DE102019216030A1 - Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul - Google Patents

Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul Download PDF

Info

Publication number
DE102019216030A1
DE102019216030A1 DE102019216030.1A DE102019216030A DE102019216030A1 DE 102019216030 A1 DE102019216030 A1 DE 102019216030A1 DE 102019216030 A DE102019216030 A DE 102019216030A DE 102019216030 A1 DE102019216030 A1 DE 102019216030A1
Authority
DE
Germany
Prior art keywords
output
representation
output module
sensor
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019216030.1A
Other languages
English (en)
Inventor
Martin Stamm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102019216030.1A priority Critical patent/DE102019216030A1/de
Priority to PCT/EP2020/077936 priority patent/WO2021073938A1/de
Publication of DE102019216030A1 publication Critical patent/DE102019216030A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Verfahren (100) zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands durch ein Ausgabemodul (216) des Fahrzeugs, umfasst das Signieren (102) eines Sensorsignals, das einer physikalischen oder logischen Größe entspricht, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert, mit einer dem Sensor (202, 204), dem Sensortyp und/oder dem Signal bzw. der Signalart zugeordneten Signatur. Das signierte Sensorsignal wird über einen Kommunikationskanal (206, 208, 210) an ein mit dem Ausgabemodul (216) verbundenes und zu dessen Ansteuerung eingerichtetes ein Ausgabesteuergerät (212) gesendet. Das Ausgabesteuergerät (212) erzeugt eine von dem Ausgabemodul (216) ausgebbare Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals und sendet die ausgebbare Repräsentation und die mit dem Sensorsignal empfangene Signatur an das Ausgabemodul (216). Das Ausgabemodul (216) prüft, ob die ausgebbare Repräsentation zu der Signatur passt und gibt die ausgebbare Repräsentation aus, falls die ausgebbare Repräsentation und die Signatur zusammenpassen. Anderenfalls erzeugt das Ausgabemodul (216 eine wahrnehmbare Fehlerreaktion.

