基于风险的车辆控制的制作方法

本发明涉及基于风险的车辆控制。

背景技术：

车辆可以借助高度自动化的行驶功能来控制。在车辆驾驶员不必持续监视该功能，并且因此不提供或仅有条件地提供驾驶员作为后备方案时，该功能被称为高度自动化。例如可以保证驾驶员有15秒的接管时间，驾驶员可以利用该接管时间，以便接管高度自动化行驶功能的车辆的监控。因此为驾驶员提供这样的可能性，即驾驶员在车辆行驶期间可从事与行驶无关的其他事务或者例如睡觉。

不应期待，高度自动化的行驶功能的部件总是完全无故障地工作。通常，行驶功能由软件部件和/或硬件部件构成。这些构件中的每一个都可能会失灵；硬件构件，如传感器，可能例如具有电故障，或者软件构件可能在其规范以外运行。整个系统必须在任何时候都始终能够带着各种故障地维持安全的行驶运行。

这些故障功能中的一些可以在运行期间被诊断，并且在故障情况下可以从第一功能构件切换到第二功能构件，该第二功能构件之后实现应急运行(fall-back：后备方案)。

文献wo002013060530a1涉及一种交通堵塞辅助系统，它的功能性通过另一系统来监视，例如通过acc系统或车道保持辅助系统。如果超出预确定的系统边界，那么交通堵塞辅助系统自动停用。

技术实现要素：

本发明的任务在于提供一种改进的车辆控制。本发明借助独立权利要求的主题来解决该任务。

本发明基于这样的认知，即也存在不能被诊断的故障，并且故障诊断本身是有潜在故障的确定。如果现有故障情况不被识别到，那么第一功能构件可能在使用错误的假设或测量值的情况下被运行，这可能提高车辆的事故风险。另一方面如果客观上根本不存在的故障情况被确定，那么可能会错误地切换到第二功能构件。第二功能构件通常不使用那些与确定的故障状态可能关联的参数，使得第二功能构件通常总体执行比第一功能构件差一些的控制。在该情况下同样可能提高事故风险。

因此提出，对于第一和第二功能构件尽可能连续地确定车辆事故的相应风险有多大，并且相应地通过对应的事故风险最低的那个功能构件继续引导车辆的控制。尤其提出，在确定第一功能构件遭受故障时，不是在任何情况下都切换到第二功能构件，而是仅在风险分析证明通过第二功能构件进行控制确实降低事故风险时，才切换到第二功能构件。因此，从第一功能构件到第二功能构件的切换与当前行驶情况的评价及必要时与故障状态的评估有关。

用于控制车辆的高度自动化行驶功能包括多个功能构件。用于车辆控制的方法包括如下步骤：在使用第一功能构件的情况下实施该行驶功能；将第一功能构件的表现与规范的表现进行比较；确定第一功能构件的表现偏离规范的表现；当行驶功能继续通过第一功能构件实施时，确定第一事故风险；当行驶功能继续通过第二功能构件实施时，确定第二事故风险；通过对应的事故风险最小的功能构件来实施该行驶功能。

由此能够降低从故障状态的带有错误的确定中得到的事故风险。高度自动化的行驶功能可以更好地被执行，并且驾驶员能够不那么经常地被要求接管对车辆的监控。

一般性地从存在用于功能构件的规范出发。在这种文件方面的故障被专业人员称为oos(超出规范)或e/e(电气/电子)错误。硬件构件的e/e错误能够例如包括实施装置的失灵或两个构件之间的通讯故障。软件构件的e/e错误能够包括不正确的实现、编程错误或缓冲区溢出。e/e故障在至少一个功能构件与规范不同表现时存在。不足够的规范在此不视为故障。

isp故障(在规范中)或功能的不足够性与e/e故障不同，该isp错误或功能的不足够性包括例如由于不利的周围环境条件而不能完全检测物体的传感器；传感器信息的融合，使得不完全反映事实上存在的情况；或情况解释的不足够的规范，使得例如在预测物体的未来运动状态时不能完全预知。

对于能实现正常运行的每个第一功能构件而言，通常必须设置一个能实现应急运行的第二功能构件。第二功能构件或者说切换到该第二功能构件通常不区分isp和oss故障。对于第二功能构件的运行来说却通常不能提供至少一个e/e构件，使得要预计，当第二功能构件在其规范内运行时，第二功能构件的效率小于第一功能构件的效率。

功能构件可以包括硬件、软件或者由它们构成的组合。尤其可以设置多个功能构件，以便实现高度自动化的行驶功能。功能构件本身可以包括多个功能构件，其中，第一和第二功能构件能够分成一个或多个子功能构件。例如，实施装置的处理器可以基于第一或第二功能构件。

第一功能构件能够比第二功能构件更复杂。通过减小的复杂性可以提高第二功能构件的实施安全性。

可以对于其严重性超过预定阀值的事故确定事故风险。换言之，可以仅考虑严重性超过阀值的事故风险。如果事故风险处于阀值以下，那么可以认为各个功能构件的功能正确。严重性可以根据对车辆、对车辆外部的行人或物体的预计损伤来确定。

也可以设置多个第二功能构件，并且对于每个第二功能构件可以确定一个事故风险。如果第二功能构件中的一个的事故风险处于第一功能构件的事故风险之下，那么优选，在第二功能构件继续执行高度自动化的行驶功能。

也能够在第一功能构件的事故风险下降到第二功能构件的事故风险以下时执行从第二功能构件到第一功能构件的切换。

如果被实施的行驶功能的事故风险超过预定的阀值，那么可以引入通过驾驶员对行驶功能的接管。可以平行于要风险最低地运行的功能构件控制车辆来向驾驶员发出警报，以便进一步提供改进的车辆控制。车辆在故障情况下的高度自动化引导可以因此被限制到小程度上。

计算机程序产品包括在其在处理装置上运行或在计算机可读的数据载体上被存储时的用于执行上述方法的程序代码单元。

高度自动化的行驶功能设置成用于执行上述方法。

附图说明

现在参照附图更详细地描述本发明，在附图中示出：

图1具有高度自动化行驶功能的车辆；

图2用于控制图1的车辆的流程图；并且

图3在高度自动化地引导图1的车辆时的风险的插图。

具体实施方式

图1示出具有用于控制车辆100的系统105的车辆100。系统105设置成用于执行高度自动化的行驶功能，尤其用于执行车辆100的纵向或横向控制。为此，系统105包括处理装置110，该处理装置与一个或多个传感器115连接。通过传感器115能够探测车辆100的周围环境，以便例如检测外部物体120。处理装置110也能够与车辆105的另一车载系统连接或集成，以便确定车辆100的行驶参数或行驶状态。

高度自动化的行驶功能由第一功能构件125和第二功能构件130实现，它们为了更容易地理解而在处理装置110内部被示出。每个功能构件125,130能够分别包括硬件构件如通讯接口、实施装置或传感器115，并且还能够包括软件构件如功能块或包括由两者构成的组合。通常在系统105中设置多个功能构件125,130，其中，这些功能构件125,130可以相互连线，以便实现高度自动化的行驶功能。在本实施例中，第一功能构件125实现正常功能，并且第二功能构件130实现应急功能。主功能通常比应急功能构造得更复杂；应急功能例如能够以数量减少的传感器值或花费减少的算法来工作。在该实施例中，这两个功能的目标是，通过相应地影响车辆100的纵向或横向控制来避免车辆100与物体120碰撞。

在一个实施例中，第一功能构件125包括由硬件和软件构成的组合并且设置成用于确定物体120相对于车辆100的运动。在此，硬件可以包括功能构件如超声波传感器115、输入导线、通讯接口和处理装置110。软件可以包括用于传感器115的驱动器和一个或多个功能块，这些功能块由探测出的数据逐步概括出运动数据。在此，可以例如基于车辆100的运动信息来对运动检验可信性，其中，可以对物体120使用一模型，该模型区分行人和另一车辆。

第二功能构件130可以使用相同的硬件，但在软件方面从简化的方案出发。例如可以仅从一般物体120出发，对该物体的运动不基于其他信息来检验可信性，或该物体不被进一步区分为行人或车辆。

监视装置135将第一功能构件125的表现与预定的规范140进行比较，该规范在这里图解地以用于数据库的符号示出。监视装置135也可以与处理装置110集成地实施，并且尤其本身通过一个或多个功能构件125,130来实现。规范140可以例如以正式说明书的形式或以逻辑的形式被预给定。监视装置135可以将处理装置110的输入和输出与规范140进行比较。也可以将功能构件125,130的各个功能块/子构件的中间结果或输入及输出与规范140进行比较。

如果监视装置135确定，第一功能构件125表现得与规范140不一致，那么该监视装置可以停用第一功能构件125并且激活第二功能构件130。为此，监视装置135尤其可以向处理装置110发出信号。

此外，监视装置135可以通过输出装置向车辆110的驾驶员发出光学信号、声学信号或触觉信号，以便要求该驾驶员接管对车辆100的控制。为了该接管，可以给予驾驶员一预确定的最小时间。

这里提出，监视装置135在确定第一功能构件125的表现偏离规范140时不是无条件地切换到第二功能构件130，而是首先检查，是否自动化行驶功能通过第二功能构件130的实施比通过第一功能构件125的继续实施提供更小的事故风险。优选，仅在该情况下进行从第一功能构件125到第二功能构件130的切换。到第二功能构件130的切换也由此被最少化，并且可以减小车辆100的事故风险。

图2示出用于控制图1的车辆100的方法200的流程图。方法200在步骤205中开始，在该步骤中，第一功能构件125被选择成应通过它来实现高度自动化的行驶功能的功能构件。在步骤210中，高度自动化的行驶功能通过选择出的功能构件125,130来实施。

例如，与此平行或周期性地在步骤215中检查，选择出的功能构件125,130的或高度自动化行驶功能的表现与规范140的规定是否相符。如果是这种情况，那么方法200可以回到步骤210中并且重新运行。反之如果确定，探测出的表现处于规范140之外，那么可能由于故障状态而存在车辆100的提高的事故风险。

在该情况下，在步骤220中确定，在通过第一功能构件125继续实施高度自动化的行驶功能时的车辆100的第一事故风险和通过第二功能构件130实施高度自动化行驶功能时的第二事故风险。在另一实施方式中，第一事故风险也可以事先例如在步骤215的范围内已被确定。两个事故风险可以在预确定的事故严重性方面来确定，使得可以仅考虑轻微的例如预计不牵涉人员损伤的事故。

这两个确定的风险相互比较并且确定，是否事故风险事实上在切换到第二功能构件130时比在继续实施第一功能构件125时小。在一个实施方式中，仅考虑通过功能构件125,130用于实施高度自动化行驶功能的事故风险，在另一实施方式中附加地考虑，该切换本身可能带来一定的事故风险。例如，第二功能构件130可以考虑过去时间段中的数据，并且在切换时可以起先不存在用于当前时间点的数据。第二功能构件130的性能可能因此首先被降低，使得可能增大事故风险。如果第二功能构件130较长时间地运行，那么可能不再存在附加风险。

如果确定，可以通过功能构件125,130的切换来减小车辆的事故风险，那么在步骤225中可以选择第二功能构件作为要通过它实现高度自动化行驶功能的功能构件。附加地可以向车辆100的驾驶员发出信号，以便告知他该切换或者要求他接管对车辆100的控制。接下来，该方法可以返回到步骤210中并且重新运行。

从第二功能构件切换返回到第一功能构件125，130能够以相同的方式进行。在另一实施方式中，对于第二功能构件130来说可以排除步骤215，使得可持续检查返回切换，而不仅仅在第二功能构件130处于规范140之外引起运行时才被检查。

图3示出在运行高度自动化的行驶功能时的已避免和未避免的事故的图示300。第一区域305图形示出确定的e/e故障(oos故障)。作为第一区域305的子区域的第二区域310代表未识别的e/e故障。作为第二区域310的子区域的第三区域315表明在规范140之内的系统实现。

无故障的车辆控制在第三区域315中进行，因为在这里，系统105或车辆100如在规范140中被设置的那样来表现。图示上相应于第三区域315与第二区域310之间的量差的第一差别区域320代表由未识别的e/e故障引起的事故。相应于第二区域310与第一区域305的差的第二差别区域325代表根据检测到的e/e故障而被避免的事故。