Verfahren und Vorrichtung zum Plausibilisieren einer Fahrzeugtrajektorie zum Steuern eines Fahrzeugs

Stand der Technik

Die Erfindung geht aus von einer Vorrichtung oder einem Verfahren nach Gattung der unabhängigen Ansprüche. Gegenstand der vorliegenden Erfindung ist auch ein Computerprogramm.

Es sind Fahrzeuge bekannt, die ohne Fahrer auskommen. Die Fahrzeuge fahren dabei autonom, indem sie beispielsweise einen Straßenverlauf, andere

Verkehrsteilnehmer oder Hindernisse selbstständig erkennen, entsprechende Steuerbefehle berechnen und diese an entsprechende Aktuatoren im Fahrzeug weiterleiten, wodurch der Fahrverlauf des Fahrzeugs korrekt beeinflusst werden kann. Der Fahrer ist bei einem vollautonomen Fahrzeug nicht am Fahrgeschehen beteiligt.

Offenbarung der Erfindung

Vor diesem Hintergrund werden mit dem hier vorgestellten Ansatz ein Verfahren zum Plausibilisieren einer Fahrzeugtrajektorie zum Steuern eines Fahrzeugs, eine Vorrichtung, die dieses Verfahren verwendet, sowie schließlich ein entsprechendes Computerprogramm gemäß den Hauptansprüchen vorgestellt. Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen der im unabhängigen

Anspruch angegebenen Vorrichtung möglich. Es wird ein Verfahren zum Plausibilisieren einer Fahrzeugtrajektorie zum Steuern eines Fahrzeugs vorgestellt, wobei das Fahrzeug ein Steuergerät mit einer Speichereinheit zum Speichern von Fahrzeugtrajektorien aufweist, wobei das Verfahren folgende Schritte umfasst:

Auslesen der Speichereinheit, um eine gespeicherte Fahrzeugtrajektorie zu erhalten; und

Vergleichen der gespeicherten Fahrzeugtrajektorie mit einer abzufahrenden Fahrzeugtrajektorie, um die abzufahrende Fahrzeugtrajektorie zu plausibilisieren.

Unter einer Fahrzeugtrajektorie kann beispielsweise ein auf einer digitalen Karte beruhender Datensatz mit Steuerbefehlen zum Navigieren des Fahrzeugs verstanden werden. Die Fahrzeugtrajektorie kann beispielsweise im laufenden Betrieb des Fahrzeugs von dem Steuergerät berechnet werden. Bei der gespeicherten Fahrzeugtrajektorie kann sich beispielsweise um eine zu einem früheren Zeitpunkt von dem Steuergerät berechnete und anschließend in der Speichereinheit hinterlegte Fahrzeugtrajektorie handeln. Unter einer

abzufahrenden Fahrzeugtrajektorie kann beispielsweise eine zuletzt vom

Steuergerät empfangene Fahrzeugtrajektorie verstanden werden. Unter einem

Plausibilisieren kann vorliegend beispielsweise ein Erkennen als plausibel verstanden werden.

Der hier vorgestellte Ansatz beruht auf der Erkenntnis, dass eine von einem Steuergerät eines Fahrzeugs berechnete Fahrzeugtrajektorie gegen

unautorisierte Veränderungen, etwa im Rahmen eines Hackerangriffs, geschützt werden kann, indem die Fahrzeugtrajektorie mit einer im Steuergerät hinterlegten Fahrzeugtrajektorie abgeglichen wird. Dadurch kann die Sicherheit während einer autonomen Fahrt in einem autonomen Fahrzeug deutlich gesteigert werden.

Gemäß einer Ausführungsform kann im Schritt des Vergleichens die

abzufahrende Fahrzeugtrajektorie als plausibel erkannt werden, wenn die abzufahrende Fahrzeugtrajektorie und die gespeicherte Fahrzeugtrajektorie innerhalb eines Toleranzbereichs miteinander übereinstimmen. Dadurch wird eine einfache und schnelle Plausibilisierung der abzufahrenden Fahrzeugtrajektorie bzw. Erkennung einer plausiblen abzufahrenden

Fahrzeugtrajektorie ermöglicht.

