用于改善运动实体的故障安全轨迹规划的性能的方法和容错计算机架构与流程

本发明涉及一种用于改善运动实体的故障安全轨迹规划的性能的方法，该方法采用至少三个子系统，其中所述子系统中的第一子系统，即，所谓的命令器至少实施传感器融合阶段和轨迹规划阶段；并且其中所述子系统中的第二子系统，即，所谓的监视器至少实施传感器融合阶段和安全包络生成阶段(safeenvelopegeneratingstage)；并且其中传感器正监视运动实体的周围；并且其中命令器和监视器的所述传感器融合阶段接受来自所述传感器的监视的原始传感器数据和/或预处理传感器数据，作为输入；并且其中基于所述输入，命令器和监视器的传感器融合阶段产生从传感器的监视而检测到的目标的实时图像，作为输出；并且其中命令器的轨迹规划阶段至少基于传感器融合阶段的输出产生一个或者多个轨迹；并且其中监视器的所述安全包络生成阶段至少基于监视器的传感器融合阶段的输出产生安全包络；并且其中命令器既对判定子系统又对监视器提供一个或者多个轨迹。

此外，本发明涉及一种用于对运动实体进行故障安全轨迹规划的容错系统，特别是容错计算机系统，其中该系统至少包括三个子系统，其中所述子系统中的第一子系统，即，所谓的命令器至少实施传感器融合阶段和轨迹规划阶段；并且其中所述子系统中的第二子系统，即，所谓的监视器至少实施传感器融合阶段和安全包络生成阶段；并且其中将命令器和监视器的所述传感器融合阶段配置，以接受来自正监视运动实体的周围的传感器的原始传感器数据和/或预处理传感器数据，作为输入；并且其中将命令器和监视器的传感器融合阶段配置，以基于所述输入，产生从传感器的监视而检测到的目标的实时图像，作为输出；并且其中将命令器的轨迹规划阶段配置，以至少基于传感器融合阶段的输出产生一个或者多个轨迹；并且其中将监视器的所述安全包络生成阶段配置，以至少基于监视器的传感器融合阶段的输出产生安全包络；并且其中命令器既对判定子系统又对监视器提供一个或者多个轨迹。

最后，本发明涉及一种自主运动实体，该自主运动实体包括至少一个容错系统，如上所述。

背景技术：

在没有人连续干预的情况下，运动实体在三维空间中的自主操纵要求运动实体既有对使运动实体能够沿着其安全地运动的轨迹实施规划的能力，又有对其周围实施识别的能力。我们将这种轨迹称为安全轨迹。运动实体借助基于计算机的系统(包含传感器和致动器)实现这种功能。基于计算机的系统的部件可能例如因为随机硬件故障而发生故障。因此，如果这种故障未得到适当处理，则有错计算机系统可能计算出不安全的轨迹，例如，导致沿着该轨迹的运动实体与目标发生碰撞的轨迹。利用适当的冗余机制和容错机制，能够缓解计算机系统的故障。

技术实现要素：

本发明的目的是公开一种用于改善运动实体的故障安全轨迹规划的性能的新颖方法和系统。

该目的由技术领域中描述的方法和容错系统满足，其中当且仅当所述轨迹完全位于监视器的安全包络生成阶段产生的所述安全包络内时，监视器的轨迹验证阶段才验证命令器产生的轨迹；并且其中仅当监视器已验证所述轨迹时，运动实体才使用命令器产生的轨迹。

在监视器中的实施轨迹验证阶段有好处，因为与判定子系统相比，监视器可以实施更多和/或更强的计算资源(例如，存储器、cpu核、gpu等)。

因此，在监视器中执行轨迹的验证可以使用这些更多和/或更强的计算资源，从而改善故障安全轨迹规划的性能。

通常，该方案并不局限于附图所示的具体示例，判定子系统可以例如根据iso26262标准遵循严格的设计原则实现为简单部件，例如，定义的asild部件。因此，将复杂性从判定子系统转移到监视器子系统使得设计判定子系统更加简单。

由于通过在监视器中执行轨迹验证能够更加简单地实现判定子系统，所以完成另一种性能改善：不太复杂的硬件能够用于判定子系统和/或不需要使用判定子系统的太多计算资源。对于后者，释放的计算资源可重新用于本说明书中未讨论的其他功能。

下面将详细说明上面描述的方法和容错系统的有利实施例：

·可提供信息分布，通过该信息分布，将命令器产生的轨迹或各轨迹传递到监视器和判定子系统；

·所述信息分布可实施防止在监视器与判定子系统之间发生不一致消息分布的机制，诸如加密签名和/或校验和，和/或类似机制；

·监视器中的轨迹验证阶段还将命令器产生的并且由监视器收到的轨迹提供给判定子系统，并且仅当从命令器直接收到的轨迹等同于从监视器收到的轨迹时，判定子系统才采用命令器产生的轨迹；

·命令器可以实施信息合并阶段，该信息合并阶段取命令器的传感器融合阶段的至少部分输出和监视器的传感器融合阶段的至少部分输出作为信息，并且组合所述信息，以产生输出，并且其中当产生一个或者多个轨迹时，命令器的轨迹规划阶段使用所述信息合并阶段的所述产生的输出，或者命令器可以实施信息协商阶段，即，所谓的第一信息协商阶段，其中所述第一信息协商阶段取来自传感器的至少部分原始传感器数据和/或预处理传感器数据作为信息，并且还取指出监视器将在其传感器融合阶段中会使用哪个传感器数据的信息，其中所述第一信息协商阶段将关于所述传感器数据和信息的信息提供给轨迹规划阶段，并且其中所述轨迹规划阶段使用来自所述第一信息协商阶段的所述信息，并且优选地使用监视器的已知特征在命令器的传感器融合阶段提供的实时图像周围增加安全裕度，并且其中所述轨迹规划阶段产生轨迹，所述轨迹既不与命令器的传感器融合阶段产生的实时图像交叉，又不与该实时图像周围的所述安全裕度交叉；

·监视器可实施信息协商阶段，即，所谓的第二信息协商阶段；

·指出监视器将在其传感器融合阶段中会使用哪个传感器数据的信息可由第二信息协商阶段提供；

·信息合并阶段可利用集论超集运算将来自传感器融合阶段的输出组合，以产生输出，或者在传感器融合阶段产生自由空间作为输出的情况下，信息合并阶段可利用集论截集运算将来自传感器融合阶段的输出组合；

·监视器的已知特征可包括或者由传感器融合阶段和/或安全包络生成阶段和/或轨迹验证阶段中采用的算法构成；

·可提供后备子系统，其中所述后备子系统至少实施传感器融合阶段和轨迹规划阶段，使得后备子系统能够产生轨迹，并且其中当命令器产生的轨迹未被判定阶段验证时，提供后备子系统产生的轨迹或各轨迹供运动实体使用；

提供至少三个子系统，即，命令器、监视器和判定子系统，这三个子系统例如形成计算机系统。假定在任意时间点或者命令器或者监视器或者判定子系统可能发生故障，而非两个或者三个所述子系统在同一个时间点发生故障。

命令器产生轨迹。监视器计算安全轨迹的空间(称为安全包络)。在一个实现中，判定子系统接受来自命令器的轨迹和来自监视器的安全包络，并且当且仅当命令器产生的轨迹的确位于监视器计算的安全包络内时，才成功验证来自命令器的轨迹。如果该轨迹被判定子系统(成功)验证，则运动实体仅沿着该轨迹运动。

对于故障情况，命令器可产生不安全轨迹，或者监视器可产生错误性安全包络。然而，设计判定子系统，使得即使在发生故障的情况下，仍确保当且仅当所述命令器轨迹位于监视器产生的/计算的安全包络内时，判定子系统才验证命令器轨迹(即，命令器产生的轨迹)。例如，通过根据良好既定工程工艺和标准将判定子系统构造成简单部件，例如，通过根据iso26262标准将判定子系统设计为asild部件，或者根据do178c和do254标准将其设计成简单器件，可以建立判定子系统的这种故障模式。作为另一种选择，判定子系统本身可实现为自检对。ep3166246a1和wo2015/058224a1中描述了自检对实现的示例。

由于或者命令器或者监视器或者判定子系统可能发生故障，而非任意两个或者三个子系统在同一个时间点发生故障，所以判定子系统永远不会成功验证不安全的命令器轨迹，并且因此，运动实体不沿着不安全的命令器轨迹运动。

在实现中，监视器可以接收来自命令器的轨迹，并且还可以实施验证功能(而非判定子系统)。在这种情况下，监视器将其是否成功验证命令器轨迹通知判定子系统。这样实施的好处是使得判定子系统更加简单，这有助于支持其故障行为，如上所述。

由于命令器和监视器的硬件优选地不相同，并且/或者命令器和监视器不使用相同的输入并且/或者将实施不同的软件例程并且/或者在任何其他方面互相不同，所以命令器产生的确安全的轨迹，而监视器产生确实与命令器轨迹对应的安全包络具有非零的概率。将这种安全轨迹由命令器计算而未被监视器(或判定子系统)成功验证称为错误否定。

错误否定有问题，因为计算机系统不能将错误否定与命令器的故障区别开。在示例性实现中，错误否定可导致运动实体进入紧急状态，或者切换到更冗余的后备装置，但是却没有发生故障。因此，为了避免发生这种情况，将发生错误否定的概率降低到最低至关重要。

本发明的有利实施例通过由监视器对命令器提供用于轨迹规划的信息降低发生错误否定的概率。该附加信息能够可是如下中的一个或者多个：

·来自监视器的用于特征化安全包络的信息；

·线上交换关于命令器和监视器的传感器输入的信息；

·线下计算的用于描述命令器轨迹计算与监视器安全包络计算之间的最大差异的参数。

命令器以安全方式将来自监视器的信息与其自己对环境的感知合并。一般地说，监视器的信息即关于监视器感知到的运动实体周围的自由空间的信息。命令器本身也具有对所述自由空间的感知。命令器中的信息合并以命令器规划轨迹的方式完成，使得该轨迹将只处于命令器感知到的自由空间和监视器感知到的自由空间中。该合并过程的示例是命令器和监视器感知到的自由空间的集论截集和命令器和监视器感知到的目标的集论超集。

附图说明

为了进一步说明本发明，下面讨论说明性而非限制性的实施例，如图所示，附图示出：

图1示出根据现有技术的轨迹规划的示例，

图2示出根据现有技术的命令器子系统的示例，

图3示出根据现有技术由有错命令器子系统产生的轨迹的示例，

图4示出根据现有技术包括命令器、监视器和判定子系统的容错计算机架构的示例，

图5示出命令器、监视器和判定子系统的示例，

图6示出根据现有技术的轨迹规划的示例，

图7示出轨迹规划的示例，

图8示出命令器、监视器和判定子系统的示例，

图9示出命令器、监视器和判定子系统的示例，

图10示出轨迹规划的示例，

图11示出命令器、监视器和判定子系统的示例，

图12示出轨迹规划的示例，

图13示出命令器、监视器、判定以及后备子系统的示例，

图14示出轨迹规划的示例，以及

图15示出命令器、监视器和判定子系统以及具有所述子系统的网络连接传感器的示例。

具体实施方式

接着，我们将讨论本发明的许多实施中的某些实施。除非另有说明，结合特定示例描述的全部详情不仅结合该示例有效，而且适用于本发明的总体保护范围。

图1示出运动实体mov的轨迹规划的当前现有技术。运动实体mov装备有各种传感器sens1、sens2、sens3。这些传感器使得mov能够检测到位于运动实体mov周围的目标obj1、obj2。由于传感器不完善，所以运动实体mov不能精确计算目标obj1、obj2的地点、大小和速度(以及必需的其他参数)。运动实体mov仅能够近似计算目标obj1、obj2的地点、大小(和必需的其他参数)。目标obj1、obj2的这些近似值分别由所谓的实时图像com-obj1、com-obj2表示。mov将目标obj1、obj2的实时图像com-obj1、com-obj2用作输入来计算安全轨迹com-trj1。轨迹计算的其他输入可以是例如预设目的地、定位信息(例如，全球定位系统－gps)、地图信息和/或关于运动实体mov的诸如速度、加速度、车辆动力、度量等的内部状态的信息。

图2示出子系统com，即，所谓的“命令器”的示例。为了产生轨迹(或各轨迹)，命令器com包括软件处理和硬件处理。传感器sens1、sens2、sens3、sensk、……sensk1正在测量运动实体mov所在的环境的物理参数。这些传感器的示例有：单目相机和立体相机、超声波传感器、光检测和测距(lidar)传感器、雷达等。传感器测量的数据可视情况在预处理阶段pre-proc进行处理。将所述任选预处理阶段pre-proc的和/或原始传感器数据的输出作为输入提供给命令器的传感器融合阶段sf1，该传感器融合阶段sf1使传感器信息融合，并且作为输出提供对围绕运动实体mov的环境的感知。

在这方面，应当注意，运动实体mov通常以大于0的速度运动。然而，运动实体mov也可以处于0速度或者0速度并且0加速度的状态。在这种情况下，传感器还可以如上所述测量数据，该数据用于产生对也处于所述0速度状态的环境的感知。

特别是，对围绕运动实体mov的环境的这种感知可以包含：例如实时图像com-obj1、com-obj2形式的信息，例如，目标obj1、obj2的地点、大小和运动的信息；和/或传感器测量值的边界的，例如，如图1所示边界com-bnd的信息；和/或关于围绕运动实体mov的环境中已知未被任何目标占据的自由空间的一般信息。

此外，命令器com包括轨迹规划阶段trj-pln。轨迹规划阶段trj-pln将传感器融合阶段sf1的输出用作输入。可以假定除了传感器融合阶段sf1的所述输出，许多其他输入也用于轨迹规划阶段trj-pln。到轨迹规划阶段trj-pln的其他输入可以是预设的目的地、定位信息(例如，根据全球定位系统－“gps”)、地图信息和/或关于运动实体mov的内部状态的信息，诸如运动实体mov的速度、加速度、稳定性量度等。作为输出，轨迹规划阶段trj-pln产生一个或者多个轨迹。

图3示出因为命令器子系统com发生内部故障，命令器子系统com计算的不安全轨迹。如图所示，在该例中，轨迹com-trj1与实时图像com-obj2相交，并且如果运动实体mov沿该不安全轨迹com-trj1运动，则该运动实体mov将与目标obj2发生碰撞。

本发明的目的是防止发生这种状况，同时显著降低假阴性的概率。

图4示出运动实体mov的故障安全轨迹规划的现有技术。在该例中，用于轨迹规划的基于计算机的系统ftca包括：图2中讨论的命令器子系统com；附加监视器子系统mon，即，所谓的“监视器”；以及判定子系统decide，下面还称为“判定子系统”。

通常既根据本发明又根据现有技术，子系统命令器com、监视器mon和判定子系统decide形成容错计算机架构(“ftca”)。

监视器mon在该例中取来自传感器sens3、sensk、和sensk1的传感器数据作为输入，命令器com取来自传感器ses1、sens2、sens3的数据作为输入。通常，对命令器com和监视器mon使用哪个传感器的指定在设计基于计算机的系统时定义，并且甚至可在操纵运动目标时改变。在一种极端情况下，命令器com和监视器mon可使用相同的传感器数据。在另一种极端情况下，命令器com和监视器mon可使用传感器数据的分离集。在另一种情况下，监视器mon可使用命令器com使用的一个子组的传感器。在这种情况下，监视器mon能够在预处理阶段pre-proc2视情况预处理其传感器数据，监视器mon包括该预处理阶段pre-proc2，如图4所示。

将如图4所示的任选pre-proc2的输出和/或原始传感器数据提供给监视器mon的传感器融合阶段sf2。传感器融合阶段sf2产生对围绕运动实体mov的环境的感知。特别是，该感知可以包含：目标obj1、obj2的地点、大小和运动(以及必要的其他参数)的信息(例如，实时图像mon-obj1、mon-obj2形式的)；传感器测量值的边界，例如，图6中的边界mon-bnd；和/或关于围绕运动实体mov的环境中的自由空间的一般信息。

此外，监视器mon包括安全包络生成阶段env。传感器融合阶段sf2的输出被所述安全包络生成阶段env用作输入来产生安全包络(还称为“安全包络”或“包络”)。可将为了产生安全包络而对安全包络生成阶段env提供的其他可能输入预设为目的地、定位信息(例如，全球定位系统－gps)、地图信息和/或关于运动实体mov的内部状态的信息，诸如，运动实体的速度、加速度、稳定性量度等。

安全包络是安全轨迹的空间，即，所述安全包络内的所有轨迹是安全轨迹。

如图4所示的计算机系统的命令器如已结合图2描述的那样工作。

如上所述，此外，还提供判定子系统decide，该判定子系统decide实施轨迹验证阶段trj-vrfy，该轨迹验证阶段trj-vrfy例如利用接口com-out接收来自命令器com的轨迹，并且例如利用接口mon-out接收来自监视器mon的相应安全包络。轨迹验证阶段trj-vrfy验证来自命令器子系统com的轨迹是否落在监视器子系统mon产生的安全包络内。如果来自命令器com的轨迹的确在监视器mon的安全包络内，判定子系统decide则会判定该轨迹被轨迹验证阶段trj-vrfy成功验证。然后，例如利用接口decide-out，判定子系统decide提供命令器com产生的、已成功验证的轨迹，供运动实体mov进一步使用。运动实体mov将对其致动器执行控制，从而因此沿着所述轨迹运动。

图5示出在监视器子系统mon中，而非(或者除了)在判定子系统decide中实施轨迹验证阶段的运动实体mov的故障安全轨迹规划。在监视器mon中的实施有好处，因为与判定子系统decide相比，监视器mon可以实现更多和/或更强的计算资源(例如，存储器、cpu核、gpu等)。通常，并且该方案并不局限于附图所示的特定示例，判定子系统decide可以例如根据iso26262标准遵循严格设计原则实现为简单部件，例如被定义为asild部件。因此，将复杂性从判定子系统decide转移到监视器子系统mon使得设计判定子系统decide更加简单。然后，监视器子系统mon利用接口mon-out将其是否成功验证来自com的轨迹通知判定子系统decide，并且判定子系统decide将判定命令器com产生的轨迹是否可被运动实体mov使用。由于判定子系统decide使用命令器com和监视器mon的输出，所以其能够处理命令器com或监视器mon呈现故障的情况。

在这种方式中，在从命令器com中的轨迹规划阶段trj-pln到mon中的轨迹验证阶段trj-vrfy以及到判定子系统decide的信息分布prot中可能存在潜在的不一致性，因为在命令器子系统com发生故障的情况下，信息分布prot的故障使得轨迹验证阶段trj-vrfy和判定子系统decide收到不同的轨迹。

为了克服这些限制，可以假定由信息分布prot实现众所周知的概念。例如，可以密码方式或利用校验和对轨迹规划阶段trj-pln的输出签名，并且仅当签名和/或校验和正确时，才判定不仅判定子系统decide而且轨迹验证阶段trj-vrfy都接受该轨迹。

作为另一种选择，轨迹验证阶段trj-vrfy不仅能够将成功验证命令器轨迹的信息提供给判定阶段decide，而且可以将命令器轨迹本身提供给判定子系统decide。因此，如果其各自通过接口com-out、mon-out既从监视器mon又从命令器com接收相同的轨迹，则判定阶段decide仅通过其接口decide-out转发该轨迹。“命令器轨迹”指的是命令器产生的轨迹。

为了简洁起见，在对许多可能的实现所做的进一步描述中，我们假定在监视器子系统mon中实施轨迹验证阶段trj-vrfy。按照图4和图5的示例，能够容易地获得在判定子系统decide中实施轨迹验证阶段trj-vrfy的实现，并且下面的描述同样适用于在判定子系统decide中实施轨迹验证阶段trj-vrfy的安排。

图6示出与图1所示状况类似的状况。根据图6，运动实体mov实施故障安全轨迹规划，如图5所示。因此，图6不仅示出由命令器的传感器融合阶段的输出产生的实时图像com-obj1、com-obj2，而且示出由监视器传感器融合阶段的输出产生的实时图像mon-obj1、mon-obj2。在这种情况下，监视器mon建立的安全包络可以由例如监视器边界mon-bnd内的、实时目标mon-obj1、mon-obj2之外的完全自由空间构成。

在该例中，监视器产生的第一实时目标mon-obj1完全围绕命令器产生的第一实时目标com-obj1，而监视器产生的第二实时目标mon-obj2与命令器产生的第二实时目标com-obj2部分地重叠。

根据当前的现有技术，当计算轨迹com-trj1时，命令器com不使用关于监视器的mon安全包络的信息。因此，如图所示，可能偶然发生轨迹com-trj1与监视器mon产生的实时目标mon-obj1交叉的情况。因此，轨迹验证阶段trj-vrfy根据所示的示例位于监视器mon中，而且如上所述也可位于判定子系统decide中，其验证监视器计算的轨迹com-trj1不(完全)位于监视器的安全包络semon内，因此，产生错误否定。

图7示出与图4类似的情况。此外，命令器com和监视器mon发觉目标obj1和obj2稍许不同，即，命令器com产生实时图像com-obj1、com-obj2，而监视器mon产生实时图像mon-obj1、mon-obj2。然而，在这种状况下，命令器com产生轨迹com-trj2，作为轨迹规划阶段trj-pln的输出，该轨迹com-trj2不与监视器mon产生的实时目标mon-obj1交叉，也不与监视器mon产生的实时目标mon-obj2交叉，并且因此，在轨迹验证阶段trj-vrfy中鉴定其位于监视器mon计算的安全包络semon内。因此，以高概率保证命令器com系统性地产生这些轨迹，并且不显著发生错误否定。

图8示出在错误否定减少的情况下的故障安全轨迹规划的示例。传感器sens1、……、sens3、sensk、sensk1感测环境，并且将其传感器读数提供给至少两个子系统，即，命令器com和监视器mon。命令器com实施(任选的)预处理阶段pre-proc、传感器融合阶段sf1以及轨迹规划阶段trj-pln，如根据图2所述。监视器mon实施(任选的)预处理阶段pre-proc2、传感器融合阶段sf2、安全包络生成阶段env以及轨迹验证阶段trj-vrfy，如根据图5所述。此外，命令器com实现信息合并阶段mrg。信息合并阶段mrg不仅取监视器mon的传感器融合阶段sf2的输出而且取命令器的传感器融合阶段sf1的输出或者至少部分这些输出作为输入。信息合并阶段mrg将传感器融合阶段sf1、sf2的所述两个输出(或其各自部分)组合，并且将所述两个输出(或其各自部分)的组合作为输入提供给轨迹规划阶段trj-pln。

图9示出图8的类似结构，差别在于在此由判定子系统decide实施轨迹验证阶段trj-vrfy。

图10示出基于图7所示状况，命令器com的信息合并阶段mrg的示例性输出。信息合并阶段mrg利用集论超集(set-theoreticsuperset)将来自传感器融合阶段sf1、sf2的输出，即，实时图像或部分所述实时图像com-obj1、com-obj2、mon-obj1、mon-obj2组合，以产生合并目标mrg-obj1、mrg-obj2，作为输出。在示例性实施中，可将实时目标com-obj1、com-obj2、mon-obj1、mon-obj2描述为几何形状，例如，描述为两个二维区域(利用特定地点)，并且传感器融合阶段sf1、sf2可以将所述几何形状及其相对位置的信息以坐标的形式提供给运动实体mov。同样，可将合并目标mrg-obj1、mrg-obj2描述为几何形状，并且信息合并阶段mrg可将所述几何形状及其相对位置的信息以坐标的形式提供给运动实体mov。根据所示的示例，如果实时目标由两个二维区域表示，则第一目标obj1的第一合并目标mrg-obj1是对应于命令器com的第一实时目标com-obj1和监视器mon的第一实时目标mon-obj1覆盖的全部区域的区域。第二目标obj2的第二合并目标mrg-obj2是对应于命令器com的第二实时目标com-obj2和监视器mon的第二实时目标mon-obj2覆盖的全部区域的区域。在所示的特定示例中，第一合并目标mrg-obj1对应于监视器mon的第一实时目标mon-obj1，因为命令器的第一实时目标com-obj1完全位于监视器mon的第一实时目标mon-obj1内。

为了使描述简洁起见，在不限制其一般性适用的情况下，我们基于实时图像com-obj1、com-obj2、mon-obj1、mon-obj2的概念进一步讨论本发明。例如，传感器融合系统可以提供目标融合、网格融合(gridfusion)、地图融合和其他输出。本发明给出的概念也适用于这些类型的输出，因为其还能够被看作实时图像com-obj1、com-obj2、mon-obj1、mon-obj2的一部分，并且/或从理论上说，实时图像com-obj1、com-obj2、mon-obj1、mon-obj2能够由所示类型的输出求得。例如，在另一个示例性实现中，传感器融合阶段sf1、sf2可将(估计的)自由空间(未被实时目标com-obj1、com-obj2、mon-obj1、mon-obj2占据的空间)的信息作为输入提供给信息合并阶段mrg。然后，信息合并阶段mrg可对所述输入信息应用集论截集(set-theoreticcut-set)，从而将该输入组合。

上面关于本发明基于实时图像的概念的描述在技术上与基于“自由空间”的概念的描述相同的陈述不仅对于该描述的语境有效，而且在本发明的整个范围内有效。

本发明的要素是信息合并阶段mrg的运算是安全的。这意味着，即使在对命令器com提供错误安全包络的监视器mon发生故障的情况下，信息合并阶段mrg的运算仍不使命令器子系统com的轨迹规划阶段trj-pln产生不安全轨迹。上面将信息合并阶段mrg的这种安全运算的两个示例描述为集论超集和集论截集，但是所述集论运算的精神中的其他安全运算也适用。

术语“集论超集”指的是信息合并阶段mrg以信息合并阶段mrg的输出mrg_obj1至少完全含有单独的com_obj1、mon_obj1，而输出mrg_obj2至少完全含有单独的com_obj2,mon_obj2的方式组合各自目标obj1的实时图像com_obj1、mon_obj1或部分所述实时图像com_obj1、mon_obj1，并且组合另一个目标obj2的实时图像com_obj2、mon_obj2或部分所述实时图像com_obj2、mon_obj2。

术语“集论截集”指的是信息合并阶段mrg以信息合并阶段mrg的输出mrg_obj1仅含有单独的实时图像com_obj1、mon_obj1的重叠部分，而输出mrg_obj2仅含有单独的实时图像com_obj2、mon_obj2的重叠部分的方式组合各自目标obj1的实时图像com_obj1、mon_obj1或部分所述实时图像并且组合另一个目标obj2的实时图像com_obj2、mon_obj2或部分所述实时图像。

应用的某些传感器融合系统使概率与其各自识别的目标、其估计的自由空间关联。例如，可对监视器对目标mon-obj2的mon感知分配概率x％(以概率x％检测到该目标)。在这种情况下，即，如果监视器mon关于其安全包络的信息是随机性质的，则命令器com和监视器mon在设计时已经定义概率阈值trsh，或监视器mon在包括命令器com、监视器mon和判定子系统decide的系统/fcta运行时将有关概率阈值trsh通知命令器com，使得命令器com能够将概率信息翻译为确定性信息。例如，仅当概率x大于概率阈值trsh时，命令器com才可接受监视器的目标感知mon-obj1，否则丢弃所述目标感知mon-obj1。在监视器mon将关于自由空间的概率信息提供给命令器com的情况下，该类似方式继续。

图11示出在错误否定减少的情况下故障安全轨迹规划的另一个示例。传感器sens1、……、sens3、sensk、sensk1感测环境并且将其传感器读数提供给两个子系统，即，命令器com和监视器mon。命令器com实施(任选)预处理阶段pre-proc、传感器融合阶段sf1和轨迹规划阶段trj-pln，如根据图2所述。监视器mon实施(任选)预处理阶段pre-proc2、传感器融合阶段sf2、安全包络生成阶段env和轨迹验证阶段trj-vrfy，如根据图5所述。此外，命令器com实施信息协商阶段agr1。视情况，如图所示，监视器mon也可以实施信息协商阶段agr2，即，所谓的第二信息协商阶段agr2。

监视器mon将关于监视器的传感器读数的信息提供给命令器com，例如，监视器mon将全部传感器读数和/或预处理数据送到命令器com，或者监视器mon将传感器读数和/或预处理数据的汇总和/或监视器的传感器读数、预处理传感器数据和汇总的组合送到命令器com。

命令器com可视情况将关于命令器的传感器读数的第二信息提供给监视器mon，例如，命令器com将全部传感器读数和/或预处理数据送到监视器mon，或者命令器com将传感器读数和/或预处理数据的汇总和/或命令器的传感器读数、预处理传感器数据和汇总的组合送到监视器mon。

例如，命令器com的信息协商阶段arg1排列于预处理阶段pre-proc与命令器com的传感器融合阶段sf1之间。监视器mon的任选第二信息协商阶段agr2可各自地排列于监视器mon的预处理器pre-proc2与传感器融合阶段sf2之间。命令器com的信息协商阶段agr1接收来自监视器mon的预处理阶段pre-proc2的所述第一信息，并且视情况，如果提供，则监视器mon的信息协商阶段arg2接收来自命令器com的预处理阶段pre-proc的所述第二信息。

如果命令器com和监视器mon都包括信息协商阶段，如图11所示，则其信息协商阶段agr1、agr2可以交换信息，使得命令器com知晓监视器mon正在使用哪个传感器数据。在另一个示例性实现中，监视器mon还能够利用信息来知晓命令器com正在使用哪个传感器数据。

有利的是，通过利用信息协商阶段agr1、agr2之间的信息通道inf建立协商，如图11所示，命令器com和监视器mon能够于信息协商阶段agr1、agr2协商其将使用哪个传感器数据。

此外，图11示出更有利选项，根据该选项，通过从其信息协商阶段agr1到其轨迹规划阶段trj-pln的信息通道inf1，命令器com可将所述第一信息或由所述第一信息求得的信息传递到轨迹规划阶段trj-pln。作为另一种选择，或者此外，可以假定通过监视器mon的信息协商阶段agr2与监视器的轨迹验证阶段trj-vrfy之间的信息通道inf2，监视器mon也将所述第二信息或由所述第二信息求得的信息传递到轨迹验证阶段trj-vrfy。

然后，当计算轨迹com-trj2时，命令器com中的轨迹规划阶段trj-pln使用关于监视器mon处理的传感器数据和/或在信息协商阶段agr1、agr2中在命令器com与监视器mon之间建立的协商的信息。在一个示例性实现中，当计算轨迹com-trj2时，命令器com使用轨迹规划阶段trj-pln中的全部或者部分所述第一信息并且还优选地使用关于监视器mon的特定实现的知识(“已知特征”)(例如，不同阶段采用的算法，即传感器融合阶段sf2、安全包络生成阶段env及轨迹验证阶段trj-vrfy中采用的算法)。

如图12所示，在一个实现中，在计算轨迹com-trj2之前，轨迹规划阶段trj-pln将传感器融合阶段sf1提供的实时图像com-obj1、com-obj2放大预定裕度delta，获得实时图像com-obj1-s、com-obj2-s。

在另一个实施中，在计算轨迹com-trj2之前，轨迹规划阶段trj-pln将传感器融合阶段sf1提供的实时图像com-obj1、com-obj2放大裕度delta，获得实时图像com-obj1-s、com-obj2-s，其中delta是在运行时基于命令器com与监视器mon之间交换的信息计算的，如结合图11所述。

图13示出在具有低错误否定的情况下使用无声故障轨迹规划(fail-silenttrajectoryplannin)的容错架构。图13基于结合图8描述的排列(具有其所有可能的选项)。图13所示的架构还可以基于图5或图9或图11所示的排列，具有其所有可能的选项。现在，根据图13所示的容错架构，实施额外后备fb。后备fb实施传感器融合阶段sf3、轨迹规划trj-pln，并且视情况实施传感器预处理阶段pre-proc3。在判定阶段decide从监视器mon(或判定阶段decide)成功验证未处于安全包络中的命令器com收到轨迹com-trj1的情况下，判定阶段decide将使运动实体mov采用后备fb产生的轨迹，而非命令器com产生的轨迹。由于错误否定的概率低，所以仅在命令器com或监视器mon真实发生故障的情况下，发生这种状况的概率高。

图14示出例如无人机(unmannedaeronauticalvehicle)(uav)形式的运动实体mov在三维中的轨迹规划。在此，目标obj投影于三维空间的三个平面中，并且以其投影的方式(命令器：实时图像com-obj-xy、com-obj-xz、com-obj-yz；监视器：实时图像mon-obj-xy、mon-obj-xz、mon-obj-yz)示出命令器com和监视器mon产生的实时图像。通过在这些平面上进行投影，如上所做的类似描述，对错误否定概率低的故障安全轨迹规划建议的方法适用于该设置。

图15示出减少错误否定的故障安全轨迹规划的另一个示例。在此，传感器sens1至sens3、sensk、sensk1不直接连接到命令器com和监视器mon子系统，而是通过网络netw间接连接。通常，任意组的传感器可以直接地或者通过网络连接到子系统。在所有示例中均可提供如图15所示的排列，如图5、8、9、11或13所示，而非传感器直接连接到命令器com、监视器mon以及(在图13所示的排列中)后备fb。