非对称性的故障安全的系统结构技术方案

本发明专利技术涉及用于控制具有自主的车辆系统(5)的车辆(2)的方法(1)，自主的车辆系统具有自主的运行驾驶系统(9)，自主的运行驾驶系统被构造成用于在自主的运行驾驶系统(9)的无故障运行中执行动态的驾驶任务(FA)，并且自主的车辆系统具有冗余驾驶系统(11)，冗余驾驶系统被构造成用于执行减少的驾驶任务(FAR)。自主的运行驾驶系统(9)执行轨迹规划，并将用于减少的驾驶任务(FAR)的经规划的轨迹(TR)提供给冗余驾驶系统(11)。如果识别到自主的运行驾驶系统(9)的故障(E1)，则冗余驾驶系统(11)驱控至少一个车辆执行器(7)，以便通过使用经规划的轨迹(TR)执行减少的驾驶任务(FAR)。本发明专利技术还涉及自主的车辆系统(5)和具有自主的车辆系统(5)的车辆(2)。统(5)的车辆(2)。统(5)的车辆(2)。

【技术实现步骤摘要】
【国外来华专利技术】非对称性的故障安全的系统结构


[0001]本专利技术涉及用于控制车辆、尤其是商用车辆的方法，车辆具有自主的车辆系统，自主的车辆系统被构造成用于借助多个车辆执行器控制车辆，其中，车辆系统具有：自主的运行驾驶系统，该自主的运行驾驶系统被构造成用于在自主的运行驾驶系统的无故障运行中执行动态的驾驶任务，其中，自主的运行驾驶系统在无故障运行中驱控车辆执行器中的至少一个车辆执行器，以用于执行动态的驾驶任务，并且本专利技术涉及冗余驾驶系统。此外，本专利技术还涉及自主的车辆系统。

技术介绍

[0002]自主的车辆系统被构造成用于驱控车辆的一个或多个执行器，使得实施车辆的驾驶任务。在此，自主的车辆系统部分或完全与人类用户无关地调节车辆的横向和纵向加速度。为了让车辆无驾驶员地运行，需要许多不同的传感器用来环境检测，以及需要大量的计算能力用来评估传感器数据流。基于传感器数据，使得自主的车辆系统获知用于车辆的驾驶任务的轨迹。在车辆遵循轨迹期间，自主的车辆系统监控周围环境并在必要时修改轨迹。
[0003]通过汽车工程师协会(SAE)已经开发出通用的五级方案以用于对借助自主的车辆系统控制的车辆的自动化程度进行分类。即使在发生故障的情况下，车辆也必须能够继续安全运行，直到不再会基于故障而构成危险。在自动化等级3至5中，通过自主的驾驶系统监控驾驶环境，其中，在等级3中，在自主的驾驶系统出现故障的情况下，人类用户将完全接管车辆控制。在自动化等级4和5中设置了冗余系统，在自主的驾驶系统失效的情况下，冗余系统至少部分地实施驾驶任务。这种冗余系统是必要的，以便避免在系统发生故障情况下与其他车辆、人员或车辆周围环境发生碰撞，并且在必要时执行对车辆进行安全制动直至停止状态。
[0004]尽管冗余系统在车辆使用过程中只是极少被使用或可能从未使用，但在一些情况下，冗余系统仍被实施为包括高度复杂的传感器技术在内的自主的驾驶系统的完全复制品，由此造成整个系统的高成本。为了避免完全冗余的系统的高成本，已知有不同方法。例如，由DE 10 2015 206 496 A1已知有一种用于具有多个驾驶员辅助系统和监控装置的车辆的控制设备，其中，驾驶员辅助系统被构造成用于借助一定数量的车辆执行器来控制车辆。在控制装置的一个实施方式中，还可以设置有管控装置，其被构造成监控计算装置和/或监控装置的故障。如果识别到故障，管控装置可以至少向驾驶员辅助系统输出报警信号，并防止通过监控装置限制控制信号。在另外的实施方式中，驾驶员辅助系统可以被构造成在获得报警信号时计算用于安全地将车辆制动到停车状态的紧急轨迹，并根据所计算的紧急轨迹驱控车辆的执行器。然而，在此，该系统并没有公开在驾驶员辅助系统和/或相关的传感器件发生故障时系统的冗余。此外，监控功能被永久实施，这造成能源需求提高。
[0005]DE 10 2018 126 270 A1公开了一种具有虚拟车辆驾驶员系统的车辆，虚拟车辆驾驶员系统具有用于车辆执行器的多个平台控制部。车辆计算机被编程用于在发生故障时从平台控制部获得关于最小风险条件的建议，并从收到的建议中选定一个事件，然后实施
该事件。针对一个或多个传感器失效的情况，则通过使用仍存在的传感器件实施最小风险条件。传感器件本身的冗余并未公开。
[0006]US 2019 0171205 A1公开了一种用于运行车辆控制系统的方法，车辆控制系统包含具有至少一个执行器的至少一个下游系统。下游系统从上游系统接收信号并通过使用这些信号影响车辆的运动。该方法包括以下步骤：从上游系统实时将信号传输给下游系统；确定下游系统的上游出现故障；并且使用用于下游系统的响应规划，该响应规划限定了下游系统的至少一个执行器的功能序列并且该响应规划事先已经存储在可访问下游系统的存储器中。由于响应规划已经预先存储，所以冗余系统无法对不断变化的环境条件做出反应。此外，上游系统和下游系统布置在共同的循环中，其中，没有针对下游系统的失效情况提供冗余。
[0007]所提到的解决方案不利的是，都没有提供足够的冗余。例如，在主系统的、主处理单元的和/或一个或多个执行器的高度复杂的传感器件失效的情况下，系统并未提供足够的冗余。由此，使得在主系统失效的情况下，无法始终充分确保安全性。
[0008]因此，存在用于控制车辆的方法以及自主的车辆系统，其是廉价的或使用廉价的部件，并且在自主的运行驾驶系统发生故障的情况下确保足够的安全性。

技术实现思路

[0009]本专利技术在用于控制具有自主的车辆系统的车辆的方法的第一方面中通过如下方式解决该任务，即，构造有用于执行冗余的驾驶任务的冗余驾驶系统，其中，自主的运行驾驶系统被构造成用于执行轨迹规划，以便执行并且向冗余驾驶系统提供用于减少的驾驶任务的经规划的轨迹，其中，自主的运行驾驶系统和冗余驾驶系统彼此连接，并获知对方系统是否存在故障，并且其中，冗余驾驶系统在获知自主的运行驾驶系统发生故障后驱控车辆执行器中的至少一个车辆执行器，以便通过使用该经规划的轨迹执行减少的驾驶任务。
[0010]本专利技术利用到以下认知，即，可以借助简化的冗余驾驶系统来执行减少的驾驶任务，这比自主的运行驾驶系统明显更廉价。自主的运行驾驶系统和冗余驾驶系统都被构造成用于驱控车辆执行器。如果没有故障的话，自主的运行驾驶系统优选完全与冗余驾驶系统无关地实施动态的驾驶任务。动态的驾驶任务通常包括在考虑环境条件下对车辆进行转向、制动和加速车辆，以及确定中间目的地和航路点。在动态的驾驶任务的范围内，自主的运行驾驶系统必须至少对其他交通使用者、信号和标志、环境影响以及道路条件做出反应。例如，动态的驾驶任务可以是车辆在公共道路上从第一地点到第二地点的自主驾驶，其中，第二地点距第一地点几公里。相对于动态的驾驶任务，减少的驾驶任务具有减少的功能范围。
[0011]用于减少的驾驶任务的经规划的轨迹描述了车辆的经规划的运动路径，并在轨迹规划的范围内进行获知。优选地，轨迹规划在考虑车辆状态、尤其是速度、质量和横向加速度以及其他环境条件和环境影响情况下进行。这样的环境条件和环境影响例如可以是环境温度、道路温度、道路条件、车道宽度、车道走向和交通量。由于用于减少的驾驶任务的经规划的轨迹由自主的运行驾驶系统提供给冗余驾驶系统，所以冗余驾驶系统不必执行自己的用于减少的驾驶任务的轨迹规划。由此，可以提高经规划的轨迹在发生故障时的可用性。优选地，冗余驾驶系统被构造成用于在非自主运行情况下执行驾驶辅助功能。特别优选地，在
车辆非自主运行情况下，冗余驾驶系统实施紧急制动功能、车道保持辅助功能或距离保持辅助功能。优选地，冗余驾驶系统具有用于存储经规划的轨迹的冗余存储器。
[0012]根据第一优选实施方式，冗余驾驶系统被构造成用于当自主的运行驾驶系统没有提供有效的经规划的轨迹时，执行减少的轨迹规划，以便获得用于减少的驾驶任务的减少的轨迹，其中，在获知自主的运行驾驶系统出现故障之后，冗余驾驶系统驱控车辆执行器中的至少一个车辆执行器，以便通过使用减少的轨迹执行减少的驾驶任务。在故障特别严重的情况下，自主的运行驾驶系统无法执行轨本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.用于控制车辆(2)、尤其是商用车辆(3)的方法(1)，所述车辆具有自主的车辆系统(5)，所述自主的车辆系统被构造成用于借助多个车辆执行器(7)控制所述车辆(2)，其中，所述车辆系统(5)具有：自主的运行驾驶系统(9)，所述自主的运行驾驶系统被构造成用于在所述自主的运行驾驶系统(9)的无故障运行中执行动态的驾驶任务(FA)，其中，所述自主的运行驾驶系统(9)在无故障运行中驱控所述车辆执行器(7)中的至少一个车辆执行器，以用于执行所述动态的驾驶任务(FA)，以及冗余驾驶系统(11)，所述冗余驾驶系统被构造成用于执行减少的驾驶任务(FAR)，其中，所述自主的运行驾驶系统(9)被构造成用于执行轨迹规划，以便除了运行轨迹(TRB)之外，还执行并且向所述冗余驾驶系统(11)提供用于所述减少的驾驶任务(FAR)的经规划的减少的轨迹(TRR)，其中，所述自主的运行驾驶系统(9)和所述冗余驾驶系统(11)彼此连接，并且获知对方系统(9、11)是否存在故障(E1、E2)，并且其中，所述冗余驾驶系统(11)在获知所述自主的运行驾驶系统(9)的故障(E1)之后驱控所述车辆执行器(7)中的至少一个车辆执行器，以便在使用经规划的轨迹(TR)的情况下执行所述减少的驾驶任务(FAR)。2.根据权利要求1所述的方法(1)，其中，所述冗余驾驶系统(11)被构造成用于执行减少的轨迹规划，以便当由所述自主的运行驾驶系统(9)没有提供有效的经规划的轨迹(TR)时，获得用于所述减少的驾驶任务(FAR)的减少的轨迹(TRR)，并且其中，所述冗余驾驶系统(11)在获知所述自主的运行驾驶系统(9)发生故障(E1)后驱控所述车辆执行器(7)中的至少一个车辆执行器，以便在使用所述减少的轨迹(TRR)的情况下来执行所述减少的驾驶任务(FAR)。