DE112018005796T5

DE112018005796T5 - System and method for controlling a motor vehicle for autonomous driving

Info

Publication number: DE112018005796T5
Application number: DE112018005796.8T
Authority: DE
Inventors: Naveen Mohan; Per Roos; Johan Svahn
Original assignee: Scania CV AB
Current assignee: Scania CV AB
Priority date: 2017-12-20
Filing date: 2018-12-07
Publication date: 2020-08-13
Also published as: WO2019125269A1; SE541390C2; SE1751581A1

Abstract

Ein Kraftfahrzeug (MV) wird gesteuert, um in Übereinstimmung mit einem Sollpfad in Reaktion auf Sollsteuersignale (NCS) von einer Bank von Steuereinheiten (110) autonom zu fahren. Sicherheitsrichtlinien (P) werden mittels einer ersten Datenschnittstelleneinheit (163) bereitgestellt. Die Sicherheitsrichtlinien (P) werden über eine ersten Datenschnittstelleneinheit (163) bereitgestellt. Die Sicherheitsrichtlinien (P) beruhen auf einem Sicherheitsfall (SC), der vorschreibt, wie das Kraftfahrzeug (MV) gesteuert werden soll, um einen funktionellen Sicherheitsstandard zu erfüllen. Eine Überwachungseinheit (160) erhält Sensorsignale (SS) von dem Kraftfahrzeug (MV), die einen gegenwärtigen Zustand des Kraftfahrzeugs (MV) beschreiben, und erzeugt und auf der Grundlage der Steuersignale (SS) wiederholt Befehle ({cmd}), um die Randbedingungen ({bc}) zu aktualisieren, wobei darauf abgezielt wird, den Sollpfad innerhalb von Grenzen zu halten, die durch die Sensorsignale (SS) und die zumindest eine Sicherheitsrichtlinie (P) vorgegeben sind. Die Bank von Steuereinheiten liest den Satz von Randbedingungen ({bc}) aus, und steuert das Kraftfahrzeug (MV) dazu, sich derart zu bewegen, dass der Sollpfad die Randbedingungen ({bc}) erfüllt und daher als sicher gilt.A motor vehicle (MV) is controlled to autonomously drive in accordance with a desired path in response to desired control signals (NCS) from a bank of control units (110). Security guidelines (P) are provided by means of a first data interface unit (163). The security guidelines (P) are provided via a first data interface unit (163). The safety guidelines (P) are based on a safety case (SC) which prescribes how the motor vehicle (MV) is to be controlled in order to meet a functional safety standard. A monitoring unit (160) receives sensor signals (SS) from the motor vehicle (MV), which describe a current state of the motor vehicle (MV), and generates and on the basis of the control signals (SS) repeats commands ({cmd}) to set the boundary conditions ({bc}), the aim being to keep the target path within limits that are predetermined by the sensor signals (SS) and the at least one safety guideline (P). The bank of control units reads out the set of boundary conditions ({bc}) and controls the motor vehicle (MV) to move in such a way that the target path fulfills the boundary conditions ({bc}) and is therefore considered safe.

Description

Technisches GebietTechnical area

Die Erfindung betrifft im Allgemeinen autonome Fahrzeuge. Insbesondere betrifft die vorliegend Erfindung ein System zum Steuern eines Kraftfahrzeugs zum autonomen Fahren in Übereinstimmung mit einem Sollpfad und ein entsprechendes Verfahren. Die Erfindung betrifft auch ein Computerprogramm und einen nichtflüchtigen Datenträger.The invention relates generally to autonomous vehicles. In particular, the present invention relates to a system for controlling a motor vehicle for autonomous driving in accordance with a target path and a corresponding method. The invention also relates to a computer program and a non-volatile data carrier.

Hintergrundbackground

Heute besteht ein deutlicher Trend in Richtung vollständig autonomer Fahrzeuge. Natürlich sind Sicherheitsaspekte sehr wichtig, da kein menschlicher Fahrer beteiligt ist. Funktionelle Sicherheitsstandards, wie beispielsweise ISO 26262, fordern die Diagnosefunktionalität, die bezüglich Sicherheit erforderlich ist. Im Allgemeinen legen diese Standards deutlichen Mehraufwand auf eine Diagnose und die sichere Handhabung funktioneller Fehler. Zudem ist die Verifikation der Beweisbarkeit funktioneller Sicherheit ein sehr aufwändiger Vorgang. Typischerweise nimmt der Mehraufwand mit zunehmender Anzahl von Funktionen und der Komplexität der beteiligten Funktionen erheblich zu. Im Ergebnis stellen autonomes Fahren und damit verbundene Funktionen im Automobilbereich bisher eine der größten Herausforderungen hinsichtlich Komplexität dar.Today there is a clear trend towards fully autonomous vehicles. Of course, safety aspects are very important as there is no human driver involved. Functional safety standards, such as ISO 26262, require the diagnostic functionality that is required with regard to safety. In general, these standards place significant additional effort on diagnosis and the safe handling of functional errors. In addition, the verification of the verifiability of functional safety is a very complex process. Typically, the additional effort increases with the number of functions and the complexity of the functions involved. As a result, autonomous driving and related functions in the automotive sector have so far been one of the greatest challenges in terms of complexity.

US 2017/0277194 beschreibt, wie eine betriebsbezogene Steuerung eines Fahrzeugs erleichtert werden kann. Hier wird ein begrenzter Satz von Kandidatentrajektorien des Fahrzeugs erzeugt, die von dem Standort des Fahrzeug zu einem bestimmten Zeitpunkt ausgehen. Die Kandidatentrajektorien beruhen auf einem Zustand des Fahrzeugs sowie auf möglichen Verhaltensweisen des Fahrzeugs und der Umgebung bezüglich des Standorts des Fahrzeugs und dem bestimmten Zeitpunkt. Eine vermeintlich optimale Trajektorie wird aus den Kandidatentrajektorien beruhend auf Kosten ausgewählt, die mit den Kandidatentrajektorien zusammenhängen. Die Kosten schließen Kosten ein, die mit Verstößen gegen Betriebsregeln des Fahrzeugs zusammenhängen. Die ausgewählte vermeintlich optimale Trajektorie wird verwendet, um die betriebsbezogene Steuerung des Fahrzeugs zu erleichtern. US 2017/0277194 describes how operational control of a vehicle can be facilitated. Here, a limited set of candidate trajectories of the vehicle is generated, which are based on the location of the vehicle at a specific point in time. The candidate trajectories are based on a state of the vehicle and on possible behaviors of the vehicle and the environment with regard to the location of the vehicle and the specific point in time. A supposedly optimal trajectory is selected from the candidate trajectories based on costs associated with the candidate trajectories. The cost includes costs related to violations of operating rules of the vehicle. The selected supposedly optimal trajectory is used to facilitate the operational control of the vehicle.

EP 2 317 412 zeigt ein Sicherheitsverwaltungssystem für Ausstattung, die dazu eingerichtet ist, in einer Echtzeitumgebung autonom zu arbeiten. Deterministische und nicht-deterministische Prozessoren werden zum Verarbeiten eingehender Alarme und zum Erzeugen von Steuersignalen in Reaktion darauf bereitgestellt. Der nicht-deterministische Prozessor kann mit nicht eingelernten, komplexen und nicht vorhersagbaren Situationen umgehen, indem er im Wesentlichen zum Ende hin offene Vorgänge bereitstellt, die in großen Suchräumen ohne eine sichergestellte Lösung arbeiten. Der deterministische Prozessor überwacht ein Verhalten des nicht-deterministischen Prozessors und validiert Steuersignale desselben gegenüber Sicherheitsrichtlinien. Der deterministische Prozessor stellt zudem eine intelligente Schnittstelle zu dem nicht-deterministischen Prozessor bereit, die Alarme nur von dem deterministischen Prozessor erhält, und setzt eine zeitkritische Lieferung von Antworten durch. EP 2,317,412 shows a security management system for equipment which is arranged to operate autonomously in a real-time environment. Deterministic and non-deterministic processors are provided for processing incoming alarms and generating control signals in response thereto. The non-deterministic processor can deal with untrained, complex and unpredictable situations by essentially providing processes that are open towards the end and that work in large search areas without a guaranteed solution. The deterministic processor monitors a behavior of the non-deterministic processor and validates control signals of the same against safety guidelines. The deterministic processor also provides an intelligent interface to the non-deterministic processor that receives alarms only from the deterministic processor, and enforces a time-critical delivery of responses.

US 2015/0057869 offenbart Vorrichtungen, Verfahren und ein Speichermedium im Zusammenhang mit computergestützt unterstütztem oder autonomen Fahren von Fahrzeugen. Eine Berechnungsvorrichtung kann mehrere Daten erhalten, die mit Fahrzeugen zusammenhängen, die an unterschiedlichen Orten innerhalb einer Örtlichkeit fahren; und hierauf beruhend eine oder mehrere örtlichkeitsspezifische Richtlinien für computergestütztes unterstütztes oder autonomes Fahren von Fahrzeugen an der Örtlichkeit erzeugen. US 2015/0057869 discloses devices, methods and a storage medium in connection with computer-assisted or autonomous driving of vehicles. A computing device can obtain multiple data related to vehicles traveling in different locations within a locality; and, based on this, generate one or more location-specific guidelines for computer-assisted or autonomous driving of vehicles at the location.

Daher gibt es bekannte Beispiele von Lösungen zum Steuern von Kraftfahrzeugen zum autonomen Fahren in Übereinstimmung mit bestimmten Regeln und Richtlinien, während komplexe und nicht vorhersehbare Verkehrssituationen gehandhabt werden.Therefore, there are known examples of solutions for controlling automobiles for autonomous driving in accordance with certain rules and guidelines while handling complex and unpredictable traffic situations.

Selbstverständlich sind die Sicherheitsbestimmungen für autonom fahrende Kraftfahrzeuge sehr streng. Zum Beispiel muss die Software, die die autonome Fahrfunktionalität implementiert, ausführliche Tests durchlaufen, ehe sie zugelassen wird. Folglich ist es kostspielig und sehr zeitaufwändig, jegliche neue und/oder aktualisierte Funktionalität in ein autonom fahrendes Kraftfahrzeug zu integrieren.Of course, the safety regulations for autonomous vehicles are very strict. For example, the software that implements the autonomous driving functionality must go through extensive tests before it is approved. Consequently, it is costly and very time-consuming to integrate any new and / or updated functionality into an autonomously driving motor vehicle.

ZusammenfassungSummary

Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Aktualisieren bestehender Funktionen in einem System für ein autonomes Fahren zu erleichtern. Zudem ist es eine Aufgabe der Erfindung, den Vorgang eines Hinzufügens neuer Funktionen zu einem derartigen System zu vereinfachen.It is therefore an object of the present invention to make it easier to update existing functions in a system for autonomous driving. It is also an object of the invention to simplify the process of adding new functions to such a system.

Gemäß einem Aspekt der Erfindung werden diese Aufgaben gelöst durch ein System zum Steuern eines Kraftfahrzeugs zum autonomen Fahren, wobei das System umfasst: eine Bank von Steuereinheiten, eine Überwachungseinheit, einen Datenspeicher und eine erste Datenschnittstelleneinheit. Die Bank von Steuereinheiten beinhaltet eine Anzahl von Autosteuereinheiten (d. h. eine oder mehrere), die dazu eingerichtet sind, Sollsteuersignale zu erzeugen, die dazu eingerichtet sind, das Kraftfahrzeug dazu zu veranlassen, sich in Übereinstimmung mit einem Sollpfad autonom zu bewegen. Der Datenspeicher enthält einen Satz von Randbedingungen, die der Sollpfad erfüllen soll, um als sicher zu gelten. Die Überwachungseinheit ist dazu eingerichtet, von dem Kraftfahrzeug Sensorsignale zu erhalten, wobei die Sensorsignale einen gegenwärtigen Zustand des Kraftfahrzeugs beschreiben. Die Überwachungseinheit ist dazu eingerichtet, auf der Grundlage der Steuersignale Befehle zu erzeugen, die beeinflussen, wie die Bank von Steuereinheiten die Sollsteuersignalen erzeugt. Genauer gesagt ist die Überwachungseinheit dazu eingerichtet, die Befehle wiederholt zu erzeugen, um die Randbedingungen zu aktualisieren, wobei darauf abgezielt wird, den Sollpfad innerhalb von Grenzen zu halten, die durch die Sensorsignale und die zumindest eine Sicherheitsrichtlinie vorgegeben sind. Die erste Datenschnittstelleneinheit ist dazu eingerichtet, zumindest eine Sicherheitsrichtlinie bereitzustellen, die eine zugehörige aufgabenbezogene Regel beschreibt, die während des Betriebs des Kraftfahrzeugs zu befolgen ist. Im Speziellen ist die erste Datenschnittstelleneinheit dazu eingerichtet, die zumindest eine Sicherheitsrichtlinie auf der Grundlage eines Sicherheitsfalls bereitzustellen, der vorschreibt, wie das Kraftfahrzeug gesteuert werden soll, um einen funktionellen Sicherheitsstandard zu erfüllen. Die Bank von Steuereinheiten ist dazu eingerichtet, den Satz von Randbedingungen aus dem Datenspeicher auszulesen, und das Kraftfahrzeug zu steuern, sich derart zu bewegen, dass der Sollpfad die Randbedingungen erfüllt.According to one aspect of the invention, these objects are achieved by a system for controlling a motor vehicle for autonomous driving, the system comprising: a bank of control units, a monitoring unit, a data memory and a first data interface unit. The bank of control units includes a number of car control units (ie, one or more) that are configured to generate desired control signals that are configured to cause the motor vehicle to operate in accordance with to move a target path autonomously. The data memory contains a set of boundary conditions which the target path should meet in order to be considered safe. The monitoring unit is set up to receive sensor signals from the motor vehicle, the sensor signals describing a current state of the motor vehicle. The monitoring unit is configured to generate commands on the basis of the control signals which influence how the bank of control units generates the desired control signals. More precisely, the monitoring unit is set up to generate the commands repeatedly in order to update the boundary conditions, the aim being to keep the target path within limits that are predetermined by the sensor signals and the at least one safety guideline. The first data interface unit is set up to provide at least one security guideline which describes an associated task-related rule that is to be followed during operation of the motor vehicle. In particular, the first data interface unit is set up to provide the at least one safety guideline on the basis of a safety case which prescribes how the motor vehicle should be controlled in order to meet a functional safety standard. The bank of control units is set up to read out the set of boundary conditions from the data memory and to control the motor vehicle to move in such a way that the target path meets the boundary conditions.

Dieses System ist vorteilhaft, da die vorgeschlagene Verknüpfung der Sicherheitsrichtlinien und des Sicherheitsfalls es ermöglichen, wesentliche sicherheitskritische Teile der Ausgestaltung mittels der Sicherheitsrichtlinien festzulegen. Daher kann eine Funktionalität hinzugefügt und/oder aktualisiert werden, ohne dass eine Neuqualifikation der Autosteuereinheiten als solche erforderlich wäre. Selbstverständlich ist dies sowohl hinsichtlich der Kosten als auch Hinsichtlich des Aufwands vorteilhaft. This system is advantageous because the proposed linking of the security guidelines and the security case make it possible to define essential safety-critical parts of the configuration by means of the security guidelines. Therefore, functionality can be added and / or updated without the need to re-qualify the car control units as such. Of course, this is advantageous both in terms of costs and in terms of effort.

Gemäß Ausführungsformen dieses Aspekts der Erfindung schreibt der Sicherheitsfall jeweils einen Satz von Betriebsmodi vor, in denen das Kraftfahrzeug gesteuert werden soll, um in Abhängigkeit von einem gegenwärtigen Fehlerzustand des Kraftfahrzeugs gesteuert zu werden. Der Satz von Betriebsmodi kann beispielsweise umfassen: einen ersten Betriebsmodus, in dem das Kraftfahrzeug gesteuert werden soll, zu arbeiten, falls der gegenwärtige Fehlerstatus derart ist, dass die Leistungsfähigkeit des Kraftfahrzeugs unbeeinträchtigt ist; einen zweiten Betriebsmodus, in dem das Kraftfahrzeug gesteuert werden soll, zu arbeiten, falls der gegenwärtige Fehlerzustand derart ist, dass die Leistungsfähigkeit des Kraftfahrzeugs beschränkt ist; einen dritten Betriebsmodus, in dem das Kraftfahrzeug gesteuert werden soll, zu arbeiten, falls der gegenwärtige Fehlerzustand derart ist, dass das Kraftfahrzeug in einen Zustand minimalen Risikos versetzt werden muss; und einen vierten Betriebsmodus, der den Zustand minimalen Risikos repräsentiert. Daher kann ein sicherer Betrieb des Kraftfahrzeugs auf der Grundlage klarer und knapper Prinzipien gewährleistet werden.According to embodiments of this aspect of the invention, the safety case in each case prescribes a set of operating modes in which the motor vehicle is to be controlled in order to be controlled as a function of a current fault condition of the motor vehicle. The set of operating modes can include, for example: a first operating mode in which the motor vehicle is to be controlled to operate if the current fault status is such that the performance of the motor vehicle is unaffected; to operate a second operating mode in which the motor vehicle is to be controlled if the current fault condition is such that the performance of the motor vehicle is limited; a third operating mode in which the motor vehicle is to be controlled to work if the current fault condition is such that the motor vehicle must be placed in a state of minimal risk; and a fourth mode of operation that represents the minimum risk condition. Therefore, safe operation of the automobile can be ensured based on clear and concise principles.

Gemäß einer weiteren Ausführungsform dieses Aspekts der Erfindung betrifft die zumindest eine Sicherheitsrichtlinie: einen minimalen Abstand, den das Kraftfahrzeug zu einem nachgefolgten Fahrzeug einhalten soll, eine Geschwindigkeitsbeschränkung, die das Kraftfahrzeug einhalten soll, Definitionen sicherer Halteorte, die das Kraftfahrzeug im Fall eines Fehlers in dem Kraftfahrzeug zu erreichen im Stande sein soll (zum Beispiel eine Anzahl von sicheren Haltepunkten, die stets erreichbar sein sollen, sowie eine entsprechende Qualität derselben), und einen Satz von Maßnahmen, die in dem Fall ergriffen werden sollen, dass einer oder mehrere Sätze von Fehlern in dem Kraftfahrzeug auftreten. Dies mach die Ausgestaltung sehr effizient, insbesondere hinsichtlich zukünftiger Aktualisierungen und Entwicklungen.According to a further embodiment of this aspect of the invention, the at least one safety guideline relates to: a minimum distance that the motor vehicle should keep to a vehicle following, a speed limit that the motor vehicle should keep, definitions of safe stopping locations that the motor vehicle should keep in the event of a fault Motor vehicle should be able to reach (for example a number of safe stopping points that should always be reachable, and a corresponding quality thereof), and a set of measures to be taken in the event that one or more sets of errors occur in the motor vehicle. This makes the design very efficient, especially with regard to future updates and developments.

Gemäß anderen Ausführungsformen dieses Aspekts der Erfindung umfasst die Überwachungseinheit eine Systemzustandsüberwachungseinheit und eine Sicherheitseinheit. Die Systemzustandsüberwachungseinheit ist dazu eingerichtet, die Sensorsignale zu erhalten und darauf beruhend Fahrzeugzustandsdaten abzuleiten, die einen funktionellen Zustand des Kraftfahrzeugs repräsentieren. Die Sicherheitseinheit ist dazu eingerichtet, die Fahrzeugzustandsdaten und die zumindest eine Sicherheitsrichtlinie zu erhalten und darauf beruhend die Befehle zu dem Datenspeicher zu erzeugen.According to other embodiments of this aspect of the invention, the monitoring unit comprises a system status monitoring unit and a security unit. The system state monitoring unit is set up to receive the sensor signals and, based on them, to derive vehicle state data that represent a functional state of the motor vehicle. The security unit is set up to receive the vehicle status data and the at least one security policy and to generate the commands to the data memory based thereon.

Zusätzlich kann die Überwachungseinheit eine zweite Datenschnittstelleneinheit umfassen, die dazu eingerichtet ist, zumindest eine regulatorische Anforderung zu erhalten und zu speichern, die während eines Betriebs des Kraftfahrzeugs erfüllt sein soll. Hierbei ist die Sicherheitseinheit dazu eingerichtet, die zumindest eine regulatorische Anforderung zu erhalten und die Befehle zusätzlich auf der Grundlage der zumindest einen regulatorischen Anforderung zu der Sicherheitseinheit zu erzeugen. Dies bedeutet, dass es einfach wird, sicherzustellen, dass die Ausgestaltung verschiedene regulatorische Anforderungen erfüllt, wobei zum Beispiel bestimmte Verkehrsregeln eingehalten werden.In addition, the monitoring unit can include a second data interface unit which is set up to receive and store at least one regulatory requirement that is to be fulfilled during operation of the motor vehicle. In this case, the safety unit is set up to receive the at least one regulatory requirement and to additionally generate the commands on the basis of the at least one regulatory requirement for the safety unit. This means that it becomes easy to ensure that the design meets various regulatory requirements, such as following certain traffic rules.

Zusätzlich kann die Überwachungseinheit eine Risikobewertungseinheit umfassen, die dazu eingerichtet ist, ein jeweiliges geschätztes Risiko dynamisch zu bewerten, dass das Kraftfahrzeug mit jedem eines beliebigen anderen Verkehrsteilnehmers und/oder Hindernisses zusammenstößt, der/das sich in der Nähe des Kraftfahrzeugs befindet, wobei das jeweilige geschätzte Risiko durch zumindest ein Signalausgedrückt ist. Hierbei ist die Sicherheitseinheit dazu eingerichtet, das zumindest eine Signal zu erhalten und die Befehle zusätzlich auf der Grundlage des zumindest einen Signals zu erzeugen. Im Ergebnis wird eine Kollisionsvermeidungsfunktionalität ideenreich umgesetzt.In addition, the monitoring unit can include a risk assessment unit which is set up to dynamically assess a respective estimated risk that the motor vehicle will collide with any other road user and / or obstacle that is in the vicinity of the motor vehicle, the respective estimated risk by at least one Signal is expressed. In this case, the safety unit is set up to receive the at least one signal and to additionally generate the commands on the basis of the at least one signal. As a result, a collision avoidance functionality is imaginatively implemented.

Gemäß noch einer weiteren Ausführungsform dieses Aspekts der Erfindung ist die Risikobewertungseinheit ferner dazu eingerichtet, eine Umgebung des Kraftfahrzeugs zu überwachen, um zu bestimmen, ob das Kraftfahrzeug gegenwärtig innerhalb eines Bereichs von Parametern arbeitet, unter denen zu arbeiten es ausgebildet ist. Hierbei gibt das zumindest eine Signal ferner an, ob das Kraftfahrzeug gegenwärtig innerhalb des Bereichs von Parametern arbeitet oder nicht. Daher kann eine angemessene Maßnahme umgehend getroffen werden, falls festgestellt wird, dass sich das Kraftfahrzeug außerhalb dieses Bereichs befindet.According to yet another embodiment of this aspect of the invention, the risk assessment unit is further configured to monitor an environment of the motor vehicle in order to determine whether the motor vehicle is currently operating within a range of parameters under which it is designed to work. Here, the at least one signal also indicates whether the motor vehicle is currently operating within the range of parameters or not. Therefore, an appropriate action can be taken immediately if it is determined that the motor vehicle is outside this area.

Gemäß noch einer weiteren Ausführungsform dieses Aspekts der Erfindung ist die Risikobewertungseinheit ferner dazu eingerichtet, ein geschätztes Risiko zu bestimmen, dass das Kraftfahrzeug und/oder ein beliebiger anderer Verkehrsteilnehmer in der Nähe desselben eine Verkehrsregel verletzt. Hierbei gibt das zumindest eine Signal ferner dieses geschätzte Risiko an. Hierdurch kann die Fahrzeugsteuerung, die durch die Autosteuereinheiten umgesetzt ist, derart bewirkt werden, dass das Gesamtrisiko von Verstößen gegen Verkehrsregeln verringert wird.According to yet another embodiment of this aspect of the invention, the risk assessment unit is further configured to determine an estimated risk that the motor vehicle and / or any other road user in the vicinity thereof violates a traffic rule. The at least one signal here also indicates this estimated risk. As a result, the vehicle control implemented by the car control units can be effected in such a way that the overall risk of violations of traffic rules is reduced.

Gemäß einer Ausführungsform dieses Aspekts der Erfindung ist die Sicherheitseinheit ferner dazu eingerichtet, zu bestimmen, ob zumindest ein erhaltener sicherheitsrelevanter Parameter zumindest einen Zustand beschreibt, in dem das Kraftfahrzeug gegenwärtig betrieben wird, wobei der zumindest eine Zustand derart beschaffen ist, dass ein Risiko, dass das Kraftfahrzeug nicht autonom in Übereinstimmung mit dem Sollpfad bewegt werden kann, einen Fehlerrisikoschwellenwert überschreitet. Die Sicherheitseinheit ist dazu eingerichtet, dann, wenn der Fehlerrisikoschwellenwert überschritten ist, Sicherheitssteuersignale zu erzeugen, die dazu eingerichtet sind, das Kraftfahrzeug dazu zu veranlassen, sich in Übereinstimmung mit einem sicheren Pfad autonom zu bewegen. Der sichere Pfad erhält Vorrang vor dem Sollpfad, der durch die Sollsteuersignale repräsentiert ist. In anderen Worten ist das Kraftfahrzeug dazu eingerichtet, beliebige erhaltene Sollsteuersignale zu ignorieren, falls die Sicherheitssteuersignale vorliegen. Folglich wird auch in Notfallsituationen eine sichere Fahrzeughandhabung sichergestellt.According to one embodiment of this aspect of the invention, the safety unit is also set up to determine whether at least one received safety-relevant parameter describes at least one state in which the motor vehicle is currently being operated, the at least one state being such that there is a risk that the motor vehicle cannot be moved autonomously in accordance with the target path, exceeds an error risk threshold value. The safety unit is set up to generate safety control signals when the error risk threshold value is exceeded, which control signals are set up to cause the motor vehicle to move autonomously in accordance with a safe path. The safe path has priority over the target path, which is represented by the target control signals. In other words, the motor vehicle is set up to ignore any desired control signals received if the safety control signals are present. As a result, safe vehicle handling is ensured even in emergency situations.

Alternativ oder zusätzlich hierzu kann die Sicherheitseinheit dazu eingerichtet sein, ein Steuersignal zu erzeugen, das anzeigt, ob der Fehlerrisikoschwellenwert überschritten ist oder nicht. Ferner umfasst das System einen Steuerschalter, der in Kommunikationsverbindung mit der Bank von Steuereinheiten angeordnet ist. Der Steuerschalter ist in Kommunikationsverbindung mit der Bank von Steuereinheiten und der Sicherheitseinheit angeordnet, und der Sicherheitsschalter ist dazu eingerichtet: das Steuersignal zu erhalten; die Sollsteuersignale bzw. beliebige Sicherheitssteuersignale zu erhalten; und in Reaktion auf die Steuersignale entweder die Sollsteuersignale oder die Sicherheitssteuersignale an das Kraftfahrzeug weiterzuleiten. In einem solchen Fall muss das Kraftfahrzeug selbst keine Maßnahmen ergreifen, um sicherzustellen, dass ein sicherer Pfad dem Sollpfad vorgezogen wird.As an alternative or in addition to this, the safety unit can be set up to generate a control signal which indicates whether the error risk threshold value has been exceeded or not. The system further includes a control switch placed in communication with the bank of control units. The control switch is arranged in communication with the bank of control units and the security unit, and the security switch is adapted to: receive the control signal; to receive the setpoint control signals or any safety control signals; and, in response to the control signals, forward either the desired control signals or the safety control signals to the motor vehicle. In such a case, the motor vehicle itself does not have to take any measures to ensure that a safe path is preferred to the target path.

Gemäß weiteren Ausführungsformen dieses Aspekts der Erfindung ist entweder jede der Autosteuereinheiten dazu eingerichtet, einen Satz von Sollsteuersignalen zu erzeugen, der dazu eingerichtet ist, das Kraftfahrzeug dazu zu veranlassen, sich in Übereinstimmung mit einem entsprechenden Sollpfad autonom zu bewegen; oder zwei oder mehr der Autosteuereinheiten sind dazu eingerichtet, einen gemeinsamen Satz von Sollsteuersignalen zu erzeugen, der dazu eingerichtet ist, das Kraftfahrzeug dazu zu veranlassen, sich in Übereinstimmung mit dem Sollpfad autonom zu bewegen. Dies führt zu einem hohen Grad an Freiheit bezüglich der Umsetzung des Systems.According to further embodiments of this aspect of the invention, either each of the car control units is configured to generate a set of target control signals which is configured to cause the motor vehicle to move autonomously in accordance with a corresponding target path; or two or more of the car control units are configured to generate a common set of target control signals that are configured to cause the motor vehicle to move autonomously in accordance with the target path. This leads to a high degree of freedom with regard to the implementation of the system.

Gemäß noch einer weiteren Ausführungsform dieses Aspekts der Erfindung umfasst das System eine Plattformschnittstelle, die dazu eingerichtet ist, die Sensorsignale von dem Kraftfahrzeug zu empfangen; und die Sollsteuersignale an das Kraftfahrzeug zu senden. Daher kann die Kommunikation zwischen dem System und dem Kraftfahrzeug effizient und flexibel gestaltet werden.According to yet another embodiment of this aspect of the invention, the system comprises a platform interface which is set up to receive the sensor signals from the motor vehicle; and send the target control signals to the motor vehicle. Therefore, communication between the system and the automobile can be made efficient and flexible.

Gemäß einem weiteren Aspekt der Erfindung werden die obenstehenden Aufgaben gelöst durch ein Verfahren zum Steuern eines Kraftfahrzeugs zum autonomen Fahren. Das Verfahren umfasst ein Erzeugen, mittels einer Bank von Steuereinheiten, die eine Anzahl von Autosteuereinheiten umfasst, von Sollsteuersignalen. Die Sollsteuersignale sind dazu eingerichtet, das Kraftfahrzeug dazu zu veranlassen, sich in Übereinstimmung mit einem Sollpfad autonom zu bewegen. Das Verfahren umfasst zudem ein Erhalten, in einer Überwachungseinheit, von Sensorsignalen von dem Kraftfahrzeug. Die Sensorsignale beschreiben einen gegenwärtigen Zustand des Kraftfahrzeugs. Zusätzlich umfasst das Verfahren: ein Speichern, in einem Datenspeicher, eines Satzes von Randbedingungen, die der Sollpfad erfüllen soll, um als sicher zu gelten; und ein Bereitstellen, mittels einer ersten Datenschnittstelleneinheit, zumindest einer Sicherheitsrichtlinie, die eine zugehörige aufgabenbezogene Regel beschreibt, die während des Betriebs des Kraftfahrzeugs zu befolgen ist. Die zumindest eine Sicherheitsrichtlinie wird auf der Grundlage eines Sicherheitsfalls bereitgestellt, der vorschreibt, wie das Kraftfahrzeug gesteuert werden soll, um einen funktionellen Sicherheitsstandard zu erfüllen. Das Verfahren umfasst ferner ein Erzeugen, in der Überwachungseinheit, von Befehlen auf der Grundlage der Steuersignale, wobei diese Befehle beeinflussen, wie die Bank von Steuereinheiten die Sollsteuersignalen erzeugt. Im Speziellen werden die Befehle wiederholt erzeugt, um die Randbedingungen zu aktualisieren, wobei darauf abgezielt wird, den Sollpfad innerhalb von Grenzen zu halten, die durch die Sensorsignale und die zumindest eine Sicherheitsrichtlinie (P) vorgegeben sind. Ferner umfasst das Verfahren: ein Auslesen des Satzes von Randbedingungen aus dem Datenspeicher in die Bank von Steuereinheiten, und ein Steuern des Kraftfahrzeugs dazu, sich derart zu bewegt, dass der Sollpfad die Randbedingungen erfüllt. Die Vorteile dieses Verfahrens sowie die bevorzugten Ausführungsformen desselben ergeben sich aus der obigen Beschreibung mit Bezug auf das vorgeschlagene System.According to a further aspect of the invention, the above objects are achieved by a method for controlling a motor vehicle for autonomous driving. The method comprises generating target control signals by means of a bank of control units, which comprises a number of car control units. The setpoint control signals are set up to cause the motor vehicle to move autonomously in accordance with a setpoint path. The method also includes receiving, in a monitoring unit, sensor signals from the motor vehicle. The sensor signals describe a current state of the motor vehicle. In addition, the method comprises: storing, in a data memory, a set of boundary conditions which the target path should meet in order to be considered safe; and providing, by means of a first data interface unit, at least one security policy that describes an associated task-related rule that is implemented during the Operation of the motor vehicle is to be followed. The at least one safety guideline is provided on the basis of a safety case which prescribes how the motor vehicle is to be controlled in order to meet a functional safety standard. The method further comprises generating, in the monitoring unit, commands based on the control signals, these commands affecting how the bank of control units generates the target control signals. In particular, the commands are generated repeatedly in order to update the boundary conditions, the aim being to keep the target path within limits that are predetermined by the sensor signals and the at least one safety guideline (P). The method further comprises: reading out the set of boundary conditions from the data memory into the bank of control units, and controlling the motor vehicle to move in such a way that the target path meets the boundary conditions. The advantages of this method and the preferred embodiments thereof emerge from the above description with reference to the proposed system.

Gemäß einem weiteren Aspekt der Erfindung werden die Aufgaben gelöst durch ein Computerprogramm, das Anweisungen umfasst, die dann, wenn sie in zumindest einem Prozessor ausgeführt werden, den zumindest einen Prozessor dazu veranlassen, das oben beschriebene Verfahren auszuführen.According to a further aspect of the invention, the objects are achieved by a computer program which comprises instructions which, when they are executed in at least one processor, cause the at least one processor to execute the method described above.

Gemäß einem weiteren Aspekt der Erfindung werden die Aufgaben gelöst durch einen nichtflüchtigen Datenträger, der ein derartiges Computerprogramm enthält. According to a further aspect of the invention, the objects are achieved by a non-volatile data carrier which contains such a computer program.

Weitere Vorteile, vorteilhafte Merkmale und Anwendungen der vorliegenden Erfindung werden sich anhand der folgenden Beschreibung und der abhängigen Ansprüche ergeben.Further advantages, advantageous features and applications of the present invention will become apparent from the following description and the dependent claims.

FigurenlisteFigure list

Die Erfindung wird nun mittels bevorzugter Ausführungsformen näher beschrieben, die als Beispiele offenbart werden und mit Bezug auf die beigefügten Zeichnungen.

1 stellt schematisch ein System gemäß Ausführungsformen der Erfindung dar;
2 stellt schematisch ein System gemäß einer weiteren Ausführungsformen der Erfindung dar; und
3 stellt mittels eines Ablaufdiagramms ein allgemeines Verfahren gemäß der Erfindung dar.

The invention will now be described in more detail by means of preferred embodiments which are disclosed as examples and with reference to the accompanying drawings.

1 Figure 3 schematically illustrates a system according to embodiments of the invention;
2 Figure 3 illustrates schematically a system according to a further embodiment of the invention; and
3 shows a general method according to the invention by means of a flow chart.

Ausführliche BeschreibungDetailed description

Mit Bezug auf 1 werden wir ein System gemäß einer Ausführungsform der Erfindung zum Steuern eines Kraftfahrzeugs MV zum autonomen Fahren beschreiben. Das System umfasst eine Bank von Steuereinheiten 110, eine Überwachungseinheit 160, einen Datenspeicher 140 und eine erste Datenschnittstelleneinheit 163.Regarding 1 we will describe a system according to an embodiment of the invention for controlling a motor vehicle MV for autonomous driving. The system includes a bank of control units 110 , a monitoring unit 160 , a data store 140 and a first data interface unit 163 .

Die Bank von Steuereinheiten 110, die eine oder mehrere Autosteuereinheiten ACU1, ..., ACUn umfasst, ist dazu eingerichtet, Sollsteuersignale NCS zu erzeugen, die dazu eingerichtet sind, das Kraftfahrzeug MV dazu zu veranlassen, sich in Übereinstimmung mit einem Sollpfad autonom zu bewegen. Jede der Autosteuereinheiten ist dazu eingerichtet, einen Satz von Sollsteuersignalen NCS zu erzeugen, wobei der Satz von Sollsteuersignalen NCS dazu eingerichtet ist, das Kraftfahrzeug MV dazu zu veranlassen, sich in Übereinstimmung mit einem Sollpfad autonom zu bewegen; oder zwei oder mehr der Autosteuereinheiten ACU1, ..., ACUn sind dazu eingerichtet, einen gemeinsamen Satz von Sollsteuersignalen NCS zu erzeugen, wobei der gemeinsame Satz von Sollsteuersignalen NCS dazu eingerichtet ist, das Kraftfahrzeug MV dazu zu veranlassen, sich in Übereinstimmung mit dem Sollpfad autonom zu bewegen. Zum Beispiel kann eine der Autosteuereinheiten dazu eingerichtet sein, das Kraftfahrzeug MV in einer Längsrichtung zu steuern, wohingegen eine weitere Autosteuereinheit dazu eingerichtet ist, das Kraftfahrzeug MV in einer Querrichtung zu steuern. Alternativ kann eine erste Autosteuereinheit ACU1 einen Schnellstraßenpiloten implementieren, eine zweite Autosteuereinheit kann einen Staupiloten implementieren, eine dritte Autosteuereinheit kann einen Fahrzeugzugpiloten implementieren und so weiter, bis zu einer n-ten Autosteuereinheit, die zum Beispiel dazu eingerichtet sein kann, das Kraftfahrzeug in einer Minenumgebung zu betreiben. Obwohl selbstverständlich die Autosteuereinheiten ACU1, ..., ACUn als Hardware umgesetzt sein können, ist es vorteilhaft, wenn sie softwaremäßig verwirklicht sind. In einem solchen Fall kann entweder für jede Autosteuereinheit in der Bank von Steuereinheiten 110, ein bestimmtes Softwaremodul vorhanden sein, oder die gesamte Bank von Steuereinheiten 110 kann durch eine gemeinsame Software repräsentiert sein.The bank of control units 110 , which includes one or more car control units ACU1, ..., ACUn, is set up to generate setpoint control signals NCS, which are set up to cause motor vehicle MV to move autonomously in accordance with a setpoint path. Each of the car control units is configured to generate a set of target control signals NCS, the set of target control signals NCS being configured to cause the motor vehicle MV to move autonomously in accordance with a target path; or two or more of the car control units ACU1, ..., ACUn are set up to generate a common set of setpoint control signals NCS, the common set of setpoint control signals NCS being set up to cause motor vehicle MV to move in accordance with the setpoint path to move autonomously. For example, one of the car control units can be set up to control the motor vehicle MV in a longitudinal direction, whereas another car control unit is set up to control the motor vehicle MV in a transverse direction. Alternatively, a first car control unit ACU1 can implement an expressway pilot, a second car control unit can implement a traffic jam pilot, a third car control unit can implement a vehicle train pilot and so on, up to an n-th car control unit, which can be configured, for example, to operate the motor vehicle in a mine environment to operate. Although the auto control units ACU1, ..., ACUn can of course be implemented as hardware, it is advantageous if they are implemented in software. In such a case, either for each car control unit in the bank of control units 110 , a specific software module, or the entire bank of control units 110 can be represented by common software.

In jedem Fall ist die Bank von Steuereinheiten 110 dazu eingerichtet, einen Satz von Randbedingungen {bc} aus dem Datenspeicher 140 auszulesen und das Kraftfahrzeug MV dazu zu steuern, sich derart zu bewegen, dass der Sollpfad die Randbedingungen {bc} erfüllt.In either case, the bank is the control units 110 set up to do this, a set of boundary conditions {bc} from the data store 140 read out and control the motor vehicle MV to move in such a way that the target path meets the boundary conditions {bc}.

Der Datenspeicher 140 enthält den Satz von Randbedingungen {bc}, die von dem Sollpfad erfüllt werden sollen, um als sicher gelten zu können. The data store 140 contains the set of boundary conditions {bc} which should be fulfilled by the target path in order to be considered safe.

Die erste Datenschnittstelleneinheit 163 ist dazu eingerichtet, zumindest eine Sicherheitsrichtlinie P bereitzustellen, die eine zugehörige aufgabenbezogene Regel beschreibt, die während des Betriebs des Kraftfahrzeugs MV zu befolgen ist. Im Speziellen beruht die zumindest eine Sicherheitsrichtlinie P, die von der ersten Datenschnittstelleneinheit 163 bereitgestellt wird, auf einem Sicherheitsfall SC, der vorschreibt, wie das Kraftfahrzeug MV gesteuert werden soll, um einen funktionellen Sicherheitsstandard zu erfüllen, beispielsweise ISO 26262. Eine derartige Verknüpfung zwischen der Sicherheitsrichtlinien P und dem Sicherheitsfall SC ermöglicht es, wesentliche sicherheitskritische Teile der Ausgestaltung über die Sicherheitsrichtlinien P festzulegen. Folglich kann dem System eine Funktionalität hinzugefügt werden, und/oder das System kann aktualisiert werden, ohne die Autosteuereinheiten ACU1, ..., ACUn als solche bezüglich Sicherheitskonformität neu zu qualifizieren.The first data interface unit 163 is set up to provide at least one safety guideline P, which describes an associated task-related rule that is to be followed during the operation of the motor vehicle MV. In particular, the at least one security policy P is based on that of the first data interface unit 163 is provided on a safety case SC, which prescribes how the motor vehicle MV is to be controlled in order to meet a functional safety standard, for example ISO 26262. Such a link between the safety guidelines P and the safety case SC enables essential safety-critical parts of the design over to define the safety guidelines P. As a result, functionality can be added to the system and / or the system can be updated without re-qualifying the auto control units ACU1,..., ACUn as such with respect to safety conformity.

Die Sicherheitsrichtlinien P der ersten Datenschnittstelleneinheit 163 können betreffen: einen minimalen Abstand, den das Kraftfahrzeug MV zu einem nachgefolgten Fahrzeug einhalten soll (zum Beispiel während eines Fahrens in einem Fahrzeugzug); eine Geschwindigkeitsbeschränkung, die das Kraftfahrzeug MV einhalten soll; einen Satz von Maßnahmen, die in dem Fall ergriffen werden sollen, dass einer oder mehrere Sätze von Fehlern in dem Kraftfahrzeug MV auftreten; und/oder Definitionen sicherer Halteorte, die das Kraftfahrzeug MV im Fall eines Fehlers in dem Kraftfahrzeug MV zu erreichen im Stande sein soll. Die sicheren Halteorte können wiederum ferner hinsichtlich Quantität und Qualität festgelegt sein, wie beispielsweise eine minimale Anzahl sicherer Halteorte, die zu allen Zeiten von dem Kraftfahrzeug MV erreicht werden können, sowie wo sich die sicheren Halteorte relativ zu der gegenwärtigen Position des Kraftfahrzeugs befinden sollen. Zum Beispiel können 1 bis 20 sichere Halteorte gefordert sein, wobei ein erster Teilsatz derselben sich auf derselben Fahrspur befinden kann, ein zweiter Teilsatz derselben sich in einer am weitesten rechts liegenden Fahrspur befinden kann, ein dritter Teilsatz derselben sich auf einem Seitenstreifen der Straße befinden kann, ein vierter Teilsatz derselben sich auf einem Parkplatz auf einer Schnellstraße befinden kann. Ein fünfter Teilsatz derselben kann durch einen vorbestimmten Halteort an einer n-ten Ausfahrt der Schnellstraße repräsentiert sein, ein sechster Teilsatz derselben kann sich an einer ausgewiesenen Werkstatt befinden, und ein siebter Teilsatz derselben kann ein Ziel einer Route sein, der gefolgt wird. Maximale und/oder minimale Zeitdauern zum Erreichen eines sicheren Halteorts können ebenfalls durch die Sicherheitsrichtline P festgelegt sein. Offensichtlich ist unter Berücksichtigung anderer Verkehrsteilnehmer eine kürzest mögliche Zeitdauer zu dem sicheren Halteort nicht immer ideal. Typischerweise ist eine Strategie optimal, die Sicherheitsinteressen mehrerer Verkehrsteilnehmer gegeneinander abwägt.The security guidelines P of the first data interface unit 163 can relate to: a minimum distance that the motor vehicle MV is to maintain from a vehicle following behind (for example while driving in a vehicle platoon); a speed limit that the motor vehicle MV should adhere to; a set of measures to be taken in the event that one or more sets of faults occur in the motor vehicle MV; and / or definitions of safe stopping locations that the motor vehicle MV should be able to reach in the event of a fault in the motor vehicle MV. The safe stopping locations can in turn also be defined in terms of quantity and quality, such as a minimum number of safe stopping locations that can be reached by the motor vehicle MV at all times, and where the safe stopping locations should be relative to the current position of the motor vehicle. For example, 1 to 20 safe stopping locations may be required, a first subset of which may be in the same lane, a second subset of which may be in a rightmost lane, and a third subset of which may be on a hard shoulder of the road , a fourth subset of these may be in a parking lot on an expressway. A fifth subset of these may be represented by a predetermined stopping location at an nth exit of the expressway, a sixth subset of these may be at a designated workshop, and a seventh subset of these may be a destination of a route to be followed. Maximum and / or minimum time periods to reach a safe stopping point can also be defined by the safety guideline P. Obviously, taking into account other road users, the shortest possible time to the safe stopping location is not always ideal. Typically, a strategy that weighs the safety interests of several road users against one another is optimal.

Die Überwachungseinheit 160 ist dazu eingerichtet, Sensorsignale SS von dem Kraftfahrzeug MV zu erhalten. Die Sensorsignale SS beschreiben einen gegenwärtigen Zustand des Kraftfahrzeugs. Die Sensorsignale SS können von dem Kraftfahrzeug MV über eine Plattformschnittstelle 130 erhalten werden. Vorzugsweise ist eine derartige Plattformschnittstelle 130 bidirektional und daher auch dazu eingerichtet, die Sollsteuersignale NCS an das Kraftfahrzeug MV zu senden. Dennoch können gemäß der Erfindung auch dann, wenn die Plattformschnittstelle 130 in der Ausgestaltung umfasst ist, ein oder mehrere Sensorsignale SS über alternative Kanäle erhalten werden, und/oder eines oder mehrere der Sollsteuersignale NCS kann auf andere Weise als über die Plattformschnittstelle 130 an des Kraftfahrzeug MV gegeben werden.The monitoring unit 160 is set up to receive sensor signals SS from the motor vehicle MV. The sensor signals SS describe a current state of the motor vehicle. The sensor signals SS can be received from the motor vehicle MV via a platform interface 130 can be obtained. Such a platform interface is preferred 130 bidirectional and therefore also set up to send the setpoint control signals NCS to the motor vehicle MV. Nevertheless, according to the invention, even if the platform interface 130 is included in the embodiment, one or more sensor signals SS can be obtained via alternative channels, and / or one or more of the setpoint control signals NCS can be received in a different way than via the platform interface 130 to be given to the motor vehicle MV.

Die Überwachungseinheit 160 ist dazu eingerichtet, Befehle {cmd} auf der Grundlage der Sensorsignale SS zu erzeugen, wobei die Befehle {cmd} beeinflussen, wie die Bank von Steuereinheiten 110 die Sollsteuersignalen NCS erzeugt. Genauer gesagt ist die Überwachungseinheit 160 dazu eingerichtet, die Befehle {cmd} wiederholt zu erzeugen, um die Randbedingungen {bc} zu aktualisieren, wobei darauf abgezielt wird, den Sollpfad innerhalb von Grenzen zu halten, die durch die Sensorsignale SS und die zumindest eine Sicherheitsrichtlinie P vorgegeben sind.The monitoring unit 160 is set up to generate commands {cmd} on the basis of the sensor signals SS, the commands {cmd} influencing how the bank of control units 110 the setpoint control signals NCS generated. More precisely, is the monitoring unit 160 set up to generate the commands {cmd} repeatedly in order to update the boundary conditions {bc}, the aim being to keep the target path within limits that are predetermined by the sensor signals SS and the at least one safety guideline P.

Gemäß einer Ausführungsform der Erfindung schreibt der Sicherheitsfall SC auch einen Satz von Betriebsmodi vor, in denen das Kraftfahrzeug MV gesteuert werden soll, um in Abhängigkeit von einem gegenwärtigen Fehlerzustand des Kraftfahrzeugs MV gesteuert zu werden.According to one embodiment of the invention, the safety case SC also prescribes a set of operating modes in which the motor vehicle MV is to be controlled in order to be controlled as a function of a current fault condition of the motor vehicle MV.

Zum Beispiel kann der Satz von Betriebsmodi einen ersten, zweiten, dritten und vierten Betriebsmodus umfassen. Hierbei kann das Kraftfahrzeug MV dazu gesteuert werden, in dem ersten Betriebszustand zu arbeiten, falls der gegenwärtige Fehlerstatus derart ist, dass die Leistungsfähigkeit des Kraftfahrzeugs MV unbeeinträchtigt ist. Geringfügige Fehler können vorliegen, die jedoch die Leistungsfähigkeit des Kraftfahrzeugs MV nicht beeinträchtigen. Falls der gegenwärtige Fehlerzustand des Kraftfahrzeugs derart ist, dass die Leistungsfähigkeit des Kraftfahrzeugs MV beeinträchtigt aber nicht kritisch ist, kann das Kraftfahrzeug dazu gesteuert werden, in dem zweiten Betriebszustand zu arbeiten. Fall hingegen der gegenwärtige Fehlerzustand des Kraftfahrzeugs MV derart ist, dass das Kraftfahrzeug MV in einen Zustand minimalen Risikos versetzt werden muss, kann das Kraftfahrzeug dazu gesteuert werden, in dem dritten Betriebszustand zu arbeiten. Der vierte Betriebsmodus kann den Zustand minimalen Risikos repräsentieren, in dem das Kraftfahrzeug MV beispielsweise gar nicht gefahren werden sollte.For example, the set of operating modes may include first, second, third, and fourth operating modes. Here, the motor vehicle MV can be controlled to work in the first operating state if the current fault status is such that the performance of the motor vehicle MV is unaffected. There may be minor errors, but these do not impair the performance of the motor vehicle MV. If the current fault state of the motor vehicle is such that the performance of the motor vehicle MV is impaired but not critical, the motor vehicle can be controlled to work in the second operating state. If, however, the current fault state of the motor vehicle MV is such that the motor vehicle MV in must be placed in a state of minimal risk, the motor vehicle can be controlled to work in the third operating state. The fourth operating mode can represent the state of minimal risk, in which the motor vehicle MV should not be driven at all, for example.

2 zeigt schematisch ein System gemäß anderen Ausführungsformen der Erfindung. Hier bezeichnen alle Einheiten, Signale, Befehle und Parameter, die auch in 1 vorhanden sind, dieselben Einheiten, Signale, Befehle und Parameter, die oben mit Bezug auf 1 beschrieben wurden. 2 Figure 4 shows schematically a system according to other embodiments of the invention. All units, signals, commands and parameters that are also used in 1 there are the same units, signals, commands and parameters as those referring to above 1 have been described.

Gemäß einer der Ausführungsformen der Erfindung, die in 2 veranschaulicht ist, umfasst die Überwachungseinheit 160 eine Systemzustandsüberwachungseinheit 150 und eine Sicherheitseinheit 120. Die Systemzustandsüberwachungseinheit 150 ist dazu eingerichtet, die Sensorsignale SS zu erhalten und darauf beruhend Fahrzeugzustandsdaten H abzuleiten, die einen funktionellen Zustand des Kraftfahrzeugs MV repräsentieren. Die Sicherheitseinheit 120 ist dazu eingerichtet, die Fahrzeugzustandsdaten H und die zumindest eine Sicherheitsrichtlinie P zu erhalten und darauf beruhend die Befehle {cmd} zu dem Datenspeicher 140 zu erzeugen.According to one of the embodiments of the invention disclosed in 2 is illustrated, comprises the monitoring unit 160 a system health monitoring unit 150 and a security unit 120 . The system health monitoring unit 150 is set up to receive the sensor signals SS and, based thereon, to derive vehicle state data H that represent a functional state of the motor vehicle MV. The security unit 120 is set up to receive the vehicle status data H and the at least one security policy P and based thereon the commands {cmd} to the data memory 140 to create.

Gemäß einer weiteren Ausführungsform der Erfindung umfasst die Überwachungseinheit ferner eine zweite Datenschnittstelleneinheit 165, die dazu eingerichtet ist, zumindest eine regulatorische Anforderung R zu erhalten und zu speichern, die während eines Betriebs des Kraftfahrzeugs MV erfüllt sein soll. Hierbei ist die Sicherheitseinheit 120 dazu eingerichtet, die zumindest eine regulatorische Anforderung R zu erhalten und die Befehle {cmd} zusätzlich auf der Grundlage der zumindest einen regulatorischen Anforderung R zu der Sicherheitseinheit 120 zu erzeugen. Marktspezifische Vorschriften, die zu einem Startzeitpunkt einer Fahrt aufgeführt sind (zum Beispiel Rechtsverkehr/Linksverkehr, örtliche Straßenverordnungen und verschiedene Verkehrszeichen), sind Beispiele regulatorischer Anforderungen R.According to a further embodiment of the invention, the monitoring unit further comprises a second data interface unit 165 which is set up to receive and store at least one regulatory requirement R that is to be fulfilled during operation of the motor vehicle MV. Here is the security unit 120 set up to receive the at least one regulatory requirement R and the commands {cmd} additionally on the basis of the at least one regulatory requirement R to the security unit 120 to create. Market-specific regulations that are listed at a start time of a journey (e.g. right-hand traffic / left-hand traffic, local road regulations and various traffic signs) are examples of regulatory requirements R.

Analog zu der ersten Datenschnittstelleneinheit 163 ist die zweite Datenschnittstelleneinheit 165 kommunizierend mit der Sicherheitseinheit 120 verbunden, um die zumindest eine regulatorische Anforderung R für die Sicherheitseinheit 120 bereitzustellen und somit die Sicherheitseinheit 120 in die Lage zu versetzen, den zumindest einen Befehl {cmd} auf der Grundlage der zumindest einen regulatorischen Anforderung R zu erzeugen.Analogous to the first data interface unit 163 is the second data interface unit 165 communicating with the security unit 120 connected to the at least one regulatory requirement R for the security unit 120 and thus the security unit 120 to enable the at least one command {cmd} to be generated on the basis of the at least one regulatory requirement R.

Gemäß einer Ausführungsform der Erfindung umfasst die Überwachungseinheit 160 eine Risikobewertungseinheit 167, die dazu eingerichtet ist, ein jeweiliges geschätztes Risiko dynamisch zu bewerten, dass das Kraftfahrzeug MV mit jedem eines beliebigen anderen Verkehrsteilnehmers und/oder Hindernisses zusammenstößt, der/das sich in der Nähe des Kraftfahrzeugs MV befindet. Das jeweilige geschätzte Risiko kann durch zumindest ein Signal S_j ausgedrückt sein. Hierbei ist die Sicherheitseinheit 120 dazu eingerichtet, das zumindest eine Signal S_j zu erhalten und die Befehle {cmd} zusätzlich auf der Grundlage des zumindest einen Signals S_j zu erzeugen. Die Bewertung kann eine Überwachung von Fahrstreifenmarkierungen umfassen, und falls keine hinreichend deutlich erkennbaren Fahrstreifenmarkierungen auffindbar sind, gibt das zumindest eine Signal S_j dies in Form eines geschätzten Risikos eines Verkehrsregelverstoßes an.According to one embodiment of the invention, the monitoring unit comprises 160 a risk assessment unit 167 which is set up to dynamically assess a respective estimated risk that the motor vehicle MV collides with any other road user and / or obstacle that is in the vicinity of the motor vehicle MV. The respective estimated risk can be expressed by at least one signal S _j . Here is the security unit 120 set up to receive the at least one signal S _j and to additionally generate the commands {cmd} on the basis of the at least one signal S _j . The evaluation can include monitoring of lane markings, and if no sufficiently clearly recognizable lane markings can be found, the at least one signal S _j indicates this in the form of an estimated risk of a traffic rule violation.

Die Risikobewertungseinheit 167 kann ferner dazu eingerichtet sein, eine Umgebung des Kraftfahrzeugs MV zu überwachen, um zu bestimmen, ob das Kraftfahrzeug MV gegenwärtig innerhalb eines Bereichs von Parametern arbeitet, unter denen zu arbeiten es ausgebildet ist. Hierbei gibt das zumindest eine Signal S_j ferner an, ob das Kraftfahrzeug MV gegenwärtig innerhalb des Bereichs von Parametern arbeitet oder nicht.The risk assessment unit 167 can further be configured to monitor an environment of the motor vehicle MV in order to determine whether the motor vehicle MV is currently operating within a range of parameters under which it is designed to work. Here, the at least one signal S _j also indicates whether or not the motor vehicle MV is currently operating within the range of parameters.

Gemäß einer Ausführungsform der Erfindung ist die Sicherheitseinheit 120 ferner dazu eingerichtet, zu bestimmen, ob der Satz sicherheitsrelevanter Parameter P, R, S_j, H einen oder mehrere Zustände beschreibt, in dem/denen das Kraftfahrzeug MV gegenwärtig betrieben wird, wobei der Zustand/die Zustände derart beschaffen ist/sind, dass ein Risiko, dass das Kraftfahrzeug MV nicht autonom in Übereinstimmung mit dem Sollpfad bewegt werden kann, einen Fehlerrisikoschwellenwert überschreitet.According to one embodiment of the invention, the security unit 120 also set up to determine whether the set of safety-relevant parameters P, R, S _j , H describes one or more states in which the motor vehicle MV is currently operated, the state (s) being / are such that a risk that the motor vehicle MV cannot be moved autonomously in accordance with the target path exceeds an error risk threshold value.

Falls der Fehlerrisikoschwellenwert überschritten ist, ist die Sicherheitseinheit 120 dazu eingerichtete, Sicherheitssteuersignale SCS zu erzeugen, die dazu eingerichtet sind, das Kraftfahrzeug MV dazu zu veranlassen, sich in Übereinstimmung mit einem sicheren Pfad autonom zu bewegen. Der sichere Pfad stellt eine Alternative zu dem Sollpfad dar, und dem sicheren Pfad soll anstelle des Sollpfads gefolgt werden, der von der Bank von Steuereinheiten 110 berechnet wurde. In anderen Worten erhält der sichere Pfad Vorrang vor dem Sollpfad, der durch die Sollsteuersignale NCS repräsentiert ist.If the failure risk threshold is exceeded, the security unit is 120 set up to generate safety control signals SCS, which are set up to cause the motor vehicle MV to move autonomously in accordance with a safe path. The safe path is an alternative to the target path, and the safe path is to be followed instead of the target path provided by the bank of controllers 110 was calculated. In other words, the safe path is given priority over the target path, which is represented by the target control signals NCS.

Gemäß einer Ausführungsform, die in 1 gezeigt ist, bewirkt das Kraftfahrzeug MV selbst diesen Vorrang, indem es dazu eingerichtet ist, jegliche erhaltene Sollsteuersignale NCS zu ignorieren, falls die Sicherheitssteuersignale SCS erhalten werden, zum Beispiel über die Plattformschnittstelle 130, wie dies in 1 dargestellt ist. Folglich ist auch in Notfällen eine sichere Fahrzeughandhabung gewährleistet.According to one embodiment that is described in 1 is shown, the motor vehicle MV itself brings about this priority in that it is set up to ignore any desired control signals NCS received if the safety control signals SCS are received, for example via the platform interface 130 like this in 1 is shown. As a result, safe vehicle handling is guaranteed even in emergencies.

2 zeigt schematisch ein System gemäß einer weiteren Ausführungsform der Erfindung. Hier bezeichnen alle Einheiten, Signale, Befehle und Parameter, die auch in 1 vorhanden sind, dieselben Einheiten, Signale, Befehle und Parameter, die oben mit Bezug auf 1 beschrieben wurden. 2 shows schematically a system according to a further embodiment of the invention. Here denote all units, signals, commands and parameters that are also used in 1 there are the same units, signals, commands and parameters as those referring to above 1 have been described.

In dem in 2 veranschaulichten System ist die Sicherheitseinheit 120 dazu eingerichtet, ein Steuersignal Ctrl zu erzeugen, das anzeigt, ob der Fehlerrisikoschwellenwert überschritten ist oder nicht.In the in 2 illustrated system is the security unit 120 set up to generate a control signal Ctrl which indicates whether the error risk threshold value has been exceeded or not.

Das System umfasst zudem einen Steuerschalter 210, der in Kommunikationsverbindung mit der Bank von Steuereinheiten 110 und der Sicherheitseinheit 120 angeordnet ist. Der Steuerschalter 210 ist dazu eingerichtet: das Steuersignal Ctrl zu erhalten; die Sollsteuersignale NCS bzw. beliebige Sicherheitssteuersignale SCS zu erhalten.The system also includes a control switch 210 who is in communication with the bank of control units 110 and the security unit 120 is arranged. The control switch 210 is set up to: receive the control signal Ctrl; to receive the setpoint control signals NCS or any safety control signals SCS.

Der Steuerschalter 210 ist dazu eingerichtet, entweder die Sollsteuersignale NCS oder die Sicherheitssteuersignale SCS an das Kraftfahrzeug MV weiterzuleiten. Im Speziellen erzeugt die Sicherheitseinheit 120 dann, wenn die Sicherheitseinheit 120 die Sicherheitssteuersignale SCS erzeugt, auch die Steuersignale Ctrl in solcher Weise, dass auf ein Erhalten derselben in dem Steuerschalter 210 hin der Steuerschalter 210 verhindert, dass die Sollsteuersignale NCS an das Kraftfahrzeug MV weitergeleitet werden. Stattdessen leitet das Steuersignal Ctrl die Sicherheitssteuersignale SCS an das Kraftfahrzeug MV weiter. Dies schwächt die Anforderungen an das Kraftfahrzeug MV dahingehend ab, dass dieses nicht aus den Sollsteuersignalen NCS und den Sicherheitssteuersignalen SCS auswählen muss; und analog zum Obenstehenden wird eine sichere Handhabung des Kraftfahrzeugs auch in Notfällen gewährleistet.The control switch 210 is set up to forward either the setpoint control signals NCS or the safety control signals SCS to the motor vehicle MV. In particular, the security unit generates 120 then when the security unit 120 the safety control signals SCS generates also the control signals Ctrl in such a way that upon receiving them in the control switch 210 towards the control switch 210 prevents the setpoint control signals NCS from being forwarded to the motor vehicle MV. Instead, the control signal Ctrl forwards the safety control signals SCS to the motor vehicle MV. This weakens the requirements for the motor vehicle MV to the effect that it does not have to select from the setpoint control signals NCS and the safety control signals SCS; and analogous to the above, safe handling of the motor vehicle is also guaranteed in emergencies.

Analog zu den Autosteuereinheiten ACU1, ..., ACUn können die Sicherheitseinheit 120, die Systemzustandsüberwachungseinheit 150, die erste Datenschnittstelle 163, die zweite Datenschnittstelle 165, die Risikobewertungseinheit 167 und/oder der Steuerschalter 210 teilweise oder vollständig als Software umgesetzt sein. Eine derartige Software kann wiederum installiert sein, um auf einem oder mehreren Prozessoren ausgeführt zu werden. Ferner kann eine gemeinsame Software zwei oder mehr der genannten Einheiten und Schnittstellen implementieren.Analogous to the car control units ACU1, ..., ACUn, the safety unit 120 , the system health monitoring unit 150 , the first data interface 163 , the second data interface 165 , the risk assessment unit 167 and / or the control switch 210 partially or completely implemented as software. In turn, such software can be installed to run on one or more processors. Furthermore, a common software can implement two or more of the named units and interfaces.

Zum Beispiel kann die Sicherheitseinheit 120 eine Verarbeitungseinheit mit Verarbeitungsmittels umfassen, die zumindest einen Prozessor enthalten, wie beispielsweise einen oder mehrere Mehrzweckprozessoren. Ferner ist die Verarbeitungseinheit vorzugsweise kommunizierend mit einem Datenträger 125 in Form eines computerlesbaren Mediums verbunden, wie beispielsweise einem Random Access Memory (RAM), einem Flash-Speicher oder dergleichen. Der Datenträger 125 enthält computerausführbare Anweisungen, d. h. ein Computerprogramm 127, zum Veranlassen der Verarbeitungseinheit und der anderen Einheiten des Systems zum Arbeiten in Übereinstimmung mit den Ausführungsformen der Erfindung, wie sie hierin beschrieben sind, wenn die computerausführbaren Anweisungen auf dem zumindest einen Prozessor der Verarbeitungseinheit ausgeführt werden.For example, the security unit 120 comprise a processing unit with processing means including at least one processor, such as one or more general purpose processors. Furthermore, the processing unit is preferably communicating with a data carrier 125 connected in the form of a computer-readable medium, such as a random access memory (RAM), a flash memory or the like. The disk 125 contains computer executable instructions, ie a computer program 127 for causing the processing unit and the other units of the system to operate in accordance with the embodiments of the invention as described herein when the computer-executable instructions are executed on the at least one processor of the processing unit.

Um dies zusammenzufassen und mit Bezug auf das Ablaufdiagramm in 3 werden wir nun das allgemeine Verfahren gemäß der Erfindung zum Steuern einer Kraftfahrzeugs zum autonomen Fahren beschreiben.To summarize and refer to the flowchart in 3 we will now describe the general method according to the invention for controlling a motor vehicle for autonomous driving.

In einem ersten Schritt 310 werden Sensorsignale von dem Kraftfahrzeug erhalten. Die Sensorsignale beschreiben einen gegenwärtigen Zustand des Kraftfahrzeugs. In a first step 310 sensor signals are received from the motor vehicle. The sensor signals describe a current state of the motor vehicle.

Dann wird in einem Schritt 320 ein Satz von Randbedingungen aus einem Datenspeicher ausgelesen. In einem nachfolgenden Schritt 330 wird auf der Grundlage der Sensorsignale zumindest ein Befehl erzeugt.Then in one step 320 read out a set of boundary conditions from a data memory. In a subsequent step 330 at least one command is generated on the basis of the sensor signals.

In einem Schritt 340, der auf Schritt 330 folgt, werden Sollsteuersignale unter dem Einfluss des zumindest einen Befehls erzeugt. Die Sollsteuersignale sind dazu eingerichtet, das Kraftfahrzeug dazu zu veranlassen, sich in Übereinstimmung mit einem Sollpfad autonom zu bewegen, der den Satz von Randbedingungen erfüllt und daher als sicher gilt. Anschließend werden in einem Schritt 350 die Sollsteuersignale an das Kraftfahrzeug gesendet, um das Kraftfahrzeug dazu zu steuern, sich in Übereinstimmung mit dem Sollpfad zu bewegen.In one step 340 that on step 330 follows, target control signals are generated under the influence of the at least one command. The target control signals are set up to cause the motor vehicle to move autonomously in accordance with a target path that meets the set of boundary conditions and is therefore considered safe. Then in one step 350 the target control signals are sent to the motor vehicle to control the motor vehicle to move in accordance with the target path.

In einem darauffolgenden Schritt 360 werden die Randbedingungen aktualisiert, wobei darauf abgezielt wird, den Sollpfad innerhalb von Grenzen zu halten, die durch die Sensorsignale und durch zumindest eine Sicherheitsrichtlinie vorgegeben sind. Die zumindest eine Sicherheitsrichtlinie beschreibt eine zugehörige aufgabenbezogene Regel, die während des Betriebs des Kraftfahrzeugs zu befolgen ist. Die zumindest eine Sicherheitsrichtlinie wird wiederum auf der Grundlage eines Sicherheitsfalls bereitgestellt, der vorschreibt, wie das Kraftfahrzeug gesteuert werden soll, um einen funktionellen Sicherheitsstandard zu erfüllen.In a subsequent step 360 the boundary conditions are updated, the aim being to keep the target path within limits that are specified by the sensor signals and by at least one safety guideline. The at least one safety guideline describes an associated task-related rule that is to be followed during operation of the motor vehicle. The at least one safety guideline is in turn provided on the basis of a safety case that prescribes how the motor vehicle is to be controlled in order to meet a functional safety standard.

In einem Schritt 370 wird der aktualisierte Satz von Randbedingungen in dem Datenspeicher gespeichert, und anschließend kehrt der Vorgang zu Schritt 310 zurück.In one step 370 the updated set of constraints is stored in the data store and then the process returns to step 310 back.

Obgleich das Verfahren gemäß der Erfindung in einer allgemeinen sequentiellen Reihenfolge durchgeführt wird, wie sie In 3 gezeigt ist, sollte natürlich erwähnt werden, dass ein nachfolgender Schritt des Vorgangs eingeleitet werden kann, bevor ein vorhergehender Schritt abgeschlossen ist. Tatsächlich sind im Wesentlichen alle Schritte die ganze Zeit über aktiv. Zum Beispiel werden Sensorsignale vorzugsweise in Schritt 310 bezüglich eines bestimmten Zeitintervalls erhalten, während die Randbedingungen in Schritt 360 im Zusammenhang mit einem Satz von sicherheitsrelevanten Parametern aktualisiert werden, die sich auf ein Zeitintervall beziehen, das vor dem bestimmten Zeitintervall lag, und so weiter. Although the method according to the invention is carried out in a general sequential order as set out in In 3 As is shown, it should of course be noted that a subsequent step in the process can be initiated before a previous step is completed. In fact, essentially all of the steps are active all the time. For example, sensor signals are preferably used in step 310 with respect to a specific time interval, while the boundary conditions in step 360 updated in connection with a set of safety-related parameters relating to a time interval prior to the specified time interval, and so on.

Alle der Verfahrensschritte sowie wie beliebige nachfolgende Schritte, die mit Bezug auf 3 obenstehend beschrieben wurden, können mittels zumindest eines programmierten Prozessors gesteuert werden. Ferner erstreckt sich die Erfindung daher auch auf Computerprogramme, insbesondere Computerprogramme auf oder in einem Träger, die dazu eingerichtet sind, die Erfindung praktisch umzusetzen, obgleich die Ausführungsformen der Erfindung, die oben mit Bezug auf die Zeichnungen beschrieben wurden, einen Prozessor sowie Vorgänge umfasst, die in zumindest einem Prozessor durchgeführt werden. Das Programm kann in Form eines Quellcodes, Objektcodes, einem Code zwischen Quellcode und Objektcode wie beispielsweise in teilweise kompilierter Form oder in einer beliebigen anderen Form vorliegen, die dazu geeignet ist, in der Umsetzung des Verfahrens gemäß der Erfindung verwendet zu werden. Das Programm kann entweder ein Teil eines Betriebssystems oder eine separate Anwendung sein. Der Träger kann eine beliebige Einheit oder Vorrichtung sein, die dazu geeignet ist, das Programm zu enthalten. Zum Beispiel kann der Träger ein Speichermedium wie beispielsweise einen Flash-Speicher, einen ROM (Read Only Memory), zum Beispiel eine DVD (Digital Video/Versatile Disk), eine CD (Compact Disk) oder einen Halbleiter-ROM, einen EPROM (Erasable Programmable Read-Only Memory), einen EEPROM (Electrically Erasable Programmable Read-Only Memory) oder ein magnetisches Aufnahmemedium umfassen, wie beispielsweise eine Diskette oder eine Festplatte. Ferner kann der Träger ein übertragbarer Träger wie beispielsweise ein elektrisches oder optisches Signal sein, das über ein elektrisches oder optisches Kabel oder durch Funk oder durch andere Mittel übertragen werden kann. Wenn das Programm in einem Signal verwirklicht ist, das unmittelbar über ein Kabel oder ein anderes Mittel übertragen werden kann, kann der Träger durch ein solches Kabel oder eine derartige Vorrichtung oder ein derartiges Mittel gebildet sein. Alternativ kann der Träger ein integrierter Schaltkreis sein, in den das Programm eingebettet ist, wobei der integrierte Schaltkreis dazu eingerichtet ist, die relevanten Vorgänge durchzuführen oder bei deren Durchführung verwendet zu werden.All of the procedural steps as well as any subsequent steps referring to FIG 3 have been described above can be controlled by means of at least one programmed processor. Furthermore, the invention therefore also extends to computer programs, in particular computer programs on or in a carrier, which are set up to implement the invention in practice, although the embodiments of the invention that have been described above with reference to the drawings include a processor and processes, which are carried out in at least one processor. The program may be in the form of source code, object code, code between source code and object code, such as in partially compiled form, or in any other form suitable to be used in implementing the method according to the invention. The program can either be part of an operating system or a separate application. The carrier can be any unit or device suitable to contain the program. For example, the carrier can be a storage medium such as a flash memory, a ROM (Read Only Memory), for example a DVD (Digital Video / Versatile Disk), a CD (Compact Disk) or a semiconductor ROM, an EPROM (Erasable Programmable Read-Only Memory), an EEPROM (Electrically Erasable Programmable Read-Only Memory) or a magnetic recording medium such as a floppy disk or a hard disk. Furthermore, the carrier can be a transmittable carrier such as an electrical or optical signal that can be transmitted via an electrical or optical cable or by radio or other means. If the program is embodied in a signal which can be transmitted directly over a cable or other means, the carrier can be formed by such a cable or device or means. Alternatively, the carrier can be an integrated circuit in which the program is embedded, the integrated circuit being set up to carry out the relevant processes or to be used when carrying them out.

Wenn der Begriff „umfassen/umfassend“ in dieser Beschreibung verwendet wird, soll er so verstanden werden, dass er das Vorhandensein der angegebenen Merkmale, Anzahlen, Schritte oder Komponenten angibt. Der Begriff soll jedoch nicht das Vorhandensein oder das Hinzufügen eines/einer oder mehrerer weiterer Merkmale, Anzahlen, Schritte oder Komponenten oder Gruppen derselben ausschließen.When the term “comprise” is used in this description, it is to be understood that it indicates the presence of the specified features, numbers, steps or components. However, the term is not intended to exclude the presence or addition of one or more further features, numbers, steps or components or groups thereof.

Die Erfindung ist nicht auf die beschriebenen Ausführungsformen in den Figuren beschränkt, sondern kann innerhalb des Rahmens der Ansprüche frei variiert werden.The invention is not restricted to the embodiments described in the figures, but can be varied freely within the scope of the claims.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent literature cited

US 2017/0277194 [0003]
EP 2317412 [0004]
US 2015/0057869 [0005]

Claims

System for controlling a motor vehicle (MV) for autonomous driving, the system comprising: a bank of control units (110), which comprises a number of car control units (ACU1, ..., ACUn) which are set up to generate setpoint control signals (NCS) which are set up to cause the motor vehicle (MV) to move autonomously in accordance with a target path; and a monitoring unit (160) which is set up to receive sensor signals (SS) from the motor vehicle (MV) which describe a current state of the motor vehicle (MV) and to, on the basis of the control signals (SS), issue commands ({ cmd}) that affect how the bank of control units (110) generates the target control signals (NCS), characterized in that the system further comprises: a data memory (140) comprising a set of constraints ({bc}) that the target path should meet in order to be considered safe; and a first data interface unit (163) which is set up to provide at least one security policy (P) which describes an associated task-related rule to be followed during operation of the motor vehicle (MV), the first data interface unit (163) being set up to do so is to provide the at least one security policy (P) on the basis of a security case (SC) which prescribes how the motor vehicle (MV) is to be controlled in order to meet a functional safety standard, the monitoring unit (160) being set up to do the Repeatedly generate commands ({cmd}) to update the boundary conditions ({bc}), the aim being to keep the target path within limits specified by the sensor signals (SS) and the at least one safety guideline (P) and wherein the bank of control units (110) is adapted to: the set of constraints ({bc}) from the data read out memory (140), and to control the motor vehicle (MV) to move in such a way that the target path meets the boundary conditions ({bc}).

System according to Claim 1 , the safety case (SC) each prescribing a set of operating modes in which the motor vehicle (MV) is to be controlled in order to be controlled as a function of a current fault condition of the motor vehicle (MV).

System according to Claim 2 wherein the set of operating modes comprises at least one of the following: a first operating mode in which the motor vehicle (MV) is to be controlled to operate if the current fault status is such that the performance of the motor vehicle (MV) is unaffected; to operate a second operating mode in which the motor vehicle (MV) is to be controlled if the current fault condition is such that the performance of the motor vehicle (MV) is limited; a third operating mode in which the motor vehicle (MV) is to be controlled to work if the current fault condition is such that the motor vehicle (MV) must be placed in a state of minimal risk; and a fourth mode of operation that represents the minimum risk condition.

System according to one of the preceding claims, wherein the at least one security policy (P) relates to one of the following: a minimum distance that the motor vehicle (MV) should keep to a following vehicle, a speed limit that the motor vehicle (MV) should adhere to, Definitions of safe stopping locations that the motor vehicle (MV) should be able to reach in the event of a fault in the motor vehicle (MV), and a set of measures to be taken in the event that one or more sets of faults occur in the motor vehicle (MV).

The system of any preceding claim, wherein the monitoring unit (160) comprises: a system state monitoring unit (150) which is set up to receive the sensor signals (SS) and, based thereon, to derive vehicle state data (H) which represent a functional state of the motor vehicle (MV), and a security unit (120) which is set up to receive the vehicle status data (H) and the at least one security policy (P) and to generate the commands ({cmd}) for the data memory (140) based thereon.

System according to Claim 5 wherein the monitoring unit (16) further comprises: a second data interface unit (165) which is set up to receive and store at least one regulatory requirement (R) that is to be fulfilled during operation of the motor vehicle (MV), and wherein the security unit (120) is set up to receive the at least one regulatory requirement (R) and to additionally generate the commands ({cmd}) on the basis of the at least one regulatory requirement (R) for the security unit (120).

System according to one of the Claims 5 or 6 wherein the monitoring unit (160) further comprises: a risk assessment unit (167) which is configured to dynamically assess a respective estimated risk that the motor vehicle (MV) collides with any other road user and / or obstacle that is in the vicinity of the motor vehicle (MV) , wherein the respective estimated risk is expressed by at least one signal (S _j ), and wherein the security unit (120) is set up to receive the at least one signal (S _j ) and the commands ({cmd}) additionally on the basis to generate the at least one signal (S _j ).

System according to Claim 7 wherein the risk assessment unit (167) is further configured to monitor an environment of the motor vehicle (MV) in order to determine whether the motor vehicle (MV) is currently operating within a range of parameters under which it is designed to work, and wherein the at least one signal (S _j ) further indicates whether the motor vehicle (MV) is currently operating within the range of parameters or not.

System according to one of the Claims 7 or 8th , wherein the risk assessment unit (167) is further configured to determine an estimated risk that the motor vehicle (MV) and / or any other road user in the vicinity thereof violates a traffic rule, and wherein the at least one signal (S _j ) also indicates this estimated risk.

System according to one of the Claims 5 to 9 , wherein the safety unit (120) is further configured to: determine whether at least one received safety-relevant parameter (P, R, S _j , H) describes at least one state in which the motor vehicle (MV) is currently operated, the at least a state is such that a risk that the motor vehicle (MV) cannot be moved autonomously in accordance with the target path exceeds a fault risk threshold value, and in addition, when the fault risk threshold value is exceeded, to generate safety control signals (SCS) which are set up to cause the motor vehicle (MV) to move autonomously in accordance with a safe path, the safe path being given priority over the target path that is represented by the target control signals (NCS).

System according to Claim 10 , wherein the security unit (120) is adapted to generate a control signal (Ctrl) indicating whether or not the failure risk threshold is exceeded, and wherein the system further comprises a control switch (210) in communication with the bank of control units (110) and the safety unit (120) is arranged, the control switch (210) being set up to: receive the control signal (Ctrl), receive the setpoint control signals (NCS) or any safety control signals (SCS), and in response to the Control signals (Ctrl) to forward either the setpoint control signals (NCS) or the safety control signals (SCS) to the motor vehicle (MV).

System according to one of the preceding claims, wherein each of the car control units (ACU1, ..., ACUn) is set up to generate a set of setpoint control signals (NCS), the set of setpoint control signals (NCS) being set up to control the motor vehicle (MV ) to cause them to move autonomously in accordance with a corresponding target path.

System according to one of the Claims 1 to 11 , wherein two or more of the car control units (ACU1, ..., ACUn) are set up to generate a common set of target control signals (NCS), the common set of target control signals (NCS) being set up for the motor vehicle (MV) to cause it to move autonomously in accordance with the target path.

System according to one of the preceding claims, further comprising a platform interface (130) which is configured to: to receive the sensor signals (SS) from the motor vehicle (MV); and to send the setpoint control signals (NCS) to the motor vehicle (MV).

A method for controlling a motor vehicle (MV) for autonomous driving, the method comprising: generating setpoint control signals (NCS) by means of a bank of control units (110) which comprises a number of car control units (ACU1, ..., ACUn), which are set up to cause the motor vehicle (MV) to move autonomously in accordance with a target path; and receiving, in a monitoring unit (160), sensor signals (SS) from the motor vehicle (MV) which describe a current state of the motor vehicle (MV) and generating them on the basis of the control signals (SS) in the monitoring unit (160) , of commands ({cmd}) which affect how the bank of control units (110) generates the setpoint control signals (NCS), characterized by : storing, in a data memory (140), a set of constraints ({bc}) which the target path should meet in order to be considered safe; and providing, by means of a first data interface unit (163), at least one security policy (P) which contains an associated task-related Rule describes which is to be followed during the operation of the motor vehicle (MV), wherein the at least one security policy (P) is provided on the basis of a security case (SC) which prescribes how the motor vehicle (MV) is to be controlled to a functional safety standard, the commands ({cmd}) being generated repeatedly to update the boundary conditions ({bc}), with the aim of keeping the target path within limits set by the sensor signals (SS) and the at least one safety guideline (P) are specified, and the method further comprises: reading out the set of boundary conditions ({bc}) from the data memory (140) into the bank of control units (110), and controlling the motor vehicle (MV) for this purpose, move in such a way that the target path fulfills the boundary conditions ({bc}).

Procedure according to Claim 15 , the safety case (SC) each prescribing a set of operating modes in which the motor vehicle (MV) is to be controlled in order to be controlled as a function of a current fault condition of the motor vehicle (MV).

Procedure according to Claim 16 wherein the set of operating modes comprises at least one of the following: a first operating mode in which the motor vehicle (MV) is to be controlled to operate if the current fault status is such that the performance of the motor vehicle (MV) is unaffected; to operate a second operating mode in which the motor vehicle (MV) is to be controlled if the current fault condition is such that the performance of the motor vehicle (MV) is limited; a third operating mode in which the motor vehicle (MV) is to be controlled to work if the current fault condition is such that the motor vehicle (MV) must be placed in a state of minimal risk; and a fourth mode of operation that represents the minimum risk condition.

Method according to one of the Claims 15 to 17th , wherein the at least one safety guideline (P) relates to one of the following: a minimum distance that the motor vehicle (MV) should keep to a following vehicle, a speed limit that the motor vehicle (MV) should keep, definitions of safe stopping locations that the motor vehicle (MV) should be able to achieve in the event of a fault in the motor vehicle (MV), and a set of measures to be taken in the event that one or more sets of faults occur in the motor vehicle (MV).

Method according to one of the Claims 15 to 18th , wherein the monitoring unit (160) comprises a system state monitoring unit (150) and a safety unit (120), and wherein the method comprises: receiving, in the system state monitoring unit (150), the sensor signals (SS) and, based thereon, deriving vehicle state data (H), which represent a functional state of the motor vehicle (MV), and receiving, in the safety unit (120), the vehicle state data (H) and the at least one safety guideline (P) and, based thereon, generating the commands ({cmd}) for the data memory (140 ).

Procedure according to Claim 19 , wherein the monitoring unit (16) further comprises a second data interface unit (165), and wherein the method comprises: receiving and storing, in the second data interface unit (165), at least one regulatory requirement (R) which occurs during operation of the motor vehicle (MV ) is to be fulfilled, receiving, in the security unit (120), the at least one regulatory requirement (R) and additionally generating the commands ({cmd}) for the security unit (120) on the basis of the at least one regulatory requirement (R).

Method according to one of the Claims 19 or 20th , wherein the monitoring unit (160) further comprises a risk assessment unit (167), and wherein the method comprises: dynamic assessment, in the risk assessment unit (167), of a respective estimated risk that the motor vehicle (MV) with any other road user and / or an obstacle located in the vicinity of the motor vehicle (MV), the respective estimated risk being expressed by at least one signal (S _j ), receiving, in the safety unit (120), the at least one signal (S _j ) and additionally on the basis of the at least one signal (S _j ) generating the commands ({cmd}).

Procedure according to Claim 21 , further comprising: monitoring, by means of the risk assessment unit (167), an environment of the motor vehicle (MV) in order to determine whether the motor vehicle (MV) is currently operating within a range of parameters under which it is designed to work, and wherein the at least one signal (S _j ) further indicates whether or not the motor vehicle (MV) is currently operating within the range of parameters.

Method according to one of the Claims 21 or 22nd , further comprising: determining, in the risk assessment unit (167), an estimated risk that the motor vehicle (MV) and / or any other road user in the vicinity thereof violates a traffic rule, wherein the at least one signal (S _j ) furthermore this estimated Indicating risk.

Method according to one of the Claims 19 to 23 , further comprising: determining, in the safety unit (120), whether at least one received safety-relevant parameter (P, R, S _j , H) describes at least one state in which the motor vehicle (MV) is currently operated, the at least one state is such that a risk that the motor vehicle (MV) cannot be moved autonomously in accordance with the target path exceeds a fault risk threshold value, and then, if the fault risk threshold value is exceeded, generating, in the safety unit (120), safety control signals ( SCS), which are set up to cause the motor vehicle (MV) to move autonomously in accordance with a safe path, the safe path being given priority over the target path represented by the target control signals (NCS).

Computer program (127), comprising instructions which, when executed in at least one processor, cause the at least one processor to implement a method according to one of the Claims 15 to 24 execute.

Non-volatile data carrier (125) that a computer program after Claim 25 contains.