CN116648393A - 特别是用于支持满足v2x通信的功能安全要求的方法和电子控制设备 - Google Patents

Abstract

本发明涉及一种用于发送包括信息部分和安全部分的车联网消息的方法，其中，该安全部分包括可以用于就该信息部分中包含的信息对与安全相关的驾驶功能和任务的可用性和资格来评估该信息的质量和可靠性的信息。本发明还涉及一种用于接收的对应方法和一种对应的车联网通信模块。

Description

特别是用于支持满足V2X通信的功能安全要求的方法和电子 控制设备

本发明涉及一种用于由发送方发送车联网消息的方法、一种用于处理车联网消息的方法以及一种相关的车联网通信模块。

车联网通信目前处于标准化、开发和实施阶段。它通常提供车辆与基础设施单元之间的信息交换。

在当前的车联网通信实施方式中，通常是传输信息。然而，发现在一些情况下，无法充分确定该信息被接收方接收时的可靠性。

因此，本发明的一个目的是提供现有技术的替代或改进的方法，例如与确定安全相关信息的质量和/或可靠性相关的方法。本发明的另一个目的是提供对应的车联网通信模块。这些目的通过独立权利要求的主题来实现。可以从相应的从属权利要求得到优选的实施例。权利要求的内容是通过明确引用说明书的内容来获得的。

本发明涉及一种用于由发送方发送车联网消息的方法，其中，该车联网消息至少包括信息部分和安全部分。该信息部分包括表征该发送方的信息和/或由该发送方测量和/或计算的数据。该安全部分包括与该发送方的测量、计算、传输和/或处理该信息的一个或多个实体相关的安全信息。

通过这样的方法，车联网消息不仅可以包括与接收实体直接相关的信息，而且还可以包括允许接收实体确定所接收信息是否合格且足够可靠以用于与安全相关的车辆驾驶功能的信息。

应当注意，必须区分安全性(security)和安全(safety)。安全性是对欺诈性攻击或数据操纵的抵抗力。安全是对非故意引起的技术故障的抵抗力，例如对错误数据处理或传输误差的抵抗力。本申请的上下文与安全相关。

发送方例如可以是车辆。它也可以是基础设施单元、基础设施传感器、路侧单元(RSU)(例如，智能十字路口)、或车联网通信的任何其他参与者。

根据实施方式，该安全部分可以包括表征实体和/或所提供信息的等级的至少一个安全水平。该安全水平表征了提供实体并反映了所提供信息的等级，使得接收方可以使用该信息来决定所接收信息的质量是否足够。

根据实施方式，该安全部分可以包括在发送之前传输该信息的总线系统的至少一个故障率。这提供了有关总线系统的信息，该总线系统通常在车辆中用于将数据从传感器或另一实体传输到车联网通信模块。

根据实施方式，该安全部分可以包括用于开发实体的软件的软件开发过程、硬件开发过程、数据生成过程、安全工程标准或处理等级的至少一个指示。这也可以被接收方用来确定所接收信息的质量。

根据实施方式，该安全部分可以包括一个、一些或所有信息的相应预测的有效时间。这向接收方提供了有关发送方认为信息不发生变化或至少不发生实质性变化的时间段的信息。例如，发送方可以预测他可能会保持当前速度或路线多长时间。

根据实施方式，该有效时间可以至少尤其是基于先前的测量结果或计算结果和/或先前的有效性值来计算的。这可以在发送方中执行。此外，可以使用其他计算方式。

根据实施方式，安全部分可以包括实体的误差模型的至少一个指示。这可以提供关于数据生成实体的质量的商定和/或标准化反馈，接收方可以直接使用该反馈来评估数据质量和相关安全要求。该指示可以是数字或其他简短的信息。误差模型可以包括复杂的实施细节，这些细节可以在车联网通信的所有参与者上商定和/或标准化。

误差模型例如可以是实体的硬件故障模型或由实体生成的数据的误差模型。这也可以直接指示可靠性和安全。

根据实施方式，该安全部分可以包括实体的基础误差模型的至少一个置信度、方差、详细信息和/或由实体生成的数据的绝对或相对有效时间。

根据实施方式，该安全部分可以包括元数据和/或多维故障向量。这可以提供有关发送方和/或其实体的非常具体的信息。元数据和/或多维故障向量尤其可以进一步表征数据提供实体。

特别地，该安全信息可以被不断更新。这允许相关信息的高度及时性。

根据相应的实施方式，该信息部分包括以下一项或多项：传感器数据、速度传感器数据、航向数据、偏航率数据、加速度数据、曲率数据、路径历史数据、雷达数据、激光雷达数据、转向角数据、定位数据、相机数据、地图数据、目标数据、与机动相关的数据、预期或规划的驾驶轨迹和/或路线数据。这种信息为交通安全和机动协调提供了相关信息。然而，还可以使用其他信息。

根据实施方式，还发送没有安全部分的车联网消息，并且包括安全部分的车联网消息是仅或至少响应于一个或多个预定义事件、和/或自动驾驶策略或功能、和/或在该发送方附近检测到的实体(例如，车辆、踏板车、行人)、和/或响应于接收到的请求而发送的。

这允许仅在必要时才发送用于确定安全的信息的实施方式，从而在其他情况下节省带宽。发送安全部分时可能有特定规则，例如仅针对特定消息类型或在特定情况下。然而，也可以仅响应于接收到的请求来发送安全部分。

可以例如通过相机、环境传感器或通过无线通信进行检测。不仅可以使用机载传感器。预定义事件也可以是发起和执行机动协调的意图。自动驾驶策略/功能可以进一步指定何时开始发送哪些数据。

根据实施方式，该信息部分可以包括一个、一些或所有信息的相应容差带。例如，可以给出如速度或距离等值周围的容差带。接收方可以使用安全部分中包含的信息来确定该值实际上在容差带内的概率。这种容差带也可以包含在安全部分中。