3.根据权利要求1或2所述的方法(1)，其中，所述自主的运行驾驶系统(9)循环地执行所述轨迹规划，以便获得经规划的轨迹(TR)，并且分别将所述经规划的轨迹(TR)提供给所述冗余驾驶系统(11)。4.根据前述权利要求中任一项所述的方法(1)，其中，所述自主的运行驾驶系统(9)具有一个或多个主要传感器(13、13.1、13.2、13.3)，所述主要传感器将传感器数据(SD)提供给所述自主的运行驾驶系统(9)的中央控制单元(15)，并且其中，所述中央控制单元(15)在使用所述传感器数据(SD)的情况下实施所述轨迹规划(TR)。5.根据前述权利要求中任一项所述的方法(1)，其中，所述冗余驾驶系统(9)具有一个或多个简单的冗余传感器(17、17.1、17.2)，所述冗余传感器将冗余传感器数据(SDR)提供给中央冗余控制单元(19)，其中，所述中央冗余控制单元(19)在使用所述冗余传感器数据(SDR)的情况下获知所述经规划的轨迹(TR)或所述减少的轨迹(TRR)上是否存在障碍物，并且当获知在所述经规划的轨迹(TR)或所述减少的轨迹(TRR)上有障碍物时，在使用所述冗余传感器数据(SDR)的情况下修改所述经规划的轨迹(TR)或所述减少的轨迹(TRR)。6.根据权利要求5所述的方法(1)，其中，所述冗余驾驶系统(11)由与所述运行驾驶系统(9)无关的冗余电压源(21)供电。7.根据权利要求5或6所述的方法(1)，其中，所述冗余传感器(17、17.1、17.2)还向所述中央控制单元(15)提供所述冗余传感器数据(SDR)。
8.根据前述权利要求中任一项所述的方法(1)，其中，所述减少的驾驶任务(FAR)是受控的制动动作(BM)，其中，所述冗余驾驶系统(11)防止所述车辆(2)的车桥(VA、HA1、HA2)的车轮(100.1、100.2、102.1、102.2、102.3、102.4)抱死。9.根据权利要求5至7中任一项和权利要求8所述的方法(1)，其中，所述受控的制动动作(BM)是车道保持制动动作(SH
‑
BM)，其中，所述车辆(1)保持在行车道(25)上，和/或是车道变换制动动作(SW
‑
BM)，其中，所述车辆(1)被转向到存在的能行驶的替选的行车道(26)、优选是路肩(27)上并减速，其中，所述中央冗余控制单元(19)在使用所述冗余传感器数据(RSD)的情况下监控所述经规划的轨迹(TR)或所述减少的轨迹(TRR)的维持性。10.根据权利要求4至9中任一项所述的方法(1)，其中，所述中央控制单元(15)当不存在故障(E1)时执行运行轨迹规划，以便获得运行轨迹(TR
‑
B)，并且将所述运行轨迹(TR
‑
B)提供给运行控制器(29)和冗余控制器(31)，其中，所述运行控制器(29)和/或所述冗余控制器(31)驱控所述车辆执行器(7)中的至少一个车辆执行器，以便将所述车辆(1)保持在预先规划的运行轨迹(TR
‑
B)上。11.根据权利要求10所述的方法(1)，其中，所述车辆执行器(7)具有来自以下组中的至少一个车辆执行器(7)：传动装置(7.1)、马达(7.2)、主制动系统(7.3)、冗余制动器系统(4)或转向执行器(7.5)。12.根据权利要求10或11所述的方法(1)，其中，所述中央冗余控制单元(19)将所述经规划的轨迹(TR)或所述减少的驾驶任务(FAR)的减少的轨迹(TRR)提供给所述运行控制器(29)和所述冗余控制器(31)，其中，所述运行控制器(29)和/或所述冗余控制器(31)驱控所述车辆执行器(7)中的至少一个车辆执行器，以便当在所述运行驾驶系统(9)发生故障情况下而不存在运行轨迹(TRB)时，使所述车辆(1)保持在所述减少的驾驶任务(FAR)的减少的轨迹(TRR)上。13.根据权利要求10或11所述的方法，其中，所述运行控制器(29)监控所述冗余控制器(31)的故障状态(ES2)，并且其中，所述冗余控制器(31)监控所述运行控制器(29)的故障状态(ES1)。14.根据前述权利要求中任一项...

【专利技术属性】
技术研发人员：奥利弗，
申请(专利权)人：采埃孚商用车系统全球有限公司，
类型：发明
国别省市：