-
Die Erfindung betrifft ein Verfahren zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften gemäß Oberbegriff von Anspruch 1, ein System zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften gemäß Oberbegriff von Anspruch 10 und dessen Verwendung.
-
Im Stand der Technik sind bereits Fahrzeug-zu-X-Kommunikationssysteme bekannt, die sowohl zur Informationsübertragung zwischen verschiedenen Fahrzeugen (Fahrzeug-zu-Fahrzeug-Kommunikation) als auch zwischen Fahrzeugen und Infrastruktureinrichtungen (Fahrzeug-zu-Infrastruktur-Kommunikation) geeignet sind. Beide Varianten werden üblicherweise unter dem Oberbegriff Fahrzeug-zu-X-Kommunikation zusammengefasst. Die übertragenen Fahrzeug-zu-X-Daten können dabei ggf. von sicherheitskritischer Natur sein und einen autonomen Eingriff eines Fahrzeugsystems in die Fahrzeugsteuerung bewirken. Dementsprechend werden hohe Anforderungen an die Datensicherheit und Zuverlässigkeit zumindest der sicherheitskritischen Fahrzeug-zu-X-Daten gestellt, um einen Empfänger vor böswillig gefälschten Daten und somit vor auf falschen Informationen beruhenden Steuereingriffen zu schützen.
-
In diesem Zusammenhang beschreibt die
DE 10 2010 038 640 A1 eine Vorrichtung und ein Verfahren zur Fahrzeug-zu-X-Kommunikation. Das offenbarte Verfahren basiert auf einer Kombination jeweils unterschiedlicher Kommunikationstechnologien, welche unterschiedliche Eigenschaften aufweisen. Ein erster Kommunikationskanal kann z.B. als Mobilfunkkanal ausgeführt sein, während ein zweiter Kommunikationskanal als WLAN-Kanal ausgeführt ist. Mittels einer senderseitigen Sortierung der zu versendenden Informationen wird festgelegt, welche Informationsart über welchen Kommunikationskanal versendet wird. Gemäß der
DE 10 2010 038 640 A1 werden periodisch auftretende oder statische Informationen über den ersten Kanal übertragen, während sicherheitsrelevante Informationen über den zweiten Kanal übertragen werden.
-
In der
DE 10 2011 004 505 A1 wird ein Verfahren zur sicheren Fahrzeug-zu-X-Kommunikation offenbart. Die Zuverlässigkeit einer Fahrzeug-zu-X-Botschaft wird dabei beispielsweise mittels einer Messung von Position und/oder Geschwindigkeit des Senders und eines anschließenden Vergleichs der gemessenen Informationen mit den in der Fahrzeug-zu-X-Botschaft enthaltenen Informationen überprüft. Sofern eine Abweichung erkannt wird, wird die empfangene Fahrzeug-zu-X-Botschaft als unzuverlässig eingestuft und entsprechend behandelt. Durch Verwendung des in der
DE 10 2011 004 505 A1 beschriebenen Verfahrens können z.B. die sog. „Cooperative Awareness Messages“ ohne kryptographische Datensicherheitsstruktur versendet werden, womit die gesendeten Botschaften einerseits um bis zu 80 % kürzer werden und andererseits der für die Datensicherheitsprüfung notwendige elektronische Rechenaufwand reduziert wird.
-
Die
DE 10 2010 002 092 A1 beschreibt eine Datenvorverarbeitung für empfangene Fahrzeug-zu-X-Botschaften, welche einer Weiterleitung der Botschaften an die zugehörigen Anwendungen und Systeme im Fahrzeug sowie deren Verarbeitung durch diese Anwendungen und Systeme vorausgeht. Die Datenvorverarbeitung kann dabei die Überprüfung eines Sicherheitslevels der Botschaft umfassen und zusätzlich eine Datenreduktion ausführen. Die Datenreduktion bewirkt, dass Informationen über bestimmte Objekte oder Situationen ausgeblendet und entsprechend nicht weitergeleitet und verarbeitet werden. So werden etwa Informationen über Objekte, welche zu weit vom empfangenden Fahrzeug entfernt sind bzw. Informationen über Objekte, die vom Fahrzeug erst nach einer bestimmten Zeitspanne erreicht werden, nicht berücksichtigt. Ebenso werden viele örtlich nahe Objekte mit grundsätzlich gleichem Verhalten zu einer Situation zusammengefasst, z.B. zu einem Stau. Auch die ausschließliche Berücksichtigung von Objekten, welche sich im vorgesehenen Bewegungsschlauch des Fahrzeugs befinden, ist möglich. Die von den einzelnen Anwendungen zu verarbeitende Datenmenge kann dadurch deutlich reduziert werden.
-
Gemäß aktuellen Bestrebungen wird bei der großflächigen Einführung von Fahrzeug-zu-X-Kommunikationssystemen voraussichtlich ein PKI-basiertes (Public Key Infrastructure) Datensicherheitsverfahren verwendet werden, welches auf sog. elliptische Kurven als kryptographische Algorithmen zurückgreift. Ein derartiges Sicherheitsverfahren bietet zwar einerseits den Vorteil, dass nur vergleichsweise kurze digitale Schlüsselsequenzen benötigt werden, andererseits aber den Nachteil, dass ein vergleichsweise großer Rechenaufwand zur Überprüfung der Schlüsselsequenzen aufgewandt werden muss. Da die aus dem Stand der Technik bekannten Fahrzeug-zu-X-Kommunikationsverfahren zudem eine Überprüfung einer Datensicherheitsstruktur nur nach fest vorgegebenen Schemata vornehmen, werden aufgrund dieser unflexiblen Verarbeitungsweise unter Berücksichtigung der sehr hohen Latenzanforderungen zur unter allen Umständen sicheren Bewältigung einer möglicherweise anfallenden Rechenlast zwingend dedizierte Recheneinheiten benötigt, welche wiederum mit vergleichsweise hohen Herstellungskosten verbunden sind.
-
Die Aufgabe der vorliegenden Erfindung ist es daher, die im Zusammenhang mit dem Empfang einer Vielzahl von Fahrzeug-zu-X-Botschaften anfallende Rechenlast zur Überprüfung der Datensicherheitssequenzen zu reduzieren und gleichzeitig einen hohen Datensicherheitsstandard zu gewährleisten.
-
Diese Aufgabe wird erfindungsgemäß durch das Verfahren zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften gemäß Anspruch 1 gelöst.
-
Gemäß dem erfindungsgemäßen Verfahren zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften wird in einem Arbeitszyklus eines Fahrzeug-zu-X-Kommunikationssystems eine Anzahl von Fahrzeug-zu-X-Botschaften empfangen und/oder gesendet, wobei eine Fahrzeug-zu-X-Botschaft eine Datensicherheitssequenz umfasst.
-
Weiterhin erfolgt in dem Arbeitszyklus eine Zuverlässigkeitsbewertung der empfangenen Fahrzeug-zu-X-Botschaft mittels einer Prüfung der Datensicherheitssequenz und es wird in dem Arbeitszyklus ein Informationsinhalt der empfangenen Fahrzeug-zu-X-Botschaften ohne vorausgehende Prüfung der Datensicherheitssequenz ausgelesen. Das Verfahren zeichnet sich dadurch aus, dass in dem Arbeitszyklus eine Selektion einer Teilzahl aus der Anzahl der empfangenen Fahrzeug-zu-X-Botschaften nach Maßgabe der Informationsinhalte erfolgt, wobei ausschließlich die Datensicherheitssequenzen selektierter Fahrzeug-zu-X-Botschaften geprüft werden. Daraus ergibt sich der Vorteil, dass nicht mehr alle empfangenen Fahrzeug-zu-X-Botschaften vor Ihrer Verarbeitung einer Zuverlässigkeitsbewertung unterzogen werden, wodurch die zur Prüfung der Datensicherheitssequenz vorzuhaltende Prüfkapazität bzw. Rechenleistung reduziert werden kann. Dies führt zu einer Reduzierung des Herstellungsaufwands und der Herstellungskosten.
-
Indem die Selektion anhand des Informationsinhalts einer empfangenen Fahrzeug-zu-X-Botschaft erfolgt, kann abhängig vom Informationsinhalt auf eine Prüfung der Datensicherheitssequenz verzichtet werden. Sofern sich der Informationsinhalt als für den Empfänger ohnehin irrelevant darstellt, besteht keine Notwendigkeit, die Zuverlässigkeit der zugehörigen Fahrzeug-zu-X-Botschaft und damit des Informationsinhalts zu prüfen, da die Fahrzeug-zu-X-Botschaft ohnehin nicht verarbeitet werden wird. Im Gegenzug werden Fahrzeugzu-X-Botschaften, deren Informationsinhalt sich als für den Empfänger relevant darstellt, in der Regel selektiert und somit im aktuellen Arbeitszyklus geprüft.
-
Im Sinne der Erfindung umfasst ein Arbeitszyklus die Verfahrensschritte Senden bzw. Empfangen von Fahrzeug-zu-X-Botschaften, Lesen der Informationsinhalte, Selektieren der Fahrzeug-zu-X-Botschaften und Prüfen der Datensicherheitssequenzen (Zuverlässigkeitsbewertung).
-
Üblicherweise enthalten die Fahrzeug-zu-X-Botschaften zusätzlich ein Pseudonym, welches den Sender der Fahrzeug-zu-X-Botschaft identifiziert. Somit ist anhand des Pseudonyms eine Zuordnung mehrerer empfangener Fahrzeug-zu-X-Botschaften zu einem Sender möglich. Aus Gründen des Datenschutzes und zur Wahrung der Privatsphäre des Senders kann das Pseudonym regelmäßig oder unregelmäßig geändert werden.
-
Bevorzugt ist es vorgesehen, dass die Selektion nach Maßgabe der Informationsinhalte unter Berücksichtigung mindestens eines der folgenden Faktoren erfolgt:
- – Eigengeschwindigkeit des Empfängers,
- – Relativgeschwindigkeit des Empfängers zum Sender,
- – Aktivierungsstatus von Fahrerassistenzsystemen und/oder Komfortsystemen,
- – Abstand des Empfängers zum Sender,
- – voraussichtlicher Eintrittszeitpunkt des Senders in eine kritische Zone rund um den Empfänger,
- – voraussichtlicher Zeitpunkt eines Schneidens der Bewegungstrajektorien des Sender und des Empfängers,
- – voraussichtlicher Zeitpunkt einer Kollision des Empfängers mit dem Sender,
- – Ausrichtung des Empfängers zum Sender,
- – relative Fahrtrichtung des Empfängers zum Sender und
- – Straßenklasse,
wobei die kritische Zone eine anpassbare Ausdehnung und Ausformung aufweist und wobei die Straßenklasse abhängig von einer zulässigen Höchstgeschwindigkeit und/oder einer Fahrbahnbreite und/oder Trennung von Fahrbahnen und/oder einer Anzahl der Fahrbahnen und/oder einer Nähe zu Ortschaften und/oder von Wetterverhältnissen gebildet wird. Beispielsweise können die Faktoren “Abstand des Empfängers zum Sender“ und „relative Fahrtrichtung des Empfängers zum Sender“ gemeinsam dahingehend berücksichtigt werden, dass stets der in Fahrtrichtung des Empfängers naheste Sender selektiert wird. Die Berücksichtigung der genannten Faktoren bei der Selektion bzw. Kombinationen dieser Faktoren bei der Selektion ermöglichen auf einfache Art und Weise, ggf. relevante und somit zu selektierende Fahrzeug-zu-X-Botschaften von für den Empfänger irrelevanten und entsprechend nicht zu selektierenden Fahrzeug-zu-X-Botschaften zu unterscheiden.
-
Weiterhin ist es bevorzugt, dass die Selektion nach Maßgabe der Informationsinhalte unter Berücksichtigung eines Abgleichs der Informationsinhalte mit Informationsinhalten von mittels mindestens eines Umfeldsensors erfassten Informationen erfolgt, wobei die Fahrzeug-zu-X-Botschaften, deren Informationsinhalte mit den Informationsinhalten von mittels des mindestens einen Umfeldsensors erfassten Informationen übereinstimmen, nicht selektiert werden. Empfangene Fahrzeug-zu-X-Botschaften, deren Informationsinhalte über mindestens einen Umfeldsensor bestätigt werden können, müssen nicht mehr für die Prüfung der Datensicherheitssequenz selektiert werden, da auch ohne diese vergleichsweise rechenintensive Prüfung über den Abgleich der Informationsinhalte eine alternative Zuverlässigkeitsbewertung erfolgt. Sofern die Informationsinhalte übereinstimmen, kann davon ausgegangen werden, dass die Fahrzeug-zu-X-Botschaft zuverlässig ist.
-
In einer weiteren bevorzugten Ausführungsform der Erfindung ist es vorgesehen, dass die Selektion nach Maßgabe der Informationsinhalte unter Berücksichtigung eines durch eine Verarbeitung der Fahrzeug-zu-X-Botschaft ausgelöst werdenden Eingriffs in die Fahrzeugsteuerung erfolgt, wobei die Fahrzeug-zu-X-Botschaft, deren Verarbeitung einen Eingriff in die Fahrzeugsteuerung bewirkt, stets selektiert wird. Somit ergibt sich der Vorteil, dass vor der Verarbeitung von Fahrzeug-zu-X-Botschaften, deren Verarbeitung einen Eingriff in die Fahrzeugsteuerung bewirkt und die somit in hohem Maße sicherheitskritisch sind, stets eine Bewertung der Zuverlässigkeit erfolgt. Sofern die Fahrzeug-zu-X-Botschaft auf Basis der Prüfung der Datensicherheitssequenz als unzuverlässig bewertet wird, wird ihre Verarbeitung und folglich ein auf unzuverlässigen Informationen beruhender und ggf. gefährlicher Eingriff in die Fahrzeugsteuerung verhindert.
-
Außerdem ist es vorteilhaft, dass die Selektion nach Maßgabe der Informationsinhalte unter Berücksichtigung einer durch eine Verarbeitung der Fahrzeug-zu-X-Botschaft ausgelöst werdenden Bewarnung eines Fahrers erfolgt, wobei die Fahrzeug-zu-X-Botschaft, deren Verarbeitung eine Bewarnung bewirkt, stets selektiert wird. Da eine Bewarnung eine Aktion des Fahrers und somit des Fahrzeugs auslösen kann, wird durch die Selektion der Fahrzeug-zu-X-Botschaft ggf. eine unnötige Bewarnung unterbunden. Gleichzeitig wird der Fahrer nicht durch eine falsche oder unnötige Bewarnung verunsichert.
-
Vorzugsweise zeichnet sich das erfindungsgemäße Verfahren dadurch aus, dass die Datensicherheitssequenzen mittels eines auf einer Infrastruktur zur Generierung und Verteilung öffentlicher Schlüssel basierenden Verfahrens generiert und verteilt werden, wobei die Datensicherheitssequenzen insbesondere mittels eines Elliptische-Kurven-Algorithmus verschlüsselt werden. Derartige Infrastruktur zur Verteilung und Generierung öffentlicher Schlüssel ist auch als sog. Public-Key-Infrastruktur bekannt. Ein auf Public-Key-Infrastuktur basierendes Verfahren zur Generierung und Verteilung der Datensicherheitssequenzen bietet den Vorteil, dass eine zentrale Kontrollstelle vorhanden ist, welche einem nachweislich bewusst falsche Informationen sendenden Sender eine gültige Datensicherheitssequenz entziehen kann. Zudem können über die zentrale Stelle regelmäßig neue Datensicherheitssequenzen verteilt werden, um das Risiko zu verringern, dass eine schon länger benutzte Datensicherheitssequenz zwischenzeitlich gefälscht wurde und nun zur Verteilung bewusster Fehlinformationen missbraucht wird. Über die zentrale Stelle können außerdem auf einfache Weise regelmäßig oder unregelmäßig wechselnde Pseudonyme an die einzelnen Kommunikationsteilnehmer verteilt werden, um deren Privatsphäre zu gewährleisten und den Datenschutz zu verbessern. Die Verwendung eines auf elliptischen Kurven basierenden kryptographischen Algorithmus bietet außerdem den Vorteil, dass die zu sendende Datensicherheitssequenz einen vergleichsweise geringen Datenumfang aufweist und somit nur vergleichsweise wenig Bandbreite des Sendekanals durch die Datensicherheitssequenz belegt wird.
-
Bevorzugt ist es vorgesehen, dass in dem Arbeitszyklus eine der Selektion nachfolgende und der Prüfung vorangehende Selektionskorrektur erfolgt, sofern die Teilzahl der nach Maßgabe der Informationsinhalte selektierten Fahrzeug-zu-X-Botschaften die vorhandene Prüfkapazität überschreitet oder unterschreitet, wobei die Selektionskorrektur eine vorhandene Prüfkapazität des Fahrzeug-zu-X-Kommunikationssystems ausschöpft. Daraus ergibt sich der Vorteil, dass im aktuellen Arbeitszyklus keine Prüfkapazität ungenutzt bleibt. Das statistische Auswahlverfahren kann eine rein zufällige, zusätzliche Selektion aus der Gesamtheit der im aktuellen Arbeitszyklus noch nicht selektierten Fahrzeug-zu-X-Botschaften sein, falls die selektierte Teilzahl die vorhandene Prüfkapazität noch nicht ausschöpft. Die mittels der Selektionskorrektur korrigierte, zur Prüfung selektierte Teilzahl entspricht dabei der mit der vorhandenen Prüfkapazität maximal überprüfbaren Zahl von Fahrzeug-zu-X-Botschaften bzw. Datensicherheitssequenzen. Um eine die vorhandene Prüfkapazität ausschöpfende Teilzahl von Datensicherheitssequenzen zu prüfen, kann für die Selektionskorrektur eine sehr feine Abstufung der Relevanz der einzelnen Informationsinhalte vorgenommen werden. Beispielsweise können, falls im aktuellen Arbeitszyklus ausreichend Prüfkapazität auch zur Prüfung derjenigen Fahrzeug-zu-X-Botschaften zur Verfügung steht, welche zunächst nicht selektiert wurden, auch diese Fahrzeug-zu-X-Botschaften mittels der Selektionskorrektur selektiert werden. Im umgekehrten Fall kann mittels der Selektionskorrektur die selektierte Teilzahl reduziert werden wenn diese die vorhandene Prüfkapazität überschreitet, indem aus der Gesamtheit der im aktuellen Arbeitszyklus bereits selektierten Fahrzeug-zu-X-Botschaften nur ein bestimmter, der vorhandenen Prüfkapazität entsprechender Anteil durch die Selektionskorrektur bestätigt wird. Falls eine Selektionskorrektur durchgeführt wird, so wird der Arbeitszyklus um diesen Verfahrensschritt erweitert.
-
Für den Fall, dass insgesamt weniger Fahrzeug-zu-X-Botschaften empfangen werden als mit der vorhandenen Prüfkapazität überprüfbar wären, wird die vorhandene Prüfkapazität ausnahmsweise nicht ausgeschöpft.
-
Die vorhandene Prüfkapazität ergibt sich aus einer im empfangenden Fahrzeug-zu-X-Kommunikationssystem installierten und zur Prüfung der Datensicherheitssequenz vorgesehenen Rechenleistung.
-
Besonders bevorzugt ist es vorgesehen, dass die Selektionskorrektur nach Maßgabe eines statistischen Auswahlverfahrens unter Berücksichtigung mindestens eines der folgenden Faktoren erfolgt:
- – Empfang von mehr als einer Fahrzeug-zu-X-Botschaft eines bestimmten Senders im selben Arbeitszyklus
- – Ergebnis der Zuverlässigkeitsbewertung mindestens einer Fahrzeug-zu-X-Botschaft des be- stimmten Senders in mindestens einem vorausgehenden Arbeitszyklus,
wobei bei Empfang von mehr als einer Fahrzeug-zu-X-Botschaft des bestimmten Senders nicht alle Fahrzeug-zu-X-Botschaften des bestimmten Senders in dem Arbeitszyklus selektiert werden und wobei abhängig vom Ergebnis der Zuverlässigkeitsbewertung mindestens einer Fahrzeug-zu-X-Botschaft des bestimmten Senders in mindestens einem vorausgehenden Arbeitszyklus eine in dem Arbeitszyklus empfange Fahrzeug-zu-X-Botschaft des bestimmten Senders nicht selektiert wird. Somit wird mittels der Selektionsorrektur die zu prüfende Teilzahl an Fahrzeug-zu-X-Botschaften dahingehend eingeschränkt, dass nur diejenigen Fahrzeug-zu-X-Botschaften selektiert werden können, die nicht von einem Sender gesendet wurden, dessen Fahrzeug-zu-X-Botschaften bereits zuvor geprüft wurden. Daraus ergibt sich wiederum der Vorteil, dass bevorzugt diejenigen Fahrzeug-zu-X-Botschaften selektiert werden, die mit im Vergleich höherer Wahrscheinlichkeit unzuverlässig sind, während umgekehrt diejenigen Fahrzeug-zu-X-Botschaften, die mit vergleichsweise hoher Wahrscheinlichkeit zuverlässig sind, nicht selektiert werden. Die Berücksichtigung der Zuverlässigkeitsbewertungen von in einem vorausgehenden Arbeitszyklus empfangenen Fahrzeug-zu-X-Botschaften eines bestimmten Senders kann beispielsweise situationsabhängig auf zwei bis zehn vorhergehende Arbeitszyklen beschränkt werden. Fahrzeug-zu-X-Botschaften von dem bestimmten Sender, dessen Datensicherheitssequenzen von in einem vorhergehenden Arbeitszyklus empfangenen Fahrzeug-zu-X-Botschaften situationsabhängig bereits in einem der zwei bis zehn vorausgehenden Arbeitszyklen selektiert und geprüft wurden, werden dann im aktuellen Arbeitszyklus nicht geprüft. Genauso ist es möglich, nur eine einzelne Fahrzeugzu-X-Botschaft aus einer Anzahl im selben Arbeitszyklus empfangener Fahrzeug-zu-X-Botschaften eines bestimmten Senders zu selektieren. Sofern diese einzelne selektierte Fahrzeugzu-X-Botschaft geprüft und als zuverlässig bewertet wurde, kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass die im selben Arbeitszyklus empfangenen Fahrzeug-zu-X-Botschaften des bestimmten Senders ebenfalls zuverlässig sind. Somit kann der Prüfaufwand weiter reduziert werden.
-
Weiterhin ist es bevorzugt, dass die empfangenen Fahrzeugzu-X-Botschaften an mindestens ein Fahrerassistenzsystem weitergeführt werden und von diesem verarbeitet werden, wobei das mindestens eine Fahrerassistenzsystem zur Bewarnung eines Fahrers und/oder zum Eingreifen in die Fahrzeugsteuerung und/oder zum Übersteuern einer Fahrervorgabe ausgebildet ist. Daraus ergibt sich der Vorteil, dass die empfangenen Fahrzeug-zu-X-Botschaften zur Abwendung von Gefahrensituationen und ggf. sogar zur unmittelbaren und autonomen Unfallvermeidung ohne Mitwirken des Fahrers bzw. entgegen einer Steuereingabe des Fahrers verwendet werden können. Die Bewarnung kann optisch, akustisch und/oder haptisch sein, wobei sich zur optischen Bewarnung insbesondere eine Anzeige im Armaturenbrett, im Rückspiegel, auf dem Lenkrad oder in der Instrumententafel eignet. Die akustische Bewarnung kann z.B. über die fahrzeuginternen Lautsprecher eines Autoradios ausgegeben werden und die haptische Warnung kann beispielsweise über das Lenkrad oder über das Gaspedal in Form von Vibrationen ausgegeben werden.
-
Das erfindungsgemäße Verfahren eignet sich problemlos auch zur Integration weiterer Selektionsschritte eines ähnlichen Selektionsverfahrens, so dass eine Kombination des erfindungsgemäßen Verfahrens mit ähnlichen oder zumindest auf einen ähnlichen Zweck gerichteten Verfahren möglich ist.
-
Die Erfindung betrifft des Weiteren ein Fahrzeug-zu-X-Kommunikationssystem zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften, welches ein Sendemodul und ein Empfangsmodul und ein Prüfmodul und ein Auslesemodul umfasst. Das Sendemodul sendet Fahrzeug-zu-X-Botschaften und das Empfangsmodul empfängt Fahrzeug-zu-X-Botschaften, wobei in einem Arbeitszyklus des Fahrzeug-zu-X-Kommunikationssystems eine Anzahl von Fahrzeug-zu-X-Botschaften gesendet und/oder empfangen und/oder gelesen und/oder geprüft wird und wobei die Fahrzeug-zu-X-Botschaften jeweils eine Datensicherheitssequenz umfassen. Das Auslesemodul liest in dem Arbeitszyklus Informationsinhalte der empfangenen Fahrzeug-zu-X-Botschaften ohne vorausgehende Prüfung der Datensicherheitssequenz aus und das Prüfmodul führt in dem Arbeitszyklus eine Zuverlässigkeitsbewertung der empfangenen Fahrzeug-zu-X-Botschaften mittels einer Prüfung der jeweils einen Datensicherheitssequenz aus. Das Fahrzeug-zu-X-Kommunikationssystem zeichnet sich dadurch aus, dass zusätzlich ein Selektionsmodul vorgesehen ist, welches in dem Arbeitszyklus eine Selektion einer Teilzahl aus der Anzahl der empfangenen Fahrzeug-zu-X-Botschaften nach Maßgabe der Informationsinhalte vornimmt. Das erfindungsgemäße System umfasst somit alle notwendigen Mittel zur Ausführung des erfindungsgemäßen Verfahrens und ermöglicht auf einfache Weise eine Reduzierung der zu prüfenden Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften. Daraus ergeben sich die bereits beschriebenen Vorteile.
-
Vorzugsweise zeichnet sich das System dadurch aus, dass das Sendemodul und/oder das Empfangsmodul und/oder das Auslesemodul und/oder das Selektionsmodul einen gemeinsamen Chipsatz und insbesondere eine gemeinsame Recheneinheit umfassen. Somit ergibt sich der Vorteil, dass nicht jedes der genannten Module mit einem eigenen Rechenwerk bestückt und einem eigenen Chipsatz versehen werden muss, was sowohl den Herstellungsprozess vereinfacht als auch die Produktionskosten reduziert. Durch den gemeinsamen Zugriff unterschiedlicher Module auf denselben Chipsatz bzw. dasselbe Rechenwerk ergibt sich zudem eine effektive und schnelle Datenverknüpfung der Module.
-
Bevorzugt ist es vorgesehen, dass die Recheneinheit des Sendemoduls und/oder des Empfangsmoduls und/oder des Auslesemoduls und/oder des Selektionsmoduls einem beliebigen Fahrerassistenzsystem oder Fahrzeugsteuergerät zugeordnet ist. Dadurch können der Herstellungsprozess des erfindungsgemäßen Systems sowie die Produktionskosten weiter reduziert werden. Beispielsweise kann die Recheneinheit eines für die elektronische Stabilitätskontrolle des Fahrzeugs vorgesehenen Steuergeräts vom Auslesemodul genutzt werden, solange kein Eingriff zur Stabilitätskontrolle ausgeführt wird. Ebenso denkbar ist die Verwendung einer Recheneinheit eines Airbagsteuergeräts z.B. für das Selektionsmodul, solange der Airbag nicht ausgelöst werden muss. Da derartige Steuergeräte in der Regel im Wesentlichen während des Fahrzeugbetriebs ungenutzt bzw. unausgelastet bleiben, kann die somit ungenutzt zur Verfügung stehende Rechenleistung während dieser Zeit sinnvoll für einzelne oder mehrere Module des erfindungsgemäßen Systems zur Verfügung gestellt werden.
-
Vorzugsweise zeichnet sich das System dadurch aus, dass das Prüfmodul eine für die Prüfung von auf elliptischen Kurven basierenden kryptographischen Algorithmen dediziert ausgebildete Recheneinheit umfasst. Da ein auf elliptischen Kurven basierender kryptographischer Algorithmus den Vorteil eines vergleichsweise geringen Datenumfangs bei gleichzeitig vergleichsweise hoher Datensicherheit ermöglicht, ergeben sich aus dessen Verwendung die schon beschriebenen Vorteile hinsichtlich der reduzierten Bandbreitenbelegung des Sendekanals. Andererseits ist die datentechnische Verarbeitung eines auf elliptischen Kurven basierenden kryptographischen Algorithmus vergleichsweise rechenlastig, so dass sich durch die Verwendung einer dediziert ausgebildeten Recheneinheit eine Beschleunigung der Zuverlässigkeitsbewertung erreichen lässt.
-
Bevorzugt ist es vorgesehen, dass das Sendemodul und/oder das Empfangsmodul zum Senden und oder Empfangen der Fahrzeug-zu-X-Botschaften mittels mindestens einer der folgenden Verbindungsarten ausgebildet ist:
- – WLAN-Verbindung, insbesondere nach IEEE 802.11,
- – ISM-Verbindung (Industrial, Scientific, Medical Band),
- – Bluetooth®-Verbindung,
- – ZigBee-Verbindung,
- – UWB-Verbindung (Ultra Wide Band),
- – WiMax®-Verbindung (Worldwide Interoperability for Microwave Access),
- – Infrarotverbindung und
- – Mobilfunkverbindung.
-
Diese Verbindungsarten bieten dabei unterschiedliche Vorteile, je nach Art, Wellenlänge und verwendetem Datenprotokoll. So ermöglichen einige der genannten Verbindungsarten z.B. eine vergleichsweise hohe Datenübertragungsrate und einen vergleichsweise schnellen Verbindungsaufbau, andere hingegen eignen sich weitestgehend sehr gut zur Datenübertragung um Sichthindernisse herum. Durch die Kombination und gleichzeitige bzw. parallele Nutzung mehrerer dieser Verbindungsarten ergeben sich weitere Vorteile, da so auch Nachteile einzelner Verbindungsarten ausgeglichen werden können.
-
Weiterhin ist es bevorzugt, dass das Fahrzeug-zu-X-Kommunikationssystem das erfindungsgemäße Verfahren durchführt. Die sich aus dem erfindungsgemäßen Verfahren ergebenden Vorteile wurden bereits ausführlich beschrieben.
-
Das erfindungsgemäße System kann ohne besondere Schwierigkeiten dahingehend modifiziert bzw. erweitert werden, dass es zusätzlich ein ähnliches oder zumindest auf einen ähnlichen Zweck gerichtetes Verfahren wie das erfindungsgemäße Verfahren ausführt. In aller Regel wird es hierfür ausreichend sein, die Rechenleistung einzelner oder mehrerer Module entsprechend zu vergrößern.
-
Des Weiteren betrifft die vorliegende Erfindung eine Verwendung des Fahrzeug-zu-X-Kommunikationssystems zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeugzu-X-Botschaften.
-
Weitere bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen und den nachfolgenden Beschreibungen von Ausführungsbeispielen an Hand von Figuren.
-
Es zeigt
-
1 einen schematischen Aufbau des erfindungsgemäßen Fahrzeug-zu-X-Kommunikationssystems,
-
2 ein Flussdiagramm mit einem beispielhaften Ablauf des erfindungsgemäßen Verfahrens und
-
3 eine Verkehrssituation, in der das erfindungsgemäße Verfahren zur Anwendung kommt.
-
In 1 ist ein beispielhafter Aufbau von erfindungsgemäßem Fahrzeug-zu-X-Kommunikationssystem 101 zu sehen. Fahrzeug-zu-X-Kommunikationssystem 101 umfasst Sendemodul 102, Empfangsmodul 103, Auslesemodul 104, Selektionsmodul 105 und Prüfmodul 106. Sendemodul 102, Empfangsmodul 103, Auslesemodul 104 und Selektionsmodul 105 sind über Datenanbindungen 107 mit gemeinsamer Recheneinheit 108 verbunden. Prüfmodul 106 umfasst seinerseits zur Prüfung von auf elliptischen Kurven basierenden kryptographischen Algorithmen dediziert ausgebildete Recheneinheit 109. Da zur Verarbeitung derartiger Algorithmen eine hohe Rechenleistung aufgewandt werden muss, bietet die Verwendung dedizierter Hardware in diesem Fall Vorteile hinsichtlich der Datenverarbeitungseffizienz.
-
Mittels Sendemodul 102 werden Fahrzeug-zu-X-Botschaften gesendet und mittels Empfangsmodul 103 werden Fahrzeug-zu-X-Botschaften empfangen. Bei den Fahrzeug-zu-X-Botschaften handelt es sich um Informationen über den Fahrzeugzustand sowie mittels Umfeldsensoren erfasster Informationen über das Fahrzeugumfeld. Jede Fahrzeug-zu-X-Botschaft umfasst eine Datensicherheitssequenz, anhand deren Prüfung Prüfmodul 106 eine Zuverlässigkeitsbewertung der Fahrzeug-zu-X-Botschaft vornimmt. Bevor jedoch Prüfmodul 106 eine Datensicherheitssequenz prüft, liest Auslesemodul 104 den Informationsinhalt der zugehörigen Fahrzeug-zu-X-Botschaft aus. Nach Maßgabe des ausgelesenen Informationsinhalts selektiert Selektionsmodul 105 eine Teilzahl aus der Anzahl der im aktuellen Arbeitszyklus empfangenen Fahrzeug-zu-X-Botschaften. Da die selektierte Teilzahl von Fahrzeug-zu-X-Botschaften beispielsgemäß nicht ausreicht, um die vorhandene Prüfkapazität völlig auszuschöpfen, führt Selektionsmodul 105 eine Selektionskorrektur durch, mittels derer weitere Fahrzeugzu-X-Botschaften selektiert werden. Somit kann die zur Verfügung stehende Prüfkapazität vollständig ausgeschöpft werden und es bleibt keine Prüfkapazität ungenutzt. Die schließlich selektierten Fahrzeug-zu-X-Botschaften werden dann einer Zuverlässigkeitsbewertung durch Prüfmodul 106 unterzogen, indem Prüfmodul 106 die umfasste Datensicherheitssequenz prüft. Über Datenanbindungen 110 ist Fahrzeug-zu-X-Kommunikationssystem 101 außerdem mit Fahrerassistenzsystemen 111, 112 und 113 gekoppelt. Bei Fahrerassistenzsystem 111 handelt es sich um eine Warneinrichtung zur optischen, haptischen und akustischen Bewarnung des Fahrers, bei Fahrerassistenzsystem 112 um einen Lenkassistenten, welcher den Fahrer mittels Beaufschlagung des Lenkrads mit einem Lenkmoment unterstützen kann. Außerdem kann Lenkassistent 112 einen autonomen Lenkeingriff durchführen und den Fahrer übersteuern. Fahrerassistenzsystem 113 ist ein Bremsassistent, welcher ein vom Fahrer eingegebenes Bremsmoment selbständig verstärken kann und darüber hinaus auch zur Ausführung einer autonomen Teil- und Vollbremsung ausgeführt ist. Abhängig von den Informationsinhalten der empfangenen Fahrzeug-zu-X-Botschaften bzw. von deren Zuverlässigkeitsbewertungen werden empfangene Fahrzeug-zu-X-Botschaften an eines oder mehrere von Fahrerassistenzsystemen 111, 112 und 113 weitergeführt und von diesen verarbeitet bzw. nicht weitergeführt und verworfen.
-
In 2 ist ein Flussdiagramm mit einem beispielhaften Ablauf des erfindungsgemäßen Verfahrens dargestellt. Alle abgebildeten verfahrensschritte bilden dabei in ihrer Gesamtheit einen einzelnen Arbeitszyklus. In Verfahrensschritt 21 wird eine Anzahl von Fahrzeug-zu-X-Botschaften empfangen und in gleichzeitig ausgeführtem Schritt 22 eine Anzahl von Fahrzeug-zu-X-Botschaften gesendet. Die gesendeten und die empfangenen Fahrzeug-zu-X-Botschaften umfassen jeweils eine Datensicherheitssequenz. In der Regel liegt die Anzahl der empfangenen Fahrzeug-zu-X-Botschaften dabei über der Anzahl der gesendeten Fahrzeug-zu-X-Botschaften, da ein Empfänger von einer Vielzahl von Sendern umgeben ist. In Verfahrensschritt 23 wird der Informationsinhalt der empfangenen Fahrzeug-zu-X-Botschaften ausgelesen. Nach Maßgabe dieses Informationsinhalts findet in Schritt 24 eine Selektion der Fahrzeug-zu-Botschaften statt, wobei im jeweiligen Arbeitszyklus ausschließlich die Datensicherheitssequenzen selektierter Fahrzeug-zu-X-Botschaften geprüft werden. Die Selektion erfolgt dabei unter Berücksichtigung der folgenden Faktoren:
- – Eigengeschwindigkeit des Empfängers,
- – Relativgeschwindigkeit des Empfängers zum Sender,
- – Aktivierungsstatus von Fahrerassistenzsystemen und/oder Komfortsystemen,
- – Abstand des Empfängers zum Sender,
- – voraussichtlicher Eintrittszeitpunkt des Senders in eine kritische Zone rund um den Empfänger,
- – voraussichtlicher Zeitpunkt eines Schneidens der Bewegungstrajektorien des Sender und des Empfängers,
- – Ausrichtung des Empfängers zum Sender,
- – relative Fahrtrichtung des Empfängers zum Sender und
- – Straßenklasse.
-
Die Prüfung der Datensicherheitssequenzen der selektierten Fahrzeug-zu-X-Botschaften und somit die Zuverlässigkeitsbewertung der Fahrzeug-zu-X-Botschaften findet in Verfahrensschritt 25 statt. Die nicht selektierten Fahrzeug-zu-X-Botschaften werden in Schritt 26 ohne vorausgehende Zuverlässigkeitsbewertung an die zugehörigen Fahrerassistenzsysteme weitergeführt und von diesen verarbeitet. Sofern die Zuverlässigkeitsbewertung in Schritt 25 ergeben hat, dass eine Fahrzeug-zu-X-Botschaft unzuverlässig ist, wird diese in Schritt 27 verworfen. Nach der Prüfung der Datensicherheitssequenzen der selektierten Fahrzeug-zu-X-Botschaften in Schritt 25 werden auch diese Fahrzeug-zu-X-Botschaften in Schritt 26 an die zugehörigen Fahrerassistenzsysteme weitergeführt und von diesen verarbeitet.
-
3 zeigt eine Verkehrssituation, in der das erfindungsgemäße Verfahren zur Anwendung kommt. Zu sehen ist Kreuzung 31, an der sich Fahrzeuge 32, 33, 34, 35 und 36 befinden. Aus einiger Entfernung nähert sich Fahrzeug 37 an Kreuzung 31 an. Die Fahrrichtung von Fahrzeugen 32, 33, 34, 35, 36 und 37 ist jeweils durch einen Pfeil gekennzeichnet. Aufgrund von Beschilderung 38, 38‘, 38‘‘ und 38‘‘‘ von Kreuzung 31 müssen in Kreuzung 31 einfahrende Fahrzeuge 32, 33 und 36 Fahrzeug 37 Vorfahrt gewähren.
-
Beispielsgemäß ist Fahrzeug 33 mit dem erfindungsgemäßen Fahrzeug-zu-X-Kommunikationssystem ausgestattet. Fahrzeuge 32, 33, 34, 35, 36 und 37 senden Fahrzeug-zu-X-Botschaften in Form von sog. „Cooperative Awareness“-Botschaften, welche jeweils eine Information über die Geschwindigkeit, den Ort und die Ausrichtung von Fahrzeugen 32, 33, 34, 35, 36 und 37 umfassen. Außerdem umfassen alle gesendeten Fahrzeug-zu-X-Botschaften eine Datensicherheitssequenz, anhand derer eine Zuverlässigkeitsbewertung der Fahrzeug-zu-X-Botschaft durch den Empfänger ermöglicht wird. Aufgrund der in Fahrzeug 33 vorhandenen Prüfkapazität können beispielsgemäß maximal drei unterschiedliche Fahrzeug-zu-X-Botschaften pro Arbeitszyklus des Fahrzeug-zu-X-Kommunikationssystems geprüft werden. In der Praxis wird die vorhandene Prüfkapazität um ein Vielfaches höher ausgelegt sein, zur anschaulichen Darstellung der Erfindung ist sie in diesem Ausführungsbeispiel jedoch auf drei Fahrzeug-zu-X-Botschaften pro Arbeitszyklus beschränkt. Da vor der Prüfung der Datensicherheitssequenzen zuerst die Informationsinhalte der empfangenen Fahrzeug-zu-X-Botschaften ausgelesen werden, kann eine anschließende Selektion nach Maßgabe der Informationsinhalte erfolgen, wobei nur die Datensicherheitssequenzen der selektierten Fahrzeugzu-X-Botschaften geprüft werden. Anhand der Informationsinhalte der empfangenen Fahrzeug-zu-X-Botschaften wird entschieden, die Fahrzeug-zu-X-Botschaften von Fahrzeug 32, 34 und 37 zu prüfen. Die Fahrzeug-zu-X-Botschaft von Fahrzeug 32 wird selektiert, weil es Fahrzeug 33 voraus fährt und somit einen potentiellen Kollisionspartner darstellt. Die Fahrzeug-zu-X-Botschaft von Fahrzeug 34 wird hingegen wegen der räumlichen Nähe zu Fahrzeug 33 selektiert und die Fahrzeug-zu-X-Botschaft von Fahrzeug 37 wird selektiert, weil Fahrzeug 37 sich mit vergleichsweise hoher Geschwindigkeit Kreuzung 31 nähert und gegenüber Fahrzeug 33 vorfahrtberechtigt ist, womit Fahrzeug 37 ebenfalls einen potentiellen Kollisionspartner für Fahrzeug 33 darstellt.
-
Gemäß einem weiteren in 3 dargestellten Beispiel ist Fahrzeug 32 ebenfalls mit dem erfindungsgemäßen Fahrzeug-zu-X-Kommunikationssystem und zusätzlich mit einer Umfeldsensorik in Form von Radarsensor und Stereokamerasensor ausgestattet. Fahrzeug 32 empfängt „Cooperative Awareness“-Botschaften von Fahrzeugen 33, 34, 35, 36 und 37. Aufgrund der vorhandenen Prüfkapazität können jedoch pro Arbeitszyklus nur die Datensicherheitssequenzen von maximal drei empfangenen Fahrzeug-zu-X-Botschaften geprüft werden. Mittels des nach hinten gerichteten Radarsensors wird eine Information über Fahrzeug 33 erfasst und mittels des nach vorne gerichteten Stereokamerasensors wird eine Information über Fahrzeug 35 erfasst. Die Informationsinhalte der mittels des Stereokamerasensors und des Radarsensors erfassten Informationen werden mit den Informationsinhalten der „Cooperative Awareness“-Botschaften von Fahrzeugen 33 und 35 abgeglichen. Da die Informationsinhalte übereinstimmen, werden die Cooperative Awareness“-Botschaften von Fahrzeugen 33 und 35 nicht selektiert sondern direkt an die entsprechenden Fahrerassistenzsysteme weitergeleitet und von diesen verarbeitet. Die Datensicherheitssequenzen der Cooperative Awareness“-Botschaften von Fahrzeugen 34, 36 und 37 werden anschließend geprüft.
-
Gemäß einem nicht dargestellten Ausführungsbeispiel der Erfindung ist ein Fahrzeug mit einer großen Anzahl an Umfeldsensoren ausgestattet. Die Informationsinhalte der Fahrzeug-zu-X-Botschaften von räumlich nahen und nicht von Hindernissen verdeckten Sendern können somit mit den Informationsinhalten der von den Umfeldsensoren erfassten Informationen abgeglichen werden. Daher werden diese Fahrzeug-zu-X-Botschaften nicht selektiert. Fahrzeug-zu-X-Botschaften von weit entfernten oder verdeckten Objekten hingegen können von den Umfeldsensoren nicht erfasst werden. Entsprechend ist ein Abgleich mit den Informationsinhalten der von den Umfeldsensoren erfassten Informationen nicht möglich und diese Fahrzeug-zu-X-Botschaften werden selektiert.
-
In einem weiteren nicht dargestellten Ausführungsbeispiel ist ein Fahrzeug ebenfalls mit einer großen Anzahl an Umfeldsensoren ausgestattet. Damit kann ein Großteil der Informationsinhalte der empfangenen Fahrzeug-zu-X-Botschaften aus der direkten Umgebung abgeglichen werden. Da jedoch zwei Fahrzeug-zu-X-Botschaften jeweils einen Informationsinhalt aufweisen, der nicht mit Informationsinhalten der von den Umfeldsensoren erfassten Informationen abgeglichen werden kann, werden diese Fahrzeug-zu-X-Botschaften selektiert und geprüft. Bei der ersten nicht abgleichbaren Fahrzeug-zu-X-Botschaft handelt es sich um die Länge einer Ampelphase und bei der zweiten nicht abgleichbaren Fahrzeug-zu-X-Botschaft um die Anzahl von Fahrzeuginsassen eines Vorausfahrzeugs.
-
Gemäß einem weiteren nicht dargestellten Ausführungsbeispiel empfängt ein Fahrzeug eine Anzahl von Fahrzeug-zu-X-Botschaften, von denen eine Gruppe einen Stau und eine andere Gruppe eine Baustelle beschreibt. Da die vorhandene Prüfkapazität jedoch nicht ausreicht, um alle diese Fahrzeug-zu-X-Botschaften zu prüfen, werden mittels eines statistischen Auswahlverfahrens zufällige Fahrzeug-zu-X-Botschaften aus beiden Gruppen selektiert und geprüft. Aus der Zuverlässigkeitsbewertung der geprüften Fahrzeug-zu-X-Botschaften wird auf die Zuverlässigkeit der ungeprüften, ebenfalls den Stau bzw. die Baustelle beschreibenden Fahrzeug-zu-X-Botschaften derselben Gruppe geschlossen. Da diese denselben Informationsinhalt enthalten, kann davon ausgegangen werden, dass sie zuverlässig sind.
-
Gemäß einem ebenfalls nicht dargestellten Ausführungsbeispiel empfängt ein Fahrzeug eine Anzahl von Fahrzeug-zu-X-Botschaften, von denen nur eine aufgrund ihres Informationsinhalts selektiert wird. Daher steht noch Prüfkapazität für weitere Prüfungen zur Verfügung. Um die vorhandene Prüfkapazität vollständig auszuschöpfen und keine Prüfkapazität ungenutzt zu lassen, werden mittels der Selektionskorrektur weitere Fahrzeug-zu-X-Botschaften aus der Anzahl der im ak- tuellen Arbeitszyklus insgesamt empfangenen Fahrzeug-zu-X-Botschaften selektiert.
-
In einem weiteren, ebenfalls nicht dargestellten Ausführungsbeispiel empfängt ein Fahrzeug eine Anzahl von Fahrzeug-zu-X-Botschaften, von denen eine Teilzahl aufgrund ihrer Informationsinhalte zur Prüfung selektiert wird. Diese Teilzahl übersteigt jedoch die vorhandene Prüfkapazität. Daher findet eine Selektionskorrektur unter Berücksichtigung mehrerer im selben Arbeitszyklus empfangener Fahrzeug-zu-X-Botschaften eines bestimmten Senders statt, d.h. es wird pro Sender und pro Arbeitszyklus nur eine Fahrzeug-zu-X-Botschaft selektiert. Da die vorhandene Prüfkapazität immer noch nicht ausreichen würde, um alle selektierten Fahrzeugzu-X-Botschaften zu prüfen, werden unter Berücksichtigung der Zuverlässigkeitsbewertungen von in einem vorausgehenden Arbeitszyklus geprüften Fahrzeug-zu-X-Botschaften des bestimmten Senders weitere Fahrzeug-zu-X-Botschaften von der Prüfung ausgenommen, sofern diese als zuverlässig bewertet wurden. Ebenso wird mit weiteren Sendern verfahren, deren Fahrzeug-zu-X-Botschaften bereits in einem der drei vorausgehenden Arbeitszyklen geprüft wurden. Somit wird die selektierte Teilzahl soweit reduziert, dass sie der vorhandenen Prüfkapazität entspricht und diese weder überschreitet noch unterschreitet.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102010038640 A1 [0003, 0003]
- DE 102011004505 A1 [0004, 0004]
- DE 102010002092 A1 [0005]
-
Zitierte Nicht-Patentliteratur
-