CN113119994A - 用于运行自动驾驶车辆的方法和设备 - Google Patents

用于运行自动驾驶车辆的方法和设备 Download PDF

Info

Publication number
CN113119994A
CN113119994A CN202110052643.0A CN202110052643A CN113119994A CN 113119994 A CN113119994 A CN 113119994A CN 202110052643 A CN202110052643 A CN 202110052643A CN 113119994 A CN113119994 A CN 113119994A
Authority
CN
China
Prior art keywords
vehicle
fail
safe
separate
failsafe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110052643.0A
Other languages
English (en)
Other versions
CN113119994B (zh
Inventor
T·坎
J-S·穆勒
M·韦舍
H·迪卡
F·普林克
A·巴拉施
J·海因里希
T·霍雷斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen Automotive Co ltd
Original Assignee
Volkswagen Automotive Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen Automotive Co ltd filed Critical Volkswagen Automotive Co ltd
Publication of CN113119994A publication Critical patent/CN113119994A/zh
Application granted granted Critical
Publication of CN113119994B publication Critical patent/CN113119994B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/007Emergency override
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/032Fixing failures by repairing failed parts, e.g. loosening a sticking valve
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

本发明涉及一种用于运行自动驾驶车辆的方法,其中应用实体按照预先给定的配置分布在多个计算节点上地被实施,其中通过切换到相应冗余的应用实体并且对该配置进行重新配置来对所识别出的故障做出反应,其中当由于该重新配置而不能满足冗余条件和/或隔离条件和/或超出用于该重新配置的预先给定的时间和/或识别出无法消除的功能失效时,车辆借助于至少一个故障安全装置被转变到安全状态下,其中故障安全装置借助于轨迹规划器来规划紧急情况轨迹,其中经由单独的信号线路来检测传感器数据并且将传感器数据输送给至少一个故障安全装置,而且其中产生控制信号并且将控制信号经由单独的控制线路传送给车辆的执行装置。本发明还涉及一种所属的设备。

Description

用于运行自动驾驶车辆的方法和设备
技术领域
本发明涉及一种用于运行自动驾驶车辆的方法和设备。本发明还涉及一种车辆。
背景技术
现代机器所具有的技术组件的数目不断增加,这些技术组件彼此相互作用。为了即使在这些组件的一个或多个组件中有故障的情况下也保证继续运行,从航空领域公知FDIR(Fault(故障)、Detection(检测)、Isolation(隔离)、Recovery(恢复))方法。在这种情况下,通过监控来识别故障。接着,通过从所涉及到的组件切换到冗余地以相同功能性待命的组件来将所识别出的故障隔离。在该切换之后,尝试通过激活附加组件来恢复冗余。但是,到目前为止,人类后备力量始终供支配,该人类后备力量可以在该方法失败时手动接管控制。
发明内容
本发明所基于的任务在于:提供一种用于运行自动驾驶车辆的方法和设备,利用该方法和该设备,即使在没有人类后备力量的情况下也可以经改善地维持安全状态。
按照本发明,该任务通过一种按照本发明的方法和一种按照本发明的设备来被解决。本发明的有利的设计方案从从属权利要求中得到。
尤其是提供一种用于运行自动驾驶车辆的方法,其中应用实体按照预先给定的配置分布在多个计算节点上地被实施,其中将传感装置的所检测到的传感器数据输送给这些应用实体中的至少一部分而且其中至少由这些应用实体中的一部分来产生并提供用于控制该车辆的控制信号,其中通过切换到相应冗余的应用实体并且紧接着对该配置进行重新配置以恢复预先给定的冗余条件和/或隔离条件来对所识别出的故障做出反应,其中当由于该重新配置而不能满足至少一个预先给定的冗余条件和/或至少一个隔离条件和/或超出用于该重新配置的预先给定的时间和/或识别出无法消除的功能失效时,该车辆借助于至少一个故障安全装置被转变到安全状态下,其中该至少一个故障安全装置为此借助于轨迹规划器来规划并实施紧急情况轨迹,其中为此借助于该车辆的传感装置经由单独的信号线路来检测传感器数据并且将这些传感器数据输送给该至少一个故障安全装置,而且其中为此借助于该至少一个故障安全装置来产生控制信号并且将这些控制信号经由单独的控制线路传送给该车辆的执行装置。
尤其是还提供一种用于运行自动驾驶车辆的设备,其中在该车辆中应用实体按照预先给定的配置分布在多个计算节点上地被实施,其中将传感装置的所检测到的传感器数据输送给这些应用实体中的至少一部分而且其中至少由这些应用实体中的一部分来产生并提供用于控制该车辆的控制信号,该设备包括至少一个故障安全装置,该故障安全装置具有用于该车辆的传感装置的单独的信号线路并且具有用于该车辆的执行装置的单独的控制线路,其中该设备被设立为:通过切换到相应冗余的应用实体并且紧接着对该配置进行重新配置以恢复预先给定的冗余条件和/或隔离条件来对所识别出的故障做出反应,其中该至少一个故障安全装置被构造为:当由于该重新配置而不能满足至少一个预先给定的冗余条件和/或至少一个隔离条件和/或超出用于该重新配置的预先给定的时间和/或识别出了无法消除的功能失效时,将该车辆转变到安全状态下,其中该至少一个故障安全装置为此具有轨迹规划器,该轨迹规划器被设立为规划并实施紧急情况轨迹,其中该至少一个故障安全装置被构造为:经由这些单独的信号线路从该车辆的传感装置接收为此所检测到的传感器数据;而且产生控制信号并将这些控制信号经由这些单独的控制线路传送给该车辆的执行装置。
该方法和该设备能够实现:当该重新配置不能够实现安全的继续行驶时,使车辆进入安全状态。其原因可能在于:例如由于在有损坏之后没有(或不再有)足够的计算节点供支配以便使所有需要的应用实体都能够冗余地和/或在预先给定的隔离下运行,所以不能满足至少一个预先给定的冗余条件和/或至少一个预先给定的隔离条件。其它原因可能在于:超出用于该重新配置的预先给定的时间(例如90、100或200毫秒等等)和/或识别出了无法消除的功能失效。例如当传感装置由于信号线路损坏而提供有错误的传感器数据时,可能存在无法消除的功能失效。为了使车辆进入安全状态,该至少一个故障安全装置借助于轨迹规划器来规划紧急情况轨迹。紧急情况轨迹例如包括:使车辆行驶到路边并且在那里停下。为此,借助于车辆的传感装置经由单独的信号线路来检测传感器数据并且将这些传感器数据输送给该至少一个故障安全装置。为此,还借助于该至少一个故障安全装置来产生控制信号并且将这些控制信号经由单独的控制线路传送给车辆的执行装置,尤其是传送给横向和纵向引导。轨迹规划器在考虑当前交通状况、当前周围环境和其他交通成员的情况下对轨迹进行规划。因而,故障安全装置可具有或提供其它功能性,诸如周围环境感知、对象识别和/或对其他交通成员的行为的预测。
该方法和该设备的优点在于:附加地提供机器后备力量,当在预先给定的(安全)条件下不再能够进行自动驾驶时,该机器后备力量可以将车辆转变到安全状态下。通过单独实施的信号和控制线路,实现了额外的保护。经此,附加地也可以拦截在正常使用的线路中的故障和损坏。
借助于至少一个应用实体来提供在自动驾驶方面的应用程序。应用实体尤其是提供某个功能性并且在至少一个计算节点上被实施的进程。例如,应用实体可以提供与自动驾驶相关联的如下功能性之一:周围环境感知、定位、导航、轨迹规划器或者对自己的行为和/或在车辆周围的对象的行为的预测,等等。为此,这些应用实体中的至少一部分获得借助于传感装置所检测到的传感器数据和/或其它应用实体的数据。这些应用实体中的至少一部分提供针对车辆的执行装置的控制信号。这些应用实体尤其可以在活跃的运行状态下并且在至少一个不活跃的运行状态下运行。在活跃的运行状态下,应用实体直接影响对车辆的控制。而在至少一个不活跃的运行状态下,除了相同类型的活跃的应用实体之外,有应用实体冗余地运行,被输送相同的输入数据并且产生相同的输出数据或控制信号,但是不影响对车辆的控制。可以规定不活跃的状态的不同级别,这些级别例如只在不活跃的应用实体可以多快地被转变到活跃的运行状态方面有区别。在该方法的框架内,尤其是不仅监控活跃的应用实体而且监控不活跃的应用实体。接着,在有故障涉及不活跃的应用实体的情况下,该方法可以相对应地被实施,其中可以省去隔离和切换,而且所涉及到的不活跃的应用实体仅仅被结束并且被新启动的具有相同功能性的不活跃的应用实体替代,使得恢复冗余条件。
配置尤其包括:将活跃的和不活跃的应用实体分配到各个计算节点。该配置尤其规定:哪个应用实体在哪个计算节点上被实施,以及这些应用实体的分别所属的运行状态。该配置取决于预先给定的冗余条件和/或隔离条件,这些冗余条件和/或隔离条件分别根据这些应用实体的功能性来预先给定或者被预先给定。例如可以规定:冗余条件指定了简单的冗余。接着,为应用程序或功能性而运行活跃的应用实体和不活跃的应用实体。视应用场景而定,可以针对相同的功能性规定不同的冗余条件,例如单重冗余(例如在高速公路上的行人识别)或者多重冗余(例如在游戏街上的行人识别方面的四重冗余)。
隔离条件尤其是针对多个不同的计算节点的规定,在这些不同的计算节点上,必须借助于冗余的应用实体来实施应用程序。隔离条件不仅可以涉及软件而且可以涉及硬件。例如,隔离条件可包括:应用程序的冗余的应用实体必须分别在预先给定的数目的不同的操作系统上被实施。例如,隔离条件可进一步包括:应用程序的冗余的应用实体必须彼此分开地在预先给定的数目的不同的计算节点上被实施。
尤其是规定:借助于至少一个监控器装置来执行有关故障的监控,其中该至少一个监控器装置被设立为:监控应用实体和/或操作系统和/或与计算节点对应的硬件;并且识别在应用实体中和/或在操作系统中和/或在硬件中的故障。
可以规定:针对每个应用实体都使用监控器装置。还可以规定:针对每个操作系统和/或每个硬件分别使用监控器装置。经此,可以更可靠且更快地实施监控,使得可以更快地识别故障。
此外,尤其是规定:借助于切换装置来执行该切换。该切换装置将尤其是由该监控器装置在应用实体方面识别出的故障通过切换到相对于相应所涉及到的应用实体冗余的应用实体来进行隔离。
尤其是借助于冗余恢复装置来恢复冗余。冗余恢复装置通过对该配置进行重新配置来恢复针对这些应用实体预先给定的冗余条件。
该设备的部件、尤其是该至少一个监控器装置、该切换装置和/或该冗余恢复装置和/或该至少一个故障安全装置,可以单独或共同构造为硬件和软件的组合,例如构造为在微控制器或微处理器上实施的程序代码。然而,也可以规定:部件单独或共同构造为专用集成电路(ASIC)。
该车辆尤其是机动车。然而,原则上,该车辆也可以是其它陆上车辆、船舶、飞机、轨道车辆或者空间飞行器。
在实施方式中规定:该至少一个故障安全装置在紧急情况下获得对车辆的执行装置的独占的访问。经此,可以在实施紧急情况轨迹时阻止由于错误地工作的应用实体而引起的干扰。例如可以规定:将全部应用实体与对执行装置的访问解耦合,并且仅仅借助于该至少一个故障安全装置来控制或调节车辆的执行装置。如果存在多个冗余的故障安全装置,则借助于处在“活跃的”运行状态下的故障安全装置来进行控制。
在实施方式中规定:该至少一个故障安全装置在坚固的壳体中运行。该壳体尤其应该能够承受住如通常在事故情况下出现的机械影响。经此,在事故之后可以保证:仍能够借助于该至少一个故障安全装置将车辆转变到安全状态下。该壳体例如可以构造得特别防震。例如,该壳体可以与从飞机技术中公知的飞行数据记录仪(“黑匣子(Black Box)”)类似地来构造。这样,车辆即使在有碰撞或其它损坏、诸如火灾或爆炸等等之后也可以进入安全状态,前提是借助于执行装置仍能够实现这一点。
在实施方式中规定:该至少一个故障安全装置在车辆中在受保护以防外部影响和操纵的位置处运行。尤其是规定:该至少一个故障安全装置例如建造在车辆底盘附近或车辆底盘上,尤其是建造在车辆中部的车辆底盘附近或车辆底盘上。经此,该至少一个故障安全装置一方面被保护以防有意或无意的操纵,另一方面,该至少一个故障安全装置经此也被保护以防在事故情况下的外部影响。这样,车辆即使在碰撞之后也可以进入安全状态,前提是借助于执行装置仍能够实现这一点。
在实施方式中规定:借助于单独的计算装置来提供该轨迹规划器和该至少一个故障安全装置的其它功能。为此,该设备例如具有为该至少一个故障安全装置保留的计算装置或至少一个被保留的计算节点。
在实施方式中规定:该至少一个故障安全装置至少在紧急情况期间借助于单独的能量供应装置来被供电。尤其是,在该设备的实施方式中相对应地规定:该至少一个故障安全装置具有单独的能量供应装置,该单独的能量供应装置被设立为至少在紧急情况期间给该至少一个故障安全装置供应能量。该单独的能量供应装置例如可以是始终通过车载电网被再充电的电池,利用该电池可以给该至少一个故障安全装置供电。
在实施方式中规定:该至少一个故障安全装置冗余地运行。经此,该至少一个故障安全装置本身的功能性可以受保护以防失灵或功能失效。例如可以规定:该至少一个故障安全装置在多个计算节点上冗余地运行,其中接着像应用实体那样给故障安全装置分配“活跃的”或(分级的)“不活跃的”运行状态。
关于该设备的设计方案的其它特征从对该方法的设计方案的描述中得到。在这种情况下,该设备的优点分别是与在该方法的设计方案中相同的优点。
此外,也提供了一种车辆,该车辆包括至少一个根据所描述的实施方式之一的设备,其中该至少一个故障安全装置在车辆中布置在受保护以防外部影响和操纵的位置处。
附图说明
随后,本发明依据优选的实施例参考附图进一步予以阐述。在这种情况下:
图1示出了用于运行自动驾驶车辆的设备的实施方式的示意图;
图2示出了用于阐明该设备的实施方式的示意图。
具体实施方式
在图1中,示出了用于运行自动驾驶车辆50的设备1的实施方式的示意图。
在车辆50中,应用实体60、61按照预先给定的配置62分布在多个计算节点上地被实施。应用实体60、61例如提供用于周围环境感知、定位、导航和/或轨迹规划的功能性。将车辆50的传感装置51(或者其它例如检测车辆50的周围环境的传感装置)的所检测到的传感器数据10输送给应用实体60、61中的至少一部分。至少由应用实体60、61中的一部分来产生并提供用于控制车辆50的控制信号30。将相应活跃的应用实体60的所提供的控制信号30输送给车辆50的执行装置52,该执行装置实现车辆50的自动驾驶。
设备1例如包括监控器装置2、切换装置3和冗余恢复装置4。尤其是规定:针对应用实体60、61中的每个应用实体、针对每个操作系统并且针对计算节点中的每个计算节点,分别提供监控器装置2(为了清楚起见,只示出了一个监控器装置2)。设备1的部件可以单独或共同构造为硬件和软件的组合,例如构造为在微控制器或微处理器上实施的程序代码。还可以规定:例如借助于车辆50的数据处理装置,共同提供应用实体60、61和设备1的功能性。
应用实体60、61和/或操作系统和/或与计算节点对应的硬件被监控器装置2监控。监控器装置2识别在应用实体60、61和/或操作系统中和/或在硬件中的故障。
如果识别出故障,则借助于切换装置3,通过切换到相对于所识别出的故障相应涉及到的应用实体60冗余的不活跃的应用实体61来将该故障隔离。为此,在该故障所涉及到的应用实体60被停用期间,切换装置3将相应的冗余的不活跃的应用实体61激活,该不活跃的应用实体接管所涉及到的应用实体60的功能性。这例如借助于切换信号63来实现。如果涉及到多个应用实体60,则相对应地激活相应冗余的不活跃的应用实体61。
如果发生该切换,则借助于冗余恢复装置4通过对配置62进行重新配置来恢复针对应用实体60、61预先给定的冗余条件11和/或隔离条件12。
冗余条件11尤其包括关于哪个应用实体60应该或必须以怎样的冗余(没有冗余、单重冗余、双重冗余、多重冗余)来运行方面的规定。重新配置后的配置62通过对应用实体60、61的相对应的配置来被调整。在这种情况下,该重新配置尤其包括:启动并设立其它不活跃的应用实体61,以便(重新)满足相应的冗余条件11和/或隔离条件12。如果在由于故障而需要冗余的情况下激活先前不活跃的应用实体61并且将先前活跃的应用实体60停用来进行隔离,则在这些计算节点之一上设立并启动新的不活跃的应用实体61,使得恢复该冗余。在有多个要隔离的应用实体60的情况下,采取相对应的做法。
设备1包括故障安全装置5,该故障安全装置具有用于车辆50的传感装置51的单独的信号线路40并且具有用于车辆50的执行装置52的单独的控制线路41。
当由于该重新配置而不能满足至少一个预先给定的冗余条件11和/或隔离条件12和/或超出用于该重新配置的预先给定的时间和/或识别出无法消除的功能失效时,借助于故障安全装置5将车辆50转变到安全状态下。为此,故障安全装置5借助于轨迹规划器15来规划紧急情况轨迹,其中为此借助于车辆50的传感装置51经由单独的信号线路40来检测传感器数据10并且将这些传感器数据输送给故障安全装置5。接着,故障安全装置5产生控制信号30并且将这些控制信号经由单独的控制线路41传送到车辆50的执行装置52。以这种方式,故障安全装置5尤其可以控制或调节车辆50的纵向和横向引导。接着,由故障安全装置5例如通过实施紧急情况轨迹来使车辆50行驶到路边并停下,其中阻止自动化的继续行驶。
尤其是规定:故障安全装置5在紧急情况下获得对车辆50的执行装置52的独占的访问。这例如可以通过硬件式地切换到经由单独的控制线路41对执行装置52的独占的操控来实现,例如借助于为此所设立的切换元件(未示出)来实现。
还可以规定:故障安全装置5具有坚固的壳体6并且在该坚固的壳体中运行。坚固的壳体6例如可以像飞行数据记录仪的数据存储器的壳体那样来构造。
可以规定:故障安全装置5在车辆50中在受保护以防外部影响和操纵的位置处运行。例如,故障安全装置5可以布置在车辆中部的车辆底盘上,使得对故障安全装置5的访问只能非常费力地进行或故障安全装置5受到良好保护以防外部机械影响。
可以规定:借助于单独的计算装置8(图2)来提供轨迹规划器15和故障安全装置5的其它功能。
可以规定:故障安全装置5至少在紧急情况期间借助于单独的能量供应装置7来被供电。为此,设备1具有单独的能量供应装置7、例如电池,该电池通过车辆50的车载电网来被再充电并且在紧急情况下用于对故障安全装置7的能量供应。
还可以规定:故障安全装置5冗余地运行。例如,可以设置至少一个其它的故障安全装置(未示出),该至少一个其它的故障安全装置与故障安全装置5并行地在“不活跃的”运行状态下运行,并且当故障安全装置5本身已失灵时可以接管故障安全装置5的功能。
在图2中示出了用于阐明这种实施方式的示意图。在示例性示出的实施方式中,设置总共三个故障安全装置5。故障安全装置5被实施为在计算节点70-x上的应用程序。故障安全装置5中的一个故障安全装置在单独的计算装置8的计算节点70-3上在“活跃的”运行状态下运行。而其它两个故障安全装置5在计算节点70-1、70-2上被实施为除了其它应用实体60、61之外的在“不活跃的”运行状态下的应用程序。
经由单独的信号线路40将车辆50的传感装置51的传感器数据10输送给所有故障安全装置5(为了清楚起见,只用附图标记来表征一根信号线路40),然而这在该图示中只是示意性地勾画出。在这种情况下,可以规定:故障安全装置5在这种情况下获得传感装置51的不同传感器的传感器数据。然而,也可以替选地规定:所有冗余的故障安全装置5都获得相同的传感器数据。所有故障安全装置5都经由单独的控制线路41来与车辆的执行装置(未示出)连接,其中然而在故障情况下只有在“活跃的”运行状态下运行的故障安全装置5访问执行装置。
附图标记列表
1 设备
2 监控器装置
3 切换装置
4 冗余恢复装置
5 故障安全装置
6 坚固的壳体
7 单独的能量供应装置
8 单独的计算装置
10 传感器数据
11 冗余条件
12 隔离条件
15 轨迹规划器
30 控制信号
40 单独的信号线路
41 单独的控制线路
50 车辆
51 传感装置
52 执行装置
60 应用实体(活跃)
61 应用实体(不活跃)
62 配置
63 切换信号
70-x 计算节点。

Claims (11)

1.一种用于运行自动驾驶车辆(50)的方法,其中应用实体(60、61)按照预先给定的配置(62)分布在多个计算节点(70-x)上地被实施,其中将传感装置(51)的所检测到的传感器数据(10)输送给所述应用实体(60、61)中的至少一部分而且其中至少由所述应用实体(60、61)中的一部分来产生并提供用于控制所述车辆(50)的控制信号(30),
其中通过切换到相应冗余的应用实体(61)并且紧接着对所述配置(62)进行重新配置以恢复预先给定的冗余条件(11)和/或隔离条件(12)来对所识别出的故障做出反应,
其中当由于所述重新配置而不能满足至少一个预先给定的冗余条件(11)和/或至少一个隔离条件(12)和/或超出用于所述重新配置的预先给定的时间和/或识别出无法消除的功能失效时,所述车辆(50)借助于至少一个故障安全装置(5)被转变到安全状态下,其中所述至少一个故障安全装置(5)为此借助于轨迹规划器(15)来规划并实施紧急情况轨迹,其中为此借助于所述车辆(50)的传感装置(51)经由单独的信号线路(40)来检测传感器数据(10)并且将所述传感器数据输送给所述至少一个故障安全装置(5),而且其中为此借助于所述至少一个故障安全装置(5)来产生控制信号(30)并且将所述控制信号经由单独的控制线路(41)传送给所述车辆(50)的执行装置(52)。
2.根据权利要求1所述的方法,其特征在于,所述至少一个故障安全装置(5)在紧急情况下获得对所述车辆(50)的执行装置(51)的独占的访问。
3.根据权利要求1或2所述的方法,其特征在于,所述至少一个故障安全装置(5)在坚固的壳体(6)中运行。
4.根据上述权利要求之一所述的方法,其特征在于,所述至少一个故障安全装置(5)在所述车辆(50)中在受保护以防外部影响和操纵的位置处运行。
5.根据上述权利要求之一所述的方法,其特征在于,借助于单独的计算装置(8)来提供所述轨迹规划器(15)和所述至少一个故障安全装置(5)的其它功能。
6.根据上述权利要求之一所述的方法,其特征在于,所述至少一个故障安全装置(5)至少在紧急情况期间借助于单独的能量供应装置(7)来被供电。
7.根据上述权利要求之一所述的方法,其特征在于,所述至少一个故障安全装置(5)冗余地运行。
8.一种用于运行自动驾驶车辆(50)的设备(1),其中在所述车辆(50)中应用实体(60、61)按照预先给定的配置(62)分布在多个计算节点(70-x)上地被实施,其中将传感装置(51)的所检测到的传感器数据(10)输送给所述应用实体(60、61)中的至少一部分而且其中至少由所述应用实体(60、61)中的一部分来产生并提供用于控制所述车辆(50)的控制信号(30),所述设备包括:
至少一个故障安全装置(5),所述故障安全装置具有用于所述车辆(50)的传感装置(51)的单独的信号线路(40)并且具有用于所述车辆(50)的执行装置(52)的单独的控制线路(41),
其中所述设备(1)被设立为:通过切换到相应冗余的应用实体(61)并且紧接着对所述配置(62)进行重新配置以恢复预先给定的冗余条件(11)和/或隔离条件(12)来对所识别出的故障做出反应,
其中所述至少一个故障安全装置(5)被构造为:当由于所述重新配置而不能满足至少一个预先给定的冗余条件(11)和/或至少一个隔离条件(12)和/或超出用于所述重新配置的预先给定的时间和/或识别出了功能失效时,将所述车辆(50)转变到安全状态下,其中所述至少一个故障安全装置(5)为此具有轨迹规划器(15),所述轨迹规划器被设立为规划并实施紧急情况轨迹,其中所述至少一个故障安全装置(5)被构造为:经由所述单独的信号线路(40)从所述车辆(50)的传感装置(51)接收为此所检测到的传感器数据(10);而且产生控制信号(30)并将所述控制信号经由所述单独的控制线路(41)传送给所述车辆(50)的执行装置(52)。
9.根据权利要求8所述的设备,其特征在于,所述至少一个故障安全装置具有坚固的壳体。
10.根据权利要求8或9所述的设备,其特征在于,所述至少一个故障安全装置具有单独的能量供应装置,所述单独的能量供应装置被设立为至少在紧急情况期间给所述至少一个故障安全装置供应能量。
11.一种车辆,所述车辆包括至少一个根据权利要求8至10之一所述的设备,其中所述至少一个故障安全装置在所述车辆中布置在受保护以防外部影响和操纵的位置处。
CN202110052643.0A 2020-01-15 2021-01-15 用于运行自动驾驶车辆的方法和设备 Active CN113119994B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102020200458 2020-01-15
DE102020200458.7 2020-01-15
DE102020203419.2 2020-03-17
DE102020203419.2A DE102020203419A1 (de) 2020-01-15 2020-03-17 Verfahren und Vorrichtung zum Betreiben eines automatisiert fahrenden Fahrzeugs

Publications (2)

Publication Number Publication Date
CN113119994A true CN113119994A (zh) 2021-07-16
CN113119994B CN113119994B (zh) 2024-07-12

Family

ID=76542815

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110052643.0A Active CN113119994B (zh) 2020-01-15 2021-01-15 用于运行自动驾驶车辆的方法和设备

Country Status (3)

Country Link
US (1) US11745748B2 (zh)
CN (1) CN113119994B (zh)
DE (1) DE102020203419A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112572464A (zh) * 2021-01-08 2021-03-30 蔚来汽车科技(安徽)有限公司 用于辅助驾驶的数据处理装置、方法、存储介质和车辆
CN114084157B (zh) * 2021-11-10 2024-05-14 国汽智控(北京)科技有限公司 基于车用冗余可靠模块的配置方法、装置、设备及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150012166A1 (en) * 2013-07-04 2015-01-08 Robert Bosch Gmbh Method and apparatus for operating a motor vehicle in an automated driving mode
WO2015155133A1 (de) * 2014-04-09 2015-10-15 Continental Teves Ag & Co. Ohg System zur autonomen fahrzeugführung und kraftfahrzeug
CN105358396A (zh) * 2013-07-04 2016-02-24 罗伯特·博世有限公司 用于使机动车在自动行驶中运行的方法和装置
DE102015001971A1 (de) * 2015-02-19 2016-08-25 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Verfahren und Überwachungsvorrichtung zur Überwachung von Fahrerassistenzsystemen
DE102015003124A1 (de) * 2015-03-12 2016-09-15 Daimler Ag Verfahren und Vorrichtung zum Betreiben eines Fahrzeugs
CN108137041A (zh) * 2015-09-14 2018-06-08 大众汽车有限公司 用于机动车的自动驾驶的装置和方法
CN110615004A (zh) * 2018-06-19 2019-12-27 大众汽车有限公司 用于控制与安全相关的过程的方法和设备,以及车辆

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566633B2 (en) 2011-02-10 2013-10-22 GM Global Technology Operations LLC Method of dynamic allocation on a statically allocated and embedded software architecture
US8452465B1 (en) 2012-03-30 2013-05-28 GM Global Technology Operations LLC Systems and methods for ECU task reconfiguration
JP6226773B2 (ja) 2014-02-24 2017-11-08 株式会社椿本チエイン スプロケット
US10782685B1 (en) * 2018-10-10 2020-09-22 Waymo Llc Planner system recovery for autonomous vehicles

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150012166A1 (en) * 2013-07-04 2015-01-08 Robert Bosch Gmbh Method and apparatus for operating a motor vehicle in an automated driving mode
CN105358396A (zh) * 2013-07-04 2016-02-24 罗伯特·博世有限公司 用于使机动车在自动行驶中运行的方法和装置
WO2015155133A1 (de) * 2014-04-09 2015-10-15 Continental Teves Ag & Co. Ohg System zur autonomen fahrzeugführung und kraftfahrzeug
DE102015001971A1 (de) * 2015-02-19 2016-08-25 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Verfahren und Überwachungsvorrichtung zur Überwachung von Fahrerassistenzsystemen
DE102015003124A1 (de) * 2015-03-12 2016-09-15 Daimler Ag Verfahren und Vorrichtung zum Betreiben eines Fahrzeugs
CN108137041A (zh) * 2015-09-14 2018-06-08 大众汽车有限公司 用于机动车的自动驾驶的装置和方法
CN110615004A (zh) * 2018-06-19 2019-12-27 大众汽车有限公司 用于控制与安全相关的过程的方法和设备,以及车辆

Also Published As

Publication number Publication date
US11745748B2 (en) 2023-09-05
US20210213964A1 (en) 2021-07-15
DE102020203419A1 (de) 2021-07-15
CN113119994B (zh) 2024-07-12

Similar Documents

Publication Publication Date Title
EP3620338B1 (en) Vehicle control method
CN108628284B (zh) 一种用于控制处于变化的环境中的受控对象的方法及其电子系统
US10359772B2 (en) Fault-tolerant method and device for controlling an autonomous technical system through diversified trajectory planning
US7017861B1 (en) Control system for actuators in an aircraft
CN110077420B (zh) 一种自动驾驶控制系统和方法
CN113119994B (zh) 用于运行自动驾驶车辆的方法和设备
CN108628692B (zh) 用于控制自主受控对象的容错方法
CN109478858A (zh) 马达控制装置和电动助力转向装置
KR20210073705A (ko) 자율주행차량의 고장에 따른 차량 제어 시스템 및 방법
US10571920B2 (en) Fault-tolerant method and device for controlling an autonomous technical system based on a consolidated model of the environment
CN113412218B (zh) 旨在集成在现有飞行器中的采集和分析设备
CN112498664B (zh) 飞行控制系统以及飞行控制方法
CN113534655A (zh) 一种电传飞行备份控制系统及其启动方法
JP6378119B2 (ja) 制御コントローラ、ステアバイワイヤシステムおよび機械
CN109155532A (zh) 用于给装置提供电能的方法和设备
CN113504720A (zh) 一种基于分布式电传飞控架构的备份控制系统及工作方法
CN107783530B (zh) 基于软件代码迁移的失效可操作的系统设计模式
US20050225173A1 (en) Electrical system, and control module and smart power supply for electrical system
Skibbe et al. Fault detection, isolation and recovery in the mmx rover locomotion subsystem
US20190111966A1 (en) Steering control system for a steering system of a transportation vehicle and method for operating a steering control system
US10965491B2 (en) Device for energy and/or data transmission
EP4227842A1 (en) Control system having isolated user computing unit and control method therefor
CN112739578B (zh) 辅助电源和用于提供辅助电力的方法
US20140214181A1 (en) Control system for software termination protection
KR20210115822A (ko) 고립된 사용자컴퓨팅부를 갖는 제어시스템 및 그 제어방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant