DE102011116642A1 - Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle - Google Patents

Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle Download PDF

Info

Publication number
DE102011116642A1
DE102011116642A1 DE201110116642 DE102011116642A DE102011116642A1 DE 102011116642 A1 DE102011116642 A1 DE 102011116642A1 DE 201110116642 DE201110116642 DE 201110116642 DE 102011116642 A DE102011116642 A DE 102011116642A DE 102011116642 A1 DE102011116642 A1 DE 102011116642A1
Authority
DE
Germany
Prior art keywords
transmission
sensor signal
sensor
transmission path
decoding device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201110116642
Other languages
German (de)
Inventor
Reinhard Hofmann
Stanislav Lincer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE201110116642 priority Critical patent/DE102011116642A1/en
Priority to PCT/EP2012/004257 priority patent/WO2013056797A2/en
Publication of DE102011116642A1 publication Critical patent/DE102011116642A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0057Block codes
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • H03M13/13Linear codes
    • H03M13/15Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes
    • H03M13/151Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes using error location or error correction polynomials
    • H03M13/1515Reed-Solomon codes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Theoretical Computer Science (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Übertragungseinrichtung (7) zur sicheren Übertragung eines Sensorsignals eines Sensors (4, 5) an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke (10), insbesondere in einem Kraftfahrzeug (1), wobei eine sensorseitige Hardware-Codierungseinrichtung (11) am Beginn der Übertragungsstrecke (10) und eine übertragungszielseitige Decodierungseinrichtung (18) am Ende der Übertragungsstrecke (10) vorgesehen sind, wobei die Codierungseinrichtung (11) zum Aufprägen wenigstens einer Sicherheitsinformation auf das Sensorsignal und die Decodierungseinrichtung (18) zur Extraktion und Überprüfung der Sicherheitsinformation und zum Feststellen einer Fehlübertragung bei einer eine Abweichung anzeigenden Überprüfung ausgebildet ist.Transmission device (7) for the secure transmission of a sensor signal of a sensor (4, 5) to a transmission target evaluating and / or processing the transmission signal via a transmission path (10), in particular in a motor vehicle (1), wherein a sensor-side hardware encoding device (11) at the beginning of the transmission path (10) and a transmission destination decoding device (18) are provided at the end of the transmission path (10), wherein the coding device (11) for impressing at least one safety information on the sensor signal and the decoding device (18) for extracting and checking the safety information and configured to detect a miss transmission in a deviation indicating check.

Description

Die Erfindung betrifft eine Übertragungseinrichtung und ein Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke. Daneben betrifft die Erfindung ein Kraftfahrzeug mit einer solchen Übertragungseinrichtung.The invention relates to a transmission device and a method for the secure transmission of a sensor signal of a sensor to a transmission signal that evaluates and / or processes the sensor signal over a transmission path. In addition, the invention relates to a motor vehicle with such a transmission device.

In heutigen Kraftfahrzeugen werden Sensordaten zur weiteren Verarbeitung häufig als Sensorsignal an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel, beispielsweise ein Steuergerät oder unmittelbar einen Aktuator, übertragen. Insbesondere im Hinblick auf neue Technologien und autonome Funktionen eines Kraftfahrzeugs steigen die Anforderungen an die Verlässlichkeit und Sicherheit der Übertragung des Sensorsignals.In today's motor vehicles, sensor data for further processing is frequently transmitted as a sensor signal to a transmission target which evaluates and / or processes the sensor signal, for example a control device or directly an actuator. Especially with regard to new technologies and autonomous functions of a motor vehicle, the demands on the reliability and safety of the transmission of the sensor signal increase.

Als Beispiel sei ein Batteriemanagementsystem in einem Kraftfahrzeug betrachtet. So weisen Hochvoltbatterien, wie sie in Hybrid- und Elektrofahrzeugen eingesetzt werden, meist zulässige Betriebsintervalle für Betriebsgrößen, beispielsweise die Temperatur und die Spannung, auf. Außerhalb dieser zulässigen Betriebsintervalle können Probleme auftreten. Mithin werden die Betriebsgrößen gemessen, an ein Steuergerät übertragen und ausgewertet. Aus der Auswertung resultiert eine entsprechende Ansteuerung der Batterie bzw. weiterer Komponenten des Batteriemanagementsystems. Dabei ist es zwangsläufig wichtig, dass die Integrität und Verlässigkeit des Sensorsignals sichergestellt ist.As an example, consider a battery management system in a motor vehicle. For example, high-voltage batteries, such as those used in hybrid and electric vehicles, usually have permissible operating intervals for operating variables, for example the temperature and the voltage. Outside these allowable operating intervals, problems can occur. Consequently, the operating variables are measured, transmitted to a control unit and evaluated. From the evaluation results in a corresponding control of the battery or other components of the battery management system. It is inevitably important that the integrity and reliability of the sensor signal is ensured.

Zur Übertragung des Sensorsignals an das Übertragungsziel ist üblicherweise eine Übertragungsstrecke vorgesehen, die wenigstens teilweise einen Bus, beispielsweise einen CAN-Bus, umfasst. Das Sensorsignal wird von dem Sensor aufgenommen und zunächst, insbesondere nach einer Digitalisierung über einen Analog-Digital-Konverter (ADC) einer Verarbeitungskette zugeführt, die innerhalb des Sensorsteuergeräts wenigstens den als Softwaremittel ausgebildeten CAN-Transceiver (oder sonstigen Bus-Transceiver) umfasst. Hiernach werden die Daten auf den Bus, insbesondere den CAN-Bus, gegeben, um in dem Übertragungsziel, insbesondere einem weiteren Steuergerät, von einem weiteren CAN-Transceiver (oder allgemein Bustransceiver) empfangen zu werden. Nach einer Weiterleitung auf einen Software-Bus folgt dann die Verarbeitung bzw. Auswertung über weitere Softwaremittel. Nachdem die Auswertung und Verarbeitung der Sensorsignale sicherheitskritisch ist und über Software geschieht, müssen die Softwaremittel des Übertragungsziels meist einem Sicherheitsstandard genügen. Hierbei ist insbesondere die Norm ISO 26262 („Road vehicles – functional safety”) zu nennen, die für die Software eine Sicherheitsanforderungsstufe namens „Automotive safety integrity level”, kurz ASIL, definiert. Die im ISO 26262 in Teil 6 definierten Anforderungen sind äußerst hoch und aufwendig, so dass die Sicherheitsanforderungen an die Softwarequalität die Entwicklungskosten und die Entwicklungszeiten deutlich erhöhen.For transmission of the sensor signal to the transmission destination, a transmission path is usually provided which at least partially comprises a bus, for example a CAN bus. The sensor signal is picked up by the sensor and fed first, in particular after digitization via an analog-to-digital converter (ADC), to a processing chain which comprises at least the CAN transceiver (or other bus transceiver) designed as software means within the sensor control device. After that, the data are placed on the bus, in particular the CAN bus, in order to be received in the transmission destination, in particular a further control unit, by another CAN transceiver (or in general bus transceiver). After being forwarded to a software bus, the processing or evaluation then follows via further software means. Since the evaluation and processing of the sensor signals is safety-critical and occurs via software, the software means of the transmission target usually have to meet a safety standard. Here is in particular the Standard ISO 26262 ("Road vehicles - functional safety"), which defines a safety requirement level for the software called "Automotive Safety Integrity Level" (ASIL). The im ISO 26262 in Part 6 defined requirements are extremely high and expensive, so that the security requirements on the software quality significantly increase the development costs and development times.

Sollte nun die Übertragung des Sensorsignals komplett der geforderten Sicherheitsstufe (ASIL-Stufe) entsprechen, so besteht diese Anforderung auch für die Steuereinheit des Sensors, so dass jegliche dortige Software auch zeitaufwendig und kostenaufwendig unter Berücksichtigung der Sicherheitsstandards entwickelt werden müsste. Wie bereits erwähnt, bestehen hohe Anforderungen an die Robustheit und Qualität der Software, die dann auch auf der Sensorseite eingehalten werden müssten.If the transmission of the sensor signal now completely corresponds to the required security level (ASIL level), then this requirement also exists for the control unit of the sensor, so that any software there would also have to be developed in a time-consuming and costly manner taking into account the safety standards. As already mentioned, there are high demands on the robustness and quality of the software, which then also have to be complied with on the sensor side.

Der Erfindung liegt daher die Aufgabe zugrunde, eine Möglichkeit zur Erhöhung der Übertragungssicherheit zu dem Übertragungsziel anzugeben, die keine derart hohen Anforderungen an die sensorseitige Software stellt.The invention is therefore based on the object of specifying a possibility for increasing the transmission reliability to the transmission target, which does not place such high demands on the sensor-side software.

Zur Lösung dieser Aufgabe ist bei einer Übertragungseinrichtung der eingangs genannten Art erfindungsgemäß vorgesehen, dass eine sensorseitige Hardware-Codierungseinrichtung am Beginn der Übertragungsstrecke und eine übertragungszielseitige Decodierungseinrichtung am Ende der Übertragungsstrecke vorgesehen sind, wobei die Codierungseinrichtung zum Aufprägen wenigstens einer Sicherheitsinformation auf das Sensorsignal und die Decodierungseinrichtung zur Extraktion und Überprüfung der Sicherheitsinformation und zum Feststellen einer Fehlübertragung bei einer eine Abweichung anzeigenden Überprüfung ausgebildet ist.To solve this problem is provided according to the invention in a transmission device of the type mentioned that a sensor-side hardware encoding device at the beginning of the transmission path and a transmission destination decoding device are provided at the end of the transmission path, wherein the coding means for impressing at least one safety information on the sensor signal and the decoding device is designed to extract and check the safety information and to detect a faulty transmission in a deviation indicating check.

Mithin wird vorgeschlagen, dem Sensorsignal durch eine Hardware-Komponente sensorseitig, also im Beginn der Übertragungsstrecke, eine Sicherheitsinformation als Zusatzinformation aufzuprägen bzw. hinzuzufügen, deren Korrektheit übertragungszielseitig, also am Ende der Übertragungsstrecke, durch die Decodierungseinrichtung überprüft werden kann, so dass die Gesamtsicherheit erhöht wird. Dadurch, dass in Bezug auf die Übertragungssicherheit lediglich eine Hardware-Komponente auf der Sensorseite benötigt wird, bestehen keine Sicherheitsanforderungen an die Softwarequalität auf der Sensorseite, so dass die Entwicklungskosten und Entwicklungszeiten absinken. Durch die zusätzlich überprüfbare Sicherheitsinformation wird mithin jede Art von Fehler, die auf der Übertragungsstrecke auftreten, durch die Decodierungseinrichtung detektiert, insbesondere also die gegebenenfalls durch die sensorseitige Software auftretenden Fehler, beispielsweise also Fehler einer CAN-Transceiver-Software. Es findet also eine zentrale Übertragungsfehlerdetektion auf der Seite des Übertragungsziels statt, so dass die Sicherheitsanforderungen an die sensorseitige Software stark reduziert sind. Mithin kann auf wenig aufwendige Weise dennoch eine hinreichend sichere Datenübertragung in einem Kraftfahrzeug erreicht werden.It is therefore proposed that the sensor signal be impressed or added as additional information by a hardware component on the sensor side, ie at the beginning of the transmission path, whose correctness can be checked by the decoding device at the end of the transmission path so that the overall security increases becomes. By requiring only a hardware component on the sensor side in terms of transmission reliability, there are no security requirements for software quality on the sensor side, so that development costs and development times decrease. As a result of the additionally verifiable safety information, any type of error occurring on the transmission path is thus detected by the decoding device, in particular the errors possibly occurring through the sensor-side software, for example errors in a CAN transceiver software. So it finds a central transmission error detection on the side of the transmission target, so that the security requirements for the sensor-side software are greatly reduced. Consequently, nevertheless, a sufficiently reliable data transmission in a motor vehicle can be achieved in a low-cost manner.

Dabei kann in einigen Ausführungsbeispielen vorgesehen sein, dass die Sicherheitsinformation von den im Sensorsignal enthaltenen Sensordaten abhängig ist, was eine Redundanz zu dem Signal hinzufügt. Ein Beispiel für eine derartige Sicherheitsinformation ist eine Prüfsumme, worauf im Folgenden noch näher eingegangen werden wird.It may be provided in some embodiments that the safety information is dependent on the sensor data contained in the sensor signal, which adds a redundancy to the signal. An example of such security information is a checksum, which will be discussed in more detail below.

In einer einfachen, vorteilhaften Ausführungsform kann vorgesehen sein, dass die Codierungseinrichtung als ein Modulator und die Decodierungseinrichtung als ein Demodulator ausgebildet ist. Modulatoren und Demodulatoren sind als Hardware-Komponenten gängig und günstig erhältlich. Bevorzugt ist es hierbei, wenn die Codierungseinrichtung zur Pulsweitenmodulation des Sensorsignals ausgebildet ist. In diesem Fall ist also ein PWM-Generator vorgesehen, der durch das Sensorsignal erregt wird und ein pulsweitenmoduliertes Sensorsignal erzeugt, das den Wert des gemessenen, insbesondere des noch analogen Sensorsignals wiedergibt. Hierbei bildet die Frequenz des pulsweitenmodulierten Sensorsignals die zusätzlich vorhandene Sicherheitsinformation, das bedeutet, die Decodierungseinrichtung, hier der Demodulator, überprüft, ob ein korrektes, pulsweitenmoduliertes Sensorsignal vorliegt anhand der Modulationsfrequenz.In a simple, advantageous embodiment it can be provided that the coding device is designed as a modulator and the decoding device as a demodulator. Modulators and demodulators are commonly available and inexpensive as hardware components. It is preferred in this case if the coding device is designed for pulse width modulation of the sensor signal. In this case, therefore, a PWM generator is provided, which is excited by the sensor signal and generates a pulse-width-modulated sensor signal which represents the value of the measured, in particular of the still analog sensor signal. In this case, the frequency of the pulse-width-modulated sensor signal forms the additionally existing safety information, that is, the decoding device, in this case the demodulator, checks whether a correct pulse-width-modulated sensor signal is present on the basis of the modulation frequency.

Es sei an dieser Stelle noch angemerkt, dass selbstverständlich auch andere Modulationsarten, bei denen die Sicherheitsinformation beispielsweise auf das Sensorsignal aufmoduliert wird, denkbar sind, beispielsweise Modulation von Phase, Frequenz und dergleichen.It should also be noted at this point that, of course, other types of modulation in which the safety information is modulated on the sensor signal, for example, are conceivable, for example, modulation of phase, frequency and the like.

In einer alternativen Ausgestaltung kann auch vorgesehen sein, dass die Codierungseinrichtung als ein eine Prüfsumme als Sicherheitsinformation hinzufügendes Prüfsummenmittel und/oder ein auf einem Reed-Solomon-Code basierendes Codiermittel ausgebildet ist, welches einem Analog-Digital-Konverter für das Sensorsignal nachgeschaltet ist. Auf diese Weise kann dem Sensorsignal beispielsweise eine Prüfsumme als Sicherheitsinformation hinzugefügt werden, indem beispielsweise ein zur Ermittlung und Hinzufügung der Prüfsumme ausgebildeter FPGA als Codiereinrichtung beziehungsweise konkret Prüfsummenmittel eingesetzt wird. Reed-Solomon-Codes sind grundsätzlich bekannte Codierungsverfahren, die mit Blöcken von Symbolen arbeiten, die in der Regel jeweils aus acht Bit bestehen. Reed-Solomon-Codes bieten gute Fehlerkorrektureigenschaften und es existieren relativ einfache Decodieralgorithmen. Bei dieser Art von Codierung ist jedoch zu beachten, dass ein digitales Sensorsignal vorliegen muss, mithin die Funktion eines Analog-Digital-Konverters (ADC) nicht überprüft werden kann, so dass hier ein verlässlicher ADC eingesetzt werden sollte.In an alternative embodiment it can also be provided that the coding device is designed as a checksum means adding a checksum as security information and / or a coding means based on a Reed-Solomon code which is connected downstream of an analog-to-digital converter for the sensor signal. In this way, for example, a checksum can be added to the sensor signal as safety information, for example by using an FPGA designed to determine and add the checksum as the coding device or concrete checksum means. Reed-Solomon codes are basically known encoding methods that operate on blocks of symbols, each consisting of eight bits each. Reed-Solomon codes offer good error correction properties and relatively simple decoding algorithms exist. With this type of coding, however, it should be noted that a digital sensor signal must be present, and thus the function of an analog-to-digital converter (ADC) can not be checked, so that a reliable ADC should be used here.

In zweckmäßiger weiterer Ausgestaltung kann vorgesehen sein, dass eine zweite Übertragungsstrecke von dem Sensor zu dem Übertragungsziel zur Übertragung des uncodierten Sensorsignals vorgesehen ist. Es wird also vorgeschlagen, auch das uncodierte Signal zu übertragen. In diesem Fall existieren zwei vorteilhafte Anwendungsmöglichkeiten. So kann zum einen vorgesehen sein, dass die Decodierungseinrichtung zur weiteren Überprüfung der Übertragung durch Vergleich des uncodierten Sensorsignals mit dem decodierten Sensorsignal ausgebildet ist. Das bedeutet, das uncodierte Sensorsignal kann für eine Plausibilisierung herangezogen werden. Besonders vorteilhaft an der zusätzlichen uncodierten Übertragung des Sensorsignals ist jedoch, dass für spezielle Anwendungsfälle zusätzliche Verzögerungen bei Zustandsübergängen des Sensorsignals, die durch die Codierung/Decodierung auftreten können, vermieden werden. Das bedeutet also, dass immer dann, wenn aufgrund des Sensorsignals ein Übergang in einen grundsätzlich sicheren Betriebszustand des Übertragungsziels oder einer angesteuerten Komponente/eines angesteuerten Aktuators übergegangen wird, sind Fehler bei der Übertragung weniger kritisch sind, da ja allenfalls in einen ohnehin sicheren Zustand geschaltet würde. Dies sei anhand eines Beispiels näher erläutert.In an expedient further embodiment, it can be provided that a second transmission path from the sensor to the transmission destination is provided for transmitting the uncoded sensor signal. It is therefore proposed to transmit the uncoded signal as well. In this case, there are two advantageous applications. Thus, on the one hand, it may be provided that the decoding device is designed to further check the transmission by comparing the uncoded sensor signal with the decoded sensor signal. This means that the uncoded sensor signal can be used for a plausibility check. Particularly advantageous in the additional uncoded transmission of the sensor signal, however, is that for special applications, additional delays in state transitions of the sensor signal, which can occur due to the coding / decoding, are avoided. This means that whenever a transition to a fundamentally safe operating state of the transmission target or a controlled component / a controlled actuator is transferred due to the sensor signal, errors in the transmission are less critical, since at most switched to an already safe state would. This will be explained in more detail with reference to an example.

Geht es beispielsweise bei der vorliegenden Erfindung um die Aktivierung und Deaktivierung eines Scheinwerfers in Abhängigkeit eines Sensorsignals, so ist der Umschaltvorgang von „Licht aus” zu „Licht an” unkritisch. Denn „Licht an” ist ein sichererer Zustand als „Licht aus”. Hier kann also unmittelbar auch das uncodierte, direkt übertragene Sensorsignal verwendet werden und es kann eine schnellere Reaktion ermöglicht werden. Geht es jedoch um den Übergang „Licht an” zu „Licht aus”, so ist eine höhere Verlässlichkeit des Sensorsignals erforderlich, nachdem beispielsweise bei einer Nachtfahrt ein Deaktivieren der Scheinwerfer ungünstig und weniger sicher wäre. Für diesen Übergang wird also in jedem Fall das mit der Sicherheitsinformation übertragene, überprüfte Sensorsignal verwendet.If, for example, in the present invention, the activation and deactivation of a headlight as a function of a sensor signal, so the switching from "light off" to "light on" is not critical. Because "light on" is a safer state than "light off". Thus, the uncoded, directly transmitted sensor signal can also be used directly here, and a faster reaction can be made possible. However, when it comes to the transition "light on" to "light off", a higher reliability of the sensor signal is required after, for example, a night driving disabling the headlights would be unfavorable and less secure. For this transition, therefore, the transmitted with the safety information, checked sensor signal is used in each case.

In weiterer Ausgestaltung der vorliegenden Erfindung kann vorgesehen sein, dass die Decodierungseinrichtung als ein insbesondere einem sicherheitsbezogenen Standard entsprechendes Softwaremittel ausgebildet ist. Nachdem auf der Decodierungsseite, wo ja auch die weitere Verarbeitung und/oder Auswertung des Sensorsignals stattfinden soll, ohnehin höhere Anforderungen an die funktionale Sicherheit gestellt werden und die dortige Software grundsätzlich robust und verlässlich entwickelt wird, beispielsweise entsprechend einer bestimmten ASIL-Stufe, kann dies auch für die Decodierungseinrichtung als Softwaremittel realisiert werden. Insbesondere kann vorgesehen sein, dass jedes Softwaremittel des Übertragungsziels, also insbesondere eines Steuergeräts und/oder eines Aktuators, nach diesem Standard ausgebildet ist. Dies ist häufig eine Anforderung an Steuergeräte, dass alle Softwaremittel dieselbe ASIL-Sicherheitsstufe oder dergleichen erfüllen.In a further embodiment of the present invention, it can be provided that the decoding device is designed as a software means which corresponds in particular to a safety-related standard. After on the decoding side, where yes, the further processing and / or evaluation of the sensor signal to take place anyway higher demands on the Functional security are provided and the local software is basically robust and reliably developed, for example according to a certain ASIL level, this can also be implemented for the decoding device as a software means. In particular, it may be provided that each software means of the transmission target, that is to say in particular a control device and / or an actuator, is designed according to this standard. This is often a requirement for controllers that all software agents meet the same ASIL security level or the like.

Es kann ferner vorgesehen sein, dass wenigstens ein Teil der Übertragungsstrecke ein Bus ist, insbesondere ein CAN-Bus oder ein FlexRay-Bus oder ein LIN-Bus. Derartige Bussysteme werden in Kraftfahrzeugen häufig verwendet, um Daten zwischen unterschiedlichen Fahrzeugsystemen beziehungsweise Softwaregeräten auszutauschen.It may further be provided that at least part of the transmission link is a bus, in particular a CAN bus or a FlexRay bus or a LIN bus. Such bus systems are often used in motor vehicles to exchange data between different vehicle systems or software devices.

Neben der Übertragungseinrichtung betrifft die vorliegende Erfindung ein Kraftfahrzeug, umfassend wenigstens einen ein Sensorsignal aufnehmenden Sensor, ein Übertragungsziel für die Sensordaten, insbesondere ein Steuergerät und/oder einen Aktuator, und eine erfindungsgemäße Übertragungseinrichtung. Sämtliche Ausführungen bezüglich der erfindungsgemäßen Übertragungseinrichtung lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, so dass auch mit diesem die genannten Vorteile erreicht werden können. Bei dem Sensor kann es sich beispielsweise um einen Temperatursensor und/oder einen Spannungssensor für eine Hochspannungsbatterie und/oder einzelne Zellen einer Hochspannungsbatterie und bei den Übertragungsziel um ein Steuergerät für ein Batteriemanagement-System handeln. Selbstverständlich sind jedoch auch andere sicherheitskritische Übertragungsstrecken innerhalb des Kraftfahrzeugs nach dem erfindungsgemäßen Verfahren ausgestaltbar.In addition to the transmission device, the present invention relates to a motor vehicle, comprising at least one sensor receiving a sensor signal, a transmission destination for the sensor data, in particular a control device and / or an actuator, and a transmission device according to the invention. All statements regarding the transmission device according to the invention can be analogously transferred to the motor vehicle according to the invention, so that even with this said advantages can be achieved. The sensor may be, for example, a temperature sensor and / or a voltage sensor for a high-voltage battery and / or individual cells of a high-voltage battery and the transmission target to a controller for a battery management system. Of course, however, other safety-critical transmission links within the motor vehicle can be configured by the method according to the invention.

Es sei an dieser Stelle noch angemerkt, dass der Begriff des Sensors im Rahmen des erfindungsgemäßen Verfahrens weit verstanden werden kann als jede Vorrichtung, die durch eine Art von Messung ein Sensorsignal aufnimmt, beispielsweise also auch Kommunikationseinrichtungen oder dergleichen, die eine beispielsweise drahtlose Übertragung als das Sensorsignal empfangen.It should be noted at this point that the concept of the sensor in the context of the method according to the invention can be widely understood as any device that receives a sensor signal by a type of measurement, for example, communication devices or the like, the example wireless transmission as the Sensor signal received.

Dabei sei an dieser Stelle noch angemerkt, dass dann, wenn eine zweite Übertragungsstrecke zur unmittelbaren Übertragung des uncodierten Sensorsignals vorgesehen ist, das Übertragungsziel, insbesondere also ein Steuergerät, dazu ausgebildet sein kann, das uncodierte Sensorsignal unmittelbar auszuwerten, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird. Dies wurde bereits bezüglich der Übertragungseinrichtung näher erläutert.It should also be noted at this point that if a second transmission path is provided for the direct transmission of the uncoded sensor signal, the transmission target, in particular a control unit, can be designed to directly evaluate the uncoded sensor signal, if it is with regard to switching is evaluated in a safe operating mode and / or a safe operating state. This has already been explained in more detail with regard to the transmission device.

Schließlich betrifft die vorliegende Erfindung auch ein Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke, welches sich dadurch auszeichnet, dass am Beginn der Übertragungsstrecke durch eine Hardware-Codierungseinrichtung wenigstens eine Sicherheitsinformation auf das Sensorsignal aufgeprägt wird und am Ende der Übertragungsstrecke durch eine Decodierungseinrichtung die Sicherheitsinformation extrahiert und überprüft wird, wobei bei einer eine Abweichung der Sicherheitsinformation anzeigenden Überprüfung eine Fehlübertragung festgestellt wird. Sämtliche Ausführungen bezüglich der erfindungsgemäßen Übertragungseinrichtung und des erfindungsgemäßen Kraftfahrzeugs lassen sich analog auch auf das erfindungsgemäße Verfahren übertragen, mit welchem mithin die bereits genannten Vorteile auch erhalten werden können.Finally, the present invention also relates to a method for the secure transmission of a sensor signal of a sensor to a sensor signal evaluating and / or processing transmission destination over a transmission path, which is characterized in that at the beginning of the transmission path by a hardware encoding device at least one safety information on the sensor signal is impressed and at the end of the transmission path by a decoding device, the security information is extracted and checked, wherein in a deviation of the security information indicating check a faulty transmission is detected. All statements relating to the transmission device according to the invention and the motor vehicle according to the invention can be analogously also transferred to the inventive method, with which therefore the already mentioned advantages can also be obtained.

In weiterer Ausgestaltung des erfindungsgemäßen Verfahrens kann vorgesehen sein, dass bei einer festgestellten Fehlübertragung das Übertragungsziel und/oder aufgrund des Sensorsignals von dem Übertragungsziel angesteuerte Aktuatoren in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand geschaltet werden. Wird also eine Fehlübertragung festgestellt, so wird diese wie ein Sensorfehler behandelt und das entsprechende System wird bezüglich des Sensors in einen sicheren Zustand gebracht, also in einen Zustand, in dem möglichst wenig Gefahr für das Kraftfahrzeug und insbesondere seine Insassen besteht.In a further embodiment of the method according to the invention, it can be provided that, in the event of a detected faulty transmission, the transmission target and / or actuators controlled by the transmission target on the basis of the sensor signal are switched to a safe operating mode and / or a safe operating state. Thus, if a faulty transmission is detected, it will be treated as a sensor fault, and the corresponding system will be placed in a safe state with respect to the sensor, that is, in a state where there is as little danger to the vehicle as possible, and in particular to its occupants.

Ferner kann vorgesehen sein, dass das uncodierte Sensorsignal über eine zweite Übertragungsstrecke an das Übertragungsziel übertragen wird, wobei das uncodierte Sensorsignal an dem Übertragungsziel unmittelbar ausgewertet wird, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird. Wie bereits bezüglich der Übertragungseinrichtung ausführlich erläutert, kann diese Vorgehensweise bei bestimmten in sichere Zustände führenden Zustandswechseln aufgrund des Sensorsignals zu einer schnelleren Reaktion führen.Furthermore, it can be provided that the uncoded sensor signal is transmitted to the transmission destination via a second transmission path, wherein the uncoded sensor signal is evaluated directly at the transmission destination when it is evaluated with regard to switching to a safe operating mode and / or a safe operating state. As already explained in detail with regard to the transmission device, this procedure can lead to a faster response given certain state changes leading to safe states on the basis of the sensor signal.

Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnung. Dabei zeigen:Further advantages and details of the present invention will become apparent from the embodiments described below and with reference to the drawing. Showing:

1 eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs, 1 a schematic diagram of a motor vehicle according to the invention,

2 eine Prinzipskizze einer erfindungsgemäßen Übertragungseinrichtung, und 2 a schematic diagram of a transmission device according to the invention, and

3 eine Prinzipskizze zur alternativen Realisierung einer Codierung. 3 a schematic diagram for the alternative realization of a coding.

1 zeigt eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs 1. Es handelt sich dabei um ein Hybridfahrzeug, welches eine Hochspannungsbatterie 2 umfasst, der ein Batteriemanagement-System 3 zugeordnet ist. Die Hochspannungsbatterie 2 umfasst eine Mehrzahl von Lithium-Ionen-Zellen, deren Betriebszustand durch das Batteriemanagement-System 3 ständig überprüft wird. Hierzu sind Temperatursensoren 4 und Spannungssensoren 5 vorgesehen, von denen der Einfachheit halber nur jeweils einer gezeigt ist. Selbstverständlich können auch weitere Sensoren vorgesehen werden. Die Daten der Sensoren 4, 5 sollen in einem zentralen Steuergerät 6 des Batteriemanagement-Systems 3 ausgewertet werden. Mithin müssen die von den Sensoren 4, 5 aufgenommenen Sensorsignale möglichst verlässlich und fehlerfrei an das Steuergerät 6 als Übertragungsziel übertragen werden. Hierzu sind für die Sensoren 4, 5 jeweils erfindungsgemäße Übertragungseinrichtungen 7 vorgesehen, welche im Hinblick auf 2 näher erläutert werden sollen. 1 shows a schematic diagram of a motor vehicle according to the invention 1 , It is a hybrid vehicle, which is a high voltage battery 2 includes a battery management system 3 assigned. The high voltage battery 2 includes a plurality of lithium-ion cells, their operating state by the battery management system 3 is constantly checked. These are temperature sensors 4 and voltage sensors 5 provided, of which only one is shown for the sake of simplicity. Of course, other sensors can be provided. The data of the sensors 4 . 5 should be in a central control unit 6 of the battery management system 3 be evaluated. So they have to be from the sensors 4 . 5 recorded sensor signals as reliable and error-free as possible to the control unit 6 be transmitted as transmission destination. These are for the sensors 4 . 5 respectively transmission devices according to the invention 7 provided with regard to 2 be explained in more detail.

2 zeigt mithin eine Prinzipskizze wesentlicher Komponenten der Übertragungseinrichtung 7 im Beispiel des Temperatursensors 4. Diesem ist ersichtlich eine eigene Steuereinheit 8 zugeordnet, die über einen CAN-Bus 9 als Teil der Übertragungsstrecke 10 verbunden sind. 2 shows therefore a schematic diagram of essential components of the transmission device 7 in the example of the temperature sensor 4 , This is obviously a separate control unit 8th assigned via a CAN bus 9 as part of the transmission path 10 are connected.

Zu Beginn der Übertragungsstrecke 10 ist sensorseitig in der Steuereinheit 8 eine Codierungseinrichtung 11, vorliegend ein Modulator 12, vorgesehen. Der Modulator 12 ist ein Pulsweitenmodulations-Generator (PWM-Generator), der das gemessene Sensorsignal in ein pulsweitenmoduliertes Sensorsignal mit einer bestimmten Frequenz umsetzt. Der Modulator 12 ist gänzlich als Hardware realisiert. Das pulsweitenmodulierte Sensorsignal wird dann gemäß des Pfeils 13 an die nicht sicherheitskritisch zu realisierende Software 14 der Steuereinheit 8 des Sensors 4 weitergeleitet. Vorliegend umfasst die Software 14 insbesondere einen CAN-Transceiver, der die Daten für den Transport über den CAN-Bus 9 vorbereitet und auf den CAN-Bus 9 übergibt.At the beginning of the transmission path 10 is sensor-side in the control unit 8th an encoding device 11 , in this case a modulator 12 , intended. The modulator 12 is a pulse width modulation generator (PWM generator), which converts the measured sensor signal into a pulse width modulated sensor signal with a specific frequency. The modulator 12 is completely realized as hardware. The pulse width modulated sensor signal is then according to the arrow 13 to the software that is not safety-critical 14 the control unit 8th of the sensor 4 forwarded. In the present case includes the software 14 in particular a CAN transceiver, which stores the data for transport over the CAN bus 9 prepared and on the CAN bus 9 passes.

Die Übertragungsstrecke 10 kann also als ein sogenannter „Grey channel” vorgesehen werden, also eine nicht sicherheitskritische Kommunikationsverbindung zwischen zwei Modulen, hier die Kodierungseinrichtung 11 und die später zu diskutierende Dekodierungseinrichtung 18, die als sicherheitskritisch angesehen werden. Daten, die über einen „Grey channel” (Übertragungsstrecke 10) gesendet werden, können durch Fehler innerhalb der Übertragungsstrecke 10 beeinflusst werden, so dass diese Fehler anhand des sicherheitsbezogenen Empfängers, hier konkret der Dekodierungseinrichtung 18, dekodiert werden müssen.The transmission link 10 can therefore be provided as a so-called "gray channel", ie a non-safety-critical communication connection between two modules, here the coding device 11 and the decoding device to be discussed later 18 that are considered safety critical. Data transmitted via a "gray channel" 10 ) can be transmitted by errors within the transmission link 10 be influenced, so that these errors based on the safety-related receiver, in this case the decoding device 18 to be decoded.

Seitens des Steuergeräts 6 ist nun eine entsprechende Empfangssoftware 15 vorgesehen, die das pulsweitenmodulierte Sensorsignal aus dem CAN-Bus 9 abfragt und die ebenso einen CAN-Transceiver umfasst. Von dort wird das pulsweitenmodulierte empfangene Sensorsignal gemäß des Pfeils 16 an einen als Softwaremittel realisierten Demodulator 17 weitergegeben, der mithin die Decodierungseinrichtung 18 bildet.On the part of the controller 6 is now a corresponding receiving software 15 provided, the pulse width modulated sensor signal from the CAN bus 9 and which also includes a CAN transceiver. From there, the pulse width modulated received sensor signal according to the arrow 16 to a demodulator realized as a software means 17 passed, which consequently the decoding device 18 forms.

Dabei sei an dieser Stelle angemerkt, dass sämtliche Softwaremittel des Steuergeräts 6 vorliegend einem Sicherheitsstandard entsprechend entwickelt wurden, der für das gesamte Steuergerät 6 außer die Übertragungsstrecke 10 gilt, insbesondere einer ASIL-Stufe des Steuergeräts 6 entsprechend. Sicherheitskritisch sind im vorliegenden Fall also die Dekodierungseinrichtung 18, die Verbindung zu einem Auswerte-Softwaremittel 20, das Auswerte-Softwaremittel 20 und die Ausgabe.It should be noted at this point that all software means of the controller 6 have been developed in accordance with a safety standard, the for the entire controller 6 except the transmission link 10 applies, in particular an ASIL stage of the control unit 6 corresponding. Safety critical in the present case, therefore, the decoding device 18 , the connection to an evaluation software means 20 , the evaluation software 20 and the issue.

Der Demodulator 17 dient zwei Zwecken. Zum einen demoduliert er das pulsweitenmodulierte empfangene Sensorsignal wieder, so dass ein übertragenes demoduliertes Sensorsignal erhalten wird, Pfeil 19. Zum anderen aber überprüft er, ob eine korrekte, der Modulationsfrequenz als Sicherheitsinformation entsprechende Modulation vorliegt. Weicht die Sicherheitsinformation, hier die Frequenz, ab, so wird eine Fehlübertragung durch den Demodulator 17 festgestellt und es werden seitens des Steuergeräts 6 Maßnahmen ergriffen, um die Hochspannungsbatterie 2 in einen sicheren Zustand zu überführen, also einen Zustand, in dem sichergestellt ist, dass sich die entsprechende Betriebsgröße – hier die Temperatur – in einem zulässigen Intervall bewegt und/oder die entsprechende Lithium-Ionen-Zelle gänzlich deaktiviert wird. Bei Feststellung einer Fehlübertragung wird also zumindest bezüglich des Sensors 4 ein sicherer Betriebszustand beziehungsweise ein sicherer Betriebsmodus herbeigeführt.The demodulator 17 serves two purposes. On the one hand, it demodulates the pulse width modulated received sensor signal again, so that a transmitted demodulated sensor signal is obtained, arrow 19 , On the other hand, however, it checks whether a correct modulation, which corresponds to the modulation frequency as safety information, is present. If the safety information, in this case the frequency, deviates, a faulty transmission by the demodulator will result 17 detected and it will be on the part of the controller 6 Measures taken to the high voltage battery 2 to transfer to a safe state, ie a state in which it is ensured that the corresponding operating variable - here the temperature - moves within a permissible interval and / or the corresponding lithium-ion cell is completely deactivated. Upon detection of a faulty transmission is thus at least with respect to the sensor 4 a safe operating state or a safe operating mode brought about.

Wird keine Fehlübertragung festgestellt, so wird das übertragene demodulierte Sensorsignal von dem Auswerte-Softwaremittel 20 ausgewertet, welches hieraus entsprechende Aktuatorsignale, beispielsweise einzustellende Betriebsparameter für die Hochspannungsbatterie 2, erzeugen kann, Pfeil 21.If no faulty transmission is detected, then the transmitted demodulated sensor signal from the evaluation software means 20 evaluated, which therefrom corresponding actuator signals, for example, set operating parameters for the high-voltage battery 2 , can produce, arrow 21 ,

Wie in 2 ebenso dargestellt ist, kann optional auch eine zweite Übertragungsstrecke realisiert werden, vgl. Pfeile 22, 23, auf der das Sensorsignal unmittelbar über den CAN-Bus 9 übertragen wird, das bedeutet, ohne Hinzufügen einer Sicherheitsinformation. Eine derartige zweite Übertragungsstrecke kann in zweierlei Hinsicht vorteilhaft sein. Zum einen kann der Demodulator 17 ausgebildet sein, zur Überprüfung des Vorliegens einer Fehlübertragung auch einen Vergleich zwischen den unmittelbar übertragenen Sensorsignal und dem empfangenen demodulierten Sensorsignal vorzunehmen, sodass eine weitere Plausibilisierung möglich ist. Zum anderen aber kann in einer bevorzugten Ausgestaltung der Erfindung das unmittelbar übertragene Sensorsignal, welches also nicht moduliert und demoduliert wurde, immer dann unmittelbar als Eingang für die Auswerte-Softwaremittel 20 verwendet werden, wenn es ohnehin um das Erreichen eines sichereren Betriebszustands beziehungsweise Betriebsmodus geht. Denn dann kann ein Fehler lediglich zu einem allgemein sichereren Zustand führen, was zunächst nicht nachteilhaft ist, jedoch Zeitverzögerungen aufgrund der Modulation und Demodulation, wenn lediglich das auf sichere Weise übertragene Signal verwendet würde, vermeidet.As in 2 is also shown, optionally, a second transmission path can be realized, cf. arrows 22 . 23 on which the sensor signal is directly via the CAN bus 9 that is, without adding any security information. Such a second Transmission path can be advantageous in two ways. First, the demodulator 17 be configured to make the verification of the presence of a faulty transmission and a comparison between the directly transmitted sensor signal and the received demodulated sensor signal, so that a further plausibility is possible. On the other hand, in a preferred embodiment of the invention, the directly transmitted sensor signal, which was therefore not modulated and demodulated, always directly as input for the evaluation software means 20 be used when it comes to achieving a safer operating state or operating mode anyway. For then an error can only lead to a generally safer state, which is initially not disadvantageous, but avoids time delays due to the modulation and demodulation, if only the signal transmitted in a secure manner was used.

3 zeigt eine Möglichkeit zur Realisierung eines alternativen Ausführungsbeispiels, bei dem eine vom Sensorsignal selbst abhängige Sicherheitsinformation dem Sensorsignal aufgeprägt wird. Ersichtlich wird das Sensorsignal, während in der Ausführungsform nach 2 unmittelbar das analoge Sensorsignal moduliert wurde, dort zunächst einem Analog-Digital-Wandler 24 zugeführt, bevor es durch die hier als Prüfsummenmittel 25 ausgebildete Codierungseinrichtung 11 weitergeleitet wird. In diesem Fall wird die Funktion des ADC 24 nicht überprüft, da nur für das digitalisierte Sensorsignal eine Prüfsumme ermittelt werden kann. Das Prüfsummenmittel 25 kann dabei beispielsweise als ein FPGA ausgeführt sein, das bedeutet, es ist wiederum gänzlich durch Hardware realisiert. 3 shows a possibility for implementing an alternative embodiment in which a dependent of the sensor signal itself safety information is impressed on the sensor signal. The sensor signal is apparent during the embodiment 2 immediately the analog sensor signal was modulated, there first an analog-to-digital converter 24 fed through it before by the checksum means 25 trained coding device 11 is forwarded. In this case, the function of the ADC 24 not checked, since only for the digitized sensor signal a checksum can be determined. The checksum mean 25 For example, it may be implemented as an FPGA, which means that it is again completely realized by hardware.

Abschließend sei an dieser Stelle noch angemerkt, dass auch ein Reed-Solomon-Code zur Codierung verwendet werden kann. Wird beispielsweise die PAR2-Prüfsumme verwendet, kann das Prüfsummenmittel 25 auch ein auf dem Reed-Solomon-Code basierendes Codiermittel sein.Finally, it should be noted at this point that even a Reed-Solomon code can be used for coding. For example, if the PAR2 checksum is used then the checksum means 25 also be an encoder based on the Reed-Solomon code.

Es sei an dieser Stelle noch angemerkt, dass die erfindungsgemäße Übertragungseinrichtung 7 auch in anderen Bereichen eines Kraftfahrzeugs, wo eine verlässliche, sichere Übertragung von Sensorsignalen erforderlich ist, eingesetzt werden kann, beispielsweise bei die Aktivierung und Deaktivierung eines Scheinwerfers bestimmenden Sensorsignalen und dergleichen.It should be noted at this point that the transmission device according to the invention 7 also in other areas of a motor vehicle, where a reliable, secure transmission of sensor signals is required, can be used, for example, in the activation and deactivation of a headlight-determining sensor signals and the like.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • Norm ISO 26262 [0004] Standard ISO 26262 [0004]
  • ISO 26262 in Teil 6 [0004] ISO 26262 in Part 6 [0004]

Claims (12)

Übertragungseinrichtung (7) zur sicheren Übertragung eines Sensorsignals eines Sensors (4, 5) an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke (10), insbesondere in einem Kraftfahrzeug (1), dadurch gekennzeichnet, dass eine sensorseitige Hardware-Codierungseinrichtung (11) am Beginn der Übertragungsstrecke (10) und eine übertragungszielseitige Decodierungseinrichtung (18) am Ende der Übertragungsstrecke (10) vorgesehen sind, wobei die Codierungseinrichtung (11) zum Aufprägen wenigstens einer Sicherheitsinformation auf das Sensorsignal und die Decodierungseinrichtung (18) zur Extraktion und Überprüfung der Sicherheitsinformation und zum Feststellen einer Fehlübertragung bei einer eine Abweichung anzeigenden Überprüfung ausgebildet ist.Transmission device ( 7 ) for the safe transmission of a sensor signal of a sensor ( 4 . 5 ) to a transmission signal which evaluates and / or processes the sensor signal via a transmission path ( 10 ), in particular in a motor vehicle ( 1 ), characterized in that a sensor-side hardware coding device ( 11 ) at the beginning of the transmission path ( 10 ) and a transmission destination decoding device ( 18 ) at the end of the transmission path ( 10 ), the coding device ( 11 ) for impressing at least one safety information on the sensor signal and the decoding device ( 18 ) is adapted to extract and verify the safety information and to detect a faulty transmission in a deviation indicating test. Übertragungseinrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Codierungseinrichtung (11) als ein Modulator (12) und die Decodierungseinrichtung (18) als ein Demodulator (17) ausgebildet ist.Transmission device according to claim 1, characterized in that the coding device ( 11 ) as a modulator ( 12 ) and the decoding device ( 18 ) as a demodulator ( 17 ) is trained. Übertragungseinrichtung nach Anspruch 2, dadurch gekennzeichnet, dass die Codierungseinrichtung (11) zur Pulsweitenmodulation des Sensorsignals ausgebildet ist.Transmission device according to Claim 2, characterized in that the coding device ( 11 ) is designed for pulse width modulation of the sensor signal. Übertragungseinrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Codierungseinrichtung (11) als ein eine Prüfsumme als Sicherheitsinformation hinzufügendes Prüfsummenmittel (25) und/oder ein auf einem Reed-Solomon-Code basierendes Codiermittel ausgebildet ist, welches einem Analog-Digital-Konverter (24) für das Sensorsignal nachgeschaltet ist.Transmission device according to claim 1, characterized in that the coding device ( 11 ) as a checksum means to add as a security information ( 25 ) and / or a Reed-Solomon code-based encoding means is provided, which an analog-to-digital converter ( 24 ) is connected downstream of the sensor signal. Übertragungseinrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass eine zweite Übertragungsstrecke von dem Sensor (4, 5) zu dem Übertragungsziel zur Übertragung des uncodierten Sensorsignals vorgesehen ist.Transmission device according to one of the preceding claims, characterized in that a second transmission path from the sensor ( 4 . 5 ) is provided to the transmission destination for transmission of the uncoded sensor signal. Übertragungseinrichtung nach Anspruch 5, dadurch gekennzeichnet, dass die Decodierungseinrichtung (18) zur weiteren Überprüfung der Übertragung durch Vergleich des uncodierten Sensorsignals mit dem decodierten Sensorsignal ausgebildet ist.Transmission device according to Claim 5, characterized in that the decoding device ( 18 ) is designed for further checking the transmission by comparing the uncoded sensor signal with the decoded sensor signal. Übertragungseinrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Decodierungseinrichtung (18) als ein insbesondere einem sicherheitsbezogenen Standard entsprechendes Softwaremittel ausgebildet ist.Transmission device according to one of the preceding claims, characterized in that the decoding device ( 18 ) is designed as a software means which corresponds in particular to a safety-related standard. Übertragungseinrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens ein Teil der Übertragungsstrecke (10) ein Bus ist, insbesondere ein CAN-Bus (9) oder ein FlexRay-Bus.Transmission device according to one of the preceding claims, characterized in that at least part of the transmission path ( 10 ) is a bus, in particular a CAN bus ( 9 ) or a FlexRay bus. Kraftfahrzeug (1), umfassend wenigstens einen ein Sensorsignal aufnehmenden Sensor (4, 5), ein Übertragungsziel für die Sensordaten, insbesondere ein Steuergerät (6) und/oder ein Aktuator, und eine Übertragungseinrichtung (7) nach einem der vorangehenden Ansprüche.Motor vehicle ( 1 ) comprising at least one sensor receiving a sensor signal ( 4 . 5 ), a transmission destination for the sensor data, in particular a control unit ( 6 ) and / or an actuator, and a transmission device ( 7 ) according to one of the preceding claims. Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors (4, 5) an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke (10), dadurch gekennzeichnet, dass am Beginn der Übertragungsstrecke (10) durch eine Hardware-Codierungseinrichtung (11) wenigstens eine Sicherheitsinformation auf das Sensorsignal aufgeprägt wird und am Ende der Übertragungsstrecke (10) durch eine Decodierungseinrichtung (18) die Sicherheitsinformation extrahiert und überprüft wird, wobei bei einer eine Abweichung der Sicherheitsinformation anzeigenden Überprüfung eine Fehlübertragung festgestellt wird.Method for the safe transmission of a sensor signal of a sensor ( 4 . 5 ) to a transmission signal which evaluates and / or processes the sensor signal via a transmission path ( 10 ), characterized in that at the beginning of the transmission path ( 10 ) by a hardware coding device ( 11 ) at least one safety information is impressed on the sensor signal and at the end of the transmission path ( 10 ) by a decoding device ( 18 ) the security information is extracted and checked, whereby a failure is detected in a check indicating a deviation of the security information. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass bei einer festgestellten Fehlübertragung das Übertragungsziel und/oder aufgrund des Sensorsignals von dem Übertragungsziel angesteuerte Aktuatoren in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand geschaltet werden.A method according to claim 10, characterized in that in a detected faulty transmission, the transmission destination and / or driven on the basis of the sensor signal from the transmission target actuators are switched to a safe operating mode and / or a safe operating condition. Verfahren nach Anspruch 10 oder 11, dadurch gekennzeichnet, dass das uncodierte Sensorsignal über eine zweite Übertragungsstrecke an das Übertragungsziel übertragen wird, wobei das uncodierte Sensorsignal an dem Übertragungsziel unmittelbar ausgewertet wird, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird.A method according to claim 10 or 11, characterized in that the uncoded sensor signal is transmitted via a second transmission path to the transmission destination, wherein the uncoded sensor signal is evaluated directly at the transmission destination, if it is in terms of switching to a safe operating mode and / or safe operating condition is evaluated.
DE201110116642 2011-10-20 2011-10-20 Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle Withdrawn DE102011116642A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE201110116642 DE102011116642A1 (en) 2011-10-20 2011-10-20 Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle
PCT/EP2012/004257 WO2013056797A2 (en) 2011-10-20 2012-10-11 Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110116642 DE102011116642A1 (en) 2011-10-20 2011-10-20 Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle

Publications (1)

Publication Number Publication Date
DE102011116642A1 true DE102011116642A1 (en) 2013-04-25

Family

ID=47177867

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110116642 Withdrawn DE102011116642A1 (en) 2011-10-20 2011-10-20 Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle

Country Status (2)

Country Link
DE (1) DE102011116642A1 (en)
WO (1) WO2013056797A2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013204891A1 (en) * 2013-03-20 2014-09-25 Robert Bosch Gmbh Method for the reconstruction of measured data
DE102020214694A1 (en) 2020-11-23 2022-05-25 Robert Bosch Gesellschaft mit beschränkter Haftung Method and device for checking the completeness of a display content when transmitting at least one item of display information for a vehicle

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0961724B2 (en) * 1997-02-19 2007-09-12 Pacifica Group Technologies Pty Ltd Braking system for a motor vehicle and method for transmitting data in an electrically controlled braking system for motor vehicles

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100201580B1 (en) * 1991-04-02 1999-06-15 후루까와 준노스께 Miltiplex transmission system
CA2115730C (en) * 1993-02-15 1999-05-04 Hiroshi Hashimoto Data transmission method and system therefor
DE10250920B4 (en) * 2002-10-31 2005-05-04 Siemens Ag Output unit, receiving unit, arrangement for data transmission in a motor vehicle and method
US20090307551A1 (en) * 2005-11-03 2009-12-10 Wolfgang Fey Mixed Signal Circuit for an Electronic Protected Control or Regulation System

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0961724B2 (en) * 1997-02-19 2007-09-12 Pacifica Group Technologies Pty Ltd Braking system for a motor vehicle and method for transmitting data in an electrically controlled braking system for motor vehicles

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ISO 26262 in Teil 6
Norm ISO 26262

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013204891A1 (en) * 2013-03-20 2014-09-25 Robert Bosch Gmbh Method for the reconstruction of measured data
DE102013204891B4 (en) * 2013-03-20 2021-03-25 Robert Bosch Gmbh Method for the reconstruction of measurement data
DE102020214694A1 (en) 2020-11-23 2022-05-25 Robert Bosch Gesellschaft mit beschränkter Haftung Method and device for checking the completeness of a display content when transmitting at least one item of display information for a vehicle

Also Published As

Publication number Publication date
WO2013056797A3 (en) 2013-08-15
WO2013056797A2 (en) 2013-04-25

Similar Documents

Publication Publication Date Title
EP2882626B1 (en) Method and arrangement for monitoring a route section which is bounded by two axle-counting sensor units
DE112017004873T5 (en) SAFETY SYSTEM FOR ELECTRONIC EQUIPMENT
DE102015119439A1 (en) Reduced power consumption for data transmission with sensors via current modulation
DE102012101747A1 (en) RELIABLE DATA TRANSMISSION WITH REDUCED BIT ERROR RATE
DE10311364B4 (en) Device for acquiring vehicle wheel information and device for processing the wheel information
EP3871933B1 (en) Test device and test method for an electro-pneumatic brake system of trains
WO2018133953A1 (en) Method for operating a monitoring device for a data network of a motor vehicle and monitoring device, control unit and motor vehicle
EP3295645A1 (en) Method and arrangement for decoupled transmission of data between networks
EP2613462B1 (en) Method for monitoring a transmitter and corresponding transmitter
DE102015209229A1 (en) Method for monitoring a motor vehicle
DE102013200535A1 (en) Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation
DE102011116642A1 (en) Transmission device and method for the secure transmission of a sensor signal to a transmission destination and motor vehicle
DE102018220605A1 (en) Motor vehicle network and method for operating a motor vehicle network
DE102009055044A1 (en) Method and device for suppressing an unwanted acceleration of a vehicle
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102012110712B4 (en) Method and system for functional testing of an error detection unit of a CAN bus controller unit
DE102020210876B4 (en) Procedure for ensuring the integrity of data to ensure operational safety and vehicle-to-X device
DE102007058071A1 (en) Method and device for checking the plausibility of an evaluation of safety-relevant signals for a motor vehicle
DE102008018014A1 (en) Method for automatically initializing wheel electronics and vehicle
DE102013200525A1 (en) Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network
WO2011091996A1 (en) Method and device for generating a brake light output signal of a braking system for a vehicle
EP2575282B1 (en) Device and method for receiving a secure telegram
EP2960632B1 (en) Method and system for the preparation of sensor values generated by sensors assembled in a vehicle
DE102017218898A1 (en) Control system for a battery system
WO2018162161A1 (en) Method and devices for the transfer of information without feedback

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee