-
Die vorliegende Erfindung betrifft eine Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs. Die vorliegende Erfindung betrifft weiterhin ein System zum Steuern eines autonomen Fahrzeugs, ein Verfahren zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs sowie ein Computerprogrammprodukt.
-
Moderne Fahrzeuge (Autos, Lastwagen, Motorräder etc.) verfügen über eine Vielzahl von Sensoren (Radar, Lidar, Kamera, Ultraschall etc.), die einem Fahrzeugführer oder einem autonomen Steuersystem des Fahrzeugs Informationen zur Verfügung stellen. Basierend auf diesen Informationen kann eine Steuerung einzelner Funktionen des Fahrzeugs oder auch ein vollständig autonomer Betrieb realisiert werden.
-
Die SAE (Society of Automotive Engineers)-Klassifizierung des autonomen Fahrens umfasst sechs Stufen von Fahrerassistenzsystemen (englisch ADAS, Advanced Driver Assistance System), in die Fahrzeuge bzw. Assistenzsysteme basierend auf ihrem Autonomiegrad eingruppiert werden. In den Stufen 0 bis 2 führt der Fahrer zumindest einen Teil oder auch alle Fahroperationen durch und überwacht die Fahrzeugumgebung. In den Stufen 3 bis 5 übernimmt das Fahrerassistenzsystem bereits einen wesentlichen Teil des Fahrens und der Überwachung der Fahrzeugumgebung. Ab der Stufe 4 wird von Hochautomatisierung gesprochen. Fahrmodus-spezifisch werden alle Aspekte der dynamischen Fahraufgabe durch ein automatisiertes Fahrsystem ohne die Erwartung, dass der Fahrer auf Anforderung zum Eingreifen reagiert, übernommen. Ohne menschliche Reaktion steuert das Fahrzeug weiterhin automatisiert.
-
Um autonome Fahrzeuge bzw. Assistenzsysteme höherer Stufen betreiben zu können, werden zumeist sogenannte Missionen erstellt. Beispielsweise können in einer Mission für ein Personenbeförderungsfahrzeug eine Route und entsprechende Haltestellen definiert werden.
-
In diesem Zusammenhang wird beispielsweise in
WO 2013/140401 A2 ein Verfahren und ein System zur Planung einer autonomen Mission offenbart. Eine generische Missionsschablone wird empfangen, die aus einer Vielzahl von Missions-Objekten konstruiert wird und logische Verbindungen zwischen diesen definiert. Jedes Missions-Objekt repräsentiert einen entsprechenden Typ eines Missionselements. Jedes Missions-Objekt ist mit einem entsprechenden Missionselement in der realen Welt verbunden, wodurch ein spezifischer Missionsplan erzeugt wird.
-
Die Erstellung einer Mission ist dabei ein komplexer Prozess mit verschiedenen Schritten der Missionserstellung. Üblicherweise sind dabei verschiedene standardisierte Schritte spezifiziert, die jeweils aufeinander aufbauen. Es werden also jeweils Daten eines Schritts in einem nachfolgenden Schritt verarbeitet. Relevant für einen sicheren und auch regelkonformen Einsatz eines autonomen Fahrzeugs ist dabei insbesondere die Korrektheit der Daten bzw. die vollständige und korrekte Durchführung aller Schritte. Es ist essentiell, dass die Schritte der Missionserstellung technisch korrekt und vollständig durchgeführt werden und dass etwaige Veränderungen an den jeweils erzeugten Daten aufgrund von Fehlern in der Datenübermittlung, Fehlern in der Datenerstellung oder auch aufgrund von böswilligen Manipulationen zumindest aufgedeckt werden.
-
In diesem Umfeld stellt sich der vorliegenden Erfindung die Aufgabe, einen Ansatz zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs bereitzustellen, bei dem die Integrität der Daten sichergestellt wird. Insbesondere soll sichergestellt werden, dass ein autonomes Fahrzeug nur dann eine Missionsbeschreibung verwendet bzw. ausführt, wenn diese vorschriftsmäßig erzeugt und unverändert übertragen wurde. Hierdurch soll die Sicherheit des autonomen Fahrzeugs, dessen Insassen sowie anderer Beteiligter verbessert werden.
-
Zum Lösen dieser Aufgabe betrifft die vorliegende Erfindung in einem ersten Aspekt eine Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs, mit:
- einer Eingangsschnittstelle zum Empfangen einer Missionsbeschreibung mit Informationen zu einer auszuführenden Aufgabe des autonomen Fahrzeugs und einer in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugten digitalen Signatur;
- einer Überprüfungseinheit zum Überprüfen der Missionsbeschreibung basierend auf der digitalen Signatur und einer vorbekannten Verifikationsinformation, und zum Erzeugen einer überprüften Missionsbeschreibung, wenn die Überprüfung eine Integrität der Missionsbeschreibung ergibt; und
- einer Ausgangsschnittstelle zum Übergeben der überprüften Missionsbeschreibung an eine Steuereinheit des autonomen Fahrzeugs.
-
In einem weiteren Aspekt betrifft die vorliegende Erfindung ein System zum Steuern eines autonomen Fahrzeugs, mit:
- einer Vorrichtung wie zuvor beschrieben; und
- einer Steuereinheit zum Ansteuern mindestens eines Aktors zum Führen des autonomen Fahrzeugs basierend auf der überprüften Missionsbeschreibung.
-
Weitere Aspekte der Erfindung betreffen ein der Vorrichtung entsprechend ausgebildetes Verfahren sowie ein Computerprogrammprodukt mit Programmcode zum Durchführen der Schritte des Verfahrens, wenn der Programmcode auf einem Computer ausgeführt wird. Zudem betrifft ein Aspekt der Erfindung ein Speichermedium, auf dem ein Computerprogramm gespeichert ist, das, wenn es auf einem Computer ausgeführt wird, eine Ausführung des hierin beschriebenen Verfahrens bewirkt.
-
Bevorzugte Ausgestaltungen der Erfindung werden in den abhängigen Ansprüchen beschrieben. Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. Insbesondere können das System, das Verfahren und das Computerprogrammprodukt entsprechend den für die Vorrichtung in den abhängigen Ansprüchen definierten Ausgestaltungen ausgeführt sein.
-
Erfindungsgemäß ist es vorgesehen, dass eine Missionsbeschreibung sowie eine digitale Signatur empfangen werden. Basierend auf der digitalen Signatur wird unter Miteinbeziehung einer vorbekannten Verifikationsinformation die Missionsbeschreibung überprüft. Insbesondere wird in dieser Weise eine Integrität der Missionsbeschreibung sichergestellt. Es wird also ermittelt, ob die digitale Signatur zu der Missionsbeschreibung passt. Die Missionsbeschreibung wird insoweit in einem vorangegangenen Schritt eines mehrschrittigen Verfahrens einer Missionserstellung mittels eines entsprechenden privaten Signaturschlüssels signiert. Dann kann mittels der Verifikationsinformation, die insbesondere einem öffentlichen Schlüssel entsprechen kann, sichergestellt werden, dass die Missionsbeschreibung unverändert übertragen wurde, ohne dass zwischen Erzeugung und Verwendung Änderungen vorgenommen wurden.
-
Im Vergleich zu bisherigen Ansätzen, bei denen eine Missionsbeschreibung ohne weitere Überprüfung verwendet wurde, wird insoweit die Sicherheit aller Beteiligten verbessert. Weiterhin kann regulatorischen Anforderungen entsprochen werden. Beispielsweise kann ein Betreiber eines autonomen Fahrzeugs der Personenbeförderung durch eine erfindungsgemäße Überprüfung einer Missionsbeschreibung vor deren Ausführung Fehlersituationen aufgrund einer fehlerhaften Missionsbeschreibung vermeiden.
-
In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer in einem letzten Schritt des mehrschrittigen Verfahrens der Missionserstellung erzeugten digitalen Signatur ausgebildet. Insbesondere ist es vorteilhaft, wenn in der Überprüfungseinheit eine digitale Signatur überprüft wird, die in einem letzten Schritt des Verfahrens der Missionserstellung erzeugt wurde. Hierdurch kann gewährleistet werden, dass zwischen dem letzten Schritt und der Verwendung der Missionsbeschreibung in dem autonomen Fahrzeug keine Fehler aufgetreten sind bzw. keine Probleme entstanden sind. Die Sicherheit aller Beteiligten bleibt gewährleistet.
-
In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer digitalen Signatur ausgebildet, die anzeigt, dass zuvor bereits eine in einem vorangegangenen Schritt des mehrschrittigen Verfahrens erzeugte vorangegangene digitale Signatur überprüft wurde. In anderen Worten wird eine digitale Signatur empfangen, die bereits vorangegangene Schritte ebenfalls umfasst bzw. signiert. Die empfangene digitale Signatur betrifft einerseits die Daten des letzten Schritts des mehrschrittigen Verfahrens und andererseits auch Daten eines dem letzten Schritt vorangegangenen Schritts, da eine in diesem vorangegangenen Schritt erzeugte vorangegangene digitale Signatur ebenfalls von der digitalen Signatur mitumfasst ist.
-
Es wird insoweit eine Art Vertrauenskette (Chain of Trust) aufgebaut. Dieses Vorgehen hat insbesondere den Vorteil, dass mehrere Schritte oder auch das gesamte Verfahren entsprechend gesichert bzw. signiert werden können.
-
In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer digitalen Signatur ausgebildet, die in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugt wurde, das mindestens zwei der folgenden Schritte umfasst: einen Schritt des Aufzeichnens von Sensordaten in einer Explorationsfahrt; einen Schritt des Erzeugens einer Karte eines Gebiets basierend auf aufgezeichneten Sensordaten; einen Schritt des Definierens von Missionsparametern mit Angaben zu relevanten Eigenschaften des autonomen Fahrzeugs basierend auf vorgegebenen Eingangsparametern und/oder einer Eingabe eines menschlichen Bedieners; einen Schritt des Erzeugens einer Missionsbeschreibung in einer vorgegebenen Missionsbeschreibungssprache basierend auf einer Karte eines Gebiets, Missionsparametern und einer Zielvorgabe; einen Schritt des Simulierens eines Missionsverlaufs basierend auf einer Missionsbeschreibung; und einen Schritt des Verifizierens eines Missionsverlaufs in einem Feldtest basierend auf einer Missionsbeschreibung. Es wird insoweit also eine digitale Signatur empfangen, die in einem zumindest zweischrittigen Erstellungsverfahren erzeugt wurde. Dabei sind die Schritte des Erstellens der Missionsbeschreibung üblicherweise aufeinander aufbauend bzw. voneinander abhängig. Die Daten eines Schritts werden im darauffolgenden Schritt weiterverarbeitet. Die Verwendung eines mehrschrittigen Verfahrens der Missionserstellung hat den Vorteil, dass eine Vorgabe für die Erstellung geschaffen werden kann. Missionsbeschreibungen können entsprechend einem Standardvorgehen erstellt werden. Zudem können die unterschiedlichen Schritte von unterschiedlichen Beteiligten ausgeführt werden. Eine entsprechende Validierung einer Missionserstellung in einem mehrschrittigen Verfahren kann erreicht werden.
-
In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer digitalen Signatur ausgebildet, die anzeigt, dass zuvor bereits in allen vorangegangenen Schritten des mehrschrittigen Verfahrens erzeugte vorangegangene digitale Signaturen überprüft wurden. Vorteilhafterweise wird in jedem Schritt des mehrschrittigen Verfahrens jeweils eine digitale Signatur erzeugt, die dann im nachfolgenden Schritt überprüft wird. Insoweit kann eine Vertrauenskette aufgebaut werden, da in jedem Schritt zum einen die im vorangegangenen Schritt erzeugten Daten und zum anderen auch die im vorangegangenen Schritt erzeugte vorangegangene digitale Signatur überprüft werden kann. Dies bewirkt eine verbesserte Sicherheit über den gesamten Prozess der Erstellung der Missionsbeschreibung. Es wird erreicht, dass die gesamte Erstellung der Missionsbeschreibung nachvollziehbar zuverlässig durchgeführt wird und die Missionsbeschreibung auf zuverlässigen Daten basiert. Die Sicherheit des autonomen Fahrzeugs und aller anderen Beteiligten wird verbessert.
-
In einer bevorzugten Ausgestaltung ist die Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Personenbeförderungsfahrzeugs des SAE-Levels 4 ausgebildet. Bei Verwendung eines SAE-Level-4-Fahrzeugs in der Personenbeförderung ist die Missionsbeschreibung besonders relevant. Es muss sichergestellt werden, dass die Missionsbeschreibung alle Kriterien erfüllt und zuverlässig erstellt und übermittelt wurde. Alle Schritte eines mehrstufigen Verfahrens müssen zuverlässig ausgeführt worden sein. Insoweit kann durch die Überprüfung der Missionsbeschreibung die Sicherheit gesteigert werden und gegebenenfalls ein Betrieb eines autonomen Personenbeförderungsfahrzeugs überhaupt erst ermöglicht werden.
-
In einer bevorzugten Ausgestaltung ist die Überprüfungseinheit zum Ausgeben einer Fehlermeldung ausgebildet, wenn die Überprüfung eine mangelnde Integrität der Missionsbeschreibung ergibt. Wenn also in der Überprüfung festgestellt wird, dass mindestens ein vorangegangener Schritt nicht zuverlässig ausgeführt wurde, also die Missionsbeschreibung nicht zu der digitalen Signatur passt, wird eine Fehlermeldung ausgegeben. Wenn also die Missionsbeschreibung während der Übermittlung und Übertragung verändert wurde, führt dies zur Ausgabe einer Fehlermeldung. Die Sicherheit kann verbessert werden.
-
In einer bevorzugten Ausgestaltung ist die Vorrichtung zum Empfangen der vorbekannten Verifizierungsinformation bei einer Initialisierung und/oder bei einer Wartung des Fahrzeugs ausgebildet. Die vorbekannte Verifizierungsinformation, also insbesondere der öffentliche Schlüssel zur Überprüfung der digitalen Signatur, kann bereits in der Fertigung eines autonomen Fahrzeugs und einer erfindungsgemäßen Vorrichtung in diese integriert werden. Ebenfalls ist es möglich, dass durch ein Update beispielsweise im Rahmen einer Wartung eine entsprechende Übertragung der vorbekannten Verifizierungsinformation erfolgt.
-
Hierin wird unter einer Missionsbeschreibung eines autonomen Fahrzeugs eine Angabe zu einer von dem autonomen Fahrzeug zu erfüllenden Aufgabe verstanden. Insbesondere kann eine Missionsbeschreibung in einer standardisierten Missionsbeschreibungssprache vorliegen. Eine Missionsbeschreibung kann insbesondere Informationen zu einer Route, einer entlang dieser Route zu lösenden Aufgabe, wie beispielsweise das Anfahren von Haltestellen, eine Zeitangabe, eine Angabe zu zu ergreifenden Aktionen bei Abweichungen von Zeit- oder Routenangaben sowie weitere Informationen umfassen. Insbesondere kann die Missionsbeschreibung verschiedene Alternativen in Abhängigkeit von möglichen Situationen umfassen. Die Missionsbeschreibung wird vorzugsweise in einem mehrschrittigen Verfahren der Missionserstellung erstellt. Neben der Missionsbeschreibung wird in dem Verfahren auch eine digitale Signatur erstellt. Die digitale Signatur wird vorzugsweise im Sinne eines asymmetrischen Kryptografie-Ansatzes erstellt, bei dem für die Erstellung ein geheimer Signaturschlüssel (private key) erforderlich ist. Die digitale Signatur kann dann mittels eines öffentlichen Verifikationsschlüssels (public key) ausgewertet werden und es kann überprüft werden, ob die empfangene Missionsbeschreibung der signierten Missionsbeschreibung entspricht. Unter einer Integrität wird dabei verstanden, dass es sich bei der empfangenen Missionsbeschreibung um diejenige Missionsbeschreibung handelt, die signiert wurde bzw. auf deren Basis die digitale Signatur erstellt wurde. Ein autonomes Fahrzeug ist ein Fahrzeug, das insbesondere ohne menschlichen Fahrzeugführer auskommt.
-
Die Erfindung wird nachfolgend anhand einiger ausgewählter Ausführungsbeispiele im Zusammenhang mit den beiliegenden Zeichnungen näher beschrieben und erläutert. Es zeigen:
- 1 eine schematische Darstellung eines erfindungsgemäßen Systems zum Steuern eines autonomen Fahrzeugs;
- 2 eine schematische Darstellung einer erfindungsgemäßen Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs;
- 3 eine schematische Darstellung eines mehrschrittigen Verfahrens der Missionserstellung;
- 4 eine weitere Ausführungsform eines mehrschrittigen Verfahrens der Missionserstellung; und
- 5 eine schematische Darstellung eines erfindungsgemäßen Verfahrens.
-
In der 1 ist schematisch ein erfindungsgemäßes System 10 zum Steuern eines autonomen Fahrzeugs 12 dargestellt. Das System 10 umfasst eine Vorrichtung 14 zum Überprüfen einer Missionsbeschreibung sowie eine Steuereinheit 16 zum Ansteuern mindestens eines Aktors 18 zum Führen des autonomen Fahrzeugs 12. Die Darstellung ist dabei als seitliche Schnittansicht auf das Fahrzeug 12 zu verstehen. Im dargestellten Ausführungsbeispiel empfängt die Vorrichtung 14 eine Missionsbeschreibung von einem Internet-Server 19, beispielsweise über eine Mobildatenverbindung. Es versteht sich, dass es aber auch möglich ist, die Missionsbeschreibung in anderer Weise zu übertragen.
-
Erfindungsgemäß ist es vorgesehen, dass mittels der Vorrichtung 14 eine empfangene Missionsbeschreibung überprüft wird, bevor das autonome Fahrzeug 12 eine Mission entsprechend der Missionsbeschreibung ausführt. Insbesondere wird die Missionsbeschreibung auf Integrität überprüft, bevor über die Steuereinheit 16 der Aktor 18 angesteuert wird. Der Aktor 18 kann beispielsweise eine Bremse oder eine Lenkung oder ein Beschleunigungssystem sein. Die Missionsbeschreibung kann insbesondere in Form von Anweisungen in einer vordefinierten Missionsbeschreibungs-Programmiersprache vorliegen. Insbesondere können Alternativen für dynamisch an bestimmte Situationen angepasstes Verhalten des autonomen Fahrzeugs in dieser Missionsbeschreibungssprache beschrieben werden. Vorteilhafterweise ist das Fahrzeug 12 ein Fahrzeug zur Personenbeförderung, beispielsweise ein Bus. Es versteht sich aber, dass die Erfindung auch vorteilhaft in anderen Bereichen, wie beispielsweise autonomen Lastbeförderungssystemen oder auch autonom operierenden Transportsystemen bzw. im Zusammenhang mit anderen Robotern verwendet werden kann.
-
In der 2 ist schematisch eine Ausführungsform einer erfindungsgemäßen Vorrichtung 14 zum Überprüfen einer Missionsbeschreibung dargestellt. Die Vorrichtung 14 umfasst eine Eingangsschnittstelle 20, eine Überprüfungseinheit 22 sowie eine Ausgangsschnittstelle 24. Die Einheiten und Schnittstellen können dabei teilweise oder vollständig in Soft- und/oder in Hardware umgesetzt sein. Insbesondere können die Einheiten als Prozessor, Prozessormodule oder auch als Software für einen Prozessor ausgebildet sein. Die Vorrichtung 14 kann insbesondere in Form eines Steuergeräts bzw. eines Zentralcomputers eines autonomen oder teilautonomen Fahrzeugs bzw. als Software für ein Steuergerät oder einen Zentralcomputer eines autonomen oder teilautonomen Fahrzeugs ausgebildet sein.
-
Über die Eingangsstelle 20 wird eine Missionsbeschreibung sowie eine digitale Signatur, die in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugt wurde, empfangen. Die Missionsbeschreibung kann insbesondere in Form von Anweisungen und Bedingungen in einer standardisierten Missionsbeschreibungssprache vorliegen. Die digitale Signatur wird insbesondere in Form eines Datenpakets empfangen. Die digitale Signatur wurde basierend auf der Missionsbeschreibung in einem letzten Schritt eines Verfahrens der Missionserstellung erzeugt. Durch die digitale Signatur wird die Integrität der Missionsbeschreibung bestätigt und überprüfbar gemacht. Zum Empfang der Missionsbeschreibung der digitalen Signatur kann die Eingangsschnittstelle 20 beispielsweise an ein Mobilkommunikationssystem angebunden sein, gegebenenfalls über ein Bussystem des Fahrzeugs.
-
In der Überprüfungseinheit 22 wird basierend auf der digitalen Signatur und einer vorbekannten Verifikationsinformation überprüft, ob die Missionsbeschreibung derjenigen Missionsbeschreibung entspricht, auf deren Basis die digitale Signatur erzeugt wurde. Insbesondere wird also überprüft, ob die Missionsbeschreibung zwischen dem Erstellen der digitalen Signatur und dem Empfangen in der Vorrichtung über die Eingangsschnittstelle verändert wurde. Um diese Überprüfung durchzuführen, wird eine vorbekannte Verifikationsinformation verwendet. Die vorbekannte Verifikationsinformation entspricht insbesondere einem öffentlichen Schlüssel. Nur wenn in der Überprüfung eine Integrität der Missionsbeschreibung festgestellt wird, wird eine überprüfte Missionsbeschreibung erstellt. Die Missionsbeschreibung wird insoweit verifiziert.
-
Über die Ausgangsschnittstelle 24 wird die überprüfte Missionsbeschreibung dann an die Steuereinheit des autonomen Fahrzeugs weiterübermittelt. Hierzu kann die Ausgangsschnittstelle beispielsweise direkt oder auch über ein Fahrzeugbussystem mit einer entsprechenden Steuereinheit verbunden sein.
-
In der 3 ist schematisch ein mehrschrittiges Verfahren einer Missionserstellung dargestellt. Im dargestellten Ausführungsbeispiel umfasst das Verfahren insbesondere sechs Schritte, wobei im sechsten Schritt die digitale Signatur 26 erstellt wird.
-
Im dargestellten Ausführungsbeispiel umfasst das mehrschrittige Verfahren zunächst einen Schritt S1 des Aufzeichnens von Sensordaten in einer Explorationsfahrt. Es wird also mittels eines entsprechend ausgerüsteten Fahrzeugs mit bekannten Eigenschaften und mit einem bekannten Sensorset eine Explorationsfahrt unternommen, um Sensordaten aufzuzeichnen. Beispielsweise kann in einem neuen Gebiet in dieser Weise eine Karte generiert werden.
-
In einem Schritt S2 kann dann basierend auf den aufgezeichneten Sensordaten eine Karte des Gebiets erzeugt werden. Insbesondere wird eine Geometrie festgelegt und statische Elemente der Infrastruktur erkannt, wie beispielsweise Bäume, Gebäude, Ampeln etc.
-
Nachfolgend werden in einem Schritt S3 Missionsparameter mit Angaben zu relevanten Eigenschaften des autonomen Fahrzeugs definiert. Hierzu können Eingangsparameter und/oder Eingaben eines menschlichen Bedieners verwendet werden. Parameter können dabei beispielsweise Höchstgeschwindigkeiten, maximale Abweichungen oder Höchstlasten etc. umfassen. Ebenfalls kann beispielsweise festgelegt werden, dass die linke oder rechte Fahrspur im Falle einer mehrspurigen Straße verwendet werden soll etc. Unter einem derartigen Schritt der Kartensegmentierung (map segmentation) oder der Vorlagenerzeugung (mission element template generation) werden insoweit insbesondere verfügbare und geeignete Parameter erkannt und definiert.
-
Nachfolgend wird in einem Schritt S4 des Erzeugens einer Missionsbeschreibung eine Missionsbeschreibung in einer vorgegebenen Missionsbeschreibungssprache erstellt. Die Erstellung der Missionsbeschreibung erfolgt dabei insbesondere basierend auf der zuvor erzeugten Karte und den zuvor festgelegten Missionsparametern sowie gegebenenfalls unter Verwendung einer Zielvorgabe. Hierzu kann insbesondere eine entsprechend ausgebildete Vorrichtung zur Missionserstellung verwendet werden. Als Ausgang des Schritts S4 kann dann eine Missionsbeschreibung bereitgestellt werden. Die Missionsbeschreibung umfasst dabei insbesondere verschiedene Bedingungen (if, else, whether, traffic conditions, emergency stops etc.), die angeben, wie die Mission ablaufen soll unter den gegebenen Voraussetzungen. Insbesondere wird also festgelegt, was das autonome Fahrzeug in bestimmten Situationen ausführen soll.
-
In einem Schritt S5 wird dann ein Missionsverlauf simuliert, um die Missionsbeschreibung zu überprüfen. In einer Simulation wird die Mission insoweit validiert. Insbesondere wird simulativ überprüft, ob sich die erzeugte Missionsbeschreibung für ein autonomes Fahrzeug eignet. Hierbei können unterschiedliche Parameter, wie beispielsweise unterschiedliches Verkehrsaufkommen, unterschiedliche Wetter- und Lichtbedingungen etc. simuliert werden, um zu überprüfen, ob die Missionsbeschreibung diese unterschiedlichen Bedingungen abbildet. Ebenfalls kann die Interaktion zwischen verschiedenen beteiligten autonomen Fahrzeugen untersucht werden.
-
Zuletzt wird in einem Schritt S6 eine Überprüfung der Missionsbeschreibung in einem Feldtest vorgenommen. Die Missionsbeschreibung wird insoweit in einer definierten Umgebung mittels eines autonomen Fahrzeugs ausgeführt, wobei die Bedingungen noch nicht der Realität entsprechen. Insbesondere können beispielsweise im Fall einer Personenbeförderung im Schritt S6 noch keine Personen befördert werden. Es werden verschiedene Testfahrten unternommen in unterschiedlichen Szenarien, um zu überprüfen, ob der Missionsverlauf verifiziert ist und die Missionsbeschreibung insoweit verwendet werden kann. Wenn dieser Schritt erfolgreich abgeschlossen wird, wird die derart verifizierte Missionsbeschreibung mittels der digitalen Signatur 26 signiert. Das mehrschrittige Verfahren in der 3 liefert insoweit eine Missionsbeschreibung und eine zugehörige digitale Signatur 26.
-
In der 4 ist eine bevorzugte Ausführungsform des mehrschrittigen Verfahrens dargestellt. Es wird in jedem der Schritte S1 bis S6 (vergleiche 3 und zugehörige Beschreibung) ggf. unter Verwendung eines Zertifikats eine digitale Signatur erzeugt. In Schritt S1 werden also insoweit die gesammelten Sensordaten mit einer ersten digitalen Signatur Sig1 unterzeichnet. In Schritt S2 wird eine Signatur Sig2 erzeugt basierend auf der Signatur Sig1 des Schritts S1 sowie der in Schritt S2 erzeugten Karte. In Schritt S3 wird wiederum die Signatur des Schritts S2 zugrunde gelegt und zusätzlich die definierten Missionsparameter zertifiziert, usw. Durch die fortgesetzte Signierung wird insoweit also in jedem Schritt einerseits eine Signierung der in diesem Schritt erzeugten Daten vorgenommen und andererseits auch signiert, dass die Eingangsdaten in diesem Schritt bereits unverändert übernommen wurden. Es ergibt sich eine Art Vertrauenskette, bei der im zuletzt in Schritt S6 erzeugten digitalen Signatur 26 sichergestellt wird, dass in jedem Schritt jeweils unveränderte Daten zugrunde gelegt wurden. Es werden also entlang des gesamten Karten- und Missionserstellungsprozesses die jeweiligen Zwischen- oder Teilergebnisse mittels digitaler Signaturen signiert. Hierdurch kann von der Erzeugung der Daten bis hin zur finalen Anwendung im autonomen Fahrzeug eine Vertrauenskette aufgebaut werden. Am Ende der Kette kann vor Verwendung der Missionsbeschreibung im realen Betrieb also überprüft werden, dass die Kartendaten und Missionsbefehle sowie die weiteren Informationen authentisch und korrekt sind. Dies kann beispielsweise dazu verwendet werden, dass die Anwendung der Daten im Sinne einer Produktfreigabe möglich ist.
-
In der 5 ist schematisch ein erfindungsgemäßes Verfahren zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs dargestellt. Das Verfahren umfasst Schritte des Empfangens S10 einer Missionsbeschreibung, des Überprüfens S12 der Missionsbeschreibung, des Erzeugens S14 einer überprüften Missionsbeschreibung und des Übergebens S16 der überprüften Missionsbeschreibung. Das Verfahren kann insbesondere in Form einer Software implementiert sein, die auf einem Prozessor bzw. einem Zentralrechner eines autonomen Fahrzeugs bzw. in einem entsprechenden Fahrzeugsteuergerät ausgeführt wird. Es versteht sich, dass das Verfahren auch als Smartphone-App implementiert sein kann.
-
Die Erfindung wurde anhand der Zeichnungen und der Beschreibung umfassend beschrieben und erklärt. Die Beschreibung und Erklärung sind als Beispiel und nicht einschränkend zu verstehen. Die Erfindung ist nicht auf die offenbarten Ausführungsformen beschränkt. Andere Ausführungsformen oder Variationen ergeben sich für den Fachmann bei der Verwendung der vorliegenden Erfindung sowie bei einer genauen Analyse der Zeichnungen, der Offenbarung und der nachfolgenden Patentansprüche.
-
In den Patentansprüchen schließen die Wörter „umfassen“ und „mit“ nicht das Vorhandensein weiterer Elemente oder Schritte aus. Der undefinierte Artikel „ein“ oder „eine“ schließt nicht das Vorhandensein einer Mehrzahl aus. Ein einzelnes Element oder eine einzelne Einheit kann die Funktionen mehrerer der in den Patentansprüchen genannten Einheiten ausführen. Ein Element, eine Einheit, eine Schnittstelle, eine Vorrichtung und ein System können teilweise oder vollständig in Hard- und/oder in Software umgesetzt sein. Die bloße Nennung einiger Maßnahmen in mehreren verschiedenen abhängigen Patentansprüchen ist nicht dahingehend zu verstehen, dass eine Kombination dieser Maßnahmen nicht ebenfalls vorteilhaft verwendet werden kann. Ein Computerprogramm kann auf einem nichtflüchtigen Datenträger gespeichert/vertrieben werden, beispielsweise auf einem optischen Speicher oder auf einem Halbleiterlaufwerk (SSD). Ein Computerprogramm kann zusammen mit Hardware und/oder als Teil einer Hardware vertrieben werden, beispielsweise mittels des Internets oder mittels drahtgebundener oder drahtloser Kommunikationssysteme. Bezugszeichen in den Patentansprüchen sind nicht einschränkend zu verstehen.
-
Bezugszeichenliste
-
- 10
- System
- 12
- Fahrzeug
- 14
- Vorrichtung
- 16
- Steuereinheit
- 18
- Aktor
- 19
- Internet-Server
- 20
- Eingangsschnittstelle
- 22
- Überprüfungseinheit
- 24
- Ausgangsschnittstelle
- 26
- digitale Signatur
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-