-
Die Erfindung betrifft ein Verfahren zur Validierung der Gültigkeit von Verkehrszeichen nach der im Oberbegriff von Anspruch 1 näher definierten Art sowie ein Fahrzeug zur Durchführung des Verfahrens.
-
Heutzutage verfügen Fahrzeuge vermehrt über Fahrerassistenzsysteme, welche Verkehrszeichen erkennen können. Dies erlaubt beispielsweise eine Darstellung des Verkehrszeichens auf einer Anzeige im Fahrzeug, sodass eine fahrzeugführende Person das Verkehrszeichen erfassen kann, auch wenn Sie mit dem Fahrzeug schon an dem Verkehrszeichen vorbeigefahren ist oder das Verkehrszeichen übersehen hat. Eine Verkehrszeichenerkennung ist insbesondere für automatisierte und autonome Fahrzeuge von Bedeutung, um diese Fahrzeuge gemäß den geltenden Verkehrsbestimmungen zu steuern.
-
Typischerweise nutzen Fahrzeuge optische Systeme wie Kameras, um Verkehrszeichen zu erkennen. Solche Systeme können jedoch durch einen Angreifer leicht getäuscht werden. So kann ein Angreifer beispielsweise ein Verkehrszeichen übermalen, um die Bedeutung des Verkehrszeichens zu ändern. Beispielsweise kann ein Tempolimit von 30 km/h leicht zu 80 km/h geändert werden. Auch können Angreifer eine Attrappe eines Verkehrszeichens an einem Ort aufstellen, an dem normalerweise kein Verkehrszeichen stehen sollte. Ein Verkehrszeichen kann beispielsweise auch mit einem Projektor auf eine Projektionsfläche wie eine Häuserwand geworfen werden.
-
Zur Erhöhung der Sicherheit im Straßenverkehr, insbesondere zur Erhöhung der Betriebssicherheit zumindest teilautomatisiert steuerbarer Fahrzeuge, liegt somit ein Bedarf vor, im Straßenverkehr angetroffene Verkehrszeichen auf ihre Gültigkeit zu überprüfen.
-
Ein hierzu geeignetes Verfahren ist aus der
DE 10 2016 208 621 A1 bekannt. Das Verfahren sieht die Erfassung von Verkehrszeichen mittels Kameras vor, was das Bestimmen einer Bedeutung eines jeweiligen Verkehrszeichens mittels bildverarbeitender Algorithmen ermöglicht. Das Fahrzeug erfasst dabei außerdem den Aufstellort der Verkehrszeichen. Die Verkehrszeichen wiederum umfassen eine maschinenlesbare Kodierung, welche zumindest die Bedeutung eines jeweiligen Verkehrszeichens und den Aufstellort umfasst. Die entsprechenden vom Verkehrszeichen bezogenen Daten werden dann mit den vom Fahrzeug erfassten Daten verglichen. Stimmen die Daten überein, so gilt das Verkehrszeichen als verifiziert. Als maschinenlesbare Kodierung beschreibt das Verfahren die Anwendung von optoelektronischen Codes wie Barcodes oder QR-Codes, die Verwendung modulierter Lichtzeichen, beispielsweise eine in einer bestimmten Abfolge blinkende LED-Matrix, oder eine funkbasierte Signalübertragung codierter Informationen, beispielsweise über WIFI, Bluetooth, zigBee oder dergleichen. Die mit der maschinelesbaren Kodierung übertragenen Daten können dabei selbst mittels kryptographischer Verschlüsselungsverfahren gegen Manipulation abgesichert sein. Die codierten Daten können auch einen Verweis auf eine Datenbank umfassen, in der die vom Verkehrszeichen beziehbaren Informationen gespeichert sind. Nachteilig ist dabei jedoch, dass zum Entschlüsseln der bezogenen Daten ein vergleichsweiser hoher Aufwand erforderlich ist.
-
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein verbessertes Verfahren zur Validierung der Gültigkeit von Verkehrszeichen anzugeben, welches mit einem geringeren Aufwand durchführbar ist und dabei einen ebenso hohen Schutz vor einer Manipulation der Verkehrszeichen bietet.
-
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren zur Validierung der Gültigkeit von Verkehrszeichen mit den Merkmalen des Anspruchs 1 gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sowie ein Fahrzeug zur Durchführung des Verfahrens ergeben sich aus den hiervon abhängigen Ansprüchen.
-
Erfindungsgemäß wird ein Verfahren zur Validierung der Gültigkeit von Verkehrszeichen der eingangs genannten Art dahingehend weiterentwickelt, dass eine erste kryptographische Signatur einer autorisierten Instanz in eine maschinenlesbare Kodierung eines Verkehrszeichen inkludiert wird und ein Fahrzeug die Gültigkeit des Verkehrszeichens validiert, wenn die mit einer Umgebungssensorik des Fahrzeugs erfasste Bedeutung und Aufstellort des Verkehrszeichens mit der durch das Auswerten der maschinenlesbaren Kodierung vom Verkehrszeichen bezogenen Bedeutung und Aufstellort übereinstimmen und das Fahrzeug eine Signatur der autorisierten Instanz verifiziert.
-
Durch das Inkludieren einer kryptographischen Signatur in die maschinenlesbare Kodierung lässt sich eine Manipulation der maschinenlesbaren Kodierung und damit die vom Fahrzeug interpretierte Bedeutung des Verkehrszeichens besonders zuverlässig vor Manipulation schützen. So ist nämlich lediglich die autorisierte Instanz dazu in der Lage, eine entsprechende gültige maschinenlesbare Kodierung zu erzeugen und dem Verkehrszeichen aufzuprägen. Der Inhalt der maschinenlesbaren Kodierung ist dabei selbst nicht verschlüsselt, was den Aufwand zur Interpretation der maschinenlesbaren Kodierung gegenüber aus dem Stand der Technik bekannter Lösungen vereinfacht. Generell wäre eine Verschlüsselung natürlich möglich, wodurch das Vorsehen der kryptographischen Signatur in der maschinenlesbaren Kodierung zu einem noch zuverlässigeren Schutz vor Manipulation beitragen würde.
-
Bei der autorisierten Instanz kann es sich um eine für den Verkehrssektor beauftragte Behörde handeln. Zum Verifizieren der Signatur umfasst das Fahrzeug den zur Signatur der autorisierten Instanz passenden öffentlichen Schlüssel sowie das entsprechende digitale Zertifikat, welches wiederum eine Zuordnung von öffentlichen Schlüsseln zu Akteuren umfasst. Beispielsweise können der öffentliche Schlüssel und das digitale Zertifikat in einer Recheneinheit des Fahrzeugs abgespeichert sein. Die entsprechenden Informationen können jedoch auch nach Bedarf drahtlos vom Fahrzeug empfangen werden, beispielsweise per Mobilfunk.
-
Bei dem Verkehrszeichen kann es sich um ein statisches Verkehrszeichen wie ein Verkehrsschild oder auch um ein dynamisches Verkehrszeichen wie beispielsweise ein über eine Anzeigevorrichtung ausgegebenes Verkehrszeichen handeln. Als maschinenlesbare Kodierung kommen gängige Kodierungsmöglichkeiten in Frage. Beispielsweise handelt es sich bei der maschinenlesbaren Kodierung um einen optoelektronischen Code wie einen Barcode, Matrixcode, QR-Code oder dergleichen, um ein moduliertes Signal, insbesondere einer modulierten elektromagnetischen Trägerwelle, ausgegeben beispielsweise über eine Leuchtvorrichtung wie eine blinkende LED-Matrix oder aber ein über Funk übertragenes Signal, beispielsweise über 5G, WLAN, Bluetooth, NFC, ZigBee oder dergleichen. Die maschinenlesbare Kodierung kann neben der Bedeutung, dem Aufstellort und der Signatur weitere Zusatzdaten enthalten, wie beispielsweise eine Gültigkeitsdauer, eine Ausrichtung, eine Bereichsgültigkeit, eine Uhrzeit, zu der die vom Verkehrszeichen wiedergegebene Bedeutung gilt, ein Verkehrsgebot, eine Routenempfehlung für eine Umleitung oder dergleichen.
-
Anstelle der Bedeutung und des Aufstellorts des Verkehrszeichens kann dabei die maschinenlesbare Kodierung neben der Signatur einen Verweis auf eine zentrale Datenbank umfassen, beispielsweise in Form einer URL. Das Fahrzeug kann dann die URL aufrufen und die entsprechenden Informationen aus der zentralen Datenbank auslesen. Die zentrale Datenbank kann beispielsweise über eine zentrale Recheneinheit wie einen Cloudserver zugänglich sein. Beispielsweise umfasst der Cloudserver ein physisches Speichermedium, in welchem die zentrale Datenbank gespeichert ist.
-
Zur Erfassung des Aufstellorts des Verkehrszeichens kann das Fahrzeug beispielsweise seine eigene Position als Referenz benutzen. Diese Position kann das Fahrzeug beispielsweise mit Hilfe eines Navigationssystems bestimmen. Hierzu wertet das Fahrzeug insbesondere Geopositionsdaten aus, beispielsweise mit einem globalen Navigationssatellitensystem bestimmte Geopositionsdaten. Das Fahrzeug kann seine eigene Position jedoch auch in Abhängigkeit eines Mobilfunk- und/oder WLAN-Signals bestimmen. So kann beispielsweise eine Kennung einer Mobilfunkbasisstation und/oder eines WLAN-Hotspots mit einer Ortsposition verknüpft sein.
-
Validiert das Fahrzeug die Gültigkeit des Verkehrszeichens, so führt das Fahrzeug eine Positiv-Aktion aus. Dabei kann es sich beispielsweise um das Anzeigen der Bedeutung des Verkehrszeichens im Fahrzeug handeln, oder auch um eine Interpretation der Bedeutung des Verkehrszeichens von einem zumindest teilautomatisierten Steuersystem des Fahrzeugs. Handelt es sich bei dem Verkehrszeichen beispielsweise um ein Tempolimit, so kann das Fahrzeug hierdurch automatisiert seine Fahrgeschwindigkeit anpassen. Kann die Gültigkeit des Verkehrszeichens hingegen nicht validiert werden, beispielsweise weil das Fahrzeug die Signatur nicht verifizieren kann, so führt das Fahrzeug eine Fehlerreaktion aus. Die Fehlerreaktion sieht beispielsweise vor, dass das Fahrzeug das nicht validierte Verkehrszeichen ignoriert, eine weitere Aktion durchführt, um dennoch die Gültigkeit des Verkehrszeichens zu plausibilisieren, beispielsweise eine manuelle Abfrage der Bedeutung des Verkehrszeichens an die fahrzeugführende Person, eine Meldung über ein nicht validierbares Verkehrszeichen an Dritte ausgibt, beispielsweise die autorisierte Instanz, oder dergleichen.
-
Das erfindungsgemäße Verfahren kann auch zur Homologation von Verkehrszeichen verwendet werden. Hierzu wird sichergestellt, dass in mehreren Ländern die maschinenlesbare Kodierung nach gleicher Art ausgeführt wird.
-
Eine vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die in der zentralen Datenbank gespeicherte Bedeutung und Aufstellort des Verkehrszeichens durch wenigstens eine zweite kryptographische Signatur oder Zertifikatskette ergänzt werden und die Gültigkeit des Verkehrszeichens validiert wird, wenn das Fahrzeug zumindest eine in der zentralen Datenbank hinterlegte zweite Signatur oder Zertifikatskette verifiziert. Bei der in der zentralen Datenbank gespeicherten wenigstens einen zweiten Signatur handelt es sich um eine zur ersten Signatur abweichende Signatur. Eine Zertifikatskette wird auch als „Chain of Trust“ bezeichnet. Somit sind zum Verifizieren der zweiten Signatur ein separater öffentlicher Schlüssel sowie ein entsprechender Eintrag im digitalen Zertifikat erforderlich. Kommt es zu einer Korrumpierung bzw. Manipulation der autorisierten Instanz, wodurch ein Angreifer beispielsweise in den Besitz des zum Erzeugen der ersten Signatur verwendeten privaten Schlüssels gelangt, nicht jedoch in den Besitz des zum Erzeugen der zweiten Signatur verwendeten privaten Schlüssels, so können Verkehrszeichen weiterhin zuverlässig validiert werden, indem bei der Verifizierung der autorisierten Instanz der zweiten Signatur Vorrang vor der ersten Signatur gegeben wird. Dabei können auch weitere zweite Signaturen, welche dann als dritte, vierte, fünfte usw. Signatur verstanden werden können, in der zentralen Datenbank hinterlegt werden, wobei dann jeweils die höhere Signatur vor einer niedrigen Signatur zum Verifizieren der autorisierten Instanz priorisiert wird. Es wird also eine Zertifikatskette von ihrem Anfang bis zu ihrem Ende durchlaufen.
-
Entsprechend einer weiteren vorteilhaften Ausgestaltung des Verfahrens weist die autorisierte Instanz eine hierarchische Struktur auf, wobei eine zweite Signatur von einer in der hierarchischen Struktur weiter oben angeordneten Schicht ausgegeben wird, als die die erste Signatur ausgebende Schicht. Typischerweise sind in der hierarchischen Struktur weiter oben angeordnete Schichten zuverlässiger vor einem Angriff abgesichert, als weiter unten angeordnete Schichten. Sollte ein Angreifer die Schicht der hierarchischen Struktur manipulieren können, die die erste Signatur ausgibt, so wird es dem Angreifer jedoch kaum möglich sein, Kontrolle über die oberen Schichten zu erlangen. Auf diese Art und Weise wird die Integrität der zweiten Signatur gewahrt, was bei einem erfolgten Angriff auf die autorisierte Instanz dennoch eine sichere Anwendung des erfindungsgemäßen Verfahrens gewährleistet. Bei der autorisierten Instanz kann es sich beispielsweise um die nach Art eines Baumdiagramms angeordneten Verkehrsbehörden von Ländern, Bund und Staatengemeinschaften handeln. Beispielsweise wird die oberste Schicht der hierarchischen Struktur von einer europäischen Verkehrsbehörde ausgebildet, auf die eine Verkehrsbehörde auf Bundesebene folgt. Auf die Verkehrsbehörde auf Bundesebene folgen wiederum die Verkehrsbehörden einzelner Länder, gefolgt von den Verkehrsbehörden einzelner Kreise oder Kommunen. Die erste Signatur wird dabei von der untersten Schicht der hierarchischen Struktur ausgegeben. Über der untersten Schicht angeordnete Schichten sind dabei jeweils dazu in der Lage, zweite Signaturen auszugeben. Die hierarchische Struktur der autorisierten Instanz lässt sich auch auf die Signaturen übertragen, sodass eine von einer höheren Schicht ausgegebene Signatur vor der von einer unteren Schicht ausgegebenen Signatur priorisiert wird. Die höchste Priorisierung weist dann beispielsweise die von der europäischen Verkehrsbehörde erzeugte Signatur auf.
-
Generell ist es dabei auch möglich, dass eine in der hierarchischen Struktur höhere Schicht eine Revokation durchführt, also einen Rückruf von durch eine untere Schicht ausgegebener Verkehrszeichen. Es sorgt dann also eine obere Schicht dafür, dass ein entsprechendes (ggf. manipuliertes) Verkehrszeichen für invalide erklärt wird.
-
Eine weitere vorteilhafte Ausgestaltung des Verfahrens sieht ferner vor, dass die Bedeutung und Aufstellort des Verkehrszeichens in Abhängigkeit einer in die Kodierung inkludierten Gültigkeitsdauer von der zentralen Datenbank bezogen werden. Wie bereits erwähnt kann eine Gültigkeitsdauer eines Verkehrszeichens in die maschinenlesbare Kodierung inkludiert sein. Das Fahrzeug kann dann einen aktuellen Zeitpunkt, beispielsweise charakterisiert durch Datum und/oder Uhrzeit, mit einem durch das Ende der Gültigkeitsdauer beschriebenen Endzeitpunkt vergleichen. Beispielsweise können Bedeutung und Aufstellort des Verkehrszeichens in einem Speicher des Fahrzeugs, beispielsweise einem Cache einer Recheneinheit, abgespeichert sein, sodass nicht jedes Mal erneut die entsprechenden Informationen vom Verkehrszeichen bezogen werden müssen. ist die Gültigkeitsdauer jedoch verstrichen, so kann das Fahrzeug die entsprechenden Informationen aus der zentralen Datenbank abrufen. Dies ermöglicht eine besonders flexible Nutzung von Verkehrszeichen, da somit ein und dasselbe Verkehrszeichen zu unterschiedlichen Zeitpunkten verschiedene Bedeutungen annehmen kann. Die Gültigkeitsdauer kann beispielsweise als Endzeitpunkt den 31.10.2021 aufweisen. Bis zum 31.10.2021 gilt dann ein Tempolimit von 50 km/h. Ab dem 01.11.2021 gilt dann ein Tempolimit von beispielsweise 30 km/h. Dieses kann mit einer weiteren Gültigkeitsdauer versehen sein, und beispielsweise einen Endzeitpunkt wie den 31.10.2022 aufweisen, nachdem das Verkehrszeichen erneut seine Bedeutung wechselt.
-
Entsprechend einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens erfolgt das Beziehen der Bedeutung und Aufstellort des Verkehrszeichens von der zentralen Datenbank, wenn sich das Fahrzeug außerhalb einer Empfangsreichweite der maschinenlesbaren Kodierung befindet. Wie bereits erwähnt können die Bedeutung und der Aufstellort eines Verkehrszeichens zumindest temporär im Fahrzeug gespeichert werden. Ändert sich die Bedeutung und/oder der Aufstellort eines Verkehrszeichens, so muss das Fahrzeug rechtzeitig diese Informationen aktualisieren. Hierzu reicht es aus, wenn das Fahrzeug vor Ablaufen der Gültigkeitsdauer die entsprechenden Informationen aus der zentralen Datenbank ausliest. Hierzu muss das Fahrzeug also nicht zwangsweise in Empfangsreichweite der maschinenlesbaren Kodierung sein, muss sich also nicht zwangsweise in einer Nähe zum Verkehrszeichen aufhalten. So kann das Fahrzeug beispielsweise einen Wi-Fi Hotspot am Wohnort der fahrzeugführenden Person nutzen, um sich mit dem Internet zu verbinden und entsprechende Informationen aus der zentralen Datenbank auszulesen. Dies ermöglicht das rechtzeitige Aktualisieren von Bedeutung und Aufstellort einer Vielzahl unterschiedlicher Verkehrszeichen, auch wenn das Fahrzeug eine entsprechende Route, auf der die jeweiligen Verkehrszeichen liegen, gerade nicht befährt.
-
Bevorzugt wird die maschinenlesbare Kodierung mittelbar an das Fahrzeug über zumindest ein weiteres Fahrzeug und/oder eine Infrastruktureinrichtung weitergeleitet. Fahrzeuge können über eine Fahrzeug-zu-Fahrzeug Kommunikationsschnittstelle und/oder eine Fahrzeug-zu-Infrastruktur Kommunikationsschnittstelle verfügen. Dies ermöglicht eine besonders zuverlässige Validierung der Gültigkeit von Verkehrszeichen, da das Fahrzeug ein entsprechendes Verkehrszeichen somit während der Fahrt noch früher registriert. Fährt das Fahrzeug beispielsweise besonders schnell oder weist nur eine rechenschwache Hardware auf bzw. ist die Hardware des Fahrzeugs durch andere Rechenoperationen ausgelastet, so besteht die Gefahr, dass ein entsprechendes Verkehrszeichen erst nach Passieren durch das Fahrzeug validiert wird. Durch das Weiterleiten der maschinenlesbaren Kodierung an das Fahrzeug wird jedoch das Zeitfenster, bis das Fahrzeug das Verkehrszeichen erreicht, erhöht, sodass auch die Wahrscheinlichkeit steigt, dass das Fahrzeug das entsprechende Verkehrszeichen validiert bzw. abgelehnt hat, bevor das Fahrzeug das Verkehrszeichen passiert. Dabei kann die maschinenlesbare Kodierung auch mehrmals über Fahrzeuge und/oder Infrastruktureinrichtungen weitergeleitet werden. Eine Infrastruktureinrichtung wird beispielsweise von einem Senderelais ausgebildet. Das Senderelais kann beispielsweise in eine Straßenlaterne, einer Lichtsignalanlage, ein weiteres Verkehrszeichen, einen Leitpfosten oder dergleichen integriert sein.
-
Bei einem Fahrzeug mit einer Umgebungssensorik und einer Recheneinheit sind erfindungsgemäß die Umgebungssensorik und die Recheneinheit zur Durchführung eines im vorigen beschriebenen Verfahrens eingerichtet. Bei dem Fahrzeug kann es sich um beliebiges Fahrzeug wie einen Pkw, Lkw, Transporter, Bus oder dergleichen handeln. die Umgebungssensorik und die Recheneinheit sind dazu eingerichtet, die Bedeutung und den Aufstellort des Verkehrszeichens zu erfassen und die entsprechenden Informationen vom Verkehrszeichen zu beziehen. Beispielsweise umfasst die Umgebungssensorik eine oder mehrere Kameras, was eine Erkennung des Verkehrszeichens in Kamerabildern ermöglicht. Zur Positionsbestimmung kann wie bereits erwähnt ein Aufenthaltsort des Fahrzeugs mitteln Navigationssystem oder ähnlichem bestimmt werden. Zur Kommunikation mit einer zentralen Recheneinheit, die die zentrale Datenbank beherbergt, kann das Fahrzeug eine drahtlose Kommunikationsschnittstelle aufweisen, beispielsweise eine Telematikeinheit. Als Funktechnologie können hierzu beispielsweise Mobilfunk, Wi-Fi, Bluetooth, NFC oder dergleichen zur Anwendung kommen. Auch ist ein Tethering der Recheneinheit über ein mobiles Endgerät wie ein Smartphone möglich.
-
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens zur Validierung der Gültigkeit von Verkehrszeichen und des erfindungsgemäßen Fahrzeugs ergeben sich auch aus dem Ausführungsbeispielen, welche nachfolgend unter Bezugnahme auf die Figuren näher beschrieben werden.
-
Dabei zeigen:
- 1 eine schematisierte Draufsicht auf ein erfindungsgemäßes Fahrzeug, welches die Gültigkeit eines Verkehrszeichens validiert;
- 2 eine schematisierte Darstellung einer maschinenlesbaren Kodierung und deren Inhalt;
- 3 eine schematisierte Darstellung einer alternativen maschinenlesbaren Kodierung und deren Inhalt;
- 4 eine schematisierte Darstellung einer autorisierten Instanz mit einer hierarchischen Struktur; und
- 5 ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens.
-
1 zeigt eine Draufsicht auf ein erfindungsgemäßes Fahrzeug 2. Das Fahrzeug 2 fährt auf ein Verkehrszeichen 1, hier in Form eines Tempolimits von 50 km/h, zu. Das Verkehrszeichen 1 kann als statisches Verkehrszeichen, beispielsweise als Verkehrsschild, ausgebildet sein, oder, wie in 1 dargestellt, als dynamisches Verkehrszeichen. So wird die Bedeutung des Verkehrszeichens 1 als Bild über eine Anzeigevorrichtung ausgegeben. Das Verkehrszeichen 1 umfasst eine maschinenlesbare Kodierung 4, hier als ein ebenfalls auf der Anzeige dargestellter QR-Code.
-
Das Fahrzeug 2 umfasst eine Umgebungssensorik 3, hier in Form einer Kamera, sowie eine Recheneinheit 9 zur Auswertung der von der Umgebungssensorik 3 erzeugten Sensordaten. Hierdurch ist das Fahrzeug 2 dazu in der Lage, das Verkehrszeichen 1 zu erfassen und dessen Bedeutung zu analysieren. Das Fahrzeug 2 ist ferner dazu in der Lage seinen Aufenthaltsort zu bestimmen, beispielsweise durch Analyse seiner Geoposition. Hierzu kann das Fahrzeug 2 ein Navigationssystem umfassen, beispielsweise integriert in die Recheneinheit 9. Das Fahrzeug 2 setzt dabei seinen Aufenthaltsort mit dem Aufstellort des Verkehrszeichens 1 gleich. Das Fahrzeug 2 kann den Aufstellort des Verkehrszeichens 1 generell jedoch auch mit anderen Methoden bestimmen, beispielsweise durch Referenzieren einer Position einer Mobilfunkbasisstation, deren Mobilfunksignal das Fahrzeug 2 über eine drahtlose Kommunikationseinrichtung 10 empfängt.
-
Zur Validierung der Gültigkeit des Verkehrszeichens 1 vergleicht das Fahrzeug 2, sprich die Recheneinheit 9, die erfasste Bedeutung und Aufstellort des Verkehrszeichens 1 mit einer durch Auswertung der maschinenlesbaren Kodierung 4 vom Verkehrszeichen 1 bezogenen Bedeutung und Aufstellort. Erfindungsgemäß umfasst die maschinenlesbare Kodierung 4 eine erste kryptographische Signatur 6.1, welche in 2 gezeigt ist. Über die erste kryptographische Signatur 6.1 kann das Fahrzeug 2 bestätigen, dass die Gültigkeit des Verkehrszeichens 1 von einer autorisierten Instanz 7, welche in 4 gezeigt ist, gewährleistet wird. Stimmen die erfasste und die vom Verkehrszeichen 1 bezogene Bedeutung und Aufstellort des Verkehrszeichens 1 überein und kann das Fahrzeug 2 die erste Signatur 6.1 oder alternativ eine in 3 gezeigte zweite Signatur 6.2 oder einer Zertifikatskette verifizieren, so validiert das Fahrzeug 2 die Gültigkeit des Verkehrszeichens 1.
-
Die maschinenlesbare Kodierung 4 kann auch einen Verweis 13 (siehe 3) auf eine zentrale Datenbank 5 umfassen, von der das Fahrzeug 2 über die drahtlose Kommunikationseinrichtung 10 die vom Verkehrszeichen 1 zu beziehende Bedeutung und Aufstellort empfangen kann. Die zentrale Datenbank 5 ist beispielsweise in eine zentrale Recheneinheit 11, beispielsweise einen Cloudserver, integriert.
-
2 zeigt eine schematisierte Darstellung der maschinenlesbaren Kodierung 4 und deren Inhalt. Bei dem Beispiel in 2 bezieht das Fahrzeug 2 die Bedeutung und den Aufstellort des Verkehrszeichens 1 unmittelbar über die maschinenlesbare Kodierung 4. Die maschinenlesbare Kodierung 4 ist dabei als QR-Code ausgeführt. Links neben dem QR-Code ist dessen Inhalt abgebildet. Die maschinenlesbare Kodierung 4 umfasst eine Bedeutung 12.1, einen Aufenthaltsort 12.2 und gegebenenfalls eine Gültigkeitsdauer 12.3 des Verkehrszeichens 1 sowie die erste Signatur 6.1. Handelt es sich bei dem Verkehrszeichen 1 nicht um ein Tempolimit sondern um ein anderes Verkehrszeichen wie beispielsweise ein Überholverbot, einen Warnhinweis, eine Umleitungsempfehlung oder dergleichen, so wird anstelle des Bezeichners „Limit“ für die Bedeutung 12.1 ein entsprechend passender Bezeichner verwendet wie beispielsweise „Route“. Auch der Aufenthaltsort 12.2 kann anstelle einer Adresse beispielsweise durch Geopositionsdaten oder sonstigen Koordinaten beschrieben werden. Die Gültigkeitsdauer 12.3, auch als Time-to-Live bezeichnet, kann durch ein beliebiges Format angegeben werden.
-
Generell ist es möglich, dass die maschinenlesbar Kodierung 4 auch weitere Zusatzdaten enthält, wie beispielsweise eine Uhrzeit, zu der das Verkehrszeichen gilt, wie beispielsweise ein reduziertes Tempolimit nachts, eine Bereichsgültigkeit wie beispielsweise die Gültigkeit für eine linke und mittlere Fahrspur, oder dergleichen.
-
3 zeigt eine alternative Ausführung der maschinenlesbaren Kodierung 4, bei der die vom Verkehrszeichen 1 zu beziehenden Informationen mittelbar über die zentrale Datenbank 5 bereitgestellt werden. Der linke Teil von 3 zeigt dabei den Inhalt der maschinenlesbaren Kodierung 4, wobei diese den Verweis 13 auf die Datenbank 5 enthält. In 3 ist der Verweis 13 als URL ausgeführt. Entsprechend wird die zentrale Datenbank 5 von der Recheneinheit 9 des Fahrzeugs 2 über das Internet kontaktiert. Wird eine andere Kommunikationsverbindung genutzt, so kann auch der Verweis 13 entsprechend anders ausgeführt sein.
-
Im rechten Teil von 3 ist der in der zentralen Datenbank 5 gespeicherte zur maschinenlesbaren Kodierung 4 korrespondierende Inhalt gezeigt. Dieser umfasst neben der Bedeutung 12.1, dem Aufenthaltsort 12.2 und der Gültigkeitsdauer 12.3 die zweite Signatur 6.2, also eine nächst höher priorisierte Signatur, beziehungsweise Zertifikatskette.
-
Wie 4 zeigt, kann eine autorisierte Instanz 7, beispielsweise eine Reihe von Behörden, die für die Installation von Verkehrszeichen verantwortlich sind, eine hierarchische Struktur aufweisen. Die hierarchische Struktur umfasst mehrere Schichten 8.0, 8.1, 8.2 und 8.3. Die unterste Schicht 8.0 der autorisierten Instanz 7 kann beispielsweise von einer Kommune ausgebildet werden. Die nächst höherliegende Schicht 8.1 kann beispielsweise von einem Bundesland, Departement, Staat oder dergleichen ausgebildet sein und die nächst höherliegende Schicht 8.2 von einem Mitgliedsstaat einer durch die oberste Schicht 8.3 angedeuteten Staatengemeinschaft. Bei der Staatengemeinschaft kann es sich beispielsweise um die EU handeln und bei dem Mitgliedsstaat um Deutschland, Frankreich, Österreich oder dergleichen.
-
Die unterste Schicht 8.0 der hierarchischen Struktur ist dabei unmittelbar mit dem Aufstellen und Warten der Verkehrszeichen 1 betraut. Entsprechend ist die unterste Schicht 8.0 dazu in der Lage, die erste Signatur 6.1 zu erzeugen und in die maschinenlesbare Kodierung 4 zu inkludieren. Die höhergelegenen Schichten 8.1, 8.2, 8.3 sind dazu in der Lage, die zweite Signatur 6.2.1, 6.2.2, 6.2.3 oder Zertifikatskette zu erzeugen, welche bei der Validierung der Gültigkeit von Verkehrszeichen 1 gegenüber der ersten Signatur 6.1 priorisiert wird. Kam es zu einer Manipulation bzw. Korrumpierung der untersten Schicht 8.0 der autorisierten Instanz 7, so ist dennoch eine zuverlässige Verifizierung von Verkehrszeichen 1 über die von der zentralen Datenbank 5 ausgelesenen zweiten Signatur 6.2.1, 6.2.2, 6.2.3 oder Zertifikatskette möglich. Dieses Vorgehen lässt sich analog auf die Schichten 8.1, 8.2, 8.3 anwenden, sodass beispielsweise der zweiten Signatur 6.2.3 der Staatengemeinschaft Vorrang gegenüber der zweiten Signatur 6.2.2 eines Mitgliedstaats gegeben wird.
-
5 zeigt ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens. In einem Verfahrensschritt 501 erkennt das Fahrzeug 2 ein Verkehrszeichen 1.
-
In einem Verfahrensschritt 502 überprüft das Fahrzeug 2 die Signatur der maschinenlesbaren Kodierung 4. Kann diese nicht verifiziert werden, so wird in einem Verfahrensschritt 503 eine Fehlerreaktion ausgeführt. Die Fehlerreaktion sieht vor, dass das Fahrzeug 2 das Verkehrszeichen 1 ignoriert, der autorisierten Instanz 7 ein nicht verifizierbares Verkehrszeichen meldet und/oder eine weitere Aktion zum Plausibilisieren des Verkehrszeichens 1 anstößt, beispielsweise eine Definition der Bedeutung des Verkehrszeichens 1 durch die fahrzeugführende Person des Fahrzeugs 2.
-
Verifiziert hingegen das Fahrzeug 2 die entsprechende Signatur, so wird in einem Verfahrensschritt 504 geprüft, ob die maschinenlesbare Kodierung 4 den Verweis 13 enthält. Ist dies nicht der Fall, wird in einem Verfahrensschritt 505 die vom Verkehrszeichen 1 bezogene Bedeutung und Aufstellort mit der vom Fahrzeug 2 erfassten Bedeutung und Aufstellort verglichen. Stimmen die entsprechenden Informationen nicht überein, so wird analog der Verfahrensschritt 503 durchgeführt. Stimmen die Informationen hingegen überein, so wird in einem Verfahrensschritt 506 das Verkehrszeichen 1 akzeptiert.
-
In einem Verfahrensschritt 507 wird dann die Bedeutung des Verkehrszeichens 1 über eine Anzeige im Fahrzeug 2 ausgegeben und/oder ein automatisiertes oder autonomes Steuerungsverhalten des Fahrzeugs 2 angepasst.
-
Wird im Verfahrensschritt 504 hingegen der Verweis 13 erkannt, so wird im Verfahrensschritt 508 der Verweis 13 von der Recheneinheit 9 interpretiert. Im Verfahrensschritt 509 wird daraufhin die zentrale Datenbank 5 kontaktiert und die entsprechenden Informationen des Verkehrszeichens 1 ausgelesen.
-
In einem Verfahrensschritt 510 wird dann die zweite Signatur 6.2.1, 6.2.2, 6.2.3 oder Zertifikatskette überprüft. Kann diese nicht verifiziert werden, wird analog der Verfahrensschritt 503 ausgeführt. Kann die zweite Signatur 6.2.1, 6.2.2, 6.2.3 oder Zertifikatskette hingegen verifiziert werden, so werden analog die Verfahrensschritte 505, 506 und 507 bzw. der Verfahrensschritt 503 ausgeführt. Es werden also die erfasste Bedeutung und Aufstellort des Verkehrszeichens 1 mit den entsprechenden vom Verkehrszeichen 1 bezogenen Informationen verglichen und bei Übereinstimmung das Verkehrszeichen 1 validiert und daraufhin die Aktionen im Fahrzeug 2 ausgeführt bzw. bei einer Diskrepanz das Verkehrszeichen 1 als ungültig erklärt.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102016208621 A1 [0005]