DE102018222556A1 - Notstop-Verfahren und Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug - Google Patents

Notstop-Verfahren und Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug Download PDF

Info

Publication number
DE102018222556A1
DE102018222556A1 DE102018222556.7A DE102018222556A DE102018222556A1 DE 102018222556 A1 DE102018222556 A1 DE 102018222556A1 DE 102018222556 A DE102018222556 A DE 102018222556A DE 102018222556 A1 DE102018222556 A1 DE 102018222556A1
Authority
DE
Germany
Prior art keywords
emergency stop
vehicle
signal
control
emergency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018222556.7A
Other languages
English (en)
Inventor
Markus Schulz-Weiling
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018222556.7A priority Critical patent/DE102018222556A1/de
Priority to US16/710,860 priority patent/US11485329B2/en
Priority to CN201911314871.XA priority patent/CN111348036A/zh
Publication of DE102018222556A1 publication Critical patent/DE102018222556A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/08Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
    • B60W30/09Taking automatic action to avoid collision, e.g. braking and steering
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T13/00Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
    • B60T13/10Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with fluid assistance, drive, or release
    • B60T13/66Electrical control in fluid-pressure brake systems
    • B60T13/665Electrical control in fluid-pressure brake systems the systems being specially adapted for transferring two or more command signals, e.g. railway systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/20Safety devices operable by passengers other than the driver, e.g. for railway vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • B60T17/228Devices for monitoring or checking brake systems; Signal devices for railway vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/082Selecting or switching between different modes of propelling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/10Interpretation of driver requests or demands
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/01Occupants other than the driver
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/215Selection or confirmation of options
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Regulating Braking Force (AREA)
  • Motorcycle And Bicycle Frame (AREA)
  • Traffic Control Systems (AREA)

Abstract

Notstop-Verfahren für ein zumindest teilweise automatisiert fahrendes Fahrzeug, umfassend:Empfangen eines Notstop-Signals (NS);Bereitstellen eines Sperr-Signals (SS), wobei ein erstes Steuergerät (12) gesperrt wird, und dem ersten Steuergerät (12) die Kontrolle über die Steuerung von Fahrmanövern des Fahrzeugs entzogen wird; undBereitstellen eines Not-Drive-Signals (NDS) zum Einleiten eines Notstop-Fahrmanövers des Fahrzeugs.

Description

  • Die vorliegende Erfindung betrifft ein Notstop-Verfahren und eine Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug, ein Computerprogramm sowie ein computerlesbares Speichermedium.
  • Stand der Technik
  • In größeren Passagier-Fahrzeugen ist eine Vorrichtung zum Notbremsen, dem sogenannten Nothalt, welche durch den Fahrgast ausgelöst wird, für den Fall unvorhergesehener Gefahren (z.B. Feuer oder medizinischer Notfall) bekannt. Die Notbremse erfüllt dabei zwei wesentliche Funktionen: Das Fahrzeug soll schnellstmöglich zum Halt gebracht werden und der Fahrzeugführer soll auf eine Notsituation aufmerksam gemacht werden. In der Regel führt das Betätigen der Notbremse nicht direkt zur Notbremsung. In Zügen zum Beispiel wird der Lokführer benachrichtigt und bringt den Zug am nächsten sicheren Ort zum Stillstand (z.B. nicht auf Brücken oder in Tunneln). Das unberechtigte betätigen der Notbremse ist eine Straftat und der Hergang des Auslösens wird im Anschluss an die Betätigung ermittelt. Solche Not-Halt-Systeme sind normalerweise mit Verriegelungsmechanismen versehen, welche eine Wiederinbetriebnahme erst nach einer Entriegelung bzw. Quittierung durch Fachpersonal vor Ort zulassen. Beim Betrieb von zumindest teilweise automatisiert fahrenden Fahrzeugen (oder autonomous vehicle (AV)) entfällt Fachpersonal am Ort des Fahrzeugs. Der Fahrer wird durch einen Drive-Computer ersetzt.
  • Somit besteht der Wunsch nach einer Erweiterung der Funktion Nothalt, sowie einer entsprechenden Freigabe und Quittierung für zumindest teilweise automatisiert fahrende Fahrzeuge.
  • Offenbarung der Erfindung
  • Das vorgeschlagene Notstop-Verfahren für ein zumindest teilweise automatisiert fahrendes Fahrzeug, umfasst:
    • Empfangen eines Notstop-Signals;
    • Bereitstellen eines Sperr-Signals, wobei ein erstes Steuergerät gesperrt wird, und dem ersten Steuergerät die Kontrolle über die Steuerung von Fahrmanövern des Fahrzeugs entzogen wird; und
    • Bereitstellen eines Not-Drive-Signals zum Einleiten eines Notstop-Fahrmanövers des Fahrzeugs.
  • Zusätzlich zu einem üblichen Nothalt-Signal, auf welches das Fahrzeug schnellstmöglich zum Halt gebracht werden soll, und der Fahrzeugführer oder ein Computersystem, auf eine Notsituation aufmerksam gemacht werden soll, kann ein Notstop-Signal empfangen werden. Auf diese Weise kann zwischen einem Nothalt und einem Notstop unterschieden werden.
  • Bei einem Nothalt wird das für die Steuerung der Fahrmanöver des Fahrzeugs eingerichtete erste Steuergerät angeleitet, einen Nothalt auszuführend. Dies kann jedoch durch eine Fehlfunktion des ersten Steuergeräts oder eine Manipulation des ersten Steuergeräts, beispielsweise durch einen Hackerangriff, unterbunden werden. Ein Notstop hingegen bietet insbesondere dem Passagier des Fahrzeugs die Möglichkeit unabhängig von einer Fehlfunktion oder einer Manipulation des ersten Steuergeräts direkt Einfluss auf das Fahrmanöver des Fahrzeugs zu nehmen und das Fahrzeug zum Stehen zu bringen. Der Notstop wird von dem zweiten Steuergerät gesteuert, während der Nothalt von dem ersten Steuergerät gesteuert wird.
  • Dadurch, dass dem ersten Steuergerät die Kontrolle entzogen wird, haben Fehlfunktionen und/oder Manipulationen des ersten Steuergeräts keinen Einfluss mehr auf Fahrmanöver des Fahrzeugs. Ein zweites Steuergerät ist dann alleinig für die Fahrmanöver des Fahrzeugs zuständig und dazu eingerichtet einen Notstop, beispielsweise durch das Durchführen einer Vollbremsung, einzuleiten.
  • Das erste Steuergerät und das zweite Steuergerät können vorzugsweise auch als ein einzelnes Steuergerät ausgebildet sein.
  • Gemäß einem weiteren Aspekt wird das Notstop-Signal durch einen Passagier des Fahrzeugs bereitgestellt.
  • Auf diese Weise wird dem Passagier des zumindest teilweise automatisiert fahrenden Fahrzeugs die Möglichkeit eröffnet im Notfall direkt auf das Fahrmanöver des Fahrzeugs Einfluss zu nehmen.
  • Gemäß einem weiteren Aspekt umfasst das Notstop-Fahrmanöver eine Vollbremsung des Fahrzeugs.
  • Vorteilhafterweise wird bei einem Notfall zuerst versucht das Fahrzeug zu einem Nothalt zu bewegen. Hierbei wird aus Sicherheitsgründen versucht nicht direkt eine Vollbremsung durchzuführen, sondern auf eine geeignete Haltesituation zu warten. Deshalb wird bei einem Notstop Fahrmanöver, das in der Regel erst nach einem gescheiterten Nothalt Fahrmanöver eingeleitet wird, direkt eine Vollbremsung des Fahrzeugs eingeleitet. Grundsätzlich ist aber auch eine Ausführungsform denkbar, bei der auch das Notstop Fahrmanöver komplexere Fahrmanöver umfasst.
  • Gemäß einem weiteren Aspekt umfasst das Notstop-Verfahren:
    • Empfangen eines Freigabe-Signals zum Freigeben der gesperrten Fahrsteuervorrichtung;
    • Empfangen eines Quittierungs-Signals zum Quittieren des Freigabe-Signals; und
    • Aufheben des Sperr-Signals, wobei das erste Steuergerät freigegeben wird, und dem ersten Steuergerät die Kontrolle über die Steuerung der Fahrmanöver gegeben wird.
  • Nach dem Durchführen eines Notstops muss das Fahrzeug wieder freigegeben werden, um seine Funktion, das zumindest teilweise automatisierte Fahren, wiederaufzunehmen.
  • Ein alleiniges Freigabe-Signal, entweder nur durch den Passagier oder nur durch eine fahrzeugexterne Stelle, ermöglichen Manipulationen oder Missbrauch des Freigabe-Signals. So stellt das Einleiten eines unnötigen Notstops durch einen Passagier eine Straftat dar, die verfolgt werden muss. Auf der anderen Seite kann beispielsweise durch eine Fehlfunktion oder eine externe Manipulation fälschlicherweise ein Freigabe-Signal durch eine fahrzeugexterne Stelle bereitgestellt werden.
  • Durch die Kombination aus Freigabe-Signal durch eine fahrzeugexterne Stelle und Quittierungs-Signal durch den Passagier kann eine kontrollierte Freigabe des ersten Steuergeräts umgesetzt werden.
  • Auf diese Weise behält der Passagier in letzter Instanz die Kontrolle über das Fahrzeug. Außerdem kann eine Quittierung des Notstops ohne Fachpersonal vor Ort des Fahrzeugs durchgeführt werden.
  • Gemäß einem weiteren Aspekt wird das Freigabe-Signal durch eine fahrzeugexterne Stelle, vorzugsweise einen Leitstand, bereitgestellt.
  • Die fahrzeugexterne Stelle evaluiert vorzugsweise die sich darstellende Situation und gibt gegebenenfalls das Fahrzeug wieder frei.
  • Weiter vorzugsweise kann das Freigabe-Signal jedoch auch von dem Fahrzeug selbst, insbesondere von einem Fahrzeugcomputer, bereitgestellt werden. Trotzdem bliebe eine Quittierung des Freigabe-Signals durch den Passagier von Nöten.
  • Gemäß einem weiteren Aspekt wird das Quittierungs-Signal durch den Passagier des Fahrzeugs bereitgestellt.
  • Auf diese Weise behält der Passagier weiterhin die letzte Entscheidung und bleibt vor Fehlfunktionen oder Manipulation besser geschützt.
  • Das vorgeschlagene Steuergerät ist eingerichtet, Schritte des beschriebenen Verfahrens durchzuführen.
  • Vorzugsweise ist das Steuergerät als Prozessor ausgebildet.
  • Das vorgeschlagene Computerprogramm, wenn es auf einem Prozessor ausgeführt wird, diesen anleitet, Schritte eines beschriebenen Verfahrens durchzuführen.
  • Es wird ein computerlesbares Speichermedium vorgeschlagen, auf dem ein beschriebenes Computerprogramm gespeichert ist.
  • Ausführungsbeispiele
  • Es zeigt:
    • 1 ein Diagramm des Ablaufs eines Nothalts und eines Notstops;
    • 2 eine schematische Darstellung einer Vorrichtung zum Betrieb eines zumindest teilweise automatisiert fahrenden Fahrzeugs;
    • 3a eine Bedienvorrichtung in einem ersten Bedienzustand;
    • 3b eine Bedienvorrichtung in einem zweiten Bedienzustand;
    • 3c eine Bedienvorrichtung in einem dritten Bedienzustand; und
    • 4 eine schematische Darstellung eines Notstop-Verfahrens.
  • 1 zeigt ein Ablaufdiagramm eines zumindest teilweise automatisiert fahrenden Fahrzeugs zum Einleiten eines Nothalts und zum Einleiten eines Notstops.
  • In Zustand Z1 ist das zumindest teilweise automatisiert fahrende Fahrzeug betriebsbereit und führt Fahrmanöver entsprechend einer Fahrstrategie aus.
  • In Zustand Z2 wird überprüft, ob ein Nothalt-Signal NH oder ein Notstop-Signal NS empfangen wurde. Wenn gar kein Signal empfangen wurde, ändert sich die Betriebsbereitschaft des Fahrzeugs nicht und es wird wieder in Zustand Z1 angefangen.
  • Wird ein Nothalt-Signal NH empfangen, so führt das Fahrzeug in Zustand Z3 einen Nothalt durch. Hierzu versucht das Fahrzeug einen sicheren Zustand zu erreichen. Ein sicherer Zustand wäre beispielsweise ein Abstellen des Fahrzeugs in einer Parkbucht oder einer Einfahrt. Nach dem Erhalt des Nothalt-Signals springt das Verfahren zu Zustand Z4. Das Nothalt-Signal NH wird vorzugsweise durch einen Passagier des Fahrzeugs bereitgestellt. Eine typische Situation wäre beispielsweise eine gesundheitliche Notsituation des Passagiers. Der Passagier kann durch bereitstellen eines Nothalt-Signals NH ein möglichst schnelles aber sicheres Anhalten des Fahrzeugs erreichen.
  • Solange das Fahrzeug nicht einen sicheren Zustand erreicht hat befindet sich das Verfahren im Zustand Z4. Entweder wird ein sicherer Zustand erreicht, dann springt das Verfahren zu Zustand Z6, oder aus bestimmten Gründen wird kein sicherer Zustand erreicht, beispielsweise durch Fehlfunktion oder Manipulation des Fahrzeugs. Der Passagier kann dann durch ein Notstop-Signal NS die Kontrolle über das Fahrzeug gewinnen. Wird ein Notstop-Signal NS empfangen, so führt das Fahrzeug in Zustand Z4 einen Notstop aus. Hierzu wird üblicherweise eine sofortige Vollbremsung durchgeführt und das Fahrzeug so schnell als möglich zum Stehen gebracht. Danach springt das Verfahren zu Zustand Z6. Das Notstop-Signal NS wird vorzugsweise von dem Passagier bereitgestellt. Der Passagier kann durch bereitstellen des Notstop-Signals NS ein sofortiges Anhalten des Fahrzeugs erreichen.
  • In Zustand Z6 hat das Fahrzeug Geschwindigkeit Null und ein Leitstand überprüft den Grund des Nothalts beziehungsweise den Grund des Notstops. Anschließend wird basierend auf der Analyse eine Entscheidung nach Zustand Z7 getroffen.
  • Kommt der Leitstand in Zustand Z7 zu dem Ergebnis, dass weiter eine Gefahr besteht, die ein Weiterfahren des Fahrzeugs verhindert, so springt das Verfahren von Zustand Z7 zu Zustand Z8.
  • In Zustand Z8 wird ein Fach- und/oder Notfallpersonal an den Ort des Fahrzeugs entsandt, um die Situation zu lösen. Erst wenn das Fach- und/oder Notfallpersonal vor Ort des Fahrzeugs die Situation, also den Notstand, aufgehoben hat, springt das Verfahren von Zustand Z8 zu Zustand Z1. Das Fahrzeug ist dann wieder betriebsbereit.
  • Kommt der Leitstand in Zustand Z7 zu dem Ergebnis, dass der Notstand aufgehoben ist und es handelt sich um einen Fall eines Nothalts, so erteilt der Leitstand eine Nothalt-Freigabe und das Verfahren springt von Zustand Z7 zu Zustand Z1. Das Fahrzeug ist durch die Nothalt-Freigabe wieder betriebsbereit.
  • Kommt der Leitstand in Zustand Z7 zu dem Ergebnis, dass der Notstand aufgehoben ist und es handelt sich um einen Fall eines Notstops, so erteilt der Leitstand eine Notstop-Freigabe in Form eines Freigabe-Signals FS und das Verfahren springt von Zustand Z7 zu Zustand Z9. Im Falle eines Notstops kann das Verfahren von zustand Z7 lediglich zu Zustand Z9 springen. Die anderen beiden Wege werden über die fahrzeuginterne Logik ausgeschlossen.
  • In Zustand Z9 ist ein Passagier des Fahrzeugs aufgefordert die Notstop-Freigabe des Leitstandes durch ein Quittierungs-Signal QS zu quittieren.
  • Erachtet der Passagier den Notstand als nicht aufgehoben, erteilt der Passagier keine Quittierung. Das Verfahren springt von Zustand Z8 zu Zustand Z7.
  • Erachtet der Passagier den Notstand ebenfalls für aufgehoben, erteilt der Passagier seine Quittierung durch das Quittierungs-Signal QS. Somit liegen sowohl das Freigabe-Signal FS der Leitstelle als auch das Quittierungs-Signal QS des Passagiers vor und das Verfahren springt von Zustand Z8 auf Zustand Z1. Das Fahrzeug ist nun wieder betriebsbereit.
  • 2 zeigt eine Vorrichtung 10 umfassend eine erste Datenschnittstelle 11, eine zweite Datenschnittstelle 14, ein erste Steuergerät 12 und ein zweites Steuergerät 13.
  • Das erste Steuergerät 12 steuert die Fahrmanöver des zumindest teilweise automatisiert fahrenden Fahrzeugs. Hierfür sendet das erste Steuergerät 12 ein Drive-Signal DS an die zweite Datenschnittstelle 14, welche das Drive-Signal DS an die jeweils für die Durchführung der Fahrmanöver zuständigen Komponenten weiterleitet. Das erste Steuergerät 12 wird von der ersten Datenschnittstelle 11 mit einem Control-Signal CS versorgt. Das Control-Signal CS wird von einer Leitstelle zur Verfügung gestellt und ermöglicht es der Leitstelle, die Fahrstrategie des ersten Steuergeräts anzupassen.
  • Übernimmt beispielsweise ein Hacker die Kontrolle über das Steuergerät 12, insbesondere durch Manipulation des Control-Signals CS, so kann ein Passagier über ein etwaiges Nothalt-Signals NH, das Fahrzeug nicht mehr beeinflussen. Auf diese Weise wäre der Passagier Gefangener in einem fahrenden Fahrzeug.
  • Durch Bereitstellen eines Notstop-Signals NS an die erste Datenschnittstelle 11, kann das zweite Steuergerät 13 mit dem Notstop-Signal NS versorgt werden. Das zweite Steuergerät 13 generiert ein Sperr-Signal SS, welches dem ersten Steuergerät 12 bereitgestellt wird. Das Sperr-Signal SS entzieht dem ersten Steuergerät 11 die Kontrolle über das Steuern von Fahrmanövern des Fahrzeugs. Auf diese Weise hat beispielsweise ein Hacker keinen Einfluss mehr auf die Fahrmanöver des Fahrzeugs. Das zweite Steuergerät generiert zudem ein Not-Drive-Signal NDS, welches über die zweite Datenschnittstelle 12 an die dafür zuständigen Komponenten verteilt wird und eine Vollbremsung des Fahrzeugs einleitet. Das Fahrzeug wird auf diese Weise direkt durch die Kontrolle des Passagiers zum Stehen gebracht. Ein Betrieb des Fahrzeugs ist erstmal nicht mehr möglich, ohne dass eine quittierte Freigabe erteilt wurde.
  • Um das Fahrzeug nach einem Notstop wieder betriebsbereit zu machen, gibt die Leitstelle durch ein Freigabe-Signal FS an die erste Datenschnittstelle 11 ihr Zeichen, dass aus ihrer Sicht keine Notsituation mehr vorliegt. Der Passagier wird aufgefordert, auf das Freigabe-Signal FS ein Quittierungs-Signal QS bereitzustellen und die Freigabe der Leitstelle zu quittieren. Erst wenn über die erste Datenschnittstelle 11 das zweite Steuergerät 13 ein Freigabe-Signal FS und ein Quittierungs-Signal QS vorliegen hat, wird das Sperr-Signal SS an das erste Steuergerät 12 aufgehoben und das Fahrzeug ist wieder betriebsbereit.
  • Demnach muss auch sichergestellt werden, dass das Quittierungssignal QS lediglich durch den Passagier generierbar ist. Außerdem muss eine direkte unveränderbare Verbindung zwischen einer Bedienvorrichtung 15 zum Generieren des Quittierungssignals QS und dem zweiten Steuergerät 13 vorliegen. Die Funktion des Notstops des zweiten Steuergeräts 13 darf ebenso nicht von außen modifizierbar sein.
  • Die 3a bis 3c zeigen jeweils eine Bedienvorrichtung 15, mit Hilfe derer ein Passagier seine Eingaben tätigen kann, also ein Nothalt-Signal NH, eine Notstop-Signal NS und/oder ein Quittierungs-Signal QS generieren kann. Die Bedienvorrichtung 15 umfasst einen Hebel 16.
  • Der Hebel 16 ist in 3a in einer Ausgangsposition gezeigt. Durch Ziehen des Hebels 16 nach unten kann der Passagier eine Nothalt-Signal NH bereitstellen.
  • Basierend auf dem Nothalt-Signal NH soll das Fahrzeug einen Nothalt durchführen.
  • Nach Betätigung des Hebels 16, was in 3b gezeigt ist, ist ein normalerweise hinter dem Hebel 16 befindlicher Notschalter 17 sichtbar. Sollte der Passagier der Meinung sein ein Notstop wäre angebracht, so kann er durch Betätigen des Notschalters 17, in diesem Fall in Form eines Druckknopfes, ein Notstop-Signal NS bereitstellen, woraufhin das Fahrzeug zu einem Notstop, üblicherweise durch eine Vollbremsung, gezwungen wird. Ein Notstop wäre beispielsweise angebracht, wenn ein Betätigen des Hebels 16 nicht zu einem Nothalt des Fahrzeugs führt, beispielsweise wegen eines Fehlers oder einer Manipulation des ersten Steuergeräts 12.
  • Nach Durchführung des Notstops und Beseitigung des Notstands gibt die Leitstelle durch das Freigabe-Signal FS das Fahrzeug wieder frei. Der Passagier wird beispielsweise durch ein Blinken des Notschalters 17 aufgefordert, die Freigabe der Leitstelle zu quittieren, wie in 3c dargestellt ist. Durch Betätigung des blinkenden Notschalters 17 wird daraufhin ein Quittierungs-Signal QS erzeugt, welches das Freigabe-Signals FS quittiert. Der Notschalter 17 ist vorzugsweise derart ausgebildet, dass ein Erzeugen des Quittierungs-Signals QS über eine Fernsteuerung nicht möglich ist.
  • 4 zeigt ein schematisches Diagramm des Notstop-Verfahrens.
  • In Schritt S1 wird ein Notstop-Signal NS empfangen.
  • In Schritt S2 wird ein Sperr-Signal SS bereitgestellt, wobei das erste Steuergerät 12 gesperrt wird, und dem ersten Steuergerät 12 die Kontrolle über die Steuerung von Fahrmanövern des Fahrzeugs entzogen wird.
  • In Schritt S3 wird Not-Drive-Signal NDS bereitgestellt, wobei ein Notstop-Fahrmanöver des Fahrzeugs eingeleitet wird.
  • In Schritt S4 wird ein Freigabe-Signal FS zum Freigeben der gesperrten Fahrsteuervorrichtung empfangen.
  • In Schritt S5 wird ein Quittierungs-Signal QS zum Quittieren des Freigabe-Signals FS empfangen.
  • In Schritt S6 wird das Sperr-Signal SS aufgehoben, wobei das erste Steuergerät 12 freigegeben wird, und dem ersten Steuergerät 12 die Kontrolle über die Steuerung der Fahrmanöver des Fahrzeugs gegeben wird.

Claims (9)

  1. Notstop-Verfahren für ein zumindest teilweise automatisiert fahrendes Fahrzeug, umfassend: Empfangen eines Notstop-Signals (NS); Bereitstellen eines Sperr-Signals (SS), wobei ein erstes Steuergerät (12) gesperrt wird, und wobei dem ersten Steuergerät (12) die Kontrolle über die Steuerung von Fahrmanövern des Fahrzeugs entzogen wird; und Bereitstellen eines Not-Drive-Signals (NDS) zum Einleiten eines Notstop-Fahrmanövers des Fahrzeugs.
  2. Notstop-Verfahren nach Anspruch 1, wobei das Notstop-Signal (NS) durch einen Passagier des Fahrzeugs bereitgestellt wird.
  3. Notstop-Verfahren nach einem der voranstehenden Ansprüche, wobei das Notstop-Fahrmanöver eine Vollbremsung des Fahrzeugs umfasst.
  4. Notstop-Verfahren nach einem der voranstehenden Ansprüche, umfassend: Empfangen eines Freigabe-Signals (FS) zum Freigeben des gesperrten ersten Steuergeräts (12); Empfangen eines Quittierungs-Signals (QS) zum Quittieren des Freigabe-Signals (FS); und Aufheben des Sperr-Signals (SS), wobei das erste Steuergerät (12) freigegeben wird, und wobei dem ersten Steuergerät (12) die Kontrolle über die Steuerung der Fahrmanöver des Fahrzeugs gegeben wird.
  5. Notstop-Verfahren nach einem der voranstehenden Ansprüche, wobei das Freigabe-Signal (FS) durch eine fahrzeugexterne Stelle, vorzugsweise einen Leitstand, bereitgestellt wird.
  6. Notstop-Verfahren nach einem der voranstehenden Ansprüche, wobei das Quittierungs-Signal (QS) durch den Passagier des Fahrzeugs bereitgestellt wird.
  7. Steuergerät, das eingerichtet ist, Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen.
  8. Computerprogramm, das, wenn es von einem Prozessor ausgeführt wird, diesen anleitet, Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen.
  9. Computerlesbares Speichermedium, auf dem ein Computerprogramm nach Anspruch 8 gespeichert ist.
DE102018222556.7A 2018-12-20 2018-12-20 Notstop-Verfahren und Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug Pending DE102018222556A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102018222556.7A DE102018222556A1 (de) 2018-12-20 2018-12-20 Notstop-Verfahren und Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug
US16/710,860 US11485329B2 (en) 2018-12-20 2019-12-11 Emergency halt method and device for a vehicle driving at least partially in automated fashion
CN201911314871.XA CN111348036A (zh) 2018-12-20 2019-12-19 用于车辆的紧急停车方法和控制器以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018222556.7A DE102018222556A1 (de) 2018-12-20 2018-12-20 Notstop-Verfahren und Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug

Publications (1)

Publication Number Publication Date
DE102018222556A1 true DE102018222556A1 (de) 2020-06-25

Family

ID=70969111

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018222556.7A Pending DE102018222556A1 (de) 2018-12-20 2018-12-20 Notstop-Verfahren und Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug

Country Status (3)

Country Link
US (1) US11485329B2 (de)
CN (1) CN111348036A (de)
DE (1) DE102018222556A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11312390B2 (en) * 2019-08-08 2022-04-26 Westinghouse Air Brake Technologies Corporation Vehicle control system
JP7247786B2 (ja) * 2019-06-28 2023-03-29 トヨタ自動車株式会社 自動運転車両

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018065973A1 (en) * 2016-10-06 2018-04-12 Red Bend Ltd. Systems and methods for handling a vehicle ecu malfunction
DE102018103181A1 (de) * 2017-02-15 2018-08-16 Ford Global Technologies, Llc Systeme und Verfahren zur Erkennung von Sicherheitsverletzungen bei Fahrzeugkommunikationssystemen
DE102017208582A1 (de) * 2017-05-22 2018-11-22 Volkswagen Aktiengesellschaft Verfahren zum Betreiben eines Kraftfahrzeugs, Sicherheitssystem für ein Kraftfahrzeug und Kraftfahrzeug
DE102017222625A1 (de) * 2017-12-13 2019-06-13 Robert Bosch Gmbh Druckerzeugungsvorrichtung für eine hydraulische Fahrzeugbremsanlage mit einem Energiespeicher

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2334903A1 (de) * 1973-07-10 1975-01-23 Walter Gerhard Vorrichtung zurerhoehung der sicherheit beim betrieb von kraftfahrzeugen
KR100381415B1 (ko) * 2000-07-14 2003-04-23 삼성전자주식회사 무인운반차 및 무인운반차의 비상정지방법
US7049709B2 (en) * 2002-12-30 2006-05-23 Clayton Boggs Method and apparatus for disabling the drive train of a targeted motor vehicle from a remote location
GB2445507B (en) * 2005-10-21 2011-08-24 Deere & Co Versatile robotic control module
US8237389B2 (en) * 2008-11-12 2012-08-07 Irobot Corporation Multi mode safety control module
JP2011057134A (ja) * 2009-09-11 2011-03-24 Mitsubishi Fuso Truck & Bus Corp 車両緊急停止装置
DE102010044024A1 (de) * 2010-11-17 2012-05-24 Bayerische Motoren Werke Aktiengesellschaft Fahrassistenzsystem in einem Kraftfahrzeug
US9205816B2 (en) * 2011-07-11 2015-12-08 Toyota Jidosha Kabushiki Kaisha Vehicle emergency evacuation device
US8527139B1 (en) * 2012-08-28 2013-09-03 GM Global Technology Operations LLC Security systems and methods with random and multiple change-response testing
US9145863B2 (en) * 2013-03-15 2015-09-29 General Electric Company System and method for controlling automatic shut-off of an engine
DE102013213171A1 (de) * 2013-07-04 2015-01-08 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb
US9523984B1 (en) * 2013-07-12 2016-12-20 Google Inc. Methods and systems for determining instructions for pulling over an autonomous vehicle
DE102013222048B4 (de) * 2013-10-30 2023-10-05 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Aktivieren oder Deaktivieren einer automatischen Fahrfunktion
SE537704C2 (sv) * 2013-11-27 2015-10-06 Scania Cv Ab Förfarande och system för nödstopp för ett motorfordon
JP2015174474A (ja) * 2014-03-13 2015-10-05 幹夫 福永 停止装置
US9866542B2 (en) * 2015-01-28 2018-01-09 Gm Global Technology Operations Responding to electronic in-vehicle intrusions
EP4086721B1 (de) * 2015-03-11 2023-09-20 Kubota Corporation Arbeitsfahrzeug mit einem fahrsteuerungsgerät für den automatischen betrieb des arbeitsfahrzeugs, insbesondere einer landwirtschaftmaschine
DE102016203020A1 (de) * 2016-02-25 2017-08-31 Bayerische Motoren Werke Aktiengesellschaft Fahrerassistenzsystem mit per Feststellbremse-Bedienelement aktivierbarer Nothaltefunktion
US10466061B2 (en) * 2016-12-30 2019-11-05 Nio Usa, Inc. Autonomous override safety
EP3421308B1 (de) * 2017-06-29 2021-08-11 Volvo Car Corporation Verfahren und fahrzeug zur aktivierung eines autonomen bremsmanövers
US10948911B2 (en) * 2017-10-31 2021-03-16 Denso International America, Inc. Co-pilot
DE102017010716A1 (de) * 2017-11-10 2019-05-16 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH System zum wenigstens teilautonomen Betrieb eines Kraftfahrzeugs mit doppelter Redundanz
US10671067B2 (en) * 2018-01-15 2020-06-02 Qualcomm Incorporated Managing limited safe mode operations of a robotic vehicle
US10579054B2 (en) * 2018-01-29 2020-03-03 Uatc, Llc Systems and methods for on-site recovery of autonomous vehicles
US10782684B2 (en) * 2018-04-20 2020-09-22 Lyft, Inc. Secure communication between vehicle components via bus guardians
US10611384B1 (en) * 2018-07-27 2020-04-07 Uatc, Llc Systems and methods for autonomous vehicle operator vigilance management
KR20200081530A (ko) * 2018-12-19 2020-07-08 주식회사 만도 자율 주행 차량의 안전 제어 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018065973A1 (en) * 2016-10-06 2018-04-12 Red Bend Ltd. Systems and methods for handling a vehicle ecu malfunction
DE102018103181A1 (de) * 2017-02-15 2018-08-16 Ford Global Technologies, Llc Systeme und Verfahren zur Erkennung von Sicherheitsverletzungen bei Fahrzeugkommunikationssystemen
DE102017208582A1 (de) * 2017-05-22 2018-11-22 Volkswagen Aktiengesellschaft Verfahren zum Betreiben eines Kraftfahrzeugs, Sicherheitssystem für ein Kraftfahrzeug und Kraftfahrzeug
DE102017222625A1 (de) * 2017-12-13 2019-06-13 Robert Bosch Gmbh Druckerzeugungsvorrichtung für eine hydraulische Fahrzeugbremsanlage mit einem Energiespeicher

Also Published As

Publication number Publication date
CN111348036A (zh) 2020-06-30
US20200198599A1 (en) 2020-06-25
US11485329B2 (en) 2022-11-01

Similar Documents

Publication Publication Date Title
EP3052363B1 (de) Vorrichtung zum automatischen fahren eines fahrzeugs
DE102008008555B4 (de) Verfahren und Vorrichtung zum Minimieren von Gefahrensituationen bei Fahrzeugen
DE3878569T2 (de) Bremssicherungüberwachungssystem.
WO2009065754A2 (de) Verfahren zur ansteuerung von zumindest einer elektromechanischen parkbremseneinheit eines elektromechanischen parkbremssystems
EP1633614B1 (de) Optimierte steuergerät-konfiguration für eine kfz-feststellbremse
EP3740406B1 (de) Assistenzsystem für ein fahrzeug
DE102012014991A1 (de) Verfahren zum Betreiben eines Parkassistenzsystems für einen Kraftwagen
DE102018222556A1 (de) Notstop-Verfahren und Vorrichtung für ein zumindest teilweise automatisiert fahrendes Fahrzeug
EP3747733B1 (de) Verfahren zum betreiben eines lenksystems
DE102019214453A1 (de) Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs
DE102016119423A1 (de) Griffvorrichtung
EP3083348B1 (de) Kraftfahrzeug
DE102011086440B4 (de) Verfahren zum Unterstützen der Durchführung eines Parkvorgangs eines Fahrzeuges, Parkassistenzsystem für ein Fahrzeug sowie Fahrzeug
DE102010006979A1 (de) Verfahren und Vorrichtung zur Einparkunterstützung
EP3810488B1 (de) Parkassistenzsystem zum automatisierten ausparken aus einer längsparklücke mit einem rückwärtszug als letztem ausparkzug
WO2005021347A1 (de) Notbremseinrichtung und bremssystem für ein schienenfahrzeug sowie verfahren zum sicherstellen einer notbremsfunktion bei schienenfahrzeugen
EP4035138A1 (de) Verfahren zum zumindest assistierten einfädeln eines kraftfahrzeugs in einen fahrstreifen
DE102018211339B3 (de) Assistenzsystem für ein Fahrzeug
EP3568732B1 (de) Verfahren zum betreiben eines sicherheitssystems für ein kraftfahrzeug und sicherheitssystem
DE102019102645A1 (de) Manövrieren mit mehreren Rangierzügen und einfacher Lenkwinkeländerung
DE102018221105B4 (de) Verfahren zum Überwachen eines Lenksystems eines Kraftfahrzeugs
DE102013015727A1 (de) Fahrerassistenzvorrichtung
DE102021002442A1 (de) Verfahren zum Betrieb einer elektrischen Feststellbremsvorrichtung eines Fahrzeugs
EP3809322A1 (de) Vorrichtung zur vermeidung einer kollision einer fahrzeugtür eines kraftfahrzeugs mit einem fahrzeugrad
DE102018115685B4 (de) Stillstandssicherungskonzept zum Sichern eines Stillstands eines Fahrzeugs

Legal Events

Date Code Title Description
R163 Identified publications notified