DE102019202527A1 - Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems - Google Patents

Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems Download PDF

Info

Publication number
DE102019202527A1
DE102019202527A1 DE102019202527.7A DE102019202527A DE102019202527A1 DE 102019202527 A1 DE102019202527 A1 DE 102019202527A1 DE 102019202527 A DE102019202527 A DE 102019202527A DE 102019202527 A1 DE102019202527 A1 DE 102019202527A1
Authority
DE
Germany
Prior art keywords
information
channels
data
security system
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019202527.7A
Other languages
English (en)
Inventor
Felix Hess
Hans-Leo Ross
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019202527.7A priority Critical patent/DE102019202527A1/de
Priority to EP20704505.5A priority patent/EP3931060A1/de
Priority to US17/414,566 priority patent/US20220009353A1/en
Priority to PCT/EP2020/053092 priority patent/WO2020173682A1/de
Priority to CN202080016551.0A priority patent/CN113474230A/zh
Priority to JP2021549495A priority patent/JP7206410B2/ja
Publication of DE102019202527A1 publication Critical patent/DE102019202527A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0038Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to sensors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0084Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to control modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L2260/00Operating Modes
    • B60L2260/20Drive modes; Transition between modes
    • B60L2260/32Auto pilot mode

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Power Engineering (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Alarm Systems (AREA)
  • Selective Calling Equipment (AREA)
  • Traffic Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)

Abstract

Verfahren zum Betreiben eines Sicherheitssystems (100), aufweisend die Schritte:- Zuführen von Daten (D) an wenigstens zwei Kanäle;- Generieren von Informationen (I...I) aus den Daten (D) in den wenigstens zwei Kanälen;- Generieren eines Prüfschlüssels (S1...Sn) aus den Informationen (I) in den wenigstens zwei Kanälen;- Zuführen der Informationen (I...I) und der Prüfschlüssel (S1...Sn) der beiden Kanäle an eine Prüfeinrichtung (30); und- Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel (S1... Sn).

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitssystems. Die Erfindung betrifft ferner ein Sicherheitssystem. Die Erfindung betrifft ferner eine Verwendung eines Sicherheitssystems. Die Erfindung betrifft ferner ein Computerprogrammprodukt.
  • Stand der Technik
  • Moderne Sicherheitssysteme, insbesondere für Automatisierungssysteme von mobilen und insbesondere automobilen Anwendungen erfordern echtzeitfähige, redundante Datenströme. Neben der Auswertung von Videodaten werden 3D-Modelle kontinuierlich zeitsynchron durch komplexe Sensoren, wie zum Beispiel LiDAR-, Radarsensoren, usw. mit der realen Umgebung abgeglichen. Ein Zeitverzug von ca. 100ms bedeutet bei einer Geschwindigkeit von ca. 100 km/h über 3m Abweichung im Modell von der Realität. Dies bedeutet mehr als eine Straßenbreite und kann in einer Kurve bereits eine Kollision mit dem Gegenverkehr verursachen.
  • Um Elektronikfehler zu entdecken und auch um diese Fehler zu beherrschen, zu korrigieren oder das Umschalten auf redundante Funktionen sicherzustellen, müssen die genannten Datenströme synchronisiert werden, damit ein rechtzeitiger Vergleich in den Datenströmen stattfinden kann.
  • Bei einer konventionellen Synchronisierung wird ein Datenstrom angehalten und erst, wenn sich der zweite Datenstrom auf demselben Synchronisierungspunkt befindet, können die Daten verglichen werden.
  • Dies kann nachteilig zu einer erheblichen Reduzierung von Geschwindigkeit führen, mit der diese Daten verarbeitet werden.
  • Weiterhin gibt es erhebliche Anforderungen an Performance, wenn in kurzer Zeit sehr große Datenmengen miteinander verglichen werden sollen, wobei auch der Vergleich selbst erhebliche Zeit in Anspruch nimmt, die die Leistungsfähigkeit des Gesamtsystems beträchtlich reduzieren kann.
  • Im Allgemeinen ist eine Funktion auch eine Kette von verschiedenartigen Teilfunktionen, die Zwischenergebnisse produzieren, die dann die Basis für eine weitere Verarbeitung bilden. Liegen die Zwischenergebnisse nicht rechtzeitig vor oder werden gar Falschinformationen weiter verarbeitet, können daraus massive Systemfehler resultieren, die bei sicherheitsrelevanten Systemen zu einer Gefährdung von Personen führen können. Insbesondere bei der Erfassung von Daten (z.B. durch Sensoren) müssen diese Daten auf Korrektheit und Rechtzeitigkeit geprüft werden, bevor diese zur Verarbeitung weitergegeben werden. Die Verarbeitung mit unterschiedlichen Algorithmen bedarf ebenfalls einer zeitlichen und inhaltlichen Prüfung, bevor ein Aktuator mit den entsprechenden Informationen angesteuert wird.
  • Weiterhin ist es bei einem redundanten Sicherheitssystem wichtig, dass beim Ausfall eines Kanals der zweite Kanal rechtzeitig die Aufgabe des ausgefallenen Kanals übernehmen kann, sodass die Sicherheitsfunktion ohne Unterbrechung weiter gewährleistet ist.
  • Insbesondere beim automatisierten Fahren ist es wesentlich, die sicherheitsrelevanten Funktionen auch fehlertolerant auszulegen, sodass die elektronische Funktion auch im Fehlerfall verfügbar ist. Hier hat die Redundanz eine doppelte Funktion, nämlich die Fehlerentdeckung und die Erhöhung der Verfügbarkeit der Funktion. Insbesondere bei Brems- und Lenksystemen ist dies während der Fahrt ein besonderes Risiko, weil das Fahrzeug plötzlich nicht mehr brems- bzw. lenkbar wird.
  • DE 100 32 216 A1 offenbart ein Sicherheitssystem in einem Kraftfahrzeug und ein Verfahren, bei dem ein Hauptrechner die Sensor- und Konfigurationseingänge steuert und diagnostiziert.
  • DE 10 2008 008 555 B4 offenbart ein Verfahren zum Minimieren von Gefahrensituationen bei Fahrzeugen.
  • Offenbarung der Erfindung
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zum Betreiben eines Sicherheitssystems bereitzustellen.
  • Die Aufgabe wird gemäß einem ersten Aspekt gelöst mit einem Verfahren zum Betreiben eines Sicherheitssystems, aufweisend die Schritte:
    • - Zuführen von Daten an wenigstens zwei Kanäle;
    • - Generieren von Informationen aus den Daten in den wenigstens zwei Kanälen;
    • - Generieren eines Prüfschlüssels aus den Informationen in den wenigstens zwei Kanälen;
    • - Zuführen der Informationen und der Prüfschlüssel der beiden Kanäle an eine Prüfeinrichtung; und
    • - Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel.
  • Auf diese Weise wird ein Verfahren zum Betreiben eines Sicherheitssystems bereitgestellt, welches insbesondere in Echtzeit-Anwendungen sinnvoll ist. Vorteilhaft sind bei dem vorgeschlagenen Verfahren keine aufwendigen Aktionen wie zum Beispiel Idle-Modi, Synchronisierungsschritte, usw., wie sie in präemptiven Echtzeitsystemen vorgesehen sind, erforderlich. Im Ergebnis können dadurch die Informationen in vorteilhafter Weise zu anderen Zeitpunkten verglichen werden, zu denen sie generiert wurden. Dadurch können die Rechenkapazitäten der beiden Kanäle vorteilhaft bestmöglich genutzt werden.
  • Gemäß einem zweiten Aspekt wird die Aufgabe gelöst mit einem Sicherheitssystem, aufweisend:
    • - zwei Rechnereinrichtungen zum unabhängigen Generieren von Informationen aus zugeführten Daten in wenigstens zwei Kanälen, wobei aus den Informationen der wenigstens zwei Kanäle ein dazugehöriger Prüfschlüssel generiert wird; und
    • - eine Prüfeinrichtung, an die die Informationen der wenigstens zwei Kanäle zuführbar sind; wobei
    • - mittels der Prüfeinrichtung die Informationen der wenigstens zwei Kanäle in Abhängigkeit vom Vergleich definiert verwendbar gemacht werden.
  • Vorteilhafte Weiterbildungen des Verfahrens sind Gegenstand von abhängigen Ansprüchen.
  • Eine vorteilhafte Weiterbildung des Verfahrens sieht vor, dass das Generieren der Informationen aus den Daten und das Generieren der Prüfschlüssel aus den Informationen zu definierten Zeitpunkten durchgeführt werden. Dadurch wird vorteilhaft ein mehrstufiges Verfahren bereitgestellt, welches die Informationen zu unterschiedlichen Zeitpunkten überprüft.
  • Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass im Falle eines Fehlers eines Kanals die Informationen des anderen Kanals genutzt werden. Ein Sicherheitsniveau des Sicherheitssystems ist auf diese Weise vorteilhaft erhöht.
  • Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Prüfeinrichtung anhand wenigstens eines definierten Kriteriums entscheidet, welche Informationen aus welchem Kanal verworfen werden können. Dadurch kann vorteilhaft entschieden, wann Informationen genutzt bzw. als ungültig verworfen werden.
  • Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Informationen per Drahtloskommunikation an ein Fahrzeug gesendet werden. Vorteilhaft ist dabei eine Anwendung unterstützt, bei der zum Beispiel mittels WiFi Instruktionen an ein automatisiertes Fahrzeug (zum Beispiel in einem Parkhaus) gesendet werden.
  • Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Daten von einer Sensoreinrichtung bereitgestellt werden. Auf diese Weise sind Anwendungen des Verfahrens ermöglicht, die Sensordaten möglichst in Echtzeit verarbeiten.
  • Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von mehreren Figuren detailliert beschrieben. Die Figuren sind vor allem dazu gedacht, die erfindungswesentlichen Prinzipien zu verdeutlichen.
  • Offenbarte Verfahrensmerkmale ergeben sich analog aus entsprechenden offenbarten Vorrichtungsmerkmalen und umgekehrt. Dies bedeutet insbesondere, dass sich Merkmale, technische Vorteile und Ausführungen betreffend das Verfahren in analoger Weise aus entsprechenden Ausführungen, Merkmalen und Vorteilen betreffend das Sicherheitssystem ergeben und umgekehrt.
  • In den Figuren zeigt:
    • 1 ein Blockschaltbild einer ersten Ausführungsform eines vorgeschlagenen Sicherheitssystems;
    • 2 ein Blockschaltbild einer weiteren Ausführungsform eines vorgeschlagenen Sicherheitssystems; und
    • 3 eine Darstellung eines vorgeschlagenen Verfahrens zum Betreiben eines Sicherheitssystems.
  • Beschreibung von Ausführungsformen
  • Im Folgenden wird der Begriff „automatisiertes Fahrzeug“ synonym in den Bedeutungen vollautomatisiertes Fahrzeug, teilautomatisiertes Fahrzeug, vollautonomes Fahrzeug und teilautonomes Fahrzeug verwendet.
  • Ein Kerngedanke der Erfindung ist die Bereitstellung einer Überwachungsarchitektur, die in mehreren Ebenen unterschiedliche zeitliche Aspekte in einem redundanten Sicherheitssystem gewährleistet, ohne dass die Leistungsfähigkeit des redundanten Systems reduziert wird.
  • Erreicht wird mit der Erfindung vorteilhaft, den redundanten Datenstrom mit maximaler Leistung durch die beiden Kanäle zu leiten. Hierbei werden in einem parallelen Pfad Dateninhalte und bestimmte Sicherheitsschlüssel aus dem System abgegriffen.
  • 1 zeigt ein prinzipielles Blockschaltbild einer ersten Ausführungsform eines vorgeschlagenen Sicherheitssystems 100. Man erkennt eine erste Rechnereinrichtung 10 mit einer ersten Informationseinrichtung 11a, an die von einer Sensoreinrichtung 1 Daten D zugeführt werden. Aus den Daten D werden mittels der Informationseinrichtung 11a Informationen 11 generiert. Die Informationen 11 werden einer ersten Verschlüsselungseinrichtung 12a zugeführt, aus der diese einen ersten Prüfschlüssel S1 generiert.
  • Ferner weist das Sicherheitssystem 100 eine zweite Rechnereinrichtung 20 auf, der ebenfalls die Daten D der Sensoreinrichtung 1 zugeführt werden. Mittels einer zweiten Informationseinrichtung 21a werden aus den Daten D Informationen 11 generiert, die einer zweiten Verschlüsselungseinrichtung 22a zugeführt werden, aus denen die zweite Verschlüsselungseinrichtung 22a einen zweiten Prüfschlüssel S2 generiert.
  • Die Informationen 11 und die Prüfschlüssel S1, S2 werden einer Prüfeinrichtung 30, die vorzugsweise als eine Sicherheits-SPS ausgebildet ist, zugeführt. Somit ist es für die Prüfeinrichtung 30 möglich, die Informationen 11 unabhängig vom Zeitpunkt der Generierung der Informationen 11 mittels der Informationseinrichtungen 11a, 12a zu vergleichen und nach definierten Kriterien, z.B. auf Korrektheit und/oder Plausibilität zu prüfen.
  • Im Ergebnis können die beiden Rechnereinrichtungen 10, 20, die unter Umständen physikalisch unterschiedlich ausgebildet sind, ihre jeweils optimalen Ressourcen zur Bereitstellung der Informationen 11 nutzen, ohne z.B. zur Erfüllung von Echtzeitanforderungen durch Idle-, Synchronisierung-, und Sicherheitsmechanismen behindert bzw. verlangsamt zu werden. Eine optimale Ausnutzung der Rechenleistung der beiden Rechnereinrichtungen 10, 20 ist auf diese Weise vorteilhaft unterstützt.
  • In Abhängigkeit vom Resultat des Vergleichs bzw. der Prüfung kann die Prüfeinrichtung 30 eine Instruktion drahtlos oder drahtgebunden an eine nachgeordnete Einrichtung (beispielsweise eine Schalteinrichtung, nicht dargestellt) abgeben, die Instruktionen für ein automatisiertes Fahrzeug (nicht dargestellt) enthalten.
  • Im Ergebnis wird dadurch mit dem Sicherheitssystem 100 eine redundante Signalkette in zwei Kanälen mit Zeitüberwachung bereitgestellt.
  • 2 zeigt ein Blockschaltbild einer zweiten Ausführungsform des vorgeschlagenen Sicherheitssystems 100. Man erkennt mehrere Zeitpunkte t0...tn, zu denen die Informationen I1...In definiert aus den Daten D aufbereitet und zu denen zugeordnete Prüfschlüssel S1...Sn aus den Informationen I1...In generiert werden. Dabei ist vorgesehen, den ersten Prüfschlüssel S1 zum Zeitpunkt t0 zum Beispiel nach der Sensordatenerfassung, einen zweiten Prüfschlüssel S2 zum Zeitpunkt t1 nach einer logischen Verarbeitung von Algorithmen und einen dritten Prüfschlüssel S3 zum Zeitpunkt t2 nach einer Berechnung der Aktuatorvariablen zu ermitteln. Dadurch ergeben sich durch die genannten Zeitpunkte drei Zeitfenster, bei denen von der Prüfeinrichtung 30 geprüft wird, ob die jeweiligen Zwischenstands-Daten bzw. -informationen inhaltlich korrekt und rechtzeitig am Prüfpunkt, d.h. an der Prüfeinrichtung 30 angekommen sind. Ist das jeweils in den beiden redundanten Kanälen der Fall, so wird der Datenstrom durch die Prüfeinrichtung 30 als zeitlich und inhaltlich korrekt weiter gemeldet.
  • Es versteht sich natürlich von selbst, dass die Anzahl der gezeigten Zeitpunkte und die zu diesen Zeitpunkten durchgeführten Operationen lediglich exemplarisch sind und dass in der Praxis andere, insbesondere wesentlich mehr Zeitpunkte vorgesehen sein können, zu denen andere Informationen I1...In aus den Daten D aufbereitet und entsprechende Prüfschlüssel generiert werden. Ebenso denkbar ist, dass die Daten nicht unbedingt von einer Sensoreinrichtung 1 stammen müssen, sondern von anderen Einrichtungen bereitgestellt werden können.
