-
Die Erfindung betrifft ein Verfahren zum kontrollierten Überführen mindestens eines autonomen oder teilautonomen Fahrzeugs einer Fahrzeugflotte in einen sicheren Zustand sowie ein Fahrzeugmanagementsystem und ein System mit einer Fahrzeugflotte.
-
Stand der Technik
-
Es sind bereits Verfahren zur Abschaltung von automatisiert fahrenden Fahrzeugen bekannt. Dabei wird eine Kontrolle über das Fahrzeug bei einem detektierten Systemfehler innerhalb eines Fahrzeugs an den Fahrer übergeben und eine autonome oder teilautonome Fahrfunktion fahrzeugintern deaktiviert. Des Weiteren kann bei einem Vorliegen eines Systemfehlers das Fahrzeug automatisiert in einen risikominimalen Zustand überführt werden, bei dem das Fahrzeug beispielsweise auf einer aktuellen Fahrspur bis zu einem Stillstand abgebremst wird.
-
Weiterhin sind bereits Verfahren zum Abschalten von einer Fahrzeugflotte als eine Einheit bekannt. Dabei wird ein Fahrbetrieb der Fahrzeugflotte zentral von einer Steuereinheit geregelt. Dabei kann der automatisierte Fahrbetrieb der Fahrzeugflotte für alle Fahrzeuge zeitgleich eingestellt werden, wodurch die Fahrzeuge der Fahrzeugflotte abgeschaltet und unmittelbar in den Stand verzögern.
-
Offenbarung der Erfindung
-
Die der Erfindung zugrunde liegende Aufgabe kann darin gesehen werden, ein Verfahren zum Abschalten von einem oder mehreren Fahrzeugen einer Fahrzeugflotte vorzuschlagen, bei dem das Risiko für einen fehlerbedingten Unfall situationsabhängig minimiert wird.
-
Diese Aufgabe wird mittels des jeweiligen Gegenstands der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand von jeweils abhängigen Unteransprüchen.
-
Nach einem Aspekt der Erfindung wird ein Verfahren zum kontrollierten Überführen mindestens eines autonomen oder teilautonomen Fahrzeugs einer Fahrzeugflotte in einen sicheren Zustand bereitgestellt.
-
Bei einem Schritt des Verfahrens erfolgt ein Ermitteln des mindestens einen autonomen oder teilautonomen Fahrzeugs aus der Fahrzeugflotte anhand von Diskriminierungsfaktoren durch ein zentrales Fahrzeugmanagementsystem.
-
Es wird ein Befehl des zentralen Fahrzeugmanagementsystems zur Überführung mindestens eines Fahrzeugs in den sicheren Zustand an das mindestens eine ermittelte Fahrzeug übertragen.
-
Basierend auf den Diskriminierungsfaktoren wird ein situationsspezifisches Risiko des mindestens einen autonomen oder teilautonomen Fahrzeugs ermittelt. Anschließend erfolgt eine situationsspezifische Risikobewertung einer umgehenden Überführung des mindestens einen autonomen oder teilautonomen Fahrzeugs in einen sicheren Zustand unter Berücksichtigung einer spezifischen Fahrzeugsituation des mindestens einen autonomen oder teilautonomen Fahrzeugs.
-
Abhängig von dem ermittelten situationsspezifischen Risiko wird eine sofortige Überführung in einen sicheren Zustand oder eine verzögerte Überführung in den sicheren Zustand durchgeführt.
-
Das Fahrzeugmanagementsystem kann beispielsweise eine zentrale und fahrzeugexterne Servereinheit oder mehrere Servereinheiten sein. Die Servereinheiten können in koordinierter oder in unkoordinierter Weise miteinander datenleitend verbunden sein. Das Fahrzeugmanagementsystem kann dabei über direkte oder indirekte drahtlose Kommunikationsverbindungen mit den Fahrzeugen der Fahrzeugflotte gekoppelt sein. Beispielsweise kann eine Kommunikationsverbindung als ein WLAN, eine LTE-, UMTS- oder GSM-Verbindung und dergleichen ausgestaltet sein.
-
Das Fahrzeugmanagementsystem kann dabei selbstständig die Steuergeräte oder Steuereinheiten der Fahrzeuge auslesen und basierend auf derart ermittelten Daten die jeweiligen Fahrzeuge im Hinblick auf Fehler und/oder eine Verkehrstüchtigkeit prüfen. Alternativ oder zusätzlich können die jeweiligen Fahrzeuge der Fahrzeugflotte selbstständig Fehleranalysen durchführen und ausgewertete oder teilausgewertete Fehleranalysen an das Fahrzeugmanagementsystem übermitteln.
-
Anhand der Fehleranalyse kann das Fahrzeugmanagementsystem prüfen, ob definierte Diskriminierungsfaktoren vorliegen. Basierend auf den Diskriminierungsfaktoren können ein oder mehrere Fahrzeuge der Fahrzeugflotte von einem restlichen Fahrzeugbestand abgegrenzt bzw. unterschieden werden, wodurch weitergehende Maßnahmen an den abgegrenzten Fahrzeugen durchgeführt werden können. Ein Diskriminierungsfaktor kann beispielsweise eine nicht aktuelle Steuerungssoftware, ein ermittelter Defekt, ein Ausfall oder Teilausfall eines dem Fahrzeug zugeordneten Systems, fertigungsbedingte Fehler, Rückrufaktionen und dergleichen sein.
-
Insbesondere kann basierend auf einem festgestellten Diskriminierungsfaktor ein situationsabhängiges Risiko des jeweiligen Fahrzeugs, welches den Diskriminierungsfaktor aufweist, durch das Fahrzeugmanagementsystem geprüft werden. Hierfür können Umfeldsensoren, eine digitale Karte der Fahrzeugumgebung, Fahrzeugsensoren und dergleichen zum Erfassen einer Fahrsituation des Fahrzeugs eingesetzt bzw. von dem Fahrzeugmanagementsystem ausgewertet werden. Die Fahrsituation wird anschließend mit dem Diskriminierungsfaktor verglichen bzw. auf Basis des Diskriminierungsfaktors bewertet und auf Basis des Vergleichs bzw. der Bewertung entschieden, ob eine sofortige oder eine verzögerte Abschaltung des Fahrzeugs durchgeführt wird. Die Abschaltung des Fahrzeugs kann auch in einem Abschalten einer autonomen oder teilautonomen Fahrfunktion bestehen.
-
Eine Abschaltung kann beispielsweise durch eine Not- oder Komfortbremsung in der aktuellen Spur erfolgen oder aber auch aus einer Fahrerübergabe bestehen.
-
In einem Schritt kann einem oder mehreren Fahrzeugen einer spezifischen Fahrzeugflotte ein Signal zum Durchführen einer Abschaltung durch das Fahrzeugmanagementsystem übermittelt werden, für welche basierend auf einem oder mehreren Diskriminierungsfaktoren beispielsweise ein fehlerhaftes Verhalten anzunehmen ist. Eine solche Kohorte bzw. eine Teilmenge der Fahrzeuge der Fahrzeugflotte könnte beispielsweise aus Fahrzeugen bestehen, welche eine bestimmte Software-Version mit bekanntem Fehlverhalten besitzen und aus Sicherheitsgründen nicht mehr in den automatischen Zustand betrieben werden dürfen. Weiterhin könnten diskriminierende Faktoren zur Bildung von Gruppen auch darin bestehen, dass die automatisierte Fahrfunktion in bestimmten Gebieten beispielsweise wegen Witterungsbedingungen nicht mehr gewährleistet werden kann und daher zu deaktivieren ist.
-
In einem weiteren Schritt können die anhand der Diskriminierungsfaktoren ermittelten automatisierten Fahrzeuge einer erweiterten Betrachtung des situationsspezifischen Risikos eines Abschaltens der automatisierten Fahrfunktion unterzogen werden. Hierbei kann geprüft werden, ob ein sofortiges Anhalten des Fahrzeugs oder der Fahrzeuge nach Übermittlung des Abschaltsignals mit geringstem Risiko für den Umgebungsverkehr durchgeführt werden kann oder ob durch eine verlängerte Aufrechterhaltung der Systemfunktion ein späteres Abschalten des Fahrzeugs oder der automatisierten Fahrfunktionen mit einem geringeren Risiko umgesetzt werden kann. Derartige Situationen können bei Vorliegen eines bekannten Systemfehlers vorliegen. Besteht beispielsweise die fehlerhafte Fahrfunktion bei Überholvorgängen für die betroffenen Fahrzeuge, so kann eine Vermeidung dieser Fahrhandlung einen sicheren Betrieb der fehlerhaften Fahrzeuge aufrechterhalten bis zu einer sicheren Übergabe des Fahrzeugs. Die restliche Systemausprägung und die übrigen automatisierten Fahrfunktionen bleiben weiterhin aktiv.
-
Ein weiteres Beispiel kann in einer fehlerhaften Erfassung des Signalzustandes einer Lichtsignalanlage bestehen. Diejenigen Instanzen der betroffenen Fahrzeuge, die sich unmittelbar einer solchen Signalanlage nähern, haben noch vor Überschreiten des Verkehrsknotenpunktes in den sicheren Zustand zu gehen. Auf der anderen Seite können weitere Fahrzeuge, die sich derzeit abseits derartiger Verkehrssituationen befinden, die autonomen Fahrfunktionen noch aufrechterhalten und beispielsweise an einem sicheren bzw. risikominimalen Ort eine Übergabe an den Fahrer durchführen. Dies kann im Vorfeld einer fehlerauslösenden oder kritischen Situation erfolgen. Alternativ oder zusätzlich kann eine Trajektorie beispielsweise zu Werkstätten oder dergleichen geplant und befahren werden.
-
Es kann somit in einem Schritt eine situationsbedingte Risikobewertung unter Betrachtung des zu erwartenden Fehlerbildes dahingehend durchgeführt werden, dass bei unmittelbarem Vorliegen der auslösenden Fahrsituation eine Abschaltung durchgeführt wird und andererseits, wenn eine solche Situation nicht vorliegt, ein Vorgehen in der Pfadplanung gesucht wird, das die auslösende Fahrhandlung vermeidet.
-
Zum Durchführen der Abschaltung von einem oder mehrerer automatisierter Fahrzeuge kann das Fahrzeugmanagementsystem einen Abschaltbefehl über die drahtlose Kommunikationsverbindung an die anhand der Diskriminierungsfaktoren von vollständig funktionsfähigen Fahrzeugen abgegrenzten Fahrzeuge übertragen. Über eine zweiseitige Kommunikation des Fahrzeugmanagementsystems mit den Fahrzeugen der Fahrzeugflotte können weitere Attribute übergeben werden, welche eine beispielsweise basierend auf einer Software-Version weitergehende Risikobewertung ermöglichen.
-
Das Fahrzeugmanagementsystem muss somit die folgenden Aufgaben beantworten:
- - Während welcher Fahrhandlungen kann der Fehler auftreten, der zu einem funktionalen Fehlerfall führt?
- - Befindet sich das automatisiert fahrende System aktuell in dieser Fahrsituation und muss aus Sicherheitsgründen das System sofort abgeschaltet werden?
- - Liegt die fehlerfallauslösende Fahrsituation noch nicht vor und kann das System des oder der Fahrzeuge die automatisierte Fahrfunktion noch aufrechterhalten?
- - Welcher Weg kann zum Ziel genommen werden, um die fehlerbehaftete Fahrsituation zu vermeiden?
-
Durch das erfindungsgemäße Verfahren kann die Sicherheit automatisiert betriebener Fahrzeuge unter fehlerselektiver Aufrechterhaltung der Fahrfunktion gesteigert werden. Des Weiteren kann durch das Verfahren eine Steigerung der Systemverfügbarkeit und Kundenwertigkeit erreicht werden, da die Fahrzeuge der Fahrzeugflotte trotz fehlerhafter Fahrfunktionen weiterhin betreibbar sind.
-
Die autonomen oder teilautonomen Fahrzeuge können beispielsweise gemäß der SAE J3016 Norm den Automatisierungsstufen 2 bis 5 entsprechend ausgerüstet sein.
-
Gemäß einer Ausführungsform des Verfahrens werden für eine Bestimmung der spezifischen Risikobewertung des mindestens einen autonomen oder teilautonomen Fahrzeugs Daten von Fahrzeugsensoren, Daten von Infrastruktur-Sensoren, GPS und/ oder digitalen geografischen Karten von dem zentralen Fahrzeugmanagementsystem ausgewertet. Hierdurch kann eine detaillierte situationsspezifische Risikobewertung durchgeführt werden. Die Daten können vorzugsweise über die Kommunikationsverbindung zwischen dem mindestens einen Fahrzeug und dem Fahrzeugmanagementsystem ausgetauscht werden.
-
Nach einer weiteren Ausführungsform des Verfahrens wird eine Diskriminierung des mindestens einen autonomen oder teilautonomen Fahrzeugs der Fahrzeugflotte aufgrund einer Software-Version vorgenommen. Die Software kann beispielsweise eine Software eines oder mehrerer Steuergeräte des mindestens einen Fahrzeugs der Fahrzeugflotte sein. Hierdurch können bestehende Mängel von definierten Software-Versionen durch das Fahrzeugmanagementsystem identifiziert und zum Vermeiden der kritischen bzw. der fehlerauslösenden Fahrfunktionen eingesetzt werden. Beispielsweise kann ein Aktivieren von autonomen Fahrfunktionen anhand eines entsprechenden Befehls des Fahrzeugmanagementsystems an die betroffenen Fahrzeuge mit einer bestimmten Software-Version verhindert werden oder ein Befahren von Ampelanlagen bei einer Routenberechnung vermieden werden.
-
Gemäß einer weiteren Ausführungsform des Verfahrens wird eine Diskriminierung des autonomen oder teilautonomen Fahrzeugs der Fahrzeugflotte anhand geografischer Daten vorgenommen. Hierdurch können Diskriminierungsfaktoren anhand von bestimmten geografischen Verhältnissen oder Gegebenheiten ermittelt und ausgewertet werden. Insbesondere können Attribute der Fahrzeuge an das Fahrzeugmanagementsystem übermittelt werden, welche neben der Bezeichnung der betroffenen Kohorte auch einen Rückschluss auf das auslösende Fahrverhalten zulassen. Dazu kann eine Beschreibung der Fahrhandlung, der auslösenden Witterungsbedingungen und dergleichen herangezogen werden. Derartige Faktoren können beispielsweise Witterungsbedingungen, Gefahren-gebiete, überflutete Gebiete, Gebiete, welche von einem Erdrutsch oder einer Lawine betroffen oder gefährdet sind oder Gebiete mit einer Sturmwarnung sein. Diese Faktoren können insbesondere zum Durchführen einer situations-spezifischen Risikobewertung herangezogen werden. Vorzugsweise kann das Fahrzeugmanagementsystem hierfür auf Daten von Wetterstationen zugreifen.
-
Nach einer weiteren Ausführungsform des Verfahrens wird eine Diskriminierung des mindestens einen autonomen oder teilautonomen Fahrzeugs der Fahrzeugflotte aufgrund eines technischen Defekts vorgenommen. Hierdurch kann basierend auf der Fehleranalyse des jeweiligen Fahrzeugs oder des Fahrzeugmanagementsystems ein oder mehrere Defekte erkannt werden. Abhängig von einem Schweregrad des Defekts kann eine sofortige oder eine zeitlich bzw. örtlich verzögerte Abschaltung der entsprechenden Fahrzeuge erfolgen.
-
Gemäß einer weiteren Ausführungsform des Verfahrens werden die Daten über eine Datenverbindung zwischen dem zentralen Fahrzeugmanagementsystem und dem mindestens einen autonomen oder teilautonomen Fahrzeug übertragen. Hierdurch kann eine direkte oder indirekte Datenübertragung realisiert werden, welche einen relevanten Datenstrom zum Erkennen von Fehlern und zum Ermitteln von situationsabhängigen Risiken ermöglicht.
-
Nach einer weiteren Ausführungsform des Verfahrens wird bei einer vorläufigen Beibehaltung der autonomen oder teilautonomen Fahrfunktion für eine spätere Überführung in den sicheren Zustand durch eine Vermeidung eines spezifischen Fahrverhaltens ein Risiko basierend auf einem oder mehreren Diskriminierungsfaktoren minimiert. Hierdurch kann eine aktive autonome oder teilautonome Fahrfunktion des mindestens einen Fahrzeugs weiterhin aufrechterhalten werden, bis eine Abschaltung der Fahrfunktion oder des Fahrzeugs mit einem geringen Risiko für eine Fahrzeugumgebung und das Fahrzeug selbst durchführbar ist.
-
Gemäß einer weiteren Ausführungsform des Verfahrens wird während einer Überführung des mindestens einen Fahrzeugs in den sicheren Zustand die autonome Fahrfunktion aufgehoben. Auf Basis des Vergleiches kann durch das zentrale und fahrzeugexterne Fahrzeugmanagementsystem entschieden werden, ob ein sofortiges Abschalten des Fahrzeugs durchgeführt wird. Dies kann beispielsweise durch eine Not- oder Komfortbremsung in der aktuellen Spur erfolgen oder aber auch aus einer Übergabe der Fahrsteuerung bestehen. Die Übergabe der Fahrsteuerung kann vorzugsweise in einer risikominimalen Situation erfolgen. Dies kann beispielsweise auf einer geraden Fahrbahn oder während einer geringen Geschwindigkeit erfolgen. Es können hierdurch die autonome Fahrfunktion und die entsprechende Sensorik deaktiviert werden und erst nach einer Wartung oder Reparatur aktivierbar sein.
-
Nach einer weiteren Ausführungsform des Verfahrens wird durch das zentrale Fahrzeugmanagementsystem eine Pfad- und Trajektorieplanung für das mindestens eine autonome oder teilautonome Fahrzeug durchgeführt. Es kann eine Vermeidung eines durch den Fehler riskanten Fahrverhaltens oder eines einen Fehler auslösenden Fahrverhaltens bei einer Berechnung der Fahrroute des Fahrzeugs berücksichtigt werden. Eine derartige Vermeidung kann insbesondere zum Anfahren eines sicheren Platzes und anschließendem Übergeben der Fahrfunktion an den Fahrer oder zum Deaktivieren des Fahrzeugs auf einem Parkplatz bzw. einer Werkstatt eingesetzt werden.
-
Liegt die fehlerfallauslösende Fahrsituation noch nicht vor und kann das System die automatisierte Fahrfunktion noch aufrechterhalten, so erfolgt eine Ermittlung bzw. Berechnung der Fahrtrajektorie des jeweiligen Fahrzeugs unter Berücksichtigung der Diskriminierungsfaktoren und der fehlerauslösenden Situationen. Somit kann eine autonome oder teilautonome Fahrfunktion auch bis zur Erreichung eines Ortes aufrechterhalten werden, auf dem das Fahrzeug dauerhaft abgestellt werden kann.
-
Sollte diese Vermeidung nicht bis zu einem Zielort, der ein dauerhaftes Abstellen des Fahrzeuges erlaubt, möglich sein, wird eine geregelte Übergabe durch die Aufforderung an den Fahrer vorgenommen oder das System in einen risikominimalen Zustand überführt.
-
Gemäß einem weiteren Aspekt der Erfindung wird ein fahrzeugexternes Fahrzeugmanagementsystem bereitgestellt. Ferner wird gemäß einem weiteren Aspekt der Erfindung ein System zum kontrollierten Überführen mindestens eines autonomen oder teilautonomen Fahrzeugs einer Fahrzeugflotte in einen sicheren Zustand bereitgestellt, wobei das System mindestens ein fahrzeugexternes Fahrzeugmanagementsystem und mindestens ein autonomes oder teilautonomes Fahrzeug einer Fahrzeugflotte aufweist.
-
Das mindestens eine Fahrzeug der Fahrzeugflotte steht hierbei über eine ständige oder eine regelmäßige drahtlose Kommunikationsverbindung mit dem Fahrzeugmanagementsystem in Verbindung. Hierdurch kann eine Fehleranalyse und Auswertung eines situationsabhängigen Risikos zum Überführen des mindestens einen Fahrzeugs in einen sicheren Zustand durchgeführt werden. Die Auswertung kann anhand von Diskriminierungsfaktoren erfolgen, wodurch auch eine Teilmenge an Fahrzeugen einer Fahrzeugflotte zum Deaktivieren markiert werden kann. Dabei kann das Deaktivieren unter Berücksichtigung verschiedener, insbesondere sicherheitsrelevanter, Randbedingungen erfolgen.
-
Im Folgenden wird anhand von einer stark vereinfachten schematischen Darstellung ein bevorzugtes Ausführungsbeispiel der Erfindung näher erläutert.
-
Die 1 zeigt eine schematische Darstellung eines erfindungsgemäßen Systems 1 zum kontrollierten Überführen mindestens eines autonomen oder teilautonomen Fahrzeugs 2 einer Fahrzeugflotte 4 in einen sicheren Zustand gemäß einer Ausführungsform.
-
Die Fahrzeugflotte 4 besteht aus zehn Fahrzeugen 2, 3 welche direkt oder indirekt mit einem Fahrzeugmanagementsystem 6 über drahtlose Kommunikationsverbindungen 8 gekoppelt sind.
-
Die drahtlose Kommunikationsverbindung 8 ist hier als eine Mobilfunkverbindung 8 ausgestaltet. Das Fahrzeugmanagementsystem 6 ist als eine oder mehrere fahrzeugexterne Servereinheiten ausgeformt und kann alternativ oder zusätzlich eine Cloud sein. Die Kommunikationsverbindung 8 wird zwischen dem Fahrzeugmanagementsystem 6 und fahrzeuginternen Steuereinheiten 9 der Fahrzeuge 2, 3 hergestellt.
-
Ein fehlerhaftes Fahrzeug 3 wurde anhand von Diskriminierungsfaktoren durch das Fahrzeugmanagementsystem 6 identifiziert. Über die Kommunikationsverbindung 8 wird an das entsprechende Fahrzeug 3 ein Befehl zum Deaktivieren des Fahrzeugs bzw. zum bevorstehenden Deaktivieren gesendet.
-
Anschließend kann durch das Fahrzeugmanagementsystem 6 unter Zuhilfenahme der Fahrzeugsensoren 10, der Umgebungssensoren 12 und Datenbanken 14, wie beispielsweise von Wetterdatenbanken, eine Risikoanalyse durch eine Steuereinheit 9 des Fahrzeugs 3 oder durch das Fahrzeugmanagementsystem 6 erfolgen. Hierdurch kann die tatsächliche Abschaltung des Fahrzeugs 3 oder eine Abschaltung der autonomen Fahrfunktionen des Fahrzeugs 3 anschließend unmittelbar oder beispielsweise zeitlich verzögert erfolgen.