具有预期功能的保障的行驶动态系统的测量数据分析评价的制作方法

文档序号:26673318发布日期:2021-09-17 23:22阅读:80来源:国知局
具有预期功能的保障的行驶动态系统的测量数据分析评价的制作方法

1.本发明涉及一种对来自车辆环境的物理观察的测量数据的分析评价用以在控制车辆的行驶动态系统时的进一步处理。


背景技术:

2.对于完全或者部分自动化地实施预给定行驶任务的车辆的行驶动态系统的安全性尤其以出现非期望事件的概率来测量。在客户规范或者官方批准规定的范畴中,例如可以要求关于“这种概率低于例如为10
‑7/h的目标值”的证明。随着行驶动态系统的复杂度提高导致这种证明越来越费事。
3.de10220811b4公开了一种根据分别待实施的功能的复杂性给待监测的安全性关键的系统划分等级的方法。以这种方式,监测变得更清晰和更易理解。


技术实现要素:

4.在本发明的范畴中,开发了一种用于分析评价测量数据的方法,所述测量数据已通过多个传感器通过对车辆的环境,和/或对一个或多个运行状态的物理观察获得。该分析评价用于行驶动态系统的目的,该系统构造为用于,通过操控车辆的至少一个促动器至少部分自动化地实施至少一个预给定的行驶任务。
5.在该方法中,来自第一组传感器的测量数据通过功能分析评价模块处理成功能信号。该功能信号如此实现,使得当将该功能信号馈送给行驶动态系统时,该功能信号安排行驶动态系统来实施行驶任务。
6.尤其,该第一组例如可以包括车辆上现有的、其测量数据对于行驶任务的实施来说相关的所有传感器。行驶任务例如可以在于,车辆在拥堵中自动地运动,例如在相应于sae标准j3016的等级3的拥堵导航(staupilot)的范畴内。
7.将来自第二组传感器的测量数据至少通过第一安全性分析评价模块处理为第一安全性信号。该安全性信号这样实现,使得当该第一安全性信号馈送给行驶动态系统时,该第一安全性信号安排行驶动态系统避开车辆的、预给定的非期望事件。
8.在此,传感器的第二组包含第一组的真子集。这意味着,存在不仅属于第一组并且属于第二组的传感器交集,而第二组不与第一组重合。
9.有利地,待避开的非期望事件例如可以包含车辆的前部碰撞、车辆的后部碰撞,和/或车辆从其车道偏离,和/或侧向碰撞。这些事件是事故的主要原因。
10.在具体的待避开的非期望事件的方面,第二组例如还可以包含没有包含在第一组中的附加传感器。这些传感器例如可以用于对在用于避开非期望事件的具体行驶动力学措施中所使用的促动器或者其他车辆系统的状态监测。因此,例如为了避开前部碰撞可能使车辆制动。安全性分析评价模块则例如能够检查,制动器是否完全有功能能力,或者是否存在制动效果受损害的迹象。这种迹象例如可以是制动液体的低液位、制动系统中的低压、高制动衬片磨损、制动液体的提高的水含量或者制动器的提高的温度。如果存在制动效果可
能受损害的迹象,则安全性分析评价模块例如可以比功能分析评价模块更早地触发制动,该功能分析评价模块在制动器同时功能能力完全的情况下从观察交通状况出发。
11.功能信号与一个或多个安全性信号汇总成能输出给行驶动态系统的操控信号。该汇总例如可以以任意方式这样构型,使得在有疑惑的情况下优先考虑安全性。
12.已知,通过功能分析评价模块和安全性分析评价模块之间的任务分配来缓解一方面行驶任务的尽可能良好的可用性和实施与另一方面安全性的确保之间的基本目标冲突。
13.在实施首要行驶任务时的改进通常伴随着为了该行驶任务所考虑的测量数据的分析评价的复杂性更高。尤其,这种改进通常通过以下方式实现:考虑来自更多传感器的测量数据,和/或从测量数据中推导出更详细的信息。
14.在先前所提及的拥堵导航示例中,值得希望的例如是,该行驶为了最大行驶舒适度而尽可能安静且均匀地进行。同时,车辆也应如下良性地表现:避免与在前行驶车辆中的一个在前行驶车辆的碰撞以及使后方跟随的车辆不超过必要地停滞。如果车辆例如对在前行驶车辆的制动太晚地作出反应并且必须与此相应地强烈地制动,则后方跟随的车辆可能在人类驾驶员的反应时间期满之后才能够对此作出反应并且必须还更强烈地制动。该效应以增强的形式从车辆递送至车辆,直至某时所有后方跟随车辆必须制动至静止状态。因此,不但现有的拥堵被恶化。呈延迟的且为此增强的制动的形式的最小原由甚至可能增进成所谓的“无端拥堵”。
15.为了抑制这种效应,例如可以以“尽可能早地识别在前行驶车辆的意图”为目标地使用附加的传感器或者附加的分析评价方法。但由此,对可能的故障功能的概率进行展望(
ü
berblicken)变得越来越困难。即,整个系统的故障功能不仅可能在狭义上由于所使用的传感器的或者算法的故障功能产生,而且也可能由于出现对按常规正常工作的传感器仍过度要求的非期望状况产生。即,例如当低位阳光直接射入到图像传感器上时,大多摄像机过载。例如,在处于拥堵中的车辆之间横穿车道的、身穿皮外套(pelzmantel)的行人也不被超声波传感器及时地识别,因为皮外套吸收超声波。这种非期望状况的概率随着其测量数据被功能分析评价模块所考虑的传感器数量的提高而提高。
16.安全性分析评价模块能够与伴随预给定的行驶任务的、唯一且仅用于该任务的复杂性无关地避免预给定的非期望事件。显著更少的传感器的信号通常符合于此,并且分析评价也能够与此相应地更简单地构型。通常,经减小的观察区域也是足够的。这意味着,安全性分析评价模块的复杂性与真正的行驶任务的复杂性脱耦。但安全性分析评价模块构建得越简单,则越简单地引起以下证明:安全性分析评价模块允许非期望事件最高以预给定的概率发生。该证明能够代替关于“明显更复杂的功能分析评价模块拦截(abfangen)该非期望事件”的证明而出现。
17.因此,对于整个系统所实现的优点是,一个或多个安全性分析评价模块的上述可简单引起的证明足以能够在整体上保证针对出现非期望事件所预给定的最大概率。
18.在一种特别有利的构型中,附加地将来自第三组的传感器的测量数据通过第二安全性分析评价模块处理为第二安全性信号。该第二安全性信号这样实现,使得当该第二安全性信号馈送给行驶动态系统时,该第二安全性信号安排行驶动态系统以避开车辆的、预给定的非期望事件。在此,第三组与第二组不同,即不重合。
19.例如,第一和第二安全性分析评价模块可以用于,避开同一非期望事件。如果例如
其测量数据被两个安全性分析评价模块所调用的传感器组相交,则这两个安全性分析评价模块彼此完全冗余。则能够以显著更少的耗费来满足或证实对非期望事件的最大概率的要求。即在两个模块完全冗余的情况下,这两个模块中的每个模块自身认定非期望事件仅以10

3,5
/h的概率发生足以能够整体上保证出现非期望事件的概率最高为10
‑7/h。
20.但第二或者说另一安全性分析评价模块也能够例如用于,避开不同于第一安全性分析评价模块的其他非期望事件。这尤其在针对各个非期望事件所要求的最大概率不同时是有利的。即,可以例如针对前部碰撞要求为10
‑7/h的最高概率,因为这类事故的后果相对较严重,而对于经常仅导致板材损伤(blechschade)的车辆后部碰撞可以允许10
‑5/h的概率。如果安全性分析评价模块分别专门避开一种非期望事件,则可以使对“仍出现对应的非期望事件”的最大概率的证明相互脱耦。
21.但使用多个安全性模块的方案也能够用于,将各个安全性模块的复杂性保持得尽可能小并因此可预料并且可掌控。
22.在一种特别有利的构型中,第三组与第二组不相交。以这种方式能够特别可靠地阻止,单个有故障地运行的传感器同时影响两个安全性信号。
23.在一种特别有利的构型中,汇总包含检查:在使用一个或多个安全性信号操控行驶动态系统的情况下所进行的至少一个行驶动力学干预是否在使用功能信号来操控行驶动态系统的情况下也进行。如果是这种情况,则证明:在相关状况中功能分析评价模块正确地起作用。功能信号则例如能够直接作为操控信号接入(durchschalten)给行驶动态系统,以此行驶动态系统能够无阻碍地实施行驶任务。
24.相反,如果在该检查中确定:在使用一个或多个安全性信号操控行驶动态系统的情况下所进行的行驶动力学干预然而在使用功能信号操控行驶动态系统的情况下不出现,则表示,功能分析评价模块在相关状况下没有正确地起作用并且没有识别到即将出现的非期望事件。在这种情况下,如下影响操控信号:在使用操控信号操控行驶动态系统时实际上进行根据安全性信号所建议的行驶动力学干预。这例如可以通过代替功能信号将安全性信号作为操控信号接入给行驶动态系统来实现。但也可以以另一种方式如下影响操控信号:进行行驶动力学干预。例如,可以响应于“根据安全性信号建议进行特定的行驶动力学干预”,代替安全性信号而将为了触发该干预所预给定的信号曲线调制到操控信号上。
25.在该构型中,一个或多个安全性分析评价模块的角色可与驾驶培训高级阶段的驾驶教员的角色相类比。驾驶学员大部分时间都是自行负责地驾驶,以便渐进地训练其能力。但教导员会持续地观察,驾驶学员是否已及时地识别到潜在的危险状况并且对此合适地作出反应。如果驾驶学员没有作出反应或者该驾驶学员例如由于他根本没看优先道路而根本没有识别到该状况,则驾驶教员通常通过操纵制动器来干预。
26.替代于此或与此结合地,汇总可以包含检查:用于确定行驶动力学干预的且一个或多个安全性信号中现有的所有信息是否也存在于功能信号中。以这种方式能够识别到更大的故障类别。功能信号例如可以以如下方式有故障:该功能信号虽然命令车辆制动,但仅车辆一侧上的制动器被用于此而缺少对另一侧上的制动器的操控。
27.与此相应地,在另一有利的构型中,响应于确定:并非所有在一个或多个安全性信号中现有的、用于确定行驶动力学干预的信息也存在于功能信号中,如下影响操控信号:该操控信号包含所有这些信息。因此就在使用操控信号来操控行驶动态系统时考虑所有相关
的信息。在所提及的示例中,这例如可以意味着,给操控信号补充以对车辆另一侧的制动器的缺少的操控。
28.用于确定行驶动力学干预的相关信息例如也可以包含对这样的对象的评价:这些对象形成接下来所选择的行驶动力学干预的原由。例如,可以分别求取车辆环境中的与碰撞相关的区域和不是没有确定类型的对象的区域。该共同点提供了用于汇总的特别相关联的可能性。
29.如前所述,操控信号以所说明的方式受影响的状况不是必然表明技术上的故障功能,而是例如也可以通过由于非期望状况(例如低位阳光或者交通参与者或其行为的未知状况)引起的传感器过度要求而触发。然而这种状况的频繁出现可能表明,在车辆中存在故障。例如,传感器可能有缺陷、被污染或者失调,或者可能是例如线路中断。因此,在另一特别有利的构型中,在事件存储器预先记录操控信号的影响。响应于所预先记录的事件的数量和/或时间次序满足预给定的判据,将故障输出给车辆的故障存储器中。
30.预先记录事件和/或将故障输出到故障存储器中又可以引起任意措施,以便激发由车辆的用户来消除故障。例如,光学和/或声学的警告装置可以指示该故障。但例如,加速能力或其他与行驶舒适性相关的功能或参数也可能受限,以便用户虽可以凭借自己的力量用该车辆找到维修车间,然而在没有维修的情况下他没有兴趣继续使用该车辆。在最高的升级等级中,可以在必要时在宽限时间(karenzzeit)或者宽限路程(karenzstrecke)之后,禁阻车辆继续行驶或者重新启动。这些强制维修措施或其它强制维修措施引起,使车辆尽可能迅速地又转变到再现为了避免预给定的非期望事件所要求的安全性水平的状态中。
31.替代于此或与此结合地,可以通过合适的连接在线给车辆制造商的中央分析评价地点或其它地点提供事件和/或故障。这些地点例如可以将所述信息用于质量统计或改善。
32.在另一有利构型中,从一个或多个安全性信号推导出关于操控信号的边界条件,并且可以按照这些边界条件将功能信号纳入到操控信号中。一个或多个安全性分析评价模块能够以这种方式与功能分析评价模块进行持续的分工。
33.因此,例如第一安全性分析评价模块可以预给定,以确定的最小减速度来制动车辆,以便避免车辆的前部碰撞。同时,例如,第二安全性分析评价模块可以预给定,将车辆仅制动至确定的最高减速度,以此后方跟随车辆不撞上。以这种方式产生可能的减速度值通道(korridor),在该减速度值通道内功能分析评价模块能够自行负责地处理。
34.在一种特别有利的构型中,不仅在功能分析评价模块中而且在至少一个安全性分析评价模块中分别求取车辆环境中的没有确定类型的对象的区域。该共同点提供用于汇总的特别相关联的可能性。例如,利用操控信号可以仅将不仅由功能分析评价模块而且由所有现有安全性分析评价模块识别为没有对象的这种区域作为对于行驶来说可用的区域报告给行驶动态系统。
35.替代于此或与此结合地,可以不仅在功能分析评价模块中而且在至少一个安全性分析评价模块中分别求取车辆环境中的被确定类型的对象所占据的区域。即,例如仅当码头处恰好有渡船时,越过码头向水的方向行驶才有意义。
36.在另一特别有利的构型中,操控信号一般包括车辆环境的空间表示。例如,可以(仅)对车辆周围的碰撞相关的区域中的对象进行评价。这也是简化了汇总的相关联的共同点。即,例如可以使用由功能分析评价模块和由所有安全性分析评价模块在车辆环境中分
别识别的所有对象的并集来填充空间表示。
37.在另一特别有利的构型中,第二组和/或第三组最高包含有限数量的、例如五个传感器。以这种方式,一个或多个安全性分析评价模块的复杂性保持在仍能以不太大的耗费引起对“非期望事件最高以预给定的概率出现”的证明的范围中。
38.在另一特别有利的构型中,相较于功能分析评价模块,在至少一个安全性分析评价模块中:
39.‑
分析评价来自较小空间区域的测量数据;和/或
40.‑
在存在受限的对象类别的方面分析评价测量数据;和/或
41.‑
关于受限的特征类别来分析评价在测量数据中所识别的对象。
42.已认识到,由给定的物理传感器所提供的测量数据:
43.‑
直至所观察的空间附区的特定大小,即,直至所观察的区域与传感器的确定的横向和/或纵向距离;
44.‑
直至要相互区分开的对象的特定数量;或
45.‑
直至所分析评价的特征的特定详细度,能够实现具有特别高的可靠性的分析评价,而超过对应的边界则可靠性下降。现在,将一个或多个安全性分析评价模块的分析评价限于其可靠性特别高的那些测量数据部分使得对“安全性分析评价模块允许对应的非期望事件仅最高以所要求的概率发生”的证明更容易。同时,功能分析评价模块可以将其可靠性不再完全如此高的测量数据部分用于实施预给定的行驶任务。因此,在总体上,尽可能好地利用物理传感器的能力。
46.该方法能够完全地或者部分地在计算机上,和/或在控制器上实施,但例如也能够在嵌入式系统上实施,该嵌入式系统通过can总线或者其他车辆总线调用来自传感器的数据并且例如通过相同的车辆总线将所得到的操控信号转发给行驶动态系统。该方法能够分别在软件中实现。该软件引起直接的客户使用,使得在车辆的具有传感器硬件的装备预给定的情况下,能够做出关于在车辆的行驶动态系统中出现确定的非期望事件的概率的更可靠的结论。软件例如可以作为对现有计算机、控制器或者嵌入式系统的更新或升级来销售并且就此而言是独立产品。因此,本发明还涉及一种具有机器可读的指令的计算机程序,当所述指令在一个或多个计算机,和/或一个或多个控制器,和/或一个或多个嵌入式系统上实施时,所述指令安排实施所述方法。本发明同样还涉及具有该计算机程序的机器可读的数据载体和/或下载产品。
47.本发明此外还涉及具有所述计算机程序、机器可读的数据载体和/或下载产品的计算机、控制器和/或嵌入式系统。替代地或组合地,计算机、控制器或嵌入式系统也能够以任意其他方式特定地构造为用于实施所述方法。这种特定的构造例如可以借助可现场编程的门阵列(fpga)和/或根据应用方式特定的集成电路(asics)实现。
附图说明
48.下面,参照附图与对本发明的优选实施例的说明一起更详细地示出改进本发明的措施。
49.附图示出:
50.图1示出方法100的实施例;
51.图2示出方法100到车辆50中的示例性纳入。
具体实施方式
52.根据图1,六个示例性标出的传感器2a至2f分别提供测量数据3a至3f。根据方法100的步骤110,来自传感器2a至2f的第一组4a,在这里包括所有的传感器2a至2f,的测量数据3a至3f通过功能分析评价模块处理为功能信号5a,该功能信号设置为用于操控车辆50的在图1中未标出的行驶动态系统51。在此,尤其能够根据框111a来求取车辆50的环境中的没有特定类型的对象(例如其他交通参与者或者限界行车道的对象)的区域。替代地或组合地,能够根据框111b来求取车辆50的环境中的被特定类型的对象所占据的区域。
53.功能信号5a不是被未经审视地转发给行驶动态系统51。取而代之,设置第一安全性分析评价模块61和第二安全性分析评价模块62。在图1中所示出的示例中,第一安全性分析评价模块61得到传感器的第二组4b,在这里包括传感器2a、2c和2e,的测量数据3a、3c、3e。由此,尤其能够根据框121a来求取车辆50的环境中的没有特定对象的区域,和/或能够根据框121b来求取特定对象所占据的区域。第二安全性分析评价模块62得到这些传感器的第三组4c,在这里包括传感器2b、2d和2f,的测量数据3b、3d、3f。由此,尤其又能够根据框126a来求取车辆50的环境中的没有特定对象的区域,和/或能够根据框126b来求取特定对象所占据的区域。在此,两个安全性分析评价模块61和62例如可以在车辆50的环境中搜索相同的对象,使得在识别时产生一定的冗余。但,两个安全性分析评价模块61和62例如也可以分别专门识别不同类型的对象。因此,例如可以是模块61搜索车辆而模块62搜索行人。
54.相较于功能分析评价模块5,两个安全性分析评价模块61和62可以分别:
55.根据框122对来自较小空间地区的测量数据3a至3f分析评价,
56.根据框123搜索受限类别的对象,和/或
57.根据框124对所识别的对象的特征不那么详细地分析评价。
58.在步骤120中,由第一安全性分析评价模块61求出第一安全性信号61a。在步骤125中,由第二安全性分析评价模块62求出第二安全性信号62a。在步骤130中,将功能信号5a、第一安全性信号61a和第二安全性信号62a汇总成用于车辆50的行驶动态系统51的最终的操控信号7。
59.在方框130内,示例性示出该汇总能够如何进行的两种可能性。
60.根据第一种可能性,在框131a中检查,在使用一个或多个安全性信号61a、62a来操控行驶动态系统51时所发送的行驶动力学干预是否在使用功能信号5a操控行驶动态系统51时也发送。即,具体地例如可以检查,功能分析评价模块5是否同样识别到根据安全性信号61a、62a所识别的、车辆50有义务在此等待的地点并且输出功能信号5a,该功能信号安排车辆50相应地制动。类似地,可以根据框131b来检查,存在于安全性信号61a、62a中的用于确定车辆行驶动力学干预的所有信息是否也存在于功能信号5a中。
61.如果对应的检查得出肯定的结果(框131a、131b中为真值1),则功能信号5a从安全性观点出发是可用的并且被作为操控信号7输出给行驶动态系统51。否则(真值0),根据框132a、132b将相应安全性信号61a、62a作为操控信号7输出,该安全性信号引起行驶动力学干预或包含用于确定该行驶动力学干预的完整信息。这尤其可能在实施两个检查131a和131b并且其中仅一个检查131a、131b未通过时才发生。
62.如前所述,安全性分析评价模块61、62然后在一定程度上接管驾驶教员功能,所述驾驶教员在正常情况下让功能分析评价模块5作为“驾驶学员”自行负责地进行处理并且所述驾驶教员仅在危急状况下才进行干预。
63.如前所述,即使在传感器2a至2f技术上良好并且功能分析评价模块5技术上良好的情况下也可能出现必需利用安全性信号61a、62a进行干预的状况。为了将这种状况的偶尔出现与系统故障例如传感器失效区分开,根据框133,在事件存储器8中预先记录操控信号7的影响。根据框134来检查,在事件存储器8中所预先记录的事件8a的数量和/或时间次序是否满足预给定的判据,例如,同类干预在特定时间段上持续地重复出现的必要性。如果是这种情况(真值1),则根据框135,将故障53a输出给车辆50的故障存储器53。因此,要求车辆50的用户关心该问题。
64.根据第二种可能性,在框136中,从安全性信号61a、62a中分别推导出用于最终的操控信号7的边界条件71、72。例如,第一安全性信号61a可以要求将车辆50的减速度的最小值作为第一边界条件71,以便该车辆不撞上在前行驶的车辆。同时,第二安全性信号62a可以要求该减速度的最大值作为第二边界条件72,以便从后方接近的有轨电车不撞上车辆50。根据框137,功能信号5a按照两个边界条件71、72纳入到最终的操控信号7中。在所提及的示例中,因此可以将根据功能信号5a所请求的、处在最小减速度和最大减速度之间的减速度直接接入到操控信号7中。如果所请求的减速度小于最小减速度,则相应于该最小减速度来设定操控信号7。如果所请求的减速度大于最大减速度,则相应于该最大减速度来设定操控信号7。
65.图2示例性示出方法100到车辆50中的集成。在方法100的范畴内求出的操控信号7输出给行驶动态系统51。行驶动态系统51在本身将操控信号7转换为调节参量51a,该调节参量对车辆50的至少一个促动器52起作用并且以这种方式在物理上对车辆50的行驶动力学产生作用。调节参量51a例如可以代表驱动扭矩、转向扭矩或者制动缸压力。
66.如果持续地要求,功能分析评价模块5被安全性分析评价模块51、52否决,则在方法100的范畴中,将故障53a输出给车辆50的故障存储器53,以便要求车辆50的用户来消除该问题。
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1