DE102020210876A1 - Verfahren zur Gewährleistung der Integrität von Daten zur Sicherstellung der Betriebssicherheit und Fahrzeug-zu-X Vorrichtung - Google Patents

Verfahren zur Gewährleistung der Integrität von Daten zur Sicherstellung der Betriebssicherheit und Fahrzeug-zu-X Vorrichtung Download PDF

Info

Publication number
DE102020210876A1
DE102020210876A1 DE102020210876.5A DE102020210876A DE102020210876A1 DE 102020210876 A1 DE102020210876 A1 DE 102020210876A1 DE 102020210876 A DE102020210876 A DE 102020210876A DE 102020210876 A1 DE102020210876 A1 DE 102020210876A1
Authority
DE
Germany
Prior art keywords
data
computing device
comparison
vehicle
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102020210876.5A
Other languages
English (en)
Other versions
DE102020210876B4 (de
Inventor
Marc Menzel
Ulrich Stählin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Continental Automotive Systems Inc
Original Assignee
Continental Teves AG and Co OHG
Continental Automotive Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves AG and Co OHG, Continental Automotive Systems Inc filed Critical Continental Teves AG and Co OHG
Publication of DE102020210876A1 publication Critical patent/DE102020210876A1/de
Application granted granted Critical
Publication of DE102020210876B4 publication Critical patent/DE102020210876B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Abstract

Die Erfindung betrifft ein Verfahren zur Gewährleistung der Integrität von durch eine V2X Kommunikationsvorrichtung eines Fahrzeugs an ein Steuerungsmodul des Fahrzeugs übermittelten Daten zur Sicherstellung der Betriebssicherheit, welches folgende Schritte aufweist:- Empfangen von mittels Fahrzeug-zu-X Kommunikation übertragenen Daten durch eine erste Recheneinrichtung der V2X Kommunikationsvorrichtung,- Speichern der Daten in einem Datenspeicher,- Weiterleiten der Daten an eine zweite Recheneinrichtung,- Empfangen der Daten durch die zweite Recheneinrichtung,- Ermitteln für die Daten, ob eine Aktion ausgelöst werden soll und ansprechend darauf, dass eine Aktion ausgelöst werden soll,- Senden der Daten an eine Vergleichseinrichtung,- Ausführen einer Vergleichsprüfung für die von der zweiten Recheneinrichtung bereitgestellten Daten mit den in dem Datenspeicher gespeicherten Daten und ansprechend auf ein Bestehen der Vergleichsprüfung,- Aussenden der Daten und/oder einer Steuerungsanweisung und/oder einer Warnmitteilung durch die V2X Kommunikationsvorrichtung an ein Steuerungsmodul. Weiterhin betrifft die Erfindung eine korrespondierende Fahrzeug-zu-X Vorrichtung und die Verwendung der Vorrichtung in einem Fahrzeug.

