DE102013214018A1 - Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges - Google Patents

Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges Download PDF

Info

Publication number
DE102013214018A1
DE102013214018A1 DE102013214018.5A DE102013214018A DE102013214018A1 DE 102013214018 A1 DE102013214018 A1 DE 102013214018A1 DE 102013214018 A DE102013214018 A DE 102013214018A DE 102013214018 A1 DE102013214018 A1 DE 102013214018A1
Authority
DE
Germany
Prior art keywords
safety
vehicle
request information
information
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102013214018.5A
Other languages
English (en)
Inventor
Matthias Kuntz
Simon Schilling
Helmut Wagatha
Joerg Bartelt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102013214018.5A priority Critical patent/DE102013214018A1/de
Priority to PCT/EP2014/065012 priority patent/WO2015007673A1/de
Publication of DE102013214018A1 publication Critical patent/DE102013214018A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D15/00Steering not otherwise provided for
    • B62D15/02Steering position indicators ; Steering position determination; Steering aids
    • B62D15/027Parking aids, e.g. instruction means
    • B62D15/0285Parking performed automatically
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Transportation (AREA)
  • Lock And Its Accessories (AREA)

Abstract

System für ein Fahrzeug (1), insbesondere ein Land-Kraftfahrzeug, aufweisend eine mobile Anforderungsvorrichtung (2), und eine Ausführvorrichtung (10). Dabei weist die mobile Anforderungsvorrichtung (2) ein Anforderungselement (21), ein Authentifizierungselement (22) und ein Sendemodul (23) auf. Die Ausführvorrichtung (10) weist ein Empfangsmodul und ein Steuermodul (101) auf. Dabei ist die Ausführvorrichtung (10) in dem Fahrzeug (1) angeordnet. Das Anforderungselement (21) ist eingerichtet, um auf eine Safety-relevante Anforderung (210) eines Benutzers eine entsprechende Anforderungsinformation (211) an das Sendemodul (23) bereitzustellen. Das Authentifizierungselement (22) ist eingerichtet, um eine Authentifizierungsinformation (221) an das Sendemodul (23) bereitzustellen. Das Sendemodul (23) ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation (211) durch das Anforderungselement (21) sowohl die bereitgestellte Anforderungsinformation (211) als auch die bereitgestellte Authentifizierungsinformation (221) als eine authentifizierte Anforderungsinformation (212) an die Ausführvorrichtung (10) zu senden. Das Empfangsmodul (100) ist eingerichtet, um die authentifizierte Anforderungsinformation (212) zu empfangen, die in der authentifizierten Anforderungsinformation (212) enthaltende Authentifizierungsinformation (221) zu validieren (V) und bei Validität der Authentifizierungsinformation (221) die in der authentifizierten Anforderungsinformation (212) enthaltene Anforderungsinformation (211) an das Steuermodul (101) weiterzuleiten. Das Steuermodul (101) ist eingerichtet, um die Anforderungsinformation (211) automatisiert auszuführen.

