DE102021131848A1

DE102021131848A1 - Sicherheits-gateway

Info

Publication number: DE102021131848A1
Application number: DE102021131848.3A
Authority: DE
Inventors: Junsung KIM
Original assignee: Motional AD LLC
Current assignee: Motional AD LLC
Priority date: 2020-12-23
Filing date: 2021-12-02
Publication date: 2022-06-23
Also published as: GB2602369B; KR102579115B1; GB202303224D0; KR20220091335A; CN114745147A; US20220201000A1; GB202109537D0; GB2602369A

Abstract

Unter anderem werden Vorrichtungen und Techniken zur Verwaltung der Sicherheit von Vorrichtungen in einem Fahrzeug mit Verwendung eines Sicherheits-Gateways beschrieben. In einem Aspekt ist eine Schaltung mit einer Vorrichtung in einem Fahrzeug gekoppelt und steuert die Kommunikation zwischen der Vorrichtung und Einheiten außerhalb des Fahrzeugs. Die Schaltung empfängt aus einer externen Einheit Kommunikationsverkehr für die Vorrichtung. Die Schaltung bestimmt anhand einer bekannten Sicherheitsrichtlinie für die Vorrichtung, ob der Kommunikationsverkehr ein für die Vorrichtung gültiger Kommunikationsverkehr ist. Die Schaltung bestimmt außerdem anhand eines bekannten Vorrichtungsprofils der Vorrichtung, ob der Kommunikationsverkehr die Charakteristik des Vorrichtungsprofils erfüllt. Falls es sich bei dem Kommunikationsverkehr um gültigen Kommunikationsverkehr für die Vorrichtung handelt und der Kommunikationsverkehr die Charakteristik des Vorrichtungsprofils erfüllt, leitet die Schaltung den Kommunikationsverkehr an die Vorrichtung weiter.

Description

GEBIET DER ERFINDUNG
Die vorliegende Beschreibung bezieht sich allgemein auf Sicherheits-Gateways und insbesondere auf ein Sicherheits-Gateway in einem Fahrzeug.
HINTERGRUND
Autonome oder halbautonome Fahrzeuge verfügen über verschiedene elektronische Komponenten, die den Betrieb der Fahrzeuge erleichtern, z. B. Sensoren zur Erfassung von Informationen über die Umgebung, Prozessoren zur Verarbeitung der Sensorinformationen zur Steuerung der Lenkung oder der Bremsen oder beides. Die verschiedenen elektronischen Komponenten tauschen untereinander oder mit externen entfernt gelegenen Servern oder anderen Fahrzeugen Informationen durch Austausch von Nachrichten aus.
Figurenliste

1 zeigt ein Beispiel für ein Fahrzeug mit autonomer Fähigkeit.
2 zeigt ein Beispiel für eine „Cloud“-Rechenumgebung.
3 zeigt ein Computersystem.
4 zeigt ein Beispiel für die Architektur eines autonomen Fahrzeugs.
5 zeigt ein Beispiel für Eingaben und Ausgaben, die durch ein Wahrnehmungsmodul verwendet werden können.
6 zeigt ein Beispiel für ein LiDAR-System.
7 zeigt ein Beispiel für ein Fahrzeug mit einem Sicherheits-Gateway.
8 zeigt einen Beispielprozess zur Kontrolle der Sicherheit in einem Fahrzeug unter Verwendung eines Sicherheits-Gateways.

DETAILLIERTE BESCHREIBUNG
In der folgenden Beschreibung werden zwecks Erklärung zahlreiche spezifische Details dargelegt, um ein gründliches Verständnis der vorliegenden Erfindung zu ermöglichen. Es wird jedoch offensichtlich, dass die vorliegende Erfindung auch ohne diese spezifischen Details umgesetzt werden kann. In anderen Fällen werden bekannte Strukturen und Vorrichtungen in Blockdiagrammform dargestellt, um eine unnötige Verschleierung der vorliegenden Erfindung zu vermeiden.
Zur leichteren Beschreibung sind in den Zeichnungen spezifische Anordnungen oder Reihenfolgen von schematischen Elementen abgebildet, wie zum Beispiel solche, die Vorrichtungen, Module, Anweisungsblöcke und Datenelemente darstellen. Der Fachmann sollte jedoch verstehen, dass die spezifische Reihenfolge oder Anordnung der schematischen Elemente in den Zeichnungen nicht bedeuten soll, dass eine bestimmte Reihenfolge oder Sequenz der Bearbeitung oder eine Trennung der Prozesse erforderlich ist. Ferner soll die Aufnahme eines schematischen Elements in eine Zeichnung nicht bedeuten, dass dieses Element in allen Ausführungsformen erforderlich ist oder dass die durch dieses Element dargestellten Merkmale in einigen Ausführungsformen nicht in andere Elemente aufgenommen oder mit anderen Elementen kombiniert werden dürfen.
Ferner ist in den Zeichnungen, in denen Verbindungselemente, wie beispielsweise durchgezogene oder gestrichelte Linien oder Pfeile verwendet werden, um eine Verbindung, Beziehung oder Verknüpfung zwischen oder unter zwei oder mehreren anderen schematischen Elementen darzustellen, das Fehlen solcher Verbindungselemente nicht so zu verstehen, dass keine Verbindung, Beziehung oder Verknüpfung bestehen kann. Mit anderen Worten werden einige Verbindungen, Zusammenhänge oder Verknüpfungen zwischen Elementen in den Zeichnungen nicht dargestellt, um die Offenbarung nicht zu verschleiern. Zur leichteren Veranschaulichung wird außerdem ein einzelnes Verbindungselement verwendet, um mehrere Verbindungen, Zusammenhänge oder Verknüpfungen zwischen Elementen darzustellen. Wenn zum Beispiel ein Verbindungselement eine Kommunikation von Signalen, Daten oder Anweisungen darstellt, sollte der Fachmann verstehen, dass ein solches Element einen oder mehrere Signalwege (z. B. einen Bus) darstellt, je nachdem, was erforderlich ist, um die Kommunikation zu bewirken.
Im Folgenden wird im Detail Bezug auf Ausführungsformen genommen, deren Beispiele in den begleitenden Zeichnungen veranschaulicht sind. In der folgenden detaillierten Beschreibung werden zahlreiche spezifische Details dargelegt, um ein gründliches Verständnis der verschiedenen beschriebenen Ausführungsformen zu ermöglichen. Jedoch wird für einen durchschnittlichen Fachmann deutlich sein, dass die verschiedenen beschriebenen Ausführungsformen auch ohne diese spezifischen Details umgesetzt werden können. In anderen Fällen sind allgemein bekannte Verfahren, Vorgehensweisen, Komponenten, Schaltungen und Netzwerke nicht ausführlich beschrieben, um eine unnötige Verschleierung der Aspekte der Ausführungsformen zu vermeiden.
Im Folgenden werden mehrere Merkmale beschrieben, die jeweils unabhängig voneinander oder in einer beliebigen Kombination anderer Merkmale verwendet werden können. Allerdings kann es sein, dass ein einzelnes Merkmal keines der oben erörterten Probleme oder nur eines der oben erörterten Probleme anspricht. Einige der oben erörterten Probleme werden möglicherweise durch keines der hier beschriebenen Merkmale vollständig angesprochen. Auch wenn Überschriften angegeben sind, können Informationen, die sich auf eine bestimmte Überschrift beziehen, aber nicht in dem Abschnitt mit dieser Überschrift zu finden sind, auch an anderer Stelle in dieser Beschreibung gefunden werden. Ausführungsformen werden hier gemäß der folgenden Übersicht beschrieben:

1. Allgemeiner Überblick
2. Systemübersicht
3. Architektur autonomer Fahrzeuge
4. Eingaben autonomer Fahrzeuge
5. Sicherheits-Gateway für autonome Fahrzeuge
6. Beispielprozesse für die Verwaltung der Fahrzeugsicherheit unter Verwendung eines Sicherheits-Gateways

Allgemeiner Überblick
In einigen Ausführungsformen ist ein Sicherheits-Gateway eine elektronische Vorrichtung, die in einem Fahrzeug, z. B. einem autonomen Fahrzeug (AF), eingesetzt wird, um die Kommunikation zwischen anderen Komponentenvorrichtungen im Fahrzeug und Einheiten außerhalb des Fahrzeugs (z. B. entfernt gelegene Server oder andere Fahrzeuge) zu verwalten. Das Sicherheits-Gateway führt Sicherheitsüberprüfungen durch, um nur autorisierten/gültigen Kommunikationsverkehr zwischen den Vorrichtungen im Fahrzeug und externen Einheiten zuzulassen. Zu den Sicherheitsprüfungen gehören u. a. das Durchsetzen von Sicherheitsrichtlinien, die vertrauenswürdigen Datenverkehr (z. B. autorisierten Datenverkehr) zulassen, und das Erkennen von Anzeichen für Angriffe durch Vergleichen des Datenverkehrs mit bekannten Profilen der Vorrichtungen.
In einigen Ausführungsformen stellt das Sicherheits-Gateway in einem Fahrzeug die Funktionalität eines Routers, eines Switches oder einer Firewall oder einer beliebigen Kombination dieser Funktionen bereit. Der gesamte in das Fahrzeug eingehende oder aus dem Fahrzeug ausgehende Kommunikationsverkehr wird durch das Sicherheits-Gateway geprüft, die anhand der Sicherheitsrichtlinien des Fahrzeugs oder der bekannten Profile der verschiedenen Vorrichtungen im Fahrzeug entscheidet, ob der Verkehr zugelassen oder abgelehnt werden soll. In einigen Ausführungsformen enthält das Sicherheits-Gateway eine Eindringerkennungs-Engine, um Anzeichen von Sicherheitsangriffen, z. B. Verhaltensanomalien in Operationen einer oder mehrerer Vorrichtungen im Fahrzeug zu erkennen, die durch einen externen Angreifer manipuliert werden. Zusätzlich oder alternativ enthält das Sicherheits-Gateway eine Richtlinien-Engine zum Durchsetzen von Sicherheitsrichtlinien, die autorisierten Kommunikationsverkehr und/oder zugelassene Verhaltensweisen auf Netzwerkebene in eine Weißliste aufnehmen. In diesem Zusammenhang ist eine Sicherheitsrichtlinie ein Satz von Regeln, die Aufgaben festlegen, welche eine bestimmte Vorrichtung (oder eine Gruppe von Vorrichtungen) ausführen darf. Zu den Aufgaben können u. a. Operationen gehören, die durch die Vorrichtung ausgeführt werden können, Einheiten innerhalb oder außerhalb des Fahrzeugs, mit denen die Vorrichtung kommunizieren kann, oder Arten von Nachrichten, die die Vorrichtung senden oder empfangen kann. Die Sicherheitsrichtlinien fungieren als Weißliste, in der alle durch eine Richtlinie festgelegten Aufgaben zulässig sind, während nicht durch eine Richtlinie festgelegte Aufgaben abgewiesen werden.
Der hier beschriebene Erfindungsgegenstand kann mehrere technische Vorteile bieten. Durch Erweitern eines Fahrzeug-Gateways um eine Eindringerkennungs- und Richtlinien-Engine können beispielsweise Anzeichen von Sicherheitsangriffen erkannt und Sicherheitsrichtlinien, die zulässige Verhaltensweisen in eine Weißliste aufnehmen, auf Netzwerkebene durchgesetzt werden. Auf diese Weise werden die Sicherheitsrisiken im Zusammenhang mit einem zentralen Gateway zur Steuerung der gesamten Kommunikation gemindert. Indem man das Gateway den gesamten Datenverkehr gegen die bestehenden Sicherheitsrichtlinien und die erwarteten Datenverkehrsprofile überprüfen lässt, können Angriffe gegen die Komponentenvorrichtungen im Fahrzeug, einschließlich des Sicherheits-Gateways, verhindert werden, was zu einer erhöhten Sicherheit führt.
Systemübersicht
1 zeigt ein Beispiel für ein autonomes Fahrzeug 100, das über autonome Fähigkeit verfügt.
Wie hier verwendet, bezieht sich der Begriff „autonome Fähigkeit“ auf eine Funktion, ein Merkmal oder eine Einrichtung, die es ermöglicht, ein Fahrzeug teilweise oder vollständig ohne menschliches Eingreifen in Echtzeit zu betreiben, einschließlich, aber nicht beschränkt auf vollständig autonome Fahrzeuge, hochgradig autonome Fahrzeuge und bedingt autonome Fahrzeuge.
Wie hier verwendet, ist ein autonomes Fahrzeug (AF) ein Fahrzeug, das über autonome Fähigkeiten verfügt.
Wie hier verwendet, umfasst „Fahrzeug“ Transportmittel für den Transport von Gütern oder Personen. Zum Beispiel Autos, Busse, Züge, Flugzeuge, Drohnen, Lastwagen, Boote, Schiffe, Tauchboote, Lenkflugkörper usw. Ein fahrerloses Kraftfahrzeug ist ein Beispiel für ein Fahrzeug.
Wie hier verwendet, bezieht sich „Bewegungsbahn“ auf einen Weg oder eine Route zum Navigieren eines AF von einem ersten räumlich-zeitlichen Ort zu einem zweiten raumzeitlichen Ort. In einigen Ausführungsformen wird der erste raumzeitliche Ort als Anfangs- oder Startort und der zweite raumzeitliche Ort als Bestimmungsort, Endort, Ziel, Zielposition oder Zielort bezeichnet. In einigen Beispielen besteht eine Bewegungsbahn aus einem oder mehreren Segmenten (z. B. Straßenabschnitten), und jedes Segment besteht aus einem oder mehreren Blöcken (z. B. Abschnitten eines Fahrstreifens oder einer Kreuzung). In einigen Ausführungsformen entsprechen die raumzeitlichen Orte den Orten der realen Welt. Die raumzeitlichen Orte sind zum Beispiel Abhol- oder Absetzorte zum Abholen oder Absetzen von Personen oder Gütern.
Wie hier verwendet, umfasst „Sensor(en)“ eine oder mehrere Hardwarekomponenten, die Informationen über die Umgebung rund um den Sensor erfassen. Einige der Hardwarekomponenten können sensorische Komponenten (z. B. Bildsensoren, biometrische Sensoren), Sende- und/oder Empfangskomponenten (z. B. Laser- oder Hochfrequenzwellensender und -empfänger), elektronische Komponenten wie Analog-Digital-Wandler, eine Datenspeichervorrichtung (z. B. ein RAM und/oder ein nichtflüchtiger Speicher), Software- oder Firmwarekomponenten und Datenverarbeitungskomponenten wie eine ASIC (anwendungsspezifische integrierte Schaltung), einen Mikroprozessor und/oder einen Mikrocontroller umfassen.
Wie hier verwendet, ist eine „Szeneriebeschreibung“ eine Datenstruktur (z. B. Liste) oder ein Datenstrom, der ein oder mehrere klassifizierte oder markierte Objekte enthält, die durch einen oder mehrere Sensoren an dem AF-Fahrzeug erkannt oder durch eine AF-externe Quelle bereitgestellt werden.
Wie hier verwendet, ist eine „Straße“ ein physischer Bereich, der durch ein Fahrzeug befahren werden kann und einem benannten Verkehrsweg (z. B. Stadtstraße, Autobahn usw.) oder einem unbenannten Verkehrsweg (z. B. eine Einfahrt an einem Haus oder Bürogebäude, ein Abschnitt eines Parkplatzes, ein Abschnitt eines leeren Grundstücks, ein Feldweg in einem ländlichen Gebiet usw.) entsprechen kann. Da einige Fahrzeuge (z. B. Allradlastwagen, Geländewagen, usw.) in der Lage sind, eine Vielzahl physischer Bereiche zu befahren, die nicht speziell für den Fahrzeugverkehr angepasst sind, kann eine „Straße“ ein physischer Bereich sein, der nicht formell durch eine Gemeinde oder andere Regierungs- oder Verwaltungsbehörde als Verkehrsweg definiert ist.
Wie hier verwendet, ist ein „Fahrstreifen“ ein Abschnitt einer Straße, der durch ein Fahrzeug befahren werden kann. Ein Fahrstreifen wird mitunter basierend auf Fahrstreifenmarkierungen gekennzeichnet. Beispielsweise kann ein „Fahrstreifen“ dem größten Teil oder der Gesamtheit des Zwischenraums zwischen den Fahrstreifenmarkierungen oder nur einem Teil (z. B. weniger als 50 %) des Zwischenraums zwischen den Fahrstreifenmarkierungen entsprechen. Zum Beispiel könnte eine Straße mit weit auseinanderliegenden Fahrstreifenmarkierungen zwei oder mehr Fahrzeuge zwischen den Markierungen aufnehmen, sodass ein Fahrzeug das andere überholen kann, ohne die Fahrstreifenmarkierungen zu überqueren, und könnte daher so interpretiert werden, dass ein Fahrstreifen schmaler als der Zwischenraum zwischen den Fahrstreifenmarkierungen ist oder dass zwei Fahrstreifen zwischen den Fahrstreifenmarkierungen liegen. Ein Fahrstreifen könnte auch bei Fehlen von Fahrstreifenmarkierungen interpretiert werden. Beispielsweise kann ein Fahrstreifen basierend auf physischen Merkmalen einer Umgebung definiert werden, z. B. durch Felsen und Bäume entlang einer Durchgangsstraße in einem ländlichen Gebiet oder z. B. durch natürliche Hindernisse, die in einem unerschlossenen Gebiet zu vermeiden sind. Ein Fahrstreifen könnte auch unabhängig von Fahrstreifenmarkierungen oder physischen Merkmalen interpretiert werden. Beispielsweise könnte ein Fahrstreifen basierend auf einem beliebigen, hindernisfreien Weg in einem Gebiet interpretiert werden, in dem ansonsten Merkmale fehlen, die als Fahrstreifenbegrenzungen interpretiert werden würden. In einem Beispielszenario könnte ein AF einen Fahrstreifen durch einen hindernisfreien Abschnitt eines Feldes oder einer leeren Geländefläche interpretieren. In einem anderen Beispielszenario könnte ein AF einen Fahrstreifen durch eine breite (z. B. breit genug für zwei oder mehr Fahrstreifen) Straße interpretieren, die keine Fahrstreifenmarkierungen aufweist. In diesem Szenario könnte das AF Informationen über den Fahrstreifen an andere AFs übermitteln, sodass die anderen AFs die gleichen Fahrstreifeninformationen verwenden können, um die Wegplanung untereinander zu koordinieren.
Der Begriff „Over-the-Air(OTA)-Client“ umfasst jedes AF oder jede elektronische Vorrichtung (z. B. Computer, Steuervorrichtung, IoT-Vorrichtung, elektronisches Steuergerät (ECU)), die in ein AF eingebettet, mit einem AF gekoppelt oder in Kommunikation mit einem AF steht.
Der Begriff „Over-the-Air(OTA)-Aktualisierung“ bezeichnet jede Aktualisierung, Änderung, Löschung oder Hinzufügung von Software, Firmware, Daten oder Konfigurationseinstellungen oder jede Kombination davon, die an einen OTA-Client unter Verwendung firmeneigener und/oder standardisierter drahtloser Kommunikationstechnologie geliefert wird, einschließlich, aber nicht beschränkt auf: zellulare Mobilkommunikation (z. B. 2G, 3G, 4G, 5G), drahtlose Funknetze (z. B. Wi-Fi) und/oder Satelliten-Internet.
Der Begriff „Edge-Knoten“ bezeichnet ein oder mehrere mit einem Netz gekoppelte Edge-Vorrichtungen, die ein Portal für die Kommunikation mit AFs bieten und mit anderen Edge-Knoten und einer Cloud-basierten Rechenplattform kommunizieren können, um OTA Aktualisierungen zu planen und an OTA-Clients zu liefern.
Der Begriff „Edge-Vorrichtung“ bedeutet eine Vorrichtung, die einen Edge-Knoten implementiert und einen physischen drahtlosen Zugangspunkt (AP) in Kernnetze von Unternehmen oder Dienstanbietern (z. B. VERIZON, AT&T) bereitstellt. Beispiele für Edge-Vorrichtungen beinhalten, sind aber nicht beschränkt auf: Computer, Controller, Sender, Router, Routing-Switches, integrierte Zugangsgeräte (IADs), Multiplexer, Zugangsgeräte für Großstadtnetze (MANs) und Weitverkehrsnetze (WANs).
„Eine oder mehrere“ umfasst eine Funktion, die durch ein Element ausgeführt wird, eine Funktion, die durch mehr als ein Element ausgeführt wird, z. B. auf verteilte Weise, wobei mehrere Funktionen durch ein Element ausgeführt werden, mehrere Funktionen durch mehrere Elemente ausgeführt werden, oder eine beliebige Kombination des oben Genannten.
Es versteht sich auch, dass die Begriffe „erste“, „zweite“ usw. hier zwar in einigen Fällen zur Beschreibung verschiedener Elemente verwendet werden, diese Elemente jedoch nicht durch diese Begriffe eingeschränkt werden sollten. Diese Begriffe werden nur verwendet, um ein Element von einem anderen zu unterscheiden. Beispielsweise könnte ein erster Kontakt als ein zweiter Kontakt bezeichnet sein, und in ähnlicher Weise könnte ein zweiter Kontakt als ein dritter Kontakt bezeichnet sein, ohne vom Schutzbereich der verschiedenen beschriebenen Ausführungsformen abzuweichen. Der erste Kontakt und der zweite Kontakt sind beide Kontakte, aber sie sind nicht derselbe Kontakt.
Die Terminologie, die bei der Beschreibung der verschiedenen hier beschriebenen Ausführungsformen verwendet wird, dient nur der Beschreibung bestimmter Ausführungsformen und ist nicht als einschränkend beabsichtigt. Bei der Beschreibung der verschiedenen beschriebenen Ausführungsformen und der beigefügten Ansprüche sollen die Singularformen „ein“, „eine“ sowie „der“, „die“, „das“ auch die Pluralformen einschließen, sofern der Zusammenhang nicht eindeutig etwas anderes vorgibt. Es versteht sich auch, dass der Begriff „und/oder“ wie hier verwendet sich auf alle möglichen Kombinationen eines oder mehrerer der zugehörigen aufgelisteten Punkte bezieht und diese mit einschließt. Es versteht sich ferner, dass die Begriffe „enthalten“, „einschließlich“, „umfassen“, und/oder „umfassend“ bei Verwendung in dieser Beschreibung das Vorhandensein angegebener Merkmale, Ganzzahlen, Schritte, Vorgänge, Elemente und/oder Komponenten davon angibt, aber nicht das Vorhandensein oder die Hinzufügung eines/einer oder mehrerer anderer Merkmale, Ganzzahlen, Schritte, Vorgänge, Elemente, Komponenten und/oder Gruppen davon ausschließt.
Wie hier verwendet, ist der Begriff „falls“ gegebenenfalls so auszulegen, dass er je nach Zusammenhang „wenn“ oder „bei“ oder „als Reaktion auf das Ermitteln“ oder „als Reaktion auf das Erkennen“ bedeutet. In ähnlicher Weise ist die Formulierung „falls ermittelt wird“ oder „falls [ein angegebener Zustand oder ein Ereignis] erkannt wird“ je nach Zusammenhang gegebenenfalls so auszulegen, dass sie „bei Ermitteln“ oder „als Reaktion auf das Ermitteln“ oder „bei Erkennen [des angegebenen Zustands oder Ereignisses]“ oder „als Reaktion auf das Erkennen [des angegebenen Zustands oder Ereignisses]“ bedeutet.
Wie hier verwendet, bezieht sich ein AF-System auf das AF zusammen mit der Anordnung von Hardware, Software, gespeicherten Daten und in Echtzeit erzeugten Daten, die den Betrieb des AF unterstützen. In einigen Ausführungsformen ist das AF-System in das AF integriert. In einigen Ausführungsformen ist das AF-System über mehrere Orte verteilt. Zum Beispiel ist ein Teil der Software des AF-Systems auf einer Cloud-Rechenumgebung implementiert, ähnlich der Cloud-Rechenumgebung 300, die im Folgenden mit Bezug auf 3 beschrieben wird.
Allgemein beschreibt dieses Dokument Technologien, die auf alle Fahrzeuge anwendbar sind, die über eine oder mehrere autonome Fähigkeiten verfügen, einschließlich vollständig autonomer Fahrzeuge, hochgradig autonomer Fahrzeuge und bedingt autonomer Fahrzeuge, wie z. B. sogenannte Stufe-5-, Stufe-4- und Stufe-3-Fahrzeuge (siehe SAE International Standard J3016: Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems (Taxonomie und Definitionen für Begriffe im Zusammenhang mit automatischen Straßen-Kraftfahrzeug-Fahrsystemen), die durch Verweis in ihrer Gesamtheit übernommen wurde, für weitere Einzelheiten über die Klassifizierung von Autonomiegraden in Fahrzeugen). Die in diesem Dokument beschriebenen Technologien sind auch auf teilautonome Fahrzeuge und fahrerunterstützte Fahrzeuge anwendbar, wie z. B. sogenannte Stufe-2- und Stufe-1-Fahrzeuge (siehe SAE International's Standard J3016: Taxonomy and Definitions for Terms Related to On-Road Motor Vehicle Automated Driving Systems (Taxonomie und Definitionen für Begriffe im Zusammenhang mit automatisierten Straßen-Kraftfahrzeug-Fahrsystemen)). In einigen Ausführungsformen können eines oder mehrere der Fahrzeugsysteme der Stufen 1, 2, 3, 4 und 5 unter bestimmten Betriebsbedingungen basierend auf dem Verarbeiten von Sensoreingaben bestimmte Fahrzeugfunktionen (z. B. Lenken, Bremsen und Verwenden von Karten) automatisieren. Die in diesem Dokument beschriebenen Technologien können Fahrzeugen auf allen Stufen zugute kommen, von vollständig autonomen Fahrzeugen bis hin zu durch Menschen betriebenen Fahrzeugen.
Autonome Fahrzeuge haben Vorteile gegenüber Fahrzeugen, die einen menschlichen Fahrer erfordern. Ein Vorteil ist die Sicherheit. Zum Beispiel gab es in den Vereinigten Staaten im Jahr 2016 6 Millionen Autounfälle, 2,4 Millionen Verletzte, 40.000 Tote und 13 Millionen Unfallfahrzeuge, deren gesellschaftliche Kosten auf über 910 Milliarden Dollar geschätzt werden. Die Zahl der Verkehrstoten pro 100 Millionen gefahrener Meilen ist in den USA von 1965 bis 2015 von ca. sechs auf ca. eins zurückgegangen, was zum Teil auf zusätzliche Sicherheitsmaßnahmen in den Fahrzeugen zurückzuführen ist. Beispielsweise wird davon ausgegangen, dass eine zusätzliche halbe Sekunde, in der vor einem Zusammenstoß gewarnt wird, 60 % der Auffahrunfälle abmildert. Allerdings haben passive Sicherheitsmerkmale (z. B. Sicherheitsgurte, Airbags) bei der Verbesserung dieser Zahl wahrscheinlich ihre Grenze erreicht. Daher sind aktive Sicherheitsmaßnahmen, wie die automatisierte Steuerung eines Fahrzeugs, der wahrscheinlich nächste Schritt zur Verbesserung dieser Statistiken. Da davon ausgegangen wird, dass bei 95 % der Unfälle menschliche Fahrer für ein kritisches Ereignis vor dem Unfall verantwortlich sind, werden automatisierte Fahrsysteme wahrscheinlich bessere Sicherheitsergebnisse erzielen, z. B. indem sie kritische Situationen besser als Menschen zuverlässig erkennen und vermeiden, bessere Entscheidungen treffen, Verkehrsgesetze befolgen und zukünftige Ereignisse besser vorhersagen als Menschen und ein Fahrzeug besser als Menschen zuverlässig steuern.
Mit Bezug auf 1 betreibt ein AF-System 120 das System 100 entlang einer Bewegungsbahn 198 durch eine Umgebung 190 bis zu einem Zielort 199 (mitunter auch als Endort bezeichnet), wobei Objekte (z. B. natürliche Hindernisse 191, Fahrzeuge 193, Fußgänger 192, Radfahrer und andere Hindernisse) vermieden und Straßenregeln (z. B. Betriebsregeln oder Fahrpräferenzen) befolgt werden.
In einigen Ausführungsformen beinhaltet das AF-System 120 Vorrichtungen 101, die dazu eingerichtet sind, Betriebsbefehle aus einem oder mehreren Computerprozessoren 146 zu empfangen und darauf zu reagieren. Wir verwenden den Begriff „Betriebsbefehl“, um eine ausführbare Anweisung (oder einen Satz von Anweisungen) zu bezeichnen, die ein Fahrzeug veranlasst, eine Maßnahme (z. B. ein Fahrmanöver) durchzuführen. Betriebsbefehle können, ohne Einschränkung, Anweisungen für ein Fahrzeug enthalten, vorwärts zu fahren, die Vorwärtsfahrt zu unterbrechen, rückwärts zu fahren, die Rückwärtsfahrt zu unterbrechen, zu beschleunigen, abzubremsen, eine Linkskurve zu fahren und eine Rechtskurve zu fahren. In einigen Ausführungsformen ähneln die Computerprozessoren 146 dem nachfolgend mit Bezug auf 3 beschriebenen Prozessor 304. Beispiele für Vorrichtungen 101 beinhalten eine Lenksteuerung 102, Bremsen 103, Gangschaltung, Gaspedal oder andere Beschleunigungssteuerungsmechanismen, Scheibenwischer, Seitentürschlösser, Fenstersteuervorrichtungen und Blinker.
In einigen Ausführungsformen umfasst das AF-System 120 Sensoren 121 zur Messung oder Ableitung von Zuständen oder Bedingungen des Fahrzeugs 100, wie z. B. die Position, die Linear- und Winkelgeschwindigkeit und -beschleunigung und die Fahrtrichtung des AF (z. B. eine Ausrichtung des vorderen Endes des Fahrzeug 100). Beispiele für Sensoren 121 sind GPS, Trägheitsmesseinheiten (IMU), die sowohl lineare Fahrzeugbeschleunigungen als auch Winkelbeschleunigungen messen, Raddrehzahlsensoren zum Messen oder Schätzen von Radschlupfverhältnissen, Radbremsdruck- oder Bremsmomentsensoren, Motordrehmoment- oder Raddrehmomentsensoren sowie Lenkwinkel- und Winkelgeschwindigkeitssensoren.
In einigen Ausführungsformen enthalten die Sensoren 121 auch Sensoren zum Erfassen oder Messen von Eigenschaften der Umgebung des AF. Zum Beispiel enthalten die Sensoren 121 Monokular- oder Stereo-Videokameras 122 im sichtbaren Licht-, Infrarot- oder Wärmespektrum (oder beiden Spektren), LiDAR 123, RADAR, Ultraschallsensoren, Time-of-Flight(TOF)-Tiefensensoren, Geschwindigkeitssensoren, Temperatursensoren, Feuchtigkeitssensoren und Niederschlagssensoren.
In einigen Ausführungsformen umfasst das AF-System 120 eine Datenspeichereinheit 142 und einen Speicher 144 zum Speichern von Maschinenanweisungen im Zusammenhang mit dem Computerprozessor 146 oder durch Sensoren 121 gesammelten Daten. In einigen Ausführungsformen ähnelt die Datenspeichereinheit 142 dem ROM 308 oder der Speichervorrichtung 310, die nachfolgend mit Bezug auf 3 beschrieben werden. In einigen Ausführungsformen ähnelt der Speicher 144 dem nachfolgend beschriebenen Hauptspeicher 306. In einigen Ausführungsformen speichern die Datenspeichereinheit 142 und der Speicher 144 historische, Echtzeit- und/oder vorausschauende Informationen über die Umgebung 190. In einigen Ausführungsformen umfassen die gespeicherten Informationen Straßenkarten, Fahrleistungen, Aktualisierungen zu Verkehrsstaus oder Wetterbedingungen. In einigen Ausführungsformen werden Daten, die sich auf die Umgebung 190 beziehen, über einen Kommunikationskanal aus einer entfernt gelegenen Datenbank 134 an das Fahrzeug 100 übertragen.
In einigen Ausführungsformen umfasst das AF-System 120 Kommunikationsvorrichtungen 140 zum Übermitteln gemessener oder abgeleiteter Eigenschaften von Zuständen und Bedingungen anderer Fahrzeuge wie z. B. Positionen, Linear- und Winkelgeschwindigkeiten, Linear- und Winkelbeschleunigungen sowie Linear- und Winkelfahrtrichtungen an das Fahrzeug 100. Diese Vorrichtungen umfassen Fahrzeug-zu-Fahrzeug(V2V)- und Fahrzeug-zu-Infrastruktur(V2I)-Kommunikationsvorrichtungen und Vorrichtungen für drahtlose Kommunikation über Punkt-zu-Punkt- oder Ad-hoc-Netzwerke oder beides. In einigen Ausführungsformen kommunizieren die Kommunikationsvorrichtungen 140 über das elektromagnetische Spektrum (einschließlich Funk- und optischer Kommunikation) oder andere Medien (z. B. Luft- und akustische Medien). Eine Kombination von Fahrzeug-zu-Fahrzeug(V2V)-Kommunikation, Fahrzeug-zu-Infrastruktur(V2I)-Kommunikation (und in einigen Ausführungsformen eine oder mehrere andere Kommunikationsarten) wird mitunter als Fahrzeug-zu-alles (V2X)-Kommunikation bezeichnet. Die V2X-Kommunikation entspricht in der Regel einem oder mehreren Kommunikationsstandards für die Kommunikation mit, zwischen und unter autonomen Fahrzeugen.
In einigen Ausführungsformen enthalten die Kommunikationsvorrichtungen 140 Kommunikationsschnittstellen. Zum Beispiel drahtgebundene, drahtlose, WiMAX-, Wi-Fi-, Bluetooth-, Satelliten-, Zellular-, optische, Nahfeld-, Infrarot- oder Funkschnittstellen. Die Kommunikationsschnittstellen übertragen Daten aus einer entfernt gelegenen Datenbank 134 an das AF-System 120. In einigen Ausführungsformen ist die entfernt gelegene Datenbank 134 wie in 2 beschrieben in eine Cloud-Rechenumgebung 200 eingebettet. Die Kommunikationsvorrichtungen 140 übertragen die aus den Sensoren 121 gesammelten Daten oder andere Daten, die sich auf den Betrieb des Fahrzeugs 100 beziehen, an die entfernt gelegene Datenbank 134. In einigen Ausführungsformen übertragen die Kommunikationsvorrichtungen 140 Informationen, die sich auf Teleoperationen beziehen, an das Fahrzeug 100. In einigen Ausführungsformen kommuniziert das Fahrzeug 100 mit anderen entfernt gelegenen (z. B. „Cloud“-) Servern 136.
In einigen Ausführungsformen speichert und überträgt die entfernt gelegene Datenbank 134 auch digitale Daten (z. B. Speichern von Daten wie Straßen- und Wegestandorte). Diese Daten werden im Speicher 144 des Fahrzeugs 100 gespeichert oder über einen Kommunikationskanal aus der entfernt gelegenen Datenbank 134 an das Fahrzeug 100 übertragen.
In einigen Ausführungsformen speichert und überträgt die entfernt gelegene Datenbank 134 historische Informationen über Fahreigenschaften (z. B. Geschwindigkeits- und Beschleunigungsprofile) von Fahrzeugen, die zuvor zu ähnlichen Tageszeiten entlang der Bewegungsbahn 198 gefahren sind. In einer Ausführungsform können diese Daten im Speicher 144 des Fahrzeugs 100 gespeichert oder über einen Kommunikationskanal aus der entfernt gelegenen Datenbank 134 an das Fahrzeug 100 übertragen werden.
Die im Fahrzeug 100 befindlichen Computerprozessoren 146 erzeugen auf algorithmische Weise Steueraktionen, die sowohl auf Echtzeit-Sensordaten als auch auf vorherigen Informationen basieren, sodass das AF-System 120 seine autonomen Fahrfähigkeiten ausführen kann.
In einigen Ausführungsformen umfasst das AF-System 120 Computerperipherievorrichtungen 132, die mit Computerprozessoren 146 gekoppelt sind, um Informationen und Warnungen an einen Benutzer (z. B. einen Insassen oder einen entfernt befindlichen Benutzer) des Fahrzeugs 100 zu liefern und Eingaben von diesem zu empfangen. In einigen Ausführungsformen ähneln die Computerperipherievorrichtungen 132 der Anzeigevorrichtung 312, der Eingabevorrichtung 314 und der Cursorsteuervorrichtung 316, die nachfolgend mit Bezug auf 3 behandelt werden. Die Kopplung erfolgt drahtlos oder drahtgebunden. Zwei oder mehr der Schnittstellenvorrichtungen könnten zu einer einzelnen Vorrichtung integriert sein.
In einigen Ausführungsformen empfängt und erzwingt das AF-System 120 die Datenschutzstufe eines Fahrgastes, die z. B. durch den Fahrgast spezifiziert oder in einem dem Fahrgast zugeordneten Profil gespeichert ist. Die Datenschutzstufe des Fahrgastes bestimmt, wie bestimmte dem Fahrgast zugeordnete Informationen (z. B. Fahrgastkomfortdaten, biometrische Daten usw.) verwendet, im Fahrgastprofil gespeichert und/oder auf dem Cloud-Server 136 gespeichert und dem Fahrgastprofil zugeordnet werden dürfen. In einigen Ausführungsformen gibt die Datenschutzstufe bestimmte einem Fahrgast zugeordnete Informationen an, die nach Beendigung der Fahrt gelöscht werden. In einigen Ausführungsformen spezifiziert die Datenschutzstufe bestimmte einem Fahrgast zugeordnete Informationen und identifiziert eine oder mehrere Einheiten, die zum Zugriff auf die Informationen berechtigt sind. Beispiele für bestimmte Einheiten, die zum Zugriff auf Informationen berechtigt sind, können andere AFs, AF-Systeme Dritter oder jede Einheit, die potenziell auf die Informationen zugreifen könnte, beinhalten.
Eine Datenschutzstufe eines Fahrgastes kann auf einer oder mehreren Granularitätsstufen festgelegt sein. In einigen Ausführungsformen identifiziert eine Datenschutzstufe bestimmte Informationen, die zu speichern oder weiterzugeben sind. In einigen Ausführungsformen gilt die Datenschutzstufe für alle dem Fahrgast zugeordneten Informationen, sodass der Fahrgast festlegen kann, dass keine seiner persönlichen Informationen gespeichert oder weitergegeben werden. Die Festlegung der Einheiten, die auf bestimmte Informationen zugreifen dürfen, kann auch auf verschiedenen Granularitätsstufen erfolgen. Verschiedene Mengen von Einheiten, denen der Zugriff auf bestimmte Informationen erlaubt ist, können z. B. andere AFs, Cloud-Server 136, bestimmte AF-Systeme von Drittanbietern usw. umfassen.
In einigen Ausführungsformen bestimmt das AF-System 120 oder der Cloud-Server 136, ob bestimmte Informationen, die einem Fahrgast zugeordnet sind, durch das Fahrzeug 100 oder eine andere Einheit abgerufen werden können. So muss z. B. ein AF-System eines Drittanbieters, das versucht, auf die Eingabe von Fahrgästen in Bezug auf einen bestimmten raumzeitlichen Standort zuzugreifen, z. B. aus dem AF-System 120 oder dem Cloud-Server 136 die Genehmigung einholen, auf die dem Fahrgast zugeordneten Informationen zuzugreifen. Beispielsweise verwendet das AF-System 120 die festgelegte Datenschutzstufe des Fahrgastes, um zu bestimmen, ob die auf den raumzeitlichen Standort bezogenen Fahrgasteingaben an das AF-System eines Drittanbieters, das Fahrzeug 100 oder ein anderes AF übermittelt werden können. Dadurch ist die Datenschutzstufe des Fahrgastes in der Lage, festzulegen, welche anderen Einheiten Daten über die Maßnahmen des Fahrgastes oder andere dem Fahrgast zugeordnete Daten empfangen dürfen.
2 veranschaulicht ein Beispiel für eine „Cloud“-Rechenumgebung. Cloud Computing ist ein Modell zum Bereitstellen von Diensten, das einen komfortablen, bedarfsgerechten Netzwerkzugang zu einem gemeinsam genutzten Bestand konfigurierbarer Rechenressourcen (z. B. Netzwerke, Netzwerkbandbreite, Server, Verarbeitung, Speicher, Anwendungen, virtuelle Maschinen und Dienste) ermöglicht. In typischen Cloud-Rechensystemen sind in einem oder mehreren großen Cloud-Rechenzentren die Rechner untergebracht, die zum Erbringen der durch die Cloud bereitgestellten Dienste verwendet werden. Mit Bezug auf 2 umfasst die Cloud-Rechenumgebung 200 Cloud-Rechenzentren 204a, 204b und 204c, die über die Cloud 202 miteinander verbunden sind. Die Rechenzentren 204a, 204b und 204c bieten Cloud-Rechendienste für die mit der Cloud 202 verbundenen Computersysteme 206a, 206b, 206c, 206d, 206e und 206f.
Die Cloud-Rechenumgebung 200 enthält ein oder mehrere Cloud-Rechenzentren. Allgemein bezieht sich ein Cloud-Rechenzentrum, z. B. das in 2 dargestellte Cloud-Rechenzentrum 204a, auf die physische Anordnung von Servern, die eine Cloud, z. B. die in 2 dargestellte Cloud 202, oder einen bestimmten Abschnitt einer Cloud bilden. Beispielsweise sind die Server physisch im Cloud-Rechenzentrum in Räumen, Gruppen, Reihen und Racks angeordnet. Ein Cloud-Rechenzentrum hat eine oder mehrere Zonen, die einen oder mehrere Räume mit Servern umfassen. Jeder Raum hat eine oder mehrere Reihen von Servern, und jede Reihe enthält ein oder mehrere Racks. Jedes Rack enthält einen oder mehrere einzelne Serverknoten. In einigen Ausführungen sind Server in Zonen, Räumen, Racks und/oder Reihen basierend auf den physischen Infrastrukturanforderungen der Rechenzentrumseinrichtung, die Strom, Energie, Heizung, Wärme und/oder andere Anforderungen umfassen, in Gruppen angeordnet. In einigen Ausführungsformen ähneln die Serverknoten dem in 3 beschriebenen Computersystem. Das Rechenzentrum 204a weist viele Rechensysteme auf, die über viele Racks verteilt sind.
Die Cloud 202 umfasst die Cloud-Rechenzentren 204a, 204b und 204c sowie die Netzwerk- und Netzwerkressourcen (z. B. Netzwerkgeräte, Knoten, Router, Switches und Netzwerkkabel), die die Cloud-Rechenzentren 204a, 204b und 204c miteinander verbinden und dazu beitragen, den Zugang der Computersysteme 206a-f zu den Cloud-Rechendiensten zu ermöglichen. In einigen Ausführungsformen stellt das Netzwerk eine Kombination aus einem oder mehreren lokalen Netzwerken, Weitverkehrsnetzwerken oder Internetnetzwerken dar, die über drahtgebundene oder drahtlose Verbindungen mittels terrestrischer oder satellitengestützter Verbindungstechnik gekoppelt sind. Daten, die über das Netzwerk ausgetauscht werden, werden unter Verwendung einer Anzahl von Netzwerkschichtprotokollen übertragen, wie z. B. Internet Protocol (IP), Multiprotocol Label Switching (MPLS), Asynchronous Transfer Mode (ATM), Frame Relay, usw. Fernerhin werden in Ausführungsformen, in denen das Netzwerk eine Kombination aus mehreren Teilnetzwerken darstellt, in jedem der zugrunde liegenden Teilnetzwerke unterschiedliche Netzwerkschichtprotokolle verwendet. In einigen Ausführungsformen stellt das Netzwerk ein oder mehrere miteinander verbundene Internetnetzwerke dar, wie z. B. das öffentliche Internet.
Die Verbraucher der Rechensysteme 206a-f oder Cloud-Rechendienste sind über Netzwerkverbindungen und Netzwerkadapter mit der Cloud 202 verbunden. In einigen Ausführungsformen sind die Rechensysteme 206a-f als verschiedene Rechenvorrichtungen, z. B. Server, Desktops, Laptops, Tablets, Smartphones, Vorrichtungen für das Internet der Dinge (IoT), autonome Fahrzeuge (darunter Autos, Drohnen, Pendelfahrzeuge, Züge, Busse usw.) und Verbraucherelektronik, implementiert. In einigen Ausführungsformen sind die Rechensysteme 206a-f in oder als Bestandteil von anderen Systemen implementiert.
3 veranschaulicht ein Computersystem 300. In einer Implementierung ist das Computersystem 300 eine Spezialrechenvorrichtung. Die Spezialrechenvorrichtung ist fest verdrahtet, um die Techniken auszuführen, oder umfasst digitale elektronische Vorrichtungen wie eine oder mehrere anwendungsspezifische integrierte Schaltungen (ASICs) oder feldprogrammierbare Gate-Arrays (FPGAs), die dauerhaft programmiert sind, um die Techniken auszuführen, oder kann einen oder mehrere Universal-Hardware-Prozessoren umfassen, die dazu programmiert sind, die Techniken gemäß Programmanweisungen in Firmware, Arbeitsspeicher, anderen Speichern oder einer Kombination davon auszuführen. Derartige Spezialcomputervorrichtungen können auch kundenspezifische fest verdrahtete Logik, ASICs oder FPGAs mit kundenspezifischer Programmierung kombinieren, um die Techniken zu erzielen. In verschiedenen Ausführungsformen sind die Spezialrechenvorrichtungen Desktop-Computersysteme, tragbare Computersysteme, Handgeräte, Netzwerkgeräte oder sonstige Vorrichtungen, die zur Implementierung der Techniken festverdrahtete und/oder programmgesteuerte Logik enthalten.
In einigen Ausführungsformen umfasst das Computersystem 300 einen Bus 302 oder einen anderen Kommunikationsmechanismus zum Übermitteln von Informationen und einen mit einem Bus 302 gekoppelten Hardwareprozessor 304 zum Verarbeiten von Informationen. Der Hardwareprozessor 304 ist zum Beispiel ein Allzweck-Mikroprozessor. Das Computersystem 300 beinhaltet auch einen Hauptspeicher 306, wie beispielsweise einen Direktzugriffsspeicher (RAM) oder eine andere dynamische Speichervorrichtung, die mit dem Bus 302 zum Speichern von Informationen und Anweisungen gekoppelt ist, die durch den Prozessor 304 ausgeführt werden sollen. In einer Ausführungsform wird der Hauptspeicher 306 zum Speichern von temporären Variablen oder anderen Zwischeninformationen während der Ausführung von Anweisungen durch den Prozessor 304 verwendet. Derartige in nichtflüchtigen, für den Prozessor 304 zugänglichen Speichermedien gespeicherte Anweisungen machen aus dem Computersystem 300 eine Spezialmaschine, die auf das Ausführen der in den Anweisungen angegebenen Funktionen zugeschnitten ist.
In einigen Ausführungsformen beinhaltet das Computersystem 300 ferner einen Nur-Lese-Speicher (ROM) 308 oder eine andere statische Speichervorrichtung, die mit dem Bus 302 gekoppelt ist, um statische Informationen und Anweisungen für den Prozessor 304 zu speichern. Eine Speichervorrichtung 310, wie beispielsweise eine Magnetplatte, eine optische Platte, ein Solid-State-Laufwerk oder ein dreidimensionaler Kreuzpunktespeicher, ist vorhanden und mit dem Bus 302 zum Speichern von Informationen und Anweisungen gekoppelt.
In einigen Ausführungsformen ist das Computersystem 300 über den Bus 302 an eine Anzeigevorrichtung 312, wie z. B. eine Kathodenstrahlröhre (CRT), ein Flüssigkristalldisplay (LCD), ein Plasmadisplay, ein Leuchtdioden(LED)-Display oder ein organisches Leuchtdioden(OLED)-Display, zum Anzeigen von Informationen für einen Computerbenutzer gekoppelt. Eine Eingabevorrichtung 314 mit alphanumerischen und anderen Tasten ist mit dem Bus 302 zum Übermitteln von Informationen und zur Auswahl von Befehlen an den Prozessor 304 gekoppelt. Eine andere Art von Benutzereingabevorrichtung ist eine Cursorsteuervorrichtung 316, z. B. eine Maus, ein Trackball, ein berührungsempfindliches Anzeigevorrichtung oder Cursorrichtungstasten zum Übermitteln von Richtungsinformationen und Befehlsauswahlen an den Prozessor 304 und zum Steuern der Cursorbewegung auf der Anzeigevorrichtung 312. Diese Eingabevorrichtung verfügt in der Regel über zwei Freiheitsgrade in zwei Achsen, eine erste Achse (z. B. x-Achse) und eine zweite Achse (z. B. y-Achse), mit denen die Vorrichtung Positionen in einer Ebene angeben kann.
Gemäß einer Ausführungsform werden die hier beschriebenen Techniken durch das Computersystem 300 als Reaktion darauf durchgeführt, dass der Prozessor 304 eine oder die mehreren Sequenzen von einer oder mehreren Anweisungen ausführt, die im Hauptspeicher 306 enthalten sind. Derartige Anweisungen werden aus einem anderen Speichermedium, z. B. der Speichervorrichtung 310, in den Hauptspeicher 306 eingelesen. Die Ausführung der im Hauptspeicher 306 enthaltenen Anweisungssequenzen veranlasst den Prozessor 304, die hier beschriebenen Prozessschritte durchzuführen. In alternativen Ausführungsformen wird eine fest verdrahtete Schaltungsanordnung anstelle von oder in Kombination mit Softwareanweisungen verwendet.
Der Begriff „Speichermedium“, wie hier verwendet, betrifft alle nichtflüchtigen Medien, die Daten und/oder Anweisungen speichern, die eine Maschine veranlassen, auf eine spezifische Art und Weise zu arbeiten. Derartige Speichermedien umfassen nichtflüchtige Medien und/oder flüchtige Medien. Nichtflüchtige Medien umfassen z. B. optische Platten, Magnetplatten, Solid-State-Laufwerke oder dreidimensionale Kreuzpunktespeicher, wie z. B. die Speichervorrichtung 310. Flüchtige Medien umfassen dynamische Speicher, wie beispielsweise den Hauptspeicher 306. Übliche Formen von Speichermedien umfassen zum Beispiel eine Floppy-Disk, eine Diskette, eine Festplatte, ein Solid-State-Laufwerk, ein Magnetband oder jedes andere magnetische Datenspeichermedium, einen CD-ROM, ein beliebiges anderes optisches Datenspeichermedium, ein beliebiges physisches Medium mit Lochmustern, einen RAM, einen PROM und EPROM, einen FLASH-EPROM, NV-RAM, oder einen beliebigen anderen Speicherchip oder eine Speicherkassette.
Speichermedien unterscheiden sich von Übertragungsmedien, können aber zusammen mit diesen verwendet werden. Übertragungsmedien sind am Übertragen von Informationen zwischen Speichermedien beteiligt. Zum Beispiel umfassen Übertragungsmedien Koaxialkabel, Kupferdraht und Lichtwellenleiter, einschließlich der Leitungen, die den Bus 302 umfassen. Übertragungsmedien können auch die Form von akustischen Wellen oder Lichtwellen annehmen, wie etwa jene, die bei Funkwellen- und Infrarotdatenkommunikation erzeugt werden.
In einigen Ausführungsformen sind verschiedene Formen von Medien am Transportieren von einer oder mehreren Sequenzen von einer oder mehreren Anweisungen an den Prozessor 304 zur Ausführung beteiligt. Zum Beispiel werden die Anweisungen zuerst auf einer Magnetplatte oder einem Solid-State-Laufwerk eines entfernt gelegenen Computers abgelegt. Der entfernt gelegene Computer lädt die Anweisungen in seinen dynamischen Speicher und sendet die Anweisungen unter Verwendung eines Modems über eine Telefonleitung. Ein am Computersystem 300 lokal vorhandenes Modem empfängt die Daten über die Telefonleitung und verwendet einen Infrarotsender, um die Daten in ein Infrarotsignal umzuwandeln. Ein Infrarotdetektor empfängt die in dem Infrarotsignal transportierten Daten, und eine entsprechende Schaltungsanordnung stellt die Daten auf den Bus 302. Der Bus 302 transportiert die Daten an den Hauptspeicher 306, aus dem der Prozessor 304 die Anweisungen abruft und ausführt. Die durch den Hauptspeicher 306 empfangenen Anweisungen können gegebenenfalls entweder vor oder nach dem Ausführen durch den Prozessor 304 auf der Speichervorrichtung 310 gespeichert werden.
Das Computersystem 300 enthält auch eine Kommunikationsschnittstelle 318, die mit dem Bus 302 gekoppelt ist. Die Kommunikationsschnittstelle 318 stellt eine bidirektionale Datenkommunikationskopplung mit einer Netzwerkverbindung 320 bereit, die mit einem lokalen Netzwerk 322 verbunden ist. Die Kommunikationsschnittstelle 318 ist zum Beispiel eine Integrated Services Digital Network(ISDN)-Karte, ein Kabelmodem, Satellitenmoden oder ein Modem zum Bereitstellen einer Datenkommunikationsverbindung mit einem entsprechenden Typ einer Telefonleitung. Als weiteres Beispiel ist die Kommunikationsschnittstelle 318 eine Karte eines lokalen Netzwerks (LAN), um eine Datenkommunikationsverbindung zu einem kompatiblen LAN bereitzustellen. Bei einigen Implementierungen sind auch drahtlose Verbindungen implementiert. Bei jeder derartigen Implementierung sendet und empfängt die Kommunikationsschnittstelle 318 elektrische, elektromagnetische oder optische Signale, die digitale Datenströme transportieren, die verschiedene Arten von Informationen darstellen.
Die Netzwerkverbindung 320 stellt typischerweise eine Datenkommunikation über ein oder mehrere Netzwerke zu anderen Datenvorrichtungen bereit. Zum Beispiel stellt die Netzwerkverbindung 320 eine Verbindung durch das lokale Netzwerk 322 zu einem Hostcomputer 324 oder zu einem Cloud-Rechenzentrum oder Geräten bereit, die durch einen Internetdienstanbieter (ISP) 326 betrieben werden. Der ISP 326 stellt wiederum Datenkommunikationsdienste über das weltweite paketorientierte Datenkommunikationsnetzwerk bereit, das jetzt allgemein als das „Internet“ 328 bezeichnet wird. Sowohl das lokale Netzwerk 322 als auch das Internet 328 verwenden elektrische, elektromagnetische oder optische Signale, die digitale Datenströme transportieren. Die Signale über die verschiedenen Netzwerke und die Signale auf der Netzwerkverbindung 320 und über die Kommunikationsschnittstelle 318, die die digitalen Daten an das und aus dem Computersystem 300 transportieren, sind Beispielformen von Übertragungsmedien. In einigen Ausführungsformen enthält das Netzwerk 320 die Cloud 202 oder einen Teil der oben beschriebenen Cloud 202.
Das Computersystem 300 sendet Nachrichten und empfängt Daten einschließlich Programmcode über das/die Netzwerk(e), die Netzwerkverbindung 320 und die Kommunikationsschnittstelle 318. In einigen Ausführungsformen empfängt das Computersystem 300 Computercode zum Verarbeiten. Der empfangene Computercode wird sofort beim Empfang durch den Prozessor 304 ausgeführt und/oder auf der Speichervorrichtung 310 oder einem anderen nichtflüchtigen Speicher zum späteren Ausführen gespeichert.
Architektur autonomer Fahrzeuge
4 zeigt eine Beispielarchitektur 400 für ein autonomes Fahrzeug (z. B. das in 1 gezeigte Fahrzeug 100). Die Architektur 400 enthält ein Wahrnehmungsmodul 402 (mitunter als Wahrnehmungsschaltung bezeichnet), ein Planungsmodul 404 (mitunter als Planungsschaltung bezeichnet), ein Steuermodul 406 (mitunter als Steuerschaltung bezeichnet), ein Lokalisierungsmodul 408 (mitunter als Lokalisierungsschaltung bezeichnet) und ein Datenbankmodul 410 (mitunter als Datenbankschaltung bezeichnet). Jedes Modul spielt eine Rolle beim Betrieb des Fahrzeugs 100. Die Module 402, 404, 406, 408 und 410 können zusammen Bestandteil des in 1 gezeigten AF-Systems 120 sein. In einigen Ausführungsformen sind die Module 402, 404, 406, 408 und 410 eine Kombination aus Computersoftware (z. B. ausführbarem Code, der auf einem computerlesbaren Medium gespeichert ist) und Computerhardware (z. B. ein oder mehrere Mikroprozessoren, Mikrocontroller, anwendungsspezifische integrierte Schaltungen [ASICs], Hardware-Speichervorrichtungen, andere Arten von integrierten Schaltungen, andere Arten von Computerhardware oder eine Kombination von einem oder allen dieser Dinge). Jedes der Module 402, 404, 406, 408 und 410 wird mitunter als Verarbeitungsschaltung bezeichnet (z. B. Computer-Hardware, Computer-Software oder eine Kombination aus beiden). Eine Kombination aus einem oder allen Modulen 402, 404, 406, 408 und 410 ist ebenfalls ein Beispiel für eine Verarbeitungsschaltung.
Beim Betrieb empfängt das Planungsmodul 404 Daten, die einen Zielort 412 darstellen, und ermittelt Daten, die eine Bewegungsbahn 414 (mitunter auch als Route bezeichnet) darstellen, die durch das Fahrzeug 100 gefahren werden kann, um den Zielort 412 zu erreichen (z. B. am Zielort anzukommen). Damit das Planungsmodul 404 die die Bewegungsbahn 414 repräsentierenden Daten ermitteln kann, empfängt das Planungsmodul 404 Daten aus dem Wahrnehmungsmodul 402, dem Lokalisierungsmodul 408 und dem Datenbankmodul 410.
Das Wahrnehmungsmodul 402 identifiziert nahegelegene physische Objekte mittels eines oder mehrerer Sensoren 121, z. B. wie ebenfalls in 1 gezeigt. Die Objekte werden klassifiziert (z. B. gruppiert in Arten wie Fußgänger, Fahrrad, Kraftfahrzeug, Verkehrszeichen usw.), und eine Szeneriebeschreibung einschließlich der klassifizierten Objekte 416 wird dem Planungsmodul 404 zur Verfügung gestellt.
Das Planungsmodul 404 empfängt auch Daten, die die AF-Position 418 repräsentieren, aus dem Lokalisierungsmodul 408. Das Lokalisierungsmodul 408 ermittelt die AF-Position unter Verwendung von Daten aus den Sensoren 121 und Daten aus dem Datenbankmodul 410 (z. B. geografische Daten), um eine Position zu berechnen. Zum Beispiel verwendet das Lokalisierungsmodul 408 Daten aus einem GNSS(Globales Navigationssatellitensystem)-Sensor und geografische Daten, um einen Längen- und Breitengrad des AF zu berechnen. In einigen Ausführungsformen beinhalten die durch das Lokalisierungsmodul 408 verwendeten Daten hochpräzise Straßenkarten der geometrischen Eigenschaften der Fahrbahn, Straßenkarten, die die Verbindungseigenschaften des Straßennetzes beschreiben, Straßenkarten, die die physischen Eigenschaften der Straßen beschreiben (wie z. B. die Verkehrsgeschwindigkeit, das Verkehrsaufkommen, die Anzahl der Fahrstreifen für den Auto- und Fahrradverkehr, die Fahrstreifenbreite, die Fahrstreifenrichtungen oder die Arten und Orte von Fahrstreifenmarkierungen oder Kombinationen davon), und Straßenkarten, die die räumliche Lage von Straßenmerkmalen wie Fußgängerüberwegen, Verkehrsschildern oder anderen Verkehrssignalen verschiedener Arten beschreiben. In einigen Ausführungsformen werden die hochpräzisen Straßenkarten durch Hinzufügen von Daten mittels automatischer oder manueller Beschriftung zu Straßenkarten mit niedriger Präzision erstellt.
Das Steuermodul 406 empfängt die Daten der Bewegungsbahn 414 und die Daten das AF-Position 418 und führt die Steuerfunktionen 420a-c (z. B. Lenken, Drosselklappenbetätigung, Bremsen, Zündung) des AF so aus, dass das Fahrzeug 100 auf der Bewegungsbahn 414 bis zum Zielort 412 fährt. Falls zum Beispiel die Bewegungsbahn 414 eine Linkskurve enthält, führt das Steuermodul 406 die Steuerfunktionen 420a-c so aus, dass der Lenkwinkel der Lenkfunktion das Fahrzeug 100 zum Linksabbiegen veranlasst und das Betätigen der Drosselklappe und Bremsen das Fahrzeug 100 zum Anhalten und Warten auf passierende Fußgänger oder entgegenkommende Fahrzeuge veranlasst, bevor das Abbiegen durchgeführt wird.
Eingaben autonomer Fahrzeuge
5 zeigt ein Beispiel für die Eingaben 502a-d (z. B. Sensoren 121 in 1) und Ausgaben 504a-d (z. B. Sensordaten), die durch das Wahrnehmungsmodul 402 (4) verwendet werden. Eine Eingabe 502a ist ein LiDAR(„Light Detection and Ranging“)-System (z. B. LiDAR 123 wie in 1 gezeigt). LiDAR ist eine Technologie, die Licht (z. B. Lichtblitze wie Infrarotlicht) verwendet, um Daten über physische Objekte in Sichtlinie zu erhalten. Ein LiDAR-System erzeugt LiDAR-Daten als Ausgabe 504a. LiDAR-Daten sind beispielsweise Sammlungen von 3D- oder 2D-Punkten (auch als Punktwolken bekannt), die zur Konstruktion einer Darstellung der Umgebung 190 verwendet werden.
Eine weitere Eingabe 502b ist ein RADAR-System. RADAR ist eine Technologie, die Funkwellen verwendet, um Daten über nahe gelegene physische Objekte zu erhalten. RADAR-Einrichtungen können Daten über Objekte erhalten, die sich nicht in Sichtlinie eines LiDAR-Systems befinden. Ein RADAR-System 502b erzeugt RADAR-Daten als Ausgabe 504b. Zum Beispiel sind RADAR-Daten ein oder mehrere elektromagnetische Hochfrequenzsignale, die zur Konstruktion einer Darstellung der Umgebung 190 verwendet werden.
Eine weitere Eingabe 502c ist ein Kamerasystem. Ein Kamerasystem verwendet eine oder die mehreren Kameras (z. B. Digitalkameras, die einen Lichtsensor, wie ein ladungsgekoppeltes Bauelement [CCD], verwenden), um Informationen über nahe gelegene physische Objekte zu erhalten. Ein Kamerasystem erzeugt Kameradaten als Ausgabe 504c. Kameradaten liegen häufig in Form von Bilddaten vor (z. B. Daten in einem Bilddatenformat wie RAW, JPEG, PNG usw.). In einigen Beispielen verfügt das Kamerasystem über mehrere unabhängige Kameras, z. B. zwecks Stereopsis (Stereosehen), wodurch das Kamerasystem in der Lage ist, die Tiefe wahrzunehmen. Obwohl die durch das Kamerasystem wahrgenommenen Objekte hier als „nah“ beschrieben werden, gilt dies relativ zum AF. Beim Betrieb kann das Kamerasystem dazu ausgelegt sein, weit entfernt gelegene Objekte zu „sehen“, z. B. bis zu einem Kilometer oder mehr vor dem AF.
Dementsprechend kann das Kamerasystem über Merkmale wie Sensoren und Objektive verfügen, die für die Wahrnehmung weit entfernter Objekte optimiert sind.
Eine weitere Eingabe 502d ist ein Ampelerkennungs(AE)-System. Ein AE-System verwendet eine oder mehrere Kameras, um Informationen über Ampeln, Straßenschilder und andere physische Objekte zu erhalten, die visuelle Navigationsinformationen liefern. Ein AE-System erzeugt AE-Daten als Ausgabe 504d. AE-Daten liegen häufig in Form von Bilddaten vor (z. B. Daten in einem Bilddatenformat wie RAW, JPEG, PNG usw.). Ein AE-System unterscheidet sich von einem System mit einer Kamera dadurch, dass bei einem AE-System eine Kamera mit weitem Sichtfeld (z. B. mit einem Weitwinkelobjektiv oder einem Fischaugenobjektiv) verwendet wird, um Informationen über möglichst viele physische Objekte zu erhalten, die visuelle Navigationsinformationen liefern, sodass das Fahrzeug 100 Zugriff auf alle relevanten Navigationsinformationen hat, die durch diese Objekte bereitgestellt werden. Beispielsweise könnte der Blickwinkel des AE-Systems ca. 120 Grad oder mehr betragen.
In einigen Ausführungsformen werden die Ausgaben 504a-d mittels einer Sensorfusionstechnik kombiniert. So werden entweder die einzelnen Ausgaben 504a-d anderen Systemen des Fahrzeugs 100 (z. B. einem Planungsmodul 404 wie in 4 dargestellt) zur Verfügung gestellt, oder die kombinierte Ausgabe kann den anderen Systemen entweder in Form einer einzelnen kombinierten Ausgabe oder mehrerer kombinierter Ausgaben derselben Art (z. B. unter Verwendung derselben Kombinationstechnik oder Kombination derselben Ausgaben oder beides) oder unterschiedlicher Arten (z. B. unter Verwendung jeweils unterschiedlicher Kombinationstechniken oder Kombination jeweils unterschiedlicher Ausgaben oder beides) zur Verfügung gestellt werden. In einigen Ausführungsformen wird eine frühzeitige Fusionstechnik verwendet. Eine frühzeitige Fusionstechnik zeichnet sich dadurch aus, dass die Ausgaben kombiniert werden, bevor ein oder mehrere Datenverarbeitungsschritte auf die kombinierte Ausgabe angewendet werden. In einigen Ausführungsformen wird eine späte Fusionstechnik verwendet. Eine späte Fusionstechnik zeichnet sich dadurch aus, dass die Ausgaben kombiniert werden, nachdem ein oder mehrere Datenverarbeitungsschritte auf die einzelnen Ausgaben angewendet wurden.
6 zeigt ein Beispiel für ein LiDAR-System 602 (z. B. die in 5 gezeigte Eingabe 502a). Das LiDAR-System 602 emittiert Licht 604a-c aus einem Lichtemitter 606 (z. B. einem Lasersender). Das durch ein LiDAR-System emittierte Licht liegt in der Regel nicht im sichtbaren Spektrum; beispielsweise wird häufig Infrarotlicht verwendet. Ein Teil des emittierten Lichts 604b trifft auf ein physisches Objekt 608 (z. B. ein Fahrzeug) und wird zurück zum LiDAR-System 602 reflektiert. (Das durch ein LiDAR-System emittierte Licht durchdringt normalerweise keine physischen Objekte, z. B. physische Objekte in fester Form.) Das LiDAR-System 602 verfügt auch über einen oder mehrere Lichtdetektoren 610, die das reflektierte Licht detektieren. In einigen Ausführungsformen erzeugen ein oder mehrere dem LiDAR-System zugeordnete Datenverarbeitungssysteme ein Bild 612, das das Sichtfeld 614 des LiDAR-Systems darstellt. Das Bild 612 enthält Informationen, die die Begrenzungen 616 eines physischen Objekts 608 repräsentieren. Auf diese Weise wird das Bild 612 verwendet, um die Begrenzungen 616 eines oder mehrerer physischer Objekte in der Nähe eines AF zu ermitteln.
Sicherheits-Gateway für autonome Fahrzeuge
7 zeigt ein Beispiel für ein Fahrzeug 700 mit einem Sicherheits-Gateway 710. Das Fahrzeug 700 umfasst auch eine Fahrzeugbetriebsplattform 720 und einen oder mehrere Sensoren, die zusammen als Sensoren 730 bezeichnet werden. Das Sicherheits-Gateway 710 umfasst eine Eindringerkennungs-Engine 712 und eine Sicherheitsrichtlinien-Engine 714. Das Sicherheits-Gateway 710 und andere Vorrichtungen im Fahrzeug 700, z. B. die Sensoren 730, kommunizieren mit einem oder mehreren Femdiensten 740 und einem oder mehreren Benutzern 750.
In einigen Ausführungsformen ist das Fahrzeug 700 ein Beispiel für das Fahrzeug 100 (1). In solchen Fällen entspricht die Fahrzeugbetriebsplattform 720 der Hard- und Software für den Betrieb der Vorrichtung im Fahrzeug. Dazu gehören u. a. Prozessoren 146, Vorrichtungen 101 (z. B. eines von Lenksteuerung 102 oder Bremsen 103 u. a.), Computerperipherievorrichtungen 132, Datenspeichereinheit 142 und Speicher 144. Die Sensoren 730 entsprechen den Sensoren 121, wie beispielsweise eines von Monokular- oder Stereo-Videokameras 122, Infrarot- oder Wärmespektrum (oder beiden Spektren), LiDAR 123, RADAR, Ultraschallsensoren, Time-of-Flight(TOF)-Tiefensensoren, Geschwindigkeitssensoren, Temperatursensoren, Feuchtigkeitssensoren oder Niederschlagssensoren. In einigen Ausführungsformen enthalten die Sensoren 730 auch den AF-Software-Stack für den Betrieb der Sensoren 730. In einigen Ausführungsformen entspricht das Sicherheits-Gateway 710 den Kommunikationsvorrichtungen 140 oder ist darin enthalten. In anderen Ausführungsformen ist das Sicherheits-Gateway 710 eine separate Hardwarekomponente, die mit den Kommunikationsvorrichtungen 140 gekoppelt ist und den gesamten Datenverkehr zwischen den Kommunikationsvorrichtungen 140 und anderen Komponenten im Fahrzeug 100 überwacht und verwaltet. Die Fahrzeugbetriebsplattform 720, die Sensoren 730 und das Sicherheits-Gateway 710 sind gemeinsam Bestandteil des AF-Systems 120 im Fahrzeug 100. Ohne Verlust der Allgemeingültigkeit wird in den folgenden Abschnitten gegebenenfalls das Sicherheits-Gateway 710 in Bezug auf das Fahrzeug 100 beschrieben.
In einigen Ausführungsformen stellt das Sicherheits-Gateway 710 die Funktionalität eines Routers, eines Switches oder einer Firewall oder einer beliebigen Kombination davon im Fahrzeug 700 bereit. Der gesamte in das Fahrzeug eingehende bzw. aus dem Fahrzeug ausgehende Kommunikationsverkehr wird durch das Sicherheits-Gateway 710 geprüft. Beispielsweise überwacht das Sicherheits-Gateway 710 den gesamten eingehenden Datenverkehr, der durch die Kommunikationsvorrichtung 140 empfangen wird, und bestimmt anhand der Sicherheitsrichtlinien des Fahrzeugs oder bekannten Profile verschiedener Vorrichtungen im Fahrzeug, ob der Datenverkehr zugelassen oder nicht zugelassen (z. B. verworfen) werden soll. Auf ähnliche Weise überwacht das Sicherheits-Gateway 710 den gesamten aus den Vorrichtungen im Fahrzeug ausgehenden und für externe Einheiten bestimmten Datenverkehr und bestimmt anhand der Sicherheitsrichtlinien des Fahrzeugs oder bekannten Profile verschiedener Vorrichtungen im Fahrzeug, ob der Datenverkehr zugelassen oder nicht zugelassen werden soll. In einigen Ausführungsformen überwacht das Sicherheits-Gateway 710 auch den internen Datenverkehr zwischen den Komponenten des Fahrzeugs, z. B. unter anderem zwischen den Sensoren 121 und den Prozessoren 146.
In einigen Ausführungsformen umfassen die Femdienste 740 Netzwerkserver, die mit einem entfernt gelegenen Fahrzeugverwaltungszentrum verbunden sind, wie z. B. Netzwerkserver, die zum Senden von Konfigurationsaktualisierungen an das Fahrzeug 700 oder Steuern des Fahrzeugbetriebs zu verwendet werden. In solchen Fällen umfasst der Kommunikationsverkehr 742 mit den Femdiensten 740 unter anderem Fahrzeugtelemetrie, Fernverwaltungsanfragen, Fahrzeugeinsatzanfragen und -informationen, Abfertigungsbefehle oder Fernbedienungsmeldungen.
In einigen Ausführungsformen gehören zu den Benutzern 750 auch die Mitfahrer im Fahrzeug 700. In solchen Fällen umfasst der Kommunikationsverkehr 752 mit den Benutzern 750 unter anderem Steuerungsanforderungen von den Mitfahrern, Anforderungen zum Anhalten des Fahrzeugs oder Inhalte, die über eine Fahrzeugbenutzeroberfläche (z. B. ein Armaturenbrett-Display) eingegeben werden. Zusätzlich oder alternativ gehören in einigen Ausführungsformen auch andere Fahrzeuge auf der Straße (z. B. Fahrzeuge 193 wie in 1 dargestellt) und/oder deren Insassen zu den Benutzern 750. In solchen Fällen umfasst der Kommunikationsverkehr 752 u. a. die Kommunikation zur Koordinierung der Bewegung des Fahrzeugs 700 und der anderen Fahrzeuge, die die Straße gemeinsam nutzen. Zusätzlich oder alternativ handelt es sich bei den Benutzern 750 um einen Sicherheitsbeauftragten/Bediener des Fahrzeugs 700. In solchen Fällen umfasst der Kommunikationsverkehr 752 u. a. Aufforderungen zum sicheren Anhalten, Befehle zum Einschalten des Fahrermodus oder des fahrerlosen Modus, Befehle zum notfallmäßigen Anhalten, Befehle zum Einschalten des Automatikmodus oder des manuellen Modus.
Das Sicherheits-Gateway 710 prüft den gesamten Kommunikationsverkehr 742 oder den Kommunikationsverkehr 752 oder beides und erlaubt oder sperrt den Datenverkehr abhängig von den Sicherheitsrichtlinien für die verschiedenen Vorrichtungen im Fahrzeug 700. Wie bereits erwähnt, prüft das Sicherheits-Gateway 710 auch den innerhalb des Fahrzeugs 700 erzeugten Datenverkehr. Dazu gehört der Kommunikationsverkehr 722 mit der Fahrzeugbetriebsplattform 720 oder der Kommunikationsverkehr 732 mit den Sensoren 730 oder beides. In einigen Ausführungsformen beinhaltet der Kommunikationsverkehr 722 u. a. Daten zum Fahrzeugbetrieb (z. B. Geschwindigkeit oder Bewegungsrichtung), zum Zustand der Fahrzeugkarosseriefunktionen (z. B. Zustand der Fenster oder Türschlösser). Der Kommunikationsverkehr 732 umfasst u. a. Kameradatenströme aus Fahrzeugkameras (z. B. Videokameras 122), die geplante Bewegungsbahn, Fahrzeugtelemetrie, sensorgenerierte Befehle für sicheres sofortiges Anhalten oder Anhalten am Straßenrand oder Sensordaten über die Karosseriesteuerungen.
In einigen Ausführungsformen ist die Eindringerkennungs-Engine 712 als Hardware-Schaltungstechnik im Sicherheits-Gateway 710 realisiert. In einigen Beispielen ist die Eindringerkennungs-Engine 712 unter Verwendung eines ASIC, eines Mikroprozessors und/oder eines Mikrocontrollers implementiert. In einigen Ausführungsformen ist die Eindringerkennungs-Engine 712 als Softwareanweisungen realisiert, die in einem Speicher (z. B. einem RAM und/oder einem nichtflüchtigen Speicher) im Sicherheits-Gateway codiert sind, wobei ein Prozessor die Anweisungen zum Durchführen von Operationen der Eindringerkennungs-Engine 712 ausführt.
In einigen Ausführungsformen ist die Richtlinien-Engine 714 als Hardware-Schaltungstechnik im Sicherheits-Gateway 710 realisiert. In einigen Beispielen ist die Richtlinien-Engine 714 unter Verwendung eines ASIC, eines Mikroprozessors und/oder eines Mikrocontrollers implementiert. In einigen Ausführungsformen ist die Richtlinien-Engine 714 als Softwareanweisungen realisiert, die in einem Speicher (z. B. einem RAM und/oder einem nichtflüchtigen Speicher) im Sicherheits-Gateway codiert sind, wobei ein Prozessor die Anweisungen zum Durchführen von Operationen der Richtlinien-Engine 714 ausführt. In einigen Ausführungsformen sind die Eindringerkennungs-Engine 712 und die Richtlinien-Engine 714 zum Kommunizieren miteinander konfiguriert, um ihre jeweiligen Operationen zum Durchführen der Funktionen des Sicherheits-Gateways 710 zu koordinieren.
In einigen Ausführungsformen erkennt die Eindringerkennungs-Engine 712 Anzeichen für Sicherheitsangriffe, wie beispielsweise Verhaltensanomalien in Operationen eines oder mehrerer Vorrichtungen im Fahrzeug 700, die durch einen externen Angreifer manipuliert werden. In einigen Fällen sendet beispielsweise ein Aktualisierungsserver im Zusammenhang mit einem externen Angreifer eine bösartige Konfigurationsaktualisierung für einen oder mehrere Sensoren 730. Die Konfigurationsaktualisierung soll die Konfiguration der Sensoren 730 so ändern, dass sie keine Umgebungsdaten mehr für den Betrieb des Fahrzeugs 700 bereitstellen oder falsche Daten (z. B. fehlerhafte Meldung von Objekten im toten Winkel) liefern. Die Eindringerkennungs-Engine 712 ist dazu konfiguriert, ein solches anormales Verhalten zu erkennen (und ein solches anormales Verhalten für den Fahrzeugbediener/-betreiber zu kennzeichnen, damit dieser Korrekturmaßnahmen ergreifen kann) und Operationen der manipulierten Vorrichtung oder die Kommunikation aus der manipulierten Vorrichtung an andere Komponenten im Fahrzeug zu sperren, um zu verhindern, dass die manipulierte Vorrichtung die Verkehrssicherheit und Gesamtsicherheit des Fahrzeugs 700 gefährdet.
In einigen Ausführungsformen prüft die Eindringerkennungs-Engine 712 Indikatoren im Zusammenhang mit Vorrichtungen, die einen geringen Berechnungsaufwand aufweisen. In einigen Fällen speichert das Sicherheits-Gateway 710 beispielsweise Informationen (oder greift auf Informationen zu, die beispielsweise in der Speichereinheit 142 oder im Speicher 144 abgelegt sind) über typische Stromverbrauchsprofile (z. B. Mittelwert und Standardabweichungen) der Komponentenvorrichtungen im Fahrzeug 700, wie z. B. des Prozessors 146, der Vorrichtungen 101 oder der Sensoren 121. Die Eindringerkennungs-Engine 712 vergleicht den Stromverbrauch einer Vorrichtung zu einem bestimmten Zeitpunkt mit dem typischen Stromverbrauchsprofil der Vorrichtung und bestimmt, ob der Stromverbrauch der Vorrichtung vom typischen Profil abweicht. In einigen Ausführungsformen deutet eine signifikante Abweichung des aktuellen Stromverbrauchs, z. B. ein deutlich höherer Stromverbrauch als normal, auf einen anormalen Zustand hin, wie z. B. das Verarbeiten eines hohen Nachrichtenvolumens aufgrund eines verteilten Diensteverweigerungs-(Distributed Denial of Service, DDoS-) Sicherheitsangriffs.
Als weiteres Beispiel speichert das Sicherheits-Gateway 710 in einigen Fällen Informationen über typische Datenverkehrsprofile der Komponentenvorrichtungen im Fahrzeug oder greift darauf zu, die unter anderem Mittelwerte der Nachrichtenhäufigkeit, Nachrichtengrößen, Fehlerraten oder Antwortlatenzzeit zusammen mit entsprechenden Standardabweichungen umfassen können. Die Eindringerkennungs-Engine 712 vergleicht ein Datenverkehrsprofil einer Vorrichtung zu einem bestimmten Zeitpunkt mit dem typischen Datenverkehrsprofil der Vorrichtung, um zu bestimmen, ob eine Abweichung vorliegt, die auf eine Sicherheitsverletzung hinweist. Beispielsweise könnte eine Häufigkeit der an der Kommunikationsvorrichtung 140 empfangenen Nachrichten, die deutlich über dem Mittelwert der Häufigkeit der an der Kommunikationsvorrichtung 140 empfangenen Nachrichten und über der Standardabweichung liegt, auf einen DDoS-Angriff hinweisen.
Als weiteres Beispiel speichert in einigen Fällen das Sicherheits-Gateway 710 Informationen über typische Verhaltensprofile der Komponentenvorrichtungen im Fahrzeug 700 oder greift darauf zu. Zu den Verhaltensprofilen gehören u. a. die Fahrzeuggeschwindigkeit, die Umdrehungsgeschwindigkeit der LiDAR-Sensoren, die Betriebstemperatur der Prozessoren (z. B. Prozessor 146), die typische Belegung des Vorrichtungsspeichers (z. B. Speicher 144) oder die Dateieingabe/-ausgabe (E/A). Die Eindringerkennungs-Engine 712 vergleicht das Verhaltensprofil einer Vorrichtung zu einem bestimmten Zeitpunkt mit dem typischen Verhaltensprofil der Vorrichtung, um eine etwaige Abweichung zu ermitteln. So kann beispielsweise nach einer Fernkonfigurationsaktualisierung eines LiDAR-Sensors eine sehr hohe Umdrehungsgeschwindigkeit des Sensors, die über der Standardabweichung des typischen Wertes liegt, darauf hinweisen, dass die neue Konfiguration fehlerhaft und möglicherweise bösartig war. In verschiedenen Ausführungsformen sind auch andere Vorrichtungsprofile und entsprechende Aufgaben der Eindringerkennungs-Engine möglich.
In einigen Ausführungsformen sperrt die Eindringerkennungs-Engine 712 nach Erkennen einer oder mehrerer Anomalien, wie zum Beispiel der oben genannten, den Kommunikationsverkehr im Zusammenhang mit den erkannten Anomalien und kennzeichnet den Sachverhalt. In einigen Fällen sendet die Eindringerkennungs-Engine 712 beispielsweise eine Warnung an das AF-System im Fahrzeug 700 oder an den Bediener/Betreiber des Fahrzeugs 700 oder an beide. Je nach Schweregrad der gekennzeichneten Anomalien schaltet das AF-System und/oder der Bediener die betroffenen Vorrichtungen ab oder veranlasst eine Notbremsung des Fahrzeugs. In verschiedenen Ausführungsformen sind auch andere Maßnahmen möglich.
In einigen Ausführungsformen verwaltet die Sicherheitsrichtlinien-Engine 714 die Sicherheitsrichtlinien für die Komponentenvorrichtungen im Fahrzeug 700 und setzt diese durch. Wie zuvor beschrieben, fungiert die Sammlung von Sicherheitsrichtlinien im Fahrzeug 700 als Weißliste für die Komponentenvorrichtungen im Fahrzeug. Aufgaben, die durch eine Sicherheitsrichtlinie spezifiziert sind, sind zulässig, während Aufgaben, die nicht durch eine Sicherheitsrichtlinie spezifiziert sind, abgewiesen werden.
Die Richtlinien-Engine 714 bestimmt, welche Richtlinien in einer bestimmten Situation anzuwenden sind, und setzt diese Richtlinien durch. Wie in den folgenden Beispielen beschrieben, bestimmt die Richtlinien-Engine 714 abhängig von der Quelle oder dem Ziel des Kommunikationsverkehrs oder den im Kommunikationsverkehr enthaltenen Informationen, welche Sicherheitsrichtlinien anzuwenden sind. Die Richtlinien-Engine 714 sammelt Daten, um zu entscheiden, welche Operationen zulässig sind, und ändert dann den Systemzustand, um die Entscheidung durchzusetzen (z. B. durch Ändern der Firewall-Regeln, um den Kommunikationsverkehr zuzulassen oder zu sperren, oder durch Aktivieren/Deaktivieren physischer Ports und dergleichen).
In einigen Fällen beinhaltet eine Sicherheitsrichtlinie beispielsweise ein kryptografisches digitales Sicherheitszertifikat (z. B. ein X.509-Sicherheitszertifikat) eines vertrauenswürdigen Netzwerkservers (z. B. eines den Ferndiensten 740 entsprechenden Netzwerkservers), aus dem Firmware-Aktualisierungen für die Komponentenvorrichtungen im Fahrzeug zulässig sind. Zusätzlich oder alternativ legt die Sicherheitsrichtlinie in einigen Fällen eine Bewegungsgeschwindigkeit des Fahrzeugs 700 fest, bei der Aktualisierungen zulässig sind, z. B. dass sich das Fahrzeug im Stillstand befinden muss, damit eine oder mehrere Komponenten im Fahrzeug aktualisiert werden können. Basierend auf dieser Sicherheitsrichtlinie erlaubt die Richtlinien-Engine 714, dass Komponenten im Fahrzeug nur dann aktualisiert werden, wenn eine Konfigurationsaktualisierung aus dem vertrauenswürdigen Netzwerkserver empfangen wird und sich das Fahrzeug 700 im Stillstand befindet. Die Richtlinien-Engine 714 überprüft, ob die Konfigurationsaktualisierung aus dem vertrauenswürdigen Netzwerkserver empfangen wurde, indem sie die empfangenen Aktualisierungsnachrichten anhand der begleitenden Nachrichtensignaturen authentifiziert, wobei ein kryptografisches Authentisierungsprotokoll und das digitale Zertifikat des Netzwerkservers verwendet werden. Firmware-Aktualisierungen aus anderen Quellen (z. B. Firmware-Aktualisierungen, die nicht als aus einem vertrauenswürdigen Aktualisierungsserver stammend authentifiziert werden können) oder bei fahrendem Fahrzeug oder beides würden durch die Richtlinien-Engine 714 gesperrt werden.
Als weiteres Beispiel legt eine Sicherheitsrichtlinie in einigen Fällen die Datenflussrichtung für jeden physischen Port im Fahrzeug 700 fest. Die Sicherheitsrichtlinie legt fest, dass physische Ports, die einer Mensch-Maschine-Schnittstelle (HMI) zugewiesen sind (z. B. eine Anzeige am Armaturenbrett des Fahrzeugs), nur den Datenverkehr an die HMI (z. B. durch Aktivierung einer ausgehenden Netzwerkdiode) und nicht aus der HMI an eine andere Vorrichtung zulassen. Damit stellt die Sicherheitsrichtlinie sicher, dass die Mensch-Maschine-Schnittstelle nur Eingaben aus anderen Vorrichtungen im Fahrzeug empfangen und dem Benutzer/Betreiber entsprechende Informationen anzeigen kann. In solchen Fällen sperrt die Richtlinien-Engine 714 Eingaben, die über die HMI von einem Benutzer empfangen werden und vorkonfigurierte Aufgaben der Vorrichtungen außer Kraft setzen können.
Als weiteres Beispiel beinhaltet eine Sicherheitsrichtlinie in einigen Fällen ein kryptografisches digitales Zertifikat (z. B. ein X.509-Zertifikat) für jeden physischen Port des AF-Systems im Fahrzeug 700, wobei verschiedene Komponentenvorrichtungen an verschiedene physische Ports für die Kommunikation gebunden werden. Basierend auf dieser Sicherheitsrichtlinie erlaubt die Richtlinien-Engine 714 einer Komponentenvorrichtung nur die Kommunikation über den physischen Port, der der Komponentenvorrichtung durch das entsprechende digitale Zertifikat zugewiesen ist.
Als weiteres Beispiel legt eine Sicherheitsrichtlinie in einigen Fällen die Kommunikationsprotokolle fest, die basierend auf einem Zustand des AF-Systems im Fahrzeug 700 zulässig sind. So können beispielsweise in einigen Fällen Konfigurationsaktualisierungen für Komponentenvorrichtungen im Fahrzeug nur über das Hypertext Transfer Protocol Secure (HTTPS) übertragen werden. In solchen Fällen kann die Sicherheitsrichtlinie festlegen, dass nur HTTPS als Kommunikationsprotokoll zulässig ist, wenn sich das Fahrzeug im Einrichtmodus befindet.
Als weiteres Beispiel beinhaltet eine Sicherheitsrichtlinie in einigen Fällen kryptografische digitale Zertifikate (z. B. ein X.509-Zertifikat) für Komponentenvorrichtungen, die mit dem Reinigungssystem eines Sensors (z. B. Sensoren 121) im Fahrzeug kommunizieren dürfen, und schreibt vor, dass alle Nachrichten an das Reinigungssystem anhand dieser Zertifikate authentifiziert werden müssen. Die Richtlinien-Engine 714 verwendet diese Sicherheitsrichtlinie, um nur solche Befehle an das Reinigungssystem zuzulassen, die anhand des entsprechenden digitalen Zertifikats authentifiziert sind; Befehle, die nicht authentifiziert werden können, werden gesperrt.
Die Richtlinien-Engine 714 setzt Sicherheitsrichtlinien, wie beispielsweise die oben beschriebenen, für das Fahrzeug 700 durch. Die Richtlinien-Engine 714 bestimmt, welche Richtlinien in einer bestimmten Situation anzuwenden sind, und setzt diese Richtlinien durch. Die Richtlinien-Engine 714 sammelt Daten, um zu entscheiden, welche Operationen zulässig sind, und ändert dann den Systemzustand, um die Entscheidung durchzusetzen (z. B. durch Ändern der Firewall-Regeln, um den Kommunikationsverkehr zuzulassen oder zu sperren, oder durch Aktivieren/Deaktivieren physischer Ports und dergleichen).
In einigen Ausführungsformen kennzeichnet die Richtlinien-Engine 714 bei Erkennung einer oder mehrerer Anomalien, wie den oben beschriebenen, den Sachverhalt zusätzlich zum Durchsetzen der Sicherheitsrichtlinien. In einigen Fällen sendet die Richtlinien-Engine 714 beispielsweise eine Warnung an das AF-System im Fahrzeug 700 oder an den Bediener/Betreiber des Fahrzeugs 700 oder an beide. Je nach Schweregrad der gekennzeichneten Anomalien schaltet das AF-System und/oder der Bediener die betroffenen Vorrichtungen ab oder veranlasst eine Notbremsung des Fahrzeugs. In verschiedenen Ausführungsformen sind auch andere Maßnahmen möglich.
Wie zuvor beschrieben, sind in einigen Ausführungsformen die Sicherheitsrichtlinien für das Fahrzeug 700 konfigurierbar (beispielsweise durch einen Bediener oder Betreiber des Fahrzeugs) und werden im Speicher (auf den die Richtlinien-Engine zugreifen kann) als digital signierte elektronische Datei gespeichert. Bei dem Speicher kann es sich um einen internen Speicher des Sicherheits-Gateways 710 oder um einen anderen Speicher im Fahrzeug 700, z. B. den Speicher 144, handeln. In einigen Ausführungsformen aktualisiert der Bediener/Betreiber die Sicherheitsrichtlinien je nach Bedarf. Der Bediener/Betreiber kann beispielsweise neue Sicherheitsrichtlinien hinzufügen (beispielsweise um neue Aufgaben zu spezifizieren, die durch vorhandene oder dem Fahrzeug neu hinzugefügte Vorrichtungen auszuführen sind), eine oder mehrere vorhandene Sicherheitsrichtlinien ändern (beispielsweise durch Hinzufügen oder Löschen von Aufgaben, die durch eine Richtlinie spezifiziert werden, oder durch Ändern der Vorrichtungen, die durch die Richtlinie gesteuert werden), oder vorhandene Sicherheitsrichtlinien löschen oder eine beliebige Kombination dieser Möglichkeiten durchführen. Auf diese Weise ist die Richtlinien-Engine 714 flexibel konfigurierbar. Dies kann beispielsweise nützlich sein, um das Hinzufügen von Sicherheitskontrollen vor Vorrichtungen im Fahrzeug 700 zu ermöglichen, die nicht in der Lage sind, die Kontrollen selbst zu implementieren (z. B. ein Sensor mit geringem Stromverbrauch bzw. geringer Leistung).
In einigen Ausführungsformen setzt die Richtlinien-Engine 714 eine oder mehrere Sicherheitsrichtlinien für jeden physischen Port im Fahrzeug 700 durch. Wenn für einen Port keine Richtlinie definiert ist, wendet die Richtlinien-Engine 714 eine Standardsicherheitsrichtlinie auf den Port an, die z. B. entweder den gesamten Kommunikationsverkehr abweisen oder den gesamten Kommunikationsverkehr zulassen kann.
In einigen Ausführungsformen werden die Sicherheitsrichtlinien im Fahrzeug 700 auf verteilte Weise durchgesetzt. Beispielsweise können die Sicherheitsrichtlinien durch Server in den Ferndiensten 740 oder die Richtlinien-Engine 714 oder eine geeignete Kombination aus beidem durchgesetzt werden. In Ausführungsformen, die eine Kombination aus der Richtlinien-Engine 714 und einem oder mehreren entfernt gelegenen Netzwerkservern verwenden, wird eine Teilmenge der Richtlinienentscheidungen über die entfernt gelegenen Netzwerkserver getroffen, während andere Richtlinienentscheidungen unter Verwendung der Richtlinien-Engine 714 getroffen werden. In einigen Fällen werden beispielsweise rechenintensivere Sicherheitsrichtlinien mithilfe von entfernt gelegenen Netzwerkservern bestimmt und durchgesetzt, die im Vergleich zur Richtlinien-Engine 714 über höhere Rechenressourcen verfügen können.
In einigen Ausführungsformen arbeiten die Eindringerkennungs-Engine 712 und die Richtlinien-Engine 714 zusammen, um die Sicherheit der Komponentenvorrichtungen des Fahrzeugs 700 zu gewährleisten. In solchen Fällen prüft die Richtlinien-Engine 714 beim Empfang von Kommunikationsverkehr für eine Vorrichtung im Fahrzeug, ob der Kommunikationsverkehr eine oder mehrere Sicherheitsrichtlinien erfüllt, die unter den gegebenen Umständen anwendbar sind. Die Eindringerkennungs-Engine 712 bestimmt, ob der Kommunikationsverkehr dem typischen Verkehrsprofil für die Vorrichtung folgt oder vom typischen Verkehrsprofil um eine Spanne abweicht, die größer als die Standardabweichung ist. Zusätzlich oder alternativ prüft die Eindringerkennungs-Engine 712 beim Verarbeiten des Kommunikationsverkehrs, ob ein oder mehrere der Zielvorrichtung entsprechende Indikatoren oder ein Verhaltensprofil der Zielvorrichtung von den erwarteten Werten über einen Schwellenwert hinaus (z. B. über die Standardabweichung hinaus) abweichen. Wenn die Prüfungen durch die Richtlinien-Engine 714 und die Eindringerkennungs-Engine 712 die geltenden Sicherheitsrichtlinien bzw. die Verkehrsprofile erfüllen, darf der Kommunikationsverkehr an die Zielvorrichtung übertragen werden. Falls eine der beiden Prüfungen fehlschlägt, wird der Kommunikationsverkehr gesperrt.
Ein anschauliches Beispiel: Wenn Konfigurationsaktualisierungsnachrichten für einen oder mehrere Sensoren im Fahrzeug aus einem Netzwerkserver empfangen werden, prüft die Richtlinien-Engine 714, ob der Netzwerkserver ein autorisierter Aktualisierungsserver ist, indem sie die Aktualisierungsnachrichten anhand des digitalen Zertifikats eines autorisierten Netzwerkaktualisierungsservers authentifiziert. Wenn die Konfiguration eines Sensors basierend auf den Konfigurationsaktualisierungsnachrichten aktualisiert wird (z. B. falls die Prüfung durch die Richtlinien-Engine 714 angibt, dass die Nachrichten aus einem autorisierten Server stammen), prüft die Eindringerkennungs-Engine 712, ob verschiedene Indikatoren, die sich auf den Betrieb des Sensors beziehen, innerhalb des Bereichs typischer Werte liegen. Dies kann zum Beispiel unter anderem bedeuten, dass der Stromverbrauch des Sensors mit dem typischen Stromprofil verglichen wird oder dass der Sensor Sensordaten wie erwartet erzeugt. Falls die Überprüfung durch die Richtlinien-Engine 714 oder die Eindringerkennungs-Engine 712 oder beide anormale Ergebnisse anzeigen, sperrt das Sicherheits-Gateway 710 weitere Konfigurationsaktualisierungsnachrichten aus dem Netzwerkserver und alarmiert den Bediener/Betreiber. Die Überprüfungen können beispielsweise fehlschlagen, wenn der Netzwerkserver durch einen bösartigen Angreifer manipuliert wird oder wenn die Nachrichten zum Aktualisieren der sicheren Konfiguration (z. B. durch einen Sicherheitswiederholungsangriff) gefälscht sind.
In einigen Ausführungsformen führt die Richtlinien-Engine 714 ihre Sicherheitsüberprüfungen gefolgt durch die Eindringerkennungs-Engine 712 durch. In einigen Ausführungsformen ist die Reihenfolge der Operationen der Richtlinien-Engine 714 und der Eindringerkennungs-Engine 712 vertauscht. In einigen Ausführungsformen führen die Richtlinien-Engine 714 und die Eindringerkennungs-Engine 712 ihre Überprüfungen parallel durch.
Beispielprozesse für die Verwaltung der Fahrzeugsicherheit unter Verwendung eines Sicherheits-Gateways
8 zeigt einen Beispielprozess 800 zur Kontrolle der Sicherheit in einem Fahrzeug unter Verwendung eines im Fahrzeug eingesetzten Sicherheits-Gateways. In einigen Ausführungsformen wird der Prozess 800 durch das Sicherheits-Gateway 710 durchgeführt, das in einem Fahrzeug 700 eingesetzt wird, um den Kommunikationsverkehr zu überwachen und zu verwalten, der zwischen einem oder mehreren Vorrichtungen im Fahrzeug 700 und externen Einheiten, wie z. B. anderen entfernt gelegenen Netzwerkservern oder anderen Fahrzeugen, ausgetauscht wird. Dementsprechend wird der Prozess 800 in den folgenden Abschnitten in Bezug auf das Sicherheits-Gateway 710 beschrieben, insbesondere in Bezug auf die Eindringerkennungs-Engine 712 und die Richtlinien-Engine 714, die in dem Sicherheits-Gateway 710 enthalten sind. Der Prozess 800 kann jedoch auch durch andere Vorrichtungen durchgeführt werden. Wie zuvor beschrieben, ähnelt das Fahrzeug 700 in einigen Ausführungsformen dem Fahrzeug 100. Dementsprechend wird bei der Beschreibung des Prozesses 800 in Bezug auf das Sicherheits-Gateway 710 gegebenenfalls auf Hardwarekomponenten der Vorrichtung 100 verwiesen.
Der Prozess 800 beginnt damit, dass das Sicherheits-Gateway im Fahrzeug Kommunikationsverkehr für mindestens eine Vorrichtung im Fahrzeug (802) empfängt.
Beispielsweise empfängt das Sicherheits-Gateway 710 Kommunikationsverkehr aus einer externen Einheit für eine oder mehrere Vorrichtungen im Fahrzeug 700, z. B. Konfigurationsaktualisierungsnachrichten für die Sensoren 730 aus einem entfernt gelegenen Netzwerkserver der Femdienste 740. In einigen Fällen ermittelt das Sicherheits-Gateway die Kennungen einer oder mehrerer Vorrichtungen aus den im Kommunikationsverkehr enthaltenen Informationen. Beispielsweise kann das Sicherheits-Gateway 710 anhand von Informationen in einer Konfigurationsaktualisierungsnachricht, die aus einem entfernt gelegenen Netzwerkserver der Femdienste 740 empfangen wurde, bestimmen, dass die Konfigurationsaktualisierung für einen oder mehrere Sensoren der Sensoren 730 gilt.
Der Prozess 800 fährt fort, indem das Sicherheits-Gateway den Kommunikationsverkehr anhand mindestens einer Sicherheitsrichtlinie für die mindestens eine Vorrichtung (804) prüft. Beim Empfang der Konfigurationsaktualisierungsnachricht im obigen Beispiel greift die Richtlinien-Engine 714 beispielsweise auf eine oder mehrere Sicherheitsrichtlinien aus dem Speicher zu, die dem einen oder den mehreren Sensoren entsprechen, die anhand der Informationen in der Konfigurationsaktualisierungsnachricht identifiziert wurden. Die Sicherheitsrichtlinien spezifizieren die Identität und das entsprechende digitale Sicherheitszertifikat einer vertrauenswürdigen Netzwerkeinheit, z. B. eines Netzwerkaktualisierungsservers, der zur Aktualisierung der Firmware des/der Zielsensors/en berechtigt ist. Die Richtlinien-Engine 714 prüft anhand des kryptografischen Schlüssels des Servers (z. B. des privaten Schlüssels eines öffentlich-privaten Schlüsselpaares, wobei der öffentliche Schlüssel an die Identität des Servers im digitalen Zertifikat gebunden ist), ob die Konfigurationsaktualisierungsnachricht durch den vertrauenswürdigen Netzwerkaktualisierungsserver signiert wurde.
Durch Überprüfen des Kommunikationsverkehrs anhand mindestens einer Sicherheitsrichtlinie für die mindestens eine Vorrichtung bestimmt das Sicherheits-Gateway, ob der Kommunikationsverkehr gültig ist (806). Beispielsweise verifiziert die Richtlinien-Engine 714 die Signatur in der Konfigurationsaktualisierungsnachricht anhand der einen oder mehreren Sicherheitsrichtlinien des/der Zielsensors/en unter Verwendung des digitalen Zertifikats des Servers gemäß einem kryptografischen Authentisierungs-/Verifizierungsprotokoll. In einigen Fällen bestimmt die Richtlinien-Engine 714 anhand der einen oder mehreren Sicherheitsrichtlinien ein Sicherheitszertifikat der vertrauenswürdigen Netzwerkeinheit (z. B. des Netzwerkaktualisierungsservers), die zum Aktualisieren der Funktionalität der Zielvorrichtungen, z. B. des einen oder der mehreren Sensoren, berechtigt ist. Falls der Kommunikationsverkehr zumindest anhand des Sicherheitszertifikats der vertrauenswürdigen Netzwerkeinheit erfolgreich authentifiziert wird, bestimmt die Richtlinien-Engine 714, dass der Kommunikationsverkehr gültig ist.
In einigen Fällen bestimmt die Richtlinien-Engine 714 anhand der einen oder den mehreren Sicherheitsrichtlinien einen Fahrzeuggeschwindigkeitsbereich, in dem Aktualisierungen der Funktionalität der Zielvorrichtung(en), z. B. des einen oder der mehreren Sensoren, zulässig sind. Falls die Richtlinien-Engine 714 bestimmt, dass eine aktuelle Geschwindigkeit des Fahrzeugs innerhalb des Fahrzeuggeschwindigkeitsbereichs liegt, in dem Aktualisierungen der Funktionalität der Zielvorrichtung(en) zulässig sind, bestimmt die Richtlinien-Engine 714, dass es sich bei dem Kommunikationsverkehr um gültigen Kommunikationsverkehr handelt.
In einigen Fällen identifiziert die Richtlinien-Engine 714 anhand der einen oder mehreren Sicherheitsrichtlinien ein digitales Sicherheitszertifikat, das eine dem Fahrzeug 700 zugeordnete Netzwerkschnittstelle angibt, die für die Kommunikation mit dem einen oder den mehreren Zielvorrichtungen zugelassen ist. Falls die Richtlinien-Engine 714 bestimmt, dass der Kommunikationsverkehr über die identifizierte Netzwerkschnittstelle fließt, bestimmt die Richtlinien-Engine 714, dass es sich bei dem Kommunikationsverkehr um gültigen Kommunikationsverkehr handelt.
In einigen Fällen bestimmt die Richtlinien-Engine 714 den Systemzustand der einen oder der mehreren Zielvorrichtungen. Die Richtlinien-Engine 714 identifiziert anhand der einen oder mehreren Sicherheitsrichtlinien mindestens ein Kommunikationsprotokoll, das für die Verarbeitung durch die eine oder die mehreren Zielvorrichtungen in ihren jeweiligen bestimmten Systemzuständen zugelassen ist. Falls die Richtlinien-Engine 714 bestimmt, dass ein Protokoll des Kommunikationsverkehrs dem mindestens einen Kommunikationsprotokoll entspricht, bestimmt die Richtlinien-Engine 714, dass es sich bei dem Kommunikationsverkehr um gültigen Kommunikationsverkehr handelt.
In einigen Fällen beinhaltet der Kommunikationsverkehr den Inhaltsverkehr für eine Mensch-Maschine-Schnittstelle (HMI), die der einen oder den mehreren Zielvorrichtungen im Fahrzeug 700 zugeordnet ist. In solchen Fällen bestimmt die Richtlinien-Engine 714 anhand einer oder mehrerer Sicherheitsrichtlinien für die Zielvorrichtung(en) eine zulässige Datenflussrichtung für den Inhaltsverkehr für die HMI.
Falls die Richtlinien-Engine 714 bestimmt, dass eine Flussrichtung des Kommunikationsverkehrs der zulässigen Datenflussrichtung entspricht, bestimmt die Richtlinien-Engine 714, dass es sich bei dem Kommunikationsverkehr um gültigen Kommunikationsverkehr handelt.
Falls das Sicherheits-Gateway nicht bestimmen kann, dass der Kommunikationsverkehr gültig ist, bricht das Sicherheits-Gateway den Betrieb ab (808). Falls die Richtlinien-Engine 714 beispielsweise bestimmt, dass die in der Konfigurationsaktualisierungsnachricht enthaltene Signatur nicht mit der Signatur übereinstimmt, die die Richtlinien-Engine 714 anhand des digitalen Zertifikats des Netzwerkaktualisierungsservers erzeugt hat, kommt die Richtlinien-Engine 714 zu dem Schluss, dass die Nachricht nicht authentifiziert werden kann und potenziell bösartig ist. Dementsprechend sperrt die Richtlinien-Engine 714 die Weiterleitung der Konfigurationsaktualisierungsnachricht an den einen oder die mehreren Sensoren. In einigen Fällen sendet die Richtlinien-Engine 714 außerdem eine Warnung an das AF-System des Fahrzeugs 700 oder an den Bediener/Betreiber des Fahrzeugs 700 oder an beide.
Falls das Sicherheits-Gateway hingegen bestimmt, dass der Kommunikationsverkehr gültig ist, fährt das Sicherheits-Gateway damit fort, den Kommunikationsverkehr anhand mindestens eines Vorrichtungsprofils für die mindestens eine Vorrichtung (810) zu überprüfen. Falls die Richtlinien-Engine 714 beispielsweise bestimmt, dass die in der Konfigurationsaktualisierungsnachricht enthaltene Signatur mit der Signatur übereinstimmt, die die Richtlinien-Engine 714 anhand des digitalen Zertifikats des Netzwerkaktualisierungsservers erzeugt hat, kommt die Richtlinien-Engine 714 zu dem Schluss, dass die Nachricht authentisch ist. Dementsprechend gibt die Richtlinien-Engine 714 die Konfigurationsaktualisierungsnachricht zur Weiterleitung an die Zielvorrichtung(en) frei. Die Eindringerkennungs-Engine 712 prüft nun die Konfigurationsaktualisierungsnachricht anhand eines oder mehrerer Vorrichtungsprofile der Zielvorrichtung(en). Die Eindringerkennungs-Engine 712 greift auf ein oder mehrere Vorrichtungsprofile aus dem Speicher zu, die der/den Zielvorrichtung(en) entsprechen, z. B. auf ein Verkehrsprofil eines Zielsensors, das eine typische Größe (z. B. Mittelwert und entsprechende Standardabweichungen) einer Konfigurationsaktualisierungsnachricht für den Sensor angibt.
Durch Überprüfen des Kommunikationsverkehrs anhand mindestens eines Vorrichtungsprofils für die mindestens eine Vorrichtung bestimmt das Sicherheits-Gateway, ob der Kommunikationsverkehr die Charakteristik des Vorrichtungsprofils (812) erfüllt. In einigen Fällen prüft die Eindringerkennungs-Engine 712 beispielsweise, ob die Größe der Konfigurationsaktualisierungsnachricht innerhalb eines zulässigen Bereichs liegt, der der typischen Größe (z. B. innerhalb des Standardabweichungsbereichs der mittleren Größe) einer Konfigurationsaktualisierungsnachricht für einen in der einen oder den mehreren Zielvorrichtungen enthaltenen Sensor, wie durch das Verkehrsprofil des Sensors angegeben, entspricht.
In einigen Fällen beinhaltet die Charakteristik des einen oder der mehreren Vorrichtungsprofile eine Stromverbrauchscharakteristik im Zusammenhang mit Verkehrsprofilen einer oder mehrerer Zielvorrichtungen. In solchen Fällen misst die Eindringerkennungs-Engine 712 für jede der einen oder mehreren Zielvorrichtungen die durch die jeweilige Vorrichtung verbrauchte Strommenge, um zumindest einen Teil des Kommunikationsverkehrs zu verarbeiten. Die Eindringerkennungs-Engine 712 vergleicht die gemessene Strommenge mit einer erwarteten Strommenge, die einem bekannten, der Vorrichtung entsprechenden Verkehrsprofil zugeordnet ist. Die Eindringerkennungs-Engine 712 bestimmt, dass der Kommunikationsverkehr die Stromverbrauchscharakteristik der Vorrichtung erfüllt, wenn sie feststellt, dass die gemessene Strommenge innerhalb eines bestimmten Bereichs der erwarteten Strommenge liegt.
In einigen Fällen enthalten das eine oder die mehreren Vorrichtungsprofile ein oder mehrere Verkehrsprofile, die einer oder mehreren Zielvorrichtungen entsprechen. Für jede der Zielvorrichtungen beinhaltet die Charakteristik eines entsprechenden Verkehrsprofils eines oder mehreres einer Nachrichtenhäufigkeit, einer Nachrichtengröße, einer Nachrichtenfehlerrate oder einer Antwortlatenzzeit. Für jede Zielvorrichtung berechnet die Eindringerkennungs-Engine 712 eines oder mehreres einer Nachrichtenhäufigkeit, einer Nachrichtengröße, einer Nachrichtenfehlerrate oder einer Antwortlatenzzeit in Zusammenhang mit dem entsprechenden Kommunikationsverkehr. Die Eindringerkennungs-Engine 712 vergleicht die berechnete Nachrichtenhäufigkeit, die berechnete Nachrichtengröße, die berechnete Nachrichtenfehlerrate bzw. die berechnete Antwortlatenzzeit mit einer erwarteten Nachrichtenhäufigkeit, einer erwarteten Nachrichtengröße, einer erwarteten Nachrichtenfehlerrate bzw. einer erwarteten Antwortlatenzzeit, die dem entsprechenden Verkehrsprofil der Vorrichtung zugeordnet sind. Falls bestimmt wird, dass die berechnete Nachrichtenhäufigkeit, die berechnete Nachrichtengröße, die berechnete Nachrichtenfehlerrate oder die berechnete Antwortlatenzzeit jeweils innerhalb eines bestimmten Bereichs der erwarteten Nachrichtenhäufigkeit, der erwarteten Nachrichtengröße, der erwarteten Nachrichtenfehlerrate oder der erwarteten Antwortlatenzzeit liegt, bestimmt die Eindringerkennungs-Engine 712, dass der Kommunikationsverkehr die Charakteristik des Verkehrsprofils der Vorrichtung erfüllt.
In einigen Fällen enthalten das eine oder die mehreren Vorrichtungsprofile ein oder mehrere Verhaltensprofile, die einer oder mehreren Zielvorrichtungen, z. B. einem oder mehreren Zielsensoren, Prozessoren oder Speichervorrichtungen, entsprechen. Für jede der Zielvorrichtungen enthält die Charakteristik eines entsprechenden Verhaltensprofils eines oder mehreres von: Fahrzeuggeschwindigkeit, Umdrehungsgeschwindigkeit eines Sensors (z. B. eines LiDAR-Sensors), Prozessortemperatur oder Dateieingabe/-ausgabe. Für jede Zielvorrichtung berechnet die Eindringerkennungs-Engine 712 je nach Zutreffendem eines oder mehreres einer Fahrzeuggeschwindigkeit, einer LiDAR-Umdrehungsgeschwindigkeit, einer Prozessortemperatur oder einer Dateieingabe/-ausgabe. Die Eindringerkennungs-Engine 712 vergleicht die berechnete Fahrzeuggeschwindigkeit, die berechnete LiDAR-Umdrehungsgeschwindigkeit, die berechnete Prozessortemperatur bzw. die berechnete Dateieingabe/-ausgabe mit einer erwarteten Fahrzeuggeschwindigkeit, einer erwarteten LiDAR-Umdrehungsgeschwindigkeit, einer erwarteten Prozessortemperatur bzw. einer erwarteten Dateieingabe/-ausgabe, die dem entsprechenden Verhaltensprofil der Vorrichtung zugeordnet sind. Falls die berechnete LiDAR-Umdrehungsgeschwindigkeit, die berechnete Prozessortemperatur oder die berechnete Dateieingabe/-ausgabe innerhalb eines bestimmten Bereichs der erwarteten Fahrzeuggeschwindigkeit, der erwarteten LiDAR-Umdrehungsgeschwindigkeit, der erwarteten Prozessortemperatur bzw. der erwarteten Dateieingabe/-ausgabe liegt, bestimmt die Eindringerkennungs-Engine 712, dass der Kommunikationsverkehr die Charakteristik des Verhaltensprofils der Vorrichtung erfüllt.
Falls das Sicherheits-Gateway bestimmt, dass der Kommunikationsverkehr nicht das mindestens eine Vorrichtungsprofil der mindestens einen Vorrichtung erfüllt, bricht das Sicherheits-Gateway ab (814). Falls die Eindringerkennungs-Engine 712 beispielsweise bestimmt, dass die Größe einer Konfigurationsaktualisierungsnachricht für einen Sensor außerhalb des zulässigen Bereichs entsprechend der typischen Größe einer Konfigurationsaktualisierungsnachricht für den Sensor liegt (z. B. höher oder niedriger als die Standardabweichung von der mittleren Größe ist), kommt die Eindringerkennungs-Engine 712 zu dem Schluss, dass die Konfigurationsaktualisierungsnachricht wahrscheinlich keine gültige Konfigurationsaktualisierungsnachricht ist und möglicherweise bösartig ist. Dementsprechend sperrt die Eindringerkennungs-Engine 712 die Weiterleitung der Konfigurationsaktualisierungsnachricht an den Sensor. In einigen Fällen sendet die Eindringerkennungs-Engine 712 außerdem eine Warnung an das AF-System des Fahrzeugs 700 oder an den Bediener/Betreiber des Fahrzeugs 700 oder an beide.
Falls in einigen Ausführungsformen das Sicherheits-Gateway bestimmt, dass der Kommunikationsverkehr das mindestens eine Vorrichtungsprofil der mindestens einen Vorrichtung erfüllt, leitet das Sicherheits-Gateway den Kommunikationsverkehr unter Verwendung der mindestens einen Vorrichtung im Fahrzeug (816) weiter. Falls die Eindringerkennungs-Engine 712 beispielsweise bestimmt, dass die Größe der Konfigurationsaktualisierungsnachricht für den Sensor innerhalb des zulässigen Bereichs entsprechend der typischen Größe einer Konfigurationsaktualisierungsnachricht für den Sensor (z. B. innerhalb des Standardabweichungsbereichs der mittleren Größe) liegt, schließt die Eindringerkennungs-Engine 712 daraus, dass es sich bei der Konfigurationsaktualisierungsnachricht um eine gültige Konfigurationsaktualisierungsnachricht handelt. Dementsprechend gibt die Eindringerkennungs-Engine 712 die Konfigurationsaktualisierungsnachricht zur Weiterleitung an den Sensor frei, und der Prozess 800 endet. Das AF-System des Fahrzeugs 700 aktualisiert anschließend die Firmware des Sensors anhand der Konfigurationsaktualisierungsnachricht.
Auf diese Weise verwalten die Eindringerkennungs-Engine 712 und die Richtlinien-Engine 714 im Sicherheits-Gateway 710 die Sicherheit des Kommunikationsverkehrs im Fahrzeug 700. Falls die Prüfung durch die Eindringerkennungs-Engine 712 oder die Richtlinien-Engine 714 fehlschlägt, wird der Verkehr gesperrt.
Obwohl die obige Beschreibung des Prozesses 800 zeigt, dass die Richtlinien-Engine 714 ihre Operationen gefolgt von der Eindringerkennungs-Engine 712 durchführt, ist in einigen Ausführungsformen die Reihenfolge der Operationen im Prozess 800 umgekehrt, wobei die Eindringerkennungs-Engine 712 ihre Operationen zuerst, gefolgt durch die Richtlinien-Engine 714, durchführt. In einigen Ausführungsformen ist die Reihenfolge der Operationen im Prozess 800 so, dass die Eindringerkennungs-Engine 712 und die Richtlinien-Engine 714 ihre jeweiligen Operationen parallel durchführen und sich bei Bedarf gegenseitig koordinieren.
In der vorgenannten Beschreibung sind Ausführungsformen der Erfindung mit Bezug auf zahlreiche spezifische Details beschrieben, die von Implementierung zu Implementierung verschieden sein können. Die Beschreibung und die Zeichnungen sind dementsprechend in einem veranschaulichenden statt einem einschränkenden Sinn zu sehen. Der einzige und ausschließliche Indikator für den Schutzbereich der Erfindung und das, was durch die Anmelder als Schutzbereich der Erfindung beabsichtigt ist, ist der wörtliche und äquivalente Schutzbereich der Menge der Ansprüche, die aus dieser Anmeldung in der spezifischen Form hervorgehen, in der diese Ansprüche ausgestellt sind, einschließlich etwaiger späterer Korrekturen. Alle hier ausdrücklich dargelegten Definitionen für Begriffe, die in diesen Ansprüchen enthalten sind, regeln die Bedeutung der in den Ansprüchen verwendeten Begriffe. Darüber hinaus kann bei Verwendung des Begriffs „ferner umfassend“ in der vorhergehenden Beschreibung oder in den folgenden Ansprüchen das auf diese Formulierung Folgende ein zusätzlicher Schritt oder eine zusätzliche Einheit oder ein Unterschritt bzw. eine Untereinheit eines bereits erwähnten Schritts oder einer bereits erwähnten Einheit sein.

Claims

Vorrichtung, umfassend: eine Schaltung, die mit mindestens einer Vorrichtung in einem Fahrzeug gekoppelt ist und die Kommunikation zwischen der mindestens einen Vorrichtung und Einheiten außerhalb des Fahrzeugs verwaltet, wobei die Schaltung Operationen durchführt, die Folgendes umfassen: Empfangen von Kommunikationsverkehr, der für die mindestens eine Vorrichtung im Fahrzeug bestimmt ist, aus einer externen Einheit; Bestimmen anhand mindestens einer bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist; Bestimmen anhand mindestens eines bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt; und abhängig vom Bestimmen, dass (i) der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, und (ii) der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt, Weiterleiten des Kommunikationsverkehrs an die mindestens eine Vorrichtung.
Einrichtung gemäß Anspruch 1, wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Ermitteln einer Kennung der mindestens einen Vorrichtung aus den im Kommunikationsverkehr enthaltenen Informationen; Abrufen der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung aus einem mit der Vorrichtung gekoppelten Speicher unter Verwendung der Kennung der mindestens einen Vorrichtung; und Bestimmen, ob der Kommunikationsverkehr die mindestens eine bekannte Sicherheitsrichtlinie erfüllt.
Einrichtung gemäß Anspruch 1 oder 2, wobei der Kommunikationsverkehr Datenverkehr zum Aktualisieren der Funktionalität der mindestens einen Vorrichtung umfasst, und wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen eines Sicherheitszertifikats einer vertrauenswürdigen Netzwerkeinheit, die zum Aktualisieren der Funktionalität der mindestens einen Vorrichtung autorisiert ist, anhand der mindestens einen bekannten Sicherheitsrichtlinie; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem der Kommunikationsverkehr mindestens anhand des Sicherheitszertifikats der vertrauenswürdigen Netzwerkeinheit erfolgreich authentifiziert wurde.
Einrichtung gemäß einem der Ansprüche 1-3, wobei der Kommunikationsverkehr Datenverkehr zum Aktualisieren der Funktionalität der mindestens einen Vorrichtung umfasst, und wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen, anhand der mindestens einen bekannten Sicherheitsrichtlinie, eines Fahrzeuggeschwindigkeitsbereichs, in dem Aktualisierungen der Funktionalität der mindestens einen Vorrichtung zulässig sind; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass eine aktuelle Geschwindigkeit des Fahrzeugs innerhalb des Fahrzeuggeschwindigkeitsbereichs liegt, in dem Aktualisierungen der Funktionalität der mindestens einen Vorrichtung zulässig sind.
Vorrichtung gemäß einem der Ansprüche 1-2, wobei der Kommunikationsverkehr einen Inhaltsverkehr für eine der mindestens einen Vorrichtung zugeordneten Mensch-Maschine-Schnittstelle (HMI) umfasst, wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen, anhand der mindestens einen bekannten Sicherheitsrichtlinie, einer zulässigen Datenflussrichtung für den Inhaltsverkehr für die HMI; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass eine Flussrichtung des Kommunikationsverkehrs der zulässigen Datenflussrichtung entspricht.
Vorrichtung gemäß einem der Ansprüche 1-2, wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Identifizieren, anhand der mindestens einen bekannten Sicherheitsrichtlinie, eines digitalen Sicherheitszertifikats, das eine dem Fahrzeug zugeordnete Netzwerkschnittstelle spezifiziert, die für die Kommunikation für die mindestens eine Vorrichtung zugelassen ist; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass der Kommunikationsverkehr über die identifizierte Netzwerkschnittstelle fließt.
Vorrichtung gemäß einem der Ansprüche 1-2, wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen eines Systemzustands der mindestens einen Vorrichtung; Identifizieren, anhand der mindestens einen bekannten Sicherheitsrichtlinie, mindestens eines Kommunikationsprotokolls, das zur Verarbeitung durch die mindestens eine Vorrichtung in dem bestimmten Systemzustand zugelassen ist; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass ein Protokoll des Kommunikationsverkehrs dem mindestens einen Kommunikationsprotokoll entspricht.
Einrichtung gemäß Anspruch 1, wobei eine Charakteristik des mindestens einen bekannten Vorrichtungsprofils eine Stromverbrauchscharakteristik umfasst, und wobei das Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung erfüllt, umfasst: Messen einer durch die mindestens eine Vorrichtung verbrauchten Strommenge, um mindestens einen Teil des Kommunikationsverkehrs zu verarbeiten; Vergleichen der gemessenen Strommenge mit einer erwarteten Strommenge, die einem bekannten Verkehrsprofil entsprechend der mindestens einen Vorrichtung zugeordnet ist; und Bestimmen, dass der Kommunikationsverkehr die Stromverbrauchscharakteristik erfüllt, nachdem bestimmt wurde, dass die gemessene Strommenge innerhalb eines festgelegten Bereichs der erwarteten Strommenge liegt.
Einrichtung gemäß Anspruch 1, wobei das mindestens eine bekannte Vorrichtungsprofil ein der Vorrichtung entsprechendes Verkehrsprofil umfasst, wobei eine Charakteristik des Verkehrsprofils mindestens eines von einer Nachrichtenhäufigkeit, einer Nachrichtengröße, einer Nachrichtenfehlerrate oder einer Antwortlatenzzeit umfasst, und wobei das Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung erfüllt, umfasst: Berechnen mindestens eines von: Nachrichtenhäufigkeit, Nachrichtengröße, Nachrichtenfehlerrate oder Antwortlatenzzeit im Zusammenhang mit dem Kommunikationsverkehr; Vergleichen der berechneten Nachrichtenhäufigkeit, der berechneten Nachrichtengröße, der berechneten Nachrichtenfehlerrate bzw. der berechneten Antwortlatenzzeit mit einer erwarteten Nachrichtenhäufigkeit, einer erwarteten Nachrichtengröße, einer erwarteten Nachrichtenfehlerrate oder einer erwarteten Antwortlatenzzeit, die einem bekannten Verkehrsprofil entsprechend der mindestens einen Vorrichtung zugeordnet sind; und Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt, nachdem bestimmt wurde, dass die berechnete Nachrichtenhäufigkeit, die berechnete Nachrichtengröße, die berechnete Nachrichtenfehlerrate oder die berechnete Antwortlatenzzeit jeweils innerhalb eines vorgegebenen Bereichs der erwarteten Nachrichtenhäufigkeit, der erwarteten Nachrichtengröße, der erwarteten Nachrichtenfehlerrate oder der erwarteten Antwortlatenzzeit liegt.
Einrichtung gemäß Anspruch 1, wobei mindestens ein bekanntes Vorrichtungsprofil ein Verhaltensprofil entsprechend der Vorrichtung umfasst, wobei eine Charakteristik des Verhaltensprofils mindestens eines von einer Fahrzeuggeschwindigkeit, einer LiDAR-Umdrehungsgeschwindigkeit, einer Prozessortemperatur oder einer Dateieingabe/-ausgabe umfasst, und wobei das Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung erfüllt, umfasst: Berechnen von mindestens einem einer Fahrzeuggeschwindigkeit, einer LiDAR-Umdrehungsgeschwindigkeit, einer Prozessortemperatur oder einer Dateieingabe/-ausgabe; Vergleichen der berechneten Fahrzeuggeschwindigkeit, der berechneten LiDAR-Umdrehungsgeschwindigkeit, der berechneten Prozessortemperatur bzw. der berechneten Dateieingabe/-ausgabe mit einer erwarteten Fahrzeuggeschwindigkeit, einer erwarteten LiDAR-Umdrehungsgeschwindigkeit, einer erwarteten Prozessortemperatur oder einer erwarteten Dateieingabe/-ausgabe, die einem bekannten Verhaltensprofil der mindestens einen Vorrichtung zugeordnet sind, und Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt, nachdem bestimmt wurde, dass die berechnete Fahrzeuggeschwindigkeit, die berechnete LiDAR-Umdrehungsgeschwindigkeit, die berechnete Prozessortemperatur oder die berechnete Dateieingabe/-ausgabe jeweils innerhalb eines vorgegebenen Bereichs der erwarteten Fahrzeuggeschwindigkeit, der erwarteten LiDAR-Umdrehungsgeschwindigkeit, der erwarteten Prozessortemperatur oder der erwarteten Dateieingabe/-ausgabe liegt.
Verfahren, das durch ein Sicherheits-Gateway in einem Fahrzeug durchgeführt wird, wobei das Verfahren umfasst: Empfangen von Kommunikationsverkehr, der für mindestens eine kommunikativ mit dem Sicherheits-Gateway gekoppelte Vorrichtung in dem Fahrzeug bestimmt ist, aus einer externen Einheit, wobei das Sicherheits-Gateway die Kommunikation zwischen der mindestens einen Vorrichtung und Einheiten außerhalb des Fahrzeugs verwaltet; Bestimmen anhand mindestens einer bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist; Bestimmen anhand mindestens eines bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt; und abhängig vom Bestimmen, dass (i) der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, und (ii) der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt, Weiterleiten des Kommunikationsverkehrs an die mindestens eine Vorrichtung.
Verfahren gemäß Anspruch 11, wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Ermitteln einer Kennung der mindestens einen Vorrichtung aus den im Kommunikationsverkehr enthaltenen Informationen; Abrufen der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung aus einem mit dem Sicherheits-Gateway gekoppelten Speicher anhand der Kennung der mindestens einen Vorrichtung; und Bestimmen, ob der Kommunikationsverkehr die mindestens eine bekannte Sicherheitsrichtlinie erfüllt.
Verfahren gemäß Anspruch 11 oder 12, wobei der Kommunikationsverkehr einen Datenverkehr zum Aktualisieren der Funktionalität der mindestens einen Vorrichtung umfasst, und wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen eines Sicherheitszertifikats einer vertrauenswürdigen Netzwerkeinheit, die zum Aktualisieren der Funktionalität der mindestens einen Vorrichtung autorisiert ist, anhand der mindestens einen bekannten Sicherheitsrichtlinie; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem der Kommunikationsverkehr mindestens anhand des Sicherheitszertifikats der vertrauenswürdigen Netzwerkeinheit erfolgreich authentifiziert wurde.
Verfahren gemäß einem der Ansprüche 11-13, wobei der Kommunikationsverkehr einen Datenverkehr zum Aktualisieren der Funktionalität der mindestens einen Vorrichtung umfasst, und wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen, anhand der mindestens einen bekannten Sicherheitsrichtlinie, eines Fahrzeuggeschwindigkeitsbereichs, in dem Aktualisierungen der Funktionalität der mindestens einen Vorrichtung zulässig sind; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass eine aktuelle Geschwindigkeit des Fahrzeugs innerhalb des Fahrzeuggeschwindigkeitsbereichs liegt, in dem Aktualisierungen der Funktionalität der mindestens einen Vorrichtung zulässig sind.
Verfahren gemäß einem der Ansprüche 11-12, wobei der Kommunikationsverkehr einen Inhaltsverkehr für eine der mindestens einen Vorrichtung zugeordneten Mensch-Maschine-Schnittstelle (HMI) umfasst, und wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen, anhand der mindestens einen bekannten Sicherheitsrichtlinie, einer zulässigen Datenflussrichtung für den Inhaltsverkehr für die HMI; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass eine Flussrichtung des Kommunikationsverkehrs der zulässigen Datenflussrichtung entspricht.
Verfahren gemäß einem der Ansprüche 11-12, wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Identifizieren, anhand der mindestens einen bekannten Sicherheitsrichtlinie, eines digitalen Sicherheitszertifikats, das eine dem Fahrzeug zugeordnete Netzwerkschnittstelle spezifiziert, die für die Kommunikation für die mindestens eine Vorrichtung zugelassen ist; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass der Kommunikationsverkehr über die identifizierte Netzwerkschnittstelle fließt.
Verfahren gemäß einem der Ansprüche 11-12, wobei das Bestimmen anhand der mindestens einen bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, umfasst: Bestimmen eines Systemzustands der mindestens einen Vorrichtung; Identifizieren, anhand der mindestens einen bekannten Sicherheitsrichtlinie, mindestens eines Kommunikationsprotokolls, das zur Verarbeitung durch die mindestens eine Vorrichtung in dem bestimmten Systemzustand zugelassen ist; und Bestimmen, dass der Kommunikationsverkehr ein gültiger Kommunikationsverkehr ist, nachdem bestimmt wurde, dass ein Protokoll des Kommunikationsverkehrs dem mindestens einen Kommunikationsprotokoll entspricht.
Verfahren gemäß Anspruch 11, wobei eine Charakteristik des mindestens einen bekannten Vorrichtungsprofils eine Stromverbrauchscharakteristik umfasst, und wobei das Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung erfüllt, umfasst: Messen einer durch die mindestens eine Vorrichtung verbrauchten Strommenge, um mindestens einen Teil des Kommunikationsverkehrs zu verarbeiten; Vergleichen der gemessenen Strommenge mit einer erwarteten Strommenge, die einem bekannten Verkehrsprofil entsprechend der mindestens einen Vorrichtung zugeordnet ist; und Bestimmen, dass der Kommunikationsverkehr die Stromverbrauchscharakteristik erfüllt, nachdem bestimmt wurde, dass die gemessene Strommenge innerhalb eines festgelegten Bereichs der erwarteten Strommenge liegt.
Verfahren gemäß Anspruch 11, wobei das mindestens eine bekannte Vorrichtungsprofil ein der Vorrichtung entsprechendes Verkehrsprofil umfasst, wobei eine Charakteristik des Verkehrsprofils mindestens eines von einer Nachrichtenhäufigkeit, einer Nachrichtengröße, einer Nachrichtenfehlerrate oder einer Antwortlatenzzeit umfasst, und wobei das Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung erfüllt, umfasst: Berechnen mindestens eines von: Nachrichtenhäufigkeit, Nachrichtengröße, Nachrichtenfehlerrate oder Antwortlatenzzeit im Zusammenhang mit dem Kommunikationsverkehr; Vergleichen der berechneten Nachrichtenhäufigkeit, der berechneten Nachrichtengröße, der berechneten Nachrichtenfehlerrate bzw. der berechneten Antwortlatenzzeit mit einer erwarteten Nachrichtenhäufigkeit, einer erwarteten Nachrichtengröße, einer erwarteten Nachrichtenfehlerrate oder einer erwarteten Antwortlatenzzeit, die einem bekannten Verkehrsprofil entsprechend der mindestens einen Vorrichtung zugeordnet sind; und Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt, nachdem bestimmt wurde, dass die berechnete Nachrichtenhäufigkeit, die berechnete Nachrichtengröße, die berechnete Nachrichtenfehlerrate oder die berechnete Antwortlatenzzeit jeweils innerhalb eines vorgegebenen Bereichs der erwarteten Nachrichtenhäufigkeit, der erwarteten Nachrichtengröße, der erwarteten Nachrichtenfehlerrate oder der erwarteten Antwortlatenzzeit liegt.
Verfahren gemäß Anspruch 11, wobei mindestens ein bekanntes Vorrichtungsprofil ein Verhaltensprofil entsprechend der Vorrichtung umfasst, wobei eine Charakteristik des Verhaltensprofils mindestens eines von einer Fahrzeuggeschwindigkeit, einer LiDAR-Umdrehungsgeschwindigkeit, einer Prozessortemperatur oder einer Dateieingabe/-ausgabe umfasst, und wobei das Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung erfüllt, umfasst: Berechnen von mindestens einem einer Fahrzeuggeschwindigkeit, einer LiDAR-Umdrehungsgeschwindigkeit, einer Prozessortemperatur oder einer Dateieingabe/-ausgabe; Vergleichen der berechneten Fahrzeuggeschwindigkeit, der berechneten LiDAR-Umdrehungsgeschwindigkeit, der berechneten Prozessortemperatur bzw. der berechneten Dateieingabe/-ausgabe mit einer erwarteten Fahrzeuggeschwindigkeit, einer erwarteten LiDAR-Umdrehungsgeschwindigkeit, einer erwarteten Prozessortemperatur oder einer erwarteten Dateieingabe/-ausgabe, die einem bekannten Verhaltensprofil der mindestens einen Vorrichtung zugeordnet sind, und Bestimmen, dass der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt, nachdem bestimmt wurde, dass die berechnete Fahrzeuggeschwindigkeit, die berechnete LiDAR-Umdrehungsgeschwindigkeit, die berechnete Prozessortemperatur oder die berechnete Dateieingabe/-ausgabe jeweils innerhalb eines vorgegebenen Bereichs der erwarteten Fahrzeuggeschwindigkeit, der erwarteten LiDAR-Umdrehungsgeschwindigkeit, der erwarteten Prozessortemperatur oder der erwarteten Dateieingabe/-ausgabe liegt.
Fahrzeug, umfassend: ein Sicherheits-Gateway, das eine mit mindestens einer Vorrichtung in einem Fahrzeug gekoppelte Schaltungsanordnung umfasst und die Kommunikation zwischen der mindestens einen Vorrichtung und Einheiten außerhalb des Fahrzeugs verwaltet, wobei die Schaltungsanordnung Operationen durchführt, die Folgendes umfassen: Empfangen von Kommunikationsverkehr, der für die mindestens eine Vorrichtung im Fahrzeug bestimmt ist, aus einer externen Einheit; Bestimmen anhand mindestens einer bekannten Sicherheitsrichtlinie entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist; Bestimmen anhand mindestens eines bekannten Vorrichtungsprofils entsprechend der mindestens einen Vorrichtung, ob der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt; und abhängig vom Bestimmen, dass (i) der Kommunikationsverkehr ein gültiger Kommunikationsverkehr für die mindestens eine Vorrichtung ist, und (ii) der Kommunikationsverkehr die Charakteristik des mindestens einen bekannten Vorrichtungsprofils erfüllt, Weiterleiten des Kommunikationsverkehrs an die mindestens eine Vorrichtung.