Description

  • Die Erfindung betrifft ein Verfahren zur Gewährleistung der Integrität von durch eine V2X Kommunikationsvorrichtung eines Fahrzeugs an ein Steuerungsmodul des Fahrzeugs übermittelten Daten zur Sicherstellung der Betriebssicherheit, eine korrespondierende V2X Kommunikationsvorrichtung und deren Verwendung.
  • Fahrzeug-zu-X (V2X) Kommunikation ist Stand der Forschung bzw. Vorentwicklung und befindet sich zurzeit in der Standardisierung. Die relevanten Standards sind IEEE802.11(p), IEEE1609, SAE 2735, SAE 2945 und ETSI ITS-G5. Zusätzlich werden gerade neue Standards bei 3GPP für C-V2X bzw. LTE-V2X bzw. 5G V2X erstellt. Funktionale Sicherheit wird im Standard ISO 26262 für die Autoindustrie beschrieben.
  • Insbesondere interne Fehler einer V2X Kommunikationsvorrichtung zur V2X Kommunikation können zu problem- bzw. fehlerbehafteten V2X Informationen führen, welche mittels eines Datenbusses an die betreffenden die Informationen heranziehenden Fahrzeugsysteme übertragen werden. Es kann zu Beispiel vorkommen, dass durch eine V2X Kommunikationsvorrichtung an andere Fahrzeugsysteme mittels eines Datenbusses übertragene V2X Informationen korrumpiert, beschädigt oder veraltet sind. Hierdurch kann insbesondere die Betriebssicherheit eines Fahrzeugs negativ beeinflusst bzw. sicherheitskritische Situationen hervorgerufen werden oder es werden keine angemessenen Maßnahmen zur Begegnung potentiell sicherheitskritischer Situationen ausgelöst.
  • Aufgabe der Erfindung ist es ein Mittel zur Sicherstellung der Sicherheit („Safety“) bei möglichst geringem Ressourceneinsatz bereitzustellen.
  • Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen können beispielsweise den Unteransprüchen entnommen werden. Der Inhalt der Ansprüche wird durch ausdrückliche Inbezugnahme zum Inhalt der Beschreibung gemacht.
  • Die Erfindung betrifft ein Verfahren zur Gewährleistung der Integrität von durch eine V2X Kommunikationsvorrichtung eines Fahrzeugs an ein Steuerungsmodul des Fahrzeugs übermittelten Daten zur Sicherstellung der Betriebssicherheit (Safety), welches folgende Schritte aufweist:
    • - Empfangen von mittels Fahrzeug-zu-X Kommunikation übertragenen Daten durch eine erste Recheneinrichtung der V2X Kommunikationsvorrichtung,
    • - Speichern der Daten in einem Datenspeicher,
    • - Weiterleiten der Daten an eine zweite Recheneinrichtung,
    • - Empfangen der Daten durch die zweite Recheneinrichtung,
    • - Ermitteln für die Daten, ob eine Aktion ausgelöst werden soll und ansprechend darauf, dass eine Aktion ausgelöst werden soll,
    • - Senden der Daten an eine Vergleichseinrichtung,
    • - Ausführen einer Vergleichsprüfung für die von der zweiten Recheneinrichtung bereitgestellten Daten mit den in dem Datenspeicher gespeicherten Daten und ansprechend auf ein Bestehen der Vergleichsprüfung,
    • - Aussenden der Daten und/oder einer Steuerungsanweisung und/oder einer Warnmitteilung durch die V2X Kommunikationsvorrichtung an das Steuerungsmodul.
  • Durch die Erfindung kann festgestellt werden, ob die Daten durch die Verarbeitung mittels der zweiten Recheneinheit verändert wurden, was anhand des Vergleichs mit den in dem Datenspeicher gespeicherten ursprünglichen Daten feststellbar ist. Somit kann die Integrität, der durch die V2X Kommunikationsvorrichtung an das Steuerungsmodul übermittelten Daten gewährleistet werden, was wesentlich zur Sicherstellung der Betriebssicherheit des Fahrzeugs beitragen kann. Die Prüfung ist hierbei bedarfsorientiert ausgestaltet, wobei die zweite Recheneinrichtung konfiguriert ist zu prüfen, ob eine Aktion ausgelöst werden soll. Bei der Ausführung der Vergleichsprüfung muss nicht notwendigerweise eine vollständige Übereinstimmung der Daten vorliegen. Veränderungen, welche sich notwendigerweise aus einer Verarbeitung durch die zweite Recheneinheit ergeben, können Berücksichtigung finden und somit dennoch ein positives (bestandenes) Ergebnis anzeigen.
  • Liegt ein Fall vor, bei dem für die Ausgabe an das Steuerungsmodul Datensätze unterschiedlicher V2X Nachrichten herangezogen werden, werden weiterbildungsgemäß vor Ausgabe an das Steuerungsmodul sämtliche diesbezüglichen Datensätze geprüft, wobei die Ausgabe insbesondere lediglich dann erfolgt, wenn die Vergleichsprüfung für alle Datensätze als bestanden gilt.
  • Eine erste Recheneinrichtung ist typischerweise ein Modul, bei welchem eingehende bzw. empfangene Fahrzeug-zu-X-Nachrichten zuerst bzw. in einem sehr frühen Stadium der Verarbeitung vorliegen, insbesondere um eine Vor-Filterung bzw. eine Verifizierung der empfangenen V2X Nachrichten vorzunehmen. Entsprechend kann die erste Recheneinrichtung konfiguriert sein ein Verfahren zur Vor-Filterung zur Reduktion der Verarbeitungsbelastung und/oder Verifizierung empfangener V2X Nachrichten auszuführen. Insbesondere ist es bei einem Empfang von Fahrzeug-zu-X-Nachrichten typischerweise der zweiten Recheneinrichtung vorgeschaltet.
  • Eine zweite Recheneinrichtung ist typischerweise ein Modul, welches konfiguriert ist einen Protokollstapel (bzw. Protokoll- oder Kommunikationsstack) zur Verarbeitung der eingehenden bzw. empfangenen Fahrzeug-zu-X Nachrichten zu realisieren. Weiterhin kann die zweite Recheneinrichtung zur Ausführung von insbesondere V2X Kommunikation bezüglichen Softwareapplikationen konfiguriert sein. Diese Softwareapplikationen haben Informationen als Ausgang, die an einen Fahrzeugbus weitergegeben werden können bzw. sollen.
  • Die Vergleichseinrichtung und/oder der Datenspeicher können weiterbildungsgemäß durch die erste Recheneinrichtung umfasst sein.
  • Bei einem Steuerungsmodul handelt es sich typischerweise um ein Modul, insbesondere eines von der V2X Kommunikationsvorrichtung unterschiedlichen Fahrzeugsystems, welches die von empfangenen Fahrzeug-zu-X Nachrichten umfassten Inhalte im Rahmen von bestimmten Anwendungen verwendet, beispielsweise für Fahrassistenzsysteme oder für Sicherheitssysteme. Das Steuerungsmodul ist durch die V2X Kommunikationsvorrichtung somit insbesondere nicht umfasst. Die Datenbereitstellung an das Steuerungsmodul durch die V2X Kommunikationsvorrichtung erfolgt insbesondere mittels eines Datenbusses, beispielsweise CAN oder Ethernet.
  • Es sei verstanden, dass sowohl beim Speichern der mittels V2X Kommunikation empfangenen Daten wie auch beim Weiterleiten eine die Daten umfassende Fahrzeug-zu-X Nachricht sowohl vollständig gespeichert bzw. weitergeleitet werden kann wie auch nur teilweise gespeichert bzw. weitergeleitet werden kann.
  • Weiterbildungsgemäß ist die erste Recheneinrichtung mit einem durch die V2X Kommunikationsvorrichtung umfassten V2X Transceiver mittels eines SPI Datenbusses zur Datenübertragung geeignet verbunden.
  • Entsprechend einer Ausführungsform ist die zweite Recheneinrichtung zur Realisierung eines niedrigeren Sicherheitsintegritätslevel ausgebildet als die erste Recheneinrichtung. Die Vergleichseinrichtung und/oder der Datenspeicher sind weiterbildungsgemäß zur Realisierung eines mit der ersten Recheneinrichtung übereinstimmenden Sicherheitsintegritätslevels ausgebildet.
  • Entsprechend einer Ausführungsform ist die zweite Recheneinrichtung zur Realisierung eines ASIL QM Sicherheitsintegritätslevels und die erste Recheneinrichtung zur Realisierung eines ASIL B Sicherheitsintegritätslevels ausgebildet.
  • Entsprechend einer Ausführungsform sendet die zweite Recheneinrichtung gemeinsam mit den Daten eine Vergleichsaufforderung an die Vergleichseinrichtung.
  • Entsprechend einer Ausführungsform wird für die im Datenspeicher gespeicherten Daten eine Kennung zur Identifizierung dieser Daten abgespeichert, wobei die Vergleichsaufforderung eine jeweilige Kennung der zu vergleichenden Daten enthält.
  • Entsprechend einer Ausführungsform erfolgt die Aussendung der Daten an das Steuerungsmodul mittels der ersten Recheneinrichtung.
  • Entsprechend einer Ausführungsform ist der Datenspeicher als abgesicherter TCM („tightly coupled memory“) ausgebildet. Die Absicherung kann hierbei mittels eines Fehlerkorrekturverfahrens (Error Correcting Code; ECC) erfolgen.
  • Entsprechend einer Ausführungsform werden die Daten, ansprechend auf das Abschließen der Vergleichsprüfung, aus dem Datenspeicher gelöscht und/oder wird ein Ergebnis der Vergleichsprüfung an die zweite Recheneinrichtung übermittelt.
  • Entsprechend einer Ausführungsform wird ansprechend auf ein nicht Bestehen der Vergleichsprüfung eine oder mehrere der nachfolgenden Maßnahmen ausgeführt:
    • - Stoppen und/oder Neustarten und/oder Zurücksetzen einer durch die zweite Recheneinrichtung ausgeführte und die Daten verarbeitende Anwendung,
    • - Wechsel eines Speicherbereichs eines der zweiten Recheneinrichtung zugeordneten Datenspeichers und/oder eines die Daten heranziehenden Rechenkerns oder physischen Rechenbereichs und/oder
    • - Periodisches Zurücksetzen mit einer verkürzten Periodendauer einer die Daten heranziehenden Anwendung, wenn eine Wiederholung von fehlerhaften Vergleichsergebnissen nach ähnlichen Zeiten ermittelt wird.
  • Eine Zurückstellung kann evtl. schleichend korrupte Bereiche, welche insbesondere aus unerkannten Programmierfehlern resultieren, reduzieren. Hierdurch können Fehler vermieden werden, die erst im Verlauf der Zeit auftreten.
