Titel

Verfahren und Vorrichtung zum Betreiben eines Fahrzeuges

Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines

Fahrzeuges. Die vorliegende Erfindung betrifft darüber hinaus eine

entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.

Stand der Technik

(Teil)autonome Fahrzeuge nach dem Stand der Technik besitzen eine

Fahrzeugführungsschnittstelle („Fahrerarbeitsplatz“) und setzen eine fahrtüchtige und zum Führen des Fahrzeuges autorisierte Person als Fahrzeuginsassen voraus, welche die Führung des automatisierten Fahrzeugs ( automated vehicle, AV) bei Bedarf zu übernehmen vermag. Je nach Automatisierungsgrad und Technologiefortschritt ist es in Zukunft geplant abschnittsweise bzw. für die gesamte Fahrstrecke auf die Notwendigkeit der Übernahme eines fahrtüchtigen Fahrers innerhalb des Fahrzeugs in kritischen Situationen zu verzichten. Um dennoch mit Systemunwägbarkeiten bzw. -Unzulänglichkeiten umgehen zu können, wird vor diesem Hintergrund in zahlreichen Forschungsprojekten am sogenannten teleoperierten Fahren (teleoperated driving, ToD) gearbeitet. Beim ToD kann die Fahraufgabe und/oder das Fahrzeug im Wege einer Fernsteuerung bei der Bewältigung von technischen Unzulänglichkeiten des (teil)autonomen Fahrsystems oder herausfordernder Szenarien - wie Umleitungen über alternative und unkonventionelle Fahrwege bzw. Routen o. ä. - durch einen externen Bediener in einer Leitstelle, den sogenannten Operator, zeitweise unterstützt und/oder gänzlich übernommen werden. Fahrzeug und Leitstelle bzw. deren Betreiber sind hierzu durch ein Mobilfunknetzwerk von geringer Latenz und hoher Datenrate miteinander verbunden. US 9,494,935 B2 offenbart Computervorrichtungen, Systeme und Verfahren für die Fernbedingung eines autonomen Passagierfahrzeugs. Wenn ein autonomes Fahrzeug einer unerwarteten Umgebung wie z. B. einer Straßenbaustelle oder einem Hindernis begegnet, die für autonome Bedienung ungeeignet ist, können die Fahrzeugsensoren Daten über das Fahrzeug und die unerwartete

Umgebung, einschließlich Bilder, Radar- und Lidar-Daten usw. erfassen. Die erfassten Daten können zu einem entfernten Bediener gesendet werden. Der entfernte Bediener kann das Fahrzeug manuell entfernt bedienen oder dem autonomen Fahrzeug Anweisungen erteilen, die von verschiedenen

Fahrzeugsystemen ausgeführt werden sollen. Die zu dem entfernten Bediener gesendeten erfassten Daten können optimiert werden, um Bandbreite zu sparen, indem z. B. eine eingeschränkte Untermenge der erfassten Daten versendet wird.

Ein Fahrzeug gemäß US 9,767,369 B2 kann ein oder mehrere Bilder einer Umgebung des Fahrzeugs empfangen. Das Fahrzeug kann auch eine

Umgebungskarte erhalten. Das Fahrzeug kann auch mindestens ein Merkmal in den Bildern mit einem oder mehreren Merkmalen in der Karte abgleichen. Das Fahrzeug kann auch einen bestimmten Bereich in dem einen oder den mehreren Bildern identifizieren, der einem Teil der Karte entspricht, der sich in einem Schwellenabstand zu dem einen oder den mehreren Merkmalen befindet. Das Fahrzeug kann auch das eine oder die mehreren Bilder bzw. Sensorsignale komprimieren, um eine geringere Menge an Details in den Aufnahmebereichen als dem gegebenen Bereich aufzunehmen. Das Fahrzeug kann die

komprimierten Bilder auch einem entfernten System bereitstellen und darauf ansprechend Betriebsanweisungen von dem entfernten System empfangen.

Systeme und Verfahren gemäß US 9,465,388 B1 ermöglichen es einem autonomen Fahrzeug, Hilfe von einem entfernten Bediener anzufordern, wenn das Vertrauen des Fahrzeugs in den Betrieb gering ist oder ein technisches Problem oder eine technische Unzulänglichkeit oder es eine externe Situation erfordert. Ein beispielhaftes Verfahren umfasst das Betreiben eines autonomen Fahrzeugs in einem ersten autonomen Modus. Das Verfahren kann auch das Identifizieren einer Situation umfassen, in der ein Vertrauensniveau eines autonomen Betriebs im ersten autonomen Modus unter einem Schwellenwertniveau liegt. Das Verfahren kann ferner das Senden einer Anfrage zur Unterstützung an einen entfernten Assistenten umfassen, wobei die Anfrage Sensordaten einschließt, die einen Teil einer Umgebung des autonomen

Fahrzeugs darstellen. Das Verfahren kann zusätzlich das Empfangen einer Antwort von dem entfernten Assistenten umfassen, wobei die Antwort einen zweiten autonomen Betriebsmodus angibt. Das Verfahren kann auch bewirken, dass das autonome Fahrzeug in der zweiten autonomen Betriebsart gemäß der Antwort von dem entfernten Assistenten arbeitet.

US 9,720,410 B2 offenbart ein weiteres Verfahren zur Fernunterstützung für autonome Fahrzeuge in vorbestimmten Situationen.

Offenbarung der Erfindung

Die Erfindung stellt ein Verfahren zum Betreiben eines Fahrzeuges, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes maschinenlesbares Speichermedium gemäß den unabhängigen Ansprüchen bereit.

Ein Kernaspekt der Erfindung liegt darin, eine sichere Methode bereitzustellen, um ein ToD-System in einen sicheren Zustand zu versetzen. Hierbei werden verschiedenste Risiken in Bezug auf die Datenkommunikation berücksichtigt, welche das System in einen Undefinierten Zustand versetzen oder eine gefährliche Situation herbeiführen könnten, die Menschen verletzen oder die Verkehrsinfrastruktur beschädigen kann. Eine Grundidee der Erfindung besteht somit darin, all diese Risiken zu berücksichtigen und ein System zu schaffen, welches darauf optimiert ist, in sämtlichen Szenarien des ToD Sicherheit zu bieten.

Zwar spezifiziert die Sicherheitsnorm ISO 26262 unterschiedlichste Maßnahmen, um die Sicherheitsziele eines Systems in Bezug auf zufällige Hardwarefehler oder systematische Fehler zu erreichen. Eine in diesem Rahmen

durchzuführende Gefährdungsanalyse und Risikobewertung (hazard analysis and risk assessment, HARA) berücksichtigt entsprechende Anforderungen in den frühen Phasen des Entwicklungsprozesses. Ein AV benötigt aufgrund seiner Komplexität jedoch mehr Vorschriften und zukünftige Entwicklungen, um

Sicherheitsziele garantieren zu können. Die Komplexität besteht vor allem darin, dass der Fahrer nicht notwendigerweise verfügbar und in der Lage ist, die Fahraufgaben und die Verantwortung für die Sicherheitsaufgaben zu

übernehmen.

Der Vorzug einer erfindungsgemäßen Lösung liegt vor diesem Hintergrund darin, dass das ToD-System von drei Systemelementen überwacht wird: einem aktiven Operator (AOP), den durch einen passiven Operator (POP) verkörperten

Sicherheitsalgorithmen und automatisierten Fahrzeugsicherheitsalgorithmen.

Das System reagiert, sobald eines dieser Elemente ausfällt.

Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen

Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass die ToD-Funktionen des Fahrzeuges reduziert werden, wenn eine vorgegebene Zeitspanne erfolglos verstreicht ( timeout ). Dies ermöglicht eine sichere Einschränkung verteilter Funktionen gemäß der vom System

vorgegebenen Zeiteinteilung.

Gemäß einem weiteren Aspekt kann vorgesehen sein, dass sich das Fahrzeug vor einem Grenzübertritt mit aktiven Operatoren in beiden Ländern verbindet. Dieser Ansatz gestattet die Abdeckung sowohl innerstaatlicher als auch grenzüberschreitender Szenarien in einer einzigen Lösung.

Gemäß einem weiteren Aspekt können drei Funktionsminderungsstufen vorgesehen sein, um die Systemverfügbarkeit zu erhöhen und, falls dies nicht möglich ist, das Fahrzeug innerhalb vorgegebener Fehlertoleranzzeit ( fault tolerant time, FTT) in eine sichere Lage oder einen anderweitig sicheren Zustand zu bringen.

Gemäß einem weiteren Aspekt kann die Vermeidung von Ausfällen aufgrund gemeinsamer Ursache ( common cause failures) durch die Wahl redundanter Netzbetreiber vorgesehen sein. Gemäß einem weiteren Aspekt kann eine dynamische und optimierte

Trajektorien-Planung in Abhängigkeit von der erwarteten Dienstgüte (quality of Service, QoS) vorgesehen sein.

Gemäß einem weiteren Aspekt kann vorgesehen sein, die Reaktionszeit beim Ausfall des Systems durch eine höhere Intelligenz und Anzahl an

Sicherungsebenen zu verkürzen.

Kurze Beschreibung der Zeichnungen

Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt: Figur 1 den Überblick eines ToD-Systems

Figur 2 den Normalbetrieb des ToD-Systems innerhalb eines Landes.

Figur 3 eine Funktionsminderung auf Stufe A.

Figur 4 eine Funktionsminderung auf Stufe B.

Figur 5 die Funktionsminderungsschritte auf den Stufen A und B. Figur 6 die Funktionsminderungsstufe C.

Figur 7 den Überblick eines grenzüberschreitenden ToD-Szenarios.

Figur 8 eine grenzüberschreitende Verantwortungsübergabe.

Figur 9 den Zustand nach dem Grenzübertritt.

Ausführungsformen der Erfindung Ein teleoperiertes Fahrzeug (20) ist Teil eines - mehrere Teilsysteme umfassenden - Systems, zu dem der Operator (25) in der Leitstelle (26), das Backend (27), die Infrastruktur (28, 29) - etwa in Gestalt eines drahtlosen (28) oder kabelgebundenen (29) Kommunikationsnetzes - und das teleoperierte Fahrzeug (20) selbst gehören (siehe Figur 1).

Ein zu beachtendes ToD-Szenario stellt das Überfahren einer Landesgrenze und die mit diesem Übergang verbundene Notwendigkeit dar, den Mobilfunkanbieter während einer ToD- Fahraufgabe zu wechseln.

Viele Risiken können das Verhalten eines ToD-Systems beeinflussen.

Erfindungsgemäß ist dabei für jedes dieser Risiken eine Maßnahme definiert, mittels derer ein sicheres Verhalten des Gesamtsystems gewährleistet werden kann.

Die Datenkommunikation (28, 29) beispielsweise ist von folgenden Risiken betroffen:

1. Der Mobilfunkkanal (28) ist gemäß ISO 26262 - wie jeder Nachrichtenkanal - nicht für Funktionen geeignet, die Gefährdungen ausgesetzt sind, welche über das übliche Qualitätsmanagement (quality management, QM) hinausgehende Anforderungen stellen, und somit nicht sicher genug für sicherheitskritische Funktionen wie automatisiertes Fahren.

2. Das Mobilfunksignal ist manchmal schwach oder unterbrochen (QoS).

3. In der Daten kommunikation (28, 29) treten Ausfälle aufgrund gemeinsamer Ursache auf.

4. Die Reaktion auf einen Fehler erfolgt erst mit Verzögerung.

5. Die Funktion ist trotz der verteilten Natur des Systems auf sichere Weise zu mindern.

6. Datenverfälschung ist durch Erkennungsalgorithmen zu erkennen und

unabhängig von einer Ausgestaltung der Erfindung als Netzwerkfehler zu signalisieren. Um sowohl innerstaatliche als auch grenzüberschreitende teleoperierte

Fahrsituationen und eine sichere Funktionsminderung gleichermaßen

abzudecken, sind mindestens zwei Operatoren (25) erforderlich. Mindestens ein Operator (25) ist für das erstere und zwei Operatoren (25) sind für das grenzüberschreitende Szenario erforderlich.

Als AOP sei nachfolgend ein menschlicher Operator (25) mit entsprechenden Algorithmen in der Leitstelle (26), als POP ein rein computerimplementierter Algorithmus zur Erfüllung bestimmter Aufgaben in der Cloud (27) bezeichnet. Ferner seien die System parameter t _out1 , t _out2 , t _out3 , und t _out5 mit t _out t _out4 und t _out3 > t _out2 > t _out1 im Rahmen eines Systembausteinentwurfes festgelegt.

Erfindungsgemäß sind folgende Betriebsarten vorgesehen:

1. Grenzüberschreitender Betrieb: Mindestens zwei AOPs sind erforderlich.

2. Betrieb innerhalb eines Landes: Mindestens ein AOP und ein POP sind

erforderlich.

3. Funktionsminderungsstufe A: Nur ein AOP ist verfügbar, wobei t _out1 die zur Ersetzung des Operators (25) akzeptable Zeitspanne bezeichnet.

4. Funktionsminderungsstufe B: Nur ein POP ist verfügbar, wobei t _out2 mit

t _out2 < t _out1 die zur Ersetzung des Operators (25) akzeptable Zeitspanne bezeichnet.

5. Funktionsminderungsstufe C: Weder ein AOP noch ein POP ist verfügbar und das Fahrzeug (20) ist mit der Fehlertoleranzzeit t _out3 vollautonom zu betreiben.

Das Ziel in allen Funktionsminderungsstufen A, B und C ist es, das

automatisierte Fahrzeug (20) an einen sicheren Ort zu bringen oder anderweitig in einen sicheren Zustand zu versetzen, jedoch mit unterschiedlicher

Zeitvorgabe. Auf Funktionsminderungsstufe A ist der POP bzw. der diesem unterliegende computerimplementierte Algorithmus dafür verantwortlich, das automatisierte Fahrzeug (20) innerhalb der Zeit t _out5 in den sicheren Zustand zu versetzen.

Auf Funktionsminderungsstufe B ist der AOP dafür verantwortlich, das automatisierte Fahrzeug (20) innerhalb der Zeit t _out4 in den sicheren Zustand zu versetzen.

Auf Funktionsminderungsstufe C ist - wie bereits beschrieben - das

automatisierte Fahrzeug (20) selbst dafür verantwortlich, innerhalb der Zeit t _out3 in den sicheren Zustand zu gelangen.

Für das ToD-System seien die folgenden Annahmen getroffen:

1. Für jede Leistung des Fernübertragungskanales (28, 29) wird eine

vorhergesagte QoS geliefert.

I. QoS(t) bezeichne die QoS als Funktion der Zeit für Aufzeichnung und Vorhersage.

II. QoS(p) bezeichne die QoS als Funktion des Standortes des

Fahrzeuges (20).

III. QoS (t,p) und die hiervon abhängige beste Länge der Trajektorie sind zu berechnen, um eine ToD-Fahraufgabe von Punkt A nach Punkt B bewältigen zu können.

2. Zwei an ein AV- Fahrzeug (20) angeschlossene Kommunikationskanäle

sollten von zwei verschiedenen Mobilfunkanbietern bereitgestellt werden, um Ausfälle aufgrund gemeinsamer Ursache zu vermeiden.

3. Der dem POP zugrundeliegende computerimplementierte Algorithmus sollte eine Mindestmenge der Dienste anbieten, die nachstehend aufgeführt sind, ohne einen AOP einzubeziehen: I. Herstellung einer Bereitschaftskommunikation mit der Leitstelle (26), um sich bei einer diesbezüglichen Anforderung des Fahrzeuges (20) innerhalb einer bestimmten Zeit mit einem AOP zu verbinden,

II. Aufzeichnung des Echtzeit- Status und des von einem AOP erstellten gegenwärtigen Planes für das automatisierte Fahrzeug („aktives Zuhören“ durch POP),

III. Bereitstellung der erforderlichen Informationen für das Fahrzeug (20) wie Kartendaten, V2X, Verarbeitungsunterstützung usw., um (auf Verlangen) das Fahrzeug (20) auf der Funktionsminderungsstufe B an einen sicheren Ort zu bringen,

IV. Verantwortung für die Verbindung zum jeweiligen AOP auf Anfrage,

V. Meldung an das Fahrzeug (20), wenn die Verbindung zwischen

Leitstelle (26) und Backend (27) unterbrochen oder schwach ist,

VI. parallele Vornahme der Fahrzeugsituationsanalyse, um die

Reaktionszeit zu verkürzen und

VII. Überwachung der - anhand der Funktion QoS(t,p) berechneten - laufenden ToD-Fahraufgabe durch den AOP unter Berücksichtigung der geplanten Trajektorienzeit zuzüglich einer Sicherheitsmarge.

Figur 2 zeigt den Normalbetrieb (11) des ToD-Systems in einem innerstaatlichen Szenario, während Figur 3 eine Unterbrechung oder Störung des

Bereitschaftsübertragungskanales (24) illustriert. Dem System steht die

Zeitspanne t _out1 zur Verfügung, um auf dieses auslösende Ereignis zu reagieren, indem es zunächst einen neuen POP sucht. Wenn ein solcher gefunden wird, geht das System wieder in den Normalbetrieb (11), andernfalls zur

Funktionsminderungsstufe A über. Ein AOP, welcher noch immer das

Fahrzeug (20) steuert, trägt die Verantwortung dafür, es so schnell wie möglich an einen sicheren Ort zu bringen. Wenn dies innerhalb der Zeitspanne t _out1 nicht möglich ist, geht das System zur Funktionsminderungsstufe B über (siehe Figur 5).

Figur 4 veranschaulicht eine Unterbrechung oder Störung des aktiven

Übertragungskanales (19). Dem System steht die Zeitspanne t _out2 zur

Verfügung, um auf dieses auslösende Ereignis zu reagieren, indem es zunächst den verfügbaren Bereitschaftsübertragungskanal (24) nutzt, um den POP durch einen neuen AOP zu ersetzen. Wenn dies innerhalb der Zeitspanne t _out2 misslingt, geht das System zur Funktionsminderungsstufe B über. Wenn die Ersetzung gelingt, hat das System noch immer einen AOP, angesichts der Beziehung t _out2 < t _out1 genügend Zeit, um einen POP zu suchen und somit die

Aussicht, in den Normalbetrieb (11), andernfalls in die

Funktionsminderungsstufe A überzugehen (Figur 5).

Figur 6 beleuchtet eine Unterbrechung oder Störung sowohl des aktiven (19) als auch des Bereitschaftsübertragungskanales (24). Das System ist verantwortlich dafür, sowohl Funktionsminderungsstufe A als auch Funktionsminderungsstufe B zu überwachen. Wenn sich das Fahrzeug (20) nach Verstreichen einer vorgegebenen Zeitspanne noch immer nicht in einem sicheren Zustand oder an einem sicheren Ort befindet, ist es selbst dafür verantwortlich, sich innerhalb der Zeitspanne t _out3 in einen sicheren Zustand zu versetzen oder an einen sicheren

Ort zu gelangen.

Figur 7 zeigt den Normalbetrieb (11) des ToD-Systems in einem

grenzüberschreitenden Szenario. In diesem Szenario wird die Strategie verfolgt, über zwei AOPs (41, 42) zu verfügen, um die Verantwortung vom ersten AOP (41) auf den zweiten AOP (42) zu übertragen. Nachdem letzterer die Bereitschaft zur Verantwortungsübernahme bestätigt hat, wird die Übergabe wie in Figur 8 gezeigt durchgeführt, woraufhin sich die Verbindung mit dem ersten AOP (41) zu einer passiven Verbindung mit dem ersten POP (31) verändert. Sobald die Grenze passiert wird, wird der POP (31) aus dem ersten Land (61) durch einen neuen POP (31) aus dem zweiten Land (62) ersetzt (siehe Figur 9). Sämtliche Funktionsminderungsstrategien, die für das innerstaatliche Szenario gezeigt wurden, sind auch für das grenzüberschreitende Szenario gültig. Dieses Verfahren (10) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem

Steuergerät des Fahrzeuges (20) implementiert sein.