DE112021005570T5

DE112021005570T5 - Mechanismen zur protokollierung von sicherheits- und kritischen informationen für fahrzeuge

Info

Publication number: DE112021005570T5
Application number: DE112021005570.4T
Authority: DE
Inventors: Qianying Zhu; Lidan ZHANG; Xiangbin Wu; XinXin Zhang; Fei Li
Original assignee: Mobileye Vision Technologies Ltd
Current assignee: Mobileye Vision Technologies Ltd
Priority date: 2020-11-19
Filing date: 2021-11-19
Publication date: 2023-08-31
Also published as: US20230391360A1; WO2022106894A1; CN116867696A; EP4247679A1; CN117818623A

Abstract

Es sind verschiedene Aspekte von Verfahren, Systemen und Verwendungsfällen für Sicherheitsprotokollierung in einem Fahrzeug beschrieben. In einem Beispiel beinhaltet ein Ansatz zur Datenprotokollierung in einem Fahrzeug die Verwendung von Protokollierungsauslösern, öffentlichen und privaten Daten-Buckets und definierten Datenformaten für Daten, die während des autonomen Fahrzeugbetriebs bereitgestellt werden. Datenprotokollierungsoperationen können als Reaktion auf Sicherheitsbedingungen ausgelöst werden, wie etwa das Detektieren einer gefährlichen Situation aufgrund dessen, dass das Fahrzeug die Sicherheitskriterien eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt. Datenprotokollierungsoperationen können das Protokollieren von Daten als Reaktion auf die Detektion der gefährlichen Situation beinhalten, einschließlich der Speicherung eines ersten Teils von Daten in einem öffentlichen Datenspeicher und der Speicherung eines zweiten Teils von datenschutzsensiblen Daten in einem privaten Datenspeicher, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt werden, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.

Description

PRIORITÄT SANSPRUCH
Die vorliegende Anmeldung beansprucht den Prioritätsvorteil der internationalen Anmeldung Nr. PCT/CN2020/130242 , eingereicht am 19. November 2020, die hiermit durch Bezugnahme in ihrer Gesamtheit aufgenommen wird.
HINTERGRUND
Bestehende Ansätze für die Protokollierung des Fahrzeugbetriebs und die Datenerfassung sind auf eine Vielfalt von Einschränkungen gestoßen. Beispielsweise verwenden einige autonome Fahrzeuge (z. B. Tesla-Fahrzeuge, die „TeslaLog“ verwenden) einen Protokollierungsmechanismus zum Erfassen von Echtzeit-Daten vom Fahrzeug, und dann können die protokollierten Daten für eine spätere Analyse zu einem entfernten Cloud-System hochgeladen werden. Zusätzlich verwenden einige Unternehmen und Forschungsinstitute für autonomes Fahren spezifische Fahrzeuge, die mit einem fahrzeuginternen Datenerfassungssystem ausgestattet sind, um hochgenaue Fahrzeugkinematik während des täglichen Fahrens zu sammeln.
Wie auch in vielen Protokollierungssystemen für Computersoftware angetroffen, erfassen und geben diese Ansätze jedoch eine erhebliche Menge an zugehörigen Systemeingaben und -ausgaben, plus internen Status, gewöhnlich in einem (unstrukturierten, ungesicherten) Textformat aus. Infolgedessen erzeugen solche bestehenden Ansätze große Volumen an Daten, die für die Analyse und Überprüfung vieler realer Ereignisse nicht vollständig nutzbar sind.
Figurenliste
In den Zeichnungen, die nicht notwendigerweise maßstabsgetreu gezeichnet sind, können gleiche Ziffern ähnliche Komponenten in unterschiedlichen Ansichten beschreiben. Gleiche Ziffern, die unterschiedliche Buchstabensuffixe aufweisen, können unterschiedliche Instanzen ähnlicher Komponenten repräsentieren. Einige Ausführungsformen sind beispielhaft und nicht beschränkend in den Figuren der begleitenden Zeichnungen veranschaulicht, in denen gilt:

1 veranschaulicht ein System zum Bereitstellen einer Protokollierung von Fahrzeugdaten gemäß einem Beispiel.
2 veranschaulicht ein Protokollierungsformat für Fahrzeugdaten gemäß einem Beispiel.
3 veranschaulicht ein Flussdiagramm eines Verfahrens zur Protokollierung von Fahrzeugdaten gemäß einem Beispiel.
4 veranschaulicht ein Flussdiagramm eines Verfahrens zum Sammeln und Betreiben der Datenprotokollierung für ein Fahrzeug gemäß einem Beispiel.
5 veranschaulicht ein Flussdiagramm eines Verfahrens, das bei einem Fahrzeug zum Protokollieren von Betriebsdatenwerten eines autonomen Fahrzeugs durchgeführt wird.
6 veranschaulicht eine Maschine in der beispielhaften Form eines Computersystems zum Durchführen einer beliebigen der hierin erörterten Methoden gemäß einem Beispiel.

AUSFÜHRLICHE BESCHREIBUNG
Die folgenden Ausführungsformen beziehen sich allgemein auf Mechanismen und Techniken zur Erstellung von Protokollierungsdaten aus dem Fahrzeugbetrieb. Insbesondere können Sicherheitsinformationen und andere kritische Informationen von verschiedenen Fahrzeugsensoren und -untersystemen unter Verwendung der vorliegenden Techniken auf eine sichere und private Art und Weise protokolliert werden.
Die Protokollierung der Fahrzeugleistung und von internen Betriebsdaten wird in einer Vielfalt von Szenarien benötigt, einschließlich in Konformitätsprüfungsszenarien, oder bei der normalen täglichen Nutzung, wenn Nachweis oder Verifizierung des Fahrzeugbetriebs benötigt wird (z. B. während der Konformitätsprüfungsverifizierung, oder wenn das Fahrzeug in einen Unfall verwickelt war). Um dieses Ziel zu erreichen, muss eine zweckmäßige Verfügbarkeit jeglicher wichtigen Informationen in guter Auflösung bereitgestellt werden. Zusätzlich müssen solche Informationen mit einwandfreier Integrität, Nichtabstreitbarkeit und Eliminierung nicht notwendiger Informationen geschützt werden, um die Privatsphäre von Kunden zu schützen.
Das Folgende liefert einen Überblick eines strukturierten Protokollierungssystems, das definierte Protokollierungsoperationen und Datenerfassungscharakteristiken bereitstellt. Das Ergebnis einer solchen strukturierten Protokollierung kann leichter zwischen Fahrzeugsystemen und Herstellern verglichen werden, während Schutz und Integrität gewährleistet werden, und ist für Online-Protokollierung in Echtzeit freundlich und dennoch datenschutzbewusst und unbestreitbar.
Die folgenden strukturierten Protokollierungsoperationen können auch eine Grundlage für die Protokollierung sicherheitsbezogener kritischer Informationen zusätzlich zum Debugging bereitstellen, die durch Regulierungsbehörden, ein Industriekonsortium usw. verwendet werden sollen. Die folgenden strukturierten Protokollierungsoperationen werden mit einem datenschutzbewussten Ansatz, mit geeignetem Schutz von Informationsintegrität erstellt. Darüber hinaus bietet dies Widerstand gegen absichtliche oder unbeabsichtigte Modifikationen.
Mit bestehenden Ansätzen wird die Protokollierung von Operationen eines autonomen Fahrzeugs auf eine sehr vorübergehende und unvollständige Art und Weise durchgeführt. Manchmal werden zu viele Informationen protokolliert, während es zu anderen Zeiten fehlende kritische Informationen gibt, um das Gesamtsystem zu verbessern. Bestehende Ansätze zur Protokollierung für ein autonomes Fahrzeug erfassen häufig Daten, die zufällig und nicht strukturiert sind. Zusätzliche Arbeit (z. B. eine Protokollanalysesoftware) wird dann benötigt, um unterschiedliche Protokolle von unterschiedlichen Versionen von Software von demselben Fahrzeug oder von unterschiedlichen Fahrzeugen oder unterschiedlichen Anbietern zu vergleichen. Zusätzlich mangelt es häufig an einer Vergleichsbasislinie, somit könnten einige benötigte Protokollinformationen für die Konformitätsprüfung fehlen, während andere Protokollinformationen möglicherweise nicht notwendig sind, wodurch zusätzliche Risiken der Gefährdung der Privatsphäre verursacht werden. Gleichermaßen kann Protokollierung mit unterschiedlichen Auflösungen durchgeführt werden (z. B. Timing oder Frequenz von Datenerfassungen).
Zusätzlich mangelt es bestehenden Ansätzen auch an wichtigen Merkmalen wie etwa Integritätsschutz und -validierung, und können leicht modifiziert werden und können den Gesamtwert der Protokollierung verschlechtern. Bestehenden Ansätzen mangelt es insgesamt auch an Differenzierung, um unterschiedliche Informationssensitivitäten (z. B. Wetterbedingungen gegenüber geographischem Standort des Fahrzeugs) für unterschiedliche Schutzstufen zu handhaben. Gleichermaßen mangelt es an Fähigkeiten wie etwa die gleichzeitige Online-Protokollierung über drahtlose Kommunikation. Diese und andere Einschränkungen werden durch die folgende Datenprotokollierungsplattform und die folgenden Datenprotokollierungsoperationen angesprochen, die mit einem Beispiel für fahrzeuginterne Datenverarbeitung eingeführt werden.
1 ist eine schematische Zeichnung, die ein System 100 zum Bereitstellen einer Protokollierung von Fahrzeugdaten gemäß einer Ausführungsform veranschaulicht. 1 beinhaltet ein automatisches Datenprotokollierungssystem 102, das in das Fahrzeug 104 integriert ist. Das automatische Datenprotokollierungssystem 102 beinhaltet eine Sensorarrayschnittstelle 106, eine Verarbeitungsschaltungsanordnung 108, eine Datenklassifikationsschaltungsanordnung 110 und eine Fahrzeugdatenschnittstelle 112. Die Veranschaulichung des Systems 100 liefert eine vereinfachte Darstellung des Fahrzeugs 104 und der Fahrzeugoperationen; es versteht sich, dass viele Fahrzeuguntersysteme der Einfachheit halber nicht veranschaulicht sind. In anderen Beispielen ist das automatisierte Datenprotokollierungssystem eine eigenständige Vorrichtung zur Verwendung im Fahrzeug 104 und ist nicht direkt in
Das Fahrzeug 104, das auch als ein „Ego-Fahrzeug“, „Subjekt-Fahrzeug“ oder „Host-Fahrzeug“ bezeichnet werden kann, kann ein beliebiger Typ von Fahrzeug sein, wie etwa ein kommerzielles Fahrzeug, ein Verbraucherfahrzeug, ein Freizeitfahrzeug, ein Auto, ein Lastkraftwagen, ein Motorrad, ein Boot, eine Drohne, ein Roboter, ein Flugzeug, ein Luftkissenboot oder ein beliebiges mobiles Fahrzeug, das in der Lage ist, zumindest teilweise in einem autonomen Modus zu arbeiten. Das Fahrzeug 104 kann zu manchen Zeiten in einem manuellen Modus arbeiten, bei dem der Fahrer das Fahrzeug 104 auf herkömmliche Weise unter Verwendung von Pedalen, einem Lenkrad oder anderen Steuerungen bedient. Zu anderen Zeiten kann das Fahrzeug 104 in einem vollautonomen Modus arbeiten, bei dem das Fahrzeug 104 ohne einen Benutzereingriff arbeitet. Zusätzlich kann das Fahrzeug 104 in einem teilautonomen Modus arbeiten, bei dem das Fahrzeug 104 viele der Aspekte des Fahrens steuert, aber der Fahrer in den Betrieb unter Verwendung herkömmlicher (z. B. Lenkrad) und nicht herkömmlicher Eingaben (z. B. Sprachsteuerung) eingreifen oder diesen beeinflussen kann. Auf diese Weise kann das Fahrzeug zu den gleichen oder zu unterschiedlichen Zeiten unter einer beliebigen Anzahl von Fahrautomatisierungsstufen arbeiten, die von Stufe 1 bis Stufe 5 definiert sind (z. B. wie durch SAE International J3016 definiert: Stufe 1, Fahrerassistenz; Stufe 2, partielle Fahrautomatisierung; Stufe 3, bedingte Fahrautomatisierung; Stufe 4, hohe Fahrautomatisierung; Stufe 5, volle Fahrautomatisierung).
Die Sensorarrayschnittstelle 106 kann verwendet werden, um dem automatisierten Datenprotokollierungssystem 102 Eingangs- oder Ausgangsignalisierung bereitzustellen, um Daten von einem oder mehreren Sensoren eines am (z. B. im) Fahrzeug 104 installierten Sensorarrays zu empfangen oder zu erhalten. Beispiele für Sensoren beinhalten unter anderem: nach vorne, zur Seite oder nach hinten zeigende Kameras; Radar; LiDAR; Ultraschall-Distanzmessungssensoren; oder andere Sensoren. Nach vorne zeigend oder vorwärts zeigend wird in diesem Dokument verwendet, um sich auf die primäre Fahrtrichtung, die Richtung, in die die Sitze zeigen, die Fahrtrichtung, wenn das Getriebe auf Fahren eingestellt ist, oder dergleichen beziehen. Herkömmlicherweise wird dann nach hinten zeigend oder rückwärts zeigend verwendet, um Sensoren zu beschreiben, die in eine grob entgegengesetzte Richtung als jene gerichtet sind, die nach vorne oder vorwärts zeigen. Es versteht sich, dass einige nach vorne zeigende Kameras ein relativ breites Sichtfeld aufweisen können, sogar bis zu 180 Grad. Gleichermaßen kann eine nach hinten zeigende Kamera, die in einem Winkel (vielleicht 60 Grad von der Mitte) ausgerichtet ist, die zum Detektieren von Verkehr in benachbarten Fahrspuren verwendet werden soll, auch ein relativ breites Sichtfeld aufweisen, das das Sichtfeld der nach vorne zeigenden Kamera überlappen kann. Zur Seite zeigende Sensoren sind jene, die von den Seiten des Fahrzeugs 104 nach außen gerichtet sind. Kameras im Sensorarray können Infrarotkameras oder Kameras für sichtbares Licht beinhalten, die in der Lage sind, auf lange oder kurze Entfernungen mit schmalen oder großen Sichtfeldern zu fokussieren. Das Fahrzeug 104 kann auch verschiedene andere Sensoren beinhalten, wie etwa Fahreridentifikationssensoren (z. B. einen Sitzsensor, einen Augenverfolgungs- und Identifikationssensor, einen Fingerabdruckscanner, ein Spracherkennungsmodul oder dergleichen), Insassensensoren oder verschiedene Umgebungssensoren zum Detektieren von Windgeschwindigkeit, Außentemperatur, Barometerdruck, Regen/Feuchtigkeit oder dergleichen.
Sensordaten werden verwendet, um den Betriebskontext des Fahrzeugs, Umgebungsinformationen, Straßenbedingungen, Fahrbedingungen oder dergleichen zu bestimmen. Die Sensorarrayschnittstelle 106 kann mit einer anderen Schnittstelle kommunizieren, wie etwa einem fahrzeuginternen Navigationssystem des Fahrzeugs 104, um Sensordaten bereitzustellen oder zu erhalten. Komponenten des automatisierten Datenprotokollierungssystems 102 können mit Komponenten innerhalb des automatisierten Datenprotokollierungssystems 102 oder Komponenten außerhalb des Systems 102 unter Verwendung eines Netzwerks kommunizieren, das Lokalnetzwerke (LAN), Weitbereichsnetzwerke (WAN), drahtlose Netzwerke (z. B. IEEE 802.11 (WiFi) oder ein zellulares Netzwerk), Ad-hoc-Netzwerke, persönliche Netzwerke (z. B. Bluetooth), fahrzeugbasierte Netzwerk (z. B. Controller Area Network(CAN)-BUS) oder andere Kombinationen oder Permutationen von Netzwerkprotokollen und Netzwerktypen beinhalten kann. Das Netzwerk kann ein einzelnes Lokalnetzwerk (LAN) oder Weitbereichsnetzwerk (WAN) oder Kombinationen von LANs oder WANs wie etwa das Internet beinhalten. Die verschiedenen mit dem Netzwerk gekoppelten Vorrichtungen können über ein oder mehrere drahtgebundene oder drahtlose Verbindungen mit dem Netzwerk gekoppelt sein.
Das automatisierte Datenprotokollierungssystem 102 kann unter Verwendung einer Fahrzeugdatenschnittstelle 112 mit einer Fahrzeugsteuerplattform 118 kommunizieren, um Fahrzeugdaten zu empfangen und zu erhalten. Die Fahrzeugsteuerplattform 118 kann eine Komponente einer größeren Architektur sein, die verschiedene Aspekte des Betriebs des Fahrzeugs steuert. Die Fahrzeugsteuerplattform 118 kann Schnittstellen zu autonomen Fahrsteuersystemen (z. B. Lenkung, Bremsung, Beschleunigung usw.), Komfortsystemen (z. B. Heizung, Klimaanlage, Sitzpositionierung usw.), Navigationsschnittstellen (z. B. Karten und Streckenführungssysteme, Positionierungssysteme usw.), Kollisionsvermeidungssystemen, Kommunikationssystemen, Sicherheitssystemen, Fahrzeugstatusmonitoren (z. B. Reifendruckmonitor, Ölstandsensor, Batterieniveausensor, Geschwindigkeitsmesser usw.) und dergleichen aufweisen. Die Fahrzeugsteuerplattform 118 kann ein oder mehrere Untersysteme steuern oder überwachen und Daten von solchen Untersystemen zu dem automatisierten Datenprotokollierungssystem 102 kommunizieren. In einigen Beispielen sind Merkmale der Sensorarrayschnittstelle 106 und der Fahrzeugdatenschnittstelle 112 in eine selbe oder koordinierte Datensammelschnittstelle integriert, um Daten von mindestens einer Erfassungskomponente des Fahrzeugs zu empfangen. Solche Daten können über die Schnittstelle(n) während des autonomen Betriebs des Fahrzeugs bereitgestellt werden, und solche Daten können unter Verwendung der hierin erörterten Ansätze automatisch protokolliert werden.
In einem Beispiel können Sensordaten, wie etwa Brems-, Gaspedal-, Geschwindigkeitsdatensignale, unter anderen Datensignaltypen, der Datenklassifikationsschaltungsanordnung 110 bereitgestellt werden, die die Eingangssignale vorverarbeiteten kann. Die Datenklassifikationsschaltungsanordnung 110 kann verschiedene Regeln, Algorithmen oder Logik beinhalten, einschließlich eines mehrerer Typen von maschinellem Lernen, wie etwa künstliche neuronale Netzwerke (ANN), Support-Vektor-Maschinen (SVM), gaußsches Mischmodell (GMM), Deep Learning oder dergleichen. Basierend auf der möglichen Klassifikation kann die Verarbeitungsschaltungsanordnung 108 eine oder mehrere responsive Datenverarbeitungs-, Protokollierungs- oder Kommunikationsaktivitäten initiieren. Andere autonome Fahrzeug- und Datenverarbeitungsaktionen können in Abhängigkeit von dem Typ, der Schwere, dem Ort oder anderen Aspekten eines mit dem automatisierten Datenprotokollierungssystem 102 detektierten Ereignisses überwacht, koordiniert oder initiiert werden.
In einem Beispiel kann das automatisierte Datenprotokollierungssystem 102 in verschiedenen Umfeldern aktiviert oder ausgelöst werden. Beispielsweise kann ein „Always-On“-Auslöser bewirken, dass alle Protokollierungsoperationen eingeschaltet sind und in allen Szenarien ausgeführt werden; ein „Normalverwendung“-Auslöser kann bewirken, dass keine Protokollierung stattfindet, bis sie durch irgendeinen internen Status ausgelöst wird, wie etwa, wenn ein Sicherheits-Mindestabstand (z. B. ein minimaler longitudinaler oder minimaler lateraler Abstand zwischen dem Host-Fahrzeug und einem Zielfahrzeug, unter Verwendung des Abstands, der durch ein Modell zur Fahrzeugbetriebssicherheit wie etwa Responsibility Sensitive Safety (RSS) von Mobileye definiert wird) nicht beibehalten werden kann, bis kein interner Auslöser eingeschaltet ist, plus bestimmte Minuten (z. B. 2 Minuten) Verzögerung. Andere Formen von Datenauslösung und Aktivierung können auch bereitgestellt werden.
Ebenfalls liefert das automatisierte Datenprotokollierungssystem 102 in einem Beispiel zwei Protokollierungsdatenspeicher („Buckets“) zum Sammeln von Daten für ein Fahrzeug: ein „allgemeiner“ oder „öffentlicher“ Bucket und ein „privater“ Bucket. Solche Buckets können in denselben oder unterschiedlichen Speicherungsvorrichtungen (z. B. nichtflüchtiger Speicher) implementiert werden. Diese Protokoll-Buckets werden synchron betrieben (unter Verwendung der gleichen Zeitstempel, während Ereignisse parallel stattfinden). Der öffentliche Protokoll-Bucket ist bereitgestellt, um Ereignisse ohne spezielle Zugriffskontrolleinschränkungen zu protokollieren, wohingegen der private Protokoll-Bucket bereitgestellt ist, um Ereignisse mit Zugriffskontrolleinschränkungen zu protokollieren. Beispielsweise kann der private Protokoll-Bucket privilegierte oder datenschutzsensible Informationen unterhalten, wie etwa: geographischer Standort, Fahrerinformationen, Kameradaten oder andere Informationen, die zusätzlichen Schutz erfordern, wie durch Entwickler, Benutzer, Hersteller usw. definiert. Ein Benutzer (z. B. menschlicher Fahrer) kann auch mit einer Möglichkeit zum Auswählen oder Deaktivieren der privaten Protokoll-Buckets oder der Typen von geschützten Daten in einer Systemkonfiguration versehen werden. Beispielsweise kann ein Benutzer unter Auswahlmöglichkeiten von „Datenschutz eingeschaltet“ oder „Datenschutz deaktiviert“ auswählen; eine Standardauswahl, die im Fahrzeug verwendet wird, kann „Datenschutz eingeschaltet“ sein.
Falls der Auslöser für die Datenprotokollierung manuell eingeschaltet (aktiviert) wird, überschreibt dieser Auslöser andere Einstellungen und schaltet die Protokollierung für alle Daten-Buckets ein, bis der Auslöser für die Datenprotokollierung manuell ausgeschaltet wird. Eine solche Aktivierung kann mit einem Online-Protokollierungsmodus assoziiert sein. Wenn Online-Protokollierung konfiguriert ist, wird jeder Protokollblock zu einem Backend-System (z. B. einem Cloud-Dienst) sofort gesendet, wenn der Block von Daten (oder ein gepufferter Satz von Datenblöcken) bereit ist.
Verschiedene Formen von Sicherheit und Verschlüsselung können verwendet werden, um Protokollierungsinformationen vertraulich zu halten. Beispielsweise können Online-Protokolle unter Verwendung eines öffentlichen Schlüssels eines Online-Protokolldienstanbieters verschlüsselt werden. Beispielsweise kann ein Dienstanbieter eine Aufsichtsbehörde, ein Versicherungsanbieter für das Fahrzeug, der Fahrzeuganbieter, der Betreiber oder eine vertrauenswürdige Drittpartei sein. Andere Formen von Sicherheit und Verschlüsselung können auch an Kommunikationen angewendet werden, die die Protokollierungsinformationen beinhalten.
Virtuelle Protokollierung kann durch ein „virtuelles Protokoll“ bereitgestellt werden, um einen kurzen Kontext beim Start des Ereignisprotokolls bereitzustellen. Um notwendige Kontextinformationen zu protokollieren, wird das System auch Protokolle benötigen, um Daten von einem kurzen Zeitraum (z. B. 2 Minuten) vor der Aktivierung eines internen Auslösers bereitzustellen, was durch das virtuelle Protokoll unterstützt werden kann. Beispielsweise können alle Systemdaten automatisch gepuffert und in ein oder mehrere virtuelle Protokolle protokolliert werden, ungeachtet des Status der Auslöser. In einem Beispiel werden die virtuellen Protokolle automatisch trunkiert, um nur einen jüngsten eingestellten Zeitraum von Protokolldaten zu enthalten (z. B. 2 Minuten an Daten).
Virtuelle Protokolle werden vorzugsweise in Speicher mit geeignetem Schutz (z. B. Verschlüsselung) unterhalten. Wenn ein Protokoll-Auslöser eingeschaltet ist, werden die virtuellen Protokolle von Daten für den letzten Datensammlungszeitraum (z. B. die letzten 2 Minuten an Daten) unterhalten und werden automatisch in bestimmte Protokoll-Buckets oder -Kategorien klassifiziert, bevor die Protokollierung ausgelöst wird. Andere Auslöse- und Datenerfassungsmöglichkeiten können auch einbezogen werden.
Um einen Vergleich von AV-Betriebsdaten zu ermöglichen, die von Fahrzeugen von unterschiedlichen Typen und Herstellern bereitgestellt werden, kann ein gemeinsamer Protokollierungsansatz und eine gemeinsame Datenstruktur unter mehreren Fahrzeugen wie folgt definiert werden. Erstens werden die Daten an jedem Fahrzeug in einem öffentlichen Daten-Bucket (z. B. dem öffentlichen Datenspeicher 212 von 2) oder einem privaten Daten-Bucket (z. B. dem privaten Datenspeicher 214 von 2) gemäß den Datenschutz- oder persönlich identifizierenden Charakteristiken der Daten gespeichert. Zweitens werden relevante Daten für den privaten Daten-Bucket an jedem Fahrzeug auf eine verschlüsselte Art und Weise gespeichert und der Zugriff wird kontrolliert. Beispielsweise kann ein Verschlüsselungsalgorithmus, der für den privaten Daten-Bucket verwendet wird, durch den Fahrzeughersteller zum Schützen der privaten Daten gewählt oder implementiert werden.

In einem Beispiel kann das folgende Protokollierungsformat (Datenstruktur) für die Sammlung von AV-Betriebsdaten genutzt werden. In jedem spezifizierten Intervall (z. B. 10 Millisekunden) protokolliert das Fahrzeug die folgenden Informationen in die zwei Daten-Buckets: den „öffentlichen“ oder „allgemeinen“ Daten-Bucket unter Verwendung der ersten Datenstruktur, die in TABELLE 1 definiert ist, und den „privaten“ Daten-Bucket unter Verwendung der zweiten Datenstruktur, die in TABELLE 2 definiert ist. TABELLE 1

Öffentlicher (allgemeiner) Daten-Bucket
Datenfeldname	Datenfeldbeschreibung	Datenlänge
Element-sequenz	Seriennummer des Protokolls, bestehend aus ASCII-Code (z. B. „ELEMENT“ und Seriennummer)	ASCII-Code: 32 Bit
		Seriennummer: 32 Bit
Zeitstempel	Zeitstempel	64 Bit
Fahrzeug-ID	Fahrzeugkennung (z. B. durch den Hersteller definiert)	64 Bit
Longitudinale Geschwindig-keit des Ego-Fahrzeugs	Die longitudinale Geschwindigkeit des Testfahrzeugs (z. B. in km/h)	64 Bit
Lateral e Geschwindig-keit des Ego-Fahrzeugs	Die laterale Geschwindigkeit des Testfahrzeugs (z. B. in km/h)	64 Bit
Spurposition	Die Spurinformationen des Testfahrzeugs (z. B. nach ASAM OpenDRIVE-Definitionen) Für die Spur in die gleiche Richtung:	16 Bit
	1: die innerste Spur
	2: die sekundäre innere Spur
	Für die Spur in die entgegengesetzte Richtung:
	-1: die innerste Spur
	-2: die sekundäre innere Spur
Gaspedal	Das aktuelle Gaspedalsignal des Testfahrzeugs	Double, 64 Bit
Bremse	Das aktuelle Bremssignal des Testfahrzeugs	Double, 64 Bit
Lenkung	Die aktuelle Lenkung des Testfahrzeugs	Double, 64 Bit
Inertial	Die Stellungsinformationen, einschließlich:	Double, 64 Bit (x6)
	Δx: Beschleunigung in die x-Achsenrichtung (m/s²)
	Δy: Beschleunigung in die y-Achsenrichtung (m/s²)
	Δz: Beschleunigung in die z-Achsenrichtung (m/s²)
	ΔNicken: Winkelbeschleunigung in die x-Achsenrichtung (rad/s)
	ΔRollen: Winkelbeschleunigung in die y-Achsenrichtung (rad/s)
	ΔGieren: Winkelbeschleunigung in die z-Achsenrichtung (rad/s)
Parametertabellenindex	Index der Sicherheitsentscheidungsparametertabelle (z. B. aus einer Sicherheitsentscheidungsparametertabelle identifiziert, wie etwa der in TABELLE 4 unten bereitgestellten Parametertabelle; der Zeiger kann 0 sein, wenn es nur einen Satz von Parametern gibt)	Integer_ Index, 16 Bit
Betätigt	Ein boolescher Wert, der angibt, ob das Fahrzeug in eine gefährliche Situation geraten ist (z. B. durch das Modell zur Fahrzeugbetriebssicherheit angegeben)	Wahr oder Falsch
Longitudinale Geschwindigkeit des Zielfahrzeugs	Die aktuelle longitudinale Geschwindigkeit des Zielfahrzeugs (km/h)	64 Bit
Lateral e Geschwindigkeit des Zielfahrzeugs	Die aktuelle laterale Geschwindigkeit des Zielfahrzeugs (km/h)	64 Bit
Longitudinaler Abstand zum Ziel	Der relative longitudinale Abstand zum Zielfahrzeug	Double, 64 Bit
Longitudinaler Abstand zum Ziel	Der relative laterale Abstand zum Zielfahrzeug	Double, 64 Bit

TABELLE 2

Privater Daten-Bucket
Datenfeldname	Datenfeldbeschreibung	Länge
Elementsequenz	Seriennummer des Protokolls, bestehend aus ASCII-Code (z. B. „ELEMENT“ und Seriennummer)	ASCII-Code: 32 Bit Seriennummer: 32 Bit
Zeitstempel	Zeitstempel	64 Bit
Fahrzeug-ID	Fahrzeugkennung (z. B. durch den Hersteller definiert)	64 Bit
Fahrer-ID	Fahrerkennung	64 Bit
Positionslängengrad	Der Positionslängengrad des Testfahrzeugs	64 Bit
Positionsbreitengrad	Der Positionsbreitengrad des Testfahrzeugs	64 Bit
Lokalisierungsverfahren	Positionierungsverfahren: GPS = 0 (globales Positionierungssystem) Diff-GPS = 1 (differenzielles globales Positionierungssystem)	Integer, 16 Bit
	BeiDou = 2 (BeiDou-Satellitennavigationssystem) GLONASS = 3 (Globalnaya Navigazionnaya Sputnikovaya Sistema) Galileo = 4 (globales Satellitennavigationssystem der Europäischen Union) QZSS = 5 (Quasi-Zenith-Satellitensystem) Inertial = 6 (z. B. Tunnel)
Bild von Kamera 1	Durch die Kamera 1 gesammelte Daten, einschließlich der folgenden Felder: Größe: die Länge der Daten (Bytes) Daten: die gesammelten Daten (Blob in JPEG-Format)	Größe: Integer, 32 Bit Daten: Größe*8 Bit
Bild von Kamera 2	Durch die Kamera 2 gesammelte Daten (z. B. einschließlich der für die Kamera 1 angegebenen Felder)	Größe: Integer, 32 Bit Daten: Größe*8 Bit

Bild von Kamera N	Durch die Kamera N gesammelte Daten (z. B. einschließlich der für die Kamera 1 angegebenen Felder)	Größe: Integer, 32 Bit Daten: Größe*8 Bit

Mit solchen detaillierten Protokollierungsinformationen kann ein voller Kontext in einem Datenprotokoll bereitgestellt werden, um wiederherzustellen, was passiert ist und zu einem Ereignis (z. B. einem Unfall oder Beinahe-Unfall) führte, insbesondere mit Sicherheitsmodellauslösern. Es versteht sich, dass viele Downstream-Verwendungen der Protokollierungsinformationen bereitgestellt werden können, einschließlich bezüglich der Prüfung, Freigabe und Validierung von Software-Versionen, der Validierung, ob ein Fahrzeug einen Test besteht, und zum Rekonstruieren von Daten bei Unfällen und Identifizieren, was passiert ist.
In einem Beispiel sind die Sicherheitsmodellauslöser mit Schwellen oder Werten (z. B. kleiner als, mehr als) von spezifischen Sicherheitsentscheidungsparametern assoziiert. Solche Sicherheitsentscheidungsparameter können durch ein bestimmtes Modell zur Fahrzeugbetriebssicherheit, wie etwa RSS, definiert (oder benötigt) werden. Somit kann das Bestimmen, ob ein Sicherheitsmodellauslöser aktiviert wurde, das Durchführen eines Vergleichs des Betriebs des Host-Fahrzeugs mit mindestens einem Anforderungs- oder Evaluierungskriterium (und z. B. Werten von Sicherheitsentscheidungsparametern), die durch das Modell zur Fahrzeugbetriebssicherheit spezifiziert werden, beinhalten. In verschiedenen Beispielen können solche Sicherheitsentscheidungsparameter einen minimalen sicheren longitudinalen Abstand, einen minimalen lateralen sicheren Abstand und andere Werte betreffen, die bestimmt werden aus: der longitudinalen oder lateralen Reaktionszeit eines Ego-Fahrzeugs; der maximalen longitudinalen oder lateralen Beschleunigung des Ego-Fahrzeugs; der minimalen longitudinalen oder lateralen Bremsverzögerung des Ego-Fahrzeugs; der maximalen longitudinalen Abbremsung des Zielfahrzeugs; und dergleichen.
2 stellt ein weiteres Beispiel für ein Fahrzeugdatenprotokollierungsformat 200 zur Verwendung mit den hierin erörterten Operationen zur Protokollierung von Fahrzeugdaten dar. Dieses Datenprotokollierungsformat 200 stellt ein standardisiertes Format zusätzlich zu Integrität und Nichtabstreitbarkeit für Dateneinträge bereit. Das Fahrzeugdatenprotokollierungsformat 200 stellt eine Definition des Datenblocks bereit, der für sowohl öffentliche Daten als auch private Daten verwendet wird. Hier ist eine Mehrzahl von Datenblöcken 202, 204, 206, 208 mit Digest-Werten verknüpft. Solche Datenblöcke können zur Speicherung von Protokollierungsdaten in einem öffentlichen Datenspeicher 212 und einem privaten Datenspeicher 214 zum Implementieren des oben erörterten öffentlichen Daten-Bucket und des privaten Daten-Bucket verwendet werden. Beispielsweise kann die Speicherung der Protokollierungsdaten die Speicherung eines ersten Teils der Sensordaten (z. B. nicht datenschutzsensible Datenwerte) im öffentlichen Datenspeicher 212 und die Speicherung eines zweiten Teils der Sensordaten (z. B. datenschutzsensible Datenwerte) im privaten Datenspeicher 214 beinhalten. Verschiedene Sicherheitstechniken können an dem zweiten Teil der Sensordaten angewendet werden, die im privaten Datenspeicher 214 gehostet werden. Beispielsweise können die im privaten Datenspeicher 214 gespeicherten Daten verschlüsselt werden, und Zugriffskontrollmaßnahmen können bereitgestellt werden, um einen unbeabsichtigten oder unautorisierten Zugriff auf Daten im privaten Datenspeicher 214 zu verhindern.
Verschiedene Techniken können an den Daten angewendet werden, um die Datenintegrität zu gewährleisten und eine Manipulation zu verhindern. Beispielsweise können jede n Datensatzelemente (z. B. jede 100 Datensatzelemente) als ein Datenblock organisiert sein, entsprechend einer 1024-Bit-MD5-Digest-Information (z. B. der MD5-Digest-Wert des vorherigen Datenblocks muss eingeschlossen werden, wenn der aktuelle berechnet wird). Jeder Datenblock ist ein ganzzahliges Vielfaches von 128 Bytes, ansonsten muss es mit einer Auffüllung („FF“) gefüllt werden, und das letzte Byte ist die Länge der Auffüllung. Die anfängliche MD5-Eingabe des ersten Blocks ist 128 Byte, einschließlich der aktuellen Zeit (64 Bit), des Root-Zertifikats des Fahrzeugs (durch den Hersteller definiert) und der Auffüllung (,FF`).
In einem spezifischen Beispiel wird der Datenblock automatisch beendet, wenn keine neuen Daten für 5 Sekunden geschrieben werden. Andere Verfahren zum Organisieren von Daten in Blöcke oder Chunks können auch verwendet werden.

Die für die Protokollierung von sowohl öffentlichen Daten als auch privaten Daten verwendete Formatdefinition (z. B. im öffentlichen Daten-Bucket und im privaten Daten-Bucket) kann wie folgt implementiert werden: TABELLE 3

Block M-1

......

Block M-1 MD5-Zusammenfassung (128 Byte)

Block M

Protokollieren von Element 1 („ELEMENT“ + die Seriennummer des Protokolls...)

Protokollieren von Element 2 („ELEMENT“ + die Seriennummer des Protokolls...)

......

Protokollieren von Element 100 oder n (entsprechend Timeout) + (Auffüllung) + (Länge des Strings)

Block M MD5-Zusammenfassung (128 Byte)

3 stellt ein Flussdiagramm 300 eines Verfahrens zur Protokollierung von Fahrzeugdaten zur Verwendung mit den hierin erörterten Operationen zur Datenprotokollierung dar. Dieses Flussdiagramm 300 beginnt mit dem Erhalten von Protokollelementen (Operation 302). Jeder Protokollblock sollte das Vielfache eines definierten Wertes sein (z. B. 128 Bytes). Falls nicht, wird Auffüllung am Ende des Protokollblocks hinzugefügt (Operation 304). In einem Beispiel ist das letzte Byte der Auffüllung die Anzahl von aufgefüllten Bytes, und das letzte Byte wird als Auffüllung gezählt. Das Flussdiagramm fährt mit dem Signieren jeder n Protokollelemente (Operation 306) mit einem Digest fort. Beispielsweise können jede 100 Protokollelemente, die in einen jeweiligen Protokollblock produziert werden sollen, mit einem 1024-Bit-MD5-Digest signiert werden. Wie im Datenprotokollierungsformat 200 dargestellt, kann der MD5-Digest des vorherigen Protokollblocks an den Kopf des Dateneintrags gesetzt werden, wenn der neue Digest berechnet wird. Wie auch im Datenprotokollierungsformat 200 dargestellt, kann diese Signatur an das Ende des Blocks angehängt werden.
In einem Beispiel kann der MD5-Digest von Protokollblock 0 von einem bekannten Wert erzeugt werden, wie etwa, wenn der Motor gestartet wird, unter Verwendung von MD5_Digest (aktuelle Zeit 64 Bit + Fahrzeug-Root-Zertifikat). Protokollblock 1 wird immer in die Buckets abgespeichert, jedes Mal, wenn das Fahrzeug gestartet wird. Zusätzlich kann es ein Timeout geben (z. B. ein Timeout von fünf Sekunden), wenn keine Protokollelemente im Bucket verfügbar sind, um einen Protokollblock zu bilden. Andere Variationen für das Format und die Sicherheitsmerkmale können auch implementiert werden.
Die Protokollierung und Verifizierung von spezifischen Sicherheitsmodellparametern bezüglich longitudinaler oder lateraler Abstände, Brems- oder Abbremsungsbedingungen, Beschleunigungs- oder Geschwindigkeitsbedingungen und dergleichen können nützlich sein, um dabei zu helfen, zu verifizieren, ob Sicherheitsmodellregeln und -prozeduren durch das Fahrzeug oder andere Entitäten in einem Fahrszenario befolgt (oder verletzt) wurden. Es versteht sich, dass jeder Hersteller j eweilige Sicherheitsentscheidungsparameter für ein Fahrzeug gemäß den physischen Charakteristiken des Fahrzeugs und der Auswahl oder Spezifikation unterschiedlicher Parameter gemäß unterschiedlichen Umgebungen, in denen das Fahrzeug verwendet wird, gestalten, definieren oder berechnen kann. Eine Parametertabelle kann durch den Hersteller bereitgestellt werden, die gemäß der tatsächlichen Leistung des Fahrzeugs gesetzt oder definiert wird, und es kann einen oder mehrere Sätze von Parametern geben.

TABELLE 4 unten liefert ein Beispiel für Parameter zur Sicherheitsentscheidung, wie durch ein Modell zur Fahrzeugbetriebssicherheit bereitgestellt oder in dieses integriert sein kann, und die zur Evaluierung oder Auslösung von Protokollierungsbedingungen verwendet werden. Es versteht sich, dass Echtzeit-Werte (wie etwa Beschleunigungen) unsignierte Werte sein können, die in die relevanten Sicherheitsmodellierungsformeln eingegeben werden. TABELLE 4

Sicherheitsentscheidungsparameter
Feldname	Feldbedeutung	Länge
ρ_long	Die longitudinale Reaktionszeit des Ego-Fahrzeugs (ms)	16 Bit
ρ_lateral	Die laterale Reaktionszeit des Ego-Fahrzeugs (ms)	16 Bit
$a_{m a x, B e s c h l}^{l o n g}$	Die maximale longitudinale Beschleunigung des Ego-Fahrzeugs (m/s²)	Double, 64 Bit
$a_{m a x, B e s c h l}^{l a t e r a l}$	Die maximale laterale Beschleunigung des Ego-Fahrzeugs (m/s²)	Double, 64 Bit
$a_{m i n, B r e m s e}^{l o n g}$	Die minimale longitudinale Bremsverzögerung des Ego-Fahrzeugs (m/s²)	Double, 64 Bit
$a_{m i n, B r e m s e}^{l a t e r a l}$	Die minimale laterale Bremsverzögerung des Ego-Fahrzeugs (m/s²)	Double, 64 Bit
$a_{m a x, B r e m s e}^{l o n g}$	Die maximale longitudinale Abbremsung des Zielfahrzeugs (m/s²)	Double, 64 Bit

4 stellt ein Flussdiagramm 400 eines Verfahrens zum Sammeln und Betreiben einer Datenprotokollierung für ein Fahrzeug gemäß den vorliegenden Techniken dar.
Operation 402 beinhaltet das Sammeln von Daten von einer Mehrzahl von Sensoren und Untersystemen des autonomen Fahrzeugs. Diese Daten können die Datenwerte, die mit Bezug auf die Tabellen 1 und 2 oben identifiziert werden, und andere oben erörterte Datenwerte beinhalten.
Operation 404 beinhaltet das Erstellen eines virtuellen Protokolls (z. B. Puffers) am Fahrzeug unter Verwendung der gesammelten Daten, wobei das virtuelle Protokoll ein laufendes Protokoll der gesammelten Daten für ein definiertes Fenster oder einen definierten Zeitraum (z. B. die vorherigen zwei Minuten an Daten) bereitstellt. Das virtuelle Protokoll kann unter Verwendung der oben erörterten anderen Aspekte und Ansätze betrieben und unterhalten werden.
Operation 406 beinhaltet das Identifizieren eines Protokollierungsauslösers aus dem Betrieb des Fahrzeugs. Dies kann die oben erörterten Auslöser beinhalten, wie etwa basierend auf einem Sicherheitsmodellauslöser (z. B. Detektieren eines Abstands, der unter einem minimalen longitudinalen Sicherheitsabstand oder unter einem minimalen lateralen Sicherheitsabstand zu einem anderen Fahrzeug liegt), dem Auftreten eines Unfalls, einem Prüf- oder Validierungsereignis oder dergleichen. Verschiedene Sicherheitsmodellparameter, Kriterien und Anforderungen für das Fahrzeug oder den Fahrzeugtyp (oder andere Fahrzeuge oder Entitäten auf der Straße) können in Betracht gezogen und als Teil dieser Operation berechnet werden.
Operation 408 beinhaltet das Speichern von Daten in einem ersten Protokoll-Bucket als Reaktion auf das Identifizieren des Protokollierungsauslösers. Die im ersten Protokoll-Bucket gespeicherten Daten können Daten für einen „allgemeinen“ oder „öffentlichen“ Bucket sein, wie mit Bezug auf TABELLE 1 oben erörtert. Die Daten für diesen ersten Protokoll-Bucket können von Sensor- oder Betriebsdaten des Fahrzeugs bereitgestellt werden, einschließlich der Daten, die im virtuellen Protokoll für den definierten Zeitraum (z. B. die vorherigen zwei Minuten an Daten) erstellt werden. Die Daten für diesen ersten Protokoll-Bucket können gemäß einem definierten, strukturierten Datenformat gespeichert werden (wie mit Bezug auf 2 und 3 erörtert). Andere Ansätze wie etwa Anonymisierung oder Obfuskierung können auch für die öffentlichen Daten verwendet werden.
Operation 410 beinhaltet das Speichern von Daten in einem zweiten Protokoll-Bucket als Reaktion auf das Identifizieren des Protokollierungsauslösers. Die im zweiten Protokoll-Bucket gespeicherten Daten können Daten für einen „privaten“ Bucket sein, und als private oder sensible Daten identifiziert sein, wie mit Bezug auf TABELLE 2 oben erörtert. Die Daten für diesen zweiten Protokoll-Bucket können von Sensor- oder Betriebsdaten des Fahrzeugs bereitgestellt werden, einschließlich der Daten, die im virtuellen Protokoll für den definierten Zeitraum (z. B. die vorherigen zwei Minuten an Daten) erstellt werden. Die Daten für diesen zweiten Protokoll-Bucket können auch gemäß einem definierten, strukturierten Datenformat gespeichert werden (wie mit Bezug auf 2 und 3 erörtert). Das gleiche Datenformat oder ein ähnliches Datenformat kann für sowohl den ersten Protokoll-Bucket als auch den zweiten Protokoll-Bucket verwendet werden. Andere Datenschutz- oder Sicherheitsansätze oder Formate für die privaten Daten können auch bereitgestellt werden.
Es versteht sich, dass die vorstehenden Techniken in einer Vielfalt von Prüfszenarien implementiert werden können. Dies kann die Implementierung in einem autonomen Fahrzeug für einen Straßentest, in einem autonomen Fahrzeug, das mit Vorrichtungen zur automatischen Datenprotokollierung ausgestattet ist, beinhalten. Solche Vorrichtungen zur automatischen Datenprotokollierung können dazu ausgelegt sein, den Status des autonomen Fahrzeugs während des Tests aufzuzeichnen und zu speichern.
In einem weiteren Beispiel können Vorrichtungen zur automatischen Datenprotokollierung (die z. B. in einem Fahrzeug integriert oder mit diesem gekoppelt sind) Fahrzeugprotokollierungsdaten von mindestens 90 Sekunden vor und 30 Sekunden nach den Ereignissen wie etwa Kollisionen, Unfällen oder das Auftreten eines Kein-Selbstfahren- oder Fehler-Status automatisch aufzeichnen und speichern. Beispielsweise kann eine Vorrichtung zur automatischen Datenprotokollierung dazu ausgelegt sein, Daten für einen langen Zeitraum, wie etwa 1, 2 oder 3 Jahre, zu speichern und zu unterhalten (zu erhalten).

Zusätzlich können größere Sätze von Daten bezüglich des Zustands des Fahrzeugs und des Fahrzeugbetriebs gesammelt und protokolliert werden. Solche Daten können von Überwachungsdatenprotokollierungsoperationen bereitgestellt werden, die basierend auf den oben erörterten Bedingungen (z. B. ein Verstoß gegen ein Fahrsicherheitsgebot, das durch ein Fahrzeugsicherheitsmodell definiert wird) oder anderen spezifischeren Bedingungen wie etwa Kollisionen, Unfällen oder Systemausfällen ausgelöst oder aufgezeichnet werden. In einem Beispiel können Fahrzeugzustandsdaten einen oder mehrere der folgenden Überwachungsdatenwerte beinhalten, die in der folgenden Tabelle definiert sind. TABELLE 5

ÜBERWACHUNGSDATENPROTOKOLLIERUNGSWERTE
Steuermodus des AV	Z. B. selbstfahrend oder manuelle Steuerung
Standort des AV
Bewegungszustand des AV	Z. B. Geschwindigkeit und Beschleunigung
Wahrnehmung der Umgebung und der Reaktionsstatus	Z. B. Daten von anderen Verkehrsteilnehmern und Hindernissen
Echtzeit-Status von Verkehrskomponenten	Z. B. Status von Ampeln und Signalen
Externe Videoüberwachungsdaten	Z. B. Videoüberwachung rund um das AV
Interne Video- und Sprachüberwachungsdaten	Z. B. fahrzeuginterne Video- und Sprachüberwachungsdaten, die den Zustand des Prüfers und die Menschen-Computer-Interaktion widerspiegeln
Nicht-Fahrer-Steuerbefehle	Z. B. Die Nicht-Fahrersitz-Steuerbefehle, die durch das Fahrzeug empfangen werden, und ihre Quellen, einschließlich Steuerbefehle, die von anderen Sitzen im Fahrzeug oder entfernten Testsitzen gesendet werden.
Fehlerbedingung	Z. B. Fehlerbedingung des AV
Andere Daten