Gemäß einer weiteren Ausführungsform kann das Verfahren einen Schritt des Ausgebens eines Steuersignals zum Steuern des Fahrzeugs umfassen. Dabei kann das Steuersignal zum Steuern des Fahrzeugs entsprechend der abzufahrenden Fahrzeugtrajektorie ausgegeben werden, wenn im Schritt des Vergleichens die abzufahrende Fahrzeugtrajektorie als plausibel erkannt wurde. Zusätzlich oder alternativ kann das Steuersignal zum Steuern des Fahrzeugs entsprechend der gespeicherten Fahrzeugtrajektorie oder zum Abbremsen des Fahrzeugs ausgegeben werden, wenn im Schritt des Vergleichens die abzufahrende Fahrzeugtrajektorie nicht als plausibel erkannt wurde. Dadurch können gefährliche Verkehrssituationen vermieden werden.

Des Weiteren kann im Schritt des Auslesens die Speichereinheit ausgelesen werden, um eine von dem Steuergerät erzeugte Referenztrajektorie als die gespeicherte Fahrzeugtrajektorie zu erhalten. Unter einer Referenztrajektorie kann beispielsweise eine als sicher eingestufte Solltrajektorie des Fahrzeugs verstanden werden. Durch diese Ausführungsform wird eine zuverlässige Plausibilisierung der abzufahrenden Fahrzeugtrajektorie ermöglicht.

Von Vorteil ist auch, wenn in einem Schritt des Speicherns die

Referenztrajektorie in der Speichereinheit zu zumindest einem Speicherzeitpunkt gespeichert wird. Der Speicherzeitpunkt kann einen mittels eines dem Fahrzeug zugeordneten Schlüssels ermittelten Zeitpunkt repräsentieren. Dadurch kann das Speichern sicherheitsrelevanter Daten in der Speichereinheit reglementiert werden.

Insbesondere kann im Schritt des Speicherns die Referenztrajektorie zyklisch gespeichert werden. Dadurch wird ein kontinuierliches Speichern von

Referenztrajektorien ermöglicht. Somit kann stets eine möglichst aktuelle Referenztrajektorie in der Speichereinheit hinterlegt werden. Das Verfahren kann einen Schritt des Verhinderns eines Schreibzugriffs auf die Speichereinheit außerhalb des Speicherzeitpunkts umfassen. Dadurch kann die Speichereinheit gegen unbefugte Zugriffe von außen, etwa im Kontext eines Hackerangriffs, zuverlässig geschützt werden.

Gemäß einer weiteren Ausführungsform kann im Schritt des Speicherns die Referenztrajektorie über eine Kommunikationsschnittstelle des Fahrzeugs an eine externe Speichereinheit übermittelt werden, um die Referenztrajektorie in der externen Speichereinheit zu speichern. Dabei kann im Schritt des Auslesens die externe Speichereinheit über die Kommunikationsschnittstelle ausgelesen werden, um eine extern gespeicherte Fahrzeugtrajektorie zu erhalten.

Entsprechend kann im Schritt des Vergleichens die extern gespeicherte

Fahrzeugtrajektorie mit der abzufahrenden Fahrzeugtrajektorie verglichen werden, um die abzufahrende Fahrzeugtrajektorie als plausibel zu erkennen . Unter einer externen Speichereinheit kann beispielsweise ein zentraler

Datenserver zur Kommunikation mit einer Mehrzahl teil- oder hochautomatisierter Fahrzeuge verstanden werden. Bei der Kombinationsschnittstelle kann es sich etwa um eine Schnittstelle zur Car-to-Car-Kommunikation handeln, die zum Austausch von Informationen und Daten zwischen Kraftfahrzeugen dient. Ziel eines solchen Datenaustauschs kann es sein, den betreffenden Fahrern frühzeitig kritische und gefährliche Situationen zu melden. Außerdem kann die Kommunikationsschnittstelle zum Austausch fahrzeugspezifischer Daten zwischen Fahrzeugen dienen. Hierzu sammeln die betreffenden Fahrzeuge beispielsweise Daten wie ABS- Eingriffe, Lenkwinkel, Position, Richtung oder Geschwindigkeit und senden diese beispielsweise über Funk (WLAN, UMTS) an andere Verkehrsteilnehmer. Somit kann die jeweilige„Sichtweite" der Fahrer mit elektronischen Mitteln verlängert werden. Die Kommunikationsschnittstelle kann zudem zur Car-to-lnfrastructure-Kommunikation ausgebildet sein. Darunter kann der Austausch von Daten zwischen dem Fahrzeug und einer umliegenden Infrastruktur wie etwa Lichtzeichenanlagen oder Ähnlichem verstanden werden. Die genannten Kommunikationstechnologien basieren somit auf dem

Zusammenwirken von Sensoren der verschiedenen Verkehrspartner. Durch diese Ausführungsform kann die von dem Steuergerät berechnete

Fahrzeugtrajektorie zentral abgespeichert werden. Dadurch kann die Verarbeitung der Fahrzeugtrajektorie vereinfacht werden oder auch anderen Verkehrsteilnehmern zugänglich gemacht werden

Dieses Verfahren kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware, beispielsweise in einem Steuergerät, implementiert sein.

Der hier vorgestellte Ansatz schafft ferner eine Vorrichtung, die ausgebildet ist, um die Schritte einer Variante eines hier vorgestellten Verfahrens in

entsprechenden Einrichtungen durchzuführen, anzusteuern bzw. umzusetzen. Auch durch diese Ausführungsvariante der Erfindung in Form einer Vorrichtung kann die der Erfindung zugrunde liegende Aufgabe schnell und effizient gelöst werden.

Hierzu kann die Vorrichtung zumindest eine Recheneinheit zum Verarbeiten von Signalen oder Daten, zumindest eine Speichereinheit zum Speichern von Signalen oder Daten, zumindest eine Schnittstelle zu einem Sensor oder einem Aktor zum Einlesen von Sensorsignalen von dem Sensor oder zum Ausgeben von Daten- oder Steuersignalen an den Aktor und/oder zumindest eine

Kommunikationsschnittstelle zum Einlesen oder Ausgeben von Daten aufweisen, die in ein Kommunikationsprotokoll eingebettet sind. Die Recheneinheit kann beispielsweise ein Signalprozessor, ein Mikrocontroller oder dergleichen sein, wobei die Speichereinheit ein Flash-Speicher, ein EPROM oder eine

magnetische Speichereinheit sein kann. Die Kommunikationsschnittstelle kann ausgebildet sein, um Daten drahtlos und/oder leitungsgebunden einzulesen oder auszugeben, wobei eine Kommunikationsschnittstelle, die leitungsgebundene Daten einlesen oder ausgeben kann, diese Daten beispielsweise elektrisch oder optisch aus einer entsprechenden Datenübertragungsleitung einlesen oder in eine entsprechende Datenübertragungsleitung ausgeben kann.

Unter einer Vorrichtung kann vorliegend ein elektrisches Gerät verstanden werden, das Sensorsignale verarbeitet und in Abhängigkeit davon Steuer- und/oder Datensignale ausgibt. Die Vorrichtung kann eine Schnittstelle aufweisen, die hard- und/oder softwaremäßig ausgebildet sein kann. Bei einer hardwaremäßigen Ausbildung können die Schnittstellen beispielsweise Teil eines sogenannten System-ASICs sein, der verschiedenste Funktionen der Vorrichtung beinhaltet. Es ist jedoch auch möglich, dass die Schnittstellen eigene, integrierte Schaltkreise sind oder zumindest teilweise aus diskreten Bauelementen bestehen. Bei einer softwaremäßigen Ausbildung können die Schnittstellen Softwaremodule sein, die beispielsweise auf einem Mikrocontroller neben anderen Softwaremodulen vorhanden sind.

In einer vorteilhaften Ausgestaltung erfolgt durch die Vorrichtung eine Steuerung des Fahrzeugs. Hierzu kann die Vorrichtung beispielsweise auf Sensorsignale wie Beschleunigungs-, Druck-, Lenkwinkel- oder Umfeldsensorsignale zugreifen. Die Ansteuerung erfolgt über Aktoren wie Brems- oder Lenkaktoren oder ein Motorsteuergerät des Fahrzeugs.

Von Vorteil ist auch ein Computerprogrammprodukt oder Computerprogramm mit Programmcode, der auf einem maschinenlesbaren Träger oder Speichermedium wie einem Halbleiterspeicher, einem Festplattenspeicher oder einem optischen Speicher gespeichert sein kann und zur Durchführung, Umsetzung und/oder Ansteuerung der Schritte des Verfahrens nach einer der vorstehend

beschriebenen Ausführungsformen verwendet wird, insbesondere wenn das Programmprodukt oder Programm auf einem Computer oder einer Vorrichtung ausgeführt wird.

Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:

Fig. 1 eine schematische Darstellung eines Fahrzeugs mit einer Vorrichtung gemäß einem Ausführungsbeispiel;

Fig. 2 eine schematische Darstellung einer Vorrichtung gemäß einem

Ausführungsbeispiel; und

Fig. 3 ein Ablaufdiagramm eines Verfahrens gemäß einem

Ausführungsbeispiel. In der nachfolgenden Beschreibung günstiger Ausführungsbeispiele der vorliegenden Erfindung werden für die in den verschiedenen Figuren

dargestellten und ähnlich wirkenden Elemente gleiche oder ähnliche

Bezugszeichen verwendet, wobei auf eine wiederholte Beschreibung dieser Elemente verzichtet wird.

Fig. 1 zeigt eine schematische Darstellung eines Fahrzeugs 100 mit einer Vorrichtung 102 zum Plausibilisieren einer Fahrzeugtrajektorie zum Steuern des Fahrzeugs 100. Bei dem Fahrzeug 100 handelt es sich beispielsweise um ein hochautomatisiertes Fahrzeug, auch autonomes Fahrzeug genannt, das mit einem entsprechenden Fahrerassistenzsystem ausgestattet ist. Bei dem

Fahrerassistenzsystem handelt es sich um eine elektronische Zusatzeinrichtung zur Unterstützung des Fahrers in bestimmten Fahrsituationen. Hierbei können Sicherheitsaspekte, aber auch die Steigerung des Fahrkomforts im Vordergrund stehen. Das Fahrerassistenzsystem kann teilautonom oder autonom in Antrieb, Steuerung (Gas oder Bremse), Lenkung oder Signalisierungseinrichtungen des Fahrzeugs 100 eingreifen oder den Fahrer über eine geeignete Mensch- Maschine-Schnittstelle kurz vor oder während kritischer Situationen warnen. Das Fahrerassistenzsystem ist beispielsweise so konzipiert, dass die Verantwortung beim Fahrer bleibt und dieser damit nicht entmündigt wird. Das

Fahrerassistenzsystem kann je nach Ausführungsbeispiel mit verschiedenen Arten von Umfeldsensorik zum Einsatz kommen, unter anderem

Ultraschall (Einparkhilfe), Radar (Spurwechselassistent, automatischer

Abstandswarner), Lidar (Totwinkel-Überwachung, automatischer

Abstandswarner, Abstandsregelung, Pre-Crash und Pre-Brake) oder

Kameras (Spurverlassenswarnung, Verkehrszeichenerkennung,

Spurwechselassistent, Totwinkel-Überwachung, Notbremssystem zum

Fußgängerschutz).

Gemäß diesem Ausführungsbeispiel ist die Vorrichtung 102 als Komponente eines Steuergeräts 104 des Fahrzeugs 100 realisiert, wobei das Steuergerät 104 eine Speichereinheit 106 zum Speichern von Fahrzeugtrajektorien umfasst. Die Vorrichtung 102 ist ausgebildet, um die Speichereinheit 106 auszulesen. Dabei empfängt die Vorrichtung 102 von der Speichereinheit 106 eine gespeicherte Fahrzeugtrajektorie 108. Diese wird von der Vorrichtung 102 mit einer abzufahrenden Fahrzeugtrajektorie, bei der es sich beispielsweise um eine dem Steuergerät 104 aktuell vorliegende Fahrzeugtrajektorie handelt, verglichen, um die abzufahrende Fahrzeugtrajektorie zu plausibilisieren. Je nach Ergebnis des Vergleichs gibt die Vorrichtung 102 ein entsprechendes Steuersignal 110 zum Steuern des Fahrzeugs 100 aus.

Das Steuersignal 110 dient beispielsweise zur Ansteuerung verschiedener Aktoren des Fahrzeugs 100 wie Lenkung, Motorsteuerung oder Bremse, um das Fahrzeug 100 entlang der abzufahrenden Fahrzeugtrajektorie zu steuern, etwa wenn die abzufahrende Fahrzeugtrajektorie im Wesentlichen mit der

gespeicherten Fahrzeugtrajektorie 108 übereinstimmt, oder entlang der gespeicherten Fahrzeugtrajektorie 108 zu steuern, etwa wenn sich beim

Vergleich eine Abweichung zwischen der abzufahrenden Fahrzeugtrajektorie und der gespeicherten Fahrzeugtrajektorie 108 ergibt. In diesem Fall wird das Steuersignal 110 beispielsweise auch erzeugt, um das Fahrzeug 100 zum Stehen zu bringen oder zumindest abzubremsen.

Bei der gespeicherten Fahrzeugtrajektorie 108 handelt es sich insbesondere um eine von dem Steuergerät 104 erzeugte Referenztrajektorie, die beispielsweise zu zuvor berechneten Zeitpunkten zyklisch in der Speichereinheit 106 abgespeichert wird. Die Berechnung dieser Speicherzeitpunkte erfolgt insbesondere beispielsweise unter Verwendung eines bestimmten

Berechnungsschlüssels, der speziell dem Fahrzeug 100 zugeordnet sein kann.

Gemäß einem weiteren Ausführungsbeispiel speichert das Steuergerät 104 die Referenztrajektorie nicht nur in der Speichereinheit 106, sondern sendet diese zusätzlich in Form eines entsprechenden Datenstroms 111 über eine geeignete Kommunikationsschnittstelle 112 des Fahrzeugs 100 an eine externe

Speichereinheit 114, etwa an einen zentralen Datenserver einer Cloud, wo die Referenztrajektorie fahrzeugextern abgespeichert wird. Die Vorrichtung 102 liest dementsprechend die externe Speichereinheit 114 aus, um die

Referenztrajektorie als extern gespeicherte Fahrzeugtrajektorie 118 zu erhalten und diese mit der abzufahrenden Fahrzeugtrajektorie zu deren Plausibilisierung zu vergleichen. Auf diese Weise kann die Berechnung der Fahrzeugtrajektorien im Fahrzeug 100 zuverlässig gegen Angriffe von Hackern geschützt werden.

Fig. 2 zeigt eine schematische Darstellung einer Vorrichtung 102 gemäß einem Ausführungsbeispiel, etwa einer vorangehend anhand von Fig. 1 beschriebenen

Vorrichtung. Die Vorrichtung 102 umfasst eine Ausleseeinheit 210 zum

Empfangen der gespeicherten Fahrzeugtrajektorie 108 von der Speichereinheit 106 des Steuergeräts sowie eine Vergleichseinheit 220 zum Vergleichen der gespeicherten Fahrzeugtrajektorie 108 mit der abzufahrenden

Fahrzeugtrajektorie. Hierzu liest die Vergleichseinheit 220 einen die

abzufahrende Fahrzeugtrajektorie repräsentierenden Trajektoriendatensatz 222 ein.

Gemäß diesem Ausführungsbeispiel ist die Vorrichtung 102 zusätzlich mit einer Ausgabeeinheit 230 zum Ausgeben des Steuersignals 110 in Abhängigkeit von einem durch die Vergleichseinheit 220 bereitgestellten Plausibilitätswert 232 ausgestattet.

Fig. 3 zeigt ein Ablaufdiagramm eines Verfahrens 300 gemäß einem

Ausführungsbeispiel. Das Verfahren 300 zum Plausibilisieren einer

Fahrzeugtrajektorie zum Steuern eines Fahrzeugs kann beispielsweise unter Verwendung einer Vorrichtung, wie sie vorangehend anhand der Figuren 1 und 2 beschrieben ist, durchgeführt werden. Dabei wird in einem Schritt 310 die Speichereinheit ausgelesen, um die gespeicherte Fahrzeugtrajektorie zu erhalten. In einem weiteren Schritt 320 wird die gespeicherte Fahrzeugtrajektorie mit der von dem Fahrzeug abzufahrenden Fahrzeugtrajektorie verglichen, um diese zu plausibilisieren.

Nachfolgend werden verschiedene Ausführungsbeispiele des hier vorgestellten Ansatzes nochmals mit anderen Worten beschrieben.

Ein autonomes Fahrzeug berechnet in der Regel selbst die Fahrzeugtrajektorie, die vom Fahrzeug automatisiert abgefahren wird, sofern sich das Fahrzeug im autonomen Betrieb befindet. Hierbei kann die bereits im Fahrzeug berechnete Fahrzeugtrajektorie im laufenden Fahrzeugbetrieb, etwa von einem Hacker, verändert werden. An dieser Stelle kommt der hier vorgestellte Ansatz zum Tragen, denn durch die Vorrichtung 102 kann die Sicherheit während einer autonomen Fahrt in einem autonomen Fahrzeug deutlich gesteigert werden.

Die Steigerung der Sicherheit bezieht sich dabei auf die Absicherung einer Fahrzeugtrajektorie, die von dem autonomen Fahrzeug berechnet wurde und von dem autonomen Fahrzeug abgefahren werden soll.

Gemäß einem Ausführungsbeispiel wird die Fahrzeugtrajektorie zyklisch in einem gesicherten Schattenregister des Fahrzeugsteuergeräts abgelegt. Vor der Abarbeitung der Steuerbefehle der Fahrzeugtrajektorie erfolgt ein Vergleich der Fahrzeugtrajektorie mit der im Schattenregister hinterlegten Fahrzeugtrajektorie. Nur wenn beide Fahrzeugtrajektorien innerhalb einer Toleranz identisch sind, erfolgt die Abarbeitung der Fahrzeugtrajektorie im Fahrzeug. Andernfalls ist davon auszugehen, dass die Fahrzeugtrajektorie gehackt wurde. In diesem Fall wird die gesicherte Fahrzeugtrajektorie ausgeführt oder das Fahrzeug in einen sicheren Zustand gebracht, indem es beispielsweise kontrolliert abgebremst und abgestellt wird, bis der Schaden oder Hack behoben wurde.

Gemäß einem alternativen Ausführungsbeispiel wird die Fahrzeugtrajektorie zyklisch in einer Cloud gesichert, beispielsweise über eine Car-to-X- Kommunikationsverbindung zwischen Fahrzeug und Cloud. Vor der Abarbeitung der Steuerbefehle der Fahrzeugtrajektorie erfolgt ein Vergleich der

Fahrzeugtrajektorie mit der in der Cloud hinterlegten Fahrzeugtrajektorie. Nur wenn beide Fahrzeugtrajektorien innerhalb einer Toleranz identisch sind, erfolgt die Abarbeitung der Fahrzeugtrajektorie im Fahrzeug. Andernfalls ist davon auszugehen, dass die Fahrzeugtrajektorie gehackt wurde. In diesem Fall wird die gesicherte Fahrzeugtrajektorie ausgeführt oder das Fahrzeug in einen sicheren Zustand gebracht, indem es beispielsweise (über die Cloud) kontrolliert abgebremst und abgestellt wird, bis der Schaden oder Hack behoben wurde.

Gemäß einem weiteren Ausführungsbeispiel wird die Fahrzeugtrajektorie wiederum zyklisch in der Cloud gesichert. Vor der Abarbeitung der Steuerbefehle der Fahrzeugtrajektorie erfolgt ein Vergleich der Fahrzeugtrajektorie mit der in der Cloud hinterlegten Fahrzeugtrajektorie. Bei einer Abweichung prüft die Cloud, was das Fahrzeug vorhat. Ist das Ergebnis der Berechnung, dass das Fahrzeug in eine kritische Situation gebracht wird, so wird die gesicherte

Fahrzeugtrajektorie ausgeführt oder das Fahrzeug in einen sicheren Zustand gebracht, indem es beispielsweise (über die Cloud) kontrolliert abgebremst und abgestellt wird, bis der Schaden oder Hack behoben wurde. Das bedeutet, die Fahrzeugtrajektorie wird innerhalb der Cloud plausibilisiert, d. h., als plausibel erkannt. Hierzu werden neben der Fahrzeugtrajektorie auch die tatsächlichen Fahrzeugpositionen zwischen dem Fahrzeug und der Cloud ausgetauscht und mit in die Berechnungen auf der Cloud einbezogen.

Durch die Absicherung der Fahrzeugtrajektorie kann die Sicherheit im

Straßenverkehr deutlich erhöht werden und es können auch bei Hacks schwere Unfälle im Straßenverkehr vermieden werden. Der hier vorgestellte Ansatz ist auch dann anwendbar, wenn das Fahrzeug eine Fehlfunktion aufweist und seine Trajektorie plötzlich falsch berechnet.

Gemäß einem Ausführungsbeispiel erfolgt die Ablage der Fahrzeugtrajektorie im Schattenregister oder in der Cloud mithilfe einer verschlüsselten Verbindung.

Um zu verhindern, dass die richtige Fahrzeugtrajektorie im Schattenregister bzw. auf der Cloud durch eine manipulierte oder nicht plausible Trajektorie

überschrieben wird, erfolgt das Update der Trajektorie im Schattenregister bzw. in der Cloud beispielsweise nur zu bestimmten Zeitpunkten. Beispielsweise wird der Speicherzeitpunkt, zu dem eine Trajektorie gesichert wird, mithilfe eines fahrzeugspezifischen Schlüssels berechnet. Die Sicherung der Trajektorien außerhalb der mit dem Schlüssel berechneten Zeitpunkte wird somit verhindert, da die Sicherungszeitpunkte im Schattenregister bzw. in der Cloud überprüft werden, bevor die Trajektorie gesichert wird. Da beispielsweise ein Hacker den Schlüssel nicht kennt, kann die manipulierte Trajektorie nicht sofort im

Schattenregister bzw. auf der Cloud gesichert werden. Stattdessen wird die manipulierte Trajektorie sofort durch den Zeitvergleich bzw. durch einen

Trajektorienvergleich zwischen Schattenregister bzw. Cloud und der neuen Trajektorie verworfen. Beispielsweise erfolgt die Berechnung der Fahrzeugtrajektorie neben dem Fahrzeug auch parallel in der Cloud. In diesem Fall werden beide Trajektorien innerhalb der Cloud plausibilisiert, d. h., als plausibel erkannt. Ist das Ergebnis der Berechnung, dass das Fahrzeug in eine kritische Situation gebracht wird, so wird die gesicherte Fahrzeugtrajektorie ausgeführt oder das Fahrzeug in einen sicheren Zustand gebracht, indem es beispielsweise (über die Cloud) kontrolliert abgebremst und abgestellt wird, bis der Schaden oder Hack behoben wurde. Durch den hier vorgestellten Ansatz können Trajektorien autonomer Fahrzeuge effizient gesichert und mit neu berechneten Trajektorien verglichen werden, wobei die neu berechneten Trajektorien nahezu in Echtzeit auf Abweichungen geprüft und plausibilisiert, d. h., als plausibel erkannt werden können. Dadurch kann die Sicherheit im Straßenverkehr deutlich erhöht werden und es können auch bei Hacks schwere Unfälle im Straßenverkehr vermieden werden, da die Fahrzeuge bei größeren Trajektorienabweichungen unmittelbar in einen sicheren Zustand überführt werden können.

Umfasst ein Ausführungsbeispiel eine„und/oder"-Verknüpfung zwischen einem ersten Merkmal und einem zweiten Merkmal, so ist dies so zu lesen, dass das Ausführungsbeispiel gemäß einer Ausführungsform sowohl das erste Merkmal als auch das zweite Merkmal und gemäß einer weiteren Ausführungsform entweder nur das erste Merkmal oder nur das zweite Merkmal aufweist.