WO2015007673A1 - Vehicle system and method for automated control of at least one safety-relevant function of a vehicle - Google Patents

Vehicle system and method for automated control of at least one safety-relevant function of a vehicle Download PDF

Info

Publication number
WO2015007673A1
WO2015007673A1 PCT/EP2014/065012 EP2014065012W WO2015007673A1 WO 2015007673 A1 WO2015007673 A1 WO 2015007673A1 EP 2014065012 W EP2014065012 W EP 2014065012W WO 2015007673 A1 WO2015007673 A1 WO 2015007673A1
Authority
WO
WIPO (PCT)
Prior art keywords
safety
vehicle
request information
request
information
Prior art date
Application number
PCT/EP2014/065012
Other languages
German (de)
French (fr)
Inventor
Simon Schilling
Joerg Bartelt
Matthias Kuntz
Helmut Wagatha
Original Assignee
Bayerische Motoren Werke Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke Aktiengesellschaft filed Critical Bayerische Motoren Werke Aktiengesellschaft
Publication of WO2015007673A1 publication Critical patent/WO2015007673A1/en

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D15/00Steering not otherwise provided for
    • B62D15/02Steering position indicators ; Steering position determination; Steering aids
    • B62D15/027Parking aids, e.g. instruction means
    • B62D15/0285Parking performed automatically
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user

Definitions

  • the present invention relates to a vehicle system and method for the automated control of at least one safety-relevant function of a vehicle.
  • Control remote control for example by key remote control, for example, access functions such as a central locking or a trunk or
  • Comfort functions such as windows, convertible top, air conditioning or parking heater.
  • the vehicle key also contains part of the immobilizer.
  • the radio link is such
  • Remote controls against adulteration for example, secured by checksums / CRC / signatures. This can serve both the robustness and a further increase in the security of the transmission.
  • Vehicle automated outside of the vehicle for example, remotely controlled to provide, such as
  • the object of the invention is a solution for a
  • the subject of the main claim relates to a system for a vehicle, in particular a land vehicle, comprising a mobile
  • the mobile request device In this case, the mobile request device
  • the expander has a
  • the request element is set up to provide corresponding request information to the transmission module in response to a safety-relevant request from a user.
  • the authentication element is set up to provide authentication information to the transmission module
  • the sending module is configured to provide both the provided one upon provision of request information by the requesting element
  • the receiving module is set up to receive the
  • control module is set to the
  • a "motor vehicle” in the sense of the invention means an engine or turbine-driven land vehicle.
  • a land vehicle such as an automobile or two-wheeler is meant.
  • Safety-relevant in the sense of the invention means relevant to the protection against unacceptable risks to life and limb.
  • security-relevant in the sense of the invention means relevant to the access contactor, protection against
  • Invention meant a requirement for a safety-relevant function / system of a vehicle.
  • a “mobile request device” within the meaning of the invention means a device which is suitable to be operated on the move and to receive a safety-relevant request to a vehicle and forward it to this, wherein the safety-relevant requirement by the mobile
  • Request device can also be modified.
  • a mobile request device can be a remote control, for example, one in one
  • a “request element” in the sense of the invention means in a simple case a button, a switch, a button and the like, which when it is operated by a user, such as a vehicle operator, a request information in the mobile
  • the request element may also be an adjuster, knob, touch pad, and the like, which allows for more complex user requests.
  • the request information is the safety-relevant requirement itself Enable a security-relevant transmission of the request information.
  • a "Ausculvorriehtung” within the meaning of the invention means a device arranged in the vehicle, which is adapted to receive a safety-related requirement for the vehicle from a mobile request device.
  • authentication information in the sense of the invention here means information which indicates that the request information sent / received with the authentication information is authentic, and thus valid.This may be necessary, for example, if it is necessary to ensure that not every executing device in the sense of the invention of each
  • Safety-relevant request may be accepted.
  • a “module” in the sense of the invention means a part of a device, this part preferably being integrated in the corresponding device
  • a module may itself also be a corresponding device
  • a module may also be software or part of a software.
  • a “transmission module” in the sense of the invention means a module or a device which is used in the mobile
  • Request device is arranged and thereto
  • Information may also be modified, for example, to transfer the information security relevant to
  • control module in the sense of the invention means a module or a device which is set up to control a safety-relevant function, a safety-relevant device and / or a safety-relevant system on the basis of a safety-relevant requirement Safety-relevant function, the safety-relevant device and / or the safety-relevant
  • Systems can also be automated based on the safety-relevant requirement.
  • a “function” in the sense of the invention in this case means a functional part of a vehicle, for example a driving operation of a chassis and / or the placement of the wheels
  • a function can also be a complex process involving several functional parts of a vehicle
  • Vehicle which can be executed at the same time or in sequence, controlled, operated and / or regulated.
  • Automated in the sense of the invention means a controlled and / or regulated acquisition and / or intervention in a safety-relevant function of a vehicle, without that it requires to be controlled and / or regulated by instructions by a driver / operator / user.
  • the teaching according to the invention achieves the advantage that with the system according to the invention, a remote-controllable control of a safety-relevant
  • a remote control in particular a radio remote control, preferably a vehicle key or a mobile communication device and has a request element, an authentication element and a transmission module.
  • a radio remote control preferably a vehicle key or a mobile communication device and has a request element, an authentication element and a transmission module.
  • the authentication element is configured to provide authentication information
  • the transmission module is configured to provide both the provided one upon provision of request information by the request element
  • the "mobile request device” within the meaning of the invention can thus also be a remote-controlled smartphone.
  • the teaching according to the invention achieves the advantage that with the device according to the invention, a remote-controllable control of a safety-relevant
  • Requirement device must explicitly inherit safety requirements, such as those described in standards such as IEC 61508 or ISO 26262.
  • the execution device has a receiving module and a control module.
  • the executing device is adapted to be used in the vehicle.
  • the receiving module is configured to receive an authenticated request information, one in the
  • Authentication information containing authenticated request information to validate and at
  • the control module is set up to handle the
  • control module in the sense of the invention can be firmly integrated into the vehicle, but it is also conceivable that it is a module which can be subsequently integrated into the vehicle so that the vehicle can be retrofitted therewith.
  • Validation in the sense of the invention means to determine whether one in an authenticated
  • Authentication information is valid, whereby a conclusion is made possible that a request information also contained therein valid, i. neither manipulated nor falsified, and thus is genuine.
  • the teaching according to the invention achieves the advantage that with the device according to the invention, a remote-controllable control of a safety-relevant
  • a method claim relates to a method for the automated control of at least one safety-relevant function of a vehicle for a system according to the main claim, the method comprising: receiving an authenticated request information,
  • Validate the authentication information to Control Module assigns to the control module if the result of validating the
  • Authentication information is negative and a safety-relevant function of the vehicle has already been adopted: Transferring the adopted safety-relevant function to a safe state, releasing the acquired safety-relevant function, rejecting the request information. Furthermore, the method for the control module, if the result of validating the
  • Safety-relevant function of the vehicle Rejecting the request information.
  • the procedure for the control module if the result of validating the authentication information is positive: If a safety-relevant function of the vehicle is already adopted: Transferring the acquired safety-relevant function in a safe state and releasing the acquired safety-relevant Function. Furthermore, the method for the control module, regardless of whether already a safety-relevant
  • Function of the vehicle Based on the request information to determine which safety-relevant function of the vehicle is to be adopted, transferring the safety-relevant function to be transferred to a safe state, if the safety-relevant function can not be transferred to a safe state , Rejecting the execution of the request information, and if the safety-relevant function is transferred to a safe state, taking the safety-relevant function and executing the request information.
  • a "safe state” in the sense of the invention means a state with regard to the safety relevant function / system / module and thus any further associated safety-relevant
  • the safe state of the function / system / module can be, for example, an initial ground state. Does the safety-relevant requirement information relate
  • the chassis of the motor vehicle it may be a safe condition with respect to the suspension module that the vehicle is stationary and the wheels of the
  • Chassis modules are all aligned in their basic position, so for example all in alignment for a straight-ahead, the engine is stationary or in his
  • the motor vehicle is in automatic position with respect to the transmission in parking position.
  • Executing the request information in the sense of the invention can be an execution of only one safety-relevant function / system / module, but it is also possible for the execution to have several safety-relevant ones
  • Embodiment the system that the control module has a safety-relevant module.
  • the automated execution of the request information by the control module that based on the
  • the safety-relevant module is instructed to take at least one safety-relevant function of the vehicle to the
  • the control of the adopted safety-relevant function of the vehicle is transferred to the safety-relevant module.
  • the system indicates that the safety relevant function is defined as a function according to at least one safety standard from the selection of the safety standards IEC 61508, ISO 26262, a safety standard
  • Request information, the authentication information and the authenticated request information each have a complexity that is sufficiently high that they are not randomly generated with a fixed probability and are protected against tampering.
  • the specified probability results from the safety standard used for the safety-relevant standard.
  • the protection against corruption is preferably by means of a checksum method, a CRC method, a signature method, a
  • the system has the fact that the safety-relevant requirement is a parking request with respect to a forward-oriented parking process of the vehicle or a parking requirement with respect to a rear-facing parking operation of the vehicle.
  • the accepted safety-relevant function of the vehicle is in the event of a parking request, a forward
  • the autonomous driving may have steering movements of the vehicle.
  • a "forward parking operation" in the sense of the invention means a parking operation in one
  • Parking bag or parking space which is arranged in the longitudinal direction of the vehicle, wherein the vehicle moves forward in the parking bag or parking space, in particular wherein the vehicle moves without rear maneuvering in the parking bag or parking space.
  • Invention means doing a parking in one
  • Parking bag or parking space which is arranged in the longitudinal direction of the vehicle, wherein the vehicle moves backwards into the parking bag or parking space, in particular wherein the vehicle moves into the parking bag or parking space without forward maneuvering.
  • "Autonomous driving” in the sense of the invention means an autonomous driving of a vehicle without a user undertaking the driving and steering movements of the vehicle, in particular the autonomous driving of a vehicle without a driver having to be on board the vehicle.
  • This embodiment has the advantage that a forward-directed parking process of a vehicle and a rear-facing parking operation of a vehicle are each made possible automatically.
  • Parking space / parking bag can be made possible, in which the driver after parking could not or only with difficulty get out of the vehicle.
  • Parking space / parking bag can be made possible, in which the driver in the parked state of the vehicle could not or only with difficulty get out of the vehicle.
  • Embodiment the mobile request device, that the authentication element must be activated by the user, so that the authentication element provides valid authentication information as authentication information to be sent.
  • a safety-relevant request is triggered. This could otherwise be the case for example Dropping the mobile request device done or if the mobile request device
  • Rattling movements are triggered when the driver walks with the bag.
  • the authentication element can, for example, by execution in the form of a so-called
  • Requirement element would have to be triggered. It may also mean that the authentication element would have to be triggered during the entire automated safety-relevant process, or the like.
  • This embodiment has the advantage that the mobile requesting device can be secured against unintentional triggering of a safety-relevant requirement. According to another exemplary embodiment
  • the mobile request device on a stop element.
  • the stop element is set up to respond to a request from the user
  • a "stop element” in the sense of the invention is an element of the mobile request device which, when actuated, provides stop information in order to be able to stop an active safety-relevant automated process on a safety-relevant function of the vehicle Operation on the safety-relevant function of the vehicle takes place preferably directly, ie within a time that is sufficiently short in accordance with the above-mentioned safety-relevant standards.
  • the stop element may also be the authentication element or a part thereof, in particular if the authentication element has to be actuated at the safety-relevant function of the vehicle during the entire process duration of the automated process.
  • Driver / operator / operator / operator can intervene in order to stop the automated operation of the safety-relevant function of the vehicle, for example, at a detected by him, which for the system, the vehicle, the automatically controlled safety-relevant module and / or the execution device is not recognizable or not recognized.
  • Embodiment has the method that if the request information is a stop information and a safety-relevant function of the vehicle has already been adopted: Transferring the acquired safety-relevant function in a safe state, regardless of the result of validating the
  • This refinement has the advantage that in the case of receiving a stop information, the acquired safety-relevant function of the vehicle can be directly transferred to a safe state.
  • Vehicle driver / driver / operator / operator The automated process can be stopped at the safety-relevant function of the vehicle.
  • the invention thus allows safety-relevant
  • Fig. 1 is a schematic representation of a
  • Fig. 2 is a schematic representation of a
  • Fig. 3 is a schematic representation of a
  • Fig. 4 is a schematic representation of a
  • Fig. 5 is a schematic representation of a
  • Fig. 6 is a schematic representation of a
  • Fig. 7 is a schematic representation of a
  • Fig. 1 shows a schematic representation of a proposed system for a vehicle for
  • the erroneous activation of a remote-controlled safety-relevant function due to errors in the remote control transmitter must be sufficiently excluded or hedged.
  • Remote control transmitters for example, in the area of SW development process and in terms of quantitative
  • Input signals in key remote controls alone set narrow limits due to the installation space and the power consumption.
  • FIG. 1 shows a system for a vehicle 1, in particular a land vehicle, comprising a mobile request device 2 and a
  • the mobile Request device 2 comprises a request element 21, an authentication element 22 and a transmission module 23.
  • the delivery device 10 has a receiving module 100 and a control module 101. It is the
  • the request element 21 is adapted to a
  • Safety-relevant request 210 of a user a corresponding request information 211 to the
  • Authentication element 22 is arranged to provide authentication information 221 to the transmission module 23, and the transmission module 23 is arranged to provide both of the request information 211 by providing the request information 211
  • the receiving module 100 is configured to authenticate
  • Request information 212 to validate the authentication information 221 contained in the authenticated request information 212, and in the case of validity of the authentication information 221, the request information 211 contained in the authenticated request information 212 to the control module 101
  • the control module 101 is configured to execute the request information 211 automatically.
  • Fig. 2 shows a schematic representation of a proposed system for a vehicle for
  • FIG. 2 shows an exemplary system extension of the exemplary system shown in FIG. 1, wherein the control module 101 has a safety-relevant module 1010, and wherein the automated execution of the
  • FIG. 2 shows a mobile example
  • the mobile request device 2 is a remote control, in particular a radio remote control, preferably a vehicle key or a mobile
  • the requesting device 2 has a requesting element 21, a
  • the request element 21 is set up to request a safety-relevant request 210 of a user requesting 211 to the transmission module 23rd
  • the authentication element 22 is set up to provide authentication information 221, and the transmission module 23 is arranged to provide both the information to the request element 211 by the request element 21 when providing request information 211
  • FIG. 2 shows that the authentication element 22 in this exemplary example has to be activated 220 by the user so that the
  • Authentication information 221 provides.
  • the mobile request device 2 from FIG. 2 has a stop element 24 by way of example.
  • the stop element 24 is set to stop information 241 as requested by the user
  • Fig. 3 shows a schematic representation of a proposed method for a vehicle for
  • FIG. 3 shows by way of example a method for the automated control of at least one safety-relevant function 11 of a vehicle 1 for a vehicle
  • Request information 212 validating V an authentication information 221 contained in the authenticated request information 212, forwarding the request information 211 contained in the authenticated request information 212 and the result E of
  • Authentication information 221 is negative and already a safety-relevant function 11 of the vehicle. 1
  • Authentication information 221 is negative and no safety-relevant function 11 of the vehicle 1 is adopted:
  • Fig. 4 shows a schematic representation of a proposed system for a vehicle for
  • FIG. 4 shows a transmitter / receiver system: a safety-relevant requirement 210 of a user
  • BE user input
  • BE is of a part 21, 23 of a mobile request device 2, which is also referred to below sender logic 21, 23 or logic 21, 23, by means of a
  • Receiver side is divided into parts 100, 101 of the
  • the approach of the invention allows the input and
  • remote control 2 for example by key remote control 2, without the entire
  • Remote control transmitter 23 must inherit explicit safety requirements.
  • a first safety requirement is therefore that the system must be able to prevent the switching on of a remote-controlled safety-relevant function 11 without operator request.
  • Safety-relevant function 11 in OFF mode represents a safe state S with regard to safety nesess. Therefore, a second safety requirement is that the system must be able to recognize and implement an operator request to switch off a remotely operated safety-relevant function 11, by assuming the safe state S.
  • the remote control transmitter 23 In the transmission module 23 of the mobile request device 2, also referred to below as the remote control transmitter 23, there is an authentication information 221, hereinafter also referred to as a secret "G”, which is called by the
  • Execution device 10 also referred to below as the receiver 10, is expected to switch on the remote-controlled safety-relevant function 11.
  • This secret G must be so complex that with sufficient
  • the secret G may only be transmitted on the transmitter side by operator security inputs, such as by activating or deactivating a stop element 24
  • the secret G can be "activated”.
  • the secret G can be "activated”.
  • the receiver 10 controls the safety-relevant functionality 11 of the vehicle 1.
  • Remote control transmitter 2 called a mechanism
  • safety inputs must be designed in such a way that in typical operating conditions, such as when the remote control 2 is dropped, this is automatically interpreted as a "remote-controlled safety-relevant function 11 switch-off.” This can be done, for example, by appropriately laying out the
  • Security inputs transmitter side must be designed so that in typical incorrect operation situations, such as that the remote control 2 in the
  • the remote control 2 includes a safety circuit, comprising a stop element 24, which has a safety switching element 24-2 and a reset circuit 24-1 for the logic 21, 23
  • the remote control 2 can also not safety relevant relevant inputs, such as opening the door
  • Trunk included. If the user wants to make such a non-secure input, so behaves the
  • SichLogik 22 The task of SichLogik 22 is to contain a secret G that is unknown to Logic 21, 23 and that is sufficiently complex, which is to be safeguarded
  • security-relevant user input 210 is used.
  • the SichLogik 22 can, for example, a
  • the logic 22 may also be a more complex circuit, such as a Microcontroller, ASIC and the like.
  • BE could be assigned a check sum / hash in the logic 21, 23.
  • G is a cryptographic key, either in symmetric encryption or in asymmetric encryption:
  • the received SD 212 is checked in the evaluation logic 100, 101. This will depending on
  • Receiver 10 known G 221 tested, ie a so-called “symmetric coding” or "asymmetric
  • the non-secure user input can be done on the receiver side.
  • a reset circuit 24-1 may be necessary for the logic 21, 23 to reliably forget the secret G 221 once the logic 21, 23 or the secret G 221 in the logic 21 , 23 has been deactivated, ie a change in the safety switching element 24-2 of the stop element 24 of
  • the task of the reset circuit 24-1 is in this case, from a corresponding circuit
  • the reset circuit 24-1 should therefore be designed so that the logic 21, 23 the previously explicit or at least
  • the reset of the logic 21, 23 can be done for example via an existing reset input in the logic 21, 23 when a so triggered reset the internal
  • the reset of the logic 21, 23 may alternatively be
  • FIG. 5 shows a schematic representation of a proposed system for a vehicle for
  • the authenticated request information SD 212 to be sent is SD
  • Safety switching element 24-2 has been activated.
  • H f2 (BE).
  • H respectively SD also further information such as an identification of the transmitter "Sender ID” or checksums such as CRC or
  • the reset circuit 24-1 shown in FIG. 4 is no longer necessarily necessary in the circuit in FIG. 5, since the logic 21, 23 never “knows” the secret G 221, nor does it have to reliably "forget” G 221 ", but can be added as an option. In Fig. 5, therefore, the reset circuit 24-1 is shown in dashed lines.
  • SDH f (SD, H) is sent.
  • H periodically and
  • the logic 21, 23 could be the request information SD 211 and then the security logic 22 the H 211
  • Fig. 6 shows a schematic representation of a proposed system for a vehicle for
  • FIG. 5 exemplary embodiment of the invention of FIG. 5.
  • the self-logic 22 incorporates both the secret G and the request information SD 211 coming from the logic and then provides H for dispatch when the self-logic 22 by means of the safety switching element 24-2
  • H f3 (G, SD).
  • f3 could be a checksum or an encryption function analogous to those described in the three examples of FIG. Dispatching and checking / evaluating on the receiver side are analogous to those described in FIG.
  • a reset circuit can optionally be used - dashed circumference in Fig. 6.
  • a reliable deactivation of the logic 21, 23 and the secret G 221 in the logic 21, 23 also takes place when changing from
  • Fig. 7 shows a schematic representation of a proposed system for a vehicle for
  • An essential embodiment is that the logic 21, 23 is not completely activated / deactivated by means of the safety switching element 24-2. Instead, in the case of a user input to be secured, that is, if that
  • Fig. 4 case described a reset when changing from
  • the design of the safety switching element 24-2 can be done as a "deadman". Thus, it can be ensured that in case of incorrect operation such as dropping the remote control 2 or a
  • the safety switching element 24-2 of the stop element 24 should be designed so that the operator during the entire control process a
  • Safety switching element 0 must be active. This may be the case, for example, when safety switching element 24-2 is a push button - not a switch.
  • the safety switching element 24-2 may, for example, consist of several individual switching / tactile elements that must be operated together. Also, the safety switching element 24-2, for example, consist of several individual switching / Tast-elements that need to be operated in a sequence.
  • safety switching element 24-2 it is also possible to differentiate between safety-relevant and non-safety-relevant inputs in user input BE 210. For example, a combination of different keys / inputs in BE 210 may be necessary to generate safety-relevant inputs. Also, for example, a sequence of different keys / inputs in BE 210 may be necessary to generate safety-related inputs.
  • Embodiment of the invention according to safety requirements are: Regarding the function: The proposed invention allows the switching on and off of safety-relevant functionalities by requesting device 2.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Transportation (AREA)
  • Lock And Its Accessories (AREA)

Abstract

A system for a vehicle (1), comprising a mobile request device (2), and an execution device (10) for implementing "safety-relevant" functions such as autonomous parking and unparking. The request device (2) can be a radio remote control key or a mobile communications device, for example. The communication between the request device and the on-board implementation device (10) includes authentication information.

Description

Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines  Vehicle system and method for automated control of at least one safety-relevant function of a
Fahrzeuges Die vorliegende Erfindung betrifft ein Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges.  The present invention relates to a vehicle system and method for the automated control of at least one safety-relevant function of a vehicle.
Nach heutigem Stand der Technik besteht die Möglichkeit einzelne Fahrzeugsysteme, welche nicht direkt mit der Führung eines Fahrzeuges in Zusammenhang stehen, per According to the current state of the art, there is the possibility of individual vehicle systems, which are not directly related to the management of a vehicle, by
Fernbedienung, beispielsweise per Schlüsselfernbedienung, zu steuern, beispielsweise Zugangsfunktionen wie eine Zentralverriegelung oder ein Kofferraum oder Control remote control, for example by key remote control, for example, access functions such as a central locking or a trunk or
Komfortunktionen wie Fensterheber, Cabrio-Verdeck, Stand- Klimaanlage oder Standheizung. Comfort functions such as windows, convertible top, air conditioning or parking heater.
Bei vielen Fahrzeugen enthält der Fahrzeugschlüssel zudem einen Teil der Wegfahrsperre.  In many vehicles, the vehicle key also contains part of the immobilizer.
In all diesen Fällen bleibt jedoch das eigentliche Fahren/Bewegen des Fahrzeuges nicht fernsteuerbar.  In all these cases, however, the actual driving / moving of the vehicle does not remain remotely controllable.
Aus Gründen des Diebstahlschutzes besteht für heutige Fernbedienungen, wie beispielsweise im Fahrzeugschlüssel, die Notwendigkeit einer kryptographischen Absicherung.  For the sake of theft protection exists for today's remote controls, such as in the vehicle key, the need for cryptographic protection.
Diese wird typischerweise mittels symmetrischer oder asymmetrischer Verschlüsselung/Signierung realisiert. This is typically realized by means of symmetric or asymmetric encryption / signing.
Des Weiteren ist die Funkstrecke solcher  Furthermore, the radio link is such
Fernbedienungen gegen Verfälschungen, beispielsweise mittels Prüfsummen/CRC/Signaturen abgesichert. Dies kann sowohl der Robustheit als auch einer weiteren Erhöhung der Sicherheit der Übertragung dienen. Remote controls against adulteration, for example, secured by checksums / CRC / signatures. This can serve both the robustness and a further increase in the security of the transmission.
Nach heutigem Stand der Technik gibt es viele  According to the current state of the art, there are many
Funktionen/Systeme in Fahrzeugen, welche Sicherheitsrelevant sind, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben. Diese werden gemäß Stand der Technik beispielsweise durch Normen wie IEC 61508 oder ISO 26262, definiert, entwickelt und abgesichert. Bei sehr vielen solchen sicherheitsrelevanten Nachweisen spielen der unabhängig vom unterstützenden System vorhandene mechanische Durchgriff, und somit letztlich das Vorhandensein eines handlungsfähigen Fahrers an Bord des Fahrzeuges, eine wesentliche Rolle. Functions / systems in vehicles, which Are relevant in terms of protection against unjustifiable risks to life and limb. These are defined, developed and safeguarded according to the state of the art, for example by standards such as IEC 61508 or ISO 26262. In the case of many such safety-relevant proofs, the mechanical penetration available independently of the supporting system, and thus ultimately the presence of a capable driver on board the vehicle, play an essential role.
Derzeit ist es nicht möglich, derartige technische sicherheitsrelevante Funktionen zur Steuerung des  At present, it is not possible to use such technical safety-related functions to control the
Fahrzeuges automatisiert außerhalb des Fahrzeuges, beispielsweise fernbedienbar, bereitzustellen, wie Vehicle automated outside of the vehicle, for example, remotely controlled to provide, such as
beispielsweise als Fernbedienung zur Führung eines PKWs durch einen nicht an Bord befindlichen Fahrer/Operator. For example, as a remote control for driving a car by a not on board driver / operator.
Daher wäre es wünschenswert eine Möglichkeit Therefore, it would be desirable a possibility
bereitzustellen, eine sicherheitsrelevante to provide a security relevant
Funktion/System, im Sinne von einem Schutz vor Function / system, in the sense of protection
unvertretbaren Risiken für Leib und Leben, automatisiert und/oder fernbedienbar bereitzustellen, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss. Es ist Ziel der Erfindung eine Lösung für ein to provide unacceptable risks to life and limb, automated and / or remotely controllable, without having to have a competent driver / operator on board the vehicle. The object of the invention is a solution for a
automatisiertes und/oder fernbedienbares Steuern einer sicherheitsrelevanten Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, bereitzustellen, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahre /Operator befinden muss. Die Aufgabe wird erfindungsgemäß gelöst, mittels einem System nach dem Hauptanspruch, zweier Vorrichtungen nach nebengeordneten Ansprüchen sowie eines Verfahrens nach einem nebengeordneten Anspruch. Automated and / or remotely controllable control of a safety-related function / system, in the sense of protection against unjustifiable risks to life and limb, without having to have a viable driver / operator on board the vehicle. The object is achieved by a system according to the main claim, two devices according to independent claims and a method according to a sibling claim.
Der Gegenstand des Hauptanspruches betrifft dabei ein System für ein Fahrzeug, insbesondere ein Land- Kraftfahrzeug, aufweisend eine mobile The subject of the main claim relates to a system for a vehicle, in particular a land vehicle, comprising a mobile
Anforderungsvorrichtung, und eine Ausführvorrichtung .  Request device, and a delivery device.
Dabei weist die mobile Anforderungsvorrichtung ein In this case, the mobile request device
Anforderungselement, ein Authentifizierungselement, und ein Sendemodul auf. Die Ausführvorrichtung weist ein  Request element, an authentication element, and a transmission module. The expander has a
Empfangsmodul und ein Steuermodul auf, wobei die Receiving module and a control module, wherein the
Ausführvorrichtung in dem Fahrzeug angeordnet ist. Das Anforderungselement ist eingerichtet, um auf eine Safety- relevante Anforderung eines Benutzers eine entsprechende Anforderungsinformation an das Sendemodul bereitzustellen. Das Authentifizierungselement ist eingerichtet, um eine Authentifizierungsinformation an das Sendemodul Implementing device is arranged in the vehicle. The request element is set up to provide corresponding request information to the transmission module in response to a safety-relevant request from a user. The authentication element is set up to provide authentication information to the transmission module
bereitzustellen. Das Sendemodul ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation durch das Anforderungselement sowohl die bereitgestellte provide. The sending module is configured to provide both the provided one upon provision of request information by the requesting element
Anforderungsinformation als auch die bereitgestellte Request information as well as the provided
Authentifizierungsinformation als eine authentifizierte Anforderungsinformation an die Ausführvorrichtung zu senden. Das Empfangsmodul ist eingerichtet, um die To send authentication information as an authenticated request information to the executor. The receiving module is set up to receive the
authentifizierte Anforderungsinformation zu empfangen, die in der authentifizierten Anforderungsinformation authenticated request information received in the authenticated request information
enthaltende Authentifizierungsinformation zu validieren und bei Validität der Authentifizierungsinformation die in der authentifizierten AnforderungsInformation enthaltene Anforderungsinformation an das Steuermodul weiterzuleiten. Ferner ist das Steuermodul eingerichtet, um die to validate the authentication information containing the request information contained in the authenticated request information to the control module. Furthermore, the control module is set to the
Anforderungsinformation automatisiert auszuführen. Execute request information automatically.
Ein „Kraftfahrzeug" im Sinne der Erfindung meint dabei ein Motor- oder Turbinengetriebenes Landfahrzeug.  A "motor vehicle" in the sense of the invention means an engine or turbine-driven land vehicle.
Insbesondere ist dabei ein Landfahrzeug wie beispielsweise ein Automobil oder Zweirad gemeint. In particular, a land vehicle such as an automobile or two-wheeler is meant.
„Safety-relevant" im Sinne der Erfindung meint dabei relevant für den Schutz vor unvertretbaren Risiken für Leib und Leben.  "Safety-relevant" in the sense of the invention means relevant to the protection against unacceptable risks to life and limb.
„Security-relevant" im Sinne der Erfindung meint dabei hingegen relevant für den Zugriffschütz , Schutz vor  By contrast, "security-relevant" in the sense of the invention means relevant to the access contactor, protection against
Eindringlingen, Schutz vor Datenverfälschungen und/oder Datenmanipulationen und dergleichen. Intruders, protection against data corruption and / or data manipulation and the like.
Eine „ Safety-relevante Anforderung" im Sinne der  A "safety-relevant requirement" in the sense of
Erfindung meinte dabei ein Anforderung an eine Safety- relevante Funktion/System eines Fahrzeuges. Invention meant a requirement for a safety-relevant function / system of a vehicle.
Eine „mobile Anforderungsvorrichtung" im Sinne der Erfindung meint dabei eine Vorrichtung, welche geeignet ist, mobil betrieben zu werden und eine Safety-relevante Anforderung an ein Fahrzeug entgegenzunehmen und an dieses weiterzuleiten, wobei zur Weiterleitung an das Fahrzeug die Safety-relevante Anforderung durch die mobile  A "mobile request device" within the meaning of the invention means a device which is suitable to be operated on the move and to receive a safety-relevant request to a vehicle and forward it to this, wherein the safety-relevant requirement by the mobile
Anfordervorrichtung auch modifiziert werden kann. Request device can also be modified.
Insbesondere kann eine mobile Anforderungsvorrichtung eine Fernbedienung, beispielsweise eine in einem In particular, a mobile request device can be a remote control, for example, one in one
Fahrzeugschlüssel integrierte Fernbedienung sein.  Car key to be integrated remote control.
Ein „Anforderungselement" im Sinne der Erfindung meint dabei in einem einfachen Fall einen Knopf, einen Schalter, einen Taster und dergleichen, der wenn er durch einen Benutzer, beispielsweise einem Fahrzeugoperator, betätigt wird, eine Anforderungsinformation in der mobilen  A "request element" in the sense of the invention means in a simple case a button, a switch, a button and the like, which when it is operated by a user, such as a vehicle operator, a request information in the mobile
Anforderungsvorrichtung bereitstellt. Das Anforderungselement kann jedoch in einem komplexeren Fall auch ein Stellregler, Drehregler, ein Touchfeld und dergleichen sein, welches komplexere Anforderungen durch einen Benutzer erlaubt. Request device provides. The However, in a more complex case, the request element may also be an adjuster, knob, touch pad, and the like, which allows for more complex user requests.
Eine „Anforderungsinformation" im Sinne der Erfindung meint dabei eine Information, welche basierend auf einer entsprechenden Safety-relevanten Anforderung erhalten wird. Im einfachsten Fall ist die AnforderungsInformation die Safety-relevante Anforderung selbst. Sie kann jedoch auch noch weitere Informationen enthalten, beispielsweise für das Ermöglichen einer Security-relevanten Übertragung der AnforderungsInformation.  In the simplest case, the request information is the safety-relevant requirement itself Enable a security-relevant transmission of the request information.
Eine „Ausführvorriehtung" im Sinne der Erfindung meint dabei eine in dem Fahrzeug angeordnete Vorrichtung, welche dazu eingerichtet ist, eine Safety-relevante Anforderung an das Fahrzeug von einer mobilen Anforderungsvorrichtung entgegenzunehmen .  A "Ausführvorriehtung" within the meaning of the invention means a device arranged in the vehicle, which is adapted to receive a safety-related requirement for the vehicle from a mobile request device.
Eine „Authentifizierungsinformation" im Sinne der Erfindung meint dabei eine Information, welche darauf hinweist, dass die mit der Authentifizierungsinformation versandte/empfangene AnforderungsInformation authentisch ist, und somit valide. Dies kann beispielsweise notwendig sein, wenn sichergestellt werden muss, dass nicht jede Ausführvorrichtung im Sinne der Erfindung von jeder  An "authentication information" in the sense of the invention here means information which indicates that the request information sent / received with the authentication information is authentic, and thus valid.This may be necessary, for example, if it is necessary to ensure that not every executing device in the sense of the invention of each
Anforderungsvorrichtung im Sinne der Erfindung eine Request device according to the invention a
Safety-relevante Anforderung entgegennehmen darf. Safety-relevant request may be accepted.
Ein „Modul" im Sinne der Erfindung meint dabei einen Teil einer Vorrichtung, wobei dieser Teil vorzugsweise in die entsprechende Vorrichtung integriert ist. Ein Modul kann auch selbst eine entsprechende Vorrichtung sein. Ein Modul kann auch eine Software oder Teil einer Software sein . Ein „Sendemodul" im Sinne der Erfindung meint dabei ein Modul oder eine Vorrichtung, welches in der mobilen In this context, a "module" in the sense of the invention means a part of a device, this part preferably being integrated in the corresponding device A module may itself also be a corresponding device A module may also be software or part of a software. A "transmission module" in the sense of the invention means a module or a device which is used in the mobile
Anforderungsvorrichtung angeordnet ist und dazu Request device is arranged and thereto
eingerichtet ist, die Anforderungsinformation und die is set up, the request information and the
Authentifizierungsinformation gemeinsam zu versenden. To send authentication information together.
Dabei kann das gemeinsam Versenden erfolgen, indem die beiden Informationen gebündelt als eine gemeinsame This can be done together by sending the two pieces of information together as one common
Information versandt werden oder auch einzeln Information to be sent or individually
nacheinander. In beiden Fällen können dabei beide successively. In both cases, both can do so
Informationen auch modifiziert sein, beispielsweise um die Übertragung der Informationen Security-relevant zu Information may also be modified, for example, to transfer the information security relevant to
ermögliche . enable.
Ein „Steuermodul" im Sinne der Erfindung meint dabei ein Modul oder eine Vorrichtung welche eingerichtet ist, eine Safety-relevante Funktion, eine Safety-relevante Vorrichtung und/oder ein Safety-relevantes System auf Basis eine Safety-relevanten Anforderung anzusteuern. Das Ansteuern der Safety-relevanten Funktion, der Safety- relevanten Vorrichtung und/oder des Safety-relevanten  A "control module" in the sense of the invention means a module or a device which is set up to control a safety-relevant function, a safety-relevant device and / or a safety-relevant system on the basis of a safety-relevant requirement Safety-relevant function, the safety-relevant device and / or the safety-relevant
Systems kann auf Basis der Safety-relevanten Anforderung auch automatisiert erfolgen. Systems can also be automated based on the safety-relevant requirement.
Eine „Funktion" im Sinne der Erfindung meint dabei einen funktionalen Teil eines Fahrzeuges, beispielsweise einen Fahrvorgang eines Fahrwerkes und/oder das Stellen der Räder. Eine Funktion kann dabei auch ein komplexer Vorgang sein, der mehrere funktionale Teile eines  A "function" in the sense of the invention in this case means a functional part of a vehicle, for example a driving operation of a chassis and / or the placement of the wheels A function can also be a complex process involving several functional parts of a vehicle
Fahrzeuges umfasst, die gleichzeitig oder in zeitlicher Abfolge ausgeführt, angesteuert, bedient und/oder geregelt werden können. Vehicle, which can be executed at the same time or in sequence, controlled, operated and / or regulated.
„Automatisiert" im Sinne der Erfindung meint dabei eine gesteuerte und/oder geregelte Übernahme und/oder Eingriff in eine Safety-relevante Funktion eines Fahrzeuges, ohne dass es dabei zum Steuern und/oder Regeln an Anweisungen durch einen Fahrer/Operator/Benutzer bedarf . "Automated" in the sense of the invention means a controlled and / or regulated acquisition and / or intervention in a safety-relevant function of a vehicle, without that it requires to be controlled and / or regulated by instructions by a driver / operator / user.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit dem erfindungsgemäßen System ein fernbedienbares Steuern einer sicherheitsrelevanten  The teaching according to the invention achieves the advantage that with the system according to the invention, a remote-controllable control of a safety-relevant
Funktion/System, im Sinne von einem Schutz vor Function / system, in the sense of protection
unvertretbaren Risiken für Leib und Leben, bereitgestellt werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss . Dabei kann das fernbedienbare Steuern auch automatisiert erfolgen. unacceptable risks to life and limb, can be provided without on board the vehicle a capable driver / operator must be. In this case, the remote-controlled taxes can also be automated.
Der Gegenstand eines ersten nebengeordneten The object of a first sibling
Vorrichtungsanspruchs betrifft dabei eine mobile Device claim relates to a mobile
Anforderungsvorrichtung für ein System gemäß dem Request device for a system according to
Hauptanspruch. Dabei ist die mobile Main claim. Here is the mobile
Anforderungsvorrichtung eine Fernbedienung, insbesondere eine Funkfernbedienung, vorzugsweise ein Fahrzeugschlüssel oder eine mobile Kommunikationsvorrichtung und weist ein Anforderungselement, ein Authentifizierungselement und ein Sendemodul auf. Dabei ist das Anforderungselement  Request device, a remote control, in particular a radio remote control, preferably a vehicle key or a mobile communication device and has a request element, an authentication element and a transmission module. Here is the requirement element
eingerichtet, um auf eine Safety-relevante Anforderung eines Benutzers eine Anforderungsinformation an das configured to request information on a safety-relevant request of a user
Sendemodul bereitzustellen. Das Authentifizierungselement ist eingerichtet, um eine Authentifizierungsinformation bereitzustellen, und das Sendemodul ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation durch das Anforderungselement sowohl die bereitgestellte To provide transmission module. The authentication element is configured to provide authentication information, and the transmission module is configured to provide both the provided one upon provision of request information by the request element
Anforderungsinformation als auch die bereitgestellte Request information as well as the provided
Authentifizierungsinformation als eine authentifizierte AnforderungsInformation an die Ausführvorrichtung zu senden . Die „mobile Anforderungsvorrichtung" im Sinne der Erfindung kann somit auch ein fernbedienbares Smartphone sein. To send authentication information as an authenticated request information to the executor. The "mobile request device" within the meaning of the invention can thus also be a remote-controlled smartphone.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit der erfindungsgemäßen Vorrichtung ein fernbedienbares Steuern einer sicherheitsrelevanten  The teaching according to the invention achieves the advantage that with the device according to the invention, a remote-controllable control of a safety-relevant
Funktion/System, im Sinne von einem Schutz vor Function / system, in the sense of protection
unvertretbaren Risiken für Leib und Leben, initiiert werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss. unacceptable risks to life and limb, can be initiated without on board the vehicle a capable driver / operator must be.
Ein weiterer Vorteil der erfindungsgemäßen Lehre ist, dass damit die Anforderungsvorrichtung derart ausgelegt werden kann, dass nicht die gesamte  Another advantage of the teaching according to the invention is that it allows the request device to be designed in such a way that not the entire
Anforderungsvorrichtung explizite Safety-Anforderungen, wie die beispielsweise in Normen wie der IEC 61508 oder der ISO 26262 beschriebenen, erben muss.  Requirement device must explicitly inherit safety requirements, such as those described in standards such as IEC 61508 or ISO 26262.
Der Gegenstand eines weiteren nebengeordneten The object of another sibling
Vorrichtungsanspruchs betrifft dabei eine Device claim relates to a
Ausführvorrichtung für ein System gemäß dem Hauptanspruch. Implementing device for a system according to the main claim.
Dabei weist die Ausführvorrichtung ein Empfangsmodul und ein Steuermodul auf . Die Ausführvorrichtung ist dabei angepasst, um in dem Fahrzeug verwendet zu werden. Das Empfangsmodul ist eingerichtet, um eine authentifizierte Anforderungsinformation zu empfangen, eine in der  In this case, the execution device has a receiving module and a control module. The executing device is adapted to be used in the vehicle. The receiving module is configured to receive an authenticated request information, one in the
authentifizierten Anforderungsinformation enthaltende Authentifizierungsinformation zu validieren und bei Authentication information containing authenticated request information to validate and at
Validität der Authentifizierungsinformation eine in der authentifizierten Anforderungsinformation enthaltene Validity of the authentication information contained in the authenticated request information
AnforderungsInformation an das Steuermodul weiterzuleiten. Das Steuermodul ist eingerichtet, um die Forward request information to the control module. The control module is set up to handle the
Anforderungsinformation automatisiert auszuführen. Das „Steuermodul" im Sinne der Erfindung kann dabei fest in das Fahrzeug integriert sein. Es ist jedoch auch denkbar, dass es sich um ein nachträglich in das Fahrzeug integrierbares Modul handelt, so dass das Fahrzeug damit nachrüstbar ist. Execute request information automatically. The "control module" in the sense of the invention can be firmly integrated into the vehicle, but it is also conceivable that it is a module which can be subsequently integrated into the vehicle so that the vehicle can be retrofitted therewith.
„Validieren" im Sinne der Erfindung meint dabei feststellen, ob eine in einer authentifizierten  "Validate" in the sense of the invention means to determine whether one in an authenticated
AnforderungsInformation enthaltene Request information included
Authentifizierungsinformation gültig ist, wodurch ein Rückschluss ermöglicht wird, dass eine ebenfalls darin enthaltene Anforderungsinformation gültig, d.h. weder manipuliert noch verfälscht, und somit echt ist.  Authentication information is valid, whereby a conclusion is made possible that a request information also contained therein valid, i. neither manipulated nor falsified, and thus is genuine.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit der erfindungsgemäßen Vorrichtung ein fernbedienbares Steuern einer sicherheitsrelevanten  The teaching according to the invention achieves the advantage that with the device according to the invention, a remote-controllable control of a safety-relevant
Funktion/System, im Sinne von einem Schutz vor Function / system, in the sense of protection
unvertretbaren Risiken für Leib und Leben, bereitgestellt werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer/Operator befinden muss. unacceptable risks to life and limb, can be provided without on board the vehicle a capable driver / operator must be.
Der Gegenstand eines nebengeordneten The object of a sibling
Verfahrensanspruchs betrifft dabei ein Verfahren zur automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges für ein System nach dem Hauptanspruch, wobei das Verfahren aufweist: Empfangen einer authentifizierten Anforderungsinformation, A method claim relates to a method for the automated control of at least one safety-relevant function of a vehicle for a system according to the main claim, the method comprising: receiving an authenticated request information,
Validieren einer in der authentifizierten Validate one in the authenticated
AnforderungsInformation enthaltenen Request information contained
Authentifizierungsinformation, Weiterleiten der in der authentifizierten AnforderungsInformation enthaltenen AnforderungsInformation und des Ergebnisses des  Authentication information, forwarding the request information contained in the authenticated request information and the result of the request
Validierens der Authentifizierungsinformation an ein Steuermodul. Das Verfahren weist für das Steuermodul auf, falls das Ergebnis des Validierens der Validate the authentication information to Control Module. The method assigns to the control module if the result of validating the
Authentifizierungsinformation negativ ist und bereits eine Safety-relevante Funktion des Fahrzeuges übernommen ist: Überführen der übernommenen Safety-relevanten Funktion in einen sicheren Zustand, Freigeben der übernommenen Safety- relevanten Funktion, Ablehnen der AnforderungsInformation. Ferner weist das Verfahren für das Steuermodul auf, falls das Ergebnis des Validierens der  Authentication information is negative and a safety-relevant function of the vehicle has already been adopted: Transferring the adopted safety-relevant function to a safe state, releasing the acquired safety-relevant function, rejecting the request information. Furthermore, the method for the control module, if the result of validating the
Authentifizierungsinformation negativ ist und keine Authentication information is negative and no
Safety-relevante Funktion des Fahrzeuges übernommen ist: Ablehnen der Anforderungsinformation. Darüber hinaus weist das Verfahren für das Steuermodul auf, falls das Ergebnis des Validierens der Authentifizierungsinformation positiv ist: Falls bereits eine Safety-relevante Funktion des Fahrzeuges übernommen ist : Überführen der übernommenen Safety-relevanten Funktion in einen sicheren Zustand und Freigeben der übernommenen Safety-relevanten Funktion. Ferner weist das Verfahren für das Steuermodul auf, unabhängig davon, ob bereits eine Safety-relevante  Safety-relevant function of the vehicle is adopted: Rejecting the request information. In addition, the procedure for the control module, if the result of validating the authentication information is positive: If a safety-relevant function of the vehicle is already adopted: Transferring the acquired safety-relevant function in a safe state and releasing the acquired safety-relevant Function. Furthermore, the method for the control module, regardless of whether already a safety-relevant
Funktion des Fahrzeuges übernommen ist: Bestimmen auf Basis der Anforderungsinformation, welche Safety-relevante Funktion des Fahrzeuges übernommen werden soll, Überführen der zu übernehmenden Safety-relevanten Funktion in einen sicheren Zustand, falls die Safety-relevante Funktion nicht in einen sicheren Zustand überführt werden kann, Ablehnen der Ausführung der Anforderungsinformation, und falls die Safety-relevante Funktion in einen sicheren Zustand überführt ist, Übernehmen der Safety-relevanten Funktion und Ausführen der AnforderungsInformation.  Function of the vehicle is adopted: Based on the request information to determine which safety-relevant function of the vehicle is to be adopted, transferring the safety-relevant function to be transferred to a safe state, if the safety-relevant function can not be transferred to a safe state , Rejecting the execution of the request information, and if the safety-relevant function is transferred to a safe state, taking the safety-relevant function and executing the request information.
Ein „sicherer Zustand" im Sinne der Erfindung meint dabei einen Zustand bezüglich der zu steuernden Safety- relevanten Funktion/System/Modul und damit etwaiger weiterer damit verbundener Safety-relevanter A "safe state" in the sense of the invention means a state with regard to the safety relevant function / system / module and thus any further associated safety-relevant
Funktionen/Systeme/Module, von welchem/denen kein Functions / Systems / Modules of which / which none
unvertretbares Risiko für Leib und Leben ausgehen kann. Der sichere Zustand der Funktion/System/Modul kann dabei beispielsweise ein initialer Grundzustand sein. Bezieht sich die Safety-relevante Anforderungsinformation unacceptable risk to life and limb. The safe state of the function / system / module can be, for example, an initial ground state. Does the safety-relevant requirement information relate
beispielsweise auf das Fahrwerk des Kraftfahrzeuges, so kann ein sicherer Zustand bezüglich des Fahrwerkmodules sein, dass das Fahrzeug still steht und die Räder desFor example, on the chassis of the motor vehicle, it may be a safe condition with respect to the suspension module that the vehicle is stationary and the wheels of the
Fahrwerkmodules alle in ihrer Grundposition ausgerichtet sind, also beispielsweise alle in Ausrichtung für einen Geradeauslauf , der Motor still steht oder in seiner Chassis modules are all aligned in their basic position, so for example all in alignment for a straight-ahead, the engine is stationary or in his
Leerlaufdrehzahl rotiert, kein Gang eingelegt ist und die Handbremse und/oder das Bremspedal betätigt sind, Idling speed is rotated, no gear is engaged and the handbrake and / or the brake pedal are actuated,
respektive das Kraftfahrzeug sich bei Automatikschaltung bezüglich des Getriebes in Parkstellung befindet. respectively the motor vehicle is in automatic position with respect to the transmission in parking position.
„Ausführen der Anforderungsinformation" im Sinne der Erfindung kann dabei ein Ausführen lediglich eines Safety- relevanten Funktion/System/Modul sein, es können von der Ausführung jedoch auch mehrere Safety-relevanten  "Executing the request information" in the sense of the invention can be an execution of only one safety-relevant function / system / module, but it is also possible for the execution to have several safety-relevant ones
Funktion/System/Modul betroffen sein. Function / system / module affected.
Durch die erfindungsgemäße Lehre wird der Vorteil erreicht, dass mit dem erfindungsgemäßen Verfahren ein fernbedienbares Steuern einer sicherheitsrelevanten  The teaching according to the invention achieves the advantage that with the method according to the invention a remote-controllable control of a security-relevant
Funktion/System, im Sinne von einem Schutz vor Function / system, in the sense of protection
unvertretbaren Risiken für Leib und Leben, bereitgestellt werden kann, ohne dass sich an Bord des Fahrzeuges ein handlungsf higer Fahrer/Operator befinden muss. unacceptable risks to life and limb, can be provided without on board the vehicle a capable driver / operator must be.
Ein weiterer Vorteil durch diese erfindungsgemäße Another advantage of this invention
Lehrer ist, dass keine sicherheitsrelevanten Teacher is that no security relevant
Funktion/System, im Sinne von einem Schutz vor unvertretbaren Risiken für Leib und Leben, übernommen und ausgeführt werden kann, wenn nicht sichergestellt ist, dass von dem Fahrzeug vor dem Ausführen dieser Function / system, in the sense of protection Unacceptable risks to life and limb may be assumed and carried out if it is not ensured that the vehicle is before performing this
sicherheitsrelevanten Funktion/System kein solches Risiko ausgeht. Damit wird ein deterministischer Zustand safety-relevant function / system does not pose such a risk. This becomes a deterministic state
eingenommen, bevor mit einem automatisierten Steuern einer zuvor beschriebenen sicherheitsrelevanten Funktion/System begonnen werden kann. Nachfolgend werden weitere exemplarische before an automated control of a previously described safety-related function / system can be started. Below are more exemplary
Ausgestaltungen des Systems, der Vorrichtungen und des Verfahrens erläutert .  Embodiments of the system, the devices and the method explained.
Entsprechend einer weiteren exemplarischen According to another exemplary
Ausgestaltung weist das System auf, dass das Steuermodul ein Safety-relevantes Modul aufweist. Dabei weist das automatisierte Ausführen der Anforderungsinformation durch das Steuermodul auf, dass auf Basis der Embodiment, the system that the control module has a safety-relevant module. In this case, the automated execution of the request information by the control module that based on the
Anforderungsinformation das Safety-relevante Modul angewiesen wird, mindestens eine Safety-relevante Funktion des Fahrzeuges zu übernehmen, um die Request information the safety-relevant module is instructed to take at least one safety-relevant function of the vehicle to the
Anforderungsinformation automatisiert auszuführen. Dabei geht die Kontrolle über die übernommene Safety-relevante Funktion des Fahrzeuges auf das Safety-relevante Modul über.  Execute request information automatically. The control of the adopted safety-relevant function of the vehicle is transferred to the safety-relevant module.
Diese Ausgestaltung weist den Vorteil auf, dass die Kontrolle über eine Safety-relevante Funktion des  This embodiment has the advantage that the control of a safety-relevant function of
Fahrzeuges von der Ausführvorrichtung übernommen werden kann. Vehicle can be adopted by the Ausführvorrichtung.
Entsprechend einer weiteren exemplarischen According to another exemplary
Ausgestaltung weist das System auf, dass die Safety- relevante Funktion definiert ist, als eine Funktion gemäß mindestens einer Safety-Norm aus der Auswahl der Safety- Normen IEC 61508, ISO 26262, einer Safety-Norm die Design, the system indicates that the safety relevant function is defined as a function according to at least one safety standard from the selection of the safety standards IEC 61508, ISO 26262, a safety standard
strenger als diese beiden ist, einer Safety-Norm die mindestens eine der vorgenannten Normen weiterbildet und einer Safety-Norm die einer der vorgenannten Safety-Normen entspricht . Stricter than these two is a safety standard that further develops at least one of the aforementioned standards and a safety standard that corresponds to one of the aforementioned safety standards.
Diese Ausgestaltung weist den Vorteil auf, dass damit eine auf Safety-relevante Normen basierende Lösung  This embodiment has the advantage that it is a solution based on safety-relevant standards
bereitgestellt wird. provided.
Entsprechend einer weiteren exemplarischen According to another exemplary
Ausgestaltung weist das System ferner auf, dass die Embodiment further provides the system that the
Anforderungsinformation, die Authentifizierungsinformation und die authentifizierte Anforderungsinformation jeweils eine Komplexität aufweisen, die ausreichend hoch ist, dass sie mit einer festgelegten Wahrscheinlichkeit nicht zufällig erzeugt werden und gegen Verfälschen abgesichert sind. Dabei ergibt sich die festgelegte Wahrscheinlichkeit aus der für die Safety-relevante Norm zugrunde gelegte Safety-Norm. Die Absicherung gegen Verfälschung ist vorzugsweise mittels einem Prüfsummenverfahren, einem CRC- Verfahren, einem Signaturverfahren, einem Request information, the authentication information and the authenticated request information each have a complexity that is sufficiently high that they are not randomly generated with a fixed probability and are protected against tampering. The specified probability results from the safety standard used for the safety-relevant standard. The protection against corruption is preferably by means of a checksum method, a CRC method, a signature method, a
Verschlüsselungsverfahren oder einer Kombination Encryption method or a combination
mindestens zweier der vorgenannten Verfahren vornehmbar. at least two of the aforementioned methods vornehmbar.
Diese Ausgestaltung weist den Vorteil auf, dass damit eine Lösung bereitgestellt wird, bei welcher der  This embodiment has the advantage that it provides a solution in which the
Übertragungsweg der Safety-relevanten Anforderung von der mobilen Anforderungsvorrichtung zu der Ausführvorriehtung und/oder ein Manipulationsversuch als Quelle für eine falsche Safety-relevante Anforderung ausgeschlossen werden kann. Entsprechend einer weiteren exemplarischen Ausgestaltung weist das System auf, dass die Safety- relevante Anforderung eine Einparkanforderung bezüglich eines vorwärts gerichteten Einparkvorganges des Fahrzeuges oder eine Ausparkanforderung bezüglich eines rückwärts gerichteten Ausparkvorganges des Fahrzeuges ist. Die übernommene Safety-relevante Funktion des Fahrzeuges ist im Falle einer Einparkanforderung, ein vorwärts Transmission path of the safety-relevant requirement of the mobile request device to the Ausführvorriehtung and / or a manipulation attempt can be excluded as a source for a false safety-relevant requirement. According to a further exemplary embodiment, the system has the fact that the safety-relevant requirement is a parking request with respect to a forward-oriented parking process of the vehicle or a parking requirement with respect to a rear-facing parking operation of the vehicle. The accepted safety-relevant function of the vehicle is in the event of a parking request, a forward
gerichtetes autonomes Fahren des Fahrzeuges und im Falle einer Ausparkanforderung, ein rückwärts gerichtetes autonomes Fahren des Fahrzeuges. Dabei kann das autonome Fahren Lenkbewegungen des Fahrzeuges aufweisen. directed autonomous driving of the vehicle and in the event of a Ausparkanforderung, a backward autonomous driving of the vehicle. In this case, the autonomous driving may have steering movements of the vehicle.
„Vorwärts gerichtet" im Sinne der Erfindung meint dabei eine Ausrichtung in Richtung der Fahrzeugvorderseite, wohingegen „rückwärts gerichtet" im Sinne der Erfindung eine Ausrichtung in Richtung der Fahrzeugrückseite meint.  "Forward" within the meaning of the invention means an orientation in the direction of the vehicle front side, whereas "directed backwards" in the sense of the invention means an orientation in the direction of the vehicle rear side.
Ein „vorwärts gerichteter Einparkvorgang" im Sinne der Erfindung meint dabei einen Einparkvorgang in eine  A "forward parking operation" in the sense of the invention means a parking operation in one
Parktasche oder Parklücke, welche in Längsrichtung zu dem Fahrzeug angeordnet ist, wobei das Fahrzeug sich vorwärts in die Parktasche oder Parklücke bewegt, insbesondere wobei das Fahrzeug sich ohne rückwärtiges Rangieren in die Parktasche oder Parklücke bewegt . Parking bag or parking space which is arranged in the longitudinal direction of the vehicle, wherein the vehicle moves forward in the parking bag or parking space, in particular wherein the vehicle moves without rear maneuvering in the parking bag or parking space.
Ein „rückwärts gerichteter Einparkvorgang" im Sinne der A "backward parking procedure" in the sense of
Erfindung meint dabei einen Einparkvorgang in eine Invention means doing a parking in one
Parktasche oder Parklücke, welche in Längsrichtung zu dem Fahrzeug angeordnet ist, wobei das Fahrzeug sich rückwärts in die Parktasche oder Parklücke bewegt, insbesondere wobei das Fahrzeug sich ohne vorwärtiges Rangieren in die Parktasche oder Parklücke bewegt . „Autonomes Fahren" im Sinne der Erfindung meint dabei ein selbständiges Fahren eines Fahrzeuges ohne dass ein Benutzer die Fahr- und Lenkbewegungen des Fahrzeuges vornimmt. Insbesondere ist dabei das selbständige Fahren eines Fahrzeuges gemeint, ohne dass sich ein Fahrer an Bord des Fahrzeuges befinden muss. Parking bag or parking space which is arranged in the longitudinal direction of the vehicle, wherein the vehicle moves backwards into the parking bag or parking space, in particular wherein the vehicle moves into the parking bag or parking space without forward maneuvering. "Autonomous driving" in the sense of the invention means an autonomous driving of a vehicle without a user undertaking the driving and steering movements of the vehicle, in particular the autonomous driving of a vehicle without a driver having to be on board the vehicle.
Diese Ausgestaltung weist den Vorteil auf, dass ein vorwärts gerichteter Einparkvorgang eines Fahrzeuges und ein rückwärts gerichteter Ausparkvorgang eines Fahrzeuges jeweils automatisiert ermöglicht werden.  This embodiment has the advantage that a forward-directed parking process of a vehicle and a rear-facing parking operation of a vehicle are each made possible automatically.
Dies weist darüber hinaus den Vorteil auf, dass das Vorwärtseinparken eines Fahrzeuges in eine  This also has the advantage that the Vorwärteinparken a vehicle in one
Parklücke/Parktasche ermöglicht werden kann, bei welcher der Fahrer nach dem Einparkvorgang nicht mehr oder nur mühsam aus dem Fahrzeug aussteigen könnte. Parking space / parking bag can be made possible, in which the driver after parking could not or only with difficulty get out of the vehicle.
Dies weist darüber hinaus den Vorteil auf, dass das Rückwärtsausparken eines Fahrzeuges aus einer  This has the additional advantage that the Rückwärtsausparken a vehicle from a
Parklücke/Parktasche ermöglicht werden kann, bei welcher der Fahrer im eingeparkten Zustand des Fahrzeuges nicht mehr oder nur mühsam aus dem Fahrzeug aussteigen könnte. Parking space / parking bag can be made possible, in which the driver in the parked state of the vehicle could not or only with difficulty get out of the vehicle.
Entsprechend einer weiteren exemplarischen According to another exemplary
Ausgestaltung weist die mobile Anforderungsvorrichtung auf, dass das Authentifizierungselement durch den Benutzer aktiviert werden muss, damit das Authentifizierungselement eine valide Authentifizierungsinformation als zu sendende AuthentifizierungsInformation bereitstellt . Embodiment, the mobile request device, that the authentication element must be activated by the user, so that the authentication element provides valid authentication information as authentication information to be sent.
Auf diese Weise kann sichergestellt werden, dass nicht durch ein unbeabsichtigtes Betätigen eines Safety- relevanten Anforderungselementes der mobilen  In this way it can be ensured that not by an unintentional actuation of a safety-relevant requirement element of the mobile
Anforderungsvorrichtung eine Safety-relevante Anforderung ausgelöst wird. Dies könnte ansonsten beispielsweise bei Fallenlassen der mobilen Anforderungsvorrichtung erfolgen oder falls sich die mobile Anforderungsvorrichtung Request device a safety-relevant request is triggered. This could otherwise be the case for example Dropping the mobile request device done or if the mobile request device
beispielsweise in einer Tasche des Fahrers befindet, könnte solch ein unbeabsichtigtes Auslösen durch For example, located in a pocket of the driver, such accidental triggering could
Rüttelbewegungen beim Gehen des Fahrers mit der Tasche ausgelöst werden. Rattling movements are triggered when the driver walks with the bag.
Das Authentifizierungselement kann dabei beispielsweise durch Ausführung in Form eines sogenannten  The authentication element can, for example, by execution in the form of a so-called
Totmannschalters erfolgen, was bedeutet, dass das Deadman switch done, which means that
Authentifizierungselement zeitgleich mit der Authentication element coinciding with the
Anforderungselement ausgelöst werden müsste. Es kann auch bedeuten, dass das Authentifizierungselement während des gesamten automatisierten Safety-relevanten Vorganges ausgelöst werden müsste, oder dergleichen.  Requirement element would have to be triggered. It may also mean that the authentication element would have to be triggered during the entire automated safety-relevant process, or the like.
Diese Ausgestaltung weist den Vorteil auf, dass damit die mobile Anforderungsvorrichtung gegen unbeabsichtigtes Auslösen einer Safety-relevanten Anforderung gesichert werden kann. Entsprechend einer weiteren exemplarischen  This embodiment has the advantage that the mobile requesting device can be secured against unintentional triggering of a safety-relevant requirement. According to another exemplary
Ausgestaltung weist die mobile Anforderungsvorrichtung ein Stoppelement auf. Dabei ist das Stoppelement eingerichtet, um auf eine Anforderung des Benutzers eine  Embodiment, the mobile request device on a stop element. The stop element is set up to respond to a request from the user
Stoppinformation als Anforderungsinformation an das Stop information as request information to the
Sendemodul bereitzustellen. To provide transmission module.
Ein „Stoppelement" im Sinne der Erfindung ist dabei ein Element der mobilen AnforderungsVorrichtung, die wenn sie betätigt wird, eine Stoppinformation bereitstellt, um einen aktiven Safety-relevanten automatisierten Vorgang an einer Safety-relevanten Funktion des Fahrzeuges stoppen zu können. Das Stoppen des automatisierten Vorganges an der Safety-relevanten Funktion des Fahrzeuges erfolgt dabei vorzugsweise unmittelbar, d.h. innerhalb einer Zeit, die gemäß oben genannter Safety-relevanter Normen hinreichend kurz bemessen ist. A "stop element" in the sense of the invention is an element of the mobile request device which, when actuated, provides stop information in order to be able to stop an active safety-relevant automated process on a safety-relevant function of the vehicle Operation on the safety-relevant function of the vehicle takes place preferably directly, ie within a time that is sufficiently short in accordance with the above-mentioned safety-relevant standards.
In einer Ausgestaltung kann das Stoppelement auch das Authentifizierungselement oder ein Teil dessen sein, insbesondere dann, wenn das Authentifizierungselement während der gesamten Vorgangsdauer des automatisierten Vorganges an der Safety-relevanten Funktion des Fahrzeuges betätigt sein muss.  In one embodiment, the stop element may also be the authentication element or a part thereof, in particular if the authentication element has to be actuated at the safety-relevant function of the vehicle during the entire process duration of the automated process.
Diese Ausgestaltung weist den Vorteil auf, dass der This embodiment has the advantage that the
Fahrzeugführer/Fahrer/Bediener/Operator eingreifen kann, um den automatisierten Vorganges an der Safety-relevanten Funktion des Fahrzeuges anhalten zu können, beispielsweise bei einer von ihm erkannten Gefahr, welche für das System, das Fahrzeug, dem automatisiert gesteuerten Safety- relevanten Modul und/oder der Ausführvorrichtung nicht erkennbar ist oder nicht erkannt wird. Driver / operator / operator / operator can intervene in order to stop the automated operation of the safety-relevant function of the vehicle, for example, at a detected by him, which for the system, the vehicle, the automatically controlled safety-relevant module and / or the execution device is not recognizable or not recognized.
Entsprechend einer weiteren exemplarischen According to another exemplary
Ausgestaltung weist das Verfahren auf, dass falls die AnforderungsInformation eine Stoppinformation ist und bereits eine Safety-relevante Funktion des Fahrzeuges übernommen ist: Überführen der übernommenen Safety- relevanten Funktion in einen sicheren Zustand, unabhängig vom Ergebnis des Validierens der Embodiment has the method that if the request information is a stop information and a safety-relevant function of the vehicle has already been adopted: Transferring the acquired safety-relevant function in a safe state, regardless of the result of validating the
Authentifizierungsinformation, und Freigeben der  Authentication information, and sharing the
übernommenen Safety-relevanten Funktion. adopted safety-relevant function.
Diese Ausgestaltung weist den Vorteil auf, dass im Falle des Empfanges einer Stoppinformation die übernommene Safety-relevante Funktion des Fahrzeuges unmittelbar in einen sicheren Zustand überführt werden kann. - Ii This refinement has the advantage that in the case of receiving a stop information, the acquired safety-relevant function of the vehicle can be directly transferred to a safe state. - II
Diese Ausgestaltung weist somit auch den Vorteil auf, dass im Falle eines Eingriffs eines This embodiment thus also has the advantage that in the case of an intervention of a
Fahrzeugführer/Fahrer/Bediener/Operator der automatisierte Vorgang an der Safety-relevanten Funktion des Fahrzeuges angehalten werden kann.  Vehicle driver / driver / operator / operator The automated process can be stopped at the safety-relevant function of the vehicle.
Die Erfindung erlaubt es somit, Safety-relevante The invention thus allows safety-relevant
Funktionen von Fahrzeugen automatisiert zu steuern ohne dabei den Schutz vor unvertretbaren Risiken für Leib und Leben aufgeben zu müssen. Automatically controlling the functions of vehicles without having to give up the protection against unjustifiable risks to life and limb.
Die Erfindung wird nachfolgend eingehender an Hand der Figuren erläutert werden, in diesen zeigen The invention will be explained in more detail with reference to the figures, show in these
Fig. 1 eine schematische Darstellung eines  Fig. 1 is a schematic representation of a
vorgeschlagenen Systems für ein Fahrzeug zur proposed system for a vehicle to
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer automated control of at least one safety-relevant function of a vehicle according to a
beispielhaften Ausgestaltung der Erfindung; exemplary embodiment of the invention;
Fig. 2 eine schematische Darstellung eines  Fig. 2 is a schematic representation of a
vorgeschlagenen Systems für ein Fahrzeug zur proposed system for a vehicle to
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention;
Fig. 3 eine schematische Darstellung eines  Fig. 3 is a schematic representation of a
vorgeschlagenen Verfahrens für ein Fahrzeug zur proposed method for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer automated control of at least one safety-relevant function of a vehicle according to a
beispielhaften Ausgestaltung der Erfindung; exemplary embodiment of the invention;
Fig. 4 eine schematische Darstellung eines  Fig. 4 is a schematic representation of a
vorgeschlagenen Systems für ein Fahrzeug zur proposed system for a vehicle to
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; automated control of at least one safety relevant function of a vehicle according to another exemplary embodiment of the invention;
Fig. 5 eine schematische Darstellung eines  Fig. 5 is a schematic representation of a
vorgeschlagenen Systems für ein Fahrzeug zur proposed system for a vehicle to
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention;
Fig. 6 eine schematische Darstellung eines  Fig. 6 is a schematic representation of a
vorgeschlagenen Systems für ein Fahrzeug zur proposed system for a vehicle to
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; und automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention; and
Fig. 7 eine schematische Darstellung eines  Fig. 7 is a schematic representation of a
vorgeschlagenen Systems für ein Fahrzeug zur proposed system for a vehicle to
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung; automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention;
Bevor nachfolgend Ausführungsformen der Erfindung eingehender beschrieben werden, ist zunächst festzuhalten, dass die Erfindung nicht auf die beschriebenen Komponenten oder die beschriebenen Verfahrensschritte beschränkt ist. Weiterhin stellt auch die verwendete Terminologie keine Einschränkung dar, sondern hat lediglich beispielhaften Charakter. Soweit nachfolgend in der Beschreibung und den Ansprüchen der Singular verwendet wird ist dabei jeweils der Plural mitumfasst, soweit der Kontext dies nicht explizit ausschließt. Fig. 1 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur Before describing embodiments of the invention in more detail below, it should first be noted that the invention is not limited to the described components or the described method steps. Furthermore, the terminology used is not a limitation, but has only exemplary character. Insofar as the singular is used below in the description and the claims, the plural is included in each case, unless the context explicitly excludes this. Fig. 1 shows a schematic representation of a proposed system for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer automated control of at least one safety relevant function of a vehicle according to a
beispielhaften Ausgestaltung der Erfindung. exemplary embodiment of the invention.
Bei einer Fernsteuerung Safety-relevanter  In a remote control safety-relevant
Funktionen/Systeme im Fahrzeug bestehen an die gesamte Fernsteuerung, also Sender- und Empfängerseitig, neben den schon heute bekannten Anforderungen an Robustheit und Security auch noch Anforderungen an die Safety und Functions / systems in the vehicle are based on the entire remote control, ie sender and receiver side, in addition to the already known requirements for robustness and security also requirements for safety and security
Zuverlässigkeit . Reliability.
Beispielsweise muss das fehlerhafte Aktivieren einer ferngesteuerten Safety-relevanten Funktion auf Grund von Fehlern im Fernsteuer-Sender hinreichend ausgeschlossen beziehungsweise abgesichert sein.  For example, the erroneous activation of a remote-controlled safety-relevant function due to errors in the remote control transmitter must be sufficiently excluded or hedged.
Diese Safety-Anforderungen müssen beispielsweise durch Entwicklung und Absicherung der gesamten Fernsteuerung, also Sender- und Empfängerseitig, nach einer Safety-Norm wie derzeit der IEC 61508 oder im Automobilbereich derzeit der ISO 26262 erfüllt werden.  These safety requirements, for example, must be met by developing and safeguarding the entire remote control, ie transmitter and receiver side, according to a safety standard such as currently IEC 61508 or, in the automotive sector, currently ISO 26262.
Dieser "klassische" Ansatz führt allerdings zu  However, this "classical" approach leads to it
erheblichen Anforderungen insbesondere auch an den Considerable requirements in particular to the
Fernsteuer-Sender, die beispielsweise im Bereich des SW- Entwicklungsprozesses und bezüglich quantitativer Remote control transmitters, for example, in the area of SW development process and in terms of quantitative
Ausfallraten mit den heutigen "einfachen" Schlüssel- Fernbedienungen als problematisch anzusehen sind. Failure rates with today's "simple" key remotes are considered to be problematic.
Beispielsweise sind typische in der Safety verwendete Lösungen wie redundante Verarbeitung Safety-relevanter For example, typical solutions used in safety such as redundant processing are more safety-relevant
Eingangssignale in Schlüssel -Fernbedienungen alleine schon aufgrund des Bauraumes und des Stromverbrauches enge Grenzen gesetzt. Input signals in key remote controls alone set narrow limits due to the installation space and the power consumption.
Dabei zeigt Fig. 1 ein System für ein Fahrzeug 1, insbesondere ein Land-Kraftfahrzeug, aufweisend eine mobile Anforderungsvorrichtung 2 und eine  1 shows a system for a vehicle 1, in particular a land vehicle, comprising a mobile request device 2 and a
Ausführvorrichtung 10. Dabei weist die mobile Anforderungsvorrichtung 2 ein Anforderungselement 21, ein Authentifizierungselement 22 und ein Sendemodul 23 auf. Die Ausführvorrichtung 10 weist dabei ein Empfangsmodul 100 und ein Steuermodul 101 auf. Dabei ist die Execution device 10. In this case, the mobile Request device 2 comprises a request element 21, an authentication element 22 and a transmission module 23. The delivery device 10 has a receiving module 100 and a control module 101. It is the
Ausführvorrichtung 10 in dem Fahrzeug 1 angeordnet, das Anforderungselement 21 ist eingerichtet, um auf eine Implementing device 10 disposed in the vehicle 1, the request element 21 is adapted to a
Safety-relevante Anforderung 210 eines Benutzers eine entsprechende Anforderungsinformation 211 an das Safety-relevant request 210 of a user a corresponding request information 211 to the
Sendemodul 23 bereitzustellen, das To provide transmission module 23, the
Authentifizierungselement 22 ist eingerichtet, um eine Authentifizierungsinformation 221 an das Sendemodul 23 bereitzustellen, und das Sendemodul 23 ist eingerichtet, um bei Bereitstellen einer AnforderungsInformation 211 durch das Anforderungselement 21 sowohl die Authentication element 22 is arranged to provide authentication information 221 to the transmission module 23, and the transmission module 23 is arranged to provide both of the request information 211 by providing the request information 211
bereitgestellte Anforderungsinformation 211 als auch die bereitgestellte Authentifizierungsinformation 221 als eine authentifizierte Anforderungsinformation 212 an die provided request information 211 as well as the provided authentication information 221 as an authenticated request information 212 to the
Ausführvorrichtung 10 zu senden. Das Empfangsmodul 100 ist eingerichtet, um die authentifizierte To send the feeder 10. The receiving module 100 is configured to authenticate
AnforderungsInformation 212 zu empfangen, die in der authentifizierten Anforderungsinformation 212 enthaltende Authentifizierungsinformation 221 zu validieren V, und bei Validität der Authentifizierungsinformation 221 die in der authentifizierten Anforderungsinformation 212 enthaltene Anforderungsinformation 211 an das Steuermodul 101 Request information 212 to validate the authentication information 221 contained in the authenticated request information 212, and in the case of validity of the authentication information 221, the request information 211 contained in the authenticated request information 212 to the control module 101
weiterzuleiten. Das Steuermodul 101 ist eingerichtet, um die Anforderungsinformation 211 automatisiert auszuführen. forward. The control module 101 is configured to execute the request information 211 automatically.
Fig. 2 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur Fig. 2 shows a schematic representation of a proposed system for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung. automated control of at least one safety relevant function of a vehicle according to another exemplary embodiment of the invention.
Dabei zeigt Fig. 2 eine exemplarische Systemerweiterung des in Fig. 1 gezeigten exemplarischen Systems, wobei das Steuermodul 101 ein Safety-relevantes Modul 1010 aufweist, und wobei das automatisierte Ausführen der  2 shows an exemplary system extension of the exemplary system shown in FIG. 1, wherein the control module 101 has a safety-relevant module 1010, and wherein the automated execution of the
Anforderungsinformation 211 durch das Steuermodul 101 aufweist, dass auf Basis der AnforderungsInformation 211 das Safety-relevante Modul 1010 angewiesen wird, Request information 211 by the control module 101 that, based on the request information 211, the safety-relevant module 1010 is instructed
mindestens eine Safety-relevante Funktion 11 des at least one safety-relevant function 11 of the
Fahrzeuges 1 zu übernehmen, um die AnforderungsInformation 211 automatisiert auszuführen, und wobei die Kontrolle über die übernommene Safety-relevante Funktion 11 des Fahrzeuges 1 auf das Safety-relevante Modul 1010 übergeht.  Vehicle 1 to perform the request information 211 automated, and the control over the acquired safety-related function 11 of the vehicle 1 passes to the safety-relevant module 1010.
Ferner zeigt Fig. 2 exemplarisch eine mobile  Furthermore, FIG. 2 shows a mobile example
Anforderungsvorrichtung 2 für ein erfindungsgemäßes  Request device 2 for an inventive
System, wobei die mobile Anforderungsvorrichtung 2 eine Fernbedienung, insbesondere eine Funkfernbedienung ist, vorzugsweise ein Fahrzeugschlüssel oder eine mobile System, wherein the mobile request device 2 is a remote control, in particular a radio remote control, preferably a vehicle key or a mobile
Kommunikationsvorrichtung. Die Anforderungsvorrichtung 2 weist ein Anforderungselement 21, ein Communication device. The requesting device 2 has a requesting element 21, a
Authentifizierungselement 22 und ein Sendemodul 23 auf. Dabei ist das Anforderungselement 21 eingerichtet, um auf eine Safety-relevante Anforderung 210 eines Benutzers eine Anforderungsinformation 211 an das Sendemodul 23  Authentication element 22 and a transmission module 23. In this case, the request element 21 is set up to request a safety-relevant request 210 of a user requesting 211 to the transmission module 23rd
bereitzustellen, das Authentifizierungselement 22 ist eingerichtet, um eine Authentifizierungsinformation 221 bereitzustellen, und das Sendemodul 23 ist eingerichtet, um bei Bereitstellen einer Anforderungsinformation 211 durch das Anforderungselement 21 sowohl die The authentication element 22 is set up to provide authentication information 221, and the transmission module 23 is arranged to provide both the information to the request element 211 by the request element 21 when providing request information 211
bereitgestellte AnforderungsInformation 211 als auch die bereitgestellte Authentifizierungsinformation 221 als eine authentifizierte Anforderungsinformation 212 an die provided request information 211 as well as the provided authentication information 221 as a authenticated request information 212 to the
Ausführvorrichtung 10 zu senden. To send the feeder 10.
Ferner zeigt Fig. 2, dass das Authentifizierungselement 22 in diesem exemplarischen Beispiel durch den Benutzer aktiviert 220 werden muss, damit das  Furthermore, FIG. 2 shows that the authentication element 22 in this exemplary example has to be activated 220 by the user so that the
Authentifizierungselement 22 eine valide  Authentication element 22 a valid
Authentifizierungsinformation 221 als zu sendende Authentication information 221 as to be sent
Authentifizierungsinformation 221 bereitstellt. Authentication information 221 provides.
Zusätzlich weist die mobile Anforderungsvorrichtung 2 aus Fig. 2 exemplarisch ein Stoppelement 24 auf. Dabei ist das Stoppelement 24 eingerichtet, um auf eine Anforderung des Benutzers eine Stoppinformation 241 als  In addition, the mobile request device 2 from FIG. 2 has a stop element 24 by way of example. In this case, the stop element 24 is set to stop information 241 as requested by the user
AnforderungsInformation 211 an das Sendemodul 23 Request information 211 to the transmission module 23
bereitzustellen. provide.
Fig. 3 zeigt eine schematische Darstellung eines vorgeschlagenen Verfahrens für ein Fahrzeug zur Fig. 3 shows a schematic representation of a proposed method for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer automated control of at least one safety-relevant function of a vehicle according to a
beispielhaften Ausgestaltung der Erfindung. exemplary embodiment of the invention.
Dabei zeigt Fig. 3 exemplarisch ein Verfahren zur automatisierten Steuerung mindestens einer Safety- relevanten Funktion 11 eines Fahrzeuges 1 für ein  FIG. 3 shows by way of example a method for the automated control of at least one safety-relevant function 11 of a vehicle 1 for a vehicle
erfindungsgemäßes System. Das Verfahren weist hierbei auf: inventive system. The method has hereby:
Empfangen einer authentifizierten  Receive an authenticated
Anforderungsinformation 212, Validieren V einer in der authentifizierten Anforderungsinformation 212 enthaltenen Authentifizierungsinformation 221, Weiterleiten der in der authentifizierten AnforderungsInformation 212 enthaltenen Anforderungsinformation 211 und des Ergebnisses E des Request information 212, validating V an authentication information 221 contained in the authenticated request information 212, forwarding the request information 211 contained in the authenticated request information 212 and the result E of
Validierens der Authentifizierungsinformation 221 an ein Steuermodul 101. Dabei weist das Verfahren für das Validating the authentication information 221 to Control module 101. In this case, the method for the
Steuermodul 101 auf: Control module 101 on:
Falls das Ergebnis E des Validierens V der  If the result E of the validation V of the
Authentifizierungsinformation 221 negativ ist und bereits eine Safety-relevante Funktion 11 des Fahrzeuges 1 Authentication information 221 is negative and already a safety-relevant function 11 of the vehicle. 1
übernommen ist: is taken over:
Überführen der übernommenen Safety-relevanten Funktion 11 in einen sicheren Zustand S, Freigeben F der  Transferring the acquired safety-relevant function 11 into a safe state S, releasing F the
übernommenen Safety-relevanten Funktion 11, und Ablehnen R der Anforderungsinformation 211. Ferner, falls das assumed safety-related function 11, and rejection R of the request information 211. Further, if the
Ergebnis E des Validierens V der Result E of the validation V of the
Authentifizierungsinformation 221 negativ ist und keine Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen ist :  Authentication information 221 is negative and no safety-relevant function 11 of the vehicle 1 is adopted:
Ablehnen R der AnforderungsInformation 211.  Reject request R 211.
Andernfalls, falls das Ergebnis E des Validierens V der Authentifizierungsinformation 221 positiv ist:  Otherwise, if the result E of the validation V of the authentication information 221 is positive:
Falls bereits eine Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen ist :  If a safety-relevant function 11 of the vehicle 1 has already been adopted:
Überführen der übernommenen Safety-relevanten Funktion Transfer of the adopted safety-relevant function
11 in einen sicheren Zustand S, und Freigeben F der übernommenen Safety-relevanten Funktion 11. 11 in a safe state S, and release F of the acquired safety-relevant function 11th
Ferner, unabhängig davon, ob bereits eine Safety- relevante Funktion 11 des Fahrzeuges 1 übernommen ist:  Furthermore, regardless of whether a safety-relevant function 11 of the vehicle 1 has already been adopted:
Bestimmen auf Basis der Anforderungsinformation 211, welche Safety-relevante Funktion 11 des Fahrzeuges 1 übernommen werden soll, Überführen der zu übernehmenden Safety-relevanten Funktion 11 in einen sicheren Zustand S. Falls die Safety-relevante Funktion 11 nicht in einen sicheren Zustand S überführt werden kann:  Determining on the basis of the request information 211 which safety-relevant function 11 of the vehicle 1 is to be adopted, transferring the safety-relevant function 11 to be adopted into a safe state S. If the safety-relevant function 11 is not transferred to a safe state S. can:
Ablehnen R der Ausführung der AnforderungsInformation Reject R of the execution of the request information
211. Falls die Safety-relevante Funktion 11 in einen sicheren Zustand S überführt ist: 211th If the safety-relevant function 11 is transferred to a safe state S:
Übernehmen der Safety-relevanten Funktion 11 und  Acceptance of the safety-relevant function 11 and
Ausführen X der Anforderungsinformation 211.  Execute X the request information 211.
Fig. 4 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur Fig. 4 shows a schematic representation of a proposed system for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung. automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention.
Dabei zeigt Fig. 4 ein Sender/Empfänger System: Eine Safety-relevante Anforderung 210 eines Benutzers,  4 shows a transmitter / receiver system: a safety-relevant requirement 210 of a user,
nachfolgend auch Benutzereingabe „BE" genannt, wird von einem Teil 21, 23 einer mobilen Anforderungsvorrichtung 2, welcher nachfolgend auch Senderlogik 21, 23 oder Logik 21, 23 genannt wird, mittels einer hereinafter also referred to as user input "BE" is of a part 21, 23 of a mobile request device 2, which is also referred to below sender logic 21, 23 or logic 21, 23, by means of a
Authentifizierungsinformation 221 in eine entsprechende authentifizierte Anforderungsinformation 212, nachfolgend auch Datum „SD" genannt, umgewandelt, welches BE in codierter Form enthält, das heißt: SD=f (BE) . Bei f (BE} kann es sich beispielsweise um eine  Authentication information 221 is converted into a corresponding authenticated request information 212, hereinafter also called date "SD", which contains BE in coded form, that is: SD = f (BE)
einfache Codierung handeln, wie SD=BE oder SD enthält, beispielsweise aus Security-Gründen, noch weitere  simple coding, such as SD = BE or SD contains, for security reasons, for example, more
Informationen wie beispielsweise die Identifikation des Senders oder Checksummen, wie beispielsweise einen Cyclic Redundancy Check „CRC" oder einen Sequenzzähler. Auf Information such as the sender's identification or checksums, such as a cyclic redundancy check "CRC" or a sequence counter
Empfängerseite wird in Teilen 100, 101 der Receiver side is divided into parts 100, 101 of the
Ausführvorrichtung 10, nachfolgen auch Auswertelogik 100, 101 genannt, aus dem empfangenen SD die Benutzereingabe BE ermittelt, das heißt: BE=f_1(SD), und die vorgesehene Aktion wird ausgeführt. Der erfindungsgemäße Ansatz erlaubt das Ein- und Execution device 10, also followed by evaluation logic 100, 101, determines the user input BE from the received SD, that is to say BE = f_1 (SD), and the intended action is carried out. The approach of the invention allows the input and
Ausschalten Safety-relevanter Funktionalitäten Switch off safety-relevant functionalities
beispielsweise per mobiler Anforderungsvorrichtung 2, nachfolgend auch Fernbedienung 2 genannt, beispielsweise per Schlüsselfernbedienung 2, ohne dass die gesamte For example, by mobile request device 2, hereinafter also called remote control 2, for example by key remote control 2, without the entire
Elektronik oder auch nur der Mikrocontroller im Electronics or just the microcontroller in the
Fernbedienungssender 23 explizite Safety-Anforderungen erben muss . Remote control transmitter 23 must inherit explicit safety requirements.
Dazu nachfolgende Überlegungen:  Here are the following considerations:
Analog zum heute im Fahrzeug 1 befindlichen Fahrer, der die letztendliche Verantwortung über die gesamte  Analogous to the driver currently in the vehicle 1, who has the ultimate responsibility over the entire
Fahrzeugführung hat, soll der die Fernbedienung 2 Vehicle control has, should the remote 2
bedienende "Operator" die letztendliche Verantwortung über die fernbedienten Funktionen 11 erhalten und/oder "operator" receive the ultimate responsibility over the remotely operated functions 11 and / or
behalten. to keep.
Eine erste Safety-Anforderung lautet daher, dass das System das EINschalten einer fernbedienten Safety- relevanten Funktion 11 ohne Operator-Wunsch verhindern können muss.  A first safety requirement is therefore that the system must be able to prevent the switching on of a remote-controlled safety-relevant function 11 without operator request.
Ferner wird davon ausgegangen, dass eine fernbedienbare Furthermore, it is assumed that a remote-controlled
Safety-relevante Funktion 11 im Modus AUS einen sicheren Zustand S im Hinblick auf Safetyness darstellt. Daher lautet eine zweite Safety-Anforderung, dass das System einen Operator-Wunsch auf Ausschalten einer fernbedienten Safety-relevanten Funktion 11 erkennen und umsetzen können muss, indem der sichere Zustand S eingenommen wird. Safety-relevant function 11 in OFF mode represents a safe state S with regard to safety nesess. Therefore, a second safety requirement is that the system must be able to recognize and implement an operator request to switch off a remotely operated safety-relevant function 11, by assuming the safe state S.
Da es hierbei vorkommen kann, dass der Operator eventuell keinen mechanischen Durchgriff mehr hat, muss das System zudem so ausgelegt werden, dass in allen  Since it may happen that the operator may not have any mechanical penetration, the system must also be designed so that in all
Situationen und insbesondere auch bei Fehlbedienungen durch den Operator ein unkontrolliertes Verbleiben Situations and especially in case of incorrect operation by the operator an uncontrolled stay
beziehungsweise ein Wechsel in einen nicht-sicheren Zustand, in Bezug auf Safetyness verhindert wird. Im or a change to a non-secure Condition, in terms of safetyness is prevented. in the
Zweifelsfall ist der sichere Zustand S in Bezug auf In case of doubt, the safe state is S with respect to
Safetyness einzunehmen. Dies ist eine dritte Safety- Anforderung . Safetyness to take. This is a third safety requirement.
Ein erfindungsgemäß vorgeschlagener Ansatz sieht zur An inventively proposed approach looks to
Erfüllung der ersten Safety-Anforderung nachfolgendes vor: Fulfillment of the first safety requirement following:
Im Sendemodul 23 der mobilen Anforderungsvorrichtung 2, nachfolgend auch Fernbedienungssender 23 genannt, befindet sich eine Authentifizierungsinformation 221, nachfolgend auch Geheimnis „G" genannt, welches von der  In the transmission module 23 of the mobile request device 2, also referred to below as the remote control transmitter 23, there is an authentication information 221, hereinafter also referred to as a secret "G", which is called by the
Ausführvorrichtung 10, nachfolgend auch Empfänger 10 genannt, erwartet wird, um die fernbediente Safety- relevante Funktion 11 EINzuschalten. Dieses Geheimnis G muss so komplex sein, dass mit hinreichender  Execution device 10, also referred to below as the receiver 10, is expected to switch on the remote-controlled safety-relevant function 11. This secret G must be so complex that with sufficient
Wahrscheinlichkeit auszuschließen ist, dass ein Element in der Kette Sender 23, Übertragungsstrecke, Empfänger 10 und Auswertelogik 100, 101 jenes Geheimnis G, selbst in einem Fehlerfall, zufällig erzeugen kann. Das Geheimnis G kann so ausgelegt werden, dass nicht der gesamte senderseitige Umfang explizite Safety-Anforderungen erben muss. Dies ist ein wesentlicher Vorteil der Erfindung. It is possible to rule out the possibility that an element in the chain transmitter 23, transmission link, receiver 10 and evaluation logic 100, 101 can generate randomly that secret G, even in the case of an error. The secret G can be designed so that the entire transmitter-side scope does not have to inherit explicit safety requirements. This is a significant advantage of the invention.
Ferner darf das Geheimnis G senderseitig erst durch Operator-Sicherheits-Eingaben, wie beispielsweise mittels Aktivieren oder Deaktivieren eines Stoppelementes 24  Furthermore, the secret G may only be transmitted on the transmitter side by operator security inputs, such as by activating or deactivating a stop element 24
"aktiviert" werden können. Das Geheimnis G kann can be "activated". The secret G can
Empfängerseitig ausgewertet werden. Nur wenn das korrekte Geheimnis G erkannt wird, steuert der Empfänger 10 die Safety-relevante Funktionalität 11 des Fahrzeuges 1 an.  Evaluated on the receiver side. Only when the correct secret G is detected, the receiver 10 controls the safety-relevant functionality 11 of the vehicle 1.
Der erfindungsgemäße Ansatz sieht in einer weiteren exemplarischen Ausgestaltung zur Erfüllung der zweiten Safety-Anforderung vor, dass die mobile  The inventive approach provides in a further exemplary embodiment for fulfilling the second safety requirement that the mobile
Anforderungsvorrichtung 2 , nachfolgend auch Fernbedienungssender 2 genannt, einen Mechanismus Request device 2, hereinafter also Remote control transmitter 2 called a mechanism
enthalten muss, der sicher die fernbediente Safety- relevante Funktion 11 Ausschaltet, sobald der Operator die Sicherheitseingaben zurücknimmt. Im Sinne der Safety ist selbst im Fehlerfalle mit hinreichender Wahrscheinlichkeit sicherzustellen, dass eine Deaktivierung des Geheimnisses erfolgen kann, wenn der Operator die Sicherheitseingaben zurücknimmt . which safely switches off the remote-controlled safety-relevant function 11 as soon as the operator withdraws the safety inputs. In the sense of safety, even in the event of an error, it is sufficiently probable to ensure that the secret can be deactivated when the operator withdraws the safety inputs.
Grenzwerte für die oben genannten "hinreichenden  Limit values for the above "sufficient
Wahrscheinlichkeiten" können je nach Safety-Relevanz unterschiedlich sein. Sie lassen sich beispielsweise aus Vorgaben in den Safety-Normen ableiten. Beispielsweise schlägt ISO 26262 für ASIL C einen Wert von <= 1E-7 pro Betriebsstunde vor. Probabilities "can differ depending on the safety relevance, for example, they can be derived from specifications in the safety standards, for example ISO 26262 proposes a value of <= 1E-7 per operating hour for ASIL C.
Erfindungsgemäß kann ferner zur Erfüllung der dritten According to the invention can also fulfill the third
Safety-Anforderung vorgesehen sein, dass die Safety requirement be provided that the
Sicherheitseingaben senderseitig so ausgelegt werden müssen, dass in typischen Fehlbedienungssituationen wie beispielsweise, wenn die Fernbedienung 2 fallengelassen wird, dies automatisch als „fernbediente Safety-relevante Funktion 11 Ausschalten" interpretiert wird. Dies kann beispielsweise durch geeignetes Auslegen des On the transmitter side, safety inputs must be designed in such a way that in typical operating conditions, such as when the remote control 2 is dropped, this is automatically interpreted as a "remote-controlled safety-relevant function 11 switch-off." This can be done, for example, by appropriately laying out the
Stoppelementes 24 geschehen. Stop element 24 happen.
Erfindungsgemäß kann ferner zur Erfüllung der dritten Safety-Anforderung vorgesehen sein, dass die  According to the invention may also be provided to fulfill the third safety requirement that the
Sicherheitseingaben senderseitig so ausgelegt werden müssen, dass in typischen FehlbedienungsSituationen, wie beispielsweise, dass die Fernbedienung 2 in der  Security inputs transmitter side must be designed so that in typical incorrect operation situations, such as that the remote control 2 in the
Hosentasche unbeabsichtigte "Eingaben" 210 und damit eine Safety-relevante Funktion 11 anfordert, mit hinreichender Wahrscheinlichkeit auszuschließen ist, dass unbeabsichtigt das Geheimnis G "aktiviert" wird. Als weiteres exemplarisches Ausführungsbeispiel enthält die Fernbedienung 2 eine Sicherheitsschaltung, aufweisend ein Stoppelement 24, welches ein Safety-Schaltelement 24-2 und eine Reset-Schaltung 24-1 für die Logik 21, 23 Trouser pocket unintentional "inputs" 210 and thus a safety-relevant function 11 requests, with reasonable probability is ruled out that unintentionally the secret G is "activated". As a further exemplary embodiment, the remote control 2 includes a safety circuit, comprising a stop element 24, which has a safety switching element 24-2 and a reset circuit 24-1 for the logic 21, 23
aufweist, und ein Authentifizierungselement 22, and an authentication element 22,
nachfolgend auch Sicherheitslogik "SichLogik" 22 genannt. hereafter also called the safety logic "SichLogik" 22.
Die Fernbedienung 2 kann dabei auch nicht Safety- relevant abzusichernde Eingaben, wie das Öffnen des  The remote control 2 can also not safety relevant relevant inputs, such as opening the
Kofferraumes, enthalten. Will der Benutzer solch eine nicht-abzusichernde Eingabe tätigen, so verhält sich dieTrunk, included. If the user wants to make such a non-secure input, so behaves the
Senderseite wie zuvor genannt, da das Safety-Schaltelement 24-2 nicht betätigt ist, beispielsweise gilt in diesem Fall für das Safety-Schaltelement 24-2 des Stoppelementes 24 Safety-Schaltelement=l , und somit ist SichLogik 22 nicht aktiv. Transmitter side as previously mentioned, since the safety switching element 24-2 is not actuated, for example, applies in this case for the safety switching element 24-2 of the stop element 24 safety switching element = l, and thus SichLogik 22 is not active.
Wenn SichLogik 22 nicht aktiv ist, also das Safety- Schaltelement 24-2 gleich 1 ist, dann kann die Logik 21, 23 das Datum SD nur ohne G versenden, das heißt, SD=f (BE) . Dies ist auf Empfängerseite erkennbar, und der Empfänger 10 kann nur solche Aktionen ansteuern die den nicht- abzusichernden Benutzereingaben BE entsprechen. Dabei bezeichnet Safety-Schaltelement=l , dass die Reset- Schaltung 24-1 einen Strom führt, wohingegen Safety- Schaltelement^ anzeigt, dass die Reset-Schaltung 24-1 keinen Strom führt.  If SichLogik 22 is not active, ie the safety switching element 24-2 is equal to 1, then the logic 21, 23 can send the data SD only without G, that is, SD = f (BE). This can be recognized on the receiver side, and the receiver 10 can only control those actions which correspond to the user inputs BE that are not to be protected. In this case, safety switching element = 1 designates that the reset circuit 24-1 carries a current, whereas safety switching element 1 indicates that the reset circuit 24-1 carries no current.
Die Aufgabe der SichLogik 22 ist es, ein der Logik 21, 23 nicht bekanntes und hinreichend komplexes Geheimnis G zu enthalten, welches zur Absicherung  The task of SichLogik 22 is to contain a secret G that is unknown to Logic 21, 23 and that is sufficiently complex, which is to be safeguarded
sicherheitsrelevanter Benutzereingaben 210 verwendet wird. security-relevant user input 210 is used.
Dabei kann die SichLogik 22 beispielsweise ein  The SichLogik 22 can, for example, a
einfacher Speicher sein. Die SichLogik 22 kann jedoch auch eine komplexere Schaltung, wie beispielsweise ein MikroController, ASIC und dergleichen sein. Die SichLogikbe simple storage. However, the logic 22 may also be a more complex circuit, such as a Microcontroller, ASIC and the like. The SichLogik
22 ist dabei nur dann aktiv, wenn das Safety-Schaltelement 24-2 gleich 0 ist. In Fig. 4 kann beispielsweise die 22 is only active when the safety switching element 24-2 is 0. In Fig. 4, for example, the
Anbindung an die Energieversorgung der SichLogik 22 über den Weg Safety-Schaltelement 24-2 gleich 0 realisiert werden. Connection to the power supply of the SichLogik 22 via the way Safety switching element 24-2 equal to 0 can be realized.
Nur wenn SichLogik 22 aktiv ist, "kennt" die Logik 21, Only when SichLogik 22 is active does the logic "know" 21,
23 das Geheimnis G, beispielsweise weil die aktivierte SichLogik 22 das Geheimnis G an die Logik 21, 23 23 the secret G, for example because the activated Sich logic 22 the secret G to the logic 21, 23
verschickt oder weil die Logik 21, 23 das Geheimnis G von der SichLogik 22 erfragt. Wenn SichLogik 22 nicht aktiv ist, "kennt" die Logik 21, 23 das Geheimnis G nicht. Im Fall abzusichernder Benutzer-Eingaben 210 muss der Nutzer die entsprechenden Eingaben über BE 210 vornehmen sowie das Safety-Schaltelement 24-2 betätigen. Dadurch wird die SichLogik 22 aktiv und die Logik 21, 23 kann über das Geheimnis G 221 verfügen. In diesem Fall wird BE 210 unter Zuhilfenahme von G 221 in ein zu versendendes Datum SD 212 gewandelt, welches BE 210 und G 221 in codierter Form enthält, das heißt SD=f (BE, G) . Dabei ist jede Funktion f (BE , G) geeignet, wenn die folgenden Eigenschaften der Codierung erfüllt sind: or because the logic 21, 23 asks the secret G of the SichLogik 22. If SichLogik 22 is not active, the logic 21, 23 does not "know" the secret G. In the case of user entries 210 to be secured, the user must make the corresponding entries via BE 210 and actuate the safety switching element 24-2. As a result, the logic 22 becomes active and the logic 21, 23 can have the secret G 221. In this case, BE 210 is converted with the aid of G 221 into a date SD 212 to be sent, which contains BE 210 and G 221 in coded form, that is SD = f (BE, G). Each function f (BE, G) is suitable if the following properties of the coding are fulfilled:
- die Komplexität von G bleibt erhalten;  - the complexity of G is preserved;
- empfängerseitige Prüfung auf Verwendung des korrekten G;  - receiver-side check for the use of the correct G;
- die Information über BE bleibt erhalten  - the information about BE is retained
beziehungsweise ist empfängerseitig rekonstruierbar. or can be reconstructed on the receiver side.
Ein einfaches Beispiel ist das Anhängen von G an BE (SD=f (BE, G) =BEoG) :  A simple example is appending G to BE (SD = f (BE, G) = BEoG):
Wenn BE beispielsweise aus dem Binärwort 1010 und G aus dem Binärwort 10011001 besteht, so wäre in diesem Fall SD=101010011001. Es kann auc eine komplexere Codierung verwendet werden: For example, if BE consists of the binary word 1010 and G is of the binary word 10011001, SD = 101010011001 would be in this case. It can also be used a more complex encoding:
Beispielsweise könnte BE in der Logik 21, 23 mit einer Checksumme/Hash belegt werden. Dann könnte G den Startwert „Seed" des CRC darstellen, mit SD=f (BE, G) =BEoCRC (Seed=G, Datum=BE) .  For example, BE could be assigned a check sum / hash in the logic 21, 23. Then G could represent the starting value "seed" of the CRC, with SD = f (BE, G) = BEoCRC (seed = G, date = BE).
Eine weitere komplexere Codierung wäre die Nutzung von G als kryptographischen Schlüssel, entweder in einer symmetrischen Verschlüsselung oder in einer asymmetrischen Verschlüsselung:  Another more complex encoding would be the use of G as a cryptographic key, either in symmetric encryption or in asymmetric encryption:
Wenn z.B. das Verschlüsselungsverfahren AES zum Einsatz kommt, dann könnte SD=f (BE, G) =AES (Schlüssel=G, Datum=BE) sein.  If e.g. If the encryption method AES is used then SD = f (BE, G) = AES (key = G, date = BE).
Auf Empfängerseite wird in der Auswertelogik 100, 101 das empfangene SD 212 überprüft. Dazu wird je nach  On the receiver side, the received SD 212 is checked in the evaluation logic 100, 101. This will depending on
verwendeter Funktion f(BE,G) entweder auf ein auch im used function f (BE, G) either on one also in the
Empfänger 10 bekanntes G 221 geprüft, also eine sogenannte "symmetrische Kodierung" oder bei "asymmetrischer Receiver 10 known G 221 tested, ie a so-called "symmetric coding" or "asymmetric
Kodierung" mittels eines zu G 221 passendes G' geprüft. Coding "by means of a fit to G 221 G 'tested.
Bei symmetrischer Kodierung kennt der Empfänger 10 G With symmetric coding, the receiver knows 10 G
221 und weiß, wie SD=f (BE, G) aufgebaut ist. Damit kann er prüfen, ob das empfangene SD 212 das "korrekte" G 221 enthält und BE 210 rekonstruieren. 221 and knows how SD = f (BE, G) is constructed. This allows it to check if the received SD 212 contains the "correct" G 221 and reconstruct BE 210.
Bei asymmetrische Kodierung kennt der Empfänger 10 ein zu G 221 passendes G" und weiß, wie SD=f (BE, G) aufgebaut ist. Damit kann er mit g(SD,G') auf die Korrektheit von SD 212 prüfen und so BE 210 rekonstruieren, analog wie beispielsweise bei einer PGP-Verschlüsselung. Wenn SD 212 korrekt geprüft wurde, dann ist im Empfänger 10 die rekonstruierte Benutzereingäbe BE 210 als abzusichernde Benutzereingabe 210 zu verstehen und eine Aktion auszuführen, beispielsweise die Validität von BE 210 zu bestätigen. In the case of asymmetric coding, the receiver 10 knows a G "suitable for G 221 and knows how SD = f (BE, G) is constructed, so that it can check the correctness of SD 212 with g (SD, G ') and thus BE 210, analogous to, for example, a PGP encryption If SD 212 has been checked correctly, then in receiver 10 the reconstructed user input BE 210 is to be understood as a user input 210 to be protected and an action For example, to confirm the validity of BE 210.
Andernfalls kann empfängerseitig ein Fehler oder eine sonstige sinnvolle Reaktion, beispielsweise lediglich Ausführung solcher Aktionen, die nicht-abzusichernden Benutzereingaben entsprechen erfolgen.  Otherwise, an error or other meaningful reaction, for example only execution of such actions, the non-secure user input can be done on the receiver side.
Bei Verwenden eines Stoppelementes 24 kann in dem beschriebenen exemplarischen Ausführungsbeispiel eine Reset-Schaltung 24-1 notwendig sein, damit die Logik 21, 23 zuverlässig das Geheimnis G 221 wieder vergisst, sobald die Logik 21, 23 beziehungsweise das Geheimnis G 221 in der Logik 21, 23 deaktiviert wurde, also ein Wechsel im Safety-Schaltelement 24-2 des Stoppelementes 24 von  When using a stop element 24, in the described exemplary embodiment a reset circuit 24-1 may be necessary for the logic 21, 23 to reliably forget the secret G 221 once the logic 21, 23 or the secret G 221 in the logic 21 , 23 has been deactivated, ie a change in the safety switching element 24-2 of the stop element 24 of
Safety-Schaltelement=l auf Safety-Schaltelement=0 Safety switching element = l on safety switching element = 0
stattfindet. Die Aufgabe der Reset-Schaltung 24-1 besteht in diesem Fall darin, aus einem entsprechenden takes place. The task of the reset circuit 24-1 is in this case, from a corresponding
Flankenwechsel einen Reset-Impuls für die Logik 21 zu erzeugen. Im eingeschwungenen Zustand, also Safety- Schaltelement^ , ist der Reset-Impuls abgelaufen, das heißt die Logik 21, 23 ist nicht im Reset, sondern Edge change to generate a reset pulse for the logic 21. In the steady state, so safety switching element ^, the reset pulse has expired, that is, the logic 21, 23 is not in the reset, but
operationsbereit. Bei einem Wechsel von Safety- Schaltelement^ auf Safety-Schaltelement=0 ändert sich daran nichts. Wenn dann das Safety-Schaltelement=0 auf Safety-Schaltelement=l zurückwechselt steht ein operational ready. When switching from safety switching element ^ to safety switching element = 0, nothing changes. If then the safety switching element = 0 switches back to safety switching element = 1, it is ready
entsprechender Flankenwechsel an und die Reset-Schaltungcorresponding edge change and the reset circuit
24-1 erzeugt den Reset-Impuls und die Logik 21, 23 geht in den Reset. Sobald der Reset-Impuls abgelaufen ist, ist der eingeschwungene Zustand wieder erreicht. Die Reset- Schaltung 24-1 sollte daher so ausgelegt werden, dass die Logik 21, 23 das vorher explizit oder zumindest 24-1 generates the reset pulse and the logic 21, 23 goes into reset. Once the reset pulse has expired, the steady state is reached again. The reset circuit 24-1 should therefore be designed so that the logic 21, 23 the previously explicit or at least
theoretisch - auch im Fehlerfall - gekannte Geheimnis G 221 mit hinreichender Wahrscheinlichkeit zuverlässig vergisst, sobald das Geheimnis G 221 deaktiviert wurde, also Safety-Schaltelement=0 auf Safety-Schaltelement=l . theoretically - even in case of error - known secret G 221 with sufficient probability reliable Forgets as soon as the secret G 221 has been deactivated, ie safety switching element = 0 on safety switching element = l.
Der Reset der Logik 21, 23 kann beispielsweise über einen vorhandenen Reset-Eingang in der Logik 21, 23 erfolgen wenn ein so ausgelöster Reset den internen  The reset of the logic 21, 23 can be done for example via an existing reset input in the logic 21, 23 when a so triggered reset the internal
Speicher der Logik 21, 23 der G 221 enthalten könnte, mit hinreichender Wahrscheinlichkeit zuverlässig  Logic 21, 23 memory that could contain G 221 is sufficiently reliable
löscht/zurücksetzt . clears / resets.
Der Reset der Logik 21, 23 kann alternativ  The reset of the logic 21, 23 may alternatively
beispielsweise über eine, möglicherweise auch nur for example, one, maybe only
temporäre, Wegnahme der Betriebsspannung von der Logik 21, 23 erfolgen, wenn die Logik 21, 23 mit einem flüchtigen Speichern ausgestattet ist, welche G 221 enthalten können. Fig. 5 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur temporary, removal of the operating voltage from the logic 21, 23 done when the logic 21, 23 is equipped with a volatile memory, which may include G 221. Fig. 5 shows a schematic representation of a proposed system for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung. automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention.
Dabei entspricht das exemplarische Ausführungsbeispiel der Erfindung aus Fig. 5 weitgehend demjenigen  In this case, the exemplary embodiment of the invention from FIG. 5 largely corresponds to that
exemplarischen Ausführungsbeispiel der Erfindung aus Fig. 4. Allerdings verwendet in diesem exemplarischen exemplary embodiment of the invention of Fig. 4. However, used in this exemplary
Ausführungsbeispiel der Erfindung nicht die Logik 21, 23 das Geheimnis G 221 um aus G 221 und BE 210 eine zu versendende authentifizierte Anforderungsinformation SD 212 zu erzeugen (SD=f (BE , G) . Stattdessen stellt die In accordance with an embodiment of the invention, the logic 21, 23 does not generate the secret G 221 (G = SD1 = f (BE, G)) from G 221 and BE 210. The authenticated request information SD 212 to be sent is SD
SichLogik 22 ein Datum H zusätzlich zur SichLogik 22 a date H in addition to
Anforderungsinformation 211 SD der Logik 21, 23 zur Request information 211 SD of the logic 21, 23 for
Versendung bereit, wenn die SichLogik 22 mittels dem Dispatch ready when the SichLogik 22 by means of
Safety-Schaltelement 24-2 aktiviert wurde. Im einfachsten Fall kann H=G und SD=BE sein. Alternativ können auch eines der oder beide Datumswerte H und SD codiert sein, beispielsweise H=f1 (G) und Safety switching element 24-2 has been activated. In the simplest case, H = G and SD = BE. Alternatively, one or both of the dates H and SD may be encoded, for example H = f1 (G) and
SD=f2 (BE) . Dabei können H, respektive SD auch noch weitere Informationen wie beispielsweise eine Identifikation des Senders "Sender-ID" oder Checksummen wie CRC oder SD = f2 (BE). In this case, H, respectively SD also further information such as an identification of the transmitter "Sender ID" or checksums such as CRC or
Sequenzzähler und dergleichen enthalten. Die in Fig. 4 gezeigte Reset-Schaltung 24-1 ist bei der Schaltung in Fig. 5 nicht mehr zwangsläufig notwendig, da die Logik 21, 23 hier das Geheimnis G 221 nie "kennt", muss sie G 221 auch nicht zuverlässig "vergessen", kann jedoch optional hinzugefügt werden. In Fig. 5 ist deshalb die Reset- Schaltung 24-1 gestrichelt dargestellt.  Sequence counter and the like included. The reset circuit 24-1 shown in FIG. 4 is no longer necessarily necessary in the circuit in FIG. 5, since the logic 21, 23 never "knows" the secret G 221, nor does it have to reliably "forget" G 221 ", but can be added as an option. In Fig. 5, therefore, the reset circuit 24-1 is shown in dashed lines.
In diesem Fall bildet die mobile  In this case, the mobile forms
Anforderungsvorrichtung 2 eine authentifizierte Request device 2 an authenticated
Anforderungsinformation 212 SDH ohne der Logik 21, 23 das Geheimnis G 221 bekannt zu geben. Versendet wird also SDH=f(SD,H). Dabei können H und SD zeitlich korreliert versendet werden beispielsweise SDH=SDoH oder SDH=HoSD. Alternativ ist auch denkbar, dass H periodisch und Request information 212 SDH without the logic 21, 23 announce the secret G 221. So SDH = f (SD, H) is sent. In this case, H and SD can be sent in a time-correlated manner, for example SDH = SDoH or SDH = HoSD. Alternatively, it is also conceivable that H periodically and
unabhängig von SD versendet wird. Beispielsweise könnte erst die Logik 21, 23 die AnforderungsInformation SD 211 und anschließend die Sicherheitslogik 22 das H 211 is sent independently of SD. For example, first the logic 21, 23 could be the request information SD 211 and then the security logic 22 the H 211
versenden. Auf Empfängerseite wird wiederum SDH auf to ship. At the receiving end, SDH will turn on
Korrektheit geprüft und im Erfolgsfall Aktion ausgeführt. Die Vorgehensweise ist dabei analog zu der in Fig. 4 beschriebenen . Correctness checked and executed in case of success action. The procedure is analogous to that described in FIG. 4.
Auch bei dieser Schaltung erfolgt eine zuverlässige Deaktivierung der SichLogik 22 bei also beim Wechsel im Safety-Schaltelement 24-2 des Stoppelementes 24 von  Also in this circuit, a reliable deactivation of the SichLogik 22 so when changing the safety switching element 24-2 of the stop element 24 of
Safety-Schaltelement=0 auf Safety-Schaltelement=l , analog zu der in Fig. 4 beschriebenen. Bei deaktivierter Safety switching element = 0 to safety switching element = l, analogous to that described in Fig. 4. When disabled
SichLogik 22 kann kein H erzeugt werden und somit nur die Anforderungsinformation SD 211 und keine authentifizierte Anforderungsinformation SDH 212 versendet werden. SichLogik 22 no H can be generated and thus only the Request information SD 211 and no authenticated request information SDH 212 are sent.
Fig. 6 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur Fig. 6 shows a schematic representation of a proposed system for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung. automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention.
Dabei entspricht das exemplarische Ausführungsbeispiel der Erfindung aus Fig. 6 weitgehend demjenigen  In this case, the exemplary embodiment of the invention from FIG. 6 largely corresponds to that
exemplarischen Ausf hrungsbeispiel der Erfindung aus Fig. 5. exemplary embodiment of the invention of FIG. 5.
Prinzipiell sind die Abläufe ähnlich denen in Fig. 5 beschriebenen. Zusätzlich bezieht die SichLogik 22 bei der Errechnung des Datums H sowohl das Geheimnis G als auch die von der Logik kommende Anforderungsinformation SD 211 ein und stellt dann H zur Versendung bereit, wenn die SichLogik 22 mittels dem Safety-Schaltelement 24-2  In principle, the processes are similar to those described in FIG. In addition, in the calculation of the date H, the self-logic 22 incorporates both the secret G and the request information SD 211 coming from the logic and then provides H for dispatch when the self-logic 22 by means of the safety switching element 24-2
aktiviert wurde. Somit gilt H=f3(G,SD). Beispielsweise könnte f3 eine Checksumme oder eine Verschlüsselungs- Funktion sein, analog zu den in den drei Beispielen der Fig. 4 beschriebenen. Versenden und Prüfen/Auswerten auf Empfängerseite sind analog zu den in Fig. 4 beschriebenen. has been activated. Thus, H = f3 (G, SD). For example, f3 could be a checksum or an encryption function analogous to those described in the three examples of FIG. Dispatching and checking / evaluating on the receiver side are analogous to those described in FIG.
Auch bei dieser Schaltungsvariante kann optional eine Resetschaltung verwendet werden - gestrichelter Umfang in Fig. 6. Bei dieser Schaltung erfolgt eine zuverlässige Deaktivierung der Logik 21, 23 respektive des Geheimnisses G 221 in der Logik 21, 23 ebenfalls beim Wechsel von  In this circuit variant, a reset circuit can optionally be used - dashed circumference in Fig. 6. In this circuit, a reliable deactivation of the logic 21, 23 and the secret G 221 in the logic 21, 23 also takes place when changing from
Safety-Schaltelement=0 auf Safety-Schaltelement=l , analog zu der in Fig. 4 beschriebenen. Bei deaktivierter Safety switching element = 0 to safety switching element = l, analogous to that described in Fig. 4. When disabled
SichLogik 22 kann kein H als H=f1 (G) erzeugt werden und somit nur die AnforderungsInformation SD 211 und keine authentifizierte Anforderungsinformation SDH 212 versendet werden. Sich logic 22 can not be generated H as H = f1 (G) and thus only the request information SD 211 and no authenticated request information SDH 212.
Fig. 7 zeigt eine schematische Darstellung eines vorgeschlagenen Systems für ein Fahrzeug zur Fig. 7 shows a schematic representation of a proposed system for a vehicle for
automatisierten Steuerung mindestens einer Safety- relevanten Funktion eines Fahrzeuges gemäß einer weiteren beispielhaften Ausgestaltung der Erfindung. automated control of at least one safety-relevant function of a vehicle according to another exemplary embodiment of the invention.
Dabei entspricht das exemplarische Ausführungsbeispiel der Erfindung aus Fig. 7 weitgehend demjenigen  In this case, the exemplary embodiment of the invention from FIG. 7 largely corresponds to that
exemplarischen Ausführungsbeispiel der Erfindung aus Fig. 5. Wesentlicher Unterschied ist, dass die Logik 21, 23 mittels dem Safety-Schaltelement 24-2 nicht komplett aktiviert/deaktiviert wird. Stattdessen kann im Fall einer abzusichernden Benutzereingabe, das heißt, wenn das An essential embodiment is that the logic 21, 23 is not completely activated / deactivated by means of the safety switching element 24-2. Instead, in the case of a user input to be secured, that is, if that
Safety-Schaltelement 24-2 gleich eins ist, das Geheimnis G 221 innerhalb SichLogik 22 freigegeben werden. Wenn das Geheimnis G 221 freigegeben ist, dann kann sich aus SD eine authentifizierte Anforderungsinformation W 212 berechnen, so dass W=f(SD,G). Ohne freigegebenes Geheimnis G 221 kennt SichLogik G 211 nicht, so dass nur ein W 221 berechnet werden kann nach W=f (SD) . W 212 wird  Safety switching element 24-2 is equal to one, the secret G 221 be released within SichLogik 22. If the secret G 221 is enabled, then an authenticated request information W 212 may be calculated from SD such that W = f (SD, G). Without the released secret G 221, SichLogic G 211 does not know, so that only one W 221 can be calculated after W = f (SD). W 212 becomes
anschließend gesendet und empfängerseitig ausgewertet, analog zum in Fig. 5 beschriebenen Fall. subsequently sent and evaluated on the receiver side, analogously to the case described in FIG.
Bei dieser Variante ist es wichtig, dass analog zum in In this variant, it is important that analogous to in
Fig. 4 beschriebenen Fall ein Reset beim Wechsel von Fig. 4 case described a reset when changing from
Safety-Schaltelement=0 auf Safety-Schaltelement=l Safety switching element = 0 on safety switching element = l
ausgelöst wird. Dieser Reset sollte allerdings auf einen unabhängigen, von dem Safety-Schaltelement 24-2 is triggered. However, this reset should be to an independent, from the safety switching element 24-2
aktivierten Teil der SichLogik 22 gehen. Die Safety der oben beschriebenen Ansätze kann optional durch folgende Ansätze weiter erhöht werden: activated part of SichLogik 22 go. The safety of the approaches described above can optionally be further increased by the following approaches:
Die Auslegung des Safety-Schaltelements 24-2 kann als "Totmannschaltung" erfolgen. Somit kann sichergestellt werden, dass bei einer Fehlbedienung wie beispielsweise dem Fallenlassen der Fernbedienung 2 oder einem  The design of the safety switching element 24-2 can be done as a "deadman". Thus, it can be ensured that in case of incorrect operation such as dropping the remote control 2 or a
„Abrutschen" das System in einen sicheren Zustand S wechselt. Dazu sollte das Safety-Schaltelement 24-2 des Stoppelementes 24 so ausgelegt sein, das der Operator während des gesamten Steuerungsvorgangs einer "Slipping" the system switches to a safe state S. For this purpose, the safety switching element 24-2 of the stop element 24 should be designed so that the operator during the entire control process a
abzusichernden Benutzereingabe Safety-Schaltelement=0 aktiv halten muss . Dies kann beispielsweise dann gegeben sein, wenn Safety-Schaltelement 24-2 ein Taster - und kein Schalter - ist. User input to be protected Safety switching element = 0 must be active. This may be the case, for example, when safety switching element 24-2 is a push button - not a switch.
Das Safety-Schaltelement 24-2 kann beispielsweise aus mehreren einzelnen Schalt-/Tast-Elementen bestehen, die gemeinsam betätigt werden müssen. Auch kann das Safety- Schaltelement 24-2 beispielsweise aus mehreren einzelnen Schalt- /Tast-Elementen bestehen, die in einer Sequenz betätigt werden müssen.  The safety switching element 24-2 may, for example, consist of several individual switching / tactile elements that must be operated together. Also, the safety switching element 24-2, for example, consist of several individual switching / Tast-elements that need to be operated in a sequence.
Zusätzlich zum oder in Kombination mit dem Safety- Schaltelement 24-2 kann auch in der Benutzereingabe BE 210 zwischen Safety-relevanten und nicht-Safety-relevanten Eingaben unterschieden werden. Beispielsweise kann eine Kombination von verschiedenen Tasten/Eingaben in BE 210 notwendig sein, um Safety-relevante Eingaben zu erzeugen. Auch kann beispielsweise eine Sequenz von verschiedenen Tasten/Eingaben in BE 210 notwendig sein, um Safety- relevante Eingaben zu erzeugen.  In addition to or in combination with safety switching element 24-2, it is also possible to differentiate between safety-relevant and non-safety-relevant inputs in user input BE 210. For example, a combination of different keys / inputs in BE 210 may be necessary to generate safety-relevant inputs. Also, for example, a sequence of different keys / inputs in BE 210 may be necessary to generate safety-related inputs.
Vorteile der in den Figuren gezeigten beispielhaften Advantages of the exemplary shown in the figures
Ausgestaltung der Erfindung nach Safety-Maßgaben sind: Bezüglich der Funktion: Die vorgeschlagene Erfindung erlaubt das Ein- und Ausschalten auch Safety-relevanter Funktionalitäten per Anforderungsvorrichtung 2. Embodiment of the invention according to safety requirements are: Regarding the function: The proposed invention allows the switching on and off of safety-relevant functionalities by requesting device 2.
Bezüglich der Kosten/Aufwand: Es erbt nicht der gesamte Senderseitige Umfang die Safety-Anforderungen . Stattdessen ist nur die Sicherheitsschaltung beispielsweise bestehend aus einem Safety-Schaltelement , gegebenenfalls einer  Regarding the cost / effort: It does not inherit the entire transmitter-side extent the safety requirements. Instead, only the safety circuit, for example, consisting of a safety switching element, possibly one
Reset-Schaltung und einer Sicherheitslogik nach Safety- Maßgaben zu entwickeln/abzusichern. Somit kann der Aufwand für eine Entwicklung/Absicherung, beispielsweise definiert durch Safety-Normen wie IEC 61508 oder ISO 26262, Reset circuit and a safety logic to safety requirements to develop / secure. Thus, the expenditure for a development / protection, for example, defined by safety standards such as IEC 61508 or ISO 26262,
reduziert werden. be reduced.
Hingegen geht die herkömmliche Entwicklung/Absicherung nach Safety-Maßgaben in der Regel mit Mehraufwand einher, beispielsweise bezüglich Entwicklungsaufwand,  On the other hand, the conventional development / safeguarding according to safety requirements is usually associated with additional expenses, for example with regard to development costs,
Dokumentation, technischen Sicherheits-Mechanismen wie Diagnosen und dergleichen und ist damit auch mit  Documentation, technical safety mechanisms such as diagnoses and the like and is therefore also with
Mehrkosten verbunden. Additional costs.
Da erfindungsgemäß nicht der gesamte Senderseitige Umfang, sondern nur die Sicherheitsschaltung nach Safety- Maßgaben zu entwickeln/abzusichern ist, führt der hier vorgeschlagene Ansatz zu einer Kostenreduktion.  Since, according to the invention, not the entire transmitter-side circumference but only the safety circuit is to be developed / safeguarded according to safety requirements, the approach proposed here leads to a cost reduction.
Bezüglich der Sicherheit: Gleichzeitig wird die Safety des Systems tendenziell erhöht, da die Safety-relevanten Umfänge weniger komplex sind.  Regarding safety: At the same time, the safety of the system tends to be increased because the safety-relevant volumes are less complex.
Bezüglich der Robustheit/Kundenwirkung : Zusätzlich erhöht sich unabhängig von der Safety auch die Robustheit der Funktionen, da auch solche Fehlaktivierungen  Regarding the robustness / customer effect: In addition, the robustness of the functions increases, regardless of the safety, as well as such incorrect activations
verhindert werden können, die gegebenenfalls nicht zu einer wirklichen Gefährdung führen würden, jedoch dennoch aus Sicht des Kunden/Operators ein unerwünschtes Verhalten darstellen. Bezugszeichenliste be prevented, which might not lead to a real risk, but still represent an undesirable behavior from the perspective of the customer / operator. LIST OF REFERENCE NUMBERS
1 Fahrzeug 1 vehicle
10 Ausführvorrichtung  10 expander
11 Safety-relevante Funktion 11 Safety-relevant function
100 Erapfangsmodul  100 receipt module
101 Steuermodul  101 control module
1010 Safety-relevantes Modul  1010 Safety-relevant module
2 mobile Anforderungsvorrichtung  2 mobile requesting device
21 Anforderungselement 21 requirement element
210 Safety-relevante Anforderung  210 Safety-relevant requirement
211 Anforderungsinformation  211 request information
212 authentifizierte Anforderungsinformation 212 authenticated request information
22 Authentifizierungselement 22 authentication element
220 Benutzeraktivierung des 220 user activation of the
Authentifizierungselementes  authentication element
221 AuthentifizierungsInformation  221 authentication information
23 Sendemodul  23 transmission module
24 Stoppelement  24 stop element
24-1 Reset-Schaltung 24-1 reset circuit
24-2 Safety-Schaltelement  24-2 Safety switching element
241 Stoppinformation  241 Stop information
V Validieren  V validate
E Ergebnis des Validierens V  E result of validation V
S sicherer Zustand S safe condition
F Freigabe  F release
R Ablehnen  R Decline
X Ausführen  X Run

Claims

Patentansprüche  claims
1. System für ein Fahrzeug (1) , insbesondere ein Land- Kraftfahrzeug, aufweisend 1. System for a vehicle (1), in particular a land vehicle, comprising
- eine mobile Anforderungsvorrichtung (2), und  a mobile requesting device (2), and
- eine Ausführvorrichtung (10) ;  - An expander (10);
wobei  in which
die mobile Anforderungsvorrichtung (2) aufweist:  the mobile requesting device (2) comprises:
- ein Anforderungselement (21) ,  a request element (21),
- ein Authentifizierungselement (22) , und  an authentication element (22), and
- ein Sendemodul (23);  a transmission module (23);
die Ausführvorrichtung (10) aufweist:  the delivery device (10) comprises:
- ein Empfangsmodul (100) , und  a receiving module (100), and
- ein Steuermodul (101) , und  a control module (101), and
wobei die Ausführvorrichtung (10) in dem Fahrzeug (1) angeordnet ist,  the delivery device (10) being arranged in the vehicle (1),
das Anforderungselement (21) eingerichtet ist, um auf eine Safety-relevante Anforderung (210) eines Benutzers eine entsprechende Anforderungsinformation (211) an das Sendemodul (23) bereitzustellen,  the request element (21) is set up in order to provide a corresponding request information (211) to the transmission module (23) for a safety-relevant request (210) of a user,
das Authentifizierungselement (22) eingerichtet ist, um eine Authentifizierungsinformation (221) an das  the authentication element (22) is adapted to provide authentication information (221) to the
Sendemodul (23) bereitzustellen,  To provide transmitter module (23),
das Sendemodul (23) eingerichtet ist, um bei  the transmission module (23) is set up to
Bereitstellen einer Anforderungsinformation (211) durch das Anforderungselement (21) sowohl die bereitgestellte Anforderungsinformation (211) als auch die  Providing request information (211) by the request element (21) both the request information (211) provided and the request information (211)
bereitgestellte Authentifizierungsinformation (221) als eine authentifizierte Anforderungsinformation (212) an die Ausführvorrichtung (10) zu senden,  to provide provided authentication information (221) as authenticated request information (212) to the executor (10);
das Empfangsmodul (100) eingerichtet ist, um - die authentifizierte Anforderungsinformation (212) zu empfangen, the receiving module (100) is arranged to receive the authenticated request information (212),
- die in der authentifizierten Anforderungsinformation (212) enthaltende Authentifizierungsinformation (221) zu validieren (V) , und  to validate the authentication information (221) contained in the authenticated request information (212) (V), and
- bei Validität der Authentifizierungsinformation (221) die in der authentifizierten Anforderungsinformation (212) enthaltene Anforderungsinformation (211) an das Steuermodul (101) weiterzuleiten; und  - upon validity of the authentication information (221), forwarding the request information (211) contained in the authenticated request information (212) to the control module (101); and
das Steuermodul (101) eingerichtet ist, um die the control module (101) is adapted to the
Anforderungsinformation (211) automatisiert auszuführen. Request information (211) to execute automatically.
System gemäß Anspruch 1, wobei das Steuermodul (101) ein Safety-relevantes Modul (1010) aufweist, und The system of claim 1, wherein the control module (101) comprises a safety-relevant module (1010), and
wobei das automatisierte Ausführen der the automated execution of the
AnforderungsInformation (211) durch das Steuermodul (101) aufweist, dass auf Basis der Request information (211) by the control module (101) that based on the
Anforderungsinformation (211) das Safety-relevante Modul (1010) angewiesen wird, mindestens eine Safety-relevante Funktion (11) des Fahrzeuges (1) zu übernehmen, um die Anforderungsinformation (211) automatisiert auszuführen, und wobei die Kontrolle über die übernommene Safety- relevante Funktion (11) des Fahrzeuges (1) auf das  Request information (211) the safety-relevant module (1010) is instructed to take over at least one safety-relevant function (11) of the vehicle (1) in order to execute the request information (211) in an automated manner, and the control over the adopted safety relevant function (11) of the vehicle (1) on the
Safety-relevante Modul (1010) übergeht. Safety-relevant module (1010) passes.
System gemäß Anspruch 1 oder 2, wobei die Safety- relevante Funktion (11) definiert ist, als eine Funktion gemäß mindestens einer Safety-Norm aus der Auswahl der Safety-Normen IEC 61508, ISO 26262, einer Safety-Norm die strenger als diese beiden ist, einer Safety-Norm die mindestens eine der vorgenannten Normen weiterbildet und einer Safety-Norm die einer der vorgenannten Safety- Normen entspricht. System according to claim 1 or 2, wherein the safety-relevant function (11) is defined as a function according to at least one safety standard from the selection of safety standards IEC 61508, ISO 26262, a safety standard stricter than these two is a safety standard that furthers at least one of the aforementioned standards and a safety standard that corresponds to one of the aforementioned safety standards.
System gemäß Anspruch 3 , wobei die The system according to claim 3, wherein the
Anforderungsinformation (211) , die Request information (211), the
Authentifizierungsinformation (221) und die Authentication information (221) and the
authentifizierte Anforderungsinformation (212) jeweils eine Komplexität aufweisen, die ausreichend hoch ist, dass sie mit einer festgelegten Wahrscheinlichkeit nicht zufällig erzeugt werden und gegen Verfälschen authenticated request information (212) each have a complexity that is sufficiently high that they are not randomly generated with a fixed probability and against falsification
abgesichert sind, wobei are hedged, where
die festgelegte Wahrscheinlichkeit sich aus der für die Safety-relevante Funktion (11) zugrunde gelegte Safety- Norm ergibt , und the specified probability results from the safety standard used for the safety-relevant function (11), and
die Absicherung gegen Verfälschung vorzugsweise mittels einem Prüfsummenverfahren, einem CRC-Verfahren, einem Signaturverfahren, einem Verschlüsselungsverfahren oder einer Kombination mindestens zweier der vorgenannten Verfahren vornehmbar ist. the protection against corruption can preferably be carried out by means of a checksum method, a CRC method, a signature method, an encryption method or a combination of at least two of the aforementioned methods.
System gemäß irgendeinem der vorhergehenden Ansprüche, wobei die Authentifizierungsinformation (221) eine A system according to any one of the preceding claims, wherein the authentication information (221) comprises a
Information ist, die einen Rückschluss darauf zulässt, ob die empfangene Anforderungsinformation (211) gültig ist . Information is that allows a conclusion as to whether the received request information (211) is valid.
System gemäß irgendeinem der Ansprüche 2 bis 5, wobei die Safety-relevante Anforderung (210) eine A system according to any one of claims 2 to 5, wherein the safety-relevant requirement (210) is a
Einparkanforderung bezüglich eines vorwärts gerichteten Einparkvorganges des Fahrzeuges (1) oder eine Parking request with respect to a forward parking operation of the vehicle (1) or a
Ausparkanforderung bezüglich eines rückwärtsgerichteten Ausparkvorganges des Fahrzeuges (1) ist, und die übernommene Safety-relevante Funktion (11) des Ausparkanforderung concerning a rearward Ausparkvorganges the vehicle (1), and the adopted safety-relevant function (11) of the
Fahrzeuges (1) Vehicle (1)
- im Falle einer Einparkanforderung, ein vorwärts  - in case of a parking request, a forward
gerichtetes autonomes Fahren des Fahrzeuges (1) ist, und  directed autonomous driving of the vehicle (1) is, and
- im Falle einer Ausparkanforderung, ein rückwärts  - in the case of a parking request, a reverse
gerichtetes autonomes Fahren des Fahrzeuges (1) ist, wobei das autonome Fahren Lenkbewegungen des Fahrzeuges (1) aufweisen kann. Mobile AnforderungsVorrichtung (2) für ein System gemäß Anspruch 1, wobei  directed autonomous driving of the vehicle (1), wherein the autonomous driving steering movements of the vehicle (1) may have. A mobile requesting device (2) for a system according to claim 1, wherein
die mobile Anforderungsvorrichtung (2) eine the mobile request device (2) a
Fernbedienung, insbesondere eine Funkfernbedienung ist, vorzugsweise ein Fahrzeugschlüssel oder eine mobile Kommunikationsvorrichtung und aufweist: Remote control, in particular a radio remote control, preferably a vehicle key or a mobile communication device and comprising:
- ein Anforderungselement (21) ,  a request element (21),
- ein Authentifizierungselement (22), und  an authentication element (22), and
- ein Sendemodul (23) ;  a transmission module (23);
und wobei and where
- das Anforderungselement (21) eingerichtet ist, um auf eine Safety-relevante Anforderung (210) eines  the request element (21) is set up to respond to a safety-relevant request (210) of a
Benutzers eine Anforderungsinformation (211) an das Sendemodul (23) bereitzustellen,  Provide a user request information (211) to the transmission module (23),
- das Authentifizierungselement (22) eingerichtet ist, um eine Authentifizierungsinformation (221)  the authentication element (22) is set up to provide authentication information (221)
bereitzustellen, und  to provide, and
- das Sendemodul (23) eingerichtet ist, um bei  - The transmission module (23) is set to at
Bereitstellen einer AnforderungsInformation (211) durch das Anforderungselement (21) sowohl die  Providing a request information (211) by the requesting element (21) both the
bereitgestellte Anforderungsinformation (211) als auch die bereitgestellte Authentifizierungsinformation (221) als eine authentifizierte provided request information (211) as well as the provided authentication information (221) as an authenticated one
AnforderungsInformation (212) an die  Request information (212) to the
Ausführvorrichtung (10) zu senden. 8. Mobile Anforderungsvorrichtung (2) gemäß Anspruch 7,  Delivery device (10) to send. 8. Mobile request device (2) according to claim 7,
wobei  in which
das Authentifizierungselement (22) durch den Benutzer aktiviert (220) werden muss, damit das  the authentication element (22) must be activated (220) by the user so that the
Authentifizierungselement (22) eine valide  Authentication element (22) a valid
Authentifizierungsinformation (221) als zu sendende Authentication information (221) as to be sent
Authentifizierungsinformation (221) bereitstellt. Provides authentication information (221).
9. Mobile Anforderungsvorrichtung (2) gemäß Anspruch 7 oder 8, aufweisend 9. Mobile request device (2) according to claim 7 or 8, comprising
ein Stoppelement (24),  a stop element (24),
wobei das Stoppelement (24) eingerichtet ist, um auf eine Anforderung des Benutzers eine Stoppinformation (241) als AnforderungsInformation (211) an das  wherein the stop element (24) is arranged to, at a request of the user, stop information (241) as request information (211) to the user
Sendemodul (23) bereitzustellen.  To provide transmission module (23).
10. Ausführvorrichtung (10) für ein System gemäß Anspruch 1, wobei die Ausführvorrichtung (10) aufweist: 10. A system delivery device (10) according to claim 1, wherein the delivery device (10) comprises:
- ein Empfangsmodul (100) , und  a receiving module (100), and
- ein Steuermodul (101) ;  a control module (101);
wobei  in which
die Ausführvorrichtung (10) angepasst ist, um in einem the delivery device (10) is adapted to be in a
Fahrzeug (1) verwendet zu werden, Vehicle (1) to be used
das Empfangsmodul (100) eingerichtet ist, um  the receiving module (100) is arranged to
- eine authentifizierte Anforderungsinformation (212) zu empfangen, - eine in der authentifizierten Anforderungsinformation (212) enthaltende Authentifizierungsinformation (221) zu validieren, und receive an authenticated request information (212), to validate authentication information (221) contained in the authenticated request information (212), and
- bei Validität der Authentifizierungsinformation (221) eine in der authentifizierten Anforderungsinformation if the authentication information (221) is valid, one in the authenticated request information
(212) enthaltene Anforderungsinformation (211) an das Steuermodul (101) weiterzuleiten; und (212) to forward request information (211) to the control module (101); and
das Steuermodul (101) eingerichtet ist, um die  the control module (101) is adapted to the
Anforderungsinformation (211) automatisiert auszuführen.  Request information (211) to execute automatically.
11. Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion (11) eines Fahrzeuges (1) für ein System nach Anspruch 1, aufweisend: 11. A method for automated control of at least one safety-related function (11) of a vehicle (1) for a system according to claim 1, comprising:
- Empfangen einer authentifizierten  - Receive an authenticated
Anforderungsinformation (212) ,  Request information (212),
- Validieren (V) einer in der authentifizierten  - Validate (V) one in the authenticated
Anforderungsinformation (212) enthaltenen  Request information (212) contained
Authentifizierungsinformation (221) ,  Authentication information (221),
- Weiterleiten der in der authentifizierten  - Forward the in the authenticated
Anforderungsinformation (212) enthaltenen  Request information (212) contained
Anforderungsinformation (211) und des Ergebnisses (E) des Validierens der Authentifizierungsinformation (221) an ein Steuermodul (101) ;  Request information (211) and the result (E) of validating the authentication information (221) to a control module (101);
das Steuermodul (101) aufweisend:  the control module (101) comprising:
- falls das Ergebnis (E) des Validierens (V) der  - if the result (E) of the validation (V) of the
Authentifizierungsinformation (221) negativ ist und bereits eine Safety-relevante Funktion (11) des  Authentication information (221) is negative and already a safety-relevant function (11) of
Fahrzeuges (1) übernommen ist:  Vehicle (1) is taken over:
- Überführen der übernommenen Safety-relevanten  - Transfer of the accepted safety-relevant
Funktion (11) in einen sicheren Zustand (S) , und Function (11) in a safe state (S), and
- Freigeben (F) der übernommenen Safety-relevanten Funktion (11) , - Ablehnen (R) der Anforderungsinformation (211) ; - releasing (F) the adopted safety-relevant function (11), - rejecting (R) the request information (211);
- falls das Ergebnis (E) des Validierens (V) der  - if the result (E) of the validation (V) of the
Authentifizierungsinformation (221) negativ ist und keine Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen ist:  Authentication information (221) is negative and no safety-relevant function (11) of the vehicle (1) is adopted:
- Ablehnen (R) der Anforderungsinformation (211) ;  - rejecting (R) the request information (211);
- falls das Ergebnis (E) des Validierens (V) der  - if the result (E) of the validation (V) of the
Authentifizierungsinformation (221) positiv ist:  Authentication information (221) is positive:
- falls bereits eine Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen ist:  if a safety-relevant function (11) of the vehicle (1) has already been adopted:
- Überführen der übernommenen Safety- relevanten  - Transfer of the accepted safety relevant
Funktion (11) in einen sicheren Zustand (S) , und Function (11) in a safe state (S), and
- Freigeben (F) der übernommenen Safety- relevanten - Release (F) of the accepted safety relevant
Funktion (11) ;  Function (11);
unabhängig davon, ob bereits eine Safety-relevante  regardless of whether already a safety-relevant
Funktion (11) des Fahrzeuges (1) übernommen ist:  Function (11) of the vehicle (1) is taken over:
- Bestimmen auf Basis der Anforderungsinformation (211) , welche Safety-relevante Funktion (11) des Fahrzeuges (1) übernommen werden soll,  Determining on the basis of the request information (211) which safety-relevant function (11) of the vehicle (1) is to be adopted,
- Überführen der zu übernehmenden Safety- relevanten  - Transfer of the safety-relevant information to be transferred
Funktion (11) in einen sicheren Zustand (S) ,  Function (11) into a safe state (S),
- falls die Safety-relevante Funktion (11) nicht in  - if the safety-relevant function (11) is not in
einen sicheren Zustand (S) überführt werden kann:  a safe state (S) can be transferred:
- Ablehnen (R) der Ausführung der  - Reject (R) the execution of
Anforderungsinformation (211) ;  Request information (211);
- falls die Safety-relevante Funktion (11) in einen sicheren Zustand (S) überführt ist:  - if the safety-relevant function (11) is transferred to a safe state (S):
- Übernehmen der Safety- relevanten Funktion (11) , und - Applying the safety-relevant function (11), and
- Ausführen (X) der Anforderungsinformation (211) . - Execute (X) the request information (211).
12. Verfahren gemäß Anspruch 11, darüber hinaus 12. The method according to claim 11, in addition
aufweisend: - falls die Anforderungsinformation (211) eine comprising: if the request information (211) is a
Stoppinformation (241) ist und bereits eine Safety- relevante Funktion (11) des Fahrzeuges (1) übernommen ist :  Stop information (241) and a safety-relevant function (11) of the vehicle (1) has already been adopted:
- Überführen der übernommenen Safety-relevanten  - Transfer of the accepted safety-relevant
Funktion (11) in einen sicheren Zustand (S) , unabhängig vom Ergebnis des Validierens der  Function (11) in a safe state (S), regardless of the result of validating the
Authentifizierungsinformation (221) , und  Authentication information (221), and
- Freigeben (F) der übernommenen Safety-relevanten Funktion (11) .  - Release (F) of the accepted safety-relevant function (11).
PCT/EP2014/065012 2013-07-17 2014-07-14 Vehicle system and method for automated control of at least one safety-relevant function of a vehicle WO2015007673A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013214018.5 2013-07-17
DE102013214018.5A DE102013214018A1 (en) 2013-07-17 2013-07-17 Vehicle system and method for automated control of at least one safety-relevant function of a vehicle

Publications (1)

Publication Number Publication Date
WO2015007673A1 true WO2015007673A1 (en) 2015-01-22

Family

ID=51211208

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/065012 WO2015007673A1 (en) 2013-07-17 2014-07-14 Vehicle system and method for automated control of at least one safety-relevant function of a vehicle

Country Status (2)

Country Link
DE (1) DE102013214018A1 (en)
WO (1) WO2015007673A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016210788A1 (en) 2016-02-18 2017-08-24 Volkswagen Aktiengesellschaft Component for processing a worthy of protection date and method for implementing a security function to protect a worthy of protection date in such a component
CN110040131A (en) * 2018-01-16 2019-07-23 丰田自动车株式会社 Electron key system and electron key managing device

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014011802B4 (en) * 2014-08-09 2019-04-18 Audi Ag Safe activation of a partially autonomous function of a motor vehicle via a portable communication device
DE102016222541B4 (en) 2016-11-16 2023-10-12 Audi Ag Method for authorizing access to a motor vehicle for third-party use and system
DE102018220324A1 (en) 2018-11-27 2020-05-28 Audi Ag Method for monitoring a data transmission system, data transmission system and motor vehicle
DE102021208459B4 (en) 2021-08-04 2023-05-25 Volkswagen Aktiengesellschaft Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012007984A1 (en) * 2011-09-13 2013-03-14 Valeo Schalter Und Sensoren Gmbh Shunting system and method for automatically maneuvering a motor vehicle, motor vehicle, portable communication device and computer program
WO2013127693A1 (en) * 2012-02-27 2013-09-06 Bayerische Motoren Werke Aktiengesellschaft Radio remote control system for controlling vehicle functions of a motor vehicle

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005024817A1 (en) * 2005-05-27 2006-12-07 Daimlerchrysler Ag Vehicle`s comfort/safety function e.g. adjustment of air conditioning system, activating method, involves activating function if availability of mobile release mechanism is identified within vehicle
DE102008018186A1 (en) * 2008-04-10 2009-10-15 Bayerische Motoren Werke Aktiengesellschaft Motor vehicle, has operating elements for internally controlling driving movements of vehicle, and remote control for controlling driving movements of vehicle from outside, where remote control is fixedly or detachably arranged at rear flap
KR20100040115A (en) * 2008-10-09 2010-04-19 이남호 Apparatus and method for driving a vehicle and remote controller for controlling the same
DE102012200725A1 (en) * 2012-01-19 2013-07-25 Robert Bosch Gmbh Remote control of parking and maneuvering maneuvers of motor vehicles

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012007984A1 (en) * 2011-09-13 2013-03-14 Valeo Schalter Und Sensoren Gmbh Shunting system and method for automatically maneuvering a motor vehicle, motor vehicle, portable communication device and computer program
WO2013127693A1 (en) * 2012-02-27 2013-09-06 Bayerische Motoren Werke Aktiengesellschaft Radio remote control system for controlling vehicle functions of a motor vehicle

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016210788A1 (en) 2016-02-18 2017-08-24 Volkswagen Aktiengesellschaft Component for processing a worthy of protection date and method for implementing a security function to protect a worthy of protection date in such a component
US10303886B2 (en) 2016-02-18 2019-05-28 Volkswagen Ag Component for processing a protectable datum and method for implementing a security function for protecting a protective datum in such a component
DE102016210788B4 (en) 2016-02-18 2023-06-07 Volkswagen Aktiengesellschaft Component for processing data worthy of protection and method for implementing a security function for protecting data worthy of protection in such a component
CN110040131A (en) * 2018-01-16 2019-07-23 丰田自动车株式会社 Electron key system and electron key managing device
CN110040131B (en) * 2018-01-16 2022-08-05 丰田自动车株式会社 Electronic key system and electronic key management device

Also Published As

Publication number Publication date
DE102013214018A1 (en) 2015-01-22

Similar Documents

Publication Publication Date Title
WO2015007673A1 (en) Vehicle system and method for automated control of at least one safety-relevant function of a vehicle
DE102012202934A1 (en) Radio remote control for controlling vehicle functions of a motor vehicle
EP3332348A1 (en) Method for operating a motor vehicle, and system for operating a motor vehicle
DE102009039767A1 (en) Engine control system for a vehicle
DE102016216746B3 (en) electric bicycle
DE102013010984A1 (en) Car with a remote start unit
EP2814699A1 (en) Start system for a car, car having a start system, and method for operating a start system for a car
WO2002043994A1 (en) Device for operating a motor vehicle without a key
DE102017001657A1 (en) Access-protected control of an actuator of an electric parking brake
DE102017215594A1 (en) Control device for a user-friendly wireless key system of a motor vehicle, motor vehicle with such a control device and method for operating such a control device
DE102012002823A1 (en) Control device for vehicle e.g. motor car, has control units that are provided to actuate steering system and brake system of vehicle respectively in two different operating modes
DE102006035803A1 (en) Vehicle e.g. car, has unit that is attached to device to induce switch-over of power supply to emergency battery on emergency control unit in particular on direct signal line during emergency situation
DE102019001192B3 (en) Control device and method for taking control
DE102017208582B4 (en) Method for operating a motor vehicle, safety system for a motor vehicle and motor vehicle
DE102017101803B4 (en) Device for at least partially interrupting a communication line of a vehicle
DE102016004593A1 (en) Transport bowl for a Steer by Wire steering system for motor vehicles
DE19907374B4 (en) Electronic ignition lock system for a motor vehicle
DE102021103730A1 (en) Driver assistance system and method for providing an emergency function for a motor vehicle
DE102013021816A1 (en) Method for providing a function for a motor vehicle
DE102016112593A1 (en) Method for operating a locking system for a motor vehicle, portable ID transmitter for a motor vehicle and locking system
DE102016209733A1 (en) Method and device for longitudinal dynamics control in a motor vehicle during an autonomous driving operation
EP2581277B1 (en) Device for a safety system of a motor vehicle with an autonomous electronics system which is independent of the motor vehicle
DE102016216747A1 (en) electric bicycle
WO2021136733A1 (en) Locking system, in particular for a motor vehicle
EP0734333B1 (en) Immobilization device with a short unlocking time

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14741253

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14741253

Country of ref document: EP

Kind code of ref document: A1