Description

  • Die vorliegende Erfindung betrifft ein Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges.
  • Nach heutigem Stand der Technik besteht die Möglichkeit einzelne Fahrzeugsysteme, welche nicht direkt mit der Führung eines Fahrzeuges in Zusammenhang stehen, per Fernbedienung, beispielsweise per Schlüsselfernbedienung, zu steuern, beispielsweise Zugangsfunktionen wie eine Zentralverriegelung oder ein Kofferraum oder Komfortunktionen wie Fensterheber, Cabrio-Verdeck, Stand-Klimaanlage oder Standheizung.
  • Bei vielen Fahrzeugen enthält der Fahrzeugschlüssel zudem einen Teil der Wegfahrsperre.
  • In all diesen Fällen bleibt jedoch das eigentliche Fahren/Bewegen des Fahrzeuges nicht fernsteuerbar.
  • Aus Gründen des Diebstahlschutzes besteht für heutige Fernbedienungen, wie beispielsweise im Fahrzeugschlüssel, die Notwendigkeit einer kryptographischen Absicherung. Diese wird typischerweise mittels symmetrischer oder asymmetrischer Verschlüsselung/Signierung realisiert.
  • Des Weiteren ist die Funkstrecke solcher Fernbedienungen gegen Verfälschungen, beispielsweise mittels Prüfsummen/CRC/Signaturen abgesichert. Dies kann sowohl der Robustheit als auch einer weiteren Erhöhung der Sicherheit der Übertragung dienen.
  • Nach heutigem Stand der Technik gibt es viele Funktionen/Systeme in Fahrzeugen, welche Sicherheitsrelevant sind, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben. Diese werden gemäß Stand der Technik beispielsweise durch Normen wie IEC 61508 oder ISO 26262, definiert, entwickelt und abgesichert. Bei sehr vielen solchen sicherheitsrelevanten Nachweisen spielen der unabhängig vom unterstützenden System vorhandene mechanische Durchgriff, und somit letztlich das Vorhandensein eines handlungsfähigen Fahrers an Bord des Fahrzeuges, eine wesentliche Rolle.
  • Derzeit ist es nicht möglich, derartige technische sicherheitsrelevante Funktionen zur Steuerung des Fahrzeuges automatisiert außerhalb des Fahrzeuges, beispielsweise fernbedienbar, bereitzustellen, wie beispielsweise als Fernbedienung zur Führung eines PKWs durch einen nicht an Bord befindlichen Fahrer/Operator.
  • Daher wäre es wünschenswert eine Möglichkeit bereitzustellen, eine sicherheitsrelevante Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, automatisiert und/oder fernbedienbar bereitzustellen, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss.
  • Es ist Ziel der Erfindung eine Lösung für ein automatisiertes und/oder fernbedienbares Steuern einer sicherheitsrelevanten Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, bereitzustellen, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss.
  • Die Aufgabe wird erfindungsgemäß gelöst, mittels einem System nach dem Hauptanspruch, zweier Vorrichtungen nach nebengeordneten Ansprüchen sowie eines Verfahrens nach einem nebengeordneten Anspruch.
  • Der Gegenstand des Hauptanspruches betrifft dabei ein System für ein Fahrzeug, insbesondere ein Land-Kraftfahrzeug, aufweisend eine mobile Anforderungsvorrichtung, und eine Ausführvorrichtung. Dabei weist die mobile Anforderungsvorrichtung ein Anforderungselement, ein Authentifizierungselement, und ein Sendemodul auf. Die Ausführvorrichtung weist ein Empfangsmodul und ein Steuermodul auf, wobei die Ausführvorrichtung in dem Fahrzeug angeordnet ist. Das Anforderungselement ist eingerichtet, um auf eine Safety-relevante Anforderung eines Benutzers eine entsprechende Anforderungsinformation an das Sendemodul bereitzustellen. Das Authentifizierungselement ist eingerichtet, um eine Authentifizierungsinformation an das Sendemodul bereitzustellen. Das Sendemodul ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation durch das Anforderungselement sowohl die bereitgestellte Anforderungsinformation als auch die bereitgestellte Authentifizierungsinformation als eine authentifizierte Anforderungsinformation an die Ausführvorrichtung zu senden. Das Empfangsmodul ist eingerichtet, um die authentifizierte Anforderungsinformation zu empfangen, die in der authentifizierten Anforderungsinformation enthaltende Authentifizierungsinformation zu validieren und bei Validität der Authentifizierungsinformation die in der authentifizierten Anforderungsinformation enthaltene Anforderungsinformation an das Steuermodul weiterzuleiten. Ferner ist das Steuermodul eingerichtet, um die Anforderungsinformation automatisiert auszuführen.
  • Ein „Kraftfahrzeug” im Sinne der Erfindung meint dabei ein Motor- oder Turbinengetriebenes Landfahrzeug. Insbesondere ist dabei ein Landfahrzeug wie beispielsweise ein Automobil oder Zweirad gemeint.
  • „Safety-relevant” im Sinne der Erfindung meint dabei relevant für den Schutz vor unvertretbaren Risiken für Leib und Leben.
  • „Security-relevant” im Sinne der Erfindung meint dabei hingegen relevant für den Zugriffschutz, Schutz vor Eindringlingen, Schutz vor Datenverfälschungen und/oder Datenmanipulationen und dergleichen.
  • Eine „Safety-relevante Anforderung” im Sinne der Erfindung meinte dabei ein Anforderung an eine Safety-relevante Funktion/System eines Fahrzeuges.
  • Eine „mobile Anforderungsvorrichtung” im Sinne der Erfindung meint dabei eine Vorrichtung, welche geeignet ist, mobil betrieben zu werden und eine Safety-relevante Anforderung an ein Fahrzeug entgegenzunehmen und an dieses weiterzuleiten, wobei zur Weiterleitung an das Fahrzeug die Safety-relevante Anforderung durch die mobile Anfordervorrichtung auch modifiziert werden kann. Insbesondere kann eine mobile Anforderungsvorrichtung eine Fernbedienung, beispielsweise eine in einem Fahrzeugschlüssel integrierte Fernbedienung sein.
  • Ein „Anforderungselement” im Sinne der Erfindung meint dabei in einem einfachen Fall einen Knopf, einen Schalter, einen Taster und dergleichen, der wenn er durch einen Benutzer, beispielsweise einem Fahrzeugoperator, betätigt wird, eine Anforderungsinformation in der mobilen Anforderungsvorrichtung bereitstellt. Das Anforderungselement kann jedoch in einem komplexeren Fall auch ein Stellregler, Drehregler, ein Touchfeld und dergleichen sein, welches komplexere Anforderungen durch einen Benutzer erlaubt.
  • Eine „Anforderungsinformation” im Sinne der Erfindung meint dabei eine Information, welche basierend auf einer entsprechenden Safety-relevanten Anforderung erhalten wird. Im einfachsten Fall ist die Anforderungsinformation die Safety-relevante Anforderung selbst. Sie kann jedoch auch noch weitere Informationen enthalten, beispielsweise für das Ermöglichen einer Security-relevanten Übertragung der Anforderungsinformation.
  • Eine „Ausführvorrichtung” im Sinne der Erfindung meint dabei eine in dem Fahrzeug angeordnete Vorrichtung, welche dazu eingerichtet ist, eine Safety-relevante Anforderung an das Fahrzeug von einer mobilen Anforderungsvorrichtung entgegenzunehmen.
  • Eine „Authentifizierungsinformation” im Sinne der Erfindung meint dabei eine Information, welche darauf hinweist, dass die mit der Authentifizierungsinformation versandte/empfangene Anforderungsinformation authentisch ist, und somit valide. Dies kann beispielsweise notwendig sein, wenn sichergestellt werden muss, dass nicht jede Ausführvorrichtung im Sinne der Erfindung von jeder Anforderungsvorrichtung im Sinne der Erfindung eine Safety-relevante Anforderung entgegennehmen darf.
  • Ein „Modul” im Sinne der Erfindung meint dabei einen Teil einer Vorrichtung, wobei dieser Teil vorzugsweise in die entsprechende Vorrichtung integriert ist. Ein Modul kann auch selbst eine entsprechende Vorrichtung sein. Ein Modul kann auch eine Software oder Teil einer Software sein.
  • Ein „Sendemodul” im Sinne der Erfindung meint dabei ein Modul oder eine Vorrichtung, welches in der mobilen Anforderungsvorrichtung angeordnet ist und dazu eingerichtet ist, die Anforderungsinformation und die Authentifizierungsinformation gemeinsam zu versenden. Dabei kann das gemeinsam Versenden erfolgen, indem die beiden Informationen gebündelt als eine gemeinsame Information versandt werden oder auch einzeln nacheinander. In beiden Fällen können dabei beide Informationen auch modifiziert sein, beispielsweise um die Übertragung der Informationen Security-relevant zu ermöglichen.
  • Ein „Steuermodul” im Sinne der Erfindung meint dabei ein Modul oder eine Vorrichtung welche eingerichtet ist, eine Safety-relevante Funktion, eine Safety-relevante Vorrichtung und/oder ein Safety-relevantes System auf Basis eine Safety-relevanten Anforderung anzusteuern. Das Ansteuern der Safety-relevanten Funktion, der Safety-relevanten Vorrichtung und/oder des Safety-relevanten Systems kann auf Basis der Safety-relevanten Anforderung auch automatisiert erfolgen.
  • Eine „Funktion” im Sinne der Erfindung meint dabei einen funktionalen Teil eines Fahrzeuges, beispielsweise einen Fahrvorgang eines Fahrwerkes und/oder das Stellen der Räder. Eine Funktion kann dabei auch ein komplexer Vorgang sein, der mehrere funktionale Teile eines Fahrzeuges umfasst, die gleichzeitig oder in zeitlicher Abfolge ausgeführt, angesteuert, bedient und/oder geregelt werden können.
  • „Automatisiert” im Sinne der Erfindung meint dabei eine gesteuerte und/oder geregelte Übernahme und/oder Eingriff in eine Safety-relevante Funktion eines Fahrzeuges, ohne dass es dabei zum Steuern und/oder Regeln an Anweisungen durch einen Fahrer/Operator/Benutzer bedarf.
  • Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit dem erfindungsgemäßen System ein fernbedienbares Steuern einer sicherheitsrelevanten Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, bereitgestellt werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss. Dabei kann das fernbedienbare Steuern auch automatisiert erfolgen.
  • Der Gegenstand eines ersten nebengeordneten Vorrichtungsanspruchs betrifft dabei eine mobile Anforderungsvorrichtung für ein System gemäß dem Hauptanspruch. Dabei ist die mobile Anforderungsvorrichtung eine Fernbedienung, insbesondere eine Funkfernbedienung, vorzugsweise ein Fahrzeugschlüssel oder eine mobile Kommunikationsvorrichtung und weist ein Anforderungselement, ein Authentifizierungselement und ein Sendemodul auf. Dabei ist das Anforderungselement eingerichtet, um auf eine Safety-relevante Anforderung eines Benutzers eine Anforderungsinformation an das Sendemodul bereitzustellen. Das Authentifizierungselement ist eingerichtet, um eine Authentifizierungsinformation bereitzustellen, und das Sendemodul ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation durch das Anforderungselement sowohl die bereitgestellte Anforderungsinformation als auch die bereitgestellte Authentifizierungsinformation als eine authentifizierte Anforderungsinformation an die Ausführvorrichtung zu senden.
  • Die „mobile Anforderungsvorrichtung” im Sinne der Erfindung kann somit auch ein fernbedienbares Smartphone sein.
  • Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit der erfindungsgemäßen Vorrichtung ein fernbedienbares Steuern einer sicherheitsrelevanten Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, initiiert werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss.
  • Ein weiterer Vorteil der erfindungsgemäßen Lehre ist, dass damit die Anforderungsvorrichtung derart ausgelegt werden kann, dass nicht die gesamte Anforderungsvorrichtung explizite Safety-Anforderungen, wie die beispielsweise in Normen wie der IEC 61508 oder der ISO 26262 beschriebenen, erben muss.
  • Der Gegenstand eines weiteren nebengeordneten Vorrichtungsanspruchs betrifft dabei eine Ausführvorrichtung für ein System gemäß dem Hauptanspruch.
  • Dabei weist die Ausführvorrichtung ein Empfangsmodul und ein Steuermodul auf. Die Ausführvorrichtung ist dabei angepasst, um in dem Fahrzeug verwendet zu werden. Das Empfangsmodul ist eingerichtet, um eine authentifizierte Anforderungsinformation zu empfangen, eine in der authentifizierten Anforderungsinformation enthaltende Authentifizierungsinformation zu validieren und bei Validität der Authentifizierungsinformation eine in der authentifizierten Anforderungsinformation enthaltene Anforderungsinformation an das Steuermodul weiterzuleiten. Das Steuermodul ist eingerichtet, um die Anforderungsinformation automatisiert auszuführen.
  • Das „Steuermodul” im Sinne der Erfindung kann dabei fest in das Fahrzeug integriert sein. Es ist jedoch auch denkbar, dass es sich um ein nachträglich in das Fahrzeug integrierbares Modul handelt, so dass das Fahrzeug damit nachrüstbar ist.
  • „Validieren” im Sinne der Erfindung meint dabei feststellen, ob eine in einer authentifizierten Anforderungsinformation enthaltene Authentifizierungsinformation gültig ist, wodurch ein Rückschluss ermöglicht wird, dass eine ebenfalls darin enthaltene Anforderungsinformation gültig, d. h. weder manipuliert noch verfälscht, und somit echt ist.
  • Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit der erfindungsgemäßen Vorrichtung ein fernbedienbares Steuern einer sicherheitsrelevanten Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, bereitgestellt werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss.
  • Der Gegenstand eines nebengeordneten Verfahrensanspruchs betrifft dabei ein Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges für ein System nach dem Hauptanspruch, wobei das Verfahren aufweist: Empfangen einer authentifizierten Anforderungsinformation, Validieren einer in der authentifizierten Anforderungsinformation enthaltenen Authentifizierungsinformation, Weiterleiten der in der authentifizierten Anforderungsinformation enthaltenen Anforderungsinformation und des Ergebnisses des Validierens der Authentifizierungsinformation an ein Steuermodul. Das Verfahren weist für das Steuermodul auf, falls das Ergebnis des Validierens der Authentifizierungsinformation negativ ist und bereits eine Safety-relevante Funktion des Fahrzeuges übernommen ist: Überführen der übernommenen Safety-relevanten Funktion in einen sicheren Zustand, Freigeben der übernommenen Safety-relevanten Funktion, Ablehnen der Anforderungsinformation. Ferner weist das Verfahren für das Steuermodul auf, falls das Ergebnis des Validierens der Authentifizierungsinformation negativ ist und keine Safety-relevante Funktion des Fahrzeuges übernommen ist: Ablehnen der Anforderungsinformation. Darüber hinaus weist das Verfahren für das Steuermodul auf, falls das Ergebnis des Validierens der Authentifizierungsinformation positiv ist: Falls bereits eine Safety-relevante Funktion des Fahrzeuges übernommen ist: Überführen der übernommenen Safety-relevanten Funktion in einen sicheren Zustand und Freigeben der übernommenen Safety-relevanten Funktion. Ferner weist das Verfahren für das Steuermodul auf, unabhängig davon, ob bereits eine Safety-relevante Funktion des Fahrzeuges übernommen ist: Bestimmen auf Basis der Anforderungsinformation, welche Safety-relevante Funktion des Fahrzeuges übernommen werden soll, Überführen der zu übernehmenden Safety-relevanten Funktion in einen sicheren Zustand, falls die Safety-relevante Funktion nicht in einen sicheren Zustand überführt werden kann, Ablehnen der Ausführung der Anforderungsinformation, und falls die Safety-relevante Funktion in einen sicheren Zustand überführt ist, Übernehmen der Safety-relevanten Funktion und Ausführen der Anforderungsinformation.
  • Ein „sicherer Zustand” im Sinne der Erfindung meint dabei einen Zustand bezüglich der zu steuernden Safety-relevanten Funktion/System/Modul und damit etwaiger weiterer damit verbundener Safety-relevanter Funktionen/Systeme/Module, von welchem/denen kein unvertretbares Risiko für Leib und Leben ausgehen kann. Der sichere Zustand der Funktion/System/Modul kann dabei beispielsweise ein initialer Grundzustand sein. Bezieht sich die Safety-relevante Anforderungsinformation beispielsweise auf das Fahrwerk des Kraftfahrzeuges, so kann ein sicherer Zustand bezüglich des Fahrwerkmodules sein, dass das Fahrzeug still steht und die Räder des Fahrwerkmodules alle in ihrer Grundposition ausgerichtet sind, also beispielsweise alle in Ausrichtung für einen Geradeauslauf, der Motor still steht oder in seiner Leerlaufdrehzahl rotiert, kein Gang eingelegt ist und die Handbremse und/oder das Bremspedal betätigt sind, respektive das Kraftfahrzeug sich bei Automatikschaltung bezüglich des Getriebes in Parkstellung befindet.
  • „Ausführen der Anforderungsinformation” im Sinne der Erfindung kann dabei ein Ausführen lediglich eines Safety-relevanten Funktion/System/Modul sein, es können von der Ausführung jedoch auch mehrere Safety-relevanten Funktion/System/Modul betroffen sein.
  • Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit dem erfindungsgemäßen Verfahren ein fernbedienbares Steuern einer sicherheitsrelevanten Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, bereitgestellt werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss.
  • Ein weiterer Vorteil durch diese erfindungsgemäße Lehrer ist, dass keine sicherheitsrelevanten Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, übernommen und ausgeführt werden kann, wenn nicht sichergestellt ist, dass von dem Fahrzeug vor dem Ausführen dieser sicherheitsrelevanten Funktion/System kein solches Risiko ausgeht. Damit wird ein deterministischer Zustand eingenommen, bevor mit einem automatisierten Steuern einer zuvor beschriebenen sicherheitsrelevanten Funktion/System begonnen werden kann.
  • Nachfolgend werden weitere exemplarische Ausgestaltungen des Systems, der Vorrichtungen und des Verfahrens erläutert.
  • Entsprechend einer weiteren exemplarischen Ausgestaltung weist das System auf, dass das Steuermodul ein Safety-relevantes Modul aufweist. Dabei weist das automatisierte Ausführen der Anforderungsinformation durch das Steuermodul auf, dass auf Basis der Anforderungsinformation das Safety-relevante Modul angewiesen wird, mindestens eine Safety-relevante Funktion des Fahrzeuges zu übernehmen, um die Anforderungsinformation automatisiert auszuführen. Dabei geht die Kontrolle über die übernommene Safety-relevante Funktion des Fahrzeuges auf das Safety-relevante Modul über.
  • Diese Ausgestaltung weist den Vorteil auf, dass die Kontrolle über eine Safety-relevante Funktion des Fahrzeuges von der Ausführvorrichtung übernommen werden kann.
  • Entsprechend einer weiteren exemplarischen Ausgestaltung weist das System auf, dass die Safety-relevante Funktion definiert ist, als eine Funktion gemäß mindestens einer Safety-Norm aus der Auswahl der Safety-Normen IEC 61508, ISO 26262, einer Safety-Norm die strenger als diese beiden ist, einer Safety-Norm die mindestens eine der vorgenannten Normen weiterbildet und einer Safety-Norm die einer der vorgenannten Safety-Normen entspricht.
  • Diese Ausgestaltung weist den Vorteil auf, dass damit eine auf Safety-relevante Normen basierende Lösung bereitgestellt wird.
  • Entsprechend einer weiteren exemplarischen Ausgestaltung weist das System ferner auf, dass die Anforderungsinformation, die Authentifizierungsinformation und die authentifizierte Anforderungsinformation jeweils eine Komplexität aufweisen, die ausreichend hoch ist, dass sie mit einer festgelegten Wahrscheinlichkeit nicht zufällig erzeugt werden und gegen Verfälschen abgesichert sind. Dabei ergibt sich die festgelegte Wahrscheinlichkeit aus der für die Safety-relevante Norm zugrunde gelegte Safety-Norm. Die Absicherung gegen Verfälschung ist vorzugsweise mittels einem Prüfsummenverfahren, einem CRC-Verfahren, einem Signaturverfahren, einem Verschlüsselungsverfahren oder einer Kombination mindestens zweier der vorgenannten Verfahren vornehmbar.
  • Diese Ausgestaltung weist den Vorteil auf, dass damit eine Lösung bereitgestellt wird, bei welcher der Übertragungsweg der Safety-relevanten Anforderung von der mobilen Anforderungsvorrichtung zu der Ausführvorrichtung und/oder ein Manipulationsversuch als Quelle für eine falsche Safety-relevante Anforderung ausgeschlossen werden kann.
  • Entsprechend einer weiteren exemplarischen Ausgestaltung weist das System auf, dass die Safety-relevante Anforderung eine Einparkanforderung bezüglich eines vorwärts gerichteten Einparkvorganges des Fahrzeuges oder eine Ausparkanforderung bezüglich eines rückwärts gerichteten Ausparkvorganges des Fahrzeuges ist. Die übernommene Safety-relevante Funktion des Fahrzeuges ist im Falle einer Einparkanforderung, ein vorwärts gerichtetes autonomes Fahren des Fahrzeuges und im Falle einer Ausparkanforderung, ein rückwärts gerichtetes autonomes Fahren des Fahrzeuges. Dabei kann das autonome Fahren Lenkbewegungen des Fahrzeuges aufweisen.
  • „Vorwärts gerichtet” im Sinne der Erfindung meint dabei eine Ausrichtung in Richtung der Fahrzeugvorderseite, wohingegen „rückwärts gerichtet” im Sinne der Erfindung eine Ausrichtung in Richtung der Fahrzeugrückseite meint.
  • Ein „vorwärts gerichteter Einparkvorgang” im Sinne der Erfindung meint dabei einen Einparkvorgang in eine Parktasche oder Parklücke, welche in Längsrichtung zu dem Fahrzeug angeordnet ist, wobei das Fahrzeug sich vorwärts in die Parktasche oder Parklücke bewegt, insbesondere wobei das Fahrzeug sich ohne rückwärtiges Rangieren in die Parktasche oder Parklücke bewegt.
  • Ein „rückwärts gerichteter Einparkvorgang” im Sinne der Erfindung meint dabei einen Einparkvorgang in eine Parktasche oder Parklücke, welche in Längsrichtung zu dem Fahrzeug angeordnet ist, wobei das Fahrzeug sich rückwärts in die Parktasche oder Parklücke bewegt, insbesondere wobei das Fahrzeug sich ohne vorwärtiges Rangieren in die Parktasche oder Parklücke bewegt.
  • „Autonomes Fahren” im Sinne der Erfindung meint dabei ein selbständiges Fahren eines Fahrzeuges ohne dass ein Benutzer die Fahr- und Lenkbewegungen des Fahrzeuges vornimmt. Insbesondere ist dabei das selbständige Fahren eines Fahrzeuges gemeint, ohne dass sich ein Fahrer an Bord des Fahrzeuges befinden muss.
  • Diese Ausgestaltung weist den Vorteil auf, dass ein vorwärts gerichteter Einparkvorgang eines Fahrzeuges und ein rückwärts gerichteter Ausparkvorgang eines Fahrzeuges jeweils automatisiert ermöglicht werden.
  • Dies weist darüber hinaus den Vorteil auf, dass das Vorwärtseinparken eines Fahrzeuges in eine Parklücke/Parktasche ermöglicht werden kann, bei welcher der Fahrer nach dem Einparkvorgang nicht mehr oder nur mühsam aus dem Fahrzeug aussteigen könnte.
  • Dies weist darüber hinaus den Vorteil auf, dass das Rückwärtsausparken eines Fahrzeuges aus einer Parklücke/Parktasche ermöglicht werden kann, bei welcher der Fahrer im eingeparkten Zustand des Fahrzeuges nicht mehr oder nur mühsam aus dem Fahrzeug aussteigen könnte.
  • Entsprechend einer weiteren exemplarischen Ausgestaltung weist die mobile Anforderungsvorrichtung auf, dass das Authentifizierungselement durch den Benutzer aktiviert werden muss, damit das Authentifizierungselement eine valide Authentifizierungsinformation als zu sendende Authentifizierungsinformation bereitstellt.
  • Auf diese Weise kann sichergestellt werden, dass nicht durch ein unbeabsichtigtes Betätigen eines Safety-relevanten Anforderungselementes der mobilen Anforderungsvorrichtung eine Safety-relevante Anforderung ausgelöst wird. Dies könnte ansonsten beispielsweise bei Fallenlassen der mobilen Anforderungsvorrichtung erfolgen oder falls sich die mobile Anforderungsvorrichtung beispielsweise in einer Tasche des Fahrers befindet, könnte solch ein unbeabsichtigtes Auslösen durch Rüttelbewegungen beim Gehen des Fahrers mit der Tasche ausgelöst werden.
  • Das Authentifizierungselement kann dabei beispielsweise durch Ausführung in Form eines sogenannten Totmannschalters erfolgen, was bedeutet, dass das Authentifizierungselement zeitgleich mit der Anforderungselement ausgelöst werden müsste. Es kann auch bedeuten, dass das Authentifizierungselement während des gesamten automatisierten Safety-relevanten Vorganges ausgelöst werden müsste, oder dergleichen.
  • Diese Ausgestaltung weist den Vorteil auf, dass damit die mobile Anforderungsvorrichtung gegen unbeabsichtigtes Auslösen einer Safety-relevanten Anforderung gesichert werden kann.
  • Entsprechend einer weiteren exemplarischen Ausgestaltung weist die mobile Anforderungsvorrichtung ein Stoppelement auf. Dabei ist das Stoppelement eingerichtet, um auf eine Anforderung des Benutzers eine Stoppinformation als Anforderungsinformation an das Sendemodul bereitzustellen.
  • Ein „Stoppelement” im Sinne der Erfindung ist dabei ein Element der mobilen Anforderungsvorrichtung, die wenn sie betätigt wird, eine Stoppinformation bereitstellt, um einen aktiven Safety-relevanten automatisierten Vorgang an einer Safety-relevanten Funktion des Fahrzeuges stoppen zu können. Das Stoppen des automatisierten Vorganges an der Safety-relevanten Funktion des Fahrzeuges erfolgt dabei vorzugsweise unmittelbar, d. h. innerhalb einer Zeit, die gemäß oben genannter Safety-relevanter Normen hinreichend kurz bemessen ist.
  • In einer Ausgestaltung kann das Stoppelement auch das Authentifizierungselement oder ein Teil dessen sein, insbesondere dann, wenn das Authentifizierungselement während der gesamten Vorgangsdauer des automatisierten Vorganges an der Safety-relevanten Funktion des Fahrzeuges betätigt sein muss.
  • Diese Ausgestaltung weist den Vorteil auf, dass der Fahrzeugführer/Fahrer/Bediener/Operator eingreifen kann, um den automatisierten Vorganges an der Safety-relevanten Funktion des Fahrzeuges anhalten zu können, beispielsweise bei einer von ihm erkannten Gefahr, welche für das System, das Fahrzeug, dem automatisiert gesteuerten Safety-relevanten Modul und/oder der Ausführvorrichtung nicht erkennbar ist oder nicht erkannt wird.
  • Entsprechend einer weiteren exemplarischen Ausgestaltung weist das Verfahren auf, dass falls die Anforderungsinformation eine Stoppinformation ist und bereits eine Safety-relevante Funktion des Fahrzeuges übernommen ist: Überführen der übernommenen Safety-relevanten Funktion in einen sicheren Zustand, unabhängig vom Ergebnis des Validierens der Authentifizierungsinformation, und Freigeben der übernommenen Safety-relevanten Funktion.
  • Diese Ausgestaltung weist den Vorteil auf, dass im Falle des Empfanges einer Stoppinformation die übernommene Safety-relevante Funktion des Fahrzeuges unmittelbar in einen sicheren Zustand überführt werden kann.
  • Diese Ausgestaltung weist somit auch den Vorteil auf, dass im Falle eines Eingriffs eines Fahrzeugführer/Fahrer/Bediener/Operator der automatisierte Vorgang an der Safety-relevanten Funktion des Fahrzeuges angehalten werden kann.
  • Die Erfindung erlaubt es somit, Safety-relevante Funktionen von Fahrzeugen automatisiert zu steuern ohne dabei den Schutz vor unvertretbaren Risiken für Leib und Leben aufgeben zu müssen.
  • Die Erfindung wird nachfolgend eingehender an Hand der Figuren erläutert werden, in diesen zeigen
  • 1 eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer beispielhaften Ausgestaltung der Erfindung;
  • 2 eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung;
  • 3 eine schematische Darstellung eines vorgeschlagenen Verfahrens für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer beispielhaften Ausgestaltung der Erfindung;
  • 4 eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung;
  • 5 eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung;
  • 6 eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; und
  • 7 eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung;
  • Bevor nachfolgend Ausführungsformen der Erfindung eingehender beschrieben werden, ist zunächst festzuhalten, dass die Erfindung nicht auf die beschriebenen Komponenten oder die beschriebenen Verfahrensschritte beschränkt ist. Weiterhin stellt auch die verwendete Terminologie keine Einschränkung dar, sondern hat lediglich beispielhaften Charakter. Soweit nachfolgend in der Beschreibung und den Ansprüchen der Singular verwendet wird ist dabei jeweils der Plural mitumfasst, soweit der Kontext dies nicht explizit ausschließt.
  • 1 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer beispielhaften Ausgestaltung der Erfindung.
  • Bei einer Fernsteuerung Safety-relevanter Funktionen/Systeme im Fahrzeug bestehen an die gesamte Fernsteuerung, also Sender- und Empfängerseitig, neben den schon heute bekannten Anforderungen an Robustheit und Security auch noch Anforderungen an die Safety und Zuverlässigkeit.
  • Beispielsweise muss das fehlerhafte Aktivieren einer ferngesteuerten Safety-relevanten Funktion auf Grund von Fehlern im Fernsteuer-Sender hinreichend ausgeschlossen beziehungsweise abgesichert sein.
  • Diese Safety-Anforderungen müssen beispielsweise durch Entwicklung und Absicherung der gesamten Fernsteuerung, also Sender- und Empfängerseitig, nach einer Safety-Norm wie derzeit der IEC 61508 oder im Automobilbereich derzeit der ISO 26262 erfüllt werden.
  • Dieser ”klassische” Ansatz führt allerdings zu erheblichen Anforderungen insbesondere auch an den Fernsteuer-Sender, die beispielsweise im Bereich des SW-Entwicklungsprozesses und bezüglich quantitativer Ausfallraten mit den heutigen ”einfachen” Schlüssel-Fernbedienungen als problematisch anzusehen sind.
  • Beispielsweise sind typische in der Safety verwendete Lösungen wie redundante Verarbeitung Safety-relevanter Eingangssignale in Schlüssel-Fernbedienungen alleine schon aufgrund des Bauraumes und des Stromverbrauches enge Grenzen gesetzt.
  • Dabei zeigt 1 ein System für ein Fahrzeug 1, insbesondere ein Land-Kraftfahrzeug, aufweisend eine mobile Anforderungsvorrichtung 2 und eine Ausführvorrichtung 10. Dabei weist die mobile Anforderungsvorrichtung 2 ein Anforderungselement 21, ein Authentifizierungselement 22 und ein Sendemodul 23 auf. Die Ausführvorrichtung 10 weist dabei ein Empfangsmodul 100 und ein Steuermodul 101 auf. Dabei ist die Ausführvorrichtung 10 in dem Fahrzeug 1 angeordnet, das Anforderungselement 21 ist eingerichtet, um auf eine Safety-relevante Anforderung 210 eines Benutzers eine entsprechende Anforderungsinformation 211 an das Sendemodul 23 bereitzustellen, das Authentifizierungselement 22 ist eingerichtet, um eine Authentifizierungsinformation 221 an das Sendemodul 23 bereitzustellen, und das Sendemodul 23 ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation 211 durch das Anforderungselement 21 sowohl die bereitgestellte Anforderungsinformation 211 als auch die bereitgestellte Authentifizierungsinformation 221 als eine authentifizierte Anforderungsinformation 212 an die Ausführvorrichtung 10 zu senden. Das Empfangsmodul 100 ist eingerichtet, um die authentifizierte Anforderungsinformation 212 zu empfangen, die in der authentifizierten Anforderungsinformation 212 enthaltende Authentifizierungsinformation 221 zu validieren V. und bei Validität der Authentifizierungsinformation 221 die in der authentifizierten Anforderungsinformation 212 enthaltene Anforderungsinformation 211 an das Steuermodul 101 weiterzuleiten. Das Steuermodul 101 ist eingerichtet, um die Anforderungsinformation 211 automatisiert auszuführen.
  • 2 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung.
  • Dabei zeigt 2 eine exemplarische Systemerweiterung des in 1 gezeigten exemplarischen Systems, wobei das Steuermodul 101 ein Safety-relevantes Modul 1010 aufweist, und wobei das automatisierte Ausführen der Anforderungsinformation 211 durch das Steuermodul 101 aufweist, dass auf Basis der Anforderungsinformation 211 das Safety-relevante Modul 1010 angewiesen wird, mindestens eine Safety-relevante Funktion 11 des Fahrzeuges 1 zu übernehmen, um die Anforderungsinformation 211 automatisiert auszuführen, und wobei die Kontrolle über die übernommene Safety-relevante Funktion 11 des Fahrzeuges 1 auf das Safety-relevante Modul 1010 übergeht.
  • Ferner zeigt 2 exemplarisch eine mobile Anforderungsvorrichtung 2 für ein erfindungsgemäßes System, wobei die mobile Anforderungsvorrichtung 2 eine Fernbedienung, insbesondere eine Funkfernbedienung ist, vorzugsweise ein Fahrzeugschlüssel oder eine mobile Kommunikationsvorrichtung. Die Anforderungsvorrichtung 2 weist ein Anforderungselement 21, ein Authentifizierungselement 22 und ein Sendemodul 23 auf. Dabei ist das Anforderungselement 21 eingerichtet, um auf eine Safety-relevante Anforderung 210 eines Benutzers eine Anforderungsinformation 211 an das Sendemodul 23 bereitzustellen, das Authentifizierungselement 22 ist eingerichtet, um eine Authentifizierungsinformation 221 bereitzustellen, und das Sendemodul 23 ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation 211 durch das Anforderungselement 21 sowohl die bereitgestellte Anforderungsinformation 211 als auch die bereitgestellte Authentifizierungsinformation 221 als eine authentifizierte Anforderungsinformation 212 an die Ausführvorrichtung 10 zu senden.
  • Ferner zeigt 2, dass das Authentifizierungselement 22 in diesem exemplarischen Beispiel durch den Benutzer aktiviert 220 werden muss, damit das Authentifizierungselement 22 eine valide Authentifizierungsinformation 221 als zu sendende Authentifizierungsinformation 221 bereitstellt.
  • Zusätzlich weist die mobile Anforderungsvorrichtung 2 aus 2 exemplarisch ein Stoppelement 24 auf. Dabei ist das Stoppelement 24 eingerichtet, um auf eine Anforderung des Benutzers eine Stoppinformation 241 als Anforderungsinformation 211 an das Sendemodul 23 bereitzustellen.
  • 3 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer beispielhaften Ausgestaltung der Erfindung.
  • Dabei zeigt 3 exemplarisch ein Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion 11 eines Fahrzeuges 1 für ein erfindungsgemäßes System. Das Verfahren weist hierbei auf:
    Empfangen einer authentifizierten Anforderungsinformation 212, Validieren V einer in der authentifizierten Anforderungsinformation 212 enthaltenen Authentifizierungsinformation 221, Weiterleiten der in der authentifizierten Anforderungsinformation 212 enthaltenen Anforderungsinformation 211 und des Ergebnisses E des Validierens der Authentifizierungsinformation 221 an ein Steuermodul 101. Dabei weist das Verfahren für das Steuermodul 101 auf:
    Falls das Ergebnis E des Validierens V der Authentifizierungsinformation 221 negativ ist und bereits eine Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen ist:
    Überführen der übernommenen Safety-relevanten Funktion 11 in einen sicheren Zustand S, Freigeben F der übernommenen Safety-relevanten Funktion 11, und Ablehnen R der Anforderungsinformation 211. Ferner, falls das Ergebnis E des Validierens V der Authentifizierungsinformation 221 negativ ist und keine Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen ist:
    Ablehnen R der Anforderungsinformation 211.
  • Andernfalls, falls das Ergebnis E des Validierens V der Authentifizierungsinformation 221 positiv ist:
    Falls bereits eine Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen ist:
    Überführen der übernommenen Safety-relevanten Funktion 11 in einen sicheren Zustand S, und Freigeben F der übernommenen Safety-relevanten Funktion 11.
  • Ferner, unabhängig davon, ob bereits eine Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen ist:
    Bestimmen auf Basis der Anforderungsinformation 211, welche Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen werden soll, Überführen der zu übernehmenden Safety-relevanten Funktion 11 in einen sicheren Zustand S. Falls die Safety-relevante Funktion 11 nicht in einen sicheren Zustand S überführt werden kann:
    Ablehnen R der Ausführung der Anforderungsinformation 211.
  • Falls die Safety-relevante Funktion 11 in einen sicheren Zustand S überführt ist:
    Übernehmen der Safety-relevanten Funktion 11 und
    Ausführen X der Anforderungsinformation 211.
  • 4 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung.
  • Dabei zeigt 4 ein Sender/Empfänger System: Eine Safety-relevante Anforderung 210 eines Benutzers, nachfolgend auch Benutzereingabe „BE” genannt, wird von einem Teil 21, 23 einer mobilen Anforderungsvorrichtung 2, welcher nachfolgend auch Senderlogik 21, 23 oder Logik 21, 23 genannt wird, mittels einer Authentifizierungsinformation 221 in eine entsprechende authentifizierte Anforderungsinformation 212, nachfolgend auch Datum „SD” genannt, umgewandelt, welches BE in codierter Form enthält, das heißt: SD = f(BE). Bei f(BE} kann es sich beispielsweise um eine
    einfache Codierung handeln, wie SD = BE oder SD enthält, beispielsweise aus Security-Gründen, noch weitere Informationen wie beispielsweise die Identifikation des Senders oder Checksummen, wie beispielsweise einen Cyclic Redundancy Check „CRC” oder einen Sequenzzähler. Auf Empfängerseite wird in Teilen 100, 101 der Ausführvorrichtung 10, nachfolgen auch Auswertelogik 100, 101 genannt, aus dem empfangenen SD die Benutzereingabe BE ermittelt, das heißt: BE = f–1(SD), und die vorgesehene Aktion wird ausgeführt.
  • Der erfindungsgemäße Ansatz erlaubt das Ein- und Ausschalten Safety-relevanter Funktionalitäten beispielsweise per mobiler Anforderungsvorrichtung 2, nachfolgend auch Fernbedienung 2 genannt, beispielsweise per Schlüsselfernbedienung 2, ohne dass die gesamte Elektronik oder auch nur der Mikrocontroller im Fernbedienungssender 23 explizite Safety-Anforderungen erben muss.
  • Dazu nachfolgende Überlegungen:
    Analog zum heute im Fahrzeug 1 befindlichen Fahrer, der die letztendliche Verantwortung über die gesamte Fahrzeugführung hat, soll der die Fernbedienung 2 bedienende ”Operator” die letztendliche Verantwortung über die fernbedienten Funktionen 11 erhalten und/oder behalten.
  • Eine erste Safety-Anforderung lautet daher, dass das System das EINschalten einer fernbedienten Safety-relevanten Funktion 11 ohne Operator-Wunsch verhindern können muss.
  • Ferner wird davon ausgegangen, dass eine fernbedienbare Safety-relevante Funktion 11 im Modus AUS einen sicheren Zustand S im Hinblick auf Safetyness darstellt. Daher lautet eine zweite Safety-Anforderung, dass das System einen Operator-Wunsch auf Ausschalten einer fernbedienten Safety-relevanten Funktion 11 erkennen und umsetzen können muss, indem der sichere Zustand S eingenommen wird.
  • Da es hierbei vorkommen kann, dass der Operator eventuell keinen mechanischen Durchgriff mehr hat, muss das System zudem so ausgelegt werden, dass in allen Situationen und insbesondere auch bei Fehlbedienungen durch den Operator ein unkontrolliertes Verbleiben beziehungsweise ein Wechsel in einen nicht-sicheren Zustand, in Bezug auf Safetyness verhindert wird. Im Zweifelsfall ist der sichere Zustand S in Bezug auf Safetyness einzunehmen. Dies ist eine dritte Safety-Anforderung.
  • Ein erfindungsgemäß vorgeschlagener Ansatz sieht zur Erfüllung der ersten Safety-Anforderung nachfolgendes vor:
    Im Sendemodul 23 der mobilen Anforderungsvorrichtung 2, nachfolgend auch Fernbedienungssender 23 genannt, befindet sich eine Authentifizierungsinformation 221, nachfolgend auch Geheimnis „G” genannt, welches von der Ausführvorrichtung 10, nachfolgend auch Empfänger 10 genannt, erwartet wird, um die fernbediente Safety-relevante Funktion 11 EINzuschalten. Dieses Geheimnis G muss so komplex sein, dass mit hinreichender Wahrscheinlichkeit auszuschließen ist, dass ein Element in der Kette Sender 23, Übertragungsstrecke, Empfänger 10 und Auswertelogik 100, 101 jenes Geheimnis G, selbst in einem Fehlerfall, zufällig erzeugen kann. Das Geheimnis G kann so ausgelegt werden, dass nicht der gesamte senderseitige Umfang explizite Safety-Anforderungen erben muss. Dies ist ein wesentlicher Vorteil der Erfindung.
  • Ferner darf das Geheimnis G senderseitig erst durch Operator-Sicherheits-Eingaben, wie beispielsweise mittels Aktivieren oder Deaktivieren eines Stoppelementes 24 „aktiviert” werden können. Das Geheimnis G kann Empfängerseitig ausgewertet werden. Nur wenn das korrekte Geheimnis G erkannt wird, steuert der Empfänger 10 die Safety-relevante Funktionalität 11 des Fahrzeuges 1 an.
  • Der erfindungsgemäße Ansatz sieht in einer weiteren exemplarischen Ausgestaltung zur Erfüllung der zweiten Safety-Anforderung vor, dass die mobile Anforderungsvorrichtung 2, nachfolgend auch Fernbedienungssender 2 genannt, einen Mechanismus enthalten muss, der sicher die fernbediente Safety-relevante Funktion 11 AUSschaltet, sobald der Operator die Sicherheitseingaben zurücknimmt. Im Sinne der Safety ist selbst im Fehlerfalle mit hinreichender Wahrscheinlichkeit sicherzustellen, dass eine Deaktivierung des Geheimnisses erfolgen kann, wenn der Operator die Sicherheitseingaben zurücknimmt.
  • Grenzwerte für die oben genannten ”hinreichenden Wahrscheinlichkeiten” können je nach Safety-Relevanz unterschiedlich sein. Sie lassen sich beispielsweise aus Vorgaben in den Safety-Normen ableiten. Beispielsweise schlägt ISO 26262 für ASIL C einen Wert von <= 1E-7 pro Betriebsstunde vor.
  • Erfindungsgemäß kann ferner zur Erfüllung der dritten Safety-Anforderung vorgesehen sein, dass die Sicherheitseingaben senderseitig so ausgelegt werden müssen, dass in typischen Fehlbedienungssituationen wie beispielsweise, wenn die Fernbedienung 2 fallengelassen wird, dies automatisch als „fernbediente Safety-relevante Funktion 11 AUSschalten” interpretiert wird. Dies kann beispielsweise durch geeignetes Auslegen des Stoppelementes 24 geschehen.
  • Erfindungsgemäß kann ferner zur Erfüllung der dritten Safety-Anforderung vorgesehen sein, dass die Sicherheitseingaben senderseitig so ausgelegt werden müssen, dass in typischen Fehlbedienungssituationen, wie beispielsweise, dass die Fernbedienung 2 in der Hosentasche unbeabsichtigte ”Eingaben” 210 und damit eine Safety-relevante Funktion 11 anfordert, mit hinreichender Wahrscheinlichkeit auszuschließen ist, dass unbeabsichtigt das Geheimnis G ”aktiviert” wird.
  • Als weiteres exemplarisches Ausführungsbeispiel enthält die Fernbedienung 2 eine Sicherheitsschaltung, aufweisend ein Stoppelement 24, welches ein Safety-Schaltelement 24-2 und eine Reset-Schaltung 24-1 für die Logik 21, 23 aufweist, und ein Authentifizierungselement 22, nachfolgend auch Sicherheitslogik ”SichLogik” 22 genannt.
  • Die Fernbedienung 2 kann dabei auch nicht Safety-relevant abzusichernde Eingaben, wie das Öffnen des Kofferraumes, enthalten. Will der Benutzer solch eine nicht-abzusichernde Eingabe tätigen, so verhält sich die Senderseite wie zuvor genannt, da das Safety-Schaltelement 24-2 nicht betätigt ist, beispielsweise gilt in diesem Fall für das Safety-Schaltelement 24-2 des Stoppelementes 24 Safety-Schaltelement = 1, und somit ist SichLogik 22 nicht aktiv.
  • Wenn SichLogik 22 nicht aktiv ist, also das Safety-Schaltelement 24-2 gleich 1 ist, dann kann die Logik 21, 23 das Datum SD nur ohne G versenden, das heißt, SD = f(BE). Dies ist auf Empfängerseite erkennbar, und der Empfänger 10 kann nur solche Aktionen ansteuern die den nicht-abzusichernden Benutzereingaben BE entsprechen. Dabei bezeichnet Safety-Schaltelement = 1, dass die Reset-Schaltung 24-1 einen Strom führt, wohingegen Safety-Schaltelement = 0 anzeigt, dass die Reset-Schaltung 24-1 keinen Strom führt.
  • Die Aufgabe der SichLogik 22 ist es, ein der Logik 21, 23 nicht bekanntes und hinreichend komplexes Geheimnis G zu enthalten, welches zur Absicherung sicherheitsrelevanter Benutzereingaben 210 verwendet wird.
  • Dabei kann die SichLogik 22 beispielsweise ein einfacher Speicher sein. Die SichLogik 22 kann jedoch auch eine komplexere Schaltung, wie beispielsweise ein Mikrocontroller, ASIC und dergleichen sein. Die SichLogik 22 ist dabei nur dann aktiv, wenn das Safety-Schaltelement 24-2 gleich 0 ist. In 4 kann beispielsweise die Anbindung an die Energieversorgung der SichLogik 22 über den Weg Safety-Schaltelement 24-2 gleich 0 realisiert werden.
  • Nur wenn SichLogik 22 aktiv ist, ”kennt” die Logik 21, 23 das Geheimnis G, beispielsweise weil die aktivierte SichLogik 22 das Geheimnis G an die Logik 21, 23 verschickt oder weil die Logik 21, 23 das Geheimnis G von der SichLogik 22 erfragt. Wenn SichLogik 22 nicht aktiv ist, ”kennt” die Logik 21, 23 das Geheimnis G nicht. Im Fall abzusichernder Benutzer-Eingaben 210 muss der Nutzer die entsprechenden Eingaben über BE 210 vornehmen sowie das Safety-Schaltelement 24-2 betätigen. Dadurch wird die SichLogik 22 aktiv und die Logik 21, 23 kann über das Geheimnis G 221 verfügen. In diesem Fall wird BE 210 unter Zuhilfenahme von G 221 in ein zu versendendes Datum SD 212 gewandelt, welches BE 210 und G 221 in codierter Form enthält, das heißt SD = f(BE, G). Dabei ist jede Funktion f(BE, G) geeignet, wenn die folgenden Eigenschaften der Codierung erfüllt sind:
    • – die Komplexität von G bleibt erhalten;
    • – empfängerseitige Prüfung auf Verwendung des korrekten G;
    • – die Information über BE bleibt erhalten beziehungsweise ist empfängerseitig rekonstruierbar.
  • Ein einfaches Beispiel ist das Anhängen von G an BE (SD = f(BE, G) = BEoG):
    Wenn BE beispielsweise aus dem Binärwort 1010 und G aus dem Binärwort 10011001 besteht, so wäre in diesem Fall SD = 101010011001.
  • Es kann auch eine komplexere Codierung verwendet werden:
    Beispielsweise könnte BE in der Logik 21, 23 mit einer Checksumme/Hash belegt werden. Dann könnte G den Startwert „Seed” des CRC darstellen, mit SD = f(BE, G) = BEoCRC(Seed = G, Datum = BE).
  • Eine weitere komplexere Codierung wäre die Nutzung von G als kryptographischen Schlüssel, entweder in einer symmetrischen Verschlüsselung oder in einer asymmetrischen Verschlüsselung:
    Wenn z. B. das Verschlüsselungsverfahren AES zum Einsatz kommt, dann könnte SD = f(BE, G) = AES(Schlüssel = G, Datum = BE) sein.
  • Auf Empfängerseite wird in der Auswertelogik 100, 101 das empfangene SD 212 überprüft. Dazu wird je nach verwendeter Funktion f(BE, G) entweder auf ein auch im Empfänger 10 bekanntes G 221 geprüft, also eine sogenannte ”symmetrische Kodierung” oder bei ”asymmetrischer Kodierung” mittels eines zu G 221 passendes G' geprüft.
  • Bei symmetrischer Kodierung kennt der Empfänger 10 G 221 und weiß, wie SD = f(BE, G) aufgebaut ist. Damit kann er prüfen, ob das empfangene SD 212 das ”korrekte” G 221 enthält und BE 210 rekonstruieren.
  • Bei asymmetrische Kodierung kennt der Empfänger 10 ein zu G 221 passendes G' und weiß, wie SD = f(BE, G) aufgebaut ist. Damit kann er mit g(SD, G') auf die Korrektheit von SD 212 prüfen und so BE 210 rekonstruieren, analog wie beispielsweise bei einer PGP-Verschlüsselung. Wenn SD 212 korrekt geprüft wurde, dann ist im Empfänger 10 die rekonstruierte Benutzereingabe BE 210 als abzusichernde Benutzereingabe 210 zu verstehen und eine Aktion auszuführen, beispielsweise die Validität von BE 210 zu bestätigen.
  • Andernfalls kann empfängerseitig ein Fehler oder eine sonstige sinnvolle Reaktion, beispielsweise lediglich Ausführung solcher Aktionen, die nicht-abzusichernden Benutzereingaben entsprechen erfolgen.
  • Bei Verwenden eines Stoppelementes 24 kann in dem beschriebenen exemplarischen Ausführungsbeispiel eine Reset-Schaltung 24-1 notwendig sein, damit die Logik 21, 23 zuverlässig das Geheimnis G 221 wieder vergisst, sobald die Logik 21, 23 beziehungsweise das Geheimnis G 221 in der Logik 21, 23 deaktiviert wurde, also ein Wechsel im Safety-Schaltelement 24-2 des Stoppelementes 24 von Safety-Schaltelement = 1 auf Safety-Schaltelement = 0 stattfindet. Die Aufgabe der Reset-Schaltung 24-1 besteht in diesem Fall darin, aus einem entsprechenden Flankenwechsel einen Reset-Impuls für die Logik 21 zu erzeugen. Im eingeschwungenen Zustand, also Safety-Schaltelement = 1, ist der Reset-Impuls abgelaufen, das heißt die Logik 21, 23 ist nicht im Reset, sondern operationsbereit. Bei einem Wechsel von Safety-Schaltelement = 1 auf Safety-Schaltelement = 0 ändert sich daran nichts. Wenn dann das Safety-Schaltelement = 0 auf Safety-Schaltelement = 1 zurückwechselt steht ein entsprechender Flankenwechsel an und die Reset-Schaltung 24-1 erzeugt den Reset-Impuls und die Logik 21, 23 geht in den Reset. Sobald der Reset-Impuls abgelaufen ist, ist der eingeschwungene Zustand wieder erreicht. Die Reset-Schaltung 24-1 sollte daher so ausgelegt werden, dass die Logik 21, 23 das vorher explizit oder zumindest theoretisch – auch im Fehlerfall – gekannte Geheimnis G 221 mit hinreichender Wahrscheinlichkeit zuverlässig vergisst, sobald das Geheimnis G 221 deaktiviert wurde, also Safety-Schaltelement = 0 auf Safety-Schaltelement = 1.
  • Der Reset der Logik 21, 23 kann beispielsweise über einen vorhandenen Reset-Eingang in der Logik 21, 23 erfolgen wenn ein so ausgelöster Reset den internen Speicher der Logik 21, 23 der G 221 enthalten könnte, mit hinreichender Wahrscheinlichkeit zuverlässig löscht/zurücksetzt.
  • Der Reset der Logik 21, 23 kann alternativ beispielsweise über eine, möglicherweise auch nur temporäre, Wegnahme der Betriebsspannung von der Logik 21, 23 erfolgen, wenn die Logik 21, 23 mit einem flüchtigen Speichern ausgestattet ist, welche G 221 enthalten können.
  • 5 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung.
  • Dabei entspricht das exemplarische Ausführungsbeispiel der Erfindung aus 5 weitgehend demjenigen exemplarischen Ausführungsbeispiel der Erfindung aus 4. Allerdings verwendet in diesem exemplarischen Ausführungsbeispiel der Erfindung nicht die Logik 21, 23 das Geheimnis G 221 um aus G 221 und BE 210 eine zu versendende authentifizierte Anforderungsinformation SD 212 zu erzeugen (SD = f(BE, G). Stattdessen stellt die SichLogik 22 ein Datum H zusätzlich zur Anforderungsinformation 211 SD der Logik 21, 23 zur Versendung bereit, wenn die SichLogik 22 mittels dem Safety-Schaltelement 24-2 aktiviert wurde. Im einfachsten Fall kann H = G und SD = BE sein.
  • Alternativ können auch eines der oder beide Datumswerte H und SD codiert sein, beispielsweise H = f1(G) und SD = f2(BE). Dabei können H, respektive SD auch noch weitere Informationen wie beispielsweise eine Identifikation des Senders ”Sender-ID” oder Checksummen wie CRC oder Sequenzzähler und dergleichen enthalten. Die in 4 gezeigte Reset-Schaltung 24-1 ist bei der Schaltung in 5 nicht mehr zwangsläufig notwendig, da die Logik 21, 23 hier das Geheimnis G 221 nie ”kennt”, muss sie G 221 auch nicht zuverlässig ”vergessen”, kann jedoch optional hinzugefügt werden. In 5 ist deshalb die Reset-Schaltung 24-1 gestrichelt dargestellt.
  • In diesem Fall bildet die mobile Anforderungsvorrichtung 2 eine authentifizierte Anforderungsinformation 212 SDH ohne der Logik 21, 23 das Geheimnis G 221 bekannt zu geben. Versendet wird also SDH = f(SD, H). Dabei können H und SD zeitlich korreliert versendet werden beispielsweise SDH = SDoH oder SDH = HoSD. Alternativ ist auch denkbar, dass H periodisch und unabhängig von SD versendet wird. Beispielsweise könnte erst die Logik 21, 23 die Anforderungsinformation SD 211 und anschließend die Sicherheitslogik 22 das H 211 versenden. Auf Empfängerseite wird wiederum SDH auf Korrektheit geprüft und im Erfolgsfall Aktion ausgeführt. Die Vorgehensweise ist dabei analog zu der in 4 beschriebenen.
  • Auch bei dieser Schaltung erfolgt eine zuverlässige Deaktivierung der SichLogik 22 bei also beim Wechsel im Safety-Schaltelement 24-2 des Stoppelementes 24 von Safety-Schaltelement = 0 auf Safety-Schaltelement = 1, analog zu der in 4 beschriebenen. Bei deaktivierter SichLogik 22 kann kein H erzeugt werden und somit nur die Anforderungsinformation SD 211 und keine authentifizierte Anforderungsinformation SDH 212 versendet werden.
  • 6 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung.
  • Dabei entspricht das exemplarische Ausführungsbeispiel der Erfindung aus 6 weitgehend demjenigen exemplarischen Ausführungsbeispiel der Erfindung aus 5.
  • Prinzipiell sind die Abläufe ähnlich denen in 5 beschriebenen. Zusätzlich bezieht die SichLogik 22 bei der Errechnung des Datums H sowohl das Geheimnis G als auch die von der Logik kommende Anforderungsinformation SD 211 ein und stellt dann H zur Versendung bereit, wenn die SichLogik 22 mittels dem Safety-Schaltelement 24-2 aktiviert wurde. Somit gilt H = f3(G, SD). Beispielsweise könnte f3 eine Checksumme oder eine Verschlüsselungs-Funktion sein, analog zu den in den drei Beispielen der 4 beschriebenen. Versenden und Prüfen/Auswerten auf Empfängerseite sind analog zu den in 4 beschriebenen.
  • Auch bei dieser Schaltungsvariante kann optional eine Resetschaltung verwendet werden – gestrichelter Umfang in 6. Bei dieser Schaltung erfolgt eine zuverlässige Deaktivierung der Logik 21, 23 respektive des Geheimnisses G 221 in der Logik 21, 23 ebenfalls beim Wechsel von Safety-Schaltelement = 0 auf Safety-Schaltelement = 1, analog zu der in 4 beschriebenen. Bei deaktivierter SichLogik 22 kann kein H als H = f1(G) erzeugt werden und somit nur die Anforderungsinformation SD 211 und keine authentifizierte Anforderungsinformation SDH 212 versendet werden.
  • 7 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung.
  • Dabei entspricht das exemplarische Ausführungsbeispiel der Erfindung aus 7 weitgehend demjenigen exemplarischen Ausführungsbeispiel der Erfindung aus 5. Wesentlicher Unterschied ist, dass die Logik 21, 23 mittels dem Safety-Schaltelement 24-2 nicht komplett aktiviert/deaktiviert wird. Stattdessen kann im Fall einer abzusichernden Benutzereingabe, das heißt, wenn das Safety-Schaltelement 24-2 gleich eins ist, das Geheimnis G 221 innerhalb SichLogik 22 freigegeben werden. Wenn das Geheimnis G 221 freigegeben ist, dann kann sich aus SD eine authentifizierte Anforderungsinformation W 212 berechnen, so dass W = f(SD, G). Ohne freigegebenes Geheimnis G 221 kennt SichLogik G 211 nicht, so dass nur ein W 221 berechnet werden kann nach W = f(SD). W 212 wird anschließend gesendet und empfängerseitig ausgewertet, analog zum in 5 beschriebenen Fall.
  • Bei dieser Variante ist es wichtig, dass analog zum in 4 beschriebenen Fall ein Reset beim Wechsel von Safety-Schaltelement = 0 auf Safety-Schaltelement = 1 ausgelöst wird. Dieser Reset sollte allerdings auf einen unabhängigen, von dem Safety-Schaltelement 24-2 aktivierten Teil der SichLogik 22 gehen.
  • Die Safety der oben beschriebenen Ansätze kann optional durch folgende Ansätze weiter erhöht werden:
    Die Auslegung des Safety-Schaltelements 24-2 kann als ”Totmannschaltung” erfolgen. Somit kann sichergestellt werden, dass bei einer Fehlbedienung wie beispielsweise dem Fallenlassen der Fernbedienung 2 oder einem „Abrutschen” das System in einen sicheren Zustand S wechselt. Dazu sollte das Safety-Schaltelement 24-2 des Stoppelementes 24 so ausgelegt sein, das der Operator während des gesamten Steuerungsvorgangs einer abzusichernden Benutzereingabe Safety-Schaltelement = 0 aktiv halten muss. Dies kann beispielsweise dann gegeben sein, wenn Safety-Schaltelement 24-2 ein Taster – und kein Schalter – ist.
  • Das Safety-Schaltelement 24-2 kann beispielsweise aus mehreren einzelnen Schalt-/Tast-Elementen bestehen, die gemeinsam betätigt werden müssen. Auch kann das Safety-Schaltelement 24-2 beispielsweise aus mehreren einzelnen Schalt-/Tast-Elementen bestehen, die in einer Sequenz betätigt werden müssen.
  • Zusätzlich zum oder in Kombination mit dem Safety-Schaltelement 24-2 kann auch in der Benutzereingabe BE 210 zwischen Safety-relevanten und nicht-Safety-relevanten Eingaben unterschieden werden. Beispielsweise kann eine Kombination von verschiedenen Tasten/Eingaben in BE 210 notwendig sein, um Safety-relevante Eingaben zu erzeugen. Auch kann beispielsweise eine Sequenz von verschiedenen Tasten/Eingaben in BE 210 notwendig sein, um Safety-relevante Eingaben zu erzeugen.
  • Vorteile der in den Figuren gezeigten beispielhaften Ausgestaltung der Erfindung nach Safety-Maßgaben sind:
    Bezüglich der Funktion: Die vorgeschlagene Erfindung erlaubt das Ein- und Ausschalten auch Safety-relevanter Funktionalitäten per Anforderungsvorrichtung 2.
  • Bezüglich der Kosten/Aufwand: Es erbt nicht der gesamte Senderseitige Umfang die Safety-Anforderungen. Stattdessen ist nur die Sicherheitsschaltung beispielsweise bestehend aus einem Safety-Schaltelement, gegebenenfalls einer Reset-Schaltung und einer Sicherheitslogik nach Safety-Maßgaben zu entwickeln/abzusichern. Somit kann der Aufwand für eine Entwicklung/Absicherung, beispielsweise definiert durch Safety-Normen wie IEC 61508 oder ISO 26262, reduziert werden.
  • Hingegen geht die herkömmliche Entwicklung/Absicherung nach Safety-Maßgaben in der Regel mit Mehraufwand einher, beispielsweise bezüglich Entwicklungsaufwand, Dokumentation, technischen Sicherheits-Mechanismen wie Diagnosen und dergleichen und ist damit auch mit Mehrkosten verbunden.
  • Da erfindungsgemäß nicht der gesamte Senderseitige Umfang, sondern nur die Sicherheitsschaltung nach Safety-Maßgaben zu entwickeln/abzusichern ist, führt der hier vorgeschlagene Ansatz zu einer Kostenreduktion.
  • Bezüglich der Sicherheit: Gleichzeitig wird die Safety des Systems tendenziell erhöht, da die Safety-relevanten Umfänge weniger komplex sind.
  • Bezüglich der Robustheit/Kundenwirkung: Zusätzlich erhöht sich unabhängig von der Safety auch die Robustheit der Funktionen, da auch solche Fehlaktivierungen verhindert werden können, die gegebenenfalls nicht zu einer wirklichen Gefährdung führen würden, jedoch dennoch aus Sicht des Kunden/Operators ein unerwünschtes Verhalten darstellen.
  • Bezugszeichenliste
    • 1
    Fahrzeug
    10
    Ausführvorrichtung
    11
    Safety-relevante Funktion
    100
    Empfangsmodul
    101
    Steuermodul
    1010
    Safety-relevantes Modul
    2
    mobile Anforderungsvorrichtung
    21
    Anforderungselement
    210
    Safety-relevante Anforderung
    211
    Anforderungsinformation
    212
    authentifizierte Anforderungsinformation
    22
    Authentifizierungselement
    220
    Benutzeraktivierung des Authentifizierungselementes
    221
    Authentifizierungsinformation
    23
    Sendemodul
    24
    Stoppelement
    24-1
    Reset-Schaltung
    24-2
    Safety-Schaltelement
    241
    Stoppinformation
    V
    Validieren
    E
    Ergebnis des Validierens V
    S
    sicherer Zustand
    F
    Freigabe
    R
    Ablehnen
    X
    Ausführen
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEC 61508 [0007]
    • ISO 26262 [0007]
    • IEC 61508 [0031]
    • ISO 26262 [0031]
    • IEC 61508 [0045]
    • ISO 26262 [0045]
    • IEC 61508 [0081]
    • ISO 26262 [0081]
    • ISO 26262 [0105]
    • IEC 61508 [0140]
    • ISO 26262 [0140]

Claims (12)

  1. System für ein Fahrzeug (1), insbesondere ein Land-Kraftfahrzeug, aufweisend – eine mobile Anforderungsvorrichtung (2), und – eine Ausfuhrvorrichtung (10); wobei die mobile Anforderungsvorrichtung (2) aufweist: – ein Anforderungselement (21), – ein Authentifizierungselement (22), und – ein Sendemodul (23); die Ausführvorrichtung (10) aufweist: – ein Empfangsmodul (100), und – ein Steuermodul (101), und wobei die Ausführvorrichtung (10) in dem Fahrzeug (1) angeordnet ist, das Anforderungselement (21) eingerichtet ist, um auf eine Safety-relevante Anforderung (210) eines Benutzers eine entsprechende Anforderungsinformation (211) an das Sendemodul (23) bereitzustellen, das Authentifizierungselement (22) eingerichtet ist, um eine Authentifizierungsinformation (221) an das Sendemodul (23) bereitzustellen, das Sendemodul (23) eingerichtet ist, um bei Bereitstellen einer Anforderungsinformation (211) durch das Anforderungselement (21) sowohl die bereitgestellte Anforderungsinformation (211) als auch die bereitgestellte Authentifizierungsinformation (221) als eine authentifizierte Anforderungsinformation (212) an die Ausführvorrichtung (10) zu senden, das Empfangsmodul (100) eingerichtet ist, um – die authentifizierte Anforderungsinformation (212) zu empfangen, – die in der authentifizierten Anforderungsinformation (212) enthaltende Authentifizierungsinformation (221) zu validieren (V), und – bei Validität der Authentifizierungsinformation (221) die in der authentifizierten Anforderungsinformation (212) enthaltene Anforderungsinformation (211) an das Steuermodul (101) weiterzuleiten; und das Steuermodul (101) eingerichtet ist, um die Anforderungsinformation (211) automatisiert auszuführen.
  2. System gemäß Anspruch 1, wobei das Steuermodul (101) ein Safety-relevantes Modul (1010) aufweist, und wobei das automatisierte Ausführen der Anforderungsinformation (211) durch das Steuermodul (101) aufweist, dass auf Basis der Anforderungsinformation (211) das Safety-relevante Modul (1010) angewiesen wird, mindestens eine Safety-relevante Funktion (11) des Fahrzeuges (1) zu übernehmen, um die Anforderungsinformation (211) automatisiert auszuführen, und wobei die Kontrolle über die übernommene Safety-relevante Funktion (11) des Fahrzeuges (1) auf das Safety-relevante Modul (1010) übergeht.
  3. System gemäß Anspruch 1 oder 2, wobei die Safety-relevante Funktion (11) definiert ist, als eine Funktion gemäß mindestens einer Safety-Norm aus der Auswahl der Safety-Normen IEC 61508, ISO 26262, einer Safety-Norm die strenger als diese beiden ist, einer Safety-Norm die mindestens eine der vorgenannten Normen weiterbildet und einer Safety-Norm die einer der vorgenannten Safety-Normen entspricht.
  4. System gemäß Anspruch 3, wobei die Anforderungsinformation (211), die Authentifizierungsinformation (221) und die authentifizierte Anforderungsinformation (212) jeweils eine Komplexität aufweisen, die ausreichend hoch ist, dass sie mit einer festgelegten Wahrscheinlichkeit nicht zufällig erzeugt werden und gegen Verfälschen abgesichert sind, wobei die festgelegte Wahrscheinlichkeit sich aus der für die Safety-relevante Funktion (11) zugrunde gelegte Safety-Norm ergibt, und die Absicherung gegen Verfälschung vorzugsweise mittels einem Prüfsummenverfahren, einem CRC-Verfahren, einem Signaturverfahren, einem Verschlüsselungsverfahren oder einer Kombination mindestens zweier der vorgenannten Verfahren vornehmbar ist.
  5. System gemäß irgendeinem der vorhergehenden Ansprüche, wobei die Authentifizierungsinformation (221) eine Information ist, die einen Rückschluss darauf zulässt, ob die empfangene Anforderungsinformation (211) gültig ist.
  6. System gemäß irgendeinem der Ansprüche 2 bis 5, wobei die Safety-relevante Anforderung (210) eine Einparkanforderung bezüglich eines vorwärts gerichteten Einparkvorganges des Fahrzeuges (1) oder eine Ausparkanforderung bezüglich eines rückwärtsgerichteten Ausparkvorganges des Fahrzeuges (1) ist, und die übernommene Safety-relevante Funktion (11) des Fahrzeuges (1) – im Falle einer Einparkanforderung, ein vorwärts gerichtetes autonomes Fahren des Fahrzeuges (1) ist, und – im Falle einer Ausparkanforderung, ein rückwärts gerichtetes autonomes Fahren des Fahrzeuges (1) ist, wobei das autonome Fahren Lenkbewegungen des Fahrzeuges (1) aufweisen kann.
  7. Mobile Anforderungsvorrichtung (2) für ein System gemäß Anspruch 1, wobei die mobile Anforderungsvorrichtung (2) eine Fernbedienung, insbesondere eine Funkfernbedienung ist, vorzugsweise ein Fahrzeugschlüssel oder eine mobile Kommunikationsvorrichtung und aufweist: – ein Anforderungselement (21), – ein Authentifizierungselement (22), und – ein Sendemodul (23); und wobei – das Anforderungselement (21) eingerichtet ist, um auf eine Safety-relevante Anforderung (210) eines Benutzers eine Anforderungsinformation (211) an das Sendemodul (23) bereitzustellen, – das Authentifizierungselement (22) eingerichtet ist, um eine Authentifizierungsinformation (221) bereitzustellen, und – das Sendemodul (23) eingerichtet ist, um bei Bereitstellen einer Anforderungsinformation (211) durch das Anforderungselement (21) sowohl die bereitgestellte Anforderungsinformation (211) als auch die bereitgestellte Authentifizierungsinformation (221) als eine authentifizierte Anforderungsinformation (212) an die Ausführvorrichtung (10) zu senden.
  8. Mobile Anforderungsvorrichtung (2) gemäß Anspruch 7, wobei das Authentifizierungselement (22) durch den Benutzer aktiviert (220) werden muss, damit das Authentifizierungselement (22) eine valide Authentifizierungsinformation (221) als zu sendende Authentifizierungsinformation (221) bereitstellt.
  9. Mobile Anforderungsvorrichtung (2) gemäß Anspruch 7 oder 8, aufweisend ein Stoppelement (24), wobei das Stoppelement (24) eingerichtet ist, um auf eine Anforderung des Benutzers eine Stoppinformation (241) als Anforderungsinformation (211) an das Sendemodul (23) bereitzustellen.
  10. Ausführvorrichtung (10) für ein System gemäß Anspruch 1, wobei die Ausführvorrichtung (10) aufweist: – ein Empfangsmodul (100), und – ein Steuermodul (101); wobei die Ausführvorrichtung (10) angepasst ist, um in einem Fahrzeug (1) verwendet zu werden, das Empfangsmodul (100) eingerichtet ist, um – eine authentifizierte Anforderungsinformation (212) zu empfangen, – eine in der authentifizierten Anforderungsinformation (212) enthaltende Authentifizierungsinformation (221) zu validieren, und – bei Validität der Authentifizierungsinformation (221) eine in der authentifizierten Anforderungsinformation (212) enthaltene Anforderungsinformation (211) an das Steuermodul (101) weiterzuleiten; und das Steuermodul (101) eingerichtet ist, um die Anforderungsinformation (211) automatisiert auszuführen.
  11. Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion (11) eines Fahrzeuges (1) für ein System nach Anspruch 1, aufweisend: – Empfangen einer authentifizierten Anforderungsinformation (212), – Validieren (V) einer in der authentifizierten Anforderungsinformation (212) enthaltenen Authentifizierungsinformation (221), – Weiterleiten der in der authentifizierten Anforderungsinformation (212) enthaltenen Anforderungsinformation (211) und des Ergebnisses (E) des Validierens der Authentifizierungsinformation (221) an ein Steuermodul (101); das Steuermodul (101) aufweisend: – falls das Ergebnis (E) des Validierens (V) der Authentifizierungsinformation (221) negativ ist und bereits eine Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen ist: – Überführen der übernommenen Safety-relevanten Funktion (11) in einen sicheren Zustand (S), und – Freigeben (F) der übernommenen Safety-relevanten Funktion (11), – Ablehnen (R) der Anforderungsinformation (211); – falls das Ergebnis (E) des Validierens (V) der Authentifizierungsinformation (221) negativ ist und keine Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen ist: – Ablehnen (R) der Anforderungsinformation (211); – falls das Ergebnis (E) des Validierens (V) der Authentifizierungsinformation (221) positiv ist: – falls bereits eine Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen ist: – Überführen der übernommenen Safety-relevanten Funktion (11) in einen sicheren Zustand (S), und – Freigeben (F) der übernommenen Safety-relevanten Funktion (11); unabhängig davon, ob bereits eine Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen ist: – Bestimmen auf Basis der Anforderungsinformation (211), welche Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen werden soll, – Überführen der zu übernehmenden Safety-relevanten Funktion (11) in einen sicheren Zustand (S), – falls die Safety-relevante Funktion (11) nicht in einen sicheren Zustand (S) überführt werden kann: – Ablehnen (R) der Ausführung der Anforderungsinformation (211); – falls die Safety-relevante Funktion (11) in einen sicheren Zustand (S) überführt ist: – Übernehmen der Safety-relevanten Funktion (11), und – Ausführen (X) der Anforderungsinformation (211).
  12. Verfahren gemäß Anspruch 11, darüber hinaus aufweisend: – falls die Anforderungsinformation (211) eine Stoppinformation (241) ist und bereits eine Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen ist: – Überführen der übernommenen Safety-relevanten Funktion (11) in einen sicheren Zustand (S), unabhängig vom Ergebnis des Validierens der Authentifizierungsinformation (221), und – Freigeben (F) der übernommenen Safety-relevanten Funktion (11).
DE102013214018.5A 2013-07-17 2013-07-17 Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges Pending DE102013214018A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102013214018.5A DE102013214018A1 (de) 2013-07-17 2013-07-17 Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges
PCT/EP2014/065012 WO2015007673A1 (de) 2013-07-17 2014-07-14 Fahrzeugsystem und verfahren zur automatisierten steuerung mindestens einer safety-relevanten funktion eines fahrzeuges

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013214018.5A DE102013214018A1 (de) 2013-07-17 2013-07-17 Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges

Publications (1)

Publication Number Publication Date
DE102013214018A1 true DE102013214018A1 (de) 2015-01-22

Family

ID=51211208

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013214018.5A Pending DE102013214018A1 (de) 2013-07-17 2013-07-17 Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges

Country Status (2)

Country Link
DE (1) DE102013214018A1 (de)
WO (1) WO2015007673A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016222541A1 (de) 2016-11-16 2018-05-17 Audi Ag Verfahren zur Autorisierung eines Zugriffs auf ein Kraftfahrzeug zur Fremdnutzung und System
DE102014011802B4 (de) * 2014-08-09 2019-04-18 Audi Ag Sichere Aktivierung einer teilautonomen Funktion eines Kraftfahrzeugs über ein tragbares Kommunikationsgerät
DE102021208459A1 (de) 2021-08-04 2023-02-09 Volkswagen Aktiengesellschaft Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
US11902300B2 (en) 2018-11-27 2024-02-13 Audi Ag Method for monitoring a data transmission system, data transmission system and motor vehicle

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016210788B4 (de) 2016-02-18 2023-06-07 Volkswagen Aktiengesellschaft Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
JP6954141B2 (ja) * 2018-01-16 2021-10-27 トヨタ自動車株式会社 電子キーシステム及び電子キー管理装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005024817A1 (de) * 2005-05-27 2006-12-07 Daimlerchrysler Ag Verfahren und Bedieneinheit zur Aktivierung einer Komfortfunktion eines Fahrzeugs sowie Fahrberechtigungssystem
DE102008018186A1 (de) * 2008-04-10 2009-10-15 Bayerische Motoren Werke Aktiengesellschaft Parkhilfe für ein Kraftfahrzeug, insbesondere mit Elektro- oder Hybridantrieb
WO2010041783A1 (en) * 2008-10-09 2010-04-15 Nam-Ho Lee Apparatus and method for driving a vehicle and remote controller for controlling the same
EP2617627A2 (de) * 2012-01-19 2013-07-24 Robert Bosch Gmbh Fernsteuerung von Parkier- und Rangiermanövern von Kraftfahrzeugen

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012007984A1 (de) * 2011-09-13 2013-03-14 Valeo Schalter Und Sensoren Gmbh Rangiersystem und Verfahren zum automatischen Rangieren eines Kraftfahrzeugs, Kraftfahrzeug, tragbares Kommunikationsgerät und Computerprogramm
DE102012202934A1 (de) * 2012-02-27 2013-08-29 Bayerische Motoren Werke Aktiengesellschaft Funkfernbedienung zur Steuerung von Fahrzeugfunktionen eines Kraftfahrzeugs

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005024817A1 (de) * 2005-05-27 2006-12-07 Daimlerchrysler Ag Verfahren und Bedieneinheit zur Aktivierung einer Komfortfunktion eines Fahrzeugs sowie Fahrberechtigungssystem
DE102008018186A1 (de) * 2008-04-10 2009-10-15 Bayerische Motoren Werke Aktiengesellschaft Parkhilfe für ein Kraftfahrzeug, insbesondere mit Elektro- oder Hybridantrieb
WO2010041783A1 (en) * 2008-10-09 2010-04-15 Nam-Ho Lee Apparatus and method for driving a vehicle and remote controller for controlling the same
EP2617627A2 (de) * 2012-01-19 2013-07-24 Robert Bosch Gmbh Fernsteuerung von Parkier- und Rangiermanövern von Kraftfahrzeugen

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEC 61508
ISO 26262

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014011802B4 (de) * 2014-08-09 2019-04-18 Audi Ag Sichere Aktivierung einer teilautonomen Funktion eines Kraftfahrzeugs über ein tragbares Kommunikationsgerät
DE102016222541A1 (de) 2016-11-16 2018-05-17 Audi Ag Verfahren zur Autorisierung eines Zugriffs auf ein Kraftfahrzeug zur Fremdnutzung und System
WO2018091168A1 (de) 2016-11-16 2018-05-24 Audi Ag Verfahren zur autorisierung eines zugriffs auf ein kraftfahrzeug zur fremdnutzung und system
DE102016222541B4 (de) 2016-11-16 2023-10-12 Audi Ag Verfahren zur Autorisierung eines Zugriffs auf ein Kraftfahrzeug zur Fremdnutzung und System
US11902300B2 (en) 2018-11-27 2024-02-13 Audi Ag Method for monitoring a data transmission system, data transmission system and motor vehicle
DE102021208459A1 (de) 2021-08-04 2023-02-09 Volkswagen Aktiengesellschaft Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102021208459B4 (de) 2021-08-04 2023-05-25 Volkswagen Aktiengesellschaft Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug

Also Published As

Publication number Publication date
WO2015007673A1 (de) 2015-01-22

Similar Documents

Publication Publication Date Title
DE102013214018A1 (de) Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges
DE102012202934A1 (de) Funkfernbedienung zur Steuerung von Fahrzeugfunktionen eines Kraftfahrzeugs
EP2736770B1 (de) Energieversorgungsschaltung für elektrische komponenten
DE102012213366B4 (de) Authentifizierungsverfahren und Steuersystem für ein Fahrzeug
WO2017020999A1 (de) Verfahren zum betreiben eines kraftfahrzeugs und system zum betreiben eines kraftfahrzeugs
DE102017215594A1 (de) Steuervorrichtung für ein bedienfreies Funkschlüsselsystem eines Kraftfahrzeugs, Kraftfahrzeug mit einer solchen Steuervorrichtung und Verfahren zum Betreiben einer solchen Steuervorrichtung
DE102016007483A1 (de) Verfahren zum Steuern mindestens einer Kraftfahrzeugkomponente sowie ein System umfassend ein Kraftfahrzeug und eine anziehbare Vorrichtung
DE102016216746B3 (de) Elektrofahrrad
DE102012002823A1 (de) Steuerungseinrichtung für ein Fahrzeug
DE102015226631A1 (de) Verfahren zur Freigabe einer oder mehrerer Funktionen in einem Fahrzeug
DE102017009573A1 (de) Verfahren zum Betreiben eines Sicherheitssystems für ein Kraftfahrzeug, Sicherheitssystem und Kraftfahrzeug
DE19907374B4 (de) Elektronisches Zündstartschloßsystem für ein Kraftfahrzeug
DE102016112593A1 (de) Verfahren zum Betrieb eines Schließsystems für ein Kraftfahrzeug, tragbarer ID-Geber für ein Kraftfahrzeug und Schließsystem
DE102017101803B4 (de) Vorrichtung zum wenigstens teilweisen Unterbrechen einer Kommunikationsleitung eines Fahrzeugs
DE102016216747A1 (de) Elektrofahrrad
DE102017215937A1 (de) Verfahren zum Betreiben einer Sendeeinrichtung eines Kraftfahrzeugs, Sendeeinrichtung für ein Kraftfahrzeug sowie Kraftfahrzeug
EP2581277B1 (de) Vorrichtung für ein Sicherheitssystem eines Kraftfahrzeuges mit einer autonom, unabhängig vom Kraftfahrzeug vorgesehenen Elektronik
DE102016204385A1 (de) Verfahren zum Erstellen eines digitalen Zweitschlüssels eines Fahrzeugs mit definierten Berechtigungen
DE102016121851A1 (de) System und Verfahren zur Steuerung von zumindest einer Fahrzeugfunktion
DE102020110769A1 (de) Verfahren zur sicheren Erkennung einer Schließposition eines beweglichen Teils von einem Fahrzeug
WO2021104850A1 (de) Verfahren zum betreiben eines fahrzeugs, vorrichtung und fahrzeug
DE102018007870A1 (de) Verfahren und System zum Sperren eines mobilen Endgerätes in einem fahrenden Fahrzeug
DE102018200495A1 (de) Verfahren zum Detektieren einer in Bezug auf ein Kraftfahrzeug nicht autorisierten Person und Kraftfahrzeug
DE102016205847B4 (de) Schlüsselloses Zugangssystem für ein Kraftfahrzeug
WO2021136733A1 (de) SCHLIEßSYSTEM, INSBESONDERE FÜR EIN KRAFTFAHRZEUG

Legal Events

Date Code Title Description
R083 Amendment of/additions to inventor(s)
R163 Identified publications notified
R012 Request for examination validly filed
R016 Response to examination communication