-
Die vorliegende Erfindung betrifft ein Verfahren zum Automatisieren einer Fahrfunktion. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
-
Stand der Technik
-
Als Fahrerassistenzsystem (FAS; advanced driver assistance system, ADAS) wird in der Fahrzeugtechnik jedwede elektronische Zusatzeinrichtung in einem Kraftfahrzeug zur Unterstützung des Fahrers in bestimmten Fahrsituationen bezeichnet. Im Gegensatz dazu nehmen zeitweise oder gar für ganze Streckenabschnitte automatisierte Fahrfunktionen (automated driving, AD) dem Fahrer die Fahrzeugführung ab. Hohe Betriebssicherheit und die Verfügbarkeit aller wesentlichen Fahrzeugführungsfunktionen und deren Schutzfunktionen ist eine der Hauptanforderungen an ein solches System. Insbesondere die Sicherheitsaspekte, die von der Gesellschaft und von den Gesetzgebern verlangt werden, stellen an Automatisierungssysteme nach dem Stand der Technik Sicherheitsanforderungen auf einem Niveau, wie es von einem menschlichen Fahrer zu erwarten ist.
-
In
DE102018203359A1 wird ein Verfahren zur Überwachung eines Steuerungssystems umfassend eine Vielzahl von miteinander in Verbindung stehender Module vorgeschlagen. Die Module nehmen an mindestens einem Eingang eine oder mehrere Eingaben entgegen und stellen eine auf diesen Eingaben basierende Ausgabe an einem Ausgang bereit. Ferner ist vorgesehen, dass das Steuerungssystem eine Vielzahl von Überwachungseinheiten umfasst und jedem Modul eine Überwachungseinheit zugeordnet ist. Die Überwachungseinheiten verwenden eine gemeinsame Zeitbasis für Zeitstempel, wobei durch die einem Modul zugeordnete Überwachungseinheit vom Modul entgegengenommenen Eingaben ein erster Zeitstempel zugeordnet wird und durch die zugeordnete Überwachungseinheit den bereitgestellten Ausgaben ein zweiter Zeitstempel zugeordnet wird. Bei einer Übergabe einer Ausgabe als Eingabe an einen Eingang eines nachgeschalteten Moduls wird mindestens ein Zeitstempel mit übergeben, wobei durch jede der Überwachungseinheiten jeweils eine Zustandsbewertung für das der jeweiligen Überwachungseinheit zugeordnete Modul erstellt wird, wobei eine Zeitdifferenz zwischen dem zweiten Zeitstempel der Ausgabe und dem ersten Zeitstempel der mindestens einen Eingabe, auf der diese Ausgabe basiert, berücksichtigt wird.
-
Weiter ist aus der unter dem amtlichen Aktenzeichen
DE 10 2019 202 527.7 geführten Patentanmeldung bekannt, dass auch relative Zeitbasen genutzt werden um über Differenzen und Zeitketten (Addition, Mittelwerte etc.) eine Synchronisierung und eine Vergleichbarkeit von Informationen in Echtzeit erfolgen kann. Hier wird die entsprechende Information der Zeit und deren Korrektheit in einer Prüfsumme verschlüsselt. Weiter wird eine Sicherheitsintegritätsinformation in die Prüfsumme eingebracht.
-
Offenbarung der Erfindung
-
Die Erfindung stellt ein Verfahren zum Automatisieren einer kooperativen Fahrfunktion, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit.
-
Der erfindungsgemäße Ansatz fußt auf der Erkenntnis, dass heutige automatisierte Fahrfunktionen weitgehend auf durchgängigen (end-to-end, E2E) Absicherung der Datenströme. Dies gilt sowohl für Rechner-interne Kommunikation als auch für Steuergeräte-übergreifende Kommunikation bis hin zur Kommunikation von Fahrzeugen untereinander und mit ihrer Umgebung (car2X, C2X).
-
Das vorgeschlagene Verfahren trägt dem Umstand Rechnung, dass dieser Anspruch im Rahmen eines kooperativen Verhaltens in digitalen Straßenverkehrsnetzen nicht mehr umgesetzt werden kann. Einflüsse aus der Infrastruktur, Wetter, plötzliche Hindernisse auf der Straße sowie Fehlverhalten anderer Verkehrsteilnehmer setzen eine für mehrere Benutzer (multi-user) und mehrere Einstiegspunkte (multi-entry) geeignete Kommunikation voraus, welche in der Lage ist, sich ad hoc neuen oder geänderten Sicherheitsszenarien anzupassen.
-
Deterministische Verfahren, wie sie etwa bei der Kommunikation über einen FlexRay-Feldbus zum Einsatz kommen, zeichnen sich dadurch aus, dass ein kontrollierter Vorgang vorliegt, demnach also der Zugriff in seinen Bestandteilen genauestens strukturiert ist und nach einem festgelegten Schema vollzogen wird. Durch diese Kontrolle wird ein Zugriff durch mehrere Teilnehmer in ein und demselben Zeitpunkt jedoch ausgeschlossen. Zudem besteht die Möglichkeit, bereits im Voraus eine Vorhersage über das Verhalten des Bussystems zu liefern.
-
Bei Nutzung derlei deterministischer Verfahren kann bereits im Rahmen der Konzeption festgelegt werden, wann ein Bus zeitlich seine Antwort senden wird. Das Antwortverhalten steht demnach auch unter einer gewissen Kontrolle. Deterministische Verfahren können wiederum in die zentral sowie dezentral gesteuerten Vorgänge gegliedert werden. Die Steuerungslogik zentraler Methoden ist hierbei vergleichsweise einfach aufgebaut, da durch die Abhängigkeit vom zentralen Steuerungsorgan kaum Widerstandskraft gegeben ist.
-
Bei einem wahlfreien Buszugriff können hingegen mehrere Teilnehmer gleichzeitig eingebunden werden. Eine gängige Unterteilung unterscheidet in diesem Zusammenhang zwischen kollisionsfreien und nicht kollisionsfreien Verfahren. Letztere gestatten es, mögliche Kollisionen zu erkennen, jedoch kann eine Korrektur in der Regel erst nach dem Begehen des Fehlers vorgenommen werden. Die kollisionsfreien Verfahren vermeiden hingegen die Störung von vornherein.
-
Auch die beschriebenen Lösungen sind jedoch bereits beim Einsatz innerhalb der elektrisch-elektronischen (E/E) Architektur eines einzelnen Fahrzeuges an ihre Grenzen gestoßen. In einem Multi-Szenarien-Mobilitätskonzept vermögen sie keine hinreichende Flexibilität und Reaktion auf plötzliche Ereignisse zu gewährleisten.
-
Eine besondere Herausforderung liegt vor diesem Hintergrund in der gleichzeitigen Beherrschung vielfältiger Kombinationen von Risiken, die im Straßenverkehr denkbar sind, in einem kooperativen Verkehrsverhalten von mehreren automatisiert fahrenden Systemen. Erfindungsgemäß wird hierzu eine Token-Weitergabe (token passing) vorgeschlagen. Der Vorteil des Token-Passing-Verfahrens liegt in seinem vorhersehbaren Echtzeitverhalten. Selbst wenn es zu einem Hochlastfall kommt, kann eine obere Zeitschranke für die Übertragung der Nachrichten angegeben werden. Allerdings kann es auch zu Störungen durch lange Zeitverzögerungen kommen. Dies ist besonders dann der Fall, wenn ein Token fälschlicherweise gedoppelt wurde oder verloren gegangen ist. Aus der unter dem amtlichen Aktenzeichen
DE 10 2019 202 527.7 geführten Patentanmeldung ist bekannt, dass die Nutzinformation selber nicht unbedingt E2E komplett abgesichert sein muss, sondern nur der Prüfschlüssel als Kennzeichen für die verschiedenen notwendigen Sicherheitsattribute, die als Trägerinformation bereits als „hinreichendes Kriterium“ geprüft und entwickelt wurden. Die notwendigen Sicherheitskennzeichen in der E2E können so gewählt werden, dass die einzelnen Schlüssel der Kommunikationssysteme kompatible mit den verschiedenen Überwachungsmechanismen der Kommunikation und an der Kommunikation jeweils beteiligten Kommunikationspartner gewählt werden können.
-
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind daher vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So lässt sich durch die Nutzung von mehreren Sendeberechtigungen (tokens), verschiedenen Topologien und vielfache physische Redundanzen die Verfügbarkeit der Lösung skalieren. Im Gegensatz zu Token-Ring von IBM ist das Token jedoch unabhängig von der Netzwerktopologie und wird in einem Layer unterhalt der Applikation eingeführt.
-
Gemäß einem weiteren Aspekt kann eine Verwaltung des Zugriffes auf das gemeinsame Übertragungsmedium nach dem sogenannten Master-Slave-Prinzip vorgesehen sein, wobei die Hauptrechner (master) einen Ring mit mehreren Sendeberechtigungen (tokens) bilden, die jeweils mit einem Attribut versehen sind. In solch einem logischen Ring kann der Token auf zwei Wegen zum nächsten Kommunikationsmaster gelangen. Durch einen gewissen Zyklus, mit dem der Token durch die Teilnehmer versendet wird, lässt sich vermeiden, dass Tokens unentdeckt verloren oder Teilnehmer nicht rechtzeitig zur Kommunikation aufgerufen werden.
-
Die Verfügbarkeit kann durch Multi-Master-Konzepte erhöht werden und durch die Synchronisierung der der im Netz befindlichen Token bezüglich verschiedener Attribute, wie Verfügbarkeit, Kritikalität und Zeit entsprechend priorisiert werden.
-
Gemäß einem weiteren Aspekt kann vorgesehen sein, die Sendeberechtigung auf einer der Bitübertragungsschicht unmittelbar übergeordneten Sicherungsschicht zu verwalten. Auf diese Weise kann das Verfahren auf jede physikalische Kommunikationsstruktur übertragen werden. Vergleichbare Ansätze wie die aus dem Bereich des drahtlosen örtlichen Netzwerkes (wireless local area network, WLAN) bekannten Mesh-Verfahren zeigen, dass Verfügbarkeit und Abdeckung durch solche dynamischen Zugriffsverfahren deutlich erhöht werden.
-
Gemäß einem weiteren Aspekt kann vorgesehen sein, die Sendeberechtigungen auf einer der Vermittlungsschicht übergeordneten Schicht zu verwalten, wenn die Teilnehmer bereits durch einen paketorientierten Datendienst untereinander verbunden sind. Eine entsprechende Multi-Token-Funktion könnte auch auf einem Mobilnetz wie LTE oder 5G implementiert und um die üblichen Mechanismen zur Sicherung der Datenintegrität, Maskerade, Sequenzveränderungen, Zeitstempel, Authentizitäts- oder Konsumentenidentifizierung, Zugriffsbeschränkung, Authentizität etc. ergänzt werden.
-
Figurenliste
-
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
- 1 das Flussdiagramm eines Verfahrens gemäß einer ersten Ausführungsform.
- 2 ein Beispiel für die Implementierung einer erfindungsgemäßen Sicherheitsschicht.
- 3 schematisch ein Steuergerät gemäß einer zweiten Ausführungsform der Erfindung.
-
Ausführungsformen der Erfindung
-
1 illustriert den grundlegenden Ablauf eines erfindungsgemäßen Verfahrens (10), welches zunächst die Festlegung (Prozess 11) einer Reihenfolge unter den Teilnehmern voraussetzt. Deren Zugriff auf das gemeinsame Übertragungsmedium kann gemäß einem Multi-Master- oder dynamischen Master-Slave-Konzept verwaltet werden, wie es bei Token-Passing-Verfahren (10) umgesetzt wurde. Eine Gemeinsamkeit dieser Medienzugriffsverfahren besteht darin, dass die Sendeberechtigung - das namensgebende Token - nach der Nutzdatenübertragung (Prozess 12) durch den Teilnehmer an einen nach der besagten Reihenfolge vorgesehenen Nachfolger weitergegeben wird (Prozess 13).
-
Bei einem Token-Bus beispielsweise sind sämtliche Teilnehmer an einen gemeinsam genutzten Bus angeschlossen, dessen logische Adressfolge die Reihenfolge der Teilnehmer vorgibt. Der Aufbau dieser logischen Kette sieht vor, dass ein jeder Teilnehmer des Netzwerks seinen unmittelbaren Vorgänger und Nachfolger kennt. Die Identifikation erfolgt hierbei durch das Sendeverhalten des Vorgängers, wobei gleichsam auch das Empfangsverhalten des Nachfolgers kontrolliert wird, sodass sichergestellt werden kann, dass auch dieser Teilnehmer korrekt funktioniert.
-
In der verwandten Token-Ring-Architektur wird die Reihenfolge durch die physikalische Aneinanderreihung der Teilnehmer bestimmt. Der Ring ist dabei unterbrochen. Im Normalfall werden Nachrichten stets entgegengenommen, doch wenn ein hochpriorisierter Nachrichtenrahmen vorhanden ist, so kann ein Teilnehmer, der eine Alarmnachricht zu versenden hat, frei entscheiden, ob er zunächst eine von seinem Vorgänger im Ring eingehende Nachricht entgegennimmt oder diese zwischenspeichert und seine eigene Botschaft vorzieht.
-
Der Name „Token Ring“ rührt daher, dass das Netz mit dem Token-Passing-Zugriffsverfahren arbeitet und dem Aufbau einer logischen Ring-Topologie entspricht. Die Anschlussart an das Medium ist damit - beispielsweise im Gegensatz zum passiven Ethernet - aktiv, das heißt, die Netzwerkstationen beteiligen sich fortwährend an der Weitergabe (13) des Tokens und sind nicht nur bei der Nutzdatenübertragung (12) aktiv. Einschlägige Token-Passing-Protokolle sind der Datensicherungsschicht im OSl-Modell (ISO/IEC 7498-1:1994) zuzuordnen.
-
Gewisse Risiken mögen sich daraus ergeben, dass die Tokens nachvollziehbar einem definierten Algorithmus folgen. Insbesondere die im Rahmen der Leistungsmerkmale (z. B. Bremsweg), Betriebssicherheit (z. B. Kooperationsregel), Datensicherheit (security) und Funktionssicherheit (safety) geforderte Datenintegrität kann daher durch Redundanz abgesichert werden. Welches Token für welche Kommunikation zwischen den jeweiligen Kommunikationspartnern verwendet wird, kann anhand des Dateninhaltes überprüft werden. Hierzu besteht etwa die Möglichkeit, einen mit dem entsprechenden Attribut versehenen Token zur Überwachung oder Plausibilisierung zu nutzen.
-
Je nach Kritikalität und dem Grad, mit dem eine Kommunikation aufgebaut wurde, kann auch eine logische Überwachung zu dieser Kommunikation initiiert werden, die einer typischerweise geeigneten Recheneinheit zugeordnet wird. Handelt es sich um eine zeitsensitive Aktion, kann zum Beispiel ein Aktuator auf zwei verschlüsselte Informationen aus zwei authentischen Quellen warten, bevor er einen entsprechenden Steuerbefehl auf die Leistungselektronik (zum Beispiel der Lenkung oder der Bremse) aufschaltet. In diesem Fall ist die zeitkritische Datenübertragung (12) auf diese verschlüsselten Steuerbefehle begrenzt und bleibt weit hinter den Nutzdatenmengen von Anwendungen wie Video-Streams zurück.
-
Die beschriebene Überprüfung oder Plausibilisierung muss hierbei nicht zwingend durch den sicherheitsrelevanten Steuerrechner selbst, sondern kann grundsätzlich durch einen beliebigen Teilnehmer erfolgen. Das Token stellt die entsprechenden Datenströme und gibt die Daten gleichsam nur „frei“, wenn ein erfolgreicher Vergleich irgendwo auf der hinreichenden Basis stattfindet. Damit kann die Sicherheitsfunktion weitgehend unabhängig von der Hardware erfüllt werden.
-
In der Zeichnung gemäß 2 ist ein solcher Token Ring (20) dargestellt. In diesem Beispiel wird das Token (28) auf der Datensicherungsschicht gemäß ISO/OSI verwaltet. Ein entsprechendes Multi-Token-Verfahren (10) kann gleichwohl auch oberhalb der Vermittlungsschicht auf Paketebene implementiert werden. Einige Kommunikationssysteme implementieren auf dieser Ebene eine komplette neue Architektur.
-
Ausführungsformen der Erfindung können vorhandene TCP-Architekturen nutzen oder einen separaten Layer auf UDP implementieren. In einem Mobilfunknetz wäre ein kompletter separater Sicherheits-Layer sinnvoll, um die vom Token (28) abhängigen Sicherheitsmechanismen zu implementieren. Die Priorisierung und Steuermechanismen auf den unteren Ebenen würden durch einen solchen Sicherheits-Layer modifiziert und gesteuert. Die jeweils vorteilhaftere Ausprägung ist davon abhängig, ob es sich - wie bei Mobilfunkstandards der fünften Generation (5G) - um ein abgeschlossenes Netz oder die funktionale Erweiterung eines offenen Kommunikationsnetzes handelt. Im letzteren Fall wären der Zugang und die Priorisierung der Sicherheitsmechanismen zu gewährleisten.
-
Dieses Verfahren (10) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem Steuergerät (30) implementiert sein, wie die schematische Darstellung der 3 verdeutlicht.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102018203359 A1 [0003]
- DE 102019202527 [0004, 0012]
-
Zitierte Nicht-Patentliteratur
-
- ISO/IEC 7498-1:1994 [0022]