用于安全的远程操纵地行驶的系统的制作方法

1.本发明涉及一种用于远程操纵地行驶(teleoperated driving，tod)的系统。


背景技术：

2.根据现有技术的部分自主的车辆的前提是车辆引导界面(“驾驶员工位”)以及有行驶能力的且被授权引导车辆的、作为车辆乘员的人员，该人员在在需要时可接管引导。所谓的远程操纵地行驶形成许多研究项目的主题，其中，车辆能够通过远程控制在应对挑战性场景(例如在乡村土路上绕行、替代和非常规路线等)的情况下得到协助或者行驶任务能够暂时完全由调度中心的外部操作者、即所述的操作者暂时完全接管。为此，车辆和调度中心或者说其运营商通过具有低时延和高数据速率的移动无线网络来彼此连接。
3.us 9494935 b2公开了用于远程操作(fernbedingung)自主乘用车的计算机设备、系统和方法。当自主车辆遭遇意料外的、不适于自主的操作的周围环境(例如道路施工现场或者障碍物)时，车辆传感器能够感测关于车辆和意料外的周围环境的数据，包括图片、雷达数据和激光雷达数据等。能够将感测到的数据发送给远程操作者。远程操作者能够手动地远程操作该车辆或者向自主的车辆发出应由各种车辆系统执行的指示。发送给远程操作者的、感测到的数据能够被优化，以节省带宽，其方式是：例如发送感测到的数据的有限的子集。
4.根据us 9767369 b2的车辆能够接收到车辆的周围环境的一个或者多个图片。车辆也能够获取周围环境地图。车辆也能够将图片中的至少一个特征与地图中的一个或者多个特征进行比较。车辆也能够辨识所述一个或者多个图片中的、相应于地图的一部分的特定区域，该部分与所述一个或者多个特征相距阈值距离。车辆也能够压缩所述一个或者多个图片，以便记录在图片的作为给定区域的区域中的更少的细节量。车辆也能够将压缩的图片提供给远程系统并且响应于其地接收来自远程系统的运行指示。
5.根据us 9465388 b1的系统和方法实现了，当车辆对运行的信任度低时，自主车辆可要求远程操作者的帮助。示例性的方法包括在第一自主模式中运行自主车辆。该方法也能够包括辨识一种状况，在该状况中，在第一自主模式中的自主运行的信任度水平低于阈值水平。该方法还能够包括向远程助手发送对协助的请求，其中，该请求包括表示自主车辆的周围环境的一部分的传感器数据。附加地，该方法能够包括接收来自远程助手的回应，其中，该回应说明第二自主运行模式。该方法也能够引起，自主车辆根据来自远程助手的回应在第二自主运行类型中运行。
6.us 9720410 b2公开了另一种用于在预确定的状况下远程协助自主车辆的方法。


技术实现要素：

7.本发明提供了一种根据权利要求1所述的用于安全的远程操纵地行驶的系统。
8.根据本发明的方案在此基于以下认识：存在自动化车辆不能独立解决的状况并且需要人类干预，以便克服这些状况或系统不足并且将整个系统置入到安全状态中。根据本
发明，这种干预是远程进行的，使得不一定必须有驾驶员处于车辆中。
9.为此提出的方案的优点在于，实现用于由控制中心中的操作者(在功能上)安全地远程控制部分自动化或者全自动化的车辆的系统的部件的架构和集成。这通过确定用于远程操纵地行驶的安全性相关的系统部件并且通过描述运行安全且信息安全的(safe and secure)、用于实现相应系统行为的系统集成来实现。
10.通过在从属权利要求中列出的措施可实现在独立权利要求中说明的基本构思的有利扩展方案和改进。因而，能够设置附加的可选部件以实现或者改进远程探测和远程控制的任务。以这种方式，实现了用于远程操纵地行驶的系统和所属的系统架构，所述系统和系统架构使所有相关的系统部件集成，以便在考虑移动通信连接的和不同运行模式的特性的情况下以功能安全的方式执行行驶运行的远程探测(remote sensing)和远程控制(remote control)。
附图说明
11.在附图中示出且在以下描述中更详细地阐述了本发明的实施例。
12.附图示出根据一个实施方式的系统的框图。
具体实施方式
13.附图以高度抽象的层次示出tod车辆(20)、例如第五代(5g)的移动无线网络(60)、后端(80)、远程操作器具(90)、基础设施部件(70)和相应所包含的最重要的部件。因而，用于周围环境感测(remote sensing，遥感)的部件(21)收集与tod车辆(20)的周围环境有关的所有信息，例如借助雷达传感器、摄像机传感器、超声波传感器、激光雷达传感器、转速感测器、惯性导航系统(inertial measurement unit，imu，惯性测量单元)和碰撞探测器来收集。用于车辆内部空间感测(vehicle inferior sensing)的部件(22)使用车辆(20)中的所有用于监视驾驶员和乘客的传感器，例如驾驶员活动传感器(driver activity sensor)和座椅占用信息(seat occupation information)。用于车辆运动控制(vehicle motion control)的部件(23)负责车辆运动和车辆稳定。
14.还要提及自主行驶(autonomous driving，ad)和驾驶员辅助系统功能(advanced driver assistance systems，adas，高级驾驶员辅助系统)。相应的部件(24)例如涉及感知(perception)、状况分析(situation analysis)、功能行为(function behavior)、反应管理器(reaction manager)以及预测(prediction)。
15.所有系统状态都在系统状态管理器(25)中被处理。在此考虑两个运行模式：
16.1.一种远程操作，其中，操作者在没有直接视线接触的情况下引导或者驾驶自动化车辆(20)，使得必须将车辆信息和车辆周围环境传送和呈现给操作者，以及
17.2.一种远程操作，其中，操作者利用直接视线接触来引导或者驾驶自动化车辆(20)，使得操作者有可能直接控制车辆状态和周围环境。
18.远程信息处理单元(connectivity control unit，ccu26，连接控制单元)形成系统(10)的用于通过5g移动无线网络(60)进行通信的接口。用于诊断信息管理的部件(27)负责一般性的系统诊断；车辆内部的人机界面(human
‑
machine interface，hmi28)构成面向车辆(20)的驾驶员或者副驾驶员的接口。
19.用于被动安全性(passive safety)的装置(29)例如包括安全气囊、所谓的预碰撞识别器和事件数据记录器(event data recorder)。用于车身控制(body control)的部件(30)负责车辆(20)、车辆访问系统和照明系统中的供电和通信。其他与安全性相关的部件(40)负责远程操纵地行驶的所有与安全性相关的目标。
20.系统(10)的工作方式在此考虑以下安全性目标：
21.1.识别双方(发射器、接收器)的通信错误，以便在预给定的容差时间t
c
内将系统(10)置入到安全状态中，
22.2.识别所有系统元件的兼容性，以便在容差时间t
o
内将系统(10)置入到安全状态中，
23.3.识别对系统(10)的未授权访问，以便在容差时间t
s
内将系统(10)置入到安全状态中，
24.4.识别碰撞数据、预碰撞数据或者对于安全tod功能的其他相关数据，并且应要求发送至控制室，
25.5.感测在车辆(20)附近
‑
例如以任意角度与车辆相距至多50cm
‑
的对象和在车辆(20)下方的对象，以便将这些对象报告给操作者，以及
26.6.感测系统边界和在该系统边界被破坏时在预给定的时间段t
b
内作出反应。
27.不同的安全性部件用于实现这些安全性目标。为了实现安全性目标1，例如，通信协议监视器(41)在上述所有通信错误方面中监视5g通信线路(参见iso26262
‑
6，d.2.4)并且必要时将错误报告给系统状态管理器(25)。
28.用于在给远程操作器具(90)和操作者移交之前进行系统检验的部件(44)用于实现安全性目标6。在状况未被定义的情况下不进行移交。在从操作者移交给自动化车辆(20)之后进行的系统边界检验由用于澄清“自动化车辆(20)是否能够执行其正常行驶任务”的问题的相应部件(47)来实现。
29.以下诊断管理(50)也用于实现安全性目标6：(针对根据sae j3016的自主等级2至5的)tod诊断在激活tod功能之前被触发。除了狭义上的tod功能(传感器可用性、制动器等)检验之外，这种诊断还包括求取可能的tod控制(机动操作、道路规划、行为规划、速度、转向、倒车等)。如果无法激活tod功能，则应联系汽车修理厂或者汽车制造商。
30.最后，同样为了实现安全性目标6而设置激活管理器(42)。在这里，所有重要且可用的安全性相关参数例如由用户感知到的服务质量(perceived quality of service，pqos)和路径复杂性都应被用于激活，以便降低车辆(20)中的安全性部件的复杂性。
31.认证管理器(45)用于实现安全性目标3。完整安全链的认证在此考虑以下要点：
32.·
被授权访问车辆(20)的操作者的列表，
33.·
正确的软件和硬件的可用性，
34.·
操作者授权，
35.·
控制室，
36.·
后端(80)，以及
37.·
通信信道和服务器(应避免转到其他服务器或者信道)。
38.起动指令发送器(48)用于实现安全性目标5。就这点而言，必须检查自动化车辆(20)的起动(drive away，开走)并且将其通知操作者，因为在违规的情况下不允许移动车
辆(20)。尤其考虑底部车辆监视、在50cm的自由空间内的全方位车辆监视，对当地天气条件(在温度、道路结冰等方面)以及可用传感器功率(传感器的可见性、失明等)的检验。
39.tod数据记录器(51)用于实现安全性目标4：所有对tod相关的数据——例如移交的时间戳、操作者id、操作者的驾驶风格、所使用的通信信道、授权信息和可能的碰撞——都通过这些部件被本地记录并且应要求传送给服务器。
40.为了实现安全性目标1，应由服务质量计算器(43)检查接收到的网络qos值并且将其转发给相应的安全性部件。行驶任务检查器(46)负责检查：是否能够执行操作者所要求的行驶任务，并且在行驶任务执行控制单元(49)确保行驶任务的监控和操作者随着进展进行更新的同时，是否没有违反关于tod功能和ad功能的安全性目标。在错误情况下操作者能够控制系统(10)。
41.最后，系统兼容性检查器(52)用于实现安全性目标2。在这里应考虑，在激活tod功能之前或者在执行该功能期间，检验件自动化车辆(20)中的硬件和软件、后端(80)中的硬件和软件、控制室和通信信道上执行的协议的兼容性。
42.根据替代的工作方式，能够基于根据iso 26262、iso 25119或者din en 16590的危险分析和风险评价(hazard analysis and risk assessment，hara)不同地评价所提到的安全性目标。因此，对于根据本发明的系统(10)来说，针对整个功能性所限定的机动车技术最高安全性要求等级(automotive safety integrity level，asil，汽车安全完整性等级)具有决定性意义。