DE102022200587A1 - Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug - Google Patents

Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug Download PDF

Info

Publication number
DE102022200587A1
DE102022200587A1 DE102022200587.2A DE102022200587A DE102022200587A1 DE 102022200587 A1 DE102022200587 A1 DE 102022200587A1 DE 102022200587 A DE102022200587 A DE 102022200587A DE 102022200587 A1 DE102022200587 A1 DE 102022200587A1
Authority
DE
Germany
Prior art keywords
mission
description
autonomous vehicle
digital signature
mission description
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022200587.2A
Other languages
English (en)
Inventor
Wladimir klein
Peter van der Vegte
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102022200587.2A priority Critical patent/DE102022200587A1/de
Publication of DE102022200587A1 publication Critical patent/DE102022200587A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06Q50/40
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Abstract

Die vorliegende Erfindung betrifft eine Vorrichtung (14) zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs (12), mit: einer Eingangsschnittstelle (20) zum Empfangen einer Missionsbeschreibung mit Informationen zu einer auszuführenden Aufgabe des autonomen Fahrzeugs und einer in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugten digitalen Signatur (26); einer Überprüfungseinheit (22) zum Überprüfen der Missionsbeschreibung basierend auf der digitalen Signatur und einer vorbekannten Verifikationsinformation, und zum Erzeugen einer überprüften Missionsbeschreibung, wenn die Überprüfung eine Integrität der Missionsbeschreibung ergibt; und einer Ausgangsschnittstelle (24) zum Übergeben der überprüften Missionsbeschreibung an eine Steuereinheit (16) des autonomen Fahrzeugs. Die vorliegende Erfindung betrifft weiterhin ein System (10), ein Verfahren und ein Computerprogrammprodukt.

Description

  • Die vorliegende Erfindung betrifft eine Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs. Die vorliegende Erfindung betrifft weiterhin ein System zum Steuern eines autonomen Fahrzeugs, ein Verfahren zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs sowie ein Computerprogrammprodukt.
  • Moderne Fahrzeuge (Autos, Lastwagen, Motorräder etc.) verfügen über eine Vielzahl von Sensoren (Radar, Lidar, Kamera, Ultraschall etc.), die einem Fahrzeugführer oder einem autonomen Steuersystem des Fahrzeugs Informationen zur Verfügung stellen. Basierend auf diesen Informationen kann eine Steuerung einzelner Funktionen des Fahrzeugs oder auch ein vollständig autonomer Betrieb realisiert werden.
  • Die SAE (Society of Automotive Engineers)-Klassifizierung des autonomen Fahrens umfasst sechs Stufen von Fahrerassistenzsystemen (englisch ADAS, Advanced Driver Assistance System), in die Fahrzeuge bzw. Assistenzsysteme basierend auf ihrem Autonomiegrad eingruppiert werden. In den Stufen 0 bis 2 führt der Fahrer zumindest einen Teil oder auch alle Fahroperationen durch und überwacht die Fahrzeugumgebung. In den Stufen 3 bis 5 übernimmt das Fahrerassistenzsystem bereits einen wesentlichen Teil des Fahrens und der Überwachung der Fahrzeugumgebung. Ab der Stufe 4 wird von Hochautomatisierung gesprochen. Fahrmodus-spezifisch werden alle Aspekte der dynamischen Fahraufgabe durch ein automatisiertes Fahrsystem ohne die Erwartung, dass der Fahrer auf Anforderung zum Eingreifen reagiert, übernommen. Ohne menschliche Reaktion steuert das Fahrzeug weiterhin automatisiert.
  • Um autonome Fahrzeuge bzw. Assistenzsysteme höherer Stufen betreiben zu können, werden zumeist sogenannte Missionen erstellt. Beispielsweise können in einer Mission für ein Personenbeförderungsfahrzeug eine Route und entsprechende Haltestellen definiert werden.
  • In diesem Zusammenhang wird beispielsweise in WO 2013/140401 A2 ein Verfahren und ein System zur Planung einer autonomen Mission offenbart. Eine generische Missionsschablone wird empfangen, die aus einer Vielzahl von Missions-Objekten konstruiert wird und logische Verbindungen zwischen diesen definiert. Jedes Missions-Objekt repräsentiert einen entsprechenden Typ eines Missionselements. Jedes Missions-Objekt ist mit einem entsprechenden Missionselement in der realen Welt verbunden, wodurch ein spezifischer Missionsplan erzeugt wird.
  • Die Erstellung einer Mission ist dabei ein komplexer Prozess mit verschiedenen Schritten der Missionserstellung. Üblicherweise sind dabei verschiedene standardisierte Schritte spezifiziert, die jeweils aufeinander aufbauen. Es werden also jeweils Daten eines Schritts in einem nachfolgenden Schritt verarbeitet. Relevant für einen sicheren und auch regelkonformen Einsatz eines autonomen Fahrzeugs ist dabei insbesondere die Korrektheit der Daten bzw. die vollständige und korrekte Durchführung aller Schritte. Es ist essentiell, dass die Schritte der Missionserstellung technisch korrekt und vollständig durchgeführt werden und dass etwaige Veränderungen an den jeweils erzeugten Daten aufgrund von Fehlern in der Datenübermittlung, Fehlern in der Datenerstellung oder auch aufgrund von böswilligen Manipulationen zumindest aufgedeckt werden.
  • In diesem Umfeld stellt sich der vorliegenden Erfindung die Aufgabe, einen Ansatz zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs bereitzustellen, bei dem die Integrität der Daten sichergestellt wird. Insbesondere soll sichergestellt werden, dass ein autonomes Fahrzeug nur dann eine Missionsbeschreibung verwendet bzw. ausführt, wenn diese vorschriftsmäßig erzeugt und unverändert übertragen wurde. Hierdurch soll die Sicherheit des autonomen Fahrzeugs, dessen Insassen sowie anderer Beteiligter verbessert werden.
  • Zum Lösen dieser Aufgabe betrifft die vorliegende Erfindung in einem ersten Aspekt eine Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs, mit:
    • einer Eingangsschnittstelle zum Empfangen einer Missionsbeschreibung mit Informationen zu einer auszuführenden Aufgabe des autonomen Fahrzeugs und einer in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugten digitalen Signatur;
    • einer Überprüfungseinheit zum Überprüfen der Missionsbeschreibung basierend auf der digitalen Signatur und einer vorbekannten Verifikationsinformation, und zum Erzeugen einer überprüften Missionsbeschreibung, wenn die Überprüfung eine Integrität der Missionsbeschreibung ergibt; und
    • einer Ausgangsschnittstelle zum Übergeben der überprüften Missionsbeschreibung an eine Steuereinheit des autonomen Fahrzeugs.
  • In einem weiteren Aspekt betrifft die vorliegende Erfindung ein System zum Steuern eines autonomen Fahrzeugs, mit:
    • einer Vorrichtung wie zuvor beschrieben; und
    • einer Steuereinheit zum Ansteuern mindestens eines Aktors zum Führen des autonomen Fahrzeugs basierend auf der überprüften Missionsbeschreibung.
  • Weitere Aspekte der Erfindung betreffen ein der Vorrichtung entsprechend ausgebildetes Verfahren sowie ein Computerprogrammprodukt mit Programmcode zum Durchführen der Schritte des Verfahrens, wenn der Programmcode auf einem Computer ausgeführt wird. Zudem betrifft ein Aspekt der Erfindung ein Speichermedium, auf dem ein Computerprogramm gespeichert ist, das, wenn es auf einem Computer ausgeführt wird, eine Ausführung des hierin beschriebenen Verfahrens bewirkt.
  • Bevorzugte Ausgestaltungen der Erfindung werden in den abhängigen Ansprüchen beschrieben. Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. Insbesondere können das System, das Verfahren und das Computerprogrammprodukt entsprechend den für die Vorrichtung in den abhängigen Ansprüchen definierten Ausgestaltungen ausgeführt sein.
  • Erfindungsgemäß ist es vorgesehen, dass eine Missionsbeschreibung sowie eine digitale Signatur empfangen werden. Basierend auf der digitalen Signatur wird unter Miteinbeziehung einer vorbekannten Verifikationsinformation die Missionsbeschreibung überprüft. Insbesondere wird in dieser Weise eine Integrität der Missionsbeschreibung sichergestellt. Es wird also ermittelt, ob die digitale Signatur zu der Missionsbeschreibung passt. Die Missionsbeschreibung wird insoweit in einem vorangegangenen Schritt eines mehrschrittigen Verfahrens einer Missionserstellung mittels eines entsprechenden privaten Signaturschlüssels signiert. Dann kann mittels der Verifikationsinformation, die insbesondere einem öffentlichen Schlüssel entsprechen kann, sichergestellt werden, dass die Missionsbeschreibung unverändert übertragen wurde, ohne dass zwischen Erzeugung und Verwendung Änderungen vorgenommen wurden.
  • Im Vergleich zu bisherigen Ansätzen, bei denen eine Missionsbeschreibung ohne weitere Überprüfung verwendet wurde, wird insoweit die Sicherheit aller Beteiligten verbessert. Weiterhin kann regulatorischen Anforderungen entsprochen werden. Beispielsweise kann ein Betreiber eines autonomen Fahrzeugs der Personenbeförderung durch eine erfindungsgemäße Überprüfung einer Missionsbeschreibung vor deren Ausführung Fehlersituationen aufgrund einer fehlerhaften Missionsbeschreibung vermeiden.
  • In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer in einem letzten Schritt des mehrschrittigen Verfahrens der Missionserstellung erzeugten digitalen Signatur ausgebildet. Insbesondere ist es vorteilhaft, wenn in der Überprüfungseinheit eine digitale Signatur überprüft wird, die in einem letzten Schritt des Verfahrens der Missionserstellung erzeugt wurde. Hierdurch kann gewährleistet werden, dass zwischen dem letzten Schritt und der Verwendung der Missionsbeschreibung in dem autonomen Fahrzeug keine Fehler aufgetreten sind bzw. keine Probleme entstanden sind. Die Sicherheit aller Beteiligten bleibt gewährleistet.
  • In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer digitalen Signatur ausgebildet, die anzeigt, dass zuvor bereits eine in einem vorangegangenen Schritt des mehrschrittigen Verfahrens erzeugte vorangegangene digitale Signatur überprüft wurde. In anderen Worten wird eine digitale Signatur empfangen, die bereits vorangegangene Schritte ebenfalls umfasst bzw. signiert. Die empfangene digitale Signatur betrifft einerseits die Daten des letzten Schritts des mehrschrittigen Verfahrens und andererseits auch Daten eines dem letzten Schritt vorangegangenen Schritts, da eine in diesem vorangegangenen Schritt erzeugte vorangegangene digitale Signatur ebenfalls von der digitalen Signatur mitumfasst ist.
  • Es wird insoweit eine Art Vertrauenskette (Chain of Trust) aufgebaut. Dieses Vorgehen hat insbesondere den Vorteil, dass mehrere Schritte oder auch das gesamte Verfahren entsprechend gesichert bzw. signiert werden können.
  • In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer digitalen Signatur ausgebildet, die in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugt wurde, das mindestens zwei der folgenden Schritte umfasst: einen Schritt des Aufzeichnens von Sensordaten in einer Explorationsfahrt; einen Schritt des Erzeugens einer Karte eines Gebiets basierend auf aufgezeichneten Sensordaten; einen Schritt des Definierens von Missionsparametern mit Angaben zu relevanten Eigenschaften des autonomen Fahrzeugs basierend auf vorgegebenen Eingangsparametern und/oder einer Eingabe eines menschlichen Bedieners; einen Schritt des Erzeugens einer Missionsbeschreibung in einer vorgegebenen Missionsbeschreibungssprache basierend auf einer Karte eines Gebiets, Missionsparametern und einer Zielvorgabe; einen Schritt des Simulierens eines Missionsverlaufs basierend auf einer Missionsbeschreibung; und einen Schritt des Verifizierens eines Missionsverlaufs in einem Feldtest basierend auf einer Missionsbeschreibung. Es wird insoweit also eine digitale Signatur empfangen, die in einem zumindest zweischrittigen Erstellungsverfahren erzeugt wurde. Dabei sind die Schritte des Erstellens der Missionsbeschreibung üblicherweise aufeinander aufbauend bzw. voneinander abhängig. Die Daten eines Schritts werden im darauffolgenden Schritt weiterverarbeitet. Die Verwendung eines mehrschrittigen Verfahrens der Missionserstellung hat den Vorteil, dass eine Vorgabe für die Erstellung geschaffen werden kann. Missionsbeschreibungen können entsprechend einem Standardvorgehen erstellt werden. Zudem können die unterschiedlichen Schritte von unterschiedlichen Beteiligten ausgeführt werden. Eine entsprechende Validierung einer Missionserstellung in einem mehrschrittigen Verfahren kann erreicht werden.
  • In einer bevorzugten Ausgestaltung ist die Eingangsschnittstelle zum Empfangen einer digitalen Signatur ausgebildet, die anzeigt, dass zuvor bereits in allen vorangegangenen Schritten des mehrschrittigen Verfahrens erzeugte vorangegangene digitale Signaturen überprüft wurden. Vorteilhafterweise wird in jedem Schritt des mehrschrittigen Verfahrens jeweils eine digitale Signatur erzeugt, die dann im nachfolgenden Schritt überprüft wird. Insoweit kann eine Vertrauenskette aufgebaut werden, da in jedem Schritt zum einen die im vorangegangenen Schritt erzeugten Daten und zum anderen auch die im vorangegangenen Schritt erzeugte vorangegangene digitale Signatur überprüft werden kann. Dies bewirkt eine verbesserte Sicherheit über den gesamten Prozess der Erstellung der Missionsbeschreibung. Es wird erreicht, dass die gesamte Erstellung der Missionsbeschreibung nachvollziehbar zuverlässig durchgeführt wird und die Missionsbeschreibung auf zuverlässigen Daten basiert. Die Sicherheit des autonomen Fahrzeugs und aller anderen Beteiligten wird verbessert.
  • In einer bevorzugten Ausgestaltung ist die Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Personenbeförderungsfahrzeugs des SAE-Levels 4 ausgebildet. Bei Verwendung eines SAE-Level-4-Fahrzeugs in der Personenbeförderung ist die Missionsbeschreibung besonders relevant. Es muss sichergestellt werden, dass die Missionsbeschreibung alle Kriterien erfüllt und zuverlässig erstellt und übermittelt wurde. Alle Schritte eines mehrstufigen Verfahrens müssen zuverlässig ausgeführt worden sein. Insoweit kann durch die Überprüfung der Missionsbeschreibung die Sicherheit gesteigert werden und gegebenenfalls ein Betrieb eines autonomen Personenbeförderungsfahrzeugs überhaupt erst ermöglicht werden.
  • In einer bevorzugten Ausgestaltung ist die Überprüfungseinheit zum Ausgeben einer Fehlermeldung ausgebildet, wenn die Überprüfung eine mangelnde Integrität der Missionsbeschreibung ergibt. Wenn also in der Überprüfung festgestellt wird, dass mindestens ein vorangegangener Schritt nicht zuverlässig ausgeführt wurde, also die Missionsbeschreibung nicht zu der digitalen Signatur passt, wird eine Fehlermeldung ausgegeben. Wenn also die Missionsbeschreibung während der Übermittlung und Übertragung verändert wurde, führt dies zur Ausgabe einer Fehlermeldung. Die Sicherheit kann verbessert werden.
  • In einer bevorzugten Ausgestaltung ist die Vorrichtung zum Empfangen der vorbekannten Verifizierungsinformation bei einer Initialisierung und/oder bei einer Wartung des Fahrzeugs ausgebildet. Die vorbekannte Verifizierungsinformation, also insbesondere der öffentliche Schlüssel zur Überprüfung der digitalen Signatur, kann bereits in der Fertigung eines autonomen Fahrzeugs und einer erfindungsgemäßen Vorrichtung in diese integriert werden. Ebenfalls ist es möglich, dass durch ein Update beispielsweise im Rahmen einer Wartung eine entsprechende Übertragung der vorbekannten Verifizierungsinformation erfolgt.
  • Hierin wird unter einer Missionsbeschreibung eines autonomen Fahrzeugs eine Angabe zu einer von dem autonomen Fahrzeug zu erfüllenden Aufgabe verstanden. Insbesondere kann eine Missionsbeschreibung in einer standardisierten Missionsbeschreibungssprache vorliegen. Eine Missionsbeschreibung kann insbesondere Informationen zu einer Route, einer entlang dieser Route zu lösenden Aufgabe, wie beispielsweise das Anfahren von Haltestellen, eine Zeitangabe, eine Angabe zu zu ergreifenden Aktionen bei Abweichungen von Zeit- oder Routenangaben sowie weitere Informationen umfassen. Insbesondere kann die Missionsbeschreibung verschiedene Alternativen in Abhängigkeit von möglichen Situationen umfassen. Die Missionsbeschreibung wird vorzugsweise in einem mehrschrittigen Verfahren der Missionserstellung erstellt. Neben der Missionsbeschreibung wird in dem Verfahren auch eine digitale Signatur erstellt. Die digitale Signatur wird vorzugsweise im Sinne eines asymmetrischen Kryptografie-Ansatzes erstellt, bei dem für die Erstellung ein geheimer Signaturschlüssel (private key) erforderlich ist. Die digitale Signatur kann dann mittels eines öffentlichen Verifikationsschlüssels (public key) ausgewertet werden und es kann überprüft werden, ob die empfangene Missionsbeschreibung der signierten Missionsbeschreibung entspricht. Unter einer Integrität wird dabei verstanden, dass es sich bei der empfangenen Missionsbeschreibung um diejenige Missionsbeschreibung handelt, die signiert wurde bzw. auf deren Basis die digitale Signatur erstellt wurde. Ein autonomes Fahrzeug ist ein Fahrzeug, das insbesondere ohne menschlichen Fahrzeugführer auskommt.
  • Die Erfindung wird nachfolgend anhand einiger ausgewählter Ausführungsbeispiele im Zusammenhang mit den beiliegenden Zeichnungen näher beschrieben und erläutert. Es zeigen:
    • 1 eine schematische Darstellung eines erfindungsgemäßen Systems zum Steuern eines autonomen Fahrzeugs;
    • 2 eine schematische Darstellung einer erfindungsgemäßen Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs;
    • 3 eine schematische Darstellung eines mehrschrittigen Verfahrens der Missionserstellung;
    • 4 eine weitere Ausführungsform eines mehrschrittigen Verfahrens der Missionserstellung; und
    • 5 eine schematische Darstellung eines erfindungsgemäßen Verfahrens.
  • In der 1 ist schematisch ein erfindungsgemäßes System 10 zum Steuern eines autonomen Fahrzeugs 12 dargestellt. Das System 10 umfasst eine Vorrichtung 14 zum Überprüfen einer Missionsbeschreibung sowie eine Steuereinheit 16 zum Ansteuern mindestens eines Aktors 18 zum Führen des autonomen Fahrzeugs 12. Die Darstellung ist dabei als seitliche Schnittansicht auf das Fahrzeug 12 zu verstehen. Im dargestellten Ausführungsbeispiel empfängt die Vorrichtung 14 eine Missionsbeschreibung von einem Internet-Server 19, beispielsweise über eine Mobildatenverbindung. Es versteht sich, dass es aber auch möglich ist, die Missionsbeschreibung in anderer Weise zu übertragen.
  • Erfindungsgemäß ist es vorgesehen, dass mittels der Vorrichtung 14 eine empfangene Missionsbeschreibung überprüft wird, bevor das autonome Fahrzeug 12 eine Mission entsprechend der Missionsbeschreibung ausführt. Insbesondere wird die Missionsbeschreibung auf Integrität überprüft, bevor über die Steuereinheit 16 der Aktor 18 angesteuert wird. Der Aktor 18 kann beispielsweise eine Bremse oder eine Lenkung oder ein Beschleunigungssystem sein. Die Missionsbeschreibung kann insbesondere in Form von Anweisungen in einer vordefinierten Missionsbeschreibungs-Programmiersprache vorliegen. Insbesondere können Alternativen für dynamisch an bestimmte Situationen angepasstes Verhalten des autonomen Fahrzeugs in dieser Missionsbeschreibungssprache beschrieben werden. Vorteilhafterweise ist das Fahrzeug 12 ein Fahrzeug zur Personenbeförderung, beispielsweise ein Bus. Es versteht sich aber, dass die Erfindung auch vorteilhaft in anderen Bereichen, wie beispielsweise autonomen Lastbeförderungssystemen oder auch autonom operierenden Transportsystemen bzw. im Zusammenhang mit anderen Robotern verwendet werden kann.
  • In der 2 ist schematisch eine Ausführungsform einer erfindungsgemäßen Vorrichtung 14 zum Überprüfen einer Missionsbeschreibung dargestellt. Die Vorrichtung 14 umfasst eine Eingangsschnittstelle 20, eine Überprüfungseinheit 22 sowie eine Ausgangsschnittstelle 24. Die Einheiten und Schnittstellen können dabei teilweise oder vollständig in Soft- und/oder in Hardware umgesetzt sein. Insbesondere können die Einheiten als Prozessor, Prozessormodule oder auch als Software für einen Prozessor ausgebildet sein. Die Vorrichtung 14 kann insbesondere in Form eines Steuergeräts bzw. eines Zentralcomputers eines autonomen oder teilautonomen Fahrzeugs bzw. als Software für ein Steuergerät oder einen Zentralcomputer eines autonomen oder teilautonomen Fahrzeugs ausgebildet sein.
  • Über die Eingangsstelle 20 wird eine Missionsbeschreibung sowie eine digitale Signatur, die in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugt wurde, empfangen. Die Missionsbeschreibung kann insbesondere in Form von Anweisungen und Bedingungen in einer standardisierten Missionsbeschreibungssprache vorliegen. Die digitale Signatur wird insbesondere in Form eines Datenpakets empfangen. Die digitale Signatur wurde basierend auf der Missionsbeschreibung in einem letzten Schritt eines Verfahrens der Missionserstellung erzeugt. Durch die digitale Signatur wird die Integrität der Missionsbeschreibung bestätigt und überprüfbar gemacht. Zum Empfang der Missionsbeschreibung der digitalen Signatur kann die Eingangsschnittstelle 20 beispielsweise an ein Mobilkommunikationssystem angebunden sein, gegebenenfalls über ein Bussystem des Fahrzeugs.
  • In der Überprüfungseinheit 22 wird basierend auf der digitalen Signatur und einer vorbekannten Verifikationsinformation überprüft, ob die Missionsbeschreibung derjenigen Missionsbeschreibung entspricht, auf deren Basis die digitale Signatur erzeugt wurde. Insbesondere wird also überprüft, ob die Missionsbeschreibung zwischen dem Erstellen der digitalen Signatur und dem Empfangen in der Vorrichtung über die Eingangsschnittstelle verändert wurde. Um diese Überprüfung durchzuführen, wird eine vorbekannte Verifikationsinformation verwendet. Die vorbekannte Verifikationsinformation entspricht insbesondere einem öffentlichen Schlüssel. Nur wenn in der Überprüfung eine Integrität der Missionsbeschreibung festgestellt wird, wird eine überprüfte Missionsbeschreibung erstellt. Die Missionsbeschreibung wird insoweit verifiziert.
  • Über die Ausgangsschnittstelle 24 wird die überprüfte Missionsbeschreibung dann an die Steuereinheit des autonomen Fahrzeugs weiterübermittelt. Hierzu kann die Ausgangsschnittstelle beispielsweise direkt oder auch über ein Fahrzeugbussystem mit einer entsprechenden Steuereinheit verbunden sein.
  • In der 3 ist schematisch ein mehrschrittiges Verfahren einer Missionserstellung dargestellt. Im dargestellten Ausführungsbeispiel umfasst das Verfahren insbesondere sechs Schritte, wobei im sechsten Schritt die digitale Signatur 26 erstellt wird.
  • Im dargestellten Ausführungsbeispiel umfasst das mehrschrittige Verfahren zunächst einen Schritt S1 des Aufzeichnens von Sensordaten in einer Explorationsfahrt. Es wird also mittels eines entsprechend ausgerüsteten Fahrzeugs mit bekannten Eigenschaften und mit einem bekannten Sensorset eine Explorationsfahrt unternommen, um Sensordaten aufzuzeichnen. Beispielsweise kann in einem neuen Gebiet in dieser Weise eine Karte generiert werden.
  • In einem Schritt S2 kann dann basierend auf den aufgezeichneten Sensordaten eine Karte des Gebiets erzeugt werden. Insbesondere wird eine Geometrie festgelegt und statische Elemente der Infrastruktur erkannt, wie beispielsweise Bäume, Gebäude, Ampeln etc.
  • Nachfolgend werden in einem Schritt S3 Missionsparameter mit Angaben zu relevanten Eigenschaften des autonomen Fahrzeugs definiert. Hierzu können Eingangsparameter und/oder Eingaben eines menschlichen Bedieners verwendet werden. Parameter können dabei beispielsweise Höchstgeschwindigkeiten, maximale Abweichungen oder Höchstlasten etc. umfassen. Ebenfalls kann beispielsweise festgelegt werden, dass die linke oder rechte Fahrspur im Falle einer mehrspurigen Straße verwendet werden soll etc. Unter einem derartigen Schritt der Kartensegmentierung (map segmentation) oder der Vorlagenerzeugung (mission element template generation) werden insoweit insbesondere verfügbare und geeignete Parameter erkannt und definiert.
  • Nachfolgend wird in einem Schritt S4 des Erzeugens einer Missionsbeschreibung eine Missionsbeschreibung in einer vorgegebenen Missionsbeschreibungssprache erstellt. Die Erstellung der Missionsbeschreibung erfolgt dabei insbesondere basierend auf der zuvor erzeugten Karte und den zuvor festgelegten Missionsparametern sowie gegebenenfalls unter Verwendung einer Zielvorgabe. Hierzu kann insbesondere eine entsprechend ausgebildete Vorrichtung zur Missionserstellung verwendet werden. Als Ausgang des Schritts S4 kann dann eine Missionsbeschreibung bereitgestellt werden. Die Missionsbeschreibung umfasst dabei insbesondere verschiedene Bedingungen (if, else, whether, traffic conditions, emergency stops etc.), die angeben, wie die Mission ablaufen soll unter den gegebenen Voraussetzungen. Insbesondere wird also festgelegt, was das autonome Fahrzeug in bestimmten Situationen ausführen soll.
  • In einem Schritt S5 wird dann ein Missionsverlauf simuliert, um die Missionsbeschreibung zu überprüfen. In einer Simulation wird die Mission insoweit validiert. Insbesondere wird simulativ überprüft, ob sich die erzeugte Missionsbeschreibung für ein autonomes Fahrzeug eignet. Hierbei können unterschiedliche Parameter, wie beispielsweise unterschiedliches Verkehrsaufkommen, unterschiedliche Wetter- und Lichtbedingungen etc. simuliert werden, um zu überprüfen, ob die Missionsbeschreibung diese unterschiedlichen Bedingungen abbildet. Ebenfalls kann die Interaktion zwischen verschiedenen beteiligten autonomen Fahrzeugen untersucht werden.
  • Zuletzt wird in einem Schritt S6 eine Überprüfung der Missionsbeschreibung in einem Feldtest vorgenommen. Die Missionsbeschreibung wird insoweit in einer definierten Umgebung mittels eines autonomen Fahrzeugs ausgeführt, wobei die Bedingungen noch nicht der Realität entsprechen. Insbesondere können beispielsweise im Fall einer Personenbeförderung im Schritt S6 noch keine Personen befördert werden. Es werden verschiedene Testfahrten unternommen in unterschiedlichen Szenarien, um zu überprüfen, ob der Missionsverlauf verifiziert ist und die Missionsbeschreibung insoweit verwendet werden kann. Wenn dieser Schritt erfolgreich abgeschlossen wird, wird die derart verifizierte Missionsbeschreibung mittels der digitalen Signatur 26 signiert. Das mehrschrittige Verfahren in der 3 liefert insoweit eine Missionsbeschreibung und eine zugehörige digitale Signatur 26.
  • In der 4 ist eine bevorzugte Ausführungsform des mehrschrittigen Verfahrens dargestellt. Es wird in jedem der Schritte S1 bis S6 (vergleiche 3 und zugehörige Beschreibung) ggf. unter Verwendung eines Zertifikats eine digitale Signatur erzeugt. In Schritt S1 werden also insoweit die gesammelten Sensordaten mit einer ersten digitalen Signatur Sig1 unterzeichnet. In Schritt S2 wird eine Signatur Sig2 erzeugt basierend auf der Signatur Sig1 des Schritts S1 sowie der in Schritt S2 erzeugten Karte. In Schritt S3 wird wiederum die Signatur des Schritts S2 zugrunde gelegt und zusätzlich die definierten Missionsparameter zertifiziert, usw. Durch die fortgesetzte Signierung wird insoweit also in jedem Schritt einerseits eine Signierung der in diesem Schritt erzeugten Daten vorgenommen und andererseits auch signiert, dass die Eingangsdaten in diesem Schritt bereits unverändert übernommen wurden. Es ergibt sich eine Art Vertrauenskette, bei der im zuletzt in Schritt S6 erzeugten digitalen Signatur 26 sichergestellt wird, dass in jedem Schritt jeweils unveränderte Daten zugrunde gelegt wurden. Es werden also entlang des gesamten Karten- und Missionserstellungsprozesses die jeweiligen Zwischen- oder Teilergebnisse mittels digitaler Signaturen signiert. Hierdurch kann von der Erzeugung der Daten bis hin zur finalen Anwendung im autonomen Fahrzeug eine Vertrauenskette aufgebaut werden. Am Ende der Kette kann vor Verwendung der Missionsbeschreibung im realen Betrieb also überprüft werden, dass die Kartendaten und Missionsbefehle sowie die weiteren Informationen authentisch und korrekt sind. Dies kann beispielsweise dazu verwendet werden, dass die Anwendung der Daten im Sinne einer Produktfreigabe möglich ist.
  • In der 5 ist schematisch ein erfindungsgemäßes Verfahren zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs dargestellt. Das Verfahren umfasst Schritte des Empfangens S10 einer Missionsbeschreibung, des Überprüfens S12 der Missionsbeschreibung, des Erzeugens S14 einer überprüften Missionsbeschreibung und des Übergebens S16 der überprüften Missionsbeschreibung. Das Verfahren kann insbesondere in Form einer Software implementiert sein, die auf einem Prozessor bzw. einem Zentralrechner eines autonomen Fahrzeugs bzw. in einem entsprechenden Fahrzeugsteuergerät ausgeführt wird. Es versteht sich, dass das Verfahren auch als Smartphone-App implementiert sein kann.
  • Die Erfindung wurde anhand der Zeichnungen und der Beschreibung umfassend beschrieben und erklärt. Die Beschreibung und Erklärung sind als Beispiel und nicht einschränkend zu verstehen. Die Erfindung ist nicht auf die offenbarten Ausführungsformen beschränkt. Andere Ausführungsformen oder Variationen ergeben sich für den Fachmann bei der Verwendung der vorliegenden Erfindung sowie bei einer genauen Analyse der Zeichnungen, der Offenbarung und der nachfolgenden Patentansprüche.
  • In den Patentansprüchen schließen die Wörter „umfassen“ und „mit“ nicht das Vorhandensein weiterer Elemente oder Schritte aus. Der undefinierte Artikel „ein“ oder „eine“ schließt nicht das Vorhandensein einer Mehrzahl aus. Ein einzelnes Element oder eine einzelne Einheit kann die Funktionen mehrerer der in den Patentansprüchen genannten Einheiten ausführen. Ein Element, eine Einheit, eine Schnittstelle, eine Vorrichtung und ein System können teilweise oder vollständig in Hard- und/oder in Software umgesetzt sein. Die bloße Nennung einiger Maßnahmen in mehreren verschiedenen abhängigen Patentansprüchen ist nicht dahingehend zu verstehen, dass eine Kombination dieser Maßnahmen nicht ebenfalls vorteilhaft verwendet werden kann. Ein Computerprogramm kann auf einem nichtflüchtigen Datenträger gespeichert/vertrieben werden, beispielsweise auf einem optischen Speicher oder auf einem Halbleiterlaufwerk (SSD). Ein Computerprogramm kann zusammen mit Hardware und/oder als Teil einer Hardware vertrieben werden, beispielsweise mittels des Internets oder mittels drahtgebundener oder drahtloser Kommunikationssysteme. Bezugszeichen in den Patentansprüchen sind nicht einschränkend zu verstehen.
  • Bezugszeichenliste
    • 10
    System
    12
    Fahrzeug
    14
    Vorrichtung
    16
    Steuereinheit
    18
    Aktor
    19
    Internet-Server
    20
    Eingangsschnittstelle
    22
    Überprüfungseinheit
    24
    Ausgangsschnittstelle
    26
    digitale Signatur
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2013140401 A2 [0005]

Claims (11)

  1. Vorrichtung (14) zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs (12), mit: einer Eingangsschnittstelle (20) zum Empfangen einer Missionsbeschreibung mit Informationen zu einer auszuführenden Aufgabe des autonomen Fahrzeugs und einer in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugten digitalen Signatur (26); einer Überprüfungseinheit (22) zum Überprüfen der Missionsbeschreibung basierend auf der digitalen Signatur und einer vorbekannten Verifikationsinformation, und zum Erzeugen einer überprüften Missionsbeschreibung, wenn die Überprüfung eine Integrität der Missionsbeschreibung ergibt; und einer Ausgangsschnittstelle (24) zum Übergeben der überprüften Missionsbeschreibung an eine Steuereinheit (16) des autonomen Fahrzeugs.
  2. Vorrichtung (14) nach Anspruch 1, wobei die Eingangsschnittstelle (20) zum Empfangen einer in einem letzten Schritt des mehrschrittigen Verfahrens der Missionserstellung erzeugten digitalen Signatur (26) ausgebildet ist.
  3. Vorrichtung (14) nach einem der vorstehenden Ansprüche, wobei die Eingangsschnittstelle (20) zum Empfangen einer digitalen Signatur (26) ausgebildet ist, die anzeigt, dass zuvor bereits eine in einem vorangegangenen Schritt des mehrschrittigen Verfahrens erzeugte vorangegangene digitale Signatur überprüft wurde.
  4. Vorrichtung (14) nach einem der vorstehenden Ansprüche, wobei die Eingangsschnittstelle (20) zum Empfangen einer digitalen Signatur (26) ausgebildet ist, die in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugt wurde, das mindestens zwei der folgenden Schritte umfasst: einen Schritt (S1) des Aufzeichnens von Sensordaten in einer Explorationsfahrt; einen Schritt (S2) des Erzeugens einer Karte eines Gebiets basierend auf aufgezeichneten Sensordaten; einen Schritt (S3) des Definierens von Missionsparametern mit Angaben zu relevanten Eigenschaften des autonomen Fahrzeugs (12) basierend auf vorgegebenen Eingangsparametern und/oder einer Eingabe eines menschlichen Bedieners; einen Schritt (S4) des Erzeugens einer Missionsbeschreibung in einer vorgegebenen Missionsbeschreibungssprache basierend auf einer Karte eines Gebiets, Missionsparametern und einer Zielvorgabe; einen Schritt (S5) des Simulierens eines Missionsverlaufs basierend auf einer Missionsbeschreibung; und einen Schritt (S6) des Verifizierens eines Missionsverlaufs in einem Feldtest basierend auf einer Missionsbeschreibung.
  5. Vorrichtung (14) nach einem der vorstehenden Ansprüche, wobei die Eingangsschnittstelle (20) zum Empfangen einer digitalen Signatur (26) ausgebildet ist, die anzeigt, dass zuvor bereits in allen vorangegangenen Schritten des mehrschrittigen Verfahrens erzeugte vorangegangene digitale Signaturen überprüft wurden.
  6. Vorrichtung (14) nach einem der vorstehenden Ansprüche, wobei die Vorrichtung zum Überprüfen einer Missionsbeschreibung eines autonomen Personenbeförderungsfahrzeugs des SAE-Levels 4 ausgebildet ist.
  7. Vorrichtung (14) nach einem der vorstehenden Ansprüche, wobei die Überprüfungseinheit (22) zum Ausgeben einer Fehlermeldung ausgebildet ist, wenn die Überprüfung eine mangelnde Integrität der Missionsbeschreibung ergibt.
  8. Vorrichtung (14) nach einem der vorstehenden Ansprüche, wobei die Vorrichtung zum Empfangen der vorbekannten Verifizierungsinformation bei einer Initialisierung und/oder bei einer Wartung des Fahrzeugs (12) ausgebildet ist.
  9. System zum Steuern eines autonomen Fahrzeugs (12), mit: einer Vorrichtung (14) nach einem der vorstehenden Ansprüche; und einer Steuereinheit (16) zum Ansteuern mindestens eines Aktors (18) zum Führen des autonomen Fahrzeugs basierend auf der überprüften Missionsbeschreibung.
  10. Verfahren zum Überprüfen einer Missionsbeschreibung eines autonomen Fahrzeugs (12), mit den Schritten: Empfangen (S10) einer Missionsbeschreibung mit Informationen zu einer auszuführenden Aufgabe des autonomen Fahrzeugs und einer in einem Schritt eines mehrschrittigen Verfahrens einer Missionserstellung erzeugten digitalen Signatur (26); Überprüfen (S12) der Missionsbeschreibung basierend auf der digitalen Signatur und einer vorbekannten Verifikationsinformation; Erzeugen (S14) einer überprüften Missionsbeschreibung, wenn die Überprüfung eine Integrität der Missionsbeschreibung ergibt; und Übergeben (S16) der überprüften Missionsbeschreibung an eine Steuereinheit (16) des autonomen Fahrzeugs.
  11. Computerprogrammprodukt mit Programmcode zum Durchführen der Schritte des Verfahrens nach Anspruch 10, wenn der Programmcode auf einem Computer ausgeführt wird.
DE102022200587.2A 2022-01-19 2022-01-19 Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug Pending DE102022200587A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022200587.2A DE102022200587A1 (de) 2022-01-19 2022-01-19 Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022200587.2A DE102022200587A1 (de) 2022-01-19 2022-01-19 Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug

Publications (1)

Publication Number Publication Date
DE102022200587A1 true DE102022200587A1 (de) 2023-07-20

Family

ID=86990726

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022200587.2A Pending DE102022200587A1 (de) 2022-01-19 2022-01-19 Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug

Country Status (1)

Country Link
DE (1) DE102022200587A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013140401A2 (en) 2012-03-22 2013-09-26 Israel Aerospace Industries Ltd. Planning and monitoring of autonomous-mission
EP2737377B1 (de) 2011-07-27 2019-09-25 S.I.Sv.El. Societa' Italiana Per Lo Sviluppo Dell'elettronica S.P.A. Verfahren und vorrichtung zur gestattung von missionen unbemannter luftfahrzeuge
US20210209956A1 (en) 2020-01-03 2021-07-08 Prince Sultan University Blockchain-based solution for internet of drones security and privacy

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2737377B1 (de) 2011-07-27 2019-09-25 S.I.Sv.El. Societa' Italiana Per Lo Sviluppo Dell'elettronica S.P.A. Verfahren und vorrichtung zur gestattung von missionen unbemannter luftfahrzeuge
WO2013140401A2 (en) 2012-03-22 2013-09-26 Israel Aerospace Industries Ltd. Planning and monitoring of autonomous-mission
US20210209956A1 (en) 2020-01-03 2021-07-08 Prince Sultan University Blockchain-based solution for internet of drones security and privacy

Similar Documents

Publication Publication Date Title
EP2705430B1 (de) System zur diagnose einer komponente in einem fahrzeug
DE102016212195A1 (de) Verfahren zum Durchführen eines automatischen Eingriffs in die Fahrzeugführung eines Fahrzeugs
EP3644148B1 (de) Testterminal für tests an einer fahrzeug-infrastruktur
DE102017100380A1 (de) Diagnostiktest-durchführungssteuersystem und verfahren
DE102019214453A1 (de) Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs
DE102015218361A1 (de) Verfahren und Testeinheit zur Verifizierung einer Fahrzeugfunktion
DE102019214448A1 (de) Verfahren zum Assistieren eines Kraftfahrzeugs
DE102020123831A1 (de) Konzept zum Unterstützen eines zumindest teilautomatisiert geführten Kraftfahrzeugs
DE102019214420A1 (de) Verfahren zum zumindest assistierten Überqueren eines Knotenpunkts durch ein Kraftfahrzeug
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
DE102019214423A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102019214471A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102014014858A1 (de) Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum abgesicherten Durchführen einer Funktion
DE102018200820A1 (de) Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem
DE102020211483A1 (de) Verfahren zum Testen eines Sensorsystems eines Kraftfahrzeugs
DE102019214482A1 (de) Verfahren zum sicheren zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102019214413A1 (de) Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs
DE102017202347A1 (de) Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs
DE102022200587A1 (de) Überprüfen einer Missionsbeschreibung für ein autonomes Fahrzeug
DE102019214484A1 (de) Verfahren zum sicheren Ermitteln von Infrastrukturdaten
EP4004518A1 (de) Verfahren zum testen eines kraftfahrzeugs
DE102021201129A1 (de) Vorrichtung zum infrastrukturgestützten Assistieren eines Kraftfahrzeugs
DE102016202527A1 (de) Recheneinheit für ein Kraftfahrzeug
DE102019214418A1 (de) Verfahren zum Fernsteuern eines Roboters

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06Q0050300000

Ipc: G06F0021640000

R016 Response to examination communication