Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.

Unter dem Begriff „automatisiertes Fahren“ kann im Rahmen des Dokuments ein Fahren mit automatisierter Längs- oder Querführung oder ein autonomes Fahren mit automatisierter Längs- und Querführung verstanden werden. Der Begriff „automatisiertes Fahren“ umfasst ein automatisiertes Fahren mit einem beliebigen Automatisierungsgrad. Beispielhafte Automatisierungsgrade sind ein assistiertes, teilautomatisiertes, hochautomatisiertes oder vollautomatisiertes Fahren. Diese Automatisierungsgrade wurden von der Bundesanstalt für Straßenwesen (BASt) definiert (siehe BASt-Publikation „Forschung kompakt“, Ausgabe 11/2012). Beim assistierten Fahren führt der Fahrer dauerhaft die Längs- oder Querführung aus, während das System die jeweils andere Funktion in gewissen Grenzen übernimmt. Beim teilautomatisierten Fahren (TAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum und/oder in spezifischen Situationen, wobei der Fahrer das System wie beim assistierten Fahren dauerhaft überwachen muss. Beim hochautomatisierten Fahren (HAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum, ohne dass der Fahrer das System dauerhaft überwachen muss; der Fahrer muss aber in einer gewissen Zeit in der Lage sein, die Fahrzeugführung zu übernehmen. Beim vollautomatisierten Fahren (VAF) kann das System für einen spezifischen Anwendungsfall das Fahren in allen Situationen automatisch bewältigen; für diesen Anwendungsfall ist kein Fahrer mehr erforderlich. Die vorstehend genannten vier Automatisierungsgrade gemäß der Definition der BASt entsprechen den SAE-Level 1 bis 4 der Norm SAE J3016 (SAE - Society of Automotive Engineering). Beispielsweise entspricht das hochautomatisierte Fahren (HAF) gemäß der BASt dem Level 3 der Norm SAE J3016. Ferner ist in der SAE J3016 noch der SAE-Level 5 als höchster Automatisierungsgrad vorgesehen, der in der Definition der BASt nicht enthalten ist. Der SAE- Level 5 entspricht einem fahrerlosen Fahren, bei dem das System während der ganzen Fahrt alle Situationen wie ein menschlicher Fahrer automatisch bewältigen kann; ein Fahrer ist generell nicht mehr erforderlich.

Aus dem Stand der Technik ist bekannt, dass der Betrieb eines Kraftfahrzeugs zur Gefährdung von Personen und der Umwelt führen kann. Zur Vermeidung dieser Gefährdungen werden deshalb Sicherheitsfunktionen für Kraftfahrzeuge entwickelt. Diese Sicherheitsfunktionen benötigen aber während des Betriebs des Kraftfahrzeugs Energie, was zu einer Erhöhung der von dem Kraftfahrzeug ausgestoßenen Emissionen und/oder zu einer Verringerung der Reichweite des Kraftfahrzeugs führt.

Es ist Aufgabe der Erfindung, den Energieverbrauch von Sicherheitsfunktionen für Kraftfahrzeuge zu verringern. Die Aufgabe wird durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen beschrieben. Es wird darauf hingewiesen, dass zusätzliche Merkmale eines von einem unabhängigen Patentanspruch abhängigen Patentanspruchs ohne die Merkmale des unabhängigen Patentanspruchs oder nur in Kombination mit einer Teilmenge der Merkmale des unabhängigen Patentanspruchs eine eigene und von der Kombination sämtlicher Merkmale des unabhängigen Patentanspruchs unabhängige Erfindung bilden können, die zum Gegenstand eines unabhängigen Anspruchs, einer Teilungsanmeldung oder einer Nachanmeldung gemacht werden kann. Dies gilt in gleicher Weise für in der Beschreibung beschriebene technische Lehren, die eine von den Merkmalen der unabhängigen Patentansprüche unabhängige Erfindung bilden können.

Ein erster Aspekt der Erfindung betrifft eine Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.

Die zumindest eine Sicherheitsfunktion des Kraftfahrzeugs ist insbesondere eine Funktion des Kraftfahrzeugs zur Fehlererkennung und/oder zur Fehlerreaktion, also eine dedizierte Funktion zur Erkennung von Fehlem oder zur Reaktion auf erkannte Fehler, wobei ein Fehler ein Fehler eines elektrischen und/oder elektronischen Teilsystems, bzw. einer Komponente des Kraftfahrzeugs ist. Ein Fehler ist dabei eine Abweichung des tatsächlichen Verhaltens des Teilsystems, bzw. der Komponente, von einem vorgesehenen Verhalten des Teilsystems, bzw. der Komponente. Alternativ ist die zumindest eine Sicherheitsfunktion eine sicherheitskritische Kundenfunktion des Kraftfahrzeugs, also eine Kundenfunktion, die bei fehlerhafter Ausführung zu einer Gefährdung einer Person im Kraftfahrzeug, einer Person im Umfeld des Kraftfahrzeugs oder der Umwelt führen würde. Alternativ oder zusätzlich ist die zumindest eine Sicherheitsfunktion ein abstraktes Sicherheitskonzept, das durch mehrere Teilfunktionen umgesetzt ist, wie beispielsweise ein mehrkanaliges System, bei dem mehrere Kanäle unabhängig voneinander rechnen und deren Ergebnisse dann zusammengeführt werden.

Die Vorrichtung ist eingerichtet eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln, beispielsweise mittels Sensoren des Kraftfahrzeugs.

Außerdem ist die Vorrichtung eingerichtet, ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln.

Das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau ist insbesondere eine von der ISO-Norm ISO 26262 („Road vehicles - Functional safety“) spezifizierte Sicherheitsanforderungsstufe „Automotive Safety Integrity Level“ („ASIL“) für sicherheitsrelevante Systeme in Kraftfahrzeugen. Dabei gibt es die fünf Sicherheitsanforderungsstufen „QM“, „ASIL A“, „ASIL B“, „ASIL C“ und „ASIL D“, wobei QM die niedrigste Stufe und ASIL D die höchste Stufe ist.

Alternativ oder zusätzlich ist das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau insbesondere ein Leistungsniveau zumindest einer Komponente des Kraftfahrzeugs, beispielsweise eines Sensors des Kraftfahrzeugs.

Die Vorrichtung ist beispielweise eingerichtet, das in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliche Sicherheitsniveau zu ermitteln, indem die Vorrichtung das Ergebnis einer während der Entwicklung des Kraftfahrzeugs gemäß ISO 26262 durchzuführende Gefährdungs- und Risikoanalyse bereithält. Dieses Ergebnis gibt für Fahrsituationen und Zustände des Kraftfahrzeugs ein erforderliches Sicherheitsniveau in Form von zumindest eines erforderlichen ASIL an. Da die Vorrichtung eingerichtet ist, die aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln und auch in der Lage ist, den aktuellen Zustand des Kraftfahrzeugs zu ermitteln, kann die Vorrichtung für diese konkrete Fahrsituation und den konkreten Zustand des Kraftfahrzeugs mittels des Ergebnisses der Gefährdungs- und Risikoanalyse das in der aktuellen Fahrsituation erforderliche Sicherheitsniveau ermitteln.

Das Ermitteln des in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus selbst muss dabei mit einem höchstmöglichen Sicherheitsniveau erfolgen.

Außerdem ist die Vorrichtung eingerichtet, die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.

In einer vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet, ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln.

Hierfür ist die Vorrichtung beispielsweise eingerichtet, die Ergebnisse von Sicherheitsanalysen bereitzustellen, die während der Entwicklung des Kraftfahrzeugs durchgeführt wurden, und die beispielsweise die Erfüllung von Anforderungen aus den Bänden 4 („Produktentwicklung: Systemebene“), 5 („Produktentwicklung: Hardwareebene“) und/oder 6 (Produktentwicklung: Softwareebene) der ISO 26262 durch die zumindest eine Sicherheitsfunktion bewerten.

Durch Ermittlung eines Grades der Erfüllung von Anforderungen der ISO 26262 kann das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau ermittelt werden.

Außerdem ist die Vorrichtung eingerichtet, wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die Sicherheitsfunktion derart zu steuern, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.

Insbesondere ist die Vorrichtung eingerichtet, diese Steuerung umzusetzen, indem die Leistung der zumindest einen Sicherheitsfunktion verringert wird, beispielsweise indem eine Abtastrate oder eine Auflösung verringert wird oder indem eine Teilfunktion deaktiviert wird.

Ein Vorteil dieser Ausführungsform besteht darin, dass trotz Einhalten des in der aktuellen Fahrsituation erforderlichen Sicherheitsniveaus die für die Ausführung der Sicherheitsfunktion notwendige Energie verringert wird und somit das Kraftfahrzeug als Ganzes energieeffizienter betrieben wird.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet, die zumindest eine Sicherheitsfunktion zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die Vorrichtung eingerichtet ist, eine Leistung der zumindest einen Sicherheitsfunktion zu verringern, beispielsweise indem eine Sensorreichweite und/oder eine Sensorauflösung eines Sensors, der ein Eingangssignal der Sicherheitsfunktion liefert, verringert werden, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist die zumindest eine Sicherheitsfunktion eine mehrkanalige Systemarchitektur eines Systems des Kraftfahrzeugs ist, wobei die Mehrkanaligkeit beispielsweise in Hardware und/oder in Software realisiert ist.

Dabei ist die Vorrichtung eingerichtet, zumindest einen Kanal der mehrkanaligen Systemarchitektur des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern. Dadurch werden die zur Berechnung des deaktivierten Kanals notwendigen Ressourcen frei.

Eine weitere vorteilhafte Ausführungsform der Erfindung ist ein System zur Ressourcenplanung eines Kraftfahrzeugs, wobei das System eine Vorrichtung nach einem der Ansprüche umfasst.

Das System ist eingerichtet zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln, beispielsweise freigewordene Rechenzeit und/oder freigewordener Speicher eines Steuergeräts des Kraftfahrzeugs, und die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.

Mit anderen Worten wird die Fahrerassistenzfunktion einem sog. „shadow mode“ betrieben, in dem die Fahrerassistenzfunktion zwar Eingangssignale entgegennimmt und diese verarbeitet, aber keine Steuersignale an Aktuatoren des Kraftfahrzeugs ausgibt. Diese Ausführungsform hat den Vorteil, dass die Fahrerassistenzfunktion somit unter realen Bedingen getestet werden kann, ohne den Betrieb des Kraftfahrzeugs zu stören. Somit kann beispielsweise eine neue Version der Fahrerassistenzfunktion, die dem Fahrer des Kraftfahrzeugs noch nicht zur Verfügung gestellt wurde, getestet werden und es können beispielsweise Abweichungen im Verhalten zwischen der neuen Version und einer Vorgängerversion der Fahrerassistenzfunktion ermittelt werden.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem die Ressource einer Fahrerassistenzfunktion zur Verfügung gestellt wird, wobei die Fahrerassistenzfunktion derart angesteuert wird, dass sich die operational design domain der Fahrerassistenzfunktion erweitert.

Die operational design domain der Fahrerassistenzfunktion ist dabei eine Teilmenge aller möglichen Fahrsituationen, in der die Fahrerassistenzfunktion in ausreichender Qualität funktioniert.

Beispielsweise kann die operational design domain Geschwindigkeitsbereich des Kraftfahrzeugs eingrenzen, in dem die Fahrerassistenzfunktion in ausreichender Qualität funktioniert. Alternativ oder zusätzlich kann die operational design domain eine Komplexität eines Umfelds des Kraftfahrzeugs beschränken, beispielsweise wenn die Fahrerassistenzfunktion nur in kontrollierten, autobahnähnlichen Fahrsituationen mit ausreichender Qualität funktioniert aber nicht in hochkomplexen, urbanen Fahrsituationen.

Für manche Fahrerassistenzfunktionen kann prinzipbedingt die operational design domain erweitert werden, wenn Ressourcen zur Verfügung stehen. So können beispielsweise mit mehr zur Verfügung stehenden Ressourcen mehr Objekte im Umfeld des Kraftfahrzeugs verarbeitet werden und/oder es können aufwändigere Bildverarbeitungsalgorithmen zur Erkennung und/Klassifikation von Objekten im Umfeld des Kraftfahrzeugs zum Einsatz kommen.

In einer weiteren vorteilhaften Ausführungsform der Erfindung ist das System eingerichtet, die zumindest eine freigewordene Ressource zu verplanen, indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen, insbesondere indem ein Funktionstest der Ressource durchgeführt wird, der nicht durchgeführt werden kann, wenn die Ressource genutzt wird, wie beispielsweise ein Speichertest.

Ein zweiter Aspekt der Erfindung betrifft ein Verfahren zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.

Ein Schritt des Verfahrens ist das Ermitteln einer aktuellen Fahrsituation des Kraftfahrzeugs.

Ein weiterer Schritt des Verfahrens ist das Ermitteln eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus.

Ein weiterer Schritt des Verfahrens ist das Steuern der zumindest einen Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus.

Die vorstehenden Ausführungen zur erfindungsgemäßen Vorrichtung nach dem ersten Aspekt der Erfindung gelten in entsprechender Weise auch für das erfindungsgemäße Verfahren nach dem zweiten Aspekt der Erfindung. An dieser Stelle und in den Patentansprüchen nicht explizit beschriebene vorteilhafte Ausführungsbeispiele des erfindungsgemäßen Verfahrens entsprechen den vorstehend beschriebenen oder in den Patentansprüchen beschriebenen vorteilhaften Ausführungsbeispielen der erfindungsgemäßen Vorrichtung. Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels unter Zuhilfenahme der beigefügten Zeichnungen beschrieben. In diesen zeigen:

Fig. 1 ein Ausführungsbeispiel der erfindungsgemäßen Vorrichtung, und Fig. 2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens.

Fig. 1 zeigt eine erfindungsgemäße Vorrichtung zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.

Die zumindest eine Sicherheitsfunktion ist eine mehrkanalige Systemarchitektur C1 , C2, C3 eines Systems des Kraftfahrzeugs.

Dabei werden Sensordaten SD von drei parallelen Verarbeitungskanälen C1 , C2, C3 verarbeitet, wobei die drei parallelen Verarbeitungskanäle C1 , C2, C3 auf zwei Steuergeräte E1 , E2 des Kraftfahrzeugs derart verteilt sind, dass die zwei Verarbeitungskanäle C1 , C2 auf dem Steuergerät E1 ausgeführt werden und der Verarbeitungskanal C3 auf dem Steuergerät E3 ausgeführt wird.

Aus den Ergebnissen der drei parallelen Verarbeitungskanäle C1 , C2, C3 werden dann beispielsweise Trajektorien TR bestimmt, die zum automatisierten Betrieb des Kraftfahrzeugs verwendet werden können.

Die Vorrichtung ist eingerichtet eine aktuelle Fahrsituation des Kraftfahrzeugs zu ermitteln 100, ein mit der zumindest einen Sicherheitsfunktion erreichbares, maximales Sicherheitsniveau zu ermitteln 150 und ein in der aktuellen Fahrsituation des Kraftfahrzeugs erforderliches Sicherheitsniveau zu ermitteln 200.

Außerdem ist die Vorrichtung eingerichtet, wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, die Sicherheitsfunktion derart zu steuern 300, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.

Dabei ist die Vorrichtung eingerichtet, zumindest einen Kanal der mehrkanaligen Systemarchitektur C1 , C2, C3 des Systems des Kraftfahrzeugs zu deaktivieren, um die zumindest eine Sicherheitsfunktion in Abhängigkeit des erforderlichen Sicherheitsniveaus zu steuern 300.

Wenn beispielsweise die parallele, redundante Berechnung der Verarbeitungskanäle C1 und C2 deshalb erfolgt, um ein Sicherheitsziel zu erreichen, dass bei einer sehr kritischen Fahrsituation des Kraftfahrzeugs mit einem Sicherheitsniveau von ASIL D bewertet ist, indem dieses Sicherheitsniveau durch ASIL-Dekomposition in zwei Sicherheitsniveaus ASIL B(D) geteilt wird, dann kann einer der beiden Verarbeitungskanäle C1 und C2 deaktiviert werden, wenn in der aktuellen Fahrsituation des Kraftfahrzeugs das Sicherheitsziel nur mit einem Sicherheitsniveau von ASIL B bewertet ist.

Alternativ oder zusätzlich ist der Verarbeitungskanäle C3 beispielsweise auf das Steuergerät E2 ausgelagert, um ein Versagen aller Verarbeitungskanäle C1 , C2, C3 aufgrund einer gemeinsamen Ursache (sog. „common cause failure“) zu verhindern, beispielsweise aufgrund eines Stromausfalls des Steuergeräts E1 .

Wenn nun in der aktuellen Fahrsituation des Kraftfahrzeugs ein Ausfall aller Verarbeitungskanäle C1 , C2, C3 tolerierbar ist, beispielsweise weil sich das Kraftfahrzeug nur mit geringer Geschwindigkeit bewegt und somit ein Ausfall der Verarbeitungskanäle C1 , C2, C3 durch jeden anzunehmenden Fahrer beherrschbar ist, so kann der Verarbeitungskanal C3 deaktiviert werden und gegebenenfalls sogar das gesamte Steuergerät E2.

Insbesondere umfasst das Kraftfahrzeug ein System zur Ressourcenplanung des Kraftfahrzeugs, wobei das System die erfindungsgemäße Vorrichtung zur Steuerung der zumindest einen Sicherheitsfunktion des Kraftfahrzeugs umfasst.

Das System ist eingerichtet zumindest eine durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln 400 und die zumindest eine freigewordene Ressource des Kraftfahrzeugs zu verplanen 500.

Wenn beispielsweise die zur Berechnung des Verarbeitungskanals C2 auf dem Steuergerät E1 verwendeten Ressourcen frei geworden sind, weil der Verarbeitungskanal C2 auf dem Steuergerät E1 deaktiviert wurde, so kann das System die zumindest eine freigewordene Ressource verplanen 500, indem die zumindest eine freigewordene Ressource einer Fahrerassistenzfunktion für das Kraftfahrzeug zur Verfügung gestellt wird, wobei die ein Zugriff der Fahrerassistenzfunktion auf eine Längs- und/oder Querführung des Kraftfahrzeugs verhindert wird.

Somit kann mit anderen Worten statt dem Verarbeitungskanal C2 eine Fahrerassistenzfunktion im sog. „shadow mode“ ausgeführt werden.

Wenn beispielsweise die zur Berechnung des Verarbeitungskanals C3 auf dem Steuergerät E2 verwendeten Ressourcen frei geworden sind, weil der Verarbeitungskanal C3 auf dem Steuergerät E2 deaktiviert wurde, so kann das System die zumindest eine freigewordene Ressource verplanen 500, indem das System eingerichtet ist, eine Funktionsfähigkeit der Ressource zu überprüfen, beispielsweise indem das System eingerichtet ist, die Funktionsfähigkeit von Prozessoren und/oder Speichern des Steuergeräts E2 mittels eines Prozessor- und/oder Speichertestverfahrens zu prüfen.

Fig. 2 zeigt ein Ausführungsbeispiel eines Verfahrens zur Steuerung von zumindest einer Sicherheitsfunktion eines Kraftfahrzeugs.

Ein Schritt des Verfahrens ist das Ermitteln 100 einer aktuellen Fahrsituation des Kraftfahrzeugs.

Ein weiterer Schritt des Verfahrens ist das Ermitteln 150 eines mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.

Ein weiterer Schritt des Verfahrens ist das Ermitteln 200 eines in der aktuellen Fahrsituation des Kraftfahrzeugs erforderlichen Sicherheitsniveaus.

Wenn das erforderliche Sicherheitsniveau geringer ist als das mit der zumindest einen Sicherheitsfunktion erreichbare, maximale Sicherheitsniveau, dann ist ein weiterer Schritt des Verfahrens das Steuern 300 der Sicherheitsfunktion derart, dass ein tatsächlich mit der zumindest einen Sicherheitsfunktion erreichtes Sicherheitsniveau das erforderliche Sicherheitsniveau erreicht oder übersteigt, und ein tatsächlicher Energieverbrauch der zumindest einen Sicherheitsfunktion geringer ist als ein Energieverbrauch der zumindest einen Sicherheitsfunktion bei Erreichen des mit der zumindest einen Sicherheitsfunktion erreichbaren, maximalen Sicherheitsniveaus.

Ein weiterer Schritt des Verfahrens ist das Ermitteln 400 zumindest einer durch die Steuerung der zumindest einen Sicherheitsfunktion freigewordene Ressource des Kraftfahrzeugs zu ermitteln. Ein weiterer Schritt des Verfahrens ist verplanen 500 der zumindest einen freigewordenen Ressource des Kraftfahrzeugs.