DE102022207598A1 - Verfahren und Steuereinrichtung zum Steuern eines automatisierten Fahrzeugs - Google Patents

Verfahren und Steuereinrichtung zum Steuern eines automatisierten Fahrzeugs Download PDF

Info

Publication number
DE102022207598A1
DE102022207598A1 DE102022207598.6A DE102022207598A DE102022207598A1 DE 102022207598 A1 DE102022207598 A1 DE 102022207598A1 DE 102022207598 A DE102022207598 A DE 102022207598A DE 102022207598 A1 DE102022207598 A1 DE 102022207598A1
Authority
DE
Germany
Prior art keywords
data processing
data
fragility
results
situation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022207598.6A
Other languages
English (en)
Inventor
Peter Schneider
Vera Schumacher
Roman Gansch
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022207598.6A priority Critical patent/DE102022207598A1/de
Publication of DE102022207598A1 publication Critical patent/DE102022207598A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Traffic Control Systems (AREA)

Abstract

Es wird ein Verfahren zum Steuern eines automatisierten Fahrzeugs (100) beschrieben, wobei Sensordaten (611) der aktuellen Situation, in der sich das Fahrzeug (100) befindet, bereitgestellt werden. Die bereitgestellten Sensordaten (611) werden mittels einer primären Datenverarbeitungskette (1251) und parallel dazu auch mittels einer sekundären Datenverarbeitungskette (1252) verarbeitet, um Steuerungsdaten für wenigstens einen Aktuator (161) des automatisierten Fahrzeugs (100) bereitzustellen. Die beiden Datenverarbeitungsketten (1251, 1252) weisen jeweils unterschiedliche Strategien zur Unsicherheitsreduktion auf. Die Ergebnisse (611, 621, 622, 631, 632) bestimmter Datenverarbeitungsprozesse (521, 522, 523, 524) der beiden Datenverarbeitungsketten (1251, 1252) und/oder die diesen Ergebnissen zugeordnete Unsicherheiten werden miteinander verglichen, um einen Fragilitätsindikator zu ermitteln, der eine Fragilität der aktuellen Datenverarbeitung in wenigstens einer Datenverarbeitungskette (1251, 1252) beschreibt. In dem Fall, dass anhand des ermittelten Fragilitätsindikators das Vorliegen einer Situation hoher Fragilität der aktuellen Datenverarbeitung in wenigstens einer Datenverarbeitungskette (1251, 1252) festgestellt wird, wird ein der aktuellen Situation hoher Fragilität zugeordneter Datensatz (153) in einer Speichereinrichtung (152) gespeichert, der die dem Fragilitätsindikator zugrunde liegenden Daten aus den beiden Datenverarbeitungsketten (1251, 1252) umfasst.

Description

  • Die Erfindung betrifft ein Verfahren zum Steuern eines automatisierten Fahrzeugs. Ferner betrifft die Erfindung eine Steuereinrichtung zum Steuern des automatisierten Fahrzeugs.
  • Eine der größten Herausforderungen des automatisierten Fahrens (engl. Automated Driving, AD) ist die Beherrschung der unvermeidbaren funktionalen Unzulänglichkeiten der einzelnen Komponenten des AD-Gesamtsystems, insbesondere laut ISO/PAS 21448. Zu den funktionalen Unzulänglichkeiten zählen insbesondere die Unzulänglichkeit der Funktion, die Situation richtig zu erfassen und sicher zu agieren (dies umfasst auch Funktionen, die maschinelle Lernalgorithmen verwenden) sowie die unzureichende Robustheit der Funktion in Bezug auf Sensoreingangsschwankungen oder unterschiedliche Umgebungsbedingungen. Innerhalb der üblichen Sense-Plan-Act-Architektur, wie sie z.B. in 2 gezeigt ist, betrifft das insbesondere die Funktionsblöcke Sense (bzw. Perzeption und Fusion) und Plan (bzw. Prädiktion und Verhaltens-/Trajektorienplanung). Hier führen funktionale Unzulänglichkeiten z.B. zu Falschmessungen (Sensoren, Messfehler) und fehlerhaften Zustandsschätzungen (Algorithmen, fehlerhafte Modelle). Typischerweise werden diese Fehler mit einer komplizierten Reihe von kaskadierten Gegenmaßnahmen kompensiert oder gemildert, wie z.B. Filtern über die Zeit, Multi-Sensor-Fusion und semantisches Argumentieren auf verschiedenen Abstraktionsebenen entlang der Verarbeitungskette. Viele dieser Gegenmaßnahmen basieren auf heuristischen Modellen und führen zu Ergebnissen, die noch einen residualen, typischerweise szenarioabhängigen Unsicherheitsgrad (engl. „Uncertainty“) aufweisen (ausgedrückt z.B. über Genauigkeiten, Varianzen, Konfidenzen, Wahrscheinlichkeiten, Verwechslungsmatrizen etc.). Dabei können verschiedene Ansätze zum Einsatz kommen, um innerhalb der Gesamtsystem-Architektur entlang der Verarbeitungskette mit diesen Unsicherheiten umzugehen. So werden bei der sogenannten „All-local-decision architecture“ (URI) die Unsicherheiten schon zwischenzeitlich (lokal) durch Grenzwertvergleiche „herausgefiltert“. Hingegen werden bei der sogenannten „All-global-decision architecture“ (MORI) Unsicherheiten bis ans Ende der Verarbeitungskette durchpropagiert (global) und erst hier durch Grenzwertvergleiche „herausgefiltert“. Allerdings können die verwendeten Verfahren in bestimmten, besonders schwierigen Fällen zu falschen Ergebnissen führen.
  • Die der Erfindung zugrunde liegende Aufgabe kann daher darin gesehen werden, eine Möglichkeit zum Reduzieren funktioneller Unzulänglichkeiten von Komponenten eines autonomen Robotersystems bereitzustellen. Diese Aufgabe wird durch mittels des jeweiligen Gegenstands der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand von jeweils abhängigen Ansprüchen.
  • Gemäß der Erfindung ist ein Verfahren zum Steuern eines automatisierten Fahrzeugs vorgesehen, wobei Sensordaten der aktuellen Situation, in der sich das Fahrzeug befindet, bereitgestellt werden. Die bereitgestellten Sensordaten werden anschließend mittels einer primären Datenverarbeitungskette und parallel dazu auch mittels einer sekundären Datenverarbeitungskette verarbeitet, um Steuerungsdaten für wenigstens einen Aktuator des automatisierten Fahrzeugs bereitzustellen. Dabei weisen die beiden Datenverarbeitungsketten, die jeweils mehrere aufeinander folgende Datenverarbeitungsprozesse umfassen, jeweils unterschiedliche Strategien zur Unsicherheitsreduktion auf. In einem weiteren Schritt werden die Ergebnisse bestimmter Datenverarbeitungsprozesse der beiden Datenverarbeitungsketten miteinander verglichen, um einen Fragilitätsindikator zu ermitteln, der eine Fragilität der aktuellen Datenverarbeitung in wenigstens einer Datenverarbeitungskette beschreibt. Dabei wird in dem Fall, dass anhand des ermittelten Fragilitätsindikators eine Situation hoher Fragilität der aktuellen Datenverarbeitung in wenigstens einer Datenverarbeitungskette festgestellt wird, ein der aktuellen Situation hoher Fragilität zugeordneter Datensatz umfassend die jeweils aktuellen Ergebnisse der Datenverarbeitungsprozesse aus den beiden Datenverarbeitungsketten sowie die zu ihrer Ermittlung verwendeten Daten in einer Speichereinrichtung gespeichert wird. Ein solches Verfahren ermöglicht es, besonders wertvolle Felddaten über fehlerhafte Vorgänge in der Datenverarbeitungskette automatisierter Fahrzeuge zu gewinnen. Hierdurch können einzelne Datenverarbeitungsprozesse der Datenverarbeitungskette gezielt verbessert bzw. optimiert werden. Hierdurch wiederum kann die Fahrsicherheit des automatisierten Fahrzeugs deutlich erhöht werden.
  • In einer Ausführungsform ist vorgesehen, dass der in der Speichereinrichtung gespeicherte Datensatz einer Optimierungseinrichtung bereitgestellt wird, die anhand der darin enthaltenen Daten eine Optimierung eines von den Datenverarbeitungsprozessen der beiden Datenverarbeitungsketten verwendeten Algorithmus und/oder ein Training wenigstens eines diesen Datenverarbeitungsprozessen zugeordneten maschinellen Lernalgorithmus durchführt. Hierdurch wird die Fahrsicherheit des automatisierten Fahrzeugs erhöht.
  • In einer weiteren Ausführungsform ist vorgesehen, dass der in der Speichereinrichtung gespeicherte Datensatz zusätzlich auch Daten der beiden Datenverarbeitungsketten von einem bestimmten Zeitraum vor dem Auftreten der aktuellen Situation hoher Fragilität umfasst. Diese zusätzlichen Daten ermöglichen eine besonders gute Analyse der Vorgänge, die zu der fragilen Situation geführt haben. Somit können die betreffenden Algorithmen besonders präzise optimiert werden.
  • In einer weiteren Ausführungsform ist vorgesehen, dass das Vorliegen einer Situation hoher Fragilität festgestellt wird, wenn wenigstens einer der folgenden Fragilitätsindikatoren ermittelt wird, nämlich eine Abweichung der Ergebnisse zweier korrespondierender Datenverarbeitungsprozesse der beiden Datenverarbeitungsketten überschreitet einen vorgegebenen Schwellwert, ein Datenverarbeitungsprozess aus einer Datenverarbeitungskette liefert ein eindeutiges Ergebnis, während der korrespondierende Datenverarbeitungsprozess aus der jeweils parallelen Datenverarbeitungskette ein uneindeutiges Ergebnis liefert, das Ergebnis einer Datenverarbeitungskette weist eine hohe Unsicherheit auf, während das Ergebnis der jeweils parallelen Datenverarbeitungskette einer geringe Unsicherheit aufweist, und/oder den Ergebnissen zweier korrespondierender Datenverarbeitungsprozesse der beiden Datenverarbeitungsketten zugeordnete Metadaten weisen eine Abweichung voneinander auf, die einen vorgegebenen Schwellwert überschreitet. Anhand dieser Fragilitätsindikatoren können Situationen hoher Fragilität besonders zuverlässig erkannt werden.
  • In einer weiteren Ausführungsform ist vorgesehen, dass die Ergebnisse der aktuellen Datenverarbeitungsprozesse aus den beiden Datenverarbeitungsketten sowie die zu ihrer Ermittlung verwendeten Daten fortlaufend in einer als Ringspeicher ausgebildeten Speichereinrichtung gespeichert werden. Dabei werden in dem Fall, dass eine Situation hoher Fragilität der aktuellen Datenverarbeitung festgestellt wird, die in der Speichereinrichtung zuletzt gespeicherten und dieser Situation hoher Fragilität zugeordneten Daten dauerhaft gespeichert. Durch das kontinuierliche Abspeichern potenziell benötigter Daten stehen in dem Fall, dass anhand des ermittelten Fragilitätsindikators eine Situation hoher Fragilität der aktuellen Datenverarbeitung festgestellt wird, eine besonders hohe Anzahl relevanter Daten zu der betreffenden Situation hoher Fragilität zur Verfügung. Das ermöglicht eine besonders genaue Analyse der betreffenden Situation. Dabei wird unter einem dauerhaften Speichern insbesondere eine Speicherung von Daten in einen Speicher oder Speicherbereich verstanden, der nicht in einem für einen Ringspeicher üblichen Zyklus automatisch durch neue Daten überschrieben wird.
  • In einer weiteren Ausführungsform ist vorgesehen, dass die Strategien zur Unsicherheitsreduktion der Datenverarbeitungsketten ein Reduzieren von Unsicherheiten an wenigstens einem Punkt der jeweiligen Datenverarbeitungskette mittels harter Entscheidungen vorsieht, wobei sich die Strategien zur Unsicherheitsreduktion der beiden Datenverarbeitungsketten darin unterscheiden, dass bei einer Datenverarbeitungskette an wenigstens einem Punkt eine harte Entscheidung erfolgt, während bei der jeweils anderen Datenverarbeitungskette an dem korrespondierenden Punkt eine solche harte Entscheidung nicht erfolgt. Ein solcher Ansatz stellt eine besonders effektive Strategie zum Ermitteln fragiler Situationen in den beiden Datenverarbeitungsketten dar.
  • In einer weiteren Ausführungsform ist vorgesehen, dass die gewonnen Daten zur Optimierung klassischer Algorithmen und/oder maschineller Lernalgorithmen des Fahrzeugs verwendet werden. Damit kann die Genauigkeit der betreffenden Algorithmen und folglich die Fahrsicherheit des automatisierten Fahrzeugs erhöht werden.
  • Gemäß einem weiteren Aspekt ist ferner eine Steuereinrichtung für ein automatisiertes Fahrzeug vorgesehen, die eingerichtet ist, wenigstens einen Teil der Schritte des oben genannten Verfahrens auszuführen. Die Steuereinrichtung umfasst dabei eine Überwachungseinrichtung mit einer Vergleichseinrichtung ausgebildet zum Feststellen einer Situation hoher Fragilität der aktuellen Datenverarbeitung durch Vergleichen der Ergebnisse von wenigstens zwei korrespondierenden Datenverarbeitungsprozessen der beiden Datenverarbeitungsketten. Ferner umfasst die Überwachungseinrichtung eine Speichereinrichtung ausgebildet zum Speichern eines der aktuellen Situation hoher Fragilität zugeordneten Datensatzes umfassend die aktuellen Ergebnisse der korrespondierenden Datenverarbeitungsprozesse sowie die zu Ihrer Ermittlung verwendeten Daten. Für die Steuereinrichtung ergeben sich die bereits im Zusammenhang mit dem Verfahren genannten Vorteile.
  • In einer Ausführungsform ist vorgesehen, dass die Speichereinrichtung in Form eines Ringspeichers ausgebildet ist, in dem die jeweils aktuellen Datensätze fortlaufend gespeichert und die Daten älterer Datensätze fortlaufend durch die Daten neuerer Datensätze dabei ersetzt werden. Die Überwachungseinrichtung ist dabei ausgebildet, bei Feststellen einer Situation hoher Fragilität in der aktuellen Datenverarbeitung der beiden Datenverarbeitungsketten, den jeweils aktuellen Datensatz einer Optimierungseinrichtung bereitzustellen. Auch für eine derart ausgebildete Steuereinrichtung ergeben sich die bereits im Zusammenhang mit dem Verfahren genannten Vorteile.
  • Gemäß einem weiteren Aspekt ist ein Computerprogramm umfassend Befehle vorgesehen, die bei einer Ausführung des Computerprogramms auf einem Computer diesen veranlassen, eines der oben beschriebenen Verfahren auszuführen. Die Realisierung des oben beschriebenen Verfahrens in Form eines Computerprogramms bietet eine besonders hohe Flexibilität.
  • Schließlich ist gemäß einem weiteren Aspekt ein computerlesbares Speichermedium vorgesehen, auf dem das oben genannte Computerprogramm gespeichert ist.
  • Die Erfindung wird im Folgenden anhand von Figuren näher beschrieben. Dabei zeigen:
    • 1 zeigt ein automatisiertes Fahrzeug, das seine Umgebung mittels bordeigener Sensorik erfasst,
    • 2 schematisch eine Sense-Act-Plan-Systemarchitektur des automatisierten Fahrzeugs aus 1,
    • 3 eine schematische Darstellung einer auf einer ersten Sicherheitsstrategie basierenden Systemarchitektur des automatisierten Fahrzeugs,
    • 4 eine schematische Darstellung einer auf einer zweiten Sicherheitsstrategie basierenden Systemarchitektur des automatisierten Fahrzeugs,
    • 5 schematische eine erste Ausführungsform einer verbesserten Sense-Act-Plan-Systemarchitektur eines automatisierten Fahrzeugs mit zwei auf unterschiedlichen Unsicherheitsreduktionsstrategien basierenden Datenverarbeitungsketten,
    • 6 schematische eine zweite Ausführungsform einer verbesserten Sense-Act-Plan-Systemarchitektur eines automatisierten Fahrzeugs mit zwei auf unterschiedlichen Unsicherheitsreduktionsstrategien basierenden Datenverarbeitungsketten,
    • 7 ein Beispiel für eine Propagation von Unsicherheiten bei der Sensordatenverarbeitung mittels zweier paralleler Datenverarbeitungsketten, die unterschiedlichen Sense-Act-Plan-Systemarchitekturen aufweisen, wobei beide Datenverarbeitungsketten dieselben Ergebnisse liefern,
    • 8 ein Beispiel für eine Propagation von Unsicherheiten bei der Sensordatenverarbeitung mithilfe der parallelen Datenverarbeitungsketten, wobei eine erste Datenverarbeitungskette ein eindeutiges Ergebnis liefert, währen die zweite Datenverarbeitungskette uneindeutige Ergebnisse liefert,
    • 9 ein Beispiel für eine Propagation von Unsicherheiten bei der Sensordatenverarbeitung mithilfe der parallelen Datenverarbeitungsketten, wobei die Datenverarbeitungsketten unterschiedliche Ergebnisse liefern, und
    • 10 schematisch ein Ablaufdiagramm eines Verfahrens zur Reduktion von Unsicherheiten.
  • Zur Erhöhung der Zuverlässigkeit der Sensordatenverarbeitung in automatisierten Fahrzeugen, ist es sinnvoll die in der Datenverarbeitungskette des Fahrzeugs verwendeten Konzepte und Lernalgorithmen mit vorzugsweise schwierigen Fällen zu verbessern bzw. optimieren. Das ist z.B. durch systematische Ableitung von sogenannten „Corner-Cases“ oder durch Lernen aus dem Feld möglich. Sinnvoll ist dabei auch die Betrachtung von Daten aus Situationen, in denen Eingriffe (durch den Benutzer oder andere Systeme) erfolgten. Ferner können auch subkritische Events oder ML- (Machine Learning) Trigger als wertvolle Daten zur Optimierung der Datenverarbeitung dienen.
  • Ein wichtiges Element für die Entwicklung robuster Algorithmen bzw. zur Reduzierung der funktionalen Unzulänglichkeiten von Algorithmen im offenen Kontext sind Informationen darüber, in welchen Situationen die verwendeten Algorithmen schwach bzw. fragil sind und unter Umständen sogar versagen. Diese Daten können dann gezielt sowohl für die Optimierung von klassischen Algorithmen als auch insbesondere für das Training von maschinellen Lernalgorithmen (ML) genutzt werden.
  • Aufgrund der Komplexität der Funktionen ist es nicht möglich, alle Schwachstellen der Funktionen zur Entwicklungszeit vollständig zu identifizieren.
  • Eine Abhilfe dafür besteht darin, geeignete Überwachungsfunktionen in das System zu implementieren, um während der Laufzeit auftretende Unzulänglichkeiten zu erfassen. Zur Identifizierung dieser „wertvollen“ Daten in der großen Menge der im Betrieb des automatisierten Fahrzeugs anfallenden Daten werden verschiedene Verfahren eingesetzt, die meist darauf beruhen, dass während der Laufzeit bestimmte Fragilitätsindikatoren auf Funktionsebene, wie zum Beispiel die Kovarianz für einen Bayes-Filter, die Unsicherheitsmetrik für ein ML-Modul oder bestimmte Kritikqualitätsparameter auf Systemebene (z.B. Time-to-collision, subkritische Metriken oder Responsibility-Sensitive-Safety (RSS) auf Über- bzw. Unterschreitung eines Grenzwerts überwacht werden. Sobald ein Auslöser (Trigger) auftritt, werden die Daten gespeichert und über das Backend an den Entwickler geschickt.
  • Diese punktuellen Trigger sind dabei gut geeignet, Unzulänglichkeiten einzelner Algorithmen aufzuzeigen. Allerdings wird dabei nicht erfasst, ob und welcher Fehler in vorangegangenen Verarbeitungsschritten zu dieser Funktionsabweichung bzw. Fragilität geführt haben. Zudem bleiben viele Fehlfunktionen dadurch unentdeckt, dass entweder die Fragilitätsindikatoren selbst unzulänglich sind und/oder eine Fehlfunktion in der gegebenen Fahrsituationen einfach zufällig zu keiner gefährlichen Situation (kritische Kritikalitätsparameter) geführt hat.
  • Das hier beschriebene Konzept verwendet einen „mehrere Welten“-Ansatz, bei dem eine hohe Unsicherheit, starke Abweichungen oder andere Ergebnisse (Bifurkation) in der parallelen Datenverarbeitungsketten als Hinweis auf temporäre Fragilität bzw. Brittleness der aktuellen Datenverarbeitung dienen.
  • Das Konzept sieht die Verwendung von zwei diversen Sicherheitsarchitekturen, um Situationen mit einer hohen Fragilität der Datenverarbeitung zu erkennen und gezielt Daten dieser fragilen Situation und von einem bestimmten Zeitraum vor dem Auftreten dieser fragilen Situation aufzunehmen. Die Erkennung erfolgt hierbei durch einen Vergleich korrespondierender Ergebnisse aus den beiden parallelen Datenverarbeitungsketten, wobei sowohl funktionale Ergebnisse (z.B. Endergebnisse oder Zwischenergebnisse), als auch weitere Metadaten (z.B. Unsicherheit) verwendet werden können. Dabei wird überprüft, ob die miteinander verglichenen Ergebnisse und Daten größere bzw. auffällige Abweichungen aufweisen. Ein solches Vorgehen stellt eine weitere Möglichkeit, wertvolle Daten für die Entwicklung aus dem Feld (d.h. aus dem tatsächlichen Betrieb eines autonomen Fahrzeugs) zu gewinnen, die ansonsten nicht als solche erkannt worden wären. Zusätzlich können dem Entwickler auch gezielt Informationen über die fehlerhaften Vorgänge (Unzulänglichkeiten) in der Verarbeitungskette vor dem Auftreten der eigentlichen Abweichung bereitgestellt werden. Diese zusätzlichen Daten können die Analyse der fehlerhaften Vorgänge erleichtern und für eine gezielte Verbesserung der betreffenden Algorithmen verwendet werden.
  • Der hier beschriebene „Mehr-Welten“-Ansatz erlaubt auch solche kritischen Entscheidungen (z.B. Bifurkation) früh in der Verarbeitungskette identifizieren, die für sich betrachtet nicht kritisch wirken, die sich dann aber aufgrund der hohen Nichtlinearität bestimmter Algorithmen, zu stark abweichenden und fehlerhaften Ergebnissen entwickeln.
  • Für die Umsetzung des Konzepts werden zwei Datenverarbeitungsketten, die im Folgenden auch als Verarbeitungsketten, Datenverarbeitungspfade, Pfade oder Funktionspfade bezeichnet werden, mit diversen Systemarchitekturen (z.B. „All-local-decision“ und „All-global-decision“) parallel zueinander implementiert, wobei jedoch nur einer dieser Pfade (Primärpfad) wirklich auf die Aktuatorik (Motion Control) des automatisierten Fahrzeugs wirkt, während die Ergebnisse des weiteren Pfads (Sekundärpfad) lediglich für den Vergleich mit den Ergebnissen des Primärpfads verwendet werden.
  • Das Konzept sieht ferner einen Auslöser bzw. Trigger vor, der nach Aktivierung die Aufnahme bzw. das Sichern der Daten bewirkt, die der aktuell vorliegenden fragilen Situation zugeordnet sind. Als Eingangsdaten bzw. Input können dem Trigger bestimmte Ergebnisse oder Metadaten aus den beiden parallelen Funktionspfaden dienen. Je nach Prüfpunkt entlang der Funktionspfade kann es sich bei diesen Ergebnissen z.B. um einen dynamischen Objektzustand, Objekttyp, Spurverlauf, Umfeldmodell, Verhaltensentscheidung, Trajektorie, etc., handeln. Als geeignete Metadaten können z.B. den Ergebnissen zugeordnete Unsicherheit, Kovarianz, Varianz, Existenzwahrscheinlichkeit, Likelihood, etc. aus den beiden Funktionspfaden verwendet werden. Entlang der beiden Funktionspfade können dabei auch mehrere Trigger durch Vergleich der entsprechenden Schnittstellen bzw. Interfaces in den beiden Pfaden erstellt werden.
  • Die Auswertung der Ergebnisse bzw. Metadaten kann grundsätzlich auf verschiedene Weise erfolgen, z.B. durch Prüfung auf Abweichungen im funktionalen Ergebnis (bzw. dessen Wirkung), z.B. Unterschiede bei diskreten Parametern (wie z.B. Klassen oder Verhalten) oder große Differenzen bei kontinuierlichen Parametern (wie z.B. Trajektorienverlauf). Darüber hinaus kann die Auswertung durch Prüfung auf große Abweichungen in den Metadaten (z.B. niedrige Unsicherheit im Primärfahrt bei hoher Unsicherheit im Sekundärpfad) erfolgen. Die Auswertung kann ferner auch eine Prüfung auf das Vorliegen uneindeutiger Ergebnisse im Sekundärpfad bei gleichzeitig eindeutigen Ergebnissen im Primärpfad umfassen. Darüber hinaus kann die Auswertung auch eine Prüfung auf das Vorliegen guter Ergebnisse im Sekundärpfad bei hoher Unsicherheit im Primärpfad umfassen. Grundsätzlich können solche Abweichungen ein Anzeichen dafür sein, dass in dem Funktionspfad, dessen Sicherheitsarchitektur auf lokalen Entscheidungen basiert (URI), in früheren Teilen der betreffenden Datenverarbeitungskette („upstream“) falsche Entscheidungen getroffen wurden, die sich nun am Ende der Datenverarbeitungskette als Fehler zeigen.
  • Idealerweise werden die Daten während des Betriebs in einen Ringspeicher aufgezeichnet, sodass bei Auslösung des Triggers alle relevanten Daten im zeitlichen Umfeld (z.B. mehrere Sekunden vor der Auslösung) des Ereignisses weg gespeichert bzw. an das Backend (externer Server) gesendet werden können. Die abgespeicherten Daten sollten hierbei neben den Sensormessdaten auch passende Zwischenwerte, Metadaten und Zwischenmetadaten der gesamten Datenverarbeitungskette bzw. Datenverarbeitungsketten enthalten, die für die Auswertung der zugehörigen fragilen Situation genutzt werden können.
  • Die 1 zeigt ein automatisches Fahrzeug 100 in einer typischen Situation. Das Fahrzeug 100 weist eine Sensiereinrichtung 110 auf, die typischerweise verschiedene Sensoren umfasst. Diese Sensoren können z.B. eine Videokamera 111, einen Radarsensor 112 oder einen akustischen Abstandssensor 114 zum Erfassen der Umgebung 400 mit den darin angeordneten Objekten, wie z.B. andere Fahrzeuge 401, Personen 402, Gebäude 403, Bäume 404, die befahrene Straße 407 und/oder Verkehrszeichen 408, umfassen. Ferner umfasst die Sensiereinrichtung 110 in der Regel auch Sensoren zum Erfassen des Zustands bzw. Bewegungszustands des Fahrzeugs 100, wie zum z.B. ein Inertialsensor 113 und/oder ein Lenkwinkelsensor 115. Die so gewonnenen Sensordaten werden von einer bordeigenen Steuereinrichtung 120 des Fahrzeugs 100 ausgewertet, die anschließend eine Aktuatoreinrichtung 140 des Fahrzeugs 100 steuert. Auf diese Weise kann sich das Fahrzeug 100 autonom entlang einer optimalen Trajektorie 101 fortbewegen. Wie aus der 1 ersichtlich ist, umfasst das Fahrzeug 100 im vorliegenden Beispiel ferner eine Kommunikationseinrichtung 180 zum Herstellen einer drahtlosen Kommunikationsverbindung 310 zu einem externen Server 200, der neben einer entsprechenden drahtlosen Kommunikationseinrichtung 110 auch eine Datenverarbeitungseinrichtung 220 umfasst.
  • Die 2 zeigt ein vereinfachtes Schema einer typischen Sense-Plan-Act-Architektur für ein AD-System, wie das automatisierte Fahrzeug 100 aus 1. Die hier gezeigte Architektur umfasst dabei drei Komponenten, nämlich einen Sense-Funktionsblock 110, einen Plan-Funktionsblock 130 und einen Act-Funktionsblock 170. Der für die Perzeption und Fusion von Sensordaten zuständige Sense-Funktionsblock 110 ist im vorliegenden Fall in Form einer Sensiereinrichtung des Fahrzeugs 100 realisiert, die Umfeldinformationen aus der Umgebung 400 des Fahrzeugs 100 erfasst und interpretiert sowie entsprechend aufbereitete Sensordaten bereitstellt. Der für die Prädiktion und Verhaltens-/Trajektorienplanung zuständige Plan-Funktionsblock 130 ist im vorliegenden Fall in Form einer Planungseinrichtung des Fahrzeugs 100 realisiert, die ein geeignetes Verhalten des automatisierten Fahrzeugs 100 anhand der bereitgestellten Sensordaten ermittelt und geeignete Steuerungsanweisungen bereitstellt. Schließlich ist der für die Ausführung der Steueranweisungen zuständige Act-Funktionsblock 170 im vorliegenden Fall in Form einer Aktuatoreinrichtung des Fahrzeugs 100 realisiert, welche die Steuerungsanweisungen umsetzt, wobei das Fahrzeug 100 durch gezieltes Aktivieren geeigneter Aktuatoren gesteuert wird. Der von dem Act-Funktionsblock 170 abgehende Pfeil repräsentiert dabei die daraus resultierende Interaktion des Fahrzeugs 100 mit seiner Umgebung 400.
  • Insbesondere bei den ersten beiden Funktionsblöcken der in 2 gezeigten Verarbeitungskette führen funktionelle Unzulänglichkeiten, wie z.B. Falschmessungen (Sensoren, Messfehler) und fehlerhafte Zustandsschätzungen (Algorithmen, fehlerhafte Modelle), zu fehlerhaften Ergebnissen. Typischerweise werden diese Fehler mit einer Reihe von kaskadierten Gegenmaßnahmen kompensiert bzw. gemildert, wie z.B. Filtern über die Zeit, Multi-Sensor-Fusion und semantisches Argumentieren auf verschiedenen Abstraktionsebenen entlang der Verarbeitungskette. Viele dieser Gegenmaßnahmen auf heuristischen Modellen basieren, führen sie zu Ergebnissen, die noch einen residualen, typischerweise szenarioabhängigen Unsicherheitsgrad (Uncertainity) aufweisen, der z.B. über Genauigkeiten, Varianzen, Konfidenzen, Wahrscheinlichkeiten, Verwechslungsmatrizen etc. ausgedrückt werden kann. Solche Unsicherheiten innerhalb der Gesamtsystem-Architektur entlang der Verarbeitungskette lassen sich mittels harter Entscheidungen reduzieren, die je nach dem gewählten Ansatz an verschiedenen Punkten der Datenverarbeitungskette erfolgen. Darunter werden dabei insbesondere Prozesse, wie z.B. Grenzwertvergleiche, verstanden, die zu einer reduzierten Unsicherheit führen. Zur Veranschaulichung werden im Folgenden zwei dieser Ansätze näher erläutert, nämlich die „All-local-decision-Architecture“, bei der die Unsicherheiten schon zwischenzeitlich (lokal) durch Grenzwertvergleiche herausgefiltert werden, und die „All-global-decision-architecture“, bei der die Unsicherheiten durchpropagiert und erst am Ende der Verarbeitungskette (global) herausgefiltert werden. So ist in der 3 ein detaillierteres Schema einer Sense-Plan-Act-Architektur aus 1 dargestellt, in deren Datenverarbeitungskette 125 als Strategie zur Unsicherheitsreduktion eine „All-global-decision-architecture“ implementiert wurde. Wie aus der 3 ersichtlich ist, umfasst die Sensiereinrichtung 110 dabei wenigstens einen Sensor (zur Vereinfachung ist lediglich die Videokamera 111 aus 1 dargestellt) zum Erfassen von Informationen aus der Umgebung 400. Zur Verarbeitung der anfallenden Sensordaten umfasst die Sensiereinrichtung 110 ferner eine Filtereinrichtung 121 mit zwei parallel arbeitenden Filtern 122, 123. Der Filtereinrichtung 121 nachgeschaltet ist ferner eine Auswerteinrichtung 124, welche die von der Filtereinrichtung 121 bereitgestellten Sensordaten interpretiert und eine entsprechende Prädiktion der mittels der Sensorik erfassten Zustände und Objekte durchführt. Die Ergebnisse der Auswerteeinrichtung 124 werden wenigstens einem Planer 131 der Planungseinrichtung 130 zugeführt, welcher für das Fahrzeug 100 eine Trajektorien- und/oder Verhaltensplanung durchführt. Wie in der 3 mittels einer gestrichelten Linie angedeutet ist, bilden die Filter 122,123, die Auswerteeinrichtung 124 und der Planer 131 eine Datenverarbeitungskette 125 der Steuereinrichtung 120 des Fahrzeugs 100. Die Komponenten 121, 124 und 131 der Steuereinrichtung 120 können dabei sowohl in Form einzelner, miteinander verbundener Module oder in Form eines gemeinsamen Moduls ausgebildet sein.
  • Zur Reduktion von Unsicherheiten umfasst die Steuereinrichtung 120 ferner eine Unsicherheitsreduktionseinrichtung 140. Bei der hier gezeigten „All-global-decision-architecture“ umfasst die Unsicherheitsreduktionseinrichtung 140 lediglich ein Modul (Prozess bzw. Einrichtung) 144 zur Unsicherheitsreduktion durch harte Entscheidungen, wie z.B. lokale Grenzwertvergleiche. Wie mittels der schwarzen Linie angedeutet ist, befindet sich die betreffende Komponente 144 der Unsicherheitsreduktionseinrichtung 140 am Ende der Datenverarbeitungskette 125 der Steuereinrichtung 120.
  • Die 4 zeigt ein detailliertes Schema der Sense-Plan-Act-Architektur aus 1, wobei diesmal in der Datenverarbeitungskette 125 eine „All-global-decision-architecture“ als Strategie zur Unsicherheitsreduktion implementiert ist. Im Unterschied zu der im Zusammenhang mit 3 erläuterten „Al-local-decision-Architecture“ werden bei der „All-global-decision-architecture“ Unsicherheiten durch harte Entscheidungen an verschiedenen Stellen der Datenverarbeitungskette 125 reduziert, z.B. nach jedem Datenverarbeitungsprozesses. Die entsprechende Unsicherheitsreduktionseinrichtung 140 umfasst daher mehrere entlang der Datenverarbeitungskette verteilt angeordnete Module (Prozesse bzw. Einrichtungen) 141, 142, 143, 144, die zur Unsicherheitsreduktion harte Entscheidung, wie z.B. lokale Grenzwertvergleiche durchführen. Diese Module sind in der 4 mittels schwarzer Linien veranschaulicht.
  • Um die Fragilität bestimmter Situationen bei der auf Sensordaten basierenden Datenverarbeitung besonders gut erkennen zu können, werden zwei Datenverarbeitungspfade mit jeweils unterschiedlicher Sicherheitsarchitektur implementiert, wobei lediglich einer der Datenverarbeitungspfade zur Steuerung des Fahrzeugs verwendet wird. Hierzu zeigt die 5 eine erste mögliche Ausführungsform eines solchen Systems mit erweiterter Systemarchitektur. Im Unterschied zu einer in den 3 und 4 dargestellten einfachen Systemarchitektur, umfasst die Steuereinrichtung 120 des Fahrzeugs 100 neben der nunmehr als Primärpfad dienenden ersten Datenverarbeitungskette 1251 auch eine als Sekundärpfad dienende zweite Datenverarbeitungskette 1252. Wie aus der 5 ersichtlich ist, verarbeiten beide Datenverarbeitungsketten 1251, 1252 die von dem wenigstens einem Sensor 111 bereitgestellten Sensordaten unabhängig voneinander, wobei jedoch lediglich die von der ersten Datenverarbeitungskette (Primärpfad) 1251 generierten Steuerungsdaten zur Steuerung der Aktuatoreinrichtung 170 des Fahrzeugs verwendet werden. Hingegen dienen die von der zweiten Datenverarbeitungskette (Skundärpfad) 1252 generierten Steuerungsdaten lediglich zum Vergleich der beiden Ergebnisse. Wie mittels einer gestrichelten Linie angedeutet, kann die Steuereinrichtung 120 jedoch auch ausgebildet sein, im Fall eines Fehlers oder Ausfalls innerhalb der ersten Datenverarbeitungskette 1251 gegebenenfalls die mittels der zweiten Datenverarbeitungskette 1252 generierten Steuerungsdaten anstatt der durch die erste Datenverarbeitungskette 1251 generierten Steuerungsdaten zur Steuerung der Aktuatoreinrichtung 170 des Fahrzeugs 100 zu verwenden. Wie aus der 5 ferner ersichtlich ist, werden die am Ende der beiden Datenverarbeitungsketten 1251, 1252 vorliegenden Ergebnisse mitsamt den zugehörigen Unsicherheiten und anderen Metadaten einer Überwachungseinrichtung 150 bereitgestellt, die im vorliegenden Ausgangsbeispiel als Teil der Steuereinrichtung 120 des Fahrzeugs 100 ausgebildet ist. Die Überwachungseinrichtung 150 umfasst dabei eine Vergleichseinrichtung 151, die anhand dieser Daten einen Fragilitätsindikator für den aktuellen Datenverarbeitungszyklus in den beiden Datenverarbeitungsketten 1251, 1252 ermittelt. Das erfolgt insbesondere durch einen Vergleich der bereitgestellten Ergebnisse, Unsicherheiten und weiterer Metadaten aus den beiden Datenverarbeitungsketten 1251, 1252. Als Fragilitätsindikatoren können dabei bestimmte Abweichungen der Daten der ersten Datenverarbeitungskette 1251 von den Daten der zweiten Datenverarbeitungsketten 1252 dienen. Liegt eine solche Abweichung vor, so stellt die Vergleichseinrichtung 151 das Vorliegen einer Situation mit einer hohen Fragilität der aktuellen Datenverarbeitung innerhalb wenigstens einer der beiden Datenverarbeitungsketten 1251, 1252. Innerhalb der Überwachungseinrichtung 150 wird daraufhin ein Trigger ausgelöst, der ein Abspeichern möglichst aller zur Analyse der aktuellen Situation notwendiger Daten in einem der betreffenden Situationen zugeordneten Datensatz 153 bewirkt. Dieser Datensatz kann neben den aktuellen Ergebnissen aus den beiden Datenverarbeitungsketten 1251, 1252 und den zugehörigen Unsicherheiten und weiterer Metadaten auch weitere Daten umfassen, wie zum Beispiel bestimmte Zwischenwerte aus den beiden Datenverarbeitungsketten 1251, 1252 und Sensorrohdaten. Diese zusätzlichen Daten werden, wie in der 5 mithilfe von Pfeilen angedeutet ist, im laufenden Betrieb der Überwachungseinrichtung bereitgestellt, die die betreffenden Daten zusammen mit den Endergebnissen und den zugehörigen Metadaten in der Speichereinrichtung 152 ablegt. Dieses Ablegen der betreffenden Daten in der Speichereinrichtung 152 erfolgt vorzugsweise fortlaufend, wobei die Speichereinrichtung 152 in Form eines Ringspeichers ausgebildet sein kann. In dem Fall, dass das Vorliegen einer Situation hoher Fragilität festgestellt wird, kann nach Auslösen des Triggers ein Überführen des im Ringspeicher nicht dauerhaft gespeicherten Datensatzes 153 in einen dauerhaften Speicher erfolgen. Bei dem dauerhaften Speicher kann es sich beispielsweise um einen speziellen Speicherbereich der Speichereinrichtung oder um eine hier nicht näher dargestellte separate Speichereinrichtung handeln.
  • Wie aus der 5 ferner ersichtlich ist, kann der einer bestimmten Situation hoher Fragilität zugeordnete Datensatz 153 anschließend einer Optimierungseinrichtung 160 bereitgestellt werden, welche durch eine Analyse der bereitgestellten Daten die zu der Situation hoher Fragilität führenden fehlerhaften Datenverarbeitungsprozesse innerhalb der wenigstens einen Datenverarbeitungskette 1251, 1252 identifizieren und die betreffenden Algorithmen innerhalb der Datenverarbeitungsketten 1251, 1252 in einer derartigen Weise modifizieren bzw. optimieren kann, dass es in einer vergleichbaren Situation nicht mehr zum Auftreten der jeweiligen Situation hoher Fragilität kommt. Diese Optimierung bzw. Modifizierung der betreffenden Algorithmen ist in der 5 mittels zweier Pfeile veranschaulicht.
  • Wie die 5 veranschaulicht, kann es sich bei der Optimierungseinrichtung 160 um eine außerhalb des Fahrzeugs 100 angeordnete Einrichtung handeln. Diese kann beispielsweise auf einem externen Server realisiert sein, der beispielsweise über eine drahtlose Kommunikationsverbindung mit dem Fahrzeug 100 kommuniziert. Eine solche externe Optimierungseinrichtung 160 vereinfacht die Steuereinrichtung 120 des Fahrzeugs 100 und ermöglicht darüber hinaus die Modifikation und Optimierung von Algorithmen eine Vielzahl von Fahrzeugen, wie zum Beispiel den Fahrzeugen einer ganzen Fahrzeugflotte. Ein weiterer Vorteil einer externen Optimierungseinrichtung 160 ist, dass die entsprechenden Daten einem menschlichen Entwickler der betreffenden Software bereitgestellt werden, der die Daten auswertet und die fehlerhaften Algorithmen in geeigneter Weise modifiziert bzw. optimiert. Je nach Anwendung kann die Auswertung der Daten und/oder die darauf basierende Modifikation bzw. Optimierung der betreffenden Algorithmen automatisiert, d.h. gänzlich ohne oder unter einer lediglich geringen menschlichen Beteiligung erfolgen.
  • Grundsätzlich ist es jedoch auch möglich, eine geeignete Optimierungseinrichtung 160 fahrzeugseitig unterzubringen. Hierzu zeigt die 6 eine weitere Ausführungsform, bei der die Optimierungseinrichtung 160 innerhalb der Steuereinrichtung 120 des Fahrzeugs 100 implementiert wurde. Des Weiteren sind auch Kombinationen der beiden in der 5 und 6 gezeigten Ausführungsformen möglich, wobei bestimmte Modifikations- bzw. Optimierungsprozesse von einer fahrzeugseitigen Optimierungseinrichtung 160 durchgeführt werden, während andere Modifikations- bzw. Optimierungsprozesse von einer externen Optimierungseinrichtung 160 mit oder ohne menschlicher Beteiligung durchgeführt werden.
  • Grundsätzlich ist es auch möglich, die Daten des jeweils aktuellen Datensatzes 153 auch direkt, d.h. ohne eine dauerhafte Speicherung in der Speichereirichtung 152 an die Optimierungseinrichtung 160 zu übertragen. Allerdings dürfte dieses Vorgehen im Falle einer Datenübertagung an die externen Optimierungseinrichtung 160 sehr von der Qualität und Geschwindigkeit zur Verfügung stehenden Kommunikationsverbindung abhängig sein.
  • In den folgenden 7 bis 9 werden mögliche Propagationen von Unsicherheiten und den sich daraus ergebenden Fehlern entlang der beiden parallelen Datenverarbeitungsketten 1251, 1252 der in den 5 und 6 gezeigten Steuereinrichtungen 120 anhand von drei Beispielen veranschaulicht. Dabei werden schematisch jeweils die Ergebnisse der einzelnen Prozesse durch Kreise und die sich bei den jeweiligen Prozessen ergebenden und diesen Ergebnissen zugeordneten Unsicherheiten durch Dreiecke bzw. trapezförmige Vierecke dargestellt. Ferner wird die mittels der Fahrzeug-Sensorik erfolgenden Messung jeweils mittels eines Rechtecks veranschaulicht. Wie aus der 7 ersichtlich ist, liefert die Messung 610 im vorliegenden Fall ein eindeutiges Messergebnis 611 mit einer bestimmten Unsicherheit 612. Zu Beginn der nachfolgenden Datenverarbeitung 620, welche die Funktionen Filtern 121 und Planen 124 aus den 3 und 4 umfasst, wird die Unsicherheit 612 des vorhergegangenen Schrittes in dem auf der MORI-Architektur basierenden Primärpfad 1251 durchpropagiert, während in dem auf der URI-Architektur basierenden Sekundärpfad 1252 die an dieser Stelle vorliegende Unsicherheit 612 durch eine harte Entscheidung reduziert wird. Wie aus der 7 ferner ersichtlich ist, führen beide Datenverarbeitungspfade 1251, 1252 zu gleichen (End-) Ergebnissen 621, 622, wobei die zugehörige Unsicherheit 623 im Primärpfad 1251 geringer ist als die entsprechende Unsicherheit 624 im Sekundärpfad 1252. Auch zu Beginn der zweiten Datenverarbeitung 630 wird die nach der ersten Datenverarbeitung 620 im Primärpfad 1251 vorliegende Unsicherheit 623 beibehalten, während die zu diesem Zeitpunkt im Sekundärpfad 1252 vorliegende Unsicherheit 624 erneut durch eine harte Entscheidung reduziert wird. In dem vorliegenden Beispiel liefern beide Datenverarbeitungspfade am Ende der zweiten Datenverarbeitung 630 ebenfalls gleiche Ergebnisse 631, 632. Auch die nach der zweiten Datenverarbeitung 630 in den beiden Datenverarbeitungspfaden 1251, 1252 resultierenden Unsicherheiten 633, 634 sind relativ gering und weichen zu diesem Zeitpunkt nicht wesentlich voneinander ab. Folglich kann mit einer hohen Wahrscheinlichkeit davon ausgegangen werden, dass die betreffende Datenverarbeitung stabil war es in keinem der Datenverarbeitungspfade 1251, 1252 zu keiner fragilen Situation gekommen ist.
  • Die 8 veranschaulicht hingegen eine Situation, bei der die beiden Datenverarbeitungspfade 1251, 1252 zu unterschiedlichen Ergebnissen 6311, 6312, 632 und unterschiedlichen Unsicherheiten 633, 634 kommen. Zwar liefert die Datenverarbeitung 620, 630 im Sekundärpfad 1252 ein eindeutiges Ergebnis 632 bei geringer Unsicherheit 634, aber die zweite Datenverarbeitung 630 im Primärpfad 1251 liefert uneindeutige Ergebnisse 6311, 6312, die ferner mit einer relativ hohen Unsicherheit 633 behaftet sind. Ein Vergleich der Ergebnisse 6311, 6312, 632 und der zugehörigen Unsicherheiten 633, 634 liefert folglich einen Fragilitätsindikator, der auf eine Situation hoher Fragilität in wenigstens einem der beiden Funktionspfade 1251, 1252 schließen lässt. Eine nähere Analyse der Ergebnisse und Unsicherheiten ermöglicht eine Identifizierung des betreffenden Funktionspfades 1251, 1252 und gegebenenfalls auch des betreffenden Datenverarbeitungsprozesses, der zu den fehlerhaften Ergebnissen führt.
  • Auch die 9 veranschaulicht eine Situation, bei der die beiden Funktionspfade 1251, 1252 unterschiedliche Ergebnisse 631, 632 und Unsicherheiten 633, 634 liefern. Wie hieraus ersichtlich ist, stellt der zweite Datenverarbeitungsprozesses 630 des Primärpfads 1251 zwar ein eindeutiges Ergebnis 631 mit einer relativ geringen Unsicherheit 633 zur Verfügung, allerdings weicht das Ergebnis 632 des Sekundärpfads 1252 von dem Ergebnis 631 des Primärpfads 1251 deutlich ab und weist ferner eine relativ hohe Unsicherheit 634 auf. Infolgedessen lässt der durch einen Vergleich dieser Ergebnisse und Unsicherheiten ermittelte Funktionsindikator den Schluss zu, dass in wenigstens einem der beiden Funktionspfade 1251, 1252 eine Situation mit hoher Fragilität vorliegt.
  • Die 10 zeigt ein vereinfachtes Ablaufdiagramm des hier beschriebenen Verfahrens. Dabei werden im Verfahrensschritt 510 Sensordaten bereitgestellt. Im Verfahrensschritt 520 erfolgt eine parallele Datenverarbeitung mittels der beiden Datenverarbeitungsketten. Die Datenverarbeitungsketten umfassen in der Regel einen Filterprozess 521 zur Auswertung der Sensordaten, einen Interpretations- und Vorhersageprozess 522 zur Interpretation der Sensordaten und zur Vorhersage der zukünftigen Entwicklung der aktuellen Situation sowie einen Planungsprozess 523 zur Planung des Verhaltens des Fahrzeugs 100. Der Datenverarbeitungsprozess 520 umfasst typischerweise auch einen Unsicherheitsreduktionsprozess 524, in dem an bestimmten, von der jeweiligen Systemarchitektur abhängigen Punkten bzw. Stellen der beiden Datenverarbeitungsketten bestimmte Unsicherheiten durch harte Entscheidung reduziert werden. In einem nachfolgenden Verfahrensschritt 530 findet ein Vergleich bestimmter Ergebnisse, Unsicherheiten und/oder Metadaten aus den beiden Datenverarbeitungsketten der Datenverarbeitung 520 statt. Dieser Verfahrensschritt 530 umfasst auch das Auslösen eines Triggers, wenn durch diesen Vergleich das Vorliegen einer fragilen Situation in der Datenverarbeitung festgestellt wird. Das Auslösen des Triggers bewirkt im nachfolgenden Verfahrensschritt 540 ein Sichern und Bereitstellen relevanter Daten, die der aktuellen fragilen Situation zugeordnet sind und anhand derer sich diese Situation ausreichend rekonstruieren bzw. analysieren lässt, an eine Optimierungseinrichtung 160. Anhand der bereitgestellten relevanten Daten kann eine Optimierung 550 der in der Datenverarbeitung 520 verwendeten Algorithmen durchgeführt werden. Eine solche Optimierung 550 umfasst ein Auswerten der relevanten Daten 551 sowie ein hier mittels eines Pfeils angedeutetes Modifizieren der betreffenden Algorithmen 552.
  • Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt. Vielmehr können hieraus auch andere Variationen vom Fachmann abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims (11)

  1. Verfahren zum Steuern eines automatisierten Fahrzeugs (100), wobei Sensordaten (611) der aktuellen Situation, in der sich das Fahrzeug (100) befindet, bereitgestellt werden, wobei die bereitgestellten Sensordaten (611) mittels einer primären Datenverarbeitungskette (1251) und parallel dazu auch mittels einer sekundären Datenverarbeitungskette (1252) verarbeitet werden, um Steuerungsdaten für wenigstens einen Aktuator (161) des automatisierten Fahrzeugs (100) bereitzustellen, wobei die beiden Datenverarbeitungsketten (1251, 1252), die jeweils mehrere aufeinanderfolgende Datenverarbeitungsprozesse (521, 522, 523, 524) umfassen, jeweils unterschiedliche Strategien zur Unsicherheitsreduktion aufweisen, wobei die Ergebnisse (611, 621, 622, 631, 632) bestimmter Datenverarbeitungsprozesse (521, 522, 523, 524) der beiden Datenverarbeitungsketten (1251, 1252) und/oder diesen Ergebnissen zugeordnete Unsicherheiten miteinander verglichen werden, um einen Fragilitätsindikator zu ermitteln, der eine Fragilität der aktuellen Datenverarbeitung in wenigstens einer Datenverarbeitungskette (1251, 1252) beschreibt, wobei in dem Fall, dass anhand des ermittelten Fragilitätsindikators eine Situation hoher Fragilität der aktuellen Datenverarbeitung in wenigstens einer Datenverarbeitungskette (1251, 1252) festgestellt wird, ein der aktuellen Situation hoher Fragilität zugeordneter Datensatz (153) umfassend die aktuellen Ergebnisse (611, 621, 622, 631, 632) der Datenverarbeitungsprozesse (521, 522, 523, 524) aus den beiden Datenverarbeitungsketten (1251, 1252) sowie die zu ihrer Ermittlung verwendeten Daten in einer Speichereinrichtung (152) gespeichert wird.
  2. Verfahren nach Anspruch 1, wobei der in der Speichereinrichtung (152) gespeicherte Datensatz (153) einer Optimierungseinrichtung (160) bereitgestellt wird, die anhand der darin enthaltenen Daten eine Optimierung (550) wenigstens eines von den Datenverarbeitungsprozessen (521, 522, 523, 524) der beiden Datenverarbeitungsketten (1251, 1252) verwendeten Algorithmus und/oder ein Training wenigstens eines diesen Datenverarbeitungsprozessen (521, 522, 523, 524) zugeordneten maschinellen Lernalgorithmus durchführt.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei der in der Speichereinrichtung (152) gespeicherte Datensatz (153) zusätzlich auch Daten der beiden Datenverarbeitungsketten (1251, 1252) von einem bestimmten Zeitraum vor dem Auftreten der aktuellen Situation hoher Fragilität umfasst.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Vorliegen einer Situation hoher Fragilität festgestellt wird, wenn wenigstens einer der folgenden Fragilitätsindikatoren ermittelt wird: - eine Abweichung der Ergebnisse (611, 621, 622, 631, 632) zweier korrespondierender Datenverarbeitungsprozesse (521, 522, 523, 524) der beiden Datenverarbeitungsketten (1251, 1252) überschreitet einen vorgegebenen Schwellwert, - ein Datenverarbeitungsprozess (521, 522, 523, 524) aus einer Datenverarbeitungskette (1251, 1252) liefert ein eindeutiges Ergebnis (611, 621, 622, 631, 632), während der korrespondierende Datenverarbeitungsprozess (521, 522, 523, 524) aus der jeweils parallelen Datenverarbeitungskette (1251, 1252) ein uneindeutiges Ergebnis (611, 621, 622, 631, 632) liefert, - das Ergebnis (611, 621, 622, 631, 632) einer Datenverarbeitungskette (1251, 1252) weist eine hohe Unsicherheit auf, während das Ergebnis (611, 621, 622, 631, 632) der dazu jeweils parallelen Datenverarbeitungskette (1251, 1252) eine geringe Unsicherheit aufweist, - den Ergebnissen (611, 621, 622, 631, 632) zweier korrespondierender Datenverarbeitungsprozesse (521, 522, 523, 524) der beiden Datenverarbeitungsketten (1251, 1252) zugeordnete Metadaten weisen eine Abweichung voneinander auf, die einen vorgegebenen Schwellwert überschreitet.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei die jeweils aktuellen Datensätze (153) fortlaufend in Form von Datensätzen (153) in einer als Ringspeicher ausgebildeten Speichereinrichtung (152) gespeichert werden, wobei dabei die Daten der älteren Datensätze (153) fortlaufend durch die Daten neuer Datensätze (153) überschreiben werden, und wobei in dem Fall, dass eine Situation hoher Fragilität der aktuellen Datenverarbeitung festgestellt wird, die in der Speichereinrichtung (152) zuletzt gespeicherten und dieser Situation hoher Fragilität zugeordneten Daten (153) dauerhaft gespeichert werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Strategien zur Unsicherheitsreduktion der Datenverarbeitungsketten (1251, 1252) ein Reduzieren von Unsicherheiten an wenigstens einem Punkt der jeweiligen Datenverarbeitungskette (125,126) mittels harter Entscheidungen vorsehen, wobei sich die Strategien zur Unsicherheitsreduktion der beiden Datenverarbeitungsketten (1251, 1252) darin unterscheiden, dass bei einer Datenverarbeitungskette (1251, 1252) an wenigstens einem Punkt eine harte Entscheidung erfolgt, während bei der jeweils anderen Datenverarbeitungskette (1251, 1252) an dem korrespondierenden Punkt eine solche harte Entscheidung nicht erfolgt.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei die gewonnen Daten (153) zur Optimierung klassischer Algorithmen und/oder maschineller Lernalgorithmen verwendet werden.
  8. Steuereinrichtung (120) für ein automatisiertes Fahrzeug (100), die eingerichtet ist, wenigstens einen Teil der Schritte des Verfahrens gemäß einem der Ansprüche 1 bis 7 durchzuführen, umfassend: - eine Überwachungseinrichtung (150) mit einer Vergleichseinrichtung (151) ausgebildet zum Feststellen einer Situation hoher Fragilität durch Vergleichen der Ergebnisse (611, 621, 622, 631, 632) und/oder diesen Ergebnissen zugeordnete Unsicherheiten von wenigstens zwei korrespondierenden Datenverarbeitungsprozessen (521, 522, 523, 524) der beiden Datenverarbeitungsketten (1251, 1252), und - eine Speichereinrichtung (152) ausgebildet zum Speichern eines der aktuellen Situation hoher Fragilität zugeordneten Datensatzes (153) umfassend die aktuellen Ergebnisse (611, 621, 622, 631, 632) der korrespondierenden Datenverarbeitungsprozesse (521, 522, 523, 524), diesen Ergebnissen zugeordnete Unsicherheiten sowie die zu Ihrer Ermittlung verwendeten Daten.
  9. Steuereinrichtung (120) nach Anspruch 8, wobei die Speichereinrichtung (152) in Form eines Ringspeichers ausgebildet ist, in dem die jeweils aktuellen Datensätze (153) fortlaufend in Form von Datensätzen (153) gespeichert und die Daten älterer Datensätze (153) fortlaufend durch die Daten neuerer Datensätze (153) ersetzt werden, und wobei die Überwachungseinrichtung (150) ausgebildet ist bei Feststellen einer Situation hoher Fragilität in der aktuellen Datenverarbeitung der beiden Datenverarbeitungsketten (1251, 1252) den jeweils aktuellen Datensatz (153) einer Optimierungseinrichtung (160) bereitzustellen.
  10. Computerprogramm umfassend Befehle, die bei der Ausführung des Computerprogramms durch einen Computer diesen veranlassen, ein Verfahren gemäß einem der Ansprüche 1 bis 7 auszuführen.
  11. Computerlesbares Speichermedium (152), auf dem ein Computerprogramm nach Anspruch 10 gespeichert ist.
DE102022207598.6A 2022-07-26 2022-07-26 Verfahren und Steuereinrichtung zum Steuern eines automatisierten Fahrzeugs Pending DE102022207598A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022207598.6A DE102022207598A1 (de) 2022-07-26 2022-07-26 Verfahren und Steuereinrichtung zum Steuern eines automatisierten Fahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022207598.6A DE102022207598A1 (de) 2022-07-26 2022-07-26 Verfahren und Steuereinrichtung zum Steuern eines automatisierten Fahrzeugs

Publications (1)

Publication Number Publication Date
DE102022207598A1 true DE102022207598A1 (de) 2024-02-01

Family

ID=89508234

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022207598.6A Pending DE102022207598A1 (de) 2022-07-26 2022-07-26 Verfahren und Steuereinrichtung zum Steuern eines automatisierten Fahrzeugs

Country Status (1)

Country Link
DE (1) DE102022207598A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014212703A1 (de) 2014-07-01 2016-01-07 Continental Teves Ag & Co. Ohg M2XPro-Überwachung durch Integritätsmaßspeicherung
DE102020203828A1 (de) 2020-03-25 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Erkennen einer Umgebung eines Fahrzeugs
DE102020205419A1 (de) 2020-04-29 2021-11-04 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Auswertung von Signalen von Umfelderfassungssensoren für eine Trajektorienregelung und/oder -steuerung eines automatisiert betreibbaren Fahrzeuges

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014212703A1 (de) 2014-07-01 2016-01-07 Continental Teves Ag & Co. Ohg M2XPro-Überwachung durch Integritätsmaßspeicherung
DE102020203828A1 (de) 2020-03-25 2021-09-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Erkennen einer Umgebung eines Fahrzeugs
DE102020205419A1 (de) 2020-04-29 2021-11-04 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Auswertung von Signalen von Umfelderfassungssensoren für eine Trajektorienregelung und/oder -steuerung eines automatisiert betreibbaren Fahrzeuges

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Norm ISO/PAS 21448 2019-01-00. Road vehicles - Safety of the intended functionality.

Similar Documents

Publication Publication Date Title
AT521607B1 (de) Verfahren und Vorrichtung zum Testen eines Fahrerassistenzsystem
DE102008013366B4 (de) Verfahren zur Bereitstellung von Information für Fahrerassistenzsysteme
DE102017217733A1 (de) Prüfen eines neuronalen Netzes
DE102017214611B4 (de) Verfahren zum Überprüfen eines Reaktionssignals einer Fahrzeugkomponente sowie Überprüfungsvorrichtung und Kraftfahrzeug
WO2015139864A1 (de) Verfahren und vorrichtung zum betreiben eines fahrzeugs
DE102008014922B4 (de) Speicher-Auslesesystem für eine Fahrzeugsteuervorrichtung
DE102020209680B3 (de) Signalverarbeitungspfad, Vorrichtung zur Umfelderkennung und Verfahren zur Validierung eines automatisiert betreibbaren Fahrsystems
DE102019115330A1 (de) Echtzeit-Sicherheitspfaderzeugung für hochautomatisiertes Fahrzeugrückfallmanöver
DE102015224696A1 (de) Risikobasierte Steuerung eines Kraftfahrzeugs
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
DE102019204892A1 (de) Verfahren und Steuergerät zum Erkennen einer Müdigkeit eines Fahrers für ein Fahrassistenzsystem für ein Fahrzeug
DE102018209108A1 (de) Schnelle Fehleranalyse für technische Vorrichtungen mit maschinellem Lernen
DE112018005794T5 (de) System und Verfahren zum Steuern eines Kraftfahrzeugs zum autonomen Fahren
AT523834B1 (de) Verfahren und System zum Testen eines Fahrerassistenzsystems
DE102022207598A1 (de) Verfahren und Steuereinrichtung zum Steuern eines automatisierten Fahrzeugs
DE102019213797A1 (de) Verfahren zur Bewertung einer Sequenz von Repräsentationen zumindest eines Szenarios
DE102020213831B4 (de) Verfahren zum Ermitteln einer Existenzwahrscheinlichkeit eines möglichen Elements in einer Umgebung eines Kraftfahrzeugs, Fahrerassistenzsystem und Kraftfahrzeug
DE102019201690A1 (de) Verfahren und Assistenzsystem zur Umfeldüberwachung eines Ego-Fahrzeugs
DE102018207220A1 (de) Verfahren, Vorrichtung und Computerprogramm zum Detektieren eines Berechnungsfehlers oder einer Fehlfunktion
DE102021200789A1 (de) Computer-implementiertes Verfahren und Vorrichtung zur Manipulationserkennung für Abgasnachbehandlungssysteme mithilfe Verfahren künstlicher Intelligenz
DE102017201804A1 (de) Verfahren zum Erfassen von Daten, Verfahren zum Aktualisieren eines Szenarienkatalogs, Vorrichtung, Computerprogramm und maschinenlesbares Speichermedium
DE102020118628A1 (de) Verfahren und Vorrichtung zum Bestimmen einer Position eines Fahrzeugs
DE102020202552A1 (de) Validierung und Optimierung einer Degradierungserkennung einer sensorspezifischen Leistungsfähigkeit
DE102017221634B4 (de) Kraftfahrzeug mit einem Fahrzeugführungssystem, Verfahren zum Betrieb eines Fahrzeugführungssystems und Computerprogramm
DE102020001309A1 (de) Verfahren zum Betreiben einer elektronischen Recheneinrichtung für ein Kraftfahrzeug, sowie elektronische Recheneinrichtung

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed