WO2020200535A1 - System zum sicheren teleoperierten fahren - Google Patents
System zum sicheren teleoperierten fahren Download PDFInfo
- Publication number
- WO2020200535A1 WO2020200535A1 PCT/EP2020/051610 EP2020051610W WO2020200535A1 WO 2020200535 A1 WO2020200535 A1 WO 2020200535A1 EP 2020051610 W EP2020051610 W EP 2020051610W WO 2020200535 A1 WO2020200535 A1 WO 2020200535A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- vehicle
- information
- following
- components
- remote control
- Prior art date
Links
- 238000004891 communication Methods 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 7
- 230000001413 cellular effect Effects 0.000 claims description 6
- 238000003745 diagnosis Methods 0.000 claims description 6
- 230000004913 activation Effects 0.000 claims description 5
- 238000007726 management method Methods 0.000 claims description 4
- 238000013459 approach Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 claims description 3
- 230000033001 locomotion Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 2
- 230000000903 blocking effect Effects 0.000 claims 1
- 238000003780 insertion Methods 0.000 claims 1
- 230000037431 insertion Effects 0.000 claims 1
- 238000010295 mobile communication Methods 0.000 abstract description 2
- 206010011906 Death Diseases 0.000 description 13
- 238000000034 method Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 201000004569 Blindness Diseases 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0011—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
- G05D1/0022—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement characterised by the communication link
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0011—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
- G05D1/0038—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement by providing the operator with simple or augmented images from one or more cameras located onboard the vehicle, e.g. tele-operation
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0055—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
- H04W28/24—Negotiating SLA [Service Level Agreement]; Negotiating QoS [Quality of Service]
Definitions
- the present invention relates to a system for teleoperating
- Driving teleoperated driving, ToD.
- Vehicle guidance interface (“driver's workplace”) and a drivable person authorized to drive the vehicle as a vehicle occupant who is able to take over the guidance if necessary.
- the subject of numerous research projects is what is known as teleoperated driving, in which the vehicle uses remote control to cope with challenging scenarios - such as detours via dirt roads, alternative and unconventional routes, etc. - or the driving task is carried out by an external operator in a control center, the so-called operator, can be taken over entirely at times.
- operators are connected to one another by a mobile network with low latency and high data rates.
- No. 9,494,935 B2 discloses computer devices, systems and methods for remote control of an autonomous passenger vehicle.
- an autonomous vehicle enters an unexpected environment such as B. encounters a road construction site or an obstacle that is unsuitable for autonomous operation, the vehicle sensors can provide data about the vehicle and the unexpected
- Capture environment including images, radar and lidar data, etc.
- the captured data can be sent to a remote operator.
- the remote operator can operate the vehicle remotely or manually autonomous vehicle giving instructions by various
- Vehicle systems are to be executed.
- the collected data sent to the remote operator can be optimized to save bandwidth, e.g. B. a limited subset of the recorded data is sent.
- a vehicle according to US Pat. No. 9,767,369 B2 can receive one or more images of the surroundings of the vehicle.
- the vehicle can also have a
- the vehicle can also match at least one feature in the images with one or more features in the map.
- the vehicle may also identify a particular area in the one or more images that corresponds to a portion of the map that is a threshold distance from the one or more features.
- the vehicle may also compress the one or more images to capture a lesser amount of detail in areas of the images than the given area.
- the vehicle can also provide the compressed images to a remote system and receive operating instructions in response from the remote system.
- An exemplary method includes operating an autonomous vehicle in a first autonomous mode. The method may also include identifying a situation in which a confidence level of autonomous operation in the first autonomous mode is below a threshold level. The method may also include sending a request for assistance to a remote vehicle.
- the method can additionally include receiving a response from the remote assistant, the response indicating a second autonomous operating mode.
- the method can also cause the autonomous vehicle to operate in the second autonomous mode according to the response from the remote assistant.
- No. 9,720,410 B2 discloses a further method for remote support for autonomous vehicles in predetermined situations.
- the invention provides a system for safe teleoperated driving according to claim 1.
- An advantage of the approach proposed for this purpose lies in the creation of an architecture and integration of the components of a system for (functionally) safe remote control of the partially or fully automated vehicle by an operator in a control center. This is achieved by defining the safety-critical system components for teleoperated driving and describing an operational and information-safe system integration to achieve a corresponding system behavior.
- Additional optional components can be provided to enable or improve the remote sensing and remote control tasks.
- a system and the associated system architecture for teleoperated driving are created which integrate all relevant system components in order to enable remote sensing and remote control of the ferry operation, taking into account the characteristics of a mobile Communication link and various operating modes
- the figure shows the block diagram of a system according to a
- the figure shows a ToD vehicle (20), a cellular network (60), for example the fifth generation (5G), a backend (80), remote control devices (90), infrastructure components (70) and the most important components contained in each .
- a component (21) for detecting the surroundings collects all information relating to the surroundings of the ToD vehicle (20), for example by means of
- Radar sensors camera sensors, ultrasonic sensors, lidar sensors,
- RPM sensor RPM sensor
- IMU inertial measurement unit
- crash detector A component (22) for
- Vehicle inferior sensing uses all sensors in the vehicle (20) for driver and passenger monitoring, for example
- Vehicle motion control is for the
- AD autonomous driving
- ADAS Advanced Driver Assistance Systems
- Corresponding components (24) relate, for example, to the
- Vehicle (20) leads or drives without direct visual contact, so that the vehicle information and the vehicle environment must be transmitted and displayed to the operator and
- Vehicle (20) leads or drives with direct visual contact, so that the operator has the possibility of directly checking the vehicle status and the surroundings.
- a telematics unit (connectivity control unit, CCU 26) forms the interface of the system (10) for communication via the 5G cellular network (60).
- a component (27) for diagnosis information management is responsible for general system diagnosis; a vehicle-internal human-machine interface (HMI 28) forms the interface to the driver or front passenger of the vehicle (20).
- HMI 28 vehicle-internal human-machine interface
- Devices (29) for passive safety include, for example, airbags, so-called pre-crash detection and
- Event data recorder A component (30) for body control (body control!) Is for power supply, communication in the vehicle (20), vehicle access system and lighting system
- Further safety-relevant components (40) are responsible for all safety-relevant goals of teleoperated driving.
- the mode of operation of the system (10) takes into account the following security objectives: 1. the detection of communication errors on both sides (sender, receiver) to keep the system (10) within a specified range
- a communication protocol monitor (41) monitors the 5G communication line under all of the above-mentioned aspects of the
- a component (44) is used to check the system before the transfer to the remote control devices (90) and the operator. In the case of an undefined situation, there is no handover. The system limit is checked after handover from the operator to the automated vehicle (20) by a corresponding one Component (47) to clarify the question of whether the automated vehicle (20) can carry out its normal driving task.
- Diagnosis management (50): A ToD diagnosis (for autonomy levels 2 to 5 according to SAE J3016) is triggered before the ToD function is activated. In addition to checking the ToD functionality in the narrower sense (sensor availability, braking, etc.), this diagnosis also includes determining the possible ToD control (maneuvering, path planning, behavior planning, speed, steering, reversing, etc.). If the activation of the ToD function is not possible, the garage or the
- Activation manager (42) provided. All important and available safety-related parameters such as the perceived quality of service (pQoS) and the path complexity should be used for activation in order to reduce the complexity of the safety components in the vehicle (20).
- pQoS perceived quality of service
- path complexity should be used for activation in order to reduce the complexity of the safety components in the vehicle (20).
- A is used to achieve security goal 3
- Authentication manager (45). The authentication of the complete security chain takes the following aspects into account:
- a start-up command generator (48) is used to achieve safety goal 5.
- the starting (drive away) of the automated vehicle (20) is closed check and inform the operator about it, because the vehicle (20) must not be moved in the event of violations.
- underbody vehicle monitoring, all-round vehicle monitoring in a free space of 50 cm, checking of local weather conditions (with regard to temperature, icy road, etc.) and the available sensor power (visibility of the sensor, blindness, etc.) come into consideration.
- a ToD data recorder (51) is used to achieve safety goal 4: All ToD-relevant data, e.g. B. Time stamp of the handover, operator ID, driving style of the operator, communication channel used,
- the received network QoS value is to be checked by a service level computer (43) and forwarded to the associated security components.
- a driving task tester (46) is responsible for checking whether the driving task requested by the operator can be carried out and there are no safety goals with regard to the ToD and
- the operator can control the system (10) in the event of an error.
- HARA HARA
- ISO 26262 ISO 25119 or DIN EN 16590
- the stated security goals are assessed differently.
- a system (10) according to the invention is therefore the highest motor vehicle technology defined for the entire functionality
Landscapes
- Engineering & Computer Science (AREA)
- Remote Sensing (AREA)
- Radar, Positioning & Navigation (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Aviation & Aerospace Engineering (AREA)
- Quality & Reliability (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Traffic Control Systems (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Control Of Position, Course, Altitude, Or Attitude Of Moving Bodies (AREA)
Abstract
System (10) zum teleoperierten Fahren, gekennzeichnet durch folgende Merkmale: - das System (10) umfasst ein Fahrzeug (20), ein Backend (80), Fernbedienungsgeräte (90) und - das Fahrzeug (20), das Backend (80) und die Fernbedienungsgeräte (90) sind dazu eingerichtet, sich über ein Mobilfunknetz (60) auszutauschen.
Description
Beschreibung
Titel
System zum sicheren teleoperierten Fahren
Die vorliegende Erfindung betrifft ein System zum teleoperierten
Fahren {teleoperated driving, ToD).
Stand der Technik
Teilautonome Fahrzeuge nach dem Stand der Technik setzen eine
Fahrzeugführungsschnittstelle („Fahrerarbeitsplatz“) sowie eine fahrtüchtige und zum Führen des Fahrzeuges autorisierte Person als Fahrzeuginsassen voraus, welche die Führung bei Bedarf zu übernehmen vermag. Den Gegenstand zahlreicher Forschungsprojekte bildet das sogenannte teleoperierte Fahren, bei welchem das Fahrzeug im Wege einer Fernsteuerung bei der Bewältigung herausfordernder Szenarien - wie Umleitungen über Feldwege, alternativer und unkonventioneller Routen o. ä. - unterstützt oder die Fahraufgabe durch einen externen Bediener in einer Leitstelle, den sogenannten Operator, zeitweise gänzlich übernommen werden kann. Fahrzeug und Leitstelle bzw. deren
Betreiber sind hierzu durch ein Mobilfunknetzwerk von geringer Latenz und hoher Datenrate miteinander verbunden.
US 9,494,935 B2 offenbart Computervorrichtungen, Systeme und Verfahren für die Fernbedingung eines autonomen Passagierfahrzeugs. Wenn ein autonomes Fahrzeug einer unerwarteten Umgebung wie z. B. einer Straßenbaustelle oder einem Hindernis begegnet, die für autonome Bedienung ungeeignet ist, können die Fahrzeugsensoren Daten über das Fahrzeug und die unerwartete
Umgebung, einschließlich Bilder, Radar- und Lidar-Daten usw. erfassen. Die erfassten Daten können zu einem entfernten Bediener gesendet werden. Der entfernte Bediener kann das Fahrzeug manuell entfernt bedienen oder dem
autonomen Fahrzeug Anweisungen erteilen, die von verschiedenen
Fahrzeugsystemen ausgeführt werden sollen. Die zu dem entfernten Bediener gesendeten erfassten Daten können optimiert werden, um Bandbreite zu sparen, indem z. B. eine eingeschränkte Untermenge der erfassten Daten versendet wird.
Ein Fahrzeug gemäß US 9,767,369 B2 kann ein oder mehrere Bilder einer Umgebung des Fahrzeugs empfangen. Das Fahrzeug kann auch eine
Umgebungskarte erhalten. Das Fahrzeug kann auch mindestens ein Merkmal in den Bildern mit einem oder mehreren Merkmalen in der Karte abgleichen. Das Fahrzeug kann auch einen bestimmten Bereich in dem einen oder den mehreren Bildern identifizieren, der einem Teil der Karte entspricht, der sich in einem Schwellenabstand zu dem einen oder den mehreren Merkmalen befindet. Das Fahrzeug kann auch das eine oder die mehreren Bilder komprimieren, um eine geringere Menge an Details in Bereichen der Bilder als dem gegebenen Bereich aufzunehmen. Das Fahrzeug kann die komprimierten Bilder auch einem entfernten System bereitstellen und darauf ansprechend Betriebsanweisungen von dem entfernten System empfangen.
Systeme und Verfahren gemäß US 9,465,388 Bl ermöglichen es einem autonomen Fahrzeug, Hilfe von einem entfernten Bediener anzufordern, wenn das Vertrauen des Fahrzeugs in den Betrieb gering ist. Ein beispielhaftes Verfahren umfasst das Betreiben eines autonomen Fahrzeugs in einem ersten autonomen Modus. Das Verfahren kann auch das Identifizieren einer Situation umfassen, in der ein Vertrauensniveau eines autonomen Betriebs im ersten autonomen Modus unter einem Schwellenwertniveau liegt. Das Verfahren kann ferner das Senden einer Anfrage zur Unterstützung an einen entfernten
Assistenten umfassen, wobei die Anfrage Sensordaten einschließt, die einen Teil einer Umgebung des autonomen Fahrzeugs darstellen. Das Verfahren kann zusätzlich das Empfangen einer Antwort von dem entfernten Assistenten umfassen, wobei die Antwort einen zweiten autonomen Betriebsmodus angibt. Das Verfahren kann auch bewirken, dass das autonome Fahrzeug in der zweiten autonomen Betriebsart gemäß der Antwort von dem entfernten Assistenten arbeitet.
US 9,720,410 B2 offenbart ein weiteres Verfahren zur Fernunterstützung für autonome Fahrzeuge in vorbestimmten Situationen.
Offenbarung der Erfindung
Die Erfindung stellt ein System zum sicheren teleoperierten Fahren gemäß Anspruch 1 bereit.
Der erfindungsgemäße Ansatz fußt hierbei auf der Erkenntnis, dass es
Situationen gibt, die ein automatisiertes Fahrzeug nicht selbständig lösen kann, und der Eingriff eines Menschen notwendig ist, um diese Situation bzw.
Systemunzulänglichkeit zu überwinden und das gesamte System in einen sicheren Zustand zu bringen. Dieser Eingriff erfolgt erfindungsgemäß aus der Ferne, sodass sich nicht notwendigerweise ein Fahrer im Fahrzeug befinden muss.
Ein Vorzug des hierzu vorgeschlagenen Ansatzes liegt in der Schaffung einer Architektur und Integration der Komponenten eines Systems zur (funktional) sicheren Fernsteuerung des teil- oder vollautomatisierten Fahrzeugs durch einen Operator in einem Kontrollzentrum. Dies wird durch eine Festlegung der sicherheitskritischen Systemkomponenten für das teleoperierte Fahren und Beschreibung einer betriebs- und informationssicheren {safe and secure) Systemintegration zur Erreichung eines entsprechenden Systemverhaltens erreicht.
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen
Anspruch angegebenen Grundgedankens möglich. So können zusätzliche optionale Komponenten zur Ermöglichung oder Verbesserung der Aufgaben der Fernerkundung und Fernsteuerung vorgesehen sein. Auf diese Weise werden ein System und die dazugehörige Systemarchitektur für teleoperiertes Fahren geschaffen, welche alle relevanten Systemkomponenten integrieren, um eine Fernerkundung ( remote sensing) und Fernsteuerung ( remote controf) des Fährbetriebs unter Berücksichtigung der Eigenschaften einer mobilen
Kommunikationsverbindung und verschiedener Betriebsmodi auf
funktionssichere Weise durchzuführen.
Kurze Beschreibung der Zeichnung
Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und in der nachfolgenden Beschreibung näher erläutert.
Die Figur zeigt das Blockdiagramm eines Systems gemäß einer
Ausführungsform.
Ausführungsformen der Erfindung
Die Abbildung zeigt auf einer hohen Abstraktionsebene ein ToD-Fahrzeug (20), ein Mobilfunknetz (60) zum Beispiel der fünften Generation (5G), ein Backend (80), Fernbedienungsgeräte (90), Infrastrukturkomponenten (70) und die wichtigsten jeweils enthaltenen Komponenten. So sammelt eine Komponente (21) zur Umgebungserfassung ( remote sensing) alle Informationen, die sich auf die Umgebung des ToD-Fahrzeugs (20) beziehen, zum Beispiel mittels
Radarsensoren, Kamerasensoren, Ultraschallsensoren, Lidarsensoren,
Drehzahlfühler, Trägheitsnavigationssystem {inertial measurement unit, IMU) und Crash- Detektor. Eine Komponente (22) zur
Fahrzeuginnenraumerfassung ( vehicle inferior sensing) nutzt alle Sensoren im Fahrzeug (20) zur Fahrer- und Passagierüberwachung, etwa
Fahreraktivitätssensor {driver activity sensor) und Sitzbelegungsinformation ( seat occupation Information). Eine Komponente (23) zur
Fahrzeugbewegungssteuerung ( vehicle motion controf) ist für die
Fahrzeugbewegung und -Stabilität verantwortlich.
Zu erwähnen sind ferner autonome Fahr- ( autonomous driving, AD) und
Fahrerassistenzsystemfunktionen {advanced driver assistance Systems, ADAS). Entsprechende Komponenten (24) betreffen beispielsweise die
Wahrnehmung (perception), Situationsanalyse ( Situation analysis),
Funktionsverhalten ( function behavior), Reaktionsmanager ( reaction manager) sowie Vorhersage (prediction ).
Alle Systemzustände werden in einem Systemzustandsmanager (25) behandelt.
Hierbei werden zwei Betriebsmodi betrachtet:
1. eine Fernbedienung, bei der ein Operator das automatisierte
Fahrzeug (20) ohne direkten Sichtkontakt führt oder fährt, sodass die Fahrzeuginformationen und die Fahrzeugumgebung für den Operator übermittelt und dargestellt werden müssen und
2. eine Fernbedienung, bei der ein Operator das automatisierte
Fahrzeug (20) mit direktem Sichtkontakt führt oder fährt, sodass der Operator die Möglichkeit besitzt, den Fahrzeugstatus und die Umgebung direkt zu kontrollieren.
Eine Telematik-Einheit {Connectivity contro I unit, CCU 26) bildet die Schnittstelle des Systems (10) zur Kommunikation über das 5G-Mobilfunknetz (60). Eine Komponente (27) zur Diagnoseinformationsverwaltung ist für die allgemeine Systemdiagnose zuständig; eine fahrzeuginterne Mensch-Maschine- Schnittsteile ( human-machine interface, HMI 28) bildet die Schnittstelle zum Fahrer oder Beifahrer des Fahrzeugs (20).
Einrichtungen (29) zur passiven Sicherheit {passive safety) umfassen beispielsweise Airbag, sogenannte Pre-Crash- Erkennung und
Ereignisdatenschreiber {event data recorder). Eine Komponente (30) zur Karosseriesteuerung {body contro!) ist für Stromversorgung, Kommunikation im Fahrzeug (20), Fahrzeugzugangssystem und Beleuchtungssystem
verantwortlich. Weitere sicherheitsrelevante Komponenten (40) sind für alle sicherheitsrelevanten Ziele des teleoperierten Fahrens verantwortlich.
Die Arbeitsweise des Systems (10) trägt hierbei den folgenden Sicherheitszielen Rechnung:
1. der Erkennung der Kommunikationsfehler auf beiden Seiten (Sender, Empfänger), um das System (10) innerhalb einer vorgegebenen
Toleranzzeit tc in einen sicheren Zustand zu bringen,
2. der Erkennung der Kompatibilität aller Systemelemente, um das
System (10) innerhalb der Toleranzzeit t0 in einen sicheren Zustand zu bringen,
3. der Erkennung nicht autorisierter Zugriffe auf das System (10), um das System (10) innerhalb der Toleranzzeit ts in einen sicheren Zustand bringen,
4. die Erkennung von Crash-, Pre-Crash- oder anderen relevanten Daten für eine sichere ToD-Funktion und das Senden auf Anforderung zum
Kontrollraum,
5. die Erfassung von Objekten in der Nähe - beispielsweise in beliebigem Winkel in einem Abstand von bis zu 50 cm - des Fahrzeugs (20) und unterhalb des Fahrzeugs (20), um diese dem Operator zu melden sowie
6. die Erfassung der Systemgrenzen und Reaktion innerhalb einer
vorgegebenen Zeitspanne tb bei ihrer Verletzung.
Zur Erreichung dieser Sicherheitsziele dienen verschiedene
Sicherheitskomponenten. Zur Erreichung des Sicherheitsziels 1
beispielsweise überwacht ein Kommunikationsprotokollüberwacher (41) die 5G- Kommunikationslinie unter allen oben genannten Aspekten des
Kommunikationsfehlers (vgl. ISO 26262-6, D.2.4) und meldet den Fehler ggf. dem Systemzustandsmanager (25).
Zur Erreichung des Sicherheitsziels 6 dient eine Komponente (44) zur Systemüberprüfung vor der Übergabe an die Fernbedienungsgeräte (90) und den Operator. Im Falle einer Undefinierten Situation erfolgt keine Übergabe. Die Überprüfung der Systemgrenze nach der Übergabe vom Operator an das automatisierte Fahrzeug (20) erfolgt durch eine entsprechende
Komponente (47) zur Klärung der Frage, ob das automatisierte Fahrzeug (20) seine normale Fahraufgabe ausführen kann.
Ebenfalls zur Erreichung des Sicherheitsziels 6 dient folgende
Diagnoseverwaltung (50): Eine ToD-Diagnose (für die Autonomiestufen 2 bis 5 gemäß SAE J3016) wird vor der Aktivierung der ToD-Funktion ausgelöst. Diese Diagnose schließt neben einer Überprüfung der ToD-Funktionalität im engeren Sinne (Sensorverfügbarkeit, Bremsen usw.) die Ermittlung der möglichen ToD-Steuerung (Manövrieren, Bahnplanung, Verhaltensplanung, Geschwindigkeit, Lenken, Rückwärtsfahrt usw.) ein. Wenn die Aktivierung der ToD-Funktion nicht möglich ist, sollte die Autowerkstatt oder der
Autohersteller kontaktiert werden.
Ebenso zur Erreichung des Sicherheitsziels 6 ist schließlich ein
Aktivierungsmanager (42) vorgesehen. Hier sollten alle wichtigen und verfügbaren sicherheitsbezogenen Parameter wie die vom Benutzer wahrgenommene Dienstgüte {perceived quality of Service, pQoS) und die Pfadkomplexität zur Aktivierung verwendet werden, um die Komplexität der Sicherheitskomponenten im Fahrzeug (20) zu reduzieren.
Zur Erreichung des Sicherheitsziels 3 dient ein
Authentisierungsmanager (45). Die Authentifizierung der vollständigen Sicherheitskette berücksichtigt hierbei die folgenden Gesichtspunkte:
• eine Liste der berechtigten Operatoren mit Zugriff auf das
Fahrzeug (20),
• Verfügbarkeit der richtigen Software und Hardware,
• Operatorberechtigung,
• Kontrollraum,
• Backend (80) sowie
• Kommunikationskanäle und Server (eine Umleitung auf andere Server oder Kanäle ist zu vermeiden).
Zur Erreichung des Sicherheitsziels 5 dient ein Anfahrtsbefehlsgeber (48). Insofern ist das Anfahren ( drive away) vom automatisierten Fahrzeug (20) zu
prüfen und der Operator darüber zu informieren, denn das Fahrzeug (20) darf bei Verstößen nicht bewegt werden. In Betracht kommen insbesondere eine Unterboden- Fahrzeugüberwachung, Rundum-Fahrzeugüberwachung in einem Freiraum von 50 cm, Überprüfung der lokalen Wetterbedingungen (im Hinblick auf Temperatur, vereiste Straße usw.) sowie der verfügbaren Sensorleistung (Sichtbarkeit des Sensors, Blindheit usw.).
Zur Erreichung des Sicherheitsziels 4 dient ein ToD-Datenschreiber (51): Alle ToD-relevanten Daten, z. B. Zeitstempel der Übergabe, Operator-ID, Fahrstil des Operators, angewandter Kommunikationskanal,
Berechtigungsinformationen und ein etwaiger Crash werden durch diese Komponente lokal aufgezeichnet und auf Anforderung an den Server übermittelt.
Zur Erreichung des Sicherheitsziels 1 ist der empfangene Netzwerk-QoS- Wert durch einen Dienstgüterechner (43) zu prüfen und an die zugehörigen Sicherheitskomponenten weiterzuleiten. Einem Fahraufgabenprüfer (46) obliegt die Überprüfung, ob die vom Operator angeforderte Fahraufgabe ausführbar ist und keine Sicherheitsziele in Bezug auf die ToD- und
AD- Funktionen verletzt, während eine
Fahraufgabenausführungssteuereinheit (49) die Überwachung der
Fahraufgabe und Aktualisierung des Bedieners über den Fortschritt sicherstellt. Der Operator kann das System (10) im Fehlerfall steuern.
Zur Erreichung des Sicherheitsziels 2 dient schließlich ein
Systemkompatibilitätsprüfer (52). Zu denken ist hier an die Überprüfung der Kompatibilität der Hardware und Software im automatisierten Fahrzeug (20), im Backend (80), des Kontrollraums und der auf den Kommunikationskanälen ausgeführten Protokolle vor der Aktivierung der ToD-Funktion und während deren Ausführung.
Gemäß einer alternativen Arbeitsweise können basierend auf einer
Gefahrenanalyse und Risikobewertung ( hazard analysis and risk
assessment, HARA) nach ISO 26262, ISO 25119 oder DIN EN 16590 die genannten Sicherheitsziele unterschiedlich bewertet werden. Für ein
erfindungsgemäßes System (10) ist daher die höchste für die gesamte Funktionalität definierte kraftfahrzeugtechnische
Sicherheitsanforderungsstufe ( automotive safety integrity level, ASIL) maßgebend.
Claims
1. System (10) zum teleoperierten Fahren,
gekennzeichnet durch folgende Merkmale:
- das System (10) umfasst ein Fahrzeug (20), ein Backend (80),
Fernbedienungsgeräte (90) und
- das Fahrzeug (20), das Backend (80) und die Fernbedienungsgeräte (90) sind dazu eingerichtet, sich über ein Mobilfunknetz (60) auszutauschen.
2. System (10) nach Anspruch 1,
gekennzeichnet durch folgende Merkmale:
- das Fahrzeug (20) umfasst sicherheitsrelevante Komponenten (40) und
- die Komponenten (40) umfassen einen
Kommunikationsprotokollüberwacher (41), einen
Systemkompatibilitätsprüfer (52) und einen Fahraufgabenprüfer (46).
3. System (10) nach Anspruch 2,
dadurch gekennzeichnet, dass
die Komponenten (40) ferner mindestens eines der Folgenden umfassen:
- erste Mittel (44) zur Systemüberprüfung vor einer Übergabe an die Fernbedienungsgeräte (90),
- zweite Mittel (47) zur Systemüberprüfung nach der Übergabe,
- Mittel (50) zur Diagnoseverwaltung,
- einen Aktivierungsmanager (42),
- einen Authentisierungsmanager (45),
- einen Anfahrtsbefehlsgeber (48),
- einen Datenschreiber (51),
- einen Dienstgüterechner (43) oder
- eine Fahraufgabenausführungssteuereinheit (49).
4. System (10) nach Anspruch 3,
gekennzeichnet durch folgende Merkmale:
- der Dienstgüterechner (43) ist dazu eingerichtet, eine Dienstgüte des Mobilfunknetzes (60) zu prüfen und
- der Dienstgüterechner (43) ist ferner dazu eingerichtet, den sicherheitsrelevanten Komponenten (40) die geprüfte Dienstgüte mitzuteilen.
5. System (10) nach einem der Ansprüche 2 bis 4,
dadurch gekennzeichnet, dass
das Fahrzeug (20) mindestens eines der Folgenden aufweist:
- Mittel (21) zur Umgebungserfassung,
- Mittel (22) zur Fahrzeuginnenraumerfassung,
- Mittel (23) zur Fahrzeugbewegungssteuerung,
- autonome Fahr- und Fahrerassistenzsystemfunktionen (24),
- einen Systemzustandsmanager (25),
- eine Telematik-Einheit (26) zum Verbinden mit dem Mobilfunknetz (60),
- Mittel (27) zur Diagnoseinformationsverwaltung,
- eine fahrzeuginterne Mensch-Maschine-Schnittsteile (28),
- passive Sicherheitseinrichtungen (29) oder
- Mittel (30) zur Karosseriesteuerung.
6. System (10) nach Anspruch 5,
gekennzeichnet durch folgende Merkmale:
- der Kommunikationsprotokollüberwacher (41) ist dazu eingerichtet, Kommunikationsfehler beim Austauschen über das Mobilfunknetz (60) zu erkennen und
- der Kommunikationsprotokollüberwacher (41) ist ferner dazu eingerichtet, die erkannten Kommunikationsfehler dem
Systemzustandsmanager (25) zu melden.
7. System (10) nach Anspruch 6,
dadurch gekennzeichnet, dass
das Erkennen der Kommunikationsfehler anhand mindestens einer der folgenden Ursachen oder Auswirkungen erfolgt:
- eine Wiederholung von Informationen,
- einen Verlust von Informationen,
- eine Verzögerung von Informationen,
- eine Einfügung von Informationen,
- eine unberechtigte oder fehlerhafte Adressierung von Informationen,
- eine fehlerhafte Abfolge von Informationen,
- eine Verfälschung von Informationen,
- eine von einem Sender zu mehreren Empfängern gesendete asymmetrische Information,
- eine durch lediglich eine Untermenge vorgesehener Empfänger empfangene Information von einem Sender oder
- ein blockierender Zugriff auf einen Kommunikationskanal.
8. System (10) nach einem der Ansprüche 1 bis 7,
dadurch gekennzeichnet, dass
das Backend (80) mindestens eines der Folgenden umfasst:
- ein Berechtigungssteuerprogramm (81),
- einen Datenspeicher (82),
- Kartendienste (83) oder
- Mittel (84) zur Bahnplanung.
9. System (10) nach einem der Ansprüche 1 bis 8,
dadurch gekennzeichnet, dass
die Fernbedienungsgeräte (90) mindestens eines der Folgenden umfassen:
- eine erste Operatorschnittstelle (91) zum Bedienen des Fahrzeuges (20) außer Sicht und
- eine zweite Operatorschnittstelle (92) zum Bedienen des Fahrzeuges (20) in Sicht.
10. System (10) nach einem der Ansprüche 1 bis 9,
gekennzeichnet durch folgende Merkmale:
- das System (10) umfasst ferner Infrastrukturkomponenten (70) und
- die Infrastrukturkomponenten (70) umfassen eine intelligente
Parkinfrastruktur (71).
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/422,717 US20220083051A1 (en) | 2019-04-05 | 2020-01-23 | System for safe teleoperated driving |
| CN202080027286.6A CN113711150A (zh) | 2019-04-05 | 2020-01-23 | 用于安全的远程操纵地行驶的系统 |
| JP2021558890A JP7399185B2 (ja) | 2019-04-05 | 2020-01-23 | 安全なテレオペレート運転のためのシステム |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019204941.9 | 2019-04-05 | ||
| DE102019204941.9A DE102019204941A1 (de) | 2019-04-05 | 2019-04-05 | System zum sicheren teleoperierten Fahren |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2020200535A1 true WO2020200535A1 (de) | 2020-10-08 |
Family
ID=69713992
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2020/051610 WO2020200535A1 (de) | 2019-04-05 | 2020-01-23 | System zum sicheren teleoperierten fahren |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220083051A1 (de) |
| JP (1) | JP7399185B2 (de) |
| CN (1) | CN113711150A (de) |
| DE (1) | DE102019204941A1 (de) |
| WO (1) | WO2020200535A1 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102021117448A1 (de) | 2021-07-06 | 2023-01-12 | Bayerische Motoren Werke Aktiengesellschaft | Steuerverfahren für ein teleoperiertes kraftfahrzeug |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140207535A1 (en) * | 2013-01-24 | 2014-07-24 | Ford Global Technologies, Llc | Method and system for remote control of motor vehicles |
| US9465388B1 (en) | 2014-03-03 | 2016-10-11 | Google Inc. | Remote assistance for an autonomous vehicle in low confidence situations |
| US9494935B2 (en) | 2014-11-13 | 2016-11-15 | Toyota Motor Engineering & Manufacturing North America, Inc. | Remote operation of autonomous vehicle in unexpected environment |
| US9720410B2 (en) | 2014-03-03 | 2017-08-01 | Waymo Llc | Remote assistance for autonomous vehicles in predetermined situations |
| US9767369B2 (en) | 2014-04-10 | 2017-09-19 | Waymo Llc | Image and video compression for remote vehicle assistance |
| US10203699B1 (en) * | 2018-03-30 | 2019-02-12 | Toyota Jidosha Kabushiki Kaisha | Selective remote control of ADAS functionality of vehicle |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8577538B2 (en) * | 2006-07-14 | 2013-11-05 | Irobot Corporation | Method and system for controlling a remote vehicle |
| US20100063652A1 (en) * | 2008-09-11 | 2010-03-11 | Noel Wayne Anderson | Garment for Use Near Autonomous Machines |
| US9922561B2 (en) * | 2014-02-20 | 2018-03-20 | MyPark, Corp. | Intelligent parking system |
| JP6237737B2 (ja) | 2015-09-15 | 2017-11-29 | 株式会社デンソー | 車両用通信装置、コンピュータプログラム及び通信システム |
| JP6607062B2 (ja) | 2016-02-05 | 2019-11-20 | トヨタ自動車株式会社 | 遠隔操作システム |
| JP6717723B2 (ja) | 2016-10-12 | 2020-07-01 | 矢崎総業株式会社 | 車両システム |
| CN110235070B (zh) * | 2016-11-30 | 2020-11-10 | 日产北美公司 | 用以解决问题情况的自主车辆的遥操作 |
| JP6697686B2 (ja) | 2017-02-28 | 2020-05-27 | パナソニックIpマネジメント株式会社 | 管理装置と、管理装置の制御方法 |
| JP6737731B2 (ja) | 2017-03-31 | 2020-08-12 | ヤンマーパワーテクノロジー株式会社 | 農作業車両の自律走行システム |
| US10437247B2 (en) * | 2017-08-10 | 2019-10-08 | Udelv Inc. | Multi-stage operation of autonomous vehicles |
| DE102019105489A1 (de) * | 2019-03-05 | 2020-09-10 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Vorrichtung und Computerprogramm zum Bereitstellen von Information in Bezug auf ein automatisiert fahrendes Fahrzeug |
-
2019
- 2019-04-05 DE DE102019204941.9A patent/DE102019204941A1/de active Pending
-
2020
- 2020-01-23 CN CN202080027286.6A patent/CN113711150A/zh active Pending
- 2020-01-23 US US17/422,717 patent/US20220083051A1/en not_active Abandoned
- 2020-01-23 JP JP2021558890A patent/JP7399185B2/ja active Active
- 2020-01-23 WO PCT/EP2020/051610 patent/WO2020200535A1/de active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140207535A1 (en) * | 2013-01-24 | 2014-07-24 | Ford Global Technologies, Llc | Method and system for remote control of motor vehicles |
| US9465388B1 (en) | 2014-03-03 | 2016-10-11 | Google Inc. | Remote assistance for an autonomous vehicle in low confidence situations |
| US9720410B2 (en) | 2014-03-03 | 2017-08-01 | Waymo Llc | Remote assistance for autonomous vehicles in predetermined situations |
| US9767369B2 (en) | 2014-04-10 | 2017-09-19 | Waymo Llc | Image and video compression for remote vehicle assistance |
| US9494935B2 (en) | 2014-11-13 | 2016-11-15 | Toyota Motor Engineering & Manufacturing North America, Inc. | Remote operation of autonomous vehicle in unexpected environment |
| US10203699B1 (en) * | 2018-03-30 | 2019-02-12 | Toyota Jidosha Kabushiki Kaisha | Selective remote control of ADAS functionality of vehicle |
Non-Patent Citations (2)
| Title |
|---|
| ANONYMOUS: "EXTRACT FROM THE ERICSSON MOBILITY REPORT", 1 June 2017 (2017-06-01), XP055693600, Retrieved from the Internet <URL:https://www.ericsson.com/4add9b/assets/local/mobility-report/documents/2017/emr-november-2017-remote-operation-of-vehicles-with-5g.pdf> [retrieved on 20200511] * |
| CAMPOLO CLAUDIA ET AL: "5G Network Slicing for Vehicle-to-Everything Services", TECHNICAL REPORT OF WIRELESS NETWORKING GROUP, COORDINATED SCIENCE LABORATORY; DEPT. ELECTRICAL AND COMPUTER ENGINEERING; UNIVERSITY OF ILLINOIS AT URBANA-CHAMPAIGN, US, vol. 24, no. 6, 1 December 2017 (2017-12-01), pages 38 - 45, XP011675643, ISSN: 1536-1284, [retrieved on 20180104], DOI: 10.1109/MWC.2017.1600408 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102021117448A1 (de) | 2021-07-06 | 2023-01-12 | Bayerische Motoren Werke Aktiengesellschaft | Steuerverfahren für ein teleoperiertes kraftfahrzeug |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7399185B2 (ja) | 2023-12-15 |
| US20220083051A1 (en) | 2022-03-17 |
| DE102019204941A1 (de) | 2020-10-08 |
| JP2022527341A (ja) | 2022-06-01 |
| CN113711150A (zh) | 2021-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2931567B1 (de) | System zum selektiven öffnen eines fahrzeuges durch einen servicedienstleister | |
| EP2891264B1 (de) | Verfahren zum durchführen einer sicherheitsfunktion eines fahrzeugs und system zum durchführen des verfahrens | |
| DE60204480T2 (de) | Fernüberwachung und motorfahrzeugsteuerung | |
| DE102018120788A1 (de) | Steuerungsarchitektur zur Überwachung des Zustands eines autonomen Fahrzeugs | |
| DE102016212195A1 (de) | Verfahren zum Durchführen eines automatischen Eingriffs in die Fahrzeugführung eines Fahrzeugs | |
| DE102017107815A1 (de) | Autonomes fahrzeugparken und übergang zu manueller steuerung | |
| WO2009071345A1 (de) | Zentrales steuergerät für mehrere in einem kraftfahrzeug vorgesehene assistenzsysteme und kraftfahrzeug | |
| DE102016122207A1 (de) | Steuervorrichtung im fahrzeug und aufzeichnungssystem im fahrzeug | |
| DE102015217386A1 (de) | Verfahren und System zum Betreiben eines Kraftfahrzeugs | |
| DE102018101105A1 (de) | Diagnose für eine kamera und reinigungssprühvorrichtung | |
| WO2018091168A1 (de) | Verfahren zur autorisierung eines zugriffs auf ein kraftfahrzeug zur fremdnutzung und system | |
| DE102016212196A1 (de) | Verfahren zum Auswerten von Sensordaten | |
| EP3504697B1 (de) | Verfahren zum vermessen eines fahrereignisses, servervorrichtung und system aus der servervorrichtung und mehreren kraftfahrzeugen | |
| DE102017214661A1 (de) | Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug | |
| DE102019103820A1 (de) | Abschwächen einer schlüsselanhängernichtverfügbarkeit für remote-einkparkhilfesysteme | |
| WO2020083962A1 (de) | Vorrichtung und steuereinheit zur automatisierung einer zustandsänderung einer fensterscheibe eines fahrzeugs | |
| DE102018111780A1 (de) | Unfallfluchtdetektion | |
| DE102018120856A1 (de) | Verfahren und Vorrichtung zur automatisierten Wartungsplanung eines autonomen Fahrzeugs | |
| DE102014107916A1 (de) | Vorrichtung und Verfahren für eine Fahrzeugselbstdiagnose | |
| EP3434561B1 (de) | Einparken mit fahrzeuginformation eines nebenfahrzeugs | |
| WO2020200535A1 (de) | System zum sicheren teleoperierten fahren | |
| EP3586326B1 (de) | System und verfahren zur sicheren und effizienten bereitstellung von zumindest teilautonomen fahrmodi | |
| DE102018222664B3 (de) | Autonom fahrendes Taxi sowie Verfahren zum Betrieb eines autonom fahrenden Taxis | |
| DE102020103904A1 (de) | Verfahren zum Überwachen eines Kraftfahrzeugsystems, Telematikeinrichtung, und Servervorrichtung | |
| DE102016009199B4 (de) | Verfahren zum Betreiben einer Datenerfassungseinheit zum Erfassen von mindestens einem Steuerungsereignis einer Steuerungvorrichtung eines Kraftfahrzeugs sowie eine Datenerfassungseinheit und eine Datenverarbeitungseinheit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20707354 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2021558890 Country of ref document: JP Kind code of ref document: A |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 20707354 Country of ref document: EP Kind code of ref document: A1 |