DE102023000839A1

DE102023000839A1 - Vehicle alarm system and method for operating a vehicle alarm system

Info

Publication number: DE102023000839A1
Application number: DE102023000839.7A
Authority: DE
Inventors: Till Heinrich; Artur Antoni; Sven Riedel
Original assignee: Mercedes Benz Group AG
Current assignee: Mercedes Benz Group AG
Priority date: 2023-03-07
Filing date: 2023-03-07
Publication date: 2023-04-20

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Alarmierungssystems (A) umfassend ein Backend-System (B) und eine damit verbindbare Alarmierungsvorrichtung (F) eines mit einem Alarmdetektor versehenen Fahrzeugs. Mindestens dann, wenn ein Alarmzustand mittels des Alarmdetektors detektiert wird, wird von der Alarmierungsvorrichtung (F) eine Abfrage (M1, M2) mit einer zugeordneten Challenge erzeugt und an das Backend-System (B) versendet. Von dem Backend-System (B) wird eine Abfrage mit einer der Challenge eindeutig zuordenbaren Antwort (M3, M4) beantwortet. Die Alarmierungsvorrichtung (F) delegiert die Mitigation des Alarmzustandes mindestens teilweise an das Backend-System (B), wenn anhand der über jeweils eine zugeordnete Challenge verknüpften Abfragen (M1, M2) und Antworten (M3, M4) eine zuverlässige Verbindung zwischen der Alarmierungsvorrichtung (F) und dem Backend-System (B) ermittelt wird. Die Alarmierungsvorrichtung (F) gibt zur Mitigation des Alarmzustandes optische und/oder akustische Warnsignale dann, bevorzugt nur dann ab, wenn anhand mindestens einer Abfrage (M1, M2) eine unzuverlässige Verbindung zwischen der Alarmierungsvorrichtung (F) und dem Backend-System (B) dadurch ermittelt wird, dass eine der mindestens einen Abfrage (M1, M2) über eine Challenge jeweils zuordenbare Antwort (M3, M4) nicht oder nicht innerhalb einer vorbestimmten Zeit empfangen wird. Ferner betrifft die Erfindung ein zur Durchführung dieses Verfahrens eingerichtetes Alarmierungssystem (A).The invention relates to a method for operating an alarm system (A) comprising a backend system (B) and an alarm device (F) which can be connected thereto, of a vehicle provided with an alarm detector. At least when an alarm condition is detected by the alarm detector, the alarming device (F) generates a query (M1, M2) with an associated challenge and sends it to the backend system (B). A query is answered by the backend system (B) with a response (M3, M4) that can be clearly assigned to the challenge. The alarm device (F) at least partially delegates the mitigation of the alarm state to the backend system (B) if a reliable connection between the alarm device ( F) and the backend system (B) is determined. The alarm device (F) emits optical and/or acoustic warning signals to mitigate the alarm condition, preferably only if an unreliable connection between the alarm device (F) and the backend system (B) is detected based on at least one query (M1, M2). it is determined that one of the at least one query (M1, M2) via a challenge respectively assignable answer (M3, M4) is not received or is not received within a predetermined time. The invention also relates to an alarm system (A) set up for carrying out this method.

Description

Die Erfindung betrifft ein Verfahren zum Betreiben eines Alarmierungssystems eines Fahrzeugs gemäß dem Oberbegriff des Anspruchs 1 sowie ein Alarmierungssystem eines Fahrzeugs gemäß dem Oberbegriff des Anspruchs 5.The invention relates to a method for operating an alarm system of a vehicle according to the preamble of claim 1 and an alarm system of a vehicle according to the preamble of claim 5.

Das Dokument US 2020/0217942 A1 beschreibt ein Verfahren zur Detektion von Insassen im Inneren eines Fahrzeugs, umfassend die Berechnung eines Indikators für die Stärke eines aktuell empfangenen Signals im Fahrzeuginneren, den Vergleich eines solchen Indikators mit einem Referenzwert und die Aktivierung eines oder mehrerer Fahrzeugsysteme in Abhängigkeit von diesem Vergleich.The document U.S. 2020/0217942 A1 describes a method for detecting occupants inside a vehicle, comprising calculating an indicator for the strength of a currently received signal inside the vehicle, comparing such an indicator with a reference value and activating one or more vehicle systems depending on this comparison.

Das Dokument US 2008/0077938 A1 beschreibt ein Verfahren zur Verfolgung des Zustandes einer Sitzung in einer Kommunikation zwischen einem Server-System und einem Client-System. Während der Sitzung werden Anwendungsdaten dem Client-System nur dann bereitgestellt, wenn das Client-System einen gültigen Wert der Zustandsverfolgung aufweist. Das Verfahren umfasst die Bereitstellung eines neuen Wertes der Zustandsverfolgungsinformation für das Client-System in einer Nachricht. Ferner umfasst es die Berechnung eines Wertes der Zustandsverfolgungsinformation, der nach der Übertragung einer Nachricht gültig ist, unter Verwendung von mindestens dem in der Nachricht übertragenen neuen Wert und eines von dem Client-System bereitgestellten Datenwertes.The document U.S. 2008/0077938 A1 describes a method for tracking the state of a session in a communication between a server system and a client system. During the session, application data is provided to the client system only if the client system has a valid state tracking value. The method includes providing a new value of state tracking information to the client system in a message. It further comprises calculating a value of state tracking information valid after transmission of a message using at least the new value transmitted in the message and a data value provided by the client system.

Der Erfindung liegt die Aufgabe zu Grunde, ein verbessertes Verfahren zum Betreiben eines Alarmierungssystems eines Fahrzeugs anzugeben. Diese Aufgabe wird mit einem Verfahren gelöst, das die Merkmale des Anspruchs 1 aufweist.The invention is based on the object of specifying an improved method for operating an alarm system of a vehicle. This object is achieved with a method that has the features of claim 1.

Der Erfindung liegt ferner die Aufgabe zu Grunde, ein verbessertes Alarmierungssystem eines Fahrzeugs anzugeben. Diese Aufgabe wird mit einem Alarmierungssystem gelöst, das die Merkmale des Anspruchs 5 aufweist.The invention is also based on the object of specifying an improved alarm system for a vehicle. This object is achieved with an alarm system that has the features of claim 5.

Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.Advantageous configurations of the invention are the subject matter of the dependent claims.

Ein Alarmierungssystem eines Fahrzeugs umfasst ein Backend-System und eine damit verbindbare Alarmierungsvorrichtung eines mit einem Alarmdetektor versehenen Fahrzeugs. Die Alarmierungsvorrichtung ist zur Abgabe optischer und/oder akustischer Warnsignale eingerichtet, die im Umfeld des Fahrzeugs wahrnehmbar sind.An alarm system of a vehicle comprises a backend system and an alarm device of a vehicle provided with an alarm detector that can be connected thereto. The alarm device is set up to emit visual and/or acoustic warning signals that can be heard in the area surrounding the vehicle.

Das Backend-System kann als mindestens ein Server ausgebildet sein, der einen oder mehrere Dienste in der Art von Cloud-Diensten oder Software-as-a-Service (SaaS) Diensten anbietet.The backend system can be designed as at least one server that offers one or more services in the form of cloud services or software-as-a-service (SaaS) services.

Die Alarmierungsvorrichtung ist mit dem Backend-System verbindbar eingerichtet, insbesondere zur Inanspruchnahme der von diesem Backend-System angebotenen Dienste eingerichtet.The alarm device is set up so that it can be connected to the backend system, in particular set up to use the services offered by this backend system.

Bei einem Verfahren zum Betreiben eines derartigen Alarmierungssystems wird mindestens dann, wenn ein Alarmzustand mittels des Alarmdetektors detektiert wird, von der Alarmierungsvorrichtung eine Abfrage mit einer zugeordneten Challenge erzeugt und an das Backend-System versendet.In a method for operating such an alarm system, at least when an alarm condition is detected by the alarm detector, the alarm device generates a query with an assigned challenge and sends it to the backend system.

Ein Alarmdetektor kann beispielsweise als Sensor ausgebildet sein, der anhand von Bewegungen und/oder der Körperwärme und/oder von Geräuschen die Anwesenheit von Fahrzeuginsassen, beispielsweise eines Kindes oder eines Tieres, in einem verschlossenen Fahrzeug erkennt und daraufhin einen Alarmzustand auslöst.An alarm detector can be designed, for example, as a sensor that detects the presence of vehicle occupants, for example a child or an animal, in a locked vehicle based on movements and/or body heat and/or noises and then triggers an alarm condition.

Unter einer Challenge soll hier und im Folgenden eine Kennung verstanden werden, anhand der eine Abfrage zugeordnet und erkannt werden kann. Beispielsweise kann eine Challenge als Zählerstand eines Zählers der Alarmierungsvorrichtung ausgebildet sein, der jeweils mit dem Erzeugen einer Abfrage inkrementiert wird.Here and in the following, a challenge is to be understood as an identifier by means of which a query can be assigned and recognized. For example, a challenge can be embodied as a count of a counter of the alerting device, which is incremented each time a query is generated.

Eine Abfrage wird von dem Backend-System im Erfolgsfall (das heißt: wenn eine zur Übermittlung von Nachrichten geeignete Verbindung zu der Alarmierungsvorrichtung besteht, beispielsweise eine über ein Mobilfunknetz vermittelte Verbindung) mit einer Antwort beantwortet, die der Challenge eindeutig zuordenbar ist. Eine eindeutige Zuordenbarkeit kann beispielsweise durch Rücksendung eines als Challenge an das Backend-System übermittelten Zählerstandes ermöglicht sein.A query is answered by the backend system if successful (i.e. if there is a connection to the alarm device suitable for the transmission of messages, for example a connection switched via a mobile network) with a response that can be clearly assigned to the challenge. A clear assignment can be made possible, for example, by returning a counter reading sent to the backend system as a challenge.

Erfindungsgemäß delegiert die Alarmierungsvorrichtung die Mitigation des Alarmzustandes mindestens teilweise an das Backend-System, wenn anhand der über jeweils eine zugeordnete Challenge verknüpften Abfragen und Antworten eine zuverlässige Verbindung zwischen der Alarmierungsvorrichtung und dem Backend-System ermittelt wird.According to the invention, the alarming device delegates the mitigation of the alarm state at least partially to the backend system if a reliable connection between the alarming device and the backend system is determined based on the queries and responses linked via an assigned challenge.

Unter der Mitigation eines Alarmzustandes soll hier und im Folgenden die Gesamtheit von Maßnahmen verstanden werden, die die auslösende Bedingung des Alarmzustandes (beispielsweise eingeschlossene Fahrzeuginsassen) beseitigen und aufheben und/oder zu deren beschleunigter Beseitigung beitragen (beispielsweise professionelle Rettungskräfte benachrichtigen) und/oder die Folgen einer durch den Alarmzustand charakterisierten Situation mildern (beispielsweise durch das Einschalten einer Belüftung oder Klimatisierung in dem Fahrzeug).The mitigation of an alarm condition is to be understood here and in the following as the entirety of measures that eliminate and cancel the triggering condition of the alarm condition (e.g. trapped vehicle occupants) and/or contribute to its accelerated elimination (e.g. notify professional rescue services) and/or the consequences mitigate a situation characterized by the alarm condition (e.g. by turning on switching ventilation or air conditioning in the vehicle).

Zur Mitigation des Alarmzustandes gibt die Alarmierungsvorrichtung optische und/oder akustische Warnsignale dann und bevorzugt nur dann ab, wenn eine unzuverlässige Verbindung zwischen der Alarmierungsvorrichtung und dem Backend-System anhand mindestens einer Abfrage dadurch ermittelt wird, dass auf diese mindestens eine Abfrage hin von der Alarmierungsvorrichtung eine Antwort des Backend-Systems, welche anhand einer Challenge jeweils einer der mindestens einen Abfrage zugeordnet werden kann, nicht oder nicht innerhalb einer vorbestimmten Zeitspanne empfangen wird.To mitigate the alarm status, the alarm device emits visual and/or acoustic warning signals if and preferably only if an unreliable connection between the alarm device and the backend system is determined on the basis of at least one query by the alarm device responding to at least one query a response from the backend system, which can be assigned to one of the at least one query based on a challenge, is not received or is not received within a predetermined period of time.

Mit anderen Worten: Die Alarmierungsvorrichtung stellt eine Nichtverfügbarkeit des Backend-Systems dadurch fest, dass Antworten auf (über die jeweilige Challenge identifizierbare und den Antworten zuordenbare) Abfragen ausbleiben.In other words: the alarm device determines an unavailability of the backend system by the fact that there are no answers to queries (which can be identified via the respective challenge and can be assigned to the answers).

Beispielsweise kann, wenn an das Backend-System gerichtete Abfragen nicht, verspätet oder nur teilweise mit korrespondierenden (das heißt: anhand der Challenge der jeweiligen Abfrage zuordenbaren) Antworten beantwortet werden, eine Störung der Verbindung zwischen der Alarmierungsvorrichtung und dem Backend-System oder eine Nichtverfügbarkeit des Backend-Systems geschlussfolgert werden. An das Backend-System delegierte Mitigationsmaßnahmen müssen daher dann potenziell als wirkungslos betrachtet werden.For example, if queries directed to the backend system are not answered, are answered late or only partially with corresponding answers (i.e. can be assigned to the respective query based on the challenge), the connection between the alarm device and the backend system may be disrupted or unavailable of the backend system can be concluded. Mitigation measures delegated to the backend system must therefore be considered potentially ineffective.

Indem erfindungsgemäß lokal (das heißt: in der Umgebung des Fahrzeugs wirksame) optische und/oder akustische Warnsignale abgegeben werden, wird die Robustheit des Alarmierungssystems gegenüber Ausfällen des Backend-Systems oder der Verbindung dorthin, insbesondere gegenüber Ausfällen oder Störungen eines Mobilfunknetzes zur Datenübertragung zwischen der Alarmierungsvorrichtung und dem Backend-System oder gegenüber einer unvollständiger Abdeckung durch ein solches Mobilfunknetz, verbessert. Dadurch wird die Sicherheit des Fahrzeugbetriebs, insbesondere die Sicherheit der Fahrzeuginsassen, verbessert.By emitting optical and/or acoustic warning signals locally (i.e. effective in the vicinity of the vehicle) according to the invention, the robustness of the alarm system against failures of the backend system or the connection thereto, in particular against failures or faults in a mobile network for data transmission between the Alerting device and the backend system or compared to an incomplete coverage by such a mobile network improved. This improves the safety of vehicle operation, in particular the safety of the vehicle occupants.

Zugleich wird durch das erfindungsgemäße mindestens teilweise Delegieren der Mitigationsmaßnahmen erreicht, dass ein Alarmzustand ohne lokale Warnsignale aufgelöst werden kann. Dadurch wird eine unnötige Störung in der Umgebung des Fahrzeugs, beispielsweise von Bewohnern nahe gelegener Wohngebäude, vermieden.At the same time, the at least partial delegation of the mitigation measures according to the invention means that an alarm condition can be resolved without local warning signals. This avoids unnecessary disturbance in the surroundings of the vehicle, for example from residents of nearby residential buildings.

Ausführungsbeispiele der Erfindung werden im Folgenden anhand einer Zeichnung näher erläutert.Exemplary embodiments of the invention are explained in more detail below with reference to a drawing.

Dabei zeigt:

1 schematisch ein Sequenzdiagramm für die Übertragung von Abfragen und Antworten zwischen einem Frontend-System und einem Backend-System eines Alarmierungssystems.

It shows:

1 a schematic sequence diagram for the transmission of queries and responses between a front-end system and a back-end system of an alerting system.

1 zeigt schematisch ein Sequenzdiagramm für die Übertragung von Nachrichten M, M1 bis M4 zwischen einem Frontend-System F und einem Backend-System B, die zu einem Alarmierungssystem A verbunden sind. Vorliegend ist das Frontend-System F als eine Alarmierungsvorrichtung F eines nicht näher dargestellten beweglichen Fahrzeugs ausgebildet und umfasst eine erste und eine zweite Laufzeit-Instanz R1, R2, die von Teilsystemen dieses Fahrzeugs bereitgestellt werden. Derartige Teilsysteme können beispielsweise Programme sein, die auf einem oder auf mehreren Steuergeräten oder ähnlichen, vorzugsweise programmierbaren Verarbeitungseinheiten ablaufen. 1 shows a schematic sequence diagram for the transmission of messages M, M1 to M4 between a front-end system F and a back-end system B, which are connected to an alarm system A. In the present case, the front-end system F is embodied as an alarm device F of a mobile vehicle, not shown in detail, and includes a first and a second runtime instance R1, R2, which are provided by subsystems of this vehicle. Such subsystems can, for example, be programs that run on one or more control devices or similar, preferably programmable, processing units.

Das Backend-System B umfasst eine dritte Laufzeit-Instanz R3 sowie eine Vielzahl von nicht näher unterschiedenen weiteren Laufzeit-Instanzen R, die als Programme oder Programmteile auf einem oder mehreren, üblicherweise ortsfesten Servern bereitgestellt werden. Die Laufzeit-Instanzen R, R3 des Backend-Systems B können beispielsweise mittels eines Lastverteilungsalgorithmus parallel oder abwechselnd auf verschiedenen Servern in der Art von Clouddiensten oder Software-as-a-Service (SaaS) Diensten bereitgestellt werden, sind davon abgesehen jedoch ortsgebunden und insbesondere nicht mit dem Fahrzeug verbunden beweglich.The backend system B comprises a third runtime entity R3 and a large number of other runtime entities R, which are not differentiated in more detail, which are provided as programs or program parts on one or more, usually stationary servers. The runtime instances R, R3 of the backend system B can, for example, be provided in parallel or alternately on different servers in the form of cloud services or software-as-a-service (SaaS) services using a load distribution algorithm, but apart from that they are location-based and in particular movable not connected to the vehicle.

Beispielsweise kann die erste Laufzeit-Instanz R1 als ein Programm ausgebildet sein, das in der Art eines Software-Watchdogs in vorbestimmten Abständen ausgeführt wird. Die zweite Laufzeit-Instanz R2 kann als Teil eines Protokollstapels ausgebildet sein, der zur mobilen Kommunikation zwischen dem Fahrzeug und dem Backend-System B über eine Systemgrenze G hinweg verwendet wird, die in 1 rein schematisch dargestellt ist.For example, the first runtime entity R1 can be in the form of a program that is executed at predetermined intervals in the manner of a software watchdog. The second runtime entity R2 can be embodied as part of a protocol stack that is used for mobile communication between the vehicle and the backend system B across a system boundary G 1 is shown purely schematically.

Die dem Backend-System B zugeordnete dritte Laufzeit-Instanz R3 kann als ein zur zweiten Laufzeit-Instanz R2 korrespondierender Teil dieses Protokollstapels ausgebildet sein.The third runtime entity R3 assigned to the backend system B can be embodied as a part of this protocol stack that corresponds to the second runtime entity R2.

Die erste Laufzeit-Instanz R1 generiert in regelmäßigen Abständen eine erste Nachricht M1, die eine Challenge umfasst. In einem besonders einfachen, vorliegend dargestellten Ausführungsbeispiel wird die Challenge durch einen Zählerstand, das heißt: eine nicht-negative natürliche Zahl n, gebildet. Jeder von der ersten Laufzeit-Instanz R1 generierten Instanz der ersten Nachricht M1 wird dann ein gegenüber der zuvor generierten Instanz der ersten Nachricht M1 inkrementierter Zählerstand beigefügt. Mit anderen Worten: Jede Instanz der ersten Nachricht M1 ist anhand des darin übermittelten Zählerstandes von anderen Instanzen unterscheidbar.The first runtime entity R1 generates a first message M1, which includes a challenge, at regular intervals. In a particularly simple exemplary embodiment presented here, the challenge is formed by a count, ie: a non-negative natural number n. Each instance of the first message M1 generated by the first runtime instance R1 is then compared to the previously generated instance the first message M1 incremented counter reading attached. In other words: each instance of the first message M1 can be distinguished from other instances on the basis of the counter reading transmitted therein.

Alternativ oder zusätzlich zu einem Zählerstand können auch andere voneinander unterscheidbare Challenge-Werte der ersten Nachricht M1 beigefügt werden, beispielsweise ein Zeitstempel. Im Allgemeinen ist es auch ausreichend, wenn die Unterscheidbarkeit von Challenge-Werten über einen (nachfolgend noch genauer erläuterten) hinreichend großen Zeitraum oder mit einer ausreichenden Wahrscheinlichkeit gewährleistet wird. Beispielsweise kann ein zyklischer Zähler verwendet werden oder eine Zufallszahl mit ausreichend vielen Dezimal- oder Binärstellen generiert werden, um eine hinreichende Unterscheidbarkeit zu gewährleisten.As an alternative or in addition to a counter reading, other challenge values that can be distinguished from one another can also be attached to the first message M1, for example a time stamp. In general, it is also sufficient if the distinguishability of challenge values is guaranteed over a sufficiently long period of time (explained in more detail below) or with a sufficient probability. For example, a cyclic counter can be used or a random number can be generated with a sufficient number of decimal or binary places to ensure sufficient differentiation.

Die erste Nachricht M1 wird nach der Übertragung an die zweite Laufzeit-Instanz R2 von dieser in eine zweite Nachricht M2 transformiert.After the transmission to the second runtime entity R2, the first message M1 is transformed by the latter into a second message M2.

In einem im oberen Teil von 1 dargestellten Erfolgsszenario 1 wird diese zweite Nachricht M2 als eine Abfrage M2 über ein mobiles Datenübertragungsprotokoll gemäß dem vereinbarten Protokollstapel an die dritte Laufzeit-Instanz R3 übertragen und dann vom Backend-System B verarbeitet und, wie nachfolgend noch erläutert wird, beantwortet.In one in the upper part of 1 illustrated success scenario 1, this second message M2 is transmitted as a query M2 via a mobile data transmission protocol according to the agreed protocol stack to the third runtime entity R3 and then processed by the backend system B and, as will be explained below, answered.

Optional können, wie in 1 lediglich schematisch und beispielhaft dargestellt, dazu mehrere Laufzeit-Instanzen R, R3 des Backend-Systems B untereinander Nachrichten M austauschen und verarbeiten, die in 1 nicht weiter unterschieden sind, die aber typischerweise unterschiedlich ausgebildet sind.Optionally, as in 1 only shown schematically and by way of example, for this purpose several runtime entities R, R3 of the backend system B exchange and process messages M with each other, which in 1 are not further differentiated, but which are typically designed differently.

So können die zwischen den Laufzeit-Instanzen R, R3 des Backend-Systems B ausgetauschten Nachrichten M als Funktionsaufrufe einer über jeweils eine Programmierschnittstelle zugänglichen, als Laufzeitbibliothek ausgebildeten Laufzeit-Instanz R umgesetzt sein. Alternativ ist auch eine Umsetzung der Laufzeit-Instanzen R, R3 als Dienste und/oder als Microservices möglich. In diesem Fall können die Nachrichten M als Nachrichten an Dienst-Endpunkte ausgebildet sein.Thus, the messages M exchanged between the runtime entities R, R3 of the backend system B can be implemented as function calls of a runtime entity R designed as a runtime library and accessible via a respective programming interface. Alternatively, the runtime instances R, R3 can also be implemented as services and/or as microservices. In this case, the messages M can be in the form of messages to service endpoints.

Im Ergebnis der Verarbeitung im Backend-System B wird durch eine von dessen Laufzeit-Instanzen R, R3 (nicht notwendigerweise dieselbe dritte Laufzeit-Instanz R3, welche die zweite Nachricht M2 von der zweiten Laufzeit-Instanz R2 des Frontend-Systems F empfangen hat) eine dritte Nachricht M3 über die Systemgrenze G hinweg an das Frontend-System F gesendet, vorliegend an dessen zweite Laufzeit-Instanz R2.As a result of the processing in the backend system B, one of its runtime entities R, R3 (not necessarily the same third runtime entity R3 that received the second message M2 from the second runtime entity R2 of the frontend system F) a third message M3 is sent across the system boundary G to the front-end system F, in this case to its second runtime entity R2.

Die dritte Nachricht M3 umfasst eine Response auf die ursprüngliche Challenge (vorliegend den Zählerstand, der durch eine nicht-negative natürliche Zahl repräsentierte wird) in einer geeigneten, das heißt: für das Frontend-System F lesbaren und auswertbaren, insbesondere in einer der Challenge zuordenbaren Form. Die dritte Nachricht M3 ist daher auch als Antwort M3 auf die mit der zweiten Nachricht M2 an das Backend-System B gestellte Abfrage M2 zu verstehen.The third message M3 includes a response to the original challenge (here the counter reading represented by a non-negative natural number) in a suitable, i.e. readable and evaluable for the front-end system F, in particular in one that can be assigned to the challenge Shape. The third message M3 is therefore also to be understood as an answer M3 to the query M2 made to the backend system B with the second message M2.

Im einfachsten Fall kann der Wert der Challenge unverändert an das Frontend-System F zurückgegeben werden. Es ist aber auch möglich, eine durch das Backend-System B signierte Challenge zurückzugeben. Dadurch wird sichergestellt, dass die zweite Nachricht M2 tatsächlich am Backend-System B eingegangen und nicht von einem Angreifer abgefangen wurde. Zusätzlich können der an das Frontend-System F zurückgesandten dritten Nachricht M3 weitere Informationen beigefügt werden, beispielsweise der Zeitpunkt des Empfangs der zweiten Nachricht M2 durch das Backend-System B.In the simplest case, the value of the challenge can be returned to the front-end system F unchanged. However, it is also possible to return a challenge signed by the backend system B. This ensures that the second message M2 actually arrived at the backend system B and was not intercepted by an attacker. In addition, further information can be attached to the third message M3 sent back to the front-end system F, for example the time at which the second message M2 was received by the back-end system B.

Die von der zweiten Laufzeit-Instanz R2 empfangene dritte Nachricht M3 wird in eine vierte Nachricht M4 transformiert, an die erste Laufzeit-Instanz R1 versendet und dort geprüft.The third message M3 received by the second runtime entity R2 is transformed into a fourth message M4, sent to the first runtime entity R1 and checked there.

Eine Prüfung wird dahingehend durchgeführt, ob eine stabile und vertrauenswürdige Verbindung zwischen dem Frontend-System F und dem Backend-System B besteht. Hierzu wird der Wert der in der Abfrage (das heißt: der ersten Nachricht M1 und nachfolgend in der daraus erzeugten zweiten Nachricht M2) an das Backend-System B versendeten Challenge (vorliegend: der als Zahl n übermittelte Zählerstand) mit dem in der Antwort (das heißt: der dritten Nachricht M3 und nachfolgend in der daraus erzeugten vierten Nachricht M4) übermittelten Wert verglichen. Hierzu ist in 1 lediglich beispielhaft eine erste Nachricht M1 als Funktionsaufruf TrRqPush_CPD dargestellt, dem eine Zahl n als Argument übergeben wird. Auf diese Weise werden Abfragen ermittelt, denen keine oder nur eine unzulässig verspätete Antwort zugeordnet werden kann.A check is carried out to determine whether there is a stable and trustworthy connection between the front-end system F and the back-end system B. For this purpose, the value of the challenge sent to the backend system B in the query (i.e. the first message M1 and subsequently in the second message M2 generated therefrom) (here: the counter reading transmitted as a number n) is compared with the value in the response ( that is to say: the value transmitted in the third message M3 and subsequently in the fourth message M4) generated therefrom is compared. For this is in 1 A first message M1 is merely shown as an example as a function call TrRqPush_CPD, to which a number n is passed as an argument. In this way, queries are determined to which no response or only an impermissibly late response can be assigned.

Beispielsweise kann die Latenz der Antwort, das heißt: die Zeitdifferenz zwischen dem Versenden der ersten Nachricht M1 und dem Empfangen der vierten Nachricht M4 bestimmt und mit einer vorbestimmten Höchstlatenz verglichen werden. Wird die Höchstlatenz für eine gewisse, ebenfalls vorbestimmte Anzahl von aufeinanderfolgend versendeten Instanzen der ersten Nachricht M1 und/oder ausreichend oft in einem vorbestimmten Zeitintervall überschritten, so wird die Verbindung zwischen dem Frontend-System F und dem Backend-System B als nicht zuverlässig angesehen.For example, the latency of the response, ie the time difference between sending the first message M1 and receiving the fourth message M4, can be determined and compared to a predetermined maximum latency. If the maximum latency exceeds for a certain, likewise predetermined number of instances of the first message M1 sent in succession and/or sufficiently often in a predetermined time interval steps, the connection between the front-end system F and the back-end system B is considered unreliable.

Die Wahl der Challenges (beispielsweise die Obergrenze für einen zyklischen Zähler oder die Anzahl von Dezimal- oder Binärstellen einer generierten Zufallszahl) ist korrespondierend zu den Regeln dieser Prüfung so gestaltet, dass eine falsche Zuordnung einer Antwort sicher oder nahezu sicher ausgeschlossen ist. Wird beispielsweise das Überschreiten der Höchstlatenz auf eine vorbestimmte Anzahl aufeinanderfolgender Abfragen M1, M2 bezogen, so muss die Obergrenze eines zyklischen Zählers größer, bevorzugt um ein Mehrfaches größer als diese vorbestimmt Anzahl sein.The selection of the challenges (e.g. the upper limit for a cyclic counter or the number of decimal or binary places of a generated random number) is designed in accordance with the rules of this test in such a way that an incorrect assignment of an answer is reliably or almost certainly excluded. If, for example, the exceeding of the maximum latency relates to a predetermined number of consecutive queries M1, M2, then the upper limit of a cyclic counter must be greater, preferably several times greater, than this predetermined number.

In analoger Weise muss ein Generator für als Zufallszahlen ausgebildete Challenges so beschaffen sein, dass die Wahrscheinlichkeit der Generierung mehrerer wertgleicher Zufallszahlen innerhalb einer solchen vorbestimmten Anzahl von aufeinanderfolgend generierten Zufallszahlen oder innerhalb eines bestimmten Zeitintervalls ausreichend gering ist, gemessen an der angestrebten Zuverlässigkeit der Verbindung zwischen dem Backend-System B und dem Frontend-System F.Analogously, a generator for challenges designed as random numbers must be designed in such a way that the probability of generating several random numbers of the same value within such a predetermined number of consecutively generated random numbers or within a certain time interval is sufficiently low, measured against the desired reliability of the connection between the Backend system B and the frontend system F.

Zusätzlich oder alternativ können der Prüfung auch weitere oder andere Regeln zugrunde gelegt werden. Beispielsweise kann anhand der zurück übertragenen Challenge Werte überprüft werden, ob die Reihenfolge der am Frontend-System F eingehenden Antworten (das heißt: der Instanzen der vierten Nachricht M4) mit der Reihenfolge der dort ausgehenden Abfragen (das heißt: der Instanzen der ersten Nachricht M1) übereinstimmt. Ebenso können ausgefallene (das heißt: nicht durch eine korrespondierende vierte Nachricht M4 beantwortete) Abfragen gezählt und auf einen vorbestimmten Zeitraum oder auf eine vorbestimmte Anzahl von Abfragen bezogen werden. Selbstverständlich können auch weitere Daten ausgewertet werden, die der dritten Nachricht M3 ergänzend beigefügt wurden, beispielsweise ein Fehlercode, ein System Health Status oder ähnliches.In addition or as an alternative, further or different rules can also be used as a basis for the check. For example, the challenge values transmitted back can be used to check whether the order of the responses arriving at the front-end system F (i.e. the instances of the fourth message M4) matches the order of the queries going out there (i.e. the instances of the first message M1 ) matches. Likewise, queries that have failed (that is to say: not answered by a corresponding fourth message M4) can be counted and related to a predetermined period of time or to a predetermined number of queries. Of course, further data can also be evaluated, which were additionally attached to the third message M3, for example an error code, a system health status or the like.

In dem im unteren Teil von 1 dargestellten Misserfolgsszenario 2 ist die Verbindung zwischen dem Frontend-System F und dem Backend-System B gestört, so dass die zweite und/oder die dritte Nachricht M2, M3 nicht übermittelt wird oder werden. Der weitere Ablauf entspricht dem anhand des Erfolgsszenarios 1 bereits erläuterten Verfahren.In the lower part of 1 illustrated failure scenario 2, the connection between the front-end system F and the back-end system B is disrupted, so that the second and/or the third message M2, M3 is not or will not be transmitted. The rest of the process corresponds to the procedure already explained with reference to success scenario 1.

Wird, im Falle des Erfolgsszenarios 1, die Zuverlässigkeit der Verbindung erfolgreich geprüft, so kann die Behandlung von Fehler- oder Alarmzuständen am Fahrzeug an das Backend-System B delegiert werden.If, in the case of success scenario 1, the reliability of the connection is successfully checked, the handling of error or alarm states on the vehicle can be delegated to the backend system B.

Beispielsweise kann ein als Fahrzeug ausgebildetes Frontend-System F mit einer Sensorik versehen sein, die einen versehentlich im Fahrzeug eingeschlossenen Insassen, beispielsweise ein Kind oder ein Tier, erkennt und einen Alarmzustand dementsprechend meldet. Bei gemäß dem Erfolgsszenario 1 erfolgreich verifizierter Verbindung zu einem Backend-System B kann der Alarmzustand dorthin gemeldet werden. Die Meldung erfolgt analog zu der bereits beschriebenen Übertragung der zweiten Nachricht M2 an das Backend-System B, ist jedoch in der Darstellung von 1 nicht näher berücksichtigt.For example, a front-end system F designed as a vehicle can be provided with a sensor system that recognizes an occupant accidentally locked in the vehicle, for example a child or an animal, and reports an alarm status accordingly. In the case of a successfully verified connection to a backend system B according to success scenario 1, the alarm status can be reported there. The message is analogous to the transmission of the second message M2 to the backend system B, which has already been described, but is shown in FIG 1 not considered in detail.

Auf einen derart gemeldeten Alarmzustand hin kann das Backend-System B Mitigationsmaßnahmen einleiten, beispielsweise eine dem Fahrzeug zugeordnete Person über ihr Mobiltelefon benachrichtigen. Die Auslösung von optischen und/oder akustischen Warnzeichen direkt am Fahrzeug kann dadurch unterbleiben. Damit werden unnötige Belastungen sowohl in der Fahrzeugumgebung als auch der eingeschlossenen Fahrzeuginsassen vermieden.In response to an alarm condition reported in this way, the backend system B can initiate mitigation measures, for example notifying a person assigned to the vehicle via their mobile phone. This means that the triggering of optical and/or acoustic warning signals directly on the vehicle can be avoided. This avoids unnecessary stress both in the vehicle environment and the enclosed vehicle occupants.

In gewissen Situationen kann die Verbindung zu dem Backend-System B jedoch gestört oder sogar unterbrochen sein, beispielsweise dann, wenn sich das Fahrzeug mit dem Frontend-System F am Rand oder außerhalb des Abdeckungsbereichs des Mobilfunknetzes befindet. Auch technische Störungen beispielsweise an der Sende-/Empfangsanlage oder Softwarefehler innerhalb der ersten oder zweiten Laufzeit-Instanz R1, R2 können die Verbindung zu dem Backend-System B beeinträchtigen.In certain situations, however, the connection to the backend system B can be disrupted or even interrupted, for example when the vehicle with the frontend system F is on the edge or outside the coverage area of the mobile network. Technical faults, for example in the transmitting/receiving system, or software errors within the first or second runtime entity R1, R2 can also impair the connection to the backend system B.

Wird eine solche Beeinträchtigung anhand der eingangs beispielhaft beschriebenen Parameter und Regeln (beispielsweise Ausbleiben von Antworten M3, M4 auf eine vorbestimmte Anzahl abgesendeter Abfragen M1, M2 oder über eine vorbestimmte Zeitspanne hinweg) festgestellt, so wird die Abgabe von Warnzeichen an die Fahrzeugumgebung aktiviert. Dadurch können entsprechende Rettungs- oder Schutzmaßnahmen auch bei Nichtverfügbarkeit des Backend-Systems B eingeleitet werden.If such an impairment is determined using the parameters and rules described above as an example (e.g. no responses M3, M4 to a predetermined number of sent queries M1, M2 or over a predetermined period of time), the emission of warning signals to the vehicle surroundings is activated. Appropriate rescue or protective measures can thus be initiated even if the backend system B is unavailable.

In einer Ausführungsform kann das Frontend-System F einen Status der Verbindung zum Backend-System B (beispielsweise einen der Werte „verfügbar“, „nicht-verfügbar“ oder „unzuverlässig“) ermitteln und bei der Eskalation des Alarm- oder Fehlerzustandes berücksichtigen.In one embodiment, the front-end system F can determine a status of the connection to the back-end system B (for example one of the values “available”, “not available” or “unreliable”) and take it into account when escalating the alarm or error status.

BezugszeichenlisteReference List

AA: Alarmierungssystemalerting system
BB: Backend-Systembackend system
Ff: Frontend-System, AlarmierungsvorrichtungFront-end system, alerting device
GG: Systemgrenzesystem boundary
MM: NachrichtNews
M1 bis M4M1 to M4: erste bis vierte Nachrichtfirst to fourth message
M1, M2M1, M2: Abfragequery
M3, M4M3, M4: AntwortAnswer
RR: Laufzeit-Instanzruntime instance
R1 bis R3R1 to R3: erste bis dritte Laufzeit-Instanzfirst to third runtime instance
11: Erfolgsszenariosuccess scenario
22: Misserfolgsszenariofailure scenario

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents cited by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent Literature Cited

US 2020/0217942 A1 [0002]
US 2008/0077938 A1 [0003]

Claims

Method for operating an alarm system (A) comprising a backend system (B) and an alarm device (F) connectable thereto of a vehicle provided with an alarm detector, the alarm device (F) being set up to emit optical and/or acoustic warning signals, characterized in that that - at least when an alarm condition is detected by the alarm detector, the alarming device (F) generates at least one query (M1, M2) with an associated challenge and sends it to the backend system (B) and - from the backend - System (B) is answered with a response (M3, M4) that can be clearly assigned to the challenge and - the alarm device (F) at least partially delegates the mitigation of the alarm condition to the backend system (B) if based on the respective assigned challenge interlinked at least one query (M1, M2) and response (M3, M4) a reliable connection between the alarm device (F) and the backend system (B) is determined and - the alarm device (F) for mitigating the alarm status optical and / or emits acoustic warning signals, preferably only if an unreliable connection between the alarm device (F) and the backend system (B) is determined on the basis of at least one query (M1, M2) in that one of the at least one query (M1, M2) a response (M3, M4) that can be assigned in each case via a challenge is not received or is not received within a predetermined time.

procedure after claim 1 , characterized in that the challenge is formed as a continuously incremented counter and/or time stamp and/or random number.

Method according to one of the preceding claims, characterized in that an unreliable connection between the alarm device (F) and the backend system (B) is determined if, in response to a query (M1, M2), no response is sent to the alarm device ( F) the response (M3, M4) transmitted back can be assigned.

Method according to one of the preceding claims, characterized in that escalating measures for mitigating an alarm state take into account whether a reliable or an unreliable connection between the alarm device (F) and the backend system (B) was determined.

Alarm system (A) comprising an alarm device (F) with an alarm detector and a backend system (B), characterized in that the alarm device (F) and the backend system (B) for exchanging messages (M, M1 to M4) are set up via a mobile data network and are set up in each case by means of at least one computer-implemented runtime entity (R, R1 to R3) for carrying out a method according to one of the preceding claims.