DE102019202527A1 - Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems - Google Patents
Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems Download PDFInfo
- Publication number
- DE102019202527A1 DE102019202527A1 DE102019202527.7A DE102019202527A DE102019202527A1 DE 102019202527 A1 DE102019202527 A1 DE 102019202527A1 DE 102019202527 A DE102019202527 A DE 102019202527A DE 102019202527 A1 DE102019202527 A1 DE 102019202527A1
- Authority
- DE
- Germany
- Prior art keywords
- information
- channels
- data
- security system
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L3/00—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
- B60L3/0092—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L3/00—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
- B60L3/0023—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
- B60L3/0038—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to sensors
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L3/00—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
- B60L3/0023—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
- B60L3/0084—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to control modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L2260/00—Operating Modes
- B60L2260/20—Drive modes; Transition between modes
- B60L2260/32—Auto pilot mode
Landscapes
- Engineering & Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Power Engineering (AREA)
- Life Sciences & Earth Sciences (AREA)
- Sustainable Development (AREA)
- Sustainable Energy (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Alarm Systems (AREA)
- Selective Calling Equipment (AREA)
- Traffic Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Detection And Prevention Of Errors In Transmission (AREA)
Abstract
Verfahren zum Betreiben eines Sicherheitssystems (100), aufweisend die Schritte:- Zuführen von Daten (D) an wenigstens zwei Kanäle;- Generieren von Informationen (I...I) aus den Daten (D) in den wenigstens zwei Kanälen;- Generieren eines Prüfschlüssels (S1...Sn) aus den Informationen (I) in den wenigstens zwei Kanälen;- Zuführen der Informationen (I...I) und der Prüfschlüssel (S1...Sn) der beiden Kanäle an eine Prüfeinrichtung (30); und- Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel (S1... Sn).
Description
- Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitssystems. Die Erfindung betrifft ferner ein Sicherheitssystem. Die Erfindung betrifft ferner eine Verwendung eines Sicherheitssystems. Die Erfindung betrifft ferner ein Computerprogrammprodukt.
- Stand der Technik
- Moderne Sicherheitssysteme, insbesondere für Automatisierungssysteme von mobilen und insbesondere automobilen Anwendungen erfordern echtzeitfähige, redundante Datenströme. Neben der Auswertung von Videodaten werden 3D-Modelle kontinuierlich zeitsynchron durch komplexe Sensoren, wie zum Beispiel LiDAR-, Radarsensoren, usw. mit der realen Umgebung abgeglichen. Ein Zeitverzug von ca. 100ms bedeutet bei einer Geschwindigkeit von ca. 100 km/h über 3m Abweichung im Modell von der Realität. Dies bedeutet mehr als eine Straßenbreite und kann in einer Kurve bereits eine Kollision mit dem Gegenverkehr verursachen.
- Um Elektronikfehler zu entdecken und auch um diese Fehler zu beherrschen, zu korrigieren oder das Umschalten auf redundante Funktionen sicherzustellen, müssen die genannten Datenströme synchronisiert werden, damit ein rechtzeitiger Vergleich in den Datenströmen stattfinden kann.
- Bei einer konventionellen Synchronisierung wird ein Datenstrom angehalten und erst, wenn sich der zweite Datenstrom auf demselben Synchronisierungspunkt befindet, können die Daten verglichen werden.
- Dies kann nachteilig zu einer erheblichen Reduzierung von Geschwindigkeit führen, mit der diese Daten verarbeitet werden.
- Weiterhin gibt es erhebliche Anforderungen an Performance, wenn in kurzer Zeit sehr große Datenmengen miteinander verglichen werden sollen, wobei auch der Vergleich selbst erhebliche Zeit in Anspruch nimmt, die die Leistungsfähigkeit des Gesamtsystems beträchtlich reduzieren kann.
- Im Allgemeinen ist eine Funktion auch eine Kette von verschiedenartigen Teilfunktionen, die Zwischenergebnisse produzieren, die dann die Basis für eine weitere Verarbeitung bilden. Liegen die Zwischenergebnisse nicht rechtzeitig vor oder werden gar Falschinformationen weiter verarbeitet, können daraus massive Systemfehler resultieren, die bei sicherheitsrelevanten Systemen zu einer Gefährdung von Personen führen können. Insbesondere bei der Erfassung von Daten (z.B. durch Sensoren) müssen diese Daten auf Korrektheit und Rechtzeitigkeit geprüft werden, bevor diese zur Verarbeitung weitergegeben werden. Die Verarbeitung mit unterschiedlichen Algorithmen bedarf ebenfalls einer zeitlichen und inhaltlichen Prüfung, bevor ein Aktuator mit den entsprechenden Informationen angesteuert wird.
- Weiterhin ist es bei einem redundanten Sicherheitssystem wichtig, dass beim Ausfall eines Kanals der zweite Kanal rechtzeitig die Aufgabe des ausgefallenen Kanals übernehmen kann, sodass die Sicherheitsfunktion ohne Unterbrechung weiter gewährleistet ist.
- Insbesondere beim automatisierten Fahren ist es wesentlich, die sicherheitsrelevanten Funktionen auch fehlertolerant auszulegen, sodass die elektronische Funktion auch im Fehlerfall verfügbar ist. Hier hat die Redundanz eine doppelte Funktion, nämlich die Fehlerentdeckung und die Erhöhung der Verfügbarkeit der Funktion. Insbesondere bei Brems- und Lenksystemen ist dies während der Fahrt ein besonderes Risiko, weil das Fahrzeug plötzlich nicht mehr brems- bzw. lenkbar wird.
-
DE 100 32 216 A1 offenbart ein Sicherheitssystem in einem Kraftfahrzeug und ein Verfahren, bei dem ein Hauptrechner die Sensor- und Konfigurationseingänge steuert und diagnostiziert. -
DE 10 2008 008 555 B4 offenbart ein Verfahren zum Minimieren von Gefahrensituationen bei Fahrzeugen. - Offenbarung der Erfindung
- Es ist eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zum Betreiben eines Sicherheitssystems bereitzustellen.
- Die Aufgabe wird gemäß einem ersten Aspekt gelöst mit einem Verfahren zum Betreiben eines Sicherheitssystems, aufweisend die Schritte:
- - Zuführen von Daten an wenigstens zwei Kanäle;
- - Generieren von Informationen aus den Daten in den wenigstens zwei Kanälen;
- - Generieren eines Prüfschlüssels aus den Informationen in den wenigstens zwei Kanälen;
- - Zuführen der Informationen und der Prüfschlüssel der beiden Kanäle an eine Prüfeinrichtung; und
- - Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel.
- Auf diese Weise wird ein Verfahren zum Betreiben eines Sicherheitssystems bereitgestellt, welches insbesondere in Echtzeit-Anwendungen sinnvoll ist. Vorteilhaft sind bei dem vorgeschlagenen Verfahren keine aufwendigen Aktionen wie zum Beispiel Idle-Modi, Synchronisierungsschritte, usw., wie sie in präemptiven Echtzeitsystemen vorgesehen sind, erforderlich. Im Ergebnis können dadurch die Informationen in vorteilhafter Weise zu anderen Zeitpunkten verglichen werden, zu denen sie generiert wurden. Dadurch können die Rechenkapazitäten der beiden Kanäle vorteilhaft bestmöglich genutzt werden.
- Gemäß einem zweiten Aspekt wird die Aufgabe gelöst mit einem Sicherheitssystem, aufweisend:
- - zwei Rechnereinrichtungen zum unabhängigen Generieren von Informationen aus zugeführten Daten in wenigstens zwei Kanälen, wobei aus den Informationen der wenigstens zwei Kanäle ein dazugehöriger Prüfschlüssel generiert wird; und
- - eine Prüfeinrichtung, an die die Informationen der wenigstens zwei Kanäle zuführbar sind; wobei
- - mittels der Prüfeinrichtung die Informationen der wenigstens zwei Kanäle in Abhängigkeit vom Vergleich definiert verwendbar gemacht werden.
- Vorteilhafte Weiterbildungen des Verfahrens sind Gegenstand von abhängigen Ansprüchen.
- Eine vorteilhafte Weiterbildung des Verfahrens sieht vor, dass das Generieren der Informationen aus den Daten und das Generieren der Prüfschlüssel aus den Informationen zu definierten Zeitpunkten durchgeführt werden. Dadurch wird vorteilhaft ein mehrstufiges Verfahren bereitgestellt, welches die Informationen zu unterschiedlichen Zeitpunkten überprüft.
- Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass im Falle eines Fehlers eines Kanals die Informationen des anderen Kanals genutzt werden. Ein Sicherheitsniveau des Sicherheitssystems ist auf diese Weise vorteilhaft erhöht.
- Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Prüfeinrichtung anhand wenigstens eines definierten Kriteriums entscheidet, welche Informationen aus welchem Kanal verworfen werden können. Dadurch kann vorteilhaft entschieden, wann Informationen genutzt bzw. als ungültig verworfen werden.
- Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Informationen per Drahtloskommunikation an ein Fahrzeug gesendet werden. Vorteilhaft ist dabei eine Anwendung unterstützt, bei der zum Beispiel mittels WiFi Instruktionen an ein automatisiertes Fahrzeug (zum Beispiel in einem Parkhaus) gesendet werden.
- Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Daten von einer Sensoreinrichtung bereitgestellt werden. Auf diese Weise sind Anwendungen des Verfahrens ermöglicht, die Sensordaten möglichst in Echtzeit verarbeiten.
- Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von mehreren Figuren detailliert beschrieben. Die Figuren sind vor allem dazu gedacht, die erfindungswesentlichen Prinzipien zu verdeutlichen.
- Offenbarte Verfahrensmerkmale ergeben sich analog aus entsprechenden offenbarten Vorrichtungsmerkmalen und umgekehrt. Dies bedeutet insbesondere, dass sich Merkmale, technische Vorteile und Ausführungen betreffend das Verfahren in analoger Weise aus entsprechenden Ausführungen, Merkmalen und Vorteilen betreffend das Sicherheitssystem ergeben und umgekehrt.
- In den Figuren zeigt:
-
1 ein Blockschaltbild einer ersten Ausführungsform eines vorgeschlagenen Sicherheitssystems; -
2 ein Blockschaltbild einer weiteren Ausführungsform eines vorgeschlagenen Sicherheitssystems; und -
3 eine Darstellung eines vorgeschlagenen Verfahrens zum Betreiben eines Sicherheitssystems. - Beschreibung von Ausführungsformen
- Im Folgenden wird der Begriff „automatisiertes Fahrzeug“ synonym in den Bedeutungen vollautomatisiertes Fahrzeug, teilautomatisiertes Fahrzeug, vollautonomes Fahrzeug und teilautonomes Fahrzeug verwendet.
- Ein Kerngedanke der Erfindung ist die Bereitstellung einer Überwachungsarchitektur, die in mehreren Ebenen unterschiedliche zeitliche Aspekte in einem redundanten Sicherheitssystem gewährleistet, ohne dass die Leistungsfähigkeit des redundanten Systems reduziert wird.
- Erreicht wird mit der Erfindung vorteilhaft, den redundanten Datenstrom mit maximaler Leistung durch die beiden Kanäle zu leiten. Hierbei werden in einem parallelen Pfad Dateninhalte und bestimmte Sicherheitsschlüssel aus dem System abgegriffen.
-
1 zeigt ein prinzipielles Blockschaltbild einer ersten Ausführungsform eines vorgeschlagenen Sicherheitssystems100 . Man erkennt eine erste Rechnereinrichtung10 mit einer ersten Informationseinrichtung11a , an die von einer Sensoreinrichtung1 Daten D zugeführt werden. Aus den Daten D werden mittels der Informationseinrichtung11a Informationen11 generiert. Die Informationen11 werden einer ersten Verschlüsselungseinrichtung12a zugeführt, aus der diese einen ersten Prüfschlüssel S1 generiert. - Ferner weist das Sicherheitssystem
100 eine zweite Rechnereinrichtung20 auf, der ebenfalls die Daten D der Sensoreinrichtung1 zugeführt werden. Mittels einer zweiten Informationseinrichtung21a werden aus den Daten D Informationen11 generiert, die einer zweiten Verschlüsselungseinrichtung22a zugeführt werden, aus denen die zweite Verschlüsselungseinrichtung22a einen zweiten Prüfschlüssel S2 generiert. - Die Informationen
11 und die Prüfschlüssel S1, S2 werden einer Prüfeinrichtung30 , die vorzugsweise als eine Sicherheits-SPS ausgebildet ist, zugeführt. Somit ist es für die Prüfeinrichtung30 möglich, die Informationen11 unabhängig vom Zeitpunkt der Generierung der Informationen11 mittels der Informationseinrichtungen11a ,12a zu vergleichen und nach definierten Kriterien, z.B. auf Korrektheit und/oder Plausibilität zu prüfen. - Im Ergebnis können die beiden Rechnereinrichtungen
10 ,20 , die unter Umständen physikalisch unterschiedlich ausgebildet sind, ihre jeweils optimalen Ressourcen zur Bereitstellung der Informationen11 nutzen, ohne z.B. zur Erfüllung von Echtzeitanforderungen durch Idle-, Synchronisierung-, und Sicherheitsmechanismen behindert bzw. verlangsamt zu werden. Eine optimale Ausnutzung der Rechenleistung der beiden Rechnereinrichtungen10 ,20 ist auf diese Weise vorteilhaft unterstützt. - In Abhängigkeit vom Resultat des Vergleichs bzw. der Prüfung kann die Prüfeinrichtung
30 eine Instruktion drahtlos oder drahtgebunden an eine nachgeordnete Einrichtung (beispielsweise eine Schalteinrichtung, nicht dargestellt) abgeben, die Instruktionen für ein automatisiertes Fahrzeug (nicht dargestellt) enthalten. - Im Ergebnis wird dadurch mit dem Sicherheitssystem
100 eine redundante Signalkette in zwei Kanälen mit Zeitüberwachung bereitgestellt. -
2 zeigt ein Blockschaltbild einer zweiten Ausführungsform des vorgeschlagenen Sicherheitssystems100 . Man erkennt mehrere Zeitpunkte t0...tn, zu denen die Informationen I1...In definiert aus den Daten D aufbereitet und zu denen zugeordnete Prüfschlüssel S1...Sn aus den Informationen I1...In generiert werden. Dabei ist vorgesehen, den ersten Prüfschlüssel S1 zum Zeitpunkt t0 zum Beispiel nach der Sensordatenerfassung, einen zweiten Prüfschlüssel S2 zum Zeitpunkt t1 nach einer logischen Verarbeitung von Algorithmen und einen dritten Prüfschlüssel S3 zum Zeitpunkt t2 nach einer Berechnung der Aktuatorvariablen zu ermitteln. Dadurch ergeben sich durch die genannten Zeitpunkte drei Zeitfenster, bei denen von der Prüfeinrichtung30 geprüft wird, ob die jeweiligen Zwischenstands-Daten bzw. -informationen inhaltlich korrekt und rechtzeitig am Prüfpunkt, d.h. an der Prüfeinrichtung30 angekommen sind. Ist das jeweils in den beiden redundanten Kanälen der Fall, so wird der Datenstrom durch die Prüfeinrichtung30 als zeitlich und inhaltlich korrekt weiter gemeldet. - Es versteht sich natürlich von selbst, dass die Anzahl der gezeigten Zeitpunkte und die zu diesen Zeitpunkten durchgeführten Operationen lediglich exemplarisch sind und dass in der Praxis andere, insbesondere wesentlich mehr Zeitpunkte vorgesehen sein können, zu denen andere Informationen I1...In aus den Daten D aufbereitet und entsprechende Prüfschlüssel generiert werden. Ebenso denkbar ist, dass die Daten nicht unbedingt von einer Sensoreinrichtung 1 stammen müssen, sondern von anderen Einrichtungen bereitgestellt werden können.