  • Sind die Fehler differenzierter erfasst und gespeichert, so können auch einzelne mittels der zweiten Recheneinrichtung ausgeführte Anwendungen unabhängig voneinander betrachtet werden.
  • Ein Wechsel der Rechenkerne bzw. physischen Rechenbereiche ist jedoch lediglich dann möglich, wenn weitere Rechenkerne bzw. physische Rechenbereiche zur Verfügung stehen. Als fehleranfällig erkannte Rechenkerne bzw. physische Rechenbereiche können als solche zur Durchführung einer Diagnose markiert werden.
  • Entsprechend einer Ausführungsform kann vorgesehen sein einen durch die zweite Recheneinrichtung ausgeführten Protokollstapel und/oder V2X Anwendung redundant durch einen oder bevorzugt mehreren Rechenkernen der zweiten Recheneinrichtung auszuführen. Mittels eines Vergleichs der Ergebnisse durch die zweite Recheneinrichtung lässt sich somit bereits ein Fehler erkennen und ggf. zuordnen. Um die Sicherheit zu gewährleisten, wird weiterbildungsgemäß dennoch ein Vergleich mit der Vergleichseinrichtung vorgenommen, insbesondere wenn die zweite Recheneinrichtung z.B. entsprechend ASIL QM und die erste Recheneinrichtung bzw. Vergleichseinrichtung entsprechend ASIL B ausgebildet ist. Als nachteilig an dem Redundanzkonzept könnte der höhere Ressourcenverbrauch gesehen werden Weiterhin ist nicht notwendigerweise sichergestellt, dass alle Fehler abgefangen werden können, wenn einige Hardwareeinheiten nicht doppelt vorhanden sind und es damit zu einer einzelnen Fehlerquelle kommt.
  • Entsprechend einer Ausführungsform ist die erste Recheneinrichtung konfiguriert eine Vorverarbeitung zur Filterung mittels der Fahrzeug-zu-X Kommunikation empfangener V2X Nachrichten vorzunehmen, wobei abhängig von der Vorverarbeitung nur ein Teil der V2X Nachrichten entsprechend der Erfindung weiterverarbeitet werden.
  • Entsprechend einer Ausführungsform können weiterbildungsgemäß Daten bezüglich des Fahrzeugs, wie beispielsweise die Ego-Position oder Ego-Geschwindigkeit, in dem Datenspeicher gespeichert werden welche insbesondere durch die zweite Recheneinrichtung verwendet werden. Die Daten können hierfür ebenfalls von der ersten Recheneinrichtung gespeichert sowie der zweiten Recheneinrichtung bereitgestellt und gemäß einer Ausführungsform der Erfindung weiterverarbeitet werden. Hierdurch kann die Sicherheit weiter erhöht werden.
  • Entsprechend einer Ausführungsform wird die Anzahl der im Ergebnis erfolgreichen und/oder fehlerhaften Vergleichsprüfungen ermittelt. Weiterhin kann die Art der auftretenden Fehler ermittelt werden. Diesbezügliche Informationen können für weitere Diagnosen hinsichtlich der Fehlerursachen zweckmäßig sein.
  • Weiterbildungsgemäß kann die ermittelte Anzahl der im Ergebnis erfolgreichen und/oder im Ergebnis fehlerhaften Vergleichsprüfungen gemäß einer oder mehrerer der nachfolgenden Ausführungen herangezogen werden:
    • - Überschreitet die Anzahl an im Ergebnis fehlerhaften Vergleichsprüfungen und/oder ein Verhältnis der Anzahl der im Ergebnis fehlerhaften Vergleichsprüfungen zu den im Ergebnis erfolgreichen Vergleichsprüfungen einen Schwellwert, wird die V2X Kommunikation ausgesetzt und/oder ein Fehler im Fehlerspeicher hinterlegt und/oder ein Fahrzeuginsasse des Fahrzeugs, insbesondere der Fahrer, entsprechend informiert.
  • Die Erfindung betrifft weiterhin eine Fahrzeug-zu-X Kommunikationsvorrichtung, umfassend:
    • - eine erste Recheneinrichtung zur Datenverarbeitung,
    • - eine zweite Recheneinrichtung zur Datenverarbeitung,
    • - eine Empfangseinrichtung zum Empfang von Fahrzeug-zu-X Nachrichten mittels einer Antenne,
    • - eine Sendeeinrichtung zum Senden von Daten an ein Steuerungsmodul und
    • - eine Vergleichseinrichtung, insbesondere umfasst durch die erste Recheneinrichtung, wobei
    • - die erste Recheneinrichtung konfiguriert ist mittels der Empfangseinrichtung empfangene Daten in einem Datenspeicher, insbesondere umfasst von der ersten Recheneinrichtung, zu speichern und die Daten an die zweite Recheneinrichtung weiterzuleiten, wobei
    • - die zweite Recheneinrichtung konfiguriert ist für die Daten zu ermitteln, ob eine Aktion ausgelöst werden soll und ansprechend darauf, dass eine Aktion ausgelöst werden soll, die Daten an die Vergleichseinrichtung zu senden, wobei
    • - die Vergleichseinrichtung konfiguriert ist eine Vergleichsprüfung für die von der zweiten Recheneinrichtung bereitgestellten Daten mit den in dem Datenspeicher gespeicherten Daten vorzunehmen und ansprechend auf ein Bestehen der Vergleichsprüfung ein das Ergebnis anzeigendes Signal auszugeben, und wobei
    • - die V2X Kommunikationsvorrichtung konfiguriert ist die Daten und/oder eine Steuerungsanweisung und/oder eine Warnmitteilung ansprechend auf das Signal zur Bereitstellung mittels der Sendeeinrichtung an das Steuerungsmodul auszusenden.
  • Die Erfindung betrifft des Weiteren ein Recheneinrichtung, welches dazu konfiguriert ist, ein Verfahren wie weiter oben mit Bezug auf ein in einem Recheneinrichtung auszuführendes Verfahren beschrieben auszuführen. Die Erfindung betrifft des Weiteren ein Steuerungsmodul, welches dazu konfiguriert ist, ein Verfahren wie weiter oben mit Bezug auf ein in einem Steuerungsmodul auszuführendes Verfahren beschrieben auszuführen. Hinsichtlich der jeweiligen Verfahren kann auf alle hierin beschriebenen Ausführungen und Varianten zurückgegriffen werden.
  • Eine Recheneinrichtung kann jedwede Einrichtung sein, die ausgebildet ist, um zumindest eines der genannten Signale zu verarbeiten. Beispielsweise kann die Recheneinrichtung ein Prozessor, ein ASIC, ein FPGA, ein digitaler Signalprozessor, ein Hauptprozessor (CPU von engl.: „Central Processing Unit“), ein Multizweckprozessor (MPP von engl.: „Multi Purpose Prozessor“) oder Ähnliches sein. Entsprechend einer Ausführungsform findet als zweite Recheneinrichtung ein sogenannter ARM Cortex A35 Kern und als erste Recheneinrichtung ein sogenannter ARM M4 Kern Verwendung.
  • In einer Weiterbildung der angegebenen Vorrichtung weist die angegebene Vorrichtung einen Speicher und einen Prozessor auf. Dabei ist das angegebene Verfahren in Form eines Computerprogramms in dem Speicher hinterlegt und der Prozessor zur Ausführung des Verfahrens vorgesehen, wenn das Computerprogramm aus dem Speicher in den Prozessor geladen ist.
  • Gemäß einem weiteren Aspekt der Erfindung umfasst ein Computerprogramm Programmcodemittel, um alle Schritte eines der angegebenen Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer oder einer der angegebenen Vorrichtungen ausgeführt wird.
  • Gemäß einem weiteren Aspekt der Erfindung enthält ein Computerprogrammprodukt einen Programmcode, der auf einem computerlesbaren Datenträger gespeichert ist und der, wenn er auf einer Datenverarbeitungseinrichtung ausgeführt wird, eines der angegebenen Verfahren durchführt.
  • Die Erfindung betrifft weiter die Verwendung einer Ausführungsform der V2X Kommunikationsvorrichtung gemäß der Erfindung in einem Fahrzeug.
  • Ein Fahrzeug kann ein Kraftfahrzeug, insbesondere ein Personenkraftfahrzeug, ein Lastkraftfahrzeug, ein Motorrad, ein Elektrokraftfahrzeug oder ein Hybridkraftfahrzeug, ein Wasserfahrzeug oder ein Luftfahrzeug sein.
  • Weitere Merkmale und Vorteile wird der Fachmann dem nachfolgend mit Bezug auf die beigefügte Zeichnung beschriebenen Ausführungsbeispiel entnehmen. In schematischer Darstellung zeigen:
    • 1: eine beispielsgemäße Ausführungsform des Verfahrens gemäß der Erfindung und
    • 2: eine beispielsgemäße Ausführungsform der Fahrzeug-zu-X Kommunikationsvorrichtung gemäß der Erfindung.
  • Die 1 zeigt eine beispielhafte Ausführungsform des Verfahrens zur Gewährleistung der Integrität von durch eine V2X Kommunikationsvorrichtung eines Fahrzeugs an ein Steuerungsmodul des Fahrzeugs übermittelten Daten zur Sicherstellung der Betriebssicherheit (Safety) gemäß der Erfindung. In einem Schritt 1.1 werden mittels Fahrzeug-zu-X Kommunikation übertragene Daten durch eine erste Recheneinrichtung der V2X Kommunikationsvorrichtung empfangen und in einem Schritt 1.2 in einem Datenspeicher gespeichert. In einem Schritt 1.3 leitet die erste Recheneinrichtung die Daten an eine zweite Recheneinrichtung weiter, welche die Daten empfängt. Die zweite Recheneinrichtung ermittelt in einem Schritt 1.4 für die empfangen Daten, ob eine Aktion ausgelöst werden soll und ansprechend darauf, dass eine Aktion ausgelöst werden soll, Senden der Daten an eine Vergleichseinrichtung in der ersten Recheneinrichtung. Die Vergleichseinrichtung in der ersten Recheneinrichtung führt in einem Schritt 1.5 eine Vergleichsprüfung für die von der zweiten Recheneinrichtung bereitgestellten Daten mit den in dem Datenspeicher gespeicherten Daten durch, wobei in einem Schritt 1.6, ansprechend auf ein Bestehen der Vergleichsprüfung, die Daten und/oder einer Steuerungsanweisung und/oder einer Warnmitteilung durch die V2X Kommunikationsvorrichtung an das Steuerungsmodul ausgesandt werden.
  • Die 1 zeigt eine beispielhafte Ausführungsform der Fahrzeug-zu-X (V2X) Kommunikationsvorrichtung 2, umfassend eine erste Recheneinrichtung 2.1 zur Datenverarbeitung sowie eine zweite Recheneinrichtung 2.2 zur Datenverarbeitung. Weiterhin weist die V2X Kommunikationsvorrichtung 2 eine Empfangseinrichtung 2.3 zum Empfang von Fahrzeug-zu-X Nachrichten mittels einer Antenne 2.4 auf.
  • Die erste Recheneinrichtung 2.1 ist dabei konfiguriert mittels der Empfangseinrichtung 2.3 empfangene Daten in einem Datenspeicher 2.1.1 der ersten Recheneinheit 2.1 zu speichern und die Daten an die zweite Recheneinrichtung 2.2 weiterzuleiten. Die zweite Recheneinrichtung 2.2 ist konfiguriert für die Daten zu ermitteln, ob eine Aktion ausgelöst werden soll und ansprechend darauf, dass eine Aktion ausgelöst werden soll, die Daten an eine Vergleichseinrichtung 2.1.2 der ersten Recheneinheit 2.1 zu senden, wobei die Vergleichseinrichtung 2.1.2 konfiguriert ist eine Vergleichsprüfung für die von der zweiten Recheneinrichtung 2.2 bereitgestellten Daten mit den in dem Datenspeicher 2.1.1 gespeicherten Daten vorzunehmen und ansprechend auf ein Bestehen der Vergleichsprüfung ein das Ergebnis anzeigendes Signal auszugeben. Die erste Recheneinrichtung 2.1 ist weiterhin insbesondere konfiguriert ansprechend auf das Signal die Daten und/oder eine Steuerungsanweisung und/oder eine Warnmitteilung direkt an die Sendeeinrichtung 2.5 und/oder an die zweite Recheneinrichtung 2.2 auszugeben, wobei auch die zweite Recheneinrichtung 2.2 eine Ausgabe an die Sendeeinrichtung 2.5 vornehmen kann. Die V2X Kommunikationsvorrichtung 2 ist konfiguriert mittels der Sendeeinrichtung 2.5 die Daten und/oder die Steuerungsanweisung und/oder die Warnmitteilung beispielsgemäß mittels eines Datenbusses 2.6 an ein Steuerungsmodul 3 auszusenden.
  • Sofern sich im Laufe des Verfahrens herausstellt, dass ein Merkmal oder eine Gruppe von Merkmalen nicht zwingend nötig ist, so wird anmelderseitig bereits jetzt eine Formulierung zumindest eines unabhängigen Anspruchs angestrebt, welcher das Merkmal oder die Gruppe von Merkmalen nicht mehr aufweist. Hierbei kann es sich beispielsweise um eine Unterkombination eines am Anmeldetag vorliegenden Anspruchs oder um eine durch weitere Merkmale eingeschränkte Unterkombination eines am Anmeldetag vorliegenden Anspruchs handeln. Derartige neu zu formulierende Ansprüche oder Merkmalskombinationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen.
  • Es sei ferner darauf hingewiesen, dass Ausgestaltungen, Merkmale und Varianten der Erfindung, welche in den verschiedenen Ausführungen oder Ausführungsbeispielen beschriebenen und/oder in den Figuren gezeigt sind, beliebig untereinander kombinierbar sind. Einzelne oder mehrere Merkmale sind beliebig gegeneinander austauschbar. Hieraus entstehende Merkmalskombinationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen.
  • Rückbezüge in abhängigen Ansprüchen sind nicht als ein Verzicht auf die Erzielung eines selbständigen, gegenständlichen Schutzes für die Merkmale der rückbezogenen Unteransprüche zu verstehen. Diese Merkmale können auch beliebig mit anderen Merkmalen kombiniert werden.
  • Merkmale, die lediglich in der Beschreibung offenbart sind oder Merkmale, welche in der Beschreibung oder in einem Anspruch nur in Verbindung mit anderen Merkmalen offenbart sind, können grundsätzlich von eigenständiger erfindungswesentlicher Bedeutung sein. Sie können deshalb auch einzeln zur Abgrenzung vom Stand der Technik in Ansprüche aufgenommen werden.
  • Allgemein sei darauf hingewiesen, dass unter Fahrzeug-zu-X Kommunikation insbesondere eine direkte Kommunikation zwischen Fahrzeugen und/oder zwischen Fahrzeugen und Infrastruktureinrichtungen verstanden wird. Beispielsweise kann es sich also um Fahrzeug-zu-Fahrzeug Kommunikation oder um Fahrzeug-zu-Infrastruktur Kommunikation handeln. Sofern im Rahmen dieser Anmeldung auf eine Kommunikation zwischen Fahrzeugen Bezug genommen wird, so kann diese grundsätzlich beispielsweise im Rahmen einer Fahrzeug-zu-Fahrzeug Kommunikation erfolgen, welche typischerweise ohne Vermittlung durch ein Mobilfunknetz oder eine ähnliche externe Infrastruktur erfolgt und welche deshalb von anderen Lösungen, welche beispielsweise auf ein Mobilfunknetz aufbauen, abzugrenzen ist. Beispielsweise kann eine Fahrzeug-zu-X Kommunikation unter Verwendung der Standards IEEE 802.11p oder IEEE 1609.4 oder 4G oder 5G, insbesondere auch PC5 oder sidelink, erfolgen. Eine Fahrzeug-zu-X Kommunikation kann auch als C2X-Kommunikation oder V2X-Kommunikation bezeichnet werden. Die Teilbereiche können als C2C (Carto-Car), V2V (Vehicle-to-Vehicle) oder C2I (Car-to-Infrastructure), V2I (Vehicle-to-Infrastrukture) bezeichnet werden. Die Erfindung schließt Fahrzeug-zu-X Kommunikation mit Vermittlung beispielsweise über ein Mobilfunknetz, sog. Cellular-V2X bzw. C-V2X, ausdrücklich mit ein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0002]

Claims (15)

  1. Verfahren zur Gewährleistung der Integrität von durch eine V2X Kommunikationsvorrichtung eines Fahrzeugs an ein Steuerungsmodul des Fahrzeugs übermittelten Daten zur Sicherstellung der Betriebssicherheit, welches folgende Schritte aufweist: - Empfangen von mittels Fahrzeug-zu-X Kommunikation übertragenen Daten durch eine erste Recheneinrichtung der V2X Kommunikationsvorrichtung, - Speichern der Daten in einem Datenspeicher, - Weiterleiten der Daten an eine zweite Recheneinrichtung, - Empfangen der Daten durch die zweite Recheneinrichtung, - Ermitteln für die Daten, ob eine Aktion ausgelöst werden soll und ansprechend darauf, dass eine Aktion ausgelöst werden soll, - Senden der Daten an eine Vergleichseinrichtung, - Ausführen einer Vergleichsprüfung für die von der zweiten Recheneinrichtung bereitgestellten Daten mit den in dem Datenspeicher gespeicherten Daten und ansprechend auf ein Bestehen der Vergleichsprüfung, - Aussenden der Daten und/oder einer Steuerungsanweisung und/oder einer Warnmitteilung durch die V2X Kommunikationsvorrichtung an ein Steuerungsmodul.
  2. Verfahren nach einem der vorhergehenden Ansprüche, wobei die zweite Recheneinrichtung zur Realisierung eines niedrigeren Sicherheitsintegritätslevel ausgebildet ist als die erste Recheneinrichtung.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei die zweite Recheneinrichtung zur Realisierung eines ASIL QM Sicherheitsintegritätslevels ausgebildet ist und die erste Recheneinrichtung zur Realisierung eines ASIL B Sicherheitsintegritätslevels.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die zweite Recheneinrichtung gemeinsam mit den Daten eine Vergleichsaufforderung an die Vergleichseinrichtung sendet.
  5. Verfahren nach Anspruch 4, wobei für die im Datenspeicher gespeicherten Daten eine Kennung zur Identifizierung dieser Daten abgespeichert wird, und wobei die Vergleichsaufforderung eine jeweilige Kennung der zu vergleichenden Daten enthält.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Aussendung der Daten an das Steuerungsmodul mittels der ersten Recheneinrichtung erfolgt.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Datenspeicher als abgesicherter TCM („tightly coupled memory“) ausgebildet ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Daten durch die erste Recheneinrichtung und/oder den Datenspeicher unter Verwendung eines Fehlerkorrekturverfahrens in dem Datenspeicher gespeichert werden.
  9. Verfahren nach einem der vorhergehenden Ansprüche, wobei weiterhin Daten bezüglich des Fahrzeugs in dem Datenspeicher gespeichert und an die zweite Recheneinrichtung weitergeleitet werden.
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei ansprechend auf das Abschließen der Vergleichsprüfung die Daten aus dem Datenspeicher gelöscht werden und/oder ein Ergebnis der Vergleichsprüfung an die zweite Recheneinrichtung übermittelt wird.
  11. Verfahren nach einem der vorhergehenden Ansprüche, ansprechend auf ein nicht Bestehen der Vergleichsprüfung ein Ergebnis des nicht Bestehens an die zweite Recheneinrichtung übermittelt wird und weiterhin: - Stoppen und/oder Neustarten und/oder Zurücksetzen einer durch die zweite Recheneinrichtung ausgeführte und die Daten verarbeitende Anwendung, - Wechsel eines Speicherbereichs eines der zweiten Recheneinrichtung zugeordneten Datenspeichers und/oder eines die Daten heranziehenden Rechenkerns oder physischen Rechenbereichs und/oder - Periodisches Zurücksetzen mit einer verkürzten Periodendauer einer die Daten heranziehenden Anwendung, wenn eine Wiederholung von fehlerhaften Vergleichsergebnissen nach ähnlichen Zeiten ermittelt wird.
  12. Verfahren nach einem der vorhergehenden Ansprüche, wobei eine Anzahl der im Ergebnis erfolgreichen und/oder fehlerhaften Vergleichsprüfungen ermittelt wird, wobei die V2X Kommunikation ausgesetzt und/oder ein Fehler im Fehlerspeicher hinterlegt und/oder ein Fahrzeuginsasse des Fahrzeugs entsprechend informiert wird, wenn die Anzahl an im Ergebnis fehlerhaften Vergleichsprüfungen und/oder ein Verhältnis der Anzahl der im Ergebnis fehlerhaften Vergleichsprüfungen zu den im Ergebnis erfolgreichen Vergleichsprüfungen einen Schwellwert überschreitet.
  13. Fahrzeug-zu-X (V2X) Kommunikationsvorrichtung, umfassend - eine erste Recheneinrichtung zur Datenverarbeitung, - eine zweite Recheneinrichtung zur Datenverarbeitung, - eine Empfangseinrichtung zum Empfang von Fahrzeug-zu-X Nachrichten mittels einer Antenne, - eine Sendeeinrichtung zum Senden von Daten an ein Steuerungsmodul und - eine Vergleichseinrichtung, wobei - die erste Recheneinrichtung konfiguriert ist mittels der Empfangseinrichtung empfangene Daten in einem Datenspeicher zu speichern und die Daten an die zweite Recheneinrichtung weiterzuleiten, wobei - die zweite Recheneinrichtung konfiguriert ist für die Daten zu ermitteln, ob eine Aktion ausgelöst werden soll und ansprechend darauf, dass eine Aktion ausgelöst werden soll, die Daten an die Vergleichseinrichtung zu senden, wobei - die Vergleichseinrichtung konfiguriert ist eine Vergleichsprüfung für die von der zweiten Recheneinrichtung bereitgestellten Daten mit den in dem Datenspeicher gespeicherten Daten vorzunehmen und ansprechend auf ein Bestehen der Vergleichsprüfung ein das Ergebnis anzeigendes Signal auszugeben, und wobei - die V2X Kommunikationsvorrichtung konfiguriert ist die Daten und/oder eine Steuerungsanweisung und/oder eine Warnmitteilung ansprechend auf das Signal zur Bereitstellung mittels der Sendeeinrichtung an das Steuerungsmodul auszusenden.
  14. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß Anspruch 13, konfiguriert ein Verfahren gemäß einem der Ansprüche 1 bis 12 auszuführen.
  15. Verwendung der V2X Kommunikationsvorrichtung gemäß Anspruch 13 oder 14 in einem Fahrzeug.
DE102020210876.5A 2019-09-18 2020-08-28 Verfahren zur Gewährleistung der Integrität von Daten zur Sicherstellung der Betriebssicherheit und Fahrzeug-zu-X Vorrichtung Active DE102020210876B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/574,291 2019-09-18
US16/574,291 US11599678B2 (en) 2019-09-18 2019-09-18 Method for ensuring the integrity of data to ensure operational safety and vehicle-to-X device

Publications (2)

Publication Number Publication Date
DE102020210876A1 true DE102020210876A1 (de) 2021-03-18
DE102020210876B4 DE102020210876B4 (de) 2021-09-23

Family

ID=74686345

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020210876.5A Active DE102020210876B4 (de) 2019-09-18 2020-08-28 Verfahren zur Gewährleistung der Integrität von Daten zur Sicherstellung der Betriebssicherheit und Fahrzeug-zu-X Vorrichtung

Country Status (3)

Country Link
US (1) US11599678B2 (de)
CN (1) CN112533173B (de)
DE (1) DE102020210876B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3816741B1 (de) * 2019-10-31 2023-11-29 TTTech Auto AG Sicherheitsmonitor für erweiterte fahrerassistenzsysteme

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL1014274C2 (nl) * 2000-02-03 2001-08-16 Tele Atlas Bv Stelsel voor het beveiligen van op een datadrager aanwezige data.
DE10043499A1 (de) * 2000-09-01 2002-03-14 Bosch Gmbh Robert Verfahren zur Datenübertragung
US8113988B2 (en) * 2008-04-04 2012-02-14 GM Global Technology Operations LLC Hydraulic control module for vehicle transmission and diagnostic detection method for the same
CN102804734B (zh) * 2009-06-04 2017-05-03 大陆-特韦斯贸易合伙股份公司及两合公司 车辆单元
US8314718B2 (en) * 2009-10-02 2012-11-20 GM Global Technology Operations LLC Reducing the computational load on processors by selectively discarding data in vehicular networks
US10515489B2 (en) * 2012-05-23 2019-12-24 Enterprise Holdings, Inc. Rental/car-share vehicle access and management system and method
DE102012215343A1 (de) * 2012-08-29 2014-05-28 Continental Automotive Gmbh Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
JP5967822B2 (ja) * 2012-10-12 2016-08-10 ルネサスエレクトロニクス株式会社 車載通信システム及び装置
DE102015209229A1 (de) * 2015-05-20 2016-11-24 Robert Bosch Gmbh Verfahren zum Überwachen eines Kraftfahrzeugs
US9852554B2 (en) * 2016-03-31 2017-12-26 Harman International Industries, Incorporated Systems and methods for vehicle-to-vehicle communication
DE102016206630A1 (de) * 2016-04-20 2017-11-09 Robert Bosch Gmbh Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
US10650621B1 (en) * 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
DE102016219348A1 (de) * 2016-10-06 2018-04-12 Continental Teves Ag & Co. Ohg Authentifizierungsvorrichtung für ein Fahrzeug
KR101896783B1 (ko) * 2016-10-17 2018-10-18 현대자동차주식회사 V2x 데이터 신뢰도 검증을 위한 v2x 통신 장치, 그를 포함한 v2x 통신 시스템 및 그 방법
CN111989716B (zh) * 2018-01-11 2022-11-15 图森有限公司 用于自主车辆操作的监视系统
CN109448409A (zh) * 2018-10-30 2019-03-08 百度在线网络技术(北京)有限公司 交通信息交互的方法、装置、设备和计算机存储介质
US11922741B2 (en) * 2019-06-07 2024-03-05 Volvo Car Corporation Secure installation of approved parts using blockchain

Also Published As

Publication number Publication date
US20210081571A1 (en) 2021-03-18
US11599678B2 (en) 2023-03-07
DE102020210876B4 (de) 2021-09-23
CN112533173B (zh) 2024-03-12
CN112533173A (zh) 2021-03-19

Similar Documents

Publication Publication Date Title
DE102018122143A1 (de) Systeme und verfahren zur eindringungserkennung in das netzwerk im fahrzeug
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
DE102016009195B3 (de) Verfahren zum Extrahieren von Fahrzeugdaten aus einem Kraftfahrzeug, Steuervorrichtung und Kraftfahrzeug
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102016217099B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
EP3092562B1 (de) Verfahren und system zum programmieren von mehreren steuergeräten
DE102016210274A1 (de) Betriebsverfahren eines kommunikationsknotens in einem fahrzeugnetz
DE112011105021B4 (de) Redundanzeinrichtung
DE102016217100B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
DE102018219960A1 (de) Fahrzeug-zu-X-Kommunikationsanordnung und Verfahren zum Empfangen von Fahrzeug-zu-X-Nachrichten
EP3228036B1 (de) Verfahren und steuergerät zur übertragung sicherheitsrelevanter daten in einem kraftfahrzeug mittels eines ethernet-standards
DE102020210876B4 (de) Verfahren zur Gewährleistung der Integrität von Daten zur Sicherstellung der Betriebssicherheit und Fahrzeug-zu-X Vorrichtung
DE102019202527A1 (de) Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102013108006B4 (de) Kommunikationsanordnung
DE102010028485A1 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
EP4232905A1 (de) Datenverarbeitungsnetzwerk zur datenverarbeitung
DE102021210024A1 (de) Verfahren und System zur Steuerung einer Übertragung von Daten in Abhängigkeit wenigstens eines Attributs einer Datei
DE102012110712A1 (de) Verfahren und System zur Funktionsprüfung einer Fehlererkennungseinheit einer CAN-Bus-Controllereinheit
DE102016208869A1 (de) Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung für ein Fahrzeug
DE102019214484A1 (de) Verfahren zum sicheren Ermitteln von Infrastrukturdaten
DE102018220324A1 (de) Verfahren zur Überwachung eines Datenübertragungssystems, Datenübertragungssystem und Kraftfahrzeug
DE102017204212A1 (de) Verfahren und Vorrichtung zum Verwalten von Applikationen für Fahrzeuge
DE102016110148A1 (de) Endsystemeinrichtung mit integrierter Schalteinrichtung
DE102021205962A1 (de) Verfahren und Vorrichtung zum Absichern eines Rechnernetzes

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNERS: CONTINENTAL AUTOMOTIVE SYSTEMS, INC., AUBURN HILLS, MICH., US; CONTINENTAL TEVES AG & CO. OHG, 60488 FRANKFURT, DE

Owner name: CONTINENTAL AUTOMOTIVE SYSTEMS, INC., AUBURN H, US

Free format text: FORMER OWNERS: CONTINENTAL AUTOMOTIVE SYSTEMS, INC., AUBURN HILLS, MICH., US; CONTINENTAL TEVES AG & CO. OHG, 60488 FRANKFURT, DE

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNERS: CONTINENTAL AUTOMOTIVE SYSTEMS, INC., AUBURN HILLS, MI, US; CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE

Owner name: CONTINENTAL AUTOMOTIVE SYSTEMS, INC., AUBURN H, US

Free format text: FORMER OWNERS: CONTINENTAL AUTOMOTIVE SYSTEMS, INC., AUBURN HILLS, MI, US; CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE