EP3931060A1 - Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems - Google Patents
Sicherheitssystem und verfahren zum betreiben eines sicherheitssystemsInfo
- Publication number
- EP3931060A1 EP3931060A1 EP20704505.5A EP20704505A EP3931060A1 EP 3931060 A1 EP3931060 A1 EP 3931060A1 EP 20704505 A EP20704505 A EP 20704505A EP 3931060 A1 EP3931060 A1 EP 3931060A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- information
- channels
- data
- security system
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L3/00—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
- B60L3/0092—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L3/00—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
- B60L3/0023—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
- B60L3/0038—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to sensors
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L3/00—Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
- B60L3/0023—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
- B60L3/0084—Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to control modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L2260/00—Operating Modes
- B60L2260/20—Drive modes; Transition between modes
- B60L2260/32—Auto pilot mode
Definitions
- the invention relates to a method for operating a security system.
- the invention also relates to a security system.
- the invention also relates to a use of a security system.
- the invention also relates to a computer program product.
- Modern security systems especially for automation systems of mobile and especially automotive applications, require real-time capable, redundant data streams.
- 3D models are continuously synchronized with the real environment using complex sensors such as ⁇ DAR and radar sensors, etc.
- a time delay of approx. 100 ms means at a speed of approx. 100 km / h over 3 m deviation in the model from reality. This means more than the width of a street and can already cause a collision with oncoming traffic in a curve.
- the data streams mentioned In order to discover electronic errors and also to control and correct these errors or to ensure switching to redundant functions, the data streams mentioned must be synchronized so that a timely comparison can take place in the data streams.
- a function is also a chain of various sub-functions that produce intermediate results that then form the basis for further processing. If the interim results are not available in good time or if incorrect information is processed further, massive system errors can result, which can endanger people in safety-relevant systems. Particularly when data is recorded (e.g. by sensors), this data must be checked for correctness and timeliness before it is passed on for processing. Processing with different algorithms also requires a time and content check before an actuator is controlled with the corresponding information.
- DE 100 32 216 A1 discloses a safety system in a motor vehicle and a method in which a main computer controls and diagnoses the sensor and configuration inputs.
- the object is achieved according to a first aspect with a method for operating a security system, comprising the steps:
- the proposed method does not require any complex actions such as idle modes, synchronization steps, etc., as provided in preemptive real-time systems.
- the information can be compared in an advantageous manner at other times at which it was generated.
- the computing capacities of the channels can be used to advantage in the best possible way.
- the object is achieved with a security system, having: two computer devices for the independent generation of information from supplied data in at least two channels, with an associated test key being generated from the information from the at least two channels; and
- test device to which the information from the at least two channels can be fed;
- the information of the at least two channels can be made usable in a defined manner depending on the comparison by means of the test device.
- An advantageous development of the method provides that the generation of the information from the data and the generation of the test key from the information are carried out at defined times. As a result, a multi-stage method is provided which checks the information at different times.
- Another advantageous development of the method provides that in the event of an error in one channel, the information from the other channel is used.
- a security level of the security system is advantageously increased in this way.
- test device uses at least one defined criterion to decide which information can be discarded from which channel. This makes it possible to decide when information is used or when it is discarded as invalid.
- Another advantageous development of the method provides that the information is sent to a vehicle via wireless communication.
- An application is advantageously supported in which, for example, instructions are sent to an automated vehicle (for example in a parking garage) using WiFi.
- Another advantageous development of the method provides that the data are provided by a sensor device. This enables applications of the method that process the sensor data in real time as far as possible.
- Disclosed method features result analogously from corresponding disclosed device features and vice versa. This means in particular that features, technical advantages and statements relating to the method result in an analogous manner from corresponding statements, features and advantages relating to the security system, and vice versa.
- Fig. 1 is a block diagram of a first embodiment of a proposed security system
- Fig. 2 is a block diagram of a further embodiment of a proposed security system.
- Fig. 3 is an illustration of a proposed method for operating ben a security system.
- automated vehicle is used synonymously in the meanings fully automated vehicle, partially automated vehicle, fully autonomous vehicle and partially autonomous vehicle.
- a core idea of the invention is the provision of a monitoring architecture, which in several levels different temporal aspects in a re- redundant safety system is guaranteed without reducing the performance of the redundant system.
- FIG. 1 shows a basic block diagram of a first embodiment of a proposed security system 100.
- One recognizes a first computer device 10 with a first information device 11a to which data D is supplied by a sensor device 1.
- Information 11 is generated from the data D by means of the information device 11a.
- the information 11 is fed to a first encryption device 12a, from which it generates a first verification key S1.
- the security system 100 also has a second computer device 20 to which the data D of the sensor device 1 are also fed. Using a second information device 21a, information 11 is generated from the data D, which information 11 is fed to a second encryption device 22a, from which the second encryption device 22a generates a second test key S2.
- test device 30 which is preferably designed as a safety PLC. It is thus possible for the test device 30 to compare the information 11 independently of the time at which the information 11 was generated by means of the information devices 11a, 12a and to compare them according to defined criteria, e.g. to check for correctness and / or plausibility.
- the two computer devices 10, 20, which may be designed physically differently, can use their respective optimal resources to provide the information 11 without, for example, hindering or using idle, synchronization and security mechanisms to meet real-time requirements. to be slowed down.
- An optimal use the computing power of the two computer devices 10, 20 is advantageously supported in this way.
- the testing device 30 can issue an instruction wirelessly or wired to a downstream device (for example a switching device, not shown) which contain instructions for an automated vehicle (not shown).
- a downstream device for example a switching device, not shown
- an automated vehicle not shown
- the security system 100 provides a redundant signal chain in two channels with time monitoring.
- Fig. 2 shows a block diagram of a second embodiment of the pre-suppression genes security system 100. It can be seen several times t0 ... tn, to de NEN the information li ... l n defined processed from the data D, and to which associated test key S1 .. . Sn from the information li ... l n are generated. Provision is made here to determine the first test key S1 at time to, for example after the sensor data acquisition, a second test key S2 at time h after a logical processing of algorithms and a third test key S3 at time t2 after calculating the actuator variables.
- test device 30 checks whether the respective intermediate status data or information has arrived at the test point, ie at the test device 30, correctly and in good time. If this is the case in each of the two redundant channels, the data stream is reported by the testing device 30 as correct in terms of time and content.
- the number of times shown and the work carried out at these times operations are only exempla driven and that in practice, other, more time can be provided points, in particular essential to which other information li ... l n processed from the data D and corresponding test key generated.
- the data need not necessarily come from a sensor device 1, but can be provided by other devices. Since the data streams in the two channels of the security system 100 are usually at different speeds due to the different computer devices 10, 20, the information from the “guard” in the form of the test device 30 is only available when the redundant data stream also has its test key has reported. Since the test device 30 only tests the test keys S1 ... Sn, the test can advantageously be carried out very quickly. As long as the check is positive, the first data stream of the first channel, for example, can always be used to be processed in the next level. The risk, however, is that the checking device 30 detects an error and has to discard the information in the further processing chain.
- the faulty data stream is blocked before the last functional element, which generally means the activation of the actuator (not shown). However, it only switches off the faulty data stream on the actuator and not the data stream recognized as correct, so there may be a delay in the data stream, but this only relates to the time that the second data stream lags behind the faulty one. With homogeneous redundancy, the times are generally very short.
- the mentioned components of the security system 100 can e.g. be functionally connected to one another via a suitable network connection (e.g. Ethernet).
- a suitable network connection e.g. Ethernet
- a major advantage of the proposed solution is the significantly reduced effort involved in synchronizing the data stream, which increases the performance ability of the proposed safety system 100 approximately reaches values of a non-safety-relevant system in a single-channel implementation.
- the redundancy does not require a second, independent software development, since the nominal function of providing information from the data D can be implemented identically in both paths.
- Another advantage of the proposed method is that errors only lead to a failure of one channel, the time delay can be viewed as low with homogeneous relevance.
- Fig. 3 shows a basic sequence of an embodiment of the proposed method.
- a step 200 data D is supplied to at least two channels.
- a step 210 information li ... l n is generated from the data D in the at least two channels.
- a test key S1... Sn is generated from the information I in the at least two channels.
- a step 230 the information li ... l n and the test key S1 ... Sn of the two channels are supplied to a test device 30.
- the information is used in a defined manner as a function of the comparison of the test keys S1... Sn.
- the proposed method can advantageously be used in a security system for automated parking and / or in an urban environment.
- the proposed method can advantageously be implemented in the form of a software program with suitable program code means which runs on the security system 100 with its components. A simple adaptability of the method is possible in this way.
- the person skilled in the art will modify the features of the invention in a suitable manner and / or combine them with one another without departing from the essence of the invention.
- the number of channels in the security system is also greater than two.
Landscapes
- Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Sustainable Development (AREA)
- Sustainable Energy (AREA)
- Power Engineering (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Selective Calling Equipment (AREA)
- Alarm Systems (AREA)
- Traffic Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
- Control Of Driving Devices And Active Controlling Of Vehicle (AREA)
- Detection And Prevention Of Errors In Transmission (AREA)
Abstract
Zuführen von Daten (D) an wenigstens zwei Kanäle; Generieren von Informationen (l1... ln) aus den Daten (D) in den wenigstens zwei Kanälen; Generieren eines Prüfschlüssels (S1...Sn) aus den Informationen (I) in den wenigstens zwei Kanälen; Zuführen der Informationen (l1... ln) und der Prüfschlüssel (S1...Sn) der beiden Kanäle an eine Prüfeinrichtung (30); und Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel (S1... Sn).
Description
Beschreibung
Titel
Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitssystems. Die Erfindung betrifft ferner ein Sicherheitssystem. Die Erfindung betrifft ferner eine Verwendung eines Sicherheitssystems. Die Erfindung betrifft ferner ein Compu terprogrammprodukt.
Stand der Technik
Moderne Sicherheitssysteme, insbesondere für Automatisierungssysteme von mobilen und insbesondere automobilen Anwendungen erfordern echtzeitfähige, redundante Datenströme. Neben der Auswertung von Videodaten werden 3D- Modelle kontinuierlich zeitsynchron durch komplexe Sensoren, wie zum Beispiel □DAR-, Radarsensoren, usw. mit der realen Umgebung abgeglichen. Ein Zeit verzug von ca. 100ms bedeutet bei einer Geschwindigkeit von ca. 100 km/h über 3m Abweichung im Modell von der Realität. Dies bedeutet mehr als eine Stra ßenbreite und kann in einer Kurve bereits eine Kollision mit dem Gegenverkehr verursachen.
Um Elektronikfehler zu entdecken und auch um diese Fehler zu beherrschen, zu korrigieren oder das Umschalten auf redundante Funktionen sicherzustellen, müssen die genannten Datenströme synchronisiert werden, damit ein rechtzeiti ger Vergleich in den Datenströmen stattfinden kann.
Bei einer konventionellen Synchronisierung wird ein Datenstrom angehalten und erst, wenn sich der zweite Datenstrom auf demselben Synchronisierungspunkt befindet, können die Daten verglichen werden.
Dies kann nachteilig zu einer erheblichen Reduzierung von Geschwindigkeit füh ren, mit der diese Daten verarbeitet werden.
Weiterhin gibt es erhebliche Anforderungen an Performance, wenn in kurzer Zeit sehr große Datenmengen miteinander verglichen werden sollen, wobei auch der Vergleich selbst erhebliche Zeit in Anspruch nimmt, die die Leistungsfähigkeit des Gesamtsystems beträchtlich reduzieren kann.
Im Allgemeinen ist eine Funktion auch eine Kette von verschiedenartigen Teil funktionen, die Zwischenergebnisse produzieren, die dann die Basis für eine wei tere Verarbeitung bilden. Liegen die Zwischenergebnisse nicht rechtzeitig vor oder werden gar Falschinformationen weiter verarbeitet, können daraus massive Systemfehler resultieren, die bei sicherheitsrelevanten Systemen zu einer Ge fährdung von Personen führen können. Insbesondere bei der Erfassung von Da ten (z.B. durch Sensoren) müssen diese Daten auf Korrektheit und Rechtzeitig keit geprüft werden, bevor diese zur Verarbeitung weitergegeben werden. Die Verarbeitung mit unterschiedlichen Algorithmen bedarf ebenfalls einer zeitlichen und inhaltlichen Prüfung, bevor ein Aktuator mit den entsprechenden Informatio nen angesteuert wird.
Weiterhin ist es bei einem redundanten Sicherheitssystem wichtig, dass beim Ausfall eines Kanals der zweite Kanal rechtzeitig die Aufgabe des ausgefallenen Kanals übernehmen kann, sodass die Sicherheitsfunktion ohne Unterbrechung weiter gewährleistet ist.
Insbesondere beim automatisierten Fahren ist es wesentlich, die sicherheitsrele vanten Funktionen auch fehlertolerant auszulegen, sodass die elektronische Funktion auch im Fehlerfall verfügbar ist. Hier hat die Redundanz eine doppelte Funktion, nämlich die Fehlerentdeckung und die Erhöhung der Verfügbarkeit der Funktion. Insbesondere bei Brems- und Lenksystemen ist dies während der Fahrt ein besonderes Risiko, weil das Fahrzeug plötzlich nicht mehr brems- bzw. lenkbar wird.
DE 100 32 216 A1 offenbart ein Sicherheitssystem in einem Kraftfahrzeug und ein Verfahren, bei dem ein Hauptrechner die Sensor- und Konfigurationseingän ge steuert und diagnostiziert.
DE 10 2008 008 555 B4 offenbart ein Verfahren zum Minimieren von Gefahrensi tuationen bei Fahrzeugen.
Offenbarung der Erfindung
Es ist eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren zum Betreiben eines Sicherheitssystems bereitzustellen.
Die Aufgabe wird gemäß einem ersten Aspekt gelöst mit einem Verfahren zum Betreiben eines Sicherheitssystems, aufweisend die Schritte:
Zuführen von Daten an wenigstens zwei Kanäle;
Generieren von Informationen aus den Daten in den wenigstens zwei Kanälen;
Generieren eines Prüfschlüssels aus den Informationen in den wenigs tens zwei Kanälen;
Zuführen der Informationen und der Prüfschlüssel der beiden Kanäle an eine Prüfeinrichtung; und
Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel.
Auf diese Weise wird ein Verfahren zum Betreiben eines Sicherheitssystems be reitgestellt, welches insbesondere in Echtzeit-Anwendungen sinnvoll ist. Vorteil haft sind bei dem vorgeschlagenen Verfahren keine aufwendigen Aktionen wie zum Beispiel Idle-Modi, Synchronisierungsschritte, usw., wie sie in präemptiven Echtzeitsystemen vorgesehen sind, erforderlich. Im Ergebnis können dadurch die Informationen in vorteilhafter Weise zu anderen Zeitpunkten verglichen werden, zu denen sie generiert wurden. Dadurch können die Rechenkapazitäten der bei den Kanäle vorteilhaft bestmöglich genutzt werden.
Gemäß einem zweiten Aspekt wird die Aufgabe gelöst mit einem Sicherheitssys tem, aufweisend:
zwei Rechnereinrichtungen zum unabhängigen Generieren von Informa tionen aus zugeführten Daten in wenigstens zwei Kanälen, wobei aus den Informationen der wenigstens zwei Kanäle ein dazugehöriger Prüf schlüssel generiert wird; und
eine Prüfeinrichtung, an die die Informationen der wenigstens zwei Kanä le zuführbar sind; wobei
mittels der Prüfeinrichtung die Informationen der wenigstens zwei Kanäle in Abhängigkeit vom Vergleich definiert verwendbar gemacht werden.
Vorteilhafte Weiterbildungen des Verfahrens sind Gegenstand von abhängigen Ansprüchen.
Eine vorteilhafte Weiterbildung des Verfahrens sieht vor, dass das Generieren der Informationen aus den Daten und das Generieren der Prüfschlüssel aus den Informationen zu definierten Zeitpunkten durchgeführt werden. Dadurch wird vor teilhaft ein mehrstufiges Verfahren bereitgestellt, welches die Informationen zu unterschiedlichen Zeitpunkten überprüft.
Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass im Falle eines Fehlers eines Kanals die Informationen des anderen Kanals genutzt wer den. Ein Sicherheitsniveau des Sicherheitssystems ist auf diese Weise vorteilhaft erhöht.
Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Prüf einrichtung anhand wenigstens eines definierten Kriteriums entscheidet, welche Informationen aus welchem Kanal verworfen werden können. Dadurch kann vor teilhaft entschieden, wann Informationen genutzt bzw. als ungültig verworfen werden.
Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Infor mationen per Drahtloskommunikation an ein Fahrzeug gesendet werden. Vorteil haft ist dabei eine Anwendung unterstützt, bei der zum Beispiel mittels WiFi In struktionen an ein automatisiertes Fahrzeug (zum Beispiel in einem Parkhaus) gesendet werden.
Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass die Daten von einer Sensoreinrichtung bereitgestellt werden. Auf diese Weise sind Anwen dungen des Verfahrens ermöglicht, die Sensordaten möglichst in Echtzeit verar beiten.
Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von mehreren Figuren detailliert beschrieben. Die Figuren sind vor allem dazu gedacht, die erfindungswesentlichen Prinzipien zu verdeutlichen.
Offenbarte Verfahrensmerkmale ergeben sich analog aus entsprechenden offen barten Vorrichtungsmerkmalen und umgekehrt. Dies bedeutet insbesondere, dass sich Merkmale, technische Vorteile und Ausführungen betreffend das Ver fahren in analoger Weise aus entsprechenden Ausführungen, Merkmalen und Vorteilen betreffend das Sicherheitssystem ergeben und umgekehrt.
In den Figuren zeigt:
Fig. 1 ein Blockschaltbild einer ersten Ausführungsform eines vorge schlagenen Sicherheitssystems;
Fig. 2 ein Blockschaltbild einer weiteren Ausführungsform eines vorge schlagenen Sicherheitssystems; und
Fig. 3 eine Darstellung eines vorgeschlagenen Verfahrens zum Betrei ben eines Sicherheitssystems.
Beschreibung von Ausführungsformen
Im Folgenden wird der Begriff„automatisiertes Fahrzeug“ synonym in den Be deutungen vollautomatisiertes Fahrzeug, teilautomatisiertes Fahrzeug, vollauto nomes Fahrzeug und teilautonomes Fahrzeug verwendet.
Ein Kerngedanke der Erfindung ist die Bereitstellung einer Überwachungsarchi tektur, die in mehreren Ebenen unterschiedliche zeitliche Aspekte in einem re-
dundanten Sicherheitssystem gewährleistet, ohne dass die Leistungsfähigkeit des redundanten Systems reduziert wird.
Erreicht wird mit der Erfindung vorteilhaft, den redundanten Datenstrom mit ma ximaler Leistung durch die beiden Kanäle zu leiten. Hierbei werden in einem pa rallelen Pfad Dateninhalte und bestimmte Sicherheitsschlüssel aus dem System abgegriffen.
Fig. 1 zeigt ein prinzipielles Blockschaltbild einer ersten Ausführungsform eines vorgeschlagenen Sicherheitssystems 100. Man erkennt eine erste Rechnerein richtung 10 mit einer ersten Informationseinrichtung 11a, an die von einer Sen soreinrichtung 1 Daten D zugeführt werden. Aus den Daten D werden mittels der Informationseinrichtung 11a Informationen 11 generiert. Die Informationen 11 werden einer ersten Verschlüsselungseinrichtung 12a zugeführt, aus der diese einen ersten Prüfschlüssel S1 generiert.
Ferner weist das Sicherheitssystem 100 eine zweite Rechnereinrichtung 20 auf, der ebenfalls die Daten D der Sensoreinrichtung 1 zugeführt werden. Mittels ei ner zweiten Informationseinrichtung 21a werden aus den Daten D Informationen 11 generiert, die einer zweiten Verschlüsselungseinrichtung 22a zugeführt wer den, aus denen die zweite Verschlüsselungseinrichtung 22a einen zweiten Prüf schlüssel S2 generiert.
Die Informationen 11 und die Prüfschlüssel S1 , S2 werden einer Prüfeinrichtung 30, die vorzugsweise als eine Sicherheits-SPS ausgebildet ist, zugeführt. Somit ist es für die Prüfeinrichtung 30 möglich, die Informationen 11 unabhängig vom Zeitpunkt der Generierung der Informationen 11 mittels der Informationseinrich tungen 11a, 12a zu vergleichen und nach definierten Kriterien, z.B. auf Korrekt heit und/oder Plausibilität zu prüfen.
Im Ergebnis können die beiden Rechnereinrichtungen 10, 20, die unter Umstän den physikalisch unterschiedlich ausgebildet sind, ihre jeweils optimalen Res sourcen zur Bereitstellung der Informationen 11 nutzen, ohne z.B. zur Erfüllung von Echtzeitanforderungen durch Idle-, Synchronisierung-, und Sicherheitsme chanismen behindert bzw. verlangsamt zu werden. Eine optimale Ausnutzung
der Rechenleistung der beiden Rechnereinrichtungen 10, 20 ist auf diese Weise vorteilhaft unterstützt.
In Abhängigkeit vom Resultat des Vergleichs bzw. der Prüfung kann die Prüfein richtung 30 eine Instruktion drahtlos oder drahtgebunden an eine nachgeordnete Einrichtung (beispielsweise eine Schalteinrichtung, nicht dargestellt) abgeben, die Instruktionen für ein automatisiertes Fahrzeug (nicht dargestellt) enthalten.
Im Ergebnis wird dadurch mit dem Sicherheitssystem 100 eine redundante Sig nalkette in zwei Kanälen mit Zeitüberwachung bereitgestellt.
Fig. 2 zeigt ein Blockschaltbild einer zweiten Ausführungsform des vorgeschla genen Sicherheitssystems 100. Man erkennt mehrere Zeitpunkte t0...tn, zu de nen die Informationen li ... ln definiert aus den Daten D aufbereitet und zu denen zugeordnete Prüfschlüssel S1... Sn aus den Informationen li ... ln generiert wer den. Dabei ist vorgesehen, den ersten Prüfschlüssel S1 zum Zeitpunkt to zum Beispiel nach der Sensordatenerfassung, einen zweiten Prüfschlüssel S2 zum Zeitpunkt h nach einer logischen Verarbeitung von Algorithmen und einen dritten Prüfschlüssel S3 zum Zeitpunkt t2 nach einer Berechnung der Aktuatorvariablen zu ermitteln. Dadurch ergeben sich durch die genannten Zeitpunkte drei Zeitfens ter, bei denen von der Prüfeinrichtung 30 geprüft wird, ob die jeweiligen Zwi- schenstands-Daten bzw. -Informationen inhaltlich korrekt und rechtzeitig am Prüfpunkt, d.h. an der Prüfeinrichtung 30 angekommen sind. Ist das jeweils in den beiden redundanten Kanälen der Fall, so wird der Datenstrom durch die Prü feinrichtung 30 als zeitlich und inhaltlich korrekt weiter gemeldet.
Es versteht sich natürlich von selbst, dass die Anzahl der gezeigten Zeitpunkte und die zu diesen Zeitpunkten durchgeführten Operationen lediglich exempla risch sind und dass in der Praxis andere, insbesondere wesentlich mehr Zeit punkte vorgesehen sein können, zu denen andere Informationen li ... ln aus den Daten D aufbereitet und entsprechende Prüfschlüssel generiert werden. Ebenso denkbar ist, dass die Daten nicht unbedingt von einer Sensoreinrichtung 1 stam men müssen, sondern von anderen Einrichtungen bereitgestellt werden können.
Da die Datenströme in den beiden Kanälen des Sicherheitssystems 100 auf grund der unterschiedlichen Rechnereinrichtungen 10, 20 in der Regel unter schiedlich schnell sind, wird die Information des„Wächters“ in Form der Prüfein richtung 30 erst anliegen, wenn der redundante Datenstrom auch seinen Prüf schlüssel gemeldet hat. Da die Prüfeinrichtung 30 aber lediglich die Prüfschlüssel S1... Sn prüft, kann die Prüfung vorteilhaft sehr schnell durchgeführt werden. Solange die Prüfung positiv ist, kann z.B. immer der erste Datenstrom des ersten Kanals genutzt werden, um in der nächsten Ebene verarbeitet zu werden. Das Risiko besteht jedoch darin, dass die Prüfeinrichtung 30 einen Fehler feststellt und die Information in der weiteren Bearbeitungskette verwerfen muss.
Es reicht jedoch aus, wenn die Sperrung des fehlerhaften Datenstroms vor dem letzten Funktionselement geschieht, was im Allgemeinen die Ansteuerung des Aktuators (nicht dargestellt) bedeutet. Er schaltet aber am Aktuator nur den feh lerhaften Datenstrom ab und nicht den als korrekt erkannten Datenstrom, somit tritt zwar eine mögliche Verzögerung im Datenstrom auf, die sich aber nur auf die Zeit bezieht, die der zweite Datenstrom dem fehlerhaften hinterhereilt. Bei einer homogenen Redundanz sind die Zeiten im Allgemeinen sehr gering.
Da zeitlich gesehen die Zwischenschritte zum Beispiel nach der Erfassung, nach der Logikverarbeitung und nach der Ansteuerung des Aktuators variieren, liegt die zeitliche Summe oftmals über der geforderten Zeit für die gesamte Kette, da die worst-case-Situation sehr selten eintritt, gleichen sich die Zeiten in den Un terabschnitten meistens aus. Somit muss sicherheitstechnisch nur die Zeit zwi schen der Erfassung der Daten D in der Sensoreinrichtung 1 und der entspre chenden Reaktion im Aktuator gemessen werden. Solange diese für einen fehler freien Kanal unter der geforderten Zeitgrenze liegt, gilt die Sicherheitsreaktion als hinreichend und damit als sicherheitstechnisch„rechtzeitig“.
Die genannten Komponenten des Sicherheitssystems 100 können z.B. über eine geeignete Netzwerkverbindung (z.B. Ethernet) funktional miteinander verbunden sein.
Ein wesentlicher Vorteil der vorgeschlagenen Lösung ist ein erheblich reduzierter Aufwand bei der Synchronisierung des Datenstroms, wodurch die Leistungsfä-
higkeit des vorgeschlagenen Sicherheitssystems 100 annähernd Werte eines nicht-sicherheitsrelevanten Systems in einer einkanaligen Realisierung erreicht. Die Redundanz erfordert keine zweite unabhängige Softwareentwicklung, da, da in beiden Pfaden die Nominalfunktion der Informationsbereitstellung aus den Da ten D jeweils identisch implementiert werden kann. Demgegenüber steht nur die Implementierung entsprechender Monitore bzw. Verschlüsselungseinrichtungen, die die notwendigen Prüfschlüssel S1... Sn zur Überprüfung auf Korrektheit der Informationen zu den Zeitpunkten to...tn generieren.
Ein weiterer Vorteil des vorgeschlagenen Verfahrens besteht darin, dass Fehler nur zu einem Ausfall eines Kanals führen, wobei die zeitliche Verzögerung bei homogener Relevanz als gering angesehen werden kann.
Fig. 3 zeigt einen prinzipiellen Ablauf einer Ausführungsform des vorgeschlage nen Verfahrens.
In einem Schritt 200 wird ein Zuführen von Daten D an wenigstens zwei Kanäle durchgeführt.
In einem Schritt 210 wird ein Generieren von Informationen li ... ln aus den Daten D in den wenigstens zwei Kanälen durchgeführt.
In einem Schritt 220 wird ein Generieren eines Prüfschlüssels S1... Sn aus den Informationen I in den wenigstens zwei Kanälen durchgeführt.
In einem Schritt 230 wird Zuführen der Informationen li ... ln und der Prüfschlüssel S1... Sn der beiden Kanäle an eine Prüfeinrichtung 30.
Schließlich wird in einem Schritt 240 ein definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel S1...Sn durchgeführt.
Vorteilhaft lässt sich das vorgeschlagene Verfahrens in einem Sicherheitssystem beim automatisierten Parken und/oder im urbanen Umfeld anwenden.
Vorteilhaft kann das vorgeschlagene Verfahren in Form eines Softwarepro gramms mit geeigneten Programmcodemitteln realisiert werden, das auf dem Si cherheitssystem 100 mit dessen Komponenten abläuft. Eine einfache Adaptier- barkeit des Verfahrens ist auf diese Weise möglich.
Der Fachmann wird die Merkmale der Erfindung in geeigneter Weise abändern und/oder miteinander kombinieren, ohne vom Kern der Erfindung abzuweichen. Beispielsweise kann vorgesehen sein, dass die Anzahl der Kanäle des Sicher heitssystems auch größer als zwei ist.
Claims
1. Verfahren zum Betreiben eines Sicherheitssystems (100), aufweisend die Schritte:
Zuführen von Daten (D) an wenigstens zwei Kanäle;
Generieren von Informationen (h ... ln) aus den Daten (D) in den wenigs tens zwei Kanälen;
Generieren eines Prüfschlüssels (S1...Sn) aus den Informationen (I) in den wenigstens zwei Kanälen;
Zuführen der Informationen (h ... ln) und der Prüfschlüssel (S1... Sn) der beiden Kanäle an eine Prüfeinrichtung (30); und
Definiertes Verwenden der Informationen in Abhängigkeit vom Vergleich der Prüfschlüssel (S1... Sn).
2. Verfahren nach Anspruch 1 , wobei das Generieren der Informationen (h ... ln) aus den Daten (D) und das Generieren der Prüfschlüssel (S1... Sn) aus den Informationen (h ... ln) zu definierten Zeitpunkten (to...tn) durchgeführt werden.
3. Verfahren nach Anspruch 1 oder 2, wobei im Falle eines Fehlers eines Ka nals die Informationen (h ... ln) des anderen Kanals genutzt werden.
4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Prüfein richtung (30) anhand wenigstens eines definierten Kriteriums entscheidet, welche Informationen (h ... ln) aus welchem Kanal verworfen werden können.
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Informati onen (h ... In) per Drahtloskommunikation an ein Fahrzeug gesendet werden.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Daten (D) von einer Sensoreinrichtung (1) bereitgestellt werden.
7. Verwendung eines Verfahrens nach einem der vorhergehenden Ansprüche beim automatisierten Parken und/oder im urbanen Umfeld.
8. Sicherheitssystem (100), aufweisend:
zwei Rechnereinrichtungen (10, 20) zum unabhängigen Generieren von Informationen (h ... ln) aus zugeführten Daten (D) in wenigstens zwei Ka nälen, wobei aus den Informationen (h ... ln) der wenigstens zwei Kanäle ein dazugehöriger Prüfschlüssel (S1... Sn) generiert wird; und
eine Prüfeinrichtung (30), an die die Informationen (h ... ln) der wenigstens zwei Kanäle zuführbar ist; wobei
mittels der Prüfeinrichtung (30) die Informationen (h ... ln) der wenigstens zwei Kanäle in Abhängigkeit vom Vergleich definiert verwendbar ge macht werden.
9. Computerprogrammprodukt mit Programmcodemitteln eingerichtet zur
Durchführung des Verfahrens nach einem der Ansprüche 1 bis 6, wenn es auf einem Sicherheitssystem (100) abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102019202527.7A DE102019202527A1 (de) | 2019-02-25 | 2019-02-25 | Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems |
| PCT/EP2020/053092 WO2020173682A1 (de) | 2019-02-25 | 2020-02-07 | Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP3931060A1 true EP3931060A1 (de) | 2022-01-05 |
Family
ID=69528835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP20704505.5A Pending EP3931060A1 (de) | 2019-02-25 | 2020-02-07 | Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20220009353A1 (de) |
| EP (1) | EP3931060A1 (de) |
| JP (1) | JP7206410B2 (de) |
| CN (1) | CN113474230A (de) |
| DE (1) | DE102019202527A1 (de) |
| WO (1) | WO2020173682A1 (de) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102020201140A1 (de) | 2020-01-30 | 2021-08-05 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Automatisieren einer Fahrfunktion |
| CN112134729B (zh) * | 2020-09-02 | 2022-11-04 | 上海科技大学 | 一种基于分治的程序高阶功耗侧信道安全性的证明方法 |
| DE102021208459B4 (de) | 2021-08-04 | 2023-05-25 | Volkswagen Aktiengesellschaft | Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2017853C3 (de) * | 1970-04-14 | 1975-12-11 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Steuerverfahren zur Sicherung der Informationsverarbeitung und -Übertragung |
| EP0738973B1 (de) * | 1995-04-13 | 2001-06-20 | Siemens Schweiz AG | Datenübertragungsverfahren und Vorrichtung |
| JP2000092033A (ja) | 1998-09-14 | 2000-03-31 | Nec Corp | 高速データ送受信方式 |
| DE10032216A1 (de) | 2000-07-03 | 2002-01-24 | Siemens Ag | Sicherheitssystem in einem Kraftfahrzeug und Verfahren |
| JP4223909B2 (ja) * | 2003-09-24 | 2009-02-12 | 三菱電機株式会社 | 車載電子制御装置 |
| DE102008008555B4 (de) | 2007-02-21 | 2018-06-28 | Continental Teves Ag & Co. Ohg | Verfahren und Vorrichtung zum Minimieren von Gefahrensituationen bei Fahrzeugen |
| WO2012101721A1 (ja) * | 2011-01-25 | 2012-08-02 | 三洋電機株式会社 | 通信装置 |
| DE102013206661A1 (de) * | 2013-04-15 | 2014-10-16 | Robert Bosch Gmbh | Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem |
| JP6190404B2 (ja) | 2014-06-05 | 2017-08-30 | Kddi株式会社 | 受信ノード、メッセージ受信方法およびコンピュータプログラム |
| DE102015219933A1 (de) * | 2015-05-07 | 2016-11-10 | Volkswagen Aktiengesellschaft | Verfahren zur Plausibilisierung von Messwerten eines Mobilgeräts |
| US9741183B2 (en) | 2015-11-10 | 2017-08-22 | Veniam, Inc | Systems and methods for optimizing data gathering in a network of moving things |
| DE102016200964A1 (de) * | 2016-01-25 | 2017-07-27 | Siemens Aktiengesellschaft | Verfahren zur Informationsübertragung in einem Kommunikationsnetz |
| DE102016201067A1 (de) * | 2016-01-26 | 2017-07-27 | Robert Bosch Gmbh | Anordnung zur Kommunikation zwischen einem Fahrzeug und einem automatisierten Parksystem |
| JP2018157463A (ja) * | 2017-03-21 | 2018-10-04 | オムロンオートモーティブエレクトロニクス株式会社 | 車載通信システム、通信管理装置、車両制御装置 |
| WO2018211757A1 (ja) | 2017-05-15 | 2018-11-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 検証方法、検証装置およびプログラム |
| DE102017210156B4 (de) * | 2017-06-19 | 2021-07-22 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls |
| DE102017210151A1 (de) * | 2017-06-19 | 2018-12-20 | Zf Friedrichshafen Ag | Vorrichtung und Verfahren zur Ansteuerung eines Fahrzeugmoduls in Abhängigkeit eines Zustandssignals |
| JP6838211B2 (ja) | 2017-07-31 | 2021-03-03 | 日立Astemo株式会社 | 自律運転制御装置、自律移動車及び自律移動車制御システム |
| US10554397B2 (en) * | 2017-09-27 | 2020-02-04 | The Boeing Company | Quantum-based data encryption |
| CN108183779B (zh) * | 2017-12-22 | 2021-05-11 | 中国铁道科学研究院通信信号研究所 | 一种铁路信号ctc/tdcs系统的双通道冗余数据传输处理方法 |
| US10243732B1 (en) * | 2018-06-27 | 2019-03-26 | Karamba Security | Cryptographic key management for end-to-end communication security |
-
2019
- 2019-02-25 DE DE102019202527.7A patent/DE102019202527A1/de active Pending
-
2020
- 2020-02-07 EP EP20704505.5A patent/EP3931060A1/de active Pending
- 2020-02-07 US US17/414,566 patent/US20220009353A1/en active Pending
- 2020-02-07 JP JP2021549495A patent/JP7206410B2/ja active Active
- 2020-02-07 CN CN202080016551.0A patent/CN113474230A/zh active Pending
- 2020-02-07 WO PCT/EP2020/053092 patent/WO2020173682A1/de unknown
Also Published As
| Publication number | Publication date |
|---|---|
| CN113474230A (zh) | 2021-10-01 |
| DE102019202527A1 (de) | 2020-08-27 |
| US20220009353A1 (en) | 2022-01-13 |
| WO2020173682A1 (de) | 2020-09-03 |
| JP7206410B2 (ja) | 2023-01-17 |
| JP2022521938A (ja) | 2022-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3931060A1 (de) | Sicherheitssystem und verfahren zum betreiben eines sicherheitssystems | |
| EP2974156B1 (de) | Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen | |
| DE10243713B4 (de) | Redundante Steuergeräteanordnung | |
| WO2013131900A1 (de) | Verfahren zur verbesserung der funktionalen sicherheit und steigerung der verfügbarkeit eines elektronischen regelungssystems sowie ein elektronisches regelungssystem | |
| EP3211533B1 (de) | Fehlertolerante systemarchitektur zur steuerung einer physikalischen anlage, insbesondere einer maschine oder eines kraftfahrzeugs | |
| WO2014161909A1 (de) | Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz | |
| EP3661819B1 (de) | Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium | |
| DE10152235A1 (de) | Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens | |
| DE19500188B4 (de) | Schaltungsanordnung für eine Bremsanlage | |
| DE102007032805A1 (de) | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses | |
| EP4235323A2 (de) | Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem | |
| DE102008009652A1 (de) | Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor | |
| DE102005023296B4 (de) | Zugbeeinflussungssystem | |
| DE102009055044A1 (de) | Verfahren und Vorrichtung zur Unterbindung einer ungewollten Beschleunigung eines Fahrzeuges | |
| DE102013021231A1 (de) | Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät | |
| DE102010041437A1 (de) | Überprüfung von Funktionen eines Steuersystems mit Komponenten | |
| WO2023052333A1 (de) | Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug | |
| EP2449438B1 (de) | Verfahren und system zur ansteuerung von mindestens einem aktuator | |
| DE102020210876B4 (de) | Verfahren zur Gewährleistung der Integrität von Daten zur Sicherstellung der Betriebssicherheit und Fahrzeug-zu-X Vorrichtung | |
| DE102012212680A1 (de) | Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten | |
| DE102021127310B4 (de) | System und Verfahren zur Datenübertragung | |
| WO2011113405A1 (de) | Steuergeräteanordnung | |
| DE102017218898A1 (de) | Kontrollsystem für ein Batteriesystem | |
| EP3510731B1 (de) | Prüfvorrichtung und verfahren zum überprüfen eines verhaltens eines netzwerkverbundes aus steuergeräten eines kraftfahrzeugs bei fehlerhaftem und/oder manipuliertem netzwerk-datenverkehr | |
| EP4127934A1 (de) | Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: UNKNOWN |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE |
|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE |
|
| 17P | Request for examination filed |
Effective date: 20210927 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
| DAV | Request for validation of the european patent (deleted) | ||
| DAX | Request for extension of the european patent (deleted) | ||
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
| 17Q | First examination report despatched |
Effective date: 20230302 |