Beispielsweise können AVs mit einem Protokollierungssystem ausgestattet sein, um die entscheidungsbezogenen Daten während eines Tests auf geschlossener Strecke oder eines Tests auf offener Straße oder zur Unfallanalyse und Entscheidungssicherheitsanalyse zu protokollieren. Alle Daten können automatisch von mindestens 90 Sekunden vor und 30 Sekunden nach dem Auslöser einer gefährlichen Situation mit einer Abtastrate von mindestens 10 Hz aufgezeichnet und gespeichert werden.
Datenoperationen können in Verbindung mit Überwachungsplattformen und Überwachungsvorrichtungen koordiniert werden. Beispielsweise kann eine Überwachungsvorrichtung ausgestattet sein, um Echtzeit-Daten (z. B. Datenwerte, die in TABELLE 5 angegeben werden) zu einer Überwachungsplattform hochzuladen. Die Überwachungsvorrichtungen können eine tägliche Überwachung von einer autorisierten Drittpartei-Agentur akzeptieren.
Dementsprechend können beliebige der vorstehenden Protokollierungsoperationen infolge einer Detektion einer „gefährlichen Situation“ (z. B. als Reaktion auf Ereignisse oder Bedingungen, die die gefährliche Situation auslösen) und andere Verstöße gegen Sicherheitsmodellkriterien oder Sicherheitsmodellanforderungen ausgelöst oder gesteuert werden. Es versteht sich, dass eine gefährliche Situation detektiert werden kann, wenn die longitudinalen und lateralen Abstände zwischen den beiden Fahrzeugen nicht die Anforderung eines minimalen Sicherheitsabstands erfüllen. Genauer gesagt bezieht sich eine gefährliche Situation auf einen ausgelösten Zustand, wenn der Abstand zwischen einem Host und einem Zielfahrzeug nicht die Anforderung eines minimalen longitudinalen sicheren Abstands und eines minimalen lateralen sicheren Abstands erfüllt (z. B. gemäß Spezifikationen des Modells für die Fahrzeugbetriebssicherheit definiert oder berechnet), wodurch die Möglichkeit einer Kollision zugelassen wird. Andere Situationen und Szenarien können auch detektiert werden.
5 veranschaulicht ein Flussdiagramm 500 eines Verfahrens, das an einem Fahrzeug zum Protokollieren von Betriebsdatenwerten eines autonomen Fahrzeugs durchgeführt wird. Die Operationen dieses Verfahrens können in einer eigenständigen Vorrichtung, einer Vorrichtung, die in einem oder als Teil eines Host- oder Subjekt-Fahrzeugs integriert ist, als Teil einer automatisierten Datenprotokollierungsplattform, als Teil einer anderen Überwachungs- oder Erfassungsvorrichtung oder als Teil von Anweisungen von einem rechnenmaschinen- oder -vorrichtungslesbaren Speichermedium, die durch eine Schaltungsanordnung der Rechenmaschine oder -vorrichtung ausgeführt werden, durchgeführt werden.
Bei 502 werden Operationen durchgeführt, um Daten von mindestens einer Erfassungskomponente eines Fahrzeugs (z. B. eines Ego- oder Host-Fahrzeugs) zu empfangen und zu erhalten. Beispielsweise können solche Daten unter Verwendung einer Schnittstelle (z. B. einer Sensorarrayschnittstelle oder einer Fahrzeugdatenschnittstelle) zu einer oder mehreren Erfassungskomponenten des Fahrzeugs für Daten, die während des autonomen Betriebs des Fahrzeugs bereitgestellt werden, empfangen oder erfasst werden. In einem Beispiel werden die Daten von der mindestens einen Erfassungskomponente zur Sicherheitsentscheidung durch ein Planungssystem für den autonomen Betrieb des Fahrzeugs verwendet. Außerdem können die Daten in einem Beispiel mit einer Abtastfrequenz von mindestens 10 Hz (z. B. 10 Datenabtastungen pro Sekunde) erfasst (oder aufgezeichnet) werden.
Bei 504 werden Operationen optional durchgeführt, um die Daten in einen Speicher oder eine Speicherung, in ein virtuelles Protokoll, wie hierin erörtert, automatisch aufzuzeichnen. Beispielsweise können die von der mindestens einen Erfassungskomponente erhaltenen Daten automatisch mit der Verwendung eines Puffers oder Caches aufgezeichnet werden, um einen laufenden Datenstrom verfügbarer Daten einer weiteren Überwachung und Verarbeitung bereitzustellen. Ferner können die von der mindestens einen Erfassungskomponente des Fahrzeugs erhaltenen Daten automatisch während zumindest eines ersten Zeitraums vor einem Start einer gefährlichen Situation aufgezeichnet werden (einschließlich vor der Detektion der gefährlichen Situation) und automatisch während zumindest eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden (einschließlich nach der Detektion der gefährlichen Situation). In einem spezifischen Beispiel beträgt der erste Zeitraum (vor dem Start der gefährlichen Situation) mindestens 90 Sekunden und der zweite Zeitraum (nach dem Start der gefährlichen Situation) beträgt mindestens 30 Sekunden. Andere automatische Datenprotokollierungs- und Erfassungsoperationen können durchgeführt werden.
Bei 506 werden Operationen durchgeführt, um eine gefährliche Situation basierend auf den Daten zu detektieren. Beispielsweise kann diese gefährliche Situation entstehen, wenn das Fahrzeug mindestens ein Sicherheitskriterium eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt (z. B. ein minimaler sicherer Abstand, wie durch RSS oder ein ähnliches Sicherheitsmodell definiert). In einem Beispiel wird aus der Evaluierung mindestens eines Sicherheitsentscheidungsparameters festgestellt, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt. Beispielsweise kann der mindestens eine Sicherheitsentscheidungsparameter mindestens eines vom Folgenden beinhalten: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs (z. B. wie mit Bezug auf TABELLE 3 oben definiert). In einem weiteren Beispiel wird ein jeweiliger Wert für jeden des mindestens einen Sicherheitsentscheidungsparameters durch einen Hersteller des Fahrzeugs bereitgestellt.
Bei 508 werden Operationen durchgeführt, um die Daten als Reaktion auf die Detektion oder Identifikation der gefährlichen Situation zu protokollieren. Dies beinhaltet die Verwendung von Unteroperationen 510 zur Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher und Unteroperationen 512 zur Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wie oben erörtert. In einem Beispiel werden die Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur protokolliert (z. B. in TABELLE 1 und TABELLE 2 oben bereitgestellt), und die Datenstrukturen beinhalten zumindest einige gemeinsame Datenfelder. Beispielsweise können die ersten und zweiten Datenstrukturen jeweils gemeinsame Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
Bei 510 beinhaltet in einem spezifischen Beispiel die Speicherung von Daten (der erste Teil der Daten von den Erfassungskomponenten) im öffentlichen Datenspeicher Datenwerte von mindestens einem von Folgendem: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand das Fahrzeug; oder Stellungszustand des Fahrzeugs. Bei 512 beinhaltet in einem spezifischen Beispiel die Speicherung von Daten (der zweite Teil der Daten von den Erfassungskomponenten) im privaten Datenspeicher mindestens eines von Folgendem: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
Bei 514 werden Operationen durchgeführt, um die protokollierten Daten für eine weitere Evaluierung oder Verarbeitung zu kommunizieren (einschließlich der Erzeugung von Simulationen und Testverifizierungs-/Validierungsoperationen). Solche Operationen können Kommunikationen der protokollierten Daten zu einem entfernten Server oder System beinhalten, einschließlich Sicherheitsoperationen oder -prozeduren, um den Schutz der datenschutzsensiblen Daten zu ermöglichen, die im privaten Datenspeicher protokolliert werden. Dementsprechend versteht es sich, dass die protokollierten Daten für die Evaluierung einer Vielfalt von Tests auf geschlossener Strecke und den Tests auf offener Straße nützlich sein können, einschließlich zum Durchführen von Unfallanalyse und Entscheidungssicherheitsanalyse.
Es versteht sich, dass eine Vielfalt von gefährlichen (oder potenziell gefährlichen) Situationen bezüglich des sicheren Abstands oder anderer Sicherheitskriterien evaluiert werden kann. Beispielsweise kann in einem weiteren Beispiel die gefährliche Situation eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug betreffen, sodass der erste Teil der Daten, die im öffentlichen Datenspeicher gespeichert sind, Werte für mindestens eines von Folgendem beinhalten: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug. Andere erfasste Datenwerte von der Umgebung eines Host-Fahrzeugs bezüglich der Fahrbahn, anderer Fahrzeuge, erfasster Objekte oder Personen usw. können evaluiert und aufgezeichnet werden.
Obwohl das Flussdiagramm 500 von der Perspektive eines Fahrzeugs (Client) aus beschrieben ist, können entsprechende Datenverarbeitungsoperationen zum Empfangen und Analysieren der Ergebnisse der Datenprotokollierung auf einer Serverplattform durchgeführt werden. Solche Operationen können in einer eigenständigen Rechenvorrichtung, einem Überwachungssystem, das in oder als Teil einer Datenverarbeitungs-Cloud, Edge-Rechenplattform oder Datenzentrum integriert ist, als Teil eines automatisierten Datenverarbeitungssystems, oder als Teil von Anweisungen von einem rechnenmaschinen- oder -vorrichtungslesbaren Speichermedium, die durch eine Schaltungsanordnung der Rechenmaschine oder -vorrichtung ausgeführt werden, durchgeführt werden.
Ausführungsformen können in einer oder einer Kombination von Hardware, Firmware und Software implementiert werden. Ausführungsformen können auch als Anweisungen implementiert werden, die auf einer maschinenlesbaren Speicherungsvorrichtung gespeichert sind, die durch mindestens einen Prozessor gelesen und ausgeführt werden können, um die hierin beschriebenen Operationen durchzuführen. Eine maschinenlesbare Speicherungsvorrichtung kann einen beliebigen nichtflüchtigen Mechanismus oder ein beliebiges nichtflüchtiges Medium zum Speichern von Informationen in einer durch eine Maschine (z. B. einen Computer) lesbaren Form beinhalten. Beispielsweise kann eine maschinenlesbare Speicherungsvorrichtung Nurlesespeicher (ROM), Direktzugriffsspeicher (RAM), magnetische Plattenspeicherungsmedien, optische Speicherungsmedien, Flash-Speichervorrichtungen und andere Speicherungsvorrichtungen und -medien beinhalten.
Schaltungsanordnungen wie etwa ein Prozessoruntersystem können verwendet werden, um die auf dem maschinenlesbaren Medium bereitgestellten Anweisung auszuführen. Das Prozessoruntersystem kann einen oder mehrere Prozessoren, jeweils mit einem oder mehreren Kernen, beinhalten. Zusätzlich kann das Prozessoruntersystem auf einer oder mehreren physischen Vorrichtungen angeordnet sein. Das Prozessoruntersystem kann einen oder mehrere spezialisierte Prozessoren beinhalten, wie etwa eine Grafikverarbeitungseinheit (GPU), einen Digitalsignalprozessor (DSP), ein feldprogrammierbares Gate-Array (FPGA) oder einen Festfunktionsprozessor.
Beispiele, wie hierin beschrieben, können Logik oder eine Anzahl von Komponenten, Modulen oder Mechanismen beinhalten oder auf diesen arbeiten. Module können Hardware, Software oder Firmware sein, die kommunikativ mit einem oder mehreren Prozessoren gekoppelt ist, um die hierin beschriebenen Operationen auszuführen. Module können Hardwaremodule sein, und demnach können Module als greifbare Entitäten angesehen werden, die in der Lage sind, spezifizierte Operationen durchzuführen, und können auf eine gewisse Art und Weise konfiguriert oder angeordnet sein. In einem Beispiel können Schaltungen auf eine spezifizierte Art und Weise als ein Modul (z. B. intern oder bezüglich externer Entitäten, wie etwa anderen Schaltungen) angeordnet sein. In einem Beispiel kann die Gesamtheit oder ein Teil eines oder mehrerer Computersysteme (z. B. ein Standalone-, Client- oder Server-Computersystem) oder eines oder mehrerer Hardwareprozessoren durch Firmware oder Software (z. B. Anweisungen, ein Anwendungsteil oder eine Anwendung) als ein Modul konfiguriert werden, das spezifizierte Operationen durchführt. In einem Beispiel kann sich die Software auf einem maschinenlesbaren Medium befinden. In einem Beispiel bewirkt die Software, wenn sie durch die zugrundeliegende Hardware des Moduls ausgeführt wird, dass die Hardware die spezifizierten Operationen durchführt. Dementsprechend soll der Begriff Hardwaremodul so verstanden werden, dass er eine greifbare Entität einschließt, ungeachtet dessen, ob dies eine Entität ist, die physisch konstruiert, spezifisch konfiguriert (z. B. festverdrahtet), oder temporär (z. B. flüchtig) konfiguriert (z. B. programmiert) ist, um auf eine spezifizierte Art und Weise zu arbeiten oder einen Teil oder die Gesamtheit einer beliebigen hierin beschriebenen Operation durchzuführen. In Anbetracht von Beispielen, in denen Module temporär konfiguriert sind, muss jedes der Module nicht zu irgendeinem Zeitpunkt instanziiert werden. Beispielsweise wenn die Module einen Allzweck-Hardwareprozessor umfassen, der unter Verwendung von Software konfiguriert wird, kann der Allzweck-Hardwareprozessor zu unterschiedlichen Zeiten als jeweilige unterschiedliche Module konfiguriert werden. Software kann dementsprechend einen Hardwareprozessor konfigurieren, um zum Beispiel ein bestimmtes Modul zu einer Zeitinstanz zu bilden und ein anderes Modul zu einer anderen Zeitinstanz zu bilden. Module können auch Software- oder Firmwaremodule sein, die funktionieren, um die hierin beschriebenen Methoden durchzuführen.
Schaltungsanordnungen oder Schaltungen, wie in diesem Dokument verwendet, können zum Beispiel einzeln oder in einer beliebigen Kombination festverdrahtete Schaltungsanordnungen, programmierbare Schaltungsanordnungen wie etwa Computerprozessoren, die einen oder mehrere individuelle Anweisungsverarbeitungskerne umfassen, Zustandsmaschinenschaltungsanordnungen und/oder Firmware, die Anweisungen speichert, die durch programmierbare Schaltungsanordnungen ausgeführt werden, umfassen. Diese Schaltungen, Schaltungsanordnungen oder Module können, kollektiv oder individuell, als Schaltungsanordnungen umgesetzt sein, die einen Teil eines größeren Systems bilden, zum Beispiel eine integrierte Schaltung (IC), ein System-on-Chip (SoC), Desktop-Computer, Laptop-Computer, Tablet-Computer, Server, Smartphones usw.
Wie in einer beliebigen Ausführungsform hierin verwendet, kann sich der Begriff „Logik“ auf Firmware und/oder Schaltungsanordnungen beziehen, die dazu ausgelegt sind, beliebige der vorgenannten Operationen durchzuführen. Firmware kann als Code, Anweisungen oder Anweisungssätze und/oder Daten umgesetzt sein, die in Speichervorrichtungen und/oder -schaltungsanordnungen fest codiert (z. B. nichtflüchtig) sind.
„Schaltungsanordnung“, wie in einer beliebigen Ausführungsform hierin verwendet, kann zum Beispiel einzeln oder in einer beliebigen Kombination eine festverdrahtete Schaltungsanordnung, eine programmierbare Schaltungsanordnung, eine Zustandsmaschinenschaltungsanordnung, Logik und/oder Firmware, die Anweisungen speichert, die durch eine programmierbare Schaltungsanordnung ausgeführt werden, umfassen. Die Schaltungsanordnung kann als eine integrierte Schaltung umgesetzt sein, wie etwa ein integrierter Schaltungschip. In einigen Ausführungsformen kann die Schaltungsanordnung zumindest teilweise durch die Prozessorschaltungsanordnung gebildet werden, die Code und/oder Anweisungssätze (z. B. Software, Firmware usw.) entsprechend der hierin beschriebenen Funktionalität ausführt, wodurch ein Allzweckprozessor in eine Spezial-Verarbeitungsumgebung transformiert wird, um eine oder mehrere der hierin beschriebenen Operationen durchzuführen. In einigen Ausführungsformen kann die Prozessorschaltungsanordnung als eine unabhängige integrierte Schaltung umgesetzt sein oder kann als eine mehrerer Komponenten auf einer integrierten Schaltung eingebunden sein. In einigen Ausführungsformen können die verschiedenen Komponenten und Schaltungsanordnungen des Knotens oder anderer Systeme in eine System-on-Chip(SoC)-Architektur kombiniert werden. In anderen Beispielen kann die Verarbeitungsschaltungsanordnung durch eine Datenverarbeitungseinheit (DPU), eine Infrastrukturverarbeitungseinheit (IPU), eine Beschleunigungsschaltungsanordnung oder Kombinationen von grafischen Verarbeitungseinheiten (GPUs) oder programmierten FPGAs umgesetzt sein oder bereitgestellt werden.
6 ist ein Blockdiagramm, das eine Maschine in der beispielhaften Form eines Computersystems 600 veranschaulicht, in dem ein Satz oder eine Sequenz von Anweisungen ausgeführt werden kann, um zu bewirken, dass die Maschine eine beliebige der hierin besprochenen Methoden durchführt, gemäß einer Ausführungsform. In alternativen Ausführungsformen arbeitet die Maschine als eine unabhängige Vorrichtung oder kann mit anderen Maschinen verbunden (z. B. vernetzt) sein. Bei einem vernetzten Einsatz kann die Maschine in der Kapazität von entweder einem Server oder einer Client-Maschine in Server-Client-Netzwerkumgebungen arbeiten, oder sie kann als eine Peer-Maschine in Peer-zu-Peer- (oder verteilten) Netzwerkumgebungen agieren. Die Maschine kann ein Fahrzeuguntersystem oder ein fahrzeuginterner Computer, ein Personal Computer (PC), ein Tablet-PC, ein hybrides Tablet, ein Personal Digital Assistant (PDA), ein Mobiltelefon oder Smartphone oder eine beliebige Maschine sein, die in der Lage ist, Anweisungen (sequenziell oder anderweitig) auszuführen, die Handlungen spezifizieren, die von dieser Maschine durchgeführt werden sollen. Während nur eine einzelne Maschine veranschaulicht ist, soll der Begriff „Maschine“ ferner auch so aufgefasst werden, dass er eine beliebige Ansammlung von Maschinen beinhaltet, die individuell oder gemeinsam einen Satz (oder mehrere Sätze) von Anweisungen ausführen, um eine oder mehrere beliebige der hierin besprochenen Methoden durchzuführen. Gleichermaßen soll der Begriff „prozessorbasiertes System“ so aufgefasst werden, dass er einen beliebigen Satz von einer oder mehreren Maschinen beinhaltet, die durch einen Prozessor (z. B. einen Computer) gesteuert oder betrieben werden, um einzeln oder gemeinsam Anweisungen zum Durchführen einer oder mehrerer beliebiger der hierin besprochenen Methoden auszuführen.
Das beispielhafte Computersystem 600 beinhaltet mindestens einen Prozessor 602 (z. B. eine Zentralverarbeitungseinheit (CPU), eine Grafikverarbeitungseinheit (GPU) oder beide, Prozessorkerne, Rechenknoten usw.), einen Hauptspeicher 604 und einen statischen Speicher 606, die über einen Link 608 (z. B. Bus) miteinander kommunizieren. Das Computersystem 600 kann ferner eine Videoanzeigeeinheit 610, eine alphanumerische Eingabevorrichtung 612 (z. B. eine Tastatur) und eine Benutzerschnittstellen(UI)-Navigationsvorrichtung 614 (z. B. eine Maus) beinhalten. In einer Ausführungsform sind die Videoanzeigeeinheit 610, die Eingabevorrichtung 612 und die UI-Navigationsvorrichtung 614 in eine Touchscreen-Anzeige integriert. Das Computersystem 600 kann zusätzlich eine Speicherungsvorrichtung 616 (z. B. eine Laufwerkseinheit), eine Signalerzeugungsvorrichtung 618 (z. B. einen Lautsprecher), eine Netzwerkschnittstellenvorrichtung 620 und einen oder mehrere Sensoren (nicht gezeigt), wie etwa einen Sensor des globalen Positionierungssystems (GPS), einen Kompass, einen Beschleunigungsmesser, ein Gyrometer, ein Magnetometer oder einen anderen Sensor, beinhalten.
Die Speicherungsvorrichtung 616 beinhaltet ein maschinenlesbares Medium 622, auf dem ein oder mehrere Sätze von Datenstrukturen und Anweisungen 624 (z. B. Software) gespeichert sind, die eine oder mehrere der hierin beschriebenen Methoden oder Funktionen umsetzen oder durch diese genutzt werden. Die Anweisungen 624 können sich auch, vollständig oder zumindest teilweise, während ihrer Ausführung durch das Computersystem 600 in dem Hauptspeicher 604, dem statischen Speicher 606 und/oder innerhalb des Prozessors 602 befinden, wobei der Hauptspeicher 604, der statische Speicher 606 und der Prozessor 602 auch maschinenlesbare Medien bilden.
Während das maschinenlesbare Medium 622 in einer beispielhaften Ausführungsform als ein einzelnes Medium veranschaulicht ist, kann der Begriff „maschinenlesbares Medium“ ein einzelnes Medium oder mehrere Medien beinhalten (z. B. eine zentralisierte oder verteilte Datenbank und/oder assoziierte Caches und Server), die die eine oder die mehreren Anweisungen 624 speichern. Der Begriff „maschinenlesbares Medium“ soll auch so aufgefasst werden, dass es ein beliebiges greifbares Medium beinhaltet, das in der Lage ist, Anweisungen zur Ausführung durch die Maschine zu speichern, zu codieren oder zu führen, und die bewirken, dass die Maschine eine oder mehrere beliebige der Methoden der vorliegenden Offenbarung durchführt, oder das in der Lage ist, Datenstrukturen zu speichern, zu codieren oder zu führen, die durch solche Anweisungen genutzt werden oder damit assoziiert sind. Der Begriff „maschinenlesbares Medium“ soll dementsprechend so aufgefasst werden, dass es unter anderem Solid-State-Speicher und optische und magnetische Medien beinhaltet. Spezifische Beispiele für maschinenlesbare Medien beinhalten nichtflüchtigen Speicher, einschließlich unter anderem, beispielsweise, Halbleiterspeichervorrichtungen (z. B. elektrisch programmierbaren Nurlesespeicher (EPROM), elektrisch löschbaren programmierbaren Nurlesespeicher (EEPROM)) und Flash-Speichervorrichtungen; Magnetplatten wie etwa interne Festplatten und entfernbare Platten; magnetooptische Platten; und CD-ROM- und DVD-ROM-Disks.
Die Anweisungen 624 können ferner über ein Kommunikationsnetzwerk 626 unter Verwendung eines Übertragungsmediums über die Netzwerkschnittstellenvorrichtung 620 übertragen oder empfangen werden, die ein beliebiges einer Anzahl wohlbekannter Transferprotokolle (z. B. HTTP) nutzt. Beispiele für Kommunikationsnetzwerke beinhalten ein Lokalnetzwerk (LAN), ein Weitbereichsnetzwerk (WAN), das Internet, Mobiltelefonnetze, POTS-Netzwerke (POTS: Plain Old Telephone) und drahtlose Datennetzwerke (z. B. Bluetooth, WiFi, 3G und 4G-LTE/LTE-A, 5G, DSRC oder gleichartige Netzwerke). Der Begriff „Übertragungsmedium“ soll so aufgefasst werden, dass er ein beliebiges nicht greifbares Medium beinhaltet, das in der Lage ist, Anweisungen zur Ausführung durch die Maschine zu speichern, zu codieren oder zu führen, und beinhaltet digitale oder analoge Kommunikationssignale oder ein anderes nicht greifbares Medium zum Ermöglichen einer Kommunikation solcher Software.
In einem Beispiel können Informationen, die auf einem maschinenlesbaren Medium gespeichert sind oder anderweitig bereitgestellt werden, Anweisungen repräsentieren, wie etwa Anweisungen selbst oder ein Format, aus dem die Anweisungen abgeleitet werden können. Dieses Format, aus dem die Anweisungen abgeleitet werden können, kann Quellcode, codierte Anweisungen (z. B. in komprimierter oder verschlüsselter Form), verpackte Anweisungen (z. B. in mehrere Pakete aufgeteilt) oder dergleichen beinhalten. Die Informationen, die die Anweisungen im maschinenlesbaren Medium repräsentieren, können durch eine Verarbeitungsschaltungsanordnung in die Anweisungen zum Implementieren beliebiger der hierin erörterten Operationen verarbeitet werden. Beispielsweise kann das Ableiten der Anweisungen aus den Informationen (z. B. Verarbeitung durch die Verarbeitungsschaltungsanordnung) beinhalten: Kompilieren (z. B. von Quellcode, Objektcode usw.), Interpretieren, Laden, Organisieren (z. B. dynamisches oder statisches Verknüpfen), Codieren, Decodieren, Verschlüsseln, Entschlüsseln, Verpacken, Entpacken oder anderweitiges Manipulieren der Informationen in die Anweisungen.
In einem Beispiel kann die Ableitung der Anweisungen die Assemblierung, Kompilierung oder Interpretation der Informationen (z. B. durch die Verarbeitungsschaltungsanordnung) beinhalten, um die Anweisungen von einem Zwischen- oder vorverarbeiteten Format zu erzeugen, das durch das maschinenlesbare Medium bereitgestellt wird. Die Informationen, wenn in mehreren Teilen bereitgestellt, können kombiniert, entpackt und modifiziert werden, um die Anweisungen zu erzeugen. Beispielsweise können Informationen in mehreren komprimierten Quellcodepaketen (oder Objektcode oder ausführbarer Binärcode usw.) auf einem oder mehreren Fernservern vorliegen. Die Quellcodepakete können verschlüsselt werden, wenn sie sich über ein Netzwerk im Transit befinden, und an einer lokalen Maschine entschlüsselt, dekomprimiert, assembliert (z. B. verknüpft), falls notwendig, und kompiliert oder interpretiert (z. B. in eine Bibliothek, eine eigenständige ausführbare Datei usw.) werden und durch die lokale Maschine ausgeführt werden.
Es sollte verstanden werden, dass die funktionellen Einheiten oder Fähigkeiten, die in dieser Patentschrift beschrieben sind, als Komponenten oder Module bezeichnet oder gekennzeichnet wurden, um insbesondere ihre Implementierungsunabhängigkeit hervorzuheben. Solche Komponenten können durch eine beliebige Anzahl von Software- oder Hardwareformen umgesetzt werden. Beispielsweise kann eine Komponente oder ein Modul als eine Hardwareschaltung implementiert werden, die kundenspezifische VLSI-Schaltungen (VLSI: Very-Large-Scale Integration) oder Gate-Arrays, handelsübliche Halbleiter wie etwa Logikchips, Transistoren oder andere diskrete Komponenten umfasst. Eine Komponente oder ein Modul kann auch in programmierbaren Hardwarevorrichtungen wie etwa feldprogrammierbaren Gate-Arrays, programmierbarer Arraylogik, programmierbaren Logikvorrichtungen oder dergleichen implementiert werden. Komponenten oder Module können auch in Software zur Ausführung durch verschiedene Arten von Prozessoren implementiert werden. Eine identifizierte Komponente oder ein identifiziertes Modul von ausführbarem Code kann beispielsweise einen oder mehrere physische oder logische Blöcke von Computeranweisungen umfassen, die beispielsweise als ein Objekt, eine Prozedur oder eine Funktion organisiert sein können. Nichtsdestotrotz müssen die ausführbaren Dateien einer identifizierten Komponente oder eines identifizierten Moduls nicht physisch zusammen angeordnet sein, sondern können getrennte Anweisungen umfassen, die an unterschiedlichen Orten gespeichert sind, die, wenn sie logisch miteinander verbunden werden, die Komponente oder das Modul umfassen und den genannten Zweck für die Komponente oder das Modul erreichen.
In der Tat kann eine Komponente oder ein Modul von ausführbarem Code eine einzelne Anweisung oder viele Anweisungen sein und kann sogar über mehrere unterschiedliche Codesegmente, zwischen unterschiedlichen Programmen und über mehrere Speichervorrichtungen oder Verarbeitungssystemen hinweg verteilt sein. Insbesondere können einige Aspekte des beschriebenen Prozesses (wie etwa Codeumschreibung und Codeanalyse) auf einem anderen Verarbeitungssystem (z. B. in einem Computer in einem Datenzentrum) als in dem stattfinden, in dem der Code eingesetzt wird (z. B. in einem Computer, der in einem Sensor oder Roboter eingebettet ist). Gleichermaßen können Betriebsdaten hierin in Komponenten oder Modulen identifiziert und veranschaulicht werden und können in einer beliebigen geeigneten Form umgesetzt und in einem beliebigen geeigneten Typ von Datenstruktur organisiert werden. Die Betriebsdaten können als ein einzelner Datensatz gesammelt werden oder können über unterschiedliche Orte einschließlich über unterschiedliche Speicherungsvorrichtungen verteilt sein und können, zumindest teilweise, lediglich als elektronische Signale auf einem System oder Netzwerk existieren. Die Komponenten oder Module können passiv oder aktiv sein, einschließlich Agenten, die funktionsfähig sind, gewünschte Funktionen durchzuführen.
Angesichts der obigen Offenbarung ist unten eine Auflistung verschiedener Beispiele von Ausführungsformen dargelegt. Es sollte angemerkt werden, dass ein oder mehrere Merkmale eines Beispiels, in Isolation oder Kombination, als innerhalb der Offenbarung dieser Anmeldung angesehen werden sollte.
Beispiel 1 ist ein Verfahren zur automatisierten Datenprotokollierung, das in einem Fahrzeug durchgeführt wird, umfassend: Erhalten von Daten von mindestens einer Erfassungskomponente des Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug ein Sicherheitskriterium eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, einschließlich: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
In Beispiel 2 beinhaltet der Gegenstand des Beispiels 1 optional den Gegenstand, bei dem die Daten von der mindestens einen Erfassungskomponente für Sicherheitsentscheidungen durch ein Planungssystem für den autonomen Betrieb des Fahrzeugs verwendet werden.
In Beispiel 3 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 1-2 optional den Gegenstand, bei dem der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand das Fahrzeug; oder Stellungszustand des Fahrzeugs.
In Beispiel 4 beinhaltet der Gegenstand des Beispiels 3 optional den Gegenstand, bei dem die gefährliche Situation eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug betrifft, und wobei der erste Teil der Daten, die im öffentlichen Datenspeicher gespeichert sind, Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
In Beispiel 5 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 1-4 optional den Gegenstand, bei dem der zweite Teil der im privaten Datenspeicher gespeicherten Daten mindestens eines von Folgendem beinhaltet: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
In Beispiel 6 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 1-5 optional den Gegenstand, bei dem die Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur protokolliert werden, und wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
In Beispiel 7 beinhaltet der Gegenstand des Beispiels 6 optional den Gegenstand, bei dem eine Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in einen jeweiligen Datenblock organisiert wird, und wobei der jeweilige Datenblock einem Digest entspricht, der aus einem vorherigen Datenblock berechnet wird.
In Beispiel 8 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 1-7 optional den Gegenstand, bei dem aus mindestens einem Sicherheitsentscheidungsparameter bestimmt wird, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgendem beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
In Beispiel 9 beinhaltet der Gegenstand des Beispiels 8 optional den Gegenstand, bei dem ein jeweiliger Wert für j eden des mindestens einen Sicherheitsentscheidungsparameters durch einen Hersteller des Fahrzeugs bereitgestellt wird.
In Beispiel 10 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 1-9 optional das Aufzeichnen der Daten, die von der mindestens einen Erfassungskomponente des Fahrzeugs erhalten werden; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
In Beispiel 11 beinhaltet der Gegenstand des Beispiels 10 optional den Gegenstand, bei dem der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.
In Beispiel 12 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 10-11 optional den Gegenstand, bei dem die Daten mit einer Abtastfrequenz von mindestens 10 Hz aufgezeichnet werden.
Beispiel 13 ist mindestens ein maschinenlesbares Speicherungsmedium, das Anweisungen umfasst, die, wenn sie durch mindestens einen Prozessor ausgeführt werden, bewirken, dass der mindestens eine Prozessor die Verfahren der Beispiele 1 bis 12 durchführt.
Beispiel 14 ist ein automatisiertes Datenprotokollierungssystem für ein Fahrzeug, wobei das System umfasst: eine Schnittstelle zum Bereitstellen von Daten von mindestens einer Erfassungskomponente des Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; und mindestens eine Verarbeitungsvorrichtung, die dazu ausgelegt ist, die Verfahren der Beispiele 1 bis 12 durchzuführen.
Beispiel 15 ist ein Fahrzeug, das ein automatisiertes Datenprotokollierungssystem umfasst, das dazu ausgelegt ist, die Verfahren der Beispiele 1 bis 12 durchzuführen.
Beispiel 16 ist ein automatisiertes Datenprotokollierungssystem für ein Fahrzeug, wobei das System umfasst: eine Schnittstelle zum Empfangen von Daten von mindestens einer Erfassungskomponente des Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; und mindestens eine Verarbeitungsvorrichtung, die ausgelegt ist zum: Erhalten, über die Schnittstelle, der Daten von der mindestens einen Erfassungskomponente des Fahrzeugs; Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug Sicherheitskriterien eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, einschließlich: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
In Beispiel 17 beinhaltet der Gegenstand des Beispiels 16 optional den Gegenstand, bei dem die Daten von der mindestens einen Erfassungskomponente für Sicherheitsentscheidungen durch ein Planungssystem für den autonomen Betrieb des Fahrzeugs verwendet werden.
In Beispiel 18 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 16-17 optional den Gegenstand, bei dem der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand das Fahrzeug; oder Stellungszustand des Fahrzeugs.
In Beispiel 19 beinhaltet der Gegenstand des Beispiels 18 optional den Gegenstand, bei dem die gefährliche Situation eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug betrifft, und wobei der erste Teil der Daten, die im öffentlichen Datenspeicher gespeichert sind, Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
In Beispiel 20 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 16-19 optional den Gegenstand, bei dem der zweite Teil der im privaten Datenspeicher gespeicherten Daten mindestens eines von Folgendem beinhaltet: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
In Beispiel 21 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 16-20 optional den Gegenstand, bei dem die Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur protokolliert werden, und wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
In Beispiel 22 beinhaltet der Gegenstand des Beispiels 21 optional den Gegenstand, bei dem eine Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in einen jeweiligen Datenblock organisiert wird, und wobei der jeweilige Datenblock einem Digest entspricht, der aus einem vorherigen Datenblock berechnet wird.
In Beispiel 23 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 16-22 optional den Gegenstand, bei dem aus mindestens einem Sicherheitsentscheidungsparameter bestimmt wird, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgendem beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
In Beispiel 24 beinhaltet der Gegenstand des Beispiels 23 optional den Gegenstand, bei dem ein jeweiliger Wert für j eden des mindestens einen Sicherheitsentscheidungsparameters durch einen Hersteller des Fahrzeugs bereitgestellt wird.
In Beispiel 25 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 16-24 optional, dass die mindestens eine Verarbeitungsvorrichtung ferner ausgelegt ist zum: Aufzeichnen der Daten, die von der mindestens einen Erfassungskomponente des Fahrzeugs erhalten werden; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
In Beispiel 26 beinhaltet der Gegenstand des Beispiels 25 optional den Gegenstand, bei dem der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.
In Beispiel 27 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 16-26 optional den Gegenstand, bei dem die Daten mit einer Abtastfrequenz von mindestens 10 Hz aufgezeichnet werden.
Beispiel 28 ist mindestens ein vorrichtungslesbares Speicherungsmedium, das Anweisungen umfasst, die, wenn sie durch eine Schaltungsanordnung einer automatisierten Datenprotokollierungsvorrichtung ausgeführt werden, die Vorrichtung veranlassen zum: Erhalten von Daten von mindestens einer Erfassungskomponente eines Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug ein Sicherheitskriterium eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, einschließlich: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
In Beispiel 29 beinhaltet der Gegenstand des Beispiels 28 optional den Gegenstand, bei dem die Daten von der mindestens einen Erfassungskomponente für Sicherheitsentscheidungen durch ein Planungssystem für den autonomen Betrieb des Fahrzeugs verwendet werden.
In Beispiel 30 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 28-29 optional den Gegenstand, bei dem der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand das Fahrzeug; oder Stellungszustand des Fahrzeugs.
In Beispiel 31 beinhaltet der Gegenstand des Beispiels 30 optional den Gegenstand, bei dem die gefährliche Situation eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug betrifft, und wobei der erste Teil der Daten, die im öffentlichen Datenspeicher gespeichert sind, Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
In Beispiel 32 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 28-31 optional den Gegenstand, bei dem der zweite Teil der im privaten Datenspeicher gespeicherten Daten mindestens eines von Folgendem beinhaltet: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
In Beispiel 33 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 28-32 optional den Gegenstand, bei dem die Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur protokolliert werden, und wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
In Beispiel 34 beinhaltet der Gegenstand des Beispiels 33 optional den Gegenstand, bei dem eine Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in einen jeweiligen Datenblock organisiert wird, und wobei der jeweilige Datenblock einem Digest entspricht, der aus einem vorherigen Datenblock berechnet wird.
In Beispiel 35 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 28-34 optional den Gegenstand, bei dem aus mindestens einem Sicherheitsentscheidungsparameter bestimmt wird, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgendem beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
In Beispiel 36 beinhaltet der Gegenstand des Beispiels 35 optional den Gegenstand, bei dem ein jeweiliger Wert für j eden des mindestens einen Sicherheitsentscheidungsparameters durch einen Hersteller des Fahrzeugs bereitgestellt wird.
In Beispiel 37 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 28-36 optional, dass die Anweisungen die Schaltungsanordnung ferner veranlassen zum: Aufzeichnen der Daten, die von der mindestens einen Erfassungskomponente des Fahrzeugs erhalten werden; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
In Beispiel 38 beinhaltet der Gegenstand des Beispiels 37 optional den Gegenstand, bei dem der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.
In Beispiel 39 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 37-38 optional den Gegenstand, bei dem die Daten mit einer Abtastfrequenz von mindestens 10 Hz aufgezeichnet werden.
Beispiel 40 ist ein System, umfassend: Mittel zum Erhalten von Daten von mindestens einer Erfassungskomponente des Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; Mittel zum Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug ein Sicherheitskriterium eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Mittel zum Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, um zu veranlassen: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
In Beispiel 41 beinhaltet der Gegenstand des Beispiels 40 optional Mittel zum Evaluieren der Daten von der mindestens einen Erfassungskomponente zur Sicherheitsentscheidung für den autonomen Betrieb des Fahrzeugs.
In Beispiel 42 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 40-41 optional Mittel zum Identifizieren des ersten Teils der im öffentlichen Datenspeicher gespeicherten Daten, die Werte für mindestens eines von Folgendem beinhalten: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand das Fahrzeug; oder Stellungszustand des Fahrzeugs.
In Beispiel 43 beinhaltet der Gegenstand des Beispiels 42 optional Mittel zum Identifizieren der gefährlichen Situation in Bezug auf eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug, und Mittel zum Identifizieren des ersten Teils der Daten, die im öffentlichen Datenspeicher gespeichert sind, die Werte für mindestens eines von Folgendem beinhalten: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
In Beispiel 44 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 40-43 optional Mittel zum Identifizieren des zweiten Teils der im privaten Datenspeicher gespeicherten Daten, die mindestens eines von Folgendem beinhalten: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
In Beispiel 45 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 40-44 optional Mittel zum Protokollieren der Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur, wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
In Beispiel 46 beinhaltet der Gegenstand des Beispiels 45 optional Mittel zum Organisieren einer Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in jeweilige Datenblöcke, wobei jeder der jeweiligen Datenblöcke einem Digest entspricht, der aus einem jeweiligen vorherigen Datenblock berechnet wird.
In Beispiel 47 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 40-46 optional Mittel zum Bestimmen, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, unter Verwendung mindestens eines Sicherheitsentscheidungsparameters, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgenden beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
In Beispiel 48 beinhaltet der Gegenstand des Beispiels 47 optional Mittel zum Zugreifen auf einen jeweiligen Wert für jeden des mindestens einen Sicherheitsentscheidungsparameters, wobei jeder jeweilige Wert durch einen Hersteller des Fahrzeugs bereitgestellt wird.
In Beispiel 49 beinhaltet der Gegenstand eines oder mehrerer der Beispiele 40-48 optional Mittel zum Aufzeichnen der Daten, die von der mindestens einen Erfassungskomponente des Fahrzeugs erhalten werden; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
In Beispiel 50 beinhaltet der Gegenstand des Beispiels 49 optional Mittel zum Abtasten der Daten mit einer Abtastfrequenz von mindestens 10 Hz, wobei der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.
Obwohl diese Implementierungen mit Bezug auf spezifische beispielhafte Aspekte beschrieben wurden, ist ersichtlich, dass verschiedene Modifikationen und Änderungen an diesen Aspekten vorgenommen werden können, ohne von dem breiteren Schutzumfang der vorliegenden Offenbarung abzuweichen.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Patentliteratur

CN 2020/130242 PCT [0001]

Claims

Verfahren zur automatisierten Datenprotokollierung, das in einem Fahrzeug durchgeführt wird, umfassend: Erhalten von Daten von mindestens einer Erfassungskomponente des Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug ein Sicherheitskriterium eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, einschließlich: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
Verfahren nach Anspruch 1, wobei die Daten von der mindestens einen Erfassungskomponente zur Sicherheitsentscheidung durch ein Planungssystem für den autonomen Betrieb des Fahrzeugs verwendet werden.
Verfahren nach Anspruch 1, wobei der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand des Fahrzeugs; oder Stellungszustand des Fahrzeugs.
Verfahren nach Anspruch 3, wobei die gefährliche Situation eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug betrifft, und wobei der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
Verfahren nach Anspruch 1, wobei der zweite Teil der im privaten Datenspeicher gespeicherten Daten mindestens eines von Folgendem beinhaltet: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
Verfahren nach Anspruch 1, wobei die Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur protokolliert werden, und wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
Verfahren nach Anspruch 6, wobei eine Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in einen jeweiligen Datenblock organisiert wird, und wobei der jeweilige Datenblock einem Digest entspricht, der aus einem vorherigen Datenblock berechnet wird.
Verfahren nach Anspruch 1, wobei aus mindestens einem Sicherheitsentscheidungsparameter bestimmt wird, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgendem beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
Verfahren nach Anspruch 8, wobei ein jeweiliger Wert für jeden des mindestens einen Sicherheitsentscheidungsparameters durch einen Hersteller des Fahrzeugs bereitgestellt wird.
Verfahren nach Anspruch 1, ferner umfassend: Aufzeichnen der von der mindestens einen Erfassungskomponente des Fahrzeugs erhaltenen Daten; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
Verfahren nach Anspruch 10, wobei der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.
Verfahren nach Anspruch 10, wobei die Daten mit einer Abtastfrequenz von mindestens 10 Hz aufgezeichnet werden.
Maschinenlesbares Speicherungsmedium bzw. maschinenlesbare Speicherungsmedien, die Anweisungen umfassen, die, wenn sie durch mindestens einen Prozessor ausgeführt werden, bewirken, dass der mindestens eine Prozessor die Verfahren nach einem der Ansprüche 1 bis 12 durchführt.
Automatisiertes Datenprotokollierungssystem für ein Fahrzeug, wobei das System umfasst: eine Schnittstelle zum Bereitstellen von Daten von mindestens einer Erfassungskomponente des Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; und mindestens eine Verarbeitungsvorrichtung, die dazu ausgelegt ist, die Verfahren nach einem der Ansprüche 1 bis 12 durchzuführen.
Fahrzeug, das ein automatisiertes Datenprotokollierungssystem umfasst, das dazu ausgelegt ist, die Verfahren nach einem der Ansprüche 1 bis 12 durchzuführen.
Automatisiertes Datenprotokollierungssystem für ein Fahrzeug, wobei das System umfasst: eine Schnittstelle zum Empfangen von Daten von mindestens einer Erfassungskomponente des Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; und mindestens eine Verarbeitungsvorrichtung, die ausgelegt ist zum: Erhalten, über die Schnittstelle, der Daten von der mindestens einen Erfassungskomponente des Fahrzeugs; Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug Sicherheitskriterien eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, einschließlich: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
Automatisiertes Datenprotokollierungssystem nach Anspruch 16, wobei die Daten von der mindestens einen Erfassungskomponente zur Sicherheitsentscheidung durch ein Planungssystem für den autonomen Betrieb des Fahrzeugs verwendet werden.
Automatisiertes Datenprotokollierungssystem nach Anspruch 16, wobei der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand des Fahrzeugs; oder Stellungszustand des Fahrzeugs.
Automatisiertes Datenprotokollierungssystem nach Anspruch 18, wobei die gefährliche Situation eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug betrifft, und wobei der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
Automatisiertes Datenprotokollierungssystem nach Anspruch 16, wobei der zweite Teil der im privaten Datenspeicher gespeicherten Daten mindestens eines von Folgendem beinhaltet: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
Automatisiertes Datenprotokollierungssystem nach Anspruch 16, wobei die Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur protokolliert werden, und wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
Automatisiertes Datenprotokollierungssystem nach Anspruch 21, wobei eine Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in einen jeweiligen Datenblock organisiert wird, und wobei der jeweilige Datenblock einem Digest entspricht, der aus einem vorherigen Datenblock berechnet wird.
Automatisiertes Datenprotokollierungssystem nach Anspruch 16, wobei aus mindestens einem Sicherheitsentscheidungsparameter bestimmt wird, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgenden beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
Automatisiertes Datenprotokollierungssystem nach Anspruch 23, wobei ein jeweiliger Wert für jeden des mindestens einen Sicherheitsentscheidungsparameters durch einen Hersteller des Fahrzeugs bereitgestellt wird.
Automatisiertes Datenprotokollierungssystem nach Anspruch 16, wobei die mindestens eine Verarbeitungsvorrichtung ferner ausgelegt ist zum: Aufzeichnen der von der mindestens einen Erfassungskomponente des Fahrzeugs erhaltenen Daten; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
Automatisiertes Datenprotokollierungssystem nach Anspruch 25, wobei der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.
Automatisiertes Datenprotokollierungssystem nach Anspruch 16, wobei die Daten mit einer Abtastfrequenz von mindestens 10 Hz aufgezeichnet werden.
Vorrichtungslesbares Speicherungsmedium bzw. vorrichtungslesbare Speicherungsmedien, die Anweisungen umfassen, die, wenn sie durch eine Schaltungsanordnung einer automatisierten Datenprotokollierungsvorrichtung ausgeführt werden, die Vorrichtung veranlassen zum: Erhalten von Daten von mindestens einer Erfassungskomponente eines Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug ein Sicherheitskriterium eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, einschließlich: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 28, wobei die Daten von der mindestens einen Erfassungskomponente zur Sicherheitsentscheidung durch ein Planungssystem für den autonomen Betrieb des Fahrzeugs verwendet werden.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 28, wobei der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand des Fahrzeugs; oder Stellungszustand des Fahrzeugs.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 30, wobei die gefährliche Situation eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug betrifft, und wobei der erste Teil der im öffentlichen Datenspeicher gespeicherten Daten Werte für mindestens eines von Folgendem beinhaltet: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 28, wobei der zweite Teil der im privaten Datenspeicher gespeicherten Daten mindestens eines von Folgendem beinhaltet: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 28, wobei die Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur protokolliert werden, und wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 33, wobei eine Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in einen jeweiligen Datenblock organisiert wird, und wobei der jeweilige Datenblock einem Digest entspricht, der aus einem vorherigen Datenblock berechnet wird.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 28, wobei aus mindestens einem Sicherheitsentscheidungsparameter bestimmt wird, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgenden beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 35, wobei ein jeweiliger Wert für jeden des mindestens einen Sicherheitsentscheidungsparameters durch einen Hersteller des Fahrzeugs bereitgestellt wird.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 28, wobei die Anweisungen die Schaltungsanordnung ferner veranlassen zum: Aufzeichnen der von der mindestens einen Erfassungskomponente des Fahrzeugs erhaltenen Daten; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 37, wobei der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.
Vorrichtungslesbares Speicherungsmedium nach Anspruch 37, wobei die Daten mit einer Abtastfrequenz von mindestens 10 Hz aufgezeichnet werden.
System, umfassend: Mittel zum Erhalten von Daten von mindestens einer Erfassungskomponente eines Fahrzeugs, wobei die Daten während des autonomen Betriebs des Fahrzeugs bereitgestellt werden; Mittel zum Detektieren einer gefährlichen Situation basierend auf den Daten, wobei die gefährliche Situation dadurch entsteht, dass das Fahrzeug ein Sicherheitskriterium eines Modells für die Fahrzeugbetriebssicherheit nicht erfüllt; und Mittel zum Protokollieren der Daten als Reaktion auf die Detektion der gefährlichen Situation, um zu veranlassen: Speicherung eines ersten Teils der Daten in einem öffentlichen Datenspeicher; und Speicherung eines zweiten Teils der Daten in einem privaten Datenspeicher, wobei der zweite Teil der Daten datenschutzsensible Daten aufweist, wobei die im privaten Datenspeicher gespeicherten Daten verschlüsselt sind, und wobei der Zugriff auf den privaten Datenspeicher kontrolliert wird.
System nach Anspruch 40, ferner umfassend: Mittel zum Evaluieren der Daten von der mindestens einen Erfassungskomponente zur Sicherheitsentscheidung für den autonomen Betrieb des Fahrzeugs.
System nach Anspruch 40, ferner umfassend: Mittel zum Identifizieren des ersten Teils der im öffentlichen Datenspeicher gespeicherten Daten, die Werte für mindestens eines von Folgendem beinhalten: longitudinale Geschwindigkeit des Fahrzeugs; laterale Geschwindigkeit des Fahrzeugs; Spurposition des Fahrzeugs; Gaspedalzustand des Fahrzeugs; Bremszustand des Fahrzeugs; Lenkzustand des Fahrzeugs; oder Stellungszustand des Fahrzeugs.
System nach Anspruch 42, ferner umfassend: Mittel zum Identifizieren der gefährlichen Situation in Bezug auf eine minimale sichere Abstandsanforderung zwischen dem Fahrzeug und einem Zielfahrzeug, und Mittel zum Identifizieren des ersten Teils der im öffentlichen Datenspeicher gespeicherten Daten, die Werte für mindestens eines von Folgendem beinhalten: longitudinale Geschwindigkeit des Zielfahrzeugs; laterale Geschwindigkeit des Zielfahrzeugs; longitudinaler Abstand vom Fahrzeug zum Zielfahrzeug; oder lateraler Abstand vom Fahrzeug zum Zielfahrzeug.
System nach Anspruch 40, ferner umfassend: Mittel zum Identifizieren des zweiten Teils der im privaten Datenspeicher gespeicherten Daten, die mindestens eines von Folgendem beinhalten: geographische Positionsdaten des Fahrzeugs; oder Kameradaten, die durch mindestens eine Kamera des Fahrzeugs gesammelt werden.
System nach Anspruch 40, ferner umfassend: Mittel zum Protokollieren der Daten im öffentlichen Datenspeicher gemäß einer ersten Datenstruktur und im privaten Datenspeicher gemäß einer zweiten Datenstruktur, wobei die erste und zweite Datenstruktur jeweils Datenfelder für einen Zeitstempel und eine Fahrzeugkennung beinhalten.
System nach Anspruch 45, ferner umfassend: Mittel zum Organisieren einer Mehrzahl von Datensätzen im öffentlichen Datenspeicher und im privaten Datenspeicher in jeweilige Datenblöcke, wobei jeder der jeweiligen Datenblöcke einem Digest entspricht, der aus einem jeweiligen vorherigen Datenblock berechnet wird.
System nach Anspruch 40, ferner umfassend: Mittel zum Bestimmen unter Verwendung mindestens eines Sicherheitsentscheidungsparameters, dass das Fahrzeug die Sicherheitskriterien des Modells für die Fahrzeugbetriebssicherheit nicht erfüllt, wobei der mindestens eine Sicherheitsentscheidungsparameter mindestens eines von Folgendem beinhaltet: longitudinale Reaktionszeit des Fahrzeugs; laterale Reaktionszeit des Fahrzeugs; maximale longitudinale Beschleunigung des Fahrzeugs; maximale laterale Beschleunigung des Fahrzeugs; oder minimale longitudinale Bremsverzögerung des Fahrzeugs.
System nach Anspruch 47, ferner umfassend: Mittel zum Zugreifen auf einen jeweiligen Wert für jeden des mindestens einen Sicherheitsentscheidungsparameters, wobei jeder jeweilige Wert durch einen Hersteller des Fahrzeugs bereitgestellt wird.
System nach Anspruch 40, ferner umfassend: Mittel zum Aufzeichnen der von der mindestens einen Erfassungskomponente des Fahrzeugs erhaltenen Daten; wobei die Daten, die als Reaktion auf die Detektion der gefährlichen Situation protokolliert werden sollen, Daten beinhalten, die während mindestens eines ersten Zeitraums vor einem Start der gefährlichen Situation aufgezeichnet werden und während mindestens eines zweiten Zeitraums nach dem Start der gefährlichen Situation aufgezeichnet werden.
System nach Anspruch 49, ferner umfassend: Mittel zum Abtasten der Daten mit einer Abtastfrequenz von mindestens 10 Hz, wobei der erste Zeitraum mindestens 90 Sekunden beträgt, und wobei der zweite Zeitraum mindestens 30 Sekunden beträgt.