DE102021213077A1 - Method for monitoring signal processing for an automated driving system and control unit for an automated driving system - Google Patents

Method for monitoring signal processing for an automated driving system and control unit for an automated driving system Download PDF

Info

Publication number
DE102021213077A1
DE102021213077A1 DE102021213077.1A DE102021213077A DE102021213077A1 DE 102021213077 A1 DE102021213077 A1 DE 102021213077A1 DE 102021213077 A DE102021213077 A DE 102021213077A DE 102021213077 A1 DE102021213077 A1 DE 102021213077A1
Authority
DE
Germany
Prior art keywords
signal processing
signals
processing path
maneuvers
driving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021213077.1A
Other languages
German (de)
Inventor
Martin Pollak
Alexander Bachmann
Wladimir klein
Martin Ruchti
Peter van der Vegte
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102021213077.1A priority Critical patent/DE102021213077A1/en
Publication of DE102021213077A1 publication Critical patent/DE102021213077A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0027Planning or execution of driving tasks using trajectory prediction for other traffic participants
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units, or advanced driver assistance systems for ensuring comfort, stability and safety or drive control systems for propelling or retarding the vehicle
    • B60W30/10Path keeping
    • B60W30/12Lane keeping
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units, or advanced driver assistance systems for ensuring comfort, stability and safety or drive control systems for propelling or retarding the vehicle
    • B60W30/18Propelling the vehicle
    • B60W30/18009Propelling the vehicle related to particular drive situations
    • B60W30/18163Lane change; Overtaking manoeuvres
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • G08G1/166Anti-collision systems for active traffic, e.g. moving vehicles, pedestrians, bikes
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • G08G1/167Driving aids for lane monitoring, lane changing, e.g. blind spot detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Abstract

Verfahren zur Überwachung einer Signalverarbeitung für ein automatisiertes Fahrsystems, wobei die Signalverarbeitung wenigstens eine Logik umfasst, die aus Signalen wenigstens eines Umfelderfassungssensors des Fahrsystems ein digitales Szenenverständnis bestimmt (SEE), basierend auf dem Szenenverständnis Verkehrsszenen vorhersagt (PREDICT), Fahrmanöver plant (PLAN), Steuerungs- und/oder Regelungssignale zum kollisionsfreien Ausführen der Fahrmanöver bestimmt (THINK) und die Steuerungs- und/oder Regelungssignale wenigstens einem Steuergerät (ACT), das die Fahrmanöver ausführt, bereitstellt; wenigstens ein Teil der Datenverarbeitung in wenigstens zwei Signalverarbeitungspfaden (S1, S2) der Logik gemäß ASIL-Sicherheitsanforderungen überwacht wird und die Signalverarbeitungspfade (S1, S2) jeweils Sicherheitsanforderungen kleiner oder gleich ASIL-D erfüllen; durch Auswahl und/oder Kombination (VOTE, ARBITER) von Signalen aus den Signalverarbeitungspfaden (S1, S2) für das Ausführen der Fahrmanöver (ACT) eine Sicherheitsanforderung gemäß ASIL-D erfüllt wird.A method for monitoring signal processing for an automated driving system, the signal processing comprising at least one logic which determines a digital scene understanding from signals from at least one environment detection sensor of the driving system (SEE), predicts traffic scenes based on the scene understanding (PREDICT), plans driving maneuvers (PLAN), Determines control and/or regulation signals for collision-free execution of the driving maneuver (THINK) and provides the control and/or regulation signals to at least one control unit (ACT) that executes the driving maneuver; at least part of the data processing in at least two signal processing paths (S1, S2) of the logic is monitored in accordance with ASIL safety requirements and the signal processing paths (S1, S2) each meet safety requirements less than or equal to ASIL-D; a safety requirement according to ASIL-D is met by selecting and/or combining (VOTE, ARBITER) signals from the signal processing paths (S1, S2) for executing the driving maneuver (ACT).

Description

Die Erfindung betrifft ein Verfahren zur Überwachung einer Signalverarbeitung für ein automatisiertes Fahrsystems und ein Steuergerät für ein automatisiertes Fahrsystems.The invention relates to a method for monitoring signal processing for an automated driving system and a control unit for an automated driving system.

Die EP 2 622 870 B1 offenbart ein Verfahren und eine Anordnung zur Überwachung mindestens einer Batterie, eine Batterie mit einer solchen Anordnung sowie ein Kraftfahrzeug mit einer entsprechenden Batterie, welche insbesondere einsetzbar sind zur sicheren Überwachung des Batteriezustandes bei reduziertem Hardwareaufwand. Dabei erfolgt eine redundante Überwachung von zumindest einem Teil der Messgrößen der Batterie. Durch die redundante Überwachung werden zumindest Sicherheitsanforderungen gemäß ASIL-A und ASIL-B realisiert.The EP 2 622 870 B1 discloses a method and an arrangement for monitoring at least one battery, a battery with such an arrangement and a motor vehicle with a corresponding battery, which can be used in particular for reliable monitoring of the battery condition with reduced hardware complexity. In this case, redundant monitoring of at least some of the measured variables of the battery takes place. The redundant monitoring at least implements safety requirements according to ASIL-A and ASIL-B.

Eine Aufgabe der vorliegenden Erfindung war es, funktionale Sicherheitsarchitekturen für ein automatisiertes Fahrsystem bereitzustellen. Die Gegenstände des unabhängigen und nebengeordneten Anspruchs lösen jeweils diese Aufgabe.One object of the present invention was to provide functional safety architectures for an automated driving system. The subjects of the independent and subordinate claim each solve this problem.

Nach einem Aspekt stellt die Erfindung ein Verfahren bereit zur Überwachung einer Signalverarbeitung für ein automatisiertes Fahrsystems. Die Signalverarbeitung umfasst wenigstens eine Logik. Die Logik bestimmt aus Signalen wenigstens eines Umfelderfassungssensors des Fahrsystems ein digitales Szenenverständnis. Basierend auf dem Szenenverständnis sagt die Logik Verkehrsszenen, plant Fahrmanöver, bestimmt Steuerungs- und/oder Regelungssignale zum kollisionsfreien Ausführen der Fahrmanöver und stellt die Steuerungs- und/oder Regelungssignale wenigstens einem Steuergerät, das die Fahrmanöver ausführt, bereit. Wenigstens ein Teil der Datenverarbeitung wird in wenigstens zwei Signalverarbeitungspfaden der Logik gemäß ASIL-Sicherheitsanforderungen überwacht. Die Signalverarbeitungspfade erfüllen jeweils Sicherheitsanforderungen kleiner oder gleich ASIL-D. Durch Auswahl und/oder Kombination von Signalen aus den Signalverarbeitungspfaden wird für das Ausführen der Fahrmanöver eine Sicherheitsanforderung gemäß ASIL-D erfüllt.According to one aspect, the invention provides a method for monitoring signal processing for an automated driving system. The signal processing includes at least one logic. The logic determines a digital understanding of the scene from signals from at least one environment detection sensor of the driving system. Based on the understanding of the scene, the logic predicts traffic scenes, plans driving maneuvers, determines control and/or regulation signals for carrying out the driving maneuver without a collision, and provides the control and/or regulation signals to at least one control unit that executes the driving maneuvers. At least part of the data processing is monitored in at least two signal processing paths of the logic according to ASIL safety requirements. The signal processing paths each meet safety requirements less than or equal to ASIL-D. By selecting and/or combining signals from the signal processing paths, a safety requirement according to ASIL-D is met for executing the driving maneuver.

Nach einem weiteren Aspekt stellt die Erfindung ein Steuergerät für ein automatisiertes Fahrsystem bereit. Das Steuergerät umfasst eine Logik für Signalverarbeitung, die aus Signalen wenigstens eines Umfelderfassungssensors des Fahrsystems ein digitales Szenenverständnis bestimmt, basierend auf dem Szenenverständnis Verkehrsszenen vorhersagt, Fahrmanöver plant, Steuerungs- und/oder Regelungssignale zum kollisionsfreien Ausführen der Fahrmanöver bestimmt und die Steuerungs- und/oder Regelungssignale dem Steuergerät bereitstellt, wobei das Steuergerät die Fahrmanöver ausführt. De Signalverarbeitung wird gemäß eines erfindungsgemäßen Verfahrens überwacht.According to a further aspect, the invention provides a control device for an automated driving system. The control unit includes logic for signal processing, which determines a digital understanding of the scene from signals from at least one environment detection sensor of the driving system, predicts traffic scenes based on the understanding of the scene, plans driving maneuvers, determines control and/or regulation signals for collision-free execution of the driving maneuver and determines the control and/or Provides control signals to the control unit, the control unit executing the driving maneuvers. The signal processing is monitored according to a method according to the invention.

Vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Definitionen, den Unteransprüchen, den Zeichnung und der Beschreibung bevorzugter Ausführungsbeispiele.Advantageous refinements of the invention result from the definitions, the dependent claims, the drawing and the description of preferred exemplary embodiments.

Die Signalverarbeitung betrifft allgemein logische Verarbeitungsblöcke eines automatisierten Fahrsystems zur Informationsverarbeitung bei der automatisierten Führung von Fahrsystemen. Insbesondere umfasst die Signalverarbeitung die in dem Beitrag DIETMAYER, K.: Prädiktion von maschineller Wahrnehmungsleistung beim automatisierten Fahren., in MAURER M et al. (Hrsg.): Autonomes Fahren. DOI 10.1007/978-3-662-45854-9_20 offenbarten Module, nämlich: Ein Wahrnehmungsmodul, auch Perzeptionsmodul oder SEE-Modul genannt, das basierend auf einer sensoriellen Wahrnehmung eines Umfeldes des Fahrsystems das digitale Szenenverständnis bestimmt. Nach einem Aspekt umfasst das digitale Szenenverständnis ein Umfeldmodell, in dem das Ego-Fahrsystem und andere Verkehrsteilnehmer durch Bewegungsmodelle und Infrastrukturelemente repräsentiert sind. Darauf aufbauend berechnet ein Vorhersagemodul, auch Prädiktionsmodul genannt, verschiedene zeitliche Entwicklungen einer Verkehrsszene. Das Vorhersagemodul kann auch ein Teil des SEE-Moduls sein. Darauf aufbauend ermittelt ein Handlungsplanungsmodul, auch THINK-Modul genannt, Fahrmanöver umfassend Umfahren eines Objekts und/oder Überholen eines Objektes umfassend Trajektorien zum Ausführen der geplanten Fahrmanöver. Die Trajektorien sind nach einem Aspekt in einem typischen Zeithorizont von wenigen Sekunden vorausberechnet und gegebenenfalls mit Komfort bewertet. Das Vorhersagemodul kann auch ein Teil des Think-Moduls sein. Die nach vorgegebenen Kriterien optimale Trajektorie, das heißt das Fahrmanöver, wird von einem Steuerungsmodul, auch ACT-Modul genannt, ausgeführt. Nach einem Aspekt umfasst die Logik das Wahrnehmungsmodul, Vorhersagemodul, Handlungsplanungsmodul und Steuerungsmodul.Signal processing generally relates to logical processing blocks of an automated driving system for information processing in the automated guidance of driving systems. In particular, the signal processing includes in the article DIETMAYER, K.: Prediction of machine perception performance in automated driving., in MAURER M et al. (Ed.): Autonomous driving. DOI 10.1007/978-3-662-45854-9_20 disclosed modules, namely: A perception module, also called perception module or SEE module, which determines the digital understanding of the scene based on a sensory perception of an environment of the driving system. According to one aspect, the digital understanding of the scene includes an environment model in which the ego driving system and other road users are represented by movement models and infrastructure elements. Based on this, a prediction module, also called a prediction module, calculates various temporal developments in a traffic scene. The prediction module can also be part of the SEE module. Based on this, an action planning module, also known as a THINK module, determines driving maneuvers including driving around an object and/or overtaking an object including trajectories for executing the planned driving maneuvers. According to one aspect, the trajectories are precalculated in a typical time horizon of a few seconds and optionally evaluated with comfort. The prediction module can also be part of the think module. The optimal trajectory based on specified criteria, ie the driving maneuver, is executed by a control module, also known as an ACT module. In one aspect, the logic includes the perception module, prediction module, action planning module, and control module.

Die Logik und/oder das Wahrnehmungsmodul, Vorhersagemodul, Handlungsplanungsmodul und Steuerungsmodul können als Software und/oder in Form von Hardwaremodulen realisiert sein. Die Hardwaremodule können Zentralprozessoren (CPUs), Graphikprozessoren (GPUs), Mehrkernprozessoren, anwendungsspezifische integrierte Schaltkreise (ASICs), integrierter Schaltkreis, in welche eine logische Schaltung geladen werden kann (FPGAs), eingebettete Systeme, beispielsweise Steuergeräte, Mikrocontroller, umfassend Domain und/oder Zonencontroller, und/oder Ein-Chip-Systeme (SoC).The logic and/or the perception module, prediction module, action planning module and control module can be implemented as software and/or in the form of hardware modules. The hardware modules can be central processors (CPUs), graphics processors (GPUs), multi-core processors, application-specific integrated circuits (ASICs), integrated circuits into which a logic circuit can be loaded (FPGAs), embedded systems, for example control units, microcontrollers, including domain and/or zone controllers, and/or systems on chip (SoC).

Der Umfelderfassungssensor liefert jeweilige Rohdaten. Das Wahrnehmungsmodul analysiert die Rohdaten und stellt sie als Informationen bereit, die in elektromagnetische Signale umgewandelt und als solche übertragen werden. Der Umfelderfassungssensor kann ein Kamera-, Radar-, Lidar-, Ultraschall, Akustik-, Geruchs- und/oder Inertialsensor sein. Nach einem Aspekt werden Signale von mehreren dieser Umfelderfassungssensoren fusioniert, nach einem weiteren Aspekt basierend auf diversitären Sensortechnologien, diversitären Algorithmen und/oder basierend auf unterschiedlichen maximalen Erfassungsbereichen. Nach einem weiteren Aspekt führt die Logik zur Bestimmung des digitalen Szenenverständnisses datengetriebene Algorithmen aus, beispielsweise künstliche neuronale Netzwerke, beispielsweise Faltungsnetzwerke zur semantischen Bildsegmentierung.The environment detection sensor delivers the respective raw data. The perception module analyzes the raw data and provides it as information that is converted into electromagnetic signals and transmitted as such. The environment detection sensor can be a camera, radar, lidar, ultrasound, acoustic, smell and/or inertial sensor. According to one aspect, signals from a number of these surroundings detection sensors are merged, according to a further aspect based on diverse sensor technologies, diverse algorithms and/or based on different maximum detection ranges. According to a further aspect, the logic for determining the digital scene understanding executes data-driven algorithms, for example artificial neural networks, for example convolution networks for semantic image segmentation.

Das Vorhersagemodul prädiziert Zustände beispielsweise mittels Bayes-Schätzung, Kalman-Filtern, Markov-Ketten oder datengetriebenen Algorithmen.The prediction module predicts states, for example using Bayesian estimation, Kalman filters, Markov chains or data-driven algorithms.

Nach einem Aspekt sind das Wahrnehmungsmodul, Vorhersagemodul und Handlungsplanungsmodul einem ersten Steuergerät und das Steuerungsmodul einem von dem ersten unabhängigen zweiten Steuergerät, das in Wirkverbindung mit Fahrzeug-Aktuatoren steht, zugeordnet. Das erste Steuergerät umfasst nach einem Aspekt eine Supercomputer-Plattform zur Informationsverarbeitung. Das zweite Steuergerät steht beispielsweise mit Aktuatoren für Längs- und/oder Querregelung des Fahrzeugs, beispielsweise Bremsaktuatoren, Motorventilaktuatoren, Lenkungsaktuatoren, in Wirkverbindung.According to one aspect, the perception module, prediction module and action planning module are assigned to a first control unit and the control module is assigned to a second control unit which is independent of the first and which is operatively connected to vehicle actuators. According to one aspect, the first control device comprises a supercomputer platform for information processing. The second control device is operatively connected, for example, to actuators for longitudinal and/or lateral control of the vehicle, for example brake actuators, engine valve actuators, steering actuators.

Fahrsystem betrifft Komponenten eines Fahrzeuges und/oder das Fahrzeug als solches. Automatisierte Fahrsysteme führen die Fahraktion automatisiert aus. Ein Automatisierungslevel der automatisiert betreibbaren Fahrsysteme bestimmt beispielsweise die Norm SAE J3016. Die Erfindung betrifft insbesondere SAE J3016 Level 4 oder 5 AD-Systeme. Ein Beispiel für ein erfindungsgemäßes automatisiertes Fahrsystem ist ein Level 4 Personen-/Güter-Shuttle oder Robotershuttle.Driving system relates to components of a vehicle and/or the vehicle as such. Automated driving systems carry out the driving action automatically. The SAE J3016 standard, for example, determines an automation level of the driving systems that can be operated automatically. The invention particularly relates to SAE J3016 Level 4 or 5 AD systems. An example of an automated driving system according to the invention is a Level 4 passenger/goods shuttle or robot shuttle.

ASIL bedeutet Automotive Safety Integrity Level und ist in der Sicherheitsnorm ISO 26262 definiert. Die Stufen ASIL-A bis ASIL-D klassifizieren Sicherheitsanforderungen für sicherheitsbezogene Funktionen, wobei ASIL-D die höchsten Anforderungen stellt. Beispielsweise entspricht eine Fehlerrate von 10-9/Betriebsstunde dem ASIL D Level.ASIL means Automotive Safety Integrity Level and is defined in the ISO 26262 safety standard. The levels ASIL-A to ASIL-D classify safety requirements for safety-related functions, with ASIL-D having the highest requirements. For example, a failure rate of 10 -9 /operating hour corresponds to the ASIL D level.

Eine Lösung, um für das Gesamtsystem des automatisierten Fahrsystems Sicherheitsanforderungen gemäß ASIL-D zu erfüllen, ist es, den einzelnen Verarbeitungsschritte der Logik, insbesondere dem SEE-Modul, THINK-Modul und ACT-Modul, jeweils ASIL-D Sicherheitsanforderungen aufzulegen. Durch die erfindungsgemäße Auswahl und/oder Kombination von Signalen aus den Signalverarbeitungspfaden wird eine ASIL-Dekomposition für die Signalverarbeitung erreicht, gemäß der nur für das Ausführen der Fahrmanöver eine Sicherheitsanforderung gemäß ASIL-D zu erfüllen ist, um für das Gesamtsystem eine Sicherheitsanforderung gemäß ASIL-D zu erfüllen. Damit kann das Fahrsystem prozessual einfacher abgesichert und validiert werden.One solution for meeting safety requirements according to ASIL-D for the entire system of the automated driving system is to impose ASIL-D safety requirements on the individual processing steps of the logic, in particular the SEE module, THINK module and ACT module. The selection and/or combination of signals from the signal processing paths according to the invention achieves an ASIL decomposition for the signal processing, according to which a safety requirement according to ASIL-D only has to be met for the execution of the driving maneuver in order to meet a safety requirement according to ASIL- to fulfill D. This makes it easier to secure and validate the driving system procedurally.

Eine weitere mögliche Dekomposition von ASIL-D ist in ASIL-A und ASIL-C. ASIL-C muss dabei weiter dekompositioniert werden in ASIL-B und ASIL-A. Damit resultiert eine Dekomposition von ASIL-D zumindest drei Kanäle umfassend ASIL-A + ASIL-A + ASIL-B. Diese Dekomposition verlangt zusätzlichen Aufwand für neue Kanäle und Demonstration der Unabhängigkeit von mindestens drei Kanälen.Another possible decomposition of ASIL-D is into ASIL-A and ASIL-C. ASIL-C must be further decomposed into ASIL-B and ASIL-A. This results in a decomposition of ASIL-D comprising at least three channels ASIL-A+ASIL-A+ASIL-B. This decomposition requires additional effort for new channels and demonstration of the independence of at least three channels.

Nach einem Aspekt umfasst ein erster Signalverarbeitungspfad wenigsten das Bestimmen des digitalen Szenenverständnis und die Planung der Fahrmanöver jeweils nach Sicherheitsanforderungen gemäß QM. Bezogen auf „Qualitätsmanagement“ bedeutet die Stufe QM, dass keine Sicherheitsmaßnahmen nach ISO 26262 erforderlich sind. In einem zweiten Signalverarbeitungspfad wird das digitale Szenenverständnis unabhängig von dem ersten Signalverarbeitungspfad bestimm. Basierend auf dem unabhängig bestimmten digitalen Szenenverständnis werden Gefahrenereignisse überwacht. Basierend auf den Gefahrenereignissen werden Notfallmanöver umfassend Notfallhaltemanöver zur Kollisionsvermeidung und/oder zur Vermeidung von Spurwechseln und/oder Notfallmanöver für einen Spurwechsel eingeleitet. Der zweite Signalverarbeitungspfad umfasst zwei redundante Sub-Signalverarbeitungspfade. Jeder der zwei Sub-Signalverarbeitungspfade umfasst wenigstens ein Bestimmen des digitalen Szenenverständnisses, ein Vorhersagen der Verkehrsszenen und eine Bewertung der Vorhersagen hinsichtlich der Notfallmanöver jeweils nach Sicherheitsanforderungen gemäß ASIL-B. Die aus dem ersten Signalverarbeitungspfad und den aus den zwei Sub-Signalverarbeitungspfaden erhaltenen Signale werden kombiniert. Die Fahrmanöver werden basierend auf der Signalkombination nach Sicherheitsanforderungen gemäß ASIL-D ausgeführt.According to one aspect, a first signal processing path includes at least the determination of the digital understanding of the scene and the planning of the driving maneuvers according to safety requirements according to QM. Based on "quality management", the QM level means that no safety measures according to ISO 26262 are required. In a second signal processing path, the digital understanding of the scene is determined independently of the first signal processing path. Hazard events are monitored based on the independently determined digital scene understanding. Based on the hazardous events, emergency maneuvers including emergency stopping maneuvers to avoid collisions and/or to avoid lane changes and/or emergency maneuvers for a lane change are initiated. The second signal processing path includes two redundant sub-signal processing paths. Each of the two sub-signal processing paths includes at least a determination of the digital understanding of the scene, a prediction of the traffic scenes and an evaluation of the predictions with regard to the emergency maneuvers, each according to safety requirements according to ASIL-B. The signals obtained from the first signal processing path and from the two sub-signal processing paths are combined. The driving maneuvers are carried out based on the signal combination according to safety requirements according to ASIL-D.

Dabei entspricht der erste Signalverarbeitungspfad einem QM nominalen Pfad. Der zweite Signalverarbeitungspfad entspricht einem von dem ersten Signalverarbeitungspfad unabhängigen Sicherheitspfad. In dem Sicherheitspfad werden nur die Fahrzeugreaktion auf Gefährdungen überwacht. Beispielsweise wird in dem Sicherheitspfad ein Bremsen eingeleitet. Der zweite Signalverarbeitungspfad leitet Notfallmanöver ein, ist aber unabhängig vom Planen und Ausführen von Fahrmanövern. Beispielsweise werden bei Notfallhaltemanövern zur Kollisionsvermeidung die Fahrzeugreaktionen Solllenkung folgen, maximale Bremse, kein Antrieb eingeleitet. Bei Notfallhaltemanövern zur Vermeidung von Spurwechseln können die Fahrzeugreaktionen Lenkung blockieren, maximale Bremse, kein Antrieb eingeleitet werden. Bei Notfallmanövern für einen Spurwechsel werden beispielsweise die Fahrzeugreaktionen Höchstgeschwindigkeit pro Missionspunkt, Verlassen von Missionsreferenzpunkten eingeleitet.The first signal processing path corresponds to a QM nominal path. The second signal processing path corresponds to a safety path that is independent of the first signal processing path. Only vehicle reactions to hazards are monitored in the safety path. For example, braking is initiated in the safety path. The second signal processing path initiates emergency manoeuvres, but is independent of the planning and execution of driving manoeuvres. For example, in the case of emergency stopping maneuvers to avoid a collision, the vehicle reactions follow the target steering, maximum braking, and no propulsion is initiated. In the case of emergency stopping maneuvers to avoid changing lanes, the vehicle reactions can block the steering, maximum braking, no drive can be initiated. In the case of emergency maneuvers for a lane change, for example, the vehicle reactions maximum speed per mission point, leaving mission reference points are initiated.

Nach einem Aspekt erfolgt die Kombination der aus dem ersten Signalverarbeitungspfad und den aus den zwei Sub-Signalverarbeitungspfaden erhaltenen Signale in einem Sicherheitsmodul der Logik, das Sicherheitsanforderungen gemäß ASIL-D erfüllt. Das Sicherheitsmodul und die beiden Sub-Signalverarbeitungspfade bilden den Sicherheitspfad. In diesem Kontext bildet der erste Signalverarbeitungspfad einen Performanzpfad.According to one aspect, the signals obtained from the first signal processing path and from the two sub-signal processing paths are combined in a safety module of the logic, which satisfies safety requirements according to ASIL-D. The security module and the two sub-signal processing paths form the security path. In this context, the first signal processing path forms a performance path.

Diese funktionale Sicherheitsarchitektur umfassend den QM nominalen Pfad und den ASIL-D Sicherheitspfad hat beispielsweise die folgenden Vorteile, insbesondere hinsichtlich des primären Sicherheitszieles der Vermeidung von Kollisionen mit anderen Objekten:

  • • klare Trennung zwischen sicherheitsrelevanten und nicht sicherheitsrelevanten Themen;
  • • Begrenzung eines Signalverarbeitungspfades auf den Sicherheitsbereich;
  • • Nutzung von Graphikprozessoren und künstlichen neuronalen Netzwerken und Maschinenlernalgorithmen im QM nominalen Pfad nicht durch Sicherheitsbeschränkungen eingeschränkt, Sicherheitspfad ist regelbasiert und „klassisch“, was die Wiederaufarbeitung des Systemteils erleichtert;
  • • kein Nachweis der Störungsfreiheit/Interferenz zwischen Umfelderfassungssensoren in den beiden Signalverarbeitungspfaden erforderlich;
  • • Komplexität der Validierung gering.
This functional safety architecture, comprising the QM nominal path and the ASIL-D safety path, has the following advantages, for example, especially with regard to the primary safety goal of avoiding collisions with other objects:
  • • clear separation between safety-related and non-safety-related topics;
  • • Limitation of a signal processing path to the safety area;
  • • Use of graphics processors and artificial neural networks and machine learning algorithms in the QM nominal path not constrained by safety constraints, safety path is rule-based and "classic", which facilitates the reprocessing of the system part;
  • • No need to prove that there is no interference between environment detection sensors in the two signal processing paths;
  • • Low complexity of the validation.

Nach einem weiteren Aspekt umfasst ein erster Signalverarbeitungspfad wenigsten das Bestimmen des digitalen Szenenverständnis, das Vorhersagen der Verkehrsszenen und die Planung der Fahrmanöver jeweils nach Sicherheitsanforderungen gemäß ASIL-B umfasst. Ein zweiter Signalverarbeitungspfad bestimmt und sagt vorher das digitale Szenenverständnis und die Verkehrsszenen redundant jeweils nach Sicherheitsanforderungen gemäß ASIL-B. In dem ersten Signalverarbeitungspfad werden die aus der Planung der Fahrmanöver erhaltenen Signale gegen die aus den vorhergesagten Verkehrsszenen erhaltenen Signale des zweiten Signalverarbeitungspfades hinsichtlich Verletzung von Sicherheitszielen überprüft. Die aus der Planung der Fahrmanöver erhaltenen Signale und die aus der Überprüfung erhaltenen Signale des ersten Signalverarbeitungspfades werden mittels einer Abstimmungs-Logik, auch voting logic genannt, zusammengeführt. Die Abstimmungs-Logik bestimmt die Steuerungs- und/oder Regelungssignal nach Sicherheitsanforderungen gemäß ASIL-D zum Ausführen der Fahrmanöver und stellt diese dem Steuergerät bereitstellt.According to a further aspect, a first signal processing path includes at least the determination of the digital understanding of the scene, the prediction of the traffic scenes and the planning of the driving maneuvers, each based on safety requirements according to ASIL-B. A second signal processing path determines and predicts the digital scene understanding and traffic scenes redundantly according to ASIL-B safety requirements, respectively. In the first signal processing path, the signals obtained from the planning of the driving maneuvers are checked against the signals of the second signal processing path obtained from the predicted traffic scenes with regard to violations of safety goals. The signals obtained from the planning of the driving maneuvers and the signals of the first signal processing path obtained from the check are combined by means of a voting logic. The voting logic determines the control and/or regulation signal according to safety requirements according to ASIL-D for executing the driving maneuvers and makes them available to the control unit.

Der voran genannte Aspekt realisiert ein Doer/Checker-Prinzip. Der erste Signalverarbeitungspfad entspricht dem Doer. Der Plan des Doers wird im zweiten Signalverarbeitungspfad mit unabhängigem SEE-Input geprüft. Der zweite Signalverarbeitungspfad entspricht dem Checker. Die Abstimmungs-Logik stellt sicher, dass nur erfolgreich geprüfte Wegpunkte an ACT übermittelt werden.The aforementioned aspect implements a doer/checker principle. The first signal processing path corresponds to the Doer. The doer's plan is checked in the second signal processing path with independent SEE input. The second signal processing path corresponds to the checker. The voting logic ensures that only successfully verified waypoints are sent to ACT.

Die Abstimmungs-Logik Allgemein ist nach einem Aspekt durch ein ist ein MooN-System realisiert, das ist ein Auswertemodul, welches N Messwerte vergleicht, von denen mindestens M vorgegebene Kriterien erfüllen müssen. Beispielsweise ist das MooN-System ein 3oo1-System.According to one aspect, the voting logic is generally implemented by a MooN system, which is an evaluation module that compares N measured values, of which at least M must meet specified criteria. For example, the MooN system is a 3oo1 system.

Diese funktionale Sicherheitsarchitektur basierend auf dem Doer/Checker-Prinzip hat beispielsweise die folgenden Vorteile, insbesondere hinsichtlich des primären Sicherheitszieles der Vermeidung von Kollisionen mit anderen Objekten:

  • • Optimierung der Falsch-Positiv-Erkennungen und Falsch-Negativ-Erkennung in verschiedenen Pfaden;
  • • hohe Zuverlässigkeit hinsichtlich Fehlertoleranz.
This functional safety architecture based on the Doer/Checker principle has the following advantages, for example, especially with regard to the primary safety goal of avoiding collisions with other objects:
  • • Optimization of false positive detections and false negative detections in different paths;
  • • high reliability in terms of error tolerance.

In einer weiteren auf dem Doer/Checker-Prinzip basierenden Ausführung werden in dem ersten Signalverarbeitungspfad Ausweichmanöver geplant. Die aus der Planung der Ausweichmanöver erhaltenen Signale werden in dem ersten Signalverarbeitungspfad überprüft. Insgesamt werden also die aus der Planung der Fahrmanöver erhaltenen Signale und die aus der Planung der Ausweichmanöver erhaltenen Signale gegen die aus den vorhergesagten Verkehrsszenen erhaltenen Signale des zweiten Signalverarbeitungspfades hinsichtlich Verletzung von Sicherheitszielen überprüft. Die aus der Planung der Fahrmanöver und der Ausweichmanöver erhaltenen Signale und die aus der Überprüfung erhaltenen Signale werden mittels der Abstimmungs-Logik zusammengeführt. Die Abstimmungs-Logik bestimmt die Steuerungs- und/oder Regelungssignal nach Sicherheitsanforderungen gemäß ASIL-D zum Ausführen der Fahrmanöver und der Ausweichmanöver und stellt diese dem Steuergerät bereit. Das Steuergerät speichert die Signale für ein aktuell gültiges der Ausweichmanöver.In a further embodiment based on the Doer/Checker principle, evasive maneuvers are planned in the first signal processing path. The signals obtained from the planning of the evasive maneuvers are checked in the first signal processing path. Overall, the signals obtained from the planning of the driving maneuvers and the signals obtained from the planning of the evasive maneuvers are checked against the signals of the second signal processing path obtained from the predicted traffic scenes with regard to violation of safety goals. The signals obtained from the planning of the driving maneuvers and the evasive maneuvers and the signals obtained from the check are combined using the voting logic. The voting logic determines the control and/or regulation signals according to safety requirements according to ASIL-D for executing the driving maneuvers and the evasive maneuvers and makes them available to the control unit. The control unit stores the signals for a currently valid evasive maneuver.

Die Ausweichmanöver, auch emergency fall back maneuver genannt, werden nach einem Aspekt parallel zu den „normalen“ Fahrmanövern geplant. Bei Ausweichmanövern wird das Fahrzeug immer gestoppt. Dadurch, dass das Steuergerät jedes valide Ausweichmanöver speichert, können die Ausweichmanöver im Fall eines Kommunikationsausfalls zu dem THINK-Modul genutzt werden.The evasive manoeuvres, also known as emergency fall back maneuvers, are planned in parallel to the “normal” driving manoeuvres. The vehicle is always stopped during evasive maneuvers. Since the control unit stores every valid evasive maneuver, the evasive maneuver can be used in the event of a communication failure with the THINK module.

Nach einem Aspekt umfasst das Steuergerät einen internen Speicher zur Speicherung der Signale für aktuell gültige Ausweichmanöver.According to one aspect, the control unit includes an internal memory for storing the signals for currently valid evasive maneuvers.

In einer weiteren auf dem Doer/Checker-Prinzip basierenden Ausführung werden in dem zweiten Signalverarbeitungspfad Ausweichmanöver basierend auf den vorhergesagten Verkehrsszenen bestimmt. In dem zweiten Signalverarbeitungspfad werden die aus der Bestimmung der Ausweichmanöver erhaltenen Signale gegen die aus den vorhergesagten Verkehrsszenen erhaltenen Signale des ersten Signalverarbeitungspfades hinsichtlich Verletzung von Sicherheitszielen überprüft. Die aus der Bestimmung der Ausweichmanöver erhaltenen Signale und die aus der Überprüfung erhaltenen Signale des zweiten Signalverarbeitungspfades werden mit den aus der Planung der Fahrmanöver erhaltenen Signalen und den aus der Überprüfung erhaltenen Signalen des ersten Signalverarbeitungspfades mittels der Abstimmungs-Logik zusammengeführt. Die Abstimmungs-Logik bestimmt die Steuerungs- und/oder Regelungssignal nach Sicherheitsanforderungen gemäß ASIL-D zum Ausführen der Fahrmanöver und der Ausweichmanöver und stellt diese dem Steuergerät. Das Steuergerät speichert die Signale für ein aktuell gültiges der Ausweichmanöver.In a further embodiment based on the Doer/Checker principle, evasive maneuvers are determined in the second signal processing path based on the predicted traffic scenes. In the second signal processing path, the signals obtained from the determination of the evasive maneuvers are checked against the signals of the first signal processing path obtained from the predicted traffic scenes with regard to violation of safety goals. The signals obtained from the determination of the evasive maneuver and the signals of the second signal processing path obtained from the check are combined with the signals obtained from the planning of the driving maneuver and the signals of the first signal processing path obtained from the check by means of the voting logic. The voting logic determines the control and/or regulation signal according to safety requirements according to ASIL-D for executing the driving maneuvers and the evasive maneuvers and provides them to the control unit. The control unit stores the signals for a currently valid evasive maneuver.

Diese Ausführung umfasst ein Checker-Modul in dem ersten und dem zweiten Signalverarbeitungspfad. Die Ausweichmanöver werden in dem zweiten Signalverarbeitungspfad bestimmt und basieren damit auf dem, relativ zu dem ersten Signalverarbeitungspfad, unabhängigen SEE-Input des zweiten Signalverarbeitungspfades. Die Zusammenführung der Signale aus dem ersten und zweiten Signalverarbeitungspfad umfassend jeweils die aus den Überprüfungen erhaltenen Signale ermöglicht eine Querprüfung oder einen crosscheck der jeweils anderen SEE-Inputs. Durch die Querprüfung können Fehler den einzelnen SEE-Modulen verbessert zugeordnet werden.This embodiment includes a checker module in the first and second signal processing paths. The evasive maneuvers are determined in the second signal processing path and are thus based on the SEE input of the second signal processing path, which is independent relative to the first signal processing path. Combining the signals from the first and second signal processing paths, each comprising the signals obtained from the checks, enables a cross-check or a cross-check of the other SEE inputs in each case. With the cross-check, errors can be better assigned to the individual SEE modules.

In einer weiteren auf dem Doer/Checker-Prinzip basierenden Ausführung umfassend ein Checker-Modul in dem ersten und dem zweiten Signalverarbeitungspfad umfasst der zweite Signalverarbeitungspfad eine redundante Planung der Fahrmanöver nach Sicherheitsanforderungen gemäß ASIL-B. In dem zweiten Signalverarbeitungspfad werden Ausweichmanöver redundant geplant. In dem zweiten Signalverarbeitungspfad werden die aus der Planung der Fahrmanöver und der Ausweichmanöver erhaltenen Signale gegen die aus den vorhergesagten Verkehrsszenen erhaltenen Signale des ersten Signalverarbeitungspfades hinsichtlich Verletzung von Sicherheitszielen redundant überprüft. Die in dem ersten Signalverarbeitungspfad aus der Planung der Fahrmanöver und der Ausweichmanöver erhaltenen Signale und die aus der jeweiligen Überprüfung erhaltenen Signale und die in dem zweiten Signalverarbeitungspfad aus der Planung der Fahrmanöver und der Ausweichmanöver erhaltenen Signale und die aus der jeweiligen Überprüfung erhaltenen Signale werden mittels der Abstimmungs-Logik zusammengeführt.In a further embodiment based on the Doer/Checker principle, comprising a checker module in the first and the second signal processing path, the second signal processing path comprises redundant planning of the driving maneuvers according to safety requirements according to ASIL-B. Evasive maneuvers are planned redundantly in the second signal processing path. In the second signal processing path, the signals obtained from the planning of the driving maneuvers and the evasive maneuvers are redundantly checked against the signals of the first signal processing path obtained from the predicted traffic scenes with regard to violation of safety goals. The signals received in the first signal processing path from the planning of the driving maneuvers and the evasive maneuvers and the signals received from the respective check and the signals received in the second signal processing path from the planning of the driving maneuvers and the evasive maneuvers and the signals received from the respective check are Voting logic merged.

Diese Ausführung umfasst neben dem ersten THINK-Modul in dem ersten Signalverarbeitungspfad ein zweites THINK-Modul in dem zweiten Signalverarbeitungspfad. Das erste und das zweite THINK-Modul liefern jeweils Signale zum Ausführen der „normalen“ Fahrmanöver und der Ausweichmanöver. Nach einem Aspekt führt das zweite THINK-Modul eine kürzerer und/oder langsamerer Mission als das erste THINK-Modul aus. Nach einem weiteren Aspekt ist die Ausgabe des ersten THINK-Moduls gegenüber der Ausgabe des zweiten THINK-Moduls bevorzugt. Die Abstimmungslogik sendet nach einem Aspekt ein Signalpaar umfassend Fahrmanöver und Ausweichmanöver, wenn beide erfolgreich überprüft sind.In addition to the first THINK module in the first signal processing path, this embodiment includes a second THINK module in the second signal processing path. The first and the second THINK module each supply signals for carrying out the "normal" driving maneuvers and the evasive maneuvers. In one aspect, the second THINK module executes a shorter and/or slower mission than the first THINK module. According to a further aspect, the output of the first THINK module is preferred over the output of the second THINK module. In one aspect, the voting logic sends a pair of signals including driving maneuvers and evasive maneuvers when both are successfully verified.

In einer weiteren auf dem Doer/Checker-Prinzip basierenden Ausführung umfassend das erste und das zweite THINK-Modul werden in dem ersten Signalverarbeitungspfad die aus den vorhergesagten Verkehrsszenen erhaltenen Signale des ersten Signalverarbeitungspfades gegen die aus der Planung der Fahrmanöver erhaltenen Signale des ersten Signalverarbeitungspfades nach Sicherheitsanforderungen gemäß ASIL-B hinsichtlich Verletzung von Sicherheitszielen überprüft. In dem zweiten Signalverarbeitungspfad werden die aus den vorhergesagten Verkehrsszenen erhaltenen Signale des zweiten Signalverarbeitungspfades gegen die aus der Planung der Fahrmanöver erhaltenen Signale des zweiten Signalverarbeitungspfades nach Sicherheitsanforderungen gemäß ASIL-B hinsichtlich Verletzung von Sicherheitszielen überprüft. Die aus der voran genannten Überprüfung in dem ersten Signalverarbeitungspfad und die aus der voran genannten Überprüfung in dem zweiten Signalverarbeitungspfad erhaltenen Signale werden mittels der Abstimmungs-Logik zusammengeführt. Insgesamt werden also die in dem ersten Signalverarbeitungspfad aus der Planung der Fahrmanöver und der Ausweichmanöver erhaltenen Signale, die aus der jeweiligen Überprüfung erhaltenen Signale und die in dem zweiten Signalverarbeitungspfad aus der Planung der Fahrmanöver und der Ausweichmanöver erhaltenen Signale und die aus der jeweiligen Überprüfung erhaltenen Signale mittels der Abstimmungs-Logik zusammengeführt.In a further embodiment based on the Doer/Checker principle comprising the first and the second THINK module, the signals of the first signal processing path obtained from the predicted traffic scenes are compared in the first signal processing path against the signals of the first signal processing path obtained from the planning of the driving maneuvers according to safety requirements checked according to ASIL-B with regard to violation of safety goals. In the second signal processing path, the signals of the second signal processing path obtained from the predicted traffic scenes are checked against the signals of the second signal processing path obtained from the planning of the driving maneuver according to safety requirements according to ASIL-B with regard to violation of safety goals. The signals obtained from the aforementioned check in the first signal processing path and the signals obtained from the aforementioned check in the second signal processing path are combined by means of the voting logic. In total The signals received in the first signal processing path from the planning of the driving maneuvers and the evasive maneuvers, the signals received from the respective check and the signals received in the second signal processing path from the planning of the driving maneuvers and the evasive maneuvers and the signals received from the respective check are processed by means of merged with the voting logic.

Durch diese zusätzliche Querprüfung der Ausgänge der THINK-Module mit den jeweiligen SEE-Inputs können Fehler in den THINK-Modulen besser erkannt und zugeordnet werden.With this additional cross-check of the outputs of the THINK modules with the respective SEE inputs, errors in the THINK modules can be better recognized and assigned.

Nach einem weiteren Aspekt umfasst ein erster Signalverarbeitungspfad das Bestimmen des digitalen Szenenverständnis, das Vorhersagen der Verkehrsszenen und die Planung der Fahrmanöver jeweils nach Sicherheitsanforderungen gemäß ASIL-B. Ein zu dem ersten Signalverarbeitungspfad redundanter zweiter Signalverarbeitungspfad umfasst das Bestimmen des digitalen Szenenverständnis, das Vorhersagen der Verkehrsszenen und die Planung der Fahrmanöver jeweils nach Sicherheitsanforderungen gemäß ASIL-B. Die Logik arbitriert die aus der Planung der Fahrmanöver erhaltenen Signale des ersten und zweiten Signalverarbeitungspfades und, falls beide Signale jeweils valide sind, wählt das Signal zum Ausführen des Fahrmanövers mit minimaler Geschwindigkeit nach Sicherheitsanforderungen gemäß ASIL-D aus.According to a further aspect, a first signal processing path includes determining the digital understanding of the scene, predicting the traffic scenes and planning the driving maneuvers in accordance with safety requirements in accordance with ASIL-B. A second signal processing path that is redundant with respect to the first signal processing path includes determining the digital understanding of the scene, predicting the traffic scenes and planning the driving maneuvers in accordance with safety requirements in accordance with ASIL-B. The logic arbitrates the signals of the first and second signal processing path obtained from the planning of the driving maneuver and, if both signals are valid, selects the signal for executing the driving maneuver at minimum speed according to safety requirements according to ASIL-D.

Durch die unabhängige Planung der Fahrmanöver in den beiden Signalverarbeitungspfaden werden unabhängige Trajektorien für die gleiche globale Mission berechnet. Dabei werden unabhängige Situationsbewertungen verwendet und jeder der Signalverarbeitungspfade verwendet unabhängige, nach einem Aspekt basierend auf diversitären Sensortechnologien, diversitären Algorithmen und/oder basierend auf unterschiedlichen maximalen Erfassungsbereichen, SEE-Inputs.By independently planning the driving maneuvers in the two signal processing paths, independent trajectories are calculated for the same global mission. In this case, independent situation assessments are used and each of the signal processing paths uses independent SEE inputs, based in one aspect on diverse sensor technologies, diverse algorithms and/or based on different maximum detection ranges.

Diese funktionale Sicherheitsarchitektur basiert auf dem Arbitrieren zwischen zwei unabhängig berechneten Fahrmanövern und Auswählen eines konservativeren Fahrmanövers, beispielsweise minimale Geschwindigkeit. Einer der beiden Signalverarbeitungspfade wird immer ein Objekt erkennen und verlangsamen. Daher ist die Auswahl des langsameren Pfades konservativ.This functional safety architecture is based on arbitrating between two independently calculated driving maneuvers and selecting a more conservative driving maneuver, e.g. minimum speed. One of the two signal processing paths will always detect an object and slow it down. Therefore, choosing the slower path is conservative.

In einer auf dem Arbitrieren basierenden Ausführung werden in dem ersten und/oder dem zweiten Signalverarbeitungspfad Notfall- und/oder Ausweichmanöver bestimmt. Die aus den Notfall- und/oder Ausweichmanöver erhaltenen Signale werden zusammen mit den aus der Planung der Fahrmanöver erhaltenen Signale arbitriert. Die Bestimmung der Notfall- und/oder Ausweichmanöver in dem ersten und dem zweiten Signalverarbeitungspfad hat den Vorteil, dass das Ego-Fahrzeug bei schweren Hardwarefehlern oder Kommunikationsverlust in einem der Signalverarbeitungspfade immer sicher angehalten werden kann.In an embodiment based on the arbitration, emergency and/or evasive maneuvers are determined in the first and/or the second signal processing path. The signals obtained from the emergency and/or evasive maneuvers are arbitrated together with the signals obtained from the planning of the driving maneuvers. The determination of the emergency and/or evasive maneuvers in the first and the second signal processing path has the advantage that the ego vehicle can always be safely stopped in one of the signal processing paths in the event of serious hardware errors or a loss of communication.

Nach einem weiteren Aspekt ist in dem ACT-Modul oder dem jeweiligen Steuergerät das Fahrmanöver für eine ausfallsichere Bremsung integriert umfassend maximale Bremskraft oder maximale Bremskraft zusammen mit Blockierung der Lenkung. Dies ist vorteilhaft bei Hardware- und/oder Kommunikationsfehlern, beispielsweise bei einem Verlust aller Trajektorien oder Fahrbefehle an ACT.According to a further aspect, the driving maneuver for fail-safe braking is integrated in the ACT module or the respective control unit, comprising maximum braking force or maximum braking force together with locking of the steering. This is advantageous in the event of hardware and/or communication errors, for example if all trajectories or travel commands to ACT are lost.

Im Umfang der Erfindung liegt auch die Fusion/Plausibilisierung von zwei unabhängigen SEE-Inputs.The scope of the invention also includes the fusion/plausibility check of two independent SEE inputs.

Die Erfindung wird in den folgenden Figuren beispielhaft erläutert. Es zeigen:

  • 1 ein Ausführungsbeispiel eines ASIL-D Signalverarbeitungspfades,
  • 2 ein Ausführungsbeispiel einer erfindungsgemäßen funktionalen Sicherheitsarchitektur umfassend einen QM nominalen Pfad und einen ASIL-D Sicherheitspfad,
  • 3 eine weitere Ebene des Ausführungsbeispiels aus 2,
  • 4 ein Ausführungsbeispiel einer erfindungsgemäßen funktionalen Sicherheitsarchitektur basierend auf dem Doer/Checker-Prinzip;
  • 5 ein weiteres Ausführungsbeispiel der erfindungsgemäßen funktionalen Sicherheitsarchitektur aus 4 umfassend eine Planung von Ausweichmanövern in dem ersten Signalverarbeitungspfad;
  • 6 ein weiteres Ausführungsbeispiel der erfindungsgemäßen funktionalen Sicherheitsarchitektur aus 4 umfassend eine Planung von Ausweichmanövern in dem zweiten Signalverarbeitungspfad;
  • 7 ein weiteres Ausführungsbeispiel der erfindungsgemäßen funktionalen Sicherheitsarchitektur aus 5 umfassend neben dem ersten THINK-Modul in dem ersten Signalverarbeitungspfad ein zweites THINK-Modul in dem zweiten Signalverarbeitungspfad;
  • 8 ein weiteres Ausführungsbeispiel der erfindungsgemäßen funktionalen Sicherheitsarchitektur aus 7 umfassend eine Überprüfung in dem ersten Signalverarbeitungspfad der aus den vorhergesagten Verkehrsszenen erhaltenen Signale des ersten Signalverarbeitungspfades gegen die aus der Planung der Fahrmanöver erhaltenen Signale des ersten Signalverarbeitungspfades und eine Überprüfung in dem zweiten Signalverarbeitungspfad der aus den vorhergesagten Verkehrsszenen erhaltenen Signale des zweiten Signalverarbeitungspfades gegen die aus der Planung der Fahrmanöver erhaltenen Signale des zweiten Signalverarbeitungspfades,
  • 9 ein Ausführungsbeispiel einer erfindungsgemäßen funktionalen Sicherheitsarchitektur basierend auf dem Arbitrieren und
  • 10 ein Ausführungsbeispiel einer erfindungsgemäßen funktionalen Sicherheitsarchitektur basierend auf einer Fusion/Plausibilisierung von zwei unabhängigen SEE-Inputs.
The invention is explained by way of example in the following figures. Show it:
  • 1 an embodiment of an ASIL-D signal processing path,
  • 2 an embodiment of a functional safety architecture according to the invention comprising a QM nominal path and an ASIL-D safety path,
  • 3 another level of the embodiment 2 ,
  • 4 an embodiment of a functional security architecture according to the invention based on the Doer / Checker principle;
  • 5 another exemplary embodiment of the functional safety architecture according to the invention 4 comprising a planning of evasive maneuvers in the first signal processing path;
  • 6 another exemplary embodiment of the functional safety architecture according to the invention 4 comprising a planning of evasive maneuvers in the second signal processing path;
  • 7 another exemplary embodiment of the functional safety architecture according to the invention 5 comprising, in addition to the first THINK module in the first signal processing path, a second THINK module in the second signal processing path;
  • 8th another exemplary embodiment of the functional safety architecture according to the invention 7 comprising a check in the first signal processing path of the signals obtained from the predicted traffic scenes of the first signal processing path against those from the planning of Signals of the first signal processing path obtained from driving maneuvers and a check in the second signal processing path of the signals of the second signal processing path obtained from the predicted traffic scenes against the signals of the second signal processing path obtained from the planning of the driving maneuvers,
  • 9 an embodiment of a functional security architecture according to the invention based on the arbitration and
  • 10 an exemplary embodiment of a functional safety architecture according to the invention based on a fusion/plausibility check of two independent SEE inputs.

In den Figuren bezeichnen gleiche Bezugszeichen gleiche oder funktionsähnliche Teile. In den jeweiligen Figuren werden übersichtshalber die für das jeweilige Verständnis relevanten Bezugsteile angegeben.In the figures, the same reference symbols denote parts that are the same or have a similar function. For the sake of clarity, the reference parts relevant for the respective understanding are indicated in the respective figures.

Der Signalverarbeitungspfad in 1 umfasst das Bestimmen eines digitalen Szenenverständnisses SEE, auch perception genannt. Dabei werden allgemein Daten von Umfelderfassungssensoren oder von einem Netzwerk von Umfelderfassungssensoren eingelesen. Die Umfelderfassungssensoren können Kamera, Radar, Lidar, Ultraschallsensoren, Akustiksensoren und/oder Geruchssensoren sein. Aus den Daten werden Merkmale zur Wahrnehmung des Umfeldes extrahiert basierend auf dynamischer und/oder statischer Objekterkennung, Objekttracking, und beispielsweise auf Bestimmung der Eigenbewegung des Ego-Fahrzeugs. Aus den extrahierten Merkmalen werden semantische Karten des Umfeldes umfassend Positionen und/oder Posen von Objekten, Objektlisten und Freiräume bestimmt und in digitale Signale gewandelt. Daraus resultiert das digitale Szenenverständnis. In 1 erfüllt die Bestimmung des digitalen Szenenverständnisses Sicherheitsanforderungen gemäß ASIL-D. Gemäß der erfindungsgemäßen Lösung erfüllt die Bestimmung des digitalen Szenenverständnisses Sicherheitsanforderungen gemäß ASIL-B.The signal processing path in 1 includes determining a digital scene understanding SEE, also called perception. In this case, data from surroundings detection sensors or from a network of surroundings detection sensors are generally read. The surroundings detection sensors can be cameras, radar, lidar, ultrasonic sensors, acoustic sensors and/or odor sensors. Features for perceiving the environment are extracted from the data based on dynamic and/or static object recognition, object tracking, and, for example, on determining the movement of the ego vehicle. From the extracted features, semantic maps of the environment including positions and/or poses of objects, object lists and free spaces are determined and converted into digital signals. This results in the digital understanding of the scene. In 1 meets the determination of digital scene understanding safety requirements according to ASIL-D. According to the solution according to the invention, the determination of the digital understanding of the scene satisfies safety requirements according to ASIL-B.

Ferner umfasst der Signalverarbeitungspfad in 1 das Bestimmen von Steuerungs- und/oder Regelungssignale THINK zum kollisionsfreien Ausführen der Fahrmanöver, auch driving function genannt. Dabei werden beispielsweise aus den Signalen aus den Ausgängen des Verarbeitungsschrittes SEE Objektverhalten vorhergesagt. Dies entspricht dem Verarbeitungsschritt Vorhersagen von Verkehrsszenen PREDICT. Das Vorhersagen von Objektverhalten umfasst phänomenologisches und physikalisches Objektverhalten. Basierend auf dem vorhergesagten Objektverhalten oder der daraus resultierenden Verkehrsszenen werden beispielsweise Trajektorien geplant mit fallback Trajektorien. In 1 erfüllt der Verarbeitungsschritt THINK Sicherheitsanforderungen gemäß ASIL-D.Furthermore, the signal processing path includes in 1 the determination of control and/or regulation signals THINK for collision-free execution of the driving maneuver, also called driving function. In this case, for example, object behavior is predicted from the signals from the outputs of the processing step SEE. This corresponds to the PREDICT traffic scene prediction processing step. Predicting object behavior includes phenomenological and physical object behavior. Based on the predicted object behavior or the resulting traffic scenes, trajectories are planned with fallback trajectories, for example. In 1 the processing step THINK fulfills safety requirements according to ASIL-D.

Des Weiteren umfasst der Signalverarbeitungspfad in 1 das Ausführen der Fahraktionen durch ein oder mehrere Steuergeräte ACT. Beispielsweise werden die Fahraktionen von Steuergeräten ACT für Längs- und/oder Querdynamik des Fahrzeuges ausgeführt. Nach einem Aspekt werden mehrere Steuergeräte oder alle Steuergeräte für die Längs- und/oder Querdynamik zentral von einer Software geregelt. Das Ausführen der Fahrmanöver durch das oder die Steuergeräte erfüllt Sicherheitsanforderungen gemäß ASIL-D.Furthermore, the signal processing path includes in 1 the execution of the driving actions by one or more control units ACT. For example, the driving actions are carried out by control units ACT for the longitudinal and/or lateral dynamics of the vehicle. According to one aspect, several control units or all control units for the longitudinal and/or lateral dynamics are controlled centrally by software. The execution of the driving maneuvers by the control unit(s) meets the safety requirements according to ASIL-D.

Die Erfindung schlägt funktionale Sicherheitsarchitekturen vor, um den ASIL-D Signalverarbeitungspfad in 1 zu dekompositionieren.The invention proposes functional safety architectures to implement the ASIL-D signal processing path in 1 to decompose.

Eine erste erfindungsgemäße funktionale Sicherheitsarchitektur zeigen 2 und 3. Ein erster Signalverarbeitungspfad S1, das ist der QM nominaler Pfad, wird durch einen zweiten Signalverarbeitungspfad S2, das ist der ASIL-D Sicherheitspfad SAFE, abgesichert. Wie in 3 gezeigt, wird der ASIL-D Sicherheitspfad SAFE in ein Sicherheitsmodul SAFETY SYS und eine Sicherheitshülle aufgeteilt. Das Sicherheitsmodul SAFETY SYS erfüllt Sicherheitsanforderungen gemäß ASIL-D. Die Sicherheitshülle umfasst den zweiten Signalverarbeitungspfad S2, der in einen ersten und einen zweiten Sub-Signalverarbeitungspfad S2a, S2b aufgeteilt wird. Jeder der zwei Sub-Signalverarbeitungspfade S2a, S2b umfasst wenigstens ein Bestimmen des digitalen Szenenverständnisses SEE1, SEE2, ein Vorhersagen der Verkehrsszenen PREDICT, PREDICT2 und eine Bewertung ASSESS, ASSESS2 der Vorhersagen hinsichtlich der Notfallmanöver jeweils nach Sicherheitsanforderungen gemäß ASIL-B.Show a first functional safety architecture according to the invention 2 and 3 . A first signal processing path S1, which is the QM nominal path, is protected by a second signal processing path S2, which is the ASIL-D safety path SAFE. As in 3 shown, the ASIL-D safety path SAFE is divided into a safety module SAFETY SYS and a safety envelope. The safety module SAFETY SYS meets safety requirements according to ASIL-D. The security envelope includes the second signal processing path S2, which is divided into a first and a second sub-signal processing path S2a, S2b. Each of the two sub-signal processing paths S2a, S2b includes at least a determination of the digital scene understanding SEE1, SEE2, a prediction of the traffic scenes PREDICT, PREDICT2 and an evaluation ASSESS, ASSESS2 of the predictions with regard to the emergency maneuvers according to safety requirements according to ASIL-B.

Eine zweite erfindungsgemäße funktionale Sicherheitsarchitektur zeigen 4 bis 8. Die zweite funktionale Sicherheitsarchitektur realisiert ein Doer/Checker-Prinzip.Show a second functional safety architecture according to the invention 4 until 8th . The second functional safety architecture implements a Doer/Checker principle.

4 zeigt eine erste Ausführungsform des Doer/Checker-Prinzips. Die in dem ersten Signalverarbeitungspfad geplanten Fahrmanöver, die auf einer ersten Bestimmung des digitalen Szenenverständnisses SEE basieren, werden in dem Verarbeitungsschritt CHECK mit vorhergesagten Verkehrsszenen PREDICT2 des zweiten Signalverarbeitungspfades, die auf einer zweiten Bestimmung des digitalen Szenenverständnisses SEE2 basieren, geprüft. Die SEE zugrunde liegenden Umfelderfassungssensoren können sich von den SEE2 zugrunde liegenden Umfelderfassungssensoren hinsichtlich Sensortechnologie, Auswertungsalgorithmen und/oder maximalen Erfassungsbereich, in dem die Umfelderfassungssensoren betrieben werden, unterscheiden. Die aus der Planung der Fahrmanöver PLAN erhaltenen Signale MAIN und die aus der Überprüfung CHECK erhaltenen Signale werden mittels einer Abstimmungs-Logik VOTE zusammengeführt. 4 shows a first embodiment of the Doer / Checker principle. The driving maneuvers planned in the first signal processing path, which are based on a first determination of the digital scene understanding SEE, are checked in the processing step CHECK with predicted traffic scenes PREDICT2 of the second signal processing path, which are based on a second determination of the digital scene understanding SEE2. The environment detection sensors on which SEE is based can differ from the environment detection sensors on which SEE2 is based sensors with regard to sensor technology, evaluation algorithms and/or maximum detection range in which the environment detection sensors are operated. The signals MAIN obtained from the planning of the driving maneuver PLAN and the signals obtained from the check CHECK are combined using a voting logic VOTE.

5 zeigt eine zweite Ausführungsform des Doer/Checker-Prinzips. Zusätzlich zu 4 wird in dem ersten Signalverarbeitungspfad S1 ein Signal EFM für ein Ausweichmanöver bestimmt. Das Signal EFM wird geht in die Überprüfung CHECK ein und wird an die Abstimmungs-Logik VOTE geleitet. Die Abstimmungs-Logik VOTE bestimmt die Steuerungs- und/oder Regelungssignal nach Sicherheitsanforderungen gemäß ASIL-D zum Ausführen der Fahrmanöver und der Ausweichmanöver und stellt diese Signale dem Steuergerät ACT bereit. Das Steuergerät ACT speichert die Signale für ein aktuell gültiges der Ausweichmanöver. 5 shows a second embodiment of the Doer / Checker principle. In addition to 4 a signal EFM for an evasive maneuver is determined in the first signal processing path S1. The signal EFM is included in the verification CHECK and is sent to the voting logic VOTE. The voting logic VOTE determines the control and/or regulation signals according to safety requirements according to ASIL-D for carrying out the driving maneuvers and the evasive maneuvers and makes these signals available to the control unit ACT. The ACT control unit stores the signals for a currently valid evasive maneuver.

6 zeigt eine dritte Ausführungsform des Doer/Checker-Prinzips. Im Unterschied zu 5 werden die Signale EFM für Ausweichmanöver in dem zweiten Signalverarbeitungspfad S2 bestimmt basierend auf den Vorhersagen PREDICT2 von Verkehrsszenen in dem zweiten Signalverarbeitungspfad S2. Zusätzlich zu der Überprüfung CHECK in dem ersten Signalverarbeitungspfad S2 umfasst der zweite Signalverarbeitungspfad S2 auch den Verarbeitungsschritt des Überprüfens CHECK, wobei in dem zweiten Signalverarbeitungspfad S2 die Signale EFM für die Ausweichmanöver gegen die in dem ersten Signalverarbeitungspfad S1 vorhergesagten Verkehrsszenen PREDICT überprüft werden. Die aus beiden Überprüfungen CHECK erhaltenen Signale werden mit dem aus der Planung der Fahrmanöver in dem ersten Signalverarbeitungspfad S1 erhaltenen Signalen MAIN und den in dem zweiten Signalverarbeitungspfad S2 erhaltenen Signalen EFM für Ausweichmanöver in der Abstimmungs-Logik VOTE zusammengeführt. 6 shows a third embodiment of the Doer/Checker principle. In contrast to 5 the signals EFM for evasive maneuvers in the second signal processing path S2 are determined based on the predictions PREDICT2 of traffic scenes in the second signal processing path S2. In addition to the check CHECK in the first signal processing path S2, the second signal processing path S2 also includes the processing step of checking CHECK, with the signals EFM for the evasive maneuvers being checked in the second signal processing path S2 against the traffic scenes PREDICT predicted in the first signal processing path S1. The signals obtained from the two checks CHECK are combined with the signals MAIN obtained from the planning of the driving maneuvers in the first signal processing path S1 and the signals EFM for evasive maneuvers obtained in the second signal processing path S2 in the voting logic VOTE.

7 zeigt eine vierte Ausführungsform des Doer/Checker-Prinzips. Im Unterschied zu 6 umfasst der zweite Signalverarbeitungspfad S2 eine eigene Planung PLAN der Fahrmanöver basierend auf dem SEE2 und PREDICT2 Input des zweiten Signalverarbeitungspfades S2. Aus der Planung PLAN des zweiten Signalverarbeitungspfades S2 werden die Signale EFM für Ausweichmanöver bestimmt. 7 shows a fourth embodiment of the doer/checker principle. In contrast to 6 the second signal processing path S2 includes its own planning PLAN of the driving maneuvers based on the SEE2 and PREDICT2 input of the second signal processing path S2. The signals EFM for evasive maneuvers are determined from the plan PLAN of the second signal processing path S2.

8 zeigt eine fünfte Ausführungsform des Doer/Checker-Prinzips. Im Unterschied zu 7 umfassen der erste Signalverarbeitungspfad S1 und der zweite Signalverarbeitungspfad S2 jeweils eine zusätzliche Überprüfung CHECK. In der zusätzlichen Überprüfung CHECK in dem ersten Signalverarbeitungspfad S1 werden die vorhergesagten Verkehrsszenen PREDICT gegen die geplanten Fahrmanöver PLAN überprüft. Das heißt, die in dem ersten Signalverarbeitungspfad S1 geplanten Fahrmanöver PLAN werden mit dem eigenen Umfeldmodell, das heißt mit der eigenen Umfeldwahrnehmung, SEE des ersten Signalverarbeitungspfades S1 überprüft. In der zusätzlichen Überprüfung CHECK in dem zweiten Signalverarbeitungspfad S2 werden die vorhergesagten Verkehrsszenen PREDICT2 gegen die geplanten Fahrmanöver PLAN überprüft. Das heißt, die in dem zweiten Signalverarbeitungspfad S2 geplanten Fahrmanöver PLAN werden mit dem eigenen Umfeldmodell, das heißt mit der eigenen Umfeldwahrnehmung, SEE2 des zweiten Signalverarbeitungspfades S2 überprüft. 8th shows a fifth embodiment of the Doer / Checker principle. In contrast to 7 the first signal processing path S1 and the second signal processing path S2 each include an additional check CHECK. In the additional check CHECK in the first signal processing path S1, the predicted traffic scenes PREDICT are checked against the planned driving maneuver PLAN. This means that the driving maneuvers PLAN planned in the first signal processing path S1 are checked with the vehicle's own environment model, ie with its own environment perception SEE of the first signal processing path S1. In the additional check CHECK in the second signal processing path S2, the predicted traffic scenes PREDICT2 are checked against the planned driving maneuver PLAN. This means that the driving maneuvers PLAN planned in the second signal processing path S2 are checked using the environment model, ie using the environment perception, SEE2 of the second signal processing path S2.

9 zeigt die erfindungsgemäße funktionale Sicherheitsarchitektur basierend auf dem Arbitrieren. Ein erster Signalverarbeitungspfad S1 umfasst das Bestimmen des digitalen Szenenverständnis SEE, das Vorhersagen der Verkehrsszenen PREDICT und die Planung der Fahrmanöver PLAN jeweils nach Sicherheitsanforderungen gemäß ASIL-B umfasst. Ein zu dem ersten Signalverarbeitungspfad S1 redundanter zweiter Signalverarbeitungspfad S2 umfasst das Bestimmen des digitalen Szenenverständnis SEE2, das Vorhersagen der Verkehrsszenen PREDICT2 und die Planung der Fahrmanöver PLAN jeweils nach Sicherheitsanforderungen gemäß A-SIL-B umfasst. Die Logik arbitriert in dem Verarbeitungsschritt ARBITER die aus der Planung der Fahrmanöver PLAN erhaltenen Signale MAIN des ersten und zweiten Signalverarbeitungspfades S1, S2. Falls beide Signale jeweils valide sind, wird das Signal zum Ausführen des Fahrmanövers mit minimaler Geschwindigkeit nach Sicherheitsanforderungen gemäß ASIL-D ausgewählt. 9 shows the functional safety architecture according to the invention based on arbitration. A first signal processing path S1 includes the determination of the digital understanding of the scene SEE, which includes the prediction of the traffic scenes PREDICT and the planning of the driving maneuvers PLAN, each based on safety requirements according to ASIL-B. A second signal processing path S2 that is redundant to the first signal processing path S1 includes the determination of the digital understanding of the scene SEE2, the prediction of the traffic scenes PREDICT2 and the planning of the driving maneuvers PLAN according to safety requirements according to A-SIL-B. In the processing step ARBITER, the logic arbitrates the signals MAIN of the first and second signal processing paths S1, S2 obtained from the planning of the driving maneuver PLAN. If both signals are valid, the signal for executing the driving maneuver at minimum speed is selected according to safety requirements according to ASIL-D.

10 zeigt die erfindungsgemäß funktionale Sicherheitsarchitektur basierend auf dem Verarbeitungsschritt FUSION, in dem zwei unabhängigen SEE-Inputs, nämlich SEE und SEE2, fusioniert und/oder plausibilisiert werden. Aufbauend auf den Verarbeitungsschritt FUSION folgt der Verarbeitungsschritt THINK. Dabei erfüllen SEE und SEE2 jeweils Sicherheitsanforderungen gemäß ASIL-B und FUSION und THINK jeweils Sicherheitsanforderungen gemäß ASIL-D. 10 shows the functional safety architecture according to the invention based on the FUSION processing step, in which two independent SEE inputs, namely SEE and SEE2, are fused and/or checked for plausibility. Based on the FUSION processing step, the THINK processing step follows. SEE and SEE2 each meet safety requirements according to ASIL-B and FUSION and THINK each meet safety requirements according to ASIL-D.

BezugszeichenlisteReference List

S1S1
Signalverarbeitungspfadsignal processing path
S2S2
Signalverarbeitungspfadsignal processing path
S2aS2a
Sub-SignalverarbeitungspfadSub signal processing path
S2bS2b
Sub-SignalverarbeitungspfadSub signal processing path
SEELAKE
Verfahrensschritt Bestimmen eines digitalen SzenenverständnissesMethod step determining a digital scene understanding
SEE1LAKE1
Verfahrensschritt Bestimmen eines digitalen SzenenverständnissesMethod step determining a digital scene understanding
SEE2LAKE2
Verfahrensschritt Bestimmen eines digitalen SzenenverständnissesMethod step determining a digital scene understanding
PREDICTPREDICT
Verfahrensschritt Vorhersagen von VerkehrsszenenMethod step prediction of traffic scenes
PREDICT2PREDICT2
Verfahrensschritt Vorhersagen von VerkehrsszenenMethod step prediction of traffic scenes
PLANPLAN
Verfahrensschritt Planung von FahrmanövernProcess step planning of driving maneuvers
THINKTHINK
Verfahrensschritt Bestimmen von Steuerungs- und/oder Regelungssig-Method step determination of control and/or regulation signals
nale zumnale to
kollisionsfreien Ausführen der Fahrmanövercollision-free execution of driving manoeuvres
ACTACT
Steuergerät, das die Fahrmanöver ausführtControl unit that executes the driving manoeuvres
SAFESAFE
Sicherheitspfadsecurity path
SAFETY SYSSAFETY SYS
Sicherheitsmodulsecurity module
ASSESSASSESS
Verfahrensschritt Bewertung der SignaleProcess step Evaluation of the signals
ASSESS2ASSESS2
Verfahrensschritt Bewertung der SignaleProcess step Evaluation of the signals
CHECKCHECK
Verfahrensschritt Überprüfung der SignaleMethod step Checking the signals
MAINMAIN
aus der Planung der Fahrmanöver erhaltene Signalesignals obtained from the planning of driving manoeuvres
EFMEFM
aus der Planung der Ausweichmanöver erhaltene Signalesignals obtained from the planning of evasive maneuvers
VOTEVOTE
Abstimmungs-Logikvoting logic
ARBITERARBITER
Verfahrensschritt Arbitrieren der SignaleProcess step arbitration of the signals
ASIL QMASIL QM
Sicherheitsanforderungsecurity requirement
ASIL-BASIL B
Sicherheitsanforderungsecurity requirement
ASIL-DASIL-D
Sicherheitsanforderungsecurity requirement
FUSIONFUSION
Verfahrensschritt Fusion/PlausibilisierungProcess step fusion/plausibility check

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents cited by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent Literature Cited

  • EP 2622870 B1 [0002]EP 2622870 B1 [0002]

Claims (10)

Verfahren zur Überwachung einer Signalverarbeitung für ein automatisiertes Fahrsystems, wobei • die Signalverarbeitung wenigstens eine Logik umfasst, die aus Signalen wenigstens eines Umfelderfassungssensors des Fahrsystems ein digitales Szenenverständnis bestimmt (SEE), basierend auf dem Szenenverständnis Verkehrsszenen vorhersagt (PREDICT), Fahrmanöver plant (PLAN), Steuerungs- und/oder Regelungssignale zum kollisionsfreien Ausführen der Fahrmanöver bestimmt (THINK) und die Steuerungs- und/oder Regelungssignale wenigstens einem Steuergerät (ACT), das die Fahrmanöver ausführt, bereitstellt; • wenigstens ein Teil der Datenverarbeitung in wenigstens zwei Signalverarbeitungspfaden (S1, S2) der Logik gemäß ASIL-Sicherheitsanforderungen überwacht wird und die Signalverarbeitungspfade (S1, S2) jeweils Sicherheitsanforderungen kleiner oder gleich ASIL-D erfüllen; • durch Auswahl und/oder Kombination (VOTE, ARBITER) von Signalen aus den Signalverarbeitungspfaden (S1, S2) für das Ausführen der Fahrmanöver (ACT) eine Sicherheitsanforderung gemäß ASIL-D erfüllt wird.A method for monitoring signal processing for an automated driving system, wherein • the signal processing includes at least one logic that determines a digital scene understanding (SEE) from signals from at least one environment detection sensor of the driving system, predicts traffic scenes based on the scene understanding (PREDICT), plans driving maneuvers (PLAN), control and/or regulation signals for collision-free execution of the determines driving maneuvers (THINK) and provides the control and/or regulation signals to at least one control unit (ACT) which executes the driving maneuvers; • at least part of the data processing in at least two signal processing paths (S1, S2) of the logic is monitored according to ASIL safety requirements and the signal processing paths (S1, S2) each meet safety requirements less than or equal to ASIL-D; • A safety requirement according to ASIL-D is met by selecting and/or combining (VOTE, ARBITER) signals from the signal processing paths (S1, S2) for executing the driving maneuver (ACT). Verfahren nach Anspruch 1, wobei • ein erster Signalverarbeitungspfad (S1) wenigsten das Bestimmen des digitalen Szenenverständnis (SEE) und die Planung der Fahrmanöver (PLAN) jeweils nach Sicherheitsanforderungen gemäß QM umfasst; • in einem zweiten Signalverarbeitungspfad (S2) das digitale Szenenverständnis (SEE) unabhängig von dem ersten Signalverarbeitungspfad (S1) bestimmt wird, basierend auf dem unabhängig bestimmten digitalen Szenenverständnis (SEE) Gefahrenereignisse überwacht werden und basierend auf den Gefahrenereignissen Notfallmanöver umfassend Notfallhaltemanöver zur Kollisionsvermeidung und/oder zur Vermeidung von Spurwechseln und/oder Notfallmanöver für einen Spurwechsel eingeleitet werden; • der zweite Signalverarbeitungspfad (S2) zwei redundante Sub-Signalverarbeitungspfade (S2a, S2b) umfasst und jeder der zwei Sub-Signalverarbeitungspfade (S2a, S2b) wenigstens ein Bestimmen des digitalen Szenenverständnisses (SEE1, SEE2), ein Vorhersagen der Verkehrsszenen (PREDICT, PREDICT2) und eine Bewertung (ASSESS, ASSESS2) der Vorhersagen hinsichtlich der Notfallmanöver jeweils nach Sicherheitsanforderungen gemäß ASIL-B umfasst; • die aus dem ersten Signalverarbeitungspfad (S1) und den aus den zwei Sub-Signalverarbeitungspfaden (S2a, S2b) erhaltenen Signale kombiniert werden und die Fahrmanöver basierend auf der Signalkombination nach Sicherheitsanforderungen gemäß ASIL-D ausgeführt werden.procedure after claim 1 , wherein • a first signal processing path (S1) comprises at least the determination of the digital understanding of the scene (SEE) and the planning of the driving maneuvers (PLAN) in accordance with safety requirements in accordance with QM; • in a second signal processing path (S2) the digital scene understanding (SEE) is determined independently of the first signal processing path (S1), based on the independently determined digital scene understanding (SEE) hazard events are monitored and based on the hazard events emergency maneuvers including emergency stopping maneuvers to avoid collisions and/ or initiated to avoid lane changes and/or emergency lane change maneuvers; • the second signal processing path (S2) comprises two redundant sub-signal processing paths (S2a, S2b) and each of the two sub-signal processing paths (S2a, S2b) at least one determination of the digital scene understanding (SEE1, SEE2), a prediction of the traffic scenes (PREDICT, PREDICT2 ) and an assessment (ASSESS, ASSESS2) of the predictions with regard to the emergency maneuvers according to safety requirements according to ASIL-B; • the signals obtained from the first signal processing path (S1) and from the two sub-signal processing paths (S2a, S2b) are combined and the driving maneuvers are carried out based on the signal combination according to safety requirements in accordance with ASIL-D. Verfahren nach Anspruch 1, wobei • ein erster Signalverarbeitungspfad (S1) wenigsten das Bestimmen des digitalen Szenenverständnis (SEE), das Vorhersagen der Verkehrsszenen (PREDICT) und die Planung der Fahrmanöver (PLAN) jeweils nach Sicherheitsanforderungen gemäß ASIL-B umfasst; • ein zweiter Signalverarbeitungspfad (S2) das digitale Szenenverständnis (SEE) und die Verkehrsszenen redundant bestimmt und vorhersagt (PREDICT2) jeweils nach Sicherheitsanforderungen gemäß ASIL-B; • in dem ersten Signalverarbeitungspfad (S1) die aus der Planung der Fahrmanöver (PLAN) erhaltenen Signale (MAIN) gegen die aus den vorhergesagten Verkehrsszenen (PREDICT) erhaltenen Signale des zweiten Signalverarbeitungspfades (S2) hinsichtlich Verletzung von Sicherheitszielen überprüft (CHECK) werden; • die aus der Planung der Fahrmanöver (PLAN) erhaltenen Signale (MAIN) und die aus der Überprüfung (CHECK) erhaltenen Signale des ersten Signalverarbeitungspfades (S1) mittels einer Abstimmungs-Logik (VOTE) zusammengeführt werden; • die Abstimmungs-Logik (VOTE) die Steuerungs- und/oder Regelungssignal nach Sicherheitsanforderungen gemäß ASIL-D zum Ausführen der Fahrmanöver bestimmt und dem Steuergerät (ACT) bereitstellt.procedure after claim 1 , wherein • a first signal processing path (S1) includes at least the determination of the digital scene understanding (SEE), the prediction of the traffic scenes (PREDICT) and the planning of the driving maneuvers (PLAN), each according to safety requirements according to ASIL-B; • a second signal processing path (S2) redundantly determines and predicts the digital scene understanding (SEE) and the traffic scenes (PREDICT2) according to safety requirements according to ASIL-B; • in the first signal processing path (S1), the signals (MAIN) obtained from the planning of the driving maneuver (PLAN) are checked (CHECK) against the signals obtained from the second signal processing path (S2) from the predicted traffic scenes (PREDICT) with regard to infringement of safety objectives; • the signals (MAIN) obtained from the planning of the driving maneuver (PLAN) and the signals of the first signal processing path (S1) obtained from the check (CHECK) are combined by means of a voting logic (VOTE); • The voting logic (VOTE) determines the control and/or regulation signal according to safety requirements according to ASIL-D for executing the driving maneuvers and makes them available to the control unit (ACT). Verfahren nach Anspruch 3, wobei • in dem ersten Signalverarbeitungspfad (S1) Ausweichmanöver geplant werden; • die aus der Planung der Ausweichmanöver erhaltenen Signale (EFM) in dem ersten Signalverarbeitungspfad (S1) überprüft (CHECK) werden; • die aus der Planung der Fahrmanöver (PLAN) und der Ausweichmanöver erhaltenen Signale (MAIN, EFM) und die aus der Überprüfung (CHECK) erhaltenen Signale mittels der Abstimmungs-Logik (VOTE) zusammengeführt werden; • die Abstimmungs-Logik (VOTE) die Steuerungs- und/oder Regelungssignal nach Sicherheitsanforderungen gemäß ASIL-D zum Ausführen der Fahrmanöver und der Ausweichmanöver bestimmt und dem Steuergerät (ACT) bereitstellt; • das Steuergerät (ACT) die Signale für ein aktuell gültiges der Ausweichmanöver speichert.procedure after claim 3 , wherein • evasive maneuvers are planned in the first signal processing path (S1); • the signals (EFM) obtained from the planning of the avoidance maneuver are checked (CHECK) in the first signal processing path (S1); • the signals (MAIN, EFM) obtained from the planning of the driving maneuvers (PLAN) and the avoidance maneuvers and the signals obtained from the verification (CHECK) are combined by means of the voting logic (VOTE); • the voting logic (VOTE) determines the control and/or regulation signal according to safety requirements according to ASIL-D for executing the driving maneuvers and the evasive maneuvers and makes them available to the control unit (ACT); • the control unit (ACT) stores the signals for a currently valid evasive maneuver. Verfahren nach Anspruch 3, wobei • in dem zweiten Signalverarbeitungspfad (S2) Ausweichmanöver basierend auf den vorhergesagten Verkehrsszenen (PREDICT2) bestimmt werden; • in dem zweiten Signalverarbeitungspfad (S2) die aus der Bestimmung der Ausweichmanöver erhaltenen Signale (EFM) gegen die aus den vorhergesagten Verkehrsszenen (PREDICT) erhaltenen Signale des ersten Signalverarbeitungspfades (S1) hinsichtlich Verletzung von Sicherheitszielen überprüft (CHECK) werden; • die aus der Bestimmung der Ausweichmanöver erhaltenen Signale (EFM) und die aus der Überprüfung (CHECK) erhaltenen Signale des zweiten Signalverarbeitungspfades (S2) mit den aus der Planung der Fahrmanöver (PLAN) erhaltenen Signalen (MAIN) und den aus der Überprüfung (CHECK)) erhaltenen Signalen des ersten Signalverarbeitungspfades (S1) mittels der Abstimmungs-Logik (VOTE) zusammengeführt werden; • die Abstimmungs-Logik (VOTE) die Steuerungs- und/oder Regelungssignal nach Sicherheitsanforderungen gemäß ASIL-D zum Ausführen der Fahrmanöver und der Ausweichmanöver bestimmt und dem Steuergerät (ACT) bereitstellt; • das Steuergerät (ACT) die Signale für ein aktuell gültiges der Ausweichmanöver speichert.procedure after claim 3 , wherein • in the second signal processing path (S2) evasive maneuvers are determined based on the predicted traffic scenes (PREDICT2); • in the second signal processing path (S2), the signals (EFM) obtained from the determination of the evasive maneuver against the signals obtained from the predicted traffic scenes (PREDICT). of the first signal processing path (S1) are checked (CHECK) with regard to breaches of security objectives; • the signals (EFM) obtained from the determination of the avoidance maneuver and the signals obtained from the check (CHECK) of the second signal processing path (S2) with the signals (MAIN) obtained from the planning of the driving maneuver (PLAN) and the signals obtained from the check (CHECK )) received signals of the first signal processing path (S1) are combined by means of the voting logic (VOTE); • the voting logic (VOTE) determines the control and/or regulation signal according to safety requirements according to ASIL-D for executing the driving maneuvers and the evasive maneuvers and makes them available to the control unit (ACT); • the control unit (ACT) stores the signals for a currently valid evasive maneuver. Verfahren nach Anspruch 4, wobei • der zweite Signalverarbeitungspfad (S2) eine redundante Planung der Fahrmanöver (PLAN) nach Sicherheitsanforderungen gemäß ASIL-B umfasst; • in dem zweiten Signalverarbeitungspfad (S2) Ausweichmanöver redundant geplant werden; • in dem zweiten Signalverarbeitungspfad (S2) die aus der Planung der Fahrmanöver und der Ausweichmanöver (PLAN) erhaltenen Signale (MAIN, EFM) gegen die aus den vorhergesagten Verkehrsszenen (PREDICT2) erhaltenen Signale des ersten Signalverarbeitungspfades (S1) hinsichtlich Verletzung von Sicherheitszielen redundant überprüft (CHECK) werden; • die o in dem ersten Signalverarbeitungspfad (S1) aus der Planung der Fahrmanöver und der Ausweichmanöver (PLAN) erhaltenen Signale (MAN, EFM) und die aus der jeweiligen Überprüfung (CHECK)) erhaltenen Signale und die o in dem zweiten Signalverarbeitungspfad (S2) aus der Planung der Fahrmanöver und der Ausweichmanöver (PLAN) erhaltenen Signale (MAIN, EFM)) und die aus der jeweiligen Überprüfung (CHECK)) erhaltenen Signale mittels der Abstimmungs-Logik (VOTE) zusammengeführt werden.procedure after claim 4 , wherein • the second signal processing path (S2) includes a redundant planning of the driving maneuvers (PLAN) according to safety requirements according to ASIL-B; • evasive maneuvers are planned redundantly in the second signal processing path (S2); • in the second signal processing path (S2), the signals (MAIN, EFM) obtained from the planning of the driving maneuvers and the evasive maneuvers (PLAN) are checked against the signals of the first signal processing path (S1) obtained from the predicted traffic scenes (PREDICT2) with regard to violation of safety goals (CHECK) become; • the signals (MAN, EFM) received in the first signal processing path (S1) from the planning of the driving maneuver and the avoidance maneuver (PLAN) and the signals received from the respective check (CHECK)) and the o in the second signal processing path (S2) signals (MAIN, EFM)) obtained from the planning of the driving maneuvers and the evasive maneuvers (PLAN) and the signals obtained from the respective check (CHECK)) are combined by means of the voting logic (VOTE). Verfahren nach Anspruch 6, wobei • in dem ersten Signalverarbeitungspfad (S1) die aus den vorhergesagten Verkehrsszenen (PREDICT) erhaltenen Signale des ersten Signalverarbeitungspfades (S1) gegen die aus der Planung der Fahrmanöver (PLAN) erhaltenen Signale (MAIN) des ersten Signalverarbeitungspfades (S1) nach Sicherheitsanforderungen gemäß ASIL-B hinsichtlich Verletzung von Sicherheitszielen überprüft (CHECK) werden; • in dem zweiten Signalverarbeitungspfad (S2) die aus den vorhergesagten Verkehrsszenen (PREDICT2) erhaltenen Signale des zweiten Signalverarbeitungspfades (S2) gegen die aus der Planung der Fahrmanöver (PLAN) erhaltenen Signale (MAIN) des zweiten Signalverarbeitungspfades (S2) nach Sicherheitsanforderungen gemäß ASIL-B hinsichtlich Verletzung von Sicherheitszielen überprüft (CHECK) werden; • die aus der voran genannten Überprüfung (CHECK) in dem ersten Signalverarbeitungspfad (S1) und die aus der voran genannten Überprüfung (CHECK) in dem zweiten Signalverarbeitungspfad (S2) erhaltenen Signale mittels der Abstimmungs-Logik (VOTE) zusammengeführt werden.procedure after claim 6 , where • in the first signal processing path (S1) the signals of the first signal processing path (S1) obtained from the predicted traffic scenes (PREDICT) against the signals (MAIN) of the first signal processing path (S1) obtained from the planning of the driving maneuver (PLAN) according to safety requirements ASIL-B are checked (CHECK) with regard to violation of safety goals; • In the second signal processing path (S2), the signals of the second signal processing path (S2) obtained from the predicted traffic scenes (PREDICT2) against the signals (MAIN) of the second signal processing path (S2) obtained from the planning of the driving maneuver (PLAN) according to safety requirements according to ASIL- B are checked for violations of security goals (CHECK); • the signals obtained from the aforementioned verification (CHECK) in the first signal processing path (S1) and the signals obtained from the aforementioned verification (CHECK) in the second signal processing path (S2) are combined by means of the voting logic (VOTE). Verfahren nach Anspruch 1, wobei • ein erster Signalverarbeitungspfad (S1) das Bestimmen des digitalen Szenenverständnis (SEE), das Vorhersagen der Verkehrsszenen (PREDICT) und die Planung der Fahrmanöver (PLAN) jeweils nach Sicherheitsanforderungen gemäß ASIL-B umfasst; • ein zu dem ersten Signalverarbeitungspfad (S1) redundanter zweiter Signalverarbeitungspfad (S2) das Bestimmen des digitalen Szenenverständnis (SEE2), das Vorhersagen der Verkehrsszenen (PREDICT2) und die Planung der Fahrmanöver (PLAN) jeweils nach Sicherheitsanforderungen gemäß A-SIL-B umfasst; • die Logik die aus der Planung der Fahrmanöver (PLAN) erhaltenen Signale (MAIN) des ersten und zweiten Signalverarbeitungspfades (S1, S2) arbitriert (ARBITER) und, falls beide Signale jeweils valide sind, das Signal zum Ausführen des Fahrmanövers mit minimaler Geschwindigkeit nach Sicherheitsanforderungen gemäß ASIL-D auswählt.procedure after claim 1 , wherein • a first signal processing path (S1) includes the determination of the digital scene understanding (SEE), the prediction of the traffic scenes (PREDICT) and the planning of the driving maneuvers (PLAN), each according to safety requirements according to ASIL-B; • a second signal processing path (S2) that is redundant to the first signal processing path (S1) includes determining the digital scene understanding (SEE2), predicting the traffic scenes (PREDICT2) and planning the driving maneuvers (PLAN), each based on safety requirements according to A-SIL-B; • the logic arbitrates (ARBITER) the signals (MAIN) of the first and second signal processing paths (S1, S2) obtained from the planning of the driving maneuver (PLAN) and, if both signals are valid, the signal for executing the driving maneuver at minimum speed Selects safety requirements according to ASIL-D. Verfahren nach Anspruch 8, wobei in dem ersten und/oder dem zweiten Signalverarbeitungspfad (S1, S2) Notfall- und/oder Ausweichmanöver bestimmt werden und die aus den Notfall- und/oder Ausweichmanöver erhaltenen Signale (EFM) zusammen mit den aus der Planung der Fahrmanöver (PLAN) erhaltenen Signale (MAIN) arbitriert (ARBITER) werden.procedure after claim 8 , wherein emergency and/or evasive maneuvers are determined in the first and/or the second signal processing path (S1, S2) and the signals (EFM) obtained from the emergency and/or evasive maneuvers together with the signals from the planning of the driving maneuvers (PLAN) received signals (MAIN) are arbitrated (ARBITER). Steuergerät (ACT) für ein automatisiertes Fahrsystems umfassend eine Logik für Signalverarbeitung, die aus Signalen wenigstens eines Umfelderfassungssensors des Fahrsystems ein digitales Szenenverständnis bestimmt (SEE), basierend auf dem Szenenverständnis Verkehrsszenen vorhersagt (PREDICT), Fahrmanöver plant (PLAN), Steuerungs- und/oder Regelungssignale zum kollisionsfreien Ausführen der Fahrmanöver bestimmt (THINK), die Steuerungs- und/oder Regelungssignale dem Steuergerät (ACT) bereitstellt und das Steuergerät (ACT) die Fahrmanöver ausführt, wobei die Signalverarbeitung gemäß eines Verfahrens nach einem der voran gehenden Ansprüche überwacht wird.Control unit (ACT) for an automated driving system comprising logic for signal processing, which determines a digital scene understanding (SEE) from signals from at least one environment detection sensor of the driving system, predicts traffic scenes based on the scene understanding (PREDICT), plans driving maneuvers (PLAN), control and/or or control signals for collision-free execution of the driving maneuver determined (THINK), the control and / or regulation signals to the control unit (ACT) provides and the control unit (ACT) performs the driving maneuver, the signal processing according to a method rens is monitored according to one of the preceding claims.
DE102021213077.1A 2021-11-22 2021-11-22 Method for monitoring signal processing for an automated driving system and control unit for an automated driving system Pending DE102021213077A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021213077.1A DE102021213077A1 (en) 2021-11-22 2021-11-22 Method for monitoring signal processing for an automated driving system and control unit for an automated driving system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021213077.1A DE102021213077A1 (en) 2021-11-22 2021-11-22 Method for monitoring signal processing for an automated driving system and control unit for an automated driving system

Publications (1)

Publication Number Publication Date
DE102021213077A1 true DE102021213077A1 (en) 2023-05-25

Family

ID=86227524

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021213077.1A Pending DE102021213077A1 (en) 2021-11-22 2021-11-22 Method for monitoring signal processing for an automated driving system and control unit for an automated driving system

Country Status (1)

Country Link
DE (1) DE102021213077A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005005720A1 (en) 2005-02-09 2006-08-17 Robert Bosch Gmbh Driver assistance system e.g. electronic parking assistance, for motor vehicle, has comparators consistently checking results of sensors and section modules of processor module before transmission of results to successive modules
DE102014014858A1 (en) 2014-10-06 2016-04-07 Audi Ag Control device for a motor vehicle, motor vehicle and method for safely performing a function
EP2622870B1 (en) 2010-09-28 2018-01-17 Robert Bosch GmbH Method and arrangement for monitoring at least one battery, battery having such an arrangement, and motor vehicle having a corresponding battery
DE102017206123A1 (en) 2017-04-10 2018-10-11 Robert Bosch Gmbh Method and device for merging data from various sensors of a vehicle as part of an object recognition
DE102017212560A1 (en) 2017-07-21 2019-03-21 Robert Bosch Gmbh Method for fail-safe performance of a safety-related function

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005005720A1 (en) 2005-02-09 2006-08-17 Robert Bosch Gmbh Driver assistance system e.g. electronic parking assistance, for motor vehicle, has comparators consistently checking results of sensors and section modules of processor module before transmission of results to successive modules
EP2622870B1 (en) 2010-09-28 2018-01-17 Robert Bosch GmbH Method and arrangement for monitoring at least one battery, battery having such an arrangement, and motor vehicle having a corresponding battery
DE102014014858A1 (en) 2014-10-06 2016-04-07 Audi Ag Control device for a motor vehicle, motor vehicle and method for safely performing a function
DE102017206123A1 (en) 2017-04-10 2018-10-11 Robert Bosch Gmbh Method and device for merging data from various sensors of a vehicle as part of an object recognition
DE102017212560A1 (en) 2017-07-21 2019-03-21 Robert Bosch Gmbh Method for fail-safe performance of a safety-related function

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DIETMAYER, Klaus; MAURER, Markus [u.a.]: Prädiktion von maschineller Wahrnehmungsleistung beim automatisierten Fahren. Berlin, Heidelberg : Springer Vieweg, 2015. - ISBN 978-3-662-45854-9 (E) ; 978-3-662-45853-2 (P). DOI: 10.1007/978-3-662-45854-9_20. URL: https://link.springer.com/content/pdf/10.1007%2F978-3-662-45854-9.pdf [abgerufen am 2021-04-12].
Norm ISO 26262-1 2018-12-00. Road vehicles - Functional safety - Part 1: Vocabulary. S. 1-43.

Similar Documents

Publication Publication Date Title
EP3285163B1 (en) Fault-tolerant method and device for controlling an autonomous technical plant by means of diverse trajector planning
DE102022112708A1 (en) DRIVER AND ENVIRONMENT MONITORING TO PREDICT HUMAN DRIVING MANEUVERS AND REDUCE HUMAN DRIVING ERRORS
DE102015001971A1 (en) Method and monitoring device for monitoring driver assistance systems
DE102012111991A1 (en) Method for a driver assistance application
EP3287902B1 (en) Fault-tolerant method and device of controlling an autonomous technical plant on the basis of a consolidated environmental model
DE102015209137A1 (en) Method and system for controlling a driving function of a vehicle
DE112019003458T5 (en) In-vehicle electronic control system
EP3899682B1 (en) Monitoring of neural-network-based driving functions
DE102011108292A1 (en) Method for operating driver assistance device of vehicle, involves determining scenario-dependent sensor variances or sensor variances depending on driver assistance device in context of error propagation determination
DE102020209680B3 (en) Signal processing path, device for environment recognition and method for validating a driving system that can be operated automatically
DE102017214531A1 (en) Method and device for operating a motor vehicle in an automated driving operation and motor vehicle
DE102019214461A1 (en) Method for remote control of a motor vehicle
DE102019214482A1 (en) Method for the safe, at least partially automated, driving of a motor vehicle
DE102020103513A1 (en) LOGIC SYSTEM FOR SENSE PERCEPTION DURING AUTONOMOUS DRIVING
DE102021213077A1 (en) Method for monitoring signal processing for an automated driving system and control unit for an automated driving system
DE102019214413A1 (en) Method for at least partially automated driving of a motor vehicle
DE102017217986A1 (en) METHOD AND DEVICE FOR PREDICTING POTENTIAL COLLISIONS, DRIVER ASSISTANCE SYSTEM AND VEHICLE
DE102020127051A1 (en) Method for determining safety-critical output values using a data analysis device for a technical entity
WO2021018815A1 (en) Method and device for locating a vehicle in a surrounding area
DE102022205084B3 (en) Method, computer program and device for perceiving the environment in the vehicle and corresponding vehicle
DE102020207990B4 (en) Method for operating a driver assistance system and driver assistance system
DE10358494A1 (en) Vehicle driver control assistance program, to correct dangerous maneuvers, prepares redundance strategy data from given strategy data for spectral analysis
DE102019210050B4 (en) Method for increasing safety in traffic, motor vehicle and computer program product
DE102021206297A1 (en) Method and system for operating an at least partially automated vehicle
EP4066072A1 (en) Module-prioritization method, module-prioritization module, motor vehicle

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed