WO2020164814A1 - Method and control unit for operating an autonomous vehicle - Google Patents

Method and control unit for operating an autonomous vehicle Download PDF

Info

Publication number
WO2020164814A1
WO2020164814A1 PCT/EP2020/050342 EP2020050342W WO2020164814A1 WO 2020164814 A1 WO2020164814 A1 WO 2020164814A1 EP 2020050342 W EP2020050342 W EP 2020050342W WO 2020164814 A1 WO2020164814 A1 WO 2020164814A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
status data
control unit
autonomous
control
Prior art date
Application number
PCT/EP2020/050342
Other languages
German (de)
French (fr)
Inventor
Steffen BIEL
Markus Birk
Carolin HELLER
Original Assignee
Zf Friedrichshafen Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zf Friedrichshafen Ag filed Critical Zf Friedrichshafen Ag
Publication of WO2020164814A1 publication Critical patent/WO2020164814A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/0055Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot with safety arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/02Control of position or course in two dimensions
    • G05D1/021Control of position or course in two dimensions specially adapted to land vehicles
    • G05D1/0276Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle
    • G05D1/028Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle using a RF signal
    • G05D1/0282Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle using a RF signal generated in a local control room

Definitions

  • the present disclosure relates to the field of autonomous vehicles, in particular a control unit and a method for controlling an autonomous or partially autonomous vehicle in order to achieve or maintain a safe state of the vehicle.
  • Autonomous or semi-autonomous vehicles have sensors which at least detect the area in front of the vehicle in the direction of travel and whose data are evaluated in a control unit by means of suitable software. On the basis of the information obtained through this data processing, a control unit can automatically trigger and carry out braking, speed, distance, compensation and / or evasive controls via appropriate actuators.
  • An autonomously moving vehicle for example a driverless transport system (AGV), an autonomous car, a rail vehicle or a boat should be able to be monitored and remotely controlled at any time with the help of telemetry built into the vehicle or a similar physical radio link, taking functional safety into account.
  • the aim is to protect the vehicle from property damage and its surroundings (e.g. people, obstacles, objects or other vehicles) from damage.
  • AEBS Advanced Emergency Braking System
  • the present invention was developed with regard to the problematic described above, and it is the object of the present invention to realize a secured remote control for vehicles.
  • control unit according to claim 1 the control system according to claim 8, the control system according to claim 10, and the method for controlling an autonomous or partially autonomous vehicle according to claims 1 2 and 13. Further advantageous embodiments of the invention emerge from the subclaims Un and the following description of preferred exemplary embodiments of the present invention.
  • the exemplary embodiments show a control unit for an autonomous or partially autonomous vehicle, comprising a processor which is designed to receive actual status data relating to the vehicle via an interface to a vehicle communication network, via an interface to a radio link from a control system target status data or to receive control commands; to determine a deviation between the target status data and the actual status data; and based on the deviation between the target status data and the actual status data to control one or more vehicle components in order to achieve or maintain a safe status of the vehicle.
  • a control unit for an autonomous or partially autonomous vehicle comprising a processor which is designed to receive actual status data relating to the vehicle via an interface to a vehicle communication network, via an interface to a radio link from a control system target status data or to receive control commands; to determine a deviation between the target status data and the actual status data; and based on the deviation between the target status data and the actual status data to control one or more vehicle components in order to achieve or maintain a safe status of the vehicle.
  • the vehicle can in particular be a driverless autonomous vehicle or a partially autonomous vehicle.
  • it can be a land, air or water vehicle, for example a driverless transport system (AGV), an autonomous car, a rail vehicle, a drone or a boat.
  • a state of the vehicle can in particular be understood to mean its position, location, direction of movement and speed.
  • the condition of the vehicle can, for example, relate to the distance above ground.
  • CPU central processing unit
  • the acquisition, checking and processing of the actual status data is preferably carried out in real time.
  • vehicle data e.g. CAN or camera data
  • connection between the control system and the vehicle can be secured separately / redundantly and the vehicle can be backed up to one immediately after an emergency has occurred, for example in the event of the radio connection being broken, a faulty vehicle status or faulty control data, or if a hazard is detected State to be transferred.
  • the processor of the control unit is also designed to send the actual status data to the control system via the radio link.
  • the control unit enables secure transmission of vehicle status data (e.g. CAN data) and monitoring data via the radio link.
  • vehicle status data e.g. CAN data
  • monitoring data via the radio link.
  • the actual status data sent to the control system can include image data that were captured with an image sensor integrated in the vehicle.
  • the actual status data can include, for example, a position, a speed, a steering angle, a yaw angle speed, a yaw rate, a position angle, a position angle acceleration, an acceleration and / or a transverse acceleration, or data from environment sensors.
  • the processor of the control unit can be designed to receive image data relating to a vehicle environment from an optical sensor integrated in the vehicle.
  • the data supplied by the optical sensor can be processed and prepared by means of image processing and compared with predetermined image data in order to infer a critical driving situation.
  • the optical cal sensor can be a camera or an infrared camera.
  • the processor of the control unit can be designed to detect a direction of movement of the vehicle. In this way, for example, an estimate can be made as to whether a predefined position range will be left if the current direction of movement is maintained. This information can be used to determine the current position of the vehicle when approaching the limits of the predetermined position range with a higher position determination frequency and to compare it with a predetermined target position. Thereby, a defective vehicle condition (defective position) can be detected with a minimum delay.
  • control unit can be designed to recognize a critical driving situation on the basis of a yaw rate and / or a lateral acceleration of the vehicle detected by means of a sensor.
  • the actual state data can also include an actual trajectory and the control unit can be designed to recognize an error state on the basis of a comparison with a desired trajectory.
  • control unit can be designed to receive information about a drive energy store and about the drive unit (e.g. functional information). Based on this information, the control unit can determine whether the achievement of the specified goal can be ensured. If this is not the case, a control command can be generated in order to bring the vehicle into a safe state.
  • the target status data can include a target position, a target orientation or control commands.
  • the target state of the vehicle can be defined by a target position in a Cartesian coordinate system (x, y, z) and by a target orientation of the vehicle described by a position angle (roll, pitch, yaw).
  • the target status data can include a model-based image and the processor can be designed to recognize the discrepancy between the specified target status data and the actual status data on the basis of a model-based plausibility check.
  • the processor of the control unit can also be designed to evaluate time stamps that are received with the target status data. Using the time stamps, the control unit can recognize the point in time for which a control command was provided and, if necessary, discard or correct commands in order to compensate for a brief failure of the radio link.
  • the target status data that are received from the control system by the control unit according to the present invention can include information that defines a safe driving area. If the radio connection to the control system breaks down, the vehicle can continue to move in the safe driving area.
  • the exemplary embodiments also show a control system for an autonomous or partially autonomous vehicle, comprising the control unit as described above, and an emergency stop control unit which is designed to send an activation signal for a safe condition of the vehicle via a second radio link received, and to control one or more vehicle components in response to the activation signal so that a safe state of the vehicle is achieved.
  • a safe state of an autonomous vehicle is achieved without the involvement of a human driver using redundant and thus highly available systems.
  • the exemplary embodiments also show a vehicle, comprising a control unit or a control system as described above.
  • the exemplary embodiments also show a control system for an autonomous or partially autonomous vehicle, comprising a processor which is designed to: send target status data via a radio link to a control unit of an autonomous or partially autonomous vehicle; To receive actual status data over the radio link from the control unit of the autonomous or semi-autonomous vehicle; to determine a discrepancy between the target status data and the actual status data; and based on the deviation between the target status data and the actual status data, to control the control unit of the autonomous or semi-autonomous vehicle via the radio link in order to achieve or maintain a safe status of the vehicle.
  • the processor of the control system can also be designed to control an emergency stop control unit in the autonomous or partially autonomous vehicle via a second radio link based on the deviation between the target status data and the actual status data or on the basis of a manual command in order to control the vehicle to transfer to a safe state.
  • the exemplary embodiments also show a method for controlling an autonomous or semi-autonomous vehicle, comprising the steps of: receiving, via an interface to a vehicle communication network, actual status data relating to the vehicle, receiving, via an interface to a radio link, from a control system from Target status data or control commands; Determining a discrepancy between the target status data and the actual status data; and control based on the deviation between the target status data and the Actual status data from one or more vehicle components in order to achieve or maintain a safe status of the vehicle.
  • the exemplary embodiments also show a method for managing an autonomous or partially autonomous vehicle, comprising the steps of: sending target status data via a radio link to a control unit of an autonomous or partially autonomous vehicle; Receiving actual status data via the radio link from the control unit of the autonomous or semi-autonomous vehicle; Be agree a deviation between the target status data and the actual status data; and control, based on the deviation between the target status data and the actual status data, from the control unit of the autonomous or partially autonomous vehicle via the radio link in order to achieve or maintain a safe status of the vehicle.
  • the method can further include the step of activating, based on the discrepancy between the target status data and the actual status data or on the basis of a manual command, an emergency stop control unit in the autonomous or partially autonomous vehicle via a second radio link to the vehicle to transfer to a safe state.
  • FIG. 1 is a block diagram schematically showing the configuration of an autonomous vehicle according to an embodiment of the present invention
  • FIG. Figure 2 shows an autonomous vehicle according to the invention in communication via a radio link with an external server called a control room;
  • FIG. 3 is a block diagram showing an exemplary configuration of the safety control unit 20;
  • FIGs. 4a, b and c illustrate an embodiment of a method according to the present invention, FIG. 4a shows the steps performed in the control room server, FIG. 4b shows the steps that are carried out in the safety control unit of the vehicle and FIG. Figure 4c shows the steps performed in the emergency stop control unit;
  • FIG. 5a shows a further embodiment of a method according to the present invention, showing the steps carried out in the control room server
  • FIG. Fig. 5b shows a further embodiment of a method according to the present invention, showing the steps carried out in the control room server;
  • FIG. 6a shows an embodiment of the transmission of control commands from the control station to the safety control unit
  • FIG. 6b shows a further embodiment of the transmission of control commands from the control stand to the safety control unit.
  • FIG. 1 is a block diagram schematically showing the configuration of an autonomous vehicle 10 according to an embodiment of the present invention.
  • the autonomous vehicle 10 comprises several electronic components which are connected to one another via a vehicle communication network 28.
  • the vehicle communication network 28 can, for example, be a standard vehicle communication network built into the vehicle, such as a CAN bus (controller area network), a LIN bus (local interconnect network), a LAN bus (local area network), a MOST bus and / or a FlexRay bus (registered trade mark) or the like.
  • the autonomous vehicle 10 comprises a control unit 12 (ECU 1) for a braking system.
  • the braking system refers to the components that enable the vehicle to brake.
  • the autonomous one Vehicle 10 further includes a control unit 14 (ECU 2) that controls a drive train.
  • the drive train refers to the drive components of the vehicle.
  • the drive train can include an engine, a transmission, a drive / propeller shaft, a differential, and a final drive.
  • the autonomous vehicle 10 further includes a control unit 16 (ECU 3) that controls a steering system.
  • the steering system refers to the components that enable directional control of the vehicle.
  • the control units 12, 14 and 16 can also receive vehicle operating parameters from the above-mentioned vehicle subsystems, which these record by means of one or more vehicle sensors.
  • Vehicle sensors are preferably those sensors that detect a state of the vehicle or a state of vehicle parts, in particular their state of movement.
  • the sensors may include a vehicle speed sensor, a yaw rate sensor, an acceleration sensor, a steering wheel angle sensor, a vehicle load sensor, temperature sensors, pressure sensors, and the like.
  • sensors can also be arranged along the brake line in order to output signals that indicate the brake fluid pressure at various points along the hydraulic brake line. Other sensors in the vicinity of the wheel can be provided, which detect the wheel speed and the brake pressure that is on the
  • the vehicle sensor system of the autonomous vehicle 10 also includes a satellite navigation unit 24 (GNSS unit).
  • GNSS stands for all global navigation satellite systems (GNSS), such as GPS, A-GPS, Galileo, GLONASS ( Russia), Compass (China), IRNSS (India) and the like.
  • the autonomous vehicle 10 further comprises one or more sensors which are designed to detect the surroundings of the vehicle, the sensors being mounted on the vehicle and recording images of the surroundings of the vehicle or to detect objects or conditions in the surroundings of the vehicle.
  • the environment sensors 26 include in particular cameras, radar sensors, lidar sensors, ultrasonic Sensors or the like.
  • the environment sensors 26 can be arranged inside the vehicle or outside the vehicle (z. B. on the outside of the vehicle).
  • a camera can be provided in a front area of the vehicle 10 for recording images of an area in front of the vehicle.
  • the autonomous vehicle 10 further comprises an autonomous driving control unit 18 (ECU 4).
  • the control unit for autonomous driving 18 is designed to control the autonomous vehicle 10 in such a way that it can act entirely or partially without the influence of a human driver.
  • the control unit for autonomous driving 18 controls one or more vehicle subsystems while the vehicle is operated in the autonomous mode, namely the braking system 12, the drive system 14 and the steering system 16.
  • the control unit for autonomous driving 18 can, for example, via the vehicle communication network 28 with the correspond to the control units 12, 14 and 16 communicate.
  • the control unit for autonomous driving 18 comprises in particular an image processing system for carrying out image processing processes.
  • the image processing processes are, for example, the processing of image data from the surroundings sensors 26, for example image data of an image of the area in front of the vehicle recorded by a camera in the direction of travel.
  • the control unit for autonomous driving 18 determines, on the basis of inputs such as data about a predetermined route, of data from the satellite navigation unit, of environmental data recorded by environmental sensors, and of by means of the vehicle sensors detected vehicle operating parameters that are fed to the control unit 18 by the control units 12, 14 and 16, parameters for the autonomous operation of the vehicle (for example, target speed, target torque, steering process and the like).
  • the parameters can be used to control aspects of the vehicle subsystems, including the drive train, braking system and steering system, as well as auxiliary behavior (e.g. switching on the lights).
  • the autonomous vehicle 10 also includes a safety control unit (safety ECU) 20, which is used to keep the vehicle in a safe state or to bring it into a safe state.
  • the safety control unit 20 is a system-independent control unit in which vehicle data (for example CAN or camera data) are recorded, checked and processed in real time.
  • vehicle data for example CAN or camera data
  • the safety control unit 20 is also designed to pass on recorded data to a control station via a radio link (see FIG. 2) and to receive setpoint values or control commands from the control station.
  • the safety control unit 20 is configured in such a way that when an error state is detected it generates control commands based on the recorded vehicle data in order to bring the vehicle into a safe state.
  • the structure and functionality of the safety control unit 20 are shown in the exemplary embodiments in FIG. 2, FIG. 3, FIG. 4b and FIG. 5 described in more detail.
  • the autonomous vehicle 10 may further include an emergency stop control unit 30.
  • the emergency stop control unit 30 is designed in such a way that it can be connected to an external central computer called a control station (hereinafter "server") via a radio link.
  • server a control station
  • v 0 km / h and last successfully transmitted steering angle, see above
  • the input interface can, for example, include keyboards, switches, touch-sensitive screens (touchscreen), eye trackers and the like.
  • FIG. 2 shows an autonomous vehicle 10 according to the invention, which is connected via a radio link to an external central computer (hereinafter “server”) 100 referred to as a control station.
  • server an external central computer
  • the autonomous vehicle 10 comprises in particular an autonomous control unit (ECU 4) 18, a safety control unit (Safety-ECU) 20 and an emergency-off control unit (Notaus-ECU) 30.
  • ECU 4 autonomous control unit
  • Safety-ECU safety control unit
  • Notaus-ECU emergency-off control unit
  • a control station 100 e.g initiated by a control center employee or a software control system
  • a first radio connection 37 to the vehicle 10 is established.
  • the radio module 34 integrated in the vehicle 10 establishes a connection to a system-independent safety ECU 20, in which vehicle data (e.g. CAN or camera data) are recorded, checked and processed in real time.
  • vehicle data e.g. CAN or camera data
  • the safety ECU 20 is designed to communicate with the control center 100 via the radio module 34.
  • the safety ECU 20 is designed in such a way that it receives data such as target status data or control commands from the control center and transmits data such as actual status data (camera images, position, speed and the
  • the control center 100 comprises a central computer (server) 110 and a communication interface, in the example shown, a radio module 130.
  • the control center is designed to compare the actual current status data (actual status data) of the vehicle with specified target status data and to control the safety control unit 20 of the vehicle 10 based on a discrepancy between the target status data and the actual status data in order to achieve or maintain a safe status of the vehicle 10.
  • the control center is also designed to transmit an activation signal for a safe state of the vehicle via a second radio link 38 to an emergency stop control unit 30 in the vehicle if the actual status data of the vehicle deviate from the specified target status data, such as this in Fig. 4a and 5 is described by way of example.
  • the actual status data are hereby transmitted from the safety ECU 20 of the vehicle 10 via the first communication interface 34 to the control center server 110.
  • the control station is also designed to transmit an activation signal for a safe condition of the vehicle to the emergency stop control unit 30 in the vehicle via the second radio connection 38 when the radio connection with the safety control is broken. If communication with the safety controller via the first radio link 37 fails, it is still possible to activate a safe state in the vehicle via the second radio link 38.
  • a radio connection to the vehicle 10 is thus also established via a second system that is independent of the safety ECU 20.
  • the vehicle 10 can be brought into a safe state by actuating an emergency stop switch.
  • An employee in the control center can e.g. operate a hand transmitter.
  • the control system can automatically recognize that the target specifications are incorrectly interpreted or implemented by the vehicle and then activate the emergency stop switch (see FIG. 4a and the corresponding description).
  • a hybrid communication system can advantageously be used for communication between the vehicle 10 and the control center 100.
  • the communication between the vehicle 10 and the control center can, for example, through the joint integration of ad-hoc-based telecommunications standards according to IEEE 802.11, ETSI ITS-G5 in the 5.9 GHz range and the available standards for fully digital mobile networks, such as 3GPP Long Term Evolution (LTE) in the 800 MHz, 1800 MHz and 2600 MHz ranges.
  • LTE Long Term Evolution
  • the two radio links 37, 38 preferably use different che technologies, for example different frequency bands, different transmission rates, or the like.
  • the safety ECU 20 is designed to record vehicle state parameters (e.g. CAN or camera data) in real time, process them and initiate a corresponding vehicle reaction when an error state is detected, so that the vehicle automatically switches to a safe state brings.
  • vehicle state parameters e.g. CAN or camera data
  • the safety ECU 20 is designed in particular to recognize, for example by comparing the actual status data with specified target status data, that an error status is present and in this case to report an instruction or an instructive action back to the autonomous control unit 18 in order to Put the vehicle in a safe condition.
  • the safety ECU 20 is configured in particular in such a way that it detects deviations in the control system by comparing target and actual status data, for example between target and actual position.
  • Bringing the vehicle to a safe state can include, for example, one or more of the following measures: reducing the current speed, braking the vehicle with a maximum possible braking force, increasing safety distances, changes in the planning and execution of driving maneuvers (e.g. increased curve radii ) and stopping the vehicle in a safe place (e.g. hard shoulder of the motorway, side of the road, parking lot).
  • a safe place e.g. hard shoulder of the motorway, side of the road, parking lot.
  • the safety control unit 20 can request the last control command from the control center again.
  • other measures are conceivable, all of which aim to protect the vehicle from damage to property and its surroundings (e.g. people, obstacles, objects or other vehicles) from damage.
  • the safety ECU 20 can also be designed to provide an avoidance or attenuation reaction of the vehicle to one or more predefined error states.
  • the predefined error states can correspond to critical driving situations or driving events that represent an impending safety risk. If the autonomous vehicle is controlled as expected, it may be that such conditions or events do not occur or only occur very rarely, so that the final control of the vehicle lies solely with the autonomous control unit 18, which enables the autonomous operation. However, if the safety ECU 20 detects that the target specifications are incorrectly interpreted or implemented by the vehicle, the safety ECU can determine the vehicle behavior independently of the control unit 18 for autonomous driving, for example by directly addressing vehicle actuators , or the control unit 18 makes specifications for autonomous driving, which these must be implemented.
  • the safety ECU can be designed, for example, by comparing the actual status data with specified target status data, a discrepancy between the data (for example, a safety distance that is too small) and thus a critical driving situation, for example an impending collision with a vehicle ahead or a stationary obstacle, and in this case autonomously initiate an emergency braking process with a maximum possible braking force or a maximum possible deceleration of the own vehicle in order to put the vehicle in a safe state or at least to reduce the consequences of a possible collision.
  • a critical driving situation for example an impending collision with a vehicle ahead or a stationary obstacle
  • the safety ECU 20 is also designed to receive status data from the autonomous control unit via the vehicle communication bus (28 in FIG. 1) and / or from other vehicle components via the vehicle communication network 28.
  • the safety ECU 20 can in particular be designed to receive inputs from the autonomous control unit 18.
  • the inputs provided by the autonomous control unit 18 can correspond, for example, to a current position of the vehicle detected by the sensor unit 26, a speed, an acceleration, a steering angle and the like.
  • the safety ECU 20 can also receive this information directly from the respective vehicle components.
  • the safety ECU 20 can determine or retrieve the current status data regularly at a predetermined frequency.
  • the status data acquisition frequency can vary depending on the vehicle speed, e.g. B. the status data determination frequency can increase with increasing speed.
  • safety ECUs can also be provided in the vehicle in order to implement a failover or a bypass of the autonomous control system (ECU4).
  • ECU4 autonomous control system
  • the functionality of the safety ECU described here and the functionality of the control unit 18 for autonomous driving can also be implemented together in a common control unit.
  • FIG. 3 is a block diagram showing an exemplary configuration of the safety ECU (safety ECU) 20.
  • the safety ECU can, for example, be a control device (electronic control unit ECU or electronic control module ECM).
  • the safety ECU includes a processor 40.
  • the processor 40 can be, for example, a computing unit such as a central processing unit (CPU) that executes program instructions.
  • the safety ECU 20 further includes a memory and an input / output interface.
  • the memory can consist of one or more non-transitory computer-readable media and comprises at least a program storage area and a data storage area.
  • the program memory area and the data memory area can comprise combinations of different types of memory, for example read-only memory 43 (ROM) and random access memory 42 (RAM) (z. B.
  • the safety ECU can include an external storage drive 44, such as an external hard disk drive (HDD), a flash memory drive or a non-volatile solid-state drive (SSD).
  • the safety ECU 20 further comprises a communication interface 45 via which the control unit can communicate with the vehicle communication network (28 in FIG. 1).
  • Step S400 sends the control center via a first radio link (37 in FIG. 2) a target position to the safety ECU (20 in FIG. 2) of the vehicle (see FIG. 4b for the use of this information by the safety ECU) .
  • Step S402 the control center calls up an actual position from the safety ECU of the vehicle via the first radio link.
  • step S404 the control center checks whether the actual position has been received from the safety ECU or not.
  • step S406 it is determined whether the difference between the target position and the actual position exceeds a predetermined threshold value S or not. It is determined that the difference between the target position and the actual position is the specified
  • step S408 an activation signal for a safe state is transmitted to the emergency stop control unit (30 in FIG. 2) of the vehicle via a second radio link (38 in FIG. 2). The steps performed in the emergency stop control unit are described below with reference to FIG. 4c.
  • step S404 If no actual position was received by the safety ECU in step S404, for example in the event of a break in the radio connection between the vehicle and the control center, the process goes directly to step S408 and an activation signal for a safe state is sent directly to the Transfer the emergency stop control unit of the vehicle.
  • the comparison of the target and actual state of the vehicle can be done with the help of a classic "WatchDog" functionality, for example.
  • a processor (40 in FIG. 3) of the safety ECU executes, for example, by a processor (40 in FIG. 3) of the safety ECU.
  • the safety ECU sends the actual position of the vehicle to the control room server via the first radio link (cf. step S402 in FIG. 4a).
  • the safety ECU receives the predefined setpoint position from the control room server via the first radio link (cf. step S400 in FIG. 4a).
  • a step S454 it is determined whether the difference between the target position and the actual position exceeds a predetermined threshold value S or not. It is determined that the difference between the target position and the actual position is the specified
  • step S456 the safety ECU controls the autonomous control unit of the vehicle in such a way that the vehicle is brought into a safe state.
  • the emergency stop control unit determines whether or not an activation signal for a safe state of the vehicle has been received from the control room server (cf. step S408 in FIG. 4a). If it is determined that no activation signal for a safe condition of the vehicle has been received, the process is restarted. If, on the other hand, it is determined that an activation signal for a safe state of the vehicle is received the emergency stop control unit controls the autonomous control unit of the vehicle in such a way that the vehicle is brought into a safe state.
  • FIG. 5a shows a further embodiment of a method according to the present invention, showing the steps that are carried out in the control room server.
  • the control room server determines a target trajectory for the vehicle.
  • the control center calls up an actual trajectory from the safety ECU of the vehicle via the first radio link.
  • the control center also receives camera images from the safety ECU of the vehicle via the first radio link.
  • the camera images are visualized together with the target and actual trajectories and, for example, are displayed on a screen. In this way, a control center employee can conveniently compare the actual vehicle status with the target status.
  • the exemplary embodiment illustrated in FIG. 5a is thus used to check the plausibility of the vehicle state from camera images in which the target and actual trajectories of the vehicle are visualized.
  • FIG. 5b shows a further embodiment of a method according to the present invention, showing the steps that are carried out in the control room server.
  • the control center server determines a target position and a target orientation (heading) for the vehicle.
  • a model-based determination of an image of the surroundings takes place on the basis of the target position and the target orientation.
  • the image is transmitted to the safety ECU of the vehicle. In this case, a model-based image of the vehicle environment is generated that corresponds to the target specifications of the control center. This image is transmitted from the control center to the safety ECU.
  • This image transmission enables the plausibility of the vehicle-internal localization to be checked, for example by comparing the model-based image received from the control center with one or more images from the surroundings sensors (26 in FIG. 1), for example a camera.
  • the vehicle status can also be compared with the aid of a model-based plausibility check.
  • street, building and landscape models can be used as they are known to those skilled in the art from navigation systems.
  • FIG. 6a shows an embodiment of the transmission of control commands from the control stand to the safety ECU.
  • the control command contains a time stamp 7:52:20, which specifies the time for which the control command is intended.
  • the Safety-ECU can recognize the point in time for which a control command was intended and, if necessary, discard or correct commands in order to compensate for the brief failure of the radio link. Alternatively or additionally, positioning data can also be transmitted in this way.
  • FIG. 6b shows a further embodiment of the transmission of control commands from the control station to the safety ECU.
  • a "current” parameter indicates that this is a currently valid control command.
  • a "previous” parameter indicates that this control command is a control command immediately preceding the current control command, ie the control command last sent by the control center.
  • the Safety-ECU can recognize whether a consistent reception of control commands is taking place or whether control commands have possibly been lost due to transmission errors.
  • control commands could also be provided with sequential numbers and the safety ECU could draw such conclusions based on the numbers of the commands received.
  • positioning data can also be transmitted in this way.
  • the safety control unit 20 can furthermore be designed in such a way that it outputs an error on the basis of a predefined threshold value. If the deviation from an actual value to a previously received control command is above a defined threshold, then there is most likely a transmission error (e.g. steering angle previously 90 ° left, new steering angle 90 ° right). This situation can then be resolved by requesting the last control command again.
  • a transmission error e.g. steering angle previously 90 ° left, new steering angle 90 ° right
  • control commands or setpoints from the control station to the safety control unit or of sensor data and vehicle information from the safety ECU to the control station could be transmitted and validated with the help of BlockChain technology.
  • the control system defines a safe driving area (“Safety Area”) and transmits it to the vehicle.
  • This transmission of a safety area by the control system enables certain paths to be blocked or restricted by the control system, for example.
  • the definition of a virtual boundary can either be defined by the control system as a function of the position via GNSS technology (or other radio technologies such as WLAN or UWB) or it is dependent on environmental sensors that are built into the infrastructure of the environment. If the radio connection to the control room breaks down, the vehicle may continue to move in the given safety area. If the radio link fails over a longer period of time, further control can be implemented in a cascade-like manner by comparing it with vehicle data that has already been transmitted, including an emergency stop.
  • the target position (or target positions) specified by the safety area from the control center is then compared with the vehicle-internal calculation (predicted position). If, on the basis of a deviation between the target and the prediction, it is recognized that the vehicle is leaving the safety area, the vehicle switches off automatically. With this alternative, the wireless emergency stop switch can be saved if necessary.
  • a safety area can be dynamically defined around the vehicle itself.
  • virtual boundaries can be set up around the vehicle, for example with the aid of GNSS technology or data from environment sensors.
  • a safety area located directly in front of the vehicle can, in particular, be blocked completely or broken down into partial areas for other vehicles. In this way, for example, a collision with other vehicles can be avoided.
  • Such a dynamic safety area (virtual boundary) around the vehicle itself can also be monitored by the environment sensors on the vehicle. In the safety area, for example, obstacles, objects or other vehicles can be listed.
  • the safety area or its sub-areas can also be used to trigger user-defined warning messages, e.g. information about speed limits or other safety instructions.
  • Safety-ECU Safety-ECU
  • Radio module of the emergency stop control unit first radio connection