本发明进一步涉及一种用于处理车联网消息的方法，该方法包括以下步骤：

-接收包括信息部分和安全部分的车联网消息，

-识别与车联网消息相关的任务和/或功能，

-基于该安全部分和/或该信息，评估该车联网消息的信息质量或数据质量对于该任务而言是否足够，以及

-仅当该信息质量和/或数据质量足够时才至少基于该车联网消息来执行该任务。

这可以提高车联网消息的接收方侧的安全。例如，可以在将使用车联网通信接收的信息用于像车道变更等关键机动之前确定安全。

该方法可以进一步包括以下步骤：

-如果基于该安全数据和/或该信息不能充分确定该数据的质量和/或安全，则发送对进一步的安全数据的请求。

在这种情况下，该安全数据(即，用于确定是否必须发送对进一步的安全数据的请求的安全数据)尤其是在决定是否必须发送这种请求时存在的安全数据。例如，使用该实施方式，可以特别是在需要准备关键机动时请求进一步的安全数据。通过这样的实施方式，可以节省数据带宽，因为可以在更少的时间内发送安全部分。

例如，该任务可以是车道变更或任何其他驾驶机动。这种任务通常需要与其他车辆进行特别可靠的协调，否则可能会发生碰撞。然而，也可以应用于其他任务。

本发明进一步涉及一种车联网通信模块，其被配置为执行如本文所述的方法。该方法可以应用于本文描述的所有实施方式和变体。

本发明进一步涉及一种非暂态计算机可读介质，其包括使处理器执行如本文所述的方法的程序代码。该方法可以应用于本文描述的所有实施方式和变体。

一般而言，V2X系统的引入引起了有关将V2X数据用于受功能安全要求约束的自动驾驶功能的问题。截至目前，还没有概念可以确保由联网和自动驾驶车辆传输和接收的V2X数据满足联网、自动和可能合作驾驶功能的相应安全要求。从安全设计的角度来看，经由V2X通信交换的数据(比如传感器信息)通常被分类为“仅限质量管理(QM)”，因为无法验证其可信度、正确性、准确性和可靠性。

目前还没有适当的技术或法律机制来要求甚至经由置信度值正确实施最起码的可用准确性信息。

为了在V2X利益相关者之间建立信任，以使用V2X数据实现车辆行为自动化和合作驾驶机动协调，本文披露了新的安全相关数据字段和方法。

为了在驾驶功能设计过程、特别是安全概念中以及在运营阶段考虑、验证并最终依赖(经由V2X通信提供的)外部数据，需要在数据提供者和数据接收方侧引入新的机制。

因此，作为V2X消息的一部分，可以交换附加的安全相关数据字段，包括传感器元数据，比如ETSI CAM、DENM。

进一步地，每个支持V2X的车辆都使用这些新数据字段来验证接收到的数据并评估其对安全相关驾驶功能的可用性。

所提出的方法不限于特定的V2X用例，而应被视为支持满足自动驾驶功能的安全要求以及促进可信数据交换的一般推动因素。进一步地，该方法涵盖双方：发射方和接收方。

典型的基本安全要求是传输/接收的数据应当是正确和可靠的。因此，发射车辆和接收车辆需要以下列方式管理和处理要交换的车辆传感器数据及其在接收方侧用于安全相关的驾驶功能：

车辆传感器数据由车载部件提供，例如，作为物理量(例如，速度、航向、偏航率)的测量结果或作为车载子系统(例如，定位、相机、雷达、激光雷达系统)的处理结果。由于车载部件和子系统的等级在车辆层面上是已知的，因此可以例如使用相应的部件和子系统规格、验证测试结果等对检索到的数据进行评估和评级。进一步地，可以建立数据特定的误差模型并进行分类。

在本文披露的解决方案中，发射方在传输安全相关的V2X消息时将特定元数据添加到V2X消息内容。特别是为了支持自动驾驶和合作驾驶功能，除了标准车辆传感器数据字段之外，发射车辆还向其他支持V2X的车辆提供传感器特定和数据特定的元数据(例如，置信度、方差、基础误差模型的详细信息、绝对/相对有效时间)。传感器特定的元数据(比如置信度)取决于当前传感器的状态(例如，启动、运行、故障)，并且可能会随时间变化。

商定误差模型的商定和/或标准化目录可以用于优化V2X数据交换所需的数据量和对不同接收方的有用性，其中，每个接收方和相关的辅助或驾驶功能必须满足有关数据可用性和可观测性的不同要求。

关于数据模型的标准化，ETSI EN 302 890-2 V2.1.1(2020-10)“Position andTime management(PoTi)[定位和时间管理]”中正在讨论对定位和定时相关的数据表示进行标准化，从该文献中可能会触发涵盖其他传感器类型的进一步标准化活动。

在所提出的解决方案中，传感器数据和元数据的有效性由发射车辆或发送方决定。数据类型和元数据的详细程度由发射车辆决定，并因用例和驾驶情况而异。

接收车辆将使用所提供的传感器数据和元数据来检查该数据是否有资格被自动驾驶和/或合作驾驶功能使用。

为了使用所提供的元数据来验证接收到的V2X数据，可以使用“基于有效性的故障代数”方法(适用于设计时和运行时的基于有效性的传感器观测质量度量)。

进一步地，发射车辆不仅可以提供有关瞬时传感器数据有效性的信息，还可以不断监测和聚合车载传感器数据，以预测未来的传感器有效性和相关有效时间，即，由发射车辆提供未来有效性值加上预测的有效性值被估计为有效的时间段。特别是，确定并传输传感器特定的有效性值加上扩展的传感器元数据，包括各种误差贡献(取决于基础误差模型)。可以经由V2X消息传递来预先配置或请求详细和扩展传感器元数据的传输。

进一步地，与传感器质量相关的元数据可以用于扩展合作驾驶的解决方案，其中仅在请求车辆可以提供附加的安全元数据(例如，传感器有效性值)时才接受合作请求。

所提出的概念使联网和自动驾驶车辆能够评估从外部来源(例如，后端系统、路侧单元、其他支持V2X的实体)提供的信息是否可以用于与安全相关的车辆功能，比如高级驾驶员辅助系统(例如，自动紧急制动)和自动驾驶功能。

ETSI EN 302890-2V2.1.1(2020-10)“Position and Time management(PoTi)[定位和时间管理]”中正在讨论对定位和定时相关的数据表示进行标准化，从该文献中可能会触发涵盖其他传感器类型的进一步标准化活动。

所描述的实施方式尤其可以用于自动驾驶、联网和合作的智能交通系统、远程操作、远程控制、以及车辆、机械和/或机器人的合作。

作为先决条件，每个车辆必须收集其车载传感器数据(时间、位置(经度，纬度，海拔)、(车轮)速度、加速度、偏航率、航向、转向角等)。

使用定义的故障、检测器和滤波器模型，确定瞬时的传感器特定的有效性值[BZK13]。在运行期间，每个车辆都可以不断监测和更新其传感器特定的有效性值。

进一步地，每个车辆可以监测和聚合其车载传感器数据(时间、位置(经度，纬度，海拔)、(车轮)速度、加速度、偏航率、航向、转向角等)以及车载子系统(例如，定位、相机、雷达、激光雷达系统)的处理结果。这包括检测到的目标、它们的类型和它们与本车辆的相对距离，以及检测置信度数据。

不断评估所记录的传感器数据的有效性。进一步地，所记录的数据用于根据预定义/配置的预测时间范围来预测每种传感器数据类型的未来有效性值。

因此，除了当前的传感器特定的有效性值之外，车辆还传输预测的传感器特定的有效性值和对应的有效时间。这种有效性值和有效时间估计对于需要更长规划范围的机动协调特别重要。

对于时间序列预测，采用了算法或(指数)移动平均滤波的变体。因此，使用了先前传感器测量结果和有效性值的“历史”。在设置历史长度和预测时间窗口长度时存在折衷，这一点应被考虑在内。

进一步地，取决于驾驶功能，不同的误差指标是相关的并与有效性值和预测的有效时间一起传输：平均绝对百分比误差(MAPE)、平均绝对误差(MAE)和均方根误差(RMSE)。可以为每个车辆预先配置误差模型和指标。进一步地，每个车辆都可以取决于驾驶情况来更改所传输的误差模型的详细信息。例如，对于合作驾驶用例(例如，由MCM触发)，除了有效性值和有效性预测之外，还将提供更高层次的细节，因此提供更多的元数据。

在传输V2X消息之前，每个(支持V2X的)车辆使用基于有效性的故障代数方法来量化其车载传感器数据的质量。进一步地，车辆还可以预测传感器特定的有效性值和对应的有效时间。可以配置预测的有效时间是作为相对时间偏移还是绝对时间值(例如，GNSS时间戳)提供。

如果接收车辆及其内置驾驶功能/应用认为单个传感器特定的有效性值不合适，则接收驾驶功能/应用可以在传感器数据请求消息(“扩展传感器元数据请求”、“扩展误差模型元数据请求”)中指示需要更详细的传感器特定数据。该请求也可以通过将其添加为另一条常规消息(如CAM)的一部分来发出，甚至可以通过在其自己的消息中包含所请求的数据来隐式发出。可替代地，发射车辆可以被配置为提供扩展传感器元数据作为其默认V2X消息内容的一部分。

如果未接收到合作请求，或者没有其他车辆在本车辆附近，则车辆可以决定停止传输传感器元数据(以及扩展传感器元数据或扩展误差模型元数据)。

在接收到“扩展传感器元数据请求”后，发射车辆(本车辆)提供附加的传感器特定数据，比如m维故障向量、m种故障类型的重要性、系统以及有效性向量。

使用接收到的扩展传感器元数据，接收驾驶功能就能关于传感器故障的严重程度来监测和评估所提供的数据，以确认是否符合其安全要求。此外，接收驾驶功能会在运行时调整其行为，同时保持系统安全。

进一步的实施例和优点将从附图的描述中显而易见，在附图中

图1示出了三辆汽车的情况，以及

图2示出了车联网消息。

图1示出了一个示例性用例，其中使用了传感器特定的元数据及其有效性。该图示出第一车辆#1在左车道上行驶，第二车辆#2在右车道上行驶，并且有故障的卡车#3在右车道上。

在该示例中，车辆(#2)需要确定从车辆(#1)和卡车(#3)提供的V2X传感器数据是否满足其关于数据有效性和可用性的数据要求。基于该评估，车辆(#2)可能会决定采取更保守的机动，即，更安全的机动，比如由于卡车缓慢或发生故障而降低速度并在车道内停车，以防所提供的数据不满足驾驶功能的要求。如果驾驶功能认为所提供的数据质量足够且可用，则它将根据所提供的传感器数据和元数据来规划并触发规避车道变更机动。

用于评估是否可以以安全方式执行规避车道变更的最小相关传感器数据集是车辆(#1)和卡车(#3)两者的车辆速度和加速度(纵向方向)、航向、位置(经度，纬度)。

由于车辆(#2)将使用“安全余量”或自身分别与车辆(#1)和卡车(#3)之间的最小安全距离，因此在规划和执行对应的车道变更机动时，所提供的传感器数据的质量(例如，准确性和有效性)可能不会导致距车辆(#1)和卡车(#3)的距离小于最小安全距离。假设这些最小安全距离由驾驶功能设计者预先配置。

特别地，车辆#2可以依靠车辆#1来不断提供更新的有效性值和预测有效性以及预测有效时间段的更新。车辆#2在其规划过程中使用该数据来评估所提供的信息是否可用以及是否能在机动执行之前和期间以所需的质量和有效性接收。

例如，对静态和动态误差贡献进行建模，并且使用随时间变化的异常值来调整滤波技术并在应用于控制算法或驾驶行为之前执行合理性检查。

在合作驾驶场景(例如，车道合并)的情况下，车辆可以使用用于协调对应的驾驶机动的方法。对于合作驾驶功能，车辆可以被配置为提供“扩展传感器元数据”。可替代地，这种“扩展传感器元数据”也可以由附近的车辆请求以执行合作驾驶机动。

除了已经定义的参数之外，合作请求或任何类型的车联网消息可以包括例如：

-车辆定位

-车辆速度

-车辆加速度

-车辆转向角

-规划路线

-距驾驶机动起点的距离

-至少一个校正因子(基于学习的驾驶行为)

-未来驾驶轨迹的至少一部分

每种传感器类型可能包括附加数据：

-车辆传感器特定的数据的有效性和有效时间

-预配置时间范围内的预测传感器特定的数据的有效性

-m维故障向量、m种故障类型的重要性、系统以及每种传感器数据类型的有效性向量。

图2示出了示例性实施方式中的车联网消息。例如，它可以由车辆或基础设施单元发送，并且可以由车辆或基础设施单元接收。它包括信息部分IP和安全部分SP。信息部分IP包括如车辆的定位或航向等标准信息，并且还可以包括相应的容差带。安全部分SP包括允许接收方确定信息安全的信息，例如与硬件或软件开发过程相关或与总线系统的位故障率相关的信息。

以下插入优先权申请的文本。该文本是本申请的披露内容的一部分。只要其特征未并入权利要求中，它就不应被视为限制预期的保护范围。该文本中描述的特征和实施方式可以单独使用、彼此组合使用以及与本申请中先前描述的其他特征或实施方式结合使用。

[标题]

特别是用于支持满足V2X通信的功能安全要求的方法和电子控制设备

[技术领域]

本披露内容涉及特别是用于支持满足V2X通信中的功能安全要求的方法、用于发射车辆和接收车辆的对应电子控制设备。

[背景技术]

本节提供与本披露内容相关的背景信息，这些信息不一定是现有技术。

ETSI标准[ETSI EN 302 637-2]、[ETSI EN 302 637-3]、[ETSI TS 102 894-2]和[ETSI EN 302 890-2]定义了V2X消息内容的数据质量表示。

对于动态状态，使用置信区域(特别是对于2D定位)和置信区间(特别是对于标量信号)，置信水平为95％。

根据[ETSI EN 302 637-2]的车辆合作感知消息(CAM)的强制性内容：

BasicContainer：：＝SEQ UENCE{

station Type Station Type，

referencePosition ReferencePosition}

Basic VehicleContainerHighFrequency：：＝SEQ UENCE{

heading Heading,

speed Speed，

driveDirection DriveDirection，

vehicleLength VehicleLength，

vehicle Width Vehicle Width，

longitudinalA cceleration LongitudinalAcceleration，

curvature Curvature，

curvatureCalculationMode CurvatureCalculationMode，

yawRate YawRate}

BasicVehicleContainerHighFrequency中的一个可选字段是performanceClassPerformanceClass。

根据[ETSI TS 102 894-2]，包括置信度信息的详细表示：

ReferencePosition：：＝SEQ UENCE{

latitude Latitude，

longitude Longitude，

positionConfidenceEllipse PosConfidenceEllipse，

altitude Altitude}

PosConfidenceEllipse：：＝SEQUENCE{

semiMajorConfidence SemiAxisLength，

semiMinorConfidence SemiAxisLength，

seniMajorOrientation HeadingValue}

Altitude：：＝SEQUENCE{

altitudeValue AltitudeValue，

altitudeConfidence AltitudeConfidence}

Heading：：＝SEQUENCE{

headingValue HeadingValue，

headingConfidenceHeadingConfidence}

Speed：：＝SEQUENCE{

speedValue SpeedValue，

speedConfidence SpeedConfidence}

LongitudinalA cceleration：：＝SEQUENCCE{

longitudinalAccelerationValue LongitudinalAccelerationValue，

longitudinalAccelerationConfidenceAccelerationConfidence}

Curvature：：＝SEQUUENCE{

curvatureValue CurvatureValue，

curvatureConfidence CurvatureConfidence}

YawRate：：＝SEQUENCE{

yawRateValue YawRateValue，

yawRateConfidence YawRateConfidence}

PerformanceClass：：＝INTEGER{unknown(0)，performanceClassA(1)，performanceClassB(2)}(0..7)

车辆间通信联盟(C2C-CC)的基本安全配置文件(BSP)详细定义了定位、航向和速度的数据质量值的解释。PerformanceClass(性能等级)未使用。置信水平定义如下：

定义RS_BSP_429

以95％的‘置信水平’提供的信息意味着在给定统计群体中至少95％的数据点的真实值在置信区间或置信区域内。

[ETSI TR 103460]描述了V2X消息中的数据的合理性检查。

车辆间通信联盟(C2C-CC)的合作感知消息(CPM)的DataQuality(数据质量)标识符定义了一种算法来确定“ObjectConfidence(目标置信度)”。

T.Brade、S.Zug和J.Kaiser的“Validity-Based Failure Algebra forDistributed Sensor Systems[用于分布式传感器系统的基于有效性的故障代数]”，2013年IEEE第32届可靠分布式系统国际研讨会，Braga，2013年，第143-152页，doi：10.1109/SRDS.2013.23涉及基于有效性的故障代数，或简称为有效性概念，它引入了适用于设计时和运行时的基于有效性的传感器观测质量度量。

进一步地，在以下文献中，该概念被用于取决于传感器数据的质量进行车辆速度控制：Casimiro，A.、Kaiser，J.、Schiller，E.M.、Costa，P.、Parizi，J.、Johansson，R.、Librino，R.：The karyon project：predictable and safe coordination incooperative vehicular systems[karyon项目：合作车辆系统中的可预测和安全协调].在：2013年第43届年度IEEE/IFIP可靠系统和网络研讨会(DSN-W)，第1-12页.IEEE(2013年)。

Brade，T.、Jaeger，G.、Zug，S.、Kaiser，J.，Sensor-and environment dependentperformance adaptation for maintaining safety requirements[传感器和环境相关的性能调整以维持安全要求]，(2014)计算机科学讲义(包括子系列人工智能讲义和生物信息学讲义)，8696LNCS，第46-54页，提到了汽车在简单路线中自动驾驶并根据环境和感知的传感器数据的置信度来调整其速度的示例。导出一组简单的安全规则并将其用于调整影响巡航速度的性能。

Hoebel，J.、Jaeger，G.、Zug，S.、Wendemuth，A.，Towards a sensor failure-dependent performance adaptation using the validity concept[使用有效性概念实现与传感器故障相关的性能调整]，(2017)计算机科学讲义(包括子系列人工智能讲义和生物信息学讲义)，10488LNCS，第270-286页，将有效性概念应用于由基于相机的传感器系统提供的3D点云，以用于目标检测和姿态估计任务。

V2X系统的引入引起了有关将V2X数据用于例如受功能安全要求约束的自动驾驶功能的问题。截至目前，还没有概念可以确保由联网和(半)自动驾驶车辆传输和接收的V2X数据满足联网、自动和/或可能合作驾驶功能的相应安全要求。从安全设计的角度来看，通过V2X通信传输的数据通常被分类为“仅QM”，因为无法验证其可信度、正确性、准确性和/或可靠性。

没有适当的技术或法律机制来要求经由置信度值实施最起码的可用准确性信息。

[发明内容]

本披露内容的实施方式可以包括以下可选特征中的一项或多项。

为了在V2X利益相关者之间建立信任，以使用V2X数据特别是实现车辆行为自动化和合作驾驶机动协调，根据本披露内容的一方面，从发送车辆传输安全相关数据。所提出的解决方案不限于特定的V2X用例，而是可以被视为支持满足自动驾驶功能的安全要求以及促进可信数据交换的一般推动因素。

根据本披露内容的一方面，一种可以在接收方侧利用接收到的安全相关数据执行的方法。接收车辆可以使用安全相关数据来验证接收到的数据并评估其对安全相关驾驶功能的可用性。典型的基本安全要求是传输/接收的数据应当是正确和可靠的。因此，发射车辆和接收车辆需要管理和处理要交换的车辆传感器数据及其在接收方侧用于安全相关的驾驶功能。

为了在驾驶功能设计过程、特别是在安全概念中以及在运营阶段考虑、验证并最终依赖经由V2X通信提供的外部数据，根据本披露内容的一方面，在数据提供方侧和数据接收方侧提供了由发送车辆的电子控制设备和接收车辆的电子控制设备执行的特别是用于支持满足V2X通信中的功能安全要求的方法。

根据本发明的实施例形式，安全相关数据由V2X消息的安全相关数据字段组成，比如ETSI CAM、DENM。

根据本发明的实施例形式，安全相关数据包括由至少一个车辆传感器提供的传感器元数据。

根据本发明的实施例形式，车辆传感器数据由车载部件提供，例如，作为物理量(例如，速度、航向、偏航率)的测量结果或作为车载子系统(例如，定位、相机、雷达、激光雷达系统)的处理结果。由于车载部件和子系统的等级在车辆层面上是已知的，因此可以例如通过使用相应的部件和子系统规格、验证测试结果等对检索到的数据进行评估和评级。进一步地，可以建立数据特定的误差模型并进行分类。

根据本发明的实施例形式，发射车辆将特定的传感器元数据添加到V2X消息内容，特别是在发射安全相关的V2X消息时。特别是为了支持自动驾驶和合作驾驶功能，除了标准车辆传感器数据字段之外，发射车辆还向其他支持V2X的车辆提供传感器特定和数据特定的元数据，例如，置信度、方差、基础误差模型的详细信息、和/或绝对/相对有效时间。传感器特定的元数据(比如置信度)取决于当前传感器的状态(例如，启动、运行、故障)，并且可能会随时间变化。

根据本发明的实施例形式，使用了商定误差模型的标准化目录。由此，可以优化V2X数据交换所需的数据量和对不同接收方的有用性，其中，每个接收方和相关的辅助或驾驶功能必须满足有关数据可用性和可观测性的不同要求。

根据本发明的实施例形式，传感器数据和传感器元数据的有效性由发射车辆决定。

根据本发明的实施例形式，数据类型和元数据的详细程度由发射车辆决定，并且可以因用例和驾驶情况而异。接收车辆可以使用所提供的传感器数据和传感器元数据来检查该数据是否有资格被自动驾驶和/或合作驾驶功能使用。

根据本发明的实施例形式，特别是根据T.Brade、S.Zug和J.Kaiser的“Validity-Based Failure Algebra for Distributed Sensor Systems[用于分布式传感器系统的基于有效性的故障代数]”，2013年IEEE第32届可靠分布式系统国际研讨会，Braga，2013年，第143-152页，doi：10.1109/SRDS.2013.23的“基于有效性的故障代数”方法(适用于设计时和运行时的基于有效性的传感器观测质量度量)用于验证接收到的V2X数据和传感器元数据。

根据本发明的实施例形式，发射车辆不仅提供有关瞬时传感器数据有效性的信息，还不断监测和聚合车载传感器数据，以预测未来的传感器有效性和相关有效时间，即，可以由发射车辆提供未来有效性值加上预测的有效性值被估计为有效的时间段。特别是，可以确定并传输传感器特定的有效性值加上扩展的传感器元数据，包括各种误差贡献(取决于基础误差模型)。

根据本发明的实施例形式，可以经由V2X消息传递来预先配置或请求详细和扩展传感器元数据的传输。

根据本发明的实施例形式，与传感器质量相关的元数据可以用于扩展合作驾驶的解决方案，其中仅在请求车辆可以提供附加的安全相关元数据(例如，传感器有效性值)时才接受合作请求。

所提出的解决方案使联网和(半)自动驾驶车辆能够评估从外部来源(例如，后端系统、路侧单元和/或其他支持V2X的实体)提供的信息是否可以用于与安全相关的车辆功能，比如高级驾驶员辅助系统，例如，自动紧急制动和/或自动驾驶功能。实现联网、自动和/或合作车辆驾驶功能的设计和操作。安全设计过程和要求要求能够识别和追踪自动驾驶功能的故障/错误行为(SOTIF)。

根据本发明的实施例形式，传感器元数据(即，传感器有效性/质量值)被传输，并且特别是可以仅在请求车辆可以提供这样的元数据才接受另一车辆的合作请求。

因此，根据本发明的实施例形式，合作请求包括：

-车辆定位；

-车辆速度；

-车辆加速度；

-车辆转向角；

-规划路线；

-距驾驶机动起点的距离；

-至少一个校正因子(基于学习的驾驶行为)；

-未来驾驶轨迹的至少一部分；和/或

-每个传感器类型的附加数据：

ο车辆传感器特定的数据的有效性和有效时间

ο预配置时间范围内的预测传感器特定的数据的有效性；和/或

οm维故障向量、m种故障类型的重要性、系统以及每种传感器数据类型的有效性向量。

[具体实施方式]

根据本发明的实施例形式，发送车辆收集其车载传感器数据，例如时间、位置(经度，纬度，海拔)、(车轮)速度、加速度、偏航率、航向、转向角等。

根据本发明的实施例形式，所定义的故障、检测器和/或滤波器模型被用于确定传感器特定的有效性值。在运行期间，车辆会不断或定期监测和更新其传感器特定的有效性值。

根据本发明的实施例形式，车辆监测和聚合其车载传感器数据(时间、位置(经度，纬度，海拔)、(车轮)速度、加速度、偏航率、航向、转向角等)以及车载子系统(例如，定位、相机、雷达、激光雷达系统)的处理结果。这可以包括检测到的目标、它们的类型和/或它们与本车辆的相对距离，以及检测置信度数据。

根据本发明的实施例形式，不断地评估传感器数据的有效性。

根据本发明的实施例形式，所记录的数据用于根据预定义/配置的预测时间范围来预测每种传感器数据类型的未来有效性值，并传输预测的传感器特定的有效性值和对应的有效时间。因此，除了当前的传感器特定的有效性值之外，车辆还传输预测的传感器特定的有效性值和对应的有效时间。这种有效性值和有效时间估计对于需要更长规划范围的机动协调特别重要。

根据本发明的用于时间序列预测的实施例形式，采用了Holt-Winters方法或(指数)移动平均滤波的变体。因此，可以使用先前传感器测量结果和有效性值的“历史”。在设置历史长度和预测时间窗口长度时存在折衷，这一点可以被考虑在内。

根据本发明的实施例形式，取决于驾驶功能，不同的误差指标与有效性值和预测的有效时间一起传输：平均绝对百分比误差(MAPE)、平均绝对误差(MAE)和/或均方根误差(RMSE)。可以为每个车辆预先配置误差模型和指标。

根据本发明的实施例形式，车辆可以根据驾驶情况来更改所传输的误差模型的详细信息。例如，对于合作驾驶用例(例如，由机动协调消息(MCM)触发)，除了有效性值和有效性预测之外，还将提供更高层次的细节，因此提供更多的元数据。

根据本发明的实施例形式，在传输V2X消息之前，(支持V2X的)车辆使用基于有效性的故障代数方法来量化其车载传感器数据的质量。

根据本发明的实施例形式，车辆预测传感器特定的有效性值和对应的有效时间。可以配置预测的有效时间是作为相对时间偏移还是绝对时间值(例如，GNSS时间戳)提供。

根据本发明的实施例形式，如果接收车辆及其内置驾驶功能/应用认为单个传感器特定的有效性值不合适，则接收驾驶功能/应用在传感器数据请求消息(“扩展传感器元数据请求”、“扩展误差模型元数据请求”)中指示需要更详细的传感器特定数据。该请求也可以通过将其添加为另一条常规消息(如CAM)的一部分来发出，甚至可以通过在其自己的消息中包含所请求的数据来隐式发出。另外或可替代地，发射车辆可以被配置为提供扩展传感器元数据作为其默认V2X消息内容的一部分。

根据本发明的实施例形式，如果未接收到合作请求或者没有其他车辆在车辆(本车辆)附近，可以停止传输传感器元数据和/或扩展传感器元数据和/或扩展误差模型元数据。

根据本发明的实施例形式，在接收到扩展传感器元数据请求时，发射车辆(本车辆)提供附加的传感器特定数据，比如m维故障向量、m种故障类型的重要性、系统和/或有效性向量。

使用接收到的扩展传感器元数据，接收驾驶功能就可以关于传感器故障的严重程度来监测和评估所提供的数据，以确认是否符合其安全要求。此外，接收驾驶功能可以在运行时调整其行为，同时保持系统安全。

基于图1中示意性示出的示例性交通情况，解释了一个示例性用例，其中使用了传感器特定的元数据及其有效性。

在根据图1的交通情况下，车辆#2需要确定从车辆#1和卡车#3提供的V2X传感器数据是否满足其关于数据有效性和可用性的数据要求。基于该评估，车辆#2决定采取更保守的机动，即，更安全的机动，比如由于卡车缓慢或发生故障而降低速度并在车道内停车，以防所提供的数据不满足驾驶功能的要求。如果驾驶功能认为所提供的数据质量足够且可用，则它将根据所提供的传感器数据和元数据来规划并触发规避车道变更机动。

用于评估是否可以以安全方式执行规避车道变更的最小相关传感器数据集是车辆#1和卡车#3两者的车辆速度和加速度(纵向方向)、航向、位置(经度，纬度)。

由于车辆#2将使用“安全余量”或自身分别与车辆#1和卡车#3之间的最小安全距离，因此在规划和执行对应的车道变更机动时，所提供的传感器数据的质量(例如，准确性和有效性)可能不会导致距车辆#1和卡车#3的距离小于最小安全距离。假设这些最小安全距离由驾驶功能设计者预先配置。

特别地，车辆#2依靠车辆#1来不断提供更新的有效性值和预测有效性以及预测有效时间段的更新。车辆#2在其规划过程中使用该数据来评估所提供的信息是否可用以及是否能在机动执行之前和期间以所需的质量和有效性接收。

例如，对静态和动态误差贡献进行建模，并且使用随时间变化的异常值来调整滤波技术并在应用于控制算法或驾驶行为之前执行合理性检查。

在合作驾驶场景(例如，车道合并)的情况下，车辆可以使用用于协调对应的驾驶机动的方法。对于合作驾驶功能，车辆被配置为提供扩展传感器元数据。可替代地，扩展传感器元数据也可以由附近的车辆请求以执行合作驾驶机动。

在此描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专门设计的ASIC(专用集成电路)、计算机硬件、固件、软件和/或其组合中实现。这些不同的实施方式可以包括一个或多个计算机程序中的实施方式，这些计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用的或通用的，被耦合以从存储系统、至少一个输入设备以及至少一个输出设备接收数据和指令以及向其传输数据和指令。

这些计算机程序(也称为程序、软件、软件应用程序或代码)包括用于可编程处理器的机器指令，并且可以用高级程序和/或面向目标的编程语言和/或汇编/机器语言来实施。如本文所使用的，术语“机器可读介质”和“计算机可读介质”是指用于向可编程处理器提供机器指令和/或数据的任何计算机程序产品、装置和/或设备(例如，磁盘、光盘、存储器、可编程逻辑器件(PLD))，包括接收机器指令作为机器可读信号的机器可读介质。术语“机器可读信号”是指用于向可编程处理器提供机器指令和/或数据的任何信号。

可以在数字电子电路系统中、或者在计算机软件、固件或硬件(包括在本说明书中所披露的结构及其结构等效物)中、或者在其一种或多种的组合中实施本说明书中所描述的主题和功能操作的实施方式。此外，本说明书中所描述的主题可以被实施为一个或多个计算机程序产品，即，编码在计算机可读介质上的计算机程序指令的一个或多个模块，以便由数据处理装置执行或控制数据处理装置的操作。计算机可读介质可以是机器可读存储设备、机器可读存储基板、存储器设备、实现机器可读传播信号的物质组成、或其一种或多种的组合。术语“数据处理装置”、“计算设备”和“计算处理器”涵盖所有用于处理数据的装置、设备和机器，举例来说，包括可编程处理器、计算机、或多个处理器或计算机。除了硬件以外，该装置还可以包括为所讨论的计算机程序创建执行环境的代码，例如，构成处理器固件、协议栈、数据库管理系统、操作系统、或其一种或多种的组合的代码。所传播的信号是人为生成的信号，例如机器生成的电、光或电磁信号，其生成是为了对信息进行编码以便传输到合适的接收方装置。

类似地，虽然在附图中按特定顺序描绘了操作，但这不应被理解为需要按所示出的特定顺序或按先后顺序执行这样的操作，或执行所有所图示的操作以实现期望的结果。在某些情况下，多任务和并行处理可以是有利的。

此外，上文描述的实施例中的各种系统部件的分离不应被理解为在所有实施例中需要这样的分离，并且应理解，所描述程序部件和系统通常可以一起集成在单个软件产品中或封装到多个软件产品中。

如果在诉讼过程中发现一个特征或一组特征不是绝对必要的，则申请人当即希望至少一项独立权利要求的措辞不再包括该特征或该组特征。例如，这可能涉及在申请日存在的权利要求的子组合或在申请日存在的受进一步特征限制的权利要求的子组合。这些权利要求或有待重新措辞的特征的组合被理解为也被本申请的披露内容所涵盖。

进一步指出，在不同的实施例或实施例示例中描述的和/或在附图中示出的本发明方面的构型、特征和变体可以根据需要相互组合。单个或多个特征可以根据需要互换。所得到的特征组合被理解为也被本申请的披露内容所涵盖。

从属权利要求中的反向引用不应解释为放弃对被反向引用的子权利要求的特征进行独立、客观保护的权利。这些特征也可以与其他特征任意组合使用。

仅在说明书中披露的特征，或在说明书或权利要求中仅与其他特征一起披露的特征，原则上都可以具有独立的创造性意义。因此，它们也可以被单独包括在权利要求中，以区别于现有技术。

应当指出，车联网通信通常特别是指车辆之间和/或车辆与基础设施和/或一般道路使用者之间的直接通信。因此，举例来说，可能涉及车辆对车辆的通信或车辆对基础设施的通信。在本申请的框架内提及车辆之间的通信的情况下，这基本上可以例如在车辆对车辆通信的框架内发生，这通常在没有移动网络或类似外部基础设施的中介的情况下发生，因此可以区别于其他解决方案，例如，基于移动网络的解决方案。举例来说，可以使用标准IEEE 802.11p或IEEE 1609.4来实现车联网通信。车联网通信还可以被称为C2X通信。这些子领域可以被称为C2C(车对车)或C2I(车对基础设施)。然而，本发明的各方面明确地不排除与例如移动网络的中介的车联网通信。

已经描述了多种实施方式。然而，将理解，可以做出各种修改而不脱离本披露内容的精神和范围。因此，其他实施方式在所附权利要求的范围内。

优先权申请的权利要求的特征：

1.一种由发送车辆的电子控制设备执行的特别是用于支持满足V2X通信中的功能安全要求的方法，该方法包括以下步骤：

-通过无线通信设备传输安全相关数据。

2.一种由接收车辆的电子控制设备执行的特别是用于支持满足V2X通信中的功能安全要求的方法，该方法包括以下步骤：

-通过无线通信设备接收安全相关数据。

3.根据权利要求1或2中至少一项所述的方法，其中，该安全相关数据包括由至少一个车辆传感器提供的传感器元数据。

4.根据权利要求1至3中至少一项所述的方法，其中，该安全相关数据由V2X消息的安全相关数据字段组成。

5.根据权利要求1至4中至少一项所述的方法，其中，利用了商定误差模型的标准化目录。

6.根据权利要求1至5中至少一项所述的方法，其中，由接收车辆验证和/或评估该接收到的安全相关数据对安全相关驾驶功能的可用性。

7.根据权利要求1至6中至少一项所述的方法，其中，利用基于有效性的故障代数方法来验证该接收到的传感器元数据。

8.根据权利要求1至7中至少一项所述的方法，其中，该发射车辆不断监测和聚合车载传感器数据，以预测未来传感器的有效性和相关有效时间。

9.根据权利要求1至8中至少一项所述的方法，其中，可以经由V2X消息传递来预先配置或请求传感器元数据的传输。

10.一种由发送车辆支持的电子控制设备，该电子控制设备包括：

-被配置为传输安全相关数据的无线通信设备。

11.根据权利要求10所述的由发送车辆支持的电子控制设备，其中，该电子控制设备被配置为执行与根据权利要求1至10中至少一项所述的与该发送车辆相关的方法。

12.一种由接收车辆支持的电子控制设备，该电子控制设备包括：

-被配置为接收安全相关数据的无线通信设备。

13.根据权利要求12所述的由发送车辆支持的电子控制设备，其中，该电子控制设备被配置为执行与根据权利要求1至10中至少一项所述的与该接收车辆相关的方法。

Claims (17)

1.一种用于由发送方发送车联网消息的方法，其中，该车联网消息至少包括：

-信息部分(IP)，以及

-安全部分(SP)，

其中，

-该信息部分(IP)包括表征该发送方的信息和/或由该发送方测量和/或计算的数据，并且

-其中，该安全部分(SP)包括与该发送方的测量、计算、传输和/或处理该信息的一个或多个实体相关的安全信息。

2.根据权利要求1所述的方法，

-其中，该安全部分(SP)包括表征实体和/或所提供信息的等级的至少一个安全水平。

3.根据前述权利要求之一所述的方法，

-其中，该安全部分(SP)包括在发送之前传输该信息的总线系统的至少一个故障率。

4.根据前述权利要求之一所述的方法，

-其中，该安全部分(SP)包括用于开发实体的软件的软件开发过程、硬件开发过程、数据生成过程、安全工程标准或处理等级的至少一个指示。

5.根据前述权利要求之一所述的方法，

-其中，该安全部分(SP)包括一个、一些或所有信息的相应预测的有效时间。

6.根据权利要求5所述的方法，

-其中，该有效时间至少尤其是基于先前的测量结果或计算结果和/或先前的有效性值来计算的。

7.根据前述权利要求之一所述的方法，

-其中，该安全部分(SP)包括实体的误差模型的至少一个指示。

8.根据前述权利要求之一所述的方法，

-其中，该安全部分(SP)包括实体的基础误差模型的至少一个置信度、方差、详细信息和/或由实体生成的数据的绝对或相对有效时间。

9.根据前述权利要求之一所述的方法，

-其中，该安全部分(SP)包括元数据和/或多维故障向量。

10.根据前述权利要求之一所述的方法，

-其中，该安全信息被不断更新。

11.根据前述权利要求之一所述的方法，

-其中，该信息部分(IP)包括以下一项或多项：传感器数据、速度传感器数据、航向数据、偏航率数据、加速度数据、曲率数据、路径历史数据、雷达数据、激光雷达数据、转向角数据、定位数据、相机数据、地图数据、目标数据、与机动相关的数据、预期或规划的驾驶轨迹和/或路线数据。

12.根据前述权利要求之一所述的方法，

-其中，还发送了没有安全部分(SP)的车联网消息，并且

-其中，包括安全部分(SP)的车联网消息是仅或至少响应于一个或多个预定义事件、和/或自动驾驶策略或功能、和/或在该发送方附近检测到的实体、和/或响应于接收到的请求而发送的。

13.根据前述权利要求之一所述的方法，

-其中，该信息部分(IP)包括一个、一些或所有信息的容差带。

14.一种用于处理车联网消息的方法，该方法包括以下步骤：

-接收包括信息部分(IP)和安全部分(SP)的车联网消息，

-识别与车联网消息相关的任务和/或功能，

-基于该安全部分(SP)和/或该信息，评估该车联网消息的信息质量或数据质量对于该任务而言是否足够，以及

-仅当该信息质量和/或数据质量足够时才至少基于该车联网消息来执行该任务。

15.根据权利要求14所述的方法，

进一步包括以下步骤：

-如果基于该安全数据和/或该信息不能充分确定该数据的质量和/或安全，则发送对进一步的安全数据的请求。

16.根据权利要求14或15之一所述的方法，

-其中，该任务是车道变更或任何其他驾驶机动。

17.一种车联网通信模块，被配置为执行根据前述权利要求之一所述的方法。