonomous vehicle (10); Determining a deviation between the target status data and the actual status data; and Control, based on the discrepancy between the target status data and the actual status data, from the control unit (20) of the autonomous or partially autonomous vehicle (10) via the radio link (37) in order to achieve a safe status of the vehicle (10) or to obtain.

Procedure according to Claim 13 , the method further comprising the step of: controlling, based on the deviation between the target status data and the actual status data or on the basis of a manual command, an emergency stop control unit (30) in the autonomous or semi-autonomous vehicle (10) via a second radio link (38) to bring the vehicle (10) into a safe state.