Abstract

A control unit (20) for an autonomous or partly autonomous vehicle (10), comprising a processor (40) that is designed to obtain actual state data regarding the vehicle (1) via an interface (45) to a vehicle communication network (28) and to receive setpoint state data or control commands from a management system (100) via an interface (47) to a radio connection (37); to determine a deviation between the setpoint state data and the actual state data; and to actuate one or more vehicle components (12, 14, 16, 18) based on the deviation between the setpoint state data and the actual state data in order to achieve or to maintain a safe state of the vehicle (10).

Description

Verfahren und Steuereinheit zum Betreiben eines autonomen Fahrzeugs Method and control unit for operating an autonomous vehicle
TECHNISCHES GEBIET TECHNICAL AREA
Die vorliegende Offenbarung betrifft das Gebiet der autonomen Fahrzeuge, insbe sondere eine Steuereinheit und ein Verfahren zum Steuern eines autonomen oder teilautonomen Fahrzeugs, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten. The present disclosure relates to the field of autonomous vehicles, in particular a control unit and a method for controlling an autonomous or partially autonomous vehicle in order to achieve or maintain a safe state of the vehicle.
TECHNISCHER HINTERGRUND TECHNICAL BACKGROUND
Autonome oder teilautonome Fahrzeuge weisen Sensoren auf, die zumindest das Vorfeld des Fahrzeugs in Fahrtrichtung sensorisch erfassen und deren Daten in einer Steuereinheit mittels geeigneter Software ausgewertet werden. Auf Grundlage der durch diese Datenverarbeitung gewonnenen Informationen kann eine Steuereinheit über entsprechende Aktuatoren Brems-, Geschwindigkeits-, Abstands-, Kompensati- ons- und/oder Ausweichregelungen selbsttätig auslösen und durchführen. Autonomous or semi-autonomous vehicles have sensors which at least detect the area in front of the vehicle in the direction of travel and whose data are evaluated in a control unit by means of suitable software. On the basis of the information obtained through this data processing, a control unit can automatically trigger and carry out braking, speed, distance, compensation and / or evasive controls via appropriate actuators.
Ein sich autonom bewegendes Fahrzeug, beispielsweise ein fahrerloses Transport system (FTS), ein autonomer PKW, ein Schienenfahrzeug oder ein Boot sollte mit Hilfe einer am Fahrzeug verbauten Telemetrie oder einer ähnlichen physikalischen Funkverbindung unter Berücksichtigung der funktionalen Sicherheit jederzeit über wacht und ferngesteuert werden können. Das Fahrzeug soll so vor Sachbeschädi gung und dessen Umgebung (z.B. Personen, Hindernisse, Objekte oder andere Fahrzeuge) vor Schaden geschützt werden. An autonomously moving vehicle, for example a driverless transport system (AGV), an autonomous car, a rail vehicle or a boat should be able to be monitored and remotely controlled at any time with the help of telemetry built into the vehicle or a similar physical radio link, taking functional safety into account. The aim is to protect the vehicle from property damage and its surroundings (e.g. people, obstacles, objects or other vehicles) from damage.
Veranlasst durch die EG-Verordnung Nr. 661/2009 werden zunehmend als AEBS (Advanced Emergency Braking System) bekannte Notbremssysteme in Nutzfahrzeu gen eingesetzt, die beim Vorliegen bestimmter Sensordaten ein Warnsignal ausge ben und erforderlichenfalls autonom eine Notbremsung mit einer größtmöglichen Verzögerung des Fahrzeugs einleiten, um eine Kollision mit einem anderen Fahr zeug, einer Person oder einem stationären Hindernis zu vermeiden, oder zumindest um die Folgen einer bevorstehenden Kollision zu mindern. Der Betrieb eines autonomen Fahrzeugs sollte auch in unvorhergesehenen Situatio nen und bei Auftreten von technischen Fehlern, Fehlverhalten anderer Verkehrsteil nehmer und schlechten Witterungsbedingungen möglichst sicher sein. Die Erhaltung eines sicheren Zustandes zu jedem Zeitpunkt einer Fahrt ist notwendig, damit keine Gefahr vom Fahrzeug für die Passagiere oder andere Verkehrsteilnehmer ausgeht. As a result of the EC Regulation No. 661/2009, emergency braking systems known as AEBS (Advanced Emergency Braking System) are increasingly being used in commercial vehicles, which when certain sensor data are available issue a warning signal and, if necessary, autonomously initiate emergency braking with the greatest possible deceleration of the vehicle, to avoid a collision with another vehicle, a person or a stationary obstacle, or at least to reduce the consequences of an impending collision. The operation of an autonomous vehicle should be as safe as possible even in unforeseen situations and when technical errors occur, incorrect behavior of other road users and bad weather conditions. Maintaining a safe condition at all times during a journey is necessary so that the vehicle does not pose any danger to passengers or other road users.
Die vorliegende Erfindung wurde hinsichtlich der vorstehend beschriebenen Proble matik entwickelt, und es ist Aufgabe der vorliegenden Erfindung, eine abgesicherte Fernbedienung für Fahrzeuge zu realisieren. The present invention was developed with regard to the problematic described above, and it is the object of the present invention to realize a secured remote control for vehicles.
Diese Aufgabe wird durch die Steuereinheit nach Anspruch 1 , das Steuerungssystem nach Anspruch 8, das Leitsystem nach Anspruch 10, und die Verfahren zur Steue rung eines autonomen oder teilautonomen Fahrzeugs nach Anspruch 1 2 und 13 ge löst. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Un teransprüchen und der folgenden Beschreibung bevorzugter Ausführungsbeispiele der vorliegenden Erfindung. This object is achieved by the control unit according to claim 1, the control system according to claim 8, the control system according to claim 10, and the method for controlling an autonomous or partially autonomous vehicle according to claims 1 2 and 13. Further advantageous embodiments of the invention emerge from the subclaims Un and the following description of preferred exemplary embodiments of the present invention.
Die Ausführungsbeispiele zeigen eine Steuereinheit für ein autonomes oder teilauto nomes Fahrzeug, umfassend einen Prozessor, der dazu ausgelegt ist, über eine Schnittstelle zu einem Fahrzeugkommunikationsnetz Ist-Zustandsdaten bezüglich des Fahrzeugs zu erhalten, über eine Schnittstelle zu einer Funkverbindung von ei nem Leitsystem Soll-Zustandsdaten oder Steuerbefehle zu empfangen; eine Abwei chung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten zu bestimmen; und basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist- Zustandsdaten ein oder mehrere Fahrzeugkomponenten anzusteuern, um einen si cheren Zustand des Fahrzeugs zu erreichen oder zu erhalten. The exemplary embodiments show a control unit for an autonomous or partially autonomous vehicle, comprising a processor which is designed to receive actual status data relating to the vehicle via an interface to a vehicle communication network, via an interface to a radio link from a control system target status data or to receive control commands; to determine a deviation between the target status data and the actual status data; and based on the deviation between the target status data and the actual status data to control one or more vehicle components in order to achieve or maintain a safe status of the vehicle.
Bei dem Fahrzeug kann es sich insbesondere um ein fahrerloses autonomes oder um ein teilautonom bewegtes Fahrzeug handeln. Es kann sich beispielsweise um ein Land-, Luft- oder Wasserfahrzeug handeln, beispielsweise um ein fahrerloses Trans portsystem (FTS), einen autonomen PKW, ein Schienenfahrzeug, eine Drohne oder ein Boot. Die Zustandsdaten betreffen den Zustand des Fahrzeugs beziehungsweise der Fahrzeugkomponenten. Unter einem Zustand des Fahrzeugs kann insbesondere seine Position, Lage, Bewegungsrichtung und Geschwindigkeit verstanden werden. Bei einem Wasserfahrzeug kann der Zustand des Fahrzeugs beispielsweise den Ab stand über Grund betreffen. The vehicle can in particular be a driverless autonomous vehicle or a partially autonomous vehicle. For example, it can be a land, air or water vehicle, for example a driverless transport system (AGV), an autonomous car, a rail vehicle, a drone or a boat. The status data relate to the status of the vehicle or the vehicle components. A state of the vehicle can in particular be understood to mean its position, location, direction of movement and speed. In the case of a watercraft, the condition of the vehicle can, for example, relate to the distance above ground.
Bei dem Prozessor kann es sich beispielsweise um eine Recheneinheit wie eine zentrale Verarbeitungseinheit (CPU = central Processing unit) handeln, die Pro gramminstruktionen ausführt. The processor can be, for example, a computing unit such as a central processing unit (CPU = central processing unit) that executes program instructions.
Die Erfassung, Überprüfung und Verarbeitung der Ist-Zustandsdaten, beispielsweise der Fahrzeugdaten (z.B. CAN- oder Kameradaten) erfolgt vorzugsweise in Echtzeit. The acquisition, checking and processing of the actual status data, for example the vehicle data (e.g. CAN or camera data) is preferably carried out in real time.
Die Verbindung zwischen Leitsystem und Fahrzeug kann separat/redundant abgesi chert werden und das Fahrzeug kann unmittelbar nach Auftreten eines Notfalls, bei spielsweise im Fall eines Abbruchs der Funkverbindung, eines fehlerhaften Fahr zeugzustands oder von fehlerhaften Steuerdaten, oder bei Erkennung einer Gefahr, in einen sichern Zustand überführt werden. The connection between the control system and the vehicle can be secured separately / redundantly and the vehicle can be backed up to one immediately after an emergency has occurred, for example in the event of the radio connection being broken, a faulty vehicle status or faulty control data, or if a hazard is detected State to be transferred.
Der Prozessor der Steuereinheit ist ferner dazu ausgelegt, die Ist-Zustandsdaten über die Funkverbindung an das Leitsystem zu senden. Die Steuereinheit ermöglicht insbesondere eine sichere Übertragung von Fahrzeug-Zustandsdaten (z.B. CAN- Daten) sowie Überwachungsdaten über die Funkverbindung. Beispielsweise können die an das Leitsystem gesendeten Ist-Zustandsdaten Bilddaten umfassen, die mit einem im Fahrzeug integrierten Bildsensor erfasst wurden. The processor of the control unit is also designed to send the actual status data to the control system via the radio link. In particular, the control unit enables secure transmission of vehicle status data (e.g. CAN data) and monitoring data via the radio link. For example, the actual status data sent to the control system can include image data that were captured with an image sensor integrated in the vehicle.
Die Ist-Zustandsdaten können beispielweise eine Position, eine Geschwindigkeit, einen Lenkwinkel, eine Gierwinkelgeschwindigkeit, eine Gierrate, einen Lagewinkel, eine Lagewinkelbeschleunigung, eine Beschleunigung und/oder eine Querbeschleu nigung, oder Daten von Umfeldsensoren umfassen. Beispielsweise kann der Prozessor der Steuereinheit dazu ausgelegt sein, von einem am Fahrzeug integrierten optischen Sensor Bilddaten bezüglich einer Fahrzeugum gebung zu erhalten. Die von dem optischen Sensor gelieferten Daten können mittels einer Bildbearbeitung verarbeitet und aufbereitet werden und mit vorgegebenen Bild daten verglichen werden, um auf eine kritische Fahrsituation zu schließen. Der opti sche Sensor kann eine Kamera oder eine Infrarotkamera sein. The actual status data can include, for example, a position, a speed, a steering angle, a yaw angle speed, a yaw rate, a position angle, a position angle acceleration, an acceleration and / or a transverse acceleration, or data from environment sensors. For example, the processor of the control unit can be designed to receive image data relating to a vehicle environment from an optical sensor integrated in the vehicle. The data supplied by the optical sensor can be processed and prepared by means of image processing and compared with predetermined image data in order to infer a critical driving situation. The optical cal sensor can be a camera or an infrared camera.
Ferner kann der Prozessor der Steuereinheit dazu ausgelegt sein, eine Bewegungs richtung des Fahrzeugs zu erfassen. Hierdurch kann beispielsweise eine Abschät zung erfolgen, ob ein vorgegebener Positionsbereich verlassen wird, wenn die aktu elle Bewegungsrichtung beibehalten wird. Diese Information kann dazu verwendet werden, die aktuelle Position des Fahrzeugs bei einem Nähern an die Grenzen des vorgegebenen Positionsbereichs mit einer höheren Positionsermittlungsfrequenz zu ermitteln und mit einer vorgegebenen Soll-Position zu vergleichen. Dadurch kann ein fehlerhafter Fahrzeugzustand (eine fehlerhafte Position) mit einer minimalen Verzö gerung festgestellt werden. Furthermore, the processor of the control unit can be designed to detect a direction of movement of the vehicle. In this way, for example, an estimate can be made as to whether a predefined position range will be left if the current direction of movement is maintained. This information can be used to determine the current position of the vehicle when approaching the limits of the predetermined position range with a higher position determination frequency and to compare it with a predetermined target position. Thereby, a defective vehicle condition (defective position) can be detected with a minimum delay.
Des Weiteren kann die Steuereinheit dazu ausgelegt sein, eine kritische Fahrsituati on anhand einer mittels eines Sensors erfassten Gierwinkelgeschwindigkeit und/oder einer Querbeschleunigung des Fahrzeugs zu erkennen. Furthermore, the control unit can be designed to recognize a critical driving situation on the basis of a yaw rate and / or a lateral acceleration of the vehicle detected by means of a sensor.
Auch können die Ist-Zustandsdaten eine Ist-Trajektorie umfassen und die Steuerein heit kann dazu ausgelegt sein, einen Fehlerzustand anhand eines Abgleichs mit ei ner Soll-Trajektorie zu erkennen. The actual state data can also include an actual trajectory and the control unit can be designed to recognize an error state on the basis of a comparison with a desired trajectory.
Darüber hinaus kann die Steuereinheit dazu ausgelegt sein, Informationen über ei nen Antriebsenergiespeicher und über die Antriebseinheit (z. B. Funktionsinformatio nen) zu erhalten. Basierend auf diesen Informationen kann die Steuereinheit ermit teln, ob das Erreichen des vorgegebenen Ziels sichergestellt werden kann. Ist dies nicht der Fall, kann ein Steuerbefehl erzeugt werden, um das Fahrzeug in einen si cheren Zustand zu überführen. Gemäß eines Ausführungsbeispiels der vorliegenden Erfindung können die Soll- Zustandsdaten eine Sollposition, eine Sollorientierung oder Steuerbefehle umfassen. In addition, the control unit can be designed to receive information about a drive energy store and about the drive unit (e.g. functional information). Based on this information, the control unit can determine whether the achievement of the specified goal can be ensured. If this is not the case, a control command can be generated in order to bring the vehicle into a safe state. According to an exemplary embodiment of the present invention, the target status data can include a target position, a target orientation or control commands.
Beispielsweise kann der Sollzustand des Fahrzeugs durch eine Sollposition in einem kartesischen Koordinatensystem (x, y, z) sowie durch eine durch einen Lagewinkel (Roll, Pitch, Yaw) beschriebene Sollorientierung des Fahrzeugs definiert sein. For example, the target state of the vehicle can be defined by a target position in a Cartesian coordinate system (x, y, z) and by a target orientation of the vehicle described by a position angle (roll, pitch, yaw).
Des Weiteren können die Soll-Zustandsdaten ein modellbasiertes Bild umfassen und der Prozessor kann dazu ausgelegt sein, die Abweichung zwischen den vorgegebe nen Soll-Zustandsdaten und den Ist-Zustandsdaten auf Grundlage einer modellba sierten Plausibilisierung zu erkennen. Furthermore, the target status data can include a model-based image and the processor can be designed to recognize the discrepancy between the specified target status data and the actual status data on the basis of a model-based plausibility check.
Der Prozessor der Steuereinheit kann ferner dazu ausgelegt sein, Zeitstempel aus zuwerten, die mit den Soll-Zustandsdaten empfangen werden. Anhand der Zeitstem pel kann die Steuereinheit erkennen, für welchen Zeitpunkt ein Steuerbefehl vorge sehen war und notfalls Befehle verwerfen oder korrigieren, um einen kurzzeitigen Ausfall der Funkverbindung zu kompensieren. The processor of the control unit can also be designed to evaluate time stamps that are received with the target status data. Using the time stamps, the control unit can recognize the point in time for which a control command was provided and, if necessary, discard or correct commands in order to compensate for a brief failure of the radio link.
Des Weiteren können die Soll-Zustandsdaten, die von der Steuereinheit gemäß der vorliegenden Erfindung vom Leitsystem empfangen werden, Informationen umfas sen, die einen sicheren Fahrbereich definieren. Falls die Funkverbindung zum Leit system abbricht, darf sich das Fahrzeug weiterhin in dem sicheren Fahrbereich be wegen. Furthermore, the target status data that are received from the control system by the control unit according to the present invention can include information that defines a safe driving area. If the radio connection to the control system breaks down, the vehicle can continue to move in the safe driving area.
Die Ausführungsbeispiele zeigen ferner auch ein Steuerungssystem für ein autono mes oder teilautonomes Fahrzeug, umfassend die Steuereinheit wie sie oben be schrieben wurde, sowie eine Notaus-Steuereinheit, die dazu ausgelegt ist, über eine zweite Funkverbindung ein Aktivierungssignal für einen sicheren Zustand des Fahr zeugs zu empfangen, und in Reaktion auf das Aktivierungssignal ein oder mehrere Fahrzeugkomponenten so anzusteuern, dass ein sicherer Zustand des Fahrzeugs erreicht wird. Auf diese Weise erfolgt die Erlangung eines sicheren Zustands eines autonomen Fahrzeugs ohne das Mitwirken eines menschlichen Fahrers unter Einsatz von redun danten und dadurch hoch verfügbaren Systemen. The exemplary embodiments also show a control system for an autonomous or partially autonomous vehicle, comprising the control unit as described above, and an emergency stop control unit which is designed to send an activation signal for a safe condition of the vehicle via a second radio link received, and to control one or more vehicle components in response to the activation signal so that a safe state of the vehicle is achieved. In this way, a safe state of an autonomous vehicle is achieved without the involvement of a human driver using redundant and thus highly available systems.
Die Ausführungsbeispiele zeigen ferner auch ein Fahrzeug, umfassend eine Steuer einheit oder ein Steuersystem, wie sie oben beschrieben wurden. The exemplary embodiments also show a vehicle, comprising a control unit or a control system as described above.
Die Ausführungsbeispiele zeigen ferner auch ein Leitsystem für ein autonomes oder teilautonomes Fahrzeug, umfassend einen Prozessor, der dazu ausgelegt ist: Soll- Zustandsdaten über eine Funkverbindung an eine Steuereinheit eines autonomen oder teilautonomen Fahrzeugs zu senden; Ist-Zustandsdaten über die Funkverbin dung von der Steuereinheit des autonomen oder teilautonomen Fahrzeugs zu emp fangen; eine Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustands daten zu bestimmen; und basierend auf der Abweichung zwischen den Soll- Zustandsdaten und den Ist-Zustandsdaten die Steuereinheit des autonomen oder teilautonomen Fahrzeugs über die Funkverbindung anzusteuern, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten. The exemplary embodiments also show a control system for an autonomous or partially autonomous vehicle, comprising a processor which is designed to: send target status data via a radio link to a control unit of an autonomous or partially autonomous vehicle; To receive actual status data over the radio link from the control unit of the autonomous or semi-autonomous vehicle; to determine a discrepancy between the target status data and the actual status data; and based on the deviation between the target status data and the actual status data, to control the control unit of the autonomous or semi-autonomous vehicle via the radio link in order to achieve or maintain a safe status of the vehicle.
Der Prozessor des Leitsystems kann ferner dazu ausgelegt sein, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten oder auf grund eines manuellen Befehls, eine Notaus-Steuereinheit im autonomen oder teilau tonomen Fahrzeug über eine zweite Funkverbindung anzusteuern, um das Fahrzeug in einen sicheren Zustand zu überführen. The processor of the control system can also be designed to control an emergency stop control unit in the autonomous or partially autonomous vehicle via a second radio link based on the deviation between the target status data and the actual status data or on the basis of a manual command in order to control the vehicle to transfer to a safe state.
Die Ausführungsbeispiele zeigen ferner auch ein Verfahren zur Steuerung eines au tonomen oder teilautonomen Fahrzeugs, umfassend die Schritte: Erhalten, über eine Schnittstelle zu einem Fahrzeugkommunikationsnetz von Ist-Zustandsdaten bezüg lich des Fahrzeugs, Empfangen, über eine Schnittstelle zu einer Funkverbindung, von einem Leitsystem von Soll-Zustandsdaten oder Steuerbefehlen; Bestimmen ei ner Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten; und Ansteuern, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten, von ein oder mehreren Fahrzeugkomponenten, um einen siche ren Zustand des Fahrzeugs zu erreichen oder zu erhalten. The exemplary embodiments also show a method for controlling an autonomous or semi-autonomous vehicle, comprising the steps of: receiving, via an interface to a vehicle communication network, actual status data relating to the vehicle, receiving, via an interface to a radio link, from a control system from Target status data or control commands; Determining a discrepancy between the target status data and the actual status data; and control based on the deviation between the target status data and the Actual status data from one or more vehicle components in order to achieve or maintain a safe status of the vehicle.
Die Ausführungsbeispiele zeigen ferner auch ein Verfahren zur Leitung eines auto nomen oder teilautonomen Fahrzeugs, umfassend die Schritte: Senden von Soll- Zustandsdaten über eine Funkverbindung an eine Steuereinheit eines autonomen oder teilautonomen Fahrzeugs; Empfangen von Ist-Zustandsdaten über die Funkver bindung von der Steuereinheit des autonomen oder teilautonomen Fahrzeugs; Be stimmen einer Abweichung zwischen den Soll-Zustandsdaten und den Ist- Zustandsdaten; und Ansteuern, basierend auf der Abweichung zwischen den Soll- Zustandsdaten und den Ist-Zustandsdaten, von der Steuereinheit des autonomen oder teilautonomen Fahrzeugs über die Funkverbindung, um einen sicheren Zustand des Fahrzeugs zu erreichen oder zu erhalten. The exemplary embodiments also show a method for managing an autonomous or partially autonomous vehicle, comprising the steps of: sending target status data via a radio link to a control unit of an autonomous or partially autonomous vehicle; Receiving actual status data via the radio link from the control unit of the autonomous or semi-autonomous vehicle; Be agree a deviation between the target status data and the actual status data; and control, based on the deviation between the target status data and the actual status data, from the control unit of the autonomous or partially autonomous vehicle via the radio link in order to achieve or maintain a safe status of the vehicle.
Das Verfahren kann ferner den Schritt umfassen : Ansteuern, basierend auf der Ab weichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten oder auf grund eines manuellen Befehls, einer Notaus-Steuereinheit im autonomen oder teil autonomen Fahrzeug über eine zweite Funkverbindung, um das Fahrzeug in einen sicheren Zustand zu überführen. The method can further include the step of activating, based on the discrepancy between the target status data and the actual status data or on the basis of a manual command, an emergency stop control unit in the autonomous or partially autonomous vehicle via a second radio link to the vehicle to transfer to a safe state.
Ausführungsformen werden nun beispielhaft und unter Bezugnahme auf die beige fügten Zeichnungen beschrieben, in denen: Embodiments will now be described by way of example and with reference to the accompanying drawings, in which:
FIG. 1 ein Blockdiagramm zeigt, das schematisch die Konfiguration eines autonomen Fahrzeugs gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt; FIG. 1 is a block diagram schematically showing the configuration of an autonomous vehicle according to an embodiment of the present invention;
FIG. 2 ein autonomes Fahrzeug gemäß der Erfindung zeigt, das über eine Funkver bindung mit einem als Leitstand bezeichneten externen Server in Verbindung steht; FIG. Figure 2 shows an autonomous vehicle according to the invention in communication via a radio link with an external server called a control room;
FIG. 3 ein Blockdiagramm zeigt, das eine beispielhafte Konfiguration der Safety- Steuereinheit 20 darstellt; FIGs. 4a, b und c ein Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung veranschaulichen, wobei FIG. 4a die Schritte zeigt, die in dem Leitstand- Server ausgeführt werden zeigt, FIG. 4b die Schritte zeigt, die in der Safety- Steuereinheit des Fahrzeugs ausgeführt werden und FIG. 4c die Schritte zeigt, die in der Notaus-Steuereinheit ausgeführt werden; FIG. 3 is a block diagram showing an exemplary configuration of the safety control unit 20; FIGs. 4a, b and c illustrate an embodiment of a method according to the present invention, FIG. 4a shows the steps performed in the control room server, FIG. 4b shows the steps that are carried out in the safety control unit of the vehicle and FIG. Figure 4c shows the steps performed in the emergency stop control unit;
FIG. 5a ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung zeigt, wobei die Schritte dargestellt sind, die in dem Leitstand -Server aus geführt werden; FIG. 5a shows a further embodiment of a method according to the present invention, showing the steps carried out in the control room server;
FIG. 5b ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorliegenden Erfindung zeigt, wobei die Schritte dargestellt sind, die in dem Leitstand -Server aus geführt werden; FIG. Fig. 5b shows a further embodiment of a method according to the present invention, showing the steps carried out in the control room server;
FIG. 6a eine Ausführungsform der Übertragung von Steuerbefehlen von Leitstand zur Safety-Steuereinheit zeigt; und FIG. 6a shows an embodiment of the transmission of control commands from the control station to the safety control unit; and
FIG. 6b eine weitere Ausführungsform der Übertragung von Steuerbefehlen von Leit stand zur Safety-Steuereinheit zeigt. FIG. 6b shows a further embodiment of the transmission of control commands from the control stand to the safety control unit.
FIG. 1 zeigt ein Blockdiagramm, das schematisch die Konfiguration eines autonomen Fahrzeugs 10 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung dar stellt. Das autonome Fahrzeug 10 umfasst mehrere elektronische Komponenten, welche via ein Fahrzeugkommunikationsnetzwerk 28 miteinander verbunden sind. Das Fahrzeugkommunikationsnetzwerk 28 kann beispielsweise ein im Fahrzeug ein gebautes standardgemäßes Fahrzeugkommunikationsnetzwerk wie etwa ein CAN- Bus (Controller area network), ein LIN-Bus (local interconnect network), ein LAN-Bus (local area network), ein MOST -Bus und/oder ein FlexRay-Bus (registered trade- mark) oder dergleichen sein. FIG. 1 is a block diagram schematically showing the configuration of an autonomous vehicle 10 according to an embodiment of the present invention. The autonomous vehicle 10 comprises several electronic components which are connected to one another via a vehicle communication network 28. The vehicle communication network 28 can, for example, be a standard vehicle communication network built into the vehicle, such as a CAN bus (controller area network), a LIN bus (local interconnect network), a LAN bus (local area network), a MOST bus and / or a FlexRay bus (registered trade mark) or the like.
In dem in FIG. 1 dargestellten Beispiel umfasst das autonome Fahrzeug 10 eine Steuereinheit 12 (ECU 1 ) für ein Bremssystem. Das Bremssystem bezieht sich dabei auf die Komponenten, die ein Bremsen des Fahrzeugs ermöglichen. Das autonome Fahrzeug 10 umfasst ferner eine Steuereinheit 14 (ECU 2), die einen Antriebsstrang steuert. Der Antriebsstrang bezieht sich dabei auf die Antriebskomponenten des Fahrzeugs. Der Antriebsstrang kann einen Motor, ein Getriebe, eine Antriebs-/ Pro pellerwelle, ein Differential und einen Achsantrieb umfassen. Das autonome Fahr zeug 10 umfasst ferner eine Steuereinheit 16 (ECU 3), die ein Lenksystem steuert. Das Lenksystem bezieht sich dabei auf die Komponenten, die eine Richtungssteue rung des Fahrzeugs ermöglichen. In the one shown in FIG. 1, the autonomous vehicle 10 comprises a control unit 12 (ECU 1) for a braking system. The braking system refers to the components that enable the vehicle to brake. The autonomous one Vehicle 10 further includes a control unit 14 (ECU 2) that controls a drive train. The drive train refers to the drive components of the vehicle. The drive train can include an engine, a transmission, a drive / propeller shaft, a differential, and a final drive. The autonomous vehicle 10 further includes a control unit 16 (ECU 3) that controls a steering system. The steering system refers to the components that enable directional control of the vehicle.
Die Steuereinheiten 12, 14 und 16 können ferner von den oben genannten Fahr zeugsubsystemen Fahrzeugbetriebsparameter empfangen, die diese mittels einem oder mehreren Fahrzeugsensoren erfassen. Fahrzeugsensoren sind vorzugsweise solche Sensoren, die einen Zustand des Fahrzeugs oder einen Zustand von Fahr zeugteilen erfassen, insbesondere deren Bewegungszustand. Die Sensoren können einen Fahrgeschwindigkeitssensor, einen Gierraten-Sensor, einen Beschleunigungs sensor, einen Lenkradwinkelsensor, einen Fahrzeuglastsensor, Temperatursenso ren, Drucksensoren und dergleichen umfassen. Beispielsweise können auch Senso ren entlang der Bremsleitung angeordnet sein, um Signale auszugeben, die den Bremsflüssigkeitsdruck an verschiedenen Stellen entlang der hydraulischen Brems leitung anzeigen. Andere Sensoren in der Nähe des Rades können vorgesehen sein, welche die Radgeschwindigkeit und den Bremsdruck erfassen, der am The control units 12, 14 and 16 can also receive vehicle operating parameters from the above-mentioned vehicle subsystems, which these record by means of one or more vehicle sensors. Vehicle sensors are preferably those sensors that detect a state of the vehicle or a state of vehicle parts, in particular their state of movement. The sensors may include a vehicle speed sensor, a yaw rate sensor, an acceleration sensor, a steering wheel angle sensor, a vehicle load sensor, temperature sensors, pressure sensors, and the like. For example, sensors can also be arranged along the brake line in order to output signals that indicate the brake fluid pressure at various points along the hydraulic brake line. Other sensors in the vicinity of the wheel can be provided, which detect the wheel speed and the brake pressure that is on the
Rad aufgebracht wird. Wheel is applied.
Die Fahrzeugsensorik des autonomen Fahrzeugs 10 umfasst darüber hinaus eine Satellitennavigationseinheit 24 (GNSS-Einheit). Es sei darauf hingewiesen, dass im Kontext der vorliegenden Erfindung GNSS stellvertretend für sämtliche Globale Na vigationssatellitensysteme (GNSS) steht, wie z.B. GPS, A-GPS, Galileo, GLONASS (Russland), Compass (China), IRNSS (Indien) und dergleichen. The vehicle sensor system of the autonomous vehicle 10 also includes a satellite navigation unit 24 (GNSS unit). It should be noted that, in the context of the present invention, GNSS stands for all global navigation satellite systems (GNSS), such as GPS, A-GPS, Galileo, GLONASS (Russia), Compass (China), IRNSS (India) and the like.
Das autonome Fahrzeug 10 umfasst ferner ein oder mehrer Sensoren, welche dazu ausgelegt sind, das Umfeld des Fahrzeugs zu erfassen, wobei die Sensoren am Fahrzeug montiert sind und Bilder des Umfelds des Fahrzeugs erfassen, oder Objek te oder Zustände im Umfeld des Fahrzeugs erkennen. Die Umfeldsensoren 26 um fassen insbesondere Kameras, Radar-Sensoren, Lidar-Sensoren, Ultraschall- Sensoren oder dergleichen. Die Umfeldsensoren 26 können innerhalb des Fahr zeugs oder außerhalb des Fahrzeugs (z. B. an der Außenseite des Fahrzeugs) an geordnet sein. Beispielsweise kann eine Kamera in einem vorderen Bereich des Fahrzeugs 10 zur Aufnahme von Bildern eines vor dem Fahrzeug befindlichen Be reichs vorgesehen sein. The autonomous vehicle 10 further comprises one or more sensors which are designed to detect the surroundings of the vehicle, the sensors being mounted on the vehicle and recording images of the surroundings of the vehicle or to detect objects or conditions in the surroundings of the vehicle. The environment sensors 26 include in particular cameras, radar sensors, lidar sensors, ultrasonic Sensors or the like. The environment sensors 26 can be arranged inside the vehicle or outside the vehicle (z. B. on the outside of the vehicle). For example, a camera can be provided in a front area of the vehicle 10 for recording images of an area in front of the vehicle.
Das autonome Fahrzeug 10 umfasst ferner eine Steuereinheit für autonomes Fahren 18 (ECU 4). Die Steuereinheit für autonomes Fahren 18 ist dazu ausgelegt, das au tonome Fahrzeug 10 so zu steuern, dass dieses ganz oder teilweise ohne Einfluss eines menschlichen Fahrers agieren kann. Die Steuereinheit für autonomes Fah ren 18 steuert ein oder mehrere Fahrzeugsubsysteme während das Fahrzeug im au tonomen Modus betrieben wird, nämlich das Bremssystem 12, das Antriebssystem 14 und das Lenksystem 16. Hierfür kann die Steuereinheit für autonomes Fahren 18 beispielsweise über das Fahrzeugkommunikationsnetzwerk 28 mit den entsprechen den Steuereinheiten 12, 14 und 16 kommunizieren. Die Steuereinheit für autonomes Fahren 18 umfasst insbesondere ein Bildverarbeitungssystem zur Durchführung von Bildverarbeitungsprozessen. Bei den Bildverarbeitungsprozessen handelt es sich beispielsweise um die Verarbeitung von Bilddaten der Umfeldsensoren 26, bei spielsweise von Bilddaten eines von einer Kamera in Fahrtrichtung aufgenommenen Bildes des Bereichs vor dem Fahrzeug. The autonomous vehicle 10 further comprises an autonomous driving control unit 18 (ECU 4). The control unit for autonomous driving 18 is designed to control the autonomous vehicle 10 in such a way that it can act entirely or partially without the influence of a human driver. The control unit for autonomous driving 18 controls one or more vehicle subsystems while the vehicle is operated in the autonomous mode, namely the braking system 12, the drive system 14 and the steering system 16. For this purpose, the control unit for autonomous driving 18 can, for example, via the vehicle communication network 28 with the correspond to the control units 12, 14 and 16 communicate. The control unit for autonomous driving 18 comprises in particular an image processing system for carrying out image processing processes. The image processing processes are, for example, the processing of image data from the surroundings sensors 26, for example image data of an image of the area in front of the vehicle recorded by a camera in the direction of travel.
Wenn steuerungsseitig oder fahrerseitig ein Betriebszustand für das autonome Fah ren aktiviert ist, bestimmt die Steuereinheit für autonomes Fahren 18, auf Grundlage von Eingaben, wie beispielsweise Daten über eine vorgegebene Strecke, von Daten von der Satellitennavigationseinheit, von Umweltsensoren aufgenommenen Umge bungsdaten, sowie von mittels den Fahrzeugsensoren erfassten Fahrzeugbetriebs parametern, die der Steuereinheit 18 von den Steuereinheiten 12, 14 und 16 zugelei tet werden, Parameter für den autonomen Betrieb des Fahrzeugs (beispielsweise Soll-Geschwindigkeit, Soll-Moment, Lenkvorgang und dergleichen). Die Parameter können dazu dienen, Aspekte der Fahrzeugsubsysteme, einschließlich Antriebs strang, Bremssystem und Lenksystem, sowie Hilfsverhalten (z.B. Einschalten der Beleuchtung) zu steuern. Das autonome Fahrzeug 10 umfasst ferner eine Safety-Steuereinheit (Safety-ECU) 20, welche dazu dient, das Fahrzeug in einem sicheren Zustand zu halten bezie hungsweise in einen sicheren Zustand zu bringen. Die Safety-Steuereinheit 20 ist eine systemunabhängige Steuereinheit, in der Fahrzeugdaten (z.B. CAN- oder Ka meradaten) in Echtzeit erfasst, geprüft und verarbeitet werden. Die Safety- Steuereinheit 20 ist ferner dazu ausgelegt, über eine Funkverbindung (siehe FIG. 2) erfasste Daten an einen Leitstand weiterzugeben und von dem Leitstand Sollwerte oder Steuerbefehle entgegenzunehmen. Die Safety-Steuereinheit 20 ist so konfigu riert, dass sie bei Erkennen eines Fehlerzustandes auf Grundlage der erfassten Fahrzeugdaten Steuerbefehle erzeugt, um das Fahrzeug in einen sicheren Zustand zu überführen. Wenn eine Abweichung auftritt, steuert insbesondere die Safety- Steuereinheit 20 die Steuereinheiten 12, 14, 16, 18 so an, dass sich das Fahrzeug selbsttätig in einen sicheren Zustand (z.B. v=0 km/h und letzter erfolgreich übertra gener Lenkwinkel) bringen kann. Aufbau und Funktionalität der Safety-Steuereinheit 20 sind in den Ausführungsbeispielen der FIG. 2, FIG. 3, FIG. 4b und FIG. 5 detail lierter beschrieben. If an operating state for autonomous driving is activated on the control side or on the driver side, the control unit for autonomous driving 18 determines, on the basis of inputs such as data about a predetermined route, of data from the satellite navigation unit, of environmental data recorded by environmental sensors, and of by means of the vehicle sensors detected vehicle operating parameters that are fed to the control unit 18 by the control units 12, 14 and 16, parameters for the autonomous operation of the vehicle (for example, target speed, target torque, steering process and the like). The parameters can be used to control aspects of the vehicle subsystems, including the drive train, braking system and steering system, as well as auxiliary behavior (e.g. switching on the lights). The autonomous vehicle 10 also includes a safety control unit (safety ECU) 20, which is used to keep the vehicle in a safe state or to bring it into a safe state. The safety control unit 20 is a system-independent control unit in which vehicle data (for example CAN or camera data) are recorded, checked and processed in real time. The safety control unit 20 is also designed to pass on recorded data to a control station via a radio link (see FIG. 2) and to receive setpoint values or control commands from the control station. The safety control unit 20 is configured in such a way that when an error state is detected it generates control commands based on the recorded vehicle data in order to bring the vehicle into a safe state. If a deviation occurs, the safety control unit 20 controls the control units 12, 14, 16, 18 in such a way that the vehicle can automatically bring itself to a safe state (eg v = 0 km / h and the last successfully transferred steering angle) . The structure and functionality of the safety control unit 20 are shown in the exemplary embodiments in FIG. 2, FIG. 3, FIG. 4b and FIG. 5 described in more detail.
Das autonome Fahrzeug 10 kann ferner eine Notaus-Steuereinheit 30 umfassen. Die Notaus-Steuereinheit 30 ist so ausgelegt, dass sie über eine Funkverbindung mit ei nem als Leitstand bezeichneten externen Zentralrechner (im Folgenden„Server“)The autonomous vehicle 10 may further include an emergency stop control unit 30. The emergency stop control unit 30 is designed in such a way that it can be connected to an external central computer called a control station (hereinafter "server") via a radio link.
100 kommuniziert und, wenn sie von dem Leitstand ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs empfängt, die autonome Steuereinheit 18 bezie hungsweise die Steuereinheiten 12, 14 und 16 des Fahrzeugs so ansteuert, dass das Fahrzeug in einen sicheren Zustand (z.B. v=0 km/h und letzter erfolgreich über tragener Lenkwinkel, siehe oben) überführt wird. 100 communicates and, when it receives an activation signal for a safe state of the vehicle from the control center, controls the autonomous control unit 18 or the control units 12, 14 and 16 of the vehicle so that the vehicle is in a safe state (e.g. v = 0 km / h and last successfully transmitted steering angle, see above) is transferred.
Das autonome Fahrzeug 10 umfasst ferner eine Benutzerschnittstelle 32 (HMI = Human-Machine-Interface), die einem Fahrzeuginsassen ermöglicht, mit einem oder mehreren Fahrzeug Systemen in Interaktion zu stehen. Diese Benutzerschnittstelle 32 (beispielsweise eine GUI = graphical user interface) kann eine elektronische Anzeige zum Ausgeben einer Graphik, von Symbolen und/oder Inhalt in Textform, und eine Eingabeschnittstelle zum Empfangen einer Eingabe (beispielsweise manuelle Einga be, Spracheingabe und Eingabe durch Gesten, Kopf- oder Augenbewegungen) um- fassen. Die Eingabeschnittstelle kann beispielsweise Tastaturen, Schalter, berüh rungsempfindliche Bildschirme (Touchscreen), Eye-Tracker und dergleichen umfas sen. The autonomous vehicle 10 also includes a user interface 32 (HMI = human-machine interface) that enables a vehicle occupant to interact with one or more vehicle systems. This user interface 32 (for example a GUI = graphical user interface) can be an electronic display for outputting graphics, symbols and / or content in text form, and an input interface for receiving input (for example manual input, voice input and input using gestures, head - or eye movements) grasp. The input interface can, for example, include keyboards, switches, touch-sensitive screens (touchscreen), eye trackers and the like.
FIG. 2 zeigt ein autonomes Fahrzeug 10 gemäß der Erfindung, das über eine Funk verbindung mit einem als Leitstand bezeichneten externen Zentralrechner (im Fol genden„Server“) 100 in Verbindung steht. FIG. 2 shows an autonomous vehicle 10 according to the invention, which is connected via a radio link to an external central computer (hereinafter “server”) 100 referred to as a control station.
Das autonome Fahrzeug 10 gemäß der Erfindung umfasst insbesondere eine auto nome Steuereinheit (ECU 4) 18, eine Safety-Steuereinheit (Safety-ECU) 20 und eine Notaus-Steuereinheit (Notaus-ECU) 30. Von einem Leitstand 100 aus (z.B. initiiert von einem Leitstandmitarbeiter oder einem Softwareleitsystem) wird eine erste Funk verbindung 37 zum Fahrzeug 10 aufgebaut. Das im Fahrzeug 10 integrierte Funk modul 34 stellt eine Verbindung zu einer systemunabhängigen Safety-ECU 20 her, in der Fahrzeugdaten (z.B. CAN- oder Kameradaten) in Echtzeit erfasst, geprüft und verarbeitet werden. Die Safety-ECU 20 ist dazu ausgelegt, über das Funkmodul 34 mit dem Leitstand 100 zu kommunizieren. Die Safety-ECU 20 ist so ausgelegt, dass sie Daten, wie beispielsweise Soll-Zustandsdaten bzw. Steuerbefehle vom Leitstand empfängt, und Daten, wie beispielsweise Ist-Zustandsdaten (Kamerabilder, Position, Geschwindigkeit und dergleichen) an den Leitstand überträgt. The autonomous vehicle 10 according to the invention comprises in particular an autonomous control unit (ECU 4) 18, a safety control unit (Safety-ECU) 20 and an emergency-off control unit (Notaus-ECU) 30. From a control station 100 (eg initiated by a control center employee or a software control system), a first radio connection 37 to the vehicle 10 is established. The radio module 34 integrated in the vehicle 10 establishes a connection to a system-independent safety ECU 20, in which vehicle data (e.g. CAN or camera data) are recorded, checked and processed in real time. The safety ECU 20 is designed to communicate with the control center 100 via the radio module 34. The safety ECU 20 is designed in such a way that it receives data such as target status data or control commands from the control center and transmits data such as actual status data (camera images, position, speed and the like) to the control center.
Der Leitstand 100 umfasst einen Zentralrechner (Server) 1 10 und eine Kommunika tionsschnittstelle, im dargestellten Beispiel ein Funkmodul 130. Der Leitstand ist dazu ausgelegt, einen Abgleich der tatsächlichen aktuellen Zustandsdaten (Ist-Zustands daten) des Fahrzeugs mit vorgegebenen Soll-Zustandsdaten durchzuführen und, basierend auf einer Abweichung zwischen den Soll-Zustandsdaten und den Ist- Zustandsdaten die Safety-Steuereinheit 20 des Fahrzeugs 10 anzusteuern, um einen sicheren Zustand des Fahrzeugs 10 zu erreichen oder zu erhalten. The control center 100 comprises a central computer (server) 110 and a communication interface, in the example shown, a radio module 130. The control center is designed to compare the actual current status data (actual status data) of the vehicle with specified target status data and to control the safety control unit 20 of the vehicle 10 based on a discrepancy between the target status data and the actual status data in order to achieve or maintain a safe status of the vehicle 10.
Der Leitstand ist ferner dazu ausgelegt, ein Aktivierungssignal für einen sicheren Zu stand des Fahrzeugs über eine zweite Funkverbindung 38 an eine Notaus- Steuereinheit 30 im Fahrzeug zu übermitteln, wenn die Ist-Zustandsdaten des Fahr zeugs von den vorgegebenen Soll-Zustandsdaten abweichen, wie dies in den Fig. 4a und 5 beispielhaft beschrieben ist. Die Ist-Zustandsdaten werden hierbei von der Safety-ECU 20 des Fahrzeugs 10 über die erste Kommunikationsschnittstelle 34 an den Leitstand-Server 110 übermittelt. The control center is also designed to transmit an activation signal for a safe state of the vehicle via a second radio link 38 to an emergency stop control unit 30 in the vehicle if the actual status data of the vehicle deviate from the specified target status data, such as this in Fig. 4a and 5 is described by way of example. The actual status data are hereby transmitted from the safety ECU 20 of the vehicle 10 via the first communication interface 34 to the control center server 110.
Der Leitstand ist ferner dazu ausgelegt, bei Abbruch der Funkverbindung mit der Sa- fety-Steuerung über die zweite Funkverbindung 38 ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs an die Notaus-Steuereinheit 30 im Fahrzeug zu übermitteln. Bei Ausfall der Kommunikation mit der Safety-Steuerung über die erste Funkverbindung 37 ist somit eine Aktivierung eines sicheren Zustandes im Fahrzeug über die zweite Funkverbindung 38 noch immer möglich. Die Notaus-Steuereinheit 30 ist hierbei über ein zweites Funkmodul 36 mit dem Leitstand 100 verbunden und ist so ausgelegt, dass sie, wenn sie von dem Leitstand 100 ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs empfängt, die Steuereinheiten 12, 14, 16, 18 des Fahrzeugs so ansteuert, dass das Fahrzeug in einen sicheren Zustand (z.B. v=0 km/h und letzter erfolgreich übertragener Lenkwinkel, siehe oben) überführt wird. Somit wird über ein zweites von der Safety-ECU 20 unabhängiges System ebenfalls eine Funkverbindung zum Fahrzeug 10 hergestellt. Auf diese Weise kann beim Auf treten eines Fehlers das Fahrzeug 10 über die Betätigung eines Notaus-Schalters in einen sicheren Zustand überführt werden. Ein Mitarbeiter im Leitstand kann z.B. ei nen Handsender betätigen. Weiterhin kann das Leitsystem automatisiert erkennen, dass die Soll-Vorgaben vom Fahrzeug falsch interpretiert bzw. umgesetzt werden und daraufhin den Notaus-Schalter aktivieren (vgl. Fig. 4a und entsprechende Be schreibung). The control station is also designed to transmit an activation signal for a safe condition of the vehicle to the emergency stop control unit 30 in the vehicle via the second radio connection 38 when the radio connection with the safety control is broken. If communication with the safety controller via the first radio link 37 fails, it is still possible to activate a safe state in the vehicle via the second radio link 38. The emergency stop control unit 30 is connected to the control station 100 via a second radio module 36 and is designed such that, when it receives an activation signal for a safe condition of the vehicle from the control station 100, it controls the control units 12, 14, 16, 18 controls the vehicle in such a way that the vehicle is brought into a safe state (e.g. v = 0 km / h and the last successfully transferred steering angle, see above). A radio connection to the vehicle 10 is thus also established via a second system that is independent of the safety ECU 20. In this way, when an error occurs, the vehicle 10 can be brought into a safe state by actuating an emergency stop switch. An employee in the control center can e.g. operate a hand transmitter. Furthermore, the control system can automatically recognize that the target specifications are incorrectly interpreted or implemented by the vehicle and then activate the emergency stop switch (see FIG. 4a and the corresponding description).
Vorteilhafter Weise kann zur Kommunikation zwischen dem Fahrzeug 10 und dem Leitstand 100 ein hybrides Kommunikationssystem eingesetzt werden. Die Kommu nikation zwischen dem Fahrzeug 10 und dem Leitstand kann beispielsweise durch die gemeinsame Integration von ad-hoc-basierten Telekommunikations-Standards nach IEEE 802.11 , ETSI ITS-G5 im 5,9-GHz-Bereich und der verfügbaren Standards für volldigitale Mobilfunknetze, wie 3GPP Long Term Evolution (LTE) im 800-MHz-, 1800-MHz- und 2600-MHz-Bereich, erreicht werden. Um die Ausfallsicherheit zu er höhen, verwenden die beiden Funkverbindungen 37, 38 vorzugsweise unterschiedli- che Technologien, beispielsweise unterschiedliche Frequenzbänder, unterschiedli che Übertragungsraten, oder dergleichen. A hybrid communication system can advantageously be used for communication between the vehicle 10 and the control center 100. The communication between the vehicle 10 and the control center can, for example, through the joint integration of ad-hoc-based telecommunications standards according to IEEE 802.11, ETSI ITS-G5 in the 5.9 GHz range and the available standards for fully digital mobile networks, such as 3GPP Long Term Evolution (LTE) in the 800 MHz, 1800 MHz and 2600 MHz ranges. In order to increase the reliability, the two radio links 37, 38 preferably use different che technologies, for example different frequency bands, different transmission rates, or the like.
Die Safety-ECU 20 gemäß der Erfindung ist dazu ausgelegt, Fahrzeugzustandspa rameter (z.B. CAN- oder Kameradaten) in Echtzeit zu erfassen, diese zu verarbeiten und bei Erkennen eines Fehlerzustands eine entsprechende Fahrzeugreaktion einzu leiten, so dass sich das Fahrzeug selbsttätig in einen sicheren Zustand bringt. Die Safety-ECU 20 ist insbesondere dazu ausgelegt, beispielsweise durch den Abgleich der Ist-Zustandsdaten mit vorgegeben Soll-Zustandsdaten zu erkennen, dass ein Fehlerzustand vorliegt und in diesem Fall eine Anweisung oder eine instruktive Akti on an die autonome Steuereinheit 18 zurückzumelden, um das Fahrzeug in einen sicheren Zustand zu überführen. Die Safety-ECU 20 ist insbesondere so konfiguriert, dass sie durch den Abgleich zwischen Soll- und Ist-Zustandsdaten, beispielsweise zwischen Soll- und Ist-Position, Abweichungen in der Steuerung erkennt. The safety ECU 20 according to the invention is designed to record vehicle state parameters (e.g. CAN or camera data) in real time, process them and initiate a corresponding vehicle reaction when an error state is detected, so that the vehicle automatically switches to a safe state brings. The safety ECU 20 is designed in particular to recognize, for example by comparing the actual status data with specified target status data, that an error status is present and in this case to report an instruction or an instructive action back to the autonomous control unit 18 in order to Put the vehicle in a safe condition. The safety ECU 20 is configured in particular in such a way that it detects deviations in the control system by comparing target and actual status data, for example between target and actual position.
Das Überführen des Fahrzeugs in einen sicheren Zustand kann beispielsweise eine oder mehrere der folgenden Maßnahmen umfassen: Reduzieren der aktuellen Ge schwindigkeit, Abbremsen des Fahrzeugs mit einer maximal möglichen Bremskraft, Erhöhung von Sicherheitsabständen, Änderungen bei der Planung und Durchführung von Fahrmanövern (zum Beispiel erhöhte Kurvenradien) und Anhalten des Fahr zeugs an einem sicheren Abstellort (z. B. Seitenstreifen der Autobahn, Straßenrand, Parkplatz). Ferner kann beispielsweise nach einem kurzzeitigen Ausfall der Funkver bindung die Safety-Steuereinheit 20 eine erneute Anforderung des letzten Steuerbe fehls der Leitzentrale vornehmen. Daneben sind weitere Maßnahmen denkbar, wel che allesamt das Ziel verfolgen, das Fahrzeug vor Sachbeschädigung und dessen Umgebung (z.B. Personen, Hindernisse, Objekte oder andere Fahrzeuge) vor einem Schaden zu schützen. Bringing the vehicle to a safe state can include, for example, one or more of the following measures: reducing the current speed, braking the vehicle with a maximum possible braking force, increasing safety distances, changes in the planning and execution of driving maneuvers (e.g. increased curve radii ) and stopping the vehicle in a safe place (e.g. hard shoulder of the motorway, side of the road, parking lot). Furthermore, for example, after a brief failure of the radio link, the safety control unit 20 can request the last control command from the control center again. In addition, other measures are conceivable, all of which aim to protect the vehicle from damage to property and its surroundings (e.g. people, obstacles, objects or other vehicles) from damage.
Die Safety-ECU 20 kann ferner dazu ausgelegt sein, eine Vermeidungs- bezie hungsweise Abschwäch reaktion des Fahrzeugs auf einen oder mehrere vordefinierte Fehlerzustände bereitzustellen. Die vordefinierten Fehlerzustände können kritischen Fahrsituationen oder Fahrereignissen entsprechen, die ein drohendes Sicherheitsri siko darstellen. Wenn das autonome Fahrzeug erwartungsgemäß gesteuert wird, kann es sein, dass solche Bedingungen oder Ereignisse nicht oder nur sehr selten auftreten, so dass die endgültige Kontrolle des Fahrzeugs allein bei der autonomen Steuereinheit 18 liegt, die den autonomen Betrieb ermöglicht. Erkennt jedoch die Sa- fety-ECU 20, dass die Soll-Vorgaben vom Fahrzeug falsch interpretiert beziehungs weise umsetzt werden, so kann die Safety-ECU, unabhängig von der Steuereinheit 18 für autonomes Fahren, das Fahrzeugverhalten bestimmen, beispielsweise indem sie Fahrzeugaktuatoren direkt anspricht, oder der Steuereinheit 18 für autonomes Fahren Vorgaben macht, welche diese zu realisieren hat. The safety ECU 20 can also be designed to provide an avoidance or attenuation reaction of the vehicle to one or more predefined error states. The predefined error states can correspond to critical driving situations or driving events that represent an impending safety risk. If the autonomous vehicle is controlled as expected, it may be that such conditions or events do not occur or only occur very rarely, so that the final control of the vehicle lies solely with the autonomous control unit 18, which enables the autonomous operation. However, if the safety ECU 20 detects that the target specifications are incorrectly interpreted or implemented by the vehicle, the safety ECU can determine the vehicle behavior independently of the control unit 18 for autonomous driving, for example by directly addressing vehicle actuators , or the control unit 18 makes specifications for autonomous driving, which these must be implemented.
Die Safety-ECU kann beispielsweise dazu ausgelegt sein, durch den Abgleich der Ist-Zustandsdaten mit vorgegeben Soll-Zustandsdaten ein Abweichen der Daten (beispielsweise einen zu geringen Sicherheitsabstand) und somit eine kritische Fahr situation, beispielsweise eine drohende Kollision mit einem vorausfahrenden Fahr zeug oder einem ortsfesten Hindernis, zu erkennen und in diesem Fall autonom ei nen Notbremsvorgang mit einer maximal möglichen Bremskraft beziehungsweise einer maximal möglichen Verzögerung des Eigenfahrzeugs einzuleiten, um das Fahrzeug in einen sicheren Zustand zu überführen oder zumindest um die Folgen einer möglichen Kollision zu mindern. The safety ECU can be designed, for example, by comparing the actual status data with specified target status data, a discrepancy between the data (for example, a safety distance that is too small) and thus a critical driving situation, for example an impending collision with a vehicle ahead or a stationary obstacle, and in this case autonomously initiate an emergency braking process with a maximum possible braking force or a maximum possible deceleration of the own vehicle in order to put the vehicle in a safe state or at least to reduce the consequences of a possible collision.
Die Safety-ECU 20 ist ferner dazu ausgelegt, über den Fahrzeugkommunikationsbus (28 in Fig. 1 ) Zustandsdaten von der autonomen Steuereinheit und/oder über das Fahrzeugkommunikationsnetzwerk 28 von anderen Fahrzeugkomponenten zu emp fangen. Die Safety-ECU 20 kann insbesondere dazu ausgelegt sein, von der auto nomen Steuereinheit 18 Eingaben zu empfangen. Die von der autonomen Steuer einheit 18 bereitgestellten Eingaben können beispielsweise einer von der Sensorein heit 26 erfassten aktuellen Position des Fahrzeugs, einer Geschwindigkeit, einer Be schleunigung, einem Lenkwinkel und dergleichen entsprechen. Alternativ kann die Safety-ECU 20 diese Informationen auch direkt von den jeweiligen Fahrzeugkompo nenten erhalten. The safety ECU 20 is also designed to receive status data from the autonomous control unit via the vehicle communication bus (28 in FIG. 1) and / or from other vehicle components via the vehicle communication network 28. The safety ECU 20 can in particular be designed to receive inputs from the autonomous control unit 18. The inputs provided by the autonomous control unit 18 can correspond, for example, to a current position of the vehicle detected by the sensor unit 26, a speed, an acceleration, a steering angle and the like. Alternatively, the safety ECU 20 can also receive this information directly from the respective vehicle components.
Die Safety-ECU 20 kann die aktuellen Zustandsdaten regelmäßig mit einer vorgege benen Frequenz ermitteln bzw. abrufen. Die Zustandsdatenermittlungsfrequenz kann in Abhängigkeit von der Fahrzeuggeschwindigkeit variieren, z. B. kann die Zustands datenermittlungsfrequenz bei zunehmender Geschwindigkeit zunehmen. The safety ECU 20 can determine or retrieve the current status data regularly at a predetermined frequency. The status data acquisition frequency can vary depending on the vehicle speed, e.g. B. the status data determination frequency can increase with increasing speed.
Alternativ zu dem in FIG. 2 dargestellten Ausführungsbeispiel können auch mehrere Safety-ECUs im Fahrzeug vorgesehen sein, um eine Ausfallsicherung oder einen Bypass des autonomen Steuersystems (ECU4) zu realisieren. Auch kann die hier beschriebene Funktionalität der Safety-ECU und die Funktionalität der Steuereinheit 18 für autonomes Fahren zusammen in einer gemeinsamen Steuereinheit realisiert werden. As an alternative to the one shown in FIG. 2, several safety ECUs can also be provided in the vehicle in order to implement a failover or a bypass of the autonomous control system (ECU4). The functionality of the safety ECU described here and the functionality of the control unit 18 for autonomous driving can also be implemented together in a common control unit.
FIG. 3 zeigt ein Blockdiagramm, das eine beispielhafte Konfiguration der Safety-ECU (Safety-ECU) 20 darstellt. Bei der Safety-ECU kann es sich beispielsweise um ein Steuergerät (electronic control unit ECU oder electronic control module ECM) han deln. Die Safety-ECU umfasst einen Prozessor 40. Bei dem Prozessor 40 kann es sich beispielsweise um eine Recheneinheit wie eine zentrale Verarbeitungseinheit (CPU = central Processing unit) handeln, die Programminstruktionen ausführt. Die Safety-ECU 20 umfasst ferner einen Speicher und eine Eingabe/ Ausgabe- Schnittstelle. Der Speicher kann aus einem oder mehreren nichtflüchtigen computer lesbaren Medien bestehen und umfasst mindestens einen Programmspeicherbereich und einen Datenspeicherbereich. Der Programmspeicherbereich und der Datenspei cherbereich können Kombinationen von verschiedenen Arten von Speicher umfas sen, beispielsweise von einem Nur-Lese-Speicher 43 (ROM = Read-only memory) und einem Direktzugriffsspeicher 42 (RAM = Random Access Memory) (z. B. dyna mischer RAM ("DRAM"), synchron DRAM ("SDRAM") usw.). Ferner kann die Safety- ECU ein externes Speicherlaufwerk 44, wie beispielsweise ein externes Festplatten laufwerk (hard disk drive: HDD), ein Flashspeicher-Laufwerk oder ein nicht flüchtiges Festkörperlaufwerk (solid state drive: SSD) umfassen. Die Safety-ECU 20 umfasst ferner eine Kommunikationsschnittstelle 45, über welche die Steuereinheit mit dem Fahrzeugkommunikationsnetzwerk (28 in Fig. 1 ) kommunizieren kann. FIG. 3 is a block diagram showing an exemplary configuration of the safety ECU (safety ECU) 20. The safety ECU can, for example, be a control device (electronic control unit ECU or electronic control module ECM). The safety ECU includes a processor 40. The processor 40 can be, for example, a computing unit such as a central processing unit (CPU) that executes program instructions. The safety ECU 20 further includes a memory and an input / output interface. The memory can consist of one or more non-transitory computer-readable media and comprises at least a program storage area and a data storage area. The program memory area and the data memory area can comprise combinations of different types of memory, for example read-only memory 43 (ROM) and random access memory 42 (RAM) (z. B. dyna mixed RAM ("DRAM"), synchronous DRAM ("SDRAM", etc.). Furthermore, the safety ECU can include an external storage drive 44, such as an external hard disk drive (HDD), a flash memory drive or a non-volatile solid-state drive (SSD). The safety ECU 20 further comprises a communication interface 45 via which the control unit can communicate with the vehicle communication network (28 in FIG. 1).
Mit Bezug auf FIG. 4a wird zunächst ein beispielhaftes Verfahren aus Sicht des Leit standes (100 in FIG. 2) beschrieben. Das Verfahren kann beispielsweise von einem Prozessor des Servers (1 10 in Fig. 2) im Leitstand ausgeführt werden. In einem Schritt S400 sendet der Leitstand über eine erste Funkverbindung (37 in FIG. 2) eine Soll-Position an die Safety-ECU (20 in FIG. 2) des Fahrzeugs (siehe Fig. 4b für eine Nutzung dieser Information durch die Safety-ECU). In einem Schritt S402 ruft der Leitstand über die erste Funkverbindung eine Ist-Position von der Safety-ECU des Fahrzeugs ab. In einem Schritt S404 überprüft der Leitstand, ob die Ist-Position von der Safety-ECU empfangen wurde oder nicht. Wurde die von der Safety-ECU über sandte Ist-Position korrekt im Leitstand empfangen (d.h. es liegt beispielsweise kein Ausfall der Funkverbindung vor), so wird mit Schritt S406 fortgefahren. In Schritt S406 wird bestimmt, ob die Differenz zwischen der Soll-Position und der Ist-Position einen vorgegebenen Schwellwert S überschreitet oder nicht. Wird bestimmt, dass die Differenz zwischen der Soll-Position und der Ist-Position den vorgegebenen With reference to FIG. 4a, an exemplary method from the point of view of the control stand (100 in FIG. 2) is first described. The method can for example be carried out by a processor of the server (110 in FIG. 2) in the control room. In one Step S400 sends the control center via a first radio link (37 in FIG. 2) a target position to the safety ECU (20 in FIG. 2) of the vehicle (see FIG. 4b for the use of this information by the safety ECU) . In a step S402, the control center calls up an actual position from the safety ECU of the vehicle via the first radio link. In a step S404, the control center checks whether the actual position has been received from the safety ECU or not. If the actual position sent by the safety ECU has been correctly received in the control center (ie there is no failure of the radio link, for example), the process continues with step S406. In step S406, it is determined whether the difference between the target position and the actual position exceeds a predetermined threshold value S or not. It is determined that the difference between the target position and the actual position is the specified
Schwellwert S nicht überschreitet, so folgert der Leitstand daraus, dass die Soll- Vorgaben vom Fahrzeug richtig interpretiert bzw. umgesetzt wurden, und der Pro zess wird neu gestartet. Wird dagegen bestimmt, dass die Differenz den vorgegebe nen Schwellwert S überschreitet, so folgert der Leitstand daraus, dass die Soll- Vorgaben vom Fahrzeug falsch interpretiert bzw. umgesetzt wurden und es wird mit Schritt S408 fortgefahren. In einem Schritt S408 wird, über eine zweite Funkverbin dung (38 in FIG. 2), ein Aktivierungssignal für einen sicheren Zustand an die Notaus- Steuereinheit (30 in FIG. 2) des Fahrzeugs übertragen. Die Schritte, die in der Notaus-Steuereinheit durchgeführt werden, werden nachstehend mit Bezug auf FIG. 4c beschrieben. Wurde in Schritt S404 keine Ist-Position von der Safety-ECU emp fangen, beispielsweise im Fall eines Abbruchs der Funkverbindung zwischen Fahr zeug und Leitstand, so geht der Prozess unmittelbar zu Schritt S408 über und es wird direkt ein Aktivierungssignal für einen sicheren Zustand an die Notaus- Steuereinheit des Fahrzeugs übertragen. If the threshold value S is not exceeded, the control center concludes from this that the target specifications have been correctly interpreted or implemented by the vehicle, and the process is restarted. If, on the other hand, it is determined that the difference exceeds the specified threshold value S, the control center concludes from this that the target specifications have been incorrectly interpreted or implemented by the vehicle, and the process continues with step S408. In a step S408, an activation signal for a safe state is transmitted to the emergency stop control unit (30 in FIG. 2) of the vehicle via a second radio link (38 in FIG. 2). The steps performed in the emergency stop control unit are described below with reference to FIG. 4c. If no actual position was received by the safety ECU in step S404, for example in the event of a break in the radio connection between the vehicle and the control center, the process goes directly to step S408 and an activation signal for a safe state is sent directly to the Transfer the emergency stop control unit of the vehicle.
Der Abgleich des Soll- und Ist-Zustandes vom Fahrzeug kann z.B. mit Hilfe einer klassischen„WatchDog“-Funktionalität erfolgen. Der Schwellwert S ist im Leitstand entweder fest vorgegeben (z.B. S = 2m), oder kann im Leitstand auch dynamisch in Abhängigkeit anderer Größen wie beispielsweise der Geschwindigkeit des Fahr zeugs oder dergleichen festgelegt werden. Oben wurde ein automatisierter Prozess zur Initiierung eines Notaus-Prozesses be schrieben. Alternativ könnten die Sollposition und die Istposition des Fahrzeugs (und ggf. auch andere vom Fahrzeug erhaltene Informationen) auch einem Leitstandsmit arbeiter auf einem Bildschirm angezeigt werden, so dass dieser ein Notaus manuell einleiten kann, falls er dies für erforderlich hält. The comparison of the target and actual state of the vehicle can be done with the help of a classic "WatchDog" functionality, for example. The threshold value S is either fixed in the control room (eg S = 2m), or can also be set dynamically in the control room as a function of other variables such as the speed of the vehicle or the like. An automated process for initiating an emergency stop process was described above. Alternatively, the target position and the actual position of the vehicle (and possibly also other information received from the vehicle) could also be displayed to a control center employee on a screen so that he or she can manually initiate an emergency stop if he considers this necessary.
Mit Bezug auf FIG. 4b wird im Folgenden ein beispielhaftes Verfahren aus Sicht der Safety-ECU (20 in FIG. 2) beschrieben. Das Verfahren kann beispielsweise von ei nem Prozessor (40 in Fig. 3) der Safety-ECU ausgeführt werden. In einem Schritt S450 sendet die Safety-ECU über die erste Funkverbindung die Ist-Position des Fahrzeugs an den Leitstand-Server (vgl. Schritt S402 in FIG. 4a). In einem Schritt S452 empfängt die Safety-ECU, über die erste Funkverbindung, die vorgegebene Soll-Position vom Leitstand-Server (vgl. Schritt S400 in FIG. 4a). In einem Schritt S454 wird bestimmt, ob die Differenz zwischen der Soll-Position und der Ist-Position einen vorgegebenen Schwellwert S überschreitet oder nicht. Wird bestimmt, dass die Differenz zwischen der Soll-Position und der Ist-Position den vorgegebenen With reference to FIG. 4b, an exemplary method from the perspective of the safety ECU (20 in FIG. 2) is described below. The method can be executed, for example, by a processor (40 in FIG. 3) of the safety ECU. In a step S450, the safety ECU sends the actual position of the vehicle to the control room server via the first radio link (cf. step S402 in FIG. 4a). In a step S452, the safety ECU receives the predefined setpoint position from the control room server via the first radio link (cf. step S400 in FIG. 4a). In a step S454 it is determined whether the difference between the target position and the actual position exceeds a predetermined threshold value S or not. It is determined that the difference between the target position and the actual position is the specified
Schwellwert S nicht überschreitet, so folgert die Saefety-ECU daraus, dass die Soll- Vorgaben vom Fahrzeug richtig interpretiert bzw. umgesetzt wurden, und der Pro zess wird neu gestartet. Wird dagegen bestimmt, dass die Differenz den vorgegebe nen Schwellwert S überschreitet, so folgert die Safety-ECU daraus, dass die Soll- Vorgaben vom Fahrzeug falsch interpretiert bzw. umgesetzt wurden und es wird mit Schritt S456 fortgefahren. In Schritt S456 steuert die Safety-ECU die autonome Steuereinheit des Fahrzeugs so an, dass das Fahrzeug in einen sicheren Zustand überführt wird. Does not exceed the threshold value S, the safety-ECU concludes from this that the target specifications have been correctly interpreted or implemented by the vehicle, and the process is restarted. If, on the other hand, it is determined that the difference exceeds the specified threshold value S, the safety ECU concludes from this that the target specifications have been incorrectly interpreted or implemented by the vehicle and the process continues with step S456. In step S456, the safety ECU controls the autonomous control unit of the vehicle in such a way that the vehicle is brought into a safe state.
Mit Bezug auf FIG. 4c wird im Folgenden das Verfahren aus Sicht der Notaus- Steuereinheit (30 in FIG. 2) beschrieben. In einem Schritt S480 bestimmt die Notaus- Steuereinheit, ob ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs von dem Leitstand-Server empfangen wurde oder nicht (vgl. Schritt S408 in FIG. 4a). Wird bestimmt, dass kein Aktivierungssignal für einen sicheren Zustand des Fahr zeugs empfangen wurde, so wird der Prozess neu gestartet. Wird dagegen bestimmt, dass ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs empfangen wurde, so steuert die Notaus-Steuereinheit die autonome Steuereinheit des Fahr zeugs so an, dass das Fahrzeug in einen sicheren Zustand überführt wird. With reference to FIG. 4c, the method is described below from the point of view of the emergency stop control unit (30 in FIG. 2). In a step S480, the emergency stop control unit determines whether or not an activation signal for a safe state of the vehicle has been received from the control room server (cf. step S408 in FIG. 4a). If it is determined that no activation signal for a safe condition of the vehicle has been received, the process is restarted. If, on the other hand, it is determined that an activation signal for a safe state of the vehicle is received the emergency stop control unit controls the autonomous control unit of the vehicle in such a way that the vehicle is brought into a safe state.
Mit den Ausführungsformen der Fig. 4a, b, und c liegt damit liegt eine redundante Sicherheitsfunktionalität vor, denn sollte ein Problem mit der Funkverbindung zur Sa- fety-ECU bestehen (Funkverbindung 37 in Fig. 2), so dass die Safety-ECU nicht selbst dazu in der Lage ist, ein erforderliches Notaus zu erkennen oder zu initieren, so kann dies dennoch der Leitstand erkennen und über die redundante Funkverbin dung (Funkverbindung 38 in Fig. 2) zur Notaus-ECU des Fahrzeugs ein Notaus in i- tiert werden. With the embodiments of FIGS. 4a, b, and c, there is thus a redundant safety functionality, because should there be a problem with the radio connection to the safety ECU (radio connection 37 in FIG. 2), so that the safety ECU does not is even able to recognize or initiate a necessary emergency stop, the control center can still recognize this and an emergency stop can be initiated via the redundant radio connection (radio connection 38 in FIG. 2) to the emergency stop ECU of the vehicle .
FIG. 5a zeigt ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorlie genden Erfindung, wobei die Schritte dargestellt sind, die in dem Leitstand-Server ausgeführt werden. In einem Schritt S500 bestimmt der Leitstand-Server eine Soll- Trajektorie für das Fahrzeug. In einem Schritt S502 ruft der Leitstand über die erste Funkverbindung eine Ist-Trajektorie von der Safety-ECU des Fahrzeugs ab. In einem Schritt S504 empfängt der Leitstand über die erste Funkverbindung zudem Kamera bilder von der Safety-ECU des Fahrzeugs. In einem Schritt S506 werden die Kame rabilder zusammen mit der Soll- und Ist-Trajektorie visualisiert und beispielsweise auf einem Bildschirm zur Anzeige gebracht. Auf diese Weise ist für einen Leitstandsmit arbeiter ein komfortabler Abgleich des Fahrzeugistzustandes mit dem Sollzustand möglich. Gemäß dem in FIG. 5a dargestellten Ausführungsbeispiel werden somit zur Plausibilisierung des Fahrzeugzustandes Kamerabilder verwendet, in denen die Soll- und Ist-Trajektorie des Fahrzeugs visualisiert ist. FIG. 5a shows a further embodiment of a method according to the present invention, showing the steps that are carried out in the control room server. In a step S500, the control room server determines a target trajectory for the vehicle. In a step S502, the control center calls up an actual trajectory from the safety ECU of the vehicle via the first radio link. In a step S504, the control center also receives camera images from the safety ECU of the vehicle via the first radio link. In a step S506, the camera images are visualized together with the target and actual trajectories and, for example, are displayed on a screen. In this way, a control center employee can conveniently compare the actual vehicle status with the target status. According to the in FIG. The exemplary embodiment illustrated in FIG. 5a is thus used to check the plausibility of the vehicle state from camera images in which the target and actual trajectories of the vehicle are visualized.
FIG. 5b zeigt ein weiteres Ausführungsbeispiel eines Verfahrens gemäß der vorlie genden Erfindung, wobei die Schritte dargestellt sind, die in dem Leitstand -Server ausgeführt werden. In einem Schritt S550 bestimmt der Leitstand -Server eine Sollpo sition und eine Sollausrichtung (Heading) für das Fahrzeug. In einem Schritt S552 erfolgt ein modellbasiertes Bestimmen eines Umgebungsbildes auf Grundlage der Sollposition und der Sollausrichtung. In einem Schritt S554 wird das Bild an die Sa fety-ECU des Fahrzeugs übertragen. In diesem Fall wird modellbasiert ein Bild von der Fahrzeugumgebung erzeugt, das den Sollvorgaben des Leitstands entspricht. Dieses Bild wird vom Leitstand and die Safety-ECU übertragen. Durch diese Bild übertragung kann die Fahrzeug-interne Lokalisierung plausibilisiert werden, bei spielsweise indem das vom Leitstand empfangene modellbasierte Bild mit ein oder mehreren Bildern der Umfeldsensoren (26 in Fig. 1 ), beispielsweise einer Kamera, verglichen wird. D.h., mit Hilfe einer modellbasierten Plausibilisierung kann ebenfalls ein Abgleich des Fahrzeugzustandes erfolgen. Es können beispielsweise Straßen-, Gebäude- und Landschafts-Modelle herangezogen werden, wie sie dem Fachmann aus Navigationssystemen bekannt sind. FIG. 5b shows a further embodiment of a method according to the present invention, showing the steps that are carried out in the control room server. In a step S550, the control center server determines a target position and a target orientation (heading) for the vehicle. In a step S552, a model-based determination of an image of the surroundings takes place on the basis of the target position and the target orientation. In a step S554, the image is transmitted to the safety ECU of the vehicle. In this case, a model-based image of the vehicle environment is generated that corresponds to the target specifications of the control center. This image is transmitted from the control center to the safety ECU. This image transmission enables the plausibility of the vehicle-internal localization to be checked, for example by comparing the model-based image received from the control center with one or more images from the surroundings sensors (26 in FIG. 1), for example a camera. In other words, the vehicle status can also be compared with the aid of a model-based plausibility check. For example, street, building and landscape models can be used as they are known to those skilled in the art from navigation systems.
FIG. 6a zeigt eine Ausführungsform der Übertragung von Steuerbefehlen vom Leit stand zur Safety-ECU. Ein erster Steuerbefehl„Soll-Lenkwinkel = - 90°“ (scharf links) wird an die Safety-ECU übersandt. Der Steuerbefehl enthält als zusätzliche Informa tion einen Zeitstempel 7:52:20, der angibt, für welche Uhrzeit der Steuerbefehl vor gesehen ist. Zwei Sekunden später wird ein zweiter Steuerbefehl„Soll-Lenkwinkel = 0°“ (geradaus) mit Zeitstempel 7:52:22 an die Safety-ECU übersandt. Danach wird ein dritter Steuerbefehl„Soll-Lenkwinkel = + 90°“ (scharf rechts) mit Zeitstempel 7:52:23 an die Safety-ECU übersandt. Ist die Funkverbindung zwischen Leitstand und Safety-ECU unterbrochen, so werden Befehle vom Leitstand bzw. der Kommuni kationseinrichtung für die Dauer des Ausfalls zwischengespeichert und nach Wieder aufbau der Funkverbindung übermittelt. Anhand der Zeitstempel kann die Safety- ECU erkennen, für welchen Zeitpunkt ein Steuerbefehl vorgesehen war und notfalls Befehle verwerfen oder korrigieren, um den kurzzeitigen Ausfall der Funkverbindung zu kompensieren. Alternativ oder zusätzlich können auch Positionierungsdaten auf diese Weise übertragen werden. FIG. 6a shows an embodiment of the transmission of control commands from the control stand to the safety ECU. A first control command “target steering angle = - 90 °” (sharp left) is sent to the safety ECU. As additional information, the control command contains a time stamp 7:52:20, which specifies the time for which the control command is intended. Two seconds later, a second control command "Target steering angle = 0 °" (straight ahead) with a time stamp of 7:52:22 is sent to the Safety ECU. Then a third control command “target steering angle = + 90 °” (sharp right) with time stamp 7:52:23 is sent to the safety ECU. If the radio connection between the control center and the safety ECU is interrupted, commands from the control center or the communication device are temporarily stored for the duration of the failure and transmitted after the radio connection is re-established. Using the time stamp, the Safety-ECU can recognize the point in time for which a control command was intended and, if necessary, discard or correct commands in order to compensate for the brief failure of the radio link. Alternatively or additionally, positioning data can also be transmitted in this way.
FIG. 6b zeigt eine weitere Ausführungsform der Übertragung von Steuerbefehlen vom Leitstand zur Safety-ECU. Ein Steuerbefehl„Soll-Lenkwinkel = - 10°“ wird an die Safety-ECU übersandt. Ein Parameter„aktuell“ gibt an, dass es sich dabei um einen aktuell gültigen Steuerbefehl handelt. Gleichzeitig mit der Übersendung dieses Steu erbefehls wird ein zweiter Steuerbefehl„Soll-Lenkwinkel = - 8°“ an die Safety-ECU übersandt. Ein Parameter„vorherig“ gibt an, dass es sich bei diesem Steuerbefehl um einen dem aktuellen Steuerbefehl unmittelbar vorhergehenden Steuerbefehl handelt, also den zuletzt von der Leitstelle gesendeten Steuerbefehl. Durch Vergleich dieses vorherigen Steuerbefehls mit dem in der Safety-ECU vorliegenden Steuerbe fehl kann die Safety-ECU erkennen, ob ein konsistenter Empfang von Steuerbefeh len erfolgt, oder ob womöglich Steuerbefehle aufgrund von Übertragungsfehlern ver loren gegangen sind. Alternativ könnten Steuerbefehle auch mit laufenden Nummern versehen werden und die Safety-ECU könnte anhand der Nummern der empfange nen Befehle solche Rückschlüsse ziehen. Alternativ oder zusätzlich können auch Positionierungsdaten auf diese Weise übertragen werden. FIG. 6b shows a further embodiment of the transmission of control commands from the control station to the safety ECU. A control command "target steering angle = - 10 °" is sent to the safety ECU. A "current" parameter indicates that this is a currently valid control command. At the same time as this control command is sent, a second control command “Target steering angle = - 8 °” is sent to the Safety ECU. A "previous" parameter indicates that this control command is a control command immediately preceding the current control command, ie the control command last sent by the control center. By comparison This previous control command with the control command present in the Safety-ECU, the Safety-ECU can recognize whether a consistent reception of control commands is taking place or whether control commands have possibly been lost due to transmission errors. Alternatively, control commands could also be provided with sequential numbers and the safety ECU could draw such conclusions based on the numbers of the commands received. Alternatively or additionally, positioning data can also be transmitted in this way.
Die Safety-Steuereinheit 20 kann ferner so ausgelegt sein, dass sie einen Fehler auf Grundlage eines vorgegebenen Schwellwerts ausgibt. Wenn die Abweichung von einer Ist-Größe zu einem zuvor empfangenen Steuerbefehl über einer definierten Schwelle liegt, dann liegt höchstwahrscheinlich ein Übermittlungsfehler vor (z.B. Lenkwinkel vorher 90° links, neuer Lenkwinkel 90° rechts). Diese Situation kann dann durch die erneute Anforderung des letzten Steuerbefehls gelöst werden. The safety control unit 20 can furthermore be designed in such a way that it outputs an error on the basis of a predefined threshold value. If the deviation from an actual value to a previously received control command is above a defined threshold, then there is most likely a transmission error (e.g. steering angle previously 90 ° left, new steering angle 90 ° right). This situation can then be resolved by requesting the last control command again.
Um die Konsistenz der Daten, d.h. der Steuerbefehle bzw. Sollwerte vom Leitstand and die Safety-Steuereinheit bzw. von Sensordaten und Fahrzeuginformationen von der Safety-ECU and den Leitstand sicherzustellen, könnten diese mit Hilfe der BlockChain-Technologie übertragen und validiert werden. To ensure the consistency of the data, i.e. the control commands or setpoints from the control station to the safety control unit or of sensor data and vehicle information from the safety ECU to the control station, these could be transmitted and validated with the help of BlockChain technology.
Als weitere Alternative wird vom Leitsystem ein sicherer Fahrbereich („Safety-Area“) definiert und an das Fahrzeug übermittelt. Durch diese Übermittlung einer Safety- Area durch das Leitsystem können bestimmte Pfade vom Leitsystem z.B. gesperrt oder eingeschränkt werden. Die Definition einer virtuellen Grenze kann entweder Po sitionsabhängig via GNSS-Technologie (oder andere Funktechnologien wie WLAN oder UWB) vom Leitsystem definiert werden oder ist abhängig von einer Umfeldsen sorik welche in der Infrastruktur der Umgebung verbaut ist. Falls die Funkverbindung zum Leitstand abbricht, darf sich das Fahrzeug weiterhin in der gegebenen Safety- Area bewegen. Fällt die Funkverbindung über einen längeren Zeitraum aus, kann die weitere Steuerung kaskadenartig durch den Abgleich mit bereits übermittelten Fahr zeugdaten bis hin zum Not-Stop realisiert werden. Erkennt das Fahrzeug beispiels weise selbst über ein Lokalisierungsverfahren, dass es eine gegebene Safety-Area verlässt, dann schaltet es sich selbsttätig ab (v=0 km/h). Hierfür wird beispielsweise eine prädizierte (nächste erwartete) Ist-Position auf Grundlage der aktuellen Fahr zeuggeschwindigkeit und Orientierung berechnet (Safety-Area-Position und Hea- ding), um vorherzusagen, wohin sich das Fahrzeug bewegen wird. Danach erfolgt ein Abgleich der durch die Safety-Area vom Leitstand vorgegebene Soll-Position (bzw. Sollpositionen) mit der Fahrzeug-internen Berechnung (prädizierte Position). Wird anhand einer Abweichung zwischen Soll und Prädiktion erkannt, dass das Fahrzeug die Safety-Area verlässt, dann schaltet das Fahrzeug selbsttätig ab. Bei dieser Alter native kann der Funk-Notaus-Schalter ggf. eingespart werden. As a further alternative, the control system defines a safe driving area (“Safety Area”) and transmits it to the vehicle. This transmission of a safety area by the control system enables certain paths to be blocked or restricted by the control system, for example. The definition of a virtual boundary can either be defined by the control system as a function of the position via GNSS technology (or other radio technologies such as WLAN or UWB) or it is dependent on environmental sensors that are built into the infrastructure of the environment. If the radio connection to the control room breaks down, the vehicle may continue to move in the given safety area. If the radio link fails over a longer period of time, further control can be implemented in a cascade-like manner by comparing it with vehicle data that has already been transmitted, including an emergency stop. For example, if the vehicle detects itself using a localization process that it is leaving a given safety area, it switches itself off (v = 0 km / h). For example a predicted (next expected) actual position is calculated based on the current vehicle speed and orientation (safety area position and head- ing) in order to predict where the vehicle will move. The target position (or target positions) specified by the safety area from the control center is then compared with the vehicle-internal calculation (predicted position). If, on the basis of a deviation between the target and the prediction, it is recognized that the vehicle is leaving the safety area, the vehicle switches off automatically. With this alternative, the wireless emergency stop switch can be saved if necessary.
Zusätzlich oder alternativ kann auch dynamisch eine Safety-Area um das Fahrzeug selbst definiert werden. Zur Definition der Safety-Area können beispielsweise mit Hil fe der GNSS-Technologie oder von Daten von Umfeldsensoren virtuelle Grenzen um das Fahrzeug herum errichtet werden. Eine solche unmittelbar vor dem Fahrzeug befindliche Safety-Area kann insbesondere ganz oder in Teilgebiete zerlegt für ande re Fahrzeuge gesperrt werden. Somit kann z.B. eine Kollision mit anderen Fahrzeu gen vermieden werden. Eine solche dynamische SafetyArea (virtuelle Grenze) um das Fahrzeug selbst kann durch die am Fahrzeug befindliche Umfeldsensorik zudem überwacht werden. In der Safety-Area können z.B. Hindernisse, Objekte oder fremde Fahrzeuge aufgeführt werden. Die Safety-Area oder deren Teilbereiche können auch verwendet werden, um benutzerdefinierte Warnmeldungen auszulösen, z.B. Informa tionen über Geschwindigkeitsbegrenzungen oder andere Sicherheitshinweise. Additionally or alternatively, a safety area can be dynamically defined around the vehicle itself. To define the safety area, virtual boundaries can be set up around the vehicle, for example with the aid of GNSS technology or data from environment sensors. Such a safety area located directly in front of the vehicle can, in particular, be blocked completely or broken down into partial areas for other vehicles. In this way, for example, a collision with other vehicles can be avoided. Such a dynamic safety area (virtual boundary) around the vehicle itself can also be monitored by the environment sensors on the vehicle. In the safety area, for example, obstacles, objects or other vehicles can be listed. The safety area or its sub-areas can also be used to trigger user-defined warning messages, e.g. information about speed limits or other safety instructions.
Bezuqszeichen autonomes Fahrzeug Related to autonomous vehicle
Steuereinheit für Lenksystem Control unit for steering system
Steuereinheit für Bremssystem Control unit for braking system
Steuereinheit für Antriebstrang Control unit for drive train
Steuereinheit für autonomes Fahren Safety-Steuereinheit (Safety-ECU) Control unit for autonomous driving Safety control unit (Safety-ECU)
Satellitennavigationseinheit Satellite navigation unit
Sensoreinrichtung Sensor device
Fahrzeugkommunikationsnetzwerk Vehicle communication network
Notaus-Steuereinheit (Notaus-ECU) Benutzerschnittstelle Emergency Stop Control Unit (Emergency Stop ECU) user interface
Funkmodul der Safety-ECU Radio module of the safety ECU
Funkmodul der Notaus-Steuereinheit erste Funkverbindung Radio module of the emergency stop control unit first radio connection
zweite Funkverbindung second radio link
Prozessor processor
RAM-Speicher RAM
ROM-Speicher ROM memory
Speicherlaufwerk Storage drive
Kommunikationsschnittstelle Communication interface
Leitstand Control room
Leitstand-Server Control room server
Leitstand-Funkmodul Control room radio module

Claims

Patentansprüche Claims
1. Steuereinheit (20) für ein autonomes oder teilautonomes Fahrzeug (10), um fassend einen Prozessor (40), der dazu ausgelegt ist, 1. Control unit (20) for an autonomous or partially autonomous vehicle (10), comprising a processor (40) which is designed to
über eine Schnittstelle (45) zu einem Fahrzeugkommunikationsnetz (28) Ist- Zustandsdaten bezüglich des Fahrzeugs (10) zu erhalten, to receive actual status data relating to the vehicle (10) via an interface (45) to a vehicle communication network (28),
über eine Schnittstelle (47) zu einer Funkverbindung (37) von einem Leitsys tem (100) Soll-Zustandsdaten oder Steuerbefehle zu empfangen; via an interface (47) to a radio link (37) from a control system (100) to receive target status data or control commands;
eine Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustands daten zu bestimmen; und to determine a discrepancy between the target status data and the actual status data; and
basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist- Zustandsdaten ein oder mehrere Fahrzeugkomponenten (12, 14, 16, 18) anzusteu ern, um einen sicheren Zustand des Fahrzeugs (10) zu erreichen oder zu erhalten. to control one or more vehicle components (12, 14, 16, 18) based on the deviation between the target state data and the actual state data in order to achieve or maintain a safe state of the vehicle (10).
2. Steuereinheit (20) nach Anspruch 1 , wobei der Prozessor (40) dazu ausgelegt ist, die Ist-Zustandsdaten über die Funkverbindung (37) an das Leitsystem (100) zu senden. 2. Control unit (20) according to claim 1, wherein the processor (40) is designed to send the actual status data via the radio link (37) to the control system (100).
3. Steuereinheit (20) nach Anspruch 1 oder 2, wobei die Ist-Zustandsdaten eine Position, eine Geschwindigkeit, einen Lenkwinkel, eine Gierwinkelgeschwindigkeit, eine Gierrate, einen Lagewinkel, eine Lagewinkelbeschleunigung, eine Beschleuni gung und/oder eine Querbeschleunigung, oder Daten von Umfeldsensoren umfas sen. 3. Control unit (20) according to claim 1 or 2, wherein the actual status data is a position, a speed, a steering angle, a yaw rate, a yaw rate, a position angle, a position angle acceleration, an acceleration and / or a lateral acceleration, or data from Surrounding sensors include.
4. Steuereinheit (20) nach einem der vorangehenden Ansprüche, wobei die Soll- Zustandsdaten eine Sollposition, eine Sollorientierung oder Steuerbefehle umfassen. 4. Control unit (20) according to one of the preceding claims, wherein the target status data comprise a target position, a target orientation or control commands.
5. Steuereinheit (20) nach einem der vorangehenden Ansprüche, wobei die Soll- Zustandsdaten ein modellbasiertes Bild umfassen und der Prozessor (40) dazu aus gelegt ist, die Abweichung zwischen den vorgegebenen Soll-Zustandsdaten und den Ist-Zustandsdaten auf Grundlage einer modellbasierten Plausibilisierung zu erken nen. 5. Control unit (20) according to one of the preceding claims, wherein the target status data comprise a model-based image and the processor (40) is designed to determine the deviation between the specified target status data and the actual status data on the basis of a model-based plausibility check to recognize.
6. Steuereinheit (20) nach einem der vorangehenden Ansprüche, wobei der Pro zessor (40) dazu ausgelegt ist, Zeitstempel auszuwerten, die mit den Soll- Zustandsdaten empfangen werden. 6. Control unit (20) according to any one of the preceding claims, wherein the processor (40) is designed to evaluate time stamps that are received with the target status data.
7. Steuereinheit (20) nach einem der vorangehenden Ansprüche, wobei die Soll- Zustandsdaten Informationen umfassen, die einen sicheren Fahrbereich definieren. 7. Control unit (20) according to one of the preceding claims, wherein the target status data comprise information that defines a safe driving area.
8. Steuerungssystem für ein autonomes oder teilautonomes Fahrzeug (10), um fassend die Steuereinheit (20) nach einem der vorangehenden Ansprüche, sowie eine Notaus-Steuereinheit (30), die dazu ausgelegt ist, über eine zweite Funkverbin dung (38) ein Aktivierungssignal für einen sicheren Zustand des Fahrzeugs zu empfangen, und in Reaktion auf das Aktivierungssignal ein oder mehrere Fahr zeugkomponenten (12, 14, 16, 18) so anzusteuern, dass ein sicherer Zustand des Fahrzeugs erreicht wird. 8. Control system for an autonomous or partially autonomous vehicle (10) to summarize the control unit (20) according to one of the preceding claims, and an emergency control unit (30) which is designed to send an activation signal via a second radio link (38) to receive for a safe state of the vehicle, and in response to the activation signal to control one or more vehicle components (12, 14, 16, 18) so that a safe state of the vehicle is achieved.
9. Fahrzeug (10), umfassend eine Steuereinheit (20) nach einem der Ansprüche 1 bis 7 oder ein Steuersystem nach Anspruch 8. 9. A vehicle (10) comprising a control unit (20) according to any one of claims 1 to 7 or a control system according to claim 8.
10. Leitsystem (100) für ein autonomes oder teilautonomes Fahrzeug (10), umfas send einen Prozessor (110), der dazu ausgelegt ist: 10. Control system (100) for an autonomous or partially autonomous vehicle (10), comprising a processor (110) which is designed to:
Soll-Zustandsdaten über eine Funkverbindung (37) an eine Steuereinheit (20) eines autonomen oder teilautonomen Fahrzeugs (10) zu senden; To send target status data via a radio link (37) to a control unit (20) of an autonomous or partially autonomous vehicle (10);
Ist-Zustandsdaten über die Funkverbindung (37) von der Steuereinheit (20) des autonomen oder teilautonomen Fahrzeugs (10) zu empfangen; Receiving actual status data via the radio link (37) from the control unit (20) of the autonomous or semi-autonomous vehicle (10);
eine Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustands daten zu bestimmen; und to determine a discrepancy between the target status data and the actual status data; and
basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist- Zustandsdaten die Steuereinheit (20) des autonomen oder teilautonomen Fahrzeugs (10) über die Funkverbindung (37) anzusteuern, um einen sicheren Zustand des Fahrzeugs (10) zu erreichen oder zu erhalten. to control the control unit (20) of the autonomous or semi-autonomous vehicle (10) via the radio link (37) based on the deviation between the target state data and the actual state data in order to achieve or maintain a safe state of the vehicle (10).
11. Leitsystem (100) nach Anspruch 10, wobei der Prozessor (110) ferner dazu ausgelegt ist, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten oder aufgrund eines manuellen Befehls, eine Notaus- Steuereinheit (30) im autonomen oder teilautonomen Fahrzeug (10) über eine zweite Funkverbindung (38) anzusteuern, um das Fahrzeug (10) in einen sicheren Zustand zu überführen. 11. Control system (100) according to claim 10, wherein the processor (110) is further designed based on the deviation between the target status data and the actual status data or, on the basis of a manual command, to control an emergency stop control unit (30) in the autonomous or semi-autonomous vehicle (10) via a second radio link (38) in order to transfer the vehicle (10) to a safe state.
12. Verfahren zur Steuerung eines autonomen oder teilautonomen Fahrzeugs (10), umfassend die Schritte: 12. A method for controlling an autonomous or partially autonomous vehicle (10), comprising the steps:
Erhalten, über eine Schnittstelle (45) zu einem Fahrzeugkommunikationsnetz (28) von Ist-Zustandsdaten bezüglich des Fahrzeugs (1 ), Obtaining, via an interface (45) to a vehicle communication network (28), actual status data relating to the vehicle (1),
Empfangen, über eine Schnittstelle (47) zu einer Funkverbindung (37), von ei nem Leitsystem (100) von Soll-Zustandsdaten oder Steuerbefehlen; Receiving, via an interface (47) to a radio link (37), from a control system (100) of target status data or control commands;
Bestimmen einer Abweichung zwischen den Soll-Zustandsdaten und den Ist- Zustandsdaten; und Determining a discrepancy between the target status data and the actual status data; and
Ansteuern, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten, von ein oder mehreren Fahrzeugkomponenten (12, 14, 16, 18), um einen sicheren Zustand des Fahrzeugs (10) zu erreichen oder zu erhal ten. Activation of one or more vehicle components (12, 14, 16, 18) based on the deviation between the target status data and the actual status data in order to achieve or maintain a safe status of the vehicle (10).
13. Verfahren zur Leitung eines autonomen oder teilautonomen Fahrzeugs (10), umfassend die Schritte: 13. A method for managing an autonomous or partially autonomous vehicle (10), comprising the steps:
Senden von Soll-Zustandsdaten über eine Funkverbindung (37) an eine Steu ereinheit (20) eines autonomen oder teilautonomen Fahrzeugs (10); Sending target status data via a radio link (37) to a control unit (20) of an autonomous or semi-autonomous vehicle (10);
Empfangen von Ist-Zustandsdaten über die Funkverbindung (37) von der Steuereinheit (20) des autonomen oder teilautonomen Fahrzeugs (10); Receiving actual status data via the radio link (37) from the control unit (20) of the autonomous or semi-autonomous vehicle (10);
Bestimmen einer Abweichung zwischen den Soll-Zustandsdaten und den Ist- Zustandsdaten; und Determining a discrepancy between the target status data and the actual status data; and
Ansteuern, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten, von der Steuereinheit (20) des autonomen oder teilauto nomen Fahrzeugs (10) über die Funkverbindung (37), um einen sicheren Zustand des Fahrzeugs (10) zu erreichen oder zu erhalten. Activation based on the deviation between the target status data and the actual status data from the control unit (20) of the autonomous or partially autonomous vehicle (10) via the radio link (37) in order to achieve a safe state of the vehicle (10) or to receive.
14. Verfahren nach Anspruch 13, wobei das Verfahren ferner den Schritt umfasst:14. The method of claim 13, the method further comprising the step of:
Ansteuern, basierend auf der Abweichung zwischen den Soll-Zustandsdaten und den Ist-Zustandsdaten oder aufgrund eines manuellen Befehls, einer Notaus- Steuereinheit (30) im autonomen oder teilautonomen Fahrzeug (10) über eine zweite Funkverbindung (38), um das Fahrzeug (10) in einen sicheren Zustand zu überfüh ren. Control, based on the deviation between the target status data and the actual status data or on the basis of a manual command, an emergency stop control unit (30) in the autonomous or partially autonomous vehicle (10) via a second radio link (38) to the vehicle (10 ) in a safe state.
PCT/EP2020/050342 2019-02-11 2020-01-09 Method and control unit for operating an autonomous vehicle WO2020164814A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019201689.8A DE102019201689A1 (en) 2019-02-11 2019-02-11 Method and control unit for operating an autonomous vehicle
DE102019201689.8 2019-02-11

Publications (1)

Publication Number Publication Date
WO2020164814A1 true WO2020164814A1 (en) 2020-08-20

Family

ID=69157847

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/050342 WO2020164814A1 (en) 2019-02-11 2020-01-09 Method and control unit for operating an autonomous vehicle

Country Status (2)

Country Link
DE (1) DE102019201689A1 (en)
WO (1) WO2020164814A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022001241A1 (en) * 2022-04-12 2023-10-12 Mercedes-Benz Group AG Method of operating a vehicle
DE102022205944A1 (en) 2022-06-13 2023-12-14 Robert Bosch Gesellschaft mit beschränkter Haftung Method for operating a robotic device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10000919A1 (en) * 2000-01-12 2001-07-19 Volkswagen Ag Monitoring autonomous vehicle using control center involves comparing vehicle position with desired position on digital map, automatically stopping vehicle if position error exceeded
DE102012222562A1 (en) * 2012-12-07 2014-06-12 Robert Bosch Gmbh System for managing parking spaces in e.g. public park for transferring vehicle from start to target position, has central processing unit to generate speed control signals and pass to transfer unit for transmission to vehicle
US20180339703A1 (en) * 2017-05-26 2018-11-29 Sucxess LLC Vehicle with remote-controlled operating mode

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9494935B2 (en) * 2014-11-13 2016-11-15 Toyota Motor Engineering & Manufacturing North America, Inc. Remote operation of autonomous vehicle in unexpected environment
DE102015208053A1 (en) * 2015-04-30 2016-11-03 Robert Bosch Gmbh Method and device for reducing the risk to and / or from a vehicle located in a parking space
US20160363647A1 (en) * 2015-06-15 2016-12-15 GM Global Technology Operations LLC Vehicle positioning in intersection using visual cues, stationary objects, and gps
DE102017210859A1 (en) * 2017-06-28 2019-01-03 Robert Bosch Gmbh Method for self-checking driving functions of an autonomous or semi-autonomous vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10000919A1 (en) * 2000-01-12 2001-07-19 Volkswagen Ag Monitoring autonomous vehicle using control center involves comparing vehicle position with desired position on digital map, automatically stopping vehicle if position error exceeded
DE102012222562A1 (en) * 2012-12-07 2014-06-12 Robert Bosch Gmbh System for managing parking spaces in e.g. public park for transferring vehicle from start to target position, has central processing unit to generate speed control signals and pass to transfer unit for transmission to vehicle
US20180339703A1 (en) * 2017-05-26 2018-11-29 Sucxess LLC Vehicle with remote-controlled operating mode

Also Published As

Publication number Publication date
DE102019201689A1 (en) 2020-08-13

Similar Documents

Publication Publication Date Title
EP3148857B1 (en) Vehicle control system for autonomously guiding a vehicle
WO2018050785A1 (en) Method and device for controlling a movement of a vehicle, and vehicle movement control system
EP3948466B1 (en) Method and device for teleoperatively driving a vehicle
WO2020015923A1 (en) Method for operating an autonomous vehicle, and autonomous vehicle
DE102008003205A1 (en) Device, method and computer program for collision avoidance or for reducing the collision severity as a result of a collision for vehicles, in particular commercial vehicles
EP3625784A1 (en) Control arrangement for adjusting a distance between two vehicles and method for adjusting a distance between two vehicles using a control arrangement of this kind
DE102018118568A1 (en) REDUNDANT ACTIVE CONTROL SYSTEM COORDINATION
DE102016122686A1 (en) Method for informing a road user about a traffic situation
WO2021156089A1 (en) Method for monitoring an electrical steering device, and steering device
WO2020164814A1 (en) Method and control unit for operating an autonomous vehicle
DE102017208462A1 (en) Method and device for determining operating data for an automated vehicle
EP4176378A1 (en) Method for capturing the surroundings using at least two independent imaging surroundings capture sensors, apparatus for performing the method, vehicle and appropriately designed computer program
EP3653460A1 (en) Method and control unit for operating an autonomous vehicle
DE102017201196A1 (en) Method for operating a vehicle convoy
DE102018200804A1 (en) Method for controlling a highly or fully automated vehicle
DE102006026653A1 (en) Main vehicle controlling method, involves transmitting information from test vehicle to control devices of main vehicle, and controlling main vehicle during leaving stretch of road by control devices depending on information
DE102019127050A1 (en) Method and device for self-diagnosis of an environment sensor
DE102020133412A1 (en) System and method for determining a lane change maneuver
WO2020038686A1 (en) Scalable remote operation of autonomous robots
DE102019113963A1 (en) Method and control unit for operating a driving function
DE102018211236A1 (en) Method for operating an automated vehicle column
EP4320021A1 (en) Method for operating an assistance system, and assistance system
DE102020104118A1 (en) Method and driving system for assisting a driver of a vehicle in forming an emergency lane
DE102019134922A1 (en) Method for operating an autonomous, moving road user
DE102018219143A1 (en) Redundant distance control in a vehicle convoy

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20700455

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 20700455

Country of ref document: EP

Kind code of ref document: A1