DE102020211965A1

DE102020211965A1 - Verfahren zum Betreiben eines Kraftfahrzeugs

Info

Publication number: DE102020211965A1
Application number: DE102020211965.1A
Authority: DE
Inventors: Brahim Baqasse; Asim Abdulkhaleq; Christian Faller
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2020-09-24
Filing date: 2020-09-24
Publication date: 2022-03-24

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines mehrere Fahrerassistenzsysteme aufweisenden Kraftfahrzeugs, umfassend die folgenden Schritte:erstes Ermitteln basierend auf einem jeweiligen Status der Fahrerassistenzsysteme und basierend auf einem ersten Regelsatz, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen, wobei der jeweilige Status angibt, ob das Fahrerassistenzsystem aktiv oder passiv ist oder ob das Fahrerassistenzsystem sein Aktivieren anfordert,erstes Bereitstellen eines ersten Ergebnisses des ersten Ermittelns, so dass das erste Ergebnis angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,redundantes zweites Ermitteln basierend auf dem jeweiligen Status der Fahrerassistenzsysteme und basierend auf einem zweiten Regelsatz, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,zweites Bereitstellen eines zweiten Ergebnisses des redundanten zweiten Ermittelns, so dass das zweite Ergebnis angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,Vergleichen des ersten Ergebnisses mit dem zweiten Ergebnis, um ein erstes Vergleichsergebnis zu ermitteln,Betreiben des Kraftfahrzeugs basierend auf dem ermittelten ersten Vergleichsergebnis.Die Erfindung betrifft weiter eine Vorrichtung, ein Computerprogramm und ein maschinenlesbares Speichermedium.

Description

Die Erfindung betrifft ein Verfahren zum Betreiben eines Kraftfahrzeugs, eine Vorrichtung, ein maschinenlesbares Speichermedium und ein Computerprogramm.
Stand der Technik
Die englische Abkürzung „ADAS“ steht für „Advanced Driver Assistance System“ und kann ins Deutsche mit „Fortgeschrittenes Fahrerassistenzsystem“ übersetzt werden. Kraftfahrzeuge umfassen in der Regel mehrere solcher Fahrerassistenzsysteme, welche im Betrieb des Kraftfahrzeugs aktiv oder passiv sein können oder ihre Aktivierung anfordern können. Nicht jedes Fahrerassistenzsystem darf mit jedem Fahrerassistenzsystem gleichzeitig aktiv sein. Es kann zum Beispiel zu Problemen kommen, wenn ADAS-Funktionen, die die gleichen beabsichtigten Funktionen, zum Beispiel Bremsen, ausführen, gleichzeitig im Hintergrund aktiviert werden. Ein Beispiel ist, wenn ein AEB-System (AEB steht für „Automated Emergency Braking“; auf Deutsch: Automatisches Notbremssystem) und ein ACC-System (ACC steht für „Adaptive Cruise Control“; auf Deutsch: Adaptive Geschwindigkeitsregelung oder auch Abstandsregeltempomat) beide das Kraftfahrzeug bremsen wollen, allerdings mit unterschiedlichen Verzögerungswerten. Das kann zum Beispiel einen Fahrer des Kraftfahrzeugs verwirren. Das kann zum Beispiel einen Betrieb des Kraftfahrzeugs erschweren.
Problematisch können auch folgende Szenarien sein: Ein Notbrems-Assistent (AEB) kommt nicht über die Verzögerung eines ACC-Systems hinaus. Ein Notbrems-Assistent (AEB) oder ein anderes Fahrerassistenzsystem, welches eine Verzögerung anfordert, kommt nicht über die Beschleunigung eines ACC-Systems. Das bedeutet, dass nicht nur „gleiche beabsichtigte Funktionen“ problematisch sein können.
Während des Betriebs des Kraftfahrzeugs besteht somit ein Bedarf, zu überwachen, dass nur diejenigen ADASe gleichzeitig aktiv sein dürfen, die sich nicht gegenseitig behindern, sodass es nicht zu widersprüchlichen Situationen kommt.
Offenbarung der Erfindung
Die der Erfindung zugrundliegende Aufgabe ist darin zu sehen, ein Konzept zum sicheren Betreiben eines Kraftfahrzeugs bereitzustellen.
Diese Aufgabe wird mittels des jeweiligen Gegenstands der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand von jeweils abhängigen Unteransprüchen.
Nach einem ersten Aspekt wird ein Verfahren zum Betreiben eines mehrere Fahrerassistenzsysteme aufweisenden Kraftfahrzeugs bereitgestellt, umfassend die folgenden Schritte:

1) erstes Ermitteln basierend auf einem jeweiligen Status der Fahrerassistenzsysteme und basierend auf einem ersten Regelsatz, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen, wobei der jeweilige Status angibt, ob das Fahrerassistenzsystem aktiv oder passiv ist oder ob das Fahrerassistenzsystem sein Aktivieren anfordert,
2) erstes Bereitstellen eines ersten Ergebnisses des ersten Ermittelns, so dass das erste Ergebnis angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,
3) redundantes zweites Ermitteln basierend auf dem jeweiligen Status der Fahrerassistenzsysteme und basierend auf einem zweiten Regelsatz, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,
4) zweites Bereitstellen eines zweiten Ergebnisses des redundanten zweiten Ermittelns, so dass das zweite Ergebnis angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,
5) Vergleichen des ersten Ergebnisses mit dem zweiten Ergebnis, um ein erstes Vergleichsergebnis zu ermitteln,
6) Betreiben des Kraftfahrzeugs basierend auf dem ermittelten ersten Vergleichsergebnis.

Nach einem zweiten Aspekt wird eine Vorrichtung bereitgestellt, die eingerichtet ist, alle Schritte des Verfahrens nach dem ersten Aspekt auszuführen.
Nach einem dritten Aspekt wird ein Computerprogramm bereitgestellt, welches Befehle umfasst, die bei Ausführung des Computerprogramms durch einen Computer, beispielsweise durch die Vorrichtung nach dem zweiten Aspekt, diesen veranlassen, ein Verfahren gemäß dem ersten Aspekt auszuführen.
Nach einem vierten Aspekt wird ein maschinenlesbares Speichermedium bereitgestellt, auf dem das Computerprogramm nach dem dritten Aspekt gespeichert ist.
Die Erfindung basiert auf der Erkenntnis und schließt diese mit ein, dass die obige Aufgabe dadurch gelöst wird, dass das Ermitteln, welche der Fahrerassistenzsysteme parallel, also gleichzeitig, aktiv sein dürfen, redundant durchgeführt wird. Es liegen also zwei Ergebnisse vor, die in der Regel gleich sein sollten, sofern bei den Schritten des Ermittelns keine Fehler aufgetreten sind. Falls allerdings bei einem der Schritte des Ermittelns ein Fehler aufgetreten sein sollte, wird sich dies üblicherweise in unterschiedlichen Ergebnissen niederschlagen, was durch den Vergleich auffällt. Dies kann bei einem Betreiben des Kraftfahrzeugs berücksichtigt werden, sodass das Kraftfahrzeug sicher betrieben werden kann. Weiter können dadurch in vorteilhafter Weise widersprüchliche Situationen, wie in der Beschreibungseinleitung beschrieben, effizient vermieden werden. Ein Fahrer des Kraftfahrzeugs wird somit nicht mehr durch eine solche Situation verwirrt. Das Kraftfahrzeug kann effizient und sicher betrieben werden.
Es ist also insbesondere eine übergeordnete Instanz vorgesehen, welche das erste Ergebnis überprüft, indem basierend auf den gleichen Ausgangsdaten, hier insbesondere der jeweilige Status der Fahrerassistenzsysteme, unter Verwendung des zweiten Regelsatzes nochmals ermittelt wird, welche der Fahrerassistenzsysteme gleichzeitig, also parallel, aktiv sein dürfen. Diese übergeordnete Instanz bewertet also insbesondere das erste Ergebnis unter Verwendung des zweiten Ergebnisses, um basierend auf dieser Bewertung das Kraftfahrzeug zu betreiben, zum Beispiel, um in einen Betrieb des Kraftfahrzeugs einzugreifen, falls das zweite Ergebnis vom ersten Ergebnis abweicht. Ein Eingreifen kann zum Beispiel ein Steuern einer HMI-Schnittstelle des Kraftfahrzeugs umfassen, um eine Warnung auszugeben. Ein Eingreifen kann zum Beispiel ein Übersteuern eines aktiven Fahrerassistenzsystems umfassen. Ein Eingreifen kann zum Beispiel ein Deaktivieren eines aktiven Fahrerassistenzsystems umfassen. Ein Eingreifen kann zum Beispiel ein Aktivieren eines deaktivierten Fahrerassistenzsystems umfassen. Ein Eingreifen kann zum Beispiel ein Aktivieren eines Fahrerassistenzsystems umfassen, welches sein Aktivieren anfordert.
In einer Ausführungsform ist vorgesehen, dass das Betreiben ein Erzeugen und Ausgeben von Steuersignalen zum zumindest teilautomatisierten Steuern einer Quer- und/oder Längsführung des Kraftfahrzeugs umfasst, um das Kraftfahrzeug basierend auf dem ermittelten Vergleichsergebnis zumindest teilautomatisiert zu führen.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass das Kraftfahrzeug sicher betrieben werden kann. Zum Beispiel ist vorgesehen, dass die Steuersignale ein aktives Fahrerassistenzsystem übersteuern, falls das erste Vergleichsergebnis angibt, dass das zweite Ergebnis vom ersten Ergebnis abweicht. Zum Beispiel sind die erzeugten Steuersignale derart, dass bei einem zumindest teilautomatisierten Steuern der Quer- und/oder Längsführung des Kraftfahrzeugs basierend auf den Steuersignalen das Kraftfahrzeug in einen sicheren Zustand geführt wird, zum Beispiel angehalten wird, zum Beispiel eine Kraftfahrzeuggeschwindigkeit reduziert wird.
Die Formulierung „zumindest teilautomatisiertes Führen“ umfasst einen oder mehrere der folgenden Fälle: assistiertes Führen, teilautomatisiertes Führen, hochautomatisiertes Führen, vollautomatisiertes Führen.
Assistiertes Führen bedeutet, dass ein Fahrer des Kraftfahrzeugs dauerhaft entweder die Quer- oder die Längsführung des Kraftfahrzeugs ausführt. Die jeweils andere Fahraufgabe (also ein Steuern der Längs- oder der Querführung des Kraftfahrzeugs) wird automatisch durchgeführt. Das heißt also, dass bei einem assistierten Führen des Kraftfahrzeugs entweder die Quer- oder die Längsführung automatisch gesteuert wird.
Teilautomatisiertes Führen bedeutet, dass in einer spezifischen Situation (zum Beispiel: Fahren auf einer Autobahn, Fahren innerhalb eines Parkplatzes, Überholen eines Objekts, Fahren innerhalb einer Fahrspur, die durch Fahrspurmarkierungen festgelegt ist) und/oder für einen gewissen Zeitraum eine Längs- und eine Querführung des Kraftfahrzeugs automatisch gesteuert werden. Ein Fahrer des Kraftfahrzeugs muss selbst nicht manuell die Längs -und Querführung des Kraftfahrzeugs steuern. Der Fahrer muss aber das automatische Steuern der Längs- und Querführung dauerhaft überwachen, um bei Bedarf manuell eingreifen zu können. Der Fahrer muss jederzeit zur vollständigen Übernahme der Kraftfahrzeugführung bereit sein.
Hochautomatisiertes Führen bedeutet, dass für einen gewissen Zeitraum in einer spezifischen Situation (zum Beispiel: Fahren auf einer Autobahn, Fahren innerhalb eines Parkplatzes, Überholen eines Objekts, Fahren innerhalb einer Fahrspur, die durch Fahrspurmarkierungen festgelegt ist) eine Längs- und eine Querführung des Kraftfahrzeugs automatisch gesteuert werden. Ein Fahrer des Kraftfahrzeugs muss selbst nicht manuell die Längs -und Querführung des Kraftfahrzeugs steuern. Der Fahrer muss das automatische Steuern der Längs- und Querführung nicht dauerhaft überwachen, um bei Bedarf manuell eingreifen zu können. Bei Bedarf wird automatisch eine Übernahmeaufforderung an den Fahrer zur Übernahme des Steuerns der Längs- und Querführung ausgegeben, insbesondere mit einer ausreichenden Zeitreserve ausgegeben. Der Fahrer muss also potenziell in der Lage sein, das Steuern der Längs- und Querführung zu übernehmen. Grenzen des automatischen Steuerns der Quer- und Längsführung werden automatisch erkannt. Bei einem hochautomatisierten Führen ist es nicht möglich, in jeder Ausgangssituation automatisch einen risikominimalen Zustand herbeizuführen.
Vollautomatisiertes Führen bedeutet, dass in einer spezifischen Situation (zum Beispiel: Fahren auf einer Autobahn, Fahren innerhalb eines Parkplatzes, Überholen eines Objekts, Fahren innerhalb einer Fahrspur, die durch Fahrspurmarkierungen festgelegt ist) eine Längs- und eine Querführung des Kraftfahrzeugs automatisch gesteuert werden. Ein Fahrer des Kraftfahrzeugs muss selbst nicht manuell die Längs -und Querführung des Kraftfahrzeugs steuern. Der Fahrer muss das automatische Steuern der Längs- und Querführung nicht überwachen, um bei Bedarf manuell eingreifen zu können. Vor einem Beenden des automatischen Steuerns der Quer- und Längsführung erfolgt automatisch eine Aufforderung an den Fahrer zur Übernahme der Fahraufgabe (Steuern der Quer- und Längsführung des Kraftfahrzeugs), insbesondere mit einer ausreichenden Zeitreserve. Sofern der Fahrer nicht die Fahraufgabe übernimmt, wird automatisch in einen risikominimalen Zustand zurückgeführt. Grenzen des automatischen Steuerns der Quer- und Längsführung werden automatisch erkannt. In allen Situationen ist es möglich, automatisch in einen risikominimalen Systemzustand zurückzuführen.
In einer Ausführungsform ist vorgesehen, dass das Betreiben ein Erzeugen und Ausgeben von HMI-Steuersignalen zum Steuern einer HMI-Schnittstelle des Kraftfahrzeugs umfasst.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass mittels der HMI-Schnittstelle ein Fahrer des Kraftfahrzeugs über das Vergleichsergebnis informiert werden kann. Wenn das erste Vergleichsergebnis angibt, dass das zweite Ergebnis vom ersten Ergebnis abweicht, ist nach einer Ausführungsform vorgesehen, dass die HMI-Steuersignale derart erzeugt werden, dass bei einem Steuern der HMI-Schnittstelle basierend auf den HMI-Steuersignalen die HMI-Schnittstelle eine Warnung ausgibt.
Die HMI-Schnittstelle umfasst zum Beispiel einen Bildschirm und/oder einen Lautsprecher und/oder einen haptischen Signalgeber, welcher eingerichtet ist, ein haptisches Signal auszugeben. Ein haptisches Signal ist zum Beispiel ein Rütteln des Lenkrads bzw. Sitzes. Die HMI-Schnittstelle kann also zum Beispiel auch ein haptisches Feedback geben.
In einer Ausführungsform ist vorgesehen, dass die Schritte des ersten Ermittelns und des ersten Bereitstellens mittels eines ersten Steuergeräts des Kraftfahrzeugs ausgeführt werden.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass die Schritte des ersten Ermittelns und des ersten Bereitstellens effizient durchgeführt werden können.
In einer Ausführungsform ist vorgesehen, dass die Schritte des redundanten zweiten Ermittelns und des zweiten Bereitstellen mittels einer von dem ersten Steuergerät verschiedenen Datenverarbeitungseinrichtung, insbesondere mittels eines von dem ersten Steuergerät verschiedenen zweiten Steuergeräts, ausgeführt werden.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass die Schritte des zweiten Ermittelns und des zweiten Bereitstellens effizient durchgeführt werden können. Insbesondere wird durch das Vorsehen eines von dem ersten Steuergerät verschiedenen zweiten Steuergeräts auf eine effiziente Weise eine Redundanz bewirkt.
In einer Ausführungsform umfasst das erste Steuergerät einen ersten Prozessor und einen zweiten Prozessor.
In einer Ausführungsform ist vorgesehen, dass das erste Steuergerät einen ersten Prozessor und einen zweiten Prozessor umfasst, wobei die Schritte des ersten Ermittelns und des ersten Bereitstellens mittels des ersten Prozessors ausgeführt werden und wobei die Schritte des redundanten Ermittelns und des zweiten Bereitstellen mittels des zweiten Prozessors ausgeführt werden.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass die Schritte des zweiten Ermittelns und des zweiten Bereitstellens effizient durchgeführt werden können. Insbesondere wird durch die Verwendung eines gemeinsamen Steuergeräts, jedoch unter Verwendung von zwei verschiedenen Prozessoren, auf eine effiziente Weise ein Redundanz bewirkt. Insbesondere kann so das erste Steuergerät effizient und ökonomisch genutzt werden.
Das erste Steuergerät ist zum Beispiel ein Steuergerät eines Fahrerassistenzsystems. Das zweite Steuergerät ist zum Beispiel ein Hauptsteuergerät des Kraftfahrzeugs.
In einer Ausführungsform ist vorgesehen, dass das Verfahren die folgenden Schritte umfasst:

1) Empfangen von Nutzeraktionssignalen, welche eine erfasste Nutzeraktion eines Nutzers, insbesondere eines Fahrers, des Kraftfahrzeugs repräsentieren,
2) drittes Ermitteln basierend auf dem ersten Ergebnis, auf der erfassten Nutzeraktion und basierend auf einem dritten Regelsatz, welche der Fahrerassistenzsysteme, welche (, insbesondere gemäß dem ersten Ergebnis,) parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion übersteuert werden dürfen,
3) drittes Bereitstellen eines dritten Ergebnisses des dritten Ermittelns, wobei das dritte Ergebnis angibt, welche der Fahrerassistenzsysteme, welche (,insbesondere gemäß dem ersten Ergebnis,) parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion übersteuert werden dürfen,
4) redundantes viertes Ermitteln basierend auf dem zweiten Ergebnis, auf der erfassten Nutzeraktion und basierend auf einem vierten Regelsatz, welche der Fahrerassistenzsysteme , welche (, insbesondere gemäß dem zweiten Ergebnis,) parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion übersteuert werden dürfen,
5) viertes Bereitstellen eines vierten Ergebnisses des redundanten vierten Ermittelns, wobei das vierte Ergebnis angibt, welche der Fahrerassistenzsysteme, welche (, insbesondere gemäß dem zweiten Ergebnis,) parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion übersteuert werden dürfen,
6) Vergleichen des dritten Ergebnisses mit dem vierten Ergebnis, um ein zweites Vergleichsergebnis zu ermitteln,
7) Betreiben des Kraftfahrzeugs basierend auf dem ermittelten zweiten Vergleichsergebnis.

Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass das Kraftfahrzeug effizient betrieben werden kann. Insbesondere kann dadurch in vorteilhafter Weise effizient sichergestellt werden, dass nur die richtigen Fahrerassistenzsysteme mittels der Nutzeraktion übersteuert werden dürfen.
Eine Nutzeraktion ist zum Beispiel eine der folgenden Nutzeraktionen: Lenken, Gaspedal betätigen, Bremspedal betätigen, Kupplungspedal betätigen, Betätigen einer HMI-Schnittstelle, um ein Fahrerassistenzsystem zu aktivieren oder zu deaktivieren.
In einer Ausführungsform ist vorgesehen, dass die Schritte des redundanten vierten Ermittelns und des vierten Bereitstellen mittels der von dem ersten Steuergerät verschiedenen Datenverarbeitungseinrichtung, insbesondere mittels des von dem ersten Steuergerät verschiedenen zweiten Steuergeräts, ausgeführt werden.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass die Schritte des vierten Ermittelns und des vierten Bereitstellens effizient durchgeführt werden können. Insbesondere wird durch das Vorsehen des von dem ersten Steuergerät verschiedenen zweiten Steuergeräts auf eine effiziente Weise eine Redundanz bewirkt.
In einer Ausführungsform ist vorgesehen, dass das erste Steuergerät einen ersten Prozessor und einen zweiten Prozessor umfasst, wobei die Schritte des dritten Ermittelns und des dritten Bereitstellens mittels des ersten Prozessors ausgeführt werden und wobei die Schritte des redundanten vierten Ermittelns und des vierten Bereitstellen mittels des zweiten Prozessors ausgeführt werden.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass die Schritte des vierten Ermittelns und des vierten Bereitstellens effizient durchgeführt werden können. Insbesondere wird durch die Verwendung eines gemeinsamen Steuergeräts, jedoch unter Verwendung von zwei verschiedenen Prozessoren, auf eine effiziente Weise ein Redundanz bewirkt. Insbesondere kann so das erste Steuergerät effizient und ökonomisch genutzt werden.
Ausführungsformen bezüglich des Betreibens des Kraftfahrzeugs basierend auf dem ermittelten ersten Vergleichsergebnis gelten analog für das Betreiben des Kraftfahrzeugs basierend auf dem ermittelten zweiten Vergleichsergebnis und umgekehrt.
In einer Ausführungsform sind der erste und der zweite Regelsatz unterschiedlich. Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass eine hohe Redundanz und damit ein sicheres und effizientes Betreiben des Kraftfahrzeugs ermöglicht werden. Effizient im Sinne, dass der zweite Regelsatz beispielsweise in „komprimierter“ Form vorliegt, beispielsweise nicht sicherheitsrelevante ADAS Systeme nicht betrachtet werden (da daraus keine Gefährdung entstehen kann).
In einer Ausführungsform sind der erste und der zweite Regelsatz identisch. Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass eine hohe Redundanz und damit ein sicheres Betreiben des Kraftfahrzeugs ermöglicht werden.
In einer Ausführungsform sind der dritte und der vierte Regelsatz unterschiedlich. Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass eine hohe Redundanz und damit ein sicheres und effizientes Betreiben des Kraftfahrzeugs ermöglicht werden. Effizient im Sinne, dass der zweite Regelsatz beispielsweise in „komprimierter“ Form vorliegt, beispielsweise nicht sicherheitsrelevante Interaktionen zwischen ADAS System und Nutzer nicht betrachtet werden (da daraus keine Gefährdung entstehen kann).
In einer Ausführungsform sind der dritte und der vierte Regelsatz identisch. Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass eine hohe Redundanz und damit ein sicheres Betreiben des Kraftfahrzeugs ermöglicht werden.
Die englische Abkürzung „ADAS“ steht für „Advanced Driver Assistance System“ und kann ins Deutsche mit „Fortgeschrittenes Fahrerassistenzsystem“ übersetzt werden. Ein Fahrerassistenzsystem ist nach einer Ausführungsform ein fortgeschrittenes Fahrerassistenzsystem. Der Einfachheit halber kann als Oberbegriff „Fahrerassistenzsystem“ für alle hier genannten Fahrerassistenzsysteme und zusätzlich dem Fachmann bekannten, hier nicht explizit erwähnten Fahrerassistenzsysteme verwendet werden. Die englische Abkürzung „AEB“ steht für „Automated Emergency Braking“; auf Deutsch: Automatisches Notbremssystem oder Notbrems-Assistenzsystem. Die englische Abkürzung „ACC“ steht für „Adaptive Cruise Control“; auf Deutsch: Adaptive Geschwindigkeitsregelung. Die englische Abkürzung „TJA“ steht für „Traffic Jam Assistent“; auf Deutsch: Stauassistent. Die englische Abkürzung „ICA“ steht für „Intelligent Cruise Assistant“; auf Deutsch: Intelligenter-Fahrassistent. Die englische Abkürzung „iACC“ steht für „intelligentes ACC“. Ein iACC-System kann zum Beispiel vorausschauend die Kraftfahrzeuggeschwindigkeit optimieren. Die englische Abkürzung „LSS“ steht für „Lane Support System“; auf Deutsch: Spurhalteassistent. Die englische Abkürzung „FSL“ steht für „Fixed Speed Limiter“; auf Deutsch: Geschwindigkeitsbegrenzer. Die englische Abkürzung „HMI“ steht für „Human Machine Interface“; auf Deutsch: Mensch-Maschinen-Schnittstelle.
Das Kraftfahrzeug umfasst nach einer Ausführungsform ein oder mehrere der folgenden Fahrerassistenzsysteme: ACC-System, AEB-System, TJA-System, ICA-System, IACC-System, LSS-System, FSL-System.
Das Kraftfahrzeug umfasst nach einer Ausführungsform eine oder mehrere HMI-Schnittstellen.
In der nachfolgenden Beschreibung werden die Begriffe „Kraftfahrzeug“ und „Ego-Kraftfahrzeug“ synonym verwendet. Weiter werden die Begriffe „Kraftfahrzeug“ und „Fahrzeug“ synonym verwendet.
Nach einer Ausführungsform ist vorgesehen, dass das Verfahren nach dem ersten Aspekt ein computerimplementiertes Verfahren ist.
Nach einer Ausführungsform ist vorgesehen, dass das Verfahren gemäß dem ersten Aspekt mittels der Vorrichtung nach dem zweiten Aspekt aus- oder durchgeführt wird.
Vorrichtungsmerkmale ergeben sich analog aus entsprechenden Verfahrensmerkmalen und umgekehrt. Das heißt also insbesondere, dass sich technische Funktionalitäten der Vorrichtung nach dem zweiten Aspekt analog aus entsprechenden technischen Funktionalitäten des Verfahrens nach dem ersten Aspekt und umgekehrt ergeben.
Die Formulierung „zumindest ein(e)“ steht insbesondere für „ein(e) oder mehrere“.
Die Abkürzung „bzw.“ steht für „beziehungsweise“, was insbesondere für „respektive“ steht.
Die Formulierung „respektive“ steht insbesondere für „und/oder“.
Die in dieser Beschreibung beschriebenen Fahrerassistenzfunktionen, insbesondere ADAS-Funktionen, werden mittels der jeweiligen Fahrerassistenzsysteme bereitgestellt. Ein Aktivieren oder Deaktivieren einer Fahrerassistenzfunktion, insbesondere ADAS-Funktion, bedeutet also ein Aktivieren oder Deaktivieren des entsprechenden Fahrerassistenzsystems. So soll also stets beim Begriff „(ADAS-)Funktion“ das diese (ADAS-)Funktion bereitstellende Fahrerassistenzsystem mitgelesen werden. Anstelle von „(ADAS- )Funktion“ kann somit die Formulierung „das die entsprechende (ADAS-)Funktion bereitstellende Fahrerassistenzsystem“ verwendet werden.
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigen:

1 ein Ablaufdiagramm eines Verfahrens nach dem ersten Aspekt,
2 eine Vorrichtung nach dem zweiten Aspekt,
3 ein maschinenlesbares Speichermedium nach dem vierten Aspekt,
4 ein erstes Blockdiagramm,
5 eine Verkehrssituation und
6 - 9 jeweils ein Blockdiagramm.

Im Folgenden können für gleiche Merkmale gleiche Bezugszeichen verwendet werden.
1 zeigt ein Ablaufdiagramm eines Verfahrens zum Betreiben eines mehrere Fahrerassistenzsysteme aufweisenden Kraftfahrzeugs, umfassend die folgenden Schritte:

erstes Ermitteln 101 basierend auf einem jeweiligen Status der Fahrerassistenzsysteme und basierend auf einem ersten Regelsatz, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen, wobei der jeweilige Status angibt, ob das Fahrerassistenzsystem aktiv oder passiv ist oder ob das Fahrerassistenzsystem sein Aktivieren anfordert,
erstes Bereitstellen 103 eines ersten Ergebnisses des ersten Ermittelns, so dass das erste Ergebnis angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,
redundantes zweites Ermitteln 105 basierend auf dem jeweiligen Status der Fahrerassistenzsysteme und basierend auf einem zweiten Regelsatz, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,
zweites Bereitstellen 107 eines zweiten Ergebnisses des redundanten zweiten Ermittelns, so dass das zweite Ergebnis angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen,
Vergleichen 109 des ersten Ergebnisses mit dem zweiten Ergebnis, um ein erstes Vergleichsergebnis zu ermitteln,
Betreiben 111 des Kraftfahrzeugs basierend auf dem ermittelten ersten Vergleichsergebnis.

2 zeigt eine Vorrichtung 201. Die Vorrichtung 201 ist eingerichtet, alle Schritte des Verfahrens nach dem ersten Aspekt auszuführen.
Die Vorrichtung 201 ist zum Beispiel ein Steuergerät eines Fahrerassistenzsystems, insbesondere das erste oder das zweite Steuergerät.
3 zeigt ein maschinenlesbares Speichermedium 301, auf dem ein Computerprogramm 303 gespeichert ist. Das Computerprogramm 303 umfasst Befehle, die bei Ausführung des Computerprogramms 303 durch einen Computer diesen veranlassen, ein Verfahren gemäß dem ersten Aspekt auszuführen.
4 zeigt ein erstes Blockdiagramm 401, welches ein Verfahren zum Betreiben eines mehrere Fahrerassistenzsysteme aufweisenden Kraftfahrzeugs 403 beispielhaft erläutern soll.
Gemäß einem ersten Funktionsblock 405 ist eine ADAS-Plattform vorgesehen, welche mehrere Fahrerassistenzsysteme 407, 409 und 411 umfasst. Beispielhaft sind hier nur 3 Fahrerassistenzsysteme 407, 409, 411 gezeichnet. In den folgenden Blockdiagrammen kann vorgesehen sein, dass mehr als drei Fahrerassistenzsysteme gezeichnet sind. Das Kraftfahrzeug 403 umfasst die ADAS-Plattform 405. Gemäß einem zweiten Funktionsblock 413 ist eine Bewegungssteuerung des Kraftfahrzeugs 403 vorgesehen. Die Bewegungssteuerung 413 kann zum Beispiel mehrere Aktoren 415, 417, 419 des Kraftfahrzeugs 403 betätigen respektive steuern. Die einzelnen Fahrerassistenzsysteme 407, 409, 411 der ADAS-Plattform 405 senden zum Beispiel Steuerbefehle an die Bewegungssteuerung 413 aus, welche basierend auf diesen Steuerbefehlen die einzelnen Aktoren 415, 417, 419 des Kraftfahrzeugs 403 betätigt respektive steuert, um das Kraftfahrzeug 403 zumindest teilautomatisiert zu führen entsprechend der entsprechenden Fahrerassistenzfunktion des entsprechenden Fahrerassistenzsystems. Dieses Senden der Steuerbefehle an die Bewegungssteuerung 413 ist symbolisch mittels eine Pfeils mit dem Bezugszeichen 420 gekennzeichnet.
Weiter kann der Fahrer 421 die einzelnen Fahrerassistenzsysteme 407, 409, 411 bedienen, zum Beispiel konfigurieren, zum Beispiel Aktivieren, zum Beispiel Deaktivieren, wobei dieses Bedienen symbolisch durch einen Pfeil mit dem Bezugszeichen 423 dargestellt ist.
Weiter kann ein Fahrer 421 das Kraftfahrzeug 403 manuell führen, also manuell eine Quer- und/oder Längsführung des Kraftfahrzeugs 403 steuern, was symbolisch mit einen Pfeil mit dem Bezugszeichen 424 gezeigt ist.
Die Fahrerassistenzsysteme 407, 409, 411 können dem Fahrer 421 zum Beispiel eine Rückmeldung geben respektive können den Fahrer 421 warnen abhängig von einer konkret vorliegenden Verkehrssituation. Dieses Rückmelden respektive Warnen, allgemein ein Kommunizieren, ist symbolisch mit einem Pfeil mit dem Bezugszeichen 425 dargestellt.
Das heißt also, dass eine Interaktion zwischen dem Fahrer 421 und der ADAS-Plattform 405 stattfinden kann.
Weiter ist vorgesehen, dass zum Beispiel Kraftfahrzeugsensoren, insbesondere Umfeldsensoren, entsprechende Sensordaten an die ADAS-Plattform 405 senden, was symbolisch durch einen Pfeil mit dem Bezugszeichen 422 zwischen Kraftfahrzeug 403 und ADAS-Plattform 405 gezeichnet ist. Ein Umfeldsensor ist zum Beispiel einer der folgenden Umfeldsensoren: LiDAR-Sensor, Radarsensor, Ultraschallsensor, Infrarotsensor, Magnetfeldsensor, Videosensor. Allgemein kann gemäß dem Pfeil 422 anstelle oder zusätzlich zum Senden seitens der Kraftfahrzeugsensoren vorgesehen sein, dass Kraftfahrzeugzustandsdaten an die ADAS-Plattform 405 gesendet werden. Solche Kraftfahrzeugzustandsdaten umfassen zum Beispiel eine Kraftfahrzeuggeschwindigkeit, eine Kraftfahrzeugbeschleunigung, eine Kraftfahrzeugverzögerung, Lenkwinkel.
Ein dritter Funktionsblock 427 repräsentiert das hier beschriebene Konzept. So kann der Funktionsblock 427 zum Beispiel für die Vorrichtung nach dem zweiten Aspekt stehen.
Gemäß dem dritten Funktionsblock 427 werden also insbesondere die einzelnen Verfahrensschritte gemäß dem Verfahren nach dem ersten Aspekt ausgeführt, was in den folgenden Blockdiagrammen weiter im Detail gezeigt ist.
So werden zum Beispiel dem dritten Funktionsblock 427 Fahrerprofile respektive Profile für ein manuelles Fahren bereitgestellt, was symbolisch durch einen Pfeil mit dem Bezugszeichen 429 dargestellt ist.
Weiter kann der Funktionsblock 427 zum Beispiel eine Sicherheitswarnung an den Fahrer 421 ausgeben, allgemein mit dem Fahrer 421 kommunizieren, je nach konkret vorliegender Situation. Dieses Ausgeben einer Sicherheitswarnung, allgemein das Kommunizieren, ist symbolisch mit einem Pfeil mit dem Bezugszeichen 431 gekennzeichnet.
Der dritte Funktionsblock 427 erhält ein Kraftfahrzeugprofil, was symbolisch durch einen Pfeil mit dem Bezugszeichen 433 gekennzeichnet ist. Das heißt also, dass dem dritten Funktionsblock 427 Kraftfahrzeugeigenschaften bereitgestellt werden. Solche Kraftfahrzeugeigenschaften umfassen zum Beispiel: Dimensionen, insbesondere Länge, Höhe, Breite, des Kraftfahrzeugs, Gewicht des Kraftfahrzeugs, maximal mögliche Geschwindigkeit, maximal mögliche Beschleunigung, maximal mögliche Verzögerung.
Weiter können gemäß dem dritten Funktionsblock 427 Steuersignale zum zumindest teilautomatisierten Steuern einer Quer- und/oder Längsführung des Kraftfahrzeugs 403 erzeugt und ausgegeben werden, um das Kraftfahrzeug 403 zumindest teilautomatisiert zu führen. Dieses Ausgeben von entsprechenden Steuersignalen zwecks zumindest teilautomatisierter Führung des Kraftfahrzeugs 403 ist symbolisch mit einem Pfeil mit dem Bezugszeichen 435 dargestellt.
Weiter erhält der dritte Funktionsblock zum Beispiel 427 ein ADAS-Profil der ADAS-Plattform 405, was symbolisch durch einen Pfeil mit dem Bezugszeichen 437 dargestellt ist. Das ADAS-Profil umfasst zum Beispiel eine Angabe, welche Fahrerassistenzsysteme die ADAS-Plattform 405 umfasst. Ein solches ADAS-Profil umfasst zum Beispiel eine Angabe der Funktionen, welche die einzelnen Fahrerassistenzsysteme bereitstellen können. Weiter umfasst ein solches ADAS-Profil zum Beispiel Betriebsparameter eines Fahrerassistenzsystems.
Weiter erhält der dritte Funktionsblock 427 von der Bewegungssteuerung 413 ein Bewegungssteuerungsprofil, was durch einen Pfeil mit dem Bezugszeichen 439 dargestellt ist.
Ein solches Bewegungssteuerungsprofil umfasst zum Beispiel eine Angabe von Betriebsparametern der einzelnen Aktoren 415, 417, 419.
Basierend auf diesen dem dritten Funktionsblock 427 zur Verfügung gestellten Informationen kann gemäß dem dritten Funktionsblock 427 ein Betrieb der Fahrerassistenzsysteme 407, 409, 411 überwacht werden, also ein Betrieb der ADAS-Plattform 405.
Das heißt also, dass gemäß dem hier beschriebenen Konzept vorgesehen ist, die ADAS-Plattform 405 in ihren Entscheidungen zu überwachen und gegebenenfalls einzugreifen bzw. den Fahrer 421 zu warnen.
Es ist so, dass die ADAS-Plattform 405 basierend auf einem ersten Regelsatz entscheidet, welche der Fahrerassistenzsysteme 407, 409, 411 gleichzeitig aktiv, also parallel aktiv, sein dürfen.
Gemäß dem dritten Funktionsblock 427 ist ein redundantes zweites Ermitteln basierend auf einem zweiten Regelsatz vorgesehen, welche der Fahrerassistenzsysteme 407, 409, 411 parallel aktiv sein dürfen.
Für dieses jeweilige Ermitteln werden insbesondere die Status der einzelnen Fahrerassistenzsysteme 407, 409, 411 verwendet.
So wird also die ADAS-Plattform 405 zu einem ersten Ergebnis kommen, welche der Fahrerassistenzsysteme 407, 409, 411 parallel aktiv sein dürfen. So wird gemäß dem dritten Funktionsblock 427 ein zweites Ergebnis ermittelt, welche der Fahrerassistenzsysteme 407, 409, 411 parallel aktiv sein dürfen.
Im Idealfall sollten beide Ergebnisse übereinstimmen, sodass gemäß dem dritten Funktionsblock 427 kein Eingriff in einen Kraftfahrzeugbetrieb respektive ein Ausgeben einer Warnung notwendig ist.
Sofern es allerdings einen Unterschied zwischen den beiden Ergebnissen gibt, ist zum Beispiel gemäß dem dritten Funktionsblock 427 vorgesehen, dass zum Beispiel der Fahrer 421 gewarnt wird. Zum Beispiel ist gemäß dem dritten Funktionsblock 427 vorgesehen, dass Steuersignale zum zumindest teilautomatisierten Steuern einer Quer- und/oder Längsführung des Kraftfahrzeugs 403 erzeugt und ausgegeben werden, um das Kraftfahrzeug 403 basierend auf den Steuersignalen zumindest teilautomatisiert zu führen. Zum Beispiel ist vorgesehen, dass bei einer Abweichung zwischen den beiden Ergebnissen das Kraftfahrzeug 403 basierend auf den gemäß dem dritten Funktionsblocks 427 erzeugten Steuersignalen in einen sicheren Zustand zumindest teilautomatisiert geführt wird.
5 zeigt eine beispielhafte Verkehrssituation 501.
Auf einer Straße 503 fährt ein Kraftfahrzeug 505 in Fahrtrichtung, gekennzeichnet durch einen Pfeil mit dem Bezugszeichen 507. In Fahrtrichtung 507 voraus befindet sich ein weiteres Kraftfahrzeug 509. Zwischen dem Kraftfahrzeug 505 und dem weiteren Kraftfahrzeug 509 befindet sich eine Person 511 auf der Straße 503.
Das Kraftfahrzeug 505 ist in 5 zweimal gezeichnet: einmal zu einem Zeitpunkt t0 und einem relativ dazu späteren Zeitpunkt t1. Zur besseren Unterscheidbarkeit ist das Kraftfahrzeug 505 zum Zeitpunkt t0 noch zusätzlich mit dem Bezugszeichen 513 bezeichnet. Zum Zeitpunkt t1 ist das Kraftfahrzeug 505 noch zusätzlich mit dem Bezugszeichen 515 gekennzeichnet.
Bis zum Zeitpunkt t0 steuert eine adaptive Geschwindigkeitsregelung eine Längsführung des Kraftfahrzeugs 505 zumindest teilautomatisiert. Bei Annäherung an die Person 511 respektive bei Annäherung an das weitere Kraftfahrzeug 509 übernimmt ein automatisches Notbremssystem die aktive Kontrolle des Kraftfahrzeugs 505, um das Kraftfahrzeug 505 noch rechtzeitig vor der Person 511 und vor dem weiteren Kraftfahrzeug 509 in den Stillstand zu führen. Das heißt, dass zwischen dem Zeitpunkt t0 und dem Zeitpunkt t1 die adaptive Geschwindigkeitsregelung deaktiviert wird und das automatische Notbremssystem aktiviert wird. Der Zeitpunkt t1 kennzeichnet den Zeitpunkt, zu welchem das Kraftfahrzeug 505 in den Stillstand geführt wurde.
In einer solchen Verkehrssituation 501 dürfen die adaptive Geschwindigkeitsregelung und das automatische Notbremssystem nicht gleichzeitig aktiv sein, da das automatische Notbremssystem das Kraftfahrzeug 505 mit einer größeren Verzögerung verzögert als die adaptive Geschwindigkeitsregelung. So könnte es sonst zu widersprüchlichen Steuerungsbefehlen seitens dieser beiden Fahrerassistenzsysteme kommen, was zu Problem führen könnte und potenziell zu einer gefährlichen Situation.
Wie bereits im Zusammenhang mit der 4 ausgeführt, ist die ADAS-Plattform 405 dafür verantwortlich, zu entscheiden, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen oder nicht. Das hier beschriebene Konzept sieht zusätzlich noch ein redundantes Ermitteln vor, welche der Fahrerassistenzsysteme gleichzeitig aktiv sein dürfen, und sieht eine Überprüfung des Ergebnisses der ADAS-Plattform basierend auf diesem redundant ermittelten Ergebnis vor, um bei Abweichung zum Beispiel den Fahrer des Kraftfahrzeugs 505 zu warnen und/oder in einen Betrieb des Kraftfahrzeugs 505 einzugreifen.
6 zeigt ein zweites Blockdiagramm 601, welches einige Elemente aus dem ersten Blockdiagramm 401 der 4 übernimmt und den dritten Funktionsblock 427 weiter im Detail zeigt.
Es wird angemerkt, dass die Bewegungssteuerung 413 der Übersicht halber nicht gezeigt ist. Der Pfeil 420, welcher das Senden der Steuerbefehle an die Bewegungssteuerung 413 ist symbolisch kennzeichnen soll, geht daher direkt zum Kraftfahrzeug 403. Die Steuerbefehle werden dennoch an die Bewegungssteuerung 413 gesendet.
Es wird darauf hingewiesen, dass die ADAS-Plattform 405 zusätzlich zu den in 4 gezeigten drei Fahrerassistenzsystemen 407, 409, 411 noch ein viertes Fahrerassistenzsystem 602 umfasst. An dieser Stelle wird angemerkt, dass in nicht gezeigten Ausführungsformen mehr oder weniger als drei bzw. vier Fahrerassistenzsysteme von der ADAS-Plattform 405 umfasst sein können.
Mit dem Bezugszeichen 603 ist ein gestrichelt dargestelltes Viereck gekennzeichnet, welches diejenigen Elemente des zweiten Blockdiagramms 601 umrandet, welche zu einer Basis-Kraftfahrzeug-Regelkreis/schleife gehören.
Wie bereits erläutert, ermittelt die ADAS-Plattform 405 basierend auf einem ersten Regelsatz, welche der Fahrerassistenzsysteme 407, 409, 411, 602 gleichzeitig aktiv sein dürfen.
Hierfür wird der erste Regelsatz verwendet und wird ein jeweiliger Status der Fahrerassistenzsysteme 407, 409, 411, 602 verwendet, welcher angibt, ob das zugehörige Fahrerassistenzsystem 407, 409, 411, 602 aktiv ist, passiv ist, also deaktiviert ist, oder ob das entsprechende Fahrerassistenzsystem 407, 409, 411, 602 sein Aktivieren anfordert.
Dem dritten Funktionsblock 427 werden ebenfalls die jeweiligen Status bereitgestellt. Im Einzelnen wird der jeweilige Status der Fahrerassistenzsysteme 407, 409, 411, 602 einem vierten Funktionsblock 605 des dritten Funktionsblocks 427 bereitgestellt, welcher auch als ein Sicherheitsbewertungssystem, auf Englisch „safety assessment system“, bezeichnet werden kann.
Diesem vierten Funktionsblock 605 werden Nutzeraktionssignale bereitgestellt, welche eine erfasste Nutzeraktion eines Nutzers des Kraftfahrzeugs repräsentieren. Der Nutzer ist zum Beispiel der Fahrer 421 des Kraftfahrzeugs 403.
Weiter ist ein erster Datenspeicher 607 und ist ein zweiter Datenspeicher 609 vorgesehen. In dem ersten Datenspeicher 607 sind die ADAS-Betriebs-Profile gespeichert. Diese Profile geben zum Beispiel Betriebsparameter der einzelnen Fahrerassistenzsysteme 407, 409, 411, 602 an.
In dem zweiten Datenspeicher 609 sind die ersten Regeln des ersten Regelsatzes gespeichert.
Das Bereitstellen der Nutzeraktionssignale ist symbolisch mit einem Pfeil mit dem Bezugszeichen 611 gekennzeichnet. Das Bereitstellen des jeweiligen Status der Fahrerassistenzsysteme 407, 409, 411, 602 ist symbolisch mit einem Pfeil mit dem Bezugszeichen 613 gekennzeichnet. Dem vierten Funktionsblock 605 werden die ADAS-Betriebsprofile bereitgestellt, was symbolisch mit einem Pfeil mit dem Bezugszeichen 615 gekennzeichnet ist. Der erste Regelsatz wird dem vierten Funktionsblock 605 bereitgestellt, was symbolisch mit einem Pfeil mit dem Bezugszeichen 617 gekennzeichnet ist.
Das heißt also, dass der vierte Funktionsblock 605 basierend auf folgenden Daten bzw. Informationen ermittelt, welche der Fahrerassistenzsysteme 407, 409, 411, 602 parallel aktiv sein dürfen: der jeweilige Status der Fahrerassistenzsysteme 407, 409, 411, 602, die ADAS-Betriebs-Profile und der erste Regelsatz.
In einer Ausführungsform ist vorgesehen, dass dem vierten Funktionsblock 605 zusätzlich Kraftfahrzeugzustandssignale, welche Kraftfahrzeugzustandsdaten repräsentieren, welche einen Kraftfahrzeugzustand des Kraftfahrzeugs 403 angeben, bereitgestellt werden.
Das redundante zweite Ermitteln wird gemäß einer Ausführungsform basierend auf dem Kraftfahrzeugzustand durchgeführt.
Der Kraftfahrzeugzustand umfasst zum Beispiel die momentane Kraftfahrzeuggeschwindigkeit, die momentane Kraftfahrzeugbeschleunigung und/oder Betriebsparameter des Kraftfahrzeugs 403, beispielsweise ein Bremsdruck, ein Hydraulikdruck und/oder einen Reifendruck.
Der vierte Funktionsblock 605 ermittelt also in redundanter Weise basierend auf den vorstehend bezeichneten Informationen bzw. Daten, welche der Fahrerassistenzsysteme 407, 409, 411, 602 gleichzeitig, also parallel, aktiv sein dürfen. Ein Ergebnis dieses Ermittelns wird als zweites Ergebnis bezeichnet.
Der ADAS-Plattform 405 werden vorzugsweise die Nutzeraktionssignale bereitgestellt. Gemäß einer Ausführungsform kann die ADAS-Plattform 405 basierend auf einem dritten Regelsatz ermitteln, welche der Fahrerassistenzsysteme, welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion übersteuert werden dürfen.
Weiter ist gemäß einer Ausführungsform vorgesehen, dass in dem zweiten Datenspeicher 609 ein vierter Regelsatz gespeichert ist, welcher vierte Regeln umfasst, welche festlegen, welche der Fahrerassistenzsysteme, welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion übersteuert werden dürfen.
So wird also zum einen die ADAS-Plattform 405 ermitteln, welche der Fahrerassistenzsysteme 407, 409, 411, 602 parallel aktiv sein dürfen und welche dieser Fahrerassistenzsysteme durch die erfasste Nutzeraktion übersteuert werden dürfen. Ein Ergebnis dieses Ermittelns wird als drittes Ergebnis bezeichnet.
Der vierte Funktionsblock 605 wird in redundanter Weise ein viertes Ergebnis ermitteln, welches angibt, welche der Fahrerassistenzsysteme 407, 409, 411, 602, welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion übersteuert werden dürfen.
Das dritte Ergebnis wird dem vierten Funktionsblock 605 zur Verfügung gestellt.
Somit kann gemäß dem vierten Funktionsblock 605 ein Vergleich des dritten mit dem vierten Ergebnis durchgeführt werden.
Sofern beide Ergebnisse übereinstimmen, ist gemäß einer Ausführungsform vorgesehen, dass seitens des vierten Funktionsblocks nicht in einen Betrieb des Kraftfahrzeugs 403 eingegriffen wird.
Sofern allerdings ein Unterschied zwischen den beiden Ergebnissen festgestellt wird, ist gemäß einer Ausführungsform vorgesehen, dass in einen Betrieb des Kraftfahrzeugs 403 eingegriffen wird: beispielsweise wird der Fahrer 421 gewarnt. Beispielsweise wird das Kraftfahrzeug 403 in einen sicheren Zustand überführt.
7 zeigt ein drittes Blockdiagramm 701, welches den vierten Funktionsblock 605 gemäß 6 weiter im Detail zeigt.
Beispielhaft ist zusätzlich zu den vier Fahrerassistenzsystemen 407, 409, 411, 602 gemäß 6 ein fünftes Fahrerassistenzsystem 703 gezeichnet, welches ebenfalls von der ADAS-Plattform 405 umfasst ist.
Der vierte Funktionsblock 605 umfasst einen fünften Funktionsblock 705 und einen sechsten Funktionsblock 707. Dem fünften Funktionsblock 705 wird der jeweilige Status der Fahrerassistenzsysteme 407, 409, 411, 602, 703 bereitgestellt sowie das mittels der ADAS-Plattform 405 ermittelte erste Ergebnis.
Der fünfte Funktionsblock 705 führt dann das redundante zweite Ermitteln durch und gibt an den sechsten Funktionsblock 707 das zweite Ergebnis aus, was symbolisch mit einem Pfeil mit dem Bezugszeichen 709 dargestellt ist.
Dem sechsten Funktionsblock 707 werden die Nutzeraktionssignale bereitgestellt und der vierte Regelsatz, wobei Letzteres symbolisch durch einen Pfeil mit dem Bezugszeichen 711 dargestellt ist.
Der sechste Funktionsblock 707 führt dann das redundante vierte Ermitteln durch und gibt ein viertes Ergebnis aus, was mit dem mittels der ADAS-Plattform 405 ermittelten dritten Ergebnis verglichen wird.
Bei Nicht-Übereinstimmung, also bei Abweichung, der beiden Ergebnisse ist zum Beispiel vorgesehen, dass der Fahrer 421 gewarnt wird. Dies kann zum Beispiel unter Verwendung einer Mensch-Maschinen-Schnittstelle 713 durchgeführt werden. Weiter kann gemäß einer Ausführungsform vorgesehen sein, dass das Kraftfahrzeug 403 bei einer Abweichung der beiden Ergebnisse in einen sicheren Zustand überführt wird.
Die Mensch-Maschinen-Schnittstelle 713 umfasst zum Beispiel einen Bildschirm 715, welcher die Warnung anzeigen kann.
8 zeigt ein viertes Blockdiagramm 801, welches den fünften Funktionsblock 705 gemäß 7 weiter im Detail zeigt.
Die ADAS-Plattform 405 weist gemäß dem vierten Blockdiagramm 801 ein erstes Steuergerät 803 auf, welches die Schritte des ersten Ermittelns und des ersten Bereitstellens ausführt. Diesem ersten Steuergerät 803 wird der jeweilige Status der Fahrerassistenzsysteme 407, 409, 411 (in 8 sind nur drei der Fahrerassistenzsysteme beispielhaft gezeichnet.) bereitgestellt, wobei dieses Bereitstellen symbolisch durch Pfeile mit dem Bezugszeichen 805 dargestellt ist.
Basierend auf dem ersten Ergebnis kann das erste Steuergerät 803 unter Verwendung der Bewegungssteuerung 413 steuern, sofern das „safety assessment system“ 605 das erste Steuergerät 803 nicht übersteuert im Fall einer Abweichung der entsprechend ermittelten Ergebnisse.
Der jeweilige Status der Fahrerassistenzsysteme 407, 409, 411 wird, wie bereits vorstehend erläutert, dem fünften Funktionsblock 705 bereitgestellt.
Der fünfte Funktionsblock 705 (Betriebssicherheitsbewertungssystem) umfasst einen siebten Funktionsblock 807, welcher Folgendes durchführt:

Das Betriebssicherheitsbewertungssystem wird die definierten Regeln verwenden, um den Status der ADAS-Funktionen zu beobachten, Sicherheitsmechanismus- und Treiber-Warnungen im Falle der Abweichung der ADAS-Funktionen von ihren vorgesehen Regeln (auf Fahrzeugniveau) zur Verfügung zu stellen. Das wird sich in vorteilhafter Weise positiv auf die Erhöhung der Betriebssicherheit auswirken, wegen der geteilten Steuerung(Kontrolle) zwischen verschiedenen Entscheidungsträgern während der Betriebszeit des Ego-Fahrzeugs.

Weiter umfasst der fünfte Funktionsblock 705 einen achten Funktionsblock 809, welcher basierend auf den in den beiden Datenspeichern 607, 609 gespeicherten Daten und basierend auf dem jeweiligen Status das redundante zweite Ermitteln und das zweite Bereitstellen durchführt. Der Übersicht halber ist für die beiden Datenspeicher 607, 609 nur ein Datenspeicher gezeichnet.
In einer nicht gezeigten Ausführungsform kann vorgesehen sein, dass sämtliche Daten, welche für das redundante zweite Ermitteln respektive das redundante vierte Ermitteln, verwendet werden, in einem Datenspeicher gespeichert sind.
Das ermittelte zweite Ergebnis wird einem zehnten Funktionsblock 811 bereitgestellt, welcher vom fünften Funktionsblock 705 umfasst ist, was symbolisch mittels eines Pfeils mit dem Bezugszeichen 810 dargestellt ist.
Dem zehnten Funktionsblock 811 wird zusätzlich das erste Ergebnis bereitgestellt, was symbolisch durch einen Pfeil mit dem Bezugszeichen 813 dargestellt ist.
Somit findet der Vergleich des ersten Ergebnisses mit dem zweiten Ergebnis im Funktionsblock 811 statt, um ein erstes Vergleichsergebnis zu ermitteln, welches insbesondere angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen.
Ein Ausgeben des ersten Vergleichsergebnisses ist symbolisch mit einem Pfeil mit dem Bezugszeichen 815 gekennzeichnet. Das erste Vergleichsergebnis wird einem Selektorbus 817, auf Englisch „selector bus“, bereitgestellt. Der Selektorbus 817 splittet das Arbitrierungsergebnis (ausgegebenes Vergleichsergebnis) aus: einmal in Richtung HMI-Schnittstelle 713, einmal in Richtung Block 803 für den direkten Eingriff in den Betrieb der Fahrerassistenzsysteme. Der Selektorbus 817 ist ein Matlab/Simulink Block, auch Bus Selector genannt.
Der Auswahlbus 817 kann dann zum Beispiel entscheiden, ob er basierend auf dem ersten Vergleichsergebnis den Fahrer 421 des Kraftfahrzeugs 403 unter Verwendung der Mensch-Maschinen-Schnittstelle 713 warnt, und/oder ob er unter Verwendung des ersten Steuergeräts 803 das Kraftfahrzeug 403 steuert. Zum Beispiel kann vorgesehen sein, dass die aktivierten Fahrerassistenzsysteme deaktiviert werden, und es kann zum Beispiel vorgesehen sein, dass der Fahrer 421 gewarnt wird, dass er nun das Kraftfahrzeug manuell führen muss.
Weiter wird der Auswahlbus 817 das erste Vergleichsergebnis dem sechsten Funktionsblock 707 bereitstellen, welcher in 9 im Detail gezeigt ist.
9 zeigt ein fünftes Blockdiagramm 901. Das fünfte Blockdiagramm 901 soll eine Funktionsweise des sechsten Funktionsblocks 707 weiter im Detail beschreiben.
Der Block mit dem Bezugszeichen 903 kennzeichnet symbolisch die erfasste Nutzeraktion, also die Nutzeraktionssignale. Der Block mit dem Bezugszeichen 905 kennzeichnet symbolisch das erste Vergleichsergebnis, welches angibt, welche der Fahrerassistenzsysteme parallel aktiv sein dürfen, wobei das erste Vergleichsergebnis 905 durch den Auswahlbus 817 bereitgestellt wurde. Der sechste Funktionsblock 707 umfasst einen elften Funktionsblock 907, welchem die erfasste Nutzeraktion 903 und das erste Vergleichsergebnis 905 bereitgestellt werden. Der Funktionsblock 907 ist ein „OR-Gatter“. Das heißt, wenn einer der Eingänge auf TRUE steht, wird der Ausgang ebenfalls zu TRUE.
Weiter umfasst der sechste Funktionsblock 707 einen zwölften Funktionsblock 909, welcher die Schritte des redundanten vierten Ermittelns und des vierten Bereitstellens durchführt. Es ist ein Datenspeicher mit dem Bezugszeichen 911 vorgesehen, in welchem der vierte Regelsatz gespeichert ist. Das Bereitstellen des vierten Regelsatzes an den elften Funktionsblock 909 ist symbolisch mit zwei Pfeilen mit den Bezugszeichen 913 dargestellt.
Der Funktionsblock 909 stellt das vierte Ergebnis einem dreizehnten Funktionsblock 915 bereit, welchem auch das mittels des ersten Steuergeräts 803 ermittelte dritte Ergebnis bereitgestellt wird. Das Bereitstellen des vierten Ergebnisses ist symbolisch mit einem Pfeil mit dem Bezugszeichen 917 dargestellt. Das Bereitstellen des dritten Ergebnisses ist symbolisch mit einem Pfeil mit dem Bezugszeichen 919 dargestellt.
Somit findet der Vergleich des dritten Ergebnisses mit dem vierten Ergebnis im Funktionsblock 915 statt, um ein zweites Vergleichsergebnis zu ermitteln, welches insbesondere angibt, welche der Fahrerassistenzsysteme, welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion 903 übersteuert werden dürfen.
Das zweite Vergleichsergebnis wird einem zweiten Selektorbus 921 bereitgestellt., wobei dieses Bereitstellen des zweiten Vergleichsergebnisses symbolisch mit einem Pfeil mit dem Bezugszeichen 923 dargestellt ist. Der zweite Selektorbus 921 splittet das Arbitrierungsergebnis (zweite Vergleichsergebnis) aus: einmal in Richtung Anzeige HMI-Schnittstelle 713, einmal in Richtung Block 803 (erstes Steuergerät) für den direkten Eingriff in den Betrieb der Fahrerassistenzsysteme.
Die im Folgenden beschriebenen ADAS-Funktionen werden mittels der jeweiligen Fahrerassistenzsysteme bereitgestellt. Ein Aktivieren oder Deaktivieren einer ADAS-Funktion bedeutet also ein Aktivieren oder Deaktivieren des entsprechenden Fahrerassistenzsystems. So soll also stets beim Begriff „ADAS-Funktion“ das diese ADAS-Funktion bereitstellende Fahrerassistenzsystem mitgelesen werden. Anstelle von „ADAS-Funktion“ kann somit die Formulierung „das die entsprechende ADAS-Funktion bereitstellende Fahrerassistenzsystem“ verwendet werden.
Die ADAS-Plattform enthält verschiedene automatisierte Fahrfunktionen, die unterschiedliche Fähigkeiten haben, die Ego-Kraftfahrzeugbewegung zu steuern und den Fahrer zu unterstützen/zu warnen, um zum Beispiel eine kritische Kollision zu vermeiden. Als Konstruktionsaspekt der ADAS-Plattform sind die automatisierten Fahrfunktionen von ADAS vorrangig zu behandeln, um ihre Intervention auf der Grundlage von Daten aus dem Fusionssystem und/oder den aktuellen Kraftfahrzeugzuständen (,z.B. wenn die aktuelle Ego-Kraftfahrzeuggeschwindigkeit die Geschwindigkeitsgrenze überschreitet oder ein Objekt im aktuellen Weg des Ego-Kraftfahrzeugs erkannt wird,) zu ermöglichen. Darüber hinaus können einige von ihnen parallel oder gegenseitig ausschließend arbeiten oder können die derzeit aktiven ADAS-Funktionen (, also die derzeit aktiven Fahrerassistenzsysteme,) auf der Grundlage der Kraftfahrzeugkonfiguration bei den OEMs gesperrt oder aufgehoben werden. Für die Entscheidung, welche parallel oder sich gegenseitig ausschließend arbeiten dürfen, werden Regeln verwendet, welche von ersten Regelsatz und vom zweiten Regelsatz umfasst sind. Diese Regeln können als Arbitrage-Regeln oder Regeln zur gemeinsamen Steuerbarkeit bezeichnet werden. Insbesondere ist jede automatisierte Fahrfunktion dazu bestimmt, die Bewegung des Ego-Kraftfahrzeugs auf der Grundlage eines bestimmten Profils (z.B. Min/Max-Deklarationsrate) zu steuern. Um die Robustheit und Betriebssicherheit der Aktivierung verschiedener Funktionen, also der Fahrerassistenzsysteme, während der Ego-Kraftfahrzeug-Ebene zu erhöhen und die Steuerbarkeit des Fahrers für ADAS-Funktionen zu gewährleisten, ist nach einer Ausführungsform eine Bewertung der Betriebssicherheit vorgesehen.
Das hier beschriebene Konzept basiert insbesondere darauf, dass die von den ADAS-Plattformfunktionen oder dem Fahrer oder beiden während einer Betriebszeit des Kraftfahrzeugs getroffenen Entscheidung bewertet wird, um zum Beispiel eine kritische Kollision zu vermeiden, um so einen sicheren Betrieb des Ego-Kraftahrzeugs zu gewährleisten. Das Bewerten umfasst das redundante Ermitteln, Bereitstellen und das entsprechende Vergleichen. Auf Fahrzeugebene gibt es verschiedene Arten von Entscheidungen, die z.B. durch die automatisierten Fahrfunktionen getroffen werden können: „Beschleunigung“, „Verzögerung“, „Fahrer übernimmt die Kontrolle“, „Halteanforderung“, „Anfahren“, „Lenken“, „Notfallwarnungen“. In einer Ausführungsform ist vorgesehen, dass die notwendigen Informationen aus dem aktuellen Status des Ego-Fahrzeugs einschließlich des Fahrers und den Betriebsprofilen der derzeit aktiven automatischen Fahrfunktionen erfasst werden, um zu analysieren, ob die von der ADAS-Plattform getroffene Kontrollentscheidung nicht riskant ist. Falls ein gefährliches Ereignis erkannt wird, wird zum Beispiel der Fahrer gewarnt und/oder wird zum Beispiel ein entsprechender Sicherheitsmechanismus bereitgestellt, zum Beispiel ein Überführen des Kraftfahrzeugs in einen sicheren Zustand, um eine potentiell gefährliche Situation zu vermeiden, wie beispielsweise eine unsachgemäße gemeinsame Steuerung zwischen Fahrer und ADAS-Funktion (, beispielsweise falls eine ADAS-Funktion nicht durch Betätigen des Bremspedals aufgehoben werden konnte).
Im grundlegenden Fahrzeugregelkreis steuern sowohl der Fahrer (menschlicher Controller) als auch die ADAS-Plattform (automatisierter Controller) das Ego-Fahrzeug-Verhalten im Straßenverkehr. Der Fahrer kann zum Beispiel einige der ADAS-Funktionen (ACC, TJA/ICA, LSS), also die entsprechenden Fahrerassistenzsysteme aktivieren oder deaktivieren, und einige der ADAS-Funktionen sind zum Beispiel so konzipiert, dass sie im Hintergrund ohne Eingreifen des Fahrers abgeschwächt werden (AEB, FSL usw.). Darüber hinaus haben einige der ADAS-Funktionen, also einige der Fahrerassistenzsysteme, zum Beispiel unterschiedliche Kriterien für die Übersteuerbarkeit durch einen Treiber, und einige von ihnen können aus Konstruktionssicht zum Beispiel nicht durch den Treiber übersteuert werden. Darüber hinaus sind diese Kriterien für die Übersteuerbarkeit durch den Fahrer im Konzept der funktionalen Sicherheit für jede Funktion zum Beispiel separat enthalten. So kann die FSL-Funktion beispielsweise nur durch das Beschleunigungspedal mit Kick-down-Signal außer Kraft gesetzt werden, während zum Beispiel die ACC-Funktion durch Drücken des Beschleunigungspedals in jeder beliebigen Pedalstellung, die höher als die ACC-Beschleunigungsanforderung ist, außer Kraft gesetzt werden kann. Daher dürfen zum Beispiel in diesem Fall beide parallel arbeiten, und es wird dann zum Beispiel überwacht, wie die ADAS-Plattform entscheidet, welche Kriterien der Übersteuerbarkeit des Fahrers berücksichtigt werden, wenn der Fahrer sowohl die Funktion ACC als auch die FSL außer Kraft setzen will. Außerdem haben einige ADAS-Funktionen zum Beispiel eine hohe Priorität gegenüber anderen Funktionen. Das bedeutet zum Beispiel, dass die Aktivierung einer dieser ADAS-Funktionen mit hoher Priorität dazu führen kann, die aktivierte ADAS-Funktion auszusetzen oder abzubrechen (z.B. hat AEB eine höhere Priorität als ACC). Diese interaktionsbasierten Gefahrenszenarien zwischen ADAS-Funktionen und Fahrer werden in einer Ausführungsform während einer Betriebszeit der ADAS-Funktion definiert und überwacht, um die Betriebssicherheit des Ego-Fahrzeugs auf der Straße zu gewährleisten.
In einer Ausführungsform werden Informationen über die Fahrerzustände und ADAS-Funktionszustände (jeweiliger Status der Fahrerassistenzsysteme) erfasst. Basierend auf den erfassten Informationen wird zum Beispiel ermittelt, ob es Abweichung(en) von den gemeinsamen Steuerbarkeitsregeln (erster und/oder zweiter Regelsatz und/oder dritter und/oder vierter Regelsatz) gibt und/oder ob es einige falsch negative oder falsch positive Aktivierungen der ADAS-Funktionen, also der Fahrerassistenzsysteme, gibt. In einer Ausführungsform wird sowohl ein Eingriff des Fahrers als auch ein Eingriff einer oder mehrerer ADAS-Funktionen auf der Grundlage der definierten Steuerbarkeitsregeln überwacht. In einer Ausführungsform sind zwei verschiedene Sicherheitsbewertungssysteme vorgesehen: Ein erstes Sicherheitsbewertungssystem für ADAS-Funktionen zur Bewertung der aktivierten ADAS-Funktionen, also der aktivierten Fahrerassistenzsysteme, und zur Überwachung der Entscheidungen der ADAS-Plattform auf der Grundlage des ersten und des zweiten Regelsatzes. Ein zweites Sicherheitsbewertungssystem für Fahrer und ADAS-Funktionen zur Überwachung der Eingriffe der aktivierten ADAS-Funktionen und der Fahreraktionen, um zum Beispiel sicherzustellen, dass eine Kontrollierbarkeit des Fahrers gegeben ist, wenn eine oder mehrere ADAS-Funktionen, also die den ADAS-Funktionen entsprechenden Fahrerassistenzsysteme, parallel aktiv sind, und/oder um zum Beispiel die Rechtmäßigkeitsregeln mit den Fahreraktionen zu überprüfen, um den Missbrauch der ADAS-Plattform zu verhindern. In einer Ausführungsform ist vorgesehen, dass der Fahrer im Falle einer Abweichung von den vorgegebenen Regeln über die Aktivierung/Deaktivierung der ADAS-Funktionen oder Fahreraktionen informiert wird.
Die Bewertung der Betriebssicherheit des Kraftfahrzeugs wird in einer Ausführungsform auf der Grundlage der vor- und/oder nachstehend beschriebenen Regelsätze durchgeführt, die zum Beispiel auf der Grundlage der OEM-Konfiguration, der Sicherheitsanalyse der gemeinsamen Steuerbarkeit der ADAS-Funktionen und der Analyse des Fahrermissbrauchs definiert werden können. In einer Ausführungsform ist zumindest eine der nachfolgend beschriebenen drei verschiedenen Kategorien von Bewertungsregeln für die Betriebssicherheit von ADAS definiert:

Die Regeln des ersten und/oder zweiten Regelsatzes werden nach einer Ausführungsform wie folgt definiert:
- Sei F ein Satz der im Fahrzeug installierten ADAS-Funktionen, welche durch die entsprechenden Fahrerassistenzsysteme bereitgestellt werden, F1 bis Fn. T ist eine Menge von Beziehungen zwischen den ADAS-Funktionen F, wobei die Menge wie folgt definiert werden kann: T (F1, ..., Fn) {TI {P(Fi, Fj), C(Fi, Fj), S(Fi, Fj), I(Fi, Fj)}}, wobei 1 ≤ i,j ≤ n, mit i # j, wobei P eine parallele Beziehung, C eine Annullierungsbeziehung, S eine Suspend (Aussetzen)-Beziehung, I eine Inhibit (Hemmen)-Beziehung ist. Folgende Definitionen sollen gelten:
  - P(Fi, Fj): Fi und Fj dürfen parallel aktiv sein,
  - C(Fi, Fj): Fj wird Fi annullieren,
  - S(Fi, Fj): Fj wird Fi aussetzen,
  - I(Fi, Fj): Fj wird Fi hemmen.
- S ist der aktuelle Status ADAS-Funktionen F im Zustandsmaschinenmodell der ADAS-Plattform M, der als S ausgedrückt werden kann: ∀Fi ∈ {F| F_M (S_A,S_AR)}, wobei S_A eine Menge von Zuständen der Funktion Fi ist, die anzeigt, dass Fi sich in aktiver Steuerung befindet, und S_AR eine Menge von Zuständen der Funktion Fi ist, die anzeigt, dass Fi anfordert, aktiv zu werden (aktives Anfordern).

Dann sind in einer Ausführungsform die Regeln des ersten und/oder zweiten Regelsatzes zwischen den ADAS-Funktionen F wie folgt definiert: $\begin{array}{l} φ (F) = \\ {\begin{matrix} T_{1} {T_{1} (F_{i}, F_{j}) | F_{i} (S_{A}) \overset{P}{\to} F_{j} (S_{A R})}, w a s b e d e u t e t, d a s s b e i d e F a h r e r a s s i s t e n z s y s t e m e p a r a l l e l a k t i v s e i n d \ddot{u} r f e n . \\ T_{2} {T_{2} (F_{i}, F_{j}) | F_{i} (S_{A}) \overset{C}{\to} F_{i} \Leftrightarrow F_{j} {(S_{A R})}_{j}}, w a s b e d e u t e t, d a s s e i n A k t i v i e r e n v o n F_{j} F_{i} d e a k t i v i e r t . \\ T_{3} {T_{3} (F_{i}, F_{j}) | F_{i} (S_{A}) \overset{S}{\to} F_{i} \overset{C}{\to} F_{j} (S_{A R})}, w a s b e d e u t e t, d a s s e i n A k t i v i e r e n v o n F_{j} F_{i} a u s s e t z t . \\ T_{4} {T_{4} (F_{i}, F_{j}) | F_{i} (S_{A}) \overset{I}{\to} F_{i} / F_{j} (S_{A R})}, w a s b e d e u t e t, d a s s e i n A k t i v i e r e n v o n F_{j} d u r c h F_{i} g e h e m m t w i r d . \\ T_{5} {T_{5} (F_{i}, F_{j}) | F_{i} (S_{A}) \overset{T}{\to} F_{i} \Leftrightarrow F_{j} (S_{A R})}, w a s e i n e n \ddot{U} b e r g a n g e i n e s a k t i v i e r t e n F_{i} z u e i n e m a k t i v i e r t e n F_{j} b e d e u t e t . \end{matrix} \end{array}$
Zum Beispiel hat die AEB-Funktion eine hohe Priorität, dann wird sie die Aktivierung der ACC-Funktion verhindern. Ein weiteres Beispiel: Wenn CC (Cruise Control, auf Deutsch: Geschwindigkeitsregelung) aktiv ist und ACC aktiviert werden soll, wird die Steuerung von CC zu ACC übergehen, basierend auf einigen Bedingungen aus dem ACC- und CC-Design.
In einer Ausführungsform ist F eine Gruppe der im Fahrzeug installierten ADAS-Funktionen. Jede Funktion hat zum Beispiel verschiedene Übersteuerungskriterien DC, die als Satz von Bedingungen ausgedrückt werden können : V Fi ∈ {F| F (DC₁,..., DC_n)}.
Es gilt weiter: DA ist ein Satz von Fahreraktionen, die die ADAS-Funktionen außer Kraft setzen, wobei DA wie folgt definiert werden kann: D (Fi) {d| d ∈ {d_B, d_A, d_S, d_C}}, wobei dB die Übersteuerbarkeit über das Bremspedal, dA die Übersteuerbarkeit über das Beschleunigungspedal, dS die Übersteuerbarkeit über das Lenkrad, dC die Übersteuerbarkeit über eine beliebige Steuertaste (zum Beispiel ein Fortsetzungsknopf oder eine Fortsetzungstaste) ist.
Dann kann in einer Ausführungsform die gemeinsame Steuerbarkeitsregel zwischen ADAS-Funktion und Treiber wie folgt beschrieben werden:

Sei ϕ eine Regel aus dem dritten und/oder aus dem vierten Regelsatz. Dann kann die Kontrollbeziehung zwischen den ADAS-Funktionen F und den Nutzeraktionen „Fahrer“ wie folgt definiert werden:

\begin{array}{l} ϕ (F, F a h r e r) \\ = {\begin{matrix} I F {F a h r e r \overset{d o}{\to} D A_{i} w h i l e φ (F_{i} .. F_{n}) i s t a c t i v & \cup D C = T R U E} T h e n φ (F) \to d e a k t i v i e r e \\ I F {F a h r e r \overset{d o}{\to} D A_{i} w h i l e φ (F_{i} .. F_{n}) i s t a c t i v & \cup D C = F A L S E} T h e n φ (F) \to a k t i v i e r e \end{matrix} \end{array}

Die gemeinsame Steuerbarkeit erlaubt es, die Kontrolle über das Fahrzeug zwischen verschiedenen Entscheidungsträgern (ADAS und Fahrer) zu teilen. Die Aktivierung oder Deaktivierung von ADAS-Funktionen aufgrund der gemeinsamen Kontrollregeln (1. - 4. Regelsatz) in einigen Fahrsituationen (z.B. Fahren mit hoher Geschwindigkeit, Stillstand) kann zu einem gefährlichen Ereignis führen, obwohl die gemeinsame Kontrollregel befolgt wird (z.B. hat AEB die Aktivierung der Funktion des festen Geschwindigkeitsbegrenzers aufgehoben, während die Geschwindigkeit des Ego-Fahrzeugs größer als die feste Geschwindigkeitsbegrenzung ist, was zu einem instabilen Ego-Fahrzeug führen kann), und zwar während der Betriebszeit des Ego-Fahrzeugs auf öffentlichen Straßen. Daher werden die zu überwachenden und zu bewertenden Betriebssicherheitsregeln im Rahmen der gemeinsamen Steuerbarkeit in einer Ausführungsform wie folgt definiert:

Sei ω eine Betriebsregel insbesondere im Kontext der gemeinsamen Steuerbarkeit, welche wie folgt definiert sein kann:

\begin{array}{l} ω (φ (F)) = \\ I F {φ (F_{i}) A N D F_{j} f o r d e r t s e i n e A k t i v i e r u n g a n} w h i l e K r a f t f a h r z e u g i n S C_{i} \to \\ F_{j} s o l l n i c h t a k t i v s e i n, \end{array}

_i

_j

Im Zusammenhang mit dem ADAS ist der Fahrer hauptsächlich für die Kontrolle des Ego-Fahrzeugs und die Überwachung des Straßenverkehrs verantwortlich. Der Fahrer kann jedoch die ADAS-Funktion missbrauchen oder gegen die gesetzlichen Verkehrsvorschriften verstoßen. Deshalb werden in einer Ausführungsform Legalitätsregeln definiert, die beschreiben, was der Fahrer nicht tun darf, wenn ein oder mehr ADAS-Funktionen aktiv sind, insbesondere entsprechend einer OEM-Konfigurationen aktiv sind. Es wird zum Beispiel folgendes definiert:

Sei β eine Legalitätsregel, welche einen Sicherheitszwang einer Fahreraktion beschreibt, wenn eine oder mehrere Fahrerassistenzsysteme aktiv sind:

\begin{array}{l} ω (φ (F), ϕ (F, D r i v e r)) \\ \begin{array}{l} = I F {D r i v e r \overset{d o}{\to} D A_{i} w h i l e φ (F_{i} .. F_{n}) i s t a k t i v & n o t ϕ (F, D r i v e r)} \\ \to w a r n e F a h r e r \end{array} \end{array}

Während zum Beispiel das LSS aktiv ist, darf der Fahrer zum Beispiel nicht freihändig fahren. Dann warnt das System zur Bewertung der Betriebssicherheit den Fahrer im Falle einer Ableitung in den Legalitätsregeln, während eine oder mehrere ADAS-Funktionen aktiv sind, um die negativen Auswirkungen der illegalen Nutzung (z.B. Missbrauch) von ADAS-Funktionen zu verringern.
In einer Ausführungsform werden die hier definierten Regeln verwendet, um den Status der ADAS-Funktionen und des Fahrers zu überwachen, um Sicherheitsmechanismen und Warnungen für den Fahrer im Falle einer Abweichung der ADAS-Funktionen von ihren Designkonfigurationen auf Fahrzeugebene bereitzustellen. Dies kann sich in vorteilhafter Weise in der Minderung und Reduzierung der Betriebssicherheitsrisiken aufgrund der gemeinsamen Kontrolle durch verschiedene Entscheidungsträger während der Betriebszeit des Ego-Fahrzeugs niederschlagen.
In einer Ausführungsform wird kontinuierlich überprüft, ob die Aktivierungs- und Deaktivierungsanforderungen der ADAS-Funktionen den gemeinsamen Kontrollbarkeitsregeln (erster/zweiter Regelsatz) und insbesondere der Priorität entsprechen. Insbesondere werden die definierten Regeln der gemeinsamen Steuerbarkeit zwischen den ADAS-Funktionen φ(F) verwenden, um die Entscheidung zu treffen, welche ADAS-Funktion aktiv sein soll, und insbesondere um ihre Intervention zu ermöglichen. Falls es während der Betriebszeit Abweichungen zwischen den Entscheidungen der ADAS-Funktionen und der ADAS-Plattform gibt, wird in einer Ausführungsform der Fahrer mittels eines HMI gewarnt und/oder wird ein Sicherheitsmechanismus zur Verfügung gestellt (z.B. Ignorieren der falschen Anforderungsaktivierungs-/Deaktivierungsfunktionen).
Im Folgenden werden Hauptfunktionen des hier beschriebenen Konzepts weiter erläutert, wobei die Hauptfunktionen zum Beispiel mittels eines ADAS-Systems zur Bewertung der Betriebssicherheit (ADAS-Betriebssicherheitsbewertungssystem) ausgeführt werden können, welches zum Beispiel die Vorrichtung nach dem zweiten Aspekt umfasst:

In einer Ausführungsform ist folgender Schritt vorgesehen: Überwachung des Status der ADAS-Funktionen. Ein Laufzeitmonitor-Controller überwacht insbesondere den Status der ADAS-Funktionen auf der Grundlage des Zustandsmaschinenmodells (z.B. aktiv oder aktives Anfordern) der ADAS-Plattform auf Fahrzeugebene. Die Überwachungsfunktion kann zum Beispiel wie folgt definiert werden:
- F_M: Δ F_M (S_A, S_AR) → val_m(ΔF_M(S_A,S_AR)), wobei ΔF_M(S_A,S_AR) ein Vektor mit zwei Sätzen der Zustände (Status) der ADAS-Funktionen ist (S_A: ADAS-Funktionen in aktiver Kontrolle, S_AR:ADAS-Funktionen, welche ihre Aktivierung anfordern) und wobei val_m(Δ F_M(S_A, S_AR) eine Laufzeitfunktion ist, um den Status der ADAS-Funktionen zu prüfen.

In einer Ausführungsform ist folgender Schritt vorgesehen: Auswertung der ADAS-Aktivierungs-/Deaktivierungsanfragen. Ein ADAS-Logikbewertungs-Controller zur Laufzeit sagt die gemeinsame Steuerungslogik zwischen den ADAS-Funktionen auf der Grundlage des ersten und/oder zweiten Regelsatzes voraus. Ein Vektor mit den ausgewerteten ADAS-Funktionen, die aktiv sein sollen, wird an eine Laufzeit-ADAS-Betriebssicherheitsbeurteilungssteuerung gesendet. Die Bewertungsfunktion für die Bewertung, welche der Fahrerassistenzsysteme gleichzeitig aktiv sein dürfen, kann wie folgt ausgedrückt werden:

F_E : Δ F_E {F(S_A, S_AR), φ (F), ω(φ(F)) } → val_E(Δ F_E), wobei Δ F_E ein Vektor mit drei Elementen ist, wobei F(S_A, S_AR) ein Vektor der Zustände (Status) der ADAS-Funktionen, φ (F) ist der Satz der gemeinsamen ADAS Steuerbarkeitsregeln (1./2. Regelsatz), welcher zum Beispiel in einem Datenspeicher gespeichert ist, und wobei ω(φ(F)) ein Satz von ADAS Betriebssicherheitsregeln im Kontext der gemeinsamen Steuerbarkeit ist, welcher zum Beispiel in dem oder einem anderen Datenspeicher gespeichert sein kann.

In einer Ausführungsform ist folgender Schritt vorgesehen: Bereitstellen von Sicherheitsmechanismen und Fahrer-Warnungen. Der ADAS-Betriebssicherheitsbeurteilungs-Controller vergleicht die beurteilten Zustände der ADAS-Funktionen mit der ADAS-Logik im Zustandsautomaten, und falls es eine Abweichung gibt, wird der Controller einen Sicherheitsmechanismus bereitstellen (z.B. aktive anfordernde ADAS-Funktion verhindern und/oder die derzeit aktiven ADAS-Funktionen aussetzen) und/oder den Fahrer warnen. Falls es keine Abweichung gibt, leitet der Controller den Satz aktiver Funktionen weiter, zum Beispiel an ein zweites System weiter: ein System zur Bewertung der Betriebssicherheit der Fahrer- und ADAS-Funktionen, um die Fahreraktion auf Fahrzeugebene und die Übersteuerungskriterien zu bewerten. Die (bedingte) Vergleichsfunktion kann in einer Ausführungsform wie folgt ausgedrückt werden:

F_C : Δ F_C {F_E(S_A, S_AR), F_M(S_A, S_AR)} → val_C(Δ F_C), wobei Δ F_C ein Vektor mit zwei Elementen ist, wobei F_E (S_A, S_AR) ein Vektor der bewerteten Zustände (Status) der ADAS-Funktionen ist und wobei F_M(S_A, S_AR) der Vektor der aktuellen Zustände der ADAS-Funktionen im Zustandsmaschinenmodell ist.

In einer Ausführungsform ist ein Fahrer- und ADAS-Betriebssicherheitsbewertungssystems vorgesehen, welches zum Beispiel folgendes durchführen kann:

Das System wird zum Beispiel die Aktionen des Fahrers kontinuierlich überwachen und die Übersteuerbarkeit der aktuell aktivierten ADAS-Funktionen auf der Ebene des Ego-Fahrzeugs durch den Fahrer überprüfen. Falls es eine Abweichung der Übersteuerbarkeitskriterien der aktivierten ADAS-Funktionen aus ihrer Spezifikation oder eine Abweichung in den Legalitätsregeln der aktivierten ADAS-Funktionen gibt, wird das System zum Beispiel einen Sicherheitsmechanismus bereitstellen (z.B. den Eingriff der aktivierten ADAS-Funktionen aussetzen, damit der Eingriff des Fahrers an die Bewegungssteuerung des Fahrzeugs weitergeleitet werden kann) und/oder Warnungen an den Fahrer senden.

Das System wird zum Beispiel aktiviert, wenn der Fahrer eine primär fahrerische Aufgabe erfüllt (z.B. Bremspedal betätigen, Beschleunigungspedal betätigen, Lenkrad betätigen usw.) oder das ADAS-Betriebssicherheitsbewertungssystem einen Vektor der aktivierten ADAS-Funktionen bereitstellt.
In einer Ausführungsform ist folgender Schritt vorgesehen: Überwachung des Status der Fahrereingabeschnittstelle. Das System überwacht zum Beispiel den Status der Fahrereingabeschnittstelle, zum Beispiel Bremspedal, Beschleunigungspedal, Kupplungspedal, Lenkrad, Schaltungsschnittstelle) und aktiviert darauf aufbauend die Überwachungsfunktion Fahrer & ADAS-Betriebssicherheitsbeurteilung Controller. Diese Überwachungsfunktion kann wie folgt definierte werden:

F_DM : Δ F_DM (DA) → val_Dm(Δ F_DM(DA)), wobei Δ F_DM(DA) ein Satz von Fahreraktionen ist und val_Dm(Δ F_DM(DA)) eine Laufzeitfunktion zur Überprüfung des Status der Fahrereingabeschnittstelle

In einer Ausführungsform ist folgender Schritt vorgesehen: Bewertung der Fahreraktionen und der Übersteuerbarkeit des Treibers. Ein Laufzeit-Controller für die Sicherheitsbewertung des Fahrers und des ADAS bewertet die Fahreraktionen anhand der Legalitätsregeln (Rechtmäßigkeitsregeln (R)) der aktivierten ADAS-Funktionen und der Kriterien für die Übersteuerbarkeit der Kriterien (OC) durch den Fahrer. Die dieser Bewertung zugrunde liegende Bewertungsfunktion kann wie folgt definiert werden:

F_ED : Δ F_ED {Faktiv, ϕ(F, Fahrer), ω(φ(F)), ω)(φ(F), ϕ(F, Fahrer))} → val_ED(Δ F_ED), wobei Δ F_ED ein Vektor mit vier Elementen ist, wobei Faktiv ein Vektor der aktivierten ADAS-Funktionen ist, wobei ϕ(F, Driver) der Satz der gemeinsamen Steuerbarkeitsregeln von Fahrer und ADAS ist (dritter/vierter Regelsatz), wobei ω(φ(F)) ein Satz der ADAS-Betriebssicherheitsregeln im Zusammenhang mit der im Datenspeicher gespeicherten gemeinsamen Steuerbarkeit (1./2. Regelsatz) ist, und wobei ω(φ(F), ϕ(F, Fahrer)) der Satz der Legalitätsregeln der aktivierten ADAS-Funktionen ist, wobei val_ED(Δ F_ED) eine Laufzeitfunktion zur Überprüfung der Ableitung in den Fahrer-Übersteuerungskriterien und Legalitätsregeln ist.

In einer Ausführungsform ist folgender Schritt vorgesehen: Bereitstellen eines Sicherheitsmechanismus und/oder von Fahrer-Warnungen. Falls eine Abweichung von bzw. ein Verstoß gegen die Legalitätsregeln oder die Kriterien für die Übersteuerbarkeit des Fahrers festgestellt wird, stellt das System einen Sicherheitsmechanismus auf ADAS-Ebene bereit und/oder warnt den Fahrer.
Das hier beschriebene Konzept umfasst insbesondere die Überwachung der Verfügbarkeit der ADAS-Funktionen auf Fahrzeugebene mit verschiedenen ADAS-Funktionen, die die Fähigkeit haben, die automatisierten Fahraufgaben (z.B. das Fahrzeug in der Mitte der Ego-Spur zu halten) auszuführen oder den Fahrer dabei zu unterstützen.
Das hier beschriebene Konzept umfasst insbesondere ein Bestimmen, ob die Anforderungen an die Aktivierung oder Deaktivierung der ADAS-Funktionen auf gemeinsamen Regeln für die Kontrollierbarkeit und Betriebssicherheit beruhen, die aus der Sicherheitsanalyse der ADAS-Funktionen abgeleitet werden. Dies wird dazu beitragen, die potenziellen Risiken im Zusammenhang mit der gemeinsamen Kontrolle durch verschiedene Entscheidungsträger am Ego-Fahrzeug zu verringern und unbeabsichtigte/ungerechtfertigte Aktivierungen oder Deaktivierungen von ADAS-Funktionen (z.B. Aktivierung von AEB im Stillstand) zu vermeiden.
Darüber hinaus umfasst das hier beschriebene Konzept zum Beispiel eine Überwachung der Handlungen des Fahrers, um eine mögliche Abweichung der ADAS-Funktionen, mit denen das Kraftfahrzeug ausgestattet ist, von den Legalitätsregeln zu bestimmen.
Darüber hinaus werden in einer Ausführungsform auch die Kriterien für die Übersteuerungsfähigkeit des Fahrers überwacht, um die Steuerbarkeit des Fahrers sicherzustellen und das Risiko zu verringern, das mit der Blockierung des Fahrereingriffs durch Eingriffe in die ADAS-Funktionen verbunden ist.
Das hier beschriebene Konzept trägt zur gemeinsamen Reduzierung der Risiken der Kontrollierbarkeit bei (zwischen ADAS-Funktionen und Fahrer- und ADAS-Funktionen).
Das hier beschriebene Konzept trägt dazu bei, den Zeit- und Arbeitsaufwand für die Analyse der gesamten ADAS-Plattform zu reduzieren, um eine neue ADAS-Funktion zu integrieren oder sie aus verschiedenen Varianten von Produktionsserien anzupassen. Selbst wenn bedenkt wird, dass die neue ADAS-Funktion von einem anderen Lieferanten oder einer Drittfirma entwickelt wird.
Das hier beschriebene Konzept trägt dazu bei, die Beherrschbarkeit des Kraftfahrzeugs durch den Fahrer zu erhöhen, indem der Fahrer wieder in den Regelkreis einbezogen wird, falls das System eine Abweichung in den ADAS-gemeinsamen Beherrschbarkeitsregeln oder Legalitätsregeln oder den Kriterien für die Übersteuerbarkeit der aktivierten ADAS-Funktionen durch den Fahrer erkennt.
Das hier beschriebene Konzept trägt zur Erhöhung der Betriebssicherheit der automatisierten Fahrsysteme der ADAS-Funktionen bei, um den Sicherheitsmechanismus auf den ADAS-Ebenen anzuwenden, um unerwünschte Aktivierungs-/Deaktivierungsanforderungen der ADAS-Funktionen zu verhindern.
Das hier beschriebene Konzept trägt dazu bei, das Auftreten von Missbrauchsszenarien (z.B. offene Türen bei aktivem AEB) von ADAS-Funktionen durch den Fahrer zu reduzieren.
Das hier beschriebene Konzept trägt dazu bei, beim Test von ADAS-Funktionen verwendet zu werden, um Daten über die gemeinsame Steuerbarkeit zwischen verschiedenen Entscheidungsträgern am Ego-Fahrzeug vor der SOP-Phase in der Serienentwicklung von ADAS-Funktionen zu sammeln.
Das hier beschriebene Konzept hat das Potenzial, für die gemeinsame Steuerbarkeit auf hochgradig automatisierten Fahrsystemen (z.B. L3 automatisiertes Fahren oder L5 vollautomatische Fahrsysteme) verwendet zu werden.
Nicht zuletzt ist das hier beschriebene Konzeptunabhängig von der Systemarchitektur der ADAS- oder OEM-Spezifikation und kann in jede Art von ADAS-Plattformen verschiedener OEMs mit unterschiedlichen konfigurierbaren Regeln und Einstellungen des Erfindungssystems integriert werden.

Claims

Verfahren zum Betreiben eines mehrere Fahrerassistenzsysteme (407, 409, 411, 602, 703) aufweisenden Kraftfahrzeugs (403), umfassend die folgenden Schritte: erstes Ermitteln (101) basierend auf einem jeweiligen Status der Fahrerassistenzsysteme (407, 409, 411, 602, 703) und basierend auf einem ersten Regelsatz, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703) parallel aktiv sein dürfen, wobei der jeweilige Status angibt, ob das Fahrerassistenzsystem (407, 409, 411, 602, 703) aktiv oder passiv ist oder ob das Fahrerassistenzsystem (407, 409, 411, 602, 703) sein Aktivieren anfordert, erstes Bereitstellen (103) eines ersten Ergebnisses des ersten Ermittelns, so dass das erste Ergebnis angibt, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703) parallel aktiv sein dürfen, redundantes zweites Ermitteln (105) basierend auf dem jeweiligen Status der Fahrerassistenzsysteme (407, 409, 411, 602, 703) und basierend auf einem zweiten Regelsatz, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703) parallel aktiv sein dürfen, zweites Bereitstellen (107) eines zweiten Ergebnisses des redundanten zweiten Ermittelns, so dass das zweite Ergebnis angibt, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703) parallel aktiv sein dürfen, Vergleichen (109) des ersten Ergebnisses mit dem zweiten Ergebnis, um ein erstes Vergleichsergebnis zu ermitteln, Betreiben (111) des Kraftfahrzeugs (403) basierend auf dem ermittelten ersten Vergleichsergebnis.
Verfahren nach Anspruch 1, wobei das Betreiben ein Erzeugen und Ausgeben von Steuersignalen zum zumindest teilautomatisierten Steuern einer Quer- und/oder Längsführung des Kraftfahrzeugs (403) umfasst, um das Kraftfahrzeug (403) basierend auf dem ermittelten Vergleichsergebnis zumindest teilautomatisiert zu führen.
Verfahren nach Anspruch 1 oder 2, wobei das Betreiben ein Erzeugen und Ausgeben von HMI-Steuersignalen zum Steuern einer HMI-Schnittstelle (713) des Kraftfahrzeugs (403) umfasst.
Verfahren nach einem der vorherigen Ansprüche, wobei die Schritte des ersten Ermittelns und des ersten Bereitstellens mittels eines ersten Steuergeräts (803) des Kraftfahrzeugs (403) ausgeführt werden.
Verfahren nach Anspruch 4, wobei die Schritte des redundanten zweiten Ermittelns und des zweiten Bereitstellen mittels einer von dem ersten Steuergerät verschiedenen Datenverarbeitungseinrichtung, insbesondere mittels eines von dem ersten Steuergerät (803) verschiedenen zweiten Steuergeräts, ausgeführt werden.
Verfahren nach Anspruch 4 oder 5, wobei das erste Steuergerät (803) einen ersten Prozessor und einen zweiten Prozessor umfasst, wobei die Schritte des ersten Ermittelns und des ersten Bereitstellens mittels des ersten Prozessors ausgeführt werden und wobei die Schritte des redundanten Ermittelns und des zweiten Bereitstellen mittels des zweiten Prozessors ausgeführt werden.
Verfahren nach einem der vorherigen Ansprüche, umfassend: Empfangen von Nutzeraktionssignalen, welche eine erfasste Nutzeraktion (903) eines Nutzers des Kraftfahrzeugs (403) repräsentieren, drittes Ermitteln basierend auf dem ersten Ergebnis, auf der erfassten Nutzeraktion (903) und basierend auf einem dritten Regelsatz, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703), welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion (903) übersteuert werden dürfen, drittes Bereitstellen eines dritten Ergebnisses des dritten Ermittelns, wobei das dritte Ergebnis angibt, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703), welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion (903) übersteuert werden dürfen, redundantes viertes Ermitteln basierend auf dem zweiten Ergebnis, auf der erfassten Nutzeraktion (903) und basierend auf einem vierten Regelsatz, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703), welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion (903) übersteuert werden dürfen, viertes Bereitstellen eines vierten Ergebnisses des redundanten vierten Ermittelns, sodass das vierte Ergebnis angibt, welche der Fahrerassistenzsysteme (407, 409, 411, 602, 703), welche parallel aktiv sein dürfen, mittels der erfassten Nutzeraktion (903) übersteuert werden dürfen, Vergleichen des dritten Ergebnisses mit dem vierten Ergebnis, um ein zweites Vergleichsergebnis zu ermitteln, Betreiben des Kraftfahrzeugs (403) basierend auf dem ermittelten zweiten Vergleichsergebnis.
Vorrichtung (201), die eingerichtet ist, alle Schritte des Verfahrens nach einem der vorherigen Ansprüche auszuführen.
Computerprogramm (303), umfassend Befehle, die bei Ausführung des Computerprogramms (303) durch einen Computer diesen veranlassen, ein Verfahren gemäß einem der Ansprüche 1 bis 7 auszuführen.
Maschinenlesbares Speichermedium (301), auf dem das Computerprogramm (303) nach Anspruch 9 gespeichert ist.