Description

  • GEBIET DER TECHNIK
  • Die Erfindung betrifft ein Verfahren zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände, ein Computerprogrammprodukt, ein entsprechendes System bzw. dessen Komponenten, und ein Fahrzeug mit einem erfindungsgemäßen System.
  • STAND DER TECHNIK
  • Moderne Fahrzeuge sind mit einer Vielzahl von Sensoren und Unterstützungssystemen ausgestattet, die dem sicheren, zulassungskonformen und/oder komfortablen Betrieb der Fahrzeuge dienen. Wie bei allen technischen Systemen kann eine fehlerfreie Funktionsfähigkeit der Systeme oder ihrer Komponenten trotz aller Anstrengungen und Vorkehrungen beim Design der Systeme bzw. Komponenten und zur Qualitätssicherung bei der Herstellung und Systemintegration nicht zu einhundert Prozent garantiert werden. Bestimmte, insbesondere sicherheitsrelevante Systeme oder Komponenten können zur Erhöhung der Betriebsbereitschaft des Fahrzeugs redundant ausgelegt sein, allerdings ist dies aus Kostengründen häufig nicht möglich.
  • In der Regel sind moderne Fahrzeuge so ausgelegt, dass sie auch bei Ausfall vieler Systeme oder Systemkomponenten noch eine eingeschränkte Funktion bieten. Sobald ein solcher Betriebsmodus oder -zustand vorliegt muss ein Fahrzeugführer dies erkennen können und das Fahrzeug entsprechend führen. Zur Information des Fahrzeugführers über Betriebszustände oder -modi und die ordnungsgemäße oder eingeschränkte Funktion bzw. den Ausfall von Systemen des Fahrzeugs sind in modernen Fahrzeugen eine Vielzahl von Ausgabegeräten im Wahrnehmungsbereich des Fahrzeugführers angeordnet.
  • Diese Ausgabegeräte umfassen unter anderem Displays, auf denen eine Vielzahl von Informationen zeitgleich dargestellt werden kann. Die Displays können dazu eingerichtet sein, in einigen Bereichen bei normaler Funktion der Fahrzeugsysteme bestimmte Inhalte darzustellen, deren jederzeitige Wahrnehmbarkeit von untergeordneter Bedeutung für das sichere Führen des Fahrzeugs ist. Andere Bereiche des Displays können für die Darstellung von Inhalten reserviert sein, deren jederzeitige Wahrnehmbarkeit für das sichere Führen von Fahrzeugen gewährleistet sein muss. Dabei müssen die Inhalte nicht ständig sichtbar sein, es ist auch möglich, dass die Inhalte abhängig von einer Betriebsart des Fahrzeugs selektiv dargestellt oder nicht dargestellt werden. Aus ergonomischen Gründen ist es von Vorteil, bestimmte Inhalte stets an derselben Stelle des Displays in derselben Art und Weise darzustellen. Bei selektiv dargestellten Inhalten kann diese Stelle abhängig von der Betriebsart oder dem Betriebszustand auch leer sein.
  • 4 zeigt einige exemplarische Beispiele für auf einem Display ausgebbare Repräsentationen, die einen Fahrzeugführer über für den sicheren Betrieb des Fahrzeugs relevante Zustände informieren. Von oben links ausgehend sind zeilenweise Symbole dargestellt, die die Funktion bzw. Fehlfunktion einer Lenkunterstützungseinrichtung, des Antiblockiersystems, der Bremseinrichtung, der Airbags, der Motorsteuerung und eines elektronischen Fahrstabilitätsprogramms darstellen. In der letzten Zeile ist ein Symbol für den Motoröldruck dargestellt, der ebenfalls einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand betrifft.
  • Wegen der Notwendigkeit, den Fahrzeugführer jederzeit über bestimmte Betriebs- und Systemzustände informieren zu müssen werden an die für diese Information notwendigen Systemkomponenten besondere Anforderungen gestellt, die beim Design der Systeme und Komponenten eingehalten werden müssen.
  • Im Automotive-Umfeld sind Anforderungen bezüglich der funktionalen Sicherheit von Straßenfahrzeugen bspw. in der ISO 26262 standardisiert und in Sicherheitsstufen eingeteilt, die auch als ASIL bezeichnet werden. ASIL steht für „Automotive Safety Integrity Level“ und weist vier Stufen, A, B, C und D, auf. Die Stufe A steht dabei für die niedrigste Gefährdungsstufe und D für die höchste Gefährdungsstufe. Der Standard definiert funktionale Sicherheit als „die Abwesenheit eines unverhältnismäßigen Risikos aufgrund von Gefahren, die durch ein fehlerhaftes Verhalten der elektrischen oder elektronischen Systeme verursacht werden.“ Die ASIL-Stufen legen Sicherheitsanforderungen für Fahrzeugkomponenten und -systeme basierend auf der Wahrscheinlichkeit und der Hinnehmbarkeit von Schäden fest.
  • Systeme wie bspw. Airbags, Antiblockiersysteme und Lenkunterstützungssysteme müssen dabei Sicherheitsanforderungen des ASIL D entsprechen, weil das Risiko des Eintritts eines Schadensfalls bei deren Ausfall am größten ist. Komponenten wie Rücklichter müssen dagegen nur den Anforderungen des ASIL A entsprechen. Bremsleuchten und Frontscheinwerfer müssen bspw. ASIL B Anforderungen entsprechen, und ein Geschwindigkeitsregelsystem den ASIL C Anforderungen.
  • Die zuvor genannten Ausgabegeräte, die einen Fahrzeugführer über Betriebszustände und -modi sowie die ordnungsgemäße Funktion bzw. den Ausfall von sicherheitsrelevanten Systemen bzw. Komponenten des von ihm geführten Fahrzeugs informieren können demnach ebenfalls den ASIL-Anforderungen unterliegen, sobald über sie sicherheitsrelevante Informationen ausgegeben werden.
  • Die für in Fahrzeugen die Information von Fahrzeugführern genutzten Systeme umfassen einen oder mehrere Sensoren, die für die Bestimmung des Betriebszustands erforderliche physikalische Messgrößen und/oder logische Zustände erfassen, ein oder mehrere Steuergeräte, welche die von dem einen oder den mehreren Sensoren gelieferten Messwerte auswerten und einen Betriebszustand oder -modus oder das ordnungsgemäße Funktionieren bzw. den Ausfall eines Systems oder einer Komponente des Fahrzeugs feststellen, einen Kommunikationskanal, bspw. ein Netzwerk, und das eigentliche Ausgabegerät.
  • Wie zuvor erwähnt kann das Ausgabegerät bspw. ein Display umfassen, das mit einem Steuergerät verbunden ist, welches die auf dem Display anzuzeigenden Informationen berechnet und über eine Grafikschnittstelle an das Display sendet. Die auf dem Display anzuzeigenden Informationen können allgemeine Inhalte umfassen, deren Anzeige nicht einer ASIL-Anforderung entsprechen muss, und sicherheitsrelevante Inhalte, deren Anzeige oder Ausgabe ASIL-Anforderungen entsprechen muss. Die korrekte Einblendung von sicherheitsrelevanten Inhalten über oder anstelle eines anderen Inhalts muss von dem Steuergerät gewährleistet sein. Für die Anzeige von für den sicheren Betrieb des Fahrzeugs relevanten Zuständen, oder allgemeiner für die Anzeige sicherheitsrelevanter Informationen, muss das Steuergerät daher ASIL-Anforderungen entsprechen, d.h. die Hardware und die Software des Steuergeräts müssen den in der ISO 26262 spezifizierten Sicherheitsanforderungen entsprechen, weil dem Fahrer zu keiner Zeit falsche Informationen über bestimmte sicherheitsrelevante Betriebszustände, Betriebsmodi oder das ordnungsgemäße Funktionieren von Systemen bzw. Komponenten des Fahrzeugs vermittelt werden dürfen.
  • Die für die Ansteuerung von Ausgabegeräten in Fahrzeugen eingesetzten Steuergeräte müssen eine zunehmende Anzahl von Sensorsignalen verarbeiten und zur Ausgabe bringen. Weil die Leistungsfähigkeit der in den Steuergeräten grundsätzlich nutzbaren Prozessoren stetig zunimmt stellt das aus Sicht der Rechenkapazität augenscheinlich kein Problem dar. Allerdings werden die Leistungssteigerungen üblicherweise mit Prozessoren erzielt, welche nicht aus dem Automotive-Umfeld stammen und daher nicht ASIL-Anforderungen entsprechen, so dass die Verwendung solcher leistungsfähigeren Komponenten nicht ohne weiteres möglich ist. Eine Anpassung der leistungsfähigeren Komponenten an die ASIL-Anforderungen wird wegen der verglichen mit anderen Industrien kleinen Stückzahlen im Automotive-Umfeld von den Herstellern nicht vorgenommen, oder ist wirtschaftlich nicht darstellbar. Außerdem muss die von dem Steuergerät ausgeführte Software ebenfalls den ASIL-Anforderungen entsprechen, so dass der Aufwand für die Entwicklung auch hier erheblich steigt.
  • Zudem sind nicht alle der zusätzlich hinzukommenden Sensorsignale gleichermaßen relevant für den sicheren Betrieb eines Fahrzeugs. Wie zuvor erläutert müssen sicherheitsrelevante Informationen einem Bediener des Fahrzeugs unter allen Umständen übermittelt werden können, während dies bei für den sicheren Betrieb des Fahrzeugs nicht notwendigen Informationen nicht unbedingt erforderlich ist. Bei einer Auslegung des Steuergeräts gemäß der ASIL-Anforderungen müsste für alle im Betrieb hypothetisch möglichen Signalzustände auch von Sensoren, die nicht sicherheitsrelevante Daten liefern, geprüft werden, ob die korrekte Anzeige von sicherheitsrelevanten Informationen zu jeder Zeit gewährleistet ist. In Anbetracht der großen Zahl von Informationen, die nicht sicherheitsrelevant sind und der vergleichsweise kleinen Zahl von sicherheitsrelevanten Informationen stellt diese Prüfung einen nicht vernachlässigbaren Kostenfaktor dar.
  • Das Festhalten an den bestehenden Systemen, die ASIL konform designt sind, und das Vorsehen von zusätzlichen Systemen in dem Fahrzeug, die keiner besonderen Sicherheitsanforderung unterliegen, könnte als eine naheliegende Lösung angesehen werden, mit den hinzukommenden, auf Ausgabegeräten auszugebenden Informationen umzugehen. Dies wird aber häufig unter anderem an Gestaltungswünschen und auch an Kostenvorgaben scheitern. Außerdem wird auch bei bestehenden, ASIL-konformen Systemen zu irgendeinem Zeitpunkt die wirtschaftliche Verfügbarkeit von zertifizierten Komponenten nicht mehr gegeben sein, so dass die naheliegende Lösung zwar einen Zeitaufschub bringt, aber nicht von großer Dauer wäre.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Es ist daher eine Aufgabe der vorliegenden Erfindung ein alternatives Verfahren und ein dieses implementierendes System zur Ausgabe von sicherheitsrelevanten Inhalten bzw. Informationen an einen Fahrzeugführer durch ein Ausgabemodul eines Fahrzeugs anzugeben, welches eine größer Freiheit bei der Auswahl der Systemkomponenten sowie eine einfachere Erweiterbarkeit vor allem bzgl. nicht-sicherheitsrelevanter Signalausgaben bietet, ohne dass jede neue oder geänderte Komponente zwingend den ASIL-Anforderungen entsprechen muss.
  • Diese Aufgabe wird durch das in Anspruch 1 angegebene Verfahren und das in Anspruch 5 angegebene System gelöst. Weiterentwicklungen und Ausgestaltungen sind in den jeweiligen abhängigen Ansprüchen angegeben.
  • Ein erfindungsgemäßes Verfahren zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands durch ein Ausgabemodul des Fahrzeugs umfasst das Signieren eines Sensorsignals, das einer physikalischen oder logischen Größe entspricht, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert, mit einer dem Sensor, dem Sensortyp und/oder dem Signal zugeordneten Signatur.
  • Der Begriff Ausgabe einer Repräsentation kann sich auf eine Vielzahl von möglichen Ausgabearten beziehen, wenngleich in der vorliegenden Beschreibung der Fokus auf einer visuellen Ausgabe auf einem Display liegt. Eine auf einem Display ausgegebene Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands kann bspw. ein Status- oder Warnsymbol bzw. -icon umfassen. Akustische Repräsentationen können bestimmte Signaltöne oder Signaltonfolgen umfassen.
  • Eine physikalische Größe, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert, kann bspw. durch einen Messwert eines Temperatursensors repräsentiert sein, der eine Maschinentemperatur oder eine Außentemperatur angibt, oder durch einen Messwert eines Pegelmessers, der einen Bremsflüssigkeits- oder Kühlwasserpegel angibt. Entsprechend kann eine logische Größe bspw. durch ein binäres Signal repräsentiert sein, welches die Funktion oder den Ausfall eines sicherheitsrelevanten Systems des Fahrzeugs angibt, bspw. eines Antiblockiersystems oder eines elektronischen Fahrstabilitätssystems.
  • Der Begriff Sensorsignal wird hierfür ein über einen Kommunikationskanal übertragbares Signal verwendet, das einen Messwert der physikalischen oder logischen Größe transportiert. Das Sensorsignal kann direkt von einem mit einer entsprechenden Schnittstelle für den Kommunikationskanal ausgestatteten Sensor übertragen werden, oder von einem mit einer entsprechenden Schnittstelle ausgestatteten Sensorsteuergerät, welchem Messwerte mehrerer Messaufnehmer zugeführt sind.
  • Das Verfahren umfasst außerdem das Senden des signierten Sensorsignals an ein mit dem Ausgabemodul verbundenes und zu dessen Ansteuerung eingerichtetes ein Ausgabesteuergerät über einen Kommunikationskanal, und entsprechend das Empfangen des signierten Sensorsignals in dem Ausgabesteuergerät.
  • Das Verfahren umfasst ferner das Erzeugen einer von dem Ausgabemodul ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals in dem Ausgabesteuergerät, das Senden der ausgebbaren Repräsentation und der mit dem Sensorsignal empfangenen Signatur von dem Ausgabesteuergerät an das Ausgabemodul und entsprechend das Empfangen der ausgebbaren Repräsentation und der Signatur in dem Ausgabemodul. Das Verfahren umfasst weiter das Prüfen, in dem Ausgabemodul, ob die ausgebbare Repräsentation zu der Signatur passt, und falls die ausgebbare Repräsentation und die Signatur zusammenpassen, das Ausgeben der ausgebbaren Repräsentation durch das Ausgabemodul, oder falls die ausgebbare Repräsentation und die Signatur nicht zusammenpassen, das Erzeugen einer wahrnehmbaren Fehlerreaktion.
  • Die wahrnehmbare Fehlerreaktion kann bspw. eine Ausgabe einer von dem Fahrzeugführer wahrnehmbaren Information sein, die auf eine Fehlfunktion des Sensors oder einer an der Übertragung des Sensorsignals beteiligten Systemkomponente hinweist. Eine wahrnehmbare Fehlfunktion kann auch das erkennbare Abschalten des Ausgabemoduls umfassen.
  • Der Schritt des Prüfens, ob die ausgebbare Repräsentation zu der Signatur passt, kann bei einer oder mehreren Ausgestaltungen das Berechnen einer eindeutigen Validierungsinformation aus der empfangenen ausgebbaren Repräsentation umfassen. Das berechnen der Validierungsinformation kann bspw. das Bilden einer Prüfsumme oder eines Streuwerts über Bilddaten eines empfangenen ausgebbaren Displayinhalts umfassen. Die berechnete Validierungsinformation kann dann mit einer zu der empfangenen Signatur in einem Speicher des Ausgabemoduls abgelegten Referenzinformation verglichen werden.
  • Bei einer oder mehreren Ausgestaltungen ist in dem Speicher des Ausgabemoduls zu einer Signatur eine von dem Ausgabemodul ausgebbare Repräsentation gespeichert, bspw. ein Bild oder Icon. Außerdem können Ausgabeparameter der Repräsentation gespeichert sein, bspw. eine Position auf einem Display, an der die Repräsentation auszugeben ist, eine Dauer der Ausgabe der Repräsentation, eine intermittierende Ausgabe oder dergleichen. Das Ausgabemodul kann die empfangene ausgebbare Repräsentation oder eine in dem Speicher gespeicherte Repräsentation ausgeben, letzteres bspw. um unabhängig von einer in dem Ausgabesteuergerät erzeugten Repräsentation ein festgelegtes graphische Erscheinungsbild zu erhalten. In jedem Fall legen die Ausgabeparameter fest, dass die ausgebbare Repräsentation stets über jeglichem anderen ausgegebenen Inhalt ausgegeben wird.
  • Wenn die ausgebbare Repräsentation ein Bild oder ein Icon ist, kann die Prüfung der Übereinstimmung von empfangener Repräsentation und gespeicherter Referenzinformation auch eine bildpunktweise Subtraktion der empfangenen und gespeicherten Bildinhalte voneinander umfassen. Bei völlig identischen Repräsentationen muss die von den Repräsentationen genutzte Fläche leer sein, bspw. die Helligkeits- oder Farbwerte jedes Bildpunkts 0 sein.
  • Bei dem erfindungsgemäßen Verfahren kann die Signatur des Sensorsignals in einem Datenstrom mittransportiert werden, der auch das Sensorsignal überträgt. Die Signatur kann aber auch über eine separate Datenverbindung übertragen werden, wobei eine Zuordnung von Signatur und Sensorsignal bspw. über Zeitstempel oder Tags erfolgt. Sofern ein Sensorsignal in einem Steuergerät verarbeitet wird, wird die empfangene Signatur von dem Steuergerät dem Ergebnis der Verarbeitung wieder hinzugefügt bzw. mit diesem zusammen weitergesendet. Von dem Ausgabesteuergerät kann die Signatur an das Anzeigemodul über eine separate Schnittstelle übertragen werden, oder in einem Datenstrom, der den auszugebenden Inhalt überträgt, bspw. in einem Bilddatenstrom. Bei einer Übertragung in einem Bilddatenstrom kann die Signatur bspw. in zur Synchronisation vorgesehenen Datenfeldern übertragen werden, oder in auf einem Display nicht dargestellten Bildbereichen, bspw. in einem Overscan-Bereich eines Bildinhalts. Es ist ebenfalls möglich, die Signatur in der ausgebbaren Repräsentation zu übertragen, bspw. in einer am äußeren Rand einer Bitmap-Darstellung eines auszugebenden graphischen Symbols liegenden Zeile oder Spalte, die bei der Ausgabe weggelassen wird. Eine andere Möglichkeit ist, die Signatur durch für Menschen nicht wahrnehmbare Änderungen in Farben oder Helligkeiten einzelner Pixel eines auszugebenden graphischen Symbols zu übertragen. Sofern die Signatur nicht in gleicher Weise in der im Ausgabemodul gespeicherten Referenzinformation enthalten ist können die die Signatur enthaltenen Zeilen oder Spalten bei der Berechnung der Validierungsinformation ignoriert werden, oder es kann ein Verfahren genutzt werden, das geringfügige Abweichungen zwischen der berechneten Validierungsinformation und Referenzinformation toleriert.
  • Ein erfindungsgemäßes Computerprogrammprodukt enthält entsprechend Befehle, die bei der Ausführung durch einen Computer diesen dazu veranlassen, eine oder mehrere Ausgestaltungen und Weiterentwicklungen des vorstehend beschriebenen Verfahrens ausführen.
  • Das Computerprogrammprodukt kann auf einem computerlesbaren Datenträger gespeichert sein. Der Datenträger kann physisch verkörpert sein, bspw. als Festplatte, CD, DVD, Flash-Speicher oder dergleichen, der Datenträger kann aber auch ein moduliertes elektrisches, elektromagnetisches oder optisches Signal umfassen, das von einem Computer mittels eines entsprechenden Empfängers empfangen und in dem Speicher des Computers gespeichert werden kann.
  • Ein erfindungsgemäßes Fahrzeugsystem, das zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands eingerichtet ist, umfasst ein Ausgabemodul, einen oder mehrere Sensoren, ein mit dem Ausgabemodul verbundenes und zu dessen Ansteuerung eingerichtetes Ausgabesteuergerät und eine Kommunikationsvorrichtung, die einen Kommunikationskanal zwischen dem einen oder den mehreren Sensoren und dem Ausgabesteuergerät bereitstellt. Die Kommunikationsvorrichtung kann bspw. ein Netzwerk umfassen, wobei das Netzwerk mehrere miteinander verbundene Abschnitte aufweisen kann, die nach unterschiedlichen Standards festgelegte physische und/oder logische Eigenschaften aufweisen, bspw. CAN, Ethernet, FlexRay, etc.
  • Der eine oder die mehreren Sensoren, das Ausgabesteuergerät und das Ausgabemodul des Fahrzeugsystems sind dazu eingerichtet, einen oder mehrere Schritte des vorstehend beschriebenen Verfahrens auszuführen.
  • Im Betrieb ist das Fahrzeugsystem also dazu eingerichtet, mittels des einen oder der mehreren Sensoren eine physikalische oder logische Größe zu erfassen, die einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert. Die physikalische oder logische Größe kann bspw. eine Umweltbedingung oder einen Zustand einer Fahrzeugkomponente betreffen. Die erfasste physikalische oder logische Größe wird von dem jeweiligen Sensor oder einem Steuergerät, mit dem der jeweilige Sensor verbunden ist, in ein entsprechendes Sensorsignal umgesetzt, mit einer dem Sensor, dem Sensortyp und/oder der physikalischen oder logischen Größe zugeordneten Signatur versehen, und das signierte Sensorsignal wird über einen mit einer Sensorschnittstelle des Sensors verbundenen Kommunikationskanal an eine erste Steuergeräteschnittstelle eines Ausgabesteuergeräts übertragen. Der Kommunikationskanal kann ein Netzwerk umfassen, welches Daten über miteinander verbundene Abschnitte des Netzwerks transportiert. Die einzelnen Abschnitte des Netzwerks können entsprechend eines oder unterschiedlicher Standards realisiert sein. Das Ausgabesteuergerät empfängt das signierte Sensorsignal an der ersten Steuergeräteschnittstelle und erzeugt, basierend auf dem empfangenen Sensorsignal und der Signatur, eine von einem Ausgabemodul ausgebbare Repräsentation eines Bedeutungsinhalts des Sensorsignals. Die ausgebbare Repräsentation wird zusammen mit der empfangenen Signatur über eine zweite Steuergeräteschnittstelle des Ausgabesteuergeräts an eine Schnittstelle des Ausgabemoduls übertragen. Das Ausgabemodul empfängt die ausgebbare Repräsentation und die Signatur an seiner Schnittstelle und gleicht die empfangenen Daten mit in einem Speicher des Ausgabemoduls gespeicherten Validierungsinformationen ab. Wenn der Vergleich ergibt, dass die empfangene ausgebbare Repräsentation und die empfangene Signatur zusammenpassen gibt das Ausgabemodul die ausgebbare Repräsentation aus. Wenn die empfangene ausgebbare Repräsentation und die empfangene Signatur nicht zusammenpassen gibt das Ausgabemodul eine wahrnehmbare Fehlerreaktion aus.
  • Ein Sensor des Fahrzeugsystems umfasst eine oder mehrere Sensoranordnungen, die zur Erfassung von physikalischen oder logischen Größen eingerichtet sind, welche für den sicheren Betrieb des Fahrzeugs relevante Zustände repräsentieren. Der Sensor umfasst außerdem ein Sensorsteuergerät, das zur Erzeugung eines Sensorsignals in Abhängigkeit von der erfassten physikalischen oder logischen Größe eingerichtet ist, und das außerdem dazu eingerichtet ist, das Sensorsignal mit einer dem Sensor, dem Sensortyp und/oder der physikalischen oder logischen Größe zugeordneten Signatur zu versehen. Die Sensoranordnung und das Sensorsteuergerät können räumlich voneinander beabstandet angeordnet sein, und das Sensorsteuergerät kann mit mehreren Sensoranordnungen zur Erfassung gleicher oder unterschiedlicher physikalischer oder logischer Größen verbunden sein. Der Sensor oder das Sensorsteuergerät weisen ferner eine Sensorschnittstelle auf, die zur Übertragung des signierten Sensorsignals über einen Kommunikationskanal an ein Ausgabesteuergerät eingerichtet ist.
  • Ein Ausgabesteuergerät des Fahrzeugsystems umfasst eine erste Steuergeräteschnittstelle, die zum Empfang von signierten Sensorsignalen über ein Kommunikationsnetzwerk eingerichtet ist, und eine zweite Steuergeräteschnittstelle, die mit einem Ausgabegerät verbunden ist. Das Ausgabesteuergerät ist dazu eingerichtet, basierend auf empfangenen signierten Sensorsignalen und der Signatur eine von dem Ausgabemodul ausgebbare Repräsentation eines Bedeutungsinhalts des Sensorsignals zu erzeugen, und die Repräsentation zusammen mit der empfangenen Signatur über die zweite Steuergeräteschnittstelle an das Ausgabemodul zu übertragen. Der Ausdruck „Repräsentation eines Bedeutungsinhalts“ steht hierbei für eine Repräsentation, die einem menschlichen Empfänger eine Bedeutung der physikalischen oder logischen Größe in einem zugehörigen Kontext vermittelt. Eine logische Größe kann bspw. ein Flag sein, das eine fehlerhafte Funktion einer Fahrzeugkomponente signalisiert, bspw. einen Ausfall des ABS. Das entsprechende Sensorsignal kann bspw. ein Fehlercode sein, mit dem ein normaler Fahrzeugführer wenig anfangen kann. Die Repräsentation des Bedeutungsinhalts kann bspw. ein Symbol sein, das ein vereinfachtes Symbol einer Bremseinrichtung zeigt, ggf. mit den Buchstaben ABS, so dass der Fahrzeugführer sofort erkennen kann, dass ein für den sicheren Betrieb des Fahrzeugs wichtiges System nicht oder fehlerhaft funktioniert. Im Falle einer physikalischen Größe, bspw. einer Temperatur, wird ein von einer Sensoranordnung, also bspw. einem Messfühler, erfasster Messwert in einen Datenwert eines Sensorsignals umgewandelt, der einem menschlichen Empfänger nicht unbedingt unmittelbar eine Vorstellung von der Temperatur vermittelt. Die Repräsentation des Datenwerts kann bspw. eine Ausgabe der Temperatur in Grad Celsius oder Grad Fahrenheit umfassen, die einem menschlichen Empfänger in der Regel einen Eindruck von der Temperatur vermittelt. Bei tiefen Temperaturen kann bspw. auch eine Anzeige eines Schneeflockensymbols erfolgen, das in weiten Kreisen als Warnsymbol bspw. bei tiefen Außentemperaturen oder niedriger Motortemperatur akzeptiert ist. Graphisch ausgebbare Repräsentationen des Bedeutungsinhalts von Sensorsignalen können z.B. monochrome oder farbige Bitmaps oder andere Grafikformate umfassen.
  • Ein Ausgabemodul des Fahrzeugsystems umfasst eine oder mehrere Schnittstellen, die zum Empfang einer von dem Ausgabemodul ausgebbaren Repräsentation und einer zu der ausgebbaren Repräsentation zugehörigen Signatur eingerichtet sind. Die ausgebbare Repräsentation und die Signatur können über dieselbe Schnittstelle oder über voneinander unabhängige Schnittstellen empfangen sein, es kommt vor allem darauf an, dass eine Signatur und eine ausgebbare Repräsentation für das Ausgabemodul erkennbar zueinander gehören. Das Ausgabemodul umfasst außerdem einen Speicher, der Referenzinformationen zu Signaturen von ausgebbaren Repräsentationen speichert, und eine Vergleichsvorrichtung, welche dazu eingerichtet ist, auf Basis der ausgebbaren Repräsentation Validierungsinformationen zu berechnen und mit zu der empfangenen Signatur gespeicherten Referenzinformationen zu vergleichen. Das Ausgabemodul ist außerdem dazu eingerichtet, abhängig von dem Ergebnis des Vergleichs die ausgebbare Repräsentation oder eine wahrnehmbare Fehlerreaktion auszugeben. Das Ausgabemodul umfasst außerdem eine Anordnung, die einem menschlichem Empfänger die ausgebbare Repräsentation und die Fehlerreaktion wahrnehmbar vermittelt, bspw. ein Monochrom- oder Farbdisplay, oder ein Lautsprecher zur Ausgabe von akustischen Repräsentationen von für den Betrieb eines Fahrzeugs relevanten Zuständen.
  • Die vorliegende Erfindung trennt den Funktionspfad der Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands durch ein Ausgabemodul des Fahrzeugs in die Phasen Erfassen des Zustands, Übertragen des Zustands an ein Anzeigesteuergerät und Ausgabe der Repräsentation. Dabei kann durch die Signierung der sicherheitsrelevanten Sensorsignale durch den Sensor und die Weiterleitung der Signatur zusammen mit den Sensorsignalen über alle an der Kommunikation und der Datenverarbeitung beteiligten Komponenten im Ausgabemodul eine Verifikation der auszugebenden Repräsentation erfolgen, so dass vor allem der Sensor und das Ausgabegerät ASIL-Anforderungen entsprechen müssen, während dies für andere Komponenten nicht notwendigerweise der Fall ist. Bei Sensorsignalen, die nicht zu der dazu empfangenen Signatur passen, können so Fehler in der Verarbeitungskette bis zum letzten Glied erkannt werden, und es können am Ende der Signalkette entsprechend wahrnehmbare Fehlerreaktionen ausgelöst werden. Dadurch ist das Verfahren und das System in besonders vorteilhafter Weise in Fahrzeugnetzwerken einsetzbar, in denen Netzwerke in Zonen mit eigenen Zonenservern eingeteilt sind. Durch die über die Signatur des Sensorsignals gewährleistete Absicherung der korrekten Ausgabe von sicherheitsrelevanten Inhalten ist es möglich, zwischen dem Sensor und dem Ausgabemodul liegende Komponenten nach dem üblichen QM-Standard zu entwickeln, ohne dass eine ASIL-Anforderung erfüllt sein müsste; nur die Sensoren und das Ausgabegerät müssen den ASIL-Anforderungen entsprechen. Da diese weniger komplexe Hardware und Software umfassen ist die Entwicklung der Sensoren und Ausgabegeräte nach den einschlägigen Sicherheitsstandards einfacher und günstiger.
  • Figurenliste
  • Nachfolgend wird die Erfindung anhand einer Ausführungsform unter Bezugnahme auf die begleitenden Figuren exemplarisch näher erläutert. Alle Figuren sind rein schematisch. Es zeigen:
    • 1 ein exemplarisches Flussdiagramm des erfindungsgemäßen Verfahrens,
    • 2 eine schematische Darstellung eines zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten Fahrzeugsystems,
    • 3 eine weitere schematische Darstellung des zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten Fahrzeugsystems,
    • 4 Beispiele von ausgebbaren Repräsentationen von für den sicheren Betrieb eines Fahrzeugs relevanten Zuständen, und
    • 5 Beispiele von ausgebbaren Repräsentationen mit darin enthaltenen Signaturen.
  • In den Figuren sind gleiche oder ähnliche Elemente mit denselben Referenzzeichen bezeichnet.
  • BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN
  • 1 zeigt ein exemplarisches Flussdiagramm des erfindungsgemäßen Verfahrens 100. In Schritt 102 wird ein Sensorsignal mit einer dem Sensor, dem Sensortyp und/oder dem Signal zugeordneten Signatur signiert, und in Schritt 104 an ein mit einem Ausgabemodul verbundenes Ausgabesteuergerät gesendet. Das Ausgabesteuergerät empfängt das signierte Sensorsignal, Schritt 106, und erzeugt in Schritt 108 eine von dem Ausgabemodul ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals, das zusammen mit der Signatur in Schritt 110 an das Ausgabemodul gesendet wird. Das Ausgabemodul empfängt die ausgebbare Repräsentation in Schritt 112 und prüft in Schritt 114, ob die ausgebbare Repräsentation zu der Signatur passt. Die Prüfung kann das Berechnen einer Validierungsinformation aus der empfangenen ausgebbaren Repräsentation enthalten, Schritt 114a, und das Vergleichen der berechneten Validierungsinformation mit einer in einem Speicher des Ausgabemoduls gespeicherten Referenzinformation, Schritt 114b. Wenn der Vergleich ergibt, dass die Signatur zu der empfangenen ausgebbaren Repräsentation passt, „j“-Zweig von Schritt 114, gibt das Ausgabemodul sie aus, Schritt 116. Die Ausgabe kann das Auslesen von Ausgabeparametern umfassen, Schritt 116, welche bspw. angeben, an welcher Stelle auf einem Display eine ausgebbare Repräsentation darzustellen ist. Wenn der Vergleich ergibt, dass die Signatur nicht zu der empfangenen ausgebbaren Repräsentation pass, „n“-Zweig von Schritt 114, erzeugt das Ausgabemodul eine wahrnehmbare Fehlerreaktion, die bspw. darin bestehen kann, dass eine vorbestimmte Nachricht auf einem Display dargestellt wird, oder dass das Display abgeschaltet wird.
  • 2 zeigt eine schematische Darstellung eines zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten beispielhaften Fahrzeugsystems 200. Fahrzeugsystem 200 umfasst ein Sensorsteuergerät 202, das ein Sensorsignal ausgibt, das einer physikalischen oder logischen Größe entspricht, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert. Sensorsteuergerät 202 umfasst außerdem eine oder mehrere Sensoranordnungen 204, die physikalische oder logischer Größe erfassen und dem Sensorsteuergerät 202 zuführen. Sensorsteuergerät 202 ist dazu eingerichtet, Sensorsignale vor der Ausgabe mit einer dem Sensorsteuergerät 202, dem Sensortyp und/oder dem Signal bzw. der Signalart zugeordneten Signatur zu signieren. Sensorsteuergerät 202 sendet das signierte Sensorsignal über ein erstes Teilstück 206 eines Kommunikationskanals an einen optionalen Zonenserver 208. Zonenserver 208 ist mit mehreren Steuergeräten einer Zone des Fahrzeugs verbunden und leitet die Signale zusammen mit deren Signaturen über ein zweites Teilstück 210 des Kommunikationskanals an ein Ausgabesteuergerät 212 weiter. Ausgabesteuergerät 212 erzeugt aus dem empfangenen Sensorsignal und der Signatur eine von einem mit dem Ausgabesteuergerät 212 über ein drittes Teilstück 214 des Kommunikationskanals verbundenen Ausgabemodul 216 ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals, und sendet sie an das Ausgabemodul 216. Ausgabemodul 216 umfasst eine Vergleichs- bzw. Prüfvorrichtung 218, die dazu eingerichtet ist, die empfangene ausgebbare Repräsentation darauf zu prüfen, ob sie zu der Signatur passt. Nur Sensorsteuergerät 202 und Ausgabemodul 216 sowie die Vergleichs- bzw. Prüfvorrichtung 218 müssen ASIL-Anforderungen entsprechen, angedeutet durch den schraffierten Hintergrund, weil nur diese Komponenten des Systems die Ausgabe eines einem sicherheitsrelevanten Zustand entsprechenden Inhalts oder Signals aktiv beeinflussen können. Die Vergleichs- bzw. Prüfvorrichtung kann durch ein entsprechendes Computerprogramm gebildet sein, welches in dem Ausgabemodul ausgeführt wird, und kann Hardware-Komponenten bzw. Teile davon umfassen. Ein oder mehrere Zonenserver 208, die Teile des Kommunikationskanals bilden, sowie das Ausgabesteuergerät 212, können zwar Inhalte übertragener Nachrichten verändern, jedoch würde diese Veränderung spätestens bei der Prüfung in dem Ausgabemodul 216 auffallen und eine Fehlerreaktion auslösen. Daher müssen die Zonenserver 208 und das Ausgabesteuergerät 212 nicht den strengen ASIL-Anforderungen genügen; es genügt hier, die etablierten QM-Anforderungen zu erfüllen.
  • 3 zeigt eine weitere schematische Darstellung des zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten Fahrzeugsystems 200. Die Darstellung entspricht im Wesentlichen derjenigen aus 2. In 3 sind beispielhafte unterschiedliche Teilstücke 206, 210, 214 des Kommunikationskanals dargestellt. Das erste Teilstück 206 kann bspw. eine Verbindung nach dem CAN-Bus Standard umfassen, über den Sensorsteuergerät 202 mit Zonenserver 208 verbunden ist. Wie bereits an anderer Stelle erwähnt kann das Sensorsteuergerät 202 mit der eigentlichen Sensoranordnung 204, welche die physikalische oder logische Größe aufnimmt, in einem Bauteil vereint sein, oder mit mehreren räumlich getrennten Sensoranordnungen 204 verbunden sein. Das zweite Teilstück 210 kann bspw. eine Ethernet-Verbindung zwischen Zonenserver 208 und Ausgabesteuergerät 212 umfassen. Das dritte Teilstück kann bspw. eine LVDS-Displayschnittstelle umfassen. Allen drei Teilstücken ist gemeinsam, dass über sie neben dem Sensorsignal bzw. den Sensordaten in dem „Data“-Feld die zu dem Sensorsignal gehörende Signatur gemäß dem jeweiligen Protokoll übertragen wird. In dem „Data“-Feld können neben dem Sensorsignal bzw. den Sensordaten Zeitstempel, Zustandsinformationen des Sensors sowie weitere Informationen übertragen werden, die in dem Ausgabesteuergerät in eine Ausgabe umgesetzt werden. Zusätzlich kann ein „Alive Counter“ vorgesehen sein, der dazu genutzt werden kann, zu überwachen, dass keine vom Sensorsteuergerät gesendeten Nachrichten bei der Übertragung verloren gehen. Dies kann bspw. dadurch erfolgen, dass das Ausgabemodul jeweils den Zählwert der letzten von einem Steuergerät gesendeten Nachricht speichert und den Zählwert der nächsten von diesem Steuergerät gesendeten Nachricht damit vergleicht. Bei Überspringen eines Zählwerts, d.h. die Nachricht hat einen um zwei oder mehr höheren Zählwert, kann eine entsprechende Fehlerreaktion ausgegeben werden. Das Einbetten der Signatur in unterschiedliche Protokolle von Übertragungsstrecken kann ohne Änderung der Protokolle erfolgen, bspw. in den Payload-Abschnitten oder ungenutzten Datenfeldern. Wegen der Ende-zu-Ende Kontrolle ist eine Absicherung der für den Transport genutzten Schnittstellen nicht erforderlich.
  • 4 wurde bereits mit Bezug auf den Stand der Technik beschrieben und wird daher an dieser Stelle nicht erneut erörtert.
  • 5 zeigt Beispiele von ausgebbaren Repräsentationen mit darin enthaltenen Signaturen. In 5 a) ist in einer oberen Zeile eines Bitmap-Bildes, welches die auf einem Display ausgebbare Repräsentation darstellt, ein barcode-ähnlicher Wechsel von schwarzen und weißen Bildpunkten enthalten, der die Signatur enthält. Bei der Prüfung kann das Ausgabemodul entweder diese Zeile ignorieren, und aus den übrigen Zeilen eine Validierungsinformation berechnen, die mit der in dem Ausgabemodul gespeicherten Referenzinformation für die Signatur verglichen wird, oder die Referenzinformation kann bereits die in der Repräsentation enthaltene Signatur berücksichtigen. Bei der Ausgabe auf dem Display kann die obere Zeile entsprechend weggelassen werden.
  • In 5 b) ist ebenfalls ein barcode-ähnlicher Wechsel von Bildpunkten enthalten, der die Signatur enthält, in der oberen Zeile des eines Bitmap-Bildes enthalten, welches die auf einem Display ausgebbare Repräsentation darstellt. Bei dieser Ausführungsform ist der Wechsel für einen menschlichen Betrachter allerdings nicht wahrnehmbar, weil die Bildpunkte des an sich schwarzen Randes des Bitmaps-Bildes zwischen schwarz und einem nur eine Helligkeitsstufe helleren dunkelgrau wechseln. In der Figur ist dies aus Gründen der Darstellbarkeit durch mittelgraue Bildpunkte angedeutet. Bei dieser Ausführung ist es nicht erforderlich, die obere Zeile bei der Ausgabe auf einem Display wegzulassen. Anstelle schwarzer und dunkelgrauer Bildpunkte können, abhängig von dem Bildhintergrund auf dem das Symbol dargestellt wird, natürlich andere Farb- oder Helligkeitskombinationen genutzt werden.
  • Bezugszeichenliste
    • 100
    Verfahren
    102
    Signieren
    104
    Senden
    106
    Empfangen
    108
    Erzeugen
    110
    Senden
    112
    Empfangen
    114
    Prüfen
    114a
    Validierungsinformation berechnen
    114b
    Vergleichen
    116
    Ausgeben
    116a
    Ausgabeparameter auslesen
    118
    Fehlerreaktion erzeugen
    200
    Fahrzeugsystem
    202
    Sensorsteuergerät
    204
    Sensoranordnung
    206
    erstes Kommunikationskanal-Teilstück
    208
    Zonenserver
    210
    zweites Kommunikationskanal-Teilstück
    212
    Ausgabesteuergerät
    214
    drittes Kommunikationskanal-Teilstück
    216
    Ausgabemodul
    218
    Vergleichs- bzw. Prüfvorrichtung

Claims (11)

  1. Verfahren (100) zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands durch ein Ausgabemodul (216) des Fahrzeugs, umfassend: - Signieren (102) eines Sensorsignals, das einer physikalischen oder logischen Größe entspricht, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert, mit einer êinem Sensor (202, 204), einem Sensortyp und/oder einem Signal bzw. einer Signalart zugeordneten Signatur, - Senden (104) des signierten Sensorsignals über einen Kommunikationskanal (206, 208, 210) an ein mit dem Ausgabemodul (216) verbundenes und zu dessen Ansteuerung eingerichtetes Ausgabesteuergerät (212), - Empfangen (106) des signierten Sensorsignals in dem Ausgabesteuergerät (212), - Erzeugen (108), in dem Ausgabesteuergerät (212), einer von dem Ausgabemodul (216) ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals, - Senden (110), von dem Ausgabesteuergerät (212), der ausgebbaren Repräsentation und der mit dem Sensorsignal empfangenen Signatur an das Ausgabemodul (216), - Empfangen (112), in dem Ausgabemodul (216), der ausgebbaren Repräsentation und der Signatur, - Prüfen (114), in dem Ausgabemodul (216), ob die ausgebbare Repräsentation zu der Signatur passt, und - falls die ausgebbare Repräsentation und die Signatur zusammenpassen, Ausgeben (116) der ausgebbaren Repräsentation durch das Ausgabemodul (216), oder - falls die ausgebbare Repräsentation und die Signatur nicht zusammenpassen, Erzeugen (118) einer wahrnehmbaren Fehlerreaktion.
  2. Verfahren (100) nach Anspruch 1, wobei das Prüfen (114) umfasst: - Berechnen (114a) einer eindeutigen Validierungsinformation aus der empfangenen ausgebbaren Repräsentation, und - Vergleichen (114b) der berechneten Validierungsinformation mit einer zu der empfangenen Signatur in einem Speicher abgelegten Referenzinformation.
  3. Verfahren (100) nach Anspruch 1 oder 2, wobei das Ausgeben (116) umfasst: - Auslesen (116a) von Ausgabeparametern aus einem Speicher.
  4. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei das Erzeugen (118) einer wahrnehmbaren Fehlerreaktion die Ausgabe eines vorbestimmten Inhalts durch das Ausgabemodul (216) oder das wahrnehmbare Abschalten des Ausgabemoduls (216) umfasst.
  5. Fahrzeugsystem (200) eingerichtet zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands, umfassend: - ein Ausgabemodul (216), - einen oder mehrere Sensoren (202, 204), - ein mit dem Ausgabemodul (216) verbundenes und zu dessen Ansteuerung eingerichtetes Ausgabesteuergerät (212), und - eine Kommunikationsvorrichtung, die einen Kommunikationskanal zwischen Sensoren (202, 204) und Ausgabesteuergerät (212) bereitstellt, wobei der eine oder die mehreren Sensoren (202, 204), das Ausgabesteuergerät (212) und das Ausgabemodul (216) dazu eingerichtet sind, einen oder mehrere Schritte eines Verfahrens (100) nach einem der vorhergehenden Ansprüche auszuführen.
  6. Sensor (202, 204) des Fahrzeugsystems (200) nach Anspruch 5, umfassend: - mindestens eine Sensoranordnung (204), die zur Erfassung einer physikalischen oder logischen Größe eingerichtet ist, welche einen für den sicheren Betrieb des Fahrzeugs relevanten Zustand repräsentiert, - ein Sensorsteuergerät (202), das zur Erzeugung eines Sensorsignals in Abhängigkeit von der erfassten physikalischen oder logischen Größe eingerichtet ist, und das außerdem dazu eingerichtet ist, das Sensorsignal mit einer dem Sensor, dem Sensortyp, dem Signal bzw. der Signalart und/oder der physikalischen oder logischen Größe zugeordneten Signatur zu versehen, - einer Sensorschnittstelle, die zur Übertragung des signierten Sensorsignals über einen Kommunikationskanal (206, 208, 210) an ein Ausgabesteuergerät (212) eingerichtet ist.
  7. Ausgabesteuergerät (212) des Fahrzeugsystems (200) nach Anspruch 5, umfassend: - eine erste Steuergeräteschnittstelle, die zum Empfang von signierten Sensorsignalen über ein Kommunikationsnetzwerk (206, 208, 210) eingerichtet ist, - eine zweite Steuergeräteschnittstelle, die mit einem Ausgabemodul (216) verbunden ist, wobei das Ausgabesteuergerät dazu eingerichtet ist, basierend auf empfangenen signierten Sensorsignalen und der Signatur eine von dem Ausgabemodul (216) ausgebbare Repräsentation eines Bedeutungsinhalts des Sensorsignals zu erzeugen, und die Repräsentation zusammen mit der empfangenen Signatur über die zweite Steuergeräteschnittstelle an das Ausgabemodul (216) zu übertragen.
  8. Ausgabemodul (216) des Fahrzeugsystems (200) nach Anspruch 5, umfassend: - eine Schnittstelle, die zum Empfang einer von dem Ausgabemodul (216) ausgebbaren Repräsentation und einer zu der ausgebbaren Repräsentation zugehörigen Signatur eingerichtet ist, - einen Speicher, der Referenzinformationen zu Signaturen von ausgebbaren Repräsentationen speichert, - eine Vergleichs- bzw. Prüfvorrichtung (218), welche dazu eingerichtet ist, auf Basis der ausgebbaren Repräsentation Validierungsinformationen zu berechnen und mit zu der empfangenen Signatur gespeicherten Referenzinformationen zu vergleichen, wobei das Ausgabemodul (216) außerdem dazu eingerichtet ist, abhängig von dem Ergebnis des Vergleichs die ausgebbare Repräsentation oder eine wahrnehmbare Fehlerreaktion auszugeben.
  9. Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Programms durch einen Mikroprozessor diesen veranlassen, das Verfahren (100) nach einem oder mehreren der Ansprüche 1-4 auszuführen.
  10. Computerlesbarer Datenträger, auf dem das Computerprogrammprodukt nach Anspruch 9 gespeichert ist.
  11. Fahrzeug mit einem Fahrzeugsystem nach Anspruch 5.
DE102019216030.1A 2019-10-17 2019-10-17 Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul Pending DE102019216030A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102019216030.1A DE102019216030A1 (de) 2019-10-17 2019-10-17 Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul
PCT/EP2020/077936 WO2021073938A1 (de) 2019-10-17 2020-10-06 Verfahren und vorrichtung zur ausgabe von repräsentationen für den sicheren betrieb eines fahrzeugs relevanter zustände durch ein ausgabemodul

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019216030.1A DE102019216030A1 (de) 2019-10-17 2019-10-17 Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul

Publications (1)

Publication Number Publication Date
DE102019216030A1 true DE102019216030A1 (de) 2021-04-22

Family

ID=72811823

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019216030.1A Pending DE102019216030A1 (de) 2019-10-17 2019-10-17 Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul

Country Status (2)

Country Link
DE (1) DE102019216030A1 (de)
WO (1) WO2021073938A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE2351065A1 (en) * 2022-09-15 2024-03-16 Continental Automotive Tech Gmbh Method for transferring a data set between a tachograph and a control device

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012024818A1 (de) * 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
DE102014220373A1 (de) * 2014-10-08 2016-04-14 Bayerische Motoren Werke Aktiengesellschaft Freiprogrammierbares Display
DE102015209448A1 (de) * 2015-05-22 2016-11-24 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Anzeige sicherheitsrelevanter Anzeigeelemente
DE102015211451A1 (de) * 2015-06-22 2017-01-05 Volkswagen Aktiengesellschaft Verfahren zu einem Manipulationsschutz von über ein Bussystem zwischen Systemkomponenten zu übertragenden Nutzdatenpaketen
DE102016212196A1 (de) * 2016-07-05 2018-01-11 Robert Bosch Gmbh Verfahren zum Auswerten von Sensordaten
US20190018408A1 (en) * 2017-07-12 2019-01-17 Qualcomm Incorporated Systems and methods for verifying integrity of a sensing system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008043830A1 (de) * 2008-11-18 2010-05-20 Bundesdruckerei Gmbh Kraftfahrzeug-Anzeigevorrichtung, Kraftfahrzeug-Elektroniksystem, Kraftfahrzeug, Verfahren zur Anzeige von Daten und Computerprogrammprodukt
DE102014008808A1 (de) * 2014-06-11 2014-11-27 Daimler Ag Verfahren zur Absicherung der Übertragung von sicherheitsrelevanten Kamerabildern
DE102016225436A1 (de) * 2016-12-19 2018-06-21 Volkswagen Aktiengesellschaft Sensor zum Erfassen von Messwerten, Verfahren, Vorrichtung und computerlesbares Speichermedium mit Instruktionen zur Verarbeitung von Messwerten eines Sensors
US10331128B1 (en) * 2018-04-20 2019-06-25 Lyft, Inc. Control redundancy

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012024818A1 (de) * 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
DE102014220373A1 (de) * 2014-10-08 2016-04-14 Bayerische Motoren Werke Aktiengesellschaft Freiprogrammierbares Display
DE102015209448A1 (de) * 2015-05-22 2016-11-24 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Anzeige sicherheitsrelevanter Anzeigeelemente
DE102015211451A1 (de) * 2015-06-22 2017-01-05 Volkswagen Aktiengesellschaft Verfahren zu einem Manipulationsschutz von über ein Bussystem zwischen Systemkomponenten zu übertragenden Nutzdatenpaketen
DE102016212196A1 (de) * 2016-07-05 2018-01-11 Robert Bosch Gmbh Verfahren zum Auswerten von Sensordaten
US20190018408A1 (en) * 2017-07-12 2019-01-17 Qualcomm Incorporated Systems and methods for verifying integrity of a sensing system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE2351065A1 (en) * 2022-09-15 2024-03-16 Continental Automotive Tech Gmbh Method for transferring a data set between a tachograph and a control device
DE102022210422A1 (de) 2022-09-15 2024-03-21 Continental Automotive Technologies GmbH Verfahren zum Übertragen eines Datensatzes zwischen einem Tachografen und einem Steuergerät

Also Published As

Publication number Publication date
WO2021073938A1 (de) 2021-04-22

Similar Documents

Publication Publication Date Title
DE102005014550B4 (de) Brake By-Wire Steuersystem
DE10243713B4 (de) Redundante Steuergeräteanordnung
EP2040957B1 (de) Verfahren und vorrichtung zur plausibilitätskontrolle von messwerten im kraftfahrzeugumfeld
DE102015110965B4 (de) Drehzahl bei einem Fahrzeug unabhängig von Ausfällen
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
EP2833349B1 (de) Verfahren und Vorrichtung zur Darstellung eines sicherheitsrelevanten Zustands
DE10052307A1 (de) Fehlermeldungssystem für ein Fahrzeug
EP2273369A1 (de) Verfahren zur Darstellung einer sicherheitsrelevanten Information auf einer Anzeigevorrichtung und Vorrichtung zur Durchführung des Verfahrens
WO2018233934A1 (de) Vorrichtung und verfahren zum ansteuern eines fahrzeugmoduls
DE102006056668A1 (de) Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems
DE102007029116A1 (de) Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
WO2021073938A1 (de) Verfahren und vorrichtung zur ausgabe von repräsentationen für den sicheren betrieb eines fahrzeugs relevanter zustände durch ein ausgabemodul
EP2845185A1 (de) Verfahren zur darstellung sicherheitskritischer daten durch eine anzeigeneinheit; anzeigeneinheit
EP3400452A1 (de) Transporteinheit mit zumindest einer anlage
EP3571085B1 (de) Verfahren und vorrichtung zum anzeigen eines hinweises für einen anwender und arbeitsvorrichtung
EP2394400B1 (de) Konfigurierbare statusverarbeitungseinheit für sensor-aktor-systeme
DE102019202862B4 (de) Vorrichtung zur Bereitstellung von Bilddaten
DE102018207791A1 (de) Verfahren zur Authentifizierung eines von einem Kfz-System eines Fahrzeugs erzeugten Diagnosefehlercodes
DE102020207065B3 (de) Fahrzeug, Verfahren, Computerprogramm und Vorrichtung zum Zusammenführen von Objektinformationen über ein oder mehrere Objekte in einem Umfeld eines Fahrzeugs
DE102019203775B4 (de) Verfahren und Vorrichtung zur Verwendung der Fehlerfortpflanzung
DE102016215213A1 (de) Vorrichtung, Steuergerät, Verfahren, Fahrzeug und Computerprogramm zum Bestimmen von Information über einen Ersatzwert für einen Sensorwert
DE102020005066A1 (de) Verfahren zur Zeitsynchronisation von Fahrzeugsensoren
EP2150731B1 (de) System zum überwachen einer zustandsanzeige
DE102016223540A1 (de) Verfahren zum Umsetzen einer vorgegebenen AUTOSAR-Kommunikationsstruktur in einem Steuergerät eines Kraftfahrzeugs sowie Kraftfahrzeug-Steuergerät und Kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE