WO2020038700A1 - Vorrichtung zur absicherung von signalen - Google Patents

Vorrichtung zur absicherung von signalen Download PDF

Info

Publication number
WO2020038700A1
WO2020038700A1 PCT/EP2019/070814 EP2019070814W WO2020038700A1 WO 2020038700 A1 WO2020038700 A1 WO 2020038700A1 EP 2019070814 W EP2019070814 W EP 2019070814W WO 2020038700 A1 WO2020038700 A1 WO 2020038700A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic computing
computing device
signal
check
signals
Prior art date
Application number
PCT/EP2019/070814
Other languages
English (en)
French (fr)
Inventor
Marc Menzel
Andrew Kirby
Robert Faust D'avello
Original Assignee
Continental Teves Ag & Co. Ohg
Continental Automotive Systems, Inc.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves Ag & Co. Ohg, Continental Automotive Systems, Inc. filed Critical Continental Teves Ag & Co. Ohg
Publication of WO2020038700A1 publication Critical patent/WO2020038700A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01CMEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
    • G01C21/00Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
    • G01C21/26Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 specially adapted for navigation in a road network
    • G01C21/28Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 specially adapted for navigation in a road network with correlation of data from several navigational instruments
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/03Cooperating elements; Interaction or communication between different cooperating elements or between cooperating elements and receivers
    • G01S19/07Cooperating elements; Interaction or communication between different cooperating elements or between cooperating elements and receivers providing data for correcting measured positioning data, e.g. DGPS [differential GPS] or ionosphere corrections
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/38Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system
    • G01S19/39Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system the satellite radio beacon positioning system transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/42Determining position
    • G01S19/45Determining position by combining measurements of signals from the satellite radio beacon positioning system with a supplementary measurement
    • G01S19/47Determining position by combining measurements of signals from the satellite radio beacon positioning system with a supplementary measurement the supplementary measurement being an inertial measurement, e.g. tightly coupled inertial
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Definitions

  • the invention relates to a device for securing signals, the use of the device in a vehicle and a corresponding method.
  • the invention relates to a device for securing signals, comprising:
  • the second electronic computing device having a checking device
  • first and the second electronic computing device are designed to receive and / or send one or more different signals from one another
  • the checking device is designed to check and / or to plausibility check signals received from the second electronic computing device and to send the signals to the first electronic computing device and / or to one depending on the plausibility check and / or the check for formal correctness Bus for data transmission, in particular vehicle bus, to be transmitted, the second electronic computing device being designed in accordance with a higher security integrity level than the first electronic computing device.
  • the device according to the invention has the advantage that the checking device enables a check or plausibility check of signals, and only the second electronic computing device involves the effort of a higher security integrity level.
  • the first electronic computing device can, for example, be designed as essentially non-safety-relevant according to an ASIL QM (Quality Management) classification, so that there is no increased outlay or costs here.
  • ASIL QM Quality Management
  • the first and the second electronic computing device are each preferably designed as a separate microcontroller or processor or in each case an area of a die or chip of a microcontroller or processor.
  • different areas of the dies or chips can be used to implement the possibly different security integrity levels accordingly.
  • the devices mentioned can also be provided on a plurality of dies or chips.
  • At least one signal for receiving or transmitting the first electronic computing device is formed as a signal of a vehicle application.
  • the device is preferably designed such that the first electronic computing device provides more than one vehicle application and the signals are designed as signals of the respective applications.
  • the checking device is designed to receive signals received from the second electronic computing device by means of a time stamp and / or a signal counter and / or a test value, in particular in the form of a cyclical redundancy. Check to check for formal correctness.
  • the time stamp is expediently checked by comparison with a current time, it being possible to reject signals whose time stamp indicates that a predetermined age has been exceeded.
  • Checking the signal counter ensures that the correct order of the signals during the signal transmission has not been mixed up.
  • the test value calculated according to a specific method can be used to check whether errors have occurred during the transmission.
  • the checking device is preferably designed to check signals received by the second electronic computing device for plausibility on the basis of a stored signal history. For example, from a history of position signals calculated on the basis of GNSS signals, a specific range results within which the next position signal, in view of the physical limits of, for example, a road vehicle, must lie in order to be considered realistic.
  • the first electronic computing device is preferably designed to generate a signal to be emitted based on a received GNSS signal in the form of a position signal and to send it to the second electronic computing device.
  • the first electronic computing device is preferably designed to use sensor signals of a vehicle in addition to the GNSS signal to generate the position signal, in particular sensor signals from wheel speed, radar, camera, steering angle and / or inertial sensors.
  • the first electronic computing device has a filter for generating the position signal from the GNSS signal and the sensor signals of the vehicle. This can enable a particularly precise position signal, for example, by weighting the incoming information.
  • the first electronic computing device has an eCall device for triggering an automatic emergency call
  • the second electronic computing device being designed to receive an eCall signal from a bus for data transmission, in particular a vehicle bus, by means of the checking device and / or to make it plausible and send it to the eCall facility.
  • An automatic emergency call can be initiated, for example, by a signal coming from an airbag or an accident detection system.
  • the first electronic computing device has a slowdown device for triggering an automatically initiated braking or decelerating of a vehicle
  • the second electronic computing device being designed to receive a slowdown signal from the slowdown device by means of the checking to check the device and / or to make it plausible and to send it to a bus for data transmission, in particular a vehicle bus.
  • a slowdown device can be used, for example, to stop a stolen vehicle and prevent the vehicle thief from escaping.
  • the first electronic computing device has a remote start device for starting a vehicle engine from a distance
  • the second electronic computing device being designed To receive the remote start signal from the remote start device, to check and / or to check the plausibility by means of the checking device and to send it to a bus for data transmission, in particular vehicle bus.
  • a vehicle can be started remotely and, for example, an air conditioning system can be started at an early stage.
  • signals are received and / or transmitted between the first and second electronic computing devices via an electronic interface, the interface being designed or designed according to a higher security integrity level than the first electronic computing device, in particular according to the Security integrity level of the second electronic computing device.
  • the first electronic computing device is preferably designed in accordance with the safety integrity level ASIL QM and the second electronic computing device in accordance with one of the safety integrity levels ASIL A, ASIL B, ASIL C or ASIL D, particularly preferably ASIL B.
  • the device according to one of the aforementioned exemplary embodiments is preferably used in a vehicle, in particular a road vehicle.
  • a method for protecting signals by means of a device has the steps:
  • the method is preferably further developed by the steps:
  • the method preferably further comprises the step:
  • the device according to the invention is set up to carry out a method according to at least one of the above embodiments.
  • the specified device has at least one memory and one processor.
  • the specified is Method stored in the form of a computer program in the memory and the processor is provided for executing the method when the computer program is loaded from the memory into the processor.
  • a computer program comprises program code means for carrying out all steps of one of the specified methods when the computer program is executed on a computer or one of the specified devices.
  • a computer program product contains a program code which is stored on a computer-readable data carrier and which, if it is executed on a data processing device, carries out one of the specified methods.
  • Fig. 1 shows an embodiment of a device according to the
  • Fig. 2 shows another embodiment or an additional
  • Fig. 1 shows an embodiment of a device according to the invention.
  • the device comprises a first electronic computing device 1 and a second electronic computing device 2, which are designed to receive and / or receive one or more different signals from one another. to send each other out.
  • the second electronic computing device 2 with ASIL B is designed in accordance with a higher security integrity level than the first electronic computing device 1 with ASIL QM.
  • the corresponding ASIL classification is identified in each case in FIG. 1 and FIG. 2 with a bracket symbol.
  • the first electronic computing device 1 configured according to the example for executing a Linux operating system, several vehicle applications are implemented, the outgoing and incoming signals of which are checked for plausibility by a checking device 21 of the second electronic computing device 2 and checked for formal correctness.
  • the signals are represented by arrows in the figures.
  • a first vehicle application is designed as a remote start device 11. Its output signal is transferred to a digital library 14 for outgoing signals, which is implemented on the first electronic computing device 1 classified with ASIL QM, but is preferably designed according to the ASIL B standard. The signal is transferred to the second electronic computing device 2 via an interface 3 designed according to the ASIL B standard.
  • the signal in the checking device 21 is checked for formal correctness by means of a time stamp, a signal counter and a CRC check value.
  • the check of the time stamp corresponds to a comparison with a current time, so that it is ensured that no outdated signals are processed.
  • Checking the signal counter ensures that the correct order of the signals during the signal transmission has not been mixed up.
  • the CRC check value can be used to check whether errors occurred during the transmission or whether information was lost. If the formal correctness of the Signal was determined, an output to a bus 5 of the vehicle for data transmission.
  • the first electronic computing device 1 also contains a further vehicle application, which is designed as a slowdown device 12 and whose signals are processed in an analogous manner to those of the remote start device 11.
  • the signals take the opposite route.
  • the second electronic computing device 2 receives the corre sponding signal from the bus 5 of the vehicle. After the formal correctness has been checked in the checking device 21 by means of the time stamp, signal counter and the CRC check value, the output to the eCall device 13 takes place via the interface 3 and a digital library 15 for incoming signals.
  • FIG. 2 A further vehicle application of the first electronic computing device 1 is shown in FIG. 2 with the position application 16. It goes without saying that the exemplary embodiment shown in FIG. 2 can be implemented according to one embodiment together with the features explained in FIG. 1 in a device according to the invention or with the same hardware.
  • the vehicle application is one or more vehicle applications that require a position signal as an input variable.
  • a GNSS signal from a satellite navigation system is first received with a corresponding GNSS receiver 4 and transferred to the first electronic computing device 1.
  • a position 17 is calculated using a filter 17 (dead reckoning), which is more precise and reliable with the aid of the sensor signals 22 than with the GNSS signal alone.
  • the position signal obtained in this way is transferred to the second electronic computing device 2 and checked for formal correctness in the checking device 21 by means of a time stamp, a signal counter and a CRC check value.
  • the plausibility of the position signal is checked on the basis of the stored signal history.
  • the position signal thus checked for formal correctness and plausibility check by means of a device designed in accordance with ASIL B is then transferred to the corresponding position application 16 and additionally to a bus 5 of the vehicle for data transmission.

Landscapes

  • Engineering & Computer Science (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Transportation (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Traffic Control Systems (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung zur Absicherung von Signalen, umfassend eine erste elektronische Recheneinrichtung (1) und eine zweite elektronische Recheneinrichtung (2), wobei die zweite elektronische Recheneinrichtung (2) eine Überprüfungseinrichtung (21) aufweist, wobei die erste und die zweite elektronische Recheneinrichtung (1, 2) dazu ausgebildet sind, voneinander ein oder mehrere unterschiedliche Signale zu empfangen und / oder zueinander auszusenden, wobei die Überprüfungseinrichtung (21) ausgebildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale auf formale Korrektheit zu prüfen und / oder zu plausibilisieren und die Signale abhängig von der Plausibilisierung und / oder der Prüfung auf formale Korrektheit an die erste elektronische Recheneinrichtung (1) zu senden und / oder an einen Bus (5) zur Datenübertragung zu übertragen, wobei die zweite elektronische Recheneinrichtung (2) gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung (1). Weiterhin betrifft die Erfindung ein korrespondierendes Verfahren sowie die Verwendung der Vorrichtung in einem Fahrzeug.

Description

Beschreibung
Vorrichtung zur Absicherung von Signalen
Die Erfindung betrifft Vorrichtung zur Absicherung von Signalen, die Verwendung der Vorrichtung in einem Fahrzeug sowie ein entsprechendes Verfahren.
Mit dem technischen Fortschritt steigen Anzahl und Umfang der Funktionen und Dienstleistungen, besonders bei Automobilen, stetig an. Dabei unterscheiden sich die Anwendungen zum Teil deutlich in ihren Sicherheitserfordernissen. Eine Position beispielsweise, die nicht nur einer Person als Information sondern auch weiteren Anwendungen, insbesondere sicher- heitskritischen Anwendungen in einem Fahrzeug, zur Verfügung gestellt werden soll, bringt erhöhte Sicherheitserfordernisse mit sich. Auch bei Notfallbremssystemen oder Fahrerassis tenzsystemen, die einen direkte Zugriff auf die Fahrzeugbe dienung haben, können fehlerhafte Signale dramatische Folgen haben. Für die Automobilindustrie relevante Entwicklungspro zesse der funktionalen Sicherheit und entsprechende Arbeits produkte werden daher mit der Norm ISO 26262 standardisiert. Das jeweils vorgeschriebene Sicherheitsintegritätslevel bzw. gemäß dieser Norm Automotive Safety Integrity Level, kurz ASIL, genannt, für eine Vielzahl von Anwendungen zu gewährleisten, geht normalerweise mit einem hohen Aufwand einher.
Es ist daher Aufgabe dieser Erfindung, eine Vorrichtung bzw. ein Verfahren bereitzustellen, mit der ein bestimmtes Sicher heitsintegritätslevel mit geringem Aufwand bzw. kostengünstig realisiert werden kann.
Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen können bei- spielsweise den Unteransprüchen entnommen werden. Der Inhalt der Ansprüche wird durch ausdrückliche Inbezugnahme zum Inhalt der Beschreibung gemacht.
Die Erfindung betrifft eine Vorrichtung zur Absicherung von Signalen, umfassend:
eine erste elektronische Recheneinrichtung und
eine zweite elektronische Recheneinrichtung, wobei die zweite elektronische Recheneinrichtung eine Überprü fungseinrichtung aufweist,
wobei die erste und die zweite elektronische Recheneinrichtung dazu ausgebildet sind, voneinander ein oder mehrere unter schiedliche Signale zu empfangen und / oder zueinander aus zusenden,
wobei die Überprüfungseinrichtung ausgebildet ist, von der zweiten elektronischen Recheneinrichtung empfangene Signale auf formale Korrektheit zu prüfen und / oder zu plausibilisieren und die Signale abhängig von der Plausibilisierung und / oder der Prüfung auf formale Korrektheit an die erste elektronische Recheneinrichtung zu senden und / oder an einen Bus zur Da tenübertragung, insbesondere Fahrzeugbus, zu übertragen, wobei die zweite elektronische Recheneinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung.
Die erfindungsgemäße Vorrichtung hat den Vorteil, dass mit der Überprüfungseinrichtung eine Prüfung bzw. Plausibilisierung von Signalen ermöglicht wird und dabei lediglich mit der zweiten elektronischen Recheneinrichtung der Aufwand eines höheren Sicherheitsintegritätslevels einhergeht. Die erste elektro nische Recheneinrichtung kann dagegen beispielsweise als im Wesentlichen nicht sicherheitsrelevant gemäß einer ASIL QM (Quality Management ) Einstufung ausgelegt sein, so dass hier kein erhöhter Aufwand oder erhöhte Kosten anfallen. Damit eine elektronische Recheneinrichtung einen bestimmten Sicherheitsintegritätslevel effizient erreicht, kann bei spielsweise eine intelligente Nutzung von Redundanz und Diversität auf Funktionsebene sowie eine ausgereifte Architektur mit Schutz- und Diagnose-Mechanismen angestrebt werden. Eine Vermeidung von Fehlern gleichen Ursprungs lässt sich in Hardware und Software beispielsweise durch eine leicht veränderte re dundante Ausführung erreichen.
Die erste und die zweite elektronische Recheneinrichtung ist jeweils vorzugsweise als ein separater Mikrocontroller bzw. Prozessor oder jeweils ein Bereich eines Dies bzw. Chips eines Mikrocontrollers bzw. Prozessors ausgebildet. Insbesondere können unterschiedliche Bereiche des Dies bzw. Chips heran gezogen werden, um die ggf. verschiedenen Sicherheitsinteg ritätslevel entsprechend umzusetzen. Alternativ oder in Er gänzung können die genannten Einrichtungen auch auf einer Mehrzahl Dies bzw. Chips vorgesehen sein.
Es ist bevorzugt, dass zumindest ein Signal zu dessen Empfang oder Aussendung die erste elektronische Recheneinrichtung ausge bildet ist, als Signal einer Fahrzeugapplikation ausgebildet ist. Bevorzugt ist die Vorrichtung so ausgebildet, dass die erste elektronische Recheneinrichtung mehr als eine Fahrzeugappli kation bereitstellt und die Signale als Signale der jeweiligen Applikationen ausgebildet sind. Somit werden mit der Vorrichtung Synergieeffekte genutzt und Aufwand und Kosten eingespart.
Es entspricht einer bevorzugten Ausführungsform, dass die Überprüfungseinrichtung ausgebildet ist, von der zweiten elektronischen Recheneinrichtung empfangene Signale mittels eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts, insbesondere in Form einer zyklischen Redundanz- Prüfung, auf formale Korrektheit zu prüfen. Zweckmäßigerweise erfolgt die Überprüfung des Zeitstempels durch Vergleich mit einer aktuellen Uhrzeit, wobei vorgesehen sein kann, Signale zu verwerfen, deren Zeitstempel ein überschreiten eines vorge gebenen Alters anzeigt. Durch die Prüfung des Signalzählers lässt sich sicherstellen, dass die korrekte Reihenfolge der Signale bei der Signalübertragung nicht durcheinander gekommen ist. Mit dem nach einem bestimmten Verfahren berechneten Prüfwert lässt sich überprüfen, ob bei der Übertragung Fehler aufgetreten sind.
Vorzugsweise ist die Überprüfungseinrichtung ausgebildet, von der zweiten elektronischen Recheneinrichtung empfangene Signale anhand einer gespeicherten Signalhistorie auf Plausibilität zu prüfen. Beispielsweise ergibt sich aus einer Historie von auf Basis von GNSS-Signalen berechneten Positionssignalen ein bestimmter Bereich innerhalb dessen das nächste Positionssignal, angesichts der physikalischen Grenzen beispielsweise eines Straßenfahrzeugs, liegen muss, um als realistisch zu gelten.
Bevorzugt ist die erste elektronische Recheneinrichtung aus gebildet, ein auszusendendes Signal auf Grundlage eines emp fangenen GNSS-Signals in Form eines Positionssignals zu erzeugen und an die zweite elektronische Recheneinrichtung zu senden.
In dieser Hinsicht wird Bezug genommen auf die Anmeldungen US 2017/0089722 Al, US 2013/0184990 Al sowie US 2018/0217269 Al deren Inhalt hiermit in diese Anmeldung aufgenommen wird.
Die erste elektronische Recheneinrichtung ist bevorzugt aus gebildet, zur Erzeugung des Positionssignals neben dem GNSS-Signal Sensorsignale eines Fahrzeugs heranzuziehen, insbesondere Sensorsignale von Raddrehzahl-, Radar-, Kamera-, Lenkwinkel-, und / oder Inertialsensoren . Dazu ist es vorteilhaft, wenn die erste elektronische Re cheneinrichtung einen Filter zur Erzeugung des Positionssignals aus dem GNSS-Signal und den Sensorsignalen des Fahrzeugs aufweist. Dieser kann beispielsweise mittels Gewichtung der eingehenden Informationen ein besonders präzises Positions signal ermöglichen.
Die erste elektronische Recheneinrichtung weist nach einer bevorzugten Ausführungsform eine eCall-Einrichtung zum Auslösen eines automatischen Notrufs auf, wobei die zweite elektronische Recheneinrichtung ausgebildet ist, ein eCall-Signal von einem Bus zur Datenübertragung, insbesondere Fahrzeugbus, zu emp fangen, mittels der Überprüfungseinrichtung zu prüfen und / oder zu plausibilisieren und an die eCall-Einrichtung zu senden. Das Auslösen eines automatischen Notrufs kann beispielsweise durch ein von einem Airbag oder einem System zur Unfallerkennung kommendes Signal eingeleitet werden.
Nach einer weiteren bevorzugten Ausführungsform weist die erste elektronische Recheneinrichtung eine Slowdown-Einrichtung zum Auslösen einer automatisch initiierten Bremsung oder Ver langsamung eines Fahrzeugs auf, wobei die zweite elektronische Recheneinrichtung ausgebildet ist, ein Slowdown-Signal von der Slowdown-Einrichtung zu empfangen, mittels der Überprüfungs einrichtung zu prüfen und / oder zu plausibilisieren und an einen Bus zur Datenübertragung, insbesondere Fahrzeugbus zu senden. Mit einer solchen Slowdown-Einrichtung lässt sich beispielsweise ein gestohlenes Fahrzeug anhalten und eine Flucht des Fahr zeugdiebes verhindern.
Nach einer weiteren bevorzugten Ausführungsform weist die erste elektronische Recheneinrichtung eine Remote-Start-Einrichtung zum Starten eines Fahrzeugmotors aus der Ferne auf, wobei die zweite elektronische Recheneinrichtung ausgebildet ist, ein Remote-Start-Signal von der Remote-Start-Einrichtung zu emp fangen, mittels der Überprüfungseinrichtung zu prüfen und / oder zu plausibilisieren und an einen Bus zur Datenübertragung, insbesondere Fahrzeugbus zu senden. Mit der Remo- te-Start-Einrichtung kann ein Fahrzeug aus der Ferne gestartet und beispielsweise frühzeitig eine Klimaanlage in Betrieb genommen werden.
Es ist bevorzugt, dass das Empfangen und / oder Aussenden von Signalen zwischen der ersten und zweiten elektronischen Re cheneinrichtung über eine elektronische Schnittstelle erfolgt, wobei die Schnittstelle gemäß eines höheren Sicherheitsin- tegritätslevels ausgestaltet bzw. ausgelegt ist als die erste elektronische Recheneinrichtung, insbesondere gemäß des Si- cherheitsintegritätslevels der zweiten elektronische Rechen einrichtung .
Vorzugsweise ist die erste elektronische Recheneinrichtung gemäß des Sicherheitsintegritätslevels ASIL QM und die zweite elektronische Recheneinrichtung gemäß einem der Sicherheits- integritätslevel ASIL A, ASIL B, ASIL C oder ASIL D, besonders bevorzugt ASIL B ausgebildet.
Vorzugsweise erfolgt eine Verwendung der Vorrichtung gemäß einem der zuvor genannten Ausführungsbeispiele in einem Fahrzeug, insbesondere Straßenfahrzeug.
Gemäß einem weiteren Aspekt der Erfindung weist ein Verfahren zur Absicherung von Signalen mittels einer Vorrichtung gemäß einem der zuvor genannten Ausführungsbeispiele die Schritte auf:
- Empfangen eines Signals durch die zweite elektronische Re cheneinrichtung von einem Bus zur Datenübertragung oder der ersten elektronischen Recheneinrichtung, Plausibilisieren und / oder Prüfen des von der zweiten elektronischen Recheneinrichtung empfangenen Signals auf formale Korrektheit mittels der Überprüfungseinrichtung, insbesondere mit Hilfe eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts,
- Senden des Signals an die erste elektronische Recheneinrichtung und / oder Übertragen des Signals an einen Bus zur Daten übertragung, insbesondere Fahrzeugbus , abhängig von dem Ergebnis der Plausibilisierung und / oder dem Ergebnis der Prüfung auf formale Korrektheit.
Das Verfahren wird bevorzugt durch die Schritte weitergebildet:
- Empfangen eines GNSS-Signals durch einen GNSS-Empfänger (4),
- Erzeugen des Signals in Form eines Positionssignals durch die erste elektronische Recheneinrichtung auf Grundlage des emp fangenen GNSS-Signals,
- Senden des Signals in Form des Positionssignals an die zweite elektronische Recheneinrichtung.
Vorzugsweise umfasst das Verfahren außerdem den Schritt:
- Erzeugen des Positionssignals durch die erste elektronische Recheneinrichtung unter Hinzuziehung von Sensorsignalen eines Fahrzeugs, insbesondere Sensorsignalen von Raddrehzahl-, Ra dar-, Kamera-, Lenkwinkel-, und / oder Inertialsensoren, vorzugsweise durch eine Filterung des GNSS-Signals mit den Sensorsignalen des Fahrzeugs.
Gemäß einem weiteren Aspekt der Erfindung ist die Vorrichtung gemäß der Erfindung eingerichtet, ein Verfahren nach wenigstens einem der vorstehenden Ausführungsformen durchzuführen.
In einer Weiterbildung der angegebenen Fahrzeug-zu-X Kommu nikationsvorrichtung weist die angegebene Vorrichtung zumindest einen Speicher und einen Prozessor auf. Dabei ist das angegebene Verfahren in Form eines Computerprogramms in dem Speicher hinterlegt und der Prozessor zur Ausführung des Verfahrens vorgesehen, wenn das Computerprogramm aus dem Speicher in den Prozessor geladen ist.
Gemäß einem weiteren Aspekt der Erfindung umfasst ein Compu terprogramm Programmcodemittel, um alle Schritte eines der angegebenen Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer oder einer der angegebenen Vorrichtungen ausgeführt wird.
Gemäß einem weiteren Aspekt der Erfindung enthält ein Compu terprogrammprodukt einen Programmcode, der auf einem compu terlesbaren Datenträger gespeichert ist und der, wenn er auf einer Datenverarbeitungseinrichtung ausgeführt wird, eines der angegebenen Verfahren durchführt.
Weitere bevorzugte Ausführungsformen ergeben sich auch aus der nachfolgenden Beschreibung von Ausführungsbeispielen an Hand von Figuren .
In schematischer Darstellung zeigen:
Fig. 1 ein Ausführungsbeispiel einer Vorrichtung gemäß der
Erfindung und
Fig. 2 ein weiteres Ausführungsbeispiel bzw. ein zusätzlicher
Aspekt des Ausführungsbeispiels aus Fig.l.
Die Fig. 1 zeigt ein Ausführungsbeispiel einer Vorrichtung gemäß der Erfindung. Die Vorrichtung umfasst eine erste elektronische Recheneinrichtung 1 und eine zweite elektronische Rechenein richtung 2, die dazu ausgebildet sind, voneinander ein oder mehrere unterschiedliche Signale zu empfangen und / oder zu- einander auszusenden. Dabei ist die zweite elektronische Re cheneinrichtung 2 mit ASIL B gemäß eines höheren Sicher- heitsintegritätslevels ausgestaltet als die erste elektronische Recheneinrichtung 1 mit ASIL QM. Die entsprechende ASIL-Einstufung ist in Fig. 1 und Fig. 2 jeweils mit einem Klammersymbol gekennzeichnet. In der ersten elektronischen Recheneinrichtung 1, beispielsgemäß zur Ausführung eines Linux Betriebssystems ausgestaltet, sind mehrere Fahrzeugapplika tionen implementiert, deren aus- bzw. eingehende Signale durch eine Überprüfungseinrichtung 21 der zweiten elektronischen Recheneinrichtung 2 plausibilisiert und auf formale Korrektheit geprüft werden. Die Signale sind in den Figuren durch Pfeile dargestellt .
Eine erste Fahrzeugapplikation ist als eine Remo- te-Start-Einrichtung 11 ausgebildet. Deren Ausgangssignal wird an eine digitale Bibliothek 14 für ausgehende Signale übergeben, die auf der mit ASIL QM-eingestuften ersten elektronischen Recheneinrichtung 1 realisiert ist, aber vorzugsweise nach dem Standard ASIL B ausgelegt ist. Über eine nach dem Standard ASIL B ausgelegte Schnittstelle 3 wird das Signal an die zweite elektronische Recheneinrichtung 2 übergeben.
Dort wird das Signal in der Überprüfungseinrichtung 21 mittels eines Zeitstempels , eines Signalzählers und eines CRC-Prüfwerts auf formale Korrektheit geprüft. Die Überprüfung des Zeit stempels entspricht einem Vergleich mit einer aktuellen Uhrzeit, so dass sichergestellt wird, dass keine veralteten Signale verarbeitet werden. Durch die Prüfung des Signalzählers lässt sich sicherstellen, dass die korrekte Reihenfolge der Signale bei der Signalübertragung nicht durcheinander gekommen ist. Mit dem CRC-Prüfwert lässt sich überprüfen, ob bei der Übertragung Fehler aufgetreten bzw. ob Informationen verloren gegangen sind. Anschließend erfolgt, sofern eine formale Korrektheit des Signals festgestellt wurde, eine Ausgabe an einen Bus 5 des Fahrzeugs zur Datenübertragung.
Die erste elektronische Recheneinrichtung 1 enthält außerdem eine weitere Fahrzeugapplikation, die als Slowdown-Einrichtung 12 ausgeführt ist und deren Signale in analoger Weise zu denen der Remote-Start-Einrichtung 11 verarbeitet werden.
Bei einer weiteren Fahrzeugapplikation, in Form einer e- Call-Einrichtung 13, nehmen die Signale den umgekehrten Weg. Die zweite elektronische Recheneinrichtung 2 erhält das entspre chende Signal vom Bus 5 des Fahrzeugs. Nachdem in der Über prüfungseinrichtung 21 mittels des Zeitstempels , Signalzählers und des CRC-Prüfwerts die formale Korrektheit geprüft wurde, erfolgt über die Schnittstelle 3 und eine digitale Bibliothek 15 für eingehende Signale die Ausgabe an die eCall-Einrichtung 13.
In Fig. 2 ist mit der Positions-Applikation 16 eine weitere Fahrzeugapplikation der ersten elektronischen Recheneinrichtung 1 dargestellt. Es versteht sich, dass das in Fig. 2 gezeigte Ausführungsbeispiel nach einer Ausführungsform zusammen mit den in Fig. 1 erläuterten Merkmalen in einer erfindungsgemäßen Vorrichtung bzw. mit der gleichen Hardware realisiert werden kann .
Bei der Fahrzeugapplikation handelt es sich um eine oder mehrere Fahrzeugapplikationen, die ein Positionssignal als Eingangs größe benötigen. Dazu wird zunächst ein GNSS-Signal eines Satellitennavigationssystems mit einem entsprechenden GNSS-Empfänger 4 empfangen und an die erste elektronische Recheneinrichtung 1 übergeben. Dort wird unter Zuhilfenahme weiterer Sensorsignale 22 mittels eines Filters 17 eine Position berechnet (Dead Reckoning) , die mit Hilfe der Sensorsignale 22 präziser und zuverlässiger ist als mit dem GNSS-Signal alleine. Das so erhaltene Positionssignal wird an die zweite elektronische Recheneinrichtung 2 übergeben und in der Überprüfungseinrichtung 21 mittels eines Zeitstempels , eines Signalzählers und eines CRC-Prüfwerts auf formale Korrektheit geprüft. Darüber hinaus erfolgt eine Überprüfung der Plausibilität des Positionssignals anhand der gespeicherten Signalhistorie.
Das so mittels einer gemäß ASIL B ausgebildeten Einrichtung auf formale Korrektheit geprüfte und plausibilisierte Positions signal wird anschließend an die entsprechende Positi ons-Applikation 16 und zusätzlich an einen Bus 5 des Fahrzeugs zur Datenübertragung übergeben.
Sofern sich im Laufe des Verfahrens herausstellt, dass ein Merkmal oder eine Gruppe von Merkmalen nicht zwingend nötig ist, so wird anmelderseitig bereits jetzt eine Formulierung zumindest eines unabhängigen Anspruchs angestrebt, welcher das Merkmal oder die Gruppe von Merkmalen nicht mehr aufweist. Hierbei kann es sich beispielsweise um eine Unterkombination eines am An meldetag vorliegenden Anspruchs oder um eine durch weitere Merkmale eingeschränkte Unterkombination eines am Anmeldetag vorliegenden Anspruchs handeln. Derartige neu zu formulierende Ansprüche oder Merkmalskombinationen sind als von der Offen barung dieser Anmeldung mit abgedeckt zu verstehen.
Es sei ferner darauf hingewiesen, dass Ausgestaltungen, Merkmale und Varianten der Erfindung, welche in den verschiedenen Ausführungen oder Ausführungsbeispielen beschriebenen und/oder in den Figuren gezeigt sind, beliebig untereinander kombinierbar sind. Einzelne oder mehrere Merkmale sind beliebig gegeneinander austauschbar. Hieraus entstehende Merkmalskombinationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen . Rückbezüge in abhängigen Ansprüchen sind nicht als ein Verzicht auf die Erzielung eines selbständigen, gegenständlichen Schutzes für die Merkmale der rückbezogenen Unteransprüche zu verstehen. Diese Merkmale können auch beliebig mit anderen Merkmalen kombiniert werden.
Merkmale, die lediglich in der Beschreibung offenbart sind oder Merkmale, welche in der Beschreibung oder in einem Anspruch nur in Verbindung mit anderen Merkmalen offenbart sind, können grundsätzlich von eigenständiger erfindungs-wesentlicher Be deutung sein. Sie können deshalb auch einzeln zur Abgrenzung vom Stand der Technik in Ansprüche aufgenommen werden.

