DE102017202347A1 - Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs - Google Patents

Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs Download PDF

Info

Publication number
DE102017202347A1
DE102017202347A1 DE102017202347.3A DE102017202347A DE102017202347A1 DE 102017202347 A1 DE102017202347 A1 DE 102017202347A1 DE 102017202347 A DE102017202347 A DE 102017202347A DE 102017202347 A1 DE102017202347 A1 DE 102017202347A1
Authority
DE
Germany
Prior art keywords
vehicle
signal
controller
functional safety
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102017202347.3A
Other languages
English (en)
Other versions
DE102017202347B4 (de
Inventor
Ilona Pabst
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102017202347.3A priority Critical patent/DE102017202347B4/de
Publication of DE102017202347A1 publication Critical patent/DE102017202347A1/de
Application granted granted Critical
Publication of DE102017202347B4 publication Critical patent/DE102017202347B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs, das Verfahren umfassend: Senden eines Signals eines ersten Steuergeräts an ein zweites Steuergerät; Empfangen des Signals des ersten Steuergeräts an das zweite Steuergerät durch ein drittes Steuergerät; Verändern des empfangenen Signals durch das dritte Steuergerät; Senden des veränderten Signals an das zweite Steuergerät durch das dritte Steuergerät; Empfangen des veränderten Signals durch das zweite Steuergerät; Ausführen einer Fahrzeugfunktion in Abhängigkeit des veränderten Signals durch eine Funktionseinheit des zweiten Steuergeräts; Ermitteln eines fahrzeugspezifischen Parameters der ausgeführten Fahrzeugfunktion durch das dritte Steuergerät; und Validieren des fahrzeugspezifischen Parameters der ausgeführten Fahrzeugfunktion durch das dritte Steuergerät unter Verwendung eines vorgegebenen fahrzeugspezifischen Parameters, der mit dem veränderten Signal verknüpft ist.

Description

  • Die Erfindung betrifft ein Verfahren zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs. Des Weiteren betrifft die Erfindung ein System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs sowie ein Fahrzeug welches das System zum Testen der Funktionssicherheit des Fahrzeugs während des Betriebs des Fahrzeugs umfasst.
  • Die Funktionssicherheit von Fahrzeugfunktionen, insbesondere Anforderungen an Softwarefunktionen eines Fahrzeugs, werden häufig in Testumgebungen außerhalb eines Fahrzeugs geprüft. Testumgebungen zum Prüfen der Funktionssicherheit einer Softwarefunktion des Fahrzeugs können beispielsweise einzelne Parameter eines Fahrzeugumfelds simulieren, um mögliche Fehler der Softwarefunktionen zu ermitteln und deren gefährlichen Auswirkungen zu reduzieren. Weiterhin können Fehler von Softwarefunktionen im realen Straßenverkehr ermittelt und deren gefährlichen Auswirkungen reduziert werden, wenn beispielsweise während einer Testfahrt des Fahrzeugs eine Fehlfunktion bei einer konkreten Verkehrssituation auftritt. Verkehrssituationen im realen Straßenverkehr treten jedoch nicht häufig genug auf, um die Funktionssicherheit einer Softwarefunktion des Fahrzeugs während des Betriebs des Fahrzeugs umfangreich testen zu können.
  • Es ist daher eine Aufgabe der Erfindung, das Testen einer Funktionssicherheit eines Fahrzeugs während des Betriebs des Fahrzeugs effizient zu verbessern.
  • Gelöst wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
  • Gemäß einem ersten Aspekt zeichnet sich die Erfindung aus durch ein Verfahren zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs, insbesondere während einer Fahrt des Fahrzeugs. Das Fahrzeug ist vorzugsweise ein Landfahrzeug, z.B. ein Kraftfahrzeug oder ein Motorrad. Das Testen der Funktionssicherheit kann das Testen einer Funktion eines Fahrerassistenzsystems, eines Steuergeräts, und/oder eines oder mehrerer Softwarekomponenten eines Steuergeräts umfassen. Das Verfahren umfasst ein Senden eines Signals eines ersten Steuergeräts an ein zweites Steuergerät. Das Signal kann Daten und/oder Metadaten repräsentieren, die zwischen Steuergeräten ausgetauscht werden. Das Signal kann verschlüsselt sein. Beispielsweise kann das Signal eine Nachricht über ein Bussystem und/oder ein Kommunikationsnetzwerk des Fahrzeugs sein. Das Kommunikationsnetzwerk kann beispielsweise Ethernet sein. Das Verfahren umfasst ein Empfangen des Signals des ersten Steuergeräts an das zweite Steuergerät durch ein drittes Steuergerät. Das dritte Steuergerät kann vorzugsweise einen Teil oder alle Signale zwischen dem ersten Steuergerät und dem dritten Steuergerät empfangen, die beispielsweise über ein Kommunikationsnetzwerk und/oder ein Bussystem von dem ersten Steuergerät an das zweite Steuergerät übermittelt werden. Das dritte Steuergerät kann verschlüsselte Signale empfangen, entschlüsseln sowie verschlüsseln. Dazu sind vorzugsweise auf dem dritten Steuergerät Schlüssel zum Entschlüsseln und/oder Verschlüsseln der verschlüsselten Signale des ersten und/oder des zweiten Steuergeräts gespeichert.
  • Das Verfahren umfasst weiterhin ein Verändern des empfangenen Signals durch das dritte Steuergerät. Das Verändern des empfangenen Signals kann beispielsweise an eine oder mehrere vorgegebenen Bedingungen, im Folgenden auch Vorbedingungen genannt, geknüpft sein, die beispielsweise in Abhängigkeit von Sensordaten und/oder Statusinformationen des empfangenen Signals variieren können. Das Verfahren umfasst ferner ein Senden des veränderten Signals an das zweite Steuergerät durch das dritte Steuergerät. Das Senden des veränderten Signals durch das dritte Steuergerät kann ein Verschlüsseln des veränderten Signals mit einem Schlüssel des ersten Steuergeräts umfassen, der auf dem dritten Steuergerät gespeichert ist.
  • Das Verfahren umfasst ferner ein Empfangen des veränderten Signals durch das zweite Steuergerät, wobei vorzugsweise der Sender des veränderten Signals unverändert bleibt. Aus Sicht des zweiten Steuergeräts handelt es sich bei dem veränderten Signal um ein Signal des ersten Steuergeräts. Das veränderte Signal kann ein verschlüsseltes Signal sein. Das verschlüsselte Signal kann durch das zweite Steuergerät entschlüsselt werden. Das veränderte Signal kann von dem zweiten Steuergerät von dem ersten Steuergerät empfangen und/oder verarbeitet werden. Das Verändern des Signals durch das dritte Steuergerät kann durch das zweite Steuergerät nicht erkannt werden. Das zweite Steuergerät führt eine Funktion, insbesondere eine Fahrzeugfunktion, in Abhängigkeit des veränderten Signals durch eine Funktionseinheit des zweiten Steuergeräts aus. Die Funktionseinheit des zweiten Steuergeräts kann eine Softwarekomponente sein, die beispielsweise eine Fahrerassistenzfunktion oder einen Teil einer Fahrerassistenzfunktion realisiert. Das dritte Steuergerät ermittelt einen fahrzeugspezifischen Parameter der ausgeführten Fahrzeugfunktion. Den fahrzeugspezifischen Parameter kann das dritte Steuergerät beispielsweise mittels einer Analyse einer oder mehrerer Signale des zweiten Steuergeräts, vorzugsweise nach dem Ausführen der Fahrzeugfunktion, ermitteln. Das Verfahren umfasst schließlich ein Validieren des fahrzeugspezifischen Parameters der ausgeführten Fahrzeugfunktion durch das dritte Steuergerät unter Verwendung eines vorgegebenen fahrzeugspezifischen Parameters, der mit dem veränderten Signal verknüpft ist.
  • Vorteilhafterweise kann das dritte Steuergerät während der Fahrt des Fahrzeugs Signale zwischen dem ersten und zweiten Steuergerät transparent verändern, ohne dass das erste Steuergerät und/oder das zweite Steuergerät angepasst werden müssen. Die Signale können direkt auf dem Kommunikationskanal zwischen den Steuergeräten analysiert und/oder verändert werden. Dadurch kann ein Fehler dynamisch in die Kommunikation zwischen Steuergeräten eingebracht bzw. injiziert und der Fehler kontrolliert bei einem fahrenden Fahrzeug ausgelöst werden. Ferner kann eine Sicherheitsfunktion während der Fahrt des Fahrzeugs auf ihre korrekte Funktionsweise geprüft und dermaßen die Erteilung einer entsprechende Fahrfreigebe für diese Funktion unterstützen.
  • Gemäß einer vorteilhaften Ausgestaltung kann das dritte Steuergerät zwischen dem ersten Steuergerät und dem zweiten Steuergerät zwischengeschaltet sein, und/oder kann das dritte Steuergerät physikalisch, insbesondere durch einen Diagnosestecker, zwischen dem ersten Steuergerät und dem zweiten Steuergerät zwischengeschaltet sein, so dass wenigstens ein Teil der Signale zwischen dem ersten Steuergerät und dem zweiten Steuergerät über das dritte Steuergerät gesendet werden. Hiermit können Signale des physischen Kommunikationskanals zwischen dem ersten und dem zweiten Steuergeräte durch das dritte Steuergerät empfangen, gesendet und verändert werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das empfangene Signal des ersten Steuergeräts durch das dritte Steuergerät derart verändert werden, dass das empfangene Signal eine Fehlfunktion und/oder einen Fehlerzustand des ersten Steuergeräts anzeigt. Hiermit kann ein vordefinierter Fehler einfach in die Kommunikation zwischen dem ersten und dem zweiten Steuergerät eingebracht werden ohne die Funktion des ersten Steuergeräts zu verändern.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das empfangene Signal verändert werden, falls wenigstens ein Teil des empfangenen Signals eine vordefinierte Bedingung bezüglich eines fahrzeugspezifischen Parameters erfüllt. Hiermit können zu verändernde Signale effizient durch das dritte Steuergerät bestimmt werden, so dass ein Trigger zum Verändern bzw. Manipulieren des empfangenen Signals nur bei Erfüllen des bzw. der vordefinierten Bedingungen ausgelöst wird.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann ein fahrzeugspezifischer Parameter ein Fahrzeugzustand, eine Geschwindigkeit, eine Beschleunigung, eine Fahrzeugposition, eine Getriebestellung, eine Sensorinformation und/oder ein antriebspezifischer Parameter sein. Hiermit kann das dritte Steuergerät flexibel in Abhängigkeit verschiedener fahrzeugspezifischer Parameter die zu verändernden Signale bestimmen und/oder verändern.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren ein Senden eines Funktionssicherheitssignals in Abhängigkeit der ausgeführten Fahrzeugfunktion von der Funktionseinheit des zweiten Steuergeräts an die Funktionssicherheitseinheit des zweiten Steuergeräts trennen. Hiermit kann das veränderten Funktionssicherheitssignals von der Funktionseinheit an die Funktionssicherheitseinheit übermittelt werden, so dass der Fehler des veränderten Signals von der Funktionssicherheitseinheit behandelt werden kann. Durch das Trennen der Funktionseinheit von der Funktionssicherheitseinheit können Fehler effizienter behandelt werden. Zusätzlich können Fehler effizient behandelt werden, die durch die Funktionseinheit alleine nicht behandelt werden können.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Empfangen des Funktionssicherheitssignals der Funktionseinheit des zweiten Steuergeräts an die Funktionssicherheitseinheit des zweiten Steuergeräts durch eine Funktionssicherheitstesteinheit umfassen. Falls wenigstens ein Teil des Funktionssicherheitssignals eine oder mehrere vorgegebene Bedingungen, im Folgenden auch Vorbedingungen genannt, der Funktionssicherheitstesteinheit erfüllt, kann das Verfahren weiterhin ein Verändern des Funktionssicherheitssignals durch die Funktionssicherheitstesteinheit, ein Senden des veränderten Funktionssicherheitssignals an die Funktionssicherheitseinheit des zweiten Steuergeräts durch die Funktionssicherheitstesteinheit, ein Empfangen des veränderten Funktionssicherheitssignals durch die Funktionssicherheitseinheit, und ein Ausführen einer Funktionssicherheitsfunktion in Abhängigkeit des veränderten Funktionssicherheitssignals und/oder in Abhängigkeit des veränderten Signals durch Funktionssicherheitseinheit des zweiten Steuergeräts umfassen. Das Verfahren kann weiterhin ein Ermitteln eines fahrzeugspezifischen Funktionssicherheitsparameters in Abhängigkeit der ausgeführten Funktionssicherheitsfunktion durch die Funktionssicherheitstesteinheit, und ein Validieren des fahrzeugspezifischen Funktionssicherheitsparameters der ausgeführten Fahrzeugsicherungsfunktion unter Verwendung eines vorgegebenen fahrzeugspezifischen Funktionssicherheitsparameters, der mit dem veränderten Signal und/oder mit dem veränderten Funktionssicherheitssignal verknüpft ist, umfassen. Hiermit kann ein Signal an die Funktionssicherheitseinheit zum Testen der Funktionssicherheitseinheit flexibel verändert werden, um zusätzlich oder alternativ einen Fehler der Funktionseinheit an die Funktionssicherheitseinheit zu senden und dessen Behandlung durch die Funktionssicherheitseinheit zu testen. Die Funktionsweise der Funktionssicherheitseinheit kann folglich während der Fahrt des Fahrzeugs überprüft werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung können der validierte fahrzeugspezifische Parameter und/oder ein Status des Validierens des fahrzeugspezifischen Parameters auf einer fahrzeuginternen oder fahrzeugexternen Anzeigeeinheit bereitgestellt werden. Hiermit kann das Ergebnis des Validierens der Funktionseinheit und/oder der Funktionssicherheitseinheit unmittelbar im Anschluss den Validierungsvorgang einem Nutzer bzw. Tester zur Verfügung gestellt werden. Das Validierungsergebnis steht folglich schneller dem Nutzer bzw. Tester zur Verfügung.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein System zum Testen der Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs. Das System umfasst ein erstes Steuergerät, das dazu ausgebildet ist, ein Signal von dem ersten Steuergerät an ein zweites Steuergerät zu senden. Das System umfasst weiterhin das zweite Steuergerät, das dazu ausgebildet ist, ein verändertes Signal zu empfangen, und eine Fahrzeugfunktion in Abhängigkeit des veränderten Signals durch eine Steuereinheit auszuführen. Das System umfasst ferner ein drittes Steuergerät, das dazu ausgebildet ist, ein Signal des ersten Steuergeräts an das zweite Steuergerät zu empfangen, das empfangene Signal zu verändern, das veränderte Signal an das zweite Steuergerät zu übermitteln, einen fahrzeugspezifischen Parameter der ausgeführten Fahrzeugfunktion zu ermitteln, und den fahrzeugspezifischen Parameters der ausgeführten Fahrzeugfunktion unter Verwendung eines vorgegebenen fahrzeugspezifischen Parameters, der mit dem veränderten Signal verknüpft ist, zu validieren.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein Fahrzeug, welches das oben beschriebene System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs umfasst.
  • Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalkombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren allein gezeigten Merkmale und Merkmalkombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.
  • Die Erfindung beruht auf den nachfolgend dargelegten Überlegungen:
  • Funktionen von autonom fahrenden Fahrzeugen können in verschiedenen Kategorien, z.B. Level 1 bis Level 5, eingeteilt werden. Um eine Funktion für eine bestimmte Kategorie freigeben zu können, müssen entsprechende Validierungstests der Funktion durchgeführt werden, um eine entsprechende Fahrfreigabe für diese Funktion erteilen zu können. Beispielsweise kann eine Fahrfreigabe, z.B. im Testbetrieb des Fahrzeugs, für eine Funktion erteilt werden, wenn die Funktion im fehlerfreien Fall nicht zu Fahrzeugreaktionen führen kann, die nicht durch einen geschulten Fahrer beherrschbar sind und im Fehlerfall, z. B. Fehllenkung > 10 km/h, destabilisierende Eingriffe in die Längsdynamik, Selbstbeschleuniger, Selbststarter durch den geschulten Fahrer beherrschbar ist. Vor Erteilung der Fahrfreigabe einer Funktion einer bestimmen Kategorie müssen durch entsprechende Tests, z.B. Softwaretests, Hardwaretest, Komponententests oder Tests der Wirkkette, eine Funktionssicherheit im fehlerfreien Fall sowie im Fehlerfall nachgewiesen bzw. validiert werden.
  • Um die Funktionssicherheit zu testen, können Testfälle erstellt werden, die das sichere Verhalten der Funktion auf Gesamtsystemebene, z.B. auf Ebene des Fahrzeug oder Teilsystemen wie beispielsweise Steuergeräten des Fahrzeugs, zu validieren. Ein sicherer Zustand des Fahrzeugs, z.B. ein sofortiges Anhalten des Fahrzeugs oder ein Ausführen eines Notmanövers mit anschließendem Anhalten des Fahrzeugs, kann dabei durch eine Funktionskomponente selbst oder durch eine Funktionssicherheitskomponente der Funktionskomponente erreicht werden. Dabei können Fehler durch eine fehlerhafte Bedienung des Nutzers, durch fehlerhafte Randbedingungen, und/oder durch systeminterne Fehler auftreten. Für jede dieser Fehlerart können Testfälle erstellt und validiert werden.
  • Wichtig ist hierbei das Testen von Manipulationen bzw. Veränderungen an Signalen in internen Schnittstellen auf Systemebene, z.B. Kommunikationsschnittstellen zwischen zwei und mehr Steuergeräten und/oder Schnittstellen zwischen zwei und mehr Softwarekomponenten, z.B. einer Funktionseinheit und/oder einer Funktionssicherheitseinheit, eines Steuergeräts. Durch die Veränderung wenigstens eines Signals kann ein korrektes Systemverhalten, d.h. eine Reaktion einer Funktion einer Funktionseinheit getestet werden. Ferner kann eine Reaktion einer Sicherheitsfunktion einer Funktionssicherheitseinheit getestet werden, d.h. eine Reaktion der Funktion der Funktionseinheit ist nicht vorhanden und ein Sicherheitsmechanismus, der in der Sicherheitsfunktion der Funktionssicherheitseinheit realisiert ist, wird ausgeführt. Eine Reaktion der Funktion kann beispielsweise dadurch erreicht werden, indem ein oder mehrere Eingangssignale, die auf einem Kommunikationskanal, z.B. einem Ethernet-Kommunikationsnetzwerk, gesendet werden, derart verändert werden, dass die Funktion, insbesondere die Fahrzeugfunktion, der Funktionseinheit einen jeweiligen sicheren Zustand einnimmt bzw. einnehmen soll. Um einen Sicherheitsmechanismus einer Sicherheitsfunktion der Funktionssicherheitseinheit zu testen, kann zusätzlich oder alternativ eine Manipulation bzw. eine Veränderung eines oder mehrerer Ausgangssignale der Funktionseinheit erfolgen. Beispielsweise kann einen Veränderung eines Ausgangssignals der Funktionseinheit durch eine Manipulation bzw. eine Veränderung mittels eines Universal Measurement and Calibration (XCP)-Protokolls erfolgen.
  • Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigen schematisch
    • 1 ein beispielhaftes Verfahren zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs, und
    • 2 ein beispielhaftes System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs.
  • Im Detail zeigt 1 ein beispielhaftes Verfahren 100 zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs eines Fahrzeugs. Im Detail kann die Funktionssicherheit einer Fahrzeugfunktion, z.B. einer Fahrerassistenzfunktion oder einer fernbedienbaren Einparkfunktion, des Fahrzeugs während der Fahrt des Fahrzeugs getestet werden. Das Verfahren 100 kann eine Kommunikation zwischen zwei oder mehr Steuergeräten und/oder zwei oder mehr Softwarekomponenten, z.B. einer Funktionseinheit und einer Funktionssicherheitseinheit, eines Steuergeräts analysieren und verändern, um Fehler einzelner Steuergerät und deren Behandlung während der Fahrt des Fahrzeugs zu validieren.
  • Dazu kann ein erstes Steuergerät des Fahrzeugs ein Signal über einen oder mehrere Kommunikationskanäle des Fahrzeugs an ein zweites Steuergerät senden 102. Bei einem Ethernet-Kommunikationsnetzwerk als Kommunikationskanal kann das Signal beispielsweise ein Ethernet-Frame oder ein Datenelement eines Ethernet-Frames sein. Bei einem Controller Area Network (CAN)-Bussystem als Kommunikationskanal kann das Signal beispielsweise ein Frame oder ein Datenelement eines Frames des CAN-Bussystems sein.
  • Das Signal des ersten Steuergeräts an das zweite Steuergerät kann durch ein drittes Steuergerät empfangen 104 werden. Das dritte Steuergerät kann physisch durch einen Diagnosestecker wenigstens einen Teil der Signale einer physischen Verbindung zwischen dem ersten Steuergerät und dem zweiten Steuergerät empfangen. Durch den Diagnosestecker kann die physische Verbindung zwischen dem ersten und zweiten Steuergerät getrennt werden. Wenigstens ein Teil der Signale oder alle Signale können durch die physische Trennung der Verbindung zwischen dem ersten Steuergerät und dem zweiten Steuergerät auf das dritte Steuergerät umgeleitet werden. Das dritte Steuergerät empfängt somit wenigstens einen Teil der Signale zwischen dem ersten und zweiten Steuergerät. Eine direkte Kommunikation der Signale zwischen dem ersten Steuergerät und dem zweiten Steuergerät kann somit unterbrochen werden bzw. ist nur über das dritte Steuergerät möglich.
  • Zwischen dem ersten Steuergerät und dem zweiten Steuergerät können zwei oder mehr Kommunikationskanäle, z.B. zwei oder mehr Ethernet-Kommunikationsnetzwerke und/oder zwei oder mehr CAN-Bussysteme, zur Verfügung stehen. Sind zwei oder mehrere Kommunikationskanäle zwischen dem ersten Steuergerät und dem zweiten Steuergerät vorhanden, kann das Signal über einen oder alle Kommunikationskanäle gesendet werden. Entsprechend kann das dritte Steuergerät das gesendete Signal auf einem oder allen Kommunikationskanälen empfangen.
  • Das dritte Steuergerät kann das bzw. die empfangenen Signale verändern bzw. manipulieren 106. Eine Veränderung des empfangenen Signals kann durch ein Datenelement festgelegt sein, das auf dem dritten Steuergerät gespeichert ist. Das Datenelement kann einen Trigger spezifizieren, der ein zu veränderndes Signal, aus einer Menge an empfangenen Signalen auswählt, um eine Veränderung des Signals vorzunehmen. Das Datenelement kann beispielsweise ein Array einer vorgegebenen Größe umfassen, wobei ein Element des Arrays eine Vorbedingung zum Auslösen des Triggers speichert. Der Trigger kann beispielsweise eine Vorbedingung zu einem Fahrzeugzustand, einer Geschwindigkeit, einer Getriebeposition, oder eine Sensorinformation des Fahrzeugs umfassen. Vorzugsweise ist jede Veränderung des bzw. der empfangenen Signale an eine oder mehrere Vorbedingungen des Triggers gekoppelt. Die Abhängigkeit der Veränderung des Signals vom dem Trigger stellt sicher, dass die Veränderung des Signals zum korrekten Zeitpunkt innerhalb des Funktionsablaufs der zu testenden Fahrzeugfunktion erfolgt.
  • Weiterhin kann das dritte Steuergerät Schlüssel zum Entschlüsseln und Verschlüsseln der empfangenen Signale speichern, um eine Ende-zu-Ende Verschlüsselung zwischen dem ersten Steuergerät und dem zweiten Steuergerät durch das dritte Steuergerät sicherzustellen. Die Veränderung des Signals durch das dritte Steuergerät kann durch das erste Steuergerät und das zweite Steuergerät somit nicht erkannt werden. Dadurch kann ein Fehler in die Kommunikation zwischen dem ersten und dem zweiten Steuergerät injiziert werden, ohne dass das Injizieren des Fehlers und damit die Veränderung des Signals durch das erste und zweite Steuergerät erkannt werden kann. Der Fehler kann ein Systemfehler, ein Signalfehler und/oder ein Timing-Fehler sein.
  • Das Datenelement kann ferner das Signal bzw. die Signale festlegen, die verändert werden, falls die Vorbedingung bzw. die Vorbedingungen des Triggers erfüllt sind und der Trigger ausgelöst wird. Dazu kann das Datenelement einen eindeutigen Bezeichner des Signals und einen Signalwert festlegen, der durch das dritte Steuergerät verändert werden soll. Nach der Veränderung des Signals kann das dritte Steuergerät beispielsweise die Checksumme neu berechnen und/oder das Signal verschlüsseln, so dass das verändert Signal als ein valides Signal von dem zweiten Steuergerät erkannt wird.
  • Nach dem Verändern des Signals durch das dritte Steuergerät kann das dritte Steuergerät das veränderte Signal an das zweite Steuergerät senden 108. Der Diagnosestecker der das Signal an das dritte Steuergerät umleitet, kann das Signal von dem dritten Steuergerät empfangen und über die physische Kommunikationsverbindung zwischen dem ersten und dem zweiten Steuergerät an das zweite Steuergerät senden. Das zweite Steuergerät kann das veränderte Signal empfangen 110. Beim Empfangen des veränderten Signals kann das zweite Steuergerät das veränderte Signal entschlüsseln und/oder verifizieren. Ferner kann das zweite Steuergerät das veränderte Signal an eine Funktionseinheit des zweiten Steuergeräts zur Ausführung einer Funktion, insbesondere einer Fahrzeugfunktion, weiterleiten.
  • Die Funktionseinheit des zweiten Steuergeräts kann die Fahrzeugfunktion in Abhängigkeit des veränderten Signals ausführen 120. Enthält das veränderte Signal beispielsweise einen Fehler bzw. eine Fehlernachricht kann die Funktionseinheit die Fahrzeugfunktion unter Berücksichtigung des Fehlers ausführen. Bei der Ausführung der Fahrzeugfunktion unter Berücksichtigung des Fehlers kann das zweite Steuergerät fahrzeugspezifische Parameter betreffend den Fahrzeugzustand, insbesondere betreffend einen sicherheitsrelevanten Fahrzeugzustand, ändern.
  • Führt die Funktionseinheit des zweiten Steuergeräts beispielsweise einen fernbedienbare Einparkfunktion aus, können verschiedene sicherheitsrelevante Zustände, z.B. Aktivierung der Funktion, Herstellen der Fahrbereitschaft, Lösen der Bremse, Notbremsung, oder Motor aus, vorhanden sein, die aufgrund des Fehlers des veränderten Signals nicht eingenommen werden dürfen oder nach deren Einnahme in einen sicheren Zustand übergegangen werden muss. Das dritte Steuergerät kann den fahrzeugspezifischen Parameter bzw. die fahrzeugspezifischen Parameter der ausgeführten Fahrzeugfunktion ermitteln 122. Welche fahrzeugspezifischen Parameter durch das dritte Steuergerät ermittelt werden, kann beispielsweise in einer Nachbedingung des Datenelements aufgrund dessen die Veränderung des Signals erfolgt ist, erfolgen. Dazu kann das Datenelement ein Array an Nachbedingungen erhalten, die erfüllt sein müssen, damit ein sicherer Zustand des Fahrzeugs erreicht ist.
  • Das dritte Steuergerät kann schließlich den fahrzeugspezifischen Parameter bzw. die fahrzeugspezifischen Parameter der ausgeführten Fahrzeugfunktion mit einem vorgegebenen fahrzeugspezifischen Parameter, der mit dem veränderten Signal verknüpft ist, validieren 124. Der vorgegebene fahrzeugspezifische Parameter kann beispielsweise in dem Datenelement gespeichert sein. Der vorgegebene fahrzeugspezifische Parameter kann das zu erwartende Ergebnis der Validierung festlegen. Ist eine Abweichung von dem zu erwartenden Ergebnis durch das dritte Steuergerät ermittelt worden, konnte der sichere Zustand nicht erfolgreich validiert werden. Der Test der Fahrzeugfunktion konnte nicht erfolgreich durchgeführt werden.
  • Zusätzlich kann die Funktionseinheit des zweiten Steuergeräts ein Funktionssicherheitssignal als Ausgabesignal erzeugen. Das Funktionssicherheitssignal kann in Abhängigkeit der ausgeführten Fahrzeugfunktion von der Funktionseinheit des zweiten Steuergeräts an die Funktionssicherheitseinheit des zweiten Steuergeräts gesendet werden. Kann beispielsweise der Fehler durch das veränderte Signal von der Funktionseinheit des zweiten Steuergeräts nicht behandelt werden, erzeugt die Funktionseinheit des zweiten Steuergeräts das Funktionssicherheitssignal für die Funktionssicherheitseinheit. Das Funktionssicherheitssignal der Funktionseinheit des zweiten Steuergeräts an die Funktionssicherheitseinheit des zweiten Steuergeräts kann durch eine Funktionssicherheitstesteinheit empfangen werden. Die Funktionssicherheitstesteinheit kann das Funktionssicherheitssignal verändern. Dazu kann die Funktionssicherheitstesteinheit das XCP-Netzwerkprotokoll benutzen, um die Funktionssicherheitssignale zu verändern. Das Funktionssicherheitssignal kann beispielsweise ein XCP-Symbol umfassen, das durch das XCP-Netzwerkprotokoll verändert wird.
  • Die Funktionssicherheitstesteinheit kann wenigstens einen Teil des Funktionssicherheitssignals empfangen und das empfangenen Funktionssicherheitssignal überprüfen, ob einen vorgegebene Bedingung erfüllt ist. Ist die vorgegebene Bedingung erfüllt, kann die Funktionssicherheitstesteinheit das Funktionssicherheitssignal verändern bzw. manipulieren. Für das Verändern bzw. Manipulieren des Funktionssicherheitssignals kann es notwendig sein, dass mehrere (parallele) Teilsignale zeitsynchron durch die Funktionssicherheitstesteinheit verändert werden, um beispielsweise eine Erkennung einer Veränderung bzw. Manipulation des Funktionssicherheitssignals durch die Funktionssicherheitseinheit zu verhindern.
  • Die Funktionssicherheitstesteinheit kann das veränderte Funktionssicherheitssignal an die Funktionssicherheitseinheit des zweiten Steuergeräts senden. Die Funktionssicherheitseinheit kann das veränderte Funktionssicherheitssignal empfangen und eine Funktionssicherheitsfunktion in Abhängigkeit des veränderten Funktionssicherheitssignals und/oder in Abhängigkeit des veränderten Signals durch Funktionssicherheitseinheit des zweiten Steuergeräts ausführen. Die Funktionssicherheitstesteinheit und/oder das dritte Steuergerät können einen fahrzeugspezifischen Funktionssicherheitsparameters in Abhängigkeit der ausgeführten Funktionssicherheitsfunktion ermitteln und den fahrzeugspezifischen Funktionssicherheitsparameters der ausgeführten Fahrzeugsicherungsfunktion unter Verwendung eines vorgegebenen fahrzeugspezifischen Funktionssicherheitsparameters, der mit dem veränderten Signal und/oder mit dem veränderten Funktionssicherheitssignal verknüpft ist, validieren. Das Ergebnis der Validierung kann über ein Testpanel, das eine Anzeigeeinheit umfasst, dem Nutzer bzw. Tester bereitgestellt werden. Ein positives Ergebnis bedeutet, dass das Fahrzeug stets einen sicheren Zustand erreicht hat. Ein negatives Ergebnis bedeutet, dass das Fahrzeug keinen sicheren Zustand erreicht hat.
  • Im Detail zeigt 2 ein beispielhaftes System 200 zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs. Das System umfasst ein erstes Steuergerät 202, einen zweites Steuergerät 204, und ein drittes Steuergerät 206. Über einen Diagnosestecker 208 kann das dritte Steuergerät 206 ein Signal zwischen dem ersten Steuergerät 202 und dem zweiten Steuergerät 204 empfangen und ein verändertes Signal an das zweite Steuergerät 204 senden. Das zweite Steuergerät 204 kann das veränderte Signal an eine Funktionseinheit 210 und an einen Funktionssicherheitseinheit 214 senden. Die Funktionseinheit 210 kann ein Funktionssicherheitssignal erzeugen und an die Funktionssicherheitseinheit 214 senden. Eine Funktionssicherheitstesteinheit 212 kann das Funktionssicherheitssignal empfangen, verändern und an die Funktionssicherheitseinheit 214 senden.
  • Vorteilhafterweise kann durch das Verändern des Signals zwischen dem ersten Steuergerät und dem zweiten Steuergerät sowie durch das Verändern des Funktionssicherheitssignals während der Fahrt des Fahrzeugs die Korrektheit der Fahrzeugfunktion und der Fahrzeugsicherungsfunktion validiert werden. Das Fahrzeug muss im Fehlerfall stets einen sicheren Zustand einnehmen, der durch die jeweiligen fahrzeugspezifischen Parameter angezeigt wird. Somit können möglicherweise auftretende Fehler während der Fahrt des Fahrzeugs getestet und validiert werden. Dies führt schließlich zu einer erhöhten Sicherheit und einer schnelleren Freigaben von Fahrerassistenzsystem bei teil- und vollautonom fahrenden Fahrzeugen. Veränderungen der Fahrzeugfunktion durch eine Aktualisierung der Softwarekomponenten von Fahrerassistenzsystem können somit effizient und schnell getestet und freigeben werden.
  • Bezugszeichenliste
    • 100
    Verfahren zum Testen einer Funktionssicherheit
    102
    Senden eines Signals
    104
    Empfangen des Signals
    106
    Verändern des empfangenen Signals
    108
    Senden des veränderten Signals
    110
    Empfangen des veränderten Signals
    112
    Ausführen des veränderten
    114
    Ermitteln eines fahrzeugspezifischen Parameters
    116
    Validieren des fahrzeugspezifischen Parameters
    200
    System
    202
    erstes Steuergerät
    204
    zweites Steuergerät
    206
    drittes Steuergerät
    208
    Diagnosestecker
    210
    Funktionseinheit
    212
    Funktionssicherheitstesteinheit
    214
    Funktionssicherheitseinheit

Claims (10)

  1. Verfahren (100) zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs, das Verfahren umfassend: Senden (102) eines Signals eines ersten Steuergeräts an ein zweites Steuergerät; Empfangen (104) des Signals des ersten Steuergeräts an das zweite Steuergerät durch ein drittes Steuergerät; Verändern (106) des empfangenen Signals durch das dritte Steuergerät; Senden (108) des veränderten Signals an das zweite Steuergerät durch das dritte Steuergerät; Empfangen (110) des veränderten Signals durch das zweite Steuergerät; Ausführen (112) einer Fahrzeugfunktion in Abhängigkeit des veränderten Signals durch eine Funktionseinheit des zweiten Steuergeräts; Ermitteln (114) eines fahrzeugspezifischen Parameters der ausgeführten Fahrzeugfunktion durch das dritte Steuergerät; und Validieren (116) des fahrzeugspezifischen Parameters der ausgeführten Fahrzeugfunktion durch das dritte Steuergerät unter Verwendung eines vorgegebenen fahrzeugspezifischen Parameters, der mit dem veränderten Signal verknüpft ist.
  2. Verfahren nach Anspruch 1, wobei das dritte Steuergerät zwischen dem ersten Steuergerät und dem zweiten Steuergerät zwischengeschaltet ist; und/oder wobei das dritte Steuergerät physikalisch, insbesondere durch einen Diagnosestecker, zwischen dem ersten Steuergerät und dem zweiten Steuergerät zwischengeschaltet ist, so dass wenigstens ein Teil der Signale zwischen dem ersten Steuergerät und dem zweiten Steuergerät über das dritte Steuergerät gesendet werden.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei das empfangene Signal des ersten Steuergeräts durch das dritte Steuergerät derart verändert wird, dass das empfangene Signal eine Fehlfunktion und/oder einen Fehlerzustand des ersten Steuergeräts anzeigt.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei das empfangene Signal verändert wird, falls wenigstens ein Teil des empfangenen Signals eine vordefinierte Bedingung bezüglich eines fahrzeugspezifischen Parameters erfüllt.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein fahrzeugspezifischer Parameter ein Fahrzeugzustand, eine Geschwindigkeit, eine Beschleunigung, eine Fahrzeugposition, eine Getriebestellung, und/oder ein antriebspezifischer Parameter sein kann.
  6. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend: Senden eines Funktionssicherheitssignals in Abhängigkeit der ausgeführten Fahrzeugfunktion von der Funktionseinheit des zweiten Steuergeräts an die Funktionssicherheitseinheit des zweiten Steuergeräts.
  7. Verfahren nach Anspruch 6, das Verfahren weiterhin umfassend: Empfangen des Funktionssicherheitssignals der Funktionseinheit des zweiten Steuergeräts an die Funktionssicherheitseinheit des zweiten Steuergeräts durch eine Funktionssicherheitstesteinheit; Falls wenigstens ein Teil des Funktionssicherheitssignals einen vorgegebene Bedingung der Funktionssicherheitstesteinheit erfüllt: Verändern des Funktionssicherheitssignals durch die Funktionssicherheitstesteinheit; Senden des veränderten Funktionssicherheitssignals an die Funktionssicherheitseinheit des zweiten Steuergeräts durch die Funktionssicherheitstesteinheit; Empfangen des veränderten Funktionssicherheitssignals durch die Funktionssicherheitseinheit; Ausführen einer Funktionssicherheitsfunktion in Abhängigkeit des veränderten Funktionssicherheitssignals und/oder in Abhängigkeit des veränderten Signals durch Funktionssicherheitseinheit des zweiten Steuergeräts; Ermitteln eines fahrzeugspezifischen Funktionssicherheitsparameters in Abhängigkeit der ausgeführten Funktionssicherheitsfunktion durch die Funktionssicherheitstesteinheit; und Validieren des fahrzeugspezifischen Funktionssicherheitsparameters der ausgeführten Fahrzeugsicherungsfunktion unter Verwendung eines vorgegebenen fahrzeugspezifischen Funktionssicherheitsparameters, der mit dem veränderten Signal und/oder mit dem veränderten Funktionssicherheitssignal verknüpft ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend: Bereitstellen des validierten fahrzeugspezifischen Parameters und/oder eines Status des Validierens des fahrzeugspezifischen Parameters auf einer fahrzeugexternen Anzeigeeinheit.
  9. System (200) zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs, das System umfassend: ein erstes Steuergerät (202), dazu ausgebildet, ein Signal von dem ersten Steuergerät an ein zweites Steuergerät zu senden; das zweite Steuergerät (204), dazu ausgebildet, ein veränderten Signal zu empfangen, und eine Fahrzeugfunktion in Abhängigkeit des veränderten Signals durch eine Steuereinheit auszuführen; ein drittes Steuergerät (206), dazu ausgebildet: ein Signal des ersten Steuergeräts (202) an das zweite Steuergerät (204) zu empfangen, das empfangene Signal zu verändern, das veränderte Signal an das zweite Steuergerät (204) zu übermitteln, einen fahrzeugspezifischen Parameter der ausgeführten Fahrzeugfunktion zu ermitteln, und den fahrzeugspezifischen Parameters der ausgeführten Fahrzeugfunktion unter Verwendung eines vorgegebenen fahrzeugspezifischen Parameters, der mit dem veränderten Signal verknüpft ist, zu validieren.
  10. Fahrzeug umfassend das System (200) zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs nach Anspruch 9.
DE102017202347.3A 2017-02-14 2017-02-14 Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs Active DE102017202347B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017202347.3A DE102017202347B4 (de) 2017-02-14 2017-02-14 Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017202347.3A DE102017202347B4 (de) 2017-02-14 2017-02-14 Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs

Publications (2)

Publication Number Publication Date
DE102017202347A1 true DE102017202347A1 (de) 2018-08-16
DE102017202347B4 DE102017202347B4 (de) 2023-08-24

Family

ID=62982395

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017202347.3A Active DE102017202347B4 (de) 2017-02-14 2017-02-14 Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs

Country Status (1)

Country Link
DE (1) DE102017202347B4 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019203251B3 (de) 2019-03-11 2020-06-18 Volkswagen Aktiengesellschaft Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten
DE102019209355A1 (de) * 2019-06-27 2020-12-31 Audi Ag Steuergerät für ein Kraftfahrzeug und Kraftfahrzeug
EP3813309A1 (de) 2019-10-25 2021-04-28 Volkswagen Ag Verfahren und vorrichtung zur einstellung eines betriebsverhaltens mindestens einer funktionseinheit und system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004036810A1 (de) 2004-07-29 2006-03-23 Zf Lenksysteme Gmbh Kommunikationsverfahren für wenigstens zwei Systemkomponenten eines Kraftfahrzeugs
DE102007034466A1 (de) 2006-07-20 2008-01-24 Daimler Ag Steuerungssystem für ein Kraftfahrzeug
DE102013019422B4 (de) 2013-11-20 2016-02-18 Audi Ag Verfahren zum Betreiben einer Kraftfahrzeugeinrichtung sowie entsprechende Kraftfahrzeugeinrichtung

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019203251B3 (de) 2019-03-11 2020-06-18 Volkswagen Aktiengesellschaft Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten
EP3709166A1 (de) 2019-03-11 2020-09-16 Volkswagen Ag Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
US11001211B2 (en) 2019-03-11 2021-05-11 Volkswagen Aktiengesellschaft Method and system for secure signal manipulation for testing integrated safety functionalities
DE102019209355A1 (de) * 2019-06-27 2020-12-31 Audi Ag Steuergerät für ein Kraftfahrzeug und Kraftfahrzeug
EP3850390B1 (de) * 2019-06-27 2023-12-27 Audi AG Steuergerät für ein kraftfahrzeug und kraftfahrzeug
US11989334B2 (en) 2019-06-27 2024-05-21 Audi Ag Control device for a motor vehicle, and motor vehicle
EP3813309A1 (de) 2019-10-25 2021-04-28 Volkswagen Ag Verfahren und vorrichtung zur einstellung eines betriebsverhaltens mindestens einer funktionseinheit und system
DE102019216519B4 (de) 2019-10-25 2024-02-22 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zur Einstellung eines Betriebsverhaltens mindestens einer Funktionseinheit und System

Also Published As

Publication number Publication date
DE102017202347B4 (de) 2023-08-24

Similar Documents

Publication Publication Date Title
DE102013206746A1 (de) Verfahren und Vorrichtung zum Modifizieren der Konfiguration eines Fahrassistenzsystems eines Kraftfahrzeuges
DE102017202347B4 (de) Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs
DE102017220367A1 (de) Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren
WO2013053562A1 (de) Kommunikationssystem für ein kraftfahrzeug
DE102019214453A1 (de) Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102019214448A1 (de) Verfahren zum Assistieren eines Kraftfahrzeugs
EP4035139A1 (de) Verfahren zum zumindest assistierten überqueren eines knotenpunkts durch ein kraftfahrzeug
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
DE102019214423A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102019214471A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE10252230A1 (de) Verfahren zur Übertragung von Daten
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102019203205A1 (de) Verfahren zum Auswerten von Fahrzeugdaten sowie Fahrzeugdatenauswertesystem zum Durchführen eines derartigen Verfahrens
DE102018220324A1 (de) Verfahren zur Überwachung eines Datenübertragungssystems, Datenübertragungssystem und Kraftfahrzeug
DE102022121406A1 (de) Verfahren zum Verifizieren und/oder Aktualisieren einer künstlichen Intelligenz eines teilweise und/oder vollständig autonomen Fahrzeugs
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
WO2021058175A1 (de) Verfahren zum fernsteuern eines roboters
DE102019214445A1 (de) Verfahren zum Assistieren eines Kraftfahrzeugs
DE102021003747A1 (de) Verfahren zum Absichern von Dateninfrastrukturen von Verkehrsinfrastrukturen und/oder Fahrzeugen gegen Cyberangriffe und/oder Fehlfunktionen
DE102022200587A1 (de) Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug
DE102019209214A1 (de) Verfahren zum Austausch von Daten
DE102022206796A1 (de) Vorrichtung, Verfahren, Computerprogramm zur sicheren hoch-verfügbaren Übertragung von Nachrichten, Fahrzeug das die Vorrichtung umfasst
DE102021206297A1 (de) Verfahren und System zum Betreiben eines wenigstens teilweise automatisierten Fahrzeugs

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R163 Identified publications notified
R016 Response to examination communication
R018 Grant decision by examination section/examining division