WO2014138765A1 - Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen - Google Patents
Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen Download PDFInfo
- Publication number
- WO2014138765A1 WO2014138765A1 PCT/AT2014/050062 AT2014050062W WO2014138765A1 WO 2014138765 A1 WO2014138765 A1 WO 2014138765A1 AT 2014050062 W AT2014050062 W AT 2014050062W WO 2014138765 A1 WO2014138765 A1 WO 2014138765A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- components
- component
- messages
- ttethernet
- message distribution
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 20
- 230000004927 fusion Effects 0.000 claims abstract description 30
- 238000004891 communication Methods 0.000 claims abstract description 10
- 230000001133 acceleration Effects 0.000 claims abstract description 8
- 239000004020 conductor Substances 0.000 claims description 3
- 230000009471 action Effects 0.000 description 9
- 208000035690 Familial cold urticaria Diseases 0.000 description 8
- 206010064570 familial cold autoinflammatory syndrome Diseases 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002269 spontaneous effect Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000009499 grossing Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 241000408659 Darpa Species 0.000 description 1
- 240000006240 Linum usitatissimum Species 0.000 description 1
- 241000532784 Thelia <leafhopper> Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000010355 oscillation Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 238000002604 ultrasonography Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W10/00—Conjoint control of vehicle sub-units of different type or different function
- B60W10/18—Conjoint control of vehicle sub-units of different type or different function including control of braking systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W10/00—Conjoint control of vehicle sub-units of different type or different function
- B60W10/20—Conjoint control of vehicle sub-units of different type or different function including control of steering systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W30/00—Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
- B60W30/08—Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
- B60W30/09—Taking automatic action to avoid collision, e.g. braking and steering
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W30/00—Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
- B60W30/14—Adaptive cruise control
- B60W30/143—Speed control
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
- H04L12/40182—Flexible bus arrangements involving redundancy by using a plurality of communication lines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/403—Bus networks with centralised control, e.g. polling
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2554/00—Input parameters relating to objects
- B60W2554/80—Spatial relation or speed relative to objects
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2554/00—Input parameters relating to objects
- B60W2554/80—Spatial relation or speed relative to objects
- B60W2554/802—Longitudinal distance
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2720/00—Output or target parameters relating to overall vehicle dynamics
- B60W2720/10—Longitudinal speed
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2754/00—Output or target parameters relating to objects
- B60W2754/10—Spatial relation or speed relative to objects
- B60W2754/30—Longitudinal distance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/44—Star or tree networks
- H04L2012/445—Star or tree networks with switching in a hub, e.g. ETHERNET switch
Definitions
- the invention relates to a device for controlling the brakes and / or steering and / or acceleration in a motor vehicle.
- the invention relates to a method for controlling the brakes and / or steering and / or acceleration in a motor vehicle with such a device.
- the invention also relates to a motor vehicle with at least one such device.
- the present invention is in the field of automotive electronics.
- NCAP European New Car Assessment Program
- AEB Autonomous Emergency Braking
- the electronic system for autonomous control of vehicles typically consists of the following components:
- a number of diverse sensor components for observing the driveway and the environment of the vehicle.
- a mostly redundant designed sensor fusion component that processes the sensor data, creates a computer-internal three-dimensional model of the environment and determines the control values for the actuators.
- a man-machine interface component which receives the control values from the driver and forwards them to an intelligent actuator control component (AST).
- a smart actuator control component which takes over the control values from the sensor fusion component and the human-machine interface component and decides who has control of the vehicle and which control values to the physical actuators (brake, steering, engine) to be forwarded in the vehicle.
- these components are connected ad hoc via dedicated data and signal lines or using relatively slow bus systems (e.g., CAN bus or FlexRay).
- relatively slow bus systems e.g., CAN bus or FlexRay.
- Such a device or such a system in particular such a fault-tolerant device or such a fault-tolerant system for controlling the brakes and / or the steering and / or the acceleration of a vehicle to improve significantly.
- the device comprises a number of different sensor components, two dwersitary sensor fusion components, a human machine interface component and a preferably intelligent actuator control component, each of these components causing a fault Containment unit and has a TTEthernet communication interface, and wherein all components are connected to a central TTEthernet message distribution unit, and wherein the components communicate with each other using standardized Ethernet messages, and wherein the TTEthernet message distribution unit, a diagnostic unit for time-correct observation the transmitted messages can be connected.
- a central TTEthernet message distribution unit an existing device can be substantially improved.
- each of the components is designed as an autonomous fault-containment unit (FCU) and equipped with a TTEthernet message interface, so that the communication between the components via the standardized high-performance real-time communication system TTEthernet [1] with a data rate of 1 Gb / sec. can expire.
- FCU autonomous fault-containment unit
- ⁇ all components are arranged on a circuit board and the data lines between the components and the central message distribution unit are designed as printed conductors on the board;
- the device has two independent power sources, each supplying a first of two redundant components from the first power source and supplying the second component of the two redundant components from the second power source, respectively; ⁇
- the redundant sensor fusion components perform the same tasks, with the software of the two redundant components being different.
- the hardware can be different, but it does not have to be different.
- the sensor components ⁇ the sensor components, two sensor fusion components that monitor component, the man-machine interface component and, preferably intelligent, actuaries factors management unit solely by means of standardized TTEthernet messages via a message distribution unit communicate, wherein the message distribution unit is adapted to receive a Subset of these TTEthernet messages to copy and send to a diagnostic unit, and the diagnostic unit is set up to analyze these copied messages and save.
- a number of sensor components, two sensor fusion components, a monitor component, a human-machine interface component and a intelligent actuator control component communicate solely by means of standardized TTEthernet messages via a message distribution unit, wherein the message distribution unit copies a subset of these TTEthernet messages and sends them to a diagnostic unit, and wherein the diagnosis unit analyzes and stores these copied messages.
- the diagnostic unit produces messages that simulate the behavior of each sensor component, each of the two sensor fusion components, the monitor component and the human-machine interface component in the value and time domain.
- the modular arrangement of the electronic components around the central TTEthernet real-time communication system has the following advantages: > The number of physical data lines is reduced, which leads to an improvement in hardware reliability.
- Each of the two redundant sensor fusion components has access to the data of all sensors.
- the central message distribution unit can copy and send selected messages to an independent diagnostics unit that analyzes and stores these messages. This enables the timely observability of the results of each selected FCU, simplifying testing, troubleshooting, and maintenance.
- the diagnostic unit can simulate the behavior of each FCU in real time.
- TTEthernet communication system's precise time grid supports system-wide analysis of the causality of event sequences.
- Fig. 2 how the reliability can be improved by the introduction of targeted redundancy.
- FIG. 3 shows the structure of a control system, by means of which the determination of the criticality index KI and the engagement index EI is discussed, and FIG. 3
- Fig. 1 shows in the center of a central TTEthernet message distribution unit 100, around which the necessary components of a control system are arranged. Each of the components has a TTEthernet communication interface [1]. On the data lines 101 between the components and the message distribution unit 100, only Ethernet messages are transported.
- each component must form a fault-containment unit (FCU).
- FCU fault-containment unit
- An FCU is understood to be an encapsulated sensor / hardware / software subsystem, the immediate effects of a fault of this subsystem (whether a hardware or software or sensor error) being limited to this subsystem [6, p.136]. ,
- a fault can indirectly propagate only from a component to another component via a bad message.
- the message distribution unit 100 can be parameterized so that it copies a fixed message class of the messages it conveys and preferably sends them to a diagnostic unit 190 in the correct time.
- the timelyness of the messages is of particular benefit as it is a prerequisite for a causal analysis of event sequences. It is thus possible to also send the results of each FCU to the diagnostic unit for review so that the diagnostic unit 190 can identify a failed component based on the erroneous messages it produces.
- the diagnostic unit 190 can simulate the behavior of each other component by generating the corresponding message sequences of that component, ie, the diagnostic unit 190 can value the behavior of each sensor component, each of the two sensor fusion components, the monitor component, and the human machine interface component and simulate time range.
- FIG. 1 On the left side of FIG. 1, by way of example, three imaging sensors / sensor components 111, 112, 113 (eg a camera 111, a radar sensor 112 and a laser sensor 113) are shown.
- the image recognition usually takes place in two steps. In a first step, significant features (lines, shadows, angles) are determined, and in a second step, these features are combined to recognize objects.
- a first step significant features (lines, shadows, angles) are determined, and in a second step, these features are combined to recognize objects.
- TTEthernet messages In order to reduce the data load at the message interface 101, it is assumed that propose to perform the first step of image recognition - the detection of significant features - in the corresponding sensor component and to send these features by means of TTEthernet messages to the diversely redundant sensor fusion components 121 and 122.
- the sensor fusion components 121 and 122 are diversified to reduce the likelihood of the simultaneous activation of design errors.
- the sensor fusion component 121 receives the data provided by all the sensor components via the message distribution unit 100 to build an internal three-dimensional model of the environment of the vehicle. In this model, all objects captured by the sensors are spatially represented and classified (e.g., whether it is an obstacle or a shadow). If an obstacle has been detected in the designated pathway, then appropriate control values (e.g., braking or steering) are output to an actuator control (AST) 150.
- AST actuator control
- the sensor fusion component 121 may also determine a criticality index KI of the current scenario [2].
- the sensor fusion component 122 operates in parallel with the sensor fusion component 121, but with different software.
- a method is disclosed of how the two set values determined by the sensor fusion component 121 and the sensor fusion component 122 can be fused in the event that a software error occurs.
- the monitor component 140 watches the driver 132 and determines a driver engagement index EI as disclosed in [2].
- a human machine interface component 130 accepts the driver's request and cyclically sends TTEthernet messages with the driver's control values to the (preferably smart) AST 150.
- the AST 150 may be based on a criticality index KI from the sensor fusion component 121 and the engagement Index EI of the monitor component 140 decide which control values are output via the data line 151 to the actuators 152 in the vehicle (brake, steering, engine) (see [2]).
- Fig. 2 shows the electronic architecture of Fig. 1, wherein selected components and data lines are redundant. It is the goal of FIG. 2 to tolerate any critical single error that could lead to a failure of the overall system. To achieve this goal reach, the central message distribution unit 100 and all data lines 101 leading to the message distribution unit must be performed redundantly. In addition, the human-machine interface component 130 and the AST 150 and the data line 151 must be redundantly executed by the AST to the physical actuators.
- the sensor components 111, 112, and 113 are not redundant, since the totality of these sensors provide highly redundant data about the environment of the vehicle and therefore the failure of a sensor can be tolerated.
- the sensor fusion components 121 and 122 are already redundant. Failure of the monitor component can be partially compensated by the AST 150 in that the AST 150 derives the driver's engagement index EI from the control values given by the driver [2].
- the redundant electronic system must be powered by two independent power sources, with the first instance of each redundant component supplied by the first power source and the second instance of each redundant component by the second power source ,
- the present invention is in the field of automotive electronics. It describes a network-based architecture of a fault-tolerant control system for the autonomous control of the brakes and / or the steering and / or the acceleration of the vehicle. It is proposed to design all sensor and processing components as autonomous fault-containment units (FCU) and equip them with a TTEthernet message interface, so that all communication between the components can take place via a message distribution unit of the standardized high-performance real-time communication system TTEthernet.
- FCU autonomous fault-containment units
- TTEthernet message interface so that all communication between the components can take place via a message distribution unit of the standardized high-performance real-time communication system TTEthernet.
- This network-based architecture increases reliability, maintainability and flexibility, and facilitates the commissioning of electronics.
- FIG. 3 The following is a preferred determination of the KI and EI Index of Commitment as discussed in [2]. It is noted that the reference numbers used in the following to FIG. 3 are partly identical to those of FIGS. 1 and 2, but they do not necessarily denote the same elements as those in FIGS. 1 and 2. The reference numbers to FIG. 3 are thus only in connection with FIG Figure 3 to understand: Legislators in many technical applications require that a person monitor an autonomous process and be able to intervene at any time. In such an automated technical system there are two independent control systems: on the one hand the autonomous technical control system with its sensors and on the other side the human being. The parallel control of the control systems can lead to unintentional negative emergent properties. The present invention discloses a method of how to allocate the control to prevent these negative emergent properties. The method is explained in detail using the example of the control of an autonomous vehicle.
- the proposed control system for an autonomous technical system consists of four blocks.
- the controlling computer system CS is shown. It includes sensors 110 and 120 and a sensor fusion component SFK 130.
- a, preferably smart, actuator control AST 100 is shown in the center.
- the AST 100 provides the control values to actuators 102 of a technical installation via a data line 101.
- 3 shows the human operator HO 160 with a human-machine interface component MMI 150, and in the figure above the AST 100 a monitor component MK 140 can be seen.
- the sensors 110 and 120 such as a camera and a laser sensor, cyclically monitor the surroundings of the vehicle and send the acquired data to the SFK 130 via data lines 111 and 121.
- the duration of a typical cycle is illustratively 10 msec.
- the SFK 130 creates a three-dimensional model of the environment of the vehicle based on the cyclically acquired environmental data, calculates the distance to obstacles in the track, and if the obstacles move, their direction of movement and speed. After an analysis of this three-dimensional model, the SFK 130, taking into account the speed of the own vehicle, determines the control values for the AST 100 and cyclically transmits these control values to the AST 100 via a data line 131.
- the SFK 130 determines critical locations in three-dimensional space that are of particular importance for the future movement of the vehicle. If, for example, a pedestrian moves in the direction of the road without reducing his or her speed, the probable location of entering the roadway is such a critical location.
- a critical location a Point-of-Critical Action (PCA).
- PCA Point-of-Critical Action
- the SFK determines a visual vector between the eyes of the driver and the PCA and sends the parameters of this visual vector to the MK 140 via data line 133.
- the SFK 130 will initiate an action (e.g., braking) to stop the vehicle in front of the pedestrian.
- an action e.g., braking
- LIA Last Instant of Action
- the following table 1 indicates the braking distance and the braking time of a car under normal road conditions.
- the onset time is the time interval that elapses between the occurrence of an obstacle and the beginning of braking. During the start time the following actions must take place:
- the remaining reaction time VRZ is the time interval between the current, current time / time (now) and the LIA.
- the VRZ is a measure of the criticality of the current scenario.
- the SFK determines from the VRZ, taking into account the speed of the vehicle and the current driving conditions, a criticality index KI of the current scenario.
- the normalized KI is between 0 and 1, with 0 representing the least criticality and 1 the highest criticality.
- the AI can be set as follows:
- the AI is cyclically transferred from the SFK 130 via the data line 131 to the AST 100.
- the HO 160 in FIG. 3 uses its eyes to observe the surroundings of the vehicle, analyzes the scenario, and tactfully outputs its control values to the MMI 150.
- the MMI essentially consists of the brake, the steering wheel and the gas pedal.
- the MM1 cyclically accepts these manipulated variables and forms a vector (current control vector CCV), which contains the manipulated variables adopted by the HO in the current and the recently passed cycles (in the case of the recent past). cycles are, for example, the last 10 cycles).
- the CCV is cyclically transferred to the AST 100 and the MK 140.
- the MK 140 cyclically detects, by means of a camera, the sighting line of the eyes of the HO 160 (driver) to see if the HO 160 is watching the travel path and the PCA received from the SFK 130, and determines an optical attention index OAI in the current cycle.
- the OAI has the value 1 when the optical attention of HO 160 is given in the current cycle. If the HO 160 does not look at the driveway or has dropped to a microsleep, then OAI has the value 0, otherwise a value between 1 and 0.
- the MK 140 stores the OAI in a vector to a time series of OAIs in the immediate past cycles, approximately within one second (the start time of Tab.
- MK 140 calculates in each cycle from the CCV received from the MMI 150, preferably by means of exponential smoothing, a preferably smoothed motor attention index MAI.
- the Engagement Index EI indicates to what extent the HO is currently engaged in the control of the vehicle.
- EI is a function of OAI geg i and MAI This function will be different in the different traffic situations (city traffic, driving on the highway). A possible expression of this function is tabulated in Tab.
- the EI is a normalized quantity with values between 0 and 1, where 0 means that the HO 160 is not engaged and 1 means that the HO 160 is fully engaged.
- the MK 140 transmits the EI cyclically via the data line 141 to the AST 100.
- the AST 100 gets a set of actuators for the actuators and the AI of the current scenario from the SFK 130 in each cycle, another set of actuators for the actuators from the MMI 150, and the current EI of the HO 160 from the MK 140.
- the AST has to decide who in the current cycle is in control of the actuators, the SFK 130 or the HO 160 (via the MMI 150).
- EI> AI gets the HO 160 control and AST takes over the control values from the MMI 150.
- EI> EI g Conference and the HO 160 control last cycle has exercised the HO 160 also retains control in current cycle.
- El l enz is a parameter introduced to prevent oscillation of control between the HO 160 and the SFK 130 when an episode involving high HO 160 expires.
- EI ⁇ El le nz and KI> EI then 130 gets the SFK control.
- the AST 100 transfers the selected manipulated values to the actuators 102.
- An exemplary value for El le nz is 0.7.
- the described method of triggering the control in a SoS can be applied not only to autonomous vehicles but also to a variety of other autonomous devices, e.g. the control of robots.
- an FCU is self-sufficient if that FCU is able to provide the required functionality without reference to another FCU.
- an AEB system consists of the two FCUs 110 and 120.
- the FCU 110 has sensors (eg camera, radar) 111 and 112 for monitoring the surroundings of the vehicle.
- the FCU 120 has sensors 121 and 122.
- the sensors 111, 112, 121 and 122 are cyclically read out, the duration of a cycle typically being 10 msec.
- the Sensor Fusion component 113 takes over the sensor data and calculates a manipulated variable for the brake actuators, wherein the manipulated value 0 means not to brake, and the manipulated value 2 means to activate the maximum braking force.
- the sensor fusion component 123 calculates the manipulated variable of the FCU 120.
- the two manipulated variables are output via the data lines 114 and 124 to the intelligent actuator control (AST) 100 for controlling the brakes.
- the AST 100 can be executed on a self-checking hardware to immediately detect a hardware failure of the AST 100. It is believed that the relatively simple software of the AST 100 is free from design errors.
- the two control values of the FCUs 110 and 120 are identical and it is therefore irrelevant which of the two control values is adopted by the AST 100.
- the two control values of the FCUs 110 and 120 will be different.
- the value 1 (full braking) and FCU 120 the value 0 (do not brake). Since it is assumed that only one FCU is faulty, one of these two values is correct, the other one is false. It is not known which value is correct and which value is wrong. If the correct value is 0 (do not brake), then selecting the wrong value 1- unnecessary spontaneous full braking - can result in a rear-end collision by the following vehicle. If, on the other hand, the correct value is 1 (full braking), choosing the wrong value 0 will probably result in an accident.
- the intelligent AST stores an error message in the diagnostic memory of the vehicle. According to the invention determines the AST 100 from the two control values of the FCUs 110 and 120 by applying the following formula the control value B; of the current cycle i
- Bi (g * B large + B k lein) / (g + l) where Bgross is the larger of the two manipulated variables and B n is the smaller of the two manipulated variables of the FCUs 110 and 120.
- the variable g indicates the weight with which the larger control values ⁇ stronger braking) must be taken into account compared to the smaller control value ⁇ less braking).
- the larger manipulated variable has a weight three times greater than the smaller manipulated variable.
- the greater weighting of the larger control value ensures that the vehicle is quickly brought into a safe state (for example, in a decelerating or braked state or standstill) in the event of a fault.
- the manipulated variable Bi in the cycle i may be at a sudden occurrence of a large Difference of the calculated control values of the two FCUs by a weighted averaging from the current control value and the control value of the immediately preceding cycle i-1 be further corrected.
- the AST 100 calculates a corrected manipulated variable Z as follows:
- the proposed method can be implemented in redundant systems with relatively little effort and leads to a significant increase in the reliability and safety of autonomous control systems.
Landscapes
- Engineering & Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Automation & Control Theory (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Remote Sensing (AREA)
- Physics & Mathematics (AREA)
- Aviation & Aerospace Engineering (AREA)
- Radar, Positioning & Navigation (AREA)
- Human Computer Interaction (AREA)
- Regulating Braking Force (AREA)
- Traffic Control Systems (AREA)
- Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Game Theory and Decision Science (AREA)
- Medical Informatics (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Hardware Redundancy (AREA)
Abstract
Die Erfindung betrifft eine Vorrichtung zur Steuerung der Bremsen und/ oder Lenkung und/ oder Beschleunigung in einem Kraftfahrzeug, wobei die Vorrichtung eine Anzahl von unterschiedlichen Sensorkomponenten, zwei diversitäre Sensorfusionskomponenten, eine Menschmaschine-Interface-Komponente und eine, vorzugsweise intelligente, Aktuatoren-Steuerungs-Komponente umfasst, wobei jede dieser Komponenten eine Fault-Containment Unit darstellt und über ein TTEthernet Kommunikationsinterface verfügt, und wobei alle Komponente an eine zentrale TTEthernet-Nachrichtenverteilereinheit angeschlossen sind, und wobei die Komponenten ausschließlich unter Verwendung von standardisierten Ethernet Nachrichten miteinander kommunizieren, und wobei an die TTEthernet-Nachrichtenverteilereinheit eine Diagnoseeinheit zur zeitrichtigen Beobachtung der vermittelten Nachrichten angeschlossen werden kann.
Description
VORRICHTUNG UND VERFAHREN ZUR AUTONOMEN STEUERUNG VON KRAFTFAHRZEUGEN
Die Erfindung betrifft eine Vorrichtung zur Steuerung der Bremsen und/ oder Lenkung und/ oder Beschleunigung in einem Kraftfahrzeug.
Weiters betrifft die Erfindung ein Verfahren zur Steuerung der Bremsen und/ oder Lenkung und/ oder Beschleunigung in einem Kraftfahrzeug mit einer solchen Vorrichtung.
Schließlich betrifft die Erfindung noch ein Kraftfahrzeug mit zumindest einer solchen Vorrichtung.
Die vorliegende Erfindung liegt im Bereich der Kraftfahrzeugelektronik. Im Juni 2012 hat die NCAP (European New Car Assessment Program) Organisation eine Roadmap [4] veröffentlicht, aus der hervorgeht, dass im Jahr 2016 Autonomous Emergency Braking (AEB) Systeme in neuen Kraftfahrzeugen auf breiter Front eingeführt werden sollen. In weiterer Folge wird erwartet, dass elektronische Systeme zum autonomen Fahren zuerst im Markt für Premium Fahrzeuge und später im Massenmarkt zum Einsatz kommen werden.
Aus technisch/ kommerzieller Sicht ist es eine große Herausforderung, diese elektronischen Systeme, deren Funktionalität in Prototypen bereits demonstriert werden konnte [5], so zu gestalten, dass die geforderte Funktionalität und Zuverlässigkeit mit vertretbaren Kosten erreicht werden können. Neben den einmaligen Entwicklungskosten sind im Massenmarkt die wiederkehrenden Produktionskosten der Computer Hardware und die Wartungskosten von besonderer Bedeutung.
Das elektronische System zur autonomen Steuerung von Fahrzeugen besteht typischerweise aus den folgenden Komponenten:
1. Einer Anzahl von diversitären Sensorkomponenten (Kamera, Radar, Laser, Ultraschall, etc.) zur Beobachtung des Fahrwegs und der Umgebung des Fahrzeugs.
2. Einer meist redundant ausgeführten Sensorfusionskomponente, die die Sensordaten verarbeitet, ein rechnerinternes dreidimensionales Modell der Umgebung erstellt und die Stellwerte für die Aktuatoren ermittelt.
3. Einer Mensch-Maschine-Interface Komponente, die die Stellwerte vom Fahrer entgegen nimmt und an eine intelligente Aktuatorensteuerungs-Komponente (AST) weiterleitet.
4. Einer Monitor Komponente, die den Fahrer beobachtet, um die Aufmerksamkeit des Fahrers festzustellen.
5. Einer intelligenten Aktuatorensteuerungs-Komponente (AST), die die Stellwerte von der Sensorfusionskomponente und der Mensch-Maschinen-Interface Komponente übernimmt und entscheidet, wer die Kontrolle über das Fahrzeug hat und welche Stellwerte an die physikalischen Aktuatoren (Bremse, Lenkung, Motor) im Fahrzeug weitergeleitet werden sollen.
Entsprechend dem Stand der Technik werden diese Komponenten adhoc über dezidierte Daten- und Signalleitungen oder unter Verwendung von relativ langsamen Bussystemen verbunden (z.B. CAN Bus oder FlexRay).
Es ist eine Aufgabe der Erfindung, eine solche Vorrichtung bzw. eine solches System, insbesondere eine solche fehlertolerante Vorrichtung bzw. ein solches fehlertolerantes System zur Steuerung der Bremsen und/ oder der Lenkung und/ oder der Beschleunigung eines Fahrzeugs wesentlich zu verbessern.
Diese Aufgabe wird mit einer eingangs erwähnten Vorrichtung dadurch gelöst, dass erfindungsgemäß die Vorrichtung eine Anzahl von unterschiedlichen Sensorkomponenten, zwei dwersitäre Sensorfusionskomponenten, eine Menschmaschine-Interface-Komponente und eine, vorzugsweise intelligente, Aktuatoren-Steuerungs-Komponente umfasst, wobei jede dieser Komponenten eine Fault-Containment Unit darstellt und über ein TTEthernet Kommunikationsinterface verfügt, und wobei alle Komponente an eine zentrale TTEthernet- Nachrichtenverteilereinheit angeschlossen sind, und wobei die Komponenten ausschließlich unter Verwendung von standardisierten Ethernet Nachrichten miteinander kommunizieren, und wobei an die TTEthernet-Nachrichtenverteilereinheit eine Diagnoseeinheit zur zeitrichtigen Beobachtung der vermittelten Nachrichten angeschlossen werden kann.
Durch die Einführung einer zentralen TTEthernet Nachrichtenverteilereinheit kann eine bestehende Vorrichtung wesentlich verbessert werden.
Außerdem ist jede der Komponenten als autonome Fault-Containment Unit (FCU) ausgebildet und mit einer TTEthernet Nachrichtenschnittstelle ausgestattet, so dass die Kommunikation zwischen den Komponenten über das standardisierte Hochleistungs- Echtzeitkommunikationssystem TTEthernet [1] mit einer Datenrate von 1 Gb/sec. ablaufen kann.
Bevorzugte Ausführungsformen der erfindungsgemäßen Vorrichtung und des erfindungsgemäßen Verfahrens, welche für sich alleine oder in beliebiger Kombination miteinander realisiert sein können, sind im Folgenden beschrieben:
■ alle Komponenten sind auf einer Platine angeordnet und die Datenleitungen zwischen den Komponenten und der zentralen Nachrichtenverteilereinheit sind als Leiterbahnen auf der Platine ausgeführt;
■ alle Komponenten, mit Ausnahme der Sensorkomponenten, auf einer Platine angeordnet und die Datenleitungen zwischen den Komponenten, insbesondere den Komponenten auf der Platine und der zentralen Nachrichtenverteilereinheit als Leiterbahnen ausgeführt sind;
■ die zentrale Nachrichtenverteilereinheit und alle Datenleitungen zur zentralen Nachrichtenverteilereinheit sind redundant ausgelegt;
■ die Menschmaschine-Interface-Komponente und die intelligente Aktuatoren- Steuerungs-Komponente sowie die Datenleitung zwischen der Aktuatoren-Steuerungs- Komponente und den Aktuatoren sind redundant ausgelegt;
■ die Vorrichtung verfügt über zwei unabhängige Stromquellen, wobei jeweils eine erste von zwei redundanten Komponenten von der ersten Stromquelle versorgt wird und jeweils die zweite Komponente der beiden redundanten Komponenten von der zweiten Stromquelle versorgt wird;
■ von besonderem Vorteil ist, wenn die beiden redundanten Sensorfusionskomponenten diversitär ausgeführt sind. Dadurch kann die Wahrscheinlichkeit für die gleichzeitige Aktivierung von Entwurfsfehlern reduziert werden. Die redundanten Sensorfusionskomponenten erledigen dieselben Aufgaben, wobei die Software der beiden redundanten Komponenten unterschiedlich ist. Die Hardware kann unterschiedlich sein, muss aber nicht unterschiedlich sein.
■ die Sensorkomponenten, zwei Sensorfusionskomponenten, die Monitorkomponente, die Mensch-Maschine-Interface Komponente und die, vorzugsweise intelligente, Aktua- toren-Steuerungs-Komponente ausschließlich mittels standardisierter TTEthernet Nachrichten über eine Nachrichtenverteilereinheit kommunizieren, wobei die Nachrichtenverteilerein- heit dazu eingerichtet ist, eine Teilmenge dieser TTEthernet Nachrichten zu kopieren und an eine Diagnoseeinheit zu senden, und wobei die Diagnoseeinheit dazu eingerichtet ist, diese kopierten Nachrichten zu analysieren und zu speichern.
Bei dem erfindungsgemäßen Verfahren zur Steuerung der Bremsen und/ oder Lenkung und/ oder Beschleunigung in einem Kraftfahrzeug mit einer oben beschriebenen Vorrichtung ist es insbesondere von Vorteil, wenn eine Anzahl von Sensorkomponenten, zwei Sensorfusionskomponenten, eine Monitorkomponente, eine Mensch-Maschine Interface Komponente und eine intelligente Aktuatoren-Steuerungs-Komponente ausschließlich mittels standardisierter TTEthernet Nachrichten über ein Nachrichtenverteilereinheit kommunizieren, wobei die Nachrichtenverteilereinheit eine Teilmenge dieser TTEthernet Nachrichten kopiert und an eine Diagnoseeinheit sendet, und wobei die Diagnoseeinheit diese kopierten Nachrichten analysiert und speichert.
Außerdem kann es bei dem Verfahren von Vorteil sein, wenn die Diagnoseeinheit Nachrichten produziert, die das Verhalten jeder Sensorkomponente, jeder der beiden Sensorfusionskomponenten, der Monitorkomponente und der Mensch-Maschine Interface Komponente im Werte- und Zeitbereich simulieren.
Die modulare Anordnung der elektronischen Komponenten um das zentrale TTEthernet Echtzeitkommunikationssystem bringt folgende Vorteile:
> Die Anzahl der physischen Datenleitungen wird reduziert, was zu einer Verbesserung der Hardwarezuverlässigkeit führt.
> Jede der beiden redundanten Sensorfusionskomponenten hat Zugriff auf die Daten aller Sensoren.
> Die zentrale Nachrichtenverteilereinheit kann ausgewählte Nachrichten kopieren und an eine unabhängige Diagnoseeinheit senden, die diese Nachrichten analysiert und speichert. Damit wird die zeitrichtige Beobachtbarkeit der Resultate jeder ausgewählten FCUs möglich, was das Testen, die Fehlersuche und Wartung vereinfacht.
> Die Diagnoseeinheit kann das Verhalten jeder FCU in Echtzeit simulieren.
> Der Anschluss weiterer Sensoren wird wesentlich erleichtert, was zu einer signifikanten Erhöhung der Flexibilität der Elektronikarchitektur führt.
> Das präzise Zeitraster des TTEthernet Kommunikationssystems unterstützt die systemweite Analyse der Kausalität von Ereignisfolgen.
> Die Einführung von gezielter Redundanz wird vereinfacht.
Im Folgenden ist die Erfindung an Hand der Zeichnung näher erörtert. In dieser zeigt
Fig. 1 einen Überblick über die Architektur einer beispielhaften Vorrichtung,
Fig. 2 wie die Zuverlässigkeit durch die Einführung von gezielter Redundanz verbessert werden kann.
Fig. 3 die Struktur eines Steuerungssystem, an Hand dessen die Ermittlung des Kritikalitäts- index KI und des Engagement-Index EI erörtert ist, und
Fig. 4 die Struktur eines redundanten Steuerungssystems.
Das folgende konkrete Beispiel zeigt eine der vielen möglichen Realisierungen des Aufbaus einer erfindungsgemäßen Vorrichtung.
Fig. 1 zeigt in der Bildmitte eine zentrale TTEthernet Nachrichtenverteilereinheit 100, um die die notwendigen Komponenten eines Steuerungssystems angeordnet sind. Jede der Komponenten verfügt über ein TTEthernet Kommunikationsinterface [1]. Auf den Datenleitungen 101 zwischen den Komponenten und der Nachrichtenverteilereinheit 100 werden ausschließlich Ethernet Nachrichten transportiert.
Erfindungsgemäß muss jede Komponente eine Fault-Containment Unit (FCU) bilden. Unter einer FCU wird ein abgekapseltes Sensor/ Hardware/Software Subsystem verstanden, wobei die unmittelbaren Auswirkungen eines Fehlers dieses Subsystems (gleichgültig ob es sich um einen Hardware- oder Software- oder Sensorfehler handelt) auf dieses Subsystem eingegrenzt sind [6, S.136].
In der vorgeschlagenen Architektur kann sich daher ein Fehler mittelbar nur über eine fehlerhafte Nachricht von einer Komponente zu einer anderen Komponente fortpflanzen. Die Nachrichtenverteilereinheit 100 kann parametrisiert werden, so dass sie eine festgelegte Nachrichtenklasse der von ihr vermittelten Nachrichten kopiert und an eine Diagnoseeinheit 190 vorzugsweise zeitrichtig sendet. Die Zeitrichtigkeit der Nachrichten ist von besonderem Vorteil, da sie eine Voraussetzung für eine kausale Analyse von Ereignisfolgen darstellt. Es ist somit möglich, die Ergebnisse jeder FCU auch an die Diagnoseeinheit zur Überprüfung zu senden, so dass die Diagnoseeinheit 190 eine fehlerhafte Komponente auf der Basis der von ihr produzierten fehlerhaften Nachrichten identifizieren kann.
Es besteht auch die Möglichkeit, dass die Diagnoseeinheit 190 das Verhalten jeder anderen Komponente durch die Generierung der entsprechenden Nachrichtenfolgen dieser Komponente simuliert, d.h., die Diagnoseeinheit 190 kann das Verhalten jeder Sensorkomponente, jeder der beiden Sensorfusionskomponenten, der Monitorkomponente und der Menschmaschine Interface Komponente im Werte- und Zeitbereich simulieren.
Auf der linken Seite der Fig. 1 sind beispielhaft drei bildgebende Sensoren/Sensorkomponenten 111, 112, 113 (z.B. eine Kamera 111, ein Radar Sensor 112 und ein Laser Sensor 113) angeführt. Die Bilderkennung erfolgt üblicherweise in zwei Schritten. In einem ersten Schritt werden signifikante Merkmale (Linien, Schatten, Winkel) ermittelt und in einem zweiten Schritt werden diese Merkmale zusammengefügt, um Objekte erkennen zu können. Um den Datenanfall an der Nachrichtenschnittstelle 101 zu reduzieren, wird vorge-
schlagen, den ersten Schritt der Bilderkennung— die Erkennung von signifikanten Merkmalen— in der entsprechenden Sensorkomponente durchzuführen und diese Merkmale mittels TTEthernet Nachrichten an die diversitär redundanten Sensor-Fusions-Komponenten 121 und 122 zu senden. Die Sensor-Fusions-Komponenten 121 und 122 sind diversitär ausgelegt, um die Wahrscheinlichkeit für die gleichzeitige Aktivierung von Entwurfsfehlern zu reduzieren.
Die Sensor-Fusions-Komponente 121 empfängt die von allen Sensorkomponenten über die Nachrichtenverteilereinheit 100 gelieferten Daten, um ein internes dreidimensionales Modell der Umgebung des Fahrzeugs aufzubauen. In diesem Modell sind alle Objekte, die von den Sensoren erfasst wurden, räumlich dargestellt und klassifiziert (z.B. dahingehend, ob es sich um ein Hindernis oder einen Schatten handelt). Wenn im vorgesehenen Fahrweg ein Hindernis erkannt wurde, so werden entsprechende Stellwerte (z.B. Bremsen oder Lenken) an eine Aktuatorsteuerung (AST) 150. ausgegeben. Die Sensor-Fusions-Komponente 121 kann auch einen Kritikalitätsindex KI des gegenwärtigen Szenarios ermitteln [2] .
Die Sensor-Fusions-Komponente 122 arbeitet parallel zur Sensor-Fusions-Komponente 121, aber mit unterschiedlicher Software. In [3] ist ein Verfahren offengelegt, wie die beiden von der Sensorfusionskomponente 121 und der Sensorfusionskomponente 122 ermittelten Stellwerte fusioniert werden können, im Falle dass ein Softwarefehler auftritt ist.
Die Monitorkomponente 140 beobachtet den Fahrer 132 und ermittelt einen Engagement- Index EI des Fahrers, wie in [2] offengelegt.
Eine Mensch-Maschinen-Schnittstellenkomponente 130 nimmt den Wunsch des Fahrers entgegen und sendet zyklisch TTEthernet Nachrichten mit den Stellwerten des Fahrers an die (vorzugsweise intelligente) AST 150. Die AST 150 kann auf der Basis eines Kritikalitätsindex KI von der Sensor Fusionskomponente 121 und des Engagement-Index EI von der Monitorkomponente 140 entscheiden, welche Stellwerte über die Datenleitung 151 an die Aktua- toren 152 im Fahrzeug (Bremse, Lenkung, Motor) ausgegeben werden (siehe [2]).
Fig. 2 zeigt die Elektronikarchitektur von Fig. 1, wobei ausgewählte Komponenten und Datenleitungen redundant ausgeführt sind. Es das Ziel von Fig. 2, jeden kritischen Einzelfehler, der zu einem Ausfall des Gesamtsystems führen könnte, zu tolerieren. Um dieses Ziel zu
erreichen, müssen die zentrale Nachrichtenverteilereinheit 100 und alle Datenleitungen 101, die zu der Nachrichtenverteilereinheit führen, redundant ausgeführt werden. Zusätzlich müssen die Mensch-Maschinen-Schnittstellenkomponente 130 und die AST 150 sowie die Datenleitung 151 von der AST zu den physischen Aktuatoren redundant ausgeführt werden. Die Sensorkomponenten 111, 112, und 113 sind nicht redundant auszuführen, da die Gesamtheit dieser Sensoren hochredundante Daten über die Umgebung des Fahrzeugs liefern und daher der Ausfall eines Sensors toleriert werden kann. Die Sensorfusionskomponenten 121 und 122 sind bereits redundant. Ein Ausfall der Monitorkomponente lässt sich durch die AST 150 teilweise dadurch kompensieren, dass die AST 150 aus den vom Fahrer vorgegebenen Stellwerten den Engagement-Index EI des Fahrers ableitet [2].
Um die Folgen eines Fehlers in der Stromversorgung tolerieren zu können, muss das redundante elektronische System von zwei unabhängigen Stromquellen versorgt, werden, wobei die erste Instanz jeder redundanten Komponente von der ersten Stromquelle und wo die zweite Instanz jeder redundanten Komponente von der zweiten Stromquelle versorgt wird.
Die vorliegende Erfindung liegt im Bereich der Kraftfahrzeugelektronik. Sie beschreibt eine netzwerkbasierte Architektur eines fehlertoleranten Steuerungssystems zur autonomen Steuerung der Bremsen und/ oder der Lenkung und/ oder der Beschleunigung des Fahrzeugs. Es wird vorgeschlagen, alle Sensor- und Verarbeitungskomponenten als autonome Fault-Containment Units (FCU) auszubilden und mit einer TTEthernet Nachrichtenschnittstelle auszustatten, so dass die gesamte Kommunikation zwischen den Komponenten über eine Nachrichtenverteilereinheit des standardisierten Hochleistungs-Echtzeit-kommunikations- systems TTEthernet ablaufen kann. Diese netzwerkbasierte Architektur erhöht die Zuverlässigkeit, die Wartbarkeit und die Flexibilität und erleichtert die Inbetriebnahme der Elektronik.
Im Folgenden ist noch eine bevorzugte Ermittlung des Kritikalitätsindex KI und des Engagement-Index EI wie in [2] beschrieben erörtert. Es wird angemerkt, dass die im Folgenden zu Figur 3 verwendeten Bezugszeichen teilweise identisch zu jenen aus Figur 1 und 2 sind, diese aber nicht unbedingt dieselben Elemente bezeichnen wie jene in Figur 1 und 2. Die Bezugszeichen zu Figur 3 sind somit lediglich im Zusammenhang mit Figur 3 zu verstehen:
In vielen technischen Anwendungsbereichen verlangt der Gesetzgeber, dass ein Mensch einen autonom ablaufenden Prozess überwachen und jederzeit in der Lage sein muss, in den Prozess einzugreifen. In einer solchen automatisierten technischen Anlage existieren zwei unabhängige Steuerungssysteme: auf der einen Seite das autonome technische Steuerungssystem mit seinen Sensoren und auf der anderen Seite der Mensch. Durch die parallele Kontrolle der Steuerungssysteme kann es zu unbeabsichtigten negativen emergenten Eigenschaften kommen. Die vorliegende Erfindung legt ein Verfahren offen, wie die Allokation der Kontrolle vorzunehmen ist, um diese negativen emergenten Eigenschaften zu verhindern. Das Verfahren wird am Beispiel der Steuerung eines autonomen Fahrzeugs genau erklärt.
Entsprechend Fig. 3 besteht das vorgeschlagene Steuerungssystem für eine autonome technische Anlage aus vier Blöcken. Auf der linken Seite der Fig. 3 ist das steuernde Computersystem CS dargestellt. Es beinhaltet Sensoren 110 und 120 und eine Sensor Fusion Komponente SFK 130. In der Mitte ist eine, vorzugsweise intelligente, Aktuatorsteuerung AST 100 gezeigt. Die AST 100 gibt über eine Datenleitung 101 die Stellwerte an Aktuatoren 102 einer technischen Anlage vor. Auf der rechten Seite der Fig. 3 ist der Human Operator HO 160 mit einer Mensch-Maschine Interface Komponente MMI 150 dargestellt, und in der Figur über dem AST 100 ist eine Monitorkomponente MK 140 zu sehen.
Im Folgenden soll die Funktion dieses Steuerungssystems am Beispiel der Steuerung eines autonomen Fahrzeugs erklärt werden. Die Sensoren 110 und 120, beispielsweise eine Kamera und ein Lasersensor, beobachten zyklisch die Umgebung des Fahrzeugs und senden die erfassten Daten über Datenleitungen 111 und 121 an die SFK 130. Die Dauer eines typischen Zyklus beträgt beispielhaft 10 msec. Die SFK 130 erstellt auf der Basis der zyklisch erfassten Umgebungsdaten ein dreidimensionales Modell der Umgebung des Fahrzeugs, errechnet die Entfernung zu Hindernissen im Fahrweg, und falls sich die Hindernisse bewegen, deren Bewegungsrichtung und Geschwindigkeit. Nach einer Analyse dieses dreidimensionalen Modells werden von der SFK 130, unter Berücksichtigung der Geschwindigkeit des eigenen Fahrzeugs, die Stellwerte für die AST 100 ermittelt und diese Stellwerte über eine Datenleitung 131 zyklisch an die AST 100 übergeben.
Im Rahmen der Analyse des Modells ermittelt die SFK 130 kritische Orte im dreidimensionalen Raum, die von besonderer Bedeutung für die zukünftige Bewegung des Fahrzeugs sind.
Wenn sich z.B. ein Fußgänger Richtung Fahrbahn bewegt, ohne seine Geschwindigkeit zu reduzieren, so ist der voraussichtliche Ort des Betretens der Fahrbahn ein solcher kritischer Ort. Wir bezeichnen einen kritischen Ort einen Point-of-Critical Action (PCA). Die SFK ermittelt im dreidimensionalen Modell einen Sichtvektor zwischen den Augen des Fahrers und dem PCA und sendet die Parameter dieses Sichtvektors über Datenleitung 133 an die MK 140.
Wenn der erkannte PCA im geplanten Fahrweg des Fahrzeugs liegt, so wird die SFK 130 eine Aktion (z.B. Bremsvorgang) einleiten, um das Fahrzeug vor dem Fußgänger anzuhalten. Wir bezeichnen den spätesten Zeitpunkt, zu dem eine Aktion (z.B. Notbremsung) eingeleitet werden kann, um noch vor dem Hindernis anzuhalten, den Last Instant of Action (LIA).
Die folgende Tab. 1 gibt den Bremsweg und die Bremszeit eines PKWs unter normalen Straßenbedingungen an. Unter der Anfangszeit (onset time) wird jenes Zeitintervall verstanden, das vergeht zwischen dem Auftreten eines Hindernisses und dem Beginn des Bremsens. Während der Anfangszeit müssen folgende Aktionen stattfinden:
• Beobachtung des Szenarios
• Analyse des Szenarios
• Festlegung der notwendigen Aktion
• Beginn der Aktion.
Aus der Literatur [8] ist ein typischer Wert für die Anfangszeit des HO 160 eine Sekunde, während für das CS ein Wert von 200 msec angenommen wird. Die Anfangsentfernung in Tab. 1 gibt die Länge des Weges an, die das Fahrzeug während der Anfangszeit zurücklegt. Der Bremsweg BW ist die Summe der Anfangsentfernung und der Entfernung, die notwendig ist, um das Fahrzeug nach Beginn der Bremsung anzuhalten. In der Tabelle bedeutet: AE = Anfangsentfernung; BW = Bremsweg; auto = automatisch. Es wird von folgenden Annahmen ausgegangen: Anfangszeit = manuell 1 sec, automatisch = 0.1 sec.
Speed AE in m manuell AE in m BW in m BW in m Bremszeit in s km/h auto manuelll auto auto
30 8.3 .83 12.1 4.7 1.0
50 14 1.4 24.6 12 1.6
80 22.2 2.2 49.6 29.6 2.6
100 27.8 2.8 70.7 45.6 3.2
130 36.1 3.6 108.6 76 4.1
160 44.4 4.4 154 114 5
Tab. 1: Bremsweg und Bremszeit [9]
Die verbleibende Reaktionszeit VRZ ist das Zeitintervall zwischen der gegenwärtigen, aktuellen Zeit/ Zeitpunkt (jetzt) und dem LIA. Die VRZ ist ein Maß für die Kritikalität des gegenwärtigen Scenarios. Die SFK bestimmt aus der VRZ unter Berücksichtigung der Geschwindigkeit des Fahrzeugs und der gegenwärtigen Fahrbedingungen einen Kritikalitätsindex KI des gegenwärtigen Szenarios. Der normierte KI liegt zwischen 0 und 1, wobei 0 die geringste Kritikalität und 1 die höchste Kritikalität darstellt.
Unter Bezugnahme auf Tab. 1 kann der KI beispielsweise wie folgt festgelegt werden:
> Wenn VRZ > 4* Bremszeit, dann ist KI=0,
> Wenn VRZ < Bremszeit, dann ist KI=1, andernfalls
> KI = (1 - (VRZ - Bremszeit)/ (3*Bremszeit))
Der KI wird von der SFK 130 zyklisch über die Datenleitung 131 an die AST 100 übergeben.
Der HO 160 in Fig.3 beobachtet mit seinen Augen die Umgebung des Fahrzeugs, analysiert das Szenario und gibt taktil seine Stellwerte an die MMl 150. In einem Kraftfahrzeug besteht das MMl im Wesentlichen aus der Bremse, dem Lenkrad und dem Gaspedal. In [7] wird beispielsweise vorgeschlagen, einen Sensor in das Lenkrad einzubauen, der die Kraft misst, mit der der HO das Lenkrad hält. Die MMl übernimmt diese Stellwerte zyklisch und bildet einen Vektor (current control vector CCV), der die vom HO übernommen Stellwerte im gegenwärtigen und den kürzlich vergangenen Zyklen beinhaltet (bei den kürzlich vergange-
nen Zyklen handelt es sich beispielsweise um die letzten 10 Zyklen). Der CCV wird zyklisch an die AST 100 und an die MK 140 übergeben.
Die MK 140 erfasst zyklisch mittels einer Kamera die Visierlinie der Augen des HO 160 (Fahrer), um festzustellen, ob der HO 160 den Fahrweg und den von der SFK 130 empfangenen PCA beobachtet, und ermittelt einen optischen Aufmerksamkeitsindex OAI im gegenwärtigen Zyklus. Der OAI hat den Wert 1, wenn die optische Aufmerksamkeit des HO 160 im gegenwärtigen Zyklus gegeben ist. Wenn der HO 160 nicht auf den Fahrweg schaut oder in einen Sekundenschlaf gefallen ist, so hat OAI den Wert 0, ansonsten einen Wert zwischen 1 und 0. In der Folge speichert die MK 140 den OAI in einem Vektor, um eine Zeitreihe der OAIs in den unmittelbaren vergangenen Zyklen, etwa innerhalb einer Sekunde (der Anfangszeit der Tab. 1) zu bilden, und errechnet aus dieser Zeitreihe, vorzugsweise mittels exponenti- al smoothing, einen, vorzugsweise geglätteten, optischen Aufmerksamkeitsindex OAIgegi, wobei die OAI Werte aus der jüngsten Vergangenheit (z.B. der letzten vergangenen 10 Zyklen) stärker gewichtet sind als die älteren Werte.
In gleicher Weise errechnet die MK 140 in jedem Zyklus aus dem von der MMI 150 empfangenen CCV, vorzugsweise mittels exponential smoothing, einen, vorzugsweise geglätteten, motorischen Aufmerksamkeitsindex MAIgegi.
Der Engagement-Index EI gibt an, in welchem Ausmaß der HO zum gegenwärtigen Zeitpunkt an der Steuerung des Fahrzeugs engagiert ist. EI ist eine Funktion von OAIgegi und MAIgegu Diese Funktion wird in den verschiedenen Verkehrssituationen (Stadtverkehr, Fahren auf der Autobahn) unterschiedlich sein. Eine mögliche Ausprägung dieser Funktion ist in Tab. 2 tabellarisch dargestellt.
MAIgegl 0.0 0.2 0.4 0.6 0.8 1.0
OAIgegl
0.0 0.0 0.1 0.2 0.2 0.3 0.3
0.2 0.0 0.1 0.2 0.3 0.4 0.4
0.4 0.0 0.2 0.3 0.4 0.5 0.5
0.6 0.0 0.2 0.3 0.5 0.6 0.7
0.8 0.0 0.2 0.4 0.5 0.7 0.9
1.0 0.0 0.2 0.4 0.6 0.8 1.0
Tab. 2: Engagement-Index EI als Funktion von OAIgegi und MAIgegi
Der EI ist eine normierte Größe mit Werten zwischen 0 und 1, wobei 0 bedeutet, dass der HO 160 nicht engagiert ist und 1 bedeutet, dass der HO 160 voll engagiert ist. Die zweite Spalte in Tab.2 (MAIgegi = 0.0) behandelt den Fall dass der HO 160 das Geschehen mit weniger oder mehr Aufmerksamkeit verfolgt, jedoch nicht in das Geschehen eingreift. Die MK 140 übermittelt den EI zyklisch über die Datenleitung 141 an die AST 100.
Die AST 100 bekommt in jedem Zyklus einen Satz von Stellwerten für die Aktuatoren und den KI des gegenwärtigen Szenarios von der SFK 130, einen weiteren Satz von Stellwerten für die Aktuatoren von der MMI 150, sowie den aktuellen EI des HO 160 von der MK 140.
Zuerst muss die AST entscheiden, wer im gegenwärtigen Zyklus die Kontrolle über die Aktuatoren ausübt, die SFK 130 oder der HO 160 (über die MMI 150). Wenn EI > KI, dann bekommt der HO 160 die Kontrolle und die AST übernimmt die Stellwerte von der MMI 150. Wenn EI >EIgrenz und der HO 160 hat die Kontrolle im vergangenen Zyklus ausgeübt, dann behält der HO 160 auch die Kontrolle im gegenwärtigen Zyklus. Ellenz ist ein Parameter, der eingeführt wird, um eine Oszillation der Kontrolle zwischen dem HO 160 und der SFK 130 zu verhindern, wenn eine Episode mit einem hohen Engagement des HO 160 abläuft. Wenn EI < Ellenz und KI > EI, dann bekommt die SFK 130 die Kontrolle. In der Folge übergibt die AST 100 die ausgewählten Stellwerte an die Aktuatoren 102.
Ein beispielhafter Wert für Ellenz ist 0,7.
Durch eine klare AUokation der Kontrolle kann in einem SoS das Auftreten von zufälligen negativen emergenten Eigenschaften verhindert und die Sicherheit des Systems erhöht werden. Die vorliegende Erfindung ist daher von großer wirtschaftlicher und gesellschaftlicher Bedeutung.
Das beschriebene Verfahren zur AUokation der Kontrolle in einem SoS kann nicht nur auf autonome Fahrzeuge, sondern auch auf eine Vielzahl von anderen autonomen Vorrichtungen, z.B. der Steuerung von Robotern, angewandt werden.
In [3] ist ein Verfahren offengelegt, wie die von zwei Sensorfusionskomponenten ermittelten Stellwerte fusioniert werden können, im Falle, dass ein Softwarefehler auftritt. Dieses in [3] beschriebene Verfahren wird hier im Folgenden an Hand von Figur 4 erörtert. Es wird angemerkt, dass die im Folgenden zu Figur 4 verwendeten Bezugszeichen teilweise identisch zu jenen aus Figuren 1 bis 3 sind, diese aber nicht unbedingt dieselben Elemente bezeichnen wie jene in Figuren 1 bis 3. Die Bezugszeichen zu Figur 4 sind somit lediglich im Zusammenhang mit Figur 4 zu verstehen:
Das folgende konkrete Beispiel beschreibt dieses Verfahren an Hand eines autonomen Bremssystems in einem Fahrzeug.
Im Juni 2012 hat die NCAP (European New Car Assessment Program) Organisation eine Road- map [4] veröffentlicht, aus der hervorgeht, dass im Jahr 2016 Autonomous Emergency Braking (AEB) Systeme in neuen Kraftfahrzeugen auf breiter Front eingeführt werden sollen. Um die Zuverlässigkeit und Sicherheit von autonomen Bremssystemen verbessern, ist vorgesehen, die die Umgebung des Fahrzeugs beobachtenden Sensoren und die zur Auswertung erforderliche Elektronik auf zwei autarke Fault-Containment Units (FCU) aufzuteilen [2] und die von den beiden unabhängigen FCUs ermittelten Stellwerte derart zu fusionieren, dass das Fahrzeug auch bei Auftreten eines Fehlers in einer FCU schnell in einen sicheren Zustand gebracht werden kann. Unter einer FCU wird ein abgekapseltes Sensor/ Hardware/ Software Subsystem verstanden, wobei die unmittelbaren Auswirkungen eines Fehlers dieses Subsystems (gleichgültig ob es sich um einen Hardware oder Software oder Sensorfehler handelt) auf dieses Subsystem eingegrenzt sind [6, S.136]. Eine FCU ist autark, wenn diese FCU in der Lage ist, die geforderte Funktionalität ohne Bezugnahme auf eine weitere FCU zu erbringen.
Erfindungsgemäß besteht ein AEB System aus den zwei FCUs 110 und 120. Die FCU 110 verfügt über Sensoren (z.B. Kamera, Radar) 111 und 112 zur Beobachtung der Umgebung des Fahrzeugs. Die FCU 120 verfügt über Sensoren 121 und 122. Die Sensoren 111, 112, 121 und 122 werden zyklisch ausgelesen, wobei die Dauer eines Zyklus typischerweise 10 msec beträgt. In der FCU 110 übernimmt die Sensor Fusion Komponente 113 die Sensordaten und errechnet einen Stellwert für die Bremsaktuatoren, wobei der Stellwert 0 bedeutet, nicht zu bremsen, und der Stellwert 2 bedeutet, die maximale Bremskraft zu aktivieren. Analog berechnet die Sensor Fusion Komponente 123 den Stellwert der FCU 120. Die beiden Stellwerte werden über die Datenleitungen 114 und 124 an die intelligente Aktuatorsteuerung (AST) 100 zur Steuerung der Bremsen ausgegeben. Die AST 100 kann auf einer self-checking Hardware exekutiert werden, um einen Hardwarefehler der AST 100 sofort erkennen zu können. Es wird angenommen, dass die relativ einfache Software der AST 100 frei von Entwurfsfehlern ist.
Im fehlerfreien Fall sind die beiden Stellwerte der FCUs 110 und 120 identisch und es ist daher unwesentlich, welcher der beiden Stellwerte von der AST 100 übernommen wird.
Im Fehlerfall werden die beiden Stellwerte der FCUs 110 und 120 unterschiedlich sein. Im Extremfall ermittelt in einem Zyklus FCU 110 den Wert 1 (Vollbremsung) und FCU 120 den Wert 0 (nicht bremsen). Da angenommen wird, dass nur eine FCU fehlerhaft ist, ist einer dieser beiden Werte richtig, der andere falsch. Es ist nicht bekannt, welcher Wert richtig und welcher Wert falsch ist. Wenn der richtige Wert 0 (nicht bremsen) ist, dann kann die Wahl des falschen Wertes 1— nicht notwendige spontane Vollbremsung— zu einem Auffahrunfall durch das folgende Fahrzeug führen. Wenn hingegen der richtige Wert 1 (Vollbremsung) ist, dann führt die Wahl des falschen Wertes 0 wahrscheinlich zu einem Unfall. Um das Risiko einer falschen Wahl zu begrenzen, wird vorgeschlagen, im Fehlerfall (ungleiche Stellwerte der beiden FCUs) durch einen gewichteten Mittelwertalgorithmus einen Stellwert zu errechnen, der aus Sicherheitsüberlegungen die Alternative bremsen stärker gewichtet als die Alternative nicht bremsen.
Weiter wird vorgeschlagen, dass im Fehlerfall (ungleiche Stellwerte) die intelligente AST eine Fehlermeldung im Diagnosespeicher des Fahrzeugs ablegt.
Erfindungsgemäß ermittelt die AST 100 aus den beiden Stellwerten der FCUs 110 und 120 durch Anwendung der folgenden Formel den Stellwert B; des gegenwärtigen Zyklus i
Bi = (g*B gross + Bklein)/(g+l) wobei Bgross der größere der beiden Stellwerte und B n der kleinere der beiden Stellwerte der FCUs 110 und 120 ist. Die Variable g gibt an, mit welchem Gewicht der größere Stellwerte {stärker bremsen) zu berücksichtigen ist im Vergleich zum kleineren Stellwert {weniger stark bremsen).
Im folgenden Beispiel wird g = 3 angenommen, d.h. in dem gewichteten Mittelwertalgorithmus hat der größere Stellwert ein dreimal so großes Gewicht wie der kleinere Stellwert. Durch die stärkere Gewichtung des größeren Stellwerts wird erreicht, dass das Fahrzeug im Fehlerfall schnell in einen sicheren Zustand (beispielsweise in einen abbremsenden oder abgebremsten Zustand oder Stillstand) geführt wird.
Tab. 1: Stellwert als Funktion von Bgross und Bmn, g=3
Das Beispiel mit der Gewichtung g = 3 zeigt, dass im betrachteten Extremfall, d.h. eine FCU verlangt Vollbremsung, die andere nicht bremsen, eine Bremskraft von 75% zur Anwendung gebracht wird. Aus der Tabelle 1 ist auch ersichtlich, dass im fehlerfreien Fall (Diagonale in Tab.l) keine Modifikation des Stellwerts erfolgt.
Zum Unterschied von Systemen der Analogtechnik sind in digitalen Systemen die Auswirkungen eines Fehlers auf das Resultat unvorhersehbar. Um eine extreme, durch einen Fehler hervorgerufene spontane Reaktion des PS (im obigen Beispiel das Kraftfahrzeug) weiter abzufedern, kann der Stellwert Bi im Zyklus i beim plötzlichen Auftreten einer großen
Differenz der errechneten Stellwerten der beiden FCUs durch eine gewichtete Mittelwertbildung aus dem gegenwärtigen Stellwert und dem Stellwert des unmittelbar vorgelagerten Zyklus i-1 weiter korrigiert werden. Dazu wird vorgeschlagen, dass die AST 100 einen korrigierten Stellwert Z wie folgt berechnet:
ZW = (Bi + Bj-i *(Bgroß ~ Bklein))/(1 + Bgroß - Bklein)
Wenn (Β^0β - Bkkin) = 0 (gleiche Steilwerte), dann ist Bikor = Bi, d.h. es erfolgt keine Korrektur. Wenn hingegen (BgWß - Bkkm) = 1 (Extremfall) dann ist Bikor = (Bi + Bj-i)/2, d.h. Bikor nimmt den Mittelwert der beiden letzten Zyklen an. Für alle anderen Werte von (Β^0β - Bkkm) liegt der Wert Bikor zwischen diesen beiden Grenzen. Diese Berechnung des korrigierten Stellwertes Bikor führt zur Abfederung einer spontanen Reaktion, die durch einen Fehler hervorgerufen wurde.
Das vorgeschlagene Verfahren kann in redundanten Systemen mit verhältnismäßig geringem Aufwand realisiert werden und führt zu einer signifikanten Erhöhung der Zuverlässigkeit und Sicherheit von autonomen Steuerungssystemen.
Zitierte Literatur:
[1] US 7,839,868. Kopetz, H. Communication method and System for the transmission of time- driven and event-driven Ethernet messages. Granted November 23, 2010.
[2] Österreichische Patentanmeldung A 201/2013 der Fa. FTS Computertechnik. Verfahren zur Allokation der Kontrolle in einem System-of -Systems. Eingereicht am 14.3. 2013.
[3] Österreichische Patentanmeldung A 198/2013 der Fa. FTS Computertechnik. Verfahren zur Risikobegrenzung von Fehlern in einem sicherheitsrelevanten Steuerungssystem. Eingereicht am 14.3. 2013.
[4] NCAP Rating Group. EURO NCAP Rating Review 2012. Online at:
[5] Özgüner, Ü., et al. System for Safety and Autonomous Behavior in Cars: The DARPA Grand Challenge Experience. Proc. of the IEEE. Vol 95.No. 2. Pp.397-412. 2007.
[6] Kopetz, H., Real-time Systems-Design Principles for Distributed Embedded Applications. Springer Verlag, 2011.
[7] US Patent Application 200432334. Kind, C. Doze-off early Warning System for Automotive and other Applications. US Patent Application 200432334. Feb. 19, 2004.
[8] Strayer, D.L. et al. Profiles in Driver Distraction: Effects of Cell Phone Conversations on Youn- ger and Older Drivers. Human Factors. Vol. 46. No. 4, pp. 640-649. 2004
Autokiste., Brake distance calculator, accessed on Jan 13, 2013 at URL:
Claims
PATENTANSPRÜCHE
\. Vorrichtung zur Steuerung der Bremsen und/ oder Lenkung und/ oder Beschleunigung in einem Kraftfahrzeug, dadurch gekennzeichnet, dass die Vorrichtung eine Anzahl von unterschiedlichen Sensorkomponenten, zwei diversitäre Sensorfusionskomponenten, eine Menschmaschine-Interface-Komponente und eine, vorzugsweise intelligente, Aktuatoren- Steuerungs-Komponente umfasst, wobei jede dieser Komponenten eine Fault-Containment Unit darstellt und über ein TTEthernet Kommunikationsinterface verfügt, und wobei alle Komponente an eine zentrale TTEthernet-Nachrichtenverteilereinheit angeschlossen sind, und wobei die Komponenten ausschließlich unter Verwendung von standardisierten Ethernet Nachrichten miteinander kommunizieren, und wobei an die TTEthernet-Nachrichtenver- teilereinheit eine Diagnoseeinheit zur zeitrichtigen Beobachtung der vermittelten Nachrichten angeschlossen werden kann.
2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass alle Komponenten auf einer Platine angeordnet und die Datenleitungen zwischen den Komponenten und der zentralen Nachrichtenverteilereinheit als Leiterbahnen auf der Platine ausgeführt sind.
3. Vorrichtung nach Anspruch 1 dadurch gekennzeichnet, dass alle Komponenten, mit Ausnahme der Sensorkomponenten, auf einer Platine angeordnet und die Datenleitungen zwischen den Komponenten, insbesondere den Komponenten auf der Platine und der zentralen Nachrichtenverteilereinheit als Leiterbahnen ausgeführt sind.
4. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die zentrale Nachrichtenverteilereinheit und alle Datenleitungen zur zentralen Nachrichtenverteilereinheit redundant ausgelegt sind.
5. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Menschmaschine-Interface-Komponente und die intelligente Aktuatoren-Steuerungs- Komponente sowie die Datenleitung zwischen der Aktuatoren-Steuerungs-Komponente und den Aktuatoren redundant ausgelegt sind.
6. Vorrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Vorrichtung über zwei unabhängige Stromquellen verfügt, wobei jeweils eine erste von zwei
redundanten Komponenten von der ersten Stromquelle versorgt wird und jeweils die zweite Komponente der beiden redundanten Komponenten von der zweiten Stromquelle versorgt wird.
7. Vorrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die beiden Sensorfusionskomponenten diversitär redundant ausgeführt sind.
8. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Sensorkomponenten, zwei Sensorfusionskomponenten, die Monitorkomponente, die Mensch-Maschine-Interface Komponente und die, vorzugsweise intelligente, Aktuatoren- Steuerungs-Komponente ausschließlich mittels standardisierter TTEthernet Nachrichten über eine Nachrichtenverteilereinheit kommunizieren, wobei die Nachrichtenverteilereinheit dazu eingerichtet ist, eine Teilmenge dieser TTEthernet Nachrichten zu kopieren und an eine Diagnoseeinheit zu senden, und wobei die Diagnoseeinheit dazu eingerichtet ist, diese kopierten Nachrichten zu analysieren und zu speichern.
9. Verfahren zur Steuerung der Bremsen und/ oder Lenkung und/ oder Beschleunigung in einem Kraftfahrzeug mit einer Vorrichtung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass eine Anzahl von Sensorkomponenten, zwei Sensorfusionskomponenten, eine Monitorkomponente, eine Mensch-Maschine Interface Komponente und eine intelligente Aktuatoren-Steuerungs-Komponente ausschließlich mittels standardisierter TTEthernet Nachrichten über ein Nachrichtenverteilereinheit kommunizieren, wobei die Nachrichtenverteilereinheit eine Teilmenge dieser TTEthernet Nachrichten kopiert und an eine Diagnoseeinheit sendet, und wobei die Diagnoseeinheit diese kopierten Nachrichten analysiert und speichert.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die Diagnoseeinheit Nachrichten produziert, die das Verhalten jeder Sensorkomponente, jeder der beiden Sensorfusionskomponenten, der Monitorkomponente und der Mensch-Maschine Interface Komponente im Werte- und Zeitbereich simulieren.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP14719190.2A EP2974156B1 (de) | 2013-03-14 | 2014-03-13 | Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen |
| CN201480015202.1A CN105191222A (zh) | 2013-03-14 | 2014-03-13 | 用于机动车辆的自动控制的装置与方法 |
| US14/775,993 US9606538B2 (en) | 2013-03-14 | 2014-03-13 | Device and method for the autonomous control of motor vehicles |
| JP2015561821A JP6442129B2 (ja) | 2013-03-14 | 2014-03-13 | 自動車の自律制御のための装置および方法 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ATA199/2013 | 2013-03-14 | ||
| AT1992013 | 2013-03-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2014138765A1 true WO2014138765A1 (de) | 2014-09-18 |
Family
ID=50548983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/AT2014/050062 WO2014138765A1 (de) | 2013-03-14 | 2014-03-13 | Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9606538B2 (de) |
| EP (1) | EP2974156B1 (de) |
| JP (1) | JP6442129B2 (de) |
| CN (1) | CN105191222A (de) |
| WO (1) | WO2014138765A1 (de) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3285163A1 (de) * | 2016-08-16 | 2018-02-21 | Fts Computertechnik Gmbh | Fehlertolerantes verfahren und vorrichtung zur steuerung einer autonomen technischen anlage mittels diversitärer trajektorenplanung |
| EP3293542A1 (de) * | 2016-09-08 | 2018-03-14 | KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH | Vorrichtung zur erfassung einer fahrzeugumgebung in einem fahrzeug |
| EP3293543A1 (de) * | 2016-09-08 | 2018-03-14 | KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH | Vorrichtung zur erfassung einer fahrzeugumgebung in einem fahrzeug |
| CN108628692A (zh) * | 2017-03-17 | 2018-10-09 | Tttech电脑技术股份公司 | 用于控制自主受控对象的容错方法 |
| US10882451B2 (en) | 2016-09-08 | 2021-01-05 | Knorr-Bremse Systeme Fuer Nutzfahrzeuge Gmbh | Apparatus for providing vehicular environment information |
| DE102017126877B4 (de) | 2016-11-17 | 2023-11-23 | Gm Global Technology Operations, Llc | Kraftfahrzeug |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9454152B2 (en) * | 2013-03-14 | 2016-09-27 | Fts Computertechnik Gmbh | Method for allocating control in a system of systems |
| CN205721346U (zh) * | 2016-04-08 | 2016-11-23 | 同济大学 | 一种基于车载以太网的电动智能汽车星型通信网络系统 |
| AT519164A3 (de) | 2016-08-16 | 2018-10-15 | Fts Computertechnik Gmbh | Fehlertolerantes Verfahren und Vorrichtung zur Steuerung einer autonomen technischen Anlage auf der Basis eines konsolidierten Umweltmodells |
| US10114374B2 (en) * | 2016-11-16 | 2018-10-30 | Baidu Usa Llc | Emergency handling system for an autonomous driving vehicle (ADV) |
| EP3376330B1 (de) * | 2017-03-17 | 2020-11-04 | TTTech Auto AG | Fehlertolerantes verfahren zur erkennung von fehlern in einem elektronischen system zur steuerung eines kontrollierten objektes |
| US10433951B2 (en) * | 2017-05-22 | 2019-10-08 | Rxsight, Inc. | Depth of focus and visual acuity using colorized apodization of intra-ocular lenses |
| WO2018220663A1 (ja) * | 2017-05-29 | 2018-12-06 | 三菱電機株式会社 | 異常判定装置、異常判定方法及び異常判定プログラム |
| CN107643682B (zh) * | 2017-08-23 | 2021-05-07 | 中车青岛四方机车车辆股份有限公司 | 用于切换司控器冗余信号的控制方法和装置 |
| DE102018206712B4 (de) * | 2018-05-02 | 2022-02-03 | Audi Ag | Betriebsverfahren für eine autonom betreibbare Vorrichtung und autonom betreibbare Vorrichtung |
| DK201870684A1 (en) | 2018-08-27 | 2020-05-19 | Aptiv Technologies Limited | PARTITIONED WIRELESS COMMUNICATION SYSTEM WITH REDUNDANT DATA LINKS AND POWER LINES |
| DE102018219246A1 (de) * | 2018-11-12 | 2020-05-14 | Continental Automotive Gmbh | Steuergerätearchitektur für Fahrzeuge |
| CN109606384B (zh) * | 2018-12-29 | 2021-04-20 | 百度在线网络技术(北京)有限公司 | 车辆控制方法、装置、设备和存储介质 |
| FR3107631B1 (fr) * | 2020-02-20 | 2022-09-09 | Psa Automobiles Sa | Procédé et dispositif de gestion de l’état en veille ou éveillé d’un réseau Ethernet dans un véhicule automobile, produit programme d’ordinateur, et véhicule automobile l’incorporant. |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040032334A1 (en) | 2002-08-13 | 2004-02-19 | Ataul Haq | Doze-off early warning system for automotives and other applications |
| EP2073448A1 (de) * | 2007-12-17 | 2009-06-24 | Broadcom Corporation | Verfahren und System für ein zentralisiertes Fahrzeugelektroniksystem mit Ethernet und Audio-Video-Überbrückung |
| EP2209241A2 (de) * | 2009-01-19 | 2010-07-21 | Honeywell International Inc. | Vorrichtung und Verfahren zur cross channel data link (CCDL) |
| US7839868B2 (en) | 2002-06-13 | 2010-11-23 | FTS Computer Technik GmbH | Communication method and system for the transmission of time-driven and event-driven Ethernet messages |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020151297A1 (en) * | 2000-10-14 | 2002-10-17 | Donald Remboski | Context aware wireless communication device and method |
| US7124027B1 (en) * | 2002-07-11 | 2006-10-17 | Yazaki North America, Inc. | Vehicular collision avoidance system |
| US7675919B2 (en) * | 2006-08-02 | 2010-03-09 | Honeywell International Inc. | End system scheduling for switched networks |
| ATE527780T1 (de) * | 2007-04-11 | 2011-10-15 | Fts Computertechnik Gmbh | Kommunikationsverfahren und apparat zur effizienten und sicheren übertragung von tt- ethernet nachrichten |
| EP2421221B1 (de) | 2007-06-11 | 2013-10-23 | FTS Computertechnik GmbH | Verfahren und Architekur zur Sicherung von Echtzeitdaten |
| US8130773B2 (en) * | 2008-06-25 | 2012-03-06 | Honeywell International Inc. | Hybrid topology ethernet architecture |
| US8464102B2 (en) * | 2010-12-23 | 2013-06-11 | GM Global Technology Operations LLC | Methods and systems for diagnosing hardware and software faults using time-stamped events |
| KR101714062B1 (ko) * | 2011-03-22 | 2017-03-08 | 현대자동차주식회사 | 이더넷 기반의 영상 제공 장치 및 그 방법 |
| EP2798495A2 (de) * | 2011-12-27 | 2014-11-05 | FTS Computertechnik GmbH | Verfahren zur zeitrichtigen zusammenführung von ergebnissen von periodisch arbeitenden edv-komponenten |
| US20130179528A1 (en) * | 2012-01-11 | 2013-07-11 | Bae Systems Controls, Inc. | Use of multicore processors for network communication in control systems |
-
2014
- 2014-03-13 JP JP2015561821A patent/JP6442129B2/ja active Active
- 2014-03-13 US US14/775,993 patent/US9606538B2/en active Active
- 2014-03-13 CN CN201480015202.1A patent/CN105191222A/zh active Pending
- 2014-03-13 WO PCT/AT2014/050062 patent/WO2014138765A1/de active Application Filing
- 2014-03-13 EP EP14719190.2A patent/EP2974156B1/de active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7839868B2 (en) | 2002-06-13 | 2010-11-23 | FTS Computer Technik GmbH | Communication method and system for the transmission of time-driven and event-driven Ethernet messages |
| US20040032334A1 (en) | 2002-08-13 | 2004-02-19 | Ataul Haq | Doze-off early warning system for automotives and other applications |
| EP2073448A1 (de) * | 2007-12-17 | 2009-06-24 | Broadcom Corporation | Verfahren und System für ein zentralisiertes Fahrzeugelektroniksystem mit Ethernet und Audio-Video-Überbrückung |
| EP2209241A2 (de) * | 2009-01-19 | 2010-07-21 | Honeywell International Inc. | Vorrichtung und Verfahren zur cross channel data link (CCDL) |
Non-Patent Citations (6)
| Title |
|---|
| ALENA R L ET AL: "Communications for Integrated Modular Avionics", AEROSPACE CONFERENCE, 2007 IEEE, IEEE, PISCATAWAY, NJ, USA, 3 March 2007 (2007-03-03), pages 1 - 18, XP031214239, ISBN: 978-1-4244-0524-4 * |
| AUTOKISTE., BRAKE DISTANCE CALCULATOR, 13 January 2013 (2013-01-13), Retrieved from the Internet <URL:http://www.autokiste.de/service/anhalteweg/index.htm> |
| EURO NCAP RATING REVIEW, 2012, Retrieved from the Internet <URL:http://www.euronca.com/> |
| KOPETZ, H.: "Real-time Systems-Design Principles for Distributed Embedded Applications", 2011, SPRINGER VERLAG |
| ÖZGÜNER, Ü. ET AL.: "System for Safety and Autonomous Behavior in Cars: The DARPA Grand Challenge Experience", PROC. OF THE IEEE., vol. 95, no. 2, 2007, pages 397 - 412 |
| STRAYER, D.L. ET AL.: "Profiles in Driver Distraction: Effects of Cell Phone Conversations on Younger and Older Drivers", HUMAN FACTORS, vol. 46, no. 4, 2004, pages 640 - 649 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3285163A1 (de) * | 2016-08-16 | 2018-02-21 | Fts Computertechnik Gmbh | Fehlertolerantes verfahren und vorrichtung zur steuerung einer autonomen technischen anlage mittels diversitärer trajektorenplanung |
| AT519165A3 (de) * | 2016-08-16 | 2018-10-15 | Fts Computertechnik Gmbh | Fehlertolerantes Verfahren und Vorrichtung zur Steuerung einer autonomen technischen Anlage mittels diversitärer Trajektorenplanung |
| EP3293542A1 (de) * | 2016-09-08 | 2018-03-14 | KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH | Vorrichtung zur erfassung einer fahrzeugumgebung in einem fahrzeug |
| EP3293543A1 (de) * | 2016-09-08 | 2018-03-14 | KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH | Vorrichtung zur erfassung einer fahrzeugumgebung in einem fahrzeug |
| WO2018046228A1 (en) * | 2016-09-08 | 2018-03-15 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Apparatus for sensing a vehicular environment when fitted to a vehicle |
| WO2018046229A1 (en) * | 2016-09-08 | 2018-03-15 | Knorr-Bremse Systeme für Nutzfahrzeuge GmbH | Apparatus for sensing a vehicular environment when fitted to a vehicle |
| CN109690346A (zh) * | 2016-09-08 | 2019-04-26 | 克诺尔商用车制动系统有限公司 | 在安装到车辆时感测车辆环境的装置 |
| US10882451B2 (en) | 2016-09-08 | 2021-01-05 | Knorr-Bremse Systeme Fuer Nutzfahrzeuge Gmbh | Apparatus for providing vehicular environment information |
| DE102017126877B4 (de) | 2016-11-17 | 2023-11-23 | Gm Global Technology Operations, Llc | Kraftfahrzeug |
| CN108628692A (zh) * | 2017-03-17 | 2018-10-09 | Tttech电脑技术股份公司 | 用于控制自主受控对象的容错方法 |
| CN108628692B (zh) * | 2017-03-17 | 2023-09-22 | Tttech汽车股份公司 | 用于控制自主受控对象的容错方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2974156B1 (de) | 2017-05-03 |
| EP2974156A1 (de) | 2016-01-20 |
| JP2016512483A (ja) | 2016-04-28 |
| US20160033965A1 (en) | 2016-02-04 |
| CN105191222A (zh) | 2015-12-23 |
| US9606538B2 (en) | 2017-03-28 |
| JP6442129B2 (ja) | 2018-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2974156B1 (de) | Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen | |
| EP2972607B1 (de) | Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät | |
| DE102014220781A1 (de) | Ausfallsichere E/E-Architektur für automatisiertes Fahren | |
| EP1600831B1 (de) | Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation | |
| EP3532356A1 (de) | Verfahren zum überwachen eines kraftfahrzeugs mit automatisierter fahrfunktion und vorrichtung zum durchführen des verfahrens | |
| EP2972601B1 (de) | Verfahren zur risikoabgrenzung von fehlern in einem redundanten sicherheitsrelevanten steuerungssystem für ein kraftfahrzeug | |
| WO2019068570A1 (de) | Bremssystem für ein kraftfahrzeug und verfahren zum betreiben eines bremssystems | |
| DE102013020177A1 (de) | Kraftfahrzeug | |
| EP3371025B1 (de) | Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug | |
| WO2014180551A1 (de) | Verfahren zum betrieb eines bremssystems beim vollautomatischen fahren und kraftfahrzeug | |
| DE102017218438A1 (de) | Verfahren und System zum Betreiben eines Fahrzeugs | |
| DE102013220526A1 (de) | Ausfallsicherere Sensorarchitektur für Fahrerassistenzsysteme | |
| DE102018220605B4 (de) | Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks | |
| WO2020165058A1 (de) | System und verfahren zum sicheren betreiben eines automatisierten fahrzeugs | |
| DE102017220845A1 (de) | Verlagerung einer Funktion oder Anwendung von einem Steuergerät | |
| DE102019202527A1 (de) | Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems | |
| EP2745205B1 (de) | Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk | |
| EP2726352A1 (de) | Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit | |
| DE102009055044A1 (de) | Verfahren und Vorrichtung zur Unterbindung einer ungewollten Beschleunigung eines Fahrzeuges | |
| DE112016006679B4 (de) | Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung | |
| DE102019203783B4 (de) | Verfahren, Programm und System zur Verwendung von Signalqualitätsanforderungen im Rahmen von Sicherheitskonzepten | |
| DE102009039504A1 (de) | Verfahren zur Fehlererkennung in einem Antriebsstrang | |
| DE102006020793A1 (de) | Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung | |
| DE102021209684A1 (de) | System zum Überwachen einer Wirkkette mit Komponenten zum Ausführen zumindest einer teilweise automatisierten Fahrfunktion eines Kraftfahrzeugs und Verfahren zum Betreiben des Systems | |
| EP4187858A1 (de) | Eine sekundärsteuereinheit für ein fahrzeug mit einer primärsteuereinheit und einem datenübertragungsweg |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 201480015202.1 Country of ref document: CN |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14719190 Country of ref document: EP Kind code of ref document: A1 |
|
| DPE1 | Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101) | ||
| ENP | Entry into the national phase |
Ref document number: 2015561821 Country of ref document: JP Kind code of ref document: A |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 14775993 Country of ref document: US |
|
| REEP | Request for entry into the european phase |
Ref document number: 2014719190 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2014719190 Country of ref document: EP |