Claims

Patentansprüche
1. Vorrichtung zur Absicherung von Signalen, umfassend:
eine erste elektronische Recheneinrichtung (1) und eine zweite elektronische Recheneinrichtung (2), wobei die zweite elektronische Recheneinrichtung (2) eine Über prüfungseinrichtung (21) aufweist,
wobei die erste und die zweite elektronische Recheneinrichtung (1, 2) dazu ausgebildet sind, voneinander ein oder mehrere unterschiedliche Signale zu empfangen und / oder zueinander auszusenden,
wobei die Überprüfungseinrichtung (21) ausgebildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale auf formale Korrektheit zu prüfen und / oder zu plausibilisieren und die Signale abhängig von der Plausibilisierung und / oder der Prüfung auf formale Korrektheit an die erste elektronische Recheneinrichtung (1) zu senden und / oder an einen Bus (5) zur Datenübertragung zu übertragen,
wobei die zweite elektronische Recheneinrichtung (2) gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung (1).
2. Vorrichtung gemäß Anspruch 1, dadurch gekennzeichnet, dass zumindest ein Signal zu dessen Empfang oder Aussendung die erste elektronische Recheneinrichtung (1) ausgebildet ist, als Signal einer Fahrzeugapplikation ausgebildet ist.
3. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfungseinrichtung (21) ausge bildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale mittels eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts, insbesondere in Form einer zyklischen Redundanzprüfung, auf formale Korrektheit zu prüfen .
4. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfungseinrichtung (21) ausge bildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale anhand einer gespeicherten Signalhistorie auf Plausibilität zu prüfen.
5. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) ausgebildet ist, ein auszusendendes Signal auf Grundlage eines empfangenen GNSS-Signals in Form eines Positionssignals zu erzeugen und an die zweite elektronische Recheneinrichtung (2) zu senden.
6. Vorrichtung gemäß Anspruch 5, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) ausgebildet ist, zur Erzeugung des Positionssignals neben dem GNSS-Signal Sensor signale (22) eines Fahrzeugs heranzuziehen, insbesondere Sensorsignale (22) von Raddrehzahl-, Radar-, Kamera-, Lenk winkel-, und / oder Inertialsensoren .
7. Vorrichtung gemäß Anspruch 6, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) einen Filter (17) zur Erzeugung des Positionssignals aus dem GNSS-Signal und den Sensorsignalen des Fahrzeugs aufweist.
8. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) eine eCall-Einrichtung (13) zum Auslösen eines automatischen Notrufs aufweist, wobei die zweite elektronische Rechenein richtung (2) ausgebildet ist, ein eCall-Signal von einem Bus (5) zur Datenübertragung zu empfangen, mittels der Überprüfungs einrichtung (21) zu prüfen und / oder zu plausibilisieren und an die eCall-Einrichtung (13) zu senden.
9. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) eine Slowdown-Einrichtung (12) zum Auslösen einer auto matisch initiierten Bremsung oder Verlangsamung eines Fahrzeugs aufweist, wobei die zweite elektronische Recheneinrichtung (2) ausgebildet ist, ein Slowdown-Signal von der Slow down-Einrichtung (12) zu empfangen, mittels der Überprü fungseinrichtung (21) zu prüfen und / oder zu plausibilisieren und an einen Bus (5) zur Datenübertragung zu senden.
10. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Rechen einrichtung (1) eine Remote-Start-Einrichtung (11) zum Starten eines Fahrzeugmotors aus der Ferne aufweist, wobei die zweite elektronische Recheneinrichtung (2) ausgebildet ist, ein Re- mote-Start-Signal von der Remote-Start-Einrichtung (11) zu empfangen, mittels der Überprüfungseinrichtung (21) zu prüfen und / oder zu plausibilisieren und an einen Bus (5) zur Da tenübertragung zu senden.
11. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Empfangen und / oder Aussenden von Signalen zwischen der ersten und zweiten elektronischen Recheneinrichtung (1, 2) über eine elektronische Schnittstelle (3) erfolgt, wobei die Schnittstelle (3) gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung (1), insbesondere gemäß des Sicherheitsintegritätslevels der zweiten elektronische Re cheneinrichtung .
12. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Rechen einrichtung (1) gemäß des Sicherheitsintegritätslevels ASIL QM und die zweite elektronische Recheneinrichtung (2) gemäß einem der Sicherheitsintegritätslevel ASIL A, ASIL B, ASIL C oder ASIL D, bevorzugt ASIL B ausgebildet ist.
13. Verwendung der Vorrichtung gemäß einem der vorhergehenden Ansprüche in einem Fahrzeug, insbesondere Straßenfahrzeug.
14. Verfahren zur Absicherung von Signalen mittels einer Vorrichtung gemäß einem der Ansprüche 1 bis 11, aufweisend die Schritte :
- Empfangen eines Signals durch die zweite elektronische Re cheneinrichtung (2) von einem Bus (5) zur Datenübertragung oder der ersten elektronischen Recheneinrichtung (1),
Plausibilisieren und / oder Prüfen des von der zweiten elektronischen Recheneinrichtung (2) empfangenen Signals auf formale Korrektheit mittels der Überprüfungseinrichtung (21), insbesondere mit Hilfe eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts,
- Senden des Signals an die erste elektronische Recheneinrichtung (1) und / oder Übertragen des Signals an einen Bus (5) zur Datenübertragung abhängig von dem Ergebnis der Plausibilisierung und / oder dem Ergebnis der Prüfung auf formale Korrektheit.
15. Verfahren gemäß Anspruch 14, gekennzeichnet durch die Schritte :
- Empfangen eines GNSS-Signals durch einen GNSS-Empfänger (4),
- Erzeugen des Signals in Form eines Positionssignals durch die erste elektronische Recheneinrichtung (1) auf Grundlage des empfangenen GNSS-Signals,
- Senden des Signals in Form des Positionssignals an die zweite elektronische Recheneinrichtung (2).
16. Verfahren gemäß Anspruch 15, gekennzeichnet durch den Schritt : - Erzeugen des Positionssignals durch die erste elektronische Recheneinrichtung (1) unter Hinzuziehung von Sensorsignalen eines Fahrzeugs, insbesondere Sensorsignalen von Raddrehzahl-, Radar-, Kamera-, Lenkwinkel-, und / oder Inertialsensoren, vorzugsweise durch eine Filterung des GNSS-Signals mit den Sensorsignalen des Fahrzeugs.
PCT/EP2019/070814 2018-08-21 2019-08-01 Vorrichtung zur absicherung von signalen WO2020038700A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/107,057 2018-08-21
US16/107,057 US10776195B2 (en) 2018-08-21 2018-08-21 Apparatus for protecting signals

Publications (1)

Publication Number Publication Date
WO2020038700A1 true WO2020038700A1 (de) 2020-02-27

Family

ID=67667808

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/070814 WO2020038700A1 (de) 2018-08-21 2019-08-01 Vorrichtung zur absicherung von signalen

Country Status (2)

Country Link
US (1) US10776195B2 (de)
WO (1) WO2020038700A1 (de)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120053888A1 (en) * 2008-10-15 2012-03-01 Continental Teves Ag & Co. Ohg Improvement and validation of position determination
US20130184990A1 (en) 2010-09-23 2013-07-18 Continental Teve AG & Co. oHG Location-Determining Device in a Motor Vehicle and Information Merging Method
US20150210258A1 (en) * 2012-08-29 2015-07-30 Continental Automotive Gmbh Method for carrying out a safety function of a vehicle and system for carrying out the method
US20170089722A1 (en) 2014-06-11 2017-03-30 Continental Teves Ag & Co. Ohg Method and system for initializing a sensor fusion system
WO2017080556A1 (de) * 2015-11-12 2017-05-18 Continental Teves Ag & Co. Ohg Verfahren und vorrichtung zum bewerten einer position eines fahrzeugs, insbesondere nach einer asil sicherheitsstufe
US20180063301A1 (en) * 2016-08-23 2018-03-01 Steering Solutions Ip Holding Corporation Vehicle inter-controller communication
US20180217269A1 (en) 2015-09-29 2018-08-02 Continental Teves Ag & Co. Ohg Method for selecting localization algorithms in a vehicle

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10113917B4 (de) * 2001-03-21 2019-05-23 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
JP4281109B2 (ja) * 2003-12-11 2009-06-17 株式会社デンソー 車両用補機診断システム
US20150187209A1 (en) * 2006-01-31 2015-07-02 Sigma Designs, Inc. Method and system for synchronization and remote control of controlling units
DE102006031230B4 (de) * 2006-07-06 2021-07-15 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Übertragung von Daten
DE102012224103A1 (de) * 2012-12-20 2014-06-26 Continental Teves Ag & Co. Ohg Vorrichtung zum Ausgeben eines eine physikalische Messgröße anzeigenden Messsignals
GB2523194B (en) * 2014-02-18 2017-10-25 Jaguar Land Rover Ltd Control system and method
US10637681B2 (en) * 2014-03-13 2020-04-28 Silicon Laboratories Inc. Method and system for synchronization and remote control of controlling units
US9965438B2 (en) * 2015-12-14 2018-05-08 International Business Machines Corporation Dynamic clock lane assignment for increased performance and security
US10277258B2 (en) * 2016-09-09 2019-04-30 Toshiba Memory Corporation Information processing device and host device
US10229016B2 (en) * 2017-06-01 2019-03-12 The University Of Akron Redundant computer system utilizing comparison diagnostics and voting techniques
WO2019241022A1 (en) * 2018-06-13 2019-12-19 Nvidia Corporation Path detection for autonomous machines using deep neural networks
CN110611546B (zh) * 2018-06-14 2021-12-24 上海朗帛通信技术有限公司 一种被用于无线通信的用户设备、基站中的方法和装置
US20200017114A1 (en) * 2019-09-23 2020-01-16 Intel Corporation Independent safety monitoring of an automated driving system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120053888A1 (en) * 2008-10-15 2012-03-01 Continental Teves Ag & Co. Ohg Improvement and validation of position determination
US20130184990A1 (en) 2010-09-23 2013-07-18 Continental Teve AG & Co. oHG Location-Determining Device in a Motor Vehicle and Information Merging Method
US20150210258A1 (en) * 2012-08-29 2015-07-30 Continental Automotive Gmbh Method for carrying out a safety function of a vehicle and system for carrying out the method
US20170089722A1 (en) 2014-06-11 2017-03-30 Continental Teves Ag & Co. Ohg Method and system for initializing a sensor fusion system
US20180217269A1 (en) 2015-09-29 2018-08-02 Continental Teves Ag & Co. Ohg Method for selecting localization algorithms in a vehicle
WO2017080556A1 (de) * 2015-11-12 2017-05-18 Continental Teves Ag & Co. Ohg Verfahren und vorrichtung zum bewerten einer position eines fahrzeugs, insbesondere nach einer asil sicherheitsstufe
US20180063301A1 (en) * 2016-08-23 2018-03-01 Steering Solutions Ip Holding Corporation Vehicle inter-controller communication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LU DEBIAO ET AL: "Methods for certification of GNSS-based safe vehicle localisation in driving assistance systems", 2015 INTERNATIONAL CONFERENCE ON CONNECTED VEHICLES AND EXPO (ICCVE), IEEE, 19 October 2015 (2015-10-19), pages 226 - 231, XP032889581, DOI: 10.1109/ICCVE.2015.19 *

Also Published As

Publication number Publication date
US20200065172A1 (en) 2020-02-27
US10776195B2 (en) 2020-09-15

Similar Documents

Publication Publication Date Title
EP3374799B1 (de) Verfahren und vorrichtung zum bewerten einer position eines fahrzeugs, insbesondere nach einer asil sicherheitsstufe
DE102011084254A1 (de) Kommunikationssystem für ein Kraftfahrzeug
EP3529789B1 (de) Verfahren und vorrichtung zum generieren eines notrufs für ein fahrzeug
DE102017214611A1 (de) Verfahren zum Überprüfen eines Reaktionssignals einer Fahrzeugkomponente sowie Überprüfungsvorrichtung und Kraftfahrzeug
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
DE102019214453A1 (de) Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
EP3374798B1 (de) System zum plausibilisieren von satellitensignalen globaler navigationssysteme
DE102019214471A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
EP1956558A2 (de) Frühwarnsystem zur präventiven Erkennung und Korrektur von Mängeln in Fahrzeugen
EP2726352B1 (de) Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit
DE102020110528A1 (de) Kamerasignalüberwachungsvorrichtung und -verfahren
WO2020038700A1 (de) Vorrichtung zur absicherung von signalen
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
WO2017186384A1 (de) Diagnosevorrichtung und verfahren zur filterung von diagnosekommandos
DE10121061B4 (de) Überwachungsvorrichtung und Überwachungsverfahren
WO2021018453A1 (de) Verfahren zum testen eines kraftfahrzeugs
DE102016105876A1 (de) Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren
DE102017201419A1 (de) Konzept zum Prüfen von unterschiedlich ermittelten Belegungszuständen eines Stellplatzes für Kraftfahrzeuge auf Fehler
EP2960632B1 (de) Verfahren und system zum aufbereiten von durch kraftfahrzeugseitig angeordnete sensoren erzeugten sensormesswerten
DE102022130306A1 (de) Verfahren zum Verarbeiten von Nachrichten, Verfahren zum Betreiben zumindest einer Einrichtung eines Kraftfahrzeugs, Vorrichtung zum Verarbeiten von Nachrichten sowie Kraftfahrzeug
WO2020089039A1 (de) Verfahren zur fahrzeugbasierten verifikation von zumindest einer erkannten gefahrenstelle
DE112019007143T5 (de) Fahrzeugdatenverarbeitungsvorrichtung, Fahrzeugdatenverarbeitungssystem, Fahrzeugdatenverarbeitungsserver und Fahrzeugdatenverarbeitungsverfahren

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19755832

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19755832

Country of ref document: EP

Kind code of ref document: A1