DE102019200994A1 - Ein datenkommunikationsverfahren für ein fahrzeug - Google Patents

Ein datenkommunikationsverfahren für ein fahrzeug Download PDF

Info

Publication number
DE102019200994A1
DE102019200994A1 DE102019200994.8A DE102019200994A DE102019200994A1 DE 102019200994 A1 DE102019200994 A1 DE 102019200994A1 DE 102019200994 A DE102019200994 A DE 102019200994A DE 102019200994 A1 DE102019200994 A1 DE 102019200994A1
Authority
DE
Germany
Prior art keywords
time period
data
request
predetermined threshold
data message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019200994.8A
Other languages
English (en)
Inventor
Harivaden PARMAR
Alex Jupp
Bernhard Stangl
Carlos Vinolo
Marc Bajet-Mena
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jaguar Land Rover Ltd
Original Assignee
Jaguar Land Rover Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jaguar Land Rover Ltd filed Critical Jaguar Land Rover Ltd
Publication of DE102019200994A1 publication Critical patent/DE102019200994A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2801Broadband local area networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0262Confirmation of fault detection, e.g. extra checks to confirm that a failure has indeed occurred
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/0078Avoidance of errors by organising the transmitted data in a format specifically designed to deal with errors, e.g. location
    • H04L1/0083Formatting with frames or packets; Protocol or part of protocol for error control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0622Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Datenkommunikationsverfahren für ein Datenkommunikationsnetzwerk innerhalb eines Fahrzeugs, wobei das Datenkommunikationsnetzwerk eine serviceorientierte Architektur umfasst. Das Datenkommunikationsverfahren kann Folgendes umfassen: Einleiten eines Zeitmessers an einer ersten Steuervorrichtung, die sich innerhalb des Datenkommunikationsnetzwerkes befindet, beim Empfang einer ersten Datennachricht, wobei die erste Datennachricht eine Anforderung auf eine Dienstleistung von einer zweiten Steuervorrichtung umfasst; das Bestimmen, ob eine zweite Datennachricht von der zweiten Steuereinrichtung innerhalb einer ersten Zeitspanne empfangen wird, die höchstens einer ersten vorbestimmten Schwellenzeitspanne entspricht; und das Ausgeben eines Steuersignals, das ermöglicht, dass die Dienstleistung durchgeführt wird, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung betrifft ein Datenkommunikationsverfahren für ein Fahrzeug und insbesondere, jedoch nicht ausschließlich, ein Datenkommunikationsverfahren für ein Datenkommunikationsnetzwerk innerhalb eines Fahrzeugs mit einer serviceorientierten Architektur. Aspekte der Erfindung betreffen ein Datenkommunikationsverfahren für ein Fahrzeug, eine Steuervorrichtung für ein Datenkommunikationsnetzwerk, ein System, das die Steuervorrichtung für ein Datenkommunikationsnetzwerk umfasst, ein Fahrzeug, das eine Steuervorrichtung umfasst, ein Computerprogrammprodukt und einen computerlesbaren Datenträger.
  • STAND DER TECHNIK
  • Moderne Kraftfahrzeuge umfassen eine große Anzahl von eingebetteten Steuervorrichtungen, wie etwa elektronische Steuereinheiten (ECU) zum Steuern einer Vielzahl von Fahrzeugfunktionen, wie etwa Motorverwaltungsfunktionen, Bremsfunktionen, Kabinenklimafunktionen und Lenkfunktionen. Die ECU sind über ein Fahrzeugdatenkommunikationsnetzwerk betriebsfähig verbunden und können Informationen über Kommunikationskanäle senden und empfangen, die als Datenbusse bekannt sind.
  • 1 zeigt ein Beispiel eines aktuellen Fahrzeugdatenkommunikationsnetzwerkes 100, in dem mehrere ECU 102, 104, 106 über Kommunikationskanäle 108, 110, 112, die als Datenbusse bekannt sind, betriebsfähig verbunden sind. Ein Gateway-Modul 114 verbindet die Kommunikationskanäle 108, 110, 112 betriebsfähig. Die ECU 102, 104, 106 innerhalb des Datenkommunikationsnetzwerkes 100 müssen möglicherweise aus vielerlei verschiedenen Gründen kommunizieren. Beispielsweise können Sensordaten, die von einer ECU erfasst werden, von einer anderen ECU benötigt werden, wie etwa Daten, die die Geschwindigkeit des Fahrzeugs betreffen. In einem anderen Beispiel kann eine ECU nicht genügend Verarbeitungsleistung aufweisen, um bestimmte Berechnungen auszuführen, und benötigt möglicherweise stattdessen eine andere ECU zum Durchführen der Berechnungen.
  • Um Informationen zu kommunizieren, senden die ECU 102, 104, 106 innerhalb des Datenkommunikationsnetzwerkes 100 Nachrichten 116 in regelmäßigen vorbestimmten Zeitintervallen über die Datenbusse 108, 110, 112. Die Nachrichten werden über vordefinierte Datenkanäle zwischen den ECU 102, 104, 106 gesendet. In 1 ist eine erste ECU 102 gezeigt, um Datennachrichten 116 von einer zweiten ECU 104 zu empfangen. Diese Datennachrichten 116 werden von der zweiten ECU 104 in regelmäßigen vorbestimmten Zeitintervallen von Δt gesendet, die in der Praxis einer Zeitspanne von etwa 10 ms entsprechen können. Diese Datenkanäle sind zum Zeitpunkt der Installation der ECU 102, 104, 106 innerhalb des Fahrzeugs vordefiniert. In einem Beispiel kann die erste ECU 102 den dem Fahrer angezeigten Geschwindigkeitswert über einen Tachometer innerhalb der Fahrzeugkabine steuern. Die zweite ECU 104 kann betriebsfähig mit Sensoren verbunden sein, die die aktuelle Geschwindigkeit des Fahrzeugs bestimmen, und die zweite ECU 104 kann eine Nachricht 116, die die Geschwindigkeit des Fahrzeugs umfasst, in den vorbestimmten Zeitintervallen Δt an die erste ECU 102 senden.
  • Kommunikationen dieser Art können so beschrieben werden, dass sie ein Sender-Empfänger-Modell annehmen. In dem Beispiel von 1 werden Datennachrichten 116 von der ersten ECU 104 an die zweite ECU 102 gesendet, und die erste ECU 104 empfängt keine Empfangsbestätigung der übertragenen Datennachrichten 116. Stattdessen kennt jede empfangende ECU das vorbestimmte Zeitintervall Δt, innerhalb dessen jede Datennachricht 116 empfangen werden sollte. Dies kann als ein Sicherheitsmerkmal zum Erfassen von Datenkommunikationsfehlern innerhalb des Fahrzeugdatenkommunikationsnetzwerkes 100 verwendet werden. Dies ist besonders wichtig bei sicherheitskritischen Datenaustäuschen, wie etwa beim Wechsel von einem Rechensystem zu einem anderen oder bei Anfragen, um die Geschwindigkeit des Fahrzeugs zu verändern. Die durchgehende (end-to-end - E2E) Absicherung ist ein Beispiel eines bekannten standardisierten Sicherheitsprotokolls für die Datenkommunikation, das innerhalb aktueller Fahrzeugdatenkommunikationsnetzwerke weit verbreitet ist, und das den bekannten vorbestimmten Zeitablauf von übertragenen Datennachrichten verwendet, um Kommunikationskanalübertragungsfehler zu diagnostizieren. E2E kann auch verwendet werden, um zu verifizieren, dass Nachrichten in der richtigen Reihenfolge empfangen werden und dass die Daten innerhalb der Nachrichten nicht beschädigt wurden. Alle ECU 102, 104, 106 innerhalb des Datenkommunikationsnetzwerkes 100 können konfiguriert sein, um das E2E-Protokoll zu übernehmen.
  • Zur Veranschaulichung ist in 1 nur ein vordefinierter Kanal zum Übertragen von Datennachrichten 116 gezeigt. Es versteht sich jedoch, dass tatsächlich ein Spektrum von verschiedenen periodischen Datennachrichten 116 über eine große Anzahl von Datenkanälen zwischen verschiedenen Fahrzeug-ECU gesendet wird, um die verschiedene Funktionalität, die mit den mehreren Fahrzeug-ECU verknüpft ist, zu aktivieren. Es ist üblich, dass bestehende Fahrzeuge etwa hundert verschiedene ECU umfassen. Fahrzeugdatenkommunikationsnetzwerke werden immer komplexer, da eine steigende Anzahl von Funktionalitäten durch eine immer größere Anordnung von verschiedenen Fahrzeugsteuervorrichtungen eingerichtet werden. Die aktuelle regelmäßige Übertragung von Informationen, die innerhalb bestehender Fahrzeugkommunikationsnetzwerke übernommen werden, beinhaltet, dass große Datenmengen über das Kommunikationsnetzwerk gesendet werden, was unweigerlich zu Datenengpässen und einer langsameren Kommunikation führen kann. Es gibt außerdem Schwierigkeiten, die Fahrzeugdatenkommunikationsnetzwerke nachträglich mit neuen ECU aufzurüsten, was die Definition neuer Datenkanäle zwischen den betreffenden ECU bei der Installation erfordert. Es ist aktuell äußerst kompliziert und zeitaufwändig, jede Interaktion mit jeder anderen ECU innerhalb des Fahrzeugkommunikationsnetzwerkes für eine neu installierte ECU zu definieren.
  • Um den oben aufgezeigten Mängel zu begegnen, beginnen Fahrzeughersteller, verschiedene Arten von Datenkommunikationsnetzwerkstrukturen zu übernehmen. Beispielsweise beginnen einige Fahrzeughersteller, Datenkommunikationsnetzwerke mit einer serviceorientierten Architektur (SOA) zu übernehmen, in denen Daten auf Anforderung zwischen ECU übertragen werden. Dies führt zu einer effizienteren Nutzung von verfügbarer Netzwerkbandbreite. Innerhalb eines Fahrzeugdatenkommunikationsnetzwerkes mit einer SOA wird, wenn eine ECU eine Dienstleistung von einer anderen ECU benötigt, eine Anfrage für die Dienstleistung gesendet. Eine Antwort wird dann an die anfordernde ECU zurückgegeben. Es ist daher nicht erforderlich, Daten kontinuierlich zwischen den ECU über die vorhandenen Datenkanäle zu senden, da Daten nur dann gesendet werden, wenn eine Anfrage für eine Dienstleistung erfolgt.
  • Das aktuelle, zur Diagnose von Kommunikationsfehlern verwendete E2E-Protokoll, das aktuell in Fahrzeugdatenkommunikationsnetzwerken übernommen wird, kann jedoch nicht in einem Datenkommunikationsnetzwerk mit einer serviceorientierten Architektur verwendet werden.
  • Die vorliegende Erfindung wurde entwickelt, um zumindest einige der vorstehend erwähnten Probleme abzumildern oder zu überwinden und insbesondere eine Lösung zum Diagnostizieren von Datenkommunikationsfehlern in Fahrzeugdatenkommunikationsnetzwerken mit einer serviceorientierten Architektur bereitzustellen.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Gemäß einem erfindungsgemäßen Aspekt wird ein Datenkommunikationsverfahren für ein Datenkommunikationsnetzwerk innerhalb eines Fahrzeugs bereitgestellt, wobei das Datenkommunikationsnetzwerk eine serviceorientierte Architektur umfasst. Das Verfahren kann Folgendes umfassen: Einleiten eines Zeitablaufmittels an einer ersten Steuervorrichtung, die sich innerhalb des Datenkommunikationsnetzwerkes befindet, nach dem Empfang einer ersten Datennachricht, wobei die erste Datennachricht eine Anforderung auf eine Dienstleistung von einer zweiten Steuervorrichtung umfasst; Bestimmen, ob eine zweite Datennachricht von der zweiten Steuervorrichtung innerhalb einer ersten Zeitspanne, die höchstens einer ersten vorbestimmten Schwellenzeitspanne entspricht, an der ersten Steuervorrichtung empfangen wird, und Ausgeben eines Steuersignals, das ermöglicht, dass die angeforderte Dienstleistung in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht, bereitgestellt wird. In bestimmten Ausführungsformen kann das Zeitablaufmittel einen Timer umfassen, wie etwa eine Uhr, die zum Messen einer Zeitdauer, die zwischen dem Empfang der ersten Datennachricht und der zweiten Datennachricht verstrichen ist, konfiguriert ist.
  • Vorteilhafterweise stellt das Datenkommunikationsverfahren eine Möglichkeit zum Bestimmen bereit, ob das Datenkommunikationsnetzwerk mit einer serviceorientierten Architektur korrekt funktioniert. Dies wird erreicht, indem ein Protokoll definiert wird, in dem für jede Anforderung auf eine Dienstleistung zwei Datennachrichten, die durch ein erstes vorbestimmtes Zeitintervall getrennt sind, an eine erste Steuervorrichtung gesendet werden. In Abhängigkeit davon, ob die zweite Nachricht innerhalb der ersten vorbestimmten Schwellenzeitdauer empfangen wird, kann die erste Steuervorrichtung bestimmen, ob beim Empfangen der zweiten Datennachricht eine Verzögerung aufgetreten ist, und ob daher ein Kommunikationsfehler innerhalb des Netzwerkes vorliegt. Dies stellt insbesondere ein Mittel zur Diagnose von Kommunikationsfehlern innerhalb eines Kommunikationsnetzwerkes mit einer serviceorientierten Architektur bereit. Dies ist besonders wichtig, wenn kritische Dienstleistungen innerhalb des Fahrzeugdatenkommunikationsnetzwerkes übertragen werden. Ein weiterer, mit dem vorliegenden erfindungsgemäßen Aspekt verknüpfter Vorteil besteht darin, dass er die Übernahme von Fahrzeugdatenkommunikationsnetzwerken mit einer serviceorientierten Architektur verbessert, indem er ein Mittel zum Sicherstellen, dass Datennachrichten rechtzeitig empfangen werden, bereitstellt.
  • Gemäß bestimmten Ausführungsformen kann die Anforderung auf die Dienstleistung, die in der ersten Datennachricht enthalten ist, eine Anforderung auf eine auszuführende Aktion umfassen, und das Verfahren kann das Ausgeben eines Steuersignals umfassen, das Anweisungen zum Ausführen der angeforderten Aktion in Abhängigkeit von der ersten Zeitdauer umfasst, die höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  • Vorteilhafterweise können angeforderte Aktionen nur ausgeführt werden, wenn bestimmt wird, dass die Anforderungsnachrichten korrekt empfangen wurden. Dadurch wird sichergestellt, dass sicherheitskritische Maßnahmen, beispielsweise das Wechseln von einem primären Rechensystem zu einem sekundären Rechensystem oder das Ändern des Bremsens oder der Geschwindigkeit des Fahrzeugs, nur dann durchgeführt werden, wenn sichergestellt ist, dass eine korrekte Anforderung erfolgt ist.
  • In bestimmten Ausführungsformen kann die erste Datennachricht eine Anforderung auf Daten umfassen. Die Daten können Fahrzeugsteuervorrichtungsdaten und/oder Fahrzeugsensordaten umfassen, und das Verfahren kann das Ausgeben eines Steuersignals an eine relevante Fahrzeugkomponente umfassen, wobei das Steuersignal Anweisungen zum Senden der angeforderten Daten an die zweite Steuervorrichtung in Abhängigkeit von der ersten Zeitspanne umfasst, die höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  • In bestimmten Ausführungsformen kann das Verfahren das Ausgeben eines Steuersignals umfassen, das Informationen umfasst, die anzeigen, dass ein Datenkommunikationsfehler aufgetreten ist, in Abhängigkeit davon, dass die erste Zeitspanne größer als die erste vorbestimmte Schwellenzeitspanne ist.
  • Gemäß bestimmten Ausführungsformen kann das Verfahren Folgendes umfassen: Bestimmen, ob eine dritte Datennachricht von der zweiten Steuervorrichtung innerhalb einer zweiten Zeitspanne, die höchstens einer zweiten vorbestimmten Schwellenzeitdauer entspricht, an der ersten Steuervorrichtung empfangen wird; und Ausgeben des Steuersignals, das ermöglicht, dass die angeforderte Dienstleistung ausgeführt wird, in Abhängigkeit davon, dass entweder die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht oder dass die zweite Zeitspanne höchstens der zweiten vorbestimmten Schwellenzeitdauer entspricht.
  • Vorteilhafterweise ermöglicht das Erfordernis, dass zwei von drei Anforderungsnachrichten korrekt empfangen werden müssen, das Auftreten kleinerer Fehler in dem Zeitablauf innerhalb des Systems, ohne dass unnötigerweise die Bereitstellung einer angeforderten Dienstleistung verhindert wird.
  • In bestimmten Ausführungsformen können die erste vorbestimmte Schwellenzeitspanne und die zweite vorbestimmte Schwellenzeitspanne äquivalent sein.
  • Gemäß bestimmten Ausführungsformen kann jede empfangene Datennachricht Informationen enthalten, die anzeigen, ob die empfangene Datennachricht die zweite oder die dritte Datennachricht betrifft, und das Verfahren kann Folgendes umfassen: Identifizieren, ob die empfangene Datennachricht die zweite oder die dritte Datennachricht betrifft, aus den Informationen, die anzeigen, ob die empfangene Datennachricht die zweite oder die dritte Datennachricht betrifft; und Bestimmen, ob die Datennachricht an der ersten Steuervorrichtung innerhalb einer Zeitspanne empfangen wird, die höchstens der ersten vorbestimmten Schwellenzeitspanne oder der zweiten vorbestimmten Schwellenzeitdauer entspricht, in Abhängigkeit von der identifizierten Datennachricht.
  • Vorteilhafterweise ermöglicht es das Identifizieren, ob eine empfangene Datennachricht einer zweiten oder einer dritten Datennachricht entspricht, der Steuervorrichtung zu bestimmen, ob die Datennachrichten in der richtigen Reihenfolge empfangen wurden. Dadurch kann die Steuervorrichtung Fehler erfassen, wie etwa, dass Nachrichten wiederholt werden, falsche Nachrichten in die Nachrichtensequenz eingefügt werden und falsche Datennachrichtsequenzen empfangen werden. In Abhängigkeit davon, dass ein solcher Fehler erfasst wird, kann die Steuervorrichtung Maßnahmen ergreifen, um die Ausführung der angeforderten Aktion zu verhindern, wodurch eine weitere Sicherheitsstufe innerhalb des Netzwerkes bereitgestellt wird.
  • In bestimmten Ausführungsformen kann das Verfahren das Senden einer Antwortnachricht von der ersten Steuervorrichtung an die zweite Steuervorrichtung beim Empfang jeder Datennachricht umfassen. Vorteilhafterweise stellt dies der zweiten Steuervorrichtung eine Bestätigung des Empfangs jeder Datennachricht durch die erste Steuervorrichtung bereit.
  • In bestimmten Ausführungsformen kann jede Datennachricht einen Verifikationsparameter umfassen, der in Abhängigkeit von mindestens einem Teil der Datennachricht erzeugt wird, und das Verfahren kann ein Ausgeben des Steuersignals umfassen, das ermöglicht, dass die angeforderte Dienstleistung durchgeführt wird, in Abhängigkeit davon, dass die Verifikationsparameter von den empfangenen Datennachrichten konsistent sind.
  • In bestimmten Ausführungsformen können die Verifikationsparameter, die konsistent sind, erfordern, dass die Verifikationsparameter auf eine Art und Weise übereinstimmen, die auf der Grundlage der zum Erzeugen jeder Sicherheitseigenschaft verwendeten Verfahren erwartet wird. In einigen Ausführungsformen kann dies erfordern, dass die Verifikationsparameter identisch sind.
  • Vorteilhafterweise ermöglicht es das Ermöglichen, dass die angeforderte Dienstleistung in Abhängigkeit davon ausgeführt wird, dass die Verifikationsparameter innerhalb der Datennachrichten konsistent sind, dass Fehler, wie etwa die Beschädigung von Datennachrichten, erfasst werden. Innerhalb des Datenkommunikationsnetzwerkes können Informationen innerhalb einer Nachricht verloren gehen und es ist möglich, dass eine falsche Anforderung empfangen werden kann. Im Fall von kritischen Anwendungen ist es entscheidend, dass die empfangenen Anforderungen korrekt sind. In einer Ausführungsform können die Verifikationsparameter sicherstellen, dass nachfolgende Nachrichten identische Anforderungen enthalten, wodurch sichergestellt wird, dass die Anforderung nicht verändert wurde.
  • Gemäß bestimmten Ausführungsformen kann jeder Verifikationsparameter ein Prüfwert sein, und das Verfahren kann Folgendes umfassen: Durchführen einer zyklischen Redundanzprüfung jedes Verifikationsparameters; und Bestimmen, ob die Verifikationsparameter zumindest teilweise in Abhängigkeit von einem Vergleich der zyklischen Redundanzprüfung jedes Verifikationsparameters konsistent sind.
  • In bestimmten Ausführungsformen kann das Verfahren das Ausgeben eines Steuersignals umfassen, das anzeigt, dass ein Datenkommunikationsfehler aufgetreten ist, in Abhängigkeit davon, dass die Verifikationsparameter der empfangenen Datennachrichten inkonsistent sind.
  • Gemäß bestimmten Ausführungsformen kann der Verifikationsparameter innerhalb eines Headers von mindestens einer empfangenen Datennachricht enthalten sein.
  • Gemäß einem weiteren erfindungsgemäßen Aspekt wird eine Steuervorrichtung für ein Datenkommunikationsnetzwerk mit einer serviceorientierten Architektur innerhalb eines Fahrzeugs bereitgestellt. Die Steuervorrichtung kann Folgendes umfassen: eine Eingabe, die in Verwendung konfiguriert ist, um eine erste Datennachricht zu empfangen, die eine Anforderung auf eine Dienstleistung von einer zweiten Steuervorrichtung und eine zweite Datennachricht umfasst; Zeitablaufmittel (z. B. eine Zeitmesservorrichtung), die in Verwendung angeordnet sind, um eine erste Zeitspanne zwischen dem Empfang der ersten Datennachricht und dem Empfang der zweiten Datennachricht zu messen; einen Prozessor, der in Verwendung konfiguriert ist, zu bestimmen, ob die erste Zeitspanne höchstens einer ersten vorbestimmten Schwellenzeitspanne entspricht; und einen Ausgang, der in Verwendung dazu konfiguriert ist, ein Steuersignal auszugeben, das ermöglicht, dass die angeforderte Dienstleistung durchgeführt wird, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  • In bestimmten Ausführungsformen kann die Anforderung auf die Dienstleistung, die in der ersten Datennachricht enthalten ist, eine Anforderung auf eine auszuführende Aktion umfassen, und die Ausgabe kann konfiguriert sein, um ein Steuersignal auszugeben, das Anweisungen zum Ausführen der angeforderten Aktion in Abhängigkeit von der ersten Zeitdauer umfasst, die höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  • Gemäß bestimmten Ausführungsformen kann die erste Datennachricht eine Datenanforderung umfassen, und die Daten können Fahrzeugsteuervorrichtungsdaten und/oder Fahrzeugsensordaten umfassen. Das Ausgangssignal kann in Verwendung konfiguriert sein, um ein Steuersignal an eine relevante Fahrzeugkomponente auszugeben, wobei das Steuersignal Anweisungen zum Senden der angeforderten Daten an die zweite Steuervorrichtung umfasst, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  • In bestimmten Ausführungsformen kann die Ausgabe in Verwendung konfiguriert sein, um ein Steuersignal auszugeben, das Informationen umfasst, die anzeigen, dass ein Datenkommunikationsfehler aufgetreten ist, in Abhängigkeit davon, dass die erste Zeitspanne größer als die erste vorbestimmte Schwellenzeitspanne ist.
  • In bestimmten Ausführungsformen kann der Prozessor in Verwendung konfiguriert sein, um zu bestimmen, ob eine dritte Datennachricht von der zweiten Steuervorrichtung innerhalb einer zweiten Zeitspanne, die höchstens einer zweiten vorbestimmten Schwellenzeitdauer entspricht, empfangen wird; und die Ausgabe kann in Verwendung konfiguriert sein, um das Steuersignal auszugeben, das ermöglicht, dass die angeforderte Dienstleistung ausgeführt wird, in Abhängigkeit davon, dass entweder die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht oder dass die zweite Zeitspanne höchstens der zweiten vorbestimmten Schwellenzeitdauer entspricht.
  • In bestimmten Ausführungsformen können die erste vorbestimmte Schwellenzeitspanne und die zweite vorbestimmte Schwellenzeitspanne äquivalent sein.
  • Gemäß bestimmten Ausführungsformen kann jede empfangene Datennachricht Informationen enthalten, die anzeigen, ob die empfangene Datennachricht die zweite oder die dritte Datennachricht betrifft, und der Prozessor kann in Verwendung konfiguriert sein, um zu identifizieren, ob die empfangene Datennachricht die zweite oder die dritte Datennachricht betrifft, durch die Informationen, die anzeigen, ob die empfangene Datennachricht die zweite oder die dritte Datennachricht betrifft; und um zu bestimmen, ob die Datennachricht innerhalb einer Zeitspanne empfangen wird, die höchstens der ersten vorbestimmten Schwellenzeitspanne oder der zweiten vorbestimmten Schwellenzeitdauer entspricht, in Abhängigkeit von der identifizierten Datennachricht.
  • In bestimmten Ausführungsformen kann die Ausgabe in Verwendung so konfiguriert sein, dass sie beim Empfang jeder Datennachricht eine Antwortnachricht an die zweite Steuervorrichtung sendet.
  • Gemäß bestimmten Ausführungsformen kann jede Datennachricht einen Verifikationsparameter umfassen, der in Abhängigkeit von mindestens einem Teil der Datennachricht erzeugt wird, und die Ausgabe kann in Verwendung konfiguriert sein, um das Steuersignal auszugeben, das ermöglicht, dass die angeforderte Dienstleistung durchgeführt wird, in Abhängigkeit davon, dass die Verifikationsparameter von den empfangenen Datennachrichten konsistent sind.
  • In bestimmten Ausführungsformen kann jeder Verifikationsparameter ein Prüfwert sein, und der Prozessor kann in Verwendung zu Folgendem konfiguriert sein: Durchführen einer zyklischen Redundanzprüfung jedes Verifikationsparameters; und Bestimmen, ob die Verifikationsparameter zumindest teilweise in Abhängigkeit von einem Vergleich der zyklischen Redundanzprüfung jedes Verifikationsparameters konsistent sind.
  • Gemäß bestimmten Ausführungsformen kann die Ausgabe in Verwendung konfiguriert sein, um ein Steuersignal auszugeben, das anzeigt, dass ein Datenkommunikationsfehler aufgetreten ist, in Abhängigkeit davon, dass die Verifikationsparameter der empfangenen Datennachrichten inkonsistent sind.
  • In bestimmten Ausführungsformen kann der Verifikationsparameter innerhalb eines Headers von mindestens einer empfangenen Datennachricht enthalten sein.
  • Dieser Aspekt der Erfindung und ihre Ausführungsformen profitieren von den gleichen Vorteilen, die in Bezug auf den vorherigen Aspekt und seine Ausführungsformen erwähnt wurden.
  • Gemäß noch einem weiteren erfindungsgemäßen Aspekt wird ein System bereitgestellt, umfassend die Steuervorrichtung des vorangehenden erfindungsgemäßen Aspekts und eine zweite Steuervorrichtung, wobei die zweite Steuervorrichtung eine Eingabe umfasst, die in Verwendung konfiguriert ist, um eine erste Antwortnachricht von einer ersten Steuervorrichtung zu empfangen, wobei die erste Antwortnachricht eine Antwort auf eine erste Anforderungsnachricht umfasst, die von der zweiten Steuervorrichtung gesendet wird; Zeitablaufmittel, die in Verwendung angeordnet sind, um eine Zeitspanne zwischen dem Senden der ersten Anforderungsnachricht und dem Empfang der ersten Antwortnachricht zu messen; einen Prozessor, der in Verwendung konfiguriert ist, um zu bestimmen, ob die Zeitspanne höchstens einer vorbestimmten Schwellenzeitspanne entspricht; und eine Ausgabe, die konfiguriert ist, um in Verwendung die erste Anforderungsnachricht auszugeben und um ein Steuersignal auszugeben, das Informationen umfasst, die anzeigen, dass ein Datenkommunikationsfehler aufgetreten ist, in Abhängigkeit davon, dass die Zeitspanne größer als die erste vorbestimmte Schwellenzeitspanne ist.
  • Vorteilhafterweise kann die zweite Steuervorrichtung verifizieren, dass die empfangenen Antwortnachrichten von der ersten Steuervorrichtung empfangen werden, wenn dies erwartet wird. Dadurch wird eine weitere Absicherung geschaffen, dass das Datenkommunikationsnetzwerk korrekt funktioniert. Darüber hinaus ermöglicht die zweite Steuervorrichtung, die eine Verifikation durchführt, dass der Ausfall eines Kommunikationskanals erfasst wird. Wenn an der ersten Steuervorrichtung keine erste Datennachricht empfangen wird, ist sich die erste Steuervorrichtung nicht bewusst, dass jemals eine Datennachricht gesendet wurde. Wenn die zweite Steuervorrichtung jedoch keine Antwortnachricht innerhalb der Schwellenzeitspanne empfängt, kann ein Ausfall des Kommunikationskanals erfasst werden.
  • Gemäß einem noch weiteren erfindungsgemäßen Aspekt wird eine Steuervorrichtung für ein Datenkommunikationsnetzwerk mit einer serviceorientierten Architektur innerhalb eines Fahrzeugs bereitgestellt. Die Steuervorrichtung umfasst Folgendes: eine Eingabe, die in Verwendung konfiguriert ist, um eine erste Antwortnachricht von einer zweiten Steuervorrichtung zu empfangen, wobei die erste Antwortnachricht eine Antwort auf eine erste Anforderungsnachricht umfasst, die von der Steuervorrichtung gesendet wird; Zeitablaufmittel, die in Verwendung angeordnet sind, um eine Zeitspanne zwischen dem Senden der ersten Anforderungsnachricht und dem Empfang der ersten Antwortnachricht zu messen; einen Prozessor; und eine Ausgabe. Der Prozessor kann in Verwendung zu Folgendem konfiguriert sein: Bestimmen, ob die Zeitspanne höchstens einer vorbestimmten Schwellenzeitspanne entspricht. Die Ausgabe kann in Verwendung zu Folgendem konfiguriert sein: Ausgeben der ersten Anforderungsnachricht; und Ausgeben eines Steuersignals, das Informationen umfasst, die anzeigen, dass ein Datenkommunikationsfehler aufgetreten ist, in Abhängigkeit davon, dass die Zeitspanne größer als die erste vorbestimmte Schwellenzeitspanne ist. Dieser erfindungsgemäße Aspekt profitiert von den gleichen Vorteilen wie bereits in Bezug auf die vorhergehenden erfindungsgemäßen Aspekte beschrieben wurde. Insbesondere stellt dieser erfindungsgemäße Aspekt eine weitere Absicherung bereit, um sicherzustellen, dass das Datenkommunikationsnetzwerk korrekt funktioniert. Gemäß diesem erfindungsgemäßen Aspekt sendet die Steuervorrichtung eine erste Anforderungsnachricht an die zweite Steuervorrichtung und wartet auf den Empfang einer Antwortnachricht von der zweiten Steuervorrichtung. Wenn keine erste Anforderungsnachricht an der zweiten Steuervorrichtung empfangen wird, ist sich die zweite Steuervorrichtung nicht bewusst, dass jemals eine Datennachricht gesendet wurde, und kann daher die Integrität des Kommunikationskanals nicht bestimmen. Wenn die Steuervorrichtung jedoch keine Antwortnachricht innerhalb der Schwellenzeitspanne empfängt, kann ein Ausfall des Kommunikationskanals erfasst werden.
  • Gemäß noch einem weiteren erfindungsgemäßen Aspekt wird ein Fahrzeug bereitgestellt, das zum Ausführen des Verfahrens der vorhergehenden erfindungsgemäßen Aspekte konfiguriert ist oder das die Steuervorrichtung der vorherigen erfindungsgemäßen Aspekte umfasst oder das System der vorherigen erfindungsgemäßen Aspekte umfasst.
  • Gemäß noch einem weiteren erfindungsgemäßen Aspekt wird ein Computerprogrammprodukt bereitgestellt, das Anweisungen umfasst, die, wenn sie auf einem Prozessor ausgeführt werden, den Prozessor konfigurieren, um das Verfahren des vorhergehenden erfindungsgemäßen Aspekts auszuführen.
  • Gemäß noch einem weiteren erfindungsgemäßen Aspekt wird ein computerlesbarer Datenträger bereitgestellt, auf dem Anweisungen zum Ausführen des Verfahrens nach einem der vorhergehenden erfindungsgemäßen Aspekte gespeichert sind.
  • Gemäß noch einem weiteren erfindungsgemäßen Aspekt wird ein nicht-transientes computerlesbares Medium bereitgestellt, auf dem Anweisungen zum Ausführen des Verfahrens nach einem der vorhergehenden erfindungsgemäßen Aspekte gespeichert sind.
  • In bestimmten Ausführungsformen können die Anweisungen Anweisungen umfassen, die, wenn sie auf einem Prozessor ausgeführt werden, den Prozessor zu Folgendem konfigurieren: Einleiten eines Zeitmessers an einer ersten Steuervorrichtung, die sich innerhalb des Datenkommunikationsnetzwerkes befindet, nach dem Empfang einer ersten Datennachricht, wobei die erste Datennachricht eine Anforderung auf eine Dienstleistung von einer zweiten Steuervorrichtung umfasst; Bestimmen, ob eine zweite Datennachricht von der zweiten Steuervorrichtung innerhalb einer ersten Zeitspanne, die höchstens einer ersten vorbestimmten Schwellenzeitspanne entspricht, an der ersten Steuervorrichtung empfangen wird, und Ausgeben eines Steuersignals, das ermöglicht, dass die angeforderte Dienstleistung in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht, bereitgestellt wird.
  • Innerhalb des Umfangs dieser Anmeldung wird ausdrücklich beabsichtigt, dass die verschiedenen Aspekte, Ausführungsformen, Beispiele und Alternativen, die in den vorhergehenden Absätzen, in den Patentansprüchen und/oder in der folgenden Beschreibung und den Zeichnungen dargestellt werden, und insbesondere deren individuellen Merkmale, unabhängig voneinander oder in einer beliebigen Kombination berücksichtigt werden können. Dies bedeutet, dass alle Ausführungsformen und/oder Merkmale einer beliebigen Ausführungsform auf beliebige Weise und/oder in beliebiger Kombination kombiniert werden können, sofern diese Merkmale nicht inkompatibel sind. Der Anmelder behält sich das Recht vor, jeden beliebigen ursprünglich eingereichten Patentanspruch zu ändern oder jeden beliebigen neuen Patentanspruch entsprechend einzureichen, einschließlich des Rechts, jeden beliebigen ursprünglich eingereichten Patentanspruch zu verändern, um von einem beliebigen Merkmal eines beliebigen anderen Patentanspruchs abzuhängen und/oder dieses zu integrieren, obwohl es auf diese Art und Weise zuvor nicht beansprucht wurde.
  • Figurenliste
    • 1, die bereits im Abschnitt zum Stand der Technik beschrieben wurde, ist eine schematische Darstellung eines beispielhaften Fahrzeugdatenkommunikationsnetzwerkes, das nach dem Stand der Technik bekannt ist. Eine oder mehrere erfindungsgemäße Ausführungsformen werden nun ausschließlich beispielhaft unter Bezugnahme auf die beiliegenden Zeichnungen beschrieben, hierbei zeigen:
    • 2 eine schematische Darstellung eines Datenkommunikationsnetzwerkes innerhalb eines Fahrzeugs, das eine serviceorientierte Architektur umfasst;
    • 3 eine schematische Darstellung einer Fahrzeugsteuervorrichtung, die innerhalb des Datenkommunikationsnetzwerkes von 2 enthalten ist;
    • 4a eine schematische Darstellung der Fahrzeugsteuervorrichtung von 2, die Datennachrichten von einer zweiten Fahrzeugsteuervorrichtung empfängt, die innerhalb des Datenkommunikationsnetzwerkes von 1 enthalten ist;
    • 4b eine schematische Darstellung einer begrenzten Kommunikationszeitspanne zwischen der Fahrzeugsteuervorrichtung von 2 und der zweiten Fahrzeugsteuervorrichtung;
    • 5 ein Flussdiagramm, das die Schritte skizziert, die von der Fahrzeugsteuervorrichtung von 2 während der begrenzten Kommunikationszeitspanne ausgeführt werden; und
    • 6 ein schematisches Diagramm eines Fahrzeugs, das das Datenkommunikationsnetzwerk von 2 umfasst.
  • AUSFÜHRLICHE BESCHREIBUNG
  • 2 ist eine schematische Darstellung eines Datenkommunikationsnetzwerkes 200 für ein Fahrzeug 600 (siehe 6), das eine serviceorientierte Architektur umfasst. Nur zur Veranschaulichung wird das Datenkommunikationsnetzwerk 200 gezeigt, umfassend: mehrere Fahrzeugsteuervorrichtungen , die als elektronische Steuereinheiten (ECU) 202, 204, 206, bezeichnet werden können, einen ersten Steuerknoten 208 und einen zweiten Steuerknoten 210. Die ECU 202, 204, 206 innerhalb des Datenkommunikationsnetzwerkes 200 können über Datenbusse 212, 214 betriebsfähig verbunden sein. Innerhalb des vorliegenden Zusammenhangs ist ein Datenbus ein Kommunikationskanal, der Komponenten innerhalb eines Fahrzeugs gemäß einem Busprotokoll wie CAN, Flexray oder Ethernet betriebsfähig verbindet. Nur zur Veranschaulichung wird das Automobilkommunikationsnetzwerk 100 als zwei Datenbusse 212, 214 umfassend gezeigt; es versteht sich jedoch, dass das Netzwerk 100 eine beliebige Anzahl von Datenbussen umfassen kann, die verschiedene Fahrzeugkomponenten verbinden.
  • Innerhalb einer serviceorientierten Architektur können an einer Steuervorrichtung 202, 204, 206 verfügbare Dienstleistungen anderen Steuervorrichtungen 202, 204, 206 innerhalb des Netzwerkes 200 angeboten werden. Wie in 2 gezeigt ist, kann eine erste ECU 202 eine Anforderung auf eine Dienstleistung von einer zweiten ECU 204 über den relevanten Datenbus 212 empfangen. Die erste ECU 202 kann als der Server 202 bezeichnet werden und die zweite ECU kann als der Client 204 bezeichnet werden. Eine Anforderungsnachricht 208 kann über den Datenbus 206 gesendet werden, der die ECU 202, 204 verbindet. Wenn der Server 202 die Anforderungsnachricht 208 vom Client 204 empfängt, kann die angeforderte Dienstleistung vom Server 202 ausgeführt werden. Eine Antwortnachricht 210 kann dann auch über den Datenbus 212 vom Server 202 an den Client 204 gesendet werden.
  • Die Anforderungsnachricht 208 kann eine Anforderung an den Server 202 umfassen, um beispielsweise eine Aktion auszuführen oder dem Client 204 Daten bereitzustellen. Die Anforderungsnachricht 208 kann als Remote Procedure Call (RPC) bezeichnet werden. In einer Ausführungsform kann die Antwortnachricht 210 die angeforderten Daten oder die Ergebnisse der angeforderten Aktion umfassen.
  • Um die an verschiedenen ECU 202, 204, 206 verfügbaren Dienstleistungen zu verwalten und die Dienstleistungen anderen ECU 202, 204, 206, die betriebsfähig mit verschiedenen Kommunikationskanälen verbunden sind, anzubieten, kann das Datenkommunikationsnetzwerk 200 einen ersten Steuerknoten 208, der betriebsfähig mit dem ersten Datenbus 212 verbunden ist, und einen zweiten Steuerknoten 210 umfassen, der betriebsfähig mit einem zweiten Datenbus 214 verbunden ist. Der erste Steuerknoten 212 und der zweite Steuerknoten 214 können über einen dritten Kommunikationskanal 216 verbunden sein. In einer Ausführungsform kann der dritte Kommunikationskanal 216 ein Hochgeschwindigkeitskommunikationskanal sein.
  • In einer Ausführungsform können der erste Steuerknoten 208 und der zweite Steuerknoten 210 Nachrichten von den ECU 202, 204, 206 empfangen, die mit ihren jeweiligen Datenbussen 212, 214 verbunden sind, und können bestimmen, welche Dienstleistungen von jeder ECU 202, 204, 206 angeboten werden können. Der erste Steuerknoten 208 kann eine Nachricht an den zweiten Steuerknoten 210 über den dritten Kommunikationskanal 216 senden, und Dienstleistungen anbieten, die von ECU 202, 204, die betriebsfähig mit dem ersten Datenbus 212 verbunden sind, für ECU 206, die betriebsfähig mit dem zweiten Datenbus 214 verbunden sind, verfügbar sind. Der zweite Steuerknoten 210 kann bestimmen, ob die mit dem zweiten Datenbus 214 betriebsfähig verbundenen ECU 206 die angekündigten Dienstleistungen benötigen. Auf diese Weise können, wenn eine Anforderung auf eine Dienstleistung 208 von einer ECU 202, 204, 206 gesendet wird, die Steuerknoten 208, 210 identifizieren, wo die Dienstleistung verfügbar sein kann, und die Anforderung 208 dann umleiten.
  • Die vom Client 204 gesendete Anforderung 208 kann ereignisbasiert sein. Mit anderen Worten kann die Anforderung 208 von dem Client 204 gesendet werden, wenn bestimmt wird, dass eine Dienstleistung von dem Client 204 benötigt wird. Der Server 202 erwartet daher nicht, dass eine Nachricht innerhalb einer bestimmten Zeitspanne empfangen wird, da unbekannt ist, wann das Ereignis, das die Anforderung 208 auslöst, auftreten kann. Eine einzelne Anforderung 208 und eine einzelne Antwort 210 treten als ein isoliertes Ereignis ohne Verbindung zu anderen Anforderungs- und Antwortkommunikationen auf.
  • In einer Ausführungsform kann der Client stattdessen so konfiguriert sein, dass er mehrere Anforderungsnachrichten 208 sendet, die als Burst („Salve“) von Nachrichten bezeichnet werden können, um eine Dienstleistung anzufordern. In einem Beispiel kann der Burst von Nachrichten drei Anforderungsnachrichten 208 umfassen, die in gleichen Zeitintervallen gesendet werden. Die drei Anforderungsnachrichten 208 können alle dieselbe Anforderung auf eine Dienstleistung umfassen. Auf diese Weise kann ein Protokoll eingerichtet werden, in dem eine begrenzte Anzahl von Anforderungen in festgelegten Zeitintervallen gesendet wird. Der Server 202 kann konfiguriert sein, um einen Zeitmesser oder eine Zeitmessvorrichtung beim Empfang einer ersten Anforderungsnachricht 208 einzuleiten und daher zu bestimmen, ob nachfolgende Anforderungsnachrichten 208, die innerhalb des Bursts enthalten sind, innerhalb bestimmter Zeitspannen empfangen werden. Dies wird in der folgenden Beschreibung ausführlicher beschrieben.
  • 3 ist eine schematische Darstellung der ersten Fahrzeugsteuervorrichtung 202 (auch als Server 202 bezeichnet), die innerhalb des Datenkommunikationsnetzwerkes 200 enthalten ist. Die erste Fahrzeugsteuervorrichtung 202 kann einen Prozessor 302, ein Zeitablaufmittel wie einen Zeitmesser 304, einen Speicher 306 und eine Eingabe/Ausgabe (I/O) 308 umfassen. Die Eingabe/Ausgabe 308 kann konfiguriert sein, um Anforderungsnachrichten 208 zu empfangen, die eine Anforderung auf eine Dienstleistung von der zweiten Fahrzeugsteuervorrichtung 204 (Client 204) oder einer anderen ECU 206 innerhalb des Datenkommunikationsnetzwerkes umfassen. In einer Ausführungsform kann die Eingabe/Ausgabe 308 konfiguriert sein, um beim Empfang der Anforderungsnachricht 208 eine Antwortnachricht 210 an die zweite Fahrzeugsteuervorrichtung 204 oder andere ECU 206 auszugeben.
  • Der Zeitmesser 304 kann konfiguriert sein, um die Zeitspanne zwischen dem Empfang einer Anforderung 208 und dem Empfang einer nachfolgenden Anforderung 208 zu messen. Der Prozessor 302 kann konfiguriert sein, um zu bestimmen, ob eine nachfolgende Anforderung 208 an der Eingabe/Ausgabe 308 innerhalb einer Schwellenzeitspanne empfangen wurde, d. h. dass die gemessene Zeitspanne höchstens der Schwellenzeitspanne entspricht. Die Eingabe/Ausgabe 308 kann konfiguriert sein, um ein Steuersignal auszugeben, das die Ausführung der angeforderten Dienstleistung ermöglicht, auf Grundlage darauf, ob mindestens eine nachfolgende Anforderung 208 innerhalb der Schwellenzeitspanne empfangen wird.
  • 4a ist eine schematische Darstellung der Datenkommunikation zwischen dem Server 202 (erste Fahrzeugsteuervorrichtung) und dem Client 204 (zweite Fahrzeugsteuervorrichtung) innerhalb des Datenkommunikationsnetzwerkes 200 in einer erfindungsgemäßen Ausführungsform.
  • Eine erste Anforderung 408 wird von dem Client 204 an den Server 202 gesendet. Die erste Anforderung 408 kann bei einem Ereignis 406 gesendet werden, das an dem Client 204 auftritt. In einem Beispiel kann das Ereignis 406 der Empfang eines Steuersignals von einem Aktuator sein, der betriebsfähig mit dem Client 204 verbunden ist.
  • Die erste Anforderung 408 kann eine Datennachricht sein, die eine Anforderung an den Server 202 umfasst, um eine Aktion auszuführen, beispielsweise um eine Berechnung auszuführen oder die Geschwindigkeit des Fahrzeugs zu erhöhen. In einer Ausführungsform kann die erste Anforderung 408 eine Anforderung von Daten vom Server 202 umfassen, wie etwa Sensordaten, die dem Server 202 verfügbar sind, oder Daten, die den Server 202 betreffen.
  • Die erste Anforderung 408 wird an dem Server 202 empfangen und ein Zeitmesser 304 wird an dem Server 202 beim Empfang dieser ersten Anforderung 408 eingeleitet. Der Server 202 kann nun eine weitere Anforderung innerhalb einer Schwellenzeitspanne Δt des Empfangens der ersten Anforderung 408 antizipieren.
  • Eine zweite Anforderung 410 wird von dem Client 204 an den Server 202 gesendet. In einer Ausführungsform kann die zweite Anforderung 410 zu einer Zeit von Δt gesendet werden, nachdem die erste Anforderung 408 gesendet wurde. Die zweite Anforderung 410 kann eine Anforderung auf eine identische Dienstleistung zu der ersten Anforderung 408 umfassen. Die zweite Anforderung 410 wird von dem Server 202 empfangen und der Server 202 bestimmt, ob die zweite Anforderung 410 innerhalb der Schwellenzeitspanne Δt nach der ersten Anforderung 408 empfangen wurde. Das Implementieren dieser Zeitüberschreitungsfunktionalität ermöglicht es, dass der Server 202 bestimmt, ob es eine Verzögerung darin gibt, dass die zweite Anforderung 410 den Server 202 erreicht, oder bestimmt, ob die zweite Anforderung 410 verloren gegangen ist.
  • Wenn der Server 202 feststellt, dass die zweite Anforderung 410 innerhalb der Schwellenzeitspanne Δt empfangen wurde, kann der Server 202 dann darauf schließen, dass das Datenkommunikationsnetzwerk 200 korrekt funktioniert, und ein Steuersignal ausgeben, das ermöglicht, dass die von dem Client 204 angeforderte Dienstleistung durchgeführt wird. Beispielsweise kann das Steuersignal Anweisungen für einen Aktuator umfassen, der betriebsfähig mit dem Server 202 verbunden ist, um eine Aktion auszuführen, oder es kann Anweisungen für den Prozessor 302 umfassen, um eine Berechnung durchzuführen.
  • Wenn der Server 202 jedoch bestimmt, dass die zweite Anforderung 410 nicht innerhalb der Schwellenzeitspanne Δt empfangen wurde, kann der Server 202 bestimmen, dass ein Fehler innerhalb des Kommunikationsnetzwerkes 200 aufgetreten ist. In einer Ausführungsform kann der Server 202 ein Steuersignal ausgeben, das verhindert, dass die angeforderte Dienstleistung ausgeführt wird. Der Server 202 kann auch ein Signal ausgeben, das den Client 204 informiert, dass die angeforderte Dienstleistung nicht ausgeführt wurde.
  • Damit der Server 202 bestimmen kann, dass das Kommunikationsnetzwerk 200 korrekt funktioniert, werden, wie oben beschrieben, mindestens zwei Anforderungsnachrichten 408, 410 von dem Client 204 an den Server 202 gesendet. Es kann jedoch eine größere Anzahl von Anforderungsnachrichten 408, 410 gesendet werden, wie durch das Beispiel von 4b veranschaulicht wird.
  • 4b ist eine schematische Darstellung der Datenkommunikation zwischen dem Server 202 und dem Client 204 gemäß einer Ausführungsform.
  • In 4b sind drei Anforderungen 412, 416, 420 gezeigt, die von dem Client 204 an den Server 202 gesendet werden. Die Anforderungen 412, 416, 420 können in vorbestimmten eingestellten Intervallen von dem Client 204 gesendet werden. Wie im Fall von 4a leitet der Server 202 beim Empfang der ersten Anforderung 412 einen Zeitmesser 304 ein. Der Server 202 erwartet das Empfangen der zweiten Anforderung 416 innerhalb einer ersten vorbestimmten Schwellenzeitspanne Δt1 . Der Server 202 erwartet dann das Empfangen einer dritten Anforderung 420 innerhalb einer zweiten vorbestimmten Schwellenzeitspanne Δt2 .
  • In einer Ausführungsform können die erste und die zweite vorbestimmte Schwellenzeitspanne äquivalent sein. Der Zeitablauf kann so implementiert werden, dass ein einzelner Zeitmesser beim Empfang der ersten Anforderung 412 eingeleitet wird und dass der Server 202 abfragt, ob die nachfolgenden Anforderungen 416, 420 mit ganzzahligen Vielfachen von Δt empfangen wurden.
  • Durch das Einschließen von drei Nachrichten kann das Kommunikationsprotokoll das berücksichtigen, was als geringfügige Fehler bestimmt wird, wie etwa, wenn eine der Anforderungsnachrichten 412, 416, 420 nicht erwartungsgemäß empfangen wird, während weiterhin bestimmt wird, dass das Netzwerk korrekt funktioniert, damit eine angeforderte Dienstleistung ausgeführt werden kann. Innerhalb des Kommunikationsprotokolls kann es eine beliebige Mindestanzahl von erforderlichen empfangenen Anforderungsnachrichten 412, 416, 420 geben.
  • Zusätzlich sendet der Server 202 beim Empfang jeder Anforderungsnachricht eine Antwortnachricht 414, 418, 422 an den Client 204. Dies stellt dem Client 204 die Informationen bereit, dass jede Anforderungsnachricht auf dem Server 202 empfangen wurde, und kann es dem Client 204 auch ermöglichen, auf der Clientseite zu verifizieren, dass das Datenkommunikationsnetzwerk 200 erwartungsgemäß funktioniert. Dies wird in der folgenden Beschreibung ausführlicher beschrieben.
  • 4b zeigt einen Burst von Kommunikationen zwischen dem Client 204 und dem Server 202. Innerhalb der Kommunikationssequenz kann eine beliebige vorbestimmte Anzahl von Anforderungen gesendet werden, wobei sich sowohl der Client 204 als auch der Server 202 dieser Anzahl von Anforderungsnachrichten bewusst sind. Daher wird ein Kommunikationsprotokoll eingerichtet, das den ECU 202, 204, 206 innerhalb des Datenkommunikationsnetzwerkes 200 gemeinsam ist.
  • In einer Ausführungsform können die Anforderungsnachrichten 412, 416, 420 weitere Informationen umfassen, die es dem Server 202 ermöglichen, zu bestimmen, ob die empfangenen Anforderungsnachrichten 412, 416, 420 die richtigen Informationen enthalten.
  • In einer Ausführungsform kann jede Anforderung 412, 416, 420 einen Verifikationsparameter umfassen. Der Verifikationsparameter kann in Abhängigkeit von mindestens einem Teil der Informationen erzeugt werden, die innerhalb der jeweiligen Anforderungsnachricht enthalten sind. Beim Erhalt der zweiten oder der dritten Anforderung 416, 420 kann der Prozessor 302 des Servers 202 bestimmen, ob die mit jeder Anforderung 416, 420 verknüpften Verifikationsparameter mit dem mit der ersten Anforderung 412 verknüpften Verifikationsparameter konsistent sind.
  • Die Verwendung eines Verifikationsparameters kann es dem Server 402 ermöglichen, zu bestimmen, ob die Anforderungsnachrichten 412, 416, 420 beschädigt wurden. Beispielsweise können einige Daten innerhalb der Anforderung 412, 416, 420 während der Übertragung verloren gegangen sein. Die Integrität der Anforderung 412, 416, 420 kann daher verifiziert werden, bevor die angeforderte Dienstleistung unter Verwendung von Verifikationsparametern ausgeführt wird.
  • In einer Ausführungsform kann der Verifikationsparameter ein Überprüfungswert sein. Der Server 202 kann eine zyklische Redundanzprüfung (Cyclic Redundancy Check - CRC) für den Prüfwert durchführen, um die Integrität einer empfangenen Anforderungsnachricht 412, 416, 420 zu bestimmen. Der Prüfwert kann basierend auf dem Rest einer Polynomdivision von mindestens einem Teil der Anforderungsnachricht 412, 416, 420 berechnet werden. Die CRC kann das Bestimmen umfassen, ob die Prüfwerte für die empfangenen Anforderungsnachrichten 412, 416, 420 übereinstimmen. Wenn festgestellt wird, dass die Prüfwerte übereinstimmen, kann bestimmt werden, dass die Daten innerhalb der Anforderungsnachrichten 412, 416, 420 nicht beschädigt wurden.
  • In einer Ausführungsform kann jede Anforderungsnachricht 412, 416, 420 Informationen umfassen, die es dem Server 202 ermöglichen, zu bestimmen, ob die Anforderungsnachricht 412, 416, 420 eine zweite oder eine dritte Anforderungsnachricht 416, 420 der Sequenz ist. Auf diese Weise kann der Server 202 in der Lage sein, Fehler in dem Kommunikationsnetzwerk zu erfassen, die die Wiederholung von Anforderungen 412, 416, 420, das Einfügen von Anforderungen 412, 416, 420 oder eine falsche Sequenz von Anforderungen 412, 416, 420 beinhalten.
  • Dies kann über jede Anforderungsnachricht 412, 416, 420, die einen Sequenzzähler umfasst, implementiert werden. Bevor jede Nachricht 412, 416, 420 von dem Client 204 gesendet wird, kann der mit dem Sequenzzähler verknüpfte Wert erhöht werden. Beim Empfang einer Anforderung 412, 416, 420 kann der Server 202 bestimmen, ob der Wert des Sequenzzählers wie erwartet ist. Als veranschaulichendes Beispiel kann die erste Anforderung 412 einen Sequenzzähler aufweisen, der einen Wert von 1 zeigt, und der Server 202 kann erwarten, dass die zweite Anforderung 416 einen Sequenzzähler aufweist, der einen Wert von 2 zeigt.
  • In einer Ausführungsform können der Verifikationsparameter und/oder der Sequenzzähler innerhalb eines Headers der Anforderungsnachricht 408, 410 enthalten sein. Die oben beschriebenen Überprüfungen können gemäß einer durchgehenden (E2E) Absicherung durchgeführt werden, wie es innerhalb des AUTOSAR-Protokolls definiert ist.
  • 5 ist ein Flussdiagramm, das ein Verfahren umreißt, das von dem Server 202 gemäß der Ausführungsform von 4b ausgeführt werden kann.
  • In Schritt 502 empfängt der Server 202 eine erste Anforderung 412, und beim Empfang dieser Anforderung in Schritt 504 leitet der Server 202 einen Zeitmesser 304 ein und setzt einen Bestätigungszähler auf Null. Wie oben erläutert, erwartet der Server 202 nun, eine festgelegte Anzahl von nachfolgenden Anforderungen jeweils innerhalb einer vorbestimmten Schwellenzeitspanne zu empfangen. Der Bestätigungszähler kann von dem Server 202 verwendet werden, um eine Aufzeichnung der Anzahl korrekter Anforderungen zu führen, sodass diese Informationen später verwendet werden können, um zu bestimmen, ob eine angeforderte Dienstleistung ausgeführt werden sollte.
  • Der Server 202 sendet in Schritt 506 eine erste Antwort 414 und wartet ab dem Empfang der ersten Anforderung 412 in Schritt 508 für eine vorbestimmte Schwellenzeitspanne von Δt1 .
  • In Schritt 510 fragt der Server 202 ab, ob während der Zeitspanne Δt1 eine zweite Anforderung 416 empfangen wurde. Wenn bestimmt wird, dass eine zweite Anforderung 416 empfangen wurde, geht der Vorgang zu Schritt 512 weiter, an dem abgefragt wird, ob die zweite Anforderung 416 korrekt ist.
  • Wie oben erläutert, kann sich die zweite Anforderung 416, die korrekt ist, auf einen Verifikationsparameter beziehen, der mit dem Verifikationsparameter, der der ersten Anforderung 412 zugeordnet ist, konsistent ist, wobei der Sequenzzähler einen erwarteten Wert anzeigt oder einen Vergleich mit einem positiven Ergebnis von beliebigen anderen Informationen ausführt, die mit der ersten Anforderung 412 und der zweiten Anforderung 416 verknüpft sind.
  • Wenn bestimmt wird, dass die zweite Anforderung 416 korrekt ist, erhöht der Server 202 in Schritt 514 den Wert des Bestätigungszählers um eins. In Schritt 516 sendet der Server 202 eine zweite Antwort 418 an den Client 204.
  • Wenn in Schritt 510 bestimmt wird, dass die zweite Anforderung 416 nicht innerhalb der Schwellenzeitspanne Δt1 empfangen wurde, geht der Server 202 direkt zu Schritt 516 über und sendet die zweite Antwort 418.
  • Der Server 202 wartet für eine zweite vorgegebene Schwellenzeitperiode Δt2 in Schritt 518 und fragt in Schritt 520 ab, ob eine dritte Anforderung 420 innerhalb der zweiten vorbestimmten Schwellenzeitperiode Δt2 empfangen wurde. Wenn die dritte Anforderung 420 empfangen wurde, geht der Vorgang zu Schritt 522 weiter, bei dem abgefragt wird, ob die dritte Anforderung 420 korrekt ist. Wenn die dritte Anforderung 420 korrekt ist, erhöht der Server 202 den Bestätigungszähler in Schritt 524 um eins und sendet in Schritt 526 eine dritte Antwort 422 an den Client 204.
  • Ähnlich wie bei der zweiten Anforderung 416, wenn in Schritt 520 bestimmt wird, dass die dritte Anforderung 420 nicht innerhalb der zweiten vorbestimmten Schwellenzeitspanne Δt2 empfangen wurde, geht der Prozess direkt zu Schritt 526 weiter und der Server 202 sendet die dritte Antwort 422 an den Client 204.
  • In Schritt 528 wird bestimmt, ob der Bestätigungszähler einen Wert von höchstens eins aufweist, was bedeutet, dass die zweite Anforderung 416 oder die dritte Anforderung 420 innerhalb der erwarteten Zeitspanne empfangen wurde und als korrekt bestimmt wurde. Wenn der Zählerwert mindestens eins ist, geht der Vorgang zu Schritt 530 weiter, bei dem der Server 202 ein Steuersignal ausgibt, das ermöglicht, dass die angeforderte Aktion durchgeführt wird.
  • Der Server 202 führt daher eine angeforderte Aktion nicht aus, bis verifiziert wurde, dass die Anforderung der Aktion über ein funktionierendes Kommunikationsnetz 200 erfolgt ist.
  • Wenn der Zähler stattdessen einen Wert von weniger als eins aufweist, geht der Vorgang zu Schritt 532 weiter, bei dem der Server 202 ausgibt, dass ein Fehler erfasst wurde. Bei einer Ausführungsform kann der Server 202 beim Erfassen eines Fehlers vorübergehend die Kommunikation mit dem Client 204 verhindern. In einer Ausführungsform kann der Server 202 ein Steuersignal ausgeben, das verhindert, dass die angeforderte Aktion ausgeführt wird.
  • In einer Ausführungsform kann die Verifikation, dass das Datenkommunikationsnetzwerk 200 korrekt funktioniert, von dem Client 204 ausgeführt werden. Dies kann zusätzlich zu dem oben beschriebenen von dem Server 202 ausgeführten Verfahren durchgeführt werden. Der Client 204 kann die gleichen Funktionskomponenten wie der Server 202 aufweisen, wie in Bezug auf 3 beschrieben. Der Client 204 kann nämlich einen Prozessor 302, einen Zeitmesser 304, einen Speicher 306 und eine Eingabe/Ausgabe 308 umfassen.
  • Der Client 204 kann beim Senden der ersten Anforderung 412 einen Zeitmesser einleiten und das Empfangen einer ersten Antwort 414 innerhalb einer vorbestimmten Schwellenzeitspanne erwarten. Auf diese Weise kann der Client 204 einen Informationsverlust innerhalb des Netzwerkes erfassen. Ferner kann der Client 204 erfassen, ob ein Zugriff auf den Kommunikationskanal blockiert ist.
  • In Bezug auf 4b kann der Client beim Senden der ersten Anforderung 412 ein Zeitablaufmittel (wie etwa einen Zeitmesser) einleiten. Der Client 204 kann dann bestimmen, ob die erste Antwort 414 innerhalb einer vorbestimmten Schwellenzeit Δt1 des Sendens der ersten Anforderung 412 empfangen wird. Nachdem die Bestimmung ausgeführt wurde, kann der Client 204 dann eine zweite Anforderung 416 senden. Auf diese Weise funktioniert der Client in einer dem Server 202 entsprechenden Weise.
  • Der Client 204 kann zusätzlich die gleichen Verifikationsprüfungen durchführen, wie sie oben in Bezug auf den Server 202 beschrieben wurden, anstelle die Verifikation darauf zu basieren, ob eine korrekte Antwort 414, 418, 422 empfangen wird. Der Client 204 kann daher auch Prüfungen durchführen, die die Konsistenz der Verifikationsparameter und die Sequenz der empfangenen Antworten 414, 418, 422 beinhalten.
  • 6 ist eine schematische Darstellung eines Fahrzeugs 600, wobei das Fahrzeug 600 das Fahrzeugdatenkommunikationsnetzwerk 200 einschließlich der hierin beschriebenen Steuervorrichtung 202 umfasst.
  • An den vorgenannten Beispielen können zahlreiche Veränderungen vorgenommen werden, ohne von dem in den beigefügten Patentansprüchen definierten Umfang der vorliegenden Erfindung abzuweichen.

Claims (10)

  1. Datenkommunikationsverfahren für ein Datenkommunikationsnetzwerk (200) innerhalb eines Fahrzeugs (600), wobei das Datenkommunikationsnetzwerk (200) eine serviceorientierte Architektur umfasst, wobei das Verfahren Folgendes umfasst: Einleiten eines Zeitablaufmittels (304) an einer ersten Steuereinrichtung (202), die sich innerhalb des Datenkommunikationsnetzwerkes befindet, beim Empfang einer ersten Datennachricht (408, 412), wobei die erste Datennachricht (408, 412) eine Anforderung auf eine Dienstleistung von einer zweiten Steuervorrichtung (204) umfasst; Bestimmen, ob eine zweite Datennachricht (410, 416) von der zweiten Steuervorrichtung (204) an der ersten Steuervorrichtung (202) innerhalb einer ersten Zeitspanne empfangen wird, die höchstens einer ersten vorbestimmten Schwellenzeitspanne entspricht; Ausgeben eines Steuersignals, das ermöglicht, dass die Dienstleistung ausgeführt wird, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  2. Verfahren nach Anspruch 1, wobei die in der ersten Datennachricht (408, 412) enthaltene Anforderung auf die Dienstleistung eine Anforderung auf eine durchführende Aktion umfasst und das Verfahren Folgendes umfasst: Ausgeben eines Steuersignals, das Anweisungen zum Durchführen der angeforderten Aktion umfasst, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  3. Verfahren nach Anspruch 1, wobei die erste Datennachricht (408, 412) eine Datenanforderung umfasst, wobei die Daten Fahrzeugsteuervorrichtungsdaten und/oder Fahrzeugsensordaten umfassen und das Verfahren Folgendes umfasst: Ausgeben eines Steuersignals an eine relevante Fahrzeugkomponente, wobei das Steuersignal Anweisungen zum Senden der angeforderten Daten an die zweite Steuervorrichtung (204) umfasst, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Verfahren Folgendes umfasst: Ausgeben eines Steuersignals, Informationen umfassend, die anzeigen, dass ein Datenkommunikationsfehler aufgetreten ist, in Abhängigkeit davon, dass die erste Zeitspanne größer als die erste vorbestimmte Schwellenzeitspanne ist.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Verfahren Folgendes umfasst: Bestimmen, ob eine dritte Datennachricht (420) von der zweiten Steuervorrichtung (204) an der ersten Steuervorrichtung (202) innerhalb einer zweiten Zeitspanne empfangen wird, die höchstens einer zweiten vorbestimmten Schwellenzeitspanne entspricht; und Ausgeben des Steuersignals, das ermöglicht, dass die angeforderte Dienstleistung durchgeführt wird, in Abhängigkeit davon, dass entweder die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht oder die zweite Zeitspanne höchstens der zweiten vorbestimmten Schwellenzeitspanne entspricht; optional wobei die erste vorbestimmte Schwellenzeitspanne und die zweite vorbestimmte Schwellenzeitspanne äquivalent sind.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verfahren das Senden einer Antwortnachricht von der ersten Steuervorrichtung (202) an die zweite Steuervorrichtung (204) beim Empfang jeder Datennachricht umfasst.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei jede Datennachricht einen Verifikationsparameter umfasst, optional einen zyklischen Redundanzprüfwert, der in Abhängigkeit von mindestens einem Teil der Datennachricht erzeugt wird, und wobei das Verfahren Folgendes umfasst: Ausgeben des Steuersignals, das ermöglicht, dass die angeforderte Dienstleistung durchgeführt wird, in Abhängigkeit davon, dass die Verifikationsparameter der empfangenen Datennachricht (412, 416, 420) konsistent sind.
  8. Steuervorrichtung für ein Datenkommunikationsnetzwerk mit einer serviceorientierten Architektur innerhalb eines Fahrzeugs, Folgendes umfassend: einen Eingang, der dazu konfiguriert ist, um eine erste Datennachricht (408, 412) zu empfangen, die eine Anforderung auf eine Dienstleistung von einer zweiten Steuervorrichtung (204) umfasst, und um eine zweite Datennachricht (410, 416) zu empfangen; Zeitablaufmittel (304), die in Verwendung zum Messen einer ersten Zeitspanne zwischen dem Empfang der ersten Datennachricht (408, 412) und dem Empfang der zweiten Datennachricht (410, 416) angeordnet sind; einen Prozessor, der in Verwendung konfiguriert ist, um zu bestimmen, ob die erste Zeitspanne höchstens einer ersten vorbestimmten Schwellenzeitspanne entspricht; und eine Ausgabe, die so in Verwendung konfiguriert ist, dass sie ein Steuersignal ausgibt, das ermöglicht, dass die angeforderte Dienstleistung durchgeführt wird, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorgegebenen Schwellenzeitspanne entspricht.
  9. Steuervorrichtung nach Anspruch 8, wobei die Anforderung auf die Dienstleistung, die in der ersten Datennachricht (408, 412) enthalten ist, eine Anforderung auf eine auszuführende Aktion umfasst, und wobei die Ausgabe in Verwendung konfiguriert ist, um ein Steuersignal auszugeben, das Anweisungen zum Durchführen der angeforderten Aktion umfasst, in Abhängigkeit davon, dass die erste Zeitspanne höchstens der ersten vorbestimmten Schwellenzeitspanne entspricht.
  10. Fahrzeug (600), das konfiguriert ist, um das Verfahren nach einem der Ansprüche 1 bis 7 auszuführen, oder das die Steuervorrichtung nach Anspruch 8 oder Anspruch 9 umfasst.
DE102019200994.8A 2018-01-30 2019-01-28 Ein datenkommunikationsverfahren für ein fahrzeug Pending DE102019200994A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GBGB1801488.6 2018-01-30
GB1801488.6A GB2570650B (en) 2018-01-30 2018-01-30 A data communication method for a vehicle

Publications (1)

Publication Number Publication Date
DE102019200994A1 true DE102019200994A1 (de) 2019-08-01

Family

ID=61558065

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019200994.8A Pending DE102019200994A1 (de) 2018-01-30 2019-01-28 Ein datenkommunikationsverfahren für ein fahrzeug

Country Status (3)

Country Link
US (1) US20190232969A1 (de)
DE (1) DE102019200994A1 (de)
GB (1) GB2570650B (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102696539B1 (ko) * 2019-08-21 2024-08-21 현대자동차주식회사 클라이언트 전자 장치, 차량 및 그 제어 방법
CN115776643A (zh) * 2021-09-06 2023-03-10 上海海拉电子有限公司 一种车辆控制器时间校准方法
CN114706372A (zh) * 2022-04-18 2022-07-05 中国第一汽车股份有限公司 一种测试方法、装置、设备及存储介质
CN115110866B (zh) * 2022-07-30 2023-09-15 重庆长安汽车股份有限公司 一种车辆防夹手控制方法、系统、设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
KR101748272B1 (ko) * 2015-12-10 2017-06-27 현대자동차주식회사 차량에서의 대용량 진단 통신 제어 방법 및 장치

Also Published As

Publication number Publication date
US20190232969A1 (en) 2019-08-01
GB2570650B (en) 2020-07-29
GB2570650A (en) 2019-08-07
GB201801488D0 (en) 2018-03-14

Similar Documents

Publication Publication Date Title
DE102019200994A1 (de) Ein datenkommunikationsverfahren für ein fahrzeug
EP2040957B1 (de) Verfahren und vorrichtung zur plausibilitätskontrolle von messwerten im kraftfahrzeugumfeld
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
DE102005061392A1 (de) Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem
DE10030987A1 (de) Verfahren zur Initialisierung eines Systems zur Steuerung/Regelung der Betriebsabläufe eines Kraftfahrzeugs und ein solches System
DE112013006757T5 (de) Datenverarbeitungsvorrichtung und Kommunikationssystem
EP3777054B1 (de) Verfahren zum betreiben eines ethernet-bordnetzes eines kraftfahrzeugs, steuereinheit und ethernet-bordnetz
WO2016012387A1 (de) Vorrichtung und verfahren zur fehler- und angriffserkennung für ein kraftfahrzeug
WO2008095518A1 (de) Anwendung einer verteilten diagnosearchitektur in autosar
DE10065117A1 (de) Verfahren und Kommunikationssystem zum Austausch von Daten zwischen mindestens zwei Teilnehmern über ein Bussystem
EP4260524A1 (de) Verfahren zur optimierung der übertragungsdatenrate in einem sensornetzwerk im teilnetzbetrieb in einem ethernetnetzwerk
DE102010028485B4 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
DE112016006679T5 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
EP1384122B1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
WO2021032256A1 (de) Verfahren zur positionserkennung eines busteilnehmers
DE102017204212A1 (de) Verfahren und Vorrichtung zum Verwalten von Applikationen für Fahrzeuge
EP2338248B1 (de) Verfahren zum betreiben eines kommunikationssystems mit mehreren knoten und kommunikationssystem dafür
EP1289190B1 (de) Automatisierte Buskonfiguration
DE102020201859A1 (de) Elektronische Client-Einrichtung, ein Fahrzeug und ein Verfahren zur Steuerung desselben
DE102009000581A1 (de) Synchronisierung zweier Kommunikationsnetzwerke eines elektronischen Datenverarbeitungssystems
DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
DE102023207345B3 (de) Verfahren und Konfigurationssystem zur Konfiguration eines Bordkommunikationsnetzwerkes
EP4268438A1 (de) Verfahren zur bestimmung von komponenten eines sensornetzwerkes innerhalb eines ethernet-bordnetzwerks in einem kraftfahrzeug

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: BARDEHLE PAGENBERG PARTNERSCHAFT MBB PATENTANW, DE

R163 Identified publications notified