  • Da die Datenströme in den beiden Kanälen des Sicherheitssystems 100 aufgrund der unterschiedlichen Rechnereinrichtungen 10, 20 in der Regel unterschiedlich schnell sind, wird die Information des „Wächters“ in Form der Prüfeinrichtung 30 erst anliegen, wenn der redundante Datenstrom auch seinen Prüfschlüssel gemeldet hat. Da die Prüfeinrichtung 30 aber lediglich die Prüfschlüssel S1... Sn prüft, kann die Prüfung vorteilhaft sehr schnell durchgeführt werden. Solange die Prüfung positiv ist, kann z.B. immer der erste Datenstrom des ersten Kanals genutzt werden, um in der nächsten Ebene verarbeitet zu werden. Das Risiko besteht jedoch darin, dass die Prüfeinrichtung 30 einen Fehler feststellt und die Information in der weiteren Bearbeitungskette verwerfen muss.
  • Es reicht jedoch aus, wenn die Sperrung des fehlerhaften Datenstroms vor dem letzten Funktionselement geschieht, was im Allgemeinen die Ansteuerung des Aktuators (nicht dargestellt) bedeutet. Er schaltet aber am Aktuator nur den fehlerhaften Datenstrom ab und nicht den als korrekt erkannten Datenstrom, somit tritt zwar eine mögliche Verzögerung im Datenstrom auf, die sich aber nur auf die Zeit bezieht, die der zweite Datenstrom dem fehlerhaften hinterhereilt. Bei einer homogenen Redundanz sind die Zeiten im Allgemeinen sehr gering.
  • Da zeitlich gesehen die Zwischenschritte zum Beispiel nach der Erfassung, nach der Logikverarbeitung und nach der Ansteuerung des Aktuators variieren, liegt die zeitliche Summe oftmals über der geforderten Zeit für die gesamte Kette, da die worst-case-Situation sehr selten eintritt, gleichen sich die Zeiten in den Unterabschnitten meistens aus. Somit muss sicherheitstechnisch nur die Zeit zwischen der Erfassung der Daten D in der Sensoreinrichtung 1 und der entsprechenden Reaktion im Aktuator gemessen werden. Solange diese für einen fehlerfreien Kanal unter der geforderten Zeitgrenze liegt, gilt die Sicherheitsreaktion als hinreichend und damit als sicherheitstechnisch „rechtzeitig“.
  • Die genannten Komponenten des Sicherheitssystems 100 können z.B. über eine geeignete Netzwerkverbindung (z.B. Ethernet) funktional miteinander verbunden sein.
  • Ein wesentlicher Vorteil der vorgeschlagenen Lösung ist ein erheblich reduzierter Aufwand bei der Synchronisierung des Datenstroms, wodurch die Leistungsfähigkeit des vorgeschlagenen Sicherheitssystems 100 annähernd Werte eines nicht-sicherheitsrelevanten Systems in einer einkanaligen Realisierung erreicht. Die Redundanz erfordert keine zweite unabhängige Softwareentwicklung, da, da in beiden Pfaden die Nominalfunktion der Informationsbereitstellung aus den Daten D jeweils identisch implementiert werden kann. Demgegenüber steht nur die Implementierung entsprechender Monitore bzw. Verschlüsselungseinrichtungen, die die notwendigen Prüfschlüssel S1... Sn zur Überprüfung auf Korrektheit der Informationen zu den Zeitpunkten t0... tn generieren.
  • Ein weiterer Vorteil des vorgeschlagenen Verfahrens besteht darin, dass Fehler nur zu einem Ausfall eines Kanals führen, wobei die zeitliche Verzögerung bei homogener Relevanz als gering angesehen werden kann.
  • 3 zeigt einen prinzipiellen Ablauf einer Ausführungsform des vorgeschlagenen Verfahrens.
  • In einem Schritt 200 wird ein Zuführen von Daten D an wenigstens zwei Kanäle durchgeführt.
  • In einem Schritt 210 wird ein Generieren von Informationen I1...In aus den Daten D in den wenigstens zwei Kanälen durchgeführt.
  • In einem Schritt 220 wird ein Generieren eines Prüfschlüssels S1... Sn aus den Informationen I in den wenigstens zwei Kanälen durchgeführt.
  • In einem Schritt 230 wird Zuführen der Informationen I1...In und der Prüfschlüssel S1...Sn der beiden Kanäle an eine Prüfeinrichtung 30.
  • Schließlich wird in einem Schritt 240 ein definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel S1 ...Sn durchgeführt.
  • Vorteilhaft lässt sich das vorgeschlagene Verfahrens in einem Sicherheitssystem beim automatisierten Parken und/oder im urbanen Umfeld anwenden.
  • Vorteilhaft kann das vorgeschlagene Verfahren in Form eines Softwareprogramms mit geeigneten Programmcodemitteln realisiert werden, das auf dem Sicherheitssystem 100 mit dessen Komponenten abläuft. Eine einfache Adaptierbarkeit des Verfahrens ist auf diese Weise möglich.
  • Der Fachmann wird die Merkmale der Erfindung in geeigneter Weise abändern und/oder miteinander kombinieren, ohne vom Kern der Erfindung abzuweichen. Beispielsweise kann vorgesehen sein, dass die Anzahl der Kanäle des Sicherheitssystems auch größer als zwei ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 10032216 A1 [0010]
    • DE 102008008555 B4 [0011]

Claims (9)

  1. Verfahren zum Betreiben eines Sicherheitssystems (100), aufweisend die Schritte: - Zuführen von Daten (D) an wenigstens zwei Kanäle; - Generieren von Informationen (I1...In) aus den Daten (D) in den wenigstens zwei Kanälen; - Generieren eines Prüfschlüssels (S1 ...Sn) aus den Informationen (I) in den wenigstens zwei Kanälen; - Zuführen der Informationen (I1...In) und der Prüfschlüssel (S1...Sn) der beiden Kanäle an eine Prüfeinrichtung (30); und - Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel (S1... Sn).
  2. Verfahren nach Anspruch 1, wobei das Generieren der Informationen (I1...In) aus den Daten (D) und das Generieren der Prüfschlüssel (S1...Sn) aus den Informationen (I1...In) zu definierten Zeitpunkten (t0...tn) durchgeführt werden.
  3. Verfahren nach Anspruch 1 oder 2, wobei im Falle eines Fehlers eines Kanals die Informationen (I1...In) des anderen Kanals genutzt werden.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Prüfeinrichtung (30) anhand wenigstens eines definierten Kriteriums entscheidet, welche Informationen (I1...In) aus welchem Kanal verworfen werden können.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Informationen (I1... In) per Drahtloskommunikation an ein Fahrzeug gesendet werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Daten (D) von einer Sensoreinrichtung (1) bereitgestellt werden.
  7. Verwendung eines Verfahrens nach einem der vorhergehenden Ansprüche beim automatisierten Parken und/oder im urbanen Umfeld.
  8. Sicherheitssystem (100), aufweisend: - zwei Rechnereinrichtungen (10, 20) zum unabhängigen Generieren von Informationen (I1...In) aus zugeführten Daten (D) in wenigstens zwei Kanälen, wobei aus den Informationen (I1...In) der wenigstens zwei Kanäle ein dazugehöriger Prüfschlüssel (S1... Sn) generiert wird; und - eine Prüfeinrichtung (30), an die die Informationen (I1...In) der wenigstens zwei Kanäle zuführbar ist; wobei - mittels der Prüfeinrichtung (30) die Informationen (I1...In) der wenigstens zwei Kanäle in Abhängigkeit vom Vergleich definiert verwendbar gemacht werden.
  9. Computerprogrammprodukt mit Programmcodemitteln eingerichtet zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 6, wenn es auf einem Sicherheitssystem (100) abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.
DE102019202527.7A 2019-02-25 2019-02-25 Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems Pending DE102019202527A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102019202527.7A DE102019202527A1 (de) 2019-02-25 2019-02-25 Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
EP20704505.5A EP3931060A1 (de) 2019-02-25 2020-02-07 Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
US17/414,566 US20220009353A1 (en) 2019-02-25 2020-02-07 Security system and method for operating a security system
PCT/EP2020/053092 WO2020173682A1 (de) 2019-02-25 2020-02-07 Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
CN202080016551.0A CN113474230A (zh) 2019-02-25 2020-02-07 安全系统和用于运行安全系统的方法
JP2021549495A JP7206410B2 (ja) 2019-02-25 2020-02-07 安全システムおよび安全システムの作動方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019202527.7A DE102019202527A1 (de) 2019-02-25 2019-02-25 Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems

Publications (1)

Publication Number Publication Date
DE102019202527A1 true DE102019202527A1 (de) 2020-08-27

Family

ID=69528835

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019202527.7A Pending DE102019202527A1 (de) 2019-02-25 2019-02-25 Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems

Country Status (6)

Country Link
US (1) US20220009353A1 (de)
EP (1) EP3931060A1 (de)
JP (1) JP7206410B2 (de)
CN (1) CN113474230A (de)
DE (1) DE102019202527A1 (de)
WO (1) WO2020173682A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112134729A (zh) * 2020-09-02 2020-12-25 上海科技大学 一种基于分治的程序高阶功耗侧信道安全性的证明方法
DE102020201140A1 (de) 2020-01-30 2021-08-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Automatisieren einer Fahrfunktion
DE102021208459A1 (de) 2021-08-04 2023-02-09 Volkswagen Aktiengesellschaft Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210151A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals
DE102017210156A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2017853C3 (de) * 1970-04-14 1975-12-11 Standard Elektrik Lorenz Ag, 7000 Stuttgart Steuerverfahren zur Sicherung der Informationsverarbeitung und -Übertragung
DE59607113D1 (de) * 1995-04-13 2001-07-26 Siemens Schweiz Ag Zuerich Datenübertragungsverfahren und Vorrichtung
JP2000092033A (ja) * 1998-09-14 2000-03-31 Nec Corp 高速データ送受信方式
DE10032216A1 (de) 2000-07-03 2002-01-24 Siemens Ag Sicherheitssystem in einem Kraftfahrzeug und Verfahren
JP4223909B2 (ja) * 2003-09-24 2009-02-12 三菱電機株式会社 車載電子制御装置
DE102008008555B4 (de) 2007-02-21 2018-06-28 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Minimieren von Gefahrensituationen bei Fahrzeugen
JP5367917B2 (ja) * 2011-01-25 2013-12-11 三洋電機株式会社 車載器
DE102013206661A1 (de) * 2013-04-15 2014-10-16 Robert Bosch Gmbh Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem
JP6190404B2 (ja) * 2014-06-05 2017-08-30 Kddi株式会社 受信ノード、メッセージ受信方法およびコンピュータプログラム
DE102015219933A1 (de) * 2015-05-07 2016-11-10 Volkswagen Aktiengesellschaft Verfahren zur Plausibilisierung von Messwerten eines Mobilgeräts
US9741183B2 (en) * 2015-11-10 2017-08-22 Veniam, Inc Systems and methods for optimizing data gathering in a network of moving things
DE102016200964A1 (de) * 2016-01-25 2017-07-27 Siemens Aktiengesellschaft Verfahren zur Informationsübertragung in einem Kommunikationsnetz
DE102016201067A1 (de) * 2016-01-26 2017-07-27 Robert Bosch Gmbh Anordnung zur Kommunikation zwischen einem Fahrzeug und einem automatisierten Parksystem
JP2018157463A (ja) * 2017-03-21 2018-10-04 オムロンオートモーティブエレクトロニクス株式会社 車載通信システム、通信管理装置、車両制御装置
WO2018211757A1 (ja) * 2017-05-15 2018-11-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 検証方法、検証装置およびプログラム
JP6838211B2 (ja) * 2017-07-31 2021-03-03 日立Astemo株式会社 自律運転制御装置、自律移動車及び自律移動車制御システム
US10554397B2 (en) * 2017-09-27 2020-02-04 The Boeing Company Quantum-based data encryption
CN108183779B (zh) * 2017-12-22 2021-05-11 中国铁道科学研究院通信信号研究所 一种铁路信号ctc/tdcs系统的双通道冗余数据传输处理方法
US10243732B1 (en) * 2018-06-27 2019-03-26 Karamba Security Cryptographic key management for end-to-end communication security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210151A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals
DE102017210156A1 (de) * 2017-06-19 2018-12-20 Zf Friedrichshafen Ag Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020201140A1 (de) 2020-01-30 2021-08-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Automatisieren einer Fahrfunktion
CN112134729A (zh) * 2020-09-02 2020-12-25 上海科技大学 一种基于分治的程序高阶功耗侧信道安全性的证明方法
DE102021208459A1 (de) 2021-08-04 2023-02-09 Volkswagen Aktiengesellschaft Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102021208459B4 (de) 2021-08-04 2023-05-25 Volkswagen Aktiengesellschaft Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug

Also Published As

Publication number Publication date
US20220009353A1 (en) 2022-01-13
CN113474230A (zh) 2021-10-01
EP3931060A1 (de) 2022-01-05
WO2020173682A1 (de) 2020-09-03
JP7206410B2 (ja) 2023-01-17
JP2022521938A (ja) 2022-04-13

Similar Documents

Publication Publication Date Title
EP2974156B1 (de) Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
EP3211533B1 (de) Fehlertolerante systemarchitektur zur steuerung einer physikalischen anlage, insbesondere einer maschine oder eines kraftfahrzeugs
EP3931060A1 (de) Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems
DE102013213169A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb
DE10152235B4 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP3371025B1 (de) Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug
EP1989470B1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
DE102018221063A1 (de) Konfiguration eines Steuerungssystems für ein zumindest teilautonomes Kraftfahrzeug
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
EP0886823A1 (de) Verfahren zur überprüfung der funktionsfähigkeit einer recheneinheit
WO2017080942A1 (de) Verfahren zum betreiben eines steuergeräts eines kraftfahrzeugs
DE102017213496B4 (de) Verfahren und Steuervorrichtung zum fehlertoleranten Betrieb eines Kraftfahrzeugs
DE102009055044A1 (de) Verfahren und Vorrichtung zur Unterbindung einer ungewollten Beschleunigung eines Fahrzeuges
DE102010041437B4 (de) Überprüfung von Funktionen eines Steuersystems mit Komponenten
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
WO2023052333A1 (de) Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug
EP2449438B1 (de) Verfahren und system zur ansteuerung von mindestens einem aktuator
WO2022084176A1 (de) Datenverarbeitungsnetzwerk zur datenverarbeitung
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE10328059A1 (de) Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
WO2011113405A1 (de) Steuergeräteanordnung
DE102022106664A1 (de) Verfahren zum Betätigen eines Sensorsystems, Sensorsystem, Fahrzeug, Computerprogrammprodukt und Speichermedium

Legal Events

Date Code Title Description
R012 Request for examination validly filed