Messverfahren und dessen Verwendung

Die Erfindung betrifft ein Verfahren zur Ermittlung von Messwerten mittels mindestens zweier unterschiedlicher Messverfahren nach den Merkmalen des Oberbegriffs des Anspruchs 1 und dessen Verwendung.

Aus dem Stand der Technik ist, wie in der DE 10 2016 009 117 A1 beschrieben, ein Verfahren zur Lokalisierung eines Fahrzeugs bekannt. In diesem Verfahren werden eine umgebungserfassungsbasierte Lokalisierung und eine Lokalisierung mittels eines globalen Navigationssatellitensystems miteinander fusioniert.

In der DE 10 2018 004 229.5 werden ein Verfahren zum Steuern eines zur Durchführung eines automatisierten Fährbetriebs eingerichteten Fahrzeugsystems eines Fahrzeugs und eine Vorrichtung zur Durchführung des Verfahrens beschrieben. In dem Verfahren wird das Fahrzeug mit mindestens zwei unterschiedlichen Lokalisierungsmethoden lokalisiert, wobei die mindestens zwei Lokalisierungsmethoden zumindest eine landmarkenbasierte Lokalisierungsmethode und eine auf mindestens einem globalen

Navigationssatellitensystem basierende Lokalisierungsmethode umfassen. Das

Fahrzeugsystem wird in Abhängigkeit von einem Ergebnis der Lokalisierung zur

Aktivierung freigegeben. Dabei wird das Fahrzeugsystem nur dann zur Aktivierung freigegeben, wenn mit jeder der angewendeten Lokalisierungsmethoden bestätigt wird, dass das Fahrzeug sich auf einem für den automatisierten Fährbetrieb freigegebenen Streckenabschnitt befindet.

Der Erfindung liegt die Aufgabe zu Grunde, ein gegenüber dem Stand der Technik verbessertes Verfahren zur Ermittlung von Messwerten mittels mindestens zweier unterschiedlicher Messverfahren und eine Verwendung dieses Verfahrens anzugeben.

Die Aufgabe wird erfindungsgemäß gelöst durch ein Verfahren zur Ermittlung von Messwerten mittels mindestens zweier unterschiedlicher Messverfahren mit den Merkmalen des Anspruchs 1 und eine Verwendung des Verfahrens mit den Merkmalen des Anspruchs 9.

Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.

In einem Verfahren zur Ermittlung von Messwerten mittels mindestens zweier

unterschiedlicher Messverfahren werden erfindungsgemäß mit jedem der Messverfahren vorläufige Messwerte ermittelt und Informationen über eine Integrität der ermittelten vorläufigen Messwerte bereitgestellt. Die Integrität ist dabei insbesondere ein

Qualitätsmaß, das angibt, wie sicher der jeweilige Messwert ist. Die ermittelten

vorläufigen Messwerte werden zu kombinierten Messwerten fusioniert und es wird eine Information zur Integrität der kombinierten Messwerte ermittelt. In Abhängigkeit von den Informationen über die Integrität der ermittelten vorläufigen Messwerte und der kombinierten Messwerte und in Abhängigkeit von einer Zeitdauer, während der die ermittelten vorläufigen Messwerte und die kombinierten Messwerte jeweils vorgegebene Anforderungen bezüglich ihrer Integrität erfüllen, wird entschieden, welche der Messwerte für eine Weiterverarbeitung bereitgestellt werden. Vorteilhafterweise werden somit in Abhängigkeit von der getroffenen Entscheidung entweder die kombinierten Messwerte zur Weiterverarbeitung bereitgestellt oder es wird eines der Messverfahren ausgewählt und die ermittelten vorläufigen Messwerte des ausgewählten Messverfahrens werden zur Weiterverarbeitung bereitgestellt.

Das Verfahren ermöglicht es, eine Verfügbarkeit der Messwerte für die

Weiterverarbeitung zu erhöhen, da mittels dieses Verfahrens nicht nur die kombinierten Messwerte, sondern, wenn die oben genannten Voraussetzungen erfüllt sind, auch die ermittelten vorläufigen Messwerte zur Weiterverarbeitung bereitgestellt werden.

Das Verfahren ist insbesondere in einem Fahrzeug verwendbar, insbesondere zur Durchführung eines automatisierten oder autonomen Fährbetriebs des Fahrzeugs und/oder zum Steuern eines zur Durchführung des automatisierten oder autonomen Fährbetriebs eingerichteten Fahrzeugsystems des Fahrzeugs. Durch die mittels des Verfahrens verbesserte Verfügbarkeit der Messwerte wird auch die Verfügbarkeit des automatisierten oder autonomen Fährbetriebs gesteigert, d. h. ein größerer Anteil des Fährbetriebs des Fahrzeugs kann als automatisierter oder autonomer Fährbetrieb durchgeführt werden. Die Messverfahren betreffen dann insbesondere Verfahren zur Lokalisierung des Fahrzeugs, d. h. insbesondere zur Bestimmung einer jeweiligen Position des Fahrzeugs, da eine solche Lokalisierung zur Durchführung des

automatisierten oder autonomen Fährbetriebs erforderlich ist. In einer möglichen

Ausführungsform des Verfahrens umfassen die Messverfahren daher beispielsweise ein landmarkenbasiertes Messverfahren und ein satellitengestütztes, insbesondere auf mindestens einem globalen Navigationssatellitensystem basierendes, Messverfahren.

In einer weiteren möglichen Ausführungsform des Verfahrens umfassen die

Messverfahren beispielsweise mindestens zwei unterschiedliche Messverfahren zur Objekterkennung und/oder Abstandsermittlung, insbesondere mindestens ein

radarbasiertes Messverfahren und/oder mindestens ein lidarbasiertes Messverfahren und/oder mindestens ein kamerabasiertes Messverfahren, alternativ oder zusätzlich zum oben erwähnten landmarkenbasierten Messverfahren und satellitengestützten, insbesondere auf mindestens einem globalen Navigationssatellitensystem basierenden, Messverfahren. Auch diese Ausführungsform des Verfahrens ist insbesondere für die Verwendung im Fahrzeug geeignet, um dadurch eine Verfügbarkeit entsprechender auf diesen Messverfahren beruhender Funktionen des Fahrzeugs zu erhöhen, d. h. deren Einsatzzeit kann mittels des Verfahrens gesteigert werden.

Beispielsweise wird eine Zeitdauer der Bereitstellung zur Weiterverarbeitung der jeweiligen Messwerte erfasst. Vorteilhafterweise wird die Zeitdauer der Bereitstellung zur Weiterverarbeitung der jeweiligen Messwerte limitiert. Dadurch wird sichergestellt, dass eine Fehlerrate, insbesondere eine Falsch-Positiv-Fehlerrate der zur Weiterverarbeitung bereitgestellten Messwerte, insgesamt einen vorgegebenen Wert nicht überschreitet. Der Falsch-Positiv-Fehler tritt auf, wenn gemäß der Informationen zur Integrität der betreffende Messwert gut sein müsste, aber das nicht stimmt.

In einer möglichen Ausführungsform des Verfahrens wird in Abhängigkeit von den Informationen über die Integrität der ermittelten vorläufigen Messwerte und der kombinierten Messwerte und in Abhängigkeit von der Zeitdauer, während der die ermittelten vorläufigen Messwerte und die kombinierten Messwerte jeweils vorgegebene Anforderungen bezüglich ihrer Integrität erfüllen, für eine Mehrzahl von

Weiterverarbeitungsvorrichtungen jeweils entschieden, welche der Messwerte für die jeweilige Weiterverarbeitung bereitgestellt werden. Dadurch können die Vorgaben bezüglich der Informationen über die Integrität der ermittelten vorläufigen Messwerte und der kombinierten Messwerte, die Vorgaben an die Zeitdauer, während der die ermittelten vorläufigen Messwerte und die kombinierten Messwerte jeweils vorgegebene

Anforderungen bezüglich ihrer Integrität erfüllen müssen, sowie die Vorgaben bezüglich dieser zu erfüllenden Anforderungen an die jeweilige Weiterverarbeitungsvorrichtung und deren jeweilige Bedürfnisse angepasst werden, so dass möglicherweise für einige dieser Weiterverarbeitungsvorrichtungen, welche geringere Vorgaben bezüglich dieser die Messwerte betreffenden Größen stellen, noch Messwerte zur Weiterverarbeitung zur Verfügung gestellt werden können, während für andere Weiterverarbeitungsvorrichtungen mit höheren Vorgaben keine Messwerte zur Verfügung gestellt werden können. Somit wird an Stelle einer einheitlichen Verfügbarkeit der Funktionen aller

Weiterverarbeitungsvorrichtungen erreicht, dass die Verfügbarkeit von Funktionen einiger Weiterverarbeitungsvorrichtungen, die geringere Vorgaben stellen, noch weiter gesteigert werden kann.

Ausführungsbeispiele der Erfindung werden im Folgenden anhand von Zeichnungen näher erläutert.

Dabei zeigen:

Fig. 1 schematisch ein einzelnes Messverfahren und eine

Weiterverarbeitungsvorrichtung zur Weiterverarbeitung von diesem Messverfahren bereitgestellter Messwerte,

Fig. 2 schematisch eine gemäß der Norm IS026262 zulässige Vorgehensweise,

Fig. 3 schematisch eine Darstellung von Ergebnissen zweier unterschiedlicher

Messverfahren und eines kombinierten Ergebnisses,

Fig. 4 schematisch eine Bestenauswahl aus drei Messverfahren,

Fig. 5 schematisch ein Verfahren zur Ermittlung von Messwerten mittels mindestens zweier unterschiedlicher Messverfahren, Fig. 6 schematisch einen Status der Bereitstellung der Ergebnisse des jeweiligen Messverfahrens oder der fusionierten Ergebnisse,

Fig. 7 schematisch eine weitere Ausführungsform des Verfahrens zur Ermittlung von

Messwerten mittels mindestens zweier unterschiedlicher Messverfahren,

Fig. 8 schematisch mittels zweier Messverfahren ermittelte Fahrzeugpositionen und

Fehlerobergrenzen,

Fig. 9 schematisch das Verfahren zur Ermittlung von Messwerten mittels mindestens zweier unterschiedlicher Messverfahren am Beispiel einer

Fahrzeuglokalisierung, und

Fig. 10 schematisch das Verfahren zur Ermittlung von Messwerten mittels mindestens zweier unterschiedlicher Messverfahren am Beispiel einer

Fahrzeuglokalisierung und einer zusätzlichen Komfortfunktion.

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.

Anhand der Figuren 1 bis 10 wird im Folgenden ein Verfahren zur Ermittlung von

Messwerten MW1 , MW2, KMW mittels mindestens zweier unterschiedlicher

Messverfahren MV1 , MV2 erläutert, beispielsweise mittels eines satellitengestützten und eines landmarkenbasierten Messverfahrens zur Fahrzeuglokalisierung oder mittels eines radarbasierten, lidarbasierten und/oder kamerabasierten Messverfahrens zur

Objekterkennung oder Abstandsermittlung.

Jedes der Messverfahren MV1 , MV2 liefert vorläufige Messwerte MW1 , MW2 und

Integritätsdaten, d. h. Informationen über die Integrität IMW1 , IMW2 der gelieferten vorläufigen Messwerte MW1 , MW2. Die Integrität IMW1 , IMW2 ist dabei ein Qualitätsmaß, das angibt, wie sicher ein Messwert MW1 , MW2 ist.

Die vorläufigen Messwerte MW1 , MW2 werden zu kombinierten Messwerten KMW fusioniert und es werden kombinierte Integritätsdaten ermittelt, d. h. es wird eine

Information über die Integrität Kl MW der kombinierten Messwerte KMW ermittelt. In Abhängigkeit der Informationen über die Integrität IMW1 , IMW2, Kl MW der

Messwerte MW1 , MW2, KMW und in Abhängigkeit der Zeitdauer, während der die Messwerte MW1 , MW2, KMW jeweils vorgegebene Anforderungen bezüglich Ihrer Integrität IMW1 , IMW2, Kl MW erfüllen, wird entschieden, welche der

Messwerte MW1 , MW2, KMW zur Weiterverarbeitung bereitgestellt werden sollen. In Abhängigkeit von dieser Entscheidung werden somit entweder die kombinierten

Messwerte KMW zur Weiterverarbeitung bereitgestellt oder es wird eines der

Messverfahren MV1 , MV2 ausgewählt und es werden die vorläufigen

Messwerte MW1 , MW2 des ausgewählten Messverfahrens MV1 , MV2 zur

Weiterverarbeitung bereitgestellt.

Dieses Verfahren eignet sich insbesondere für sicherheitskritische Systeme, denn diese haben hohe Anforderungen an die vorgelagerte Messfunktion, sowohl bezüglich funktionaler Sicherheit als auch Gebrauchssicherheit. Oft muss die Messfunktion dabei zusätzlich zur Messgröße und statistischen Genauigkeitsschätzung

(Standardabweichung) auch eine Indikation ausgeben, dass die Messgröße innerhalb eines definierten Normbereichs liegt (Integrität). Das ist insbesondere dann der Fall, wenn komplexere Fehlerbilder auftreten können, die über reines Störrauschen hinausgehen. Als exemplarisches Ausführungsbeispiel wird im Folgenden eine integre

Positionsbestimmung für das hochautomatisierte Fahren, d. h. für einen automatisierten, insbesondere hoch automatisierten, oder autonomen Fährbetrieb, erläutert.

Aus dem Stand der Technik ist die Norm IS026262 bekannt, welche eine Dekomposition einer kritischen Messfunktion auf zwei heterogene Teilkomponenten erlaubt, welche die Messgröße und Metadaten unabhängig voneinander redundant schätzen. Die

funktionalen Sicherheitsanforderungen für jede Teilkomponente sind dann jeweils deutlich niedriger. Auch die Gebrauchssicherheit profitiert davon, denn wenn die

Integritätsindikatoren„verundet“ werden, d. h. ein kombinierter Integritätsindikator gebildet wird, dann hat dieser kombinierte Integritätsindikator eine wesentlich geringere

Falsch-Positiv-Fehlerrate als die Einzelkomponenten (der Falsch-Positiv-Fehler tritt auf, wenn gemäß der Informationen zur Integrität der betreffende Messwert gut sein müsste, aber das nicht stimmt). Dieses Vorgehen ist in der Praxis verbreitet, da die zwei

Teilkomponenten meist viel günstiger ausgelegt werden können als eine Einzellösung, die dieselben Anforderungen schafft. Der Nachteil dabei ist jedoch, dass durch diese „Verundung“ die Verfügbarkeit der Messfunktion sinkt, was sich oft in für einen Nutzer wahrnehmbaren Einschränkungen niederschlägt.

Dieser Nachteil wird durch das hier beschriebene Verfahren vermieden. Dabei stellt dieses Verfahren vorteilhafterweise eine Systemerweiterung dar, welches, abweichend von der oben beschriebenen und bisher durchgeführten Dekomposition, eine„weiche“ Dekomposition der Messfunktion ermöglicht, da das hier beschriebene Verfahren die Ausgabe von unterschiedlich stark abgesicherten Varianten der Messgröße und

Metadaten zulässt.

Wie oben bereits beschrieben, wird dabei die Zeitdauer oder, insbesondere bei

Verwendung des Verfahrens im Fahrzeug beispielsweise alternativ oder zusätzlich eine Wegstrecke gemessen, beispielsweise seit Beginn eines Operationszyklus, zum Beispiel ab Zündungslauf, die beiden Teilkomponenten, d. h. die beiden

Messverfahren MV1 , MV2, verfügbar waren. Die Falsch-Positiv-Fehlerrate der

„verundeten“ Integritätsindikation ist währenddessen sehr gering. Auf die oben

beschriebene Weise wird dann, insbesondere entsprechend einer Metrik, in einer Variante der Messausgabe die temporäre Überbrückung der Nichtverfügbarkeit einer der

Teilkomponenten, d. h. eines der Messverfahren MV1 , MV2, zugelassen, wo die andere, die verfügbare, Teilkomponente, d. h. das entsprechend andere

Messverfahren MV2, MV1 , die Messausgabe direkt befüllt. Auch diese Überbrückungszeit und/oder Ü berbrückungsstrecke, d. h. die Zeitdauer und/oder Wegstrecke der

Bereitstellung zur Weiterverarbeitung der jeweiligen Messwerte MW1 , MW2, wird vorteilhafterweise gemessen und gemäß der Metrik limitiert.

Das Verfahren hat den Vorteil, dass, wenn ein systemseitiger Abnehmer der Messgröße, d. h. eine Weiterverarbeitungsvorrichtung 1 , mit einer höheren Falsch-Positiv-Fehlerrate umgehen kann, als sich durch die oben beschriebene harte„Verundung“ bei der bisher praktizierten Vorgehensweise ergibt, dann kann auf diese Weise die Verfügbarkeit der Messgröße für diesen Abnehmer gesteigert werden. Er erhält dann die Variante der Messgröße, die genau seiner Falsch-Positiv-Fehlerrate-Anforderung entspricht, mit der maximalen hierfür möglichen Verfügbarkeit.

Verschiedene Abnehmer, d. h. verschiedene

Weiterverarbeitungsvorrichtungen 1a, 1 b, 1c, mit verschiedenen Falsch-Positiv-Fehlerrate-Anforderungen können dabei parallel mit

Messwerten MW1 , MW2, KMW beliefert werden. Dies schlägt sich auf eine höhere Verfügbarkeit aller nachgelagerten Systemteile durch, bis hin zu nutzererlebbaren

Funktionen. Im Ausführungsbeispiel der automatisierten oder autonomen Fahrfunktion wird somit deren Verfügbarkeit gesteigert, d. h. der Nutzer, hier ein Fahrer oder Insasse des Fahrzeugs, erlebt eine höhere Verfügbarkeit, d. h. eine höhere mögliche Einsatzdauer der automatisierten oder autonomen Fahrfunktion. Die Richtlinien der IS026262 bleiben dabei gewahrt.

Nach dieser grundsätzlichen Erläuterung des hier beschriebenen Verfahrens und der bisherigen Vorgehensweise werden im Folgenden anhand der Figuren 1 bis 10 zunächst die bisherige Vorgehensweise, dann das hier beschriebene Verfahren und danach das Ausführungsbeispiel für die automatisierte oder autonome Fahrfunktion nochmals detailliert erläutert.

Figur 1 zeigt ein einzelnes Messverfahren MV und ein sicherheitskritisches System als Abnehmer und Weiterverarbeitungsvorrichtung 1 zur Weiterverarbeitung der von diesem Messverfahren MV bereitgestellten Messwerte MW.

Das Problem, dass dem hier beschriebenen Verfahren zugrunde liegt, besteht darin, dass solche sicherheitskritischen Systeme, beispielsweise ein Fahrzeugsystem zur

Durchführung des automatisierten oder autonomen Fährbetriebs, hohe Anforderungen an ihre Messverfahren MV haben, sowohl an die funktionale Sicherheit als auch an die Gebrauchssicherheit. Häufig sind zusätzliche Informationen über die Integrität IMW der Messwerte MW erforderlich, beispielsweise bezüglich eines maximalen Fehlers, einer Qualität, einer Gültigkeit und/oder einer Ungenauigkeit. Es erfolgt daher eine

Integritätsprüfung IP, d. h. eine Prüfung, ob die Informationen bezüglich der Integrität IMW der Messwerte MW ausreichen. Wenn diese Informationen bezüglich der Integrität IMW nicht ausreichen, beispielsweise da ein Qualitätskennzeichen auf niedrig steht und eine Fehlerobergrenze, auch als Protection Limit bezeichnet, zu hoch ist, wechselt das sicherheitskritische System in einen sicheren Zustand, zum Beispiel erfolgt eine

Deaktivierung und eine Benachrichtigung oder Warnung des Nutzers. Dies beeinträchtigt ein Nutzererlebnis. Daher wird eine hohe Verfügbarkeit der Integrität IMW angestrebt.

Eine akzeptable Falsch-Positiv-Fehlerrate von Informationen bezüglich der Integrität IMW ist in der Regel sehr niedrig und erfordert teure Fehlererkennungsmechanismen. Die meisten Messverfahren MV liefern, wie in Figur 1 gezeigt, zudem auch eine

Standardabweichung SA der Messwerte MW, die sich jedoch meist nur auf einen Restwert einer linearen oder linearisierten Optimierung bezieht. Daraus lässt sich keine Integrität ableiten und sie ist bei komplexeren Fehlerzuständen als einfachem Rauschen ein schlechtes Qualitätsmaß. Sie kann beispielsweise noch verwendet werden, um das Rauschen zum Zweck der im Folgenden beschriebenen Fusion von vorläufigen

Messwerten MW1 , MW2 verschiedener Messverfahren MV1 , MV2 zu quantifizieren, insbesondere solange andere Mechanismen die Integrität der Daten bewerten.

Die oben bereits genannte Norm zur funktionalen Sicherheit ISO 26262 erlaubt, wie in Figur 2 gezeigt, die Dekomposition, d. h. Zerlegung, eines Messverfahrens MV in zwei Teilkomponenten, d. h. in zwei unterschiedliche Messverfahren MV1 , MV2, die beide unabhängig voneinander mit unterschiedlichen Eingangsdaten und Methoden messen und jeweils vorläufige Messwerte MW1 , MW2, Informationen über die

Integrität IMW 1 , IMW2 der vorläufigen Messwerte MW1 , MW2 und eine jeweilige Standardabweichung SA1 , SA2 liefern. In Bezug auf die funktionale Sicherheit hilft es dabei, hohe ASI L-Messfunktionen zu vermeiden, da sich die Teilkomponenten, d. h. die beiden unterschiedlichen Messverfahren MV1 , MV2, gegenseitig überwachen können (ASIL = Automotive Safety Integrity Level, von ISO 26262 spezifizierte

Sicherheitsanforderungsstufe für sicherheitsrelevante Systeme in Kraftfahrzeugen).

Analog dazu können falsch positive Integritätsbewertungen durch eine

I nteg ritätskom bi nati on IK der Informationen über die Integrität IMW1 , IMW2 der vorläufigen Messwerte MW1 , MW2, zum Beispiel durch eine UND-Verknüpfung von gültigen Kennzeichen, d. h. so genannten Flags, und/oder eine Vereinheitlichung der Fehlerobergrenzen) stark reduziert werden. Daher können die einzelnen

Teilkomponenten, d. h. die beiden unterschiedlichen Messverfahren MV1 , MV2, mehr Falsch-Positiv-Fehler in ihren Informationen über die Integrität IMW1 , IMW2 machen und benötigen weniger kostspielige Fehlererkennungs- und Ausschlussmechanismen. Häufig ist diese zerlegte Lösung kostengünstiger als eine sehr robuste Einzelkomponente, d. h. als ein sehr robustes einzelnes Messverfahren MV, mit einem hohen ASIL- Wert. Dadurch ist diese Vorgehensweise weit verbreitet.

Figur 2 zeigt eine schematische Darstellung dieser gemäß ISO 26262 zulässigen Vorgehensweise. Die beiden unterschiedlichen Messverfahren MV1 , MV2 liefern jeweils vorläufige Messwerte MW1 , MW2, Informationen über die Integrität IMW 1 , IMW2 der vorläufigen Messwerte MW1 , MW2 und eine jeweilige Standardabweichung SA1 , SA2. Dies erfolgt beispielweise mittels eines Schätzalgorithmus. Die Informationen über die Integrität IMW 1 , IMW2 der vorläufigen Messwerte MW1 , MW2 umfassen beispielsweise die Fehlerobergrenze oder ein gültiges Kennzeichen, d. h. Valid Flag, und somit eine garantierte Obergrenze des Fehlers des jeweiligen vorläufigen Messwerts MW1 , MW2.

Es erfolgt in einem Verknüpfungsschritt, im Folgenden als Abgrenzung zur im Weiteren beschriebenen Vorgehensweise aufgrund der hier zwingenden Verknüpfung beider Messverfahren MV1 , MV2 als harter Verknüpfungsschritt HVS bezeichnet, eine

Messwertfusion MF, d. h. die von den beiden unterschiedlichen Messverfahren MV1 , MV2 gelieferten vorläufigen Messwerte MW1 , MW2 werden zu kombinierten Messwerten KMW mit einer kombinierten Standardabweichung KSA fusioniert. Der kombinierte

Messwert KMW ist beispielsweise ein gewichteter Mittelwert, gewichtet beispielsweise nach Standardabweichung SA1 , SA2. Die Integritätskombination IK der Informationen über die Integrität IMW1 , IMW2 der vorläufigen Messwerte MW1 , MW2 liefert eine Information zur Integrität Kl MW der kombinierten Messwerte KMW, beispielweise eine Vereinigungsmenge beider Fehlerobergrenzen FG1 , FG2 oder beide gültigen

Kennzeichen, d. h. beide Valid-Flags, müssen OK sein.

Die Integritätskombination IK der Informationen über die Integrität IMW1 , IMW2 der vorläufigen Messwerte MW1 , MW2 kann in einigen Fällen ein logisches UND sein, zum Beispiel gültige Kennzeichen, d. h. so genannten Flags, aber im Allgemeinen kann es sich um eine beliebige Kombination unabhängiger Informationen über die

Integrität IMW1 , IMW2 der vorläufigen Messwerte MW1 , MW2 handeln, die eine sicherere Integritätsbewertung ermöglicht, zum Beispiel eine Vereinigungsmenge der

Fehlerobergrenzen FG1 , FG2 der beiden Messverfahren MV1 , MV2.

Die Integrität ist insbesondere ein verlässliches Maß, wie gut der jeweilige

Messwert MW1 , MW2, KMW ist, beispielsweise ob man sich im Moment auf den

Messwert MW1 , MW2, KMW verlassen kann, ob man ausschließen kann, dass ein Fehler des Messwertes MW1 , MW2, KMW im Moment nicht größer als ein bestimmtes Maß ist. Die Integrität ist Garantie für die Qualität des Messwerts MW1 , MW2, KMW, zum Beispiel ein Ja/Nein-Kennzeichen oder eine Angabe, dass der Messwert MW1 , MW2, KMW nur in einem bestimmten Bereich garantiert wird, zum Beispiel wird eine geforderte Qualität für einen Abstandswert nur in einem Bereich bis zu 30 m garantiert.

Figur 3 zeigt am Beispiel der Fahrzeuglokalisierung Ergebnisse EMV1 , EMV2 der beiden unterschiedlichen Messverfahren MV1 , MV1 und das kombinierte Ergebnis EF. Das erste Messverfahren MV1 liefert eine erste Fahrzeugposition FP1 als Lokalisierungsergebnis und eine erste Fehlerobergrenze FG1. Es wird garantiert, dass die erste

Fahrzeugposition FP1 mit einer Falsch-Positiv-Fehlerrate von weniger als einem geforderten Wert in diesem Bereich liegt. Das zweite Messverfahren MV2 liefert eine zweite Fahrzeugposition FP2 als Lokalisierungsergebnis und eine zweite

Fehlerobergrenze FG2. Es wird garantiert, dass die zweite Fahrzeugposition FP2 mit einer Falsch-Positiv-Fehlerrate von weniger als einem geforderten Wert in diesem Bereich liegt. Eine Schnittmenge der beiden Fehlerobergrenzen FG1 , FG2 entspricht der

Information zur Integrität Kl MW der kombinierten Messwerte KMW.

Die Bewertung der Information zur Integrität Kl MW der kombinierten Messwerte KMW ist nur dann positiv, wenn alle durch die Informationen über die Integrität IMW1 , IMW2 der ermittelten vorläufigen Messwerte MW1 , MW2 eingeführten Nebenbedingungen erfüllt sind. Wenn beispielsweise beide Informationen über die Integrität IMW1 , IMW2 der ermittelten vorläufigen Messwerte MW1 , MW2 maximale Fehlerschätzungen, d. h.

maximale Fehlerobergrenzen, enthalten, erfüllt nur der größere Fehlerüberhang beide Einschränkungen. Von zwei Qualitätsbewertungen wird nur die schlechtere berücksichtigt, d. h. bei einer guten und einer mittleren Qualitätsbewertung wird nur die mittlere berücksichtigt. Zwei Valid-Flags, d. h. gültige Kennzeichen, werden nur als positiv bewertet, wenn beide wahr, d. h. positiv, sind. Eine falsch-positive I ntegritätsbewertung bedeutet, dass die Datenqualität der Integritätsinformationen als besser eingeschätzt wird, als sie tatsächlich ist.

Zusammenfassend lässt sich sagen, dass die Information zur Integrität Kl MW der kombinierten Messwerte KMW eine sicherere Beurteilung der Integrität ermöglicht, d. h. eine niedrigere Falsch-Positiv-Fehlerrate, da sie nur dann zu einem Falsch-Positiv führt, wenn beide individuellen Informationen über die Integrität IMW1 , IMW2 der ermittelten vorläufigen Messwerte MW1 , MW2 gleichzeitig falsch positiv sind. Die Beurteilung fällt jedoch auch viel eher negativ aus, so dass das aktuell leistungsschwächere

Messverfahren MV1 , MV2 stets die Verfügbarkeit begrenzt. Der einzige aus dem Stand der Technik bekannte Weg zur Erhöhung der Verfügbarkeit besteht darin, mehr redundante Teilkomponenten, d. h. mehr unterschiedliche

Messverfahren MV1 , MV2, MV3, hinzuzufügen und eine Bestenauswahl BA

vorzunehmen, beispielsweise bei drei Messverfahren MV1 , MV2, MV3 die besten zwei der drei Messverfahren MV1 , MV2, MV3, wie in Figur 4 gezeigt. Hier werden drei unterschiedliche Messverfahren MV1 , MV2, MV3 verwendet. Es erfolgt die

Bestenauswahl BA von zwei der drei Messverfahren MV1 , MV2, MV3 und danach der in Figur 2 dargestellte und oben beschriebene harte Verknüpfungsschritt HVS. Die dadurch erhaltenen Ergebnisse EF, insbesondere kombinierten Messwerte KMW, werden dann der Weiterverarbeitungsvorrichtung 1 geliefert. Dies erhöht jedoch die System kosten erheblich, da mehr Messverfahren MV1 , MV2, MV3 und entsprechende hierfür erforderliche Messeinrichtungen benötigt werden, und wird daher nur durchgeführt, wenn eine hohe Verfügbarkeit sehr kritisch ist, d. h. erforderlich ist, zum Beispiel bei der Objekterkennung.

Als Verbesserung der aus dem Stand der Technik bekannten Lösung sieht das oben bereits beschriebene und in Figur 5 dargestellte Verfahren zur Ermittlung von

Messwerten MW1 , MW2, KMW mittels mindestens zweier unterschiedlicher

Messverfahren MV1 , MV2 eine Erweiterung der aus dem Stand der Technik bekannten Zweikomponenten-Dekomposition vor, die die Systemverfügbarkeit auf intelligente Weise innerhalb des zulässigen Designbereichs maximiert. Dabei wird die Tatsache ausgenutzt, dass mit der Kombination der Integritätsdaten, d. h. mit der Information zur

Integrität Kl MW der kombinierten Messwerte KMW, die Falsch-Positiv-Fehlerrate der Integritätsbewertung in der Regel so niedrig wird, dass sie die tatsächliche

Systemanforderung überschreitet. Daher kann ein Budget mit einer grundsätzlich fehlerfreien Betriebszeit akkumuliert werden, solange die Integritätsdaten, d. h. die Informationen über die Integrität IMW1 , IMW2 der ermittelten vorläufigen

Messwerte MW1 , MW2 beider Teilkomponenten, d. h. beider Messverfahren MV1 , MV2, ausreichend gut sind. Dann kann dieses Budget verwendet werden, um kurze Intervalle zuzulassen, in denen nur eine Teilkomponente, d. h. nur eines der beiden

unterschiedlichen Messverfahren MV1 , MV2, das Ergebnis EMV1 , EMV2 für die

Weiterverarbeitungsvorrichtung 1 liefert, um einige Zeit zu überbrücken, wenn die andere Teilkomponente, d. h. das andere Messverfahren MV2, MV1 , nicht ausreichend gut arbeitet. Während dieses kurzen Intervalls ist die Falsch-Positiv-Fehlerrate höher, jedoch steuert eine Überwachungseinheit 2 die Zeitanteile sowohl der übermäßig sicheren als auch der weniger sicheren Betriebszeit, so dass die vorgegebene

Falsch-Positiv-Fehlerrate weiterhin eingehalten wird.

Das Verfahren umfasst die in Figur 2 dargestellte und oben bereits beschriebene

Vorgehensweise. Die beiden unterschiedlichen Messverfahren MV1 , MV2 liefern jeweils vorläufige Messwerte MW1 , MW2, Informationen über die Integrität IMW 1 , IMW2 der vorläufigen Messwerte MW1 , MW2 und eine jeweilige Standardabweichung SA1 , SA2. Dies erfolgt beispielweise mittels eines Schätzalgorithmus. Die Informationen über die Integrität IMW 1 , IMW2 der vorläufigen Messwerte MW1 , MW2 umfassen beispielsweise die Fehlerobergrenze oder ein gültiges Kennzeichen, d. h. Valid Flag, und somit eine garantierte Obergrenze des Fehlers des jeweiligen vorläufigen Messwerts MW1 , MW2.

Es erfolgt im harten Verknüpfungsschritt HVS die Messwertfusion MF, d. h. die von den beiden unterschiedlichen Messverfahren MV1 , MV2 gelieferten vorläufigen

Messwerte MW1 , MW2 werden zu kombinierten Messwerten KMW mit der kombinierten Standardabweichung KSA fusioniert. Der kombinierte Messwert KMW ist beispielsweise ein gewichteter Mittelwert, gewichtet beispielsweise nach Standardabweichung SA1 , SA2. Die Integritätskombination IK der Informationen über die Integrität IMW1 , IMW2 der vorläufigen Messwerte MW1 , MW2 liefert die Information zur Integrität Kl MW der kombinierten Messwerte KMW, beispielweise die Vereinigungsmenge beider

Fehlerobergrenzen FG1 , FG2 oder beide gültigen Kennzeichen, d. h. beide Valid-Flags, müssen OK sein.

Die Integritätskombination IK der Informationen über die Integrität IMW1 , IMW2 der vorläufigen Messwerte MW1 , MW2 kann in einigen Fällen ein logisches UND sein, zum Beispiel gültige Kennzeichen, d. h. so genannten Flags, aber im Allgemeinen kann es sich um eine beliebige Kombination unabhängiger Informationen über die

Integrität IMW1 , IMW2 der vorläufigen Messwerte MW1 , MW2 handeln, die eine sicherere I ntegritätsbewertung ermöglicht, zum Beispiel eine Vereinigungsmenge der

Fehlerobergrenzen FG1 , FG2 der beiden Messverfahren MV1 , MV2.

Die Integrität ist insbesondere ein verlässliches Maß, wie gut der jeweilige

Messwert MW1 , MW2, KMW ist, beispielsweise ob man sich im Moment auf den

Messwert MW1 , MW2, KMW verlassen kann, ob man ausschließen kann, dass ein Fehler des Messwertes MW1 , MW2, KMW im Moment nicht größer als ein bestimmtes Maß ist. Die Integrität ist Garantie für die Qualität des Messwerts MW1 , MW2, KMW, zum Beispiel ein Ja/Nein-Kennzeichen oder eine Angabe, dass der Messwert MW1 , MW2, KMW nur in einem bestimmten Bereich garantiert wird, zum Beispiel wird eine geforderte Qualität für einen Abstandswert nur in einem Bereich bis zu 30 m garantiert.

Zusätzlich erfolgt ein weicher Verknüpfungsschritt WVS. Dieser umfasst einen

Multiplexer 3, in den die kombinierten Messwerte KMW, die kombinierte

Standardabweichung KSA, die Information zur Integrität Kl MW der kombinierten

Messwerte KMW sowie von den beiden Messverfahren MV1 , MV2 die vorläufigen Messwerte MW1 , MW2, Informationen über die Integrität IMW 1 , IMW2 der vorläufigen Messwerte MW1 , MW2 und die jeweilige Standardabweichung SA1 , SA2 einfließen. Des Weiteren fließt hier ein Steuerungssignal SS der Überwachungseinheit 2 ein, welches dem Multiplexer 3 mitteilt, welche Werte er jeweils zur Weiterverarbeitung ausgeben soll, die fusionierten Werte, d. h. die kombinierten Messwerte KMW, die kombinierte

Standardabweichung KSA und die Information zur Integrität Kl MW der kombinierten Messwerte KMW, oder die Werte des ersten Messverfahrens MV1 , d. h. dessen vorläufige Messwerte MW1 , Standardabweichung SA1 und Informationen über die Integrität IMW1 der ermittelten vorläufigen Messwerte MW1 , oder die Werte des zweiten Messverfahrens MV2, d. h. dessen vorläufige Messwerte MW2, Standardabweichung SA2 und Informationen über die Integrität IMW2 der ermittelten vorläufigen Messwerte MW2. Hierzu erfolgt in der Überwachungseinheit 2 die Integritätsprüfung IR der Information zur Integrität Kl MW der kombinierten Messwerte KMW, der Informationen über die

Integrität IMW1 der ermittelten vorläufigen Messwerte MW1 des ersten

Messverfahrens MV1 und der Informationen über die Integrität IMW2 der ermittelten vorläufigen Messwerte MW2 des zweiten Messverfahrens MV2. Zudem laufen

Zähler Z0, Z1 , Z2, welche eine Zeitdauer der Bereitstellung der jeweiligen Werte zur Weiterverarbeitung erfassen, d. h. ein Zähler Z0 läuft, wenn die fusionierten Werte, d. h. die kombinierten Messwerte KMW, die kombinierte Standardabweichung KSA und die Information zur Integrität Kl MW der kombinierten Messwerte KMW zur Weiterverarbeitung vom Multiplexer 3 bereitgestellt werden und/oder gibt an, wie lange sie bereitgestellt werden, ein Zähler Z1 läuft, wenn die Werte des ersten Messverfahrens MV1 , d. h.

dessen vorläufiger Messwerte MW1 , Standardabweichung SA1 und Informationen über die Integrität IMW1 der ermittelten vorläufigen Messwerte MW1 zur Weiterverarbeitung vom Multiplexer 3 bereitgestellt werden und/oder gibt an, wie lange sie bereitgestellt werden, und ein Zähler Z2 läuft, wenn die Werte des zweiten Messverfahrens MV2, d. h. dessen vorläufige Messwerte MW2, Standardabweichung SA2 und Informationen über die Integrität IMW2 der ermittelten vorläufigen Messwerte MW2 zur Weiterverarbeitung vom Multiplexer 3 bereitgestellt werden und/oder gibt an, wie lange sie bereitgestellt werden. Die dadurch ermittelten Zeitdauern der Bereitstellung zur Weiterverarbeitung der jeweiligen Werte fließen in die Überwachungseinheit 2 ein, so dass die Bereitstellung insbesondere der Werte des ersten Messverfahrens MV1 und zweiten

Messverfahrens MV2 durch die Überwachungseinheit 2 limitiert wird. Zähler Z0 gibt dabei an, wie lange die Bereitstellung der Werte zur Weiterverarbeitung mit sehr geringer Fehlerrate, insbesondere Falsch-Positiv-Fehlerrate, erfolgt ist.

In die Überwachungseinheit 2 fließt zudem eine vorgegebene Konfiguration K ein, beispielsweise maximale Zeitanteile max_time_share_1 , m ax_t i m e_s h a re_2 des ersten und zweiten Messverfahrens MV1 , MV2 und eine Mindestkontinuität min_continuity.

Dabei gilt: max_time_share_1 = (FP _S -FP _C ) / (FP FP _c ) (1) max_time_share_2= (FP _S -FP _C ) / (FP ₂ -FP _C ) (1) mit:

FPi: Falsch-Positiv-Fehlerrate der Informationen über die Integrität IMW1 der ermittelten vorläufigen Messwerte MW1 des ersten Messverfahrens MV1 ,

FP ₂ : Falsch-Positiv-Fehlerrate der Informationen über die Integrität IMW2 der ermittelten vorläufigen Messwerte MW2 des zweiten Messverfahrens MV2,

FPc: Falsch-Positiv-Fehlerrate der Information zur Integrität Kl MW der kombinierten Messwerte KMW,

FPs: gewünschte Falsch-Positiv-Fehlerrate der jeweils vom Multiplexer 3 bereitgestellten Information zur Integrität IMW1 , IMW2, Kl MW.

Die Mindestkontinuität min_continuity ist die minimale Zeitdauer oder Entfernung, in der die Steuerung durch die Überwachungseinheit 2 in einem Modus mit einer einzigen Quelle, insbesondere mit einem einzigen Messverfahren MV1 , MV2, bleiben kann, ohne zurückschalten zu müssen. Sie ist vorteilhafterweise so eingestellt, dass es typische Längen der Nichtverfügbarkeit der kombinierten Integritätsdaten, d. h. der Information zur Integrität Kl MW der kombinierten Messwerte KMW, abdeckt.

Die Grundidee ist, dass, wenn beide Messverfahren MV1 , MV2 bessere

Ergebnisse EMV1 , EMV2 geliefert haben als gefordert, ein Budget aufgebaut wird, das danach abgebaut werden kann, d. h. wenn die beiden Messverfahren MV1 , MV2 eine bestimmte Zeitdauer lang besser waren als gefordert, können temporär auch

Ergebnisse EMV1 , EMV2, insbesondere vorläufige Messwerte MW1 , MW2, verwendet werden, die schlechter sind als gefordert. Über einen längeren Zeitraum wird dann dennoch die geforderte Genauigkeit erreicht.

Figur 6 zeigt einen Status S1 , S2, SF der Bereitstellung der Ergebnisse EMV1 , EMV2 des jeweiligen Messverfahrens MV1 , MV2 oder der fusionierten, d. h. kombinierten,

Ergebnisse EF durch den Multiplexer 3 zur Weiterverarbeitung. Nach einem Start S werden zunächst alle Zähler Z0, Z1 , Z2 zurückgesetzt und es wird zunächst in den Status SF zur Bereitstellung der kombinierten Ergebnisse EF geschaltet. Ein Auswähler A wird auf Bereitstellung der kombinierten Ergebnisse EF eingestellt. Zähler Z0 wird hochgezählt.

Wenn eine Kondition K1a und eine Kondition K1b zutreffen, wird in den Status S1 der Bereitstellung der Ergebnisse EMV1 des ersten Messverfahrens MV1 geschaltet, dessen Auswähler A wird auf Bereitstellung der Ergebnisse EMV1 des ersten

Messverfahrens MV1 eingestellt und der Zähler Z1 wird hochgezählt. Wenn die

Kondition K1a nicht mehr zutrifft, wird zum Status SF der Bereitstellung der kombinierten Ergebnisse EF zurückgeschaltet.

Wenn eine Kondition K2a und eine Kondition K2b zutreffen, wird in den Status S2 der Bereitstellung der Ergebnisse EMV2 des zweiten Messverfahrens MV2 geschaltet, dessen Auswähler A wird auf Bereitstellung der Ergebnisse EMV2 des zweiten

Messverfahrens MV2 eingestellt und der Zähler Z2 wird hochgezählt. Wenn die

Kondition K2a nicht mehr zutrifft, wird zum Status SF der Bereitstellung der kombinierten Ergebnisse EF zurückgeschaltet.

Kondition 1a trifft zu, wenn die Information zur Integrität Kl MW der kombinierten

Messwerte KMW unzureichend ist, die Informationen über eine Integrität IMW1 der ermittelten vorläufigen Messwerte MW1 des ersten Messverfahrens MV1 ausreichend sind, die Informationen über eine Integrität IMW2 der ermittelten vorläufigen

Messwerte MW2 des zweiten Messverfahrens MV2 unzureichend sind und der Quotient aus Zähler Z1 und der Summe der drei Zähler Z0, Z1 , Z2 kleiner als der maximale Zeitanteil max_time_share_1 des ersten Messverfahrens MV1 ist.

Kondition 1 b trifft zu, wenn der Quotient aus der Summe von Zähler Z1 und der

Mindestkontinuität min_continuity und der Summe aller drei Zähler Z0, Z1 , Z2 kleiner als der maximale Zeitanteil m ax_t i m e_s h a re_ 1 des ersten Messverfahrens MV1 ist.

Kondition 2a trifft zu, wenn die Information zur Integrität Kl MW der kombinierten

Messwerte KMW unzureichend ist, die Informationen über eine Integrität IMW1 der ermittelten vorläufigen Messwerte MW1 des ersten Messverfahrens MV1 unzureichend sind, die Informationen über eine Integrität IMW2 der ermittelten vorläufigen

Messwerte MW2 des zweiten Messverfahrens MV2 ausreichend sind und der Quotient aus Zähler Z2 und der Summe der drei Zähler Z0, Z1 , Z2 kleiner als der maximale Zeitanteil m ax_ti m e_s h a re_2 des zweiten Messverfahrens MV1 ist.

Kondition 2b trifft zu, wenn der Quotient aus der Summe von Zähler Z2 und der

Mindestkontinuität min_continuity und der Summe aller drei Zähler Z0, Z1 , Z2 kleiner als der maximale Zeitanteil m ax_ti m e_s ha re_2 des ersten Messverfahrens MV2 ist.

In einer weiteren Ausführungsform des Verfahrens können mehr als zwei unterschiedliche Messverfahren MV1 , MV2 verwendet werden. Die Messwertfusion MF, die

Überwachungseinheit 2 und der Multiplexer 3 erhalten dadurch zusätzliche

Eingangswerte. Es sind ein zusätzlicher Zähler und ein zusätzlicher Status pro zusätzlichem Messverfahren MV3 erforderlich. Die erforderlichen Modifikationen sind auf einfache Weise zu implementieren.

In einer weiteren Ausführungsform kann, wie in Figur 7 gezeigt, eine

Bereitstellungskaskade mit verschiedenen Fehlerraten vorgesehen sein. In einigen Systemen haben verschiedene Weiterverarbeitungsvorrichtungen 1a, 1 b, 1c verschiedene Anforderungen an die Fehlerrate, insbesondere an die Falsch-Positiv-Fehlerrate. Das Verfahren kann dann parallel durch Nutzung verschiedener Instanzen mit verschiedenen Konfigurationen K1 , K2, K3 durchgeführt werden. Dann erhält jede Weiterverarbeitungsvorrichtung 1a, 1b, 1c ihre auf sie zugeschnittene Variante der Messung mit der maximal möglichen Verfügbarkeit. Diese Ausführungsform ist auch orthogonal und mit der vorhergehenden Ausführungsform kombinierbar.

Figur 7 zeigt die beiden Messverfahren MV1 , MV2, drei

Weiterverarbeitungsvorrichtungen 1a, 1b, 1c und eine Konfiguration K1 mit hoher Sicherheit für die erste Weiterverarbeitungsvorrichtung 1a, eine ausbalancierte

Konfiguration K2 für die zweite Weiterverarbeitungsvorrichtung 1b und eine

Konfiguration K3 mit hoher Verfügbarkeit für die dritte Weiterverarbeitungsvorrichtung 1c. Der weiche Verknüpfungsschritt WVS wird dann für die jeweilige

Weiterverarbeitungsvorrichtung 1a, 1 b, 1c entsprechend der jeweiligen

Konfiguration K1 , K2, K3 durchgeführt.

Die Vorteile des hier beschriebenen Verfahrens gegenüber dem Stand der Technik sind, dass die Falsch-Positiv-Fehlerrate der Integritätsbewertungen an die tatsächlichen Anforderungen der Weiterverarbeitungsvorrichtung 1 angepasst werden, wodurch die für diese Anforderungen an die Falsch-Positiv-Fehlerrate optimale Verfügbarkeit erreicht wird. Verschiedene Weiterverarbeitungsvorrichtungen 1a, 1b, 1c können mit dedizierten Varianten der Messwerte MW1 , MW2, KMW versorgt werden, die jeweils optimal auf Kompromisse zwischen Sicherheit und Verfügbarkeit abgestimmt sind. Die

Verfügbarkeitssteigerungen werden über die Funktionsketten des Systems weitergegeben und erreichen somit auch Endnutzerfunktionen, wobei die Erhöhung der Verfügbarkeit das Nutzererlebnis der Endnutzerfunktionen direkt verbessert. Die Entwicklung und

Umsetzung des Verfahrens wird einfacher, da vorhandene Lösungen leicht neu skaliert werden können, um die Anforderungen hinsichtlich Sicherheit oder Verfügbarkeit zu erfüllen. Dies ermöglicht eine Reduzierung der Entwicklungskosten.

Im Folgenden wird anhand der Figuren 8 bis 10 eine Verwendung des Verfahrens zur Lokalisierung eines Fahrzeugs zur Durchführung des automatisierten oder autonomen Fährbetriebs beschrieben. Das sicherheitskritische System ist dann eine automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion. Die

Messverfahren MV1 , MV2 ermitteln die Position des Fahrzeugs in einer hochauflösenden digitalen Karte, welche entscheidende Umweltdaten für die automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion liefert. Die

Messwerte MW1 , MW2, KMW und Standardabweichungen SA1 , SA2, KSA sind Fahrzeugpositionen PLM, PGNSS, PK und deren Unsicherheiten in der hochauflösenden digitalen Karte. Die Integritätsdaten, d. h. die Informationen über die

Integrität IMW1 , IMW2 der ermittelten vorläufigen Messwerte MW1 , MW2 und der kombinierten Messwerte KMW, sind eine Live- Berechnung des maximalen

Positionsfehlers in Metern, als Begrenzungsrahmen um das Fahrzeug, wobei garantiert wird, dass die tatsächliche Position des Fahrzeugs darin liegt. Dies wird als

Fehlerobergrenze bezeichnet.

Die Integritätsdaten, d. h. die Informationen über die Integrität IMW1 , IMW2 der ermittelten vorläufigen Messwerte MW1 , MW2 und der kombinierten Messwerte KMW, gelten als ausreichend, solange die Fehlerobergrenze unter einem sogenannten

Alarmlimit von 10 m liegt.

Die Integritätsdaten, d. h. die Informationen über die Integrität IMW1 , IMW2 der ermittelten vorläufigen Messwerte MW1 , MW2 und der kombinierten Messwerte KMW, sind Falsch-Positiv, wenn ein aktueller Positionierungsfehler die Fehlerobergrenze überschreitet.

Wenn die Integritätsdaten, d. h. die Informationen über die Integrität IMW1 , IMW2 der ermittelten vorläufigen Messwerte MW1 , MW2 und der kombinierten Messwerte KMW, unzureichend sind, wird die automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion in einen sicheren Deaktivierungsstatus schalten oder darin verbleiben und den Nutzer über die Nichtverfügbarkeit informieren. Das Nutzererlebnis ist höher, je höher die Verfügbarkeit ist.

Angenommen, die geforderte Falsch-Positiv-Fehlerrate ist <=1e-6/km und eine geforderte ASIL-Einstufung ist„C“. Dies ist mit einem einzelnen kostengünstigen

Lokalisierungsverfahren nur schwer zu erreichen. Dies wird daher mit zwei

unterschiedlichen Messverfahren MV1 , MV2 umgesetzt.

Das erste Messverfahren MV1 ist ein satellitengestütztes, insbesondere auf mindestens einem globalen Navigationssatellitensystem basierendes, Messverfahren, auch als GNSS-basiertes Messverfahren bezeichnet, mit ASIL-Einstufung A (C), welches eine Falsch-Positiv-Fehlerrate von <=1e-5/km bei einer Länge des Falsch-Positiv-Status von weniger als 100 m erreicht, d. h. der Zustand von maximal ein Fehler pro 100000 km hält auf den nächsten 100 m an. Das zweite Messverfahren MV2 ist ein landmarkenbasiertes Messverfahren mit der ASIL-Einstufung B(C), welches eine Falsch-Positiv-Fehlerrate von <=1e-4/km bei einer Länge des Falsch-Positiv-Status von weniger als 200 m erreicht, d. h. der Zustand von maximal ein Fehler pro 10000 km hält auf den nächsten 200 m an.

Für eine Falsch-Positiv-Rate des kombinierten Integritätsstatus müssen die Fehlerstatus beider Messverfahren MV1 , MV2 überlappen. Mit den beiden Messverfahren MV1 , MV2 unabhängig voneinander ist dies sehr unwahrscheinlich. Die kombinierte

Falsch-Positiv-Fehlerrate ist dann keiner als 1e- 10/km.

Die Kombination erfordert jedoch, dass die Fehlerobergrenzen in einem größeren Begrenzungsrahmen vereinheitlicht werden. Der vereinheitlichte Begrenzungsrahmen überschreitet bei weitem das Alarmlimit, wodurch die Integritätsdaten, d. h. die

Informationen zur Integrität Kl MW der kombinierten Messwerte KMW für das System der automatisierten, insbesondere hochautomatisierten, oder autonomen Fahrfunktion unzureichend sind. Daraus resultiert eine größere Nichtverfügbarkeit der automatisierten, insbesondere hochautomatisierten, oder autonomen Fahrfunktion.

Figur 8 zeigt die mittels des landmarkenbasierten Messverfahrens ermittelte

Fahrzeugposition PLM und deren Fehlerobergrenze PLLM, die mittels des

satellitengestützten, insbesondere auf mindestens einem globalen

Navigationssatellitensystem basierenden, Messverfahrens ermittelte

Fahrzeugposition PLGNSS und deren Fehlerobergrenze PLGNSS und die durch die kombinierten Messwerte KMW ermittelte Fahrzeugposition PK und deren

Fehlerobergrenze PLK.

Die Fehlerobergrenze PLGNSS des satellitengestützten, insbesondere auf mindestens einem globalen Navigationssatellitensystem basierenden, Messverfahrens überschreitet das Alarmlimit von 10 m für 4% der Fahrt. Die Fehlerobergrenze PLLM des

landmarkenbasierten Messverfahrens überschreitet das Alarmlimit von 10 m für 8% der Fahrt. Die Fehlerobergrenze PLK der durch die kombinierten Messwerte KMW ermittelten Fahrzeugposition PK überschreitet das Alarmlimit von 10 m somit für mehr als 12% der Fahrt, da die Unterschiede zwischen den ermittelten Fahrzeugpositionen PLM, PGNSS vor der Fusion in der Regel einen zusätzlichen Spielraum zur kombinierten

Fehlerobergrenze PLK hinzufügen. D. h. die automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion ist in 12% der Zeit nicht verfügbar. Wenn sie jedoch verfügbar ist, ist das Lokalisierungsergebnis sicherer als gefordert. Es besteht somit eine hohe Nichtverfügbarkeit der automatisierten, insbesondere

hochautomatisierten, oder autonomen Fahrfunktion und somit eine geringe

Nutzerzufriedenheit.

Bei Verwendung des hier beschriebenen Verfahrens mit dem weichen

Verknüpfungsschritt WVS werden mit:

FP _S = 1 e-6/km

FP _C = 1 e- 10/km

FPi = 1 e-5/km

Fp ₂ = 1 e-4/km und mit Gleichung (1) und (2) folgende Werte für die maximalen

Zeitanteile max_time_share_1 , m ax_t i m e_s h a re_ 1 der Messverfahren MV1 , MV2 erreicht: max_time_share_1 = (FPs-FPc) / (FPi-FP _c ) = 0,09999 ^« 0, 1 (3) max_time_share_2= (FP _S -FP _C ) / (FP ₂ -FP _C ) = 0,009999 ^« 0,01 (4)

Die Mindestkontinuität min_continuity könnte etwa 1000 m betragen, wo sicher davon ausgegangen werden kann, dass neue Landmarken oder Satelliten erfasst werden, um die Wiederherstellung der Integrität zu ermöglichen.

Figur 9 zeigt die beiden Messverfahren MV1 , d. h. das erste Messverfahren als satellitengestütztes, insbesondere auf mindestens einem globalen

Navigationssatellitensystem basierendes, Messverfahren, und das zweite

Messverfahren MV2 als landmarkenbasiertes Messverfahren, mit ihren oben

angegebenen Falsch-Positiv-Fehlerraten sowie die Durchführung des beschriebenen Verfahrens mit dem weichen Verknüpfungsschritt WVS und der daraus resultierenden oben angegebenen Falsch-Positiv-Fehlerrate sowie die Weiterverarbeitungsvorrichtung 1 in Form des Systems für die automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion. Die Konfiguration K umfasst den maximalen

Zeitanteil m ax_ti m e_share_ 1 des ersten Messverfahrens MV1 von 0, 1 , wie in Gleichung (3) berechnet, den maximalen Zeitanteil m ax_ti m e_share_2 des zweiten Messverfahrens MV2 von 0,01 , wie in Gleichung (4) berechnet, und die

Mindestkontinuität min_continuity von 1000, wie oben angegeben.

Daraus resultiert der Effekt, dass 88% der Zeit die fusionierten, d. h. kombinierten, Ergebnisse EF, insbesondere die kombinierten Messwerte KMW, verwendet werden können. Die automatisierte, insbesondere hochautomatisierte, oder autonome

Fahrfunktion ist verfügbar. Während der unzureichenden Integrität IMW1 der ermittelten vorläufigen Messwerte MW1 des ersten Messverfahrens MV1 kann die Verfügbarkeit aufrechterhalten werden, bis der maximale Zeitanteil m ax_ti m e_s h are_2 des zweiten Messverfahrens MV2 erreicht ist, bis zu 1% Verfügbarkeit. Während der unzureichenden Integrität IMW2 der ermittelten vorläufigen Messwerte MW2 des zweiten

Messverfahrens MV2 kann die Verfügbarkeit aufrechterhalten werden, bis der maximale Zeitanteil max_time_share_1 des ersten Messverfahrens MV1 erreicht ist, bis zu 8% Verfügbarkeit. Da dieser maximale Zeitanteil max_time_share_1 des ersten

Messverfahrens MV1 kaum erreicht wird, kann die Verfügbarkeit größtenteils

aufrechterhalten werden. Es gibt in der Praxis möglicherweise einige Einschränkungen, aber es kann davon ausgegangen werden, dass die anfängliche Nichtverfügbarkeit von 12% um ca. 1/2 bis 1/3 reduziert wird.

Figur 10 zeigt eine Ausführungsform des Verfahrens mit zwei unterschiedlichen

Weiterverarbeitungsvorrichtungen 1a, 1 b mit unterschiedlichen Sicherheitsanforderungen, die die Positionsbestimmung nutzen, wobei hier die Weiterverarbeitungsvorrichtung 1a das System für die automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion ist und die Weiterverarbeitungsvorrichtung 1 b ein System für eine

Komfortfunktion ist und die Messverfahren MV1 , MV1 , wie in Figur 9, das

satellitengestützte, insbesondere auf mindestens einem globalen

Navigationssatellitensystem basierende, Messverfahren MV1 und das

landmarkenbasierte Messverfahren MV2 sind. Die Weiterverarbeitungsvorrichtung 1 b als System für eine Komfortfunktion hat geringere Sicherheitsanforderungen. Beispielweise ist deren Falsch-Positiv-Fehlerrate 1e-5/h.

Hier erfolgt für jede Weiterverarbeitungsvorrichtung 1a, 1b parallel der weiche

Verknüpfungsschritt WVS mit unterschiedlichen Konfigurationen K1 , K2, für die

Weiterverarbeitungsvorrichtung 1a des Systems für die automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion erneut mit dem maximalen

Zeitanteil max_time_share_1 des ersten Messverfahrens MV1 von 0,1 , wie in

Gleichung (3) berechnet, dem maximalen Zeitanteil m ax_ti m e_s ha re_2 des zweiten Messverfahrens MV2 von 0,01 , wie in Gleichung (4) berechnet, und mit der

Mindestkontinuität min_continuity von 1000, wie oben angegeben, und für die

Weiterverarbeitungsvorrichtung 1 b des Systems für die Komfortfunktion mit dem maximalen Zeitanteil m ax_ti m e_s ha re_ 1 des ersten Messverfahrens MV1 von 1 , dem maximalen Zeitanteil m ax_ti m e_s ha re_2 des zweiten Messverfahrens MV2 von 0,1 und mit der Mindestkontinuität min_continuity von 1000.

Die Falsch-Positiv-Fehlerrate des ersten Messverfahrens MV1 beträgt 1e-5/km, die Falsch-Positiv-Fehlerrate des zweiten Messverfahrens MV2 beträgt 1e-4/km, die Falsch-Positiv-Fehlerrate des weichen Verknüpfungsschritts WVS für die

Weiterverarbeitungsvorrichtung 1a des Systems für die automatisierte, insbesondere hochautomatisierte, oder autonome Fahrfunktion beträgt 1 e-6/km und die

Falsch-Positiv-Fehlerrate des weichen Verknüpfungsschritts WVS für die

Weiterverarbeitungsvorrichtung 1b des Systems der Komfortfunktion beträgt 1e-5/km.

Die resultierende Verfügbarkeit liegt bei größer als 99%, wobei die individuell vorgegebenen Sicherheitserfordernisse eingehalten werden.