WO2020249305A1 - Verfahren und vorrichtung zum betreiben eines fahrzeuges - Google Patents
Verfahren und vorrichtung zum betreiben eines fahrzeuges Download PDFInfo
- Publication number
- WO2020249305A1 WO2020249305A1 PCT/EP2020/062372 EP2020062372W WO2020249305A1 WO 2020249305 A1 WO2020249305 A1 WO 2020249305A1 EP 2020062372 W EP2020062372 W EP 2020062372W WO 2020249305 A1 WO2020249305 A1 WO 2020249305A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- vehicle
- operator
- transmission channel
- active
- passive
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000005540 biological transmission Effects 0.000 claims abstract description 15
- 230000009467 reduction Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 7
- 230000006735 deficit Effects 0.000 description 7
- 230000015556 catabolic process Effects 0.000 description 6
- 238000006731 degradation reaction Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000009303 advanced oxidation process reaction Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000009760 functional impairment Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/02—Control of position or course in two dimensions
- G05D1/021—Control of position or course in two dimensions specially adapted to land vehicles
- G05D1/0276—Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle
- G05D1/028—Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle using a RF signal
- G05D1/0282—Control of position or course in two dimensions specially adapted to land vehicles using signals provided by a source external to the vehicle using a RF signal generated in a local control room
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
- G05D1/0011—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement
- G05D1/0038—Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots associated with a remote control arrangement by providing the operator with simple or augmented images from one or more cameras located onboard the vehicle, e.g. tele-operation
Definitions
- the present invention relates to a method for operating a
- the present invention also relates to a
- Vehicle guidance interface (“driver's workplace”) and require a drivable person authorized to drive the vehicle as the vehicle occupant, who is able to take over the guidance of the automated vehicle (AV) if necessary.
- AV automated vehicle
- ToD teleoperated driving
- the driving task and / or the vehicle can be remotely controlled by an external operator in overcoming technical inadequacies of the (partially) autonomous driving system or challenging scenarios - such as diversions via alternative and unconventional routes or routes a control center, the so-called operator, temporarily supported and / or completely taken over.
- the vehicle and control center or their operator are connected to one another by a cellular network with low latency and high data rate.
- No. 9,494,935 B2 discloses computer devices, systems and methods for remote control of an autonomous passenger vehicle.
- the vehicle sensors can provide data about the vehicle and the unexpected
- Capture environment including images, radar and lidar data, etc.
- the captured data can be sent to a remote operator.
- the remote operator can operate the vehicle remotely manually or give instructions to the autonomous vehicle by various
- Vehicle systems are to be executed.
- the collected data sent to the remote operator can be optimized to save bandwidth, e.g. B. a limited subset of the recorded data is sent.
- a vehicle according to US Pat. No. 9,767,369 B2 can receive one or more images of the surroundings of the vehicle.
- the vehicle can also have a
- the vehicle can also match at least one feature in the images with one or more features in the map.
- the vehicle may also identify a particular area in the one or more images that corresponds to a portion of the map that is a threshold distance from the one or more features.
- the vehicle can also compress the one or more images or sensor signals in order to record a smaller amount of details in the recording areas than the given area.
- the vehicle can do the
- An exemplary method includes operating an autonomous vehicle in a first autonomous mode.
- the method may also include identifying a situation in which a confidence level of autonomous operation in the first autonomous mode is below one Threshold level is.
- the method may further include sending a request for assistance to a remote assistant, the request including sensor data that is part of an environment of the autonomous
- the method can additionally include receiving a response from the remote assistant, the response indicating a second autonomous operating mode.
- the method can also cause the autonomous vehicle to operate in the second autonomous mode according to the response from the remote assistant.
- No. 9,720,410 B2 discloses a further method for remote support for autonomous vehicles in predetermined situations.
- the invention provides a method for operating a vehicle, a corresponding device, a corresponding computer program and a corresponding machine-readable storage medium according to the independent claims.
- a core aspect of the invention is to provide a secure method for putting a ToD system in a secure state.
- Various risks with regard to data communication are taken into account, which could put the system in an undefined state or cause a dangerous situation, injure people or damage the traffic infrastructure.
- a basic idea of the invention is therefore to take all these risks into account and to create a system which is optimized to offer security in all ToD scenarios.
- the safety standard ISO 26262 specifies a wide variety of measures to achieve the safety goals of a system with regard to random hardware errors or systematic errors.
- the hazard analysis and risk assessment (HARA) to be carried out takes into account relevant requirements in the early phases of the development process.
- An AV needs due to its Complexity, however, more regulations and future developments in order to
- the main complexity consists in the fact that the driver is not necessarily available and able to perform the driving tasks and the responsibility for the safety tasks
- the advantage of a solution according to the invention is that the ToD system is monitored by three system elements: an active operator (AOP) embodied by a passive operator (POP)
- AOP active operator
- POP passive operator
- the system reacts as soon as one of these elements fails.
- the vehicle connects to active operators in both countries before crossing a border. This approach allows both domestic and cross-border scenarios to be covered in a single solution.
- three function reduction levels can be provided in order to increase the system availability and, if this is not possible, to bring the vehicle into a safe position or some other safe state within a specified fault tolerance time (FTT).
- FTT fault tolerance time
- the avoidance of failures due to common cause can be provided by the choice of redundant network operators.
- QoS quality of service
- the response time in the event of a system failure is increased by a higher level of intelligence and number
- FIG. 1 an overview of a ToD system
- Figure 2 shows the normal operation of the ToD system within a country.
- Figure 3 shows a reduction in function at level A.
- Figure 4 shows a reduction in functionality at level B.
- Figure 5 shows the function reduction steps at levels A and B.
- Figure 6 shows the function reduction stage C.
- Figure 7 shows an overview of a cross-border ToD scenario.
- Figure 8 a cross-border transfer of responsibility.
- FIG. 9 the state after crossing the border.
- a teleoperated vehicle (20) is part of a system - comprising several subsystems - to which the operator (25) in the control center (26), the The backend (27), the infrastructure (28, 29) - for example in the form of a wireless (28) or wired (29) communication network - and the teleoperated vehicle (20) itself belong (see FIG. 1).
- a ToD scenario to be considered is the crossing of a national border and the necessity associated with this transition to change the mobile network provider during a ToD driving task.
- a measure is defined for each of these risks, by means of which a safe behavior of the overall system can be guaranteed.
- the mobile radio channel (28) is not suitable for functions that are exposed to hazards that go beyond the usual quality management (QM) requirements, and thus not safe enough for safety-critical functions such as automated driving.
- QM quality management
- the cellular signal is sometimes weak or interrupted (QoS).
- At least two operators (25) are required. At least one operator (25) is required for the former and two operators (25) are required for the cross-border scenario.
- a human operator (25) with corresponding algorithms in the control center (26) is referred to below as AOP, and a purely computer-implemented algorithm for performing certain tasks in the cloud (27) is referred to as POP.
- POP a purely computer-implemented algorithm for performing certain tasks in the cloud
- Cross-border operation At least two AOPs are required.
- At least one AOP and one POP are
- Degradation level A Only one AOP is available, where t out1 denotes the time span acceptable to replace the operator (25).
- t out2 ⁇ t out1 denotes the period of time acceptable to replace the operator (25).
- Functional impairment level C Neither an AOP nor a POP is available and the vehicle (20) can be operated fully autonomously with the fault tolerance time t out3 .
- the goal in all impairment levels A, B and C is that
- the POP or the underlying computer-implemented algorithm is responsible for putting the automated vehicle (20) into the safe state within the time t out5 .
- the AOP is responsible for putting the automated vehicle (20) into the safe state within the time t out4 .
- QoS (t) denotes the QoS as a function of time for recording and prediction.
- QoS denotes the QoS as a function of the location of the
- the computer-implemented algorithm underlying the POP should offer a minimum amount of the services listed below without including an AOP: I. Establishing a standby communication with the control center (26) in order to connect to an AOP within a certain time if the vehicle (20) is requested to do so,
- Control center (26) and backend (27) are interrupted or weak
- Figure 2 shows the normal operation (11) of the ToD system in a domestic scenario
- Figure 3 shows an interruption or disruption of the
- the system is the
- Time span t out1 is available to react to this triggering event by first looking for a new POP. If one is found, the system goes back to normal operation (11), otherwise to
- Vehicle (20) controls is responsible for getting it to a safe place as soon as possible. If not within the time period t out1 is possible, the system goes to degradation level B (see Figure 5).
- Figure 4 illustrates an interruption or failure of the active
- FIG. 6 illuminates an interruption or disturbance of both the active (19) and the standby transmission channel (24).
- the system is responsible for monitoring both Degradation Level A and Degradation Level B. If the vehicle (20) is still not in a safe state or in a safe location after a predetermined period of time has elapsed , it is itself responsible for putting itself into a safe state or a safe place within the time period t out3
- FIG. 7 shows normal operation (11) of the ToD system in one
- cross-border scenario In this scenario, the strategy followed is to have two AOPs (41, 42) in order to transfer responsibility from the first AOP (41) to the second AOP (42). After the latter has confirmed the willingness to assume responsibility, the handover is carried out as shown in FIG. 8, whereupon the connection with the first AOP (41) changes to a passive connection with the first POP (31). As soon as the border is passed, the POP (31) from the first country (61) is replaced by a new POP (31) from the second country (62) (see FIG. 9). All the impairment strategies shown for the domestic scenario are also valid for the cross-border scenario.
- This method (10) can, for example, in software or hardware or in a mixed form of software and hardware, for example in one
- Control unit of the vehicle (20) can be implemented.
Landscapes
- Engineering & Computer Science (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Aviation & Aerospace Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Traffic Control Systems (AREA)
Abstract
Verfahren (10) zum Betreiben eines teleoperierten Fahrzeuges (20), gekennzeichnet durch folgende Merkmale: - in einem Normalbetrieb (11) steht das Fahrzeug (20) über einen ersten passiven Operator (31) auf einem aktiven Übertragungskanal (18) in einem aktiven Austausch (19) mit einem ersten aktiven Operator (41) in einer ersten Leitstelle (51), während ein durch einen zweiten passiven Operator (32) vermittelter Bereitschaftsübertragungskanal (23) zu einer zweiten Leitstelle (52) in Betriebsbereitschaft (24) steht, und - wenn der Bereitschaftsübertragungskanal (24) versagt (12), wird ein dritter passiver Operator gesucht (13) und, wenn dieser innerhalb einer ersten Zeitspanne (21) gefunden (14) wird, der Normalbetrieb (11) aufrechterhalten.
Description
Beschreibung
Titel
Verfahren und Vorrichtung zum Betreiben eines Fahrzeuges
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines
Fahrzeuges. Die vorliegende Erfindung betrifft darüber hinaus eine
entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
Stand der Technik
(Teil)autonome Fahrzeuge nach dem Stand der Technik besitzen eine
Fahrzeugführungsschnittstelle („Fahrerarbeitsplatz“) und setzen eine fahrtüchtige und zum Führen des Fahrzeuges autorisierte Person als Fahrzeuginsassen voraus, welche die Führung des automatisierten Fahrzeugs ( automated vehicle, AV) bei Bedarf zu übernehmen vermag. Je nach Automatisierungsgrad und Technologiefortschritt ist es in Zukunft geplant abschnittsweise bzw. für die gesamte Fahrstrecke auf die Notwendigkeit der Übernahme eines fahrtüchtigen Fahrers innerhalb des Fahrzeugs in kritischen Situationen zu verzichten. Um dennoch mit Systemunwägbarkeiten bzw. -Unzulänglichkeiten umgehen zu können, wird vor diesem Hintergrund in zahlreichen Forschungsprojekten am sogenannten teleoperierten Fahren (teleoperated driving, ToD) gearbeitet. Beim ToD kann die Fahraufgabe und/oder das Fahrzeug im Wege einer Fernsteuerung bei der Bewältigung von technischen Unzulänglichkeiten des (teil)autonomen Fahrsystems oder herausfordernder Szenarien - wie Umleitungen über alternative und unkonventionelle Fahrwege bzw. Routen o. ä. - durch einen externen Bediener in einer Leitstelle, den sogenannten Operator, zeitweise unterstützt und/oder gänzlich übernommen werden. Fahrzeug und Leitstelle bzw. deren Betreiber sind hierzu durch ein Mobilfunknetzwerk von geringer Latenz und hoher Datenrate miteinander verbunden.
US 9,494,935 B2 offenbart Computervorrichtungen, Systeme und Verfahren für die Fernbedingung eines autonomen Passagierfahrzeugs. Wenn ein autonomes Fahrzeug einer unerwarteten Umgebung wie z. B. einer Straßenbaustelle oder einem Hindernis begegnet, die für autonome Bedienung ungeeignet ist, können die Fahrzeugsensoren Daten über das Fahrzeug und die unerwartete
Umgebung, einschließlich Bilder, Radar- und Lidar-Daten usw. erfassen. Die erfassten Daten können zu einem entfernten Bediener gesendet werden. Der entfernte Bediener kann das Fahrzeug manuell entfernt bedienen oder dem autonomen Fahrzeug Anweisungen erteilen, die von verschiedenen
Fahrzeugsystemen ausgeführt werden sollen. Die zu dem entfernten Bediener gesendeten erfassten Daten können optimiert werden, um Bandbreite zu sparen, indem z. B. eine eingeschränkte Untermenge der erfassten Daten versendet wird.
Ein Fahrzeug gemäß US 9,767,369 B2 kann ein oder mehrere Bilder einer Umgebung des Fahrzeugs empfangen. Das Fahrzeug kann auch eine
Umgebungskarte erhalten. Das Fahrzeug kann auch mindestens ein Merkmal in den Bildern mit einem oder mehreren Merkmalen in der Karte abgleichen. Das Fahrzeug kann auch einen bestimmten Bereich in dem einen oder den mehreren Bildern identifizieren, der einem Teil der Karte entspricht, der sich in einem Schwellenabstand zu dem einen oder den mehreren Merkmalen befindet. Das Fahrzeug kann auch das eine oder die mehreren Bilder bzw. Sensorsignale komprimieren, um eine geringere Menge an Details in den Aufnahmebereichen als dem gegebenen Bereich aufzunehmen. Das Fahrzeug kann die
komprimierten Bilder auch einem entfernten System bereitstellen und darauf ansprechend Betriebsanweisungen von dem entfernten System empfangen.
Systeme und Verfahren gemäß US 9,465,388 B1 ermöglichen es einem autonomen Fahrzeug, Hilfe von einem entfernten Bediener anzufordern, wenn das Vertrauen des Fahrzeugs in den Betrieb gering ist oder ein technisches Problem oder eine technische Unzulänglichkeit oder es eine externe Situation erfordert. Ein beispielhaftes Verfahren umfasst das Betreiben eines autonomen Fahrzeugs in einem ersten autonomen Modus. Das Verfahren kann auch das Identifizieren einer Situation umfassen, in der ein Vertrauensniveau eines autonomen Betriebs im ersten autonomen Modus unter einem
Schwellenwertniveau liegt. Das Verfahren kann ferner das Senden einer Anfrage zur Unterstützung an einen entfernten Assistenten umfassen, wobei die Anfrage Sensordaten einschließt, die einen Teil einer Umgebung des autonomen
Fahrzeugs darstellen. Das Verfahren kann zusätzlich das Empfangen einer Antwort von dem entfernten Assistenten umfassen, wobei die Antwort einen zweiten autonomen Betriebsmodus angibt. Das Verfahren kann auch bewirken, dass das autonome Fahrzeug in der zweiten autonomen Betriebsart gemäß der Antwort von dem entfernten Assistenten arbeitet.
US 9,720,410 B2 offenbart ein weiteres Verfahren zur Fernunterstützung für autonome Fahrzeuge in vorbestimmten Situationen.
Offenbarung der Erfindung
Die Erfindung stellt ein Verfahren zum Betreiben eines Fahrzeuges, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes maschinenlesbares Speichermedium gemäß den unabhängigen Ansprüchen bereit.
Ein Kernaspekt der Erfindung liegt darin, eine sichere Methode bereitzustellen, um ein ToD-System in einen sicheren Zustand zu versetzen. Hierbei werden verschiedenste Risiken in Bezug auf die Datenkommunikation berücksichtigt, welche das System in einen Undefinierten Zustand versetzen oder eine gefährliche Situation herbeiführen könnten, die Menschen verletzen oder die Verkehrsinfrastruktur beschädigen kann. Eine Grundidee der Erfindung besteht somit darin, all diese Risiken zu berücksichtigen und ein System zu schaffen, welches darauf optimiert ist, in sämtlichen Szenarien des ToD Sicherheit zu bieten.
Zwar spezifiziert die Sicherheitsnorm ISO 26262 unterschiedlichste Maßnahmen, um die Sicherheitsziele eines Systems in Bezug auf zufällige Hardwarefehler oder systematische Fehler zu erreichen. Eine in diesem Rahmen
durchzuführende Gefährdungsanalyse und Risikobewertung (hazard analysis and risk assessment, HARA) berücksichtigt entsprechende Anforderungen in den frühen Phasen des Entwicklungsprozesses. Ein AV benötigt aufgrund seiner
Komplexität jedoch mehr Vorschriften und zukünftige Entwicklungen, um
Sicherheitsziele garantieren zu können. Die Komplexität besteht vor allem darin, dass der Fahrer nicht notwendigerweise verfügbar und in der Lage ist, die Fahraufgaben und die Verantwortung für die Sicherheitsaufgaben zu
übernehmen.
Der Vorzug einer erfindungsgemäßen Lösung liegt vor diesem Hintergrund darin, dass das ToD-System von drei Systemelementen überwacht wird: einem aktiven Operator (AOP), den durch einen passiven Operator (POP) verkörperten
Sicherheitsalgorithmen und automatisierten Fahrzeugsicherheitsalgorithmen.
Das System reagiert, sobald eines dieser Elemente ausfällt.
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen
Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass die ToD-Funktionen des Fahrzeuges reduziert werden, wenn eine vorgegebene Zeitspanne erfolglos verstreicht ( timeout ). Dies ermöglicht eine sichere Einschränkung verteilter Funktionen gemäß der vom System
vorgegebenen Zeiteinteilung.
Gemäß einem weiteren Aspekt kann vorgesehen sein, dass sich das Fahrzeug vor einem Grenzübertritt mit aktiven Operatoren in beiden Ländern verbindet. Dieser Ansatz gestattet die Abdeckung sowohl innerstaatlicher als auch grenzüberschreitender Szenarien in einer einzigen Lösung.
Gemäß einem weiteren Aspekt können drei Funktionsminderungsstufen vorgesehen sein, um die Systemverfügbarkeit zu erhöhen und, falls dies nicht möglich ist, das Fahrzeug innerhalb vorgegebener Fehlertoleranzzeit ( fault tolerant time, FTT) in eine sichere Lage oder einen anderweitig sicheren Zustand zu bringen.
Gemäß einem weiteren Aspekt kann die Vermeidung von Ausfällen aufgrund gemeinsamer Ursache ( common cause failures) durch die Wahl redundanter Netzbetreiber vorgesehen sein.
Gemäß einem weiteren Aspekt kann eine dynamische und optimierte
Trajektorien-Planung in Abhängigkeit von der erwarteten Dienstgüte (quality of Service, QoS) vorgesehen sein.
Gemäß einem weiteren Aspekt kann vorgesehen sein, die Reaktionszeit beim Ausfall des Systems durch eine höhere Intelligenz und Anzahl an
Sicherungsebenen zu verkürzen.
Kurze Beschreibung der Zeichnungen
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt: Figur 1 den Überblick eines ToD-Systems
Figur 2 den Normalbetrieb des ToD-Systems innerhalb eines Landes.
Figur 3 eine Funktionsminderung auf Stufe A.
Figur 4 eine Funktionsminderung auf Stufe B.
Figur 5 die Funktionsminderungsschritte auf den Stufen A und B. Figur 6 die Funktionsminderungsstufe C.
Figur 7 den Überblick eines grenzüberschreitenden ToD-Szenarios.
Figur 8 eine grenzüberschreitende Verantwortungsübergabe.
Figur 9 den Zustand nach dem Grenzübertritt.
Ausführungsformen der Erfindung Ein teleoperiertes Fahrzeug (20) ist Teil eines - mehrere Teilsysteme umfassenden - Systems, zu dem der Operator (25) in der Leitstelle (26), das
Backend (27), die Infrastruktur (28, 29) - etwa in Gestalt eines drahtlosen (28) oder kabelgebundenen (29) Kommunikationsnetzes - und das teleoperierte Fahrzeug (20) selbst gehören (siehe Figur 1).
Ein zu beachtendes ToD-Szenario stellt das Überfahren einer Landesgrenze und die mit diesem Übergang verbundene Notwendigkeit dar, den Mobilfunkanbieter während einer ToD- Fahraufgabe zu wechseln.
Viele Risiken können das Verhalten eines ToD-Systems beeinflussen.
Erfindungsgemäß ist dabei für jedes dieser Risiken eine Maßnahme definiert, mittels derer ein sicheres Verhalten des Gesamtsystems gewährleistet werden kann.
Die Datenkommunikation (28, 29) beispielsweise ist von folgenden Risiken betroffen:
1. Der Mobilfunkkanal (28) ist gemäß ISO 26262 - wie jeder Nachrichtenkanal - nicht für Funktionen geeignet, die Gefährdungen ausgesetzt sind, welche über das übliche Qualitätsmanagement (quality management, QM) hinausgehende Anforderungen stellen, und somit nicht sicher genug für sicherheitskritische Funktionen wie automatisiertes Fahren.
2. Das Mobilfunksignal ist manchmal schwach oder unterbrochen (QoS).
3. In der Daten kommunikation (28, 29) treten Ausfälle aufgrund gemeinsamer Ursache auf.
4. Die Reaktion auf einen Fehler erfolgt erst mit Verzögerung.
5. Die Funktion ist trotz der verteilten Natur des Systems auf sichere Weise zu mindern.
6. Datenverfälschung ist durch Erkennungsalgorithmen zu erkennen und
unabhängig von einer Ausgestaltung der Erfindung als Netzwerkfehler zu signalisieren.
Um sowohl innerstaatliche als auch grenzüberschreitende teleoperierte
Fahrsituationen und eine sichere Funktionsminderung gleichermaßen
abzudecken, sind mindestens zwei Operatoren (25) erforderlich. Mindestens ein Operator (25) ist für das erstere und zwei Operatoren (25) sind für das grenzüberschreitende Szenario erforderlich.
Als AOP sei nachfolgend ein menschlicher Operator (25) mit entsprechenden Algorithmen in der Leitstelle (26), als POP ein rein computerimplementierter Algorithmus zur Erfüllung bestimmter Aufgaben in der Cloud (27) bezeichnet. Ferner seien die System parameter tout1, tout2, tout3, und tout5 mit tout tout4 und tout3 > tout2 > tout1 im Rahmen eines Systembausteinentwurfes festgelegt.
Erfindungsgemäß sind folgende Betriebsarten vorgesehen:
1. Grenzüberschreitender Betrieb: Mindestens zwei AOPs sind erforderlich.
2. Betrieb innerhalb eines Landes: Mindestens ein AOP und ein POP sind
erforderlich.
3. Funktionsminderungsstufe A: Nur ein AOP ist verfügbar, wobei tout1 die zur Ersetzung des Operators (25) akzeptable Zeitspanne bezeichnet.
4. Funktionsminderungsstufe B: Nur ein POP ist verfügbar, wobei tout2 mit
tout2 < tout1 die zur Ersetzung des Operators (25) akzeptable Zeitspanne bezeichnet.
5. Funktionsminderungsstufe C: Weder ein AOP noch ein POP ist verfügbar und das Fahrzeug (20) ist mit der Fehlertoleranzzeit tout3 vollautonom zu betreiben.
Das Ziel in allen Funktionsminderungsstufen A, B und C ist es, das
automatisierte Fahrzeug (20) an einen sicheren Ort zu bringen oder anderweitig in einen sicheren Zustand zu versetzen, jedoch mit unterschiedlicher
Zeitvorgabe.
Auf Funktionsminderungsstufe A ist der POP bzw. der diesem unterliegende computerimplementierte Algorithmus dafür verantwortlich, das automatisierte Fahrzeug (20) innerhalb der Zeit tout5 in den sicheren Zustand zu versetzen.
Auf Funktionsminderungsstufe B ist der AOP dafür verantwortlich, das automatisierte Fahrzeug (20) innerhalb der Zeit tout4 in den sicheren Zustand zu versetzen.
Auf Funktionsminderungsstufe C ist - wie bereits beschrieben - das
automatisierte Fahrzeug (20) selbst dafür verantwortlich, innerhalb der Zeit tout3 in den sicheren Zustand zu gelangen.
Für das ToD-System seien die folgenden Annahmen getroffen:
1. Für jede Leistung des Fernübertragungskanales (28, 29) wird eine
vorhergesagte QoS geliefert.
I. QoS(t) bezeichne die QoS als Funktion der Zeit für Aufzeichnung und Vorhersage.
II. QoS(p) bezeichne die QoS als Funktion des Standortes des
Fahrzeuges (20).
III. QoS (t,p) und die hiervon abhängige beste Länge der Trajektorie sind zu berechnen, um eine ToD-Fahraufgabe von Punkt A nach Punkt B bewältigen zu können.
2. Zwei an ein AV- Fahrzeug (20) angeschlossene Kommunikationskanäle
sollten von zwei verschiedenen Mobilfunkanbietern bereitgestellt werden, um Ausfälle aufgrund gemeinsamer Ursache zu vermeiden.
3. Der dem POP zugrundeliegende computerimplementierte Algorithmus sollte eine Mindestmenge der Dienste anbieten, die nachstehend aufgeführt sind, ohne einen AOP einzubeziehen:
I. Herstellung einer Bereitschaftskommunikation mit der Leitstelle (26), um sich bei einer diesbezüglichen Anforderung des Fahrzeuges (20) innerhalb einer bestimmten Zeit mit einem AOP zu verbinden,
II. Aufzeichnung des Echtzeit- Status und des von einem AOP erstellten gegenwärtigen Planes für das automatisierte Fahrzeug („aktives Zuhören“ durch POP),
III. Bereitstellung der erforderlichen Informationen für das Fahrzeug (20) wie Kartendaten, V2X, Verarbeitungsunterstützung usw., um (auf Verlangen) das Fahrzeug (20) auf der Funktionsminderungsstufe B an einen sicheren Ort zu bringen,
IV. Verantwortung für die Verbindung zum jeweiligen AOP auf Anfrage,
V. Meldung an das Fahrzeug (20), wenn die Verbindung zwischen
Leitstelle (26) und Backend (27) unterbrochen oder schwach ist,
VI. parallele Vornahme der Fahrzeugsituationsanalyse, um die
Reaktionszeit zu verkürzen und
VII. Überwachung der - anhand der Funktion QoS(t,p) berechneten - laufenden ToD-Fahraufgabe durch den AOP unter Berücksichtigung der geplanten Trajektorienzeit zuzüglich einer Sicherheitsmarge.
Figur 2 zeigt den Normalbetrieb (11) des ToD-Systems in einem innerstaatlichen Szenario, während Figur 3 eine Unterbrechung oder Störung des
Bereitschaftsübertragungskanales (24) illustriert. Dem System steht die
Zeitspanne tout1 zur Verfügung, um auf dieses auslösende Ereignis zu reagieren, indem es zunächst einen neuen POP sucht. Wenn ein solcher gefunden wird, geht das System wieder in den Normalbetrieb (11), andernfalls zur
Funktionsminderungsstufe A über. Ein AOP, welcher noch immer das
Fahrzeug (20) steuert, trägt die Verantwortung dafür, es so schnell wie möglich an einen sicheren Ort zu bringen. Wenn dies innerhalb der Zeitspanne tout1 nicht
möglich ist, geht das System zur Funktionsminderungsstufe B über (siehe Figur 5).
Figur 4 veranschaulicht eine Unterbrechung oder Störung des aktiven
Übertragungskanales (19). Dem System steht die Zeitspanne tout2 zur
Verfügung, um auf dieses auslösende Ereignis zu reagieren, indem es zunächst den verfügbaren Bereitschaftsübertragungskanal (24) nutzt, um den POP durch einen neuen AOP zu ersetzen. Wenn dies innerhalb der Zeitspanne tout2 misslingt, geht das System zur Funktionsminderungsstufe B über. Wenn die Ersetzung gelingt, hat das System noch immer einen AOP, angesichts der Beziehung tout2 < tout1 genügend Zeit, um einen POP zu suchen und somit die
Aussicht, in den Normalbetrieb (11), andernfalls in die
Funktionsminderungsstufe A überzugehen (Figur 5).
Figur 6 beleuchtet eine Unterbrechung oder Störung sowohl des aktiven (19) als auch des Bereitschaftsübertragungskanales (24). Das System ist verantwortlich dafür, sowohl Funktionsminderungsstufe A als auch Funktionsminderungsstufe B zu überwachen. Wenn sich das Fahrzeug (20) nach Verstreichen einer vorgegebenen Zeitspanne noch immer nicht in einem sicheren Zustand oder an einem sicheren Ort befindet, ist es selbst dafür verantwortlich, sich innerhalb der Zeitspanne tout3 in einen sicheren Zustand zu versetzen oder an einen sicheren
Ort zu gelangen.
Figur 7 zeigt den Normalbetrieb (11) des ToD-Systems in einem
grenzüberschreitenden Szenario. In diesem Szenario wird die Strategie verfolgt, über zwei AOPs (41, 42) zu verfügen, um die Verantwortung vom ersten AOP (41) auf den zweiten AOP (42) zu übertragen. Nachdem letzterer die Bereitschaft zur Verantwortungsübernahme bestätigt hat, wird die Übergabe wie in Figur 8 gezeigt durchgeführt, woraufhin sich die Verbindung mit dem ersten AOP (41) zu einer passiven Verbindung mit dem ersten POP (31) verändert. Sobald die Grenze passiert wird, wird der POP (31) aus dem ersten Land (61) durch einen neuen POP (31) aus dem zweiten Land (62) ersetzt (siehe Figur 9). Sämtliche Funktionsminderungsstrategien, die für das innerstaatliche Szenario gezeigt wurden, sind auch für das grenzüberschreitende Szenario gültig.
Dieses Verfahren (10) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem
Steuergerät des Fahrzeuges (20) implementiert sein.
Claims
1. Verfahren (10) zum Betreiben eines teleoperierten Fahrzeuges (20),
gekennzeichnet durch folgende Merkmale:
- in einem Normalbetrieb (11) steht das Fahrzeug (20) über einen ersten passiven Operator (31) auf einem aktiven Übertragungskanal (18) in einem aktiven Austausch (19) mit einem ersten aktiven Operator (41) in einer ersten Leitstelle (51), während ein durch einen zweiten passiven Operator (32) vermittelter Bereitschaftsübertragungskanal (23) zu einer zweiten Leitstelle (52) in Betriebsbereitschaft (24) steht, und
- wenn der Bereitschaftsübertragungskanal (24) versagt (12), wird ein dritter passiver Operator gesucht (13) und, wenn dieser innerhalb einer ersten Zeitspanne (21) gefunden (14) wird, der Normalbetrieb (11) aufrechterhalten.
2. Verfahren (10) nach Anspruch 1,
gekennzeichnet durch folgendes Merkmal:
- wenn die erste Zeitspanne (21) erfolglos verstreicht, geht das Fahrzeug (20) auf eine erste Funktionsminderungsstufe (A) über.
3. Verfahren (10) nach Anspruch 1 oder 2,
gekennzeichnet durch folgendes Merkmal:
- wenn der aktive Übertragungskanal (18) versagt (15), wird der zweite passive Operator (32) durch einen zweiten aktiven Operator (42) in der zweiten Leitstelle (52) ersetzt (16) und, wenn das Ersetzen (16) innerhalb einer zweiten Zeitspanne (22) gelingt (17), das Verfahren (10) wie beim Versagen (12) des Bereitschaftsübertragungskanales (23) fortgesetzt.
4. Verfahren (10) nach Anspruch 3,
gekennzeichnet durch folgendes Merkmal:
- wenn die zweite Zeitspanne (22) erfolglos verstreicht, geht das Fahrzeug (20) auf eine zweite Funktionsminderungsstufe (B) über.
5. Verfahren (10) nach Anspruch 3 oder 4,
gekennzeichnet durch folgendes Merkmal:
- vor einem Grenzübertritt des Fahrzeuges (20) aus einem ersten
Land (61) in ein zweites Land (62) steht das Fahrzeug (20) im
Austausch (19) mit dem ersten aktiven Operator (41) und dem zweiten aktiven Operator (42).
6. Verfahren (10) nach Anspruch 5,
gekennzeichnet durch folgendes Merkmal:
- nach dem Grenzübertritt wird der erste passive Operator (31) durch einen neuen passiven Operator aus dem zweiten Land (62) ersetzt.
7. Verfahren (10) nach einem der Ansprüche 1 bis 6,
gekennzeichnet durch folgende Merkmale:
- wenn sowohl der aktive Übertragungskanal (18) als auch der Bereitschaftsübertragungskanal (23) versagen (12, 15), geht das Fahrzeug (20) auf eine dritte Funktionsminderungsstufe (C) über.
8. Computerprogramm, welches eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.
9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
10. Vorrichtung (20), die eingerichtet ist, das Verfahren (10) nach einem der
Ansprüche 1 bis 7 auszuführen.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP20725453.3A EP3980856A1 (de) | 2019-06-08 | 2020-05-05 | Verfahren und vorrichtung zum betreiben eines fahrzeuges |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019208403.6A DE102019208403A1 (de) | 2019-06-08 | 2019-06-08 | Verfahren und Vorrichtung zum Betreiben eines Fahrzeuges |
| DE102019208403.6 | 2019-06-08 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2020249305A1 true WO2020249305A1 (de) | 2020-12-17 |
Family
ID=70681790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2020/062372 WO2020249305A1 (de) | 2019-06-08 | 2020-05-05 | Verfahren und vorrichtung zum betreiben eines fahrzeuges |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3980856A1 (de) |
| DE (1) | DE102019208403A1 (de) |
| WO (1) | WO2020249305A1 (de) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9465388B1 (en) | 2014-03-03 | 2016-10-11 | Google Inc. | Remote assistance for an autonomous vehicle in low confidence situations |
| US9494935B2 (en) | 2014-11-13 | 2016-11-15 | Toyota Motor Engineering & Manufacturing North America, Inc. | Remote operation of autonomous vehicle in unexpected environment |
| US9720410B2 (en) | 2014-03-03 | 2017-08-01 | Waymo Llc | Remote assistance for autonomous vehicles in predetermined situations |
| US9767369B2 (en) | 2014-04-10 | 2017-09-19 | Waymo Llc | Image and video compression for remote vehicle assistance |
| WO2018027902A1 (zh) * | 2016-08-12 | 2018-02-15 | 深圳市大疆创新科技有限公司 | 一种冗余控制方法、装置及系统 |
| WO2019079927A1 (zh) * | 2017-10-23 | 2019-05-02 | 深圳市大疆创新科技有限公司 | 控制方法、无人飞行器、服务器和计算机可读存储介质 |
-
2019
- 2019-06-08 DE DE102019208403.6A patent/DE102019208403A1/de active Pending
-
2020
- 2020-05-05 WO PCT/EP2020/062372 patent/WO2020249305A1/de unknown
- 2020-05-05 EP EP20725453.3A patent/EP3980856A1/de active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9465388B1 (en) | 2014-03-03 | 2016-10-11 | Google Inc. | Remote assistance for an autonomous vehicle in low confidence situations |
| US9720410B2 (en) | 2014-03-03 | 2017-08-01 | Waymo Llc | Remote assistance for autonomous vehicles in predetermined situations |
| US9767369B2 (en) | 2014-04-10 | 2017-09-19 | Waymo Llc | Image and video compression for remote vehicle assistance |
| US9494935B2 (en) | 2014-11-13 | 2016-11-15 | Toyota Motor Engineering & Manufacturing North America, Inc. | Remote operation of autonomous vehicle in unexpected environment |
| WO2018027902A1 (zh) * | 2016-08-12 | 2018-02-15 | 深圳市大疆创新科技有限公司 | 一种冗余控制方法、装置及系统 |
| WO2019079927A1 (zh) * | 2017-10-23 | 2019-05-02 | 深圳市大疆创新科技有限公司 | 控制方法、无人飞行器、服务器和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102019208403A1 (de) | 2020-12-10 |
| EP3980856A1 (de) | 2022-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3903160B1 (de) | Verfahren zum zumindest teilautomatisierten führen eines kraftfahrzeugs | |
| EP3345363B1 (de) | Kraftfahrzeug und parkplatz für kraftfahrzeuge sowie kommunikationssystem | |
| WO2020015923A1 (de) | Verfahren zum betreiben eines autonomen fahrzeugs und autonomes fahrzeug | |
| EP3070564A2 (de) | Fahrzeugverbund und verfahren zum bilden und betreiben eines fahrzeugverbundes | |
| DE102016200734A1 (de) | Verfahren und Vorrichtung zum Überwachen einer fahrerlosen Fahrt eines Kraftfahrzeugs innerhalb eines Parkplatzes | |
| WO2016083034A1 (de) | Verfahren und vorrichtung zum betreiben von mehreren fahrzeugen | |
| DE102016212195A1 (de) | Verfahren zum Durchführen eines automatischen Eingriffs in die Fahrzeugführung eines Fahrzeugs | |
| EP3580737A1 (de) | Verfahren zum koordinieren eines verkehrs mehrerer kraftfahrzeuge innerhalb eines vorbestimmten infrastrukturbereichs sowie servervorrichtung, kraftfahrzeug und system | |
| DE112018001182T5 (de) | Fahrzeugfahrtsteuersystem für einen Parkplatz und Steuerverfahren eines Fahrzeugfahrtsteuersystems für einen Parkplatz | |
| WO2020200602A1 (de) | Verfahren und vorrichtung zum teleoperierten fahren eines fahrzeuges | |
| EP3964419A1 (de) | Übertragung von daten zwischen einem spurgebundenen fahrzeug und einer landseitigen einrichtung | |
| EP2460338B1 (de) | Fahrzeugeinheit | |
| WO2020030380A1 (de) | Verfahren zum betrieb eines autonom fahrenden fahrzeuges | |
| DE102019214461A1 (de) | Verfahren zum Fernsteuern eines Kraftfahrzeugs | |
| WO2007036472A1 (de) | Kommunikationssystem für ein technisches gerät, insbesondere für ein kraftfahrzeug | |
| DE102019207547A1 (de) | Verfahren und Vorrichtung zum Teleoperieren eines Fahrzeuges | |
| DE102015217385A1 (de) | Verfahren und Vorrichtung zum Bestimmen, ob sich im Umfeld eines innerhalb eines Parkplatzes befindlichen Kraftfahrzeugs ein Objekt befindet | |
| EP3401891A1 (de) | Distributed consensus networks mit mobile edge computing unterstützung | |
| EP3949343B1 (de) | Steuern zwischen einem fahrzeug und einer cloud verteilter anwendungen | |
| EP3968213A1 (de) | Verfahren und vorrichtung zum ermitteln eines gleisgebundenen schienenpfades in einer gleisanlage | |
| WO2020249305A1 (de) | Verfahren und vorrichtung zum betreiben eines fahrzeuges | |
| EP3610295B1 (de) | Verfahren zum überwachen einer integrität von referenzstationen eines korrekturdienstsystems, korrekturdienstsystem, verfahren zum betreiben eines satellitengestützten navigationssystems und satellitengestütztes navigationssystem | |
| WO2020038686A1 (de) | Skalierbare teleoperation autonomer roboter | |
| DE102018213206A1 (de) | Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs innerhalb einer Infrastruktur | |
| EP4007891B1 (de) | Verfahren und vorrichtung zur lokalisierung eines fahrzeugs in einer umgebung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20725453 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| ENP | Entry into the national phase |
Ref document number: 2020725453 Country of ref document: EP Effective date: 20220110 |