Die Erfindung betrifft ein Verfahren zum Bewerten einer Position eines Fahrzeugs sowie eine Vorrichtung zum Ermitteln einer Position eines Fahrzeugs.

Globale Navigationssatellitensysteme wie GPS, Galileo, etc. sind Stand der Technik. Diese werden in heutigen Fahrzeugen dazu verwendet, um die Position des Fahrzeugs absolut in einem globalen Koordinatensystem zu ermitteln. Die Positionen werden heutzutage unter anderem dazu verwendet, um eine Navigation des Fahrzeugs durchzuführen.

Mit der Zunahme von automatisierten Fahrassistenzsystemen und den Plänen, dass das Fahrzeug autonom geführt werden soll, bekommt die Genauigkeit der Positionsdaten einen höheren Stellenwert. Um das Fahrzeug sicher autonom fahren zu können, bedarf es einer Positionsermittlung des Fahrzeugs, die über die Genauigkeit der heutigen Systeme hinausgeht. Neben der höheren Genauigkeit hinaus muss zu jedem Zeitpunkt sichergestellt sein, dass die Ermittlung der Position des Fahrzeugs einer funktionalen Sicherheit unterliegt, um nur vermeintlich korrekt ermittelte Positionen ermitteln und auszusortieren. Denn Eingriffe eines Fahrassistenzsystems aufgrund einer falschen Position können fatale Folgen haben. Aus der modernen Luftfahrt sind zwar Systeme bekannt, die sowohl eine hohe Genauigkeit als auch eine funktionale Sicherheit erreichen. Diese sind jedoch für den Einsatz in Fahrzeugen, wie zum Beispiel herkömmlichen Auto- mobilien oder Motorrädern, viel zu groß und teuer.

Davon ausgehend liegt der Erfindung daher die Aufgabe zugrunde ein Verfahren oder eine Vorrichtung aufzuzeigen, mit der eine Bewertung der ermittelten Position sicher durchgeführt werden kann. Die Erfindung soll es ermöglichen eine Grundlage für eine Entscheidung zur Nutzung einer ermittelten Position in Fahrassistenzsystemen bereitzustellen. Die Aufgabe wird gelöst gemäß eines erstes Aspektes der Erfindung mittels eines Verfahrens zum Bewerten einer Position eines, insbesondere autonom geführten, Fahrzeugs mittels einer Vor ^¬ richtung zum Ermitteln einer Position eines Fahrzeugs, auf- weisend eine Antenne zum Empfangen von Satellitennavigati ^¬ onsdaten eines globalen Satellitennavigationssystems (GNSS) , mindestens eine Verarbeitungseinheit zum Verarbeiten der empfangenen Satellitennavigationsdaten und eine abgesicherte Sicherheitseinheit zum abgesicherten Verarbeiten von Daten, aufweisend die Schritte:

Übertragen einer ersten von einer Verarbeitungseinheit ermittelten Absolutposition an die Sicherheitseinheit, Empfangen von Satellitennavigationsdaten mittels der Sicherheitseinheit,

- Ermitteln einer zweiten Absolutposition anhand der

Satellitennavigationsdaten mittels der Sicherheitseinheit,

Vergleichen der ersten Absolutposition mit der zweiten Absolutposition mittels der Sicherheitseinheit, und - Bewerten der ersten Absolutposition in Abhängigkeit von der Abweichung zur zweiten Absolutposition oder umgekehrt mittels der Sicherheitseinheit.

Gemäß dem erfindungsgemäßen Verfahren wird zunächst eine erste Absolutposition mittels einer Verarbeitungseinheit oder eines GNSS-Empfängers in bekannter Weise ermittelt. Die erste Ver ^¬ arbeitungseinheit oder der GNSS-Empfänger muss nicht in spe ^¬ zieller Art und Weise ausgebildet sein, um hohen Sicherheitsanforderungen zu genügen. Es kann vielmehr auf Verar- beitungseinheiten oder GNSS-Empfänger zurückgegriffen werden, die aus dem Stand der Technik bekannt sind, insbesondere solchen, die sich für den Einsatz in Kraftfahrzeugen eignen. Es ist möglich, dass die von der ersten Verarbeitungseinheit ermittelte erste Absolutposition möglicherweise Fehlern unterliegen. Um diese Fehler erkennen und gegebenenfalls auch quantifizieren zu können wird erfindungsgemäß eine Sicherheitseinheit vorgesehen, die eine zweite Absolutposition ermittelt und eine Ver ^¬ gleichsbasis zum Bewerten der ersten Absolutposition schafft. Zu einer Position des Fahrzeugs werden somit auf zwei unterschiedlichen unabhängigen Wegen zwei Absolutpositionen ermittelt, wobei die zweite Absolutposition über eine abgesicherte Sicherheitseinheit ermittelt wird. Die Absicherung der

Sicherheitseinheit stellt dabei sicher, dass die Sicher ^¬ heitseinheit keinen funktionalen Fehlern unterliegt oder keine Fehlern bzw. Fehlermodi nichtdetektierten aufweist. Auf diese Weise kann auch angenommen werden, dass die zweite

Absolutposition eine vertrauenswürdige Vergleichsbasis für die erste Absolutposition bildet.

Besonders vorteilhafter Weise werden die Schritte Ermitteln der zweiten Absolutposition, Vergleichen der ersten Absolutposition mit der zweiten Absolutposition und Bewerten der ersten

Absolutposition ausschließlich in der Sicherheitseinheit durchgeführt. So kann der Hardwareaufwand klein gehalten Werden. Alternativ kann der Schritt des Vergleichens auch auf einer anderen Hardware oder einem anderen Chip durchgeführt werden .

Vorteilhaft ist auch, dass die Sicherheitseinheit auf den gleichen Satellitennavigationsdaten zurückgreift, der auch in der Verarbeitungseinheit zum Ermitteln der ersten

Absolutposition verwendet wird. So kann die Sicherheitseinheit frühzeitig auch anhand der Satellitennavigationsdaten feststellen, ob ein Fehler in dem Datensatz selbst oder in der Verarbeitungseinheit vorliegt.

Es sei angemerkt, dass das erfindungsgemäße Verfahren auch zum Bestimmen einer Position eines Fahrzeugs verwendbar ist. Der erfindungsgemäße Gegengestand umfasst daher auch ein Verfahrens zum Ermitteln einer, insbesondere plausibilisierten Position für ein Fahrzeug oder Kraftfahrzeug, insbesondere eines autonom geführten Fahrzeugs.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird mindestens der Teil der Sicherheitseinheit, welcher die zweite Absolutposition ermittelt, bevorzugterweise die gesamte Sicherheitseinheit, als Software- und/oder hard- wareseitig abgesicherte Sicherheitseinheit ausgebildet.

Besonders vorteilhaft ist eine Ausführungsform des erfin- dungsgemäßen Verfahrens, bei dem die Sicherheitseinheit als eigenständiger Mikrocontroller ausgebildet ist.

Darüber hinaus ist eine Ausführungsform des erfindungsgemäßen Verfahrens besonders bevorzugt, bei dem der Mikrocontroller derart ausgebildet ist, um die Anforderungen nach ASIL A, B, C oder D nach ISO 26262 zu erfüllen. Gemäß den vorgenannten Ausführungsformen wird die Sicherheitseinheit so ausgebildet, dass sie die erforderlichen Sicherheitsanforderungen für die jeweiligen Anwendungen stets erfüllt. Insbesondere die hardware- und softwareseitige Absicherung der Sicherheitseinheit ge ^¬ währleistet, dass die zweite Absolutposition unter Berücksichtigung der heutzutage angewendeten Sicherheitsstandards ermittelt wird. Besonders bevorzugt ist es, dass die Hardware oder der Chip die Anforderungen eines gewünschten ASIL-Levels erreicht, d. h. einerseits eine ausreichend gute Ausfall ^¬ wahrscheinlichkeit bzw . hohe Verfügbarkeit bietet, andererseits keine nichtdetektierten Fehlermodi aufweist. Durch diese Kombination wird im Sinne einer ASIL-Dekomposition neben der Absicherung der Hardware auch eine Redundanz bei der verwendeten Software oder Firmware erreicht.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine Ausgabe einer Position ausschließlich über die Sicherheitseinheit. Auf diese Weise wird sicherge- stellt, dass die Anwendungen, die die Positionen verwenden, diese über einen abgesicherten Kanal empfangen. Es sei angemerkt, dass die Sicherheitseinheit auch mehrere Positionsausgaben

gleichzeitig ausgeben kann. Es ist anwendungsabhängig zu entscheiden, ob die erste Absolutposition direkt oder indirekt nach einer Verrechnung mit der zweiten Absolutposition ausgegeben wird. Darüber hinaus ist es denkbar neben der ersten Absolutposition auch die zweite Absolutposition auszugeben. Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens empfängt die Sicherheitseinheit fusionierte oder unmittelbare Sensordaten von Fahrdynamiksensoren, insbesondere Initialsensoren, für das Ermitteln der zweiten Absolutposition. Auf diese Weise kann die Sicherheitseinheit die zweite

Absolutposition mit höherer Genauigkeit ermitteln.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens sind die Fahrdynamiksensoren derart ausgebildet, um die Anforderungen nach ASIL A, B, C oder D nach ISO 26262 zu erfüllen. Auf diese Weise wird sichergestellt, dass keine funktionalen Fehler über die Fahrdynamiksensoren in die

Sicherheitseinheit Eingang finden. Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens werden die Satellitennavigationsdaten an die

Sicherheitseinheit übermittelt bevor Korrekturen, insbesondere von satellitenbedingten, signalbedingten, atmosphärischen, umgebungsbedingten Fehlern, an den Satellitennavigationsdaten angewendet werden. Dies hat zwar zur Folge, dass die Sicher ^¬ heitseinheit eine zweite Absolutposition ermittelt, die mög ^¬ licherweise ungenauer ist als die erste Absolutposition. Jedoch kann auf diese Weise eine fehlerhafte Einflussnahme der Kor ^¬ rekturdaten bei der Ermittlung der zweiten Absolutposition ausgeschlossen werden. Wenn also beabsichtigt wird, die zweite Absolutposition zwar ungenauer aber mit einer höheren Plau- sibilität zu ermitteln, so ist diese Ausführungsform besonders vorteilhaft. Liegen die Vergleichsergebnisse innerhalb defi ^¬ nierter Toleranzen, so kann eine sichere Position ausgegeben werden. Die Toleranzen können dynamisch entsprechend der aktuellen GNSS Genauigkeit angepasst werden können. Unter den Korrekturdaten sind beispielsweise solche Daten zu verstehen, die die konstanten Fehler durch atmosphärische oder Multi- pass-Fehler korrigieren.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird der auszugebenden Position ein Sicherheitsmaß, insbesondere in ASIL-Stufen, in Abhängigkeit der Abweichungen der mittels der ersten Verarbeitungseinheit ermittelten ersten Absolutposition zur zweiten Absolutposition zugeordnet. Das Sicherheitsmaß unterscheidet sich von einem Genauigkeitsmaß in der Art, dass es eine Aussage darüber trifft, mit welcher Wahrscheinlichkeit oder Sicherheit die ermittelte

Absolutposition keinem Fehler, insbesondere funktionalen Fehler, unterliegt. Erfindungsgemäß wird daher vorgeschlagen, zwei unterschiedliche Gütemaße, nämlich einmal ein Genauig ^¬ keitsmaß und daneben auch ein Sicherheitsmaß, den jeweiligen auszugebenden Positionen zuzuordnen. Auf diese Weise können die folgenden Anwendungen die Verwendung der Positionen individuell vornehmen .

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens werden zum Ermitteln des Sicherheitsmaßes Sicher ^¬ heitsstufen, insbesondere ASIL-Sicherheitsstufen, der eingesetzten Soft- und Hardwarekomponenten berücksichtigt.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens umfasst das Verfahren den Schritt: Überprüfen der Satellitennavigationsdaten mittels der Sicherheitseinheit. Es wird hierbei vorgeschlagen, dass die Sicherheitseinheit die Rohdaten, welche zum Ermitteln der Absolutposition verwendet werden, auf ihre Plausibilität hin überprüft. Die Rohdaten werden hierzu in Relation zueinander gesetzt und daraufhin überprüft, ob eine nicht plausible Abweichung voneinander vorliegt.

Besonders bevorzugt ist dabei eine vorteilhafte Ausführungsform des erfindungsgemäßen Verfahrens, bei dem mehrere Satelli- tennavigationsdaten miteinander verglichen werden oder relativ zueinander betrachtet werden, insbesondere nach folgenden Kriterien :

Distanzänderung zu einem Satelliten,

Relativgeschwindigkeiten,

- Rangerates zu Satelliten,

Abweichung in der Signalkorrelation unterschiedlicher

Satellitensignale. Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens verarbeiten die erste Verarbeitungseinheit und die Sicherheitseinheit jeweils voneinander unabhängige Satelli ^¬ tensignale zum Ermitteln der ersten beziehungsweise der zweiten Absolutposition. Auf diese Weise können sogenannte Com- mon-Cause-Fehler vermieden werden. Es wird insbesondere vorgeschlagen, dass die erste Verarbeitungseinheit beispielsweise Satellitensignale von GPS-Satelliten und die Sicherheitseinheit Satellitensignale von beispielsweise Galileo, Glonass oder Beidou verwendet beziehungsweise verarbeitet.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens oder einem weiteren Aspekt der Erfindung wird vorgeschlagen, dass die Satellitennavigationsdaten mittels einer zweiten, insbesondere von der ersten Verarbeitungseinheit unabhängigen, Verarbeitungseinheit an die Sicherheitseinheit übermittelt werden. Dieser Ausführungsform beziehungsweise diesem Aspekt der Erfindung liegt der Grundgedanke zugrunde, dass zwei voneinander unabhängige Verarbeitungseinheiten oder GNSS-Empfänger verwendet werden. Eine davon beziehungsweise die erste Verarbeitungseinheit ist vollständig ausgebildet und eignet sich dazu, die eine oder erste Absolutposition zu ermitteln. Die zweite Verarbeitungseinheit unterscheidet sich von der ersten Verarbeitungseinheit, dass sie vorzugsweise nicht in gleicher Weise wie die erste Verarbeitungseinheit ausgebildet ist. Auf diese Weise können zum einen systemische Fehler in den Verarbeitungseinheiten nur auf die erste Verarbeitungseinheit beziehungsweise auf eine der Verarbeitungseinheiten beschränkt werden. Darüber hinaus weist die zweite Verarbeitungseinheit vorzugsweise eine verkürzte Datenverarbeitungskette zum Ver ^¬ arbeiten der Satellitennavigationsdaten auf, sodass mögliche Rückschlüsse auf Fehlertypen leichter erkennbar sind. Die verkürzte Datenverarbeitungskette in der zweiten Verarbei ^¬ tungseinheit hat zudem den Vorteil, dass die Anzahl der Ket- tenglieder, die einen Fehler verursachen können, so klein wie möglich gehalten wird. Idealerweise umfasst die zweite Ver ^¬ arbeitungseinheit einen RF-Teil für GNSS incl . Filter und Mischer Und eine Korrelationseinheit oder einen Korrelator und Tracker zur Detektion der Satellitensignale.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens werden die Satellitennavigationsdaten vor oder nach Anwendung von Korrekturen, insbesondere von satellitenbedingten, signalbedingten, atomsphärischen, umgebungsbedingten Fehlern, an die Sicherheitseinheit übermittelt. Auf diese Weise kann individuell festgelegt werden, welchen Einfluss die zweite Verarbeitungseinheit auf die zu übermittelnden Satellitenna ^¬ vigationsdaten hat.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens überprüft die Sicherheitseinheit die erste

Absolutposition daraufhin, ob sie innerhalb eines Toleranzbereiches zur zweiten Absolutposition liegt.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird die auszugebende Position mit einem Flag oder einem Dateninhalt versehen, wenn die erste Absolutposition außerhalb des Toleranzbereiches liegt. Auf diese Weise wird eine Erkennbarkeit von unsicheren Positionen sichergestellt.

Die Aufgabe wird gelöst gemäß einem weiteren Aspekt der Erfindung mittels einer Vorrichtung zum Ermitteln einer Position eines Fahrzeugs, insbesondere zum Ausführen eines Verfahrens nach einem der vorstehenden Ausführungsformen, aufweisend:

eine Antenne zum Empfangen von Satellitennavigations ^¬ daten eines globalen Satellitennavigationssystems (GNSS), und

mindestens einer Verarbeitungseinheit zum Verarbeiten der empfangenen Satellitennavigationsdaten,

ferner aufweisend eine abgesicherte Sicherheitseinheit zum abgesicherten Verarbeiten von Satellitennavigati- onsdaten. Gemäß einer vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung weist die Sicherheitseinheit eine Einheit zum abgesicherten Ermitteln einer Absolutposition auf. Gemäß einer vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung weist die Sicherheitseinheit eine Vergleichseinheit zum abgesicherten Vergleichen zweier Absolutpositionen auf.

Gemäß einer vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung weist die Sicherheitseinheit eine Ausgabeeinheit zum abgesicherten Ausgeben einer Position auf.

Gemäß einer vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung weist die Vorrichtung ferner eine zweite Verar- beitungseinheit zum Verarbeiten der empfangenen Satellitennavigationsdaten auf, wobei die zweite Verarbeitungseinheit unabhängig von der ersten Verarbeitungseinheit ausgebildet ist und mit der Sicherheitseinheit gekoppelt ist. Vorzugsweise sind die erste und zweite Verarbeitungseinheit in Bezug auf ihre Soft- und/oder Hardware unterschiedlich aus ^¬ gebildet. Besonders bevorzugt ist eine Verwendung von Verar ^¬ beitungseinheiten, die von unterschiedlichen Herstellern stammen .

Besonders bevorzugt ist darüber hinaus auch eine minimale Ausstattung der zweiten Verarbeitungseinheit mit einem Hochfrequenzwandler, Analog-Digital-Wandler und einer Korrelationseinheit zum Zuordnen der Satellitennavigationsdaten zu den jeweiligen Satelliten. Auf diese Weise können zum einen Kosten für die zweite Verarbeitungseinheit gespart werden. Darüber hinaus wird die Kette möglicher Fehlerursachen so klein wie möglich gehalten. Gemäß einer vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung weist die Vorrichtung ferner jeweils eine Korrektureinheit zur Korrektur von Fehlern in den Satellitennavigationsdaten, insbesondere von satellitenbedingten, sig- nalbedingten, atmosphärischen, umgebungsbedingten Fehlern, für die erste und zweite Verarbeitungseinheit auf.

Gemäß einer vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung ist mindestens der Teil der Sicherheitseinheit, welcher die zweite Absolutposition ermöglicht, bevorzugterweise die gesamte Sicherheitseinheit als Software- und/oder hard- wareseitig abgesicherte Sicherheitseinheit ausgebildet.

Gemäß einer vorteilhaften Ausführungsform der erfindungsgemäßen Vorrichtung ist die Sicherheitseinheit als eigenständiger MikroController ausgebildet.

Gemäß einer besonders bevorzugten Ausführungsform der erfindungsgemäßen Vorrichtung ist der MikroController derart ausgebildet, um die Anforderungen nach ASIL A, B, C oder D nach ISO 26262 zu erfüllen.

Die Erfindung umfasst ferner ein Computerprogramm zum Ausführen eines Verfahrens nach einem der vorgenannten Ausführungsformen auf einer erfindungsgemäßen Vorrichtung.

Die Erfindung wird nachfolgend anhand von zwei Ausführungs ^¬ beispielen und Figuren näher beschrieben. Es zeigen: ein Blockschaltdiagramm eines erstes Ausführungs beispiels der erfindungsgemäßen Vorrichtung zum Ausführen des erfindungsgemäßen Verfahrens, und

Figur 2 ein Blockschaltdiagramm eines zweites Ausführungsbeispiels der erfindungsgemäßen Vorrichtung zum Ausführen des erfindungsgemäßen Verfahrens.

Figur 1 zeigt ein Blockschaltdiagramm des ersten Ausführungsbeispiels der erfindungsgemäßen Vorrichtung PU zum Ermitteln einer Position eines Fahrzeugs. Die Vorrichtung PU ist vorzugsweise in einem Kraftfahrzeug, insbesondere einem autonom geführten Fahrzeug, eingebaut. Das Fahrzeug ist in den Figuren nicht abgebildet. Ferner umfasst das Fahrzeug eine Antenne ANT zum Empfangen von Satellitendaten von GNSS-Satelliten SAT.

Die Vorrichtung weist eine erste Verarbeitungseinheit Rl auf, welche die Satellitendaten D ^x über die Antenne ANT empfängt. Darüber hinaus weist die Vorrichtung PU eine Sicherheitseinheit SU auf, welche mit der Verarbeitungseinheit Rl gekoppelt ist, um von der ersten Verarbeitungseinheit Rl eine Absolutposition PI zu empfangen. Darüber hinaus weist die Vorrichtung eine Kor- rektureinheit CU1 auf, welche mit der ersten Verarbeitungs ^¬ einheit Rl gekoppelt ist. Ferner weist die Vorrichtung PU eine Sensoreinheit IMU auf, welche Sensordaten SD zur Fahrzeugdynamik erfasst. Die Korrektureinheit CU1 ist optional und dann vor ^¬ teilhaft, wenn die Genauigkeit oder Verlässlichkeit der zu ermittelnden ersten Absolutposition erhöht werden soll. Die

Sensoreinheit IMU ist auch optional und dann vorteilhaft, wenn eine höhere Verfügbarkeit und Genauigkeit der Absolutpositionen beziehungsweise Absolutposition notwendig ist. Die erste Verarbeitungseinheit Rl weist mehrere Funktionsblöcke auf. Die von der Antenne ANT empfangenen Satellitendaten D ^x werden mittels eines Hochfrequenzfilters HF und eines Ana- log-Digital-Wandlers AD vorverarbeitet. Die vorverarbeiteten Daten werden dann an eine Korrelationseinheit oder einen Korrelator und Tracker CM übermittelt. Die Korrelationseinheit sorgt dafür, dass die Satellitendaten D ^x den jeweiligen Satelliten zugeordnet werden, von denen sie empfangen wurden. Die so verarbeiteten Satellitendaten D ^x können dann als Rohdaten der Satellitennavigationsdaten bzw . den Satellitennavigationsdaten RP dazu verwendet werden, um eine Absolutposition zu ermitteln. In der ersten Verarbeitungseinheit Rl ist dafür ein soft- wareseitiger oder hardwareseitiger Prozessor G_CPU vorhanden, welcher aus den Rohdaten bzw. den Satellitennavigationsdaten RP eine erste Absolutposition PI ermittelt. Diese wird dann an einen Komparator SU_C der Sicherheitseinheit SU übermittelt.

Die Sicherheitseinheit SU weist insgesamt drei Funktionsblöcke auf. Zum einen weist sie einen Softwarealgorithmusblock SU_A auf, der aus den Rohdaten der Satellitennavigationsdaten RP eine zweite Absolutposition P2 ermittelt. Ferner weist die

Sicherheitseinheit SU einen Komparator SU_C auf, dem die zweite Absolutposition P2 zur Verfügung gestellt wird.

Innerhalb des Komparators SU_C wird die erste und zweite Absolutposition miteinander verglichen und in unterschiedlicher Weise plausibilisiert . Die Bewertung der ersten Absolutposition PI auf Basis der zweiten Absolutposition P2 kann dabei in unterschiedlicher Weise erfolgen, wie hiernach weiter beschrieben .

Eine Ausgabe- und Bewertungseinheit SU_0 der Sicherheitseinheit SU ist dazu ausgebildet, die auszugebende Position P mit einem Genauigkeits- und/oder Sicherheitsmaß zu kennzeichnen.

Zum Ermitteln des Sicherheitsmaßes ist erfindungsgemäß vor ^¬ gesehen, dass die an die Sicherheitseinheit SU übermittelten Rohdaten der Satellitennavigationsdaten RP nicht mittels der Korrektureinheit CU1 bearbeitet werden. Dies hat jedoch keinen Einfluss auf die Verarbeitung der Satellitennavigationsdaten in der ersten Verarbeitungseinheit Rl . Diese werden weiterhin mittels der Korrektureinheit CU1 korrigiert, um eine möglichst genaue Absolutposition zu ermitteln. In diesem Fall kann es zwar sein, dass die zweite Absolutposition nicht die gleiche Ge ^¬ nauigkeit wie die erste Absolutposition PI aufweist. Jedoch ist sichergestellt, dass die zweite Absolutposition plausibel ist. Somit kann auch eine Plausibilität der ersten Absolutposition PI ermittelt werden, wenn sie innerhalb eines größeren Tole- ranzbereiches zur zweiten Absolutposition liegt. Auf diese Weise kann die erste Absolutposition PI mit zwei unterschiedlichen Gütemaßen, nämlich dem Genauigkeitsmaß und dem Sicherheitsmaß, gekennzeichnet werden. Idealerweise differenziert man dabei die Positionsausgabe zwischen hochgenau und sicherheitsrelevant. So kann die hochgenaue Position ausgegeben werden, inkl. der hohen Genauigkeit während man für Sicherheitsanwendungen der „Hoch- genauen" Position einen ASIL mit zugehörigem dynamischen Safety Limit. das sich unter anderem dem aus der entsprechender GNSS Genauigkeit und dem ASIL Vergleich ergibt. Somit kann bspw. eine auf Genauigkeit optimierte Positionsinformation mit einer Genauigkeit von z.B. 10 cm ausgeben werden, und einen abgesicherte Information mit einem ASIL (Automotive Safety Integrity Level) auf das dynamische Safety Limit, von z.B. 7 m, ausgegeben werden. Folgeanwendungen können dann basierend auf beiden Werten optimal arbeiten und eine präzise Regelung verbunden mit ab- gesicherten Funktionen darstellen. Es kann dabei offenbleiben, in welchem Datenformat diese Gütemaße, d. h. Genauigkeitsmaß und Sicherheitsmaß, ausgegeben werden.

Die Positionsermittlungseinheit SO_A der Sicherheitseinheit SU ist darüber hinaus ausgebildet, dass sie die Satellitennavi ^¬ gationsdaten RP direkt plausibilisieren kann. Die Rohdaten der Satellitennavigationsdaten RP werden hierzu relativ zueinander abgeglichen. Ist sichergestellt, dass die Rohdaten der Sa ^¬ tellitennavigationsdaten RP plausibel sind, kann im Anschluss eine abgesicherte zweite Absolutposition P2 ermittelt werden. Bei der Überprüfung der Rohdaten der Satellitennavigationsdaten RP kann bewusst auf die Berücksichtigung von Fahrdynamiksen- sordaten der Sensoreinheit IMU verzichtet werden. Die Über ^¬ prüfung der Rohdaten der Satellitennavigationsdaten RP kann beispielsweise umfassen die Überprüfung von Positionsänderungen und davon abgeleiteten Größen, Distanzänderungen zum Satelliten, Relativgeschwindigkeiten und resultierende Rangerates zum Satelliten, Vergleich der Rohsignale untereinander und Ausnutzung von Signalkorrelationen. Auf diese Weise kann die Sicherheitseinheit SU dafür verwendet werden, um die Verar ^¬ beitungseinheit beziehungsweise den GNSS-Empfängern Rl zu überwachen und dennoch eine abgesicherte Absolutposition zu generieren . Vorzugsweise kann die erfindungsgemäße Vorrichtung PU derart ausgebildet sein, dass die Verarbeitungseinheit Rl der

Sicherheitseinheit SU Satellitennavigationsdaten RP zur Verfügung stellt, die von anderen Satellitennavigationstypen stammen als diejenigen, die von der ersten Verarbeitungseinheit Rl verwendet werden. Die Unabhängigkeit der Positionsbestimmung im GNSS-Empfänger Rl und der Sicherheitseinheit SU wird auf diese Weise weiter erhöht und die Wahrscheinlichkeit von Com- mon-Cause-Fehlern weiter reduziert.

Durch das beschriebene Verfahren kann mit relativ geringem Aufwand eine Redundanz in der Berechnung der Absolutposition erreicht werden, die die verfügbaren Verarbeitungseinheiten, GNSS-Empfänger oder einem GNSS-Chip mit ihren Eigenschaften ideal ausnutzt. Mit einem GNSS Chip, insbesondere einenm Chip der neben den Branchenüblichen Qualitätsmaßnahmen keine weitere Absicherung bereitstellt, und einem ASIL Chip für die

Sicherheitseinheit SU, insbesondere einem nach ISO 26262 entwickeltem Chip, kann durch entsprechende Überwachung eine ASIL Position P bereitgestellt werden. Damit kann auf seltenen und teure ASIL GNSS Chips, die jeweils Einzelsysteme und Entwicklungen in kleinen Stückzahlen (< 1000 p.a.) und damit nicht für den Massenmarkt (> 1000000 p.a) tauglich sind, verzichtet werden. Auch für die Massenmarkt GNSS Lieferanten entfällt und damit die teure und aufwendige Entwicklung einer Sonderhardware mit ASIL Funktionalität für den Automobilmarkt, da deren Fokus häufig auf Qualitätsanforderungen für Smartphones und andere Massenware ohne Sicherheitsfunktion liegt.

In Figur 2 ist ein zweites Ausführungsbeispiel der erfin ^¬ dungsgemäßen Vorrichtung abgebildet. Das zweite Ausführungs ^¬ beispiel unterscheidet sich vom ersten Ausführungsbeispiel dadurch, dass es eine zweite Verarbeitungseinheit R2 aufweist, welche jedoch unterschiedlich zur ersten Verarbeitungseinheit Rl ausgebildet ist. Die zweite Verarbeitungseinheit R2 weist lediglich in diesem Ausführungsbeispiel einen Hochfrequenzfilter HF, einen Analog-Digital-Wandler AD und eine Korrelationseinheit CM auf. In der zweiten Verarbeitungseinheit werden daraufhin nur Rohdaten der Satellitennavigationsdaten RP2 unabhängig von der ersten Verarbeitungseinheit Rl generiert. Diese werden dann der Sicherheitseinheit SU zur Verfügung gestellt, sodass in der Positionsermittlungseinheit SU_A der Sicherheitseinheit SU die zweite Absolutposition P2 ermittelt werden kann.

Die Position P kann nun im Fahrzeug weiter verwendet werden. Je nach Anwendungsfall sind mehrere Ausgaben durch die Ausgabe- und Bewertungseinheit SU_0 denkbar. Die auszugebende Position P kann der ersten Absolutposition entsprechen. Alternativ kann die auszugebenden Position P auch der zweiten Absolutposition entsprechen. Weiterhin alternativ kann die auszugebende Position P kann aus der ersten und zweiten Absolutposition ermittelt werden. Darüber hinaus alternativ können auch die erste und zweite Absolutposition ausgegebenen werden. Sollte eine Plausibilisierung der Absolutposition über den Vergleich nicht möglich sein, wird dies im Fahrzeug über ein Flag mitgeteilt.

Der Vorteil des zweiten Ausführungsbeispiels liegt unter anderem darin, dass durch die unterschiedliche Ausgestaltung der Verarbeitungseinheiten unterschiedliche Fehlerquellen sicher erkannt werden können. Da die empfangenen Satellitennaviga- tionsdaten D ^x auf zwei unterschiedlichen Kanälen verarbeitet und anschließend zum einen in der ersten Verarbeitungseinheit Rl und in der Sicherheitseinheit zu Absolutpositionen PI, P2 verarbeitet werden, ist es möglich einzelne Fehlerarten, die in den Verarbeitungseinheiten Rl, R2 auftreten können, miteinander zu vergleichen und zu erkennen. Auf diese Weise wird sichergestellt, dass die Fehler in der erfindungsgemäßen Vorrichtung erkannt und entsprechend markiert werden können.

Beiden Ausführungsbeispielen liegt der Grundgedanke zu Grunde, dass die Sicherheitseinheit eine abgesicherte Einheit bildet, die zu jedem Zeitpunkt fehlerfrei funktioniert. Dabei müssen Berechnungen, Vergleich und Auslegung von Hardware und Software gemäß der erforderlichen Sicherheitsintegrität, z. B. gemäß einer ASIL Stufe , erfolgen. Dafür wird vorzugsweise ein MikroController verwendet, der gemäß einer der Sicherheitsstufen ASIL A-D nach ISO 26262 ausgebildet ist. Die erste und zweite Verarbeitungseinheit Rl und R2 müssen dann nicht mehr als teure Komponenten ausgebildet werden, welche ebenfalls die hohen Sicherheitsstufen erfüllen. Die Kosten zur Herstellung einer erfindungsgemäßen Vorrichtung können auf diese Weise effektiv verringert werden, ohne gleichzeitig die Sicherheit bei der Ermittlung der Absolutpositionen zu reduzieren.

Je nach Anforderung an die Güte und Verfügbarkeit des Signals kann auf die Korrekturservices und/oder Inertialsensorik auch verzichtet werden. Diesbezüglich können die GNSS Receiver auch mit einer oder mehreren Konstellation arbeiten (GPS, Galileo, Glonass, ...) Diese müssen für die Positionsberechnung nicht gleich sein. Verschiedene Konstellationen wären bezüglich der Sicherheitsintegrität ein vorteilhaftes Argument. Auch die Arbeit mit verschiedenen GNSS Frequenzen ist möglich und kann zusätzlich eine Sicherheitsargumentation unterstützen.

Zusätzlich können aus den absoluten Positionsdaten auch die absoluten Geschwindigkeiten und Beschleunigungen mit Sicherheitsintegrität berechnet werden.