- Da die Datenströme in den beiden Kanälen des Sicherheitssystems
100 aufgrund der unterschiedlichen Rechnereinrichtungen10 ,20 in der Regel unterschiedlich schnell sind, wird die Information des „Wächters“ in Form der Prüfeinrichtung30 erst anliegen, wenn der redundante Datenstrom auch seinen Prüfschlüssel gemeldet hat. Da die Prüfeinrichtung30 aber lediglich die Prüfschlüssel S1... Sn prüft, kann die Prüfung vorteilhaft sehr schnell durchgeführt werden. Solange die Prüfung positiv ist, kann z.B. immer der erste Datenstrom des ersten Kanals genutzt werden, um in der nächsten Ebene verarbeitet zu werden. Das Risiko besteht jedoch darin, dass die Prüfeinrichtung30 einen Fehler feststellt und die Information in der weiteren Bearbeitungskette verwerfen muss. - Es reicht jedoch aus, wenn die Sperrung des fehlerhaften Datenstroms vor dem letzten Funktionselement geschieht, was im Allgemeinen die Ansteuerung des Aktuators (nicht dargestellt) bedeutet. Er schaltet aber am Aktuator nur den fehlerhaften Datenstrom ab und nicht den als korrekt erkannten Datenstrom, somit tritt zwar eine mögliche Verzögerung im Datenstrom auf, die sich aber nur auf die Zeit bezieht, die der zweite Datenstrom dem fehlerhaften hinterhereilt. Bei einer homogenen Redundanz sind die Zeiten im Allgemeinen sehr gering.
- Da zeitlich gesehen die Zwischenschritte zum Beispiel nach der Erfassung, nach der Logikverarbeitung und nach der Ansteuerung des Aktuators variieren, liegt die zeitliche Summe oftmals über der geforderten Zeit für die gesamte Kette, da die worst-case-Situation sehr selten eintritt, gleichen sich die Zeiten in den Unterabschnitten meistens aus. Somit muss sicherheitstechnisch nur die Zeit zwischen der Erfassung der Daten D in der Sensoreinrichtung 1 und der entsprechenden Reaktion im Aktuator gemessen werden. Solange diese für einen fehlerfreien Kanal unter der geforderten Zeitgrenze liegt, gilt die Sicherheitsreaktion als hinreichend und damit als sicherheitstechnisch „rechtzeitig“.
- Die genannten Komponenten des Sicherheitssystems
100 können z.B. über eine geeignete Netzwerkverbindung (z.B. Ethernet) funktional miteinander verbunden sein. - Ein wesentlicher Vorteil der vorgeschlagenen Lösung ist ein erheblich reduzierter Aufwand bei der Synchronisierung des Datenstroms, wodurch die Leistungsfähigkeit des vorgeschlagenen Sicherheitssystems
100 annähernd Werte eines nicht-sicherheitsrelevanten Systems in einer einkanaligen Realisierung erreicht. Die Redundanz erfordert keine zweite unabhängige Softwareentwicklung, da, da in beiden Pfaden die Nominalfunktion der Informationsbereitstellung aus den Daten D jeweils identisch implementiert werden kann. Demgegenüber steht nur die Implementierung entsprechender Monitore bzw. Verschlüsselungseinrichtungen, die die notwendigen Prüfschlüssel S1... Sn zur Überprüfung auf Korrektheit der Informationen zu den Zeitpunkten t0... tn generieren. - Ein weiterer Vorteil des vorgeschlagenen Verfahrens besteht darin, dass Fehler nur zu einem Ausfall eines Kanals führen, wobei die zeitliche Verzögerung bei homogener Relevanz als gering angesehen werden kann.
-
3 zeigt einen prinzipiellen Ablauf einer Ausführungsform des vorgeschlagenen Verfahrens. - In einem Schritt
200 wird ein Zuführen von Daten D an wenigstens zwei Kanäle durchgeführt. - In einem Schritt
210 wird ein Generieren von Informationen I1...In aus den Daten D in den wenigstens zwei Kanälen durchgeführt. - In einem Schritt
220 wird ein Generieren eines Prüfschlüssels S1... Sn aus den Informationen I in den wenigstens zwei Kanälen durchgeführt. - In einem Schritt
230 wird Zuführen der Informationen I1...In und der Prüfschlüssel S1...Sn der beiden Kanäle an eine Prüfeinrichtung30 . - Schließlich wird in einem Schritt
240 ein definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel S1 ...Sn durchgeführt. - Vorteilhaft lässt sich das vorgeschlagene Verfahrens in einem Sicherheitssystem beim automatisierten Parken und/oder im urbanen Umfeld anwenden.
- Vorteilhaft kann das vorgeschlagene Verfahren in Form eines Softwareprogramms mit geeigneten Programmcodemitteln realisiert werden, das auf dem Sicherheitssystem
100 mit dessen Komponenten abläuft. Eine einfache Adaptierbarkeit des Verfahrens ist auf diese Weise möglich. - Der Fachmann wird die Merkmale der Erfindung in geeigneter Weise abändern und/oder miteinander kombinieren, ohne vom Kern der Erfindung abzuweichen. Beispielsweise kann vorgesehen sein, dass die Anzahl der Kanäle des Sicherheitssystems auch größer als zwei ist.
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- DE 10032216 A1 [0010]
- DE 102008008555 B4 [0011]
Claims (9)
- Verfahren zum Betreiben eines Sicherheitssystems (100), aufweisend die Schritte: - Zuführen von Daten (D) an wenigstens zwei Kanäle; - Generieren von Informationen (I1...In) aus den Daten (D) in den wenigstens zwei Kanälen; - Generieren eines Prüfschlüssels (S1 ...Sn) aus den Informationen (I) in den wenigstens zwei Kanälen; - Zuführen der Informationen (I1...In) und der Prüfschlüssel (S1...Sn) der beiden Kanäle an eine Prüfeinrichtung (30); und - Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel (S1... Sn).
- Verfahren nach
Anspruch 1 , wobei das Generieren der Informationen (I1...In) aus den Daten (D) und das Generieren der Prüfschlüssel (S1...Sn) aus den Informationen (I1...In) zu definierten Zeitpunkten (t0...tn) durchgeführt werden. - Verfahren nach
Anspruch 1 oder2 , wobei im Falle eines Fehlers eines Kanals die Informationen (I1...In) des anderen Kanals genutzt werden. - Verfahren nach einem der vorhergehenden Ansprüche, wobei die Prüfeinrichtung (30) anhand wenigstens eines definierten Kriteriums entscheidet, welche Informationen (I1...In) aus welchem Kanal verworfen werden können.
- Verfahren nach einem der vorhergehenden Ansprüche, wobei die Informationen (I1... In) per Drahtloskommunikation an ein Fahrzeug gesendet werden.
- Verfahren nach einem der vorhergehenden Ansprüche, wobei die Daten (D) von einer Sensoreinrichtung (1) bereitgestellt werden.
- Verwendung eines Verfahrens nach einem der vorhergehenden Ansprüche beim automatisierten Parken und/oder im urbanen Umfeld.
- Sicherheitssystem (100), aufweisend: - zwei Rechnereinrichtungen (10, 20) zum unabhängigen Generieren von Informationen (I1...In) aus zugeführten Daten (D) in wenigstens zwei Kanälen, wobei aus den Informationen (I1...In) der wenigstens zwei Kanäle ein dazugehöriger Prüfschlüssel (S1... Sn) generiert wird; und - eine Prüfeinrichtung (30), an die die Informationen (I1...In) der wenigstens zwei Kanäle zuführbar ist; wobei - mittels der Prüfeinrichtung (30) die Informationen (I1...In) der wenigstens zwei Kanäle in Abhängigkeit vom Vergleich definiert verwendbar gemacht werden.
- Computerprogrammprodukt mit Programmcodemitteln eingerichtet zur Durchführung des Verfahrens nach einem der
Ansprüche 1 bis6 , wenn es auf einem Sicherheitssystem (100) abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019202527.7A DE102019202527A1 (de) | 2019-02-25 | 2019-02-25 | Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems |
EP20704505.5A EP3931060A1 (de) | 2019-02-25 | 2020-02-07 | Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems |
US17/414,566 US20220009353A1 (en) | 2019-02-25 | 2020-02-07 | Security system and method for operating a security system |
PCT/EP2020/053092 WO2020173682A1 (de) | 2019-02-25 | 2020-02-07 | Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems |
CN202080016551.0A CN113474230A (zh) | 2019-02-25 | 2020-02-07 | 安全系统和用于运行安全系统的方法 |
JP2021549495A JP7206410B2 (ja) | 2019-02-25 | 2020-02-07 | 安全システムおよび安全システムの作動方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019202527.7A DE102019202527A1 (de) | 2019-02-25 | 2019-02-25 | Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102019202527A1 true DE102019202527A1 (de) | 2020-08-27 |
Family
ID=69528835
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102019202527.7A Pending DE102019202527A1 (de) | 2019-02-25 | 2019-02-25 | Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220009353A1 (de) |
EP (1) | EP3931060A1 (de) |
JP (1) | JP7206410B2 (de) |
CN (1) | CN113474230A (de) |
DE (1) | DE102019202527A1 (de) |
WO (1) | WO2020173682A1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112134729A (zh) * | 2020-09-02 | 2020-12-25 | 上海科技大学 | 一种基于分治的程序高阶功耗侧信道安全性的证明方法 |
DE102020201140A1 (de) | 2020-01-30 | 2021-08-05 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Automatisieren einer Fahrfunktion |
DE102021208459A1 (de) | 2021-08-04 | 2023-02-09 | Volkswagen Aktiengesellschaft | Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017210151A1 (de) * | 2017-06-19 | 2018-12-20 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals |
DE102017210156A1 (de) * | 2017-06-19 | 2018-12-20 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE2017853C3 (de) * | 1970-04-14 | 1975-12-11 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Steuerverfahren zur Sicherung der Informationsverarbeitung und -Übertragung |
DE59607113D1 (de) * | 1995-04-13 | 2001-07-26 | Siemens Schweiz Ag Zuerich | Datenübertragungsverfahren und Vorrichtung |
JP2000092033A (ja) * | 1998-09-14 | 2000-03-31 | Nec Corp | 高速データ送受信方式 |
DE10032216A1 (de) | 2000-07-03 | 2002-01-24 | Siemens Ag | Sicherheitssystem in einem Kraftfahrzeug und Verfahren |
JP4223909B2 (ja) * | 2003-09-24 | 2009-02-12 | 三菱電機株式会社 | 車載電子制御装置 |
DE102008008555B4 (de) | 2007-02-21 | 2018-06-28 | Continental Teves Ag & Co. Ohg | Verfahren und Vorrichtung zum Minimieren von Gefahrensituationen bei Fahrzeugen |
JP5367917B2 (ja) * | 2011-01-25 | 2013-12-11 | 三洋電機株式会社 | 車載器 |
DE102013206661A1 (de) * | 2013-04-15 | 2014-10-16 | Robert Bosch Gmbh | Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem |
JP6190404B2 (ja) * | 2014-06-05 | 2017-08-30 | Kddi株式会社 | 受信ノード、メッセージ受信方法およびコンピュータプログラム |
DE102015219933A1 (de) * | 2015-05-07 | 2016-11-10 | Volkswagen Aktiengesellschaft | Verfahren zur Plausibilisierung von Messwerten eines Mobilgeräts |
US9741183B2 (en) * | 2015-11-10 | 2017-08-22 | Veniam, Inc | Systems and methods for optimizing data gathering in a network of moving things |
DE102016200964A1 (de) * | 2016-01-25 | 2017-07-27 | Siemens Aktiengesellschaft | Verfahren zur Informationsübertragung in einem Kommunikationsnetz |
DE102016201067A1 (de) * | 2016-01-26 | 2017-07-27 | Robert Bosch Gmbh | Anordnung zur Kommunikation zwischen einem Fahrzeug und einem automatisierten Parksystem |
JP2018157463A (ja) * | 2017-03-21 | 2018-10-04 | オムロンオートモーティブエレクトロニクス株式会社 | 車載通信システム、通信管理装置、車両制御装置 |
WO2018211757A1 (ja) * | 2017-05-15 | 2018-11-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 検証方法、検証装置およびプログラム |
JP6838211B2 (ja) * | 2017-07-31 | 2021-03-03 | 日立Astemo株式会社 | 自律運転制御装置、自律移動車及び自律移動車制御システム |
US10554397B2 (en) * | 2017-09-27 | 2020-02-04 | The Boeing Company | Quantum-based data encryption |
CN108183779B (zh) * | 2017-12-22 | 2021-05-11 | 中国铁道科学研究院通信信号研究所 | 一种铁路信号ctc/tdcs系统的双通道冗余数据传输处理方法 |
US10243732B1 (en) * | 2018-06-27 | 2019-03-26 | Karamba Security | Cryptographic key management for end-to-end communication security |
-
2019
- 2019-02-25 DE DE102019202527.7A patent/DE102019202527A1/de active Pending
-
2020
- 2020-02-07 CN CN202080016551.0A patent/CN113474230A/zh active Pending
- 2020-02-07 WO PCT/EP2020/053092 patent/WO2020173682A1/de unknown
- 2020-02-07 US US17/414,566 patent/US20220009353A1/en active Pending
- 2020-02-07 JP JP2021549495A patent/JP7206410B2/ja active Active
- 2020-02-07 EP EP20704505.5A patent/EP3931060A1/de active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017210151A1 (de) * | 2017-06-19 | 2018-12-20 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals |
DE102017210156A1 (de) * | 2017-06-19 | 2018-12-20 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102020201140A1 (de) | 2020-01-30 | 2021-08-05 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Automatisieren einer Fahrfunktion |
CN112134729A (zh) * | 2020-09-02 | 2020-12-25 | 上海科技大学 | 一种基于分治的程序高阶功耗侧信道安全性的证明方法 |
DE102021208459A1 (de) | 2021-08-04 | 2023-02-09 | Volkswagen Aktiengesellschaft | Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug |
DE102021208459B4 (de) | 2021-08-04 | 2023-05-25 | Volkswagen Aktiengesellschaft | Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug |
Also Published As
Publication number | Publication date |
---|---|
US20220009353A1 (en) | 2022-01-13 |
CN113474230A (zh) | 2021-10-01 |
EP3931060A1 (de) | 2022-01-05 |
WO2020173682A1 (de) | 2020-09-03 |
JP7206410B2 (ja) | 2023-01-17 |
JP2022521938A (ja) | 2022-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2974156B1 (de) | Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen | |
EP3211533B1 (de) | Fehlertolerante systemarchitektur zur steuerung einer physikalischen anlage, insbesondere einer maschine oder eines kraftfahrzeugs | |
EP3931060A1 (de) | Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems | |
DE102013213169A1 (de) | Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb | |
DE10152235B4 (de) | Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens | |
EP3661819B1 (de) | Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium | |
EP3371025B1 (de) | Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug | |
EP1989470B1 (de) | Sicherheitskonzept für eine getriebestellvorrichtung | |
DE102018221063A1 (de) | Konfiguration eines Steuerungssystems für ein zumindest teilautonomes Kraftfahrzeug | |
DE102008009652A1 (de) | Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor | |
EP0886823A1 (de) | Verfahren zur überprüfung der funktionsfähigkeit einer recheneinheit | |
WO2017080942A1 (de) | Verfahren zum betreiben eines steuergeräts eines kraftfahrzeugs | |
DE102017213496B4 (de) | Verfahren und Steuervorrichtung zum fehlertoleranten Betrieb eines Kraftfahrzeugs | |
DE102009055044A1 (de) | Verfahren und Vorrichtung zur Unterbindung einer ungewollten Beschleunigung eines Fahrzeuges | |
DE102010041437B4 (de) | Überprüfung von Funktionen eines Steuersystems mit Komponenten | |
DE102013021231A1 (de) | Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät | |
WO2023052333A1 (de) | Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug | |
EP2449438B1 (de) | Verfahren und system zur ansteuerung von mindestens einem aktuator | |
WO2022084176A1 (de) | Datenverarbeitungsnetzwerk zur datenverarbeitung | |
EP2013731B1 (de) | Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung | |
DE102012212680A1 (de) | Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten | |
DE10328059A1 (de) | Verfahren und Vorrichtung zur Überwachung eines verteilten Systems | |
DE102017218898A1 (de) | Kontrollsystem für ein Batteriesystem | |
WO2011113405A1 (de) | Steuergeräteanordnung | |
DE102022106664A1 (de) | Verfahren zum Betätigen eines Sensorsystems, Sensorsystem, Fahrzeug, Computerprogrammprodukt und Speichermedium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |