Mehr Sicherheit im automatisierten Fahrzeug

Begrenzte Perspektiven des Ego-​Fahrzeugs

Die Perspektive des betrachteten hochautomatisierten Fahrzeugs, auch Ego-​Fahrzeug genannt, ist jedoch begrenzt, da die Sensoren die Außenwelt hauptsächlich aus dem Blickwinkel dieses Fahrzeugs erfassen. Diese Sensoren haben inhärente Grenzen, z. B. Wetterbedingungen, komplexe Verkehrssituationen oder potenzielle Ausfälle in Form von SOTIF-​Fehlern (Safety Of The Intended Functionality). Die Einbeziehung von Daten aus nahegelegenen Quellen mit unterschiedlichen Blickwinkeln wird mit großer Wahrscheinlichkeit die Genauigkeit des Umgebungsmodells verbessern.

In diesem Zusammenhang ist es wichtig, zwischen drei verschiedenen Wahrnehmungsbereichen zu unterscheiden: Nahbereich, Mittelbereich und den Bereichen außerhalb der Sichtlinien.

• Nahbereich:

Der Nahbereich bezieht sich auf Objekte, die sich in unmittelbarer Nähe des Ego-​Fahrzeugs befinden. Diese Objekte in ihrer Gänze zu erkennen und zu erfassen, stellt eine besondere Herausforderung dar, da ihre Größe oder Form über das direkte Sichtfeld des Sensors im Fahrzeug hinausgeht.  Daher ist eine verbesserte hochpräzise Objekterkennung im Nahbereich ein wichtiges Ziel für hochautomatisierte Fahrsysteme.

• Mittel- und Fernbereich:

Die Objekte im Mittel- und Fernbereich des Ego-​Fahrzeugs lassen sich leichter vom Sensor in ihrer Gänze erfassen. Je nach Sensortechnologie können jedoch andere Probleme auftreten, wie z.B. Fake-​Echos oder wetterbedingte Unschärfen. Ein lokaler Ansatz zur Minimierung dieser Effekte ist die Sensorfusion der verschiedenen Sensortechnologien innerhalb eines Fahrzeugs.

• Bereich außer Sichtweite:

Die Sensortechnologien im Ego-​Fahrzeug funktionieren nicht bei Objekten, die sich in der Nähe, aber außerhalb des Sichtbereiches befinden. Außerhalb des Sichtbereichs kann bedeuten, dass sich Objekte hinter Lastwagen oder Bussen, hinter Gebäudeecken oder hinter Vegetation (z. B. Grünstreifen mit Büschen) befinden, wobei je nach Sensortyp Unterschiede in der Sichtbarkeit auftreten können.

Verbesserte Umgebungsmodelle dank externer Daten

Um diese Probleme zu adressieren, bietet sich der Austausch von Sensordaten zwischen Fahrzeugen (V2V) sowie zwischen Fahrzeugen und Infrastruktur (V2I) an. Noch ungelöst ist dabei die Frage des gegenseitigen Vertrauens und nach der Qualität der Daten aus diesen externen Quellen.

Die Fahrzeughersteller sind verpflichtet, die funktionale Sicherheit ihrer Fahrzeuge, der entsprechenden Sensoren/Geräte sowie der automatisierten Fahrsysteme nachzuweisen. Sich auf externe Sensordaten zu verlassen, widerspricht dieser Anforderung, da die Qualität der Daten, die Umstände der Erfassung und die verwendeten Geräte oder Algorithmen dem empfangenden Ego-​Fahrzeug nicht bekannt sind.

In diesem Artikel wird eine Methode vorgeschlagen, wie das Umgebungsmodell der Fahrzeuge mit externen Daten verbessert werden kann, ohne das Risiko für die funktionale Sicherheit durch minderwertige externe Daten zu erhöhen. Zunächst werden die beiden Konzepte „Local Dynamic Map“ als Form des Umgebungsmodells und “Confidence Level“ als Maß für die Vertrauenswürdigkeit erklärt.  Danach wird die Methode mit Hilfe dieser Konzepte vorgestellt.

Verbesserte Umgebungsmodelle dank externer Daten

Um diese Probleme zu adressieren, bietet sich der Austausch von Sensordaten zwischen Fahrzeugen (V2V) sowie zwischen Fahrzeugen und Infrastruktur (V2I) an. Noch ungelöst ist dabei die Frage des gegenseitigen Vertrauens und nach der Qualität der Daten aus diesen externen Quellen.

Die Fahrzeughersteller sind verpflichtet, die funktionale Sicherheit ihrer Fahrzeuge, der entsprechenden Sensoren/Geräte sowie der automatisierten Fahrsysteme nachzuweisen. Sich auf externe Sensordaten zu verlassen, widerspricht dieser Anforderung, da die Qualität der Daten, die Umstände der Erfassung und die verwendeten Geräte oder Algorithmen dem empfangenden Ego-​Fahrzeug nicht bekannt sind.

In diesem Artikel wird eine Methode vorgeschlagen, wie das Umgebungsmodell der Fahrzeuge mit externen Daten verbessert werden kann, ohne das Risiko für die funktionale Sicherheit durch minderwertige externe Daten zu erhöhen. Zunächst werden die beiden Konzepte „Local Dynamic Map“ als Form des Umgebungsmodells und “Confidence Level“ als Maß für die Vertrauenswürdigkeit erklärt.  Danach wird die Methode mit Hilfe dieser Konzepte vorgestellt.

Vergabe des CL an externe Datenquellen

Die Verwendung von Daten aus externen, unbekannten Quellen ist eine Herausforderung für das Ego-​Fahrzeug. Eine Klassifizierung der Informationsquelle hilft dabei, das initiale CL zu bestimmen:

• Ein autorisiertes, statisches Objekt wie eine Ampel oder ein Schild: Die Quelle gibt sich als offizielles Objekt zu erkennen und die Eigenschaften der Quelle stimmen z. B. mit der HD-​Karte überein. Die Meldung dieser Quelle über den Status der Ampel oder die aktuelle Geschwindigkeitsbegrenzung eines elektronischen Schildes könnte daher einen hohen CL-Wert von 90 % erhalten.
• Ein autorisiertes, aber dynamischeres Objekt wie z. B. eine bewegliche Ampel oder ein bewegliches Schild, wie es an Baustellen eingesetzt wird, könnte ein niedrigeres CL erhalten.
• Unbekannte Quellen wie andere Fahrzeuge erhalten ein sehr niedriges CL.

Standardmäßig klassifiziert das Ego-​Fahrzeug die Daten aus der externen Quelle mit demselben CL wie die Quelle selbst.

Verarbeitung von externen Daten

Wir schlagen folgende Strategie für den Umgang mit externen Daten vor und unterscheiden dabei folgende Fälle:

• Die externen Daten entsprechen den Einträgen in der LDM: Das von einer externen Quelle identifizierte Objekt hat dieselben Eigenschaften wie das entsprechende Objekt in der LDM des Ego-​Fahrzeugs (z. B. gleiche Position, gleiche Bewegungsrichtung usw.). Einerseits kann das Ego-​Fahrzeug nun davon ausgehen, dass die externen Daten korrekt und von einer bestimmten Qualität sind. Andererseits bestätigen die externen Daten die Eigenschaften eines bereits erkannten Objekts. Das Ego-​Fahrzeug kann dadurch ein größeres Vertrauen in sowohl seine eigenen als auch die externen Daten gewinnen, was folgende Auswirkungen mit sich bringt:
  • Das CL des Objekts in der eigenen LDM wird erhöht.
  • Das CL der externen Quelle wird erhöht.
• Externe Daten widersprechen den Einträgen in der LDM: Die externen Daten unterscheiden sich von der LDM des Ego-​Fahrzeugs dadurch, dass entweder Objekte angezeigt werden, welche in der LDM nicht vorhanden sind oder durch das Fehlen von Objekten, die laut LDM eigentlich existieren müssten. Das Fahrzeug wird daraus ein geringeres Vertrauen in seine eigenen und die externen Daten ableiten:
  • Das CL des Objekts in der LDM wird verringert (falls existent).
  • Das gesamte CL der externen Quelle wird herabgesetzt, oder die Quelle wird von der Bewertung zukünftig ausgeschlossen.
• Externe Daten zeigen Objekte außerhalb des Sichtbereichs an: Wenn externe Daten Objekte außerhalb des Sichtbereichs des Ego-​Fahrzeugs identifizieren, wird das CL für diese Objekte entsprechend dem CL der externen Quelle festgelegt:
  • Wenn die externe Quelle andere Objekte identifiziert hat, die mit der LDM übereinstimmen, könnte das CL relativ hoch sein.
  • Wenn verschiedene externe Quellen dasselbe Objekt außerhalb des Sichtbereichs zeigen, erhöht sich ebenfalls das CL.
  • Wenn die externen Daten nicht mit der LDM oder den Daten aus anderen externen Quellen übereinstimmen, sollte der CL-Wert für die betreffenden Objekte außerhalb des Sichtbereichs eher niedrig oder gleich Null sein.

Mit dieser Strategie könnte das Ego-​Fahrzeug externe Daten aus Quellen mit niedrigem oder unbekanntem ASIL verwenden, um die eigene LDM zu verbessern, ohne die funktionale Sicherheit des Systems zu beeinträchtigen. Die Strategie ermöglicht die Klassifizierung externer Daten entweder nach dem Anwendungskontext (Ampeln) oder nach dem Grad der Übereinstimmung mit der LDM des Ego-​Fahrzeugs. Der Einfluss einer einzigen externen Quelle auf die LDM fällt zwar gering aus, jedoch steigt die Zuverlässigkeit der LDM enorm, sobald viele externe Quellen das Ego-​Fahrzeug umgeben.

Die beschriebene Strategie könnte auch verwendet werden, wenn Datenübertragungsprotokolle in Zukunft Eigenschaften zur Beschreibung der Vertrauenswürdigkeit enthalten. Sie ermöglicht es dem Ego-​Fahrzeug, Fehlverhalten externer Quellen zu erkennen, so dass es geeignete Maßnahmen ergreifen kann.