Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD AND DEVICE FOR MUTUAL MONITORING AND/OR CONTROL OF AUTONOMOUS TECHNICAL SYSTEMS
Document Type and Number:
WIPO Patent Application WO/2019/243052
Kind Code:
A1
Abstract:
The invention relates to a method and to a device for the mutual monitoring and/or control of a multiplicity of autonomous technical systems which are at least partially interconnected to one another via a communication network (NW) At least one of the autonomous technical systems is embodied as a monitoring autonomous technical system (ASobs1) and monitors the operating behaviour of other autonomous technical systems. On the basis of a specified first rule, the monitoring autonomous technical system (ASobs1) detects an operating behaviour, which is contrary to the rule, of a first autonomous technical system (AS1) and generates a status message about the operating behaviour which is contrary to the rule therefrom. The status message is transmitted by the monitoring autonomous technical system (ASobs1) to some of the other autonomous technical systems, is received thereby and evaluated jointly. Depending on the evaluation, a control rule is derived for the first autonomous technical system (AS1) and communicated to a control module (CTLM) which is assigned to the first autonomous technical system (AS1). The operating behaviour of the first autonomous technical system (AS1) is controlled on the basis of the control rule.

Inventors:
DIETRICH VINCENT (DE)
MEISTER PHILINE (DE)
FIEGERT MICHAEL (DE)
LIU ZIYUAN (DE)
MESANOVIC AMER (DE)
MEYER-DELIUS DI VASTO DANIEL (DE)
SZABO ANDREI (DE)
WURM KAI (DE)
Application Number:
PCT/EP2019/064647
Publication Date:
December 26, 2019
Filing Date:
June 05, 2019
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS MOBILITY GMBH (DE)
International Classes:
G08G1/01; B25J9/16; B60W30/00; B60W50/04; G05B9/02; G05B19/00; G05B19/418; G05D1/02; G06F11/00; G07C5/00; G08B1/00; G08B27/00; G08G1/00; G08G1/017; G08G1/0965; G08G1/0967; H04L29/08; H04W84/00
Domestic Patent References:
WO2018035145A12018-02-22
WO2017035516A12017-03-02
Foreign References:
DE102016007588A12017-02-16
US20170227972A12017-08-10
Download PDF:
Claims:
Patentansprüche

1. Verfahren zur gegenseitigen Überwachung und/oder Kontrolle einer Vielzahl autonomer technischer Systeme, die zumindest teilweise untereinander über ein Kommunikationsnetzwerk (NW) vernetzt sind, wobei:

- mindestens eines der autonomen technischen Systeme (AS1, AS2, AS3,...) als ein überwachendes autonomes technisches Sys¬ tem (ASobsl) ausgebildet ist und das Betriebsverhalten ande¬ rer autonomer technischer Systeme überwacht (Sl),

- vom überwachenden autonomen technischen System (ASobsl) an hand einer vorgegebenen ersten Regel ein regelwidriges Be triebsverhalten eines ersten autonomen technischen Systems (AS1) detektiert und daraus eine Statusmeldung über das re¬ gelwidrige Betriebsverhalten des ersten autonomen technischen Systems (AS1) generiert wird (S2),

- die Statusmeldung vom überwachenden autonomen technischen System (ASobsl) an einen Teil der anderen autonomen techni schen Systeme übertragen wird (S3) ,

- die Statusmeldung von dem Teil der anderen autonomen tech nischen Systeme empfangen und von diesen gemeinsam bewertet wird und, abhängig von der Bewertung, eine Kontrollvorschrift für das erste autonome technische System (AS1) abgeleitet wird ( S4 ) ,

und

- die Kontrollvorschrift einem Kontrollmodul (CTLM) , das dem ersten autonomen technischen System (AS1) zugeordnet ist, übermittelt wird und das Betriebsverhalten des ersten autono¬ men technischen Systems (AS1) anhand der Kontrollvorschrift vom Kontrollmodul (CTLM) gesteuert wird (S5) .

2. Verfahren nach Anspruch 1, wobei ein überwachendes autono mes technisches System (ASobsl) mindestens einen Sensor (S) umfasst, der Sensor (S) Sensordaten erfasst und anhand der Sensordaten ein regelwidriges Betriebsverhalten eines der an deren autonomen technischen Systeme (AS1, AS2, AS3,...) detek¬ tiert wird.

3. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Übertragen der Statusmeldung und/oder die gemeinsame Be wertung der Statusmeldung und/oder die Übermittlung der Kont- rollvorschrift mittels einer verschlüsselten Datenübertragung über das Kommunikationsnetzwerk (NW) und/oder nach gegensei tiger Identifizierung der autonomen technischen Systeme un tereinander erfolgt.

4. Verfahren nach einem der vorhergehenden Ansprüche, wobei mehrere autonome technische Systeme als überwachende autonome technische Systeme (ASobsl, ASobs2, ASobs3, ...) ausgebildet sind und jedes dieser überwachenden autonomen Systeme eine Statusmeldung an andere autonome technische Systeme (AS1,

AS2, AS3,...) überträgt und eine gemeinsame Bewertung der Sta¬ tusmeldungen erfolgt.

5. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Überwachung und/oder die Bewertung einer Statusmeldung und/oder das Steuern anhand einer Kontrollvorschrift mindes¬ tens eines autonomen technischen Systems fortlaufend und/oder zu vorgegebenen Zeitpunkten durchgeführt werden.

6. Verfahren nach einem der vorhergehenden Ansprüche, wobei jedem autonomen technischen System, das eine Statusmeldung bewertet, eine Gewichtung zugeordnet wird und damit die ge¬ meinsame Bewertung einer Statusmeldung aus gewichteten Bewer tungen bestimmt wird.

7. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Gewichtung abhängig von einer Überwachungsgüte und/oder von einem Rang eines autonomen technischen Systems dynamisch angepasst wird.

8. Verfahren nach einem der vorhergehenden Ansprüche, wobei von einem überwachenden autonomen technischen System (ASobsl) eine computergestützte Simulation eines Betriebsverhaltens eines anderen autonomen technischen Systems (AS1, AS2, AS3,

...) , basierend auf Sensordaten des überwachenden autonomen technischen Systems (ASobsl) und/oder auf Sensordaten anderer überwachender autonomer technischer Systeme (ASobs2, ASobs3, ASobs4, ...) , durchgeführt wird und anhand der Simulation eine Vorhersage über ein zukünftiges Betriebsverhalten abgeleitet und als Statusmeldung an mindestens einen Teil der autonomen technischen Systeme übertragen wird.

9. Verfahren nach Anspruch 8, wobei anhand der computerge stützten Simulation und einer vorgegebenen zweiten Regel ein zukünftiges, regelwidriges Betriebsverhalten detektiert wird, daraus eine Statusmeldung generiert wird und diese Statusmel dung an mindestens einen Teil der autonomen technischen Sys teme übertragen wird.

10. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein nicht-autonomes technisches System (NAS) , das mit dem Kommunikationsnetzwerk verbunden ist,

- von mindestens einem überwachenden autonomen technischen System (ASobsl) das Betriebsverhalten des nicht-autonomen technischen Systems überwacht und anhand einer vorgegebenen dritten Regel ein regelwidriges Betriebsverhalten des nicht autonomen technischen Systems (NAS) detektiert wird,

- eine Statusmeldung von mindestens einem Teil der anderen autonomen technischen Systeme bewertet und daraus eine Kont- rollvorschrift für das nicht-autonome technische System abge leitet wird

und

- das Betriebsverhalten des nicht-autonomen technischen Sys tems mittels einer Kontrollvorschrift von einem, dem nicht autonomen technischen System zugeordneten, Kontrollmodul kon trolliert wird.

11. Vorrichtung zur gegenseitigen Überwachung und Kontrolle einer Vielzahl autonomer technischer Systeme, welche zumin dest teilweise untereinander über ein Kommunikationsnetzwerk vernetzt sind,

die derart eingerichtet ist, die Schritte eines Verfahrens nach einem der Ansprüche 1 bis 10 durchzuführen, umfassend mindestens ein Überwachungsmodul (OM) eines autonomen, tech nischen Systems und mindestens ein Kontrollmodul (CTLM) , das einem anderen autonomen technischen System zugeordnet ist.

12. Vorrichtung nach Anspruch 11, wobei mindestens ein Teil der autonomen technischen Systeme (AS1, AS2, AS3, ...) als überwachende autonome technische Systeme (ASobsl, ASobs2, ASobs3) , umfassend jeweils ein Überwachungsmodul (OMI, OM2, OM3, ...) und mindestens einen Sensor (S) , ausgestaltet sind und mindestens ein Teil der autonomen technischen Systeme (AS 1 , AS2 , AS3 , ...) jeweils ein Kontrollmodul (CTLM1 , CTLM2 , CTLM3, ...) umfassen, wobei mindestens ein Teil der Überwa- chungsmodule (OMI, OM2, OM3, ...) und mindestens ein Teil der Kontrollmodule (CTLM1, CTLM2, CTLM3, ...) über das Kommunikati onsnetzwerk untereinander verbunden sind.

13. Vorrichtung (100) nach Anspruch 11 oder 12, wobei ein Kontrollmodul (CTLM) eine erste Kommunikationsschnittstelle (IF1) zum Kommunikationsnetzwerk (NW) zum Empfangen und Ent schlüsseln einer verschlüsselten Datenübertragung umfasst.

14. Vorrichtung (100) nach Anspruch 11 oder 12, wobei ein Überwachungsmodul (OM) eine Bewertungseinheit (AM) zum Bewer ten einer von der Bewertungseinheit (AM) generierten und/oder empfangenen Statusmeldung umfasst.

15. Vorrichtung (100) nach Anspruch 14, wobei ein Überwa chungsmodul eine zweite Kommunikationsschnittstelle (IF2) zum Kommunikationsnetzwerk (NW) zum verschlüsselten Übertragen von Daten und Entschlüsseln von verschlüsselten Daten um fasst .

16. Vorrichtung (100) nach Anspruch 14 oder 15, wobei ein Überwachungsmodul (OM) eine Simulationseinheit (SIM) zum Si mulieren eines Betriebsverhaltens eines anderen autonomen technischen Systems, basierend auf Sensordaten des überwa chenden autonomen technischen Systems (ASobsl) und/oder auf Sensordaten anderer überwachender autonomer technischer Sys teme (ASobs2, ASobs3, ASobs4,...) umfasst.

17. Computerprogrammprodukt, das direkt in einen programmier- baren Computer ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte des Verfahrens nach einem der Ansprüche 1 bis 10 durchzuführen.

Description:
Beschreibung

Verfahren und Vorrichtung zur gegenseitigen Überwachung und/oder Kontrolle autonomer technischer Systeme

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur gegenseitigen Überwachung und/oder Kontrolle einer Vielzahl autonomer technischer Systeme, die zumindest teilweise unter einander über ein Kommunikationsnetzwerk vernetzt sind.

Unter autonomen technischen Systemen können beispielsweise autonome Fahrzeuge, Geräte oder Roboter verstanden werden, welche sich beispielsweise autonom bewegen oder selbsttätig agieren können. Autonome technische Systeme können zunehmend in verschiedenen Domänen eingesetzt werden. Systemfehler, wie z.B. Software- oder Hardwarefehler oder Fehlfunktionen durch Manipulation können dabei schwerwiegende Konsequenzen für die Sicherheit der autonomen technischen Systeme selbst und/oder Menschen und technische Systeme in ihrer Umgebung haben. Es ist bekannt, Sicherheitsmechanismen an einem autonomen Gerät oder in einem autonomen Fahrzeug zu implementieren. Als Bei spiele sind hier physische Sicherheitsmaßnahmen, wie z.B. Trennung einer Funkverbindung zu einer Steuerung, digitale Sicherheitsmaßnahmen, wie z.B. Authentifizierung bei Funkti onszugriff, intrinsisches Erkennen eines Fehlers, separate Sicherheitskreise oder Überwachungssysteme, wie z.B. durch externe Sensoren, zu nennen. Es kann allerdings häufig keine vollständige Kontrolle gewährleistet werden, insbesondere, wenn lediglich ein Sicherheitsmechanismus für ein autonomes technisches System vorhanden ist, welcher selbst fehlerhaft sein könnte oder leicht manipulierbar ist.

Es ist eine Aufgabe der Erfindung, eine Möglichkeit zu schaf fen, die Sicherheit eines autonomen technischen Systems und/oder einer Vielzahl autonomer technischer Systeme zu ver bessern . Die Aufgabe wird gelöst durch eine Verfahren mit den Merkma len des Patentanspruchs 1, durch eine Vorrichtung gemäß Pa tentanspruch 11 und einem Computerprogrammprodukt gemäß Pa tentanspruch 17. Vorteilhafte Ausführungsformen und Weiter bildungen der Erfindung sind in den abhängigen Ansprüchen an gegeben .

Ein erster Aspekt der Erfindung betrifft ein Verfahren zur gegenseitigen Überwachung und/oder Kontrolle einer Vielzahl autonomer technischer Systeme, die zumindest teilweise unter einander über ein Kommunikationsnetzwerk vernetzt sind, wo bei :

- mindestens eines der autonomen technischen Systeme als ein überwachendes autonomes technisches System ausgebildet ist und das Betriebsverhalten anderer autonomer technischer Sys teme überwacht,

- vom überwachenden autonomen technischen System anhand einer vorgegebenen ersten Regel ein regelwidriges Betriebsverhalten eines ersten autonomen technischen Systems detektiert und da raus eine Statusmeldung über das regelwidrige Betriebsverhal ten des ersten autonomen technischen Systems generiert wird,

- die Statusmeldung vom überwachenden autonomen technischen System an einen Teil der anderen autonomen technischen Syste me übertragen wird,

- die Statusmeldung von dem Teil der anderen autonomen tech nischen Systeme empfangen und von diesen gemeinsam bewertet wird und, abhängig von der Bewertung, eine Kontrollvorschrift für das erste autonome technische System abgeleitet wird, und

- die Kontrollvorschrift einem Kontrollmodul , das dem ersten autonomen technischen System zugeordnet ist, übermittelt wird und das Betriebsverhalten des ersten autonomen technischen Systems anhand der Kontrollvorschrift vom Kontrollmodul ge steuert wird.

Ein Vorteil der Erfindung ist beispielsweise, dass sich, ins besondere verschiedene, autonome technische Systeme unterei nander überwachen können und bei einem regelwidrigen Verhal- ten eines der autonomen technischen Systeme dieses kontrol liert werden kann. Durch eine gemeinsame Bewertung des Be triebsverhaltens kann erreicht werden, dass ein autonomes technisches System bei einem regelwidrigen Betriebsverhalten in einen sicheren Zustand versetzt werden kann. Insbesondere kann eine Kontrolle eines autonomen technischen Systems von extern und lediglich nach gemeinsamer Prüfung und Bewertung einer Statusmeldung über das regelwidrige Betriebsverhalten durch andere autonome technische Systeme erfolgen.

Eine Bewertung kann vorzugsweise anhand ermittelter oder emp fangener Daten, wie z.B. einer Zustandsinformation oder einem Messergebnis, erfolgen. Die Bewertung kann insbesondere ab hängig von einer vorgegebenen ersten Regel, wie z.B. einem Tempolimit, sein. Ein autonomes technisches System kann bei spielsweise anhand der ersten Regel und der empfangenen Sta tusmeldung bewerten bzw. abstimmen, ob ein regelwidriges Be triebsverhalten, das abhängig von der ersten Regel von einem überwachenden autonomen technischen System detektiert wurde, kontrolliert werden soll.

Die Vielzahl autonomer technischer Systeme ist über ein Kom munikationsnetzwerk vernetzt. Die Kommunikation untereinander kann beispielsweise über ein bestehendes Daten- und/oder Kom munikationsnetzwerk erfolgen. Die autonomen technischen Sys teme können auch untereinander ein adhoc-

Kommunikationsnetzwerk aufbauen. Es kann insbesondere eine gemeinsame Bewertung von beteiligten autonomen technischen Systemen über das Kommunikationsnetzwerk gebildet werden. Beispielsweise kann, sobald die gemeinsame Bewertung einen Wert angibt, der z.B. einen vorgegebenen Wert überschreitet, eine Kontrollvorschrift zum Steuern eines sich regelwidrig verhaltenden technischen Systems ermittelt und an dessen Kontrollmodul übermittelt werden. Insbesondere kann die ge meinsame Bewertung und/oder Abstimmung als ein dezentrales Verfahren ausgestaltet sein. Ein dezentrales Verfahren ist außerdem vorteilhaft, da es flexibel an die am Bewertungsver- fahren teilnehmenden technischen Systeme angepasst werden kann .

Zum Beispiel kann ein autonomes Fahrzeug bei einer Über schreitung eines Tempolimits nach gemeinsamer Bewertung der Statusmeldung des regelwidrigen Betriebsverhaltens durch min destens einen Teil der anderen autonomen technischen Systeme gestoppt werden. Dazu kann eine Statusmeldung über das regel widrige Betriebsverhalten des autonomen Fahrzeugs über das Kommunikationsnetzwerk mit anderen autonomen technischen Sys temen geteilt werden und von diesen bewertet werden. Das er findungsgemäße Verfahren kann insbesondere ermöglichen, eines der autonomen technischen Systeme in einen sicheren Zustand zu versetzen, nachdem durch mindestens ein anderes autonomes technisches System eine regelwidrige Betriebsweise erkannt und durch mindestens ein anderes autonomes technisches System die Statusmeldung über das regelwidrige Betriebsverhalten be wertet wurde.

Die Vielzahl autonomer technischer Systeme kann sich insbe sondere gegenseitig überwachen, untereinander Betriebsverhal tensweisen beurteilen und auf dieser Basis gemeinsam eine Kontrolle veranlassen, wenn eines der autonomen technischen Systeme sich regelwidrig verhält. Es kann außerdem beispiels weise nur ein Teil der autonomen technischen Systeme mit ei nem Kontrollmodul ausgestattet sein bzw. diesen jeweils ein Kontrollmodul zugeordnet sein. Es ist auch denkbar, dass ein Kontrollmodul extern angeordnet und mindestens einem autono men technischen System zugeordnet ist, wie z.B. ausfahrbare Poller .

Vorzugsweise kann ein Kontrollmechanismus gemäß der Erfindung zusätzlich zu bereits vorhandenen Sicherheitssystemen imple mentiert werden. Vorzugsweise kann ein Kontrollmodul in einem autonomen technischen System integriert und derart eingerich tet sein, dass eine von extern übermittelte Kontrollvor- schrift direkt umgesetzt werden kann und/oder geltende Steue rungsbefehle überschrieben, abgeändert oder außer Kraft ge- setzt werden können. Eine Kontrollvorschrift kann beispiels weise einen Befehl zum Abschalten und/oder Einschränken einer Funktion umfassen. Insbesondere kann das Kontrollmodul ledig lich eine Kontrollvorschrift nach vorgegebenen Regeln umset- zen, wie z.B. lediglich eine Reduzierung aber keine Erhöhung einer Geschwindigkeit.

Ein weiterer Vorteil der Erfindung kann zum Beispiel in der kontrollierten Überwachung und Kontrolle gesehen werden, da durch die gemeinsame Bewertung einer Statusmeldung beispiels weise Falschmeldungen über ein Betriebsverhalten erkannt wer den können. Damit kann beispielsweise auch verhindert werden, dass das überwachende autonome technische System die Steue rung des sich regelwidrig verhaltenden autonomen technischen Systems alleine durchsetzen kann, z.B. wenn dieses überwa chende autonome technische System selbst fehlerhaft ist oder manipuliert wurde.

In einer vorteilhaften Ausführungsform des Verfahrens kann ein überwachendes autonomes technisches System mindestens ei nen Sensor umfassen, der Sensor kann Sensordaten erfassen, und anhand der Sensordaten kann ein regelwidriges Betriebs verhalten eines der anderen autonomen technischen Systeme de- tektiert werden.

Ein Sensor kann beispielsweise eine Kamera in verschiedenen spektralen Wellenlängenbereichen, ein Temperaturfühler, ein Geschwindigkeits- oder Beschleunigungsmessgerät, ein Ab standsmessgerät, ein Laserscanner, ein Radar- oder Ultra schallsensor, oder ein Mikrofon sein. Vorzugsweise umfasst ein überwachendes autonomes technisches System Sensoren mit unterschiedlichen Ortsauflösungen und an verschiedenen Posi tionen, so dass z.B. bei einer Bewegung des überwachenden au tonomen Systems das Betriebsverhalten eines anderen autonomen Systems ununterbrochen überwacht werden kann.

In einer weiteren vorteilhaften Ausführungsform des Verfah rens kann das Übertragen der Statusmeldung und/oder die ge- meinsame Bewertung der Statusmeldung und/oder die Übermitt lung der Kontrollvorschrift mittels einer verschlüsselten Da tenübertragung über das Kommunikationsnetzwerk und/oder nach gegenseitiger Identifizierung der autonomen technischen Sys teme untereinander erfolgen.

Insbesondere kann das Übertragen einer Statusmeldung an min destens einen Teil der anderen autonomen technischen Systeme und/oder die gemeinsame Bewertung der Statusmeldung über eine sichere Datenverbindung und/oder nach einer gegenseitigen Identifizierung der Kommunikationspartner erfolgen. Bei spielsweise kann eine Statusmeldung kryptografisch geschützt übermittelt werden. Ebenso kann eine Kontrollvorschrift vor zugsweise kryptografisch verschlüsselt über das Kommunikati onsnetzwerk an ein Kontrollmodul übermittelt und erst dort entschlüsselt werden. Eine kryptografisch verschlüsselte Da tenübertragung kann insbesondere Manipulationen verhindern. Für eine sichere Kommunikation können die teilnehmenden auto nomen technischen Systeme insbesondere sich gegenseitig iden tifizieren und gegebenenfalls authentifizieren.

In einer weiteren vorteilhaften Ausführungsform des Verfah rens können mehrere autonome technische Systeme als überwa chende autonome technische Systeme ausgebildet sein und es kann jedes dieser überwachenden autonomen Systeme eine Sta tusmeldung an andere autonomen technische Systeme übertragen und eine gemeinsame Bewertung der Statusmeldung erfolgen.

Insbesondere kann die Überwachung und/oder Bewertung ledig lich von einem Teil der autonomen technischen Systeme ausge führt werden. Die autonomen technischen Systeme können sich insbesondere gegenseitig überwachen und kontrollieren. Ein Teil der überwachenden Systeme kann auch ein Kontrollmodul umfassen. Jedes der überwachenden autonomen technischen Sys teme kann insbesondere eine eigene Statusmeldung generieren und diese über das Kommunikationsnetzwerk mit den anderen au tonomen technischen Systemen teilen. Um eine Kontrollvor- schrift für ein sich regelwidrig verhaltendes System ableiten zu können, kann eine Bewertung aller über das Kommunikations netzwerk untereinander geteilten Statusmeldungen zu dessen Betriebsverhalten gemeinsam evaluiert werden. Es kann bei spielsweise eine Mehrheitsentscheidung der Statusmeldungen erfolgen .

In einer weiteren vorteilhaften Ausführungsform des Verfah rens kann die Überwachung und/oder die Bewertung einer Sta tusmeldung und/oder das Steuern anhand einer Kontrollvor- schrift mindestens eines autonomen technischen Systems fort laufend und/oder zu vorgegebenen Zeitpunkten durchgeführt werden .

Es kann vorteilhaft sein, dass beispielsweise die Überwachung durch mindestens ein überwachendes autonomes technisches Sys tem fortlaufend und/oder zu vorgegebenen Zeitpunkten durchge führt wird. Beispielsweise kann eine Überwachung eines der autonomen technischen Systeme durch abwechselnde Beobachtung dessen Betriebsverhaltens durch mehrere, sich abwechselnde, andere autonome technische Systeme erfolgen. Somit kann bei spielsweise eine lückenlose und/oder zu vorgegebenen Zeit punkten erforderliche Überprüfung eines Betriebsstatus und/oder Betriebsverhaltens eines autonomen technischen Sys tems erreicht werden. Sobald ein regelwidriges Betriebsver halten detektiert wird, kann eine Statusmeldung darüber gene riert und gemeinsam bewertet werden. Insbesondere kann ein durchgehendes Überwachen durch verschiedene autonome techni sche Systeme die Bewertung einer Statusmeldung erleichtern, wenn für die Bewertung eine Vielzahl an Daten von Sensoren zur Verfügung steht.

In einer weiteren vorteilhaften Ausführungsform des Verfah rens kann jedem autonomen technischen System, dass eine Sta tusmeldung bewertet, eine Gewichtung zugeordnet werden und damit die gemeinsame Bewertung einer Statusmeldung aus ge wichteten Bewertungen bestimmt werden. Eine einzelne Gewichtung kann insbesondere einen Anteil an einer Mehrheitsentscheidung über eine oder mehrere Statusmel dungen angeben. Beispielsweise kann ein autonomes technisches System eine vorgegebene Gewichtung haben, z.B. eine Wertzahl, die von einer offiziellen Stelle vorgegeben werden kann. Es kann eine Gewichtung auch anhand einer Anzahl, Qualität und/oder Position von Sensoren eines überwachenden autonomen technischen Systems bestimmt werden. Beispielsweise kann eine Statusmeldung über ein regelwidriges Betriebsverhalten von einem autonomen technischen System, das aufgrund einer Viel zahl von Sensoren eine höhere Gewichtung hat, überprüft wer den .

In einer weiteren vorteilhaften Ausführungsform des Verfah rens kann die Gewichtung abhängig von einer Überwachungsgüte und/oder von einem Rang eines autonomen technischen Systems dynamisch angepasst werden.

Vorzugsweise kann autonomen technischen Systemen eine gleiche Gewichtung zugeordnet sein, wobei z.B. nach einer Zustandsän derung, wie z.B. durch Bewegung, für eines dieser Systeme die Gewichtung dynamisch angepasst werden kann. Beispielsweise kann eine Überwachungsgüte von der Positionierung, vom Blick winkel oder vom Blickfeld der jeweiligen Sensoren abhängig sein, wobei sich die Überwachungsgüte mit einer Bewegung des Systems ändern kann. Die Gewichtung kann vom Rang, wie z.B. von einem Status, einer Klasse, einer Funktion, einer Hier archiestufe oder einer vorgegebenen Bedeutung des technischen Systems abhängig sein. Eine dynamische Anpassung der Gewich tung kann beispielsweise eine Bewertung vertrauenswürdiger gestalten. Vorzugsweise kann die dynamische Anpassung der Ge wichtung von einem autonomen technischen System selbst durch geführt werden.

In einer weiteren vorteilhaften Ausführungsform des Verfah rens kann von einem überwachenden autonomen technischen Sys tem eine computergestützte Simulation eines Betriebsverhal tens eines anderen autonomen technischen Systems, basierend auf Sensordaten des überwachenden autonomen technischen Sys tems und/oder auf Sensordaten anderer überwachende autonomer technischer Systeme, durchgeführt werden und anhand der Simu lation kann eine Vorhersage über ein zukünftiges Betriebsver halten abgeleitet und als Statusmeldung an mindestens einen Teil der autonomen technischen Systeme übertragen werden.

Anhand der Sensordaten und mittels einer computergestützten Simulation kann eine Vorhersage über ein Betriebsverhalten eines überwachten autonomen technischen Systems generiert werden. Dazu kann beispielsweise ein Simulationsmodell der Umgebung des überwachenden autonomen technischen Systems be reitgestellt werden. Mittels aktueller Sensordaten der Umge bung und eines Simulationsmodells des überwachten autonomen Systems kann eine Betriebsweise und/oder Situation simuliert werden. Dies erleichtert vorzugsweise eine Überwachung des Betriebsverhaltens. Beispielsweise kann anhand von Geschwin- digkeits- und Beschleunigungsdaten eine Fahrweise und Rich tung eines autonomen technischen Systems extrapoliert werden.

In einer weiteren vorteilhaften Ausführungsform des Verfah rens kann anhand der computergestützten Simulation und einer vorgegebenen zweiten Regel ein zukünftiges, regelwidriges Be triebsverhalten detektiert werden, daraus kann eine Status meldung generiert werden und es kann diese Statusmeldung an mindestens einen Teil der autonomen technischen Systeme über tragen werden.

Insbesondere kann aus einer computergestützten Simulation, eine Vorhersage eines Betriebsverhaltens generiert und da raus, bei der Vorhersage eines regelwidrigen zukünftigen Be triebsverhaltens, eine Warnung als Statusmeldung ausgegeben werden. Das regelwidrige Betriebsverhalten kann anhand einer zweiten Regel, die insbesondere gleich der ersten Regel aus gebildet sein kann, ermittelt werden. Es kann nach der ge meinsamen Bewertung der Statusmeldung eine Kontrollvorschrift abgeleitet werden, die z.B. eine frühzeitige Abschaltung be wirkt, um einen Unfall zu vermeiden. Zur Simulation kann dazu beispielsweise eine Wahrscheinlichkeitsangabe zu einer Vor hersage generiert und ausgegeben werden. Des Weiteren kann beispielsweise mittels einer Simulation eine alternative Be triebsweise ermittelt und davon abhängig eine Statusmeldung generiert werden.

In einer weiteren vorteilhaften Ausführungsform des Verfah rens kann ein nicht-autonomes technisches System, das mit dem Kommunikationsnetzwerk verbunden ist,

- von mindestens einem überwachenden autonomen technischen System das Betriebsverhalten des nicht-autonomen technischen Systems überwacht und anhand einer vorgegebenen dritten Regel ein regelwidriges Betriebsverhalten des nicht-autonomen tech nischen Systems detektiert werden,

- eine Statusmeldung von mindestens einem Teil der anderen autonomen technischen Systeme bewertet und daraus eine Kont- rollvorschrift für das nicht-autonome technische System abge leitet werden,

und

- das Betriebsverhalten des nicht-autonomen technischen Sys tems mittels einer Kontrollvorschrift von einem, dem nicht autonomen technischen System zugeordneten, Kontrollmodul kon trolliert werden.

Insbesondere kann das Kommunikationsnetzwerk, über das die autonomen technischen Systeme vernetzt sind, um nicht

autonome technische Systeme erweitert werden. Ein nicht autonomes technisches System kann beispielsweise mit einem Kontrollmodul ausgestattet sein, welches eine externe Steue rung durch eine von der Vielzahl autonomer technischer Syste me bewerteten Kontrollvorschrift ermöglicht. So kann die Vielzahl an überwachenden autonomen technischen Systemen bei spielsweise einen externen und gemeinsam kontrollierten Zu griff auf ein nicht-autonomes technisches System haben, wenn dieses regelwidrig gesteuert wird. Eine vorgegebene dritte Regel kann insbesondere gleich einer vorgegebenen ersten und/oder einer vorgegebenen zweiten Regel sein. Ein weiterer Aspekt der Erfindung betrifft eine Vorrichtung zur gegenseitigen Überwachung und Kontrolle einer Vielzahl autonomer technischer Systeme, welche zumindest teilweise un tereinander über ein Kommunikationsnetzwerk vernetzt sind, die derart eingerichtet ist, die Schritte eines erfindungsge mäßen Verfahrens durchzuführen, umfassend mindestens ein Überwachungsmodul eines autonomen technischen Systems und mindestens ein Kontrollmodul , das einem anderen autonomen technischen System zugeordnet ist.

Es ist ein Vorteil der Erfindung, dass autonome technische Systeme untereinander derart vernetzt sind, dass sie sich ge genseitig überwachen und bei einer Regelverletzung gegensei tig in einen sicheren Zustand versetzen können. Insbesondere umfasst die erfindungsgemäße Vorrichtung mindestens ein Über wachungsmodul, das einem autonomen technischen System zuge ordnet ist und das derart eingerichtet ist, mindestens ein anderes autonomes technisches System beispielsweise mittels mindestens eines Sensors zu überwachen. Ein Kontrollmodul ei nes autonomen technischen Systems kann insbesondere derart eingerichtet sein, dass es eine Kontrollvorschrift empfängt und anhand der Kontrollvorschrift ein Betriebsverhalten des autonomen technischen Systems steuern kann.

In einer vorteilhaften Ausführungsform der Vorrichtung kann mindestens ein Teil der autonomen technischen Systeme als überwachende autonome technische Systeme, umfassend jeweils ein Überwachungsmodul und mindestens einen Sensor, ausgestal tet sein und mindestens ein Teil der autonomen technischen Systeme kann jeweils ein Kontrollmodul umfassen, wobei min destens ein Teil der Überwachungsmodule und mindestens ein Teil der Kontrollmodule über das Kommunikationsnetzwerk un tereinander verbunden sind.

Vorzugsweise können autonome technische Systeme mit einem Überwachungsmodul und einem Kontrollmodul ausgestattet sein, um beispielsweise eine gegenseitige Überwachung und Kontrolle zu ermöglichen. Insbesondere können Infrastruktursensoren, wie z.B. Ampeln oder Schranken, als rein überwachende autono me Systeme verstanden werden. Zu gemeinsamen und gegenseiti gen Kontrolle können die Überwachungsmodule und Kontrollmodu- le über ein drahtloses oder drahtgebundenes Kommunikations netzwerk miteinander verbunden sein. So kann eine gemeinsame Bewertung einer Statusmeldung erfolgen.

In einer vorteilhaften Ausführungsform der Vorrichtung kann ein Kontrollmodul eine erste Kommunikationsschnittstelle zum Kommunikationsnetzwerk zum Empfangen und Entschlüsseln einer verschlüsselten Datenübertragung umfassen.

Insbesondere kann ein Kontrollmodul derart ausgestaltet sein, dass eine verschlüsselte Kontrollvorschrift lediglich vom Kontrollmodul entschlüsselt werden kann. Dies kann beispiels weise eine Manipulation der Kontrollvorschrift bei der Über mittlung verhindern.

In einer vorteilhaften Ausführungsform der Vorrichtung kann ein Überwachungsmodul eine Bewertungseinheit zum Bewerten ei ner von der Bewertungseinheit generierten und/oder empfange nen Statusmeldung umfassen.

Eine Bewertungseinheit kann insbesondere derart eingerichtet sein, dass es eine von einem anderen autonomen technischen System übermittelte Statusmeldung empfangen und diese bewer ten kann. Beispielsweise kann die Bewertungseinheit anhand vorgegebener Bewertungskriterien, wie zum Beispiel eine Qua lität der Detektion einer regelwidrigen Betriebsweise, und/oder der vorgegebenen ersten Regel eine Statusmeldung evaluieren. Die Bewertungseinheit kann insbesondere abstim men, ob eine Kontrollvorschrift zum Steuern eines anderen au tonomen Systems abgeleitet und diesem übermittelt werden soll. Vorzugsweise kann eine dem überwachenden autonomen technischen System zugeordnete Gewichtung in der Bewertungs einheit gespeichert sein und/oder dort dynamisch angepasst werden. Die Bewertung einer Bewertungseinheit kann über das Kommunikationsnetzwerk den anderen autonomen technischen Sys- fernen bereitgestellt und eine gemeinsame Bewertung kann da raus abgeleitet werden.

In einer vorteilhaften Ausführungsform der Vorrichtung kann ein Überwachungsmodul eine zweite Kommunikationsschnittstelle zum Kommunikationsnetzwerk zum verschlüsselten Übertragen von Daten und Entschlüsseln von verschlüsselten Daten umfassen.

Insbesondere kann ein Überwachungsmodul eine Statusmeldung kryptografisch verschlüsseln und diese an andere autonome technische Systeme zur Bewertung übertragen.

In einer vorteilhaften Ausführungsform der Vorrichtung kann ein Überwachungsmodul eine Simulationseinheit zum Simulieren eines Betriebsverhaltens eines anderen autonomen technischen Systems, basierend auf Sensordaten des überwachenden autono men technischen Systems und/oder auf Sensordaten anderer überwachende autonomer technischer Systeme umfassen.

Die Simulationseinheit kann insbesondere ein Simulationsmo dell der Umgebung des überwachenden autonomen technischen Systems umfassen, welches mittels aktueller Sensordaten ange passt werden kann.

Des Weiteren umfasst die Erfindung ein Computerprogrammpro dukt, das direkt in einen programmierbaren Computer ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, und die Schritte eines erfindungsgemäßen Verfahrens durchzufüh ren .

Ausführungsbeispiele des erfindungsgemäßen Verfahrens und Vorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläu tert. Es zeigen:

Fig. 1 ein Ablaufdiagramm eines erfindungsgemäßen Ver fahrens ; Fig . 2 eine schematische Darstellung eines erfindungsge mäßen Verfahrens;

Fig . 3 eine weitere schematische Darstellung eines er- findungsgemäßen Verfahrens;

Fig. 4 eine weitere schematische Darstellung eines er- findungsgemäßen Verfahrens;

Fig . 5 eine weitere schematische Darstellung eines er- findungsgemäßen Verfahrens; und

Fig . 6 eine schematische Darstellung einer erfindungsge mäßen Vorrichtung.

Einander entsprechende Gegenstände sind in allen Figuren mit den gleichen Bezugszeichen versehen.

Figur 1 zeigt ein Ablaufdiagramm eines erfindungsgemäßen Ver fahrens zur gegenseitigen Überwachung und/oder Kontrolle ei ner Vielzahl autonomer technischer Systeme, die zumindest teilweise untereinander über ein Kommunikationsnetzwerk ver netzt sind. Mindestens eines der autonomen technischen Syste me ist als ein überwachendes autonomes technisches System ausgebildet, d. h. es umfasst mindestens einen Sensor und ein Überwachungsmodul zum Überwachen mindestens eines der anderen autonomen technischen Systeme. Vorzugsweise ist das überwach te autonome technische System mit einem Kontrollmodul ausge stattet oder es ist diesem ein Kontrollmodul zugeordnet. Ins besondere kann unter gegenseitiger Überwachung und/oder Kon trolle einer Vielzahl autonomer technischer Systeme eine Überwachung und/oder Kontrolle von mindestens einem der Sys teme verstanden werden, wobei mindestens ein anderes der au tonomen technischen Systeme kontrolliert wird, aber bei spielsweise auch selbst andere autonome technische Systeme überwachen kann. In Schritt S1 des Verfahrens überwacht das überwachende auto nome technische System ein Betriebsverhalten eines anderen autonomen technischen Systems. Beispielsweise umfasst das überwachende autonome technische System eine Kamera als Sen sor und zeichnet damit einen zeitlichen Verlauf des Betriebs verhaltens, wie z.B. einen Geschwindigkeitsverlauf, des ande ren autonomen technischen Systems auf.

Anhand einer vorgegebenen ersten Regel kann das überwachende autonome technische System in Schritt S2 überprüfen, ob das andere autonome technische System sich regelwidrig verhält, z.B. eine Geschwindigkeitsbegrenzung überschreitet. Wenn das überwachende autonome technische System ein regelwidriges Be triebsverhalten des anderen autonomen technischen Systems de- tektiert, kann es eine Statusmeldung über dieses regelwidrige Betriebsverhalten generieren. Die Statusmeldung kann insbe sondere anhand der Detektion des regelwidrigen Betriebsver haltens durch den Sensor vom Überwachungsmodul generiert wer den. Vorzugsweise überträgt der Sensor eine Überwachungsin formation an das Überwachungsmodul des überwachenden autono men technischen Systems. Die Statusmeldung kann beispielswei se eine Identifizierungsinformation des überwachten autonomen technischen Systems und Angaben über das Betriebsverhalten umfassen .

In Schritt S3 kann die Statusmeldung vom überwachenden auto nomen technischen System an mindestens einen Teil der Viel zahl autonomer technischer Systeme, die über das Kommunikati onsnetzwerk miteinander vernetzt sind, übertragen werden. Insbesondere kann lediglich ein Teil der autonomen techni schen Systeme als Empfänger der Statusmeldung ausgewählt wer den. Vorzugsweise kann jedes der autonomen technischen Syste me ein Überwachungsmodul umfassen, wobei das Überwachungsmo dul nicht aktiv für eine Überwachung eingeschalten sein muss, sondern lediglich Statusmeldungen anderer Systeme empfangen kann . In Schritt S4 kann der eine Teil der autonomen technischen Systeme die Statusmeldung empfangen und diese bewerten. Eine Bewertung erfolgt vorzugsweise jeweils in einer Bewertungs einheit eines Überwachungsmoduls. Insbesondere wird eine ge meinsame Bewertung der Statusmeldung basierend auf den ein zelnen Bewertungen durchgeführt. Die Bewertung kann bei spielsweise eine Mehrheitsentscheidung oder eine gewichtete Bewertung sein. Eine Gewichtung ist jeweils einem autonomen technischen System zugeordnet. Abhängig von der Bewertung der Statusmeldung wird eine Kontrollvorschrift für das erste au tonome technische System abgeleitet. Zum Beispiel kann eine Statusmeldung über eine Geschwindigkeitsüberschreitung eines autonomen technischen Systems von dem einen Teil der autono men technischen Systeme überprüft oder bewertet werden. Ab hängig von der Überprüfung oder Bewertung kann daraus eine Kontrollvorschrift, wie zum Beispiel eine Begrenzung der Ge schwindigkeit, abgeleitet werden.

Beispielsweise kann die Kontrollvorschrift in einem Überwa chungsmodul erstellt werden. Beispielsweise kann die Kont rollvorschrift abhängig von Vorgaben einer staatlichen Stelle oder eines Herstellers oder gemäß Sicherheitsbestimmungen ab geleitet werden.

In Schritt S5 wird die Kontrollvorschrift über das Kommunika tionsnetzwerk an das sich regelwidrig verhaltende autonome technische System übertragen. Insbesondere wird die Kontroll- vorschrift an ein Kontrollmodul , das dem sich regelwidrig verhaltenden autonomen technischen System zugeordnet ist, übertragen. Die Übertragung erfolgt vorzugsweise über das Kommunikationsnetzwerk der autonomen technischen Systeme und kann beispielsweise kryptografisch verschlüsselt und ledig lich im Kontrollmodul entschlüsselbar sein. Die Kontrollvor- schrift kann von einem beliebigen, an der Bewertung teilneh menden, autonomen technischen System gesendet werden. Vor zugsweise erfolgt vor der Übertragung der Kontrollvorschrift eine gegenseitige Identifizierung und/oder Authentifizierung der beiden autonomen technischen Systeme. Anhand der Kont- rollvorschrift kann das Betriebsverhalten des ersten autono men technischen Systems vom Kontrollmodul kontrolliert bzw. gesteuert werden. Die Kontrollvorschrift kann zum Beispiel einen Befehl für einen Bremsvorgang umfassen, der direkt aus geführt werden soll, d.h. ein aktueller Steuerungsbefehl für das autonome technische System kann beispielsweise von der Kontrollvorschrift überschrieben oder geändert werden.

Figur 2 zeigt in schematischer Darstellung ein Ausführungs beispiel des erfindungsgemäßen Verfahrens und einer erfin dungsgemäßen Vorrichtung. Es ist ein Kommunikationsnetzwerk NW gezeigt, welches drahtlos und/oder drahtgebunden ausgebil det sein kann. Eine Vielzahl autonomer technischer Systeme, AS1 bis AS9, ist über das Kommunikationsnetzwerk NW miteinan der vernetzt, wobei mindestens ein autonomes technisches Sys tem ASobsl als ein überwachendes autonomes technisches System ausgebildet ist. Insbesondere umfasst das überwachende auto nome technische System ASobsl mindestens einen Sensor, der aktiv ein Betriebsverhalten mindestens eines der anderen au tonomen technischen Systeme, AS1 bis AS9, überwacht und Sen sordaten an ein Überwachungsmodul übermittelt.

Das Kommunikationsnetzwerk NW dient insbesondere zur Kommuni kation der autonomen und nicht-autonomen technischen Systeme untereinander, wie z.B. zum Übermitteln von Statusmeldungen zur gemeinsamen Bewertung. Die Überwachung eines technischen Systems durch ein überwachendes autonomes technisches System ASobsl ist insbesondere unabhängig von einer direkten Verbin dung über das Kommunikationsnetzwerk, d.h. eine Überwachung eines anderen technischen Systems kann insbesondere auch er folgen, wenn keine direkte Kommunikationsverbindung zwischen dem überwachenden und dem überwachten autonomen technischen System vorliegt.

Das überwachende autonome technische System Asobsl kann bei spielsweise das Betriebsverhalten eines ersten autonomen technischen Systems AS1 überwachen und anhand einer ersten Regel ein regelwidriges Betriebsverhalten detektieren. Bei- spielsweise umfasst eine erste Regel eine Geschwindigkeitsbe grenzung, eine Fahrbahnbegrenzung oder einen limitierten Ak tionsradius. Insbesondere kann die erste Regel von einer of fiziellen Stelle, wie z.B. von einer Behörde oder einer zent ralen Steuereinheit, vorgegeben sein. Das überwachende auto nome technische System Asobsl stellt eine Statusmeldung über das regelwidrige Betriebsverhalten des ersten autonomen tech nischen Systems AS1 aus und übermittelt die Statusmeldung an mindestens einen Teil der anderen autonomen technischen Sys teme AS2 bis AS9. Die Statusmeldung kann auch allen oder ei nem Teil der anderen autonomen technischen Systeme AS2 bis AS9 über das Kommunikationsnetzwerk NW bereitgestellt werden, wie z.B. über einen Server.

Die Statusmeldung kann beispielsweise eine Angabe über ein regelwidriges Betriebsverhalten, Angaben zur Position und ge gebenenfalls Angaben über ein zukünftiges Betriebsverhalten, welches mittels einer computergestützten Simulation bestimmt wurde, umfassen.

Die Statusmeldung wird gemeinsam von den anderen autonomen technischen Systemen bewertet. Insbesondere kann lediglich ein Teil der anderen technischen Systeme, die die Statusmel dung empfangen haben, eine Bewertung durchführen. Erfindungs gemäß wird eine Kontrollvorschrift aus der Statusmeldung ab geleitet, wenn zum Beispiel die gemeinsame Bewertung durch mindestens einen Teil der anderen autonomen technischen Sys teme ergibt, dass die Statusmeldung gültig ist. Abhängig von der gemeinsamen Bewertung der Statusmeldung wird eine Kont rollvorschrift ausgestellt und an das erste autonome techni sche System AS1 übermittelt. Das erste autonome technische System AS1 umfasst vorzugsweise ein Kontrollmodul , an das die Kontrollvorschrift gesendet werden kann und das, abhängig von Befehlen der Kontrollvorschrift, das erste autonome techni sche System AS1 steuert. Das erste autonome technische System AS1 kann somit von extern durch eine Kontrollvorschrift, die von einer Vielzahl autonomer technischer Systeme genehmigt wurde, kontrolliert werden. Die Überwachung durch das überwachende autonome technische System ASobsl kann beispielsweise fortlaufend oder zu vorge gebenen Zeitpunkten erfolgen. Beispielsweise kann das überwa chende autonome technische System mindestens einen Sensor um fassen, wie zum Beispiel eine Kamera, die fortlaufend die Um gebung des autonomen technischen Systems aufzeichnet. Des Weiteren kann die Bewertung einer Statusmeldung durch mindes tens einen Teil der anderen autonomen technischen Systeme AS2 bis AS9 fortlaufend oder zu vorgegebenen Zeitpunkten erfol gen. So kann das Kontrollieren oder Steuern eines sich regel widrig verhaltenden autonomen technischen Systems ebenso fortlaufend oder zu vorgegebenen Zeitpunkten durchgeführt werden. Beispielsweise kann ein vorgegebener Zeitpunkt die Detektion eines regelwidrigen Betriebsverhaltens sein.

Figur 3 zeigt ein Kommunikationsnetzwerk NW, über welches mehrere autonome technische Systeme, AS1 bis AS5, und mehrere überwachende autonome technische Systeme, ASobsl bis ASobs4, und ein nicht-autonomes technisches System NAS miteinander vernetzt sind. Jedes der überwachenden autonomen technischen Systeme umfasst mindestens einen Sensor und ein Überwachungs modul. Jedes der autonomen technischen Systeme kann ebenso Sensoren und ein Überwachungsmodul umfassen, wobei ein auto nomes technisches System nicht überwachend tätig sein kann, d.h. das Überwachungsmodul und/oder ein Sensor kann inaktiv sein. Insbesondere kann jedes der autonomen technischen Sys teme ein Kontrollmodul umfassen, so dass bei einem regelwid rigen Betriebsverhalten eine externe Kontrolle gemäß der Er findung möglich ist.

Jedes der überwachenden autonomen technischen Systeme ASobsl bis ASobs4 kann, unabhängig von den anderen, jedes der ande ren autonomen technischen Systeme ASobsl bis ASobs4, AS1 bis AS5 überwachen und anhand einer ersten vorgegebenen Regel überprüfen ob eines sich regelwidrig verhält. Jedes der über wachenden autonomen technischen Systeme kann eine Statusmel dung über ein regelwidriges Betriebsverhalten eines anderen autonomen technischen Systems generieren und den jeweils an deren autonomen technischen Systemen zur Bewertung übermit telt werden. Insbesondere kann eine gemeinsame Bewertung der Statusmeldungen erfolgen, wenn diese z.B. dasselbe autonome technische System betreffen. Beispielsweise kann jedem der überwachenden autonomen technischen Systeme eine Gewichtung zugeordnet sein, die beispielsweise abhängig von der Position eines überwachenden Sensors ist. Die gemeinsame Bewertung ei ner oder mehrerer Statusmeldungen kann abhängig von der Ge wichtung durchgeführt werden. Die Gewichtung kann insbesonde re vorgegeben sein, wie z.B. abhängig von einem Rang, wie z.B. Verkehrswacht, oder durch eine offizielle Stelle, oder dynamisch angepasst werden, wenn sich beispielsweise die Überwachungsgüte aufgrund von Umgebungsbedingungen ändern.

Ein Rang kann beispielsweise eine Hierarchiestufe beschrei ben, wie z.B. bei Fahrzeugen ein Polizeiwagen, ein Feuerwehr einsatzfahrzeug oder Rettungswagen.

Das nicht-autonome technische System NAS kann insbesondere ein Kontrollmodul gemäß der Erfindung umfassen, oder ein Kontrollmodul kann diesem zugeordnet sein, und damit an das Kommunikationsnetzwerk NW angeschlossen sein. Die überwachen den autonomen technischen Systeme können die Überwachung und Kontrolle des nicht-autonomen technischen Systems NAS über nehmen, wobei lediglich das Kontrollmodul des nicht-autonomen technischen Systems NAS derart ausgestaltet sein muss, dass von extern Kontrollvorschriften übermittelt und umgesetzt werden können.

Figur 4 zeigt beispielhaft ein Szenario des erfindungsgemäßen Verfahrens. Es ist ein erstes autonomes technisches System ASobsl als eine Anlage zur Verkehrsregelung gezeigt, welche ein erstes Überwachungsmodul OMI umfasst. Beispielsweise ist das erste Überwachungsmodul OMI eine Kamera oder ein Ge schwindigkeitssensor .

Des Weiteren sind autonome Fahrzeuge AS1, ASobs2, ASobs3 und AS4 gezeigt. Das erste autonome Fahrzeug AS1 umfasst ledig- lieh ein erstes Kontrollmodul CTLM1. Das zweite autonome Fahrzeug ASobs2 ist als ein überwachendes autonomes Fahrzeug ausgebildet und umfasst ein zweites Überwachungsmodul CTLM2 und mindestens einen Sensor. Außerdem umfasst das zweite au tonome Fahrzeug ASobs2 ein zweites Kontrollmodul CTLM2. Das dritte autonome Fahrzeug ASobs3 ist ebenso als überwachendes autonomes Fahrzeug ausgebildet und umfasst ein drittes Über wachungsmodul OM3. Das vierte autonome Fahrzeug AS4 umfasst ein viertes Überwachungsmodul OM4, welches beispielsweise in aktiv sein kann, d.h. das vierte autonome Fahrzeug kann nicht aktiv andere autonome technische Systeme überwachen, aber beispielsweise an einer Bewertung einer Statusmeldung teil nehmen. Die autonomen Fahrzeuge sind über ein Kommunikations netzwerk NW untereinander verbunden. Insbesondere umfassen die Überwachungsmodule OMI bis OM4 jeweils eine Bewertungs einheit zum Bewerten einer über das Kommunikationsnetzwerk NW geteilten Statusmeldung.

Im gezeigten Ausführungsbeispiel kann das erste autonome Fahrzeug AS1 von mindestens einem der anderen autonomen Fahr zeuge und/oder der Anlage zur Verkehrsregelung überwacht wer den. Beispielsweise kann die Anlage zur Verkehrsregelung ASobsl anhand einer Geschwindigkeitsmessung und einer ersten Regel überprüfen, ob sich das erste autonome Fahrzeug AS4 re gelkonform verhält. Beispielsweise kann die Anlage zur Ver kehrsregelung ASobsl anhand einer Geschwindigkeitsmessung für das erste autonome Fahrzeug AS1 ermitteln, dass dieses eine Geschwindigkeitsbegrenzung überschreitet .

Insbesondere kann das erste Überwachungsmodul OMI eine Simu lationseinheit SIM umfassen und mittels einer computerge stützten Simulation eine Vorhersage über das Betriebsverhal ten des ersten autonomen Fahrzeugs AS1 ermitteln. Die Anlage zur Verkehrsregelung ASobsl kann beispielsweise anhand der Simulation extrapolieren, ob das erste autonome Fahrzeug AS1 zu einem vorgegebenen Zeitpunkt zum Halten kommen kann. Die Anlage zur Verkehrsregelung ASobsl kann anhand dieser Überwachungsergebnisse eine Statusmeldung über das Betriebs verhalten des ersten autonomen Fahrzeugs AS1 generieren und über das Kommunikationsnetzwerk den anderen autonomen Fahr zeugen ASobs2, ASobs3, AS4 übermitteln.

Die anderen autonomen Fahrzeuge ASobs2, ASobs3, AS4 können die Statusmeldung empfangen und in der jeweiligen Bewertungs einheit des jeweiligen Überwachungsmoduls OM2, OM3, OM4 be werten. Beispielsweise kann das zweite überwachende autonome Fahrzeug ASobs2 die Statusmeldung der Anlage für Verkehrsre gelung Asobsl anhand eigener Überwachungsdaten überprüfen und anschließend bewerten. Es kann außerdem eine Bewertung anhand von Informationen aus der Statusmeldung selbst, wie z.B. An gaben zu Messunsicherheiten, erfolgen.

Abhängig von der gemeinsamen Bewertung durch mindestens einen Teil der anderen autonomen Fahrzeuge ASobs2, ASobs3, AS4 kann eine Kontrollvorschrift abgeleitet werden. Beispielsweise kann die Statusmeldung mittels einer Mehrheitsentscheidung für gültig erklärt werden. Anhand der Geschwindigkeitsprogno se durch die Simulation kann beispielsweise ein Befehl zum Abbremsen zu einem bestimmten Zeitpunkt bestimmt werden.

Die abgeleitete Kontrollvorschrift wird dem Kontrollmodul CTLM1 des ersten autonomen Fahrzeugs AS1 übermittelt. Es er folgt eine Kontrolle bzw. Steuerung des ersten autonomen Fahrzeugs AS1 von extern, abhängig von den Steuerbefehlen der Kontrollvorschrift . Das erste autonome Fahrzeug AS1 kann bei spielsweise gestoppt, abgeschaltet oder abgebremst werden.

Figur 5 zeigt ein weiteres Ausführungsbeispiel eines erfin dungsgemäßen Verfahrens. Es sind autonome Roboter, wie z.B. mobile Industrieroboter, als autonome technische Systeme ASobsl bis ASobs4 gezeigt. Die Roboter ASobsl bis ASobs4 sind jeweils als überwachende autonome technische Systeme ausge staltet. Sie sind über das Kommunikationsnetzwerk NW mitei nander vernetzt. Mittels der Überwachungsmodule OMI bis OM4 können die überwachenden autonomen technischen Systeme ASobsl bis ASobs4 untereinander das jeweilige Betriebsverhalten überwachen. Es kann beispielsweise ein regelwidriges Be triebsverhalten eines der autonomen technischen Systeme

ASobsl bis ASobs4 durch mindestens eines der anderen autono men technischen Systeme detektiert werden. Beispielsweise kann durch eine Manipulation oder durch eine Fehlfunktion ein Roboter ASobs4 eine regelwidrige Aktion durchführen, wie z.B. einen vordefinierten Betriebsradius bei einer Mensch-Roboter- Interaktion nicht einhalten. Gemäß der Erfindung kann eine Statusmeldung über das regelwidrige Betriebsverhalten des Ro boters ASobs4 über das Kommunikationsnetzwerk NW an andere vernetzte Roboter ASobsl bis ASobs3 übermittelt und von die sen gemeinsam bewertet werden. Abhängig von der Bewertung kann eine Kontrollvorschrift an das Kontrollmodul CTLM4 über mittelt und dort gemäß der Erfindung umgesetzt werden. Bei spielsweise kann der Roboter ASobs4 abgeschaltet oder sein Aktionsradius beschränkt werden. Das gezeigte Verfahren kann insbesondere auch bei einer Mensch-Roboter-Interaktion ge nutzt werden, um beispielsweise eine Gefahr für den Menschen bei einer Fehlfunktion einer der autonomen Roboter ASobsl bis ASobs4 zu verringern.

Figur 6 zeigt beispielhaft eine Ausführung einer erfindungs gemäßen Vorrichtung 100, umfassend mindestens ein Überwa chungsmodul OM eines autonomen technischen Systems und ein Kontrollmodul CTLM eines anderen autonomen technischen Sys tems. Das Überwachungsmodul OM und das Kontrollmodul CTLM sind über das Kommunikationsnetzwerk NW miteinander verbun den .

Das Kontrollmodul und das Überwachungsmodul umfassen jeweils eine erste und zweite Kommunikationsschnittstelle IF1 und IF2, die eine kryptografisch verschlüsselte Datenübermittlung erlaubt. Beispielsweise kann das Überwachungsmodul OM eine verschlüsselte Statusmeldung an andere Überwachungsmodule übermitteln. Außerdem kann ein Überwachungsmodul OM eine ver- schlüsselte Kontrollvorschrift an das Kontrollmodul CTLM übermitteln, welche erst dort entschlüsselt werden kann.

Das Überwachungsmodul OM ist insbesondere mit mindestens ei nem Sensor S gekoppelt, wie z.B. fest verbunden oder per Funkverbindung zusammen geschaltet. Der Sensor S kann Sensor daten erfassen und diese an das Überwachungsmodul OM übermit teln. Anhand der Sensordaten und einer vorgegebenen ersten Regel kann das Überwachungsmodul OM ermitteln, ob z.B. ein regelwidriges Betriebsverhalten eines anderen autonomen tech nischen Systems vorliegt.

Das Überwachungsmodul OM umfasst des Weiteren eine Bewer tungseinheit AM, vorzugsweise eine Simulationseinheit SIM und einen Prozessor P zum Durchführen mindestens einer der

Schritte eines erfindungsgemäßen Verfahrens. Die Bewertungs einheit AM ist insbesondere dem autonomen technischen System zugeordnet und kann beispielsweise Informationen zur Gewich tung einer Bewertung umfassen.

Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert wer den. Die Erfindung ist nicht auf die beschriebenen Ausfüh rungsbeispiele beschränkt.