-
Die Erfindung betrifft ein Verfahren zur Übertragung sicherheitsrelevanter Daten gemäß dem Oberbegriff des Anspruchs 1. Die Erfindung betrifft weiterhin eine Vorrichtung zur Durchführung eines solchen Verfahrens.
-
In der
DE 10 2014 224 944 A1 ist ein Verfahren zur Übertragung sicherheitsrelevanter Daten in einem Kraftfahrzeug mittels eines Ethernet-Standards von einem Sender über mindestens einen Zwischenknoten zu einem Empfänger beschrieben. Die sicherheitsrelevanten Daten werden vom Sender in einem Ethernet-Paket versendet, wobei das Ethernet-Paket einen Ethernet-Frame mit dem Dateninhalt aufweist und der Dateninhalt Kommunikationsinformationen und Daten enthält. Des Weiteren empfängt jeder Zwischenknoten ein Ethernet-Paket und wertet zumindest einen Teil der Kommunikationsinformationen aus dem Dateninhalt aus und sendet das Ethernet-Paket entsprechend den ausgewerteten Kommunikationsinformationen weiter. Der Empfänger empfängt das Ethernet-Paket und wertet die Kommunikationsinformationen aus dem Dateninhalt und die Daten aus dem Dateninhalt aus, wenn dieser aufgrund der ausgewerteten Kommunikationsinformationen der Empfänger der sicherheitsrelevanten Daten ist. Dabei ist vorgesehen, dass in den Kommunikationsinformationen des Ethernet-Frames mit den sicherheitsrelevanten Daten ein Datentyp für sicherheitsrelevante Daten übertragen wird, dass jeder Zwischenknoten in dem empfangenen Ethernet-Paket die Kommunikationsinformationen aus dem Dateninhalt des Ethernet-Frames auf das Vorhandensein des Datentyps für sicherheitsrelevante Daten überprüft, dass jeder Zwischenknoten einen Ethernet-Frame, der den Datentyp für sicherheitsrelevante Daten in den Kommunikationsinformationen enthält, mindestens einmal dupliziert wird und dass jeder Zwischenknoten den duplizierten Ethernet-Frame in einem neuen Ethernet-Paket aussendet.
-
Der Erfindung liegt die Aufgabe zu Grunde, ein gegenüber dem Stand der Technik verbessertes Verfahren zur Übertragung sicherheitsrelevanter Daten anzugeben. Der Erfindung liegt weiterhin die Aufgabe zu Grunde, eine geeignete Vorrichtung zur Durchführung eines solchen Verfahrens anzugeben.
-
Hinsichtlich des Verfahrens wird die Aufgabe erfindungsgemäß mit den in Anspruch 1 angegebenen Merkmalen gelöst. Hinsichtlich der Vorrichtung wird die Aufgabe erfindungsgemäß mit den in Anspruch 3 angegebenen Merkmalen gelöst.
-
Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.
-
Bei einem Verfahren zur Übertragung sicherheitsrelevanter Daten werden Daten von einer Sensorik eines Fahrzeugs über einen Zwischenknoten an einen Empfänger übertragen. Der Zwischenknoten empfängt die Daten über mindestens einen Eingang, wobei die übertragenen Daten im Zwischenknoten redundant ausgewertet werden.
-
Erfindungsgemäß ist vorgesehen, dass der Zwischenknoten Daten von einem Radarsensor und Daten von einem Lidarsensor empfängt, wobei die Daten des Radarsensors und des Lidarsensors jeweils an eine Auswerteeinheit mit einem eine logische Schaltung aufweisenden integrierten Schaltkreis übermittelt werden, wobei die Daten in der jeweiligen Auswerteeinheit fusioniert und ausgewertet werden, wobei die fusionierten Daten in der mindestens einen Korrelationseinheit zu mindestens einem Datensignal zusammengeführt werden und wobei das mindestens eine Datensignal über einen Ausgang an den Empfänger übertragen wird.
-
Mittels des Verfahrens kann das Fahrzeug oder eine Produktionsanlage beim Eintreten einer Gefahrensituation in einen sicheren Zustand versetzt werden. Hierbei sind mindestens drei Komponenten vorgesehen, die eine sichere Kommunikation der Sensorik mit dem Empfänger ermöglichen. Insbesondere ermöglichen die Eingänge eine sichere Übertragung der Daten an den Zwischenknoten. Mittels der Auswerteeinheiten können anschließend die sicher übermittelten Daten redundant und damit sicher ausgewertet werden. Mittels der Korrelationseinheit erfolgt eine redundante Korrelation der Daten, wobei mindestens ein Datensignal erzeugt werden kann, welches als sicheres Datensignal an den Empfänger übermittelt wird. Das Datensignal ermöglicht es dabei, das Fahrzeug oder die Produktionsanlage in einen sicheren Zustand zu versetzen, wobei beispielsweise entweder das Fahrzeug oder die Produktionsanlage gestoppt wird. Die Korrelationseinheit ist beispielsweise eine speicherprogrammierbare Steuerung, mittels der die ausgewerteten und fusionierten Daten zu einem einzigen Datensignal zusammenführbar sind. Alternativ kann die Korrelationseinheit auch beispielsweise ein Exklusiv-ODER-Gatter und ein korrespondierendes Gatter aufweisen, die jeweils die fusionierten und ausgewerteten Daten zu einem Datensignal zusammenführen. Hierbei werden zwei Datensignale an den Empfänger übermittelt, wobei dieser in den sicheren Zustand versetzt wird, wenn sich die Datensignale unterscheiden.
-
Ausführungsbeispiele der Erfindung werden im Folgenden anhand einer Zeichnung näher erläutert.
-
Dabei zeigt:
-
1 schematisch eine Vorrichtung zur Durchführung eines Verfahrens zur Übertragung sicherheitsrelevanter Daten.
-
Die einzige 1 zeigt ein Bockschaltbild einer Vorrichtung 1 zur Durchführung eines Verfahrens zur Übertragung sicherheitsrelevanter Daten in einem nicht näherdargestellten Fahrzeug.
-
Die Vorrichtung 1 ist beispielsweise ein Fahrzeugsteuergerät oder Bestandteil eines Fahrzeugsteuergeräts und mit einer Sensorik 2 des Fahrzeugs gekoppelt. Die Sensorik 2 umfasst mindestens einen Radarsensor 2.1 und mindestens einen Lidarsensor 2.2, die Umgebungsdaten des Fahrzeugs erfassen. Alternativ sind auch andere Sensorkombinationen möglich.
-
Von der Sensorik 2 erfasste Umgebungsdaten werden als sicherheitsrelevante Daten D1, D2 über zwei Übertragungsleitungen 3 an die Vorrichtung 1 übermittelt. D. h., Daten D1 vom Radarsensor 2.1 werden über eine der Übertragungsleitungen 3 an die Vorrichtung 1 übermittelt. Daten D2 vom Lidarsensor 2.2 werden über die andere Übertragungsleitung 3 an die Vorrichtung 1 übermittelt. Die Übertragungsleitungen 3 sind jeweils als sichere Datenbusse ausgebildet, z. B. als EtherCAT oder Profinet mit Profisafe, wobei ”sicher” vorliegend als sicher im Sinne bekannter Normen oder entsprechender Vorgaben verstanden wird. Ferner sind die Zeitpunkte der Übertragung der Daten D1, D2 sowie die Reihenfolge der zu übertragenden Daten D1, D2 vorgegeben, so dass eine sichere Übertragung und Analyse der Daten D1, D2 möglich ist.
-
Die an die Vorrichtung 1 übermittelten Daten D1, D2 werden innerhalb der Vorrichtung 1 jeweils an zwei Auswerteeinheiten 1.1, 1.2 übermittelt. Die Übermittlung der Daten D1, D2 an die Auswerteeinheiten 1.1, 1.2 erfolgt dabei entweder direkt oder indirekt über ein Speicherelement 1.3, welches als ein redundanter und überwachter Datenspeicher ausgebildet ist.
-
Die Auswerteeinheiten 1.1, 1.2 sind bevorzugt jeweils als integrierter Schaltkreis mit einer logischen Schaltung versehen. Derartige Auswerteeinheiten 1.1, 1.2 sind auch als sogenannte Field Programmable Gate Arrays, kurz: FPGAs, bekannt. Alternativ können die Auswerteeinheinheiten 1.1, 1.2 auch als graphische Prozessoreinheiten ausgebildet sein. Verarbeitungsabläufe in den Auswerteeinheiten 1.1, 1.2 können mittels einer Software konfiguriert werden. D. h., vorkonfigurierte oder bereits konfigurierte Einstellungen zur Verarbeitung von Daten können in den logischen Schaltungen der Auswerteeinheiten 1.1, 1.2 mittels Installation neuer Software verändert werden. Die Software für die Auswerteeinheiten 1.1, 1.2 muss bei einer Kombination des Radarsensors 2.1 und des Lidarsensors 2.2 doppelt ausgeführt werden. Sind die Daten D1, D2 standardisiert, ist es auch möglich, die Software einzeln auszuführen.
-
Alternativ können anstelle der integrierten Schaltkreise auch digitale Signalprozessoren oder andere geeignete Prozessoren als Auswerteeinheiten 1.1, 1.2 verwendet werden.
-
Um im Fahrzeug einen möglichst hohen Sicherheitsgrad für die Sensorik 2 zu erreichen, welcher beispielsweise zumindest weitestgehend in der ISO-Norm 26262 definierten Vorgaben entspricht, erfolgt die Auswertung der Daten D1, D2 innerhalb der Vorrichtung 1 redundant. Dazu werden eine erste Auswerteeinheit 1.1 und eine zweite Auswerteeinheit 1.2 verwendet, die zwar jeweils als integrierter Schaltkreis mit einer logischen Schaltung ausgebildet sind, jedoch von verschiedenen Herstellern stammen. Damit können bestimmte Unsicherheiten beim Auswerten der Daten D1, D2 aufgrund von Produktionsfehlern der Auswerteeinheiten 1.1, 1.2 oder aufgrund physikalischer Begrenzungen des Radarsensors 2.1 und/oder des Lidarsensors 2.2 verringert werden.
-
Die Daten D1, D2 werden jeweils gemeinsam an die Auswerteeinheiten 1.1, 1.2 übermittelt, so dass jede Auswerteeinheit 1.1, 1.2 die Daten D1 des Radarsensors 2.1 und die Daten D2 des Lidarsensors 2.2 empfängt. In den Auswerteeinheiten 1.1, 1.2 werden die Daten D1, D2 jeweils analysiert und ausgewertet, wobei die Daten D1, D2 dazu fusioniert werden. Anschließend werden die fusionierten Daten D1 + D2 von der jeweiligen Auswerteeinheit 1.1, 1.2 paarweise an eine Korrelationseinheit 1.4 übermittelt, welche die fusionierten Daten D1 + D2 miteinander korreliert. Die Korrelation erfolgt beispielsweise mittels einer speicherprogrammierbaren Steuerung, mittels der die fusionierten Daten D1 + D2 zu einem einzigen Datensignal Ds zusammengeführt werden. Dieses Datensignal Ds wird anschließend über eine weitere Übertragungsleitung 4 an einen Empfänger 5 übermittelt. Die weitere Übertragungsleitung 4 ist ebenfalls ein sicherer Datenbus, z. B. ein sogenannter Modbus, ein sogenannter EtherCAT oder ein CAN-Bus. Der Empfänger 5 kann ein weiteres Steuergerät des Fahrzeugs oder ein Teil einer Produktionsanlage sein. Die Vorrichtung 1 bildet somit einen Zwischenknoten zwischen der Sensorik 2 und dem Empfänger 5.
-
Mittels der Übertragung des Datensignals Ds an den Empfänger 5 wird dieser in einen sicheren Zustand versetzt. Somit kann bei Eintreten einer Gefahrensituation, z. B. während eines Werkstransports des Fahrzeugs in einer Produktionsanlage, das Fahrzeug selbst oder die Produktionsanlage gestoppt werden. Ein Bereich der Vorrichtung 1, in welchem die integrierten Schaltkreise 1.1, 1.2, 1.4 und das Speicherelement 1.3 angeordnet sind, wird als sicherer Bereich Bs bezeichnet, da in diesem Bereich die Übermittlung des Datensignals Ds, welches als sicheres Datensignal Ds an den Empfänger 5 übermittelt wird, möglich ist.
-
Alternativ zum gezeigten Ausführungsbeispiel können auch zwei Korrelationseinheiten 1.4 vorgesehen sein, die ein Exklusiv-Oder-Gatter und ein korrespondierendes Gatter aufweisen. Hierbei werden die jeweils paarweise an eine Korrelationseinheit 1.4 übermittelten, fusionierten Daten D1 + D1 zu jeweils einem Datensignal Ds zusammengeführt, so dass der Empfänger 5 zwei Datensignale Ds empfängt. Sind die Datensignale Ds verschieden, schaltet der Empfänger 5 das Fahrzeug oder die Produktionsanlage in einen sicheren Zustand.
-
Gemäß dem vorliegenden Ausführungsbeispiel kann die Vorrichtung 1 weiterhin mit einem unsicheren Bereich Bu versehen sein, wobei eine schnelle und effiziente Realisierung eines Assistenzsystems für das Fahrzeug möglich ist. Hierbei werden die Daten D aus dem Speicherelement 1.3 an eine vierte Auswerteeinheit 1.5 übermittelt, die analog zur ersten Auswerteeinheit 1.1 und zweiten Auswerteeinheit 1.2 als ein integrierter Schaltkreis mit einer logischen Schaltung ausgebildet ist. Die Auswertung der Daten D1, D2 erfolgt somit im unsicheren Bereich Bu nicht redundant, wobei ein unsicheres Datensignal Dus an eine nicht gezeigte Empfängerkomponente, z. B. ein Steuergerät des Fahrzeugs, übermittelt wird. Die vierte Auswerteeinheit 1.5 kann alternativ auch als ein Standardprozessor ausgebildet sein.
-
Mittels der beschriebenen Vorrichtung 1 kann eine Hardware realisiert werden, die von einer technischen Prüforganisation verifizierbar ist und die sicher und flexibel für sichere Signale nutzbar ist, sofern die Daten D1, D2, wie beschrieben, über sichere Übertragungsleitungen 3 an die Vorrichtung 1 übermittelt werden.
-
Bezugszeichenliste
-
- 1
- Vorrichtung
- 1.1, 1.2, 1.5
- Auswerteeinheit
- 1.3
- Speicherelement
- 1.4
- Korrelationseinheit
- 2
- Sensorik
- 2.1
- Radarsensor
- 2.2
- Lidarsensor
- 3, 4
- Übertragungsleitung
- 5
- Empfänger
- Bs
- sicherer Bereich
- Bu
- unsicherer Bereich
- D1, D2
- Daten
- Ds
- Datensignal
- Dus
- unsicheres Datensignal
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102014224944 A1 [0002]
-
Zitierte Nicht-Patentliteratur
-