-
Die Erfindung betrifft eine Vorrichtung zur sicheren Signalerzeugung, der Anforderungssignale zum Schalten mehrerer Lasten zuführbar sind und die entsprechend der Anforderungssignale Ansteuersignale für die Lasten erzeugt, mit einem aktiven Authentisierungsmittel mit einer Stromversorgung, einem passiven Authentisierungsmittel ohne Stromversorgung und einem Überprüfungsmittel, das aus einem Anforderungssignal nach Überprüfung der Berechtigung durch das aktive oder passive Authentisierungsmittel ein Ansteuersignal für die jeweilige Last erzeugt, wobei das Überprüfungsmittel im normalen Betrieb die Berechtigung über das aktive Authentisierungsmittel überprüft, und bei Ausfall des aktiven Authentisierungsmittels über das passive Authentisierungsmittel überprüft.
-
Stand der Technik
-
In Fahrzeugen mit der Funktion ”Schlüsselloser Fahrzeugzugang” wird zum Entriegeln und Verriegeln der Türen und bei Betätigung einer Bedieneinrichtung des Fahrzeugs eine Abfrage eines Authentikationsgebers im Schlüssel ausgeführt. Fällt diese positiv aus, werden die Türen entriegelt bzw. verriegelt, oder andere Bedienfunktionen, wie das Entriegeln der Lenkradverriegelung oder das Einschalten der Klemmen, werden ausgeführt. Bei fehlgeschlagener Authentisierung wird die Ausführung der Bedienfunktion verweigert.
-
Der besondere Vorteil beim schlüssellosen Fahrzeugzugang besteht darin, dass der Fahrzeugbenutzer zum Öffnen, Starten und Verriegeln seines Fahrzeugs keinen Schlüssel in die Hand zu nehmen braucht. Es genügt, wenn er einen Authentikationsgeber bei sich trägt. Dieser wird typischerweise in einer Chip-Karte oder einen Key Fob integriert. Der Authentikationsgeber identifiziert den Benutzer durch einen kurzen Funkdialog beim Systemsteuergerät.
-
Für den Fall eines Ausfalls des Authentikationsgebers, etwa aufgrund leerer Batterien ist ein redundanter Zugangspfad vorgesehen. Mit diesem Redundanzpfad kann der Fahrzeugbenutzer die Bedienfreigabe unter Umgehung des Authentikationsgebers bewirken. Der Redundanzpfad ist so gestaltet, dass er keine eigene Spannungsversorgung benötigt. Beispielsweise kann er aus einem mechanischen Notschüssel und einem passiven Transponder bestehen.
-
Um die korrekte Funktion des Redundanzpfads testen zu können, muss der Benutzer bisher den Authentikationsgeber manipulieren, indem er beispielsweise die Batterie entnimmt und so einen Ausfall des Authentikationsgebers simuliert.
-
Aus der
DE 199 49 970 A1 sind bereits ein Verfahren und eine Vorrichtung zur Zugangskontrolle zu einem gesicherten Ort, insbesondere einem Kraftfahrzeug, bekannt. Hierbei werden zwischen einem elektronischen Schlüssel und einer Basisstation in einem aktiven oder einem passiven Kommunikationsmodus drahtlose Authentifizierungsdaten ausgetauscht, wobei zu Beginn dieses Authentifizierungsprozesses die Basisstation an den elektronischen Schlüssel ein Aufrufsignal sendet, und dieser auf das Aufrufsignal mit einem Antwortsignal antwortet. Im aktiven Kommunikationsmodus ist eine Sicherungsprozedur gegen eine Funkstreckenverlängerung durchgeführt. Der Zugang zu dem gesicherten Kraftfahrzeug wird von der Basisstation nur dann zugelassen, wenn die vom elektronischen Schlüssel übermittelten Authentifizierungsdaten mit den von der Basisstation gespeicherten Authentifizierungsdaten übereinstimmen. Der elektronische Schlüssel soll jedoch mit der Basisstation nicht nur im betriebenen aktiven Kommunikationsmodus, sondern auch im sogenannten Backup-Modus kommunizieren, sodass auch in diesem passiven Kommunikationsmodus eine weitere Sicherungsprozedur für diesen vorgesehen ist.
-
Aus der
US 5,883,443 A ist ein Verfahren zur Sicherung eines schlüssellosen Zugangssystems bekannt. Um ein unberechtigtes Abfangen eines entfernten Signals zu verhindern, wird der Empfänger abgeschaltet bei mechanischer Betätigung des Fahrzeugschlosses.
-
Vorteile der Erfindung
-
Die erfindungsgemäße Vorrichtung gemäß Anspruch 1 baut auf dem Stand der Technik dadurch auf, dass ein Notschaltmittel zum Schalten einer vorbestimmten Last ohne Überprüfung durch das Überprüfungsmittel vorgesehen ist, und ein mit dem Überprüfungsmittel zusammenwirkendes Einstellungsmittel vorgesehen ist, das nach Schalten der vorbestimmten Last durch das Notschaltmittel die Berechtigungsüberprüfung durch das Überprüfungsmittel auf das passive Authentisierungsmittel einstellt. Dies ermöglicht dem Benutzer in einfacher Weise einen Funktionstest des passiven Authentisierungsmittels durchzuführen, ohne einen Ausfall des aktiven Authentisierungsmittels herbeiführen oder nachstellen zu müssen.
-
Die Erfindung ist gemäß Anspruch 2 in besonders nützlicher Weise ausgestaltet, da ein als Notschaltmittel ausgebildeter Notschlüssel zur Türentriegelung ein ohnehin vorgesehener Bestandteil eines Fahrzeugs mit schlüssellosem Zugang ist. Auf diese Weise können also bestehende Mittel zur Umsetzung der Erfindung verwendet werden.
-
Die Vorzüge gemäß Anspruch 3 bestehen vor allem darin, dass über einen Funkdialog mit dem aktiven Transponder eine universell umsetzbare Überprüfung erfolgt.
-
Gemäß Anspruch 4 wird auch bei dem passiven Transponder eine Überprüfung mittels einer Lesespule in vorteilhafter Weise realisiert.
-
Gemäß Anspruch 5 ist sichergestellt, dass der Test ordnungsgemäß beendet wird, wobei insbesondere sichergestellt ist, dass wiederum aktive Authentisierung vorliegt.
-
Eine besonders nützliche Ausführungsform der Wirkung verschiedener Einstellungsmittel auf die erfindungsgemäße Vorrichtung ist in Anspruch 6 angegeben.
-
Zeichnungen
-
Die Erfindung wird nachfolgend anhand der zugehörigen Zeichnungen noch näher erläutert.
-
Es zeigen:
-
1 ein schematisches Blockschaltbild einer Vorrichtung zur sicheren Signalerzeugung nach einem Ausführungsbeispiel der Erfindung;
-
2 ein schematisches Blockschaltbild mit einem Ablaufplan für die Überprüfung der Zugangsberechtigung mit dem aktiven Authentisierungsmittel nach einem Ausführungsbeispiel der Erfindung; und
-
3 ein schematisches Blockschaltbild mit einem Ablaufplan wie in 2 für den Test des Redundanzpfades.
-
Beschreibung der Ausführungsbeispiele
-
1 zeigt ein schematisches Blockschaltbild einer Vorrichtung zur sicheren Signalerzeugung nach einem Ausführungsbeispiel der Erfindung. Darin erzeugen die Anforderungseinheiten 10, 12 und 14 Anforderungssignale 40, 42 und 44 zum Schalten der Lasten 20, 22 und 24. Die Anforderungssignale 40, 42 und 44 werden der Überprüfungseinheit 30 zugeleitet, die aus den Anforderungssignalen 40, 42 und 44 nach Überprüfung ihrer Berechtigung Ansteuersignale 50, 52 und 54 zur Ansteuerung der Lasten 20, 22 und 24 erzeugt. Die Anforderungseinheit 12 und die zugehörige Last 22 stehen dabei der Einfachheit halber stellvertretend für eine beliebige Anzahl von weiteren Anforderungseinheiten, die jeweils Anforderungssignale zum Schalten einer zugehörigen Last an die Überprüfungseinheit richten können.
-
Die Überprüfung der Berechtigung erfolgt im normalen Betrieb über die mit einer Stromversorgung 34 verbundene aktive Authentisierungseinheit 32. Die Überprüfungseinheit 30 führt dazu beispielsweise einen kurzen Funkdialog 46 mit der aktiven Authentisierungseinheit 32, in dem die Überprüfungseinheit 30 eine Berechtigungsanfrage für die Anforderungssignale 40, 42 oder 44 an die aktive Authentisierungseinheit 32 stellt. Bei erfolgreicher Authentisierung wird ein entsprechendes Ansteuersignal 50, 52 oder 54 erzeugt, anderenfalls die Ausführung der Anforderung verweigert.
-
Um der Möglichkeit eines Ausfalls der aktiven Authentisierungseinheit 32, etwa durch einen Ausfall der Stromversorgung 34, Rechnung zu tragen, ist als Rückfalllösung eine passive Authentisierungseinheit 36 ohne eigene Stromversorgung vorgesehen. Bei Ausfall der aktiven Authentisierungseinheit 32 fragt die Überprüfungseinheit 30 die Berechtigung der Anforderungssignale anstatt bei der aktiven Authentisierungseinheit 32 bei der passiven Authentisierungseinheit 36 ab (Bezugszeichen 48).
-
Um das Schalten der Lasten 20, 22 und 24 über den Redundanzpfad über die passive Authentisierungseinheit 36 auch bei intakter aktiver Authentisierungseinheit 32 testen zu können, sind ein Notschaltmittel 16 und eine Einstellungseinheit 26 vorgesehen. Das Notschaltmittel 16 kann eine der Lasten, im Ausführungsbeispiel der 1 die Last 20, unter Umgehung der Überprüfungseinheit 30 direkt schalten (Bezugszeichen 60).
-
Das Schalten der Last 20 mit dem Notschaltmittel 16 wird durch die erste Einstellungseinheit 26 erfasst, die ein entsprechendes Signal 62 an die Überprüfungseinheit 30 weiterleitet. Nachfolgend führt die Überprüfungseinheit 30 Berechtigungsanfragen für die Anforderungssignale 42 und 44 nicht mehr über die aktive Authentisierungseinheit 32, sondern nur noch über die passive Authentisierungseinheit 36 aus.
-
In diesem Zustand kann die für den Ausfall der aktiven Authentisierungseinheit vorgesehene Redundanzfunktion des gesamten Systems durch das Schalten der erforderlichen Lasten getestet werden.
-
Zur Beendigung des Testbetriebs wird das Schalten einer weiteren vorbestimmten Last, im Ausführungsbeispiel der 1, der Last 24, durch die zweite Einstellungseinheit 28 erfasst. Die zweite Einstellungseinheit 28 übermittelt ein entsprechendes Signal 64 an die Überprüfungseinheit 30. Der Testbetrieb für den Redundanzpfad wird daraufhin beendet und die Berechtigungsüberprüfung findet nachfolgend wieder über die aktive Authentisierungseinheit 32 statt. Während die 1 zeigt, dass die weitere vorbestimmte Last nach einer Überprüfung durch die Überprüfungseinheit 30 geschaltet wird, kann ebenso vorgesehen sein, dass die weitere vorbestimmte Last ebenfalls mit dem Notschaltmittel 16 geschaltet werden muss, um den Testbetrieb zu beenden. In diesem Fall können die erste und zweite vorbestimmte Last identisch sein und die erste und zweite Einstellungseinheit 26, 28 durch eine einzige Einstellungseinheit gebildet sein.
-
Die 2 und 3 zeigen jeweils in einem schematischen Blockschaltbild einen Ablaufplan bei Betrieb eines Systems nach einem Ausführungsbeispiel der Erfindung. Die Schüsselfunktion 100 umfasst dabei einen aktiven CEG (Comfort Entry/Go) Transponder 102, einen passiven Transponder 104 ohne eigene Energieversorgung und einen mechanischen Notschlüssel 104 zum Ent- und Verriegeln des Türschlosses.
-
Die Funktionsweise des Systems bei normalem Betrieb mit einer Berechtigungsanfrage über den aktiven CEG-Transponder 102 als aktive Authentisierungseinheit ist in der 2 schematisch dargestellt.
-
Der Benutzer gibt eine Anforderung zur Türentriegelung, beispielsweise durch Ziehen des Türgriffs. Der Türgriffsensor 124 erhält den Befehl ”Öffnen” und leitet ein entsprechendes Signal 200 an das Steuergerät 130 weiter. Das Steuergerät 130 steht mit einer Sende- und Empfangseinheit 112 für Kommunikation mit dem aktiven CEG-Transponder über große Distanz in Verbindung und weist diese durch ein Signal 202 an, die Berechtigung der Öffnungsanforderung zu überprüfen. Die Sende- und Empfangseinheit 112 richtet eine Funkanfrage 204 an den aktiven CEG-Transponder 102, auf die der Transponder 102 gegebenenfalls die Berechtigung des Fahrzeugbenutzers durch ein Antwortsignal 206 bestätigt. Die erfolgreiche Authentisierung wird von der Sende- und Empfangseinheit 112 als Signal 208 an das Steuergerät 130 weitergeleitet, das als Antwort ein Ansteuersignal 210 an den Türschlossaktuator 122 zum Entriegeln der Türe übermittelt.
-
Gibt der Fahrzeugbenutzer eine Startanforderung durch Betätigung des Startknopfes 114, so wird ein entsprechendes Anforderungssignal 212 erzeugt und an das Steuergerät 130 geleitet. Analog zum oben beschriebenen Fall weist das Steuergerät 130 die Sende- und Empfangseinheit 112 durch ein Signal 214 an, die Berechtigung für die Startanforderung zu überprüfen. Die Sende- und Empfangseinheit 112 richtet wieder eine Funkanfrage 216 an den aktiven CEG-Transponder 102, auf die der Transponder 102 die Berechtigung des Fahrzeugbenutzers durch ein Antwortsignal 218 bestätigt. Die erfolgreiche Authentisierung wird von der Sende- und Empfangseinheit 112 als Signal 220 an das Steuergerät 130 weitergeleitet, das als Antwort ein Ansteuersignal 222 an die Steuerung 110 von Zündung und Motorstart richtet.
-
In gleicher Weise kann durch Betätigung des Verriegelungstasters 126 eine Anforderung zur Türverriegelung gesendet werden, wobei die Türe nach erfolgreicher Authentisierung verriegelt wird.
-
3 zeigt schematisch die Funktionsweise des Systems beim Testbetrieb des Redundanzpfades. Der Redundanzpfad kann durch das Entriegeln einer Türe, die komplette Bedienung des Fahrzeugs von der Entriegelung der Lenkungsverriegelung bis zum Starten und Stoppen des Motors und die Verriegelung der Türe ohne Verwendung des aktiven CEG-Transponders 102 getestet werden. Ebenfalls ist es möglich, den Redundanzpfad beispielsweise ausschließlich durch die Entriegelung einer Türe mit dem mechanischen Schlüssel und die Durchführung einer gültigen Transponderkomunikation zu überprüfen.
-
Zum Start des Testbetriebes entriegelt der Fahrzeugbenutzer die Türe mit dem mechanischen Notschlüssel 106 ohne die Authentisierung auszulösen (Bezugszeichen 300). Der Zustand 120 des Türschlosses (verriegelt/entriegelt) wird erfasst und die Öffnung mit dem Notschlüssel 106 als Signal 302 an das Steuergerät 130 geleitet. Im Steuergerät 130 wird daraufhin die Berechtigungsabfrage für künftige Anforderungen auf den passiven Transponder 104 umgestellt.
-
Erfolgt nun eine Startanforderung 304 durch Betätigung des Startknopfes 114 durch den Fahrzeugbenutzer, so weist das Steuergerät 130 nicht die Sende- und Empfangseinheit 112 sondern eine bidirektionale Lesespule 116 für den passiven Transponder an, die Berechtigung über den passiven Transponder 104 abzufragen (Bezugszeichen 306). Der Lesezugriff auf den passiven Transponder 104 ist in der 3 durch die Bezugszeichen 308 und die 310 dargestellt. Eine erfolgreiche Authentisierung wird von der Lesespule 116 als Signal 312 an das Steuergerät 130 weitergeleitet, das als Antwort ein Ansteuersignal 314 an die Steuerung 110 von Zündung und Motorstart richtet.
-
In analoger Weise können nun weitere Lasten, die für den Fahrzeugbetrieb notwendig sind, ohne Zugriff auf den CEG-Transponder 106 geschaltet werden. Beendet wird der Testbetrieb des Redundanzpfades durch das Verriegeln der Türe mit dem Notschlüssel 106 (Bezugszeichen 320). Die Verriegelung der Türe mit dem Notschlüssel wird als Signal 322 an das Steuergerät 130 geleitet, das daraufhin den Testbetrieb beendet und die Berechtigungsabfrage für künftige Anforderungen wieder auf den aktiven CEG-Transponder 102 umstellt.
-
Bei herkömmlichen Lösungen ist der Benutzer des Fahrzeugs unter normalen Umständen nicht in der Lage ist, zu testen, ob die Redundanzfunktionen seines Schlüssels korrekt funktionieren. Es ist ihm lediglich möglich, den mechanischen Notschlüssel 106 zu testen, indem er damit das Türschloss ent- und verriegelt. Eine Betätigung der Bedieneinrichtungen im Fahrzeug führt jedoch zu einer Kommunikation mit dem aktiven Authentikationsgeber 102.
-
Gemäß der Erfindung wird die Kommunikation mit dem Authentikationsgeber unterdrückt, wenn das Fahrzeug beispielsweise ohne Verwendung des Authentikationsgebers geöffnet wurde. Damit erhält der Benutzer die Möglichkeit, die übrigen Funktionen, die beispielsweise durch das Auslesen des passiven Transponders 104 freigeschaltet werden, ebenfalls zu testen.
-
Während die Erfindung insbesondere mit Bezug auf einige bevorzugte Ausführungsbeispiele gezeigt und beschrieben worden ist, versteht sich für den Fachmann, dass Änderungen in Gestalt und Einzelheiten gemacht werden können, ohne von dem Gedanken und Umfang der Erfindung abzuweichen. Dementsprechend soll die Offenbarung der vorliegenden Erfindung nicht einschränkend sein. Statt dessen soll die Offenbarung der vorliegenden Erfindung den Umfang der Erfindung veranschaulichen, der in den nachfolgenden Ansprüchen dargelegt ist.
-
Die vorhergehende Beschreibung der Ausführungsbeispiele gemäß der vorliegenden Erfindung dient nur zu illustrativen Zwecken und nicht zum Zwecke der Beschränkung der Erfindung. Im Rahmen der Erfindung sind verschiedene Änderungen und Modifikationen möglich, ohne den Umfang der Erfindung sowie ihre Äquivalente zu verlassen.