WO2020038700A1 - Vorrichtung zur absicherung von signalen - Google Patents
Vorrichtung zur absicherung von signalen Download PDFInfo
- Publication number
- WO2020038700A1 WO2020038700A1 PCT/EP2019/070814 EP2019070814W WO2020038700A1 WO 2020038700 A1 WO2020038700 A1 WO 2020038700A1 EP 2019070814 W EP2019070814 W EP 2019070814W WO 2020038700 A1 WO2020038700 A1 WO 2020038700A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- electronic computing
- computing device
- signal
- check
- signals
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01C—MEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
- G01C21/00—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
- G01C21/26—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 specially adapted for navigation in a road network
- G01C21/28—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 specially adapted for navigation in a road network with correlation of data from several navigational instruments
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T7/00—Brake-action initiating means
- B60T7/12—Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01S—RADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
- G01S19/00—Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
- G01S19/01—Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
- G01S19/03—Cooperating elements; Interaction or communication between different cooperating elements or between cooperating elements and receivers
- G01S19/07—Cooperating elements; Interaction or communication between different cooperating elements or between cooperating elements and receivers providing data for correcting measured positioning data, e.g. DGPS [differential GPS] or ionosphere corrections
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01S—RADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
- G01S19/00—Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
- G01S19/38—Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system
- G01S19/39—Determining a navigation solution using signals transmitted by a satellite radio beacon positioning system the satellite radio beacon positioning system transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
- G01S19/42—Determining position
- G01S19/45—Determining position by combining measurements of signals from the satellite radio beacon positioning system with a supplementary measurement
- G01S19/47—Determining position by combining measurements of signals from the satellite radio beacon positioning system with a supplementary measurement the supplementary measurement being an inertial measurement, e.g. tightly coupled inertial
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
Definitions
- the invention relates to a device for securing signals, the use of the device in a vehicle and a corresponding method.
- the invention relates to a device for securing signals, comprising:
- the second electronic computing device having a checking device
- first and the second electronic computing device are designed to receive and / or send one or more different signals from one another
- the checking device is designed to check and / or to plausibility check signals received from the second electronic computing device and to send the signals to the first electronic computing device and / or to one depending on the plausibility check and / or the check for formal correctness Bus for data transmission, in particular vehicle bus, to be transmitted, the second electronic computing device being designed in accordance with a higher security integrity level than the first electronic computing device.
- the device according to the invention has the advantage that the checking device enables a check or plausibility check of signals, and only the second electronic computing device involves the effort of a higher security integrity level.
- the first electronic computing device can, for example, be designed as essentially non-safety-relevant according to an ASIL QM (Quality Management) classification, so that there is no increased outlay or costs here.
- ASIL QM Quality Management
- the first and the second electronic computing device are each preferably designed as a separate microcontroller or processor or in each case an area of a die or chip of a microcontroller or processor.
- different areas of the dies or chips can be used to implement the possibly different security integrity levels accordingly.
- the devices mentioned can also be provided on a plurality of dies or chips.
- At least one signal for receiving or transmitting the first electronic computing device is formed as a signal of a vehicle application.
- the device is preferably designed such that the first electronic computing device provides more than one vehicle application and the signals are designed as signals of the respective applications.
- the checking device is designed to receive signals received from the second electronic computing device by means of a time stamp and / or a signal counter and / or a test value, in particular in the form of a cyclical redundancy. Check to check for formal correctness.
- the time stamp is expediently checked by comparison with a current time, it being possible to reject signals whose time stamp indicates that a predetermined age has been exceeded.
- Checking the signal counter ensures that the correct order of the signals during the signal transmission has not been mixed up.
- the test value calculated according to a specific method can be used to check whether errors have occurred during the transmission.
- the checking device is preferably designed to check signals received by the second electronic computing device for plausibility on the basis of a stored signal history. For example, from a history of position signals calculated on the basis of GNSS signals, a specific range results within which the next position signal, in view of the physical limits of, for example, a road vehicle, must lie in order to be considered realistic.
- the first electronic computing device is preferably designed to generate a signal to be emitted based on a received GNSS signal in the form of a position signal and to send it to the second electronic computing device.
- the first electronic computing device is preferably designed to use sensor signals of a vehicle in addition to the GNSS signal to generate the position signal, in particular sensor signals from wheel speed, radar, camera, steering angle and / or inertial sensors.
- the first electronic computing device has a filter for generating the position signal from the GNSS signal and the sensor signals of the vehicle. This can enable a particularly precise position signal, for example, by weighting the incoming information.
- the first electronic computing device has an eCall device for triggering an automatic emergency call
- the second electronic computing device being designed to receive an eCall signal from a bus for data transmission, in particular a vehicle bus, by means of the checking device and / or to make it plausible and send it to the eCall facility.
- An automatic emergency call can be initiated, for example, by a signal coming from an airbag or an accident detection system.
- the first electronic computing device has a slowdown device for triggering an automatically initiated braking or decelerating of a vehicle
- the second electronic computing device being designed to receive a slowdown signal from the slowdown device by means of the checking to check the device and / or to make it plausible and to send it to a bus for data transmission, in particular a vehicle bus.
- a slowdown device can be used, for example, to stop a stolen vehicle and prevent the vehicle thief from escaping.
- the first electronic computing device has a remote start device for starting a vehicle engine from a distance
- the second electronic computing device being designed To receive the remote start signal from the remote start device, to check and / or to check the plausibility by means of the checking device and to send it to a bus for data transmission, in particular vehicle bus.
- a vehicle can be started remotely and, for example, an air conditioning system can be started at an early stage.
- signals are received and / or transmitted between the first and second electronic computing devices via an electronic interface, the interface being designed or designed according to a higher security integrity level than the first electronic computing device, in particular according to the Security integrity level of the second electronic computing device.
- the first electronic computing device is preferably designed in accordance with the safety integrity level ASIL QM and the second electronic computing device in accordance with one of the safety integrity levels ASIL A, ASIL B, ASIL C or ASIL D, particularly preferably ASIL B.
- the device according to one of the aforementioned exemplary embodiments is preferably used in a vehicle, in particular a road vehicle.
- a method for protecting signals by means of a device has the steps:
- the method is preferably further developed by the steps:
- the method preferably further comprises the step:
- the device according to the invention is set up to carry out a method according to at least one of the above embodiments.
- the specified device has at least one memory and one processor.
- the specified is Method stored in the form of a computer program in the memory and the processor is provided for executing the method when the computer program is loaded from the memory into the processor.
- a computer program comprises program code means for carrying out all steps of one of the specified methods when the computer program is executed on a computer or one of the specified devices.
- a computer program product contains a program code which is stored on a computer-readable data carrier and which, if it is executed on a data processing device, carries out one of the specified methods.
- Fig. 1 shows an embodiment of a device according to the
- Fig. 2 shows another embodiment or an additional
- Fig. 1 shows an embodiment of a device according to the invention.
- the device comprises a first electronic computing device 1 and a second electronic computing device 2, which are designed to receive and / or receive one or more different signals from one another. to send each other out.
- the second electronic computing device 2 with ASIL B is designed in accordance with a higher security integrity level than the first electronic computing device 1 with ASIL QM.
- the corresponding ASIL classification is identified in each case in FIG. 1 and FIG. 2 with a bracket symbol.
- the first electronic computing device 1 configured according to the example for executing a Linux operating system, several vehicle applications are implemented, the outgoing and incoming signals of which are checked for plausibility by a checking device 21 of the second electronic computing device 2 and checked for formal correctness.
- the signals are represented by arrows in the figures.
- a first vehicle application is designed as a remote start device 11. Its output signal is transferred to a digital library 14 for outgoing signals, which is implemented on the first electronic computing device 1 classified with ASIL QM, but is preferably designed according to the ASIL B standard. The signal is transferred to the second electronic computing device 2 via an interface 3 designed according to the ASIL B standard.
- the signal in the checking device 21 is checked for formal correctness by means of a time stamp, a signal counter and a CRC check value.
- the check of the time stamp corresponds to a comparison with a current time, so that it is ensured that no outdated signals are processed.
- Checking the signal counter ensures that the correct order of the signals during the signal transmission has not been mixed up.
- the CRC check value can be used to check whether errors occurred during the transmission or whether information was lost. If the formal correctness of the Signal was determined, an output to a bus 5 of the vehicle for data transmission.
- the first electronic computing device 1 also contains a further vehicle application, which is designed as a slowdown device 12 and whose signals are processed in an analogous manner to those of the remote start device 11.
- the signals take the opposite route.
- the second electronic computing device 2 receives the corre sponding signal from the bus 5 of the vehicle. After the formal correctness has been checked in the checking device 21 by means of the time stamp, signal counter and the CRC check value, the output to the eCall device 13 takes place via the interface 3 and a digital library 15 for incoming signals.
- FIG. 2 A further vehicle application of the first electronic computing device 1 is shown in FIG. 2 with the position application 16. It goes without saying that the exemplary embodiment shown in FIG. 2 can be implemented according to one embodiment together with the features explained in FIG. 1 in a device according to the invention or with the same hardware.
- the vehicle application is one or more vehicle applications that require a position signal as an input variable.
- a GNSS signal from a satellite navigation system is first received with a corresponding GNSS receiver 4 and transferred to the first electronic computing device 1.
- a position 17 is calculated using a filter 17 (dead reckoning), which is more precise and reliable with the aid of the sensor signals 22 than with the GNSS signal alone.
- the position signal obtained in this way is transferred to the second electronic computing device 2 and checked for formal correctness in the checking device 21 by means of a time stamp, a signal counter and a CRC check value.
- the plausibility of the position signal is checked on the basis of the stored signal history.
- the position signal thus checked for formal correctness and plausibility check by means of a device designed in accordance with ASIL B is then transferred to the corresponding position application 16 and additionally to a bus 5 of the vehicle for data transmission.
Landscapes
- Engineering & Computer Science (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Transportation (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Traffic Control Systems (AREA)
Abstract
Die Erfindung betrifft eine Vorrichtung zur Absicherung von Signalen, umfassend eine erste elektronische Recheneinrichtung (1) und eine zweite elektronische Recheneinrichtung (2), wobei die zweite elektronische Recheneinrichtung (2) eine Überprüfungseinrichtung (21) aufweist, wobei die erste und die zweite elektronische Recheneinrichtung (1, 2) dazu ausgebildet sind, voneinander ein oder mehrere unterschiedliche Signale zu empfangen und / oder zueinander auszusenden, wobei die Überprüfungseinrichtung (21) ausgebildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale auf formale Korrektheit zu prüfen und / oder zu plausibilisieren und die Signale abhängig von der Plausibilisierung und / oder der Prüfung auf formale Korrektheit an die erste elektronische Recheneinrichtung (1) zu senden und / oder an einen Bus (5) zur Datenübertragung zu übertragen, wobei die zweite elektronische Recheneinrichtung (2) gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung (1). Weiterhin betrifft die Erfindung ein korrespondierendes Verfahren sowie die Verwendung der Vorrichtung in einem Fahrzeug.
Description
Beschreibung
Vorrichtung zur Absicherung von Signalen
Die Erfindung betrifft Vorrichtung zur Absicherung von Signalen, die Verwendung der Vorrichtung in einem Fahrzeug sowie ein entsprechendes Verfahren.
Mit dem technischen Fortschritt steigen Anzahl und Umfang der Funktionen und Dienstleistungen, besonders bei Automobilen, stetig an. Dabei unterscheiden sich die Anwendungen zum Teil deutlich in ihren Sicherheitserfordernissen. Eine Position beispielsweise, die nicht nur einer Person als Information sondern auch weiteren Anwendungen, insbesondere sicher- heitskritischen Anwendungen in einem Fahrzeug, zur Verfügung gestellt werden soll, bringt erhöhte Sicherheitserfordernisse mit sich. Auch bei Notfallbremssystemen oder Fahrerassis tenzsystemen, die einen direkte Zugriff auf die Fahrzeugbe dienung haben, können fehlerhafte Signale dramatische Folgen haben. Für die Automobilindustrie relevante Entwicklungspro zesse der funktionalen Sicherheit und entsprechende Arbeits produkte werden daher mit der Norm ISO 26262 standardisiert. Das jeweils vorgeschriebene Sicherheitsintegritätslevel bzw. gemäß dieser Norm Automotive Safety Integrity Level, kurz ASIL, genannt, für eine Vielzahl von Anwendungen zu gewährleisten, geht normalerweise mit einem hohen Aufwand einher.
Es ist daher Aufgabe dieser Erfindung, eine Vorrichtung bzw. ein Verfahren bereitzustellen, mit der ein bestimmtes Sicher heitsintegritätslevel mit geringem Aufwand bzw. kostengünstig realisiert werden kann.
Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen können bei-
spielsweise den Unteransprüchen entnommen werden. Der Inhalt der Ansprüche wird durch ausdrückliche Inbezugnahme zum Inhalt der Beschreibung gemacht.
Die Erfindung betrifft eine Vorrichtung zur Absicherung von Signalen, umfassend:
eine erste elektronische Recheneinrichtung und
eine zweite elektronische Recheneinrichtung, wobei die zweite elektronische Recheneinrichtung eine Überprü fungseinrichtung aufweist,
wobei die erste und die zweite elektronische Recheneinrichtung dazu ausgebildet sind, voneinander ein oder mehrere unter schiedliche Signale zu empfangen und / oder zueinander aus zusenden,
wobei die Überprüfungseinrichtung ausgebildet ist, von der zweiten elektronischen Recheneinrichtung empfangene Signale auf formale Korrektheit zu prüfen und / oder zu plausibilisieren und die Signale abhängig von der Plausibilisierung und / oder der Prüfung auf formale Korrektheit an die erste elektronische Recheneinrichtung zu senden und / oder an einen Bus zur Da tenübertragung, insbesondere Fahrzeugbus, zu übertragen, wobei die zweite elektronische Recheneinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung.
Die erfindungsgemäße Vorrichtung hat den Vorteil, dass mit der Überprüfungseinrichtung eine Prüfung bzw. Plausibilisierung von Signalen ermöglicht wird und dabei lediglich mit der zweiten elektronischen Recheneinrichtung der Aufwand eines höheren Sicherheitsintegritätslevels einhergeht. Die erste elektro nische Recheneinrichtung kann dagegen beispielsweise als im Wesentlichen nicht sicherheitsrelevant gemäß einer ASIL QM (Quality Management ) Einstufung ausgelegt sein, so dass hier kein erhöhter Aufwand oder erhöhte Kosten anfallen.
Damit eine elektronische Recheneinrichtung einen bestimmten Sicherheitsintegritätslevel effizient erreicht, kann bei spielsweise eine intelligente Nutzung von Redundanz und Diversität auf Funktionsebene sowie eine ausgereifte Architektur mit Schutz- und Diagnose-Mechanismen angestrebt werden. Eine Vermeidung von Fehlern gleichen Ursprungs lässt sich in Hardware und Software beispielsweise durch eine leicht veränderte re dundante Ausführung erreichen.
Die erste und die zweite elektronische Recheneinrichtung ist jeweils vorzugsweise als ein separater Mikrocontroller bzw. Prozessor oder jeweils ein Bereich eines Dies bzw. Chips eines Mikrocontrollers bzw. Prozessors ausgebildet. Insbesondere können unterschiedliche Bereiche des Dies bzw. Chips heran gezogen werden, um die ggf. verschiedenen Sicherheitsinteg ritätslevel entsprechend umzusetzen. Alternativ oder in Er gänzung können die genannten Einrichtungen auch auf einer Mehrzahl Dies bzw. Chips vorgesehen sein.
Es ist bevorzugt, dass zumindest ein Signal zu dessen Empfang oder Aussendung die erste elektronische Recheneinrichtung ausge bildet ist, als Signal einer Fahrzeugapplikation ausgebildet ist. Bevorzugt ist die Vorrichtung so ausgebildet, dass die erste elektronische Recheneinrichtung mehr als eine Fahrzeugappli kation bereitstellt und die Signale als Signale der jeweiligen Applikationen ausgebildet sind. Somit werden mit der Vorrichtung Synergieeffekte genutzt und Aufwand und Kosten eingespart.
Es entspricht einer bevorzugten Ausführungsform, dass die Überprüfungseinrichtung ausgebildet ist, von der zweiten elektronischen Recheneinrichtung empfangene Signale mittels eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts, insbesondere in Form einer zyklischen Redundanz-
Prüfung, auf formale Korrektheit zu prüfen. Zweckmäßigerweise erfolgt die Überprüfung des Zeitstempels durch Vergleich mit einer aktuellen Uhrzeit, wobei vorgesehen sein kann, Signale zu verwerfen, deren Zeitstempel ein überschreiten eines vorge gebenen Alters anzeigt. Durch die Prüfung des Signalzählers lässt sich sicherstellen, dass die korrekte Reihenfolge der Signale bei der Signalübertragung nicht durcheinander gekommen ist. Mit dem nach einem bestimmten Verfahren berechneten Prüfwert lässt sich überprüfen, ob bei der Übertragung Fehler aufgetreten sind.
Vorzugsweise ist die Überprüfungseinrichtung ausgebildet, von der zweiten elektronischen Recheneinrichtung empfangene Signale anhand einer gespeicherten Signalhistorie auf Plausibilität zu prüfen. Beispielsweise ergibt sich aus einer Historie von auf Basis von GNSS-Signalen berechneten Positionssignalen ein bestimmter Bereich innerhalb dessen das nächste Positionssignal, angesichts der physikalischen Grenzen beispielsweise eines Straßenfahrzeugs, liegen muss, um als realistisch zu gelten.
Bevorzugt ist die erste elektronische Recheneinrichtung aus gebildet, ein auszusendendes Signal auf Grundlage eines emp fangenen GNSS-Signals in Form eines Positionssignals zu erzeugen und an die zweite elektronische Recheneinrichtung zu senden.
In dieser Hinsicht wird Bezug genommen auf die Anmeldungen US 2017/0089722 Al, US 2013/0184990 Al sowie US 2018/0217269 Al deren Inhalt hiermit in diese Anmeldung aufgenommen wird.
Die erste elektronische Recheneinrichtung ist bevorzugt aus gebildet, zur Erzeugung des Positionssignals neben dem GNSS-Signal Sensorsignale eines Fahrzeugs heranzuziehen, insbesondere Sensorsignale von Raddrehzahl-, Radar-, Kamera-, Lenkwinkel-, und / oder Inertialsensoren .
Dazu ist es vorteilhaft, wenn die erste elektronische Re cheneinrichtung einen Filter zur Erzeugung des Positionssignals aus dem GNSS-Signal und den Sensorsignalen des Fahrzeugs aufweist. Dieser kann beispielsweise mittels Gewichtung der eingehenden Informationen ein besonders präzises Positions signal ermöglichen.
Die erste elektronische Recheneinrichtung weist nach einer bevorzugten Ausführungsform eine eCall-Einrichtung zum Auslösen eines automatischen Notrufs auf, wobei die zweite elektronische Recheneinrichtung ausgebildet ist, ein eCall-Signal von einem Bus zur Datenübertragung, insbesondere Fahrzeugbus, zu emp fangen, mittels der Überprüfungseinrichtung zu prüfen und / oder zu plausibilisieren und an die eCall-Einrichtung zu senden. Das Auslösen eines automatischen Notrufs kann beispielsweise durch ein von einem Airbag oder einem System zur Unfallerkennung kommendes Signal eingeleitet werden.
Nach einer weiteren bevorzugten Ausführungsform weist die erste elektronische Recheneinrichtung eine Slowdown-Einrichtung zum Auslösen einer automatisch initiierten Bremsung oder Ver langsamung eines Fahrzeugs auf, wobei die zweite elektronische Recheneinrichtung ausgebildet ist, ein Slowdown-Signal von der Slowdown-Einrichtung zu empfangen, mittels der Überprüfungs einrichtung zu prüfen und / oder zu plausibilisieren und an einen Bus zur Datenübertragung, insbesondere Fahrzeugbus zu senden. Mit einer solchen Slowdown-Einrichtung lässt sich beispielsweise ein gestohlenes Fahrzeug anhalten und eine Flucht des Fahr zeugdiebes verhindern.
Nach einer weiteren bevorzugten Ausführungsform weist die erste elektronische Recheneinrichtung eine Remote-Start-Einrichtung zum Starten eines Fahrzeugmotors aus der Ferne auf, wobei die zweite elektronische Recheneinrichtung ausgebildet ist, ein
Remote-Start-Signal von der Remote-Start-Einrichtung zu emp fangen, mittels der Überprüfungseinrichtung zu prüfen und / oder zu plausibilisieren und an einen Bus zur Datenübertragung, insbesondere Fahrzeugbus zu senden. Mit der Remo- te-Start-Einrichtung kann ein Fahrzeug aus der Ferne gestartet und beispielsweise frühzeitig eine Klimaanlage in Betrieb genommen werden.
Es ist bevorzugt, dass das Empfangen und / oder Aussenden von Signalen zwischen der ersten und zweiten elektronischen Re cheneinrichtung über eine elektronische Schnittstelle erfolgt, wobei die Schnittstelle gemäß eines höheren Sicherheitsin- tegritätslevels ausgestaltet bzw. ausgelegt ist als die erste elektronische Recheneinrichtung, insbesondere gemäß des Si- cherheitsintegritätslevels der zweiten elektronische Rechen einrichtung .
Vorzugsweise ist die erste elektronische Recheneinrichtung gemäß des Sicherheitsintegritätslevels ASIL QM und die zweite elektronische Recheneinrichtung gemäß einem der Sicherheits- integritätslevel ASIL A, ASIL B, ASIL C oder ASIL D, besonders bevorzugt ASIL B ausgebildet.
Vorzugsweise erfolgt eine Verwendung der Vorrichtung gemäß einem der zuvor genannten Ausführungsbeispiele in einem Fahrzeug, insbesondere Straßenfahrzeug.
Gemäß einem weiteren Aspekt der Erfindung weist ein Verfahren zur Absicherung von Signalen mittels einer Vorrichtung gemäß einem der zuvor genannten Ausführungsbeispiele die Schritte auf:
- Empfangen eines Signals durch die zweite elektronische Re cheneinrichtung von einem Bus zur Datenübertragung oder der ersten elektronischen Recheneinrichtung,
Plausibilisieren und / oder Prüfen des von der zweiten elektronischen Recheneinrichtung empfangenen Signals auf formale Korrektheit mittels der Überprüfungseinrichtung, insbesondere mit Hilfe eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts,
- Senden des Signals an die erste elektronische Recheneinrichtung und / oder Übertragen des Signals an einen Bus zur Daten übertragung, insbesondere Fahrzeugbus , abhängig von dem Ergebnis der Plausibilisierung und / oder dem Ergebnis der Prüfung auf formale Korrektheit.
Das Verfahren wird bevorzugt durch die Schritte weitergebildet:
- Empfangen eines GNSS-Signals durch einen GNSS-Empfänger (4),
- Erzeugen des Signals in Form eines Positionssignals durch die erste elektronische Recheneinrichtung auf Grundlage des emp fangenen GNSS-Signals,
- Senden des Signals in Form des Positionssignals an die zweite elektronische Recheneinrichtung.
Vorzugsweise umfasst das Verfahren außerdem den Schritt:
- Erzeugen des Positionssignals durch die erste elektronische Recheneinrichtung unter Hinzuziehung von Sensorsignalen eines Fahrzeugs, insbesondere Sensorsignalen von Raddrehzahl-, Ra dar-, Kamera-, Lenkwinkel-, und / oder Inertialsensoren, vorzugsweise durch eine Filterung des GNSS-Signals mit den Sensorsignalen des Fahrzeugs.
Gemäß einem weiteren Aspekt der Erfindung ist die Vorrichtung gemäß der Erfindung eingerichtet, ein Verfahren nach wenigstens einem der vorstehenden Ausführungsformen durchzuführen.
In einer Weiterbildung der angegebenen Fahrzeug-zu-X Kommu nikationsvorrichtung weist die angegebene Vorrichtung zumindest einen Speicher und einen Prozessor auf. Dabei ist das angegebene
Verfahren in Form eines Computerprogramms in dem Speicher hinterlegt und der Prozessor zur Ausführung des Verfahrens vorgesehen, wenn das Computerprogramm aus dem Speicher in den Prozessor geladen ist.
Gemäß einem weiteren Aspekt der Erfindung umfasst ein Compu terprogramm Programmcodemittel, um alle Schritte eines der angegebenen Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer oder einer der angegebenen Vorrichtungen ausgeführt wird.
Gemäß einem weiteren Aspekt der Erfindung enthält ein Compu terprogrammprodukt einen Programmcode, der auf einem compu terlesbaren Datenträger gespeichert ist und der, wenn er auf einer Datenverarbeitungseinrichtung ausgeführt wird, eines der angegebenen Verfahren durchführt.
Weitere bevorzugte Ausführungsformen ergeben sich auch aus der nachfolgenden Beschreibung von Ausführungsbeispielen an Hand von Figuren .
In schematischer Darstellung zeigen:
Fig. 1 ein Ausführungsbeispiel einer Vorrichtung gemäß der
Erfindung und
Fig. 2 ein weiteres Ausführungsbeispiel bzw. ein zusätzlicher
Aspekt des Ausführungsbeispiels aus Fig.l.
Die Fig. 1 zeigt ein Ausführungsbeispiel einer Vorrichtung gemäß der Erfindung. Die Vorrichtung umfasst eine erste elektronische Recheneinrichtung 1 und eine zweite elektronische Rechenein richtung 2, die dazu ausgebildet sind, voneinander ein oder mehrere unterschiedliche Signale zu empfangen und / oder zu-
einander auszusenden. Dabei ist die zweite elektronische Re cheneinrichtung 2 mit ASIL B gemäß eines höheren Sicher- heitsintegritätslevels ausgestaltet als die erste elektronische Recheneinrichtung 1 mit ASIL QM. Die entsprechende ASIL-Einstufung ist in Fig. 1 und Fig. 2 jeweils mit einem Klammersymbol gekennzeichnet. In der ersten elektronischen Recheneinrichtung 1, beispielsgemäß zur Ausführung eines Linux Betriebssystems ausgestaltet, sind mehrere Fahrzeugapplika tionen implementiert, deren aus- bzw. eingehende Signale durch eine Überprüfungseinrichtung 21 der zweiten elektronischen Recheneinrichtung 2 plausibilisiert und auf formale Korrektheit geprüft werden. Die Signale sind in den Figuren durch Pfeile dargestellt .
Eine erste Fahrzeugapplikation ist als eine Remo- te-Start-Einrichtung 11 ausgebildet. Deren Ausgangssignal wird an eine digitale Bibliothek 14 für ausgehende Signale übergeben, die auf der mit ASIL QM-eingestuften ersten elektronischen Recheneinrichtung 1 realisiert ist, aber vorzugsweise nach dem Standard ASIL B ausgelegt ist. Über eine nach dem Standard ASIL B ausgelegte Schnittstelle 3 wird das Signal an die zweite elektronische Recheneinrichtung 2 übergeben.
Dort wird das Signal in der Überprüfungseinrichtung 21 mittels eines Zeitstempels , eines Signalzählers und eines CRC-Prüfwerts auf formale Korrektheit geprüft. Die Überprüfung des Zeit stempels entspricht einem Vergleich mit einer aktuellen Uhrzeit, so dass sichergestellt wird, dass keine veralteten Signale verarbeitet werden. Durch die Prüfung des Signalzählers lässt sich sicherstellen, dass die korrekte Reihenfolge der Signale bei der Signalübertragung nicht durcheinander gekommen ist. Mit dem CRC-Prüfwert lässt sich überprüfen, ob bei der Übertragung Fehler aufgetreten bzw. ob Informationen verloren gegangen sind. Anschließend erfolgt, sofern eine formale Korrektheit des
Signals festgestellt wurde, eine Ausgabe an einen Bus 5 des Fahrzeugs zur Datenübertragung.
Die erste elektronische Recheneinrichtung 1 enthält außerdem eine weitere Fahrzeugapplikation, die als Slowdown-Einrichtung 12 ausgeführt ist und deren Signale in analoger Weise zu denen der Remote-Start-Einrichtung 11 verarbeitet werden.
Bei einer weiteren Fahrzeugapplikation, in Form einer e- Call-Einrichtung 13, nehmen die Signale den umgekehrten Weg. Die zweite elektronische Recheneinrichtung 2 erhält das entspre chende Signal vom Bus 5 des Fahrzeugs. Nachdem in der Über prüfungseinrichtung 21 mittels des Zeitstempels , Signalzählers und des CRC-Prüfwerts die formale Korrektheit geprüft wurde, erfolgt über die Schnittstelle 3 und eine digitale Bibliothek 15 für eingehende Signale die Ausgabe an die eCall-Einrichtung 13.
In Fig. 2 ist mit der Positions-Applikation 16 eine weitere Fahrzeugapplikation der ersten elektronischen Recheneinrichtung 1 dargestellt. Es versteht sich, dass das in Fig. 2 gezeigte Ausführungsbeispiel nach einer Ausführungsform zusammen mit den in Fig. 1 erläuterten Merkmalen in einer erfindungsgemäßen Vorrichtung bzw. mit der gleichen Hardware realisiert werden kann .
Bei der Fahrzeugapplikation handelt es sich um eine oder mehrere Fahrzeugapplikationen, die ein Positionssignal als Eingangs größe benötigen. Dazu wird zunächst ein GNSS-Signal eines Satellitennavigationssystems mit einem entsprechenden GNSS-Empfänger 4 empfangen und an die erste elektronische Recheneinrichtung 1 übergeben. Dort wird unter Zuhilfenahme weiterer Sensorsignale 22 mittels eines Filters 17 eine Position berechnet (Dead Reckoning) , die mit Hilfe der Sensorsignale 22 präziser und zuverlässiger ist als mit dem GNSS-Signal alleine.
Das so erhaltene Positionssignal wird an die zweite elektronische Recheneinrichtung 2 übergeben und in der Überprüfungseinrichtung 21 mittels eines Zeitstempels , eines Signalzählers und eines CRC-Prüfwerts auf formale Korrektheit geprüft. Darüber hinaus erfolgt eine Überprüfung der Plausibilität des Positionssignals anhand der gespeicherten Signalhistorie.
Das so mittels einer gemäß ASIL B ausgebildeten Einrichtung auf formale Korrektheit geprüfte und plausibilisierte Positions signal wird anschließend an die entsprechende Positi ons-Applikation 16 und zusätzlich an einen Bus 5 des Fahrzeugs zur Datenübertragung übergeben.
Sofern sich im Laufe des Verfahrens herausstellt, dass ein Merkmal oder eine Gruppe von Merkmalen nicht zwingend nötig ist, so wird anmelderseitig bereits jetzt eine Formulierung zumindest eines unabhängigen Anspruchs angestrebt, welcher das Merkmal oder die Gruppe von Merkmalen nicht mehr aufweist. Hierbei kann es sich beispielsweise um eine Unterkombination eines am An meldetag vorliegenden Anspruchs oder um eine durch weitere Merkmale eingeschränkte Unterkombination eines am Anmeldetag vorliegenden Anspruchs handeln. Derartige neu zu formulierende Ansprüche oder Merkmalskombinationen sind als von der Offen barung dieser Anmeldung mit abgedeckt zu verstehen.
Es sei ferner darauf hingewiesen, dass Ausgestaltungen, Merkmale und Varianten der Erfindung, welche in den verschiedenen Ausführungen oder Ausführungsbeispielen beschriebenen und/oder in den Figuren gezeigt sind, beliebig untereinander kombinierbar sind. Einzelne oder mehrere Merkmale sind beliebig gegeneinander austauschbar. Hieraus entstehende Merkmalskombinationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen .
Rückbezüge in abhängigen Ansprüchen sind nicht als ein Verzicht auf die Erzielung eines selbständigen, gegenständlichen Schutzes für die Merkmale der rückbezogenen Unteransprüche zu verstehen. Diese Merkmale können auch beliebig mit anderen Merkmalen kombiniert werden.
Merkmale, die lediglich in der Beschreibung offenbart sind oder Merkmale, welche in der Beschreibung oder in einem Anspruch nur in Verbindung mit anderen Merkmalen offenbart sind, können grundsätzlich von eigenständiger erfindungs-wesentlicher Be deutung sein. Sie können deshalb auch einzeln zur Abgrenzung vom Stand der Technik in Ansprüche aufgenommen werden.
Claims
1. Vorrichtung zur Absicherung von Signalen, umfassend:
eine erste elektronische Recheneinrichtung (1) und eine zweite elektronische Recheneinrichtung (2), wobei die zweite elektronische Recheneinrichtung (2) eine Über prüfungseinrichtung (21) aufweist,
wobei die erste und die zweite elektronische Recheneinrichtung (1, 2) dazu ausgebildet sind, voneinander ein oder mehrere unterschiedliche Signale zu empfangen und / oder zueinander auszusenden,
wobei die Überprüfungseinrichtung (21) ausgebildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale auf formale Korrektheit zu prüfen und / oder zu plausibilisieren und die Signale abhängig von der Plausibilisierung und / oder der Prüfung auf formale Korrektheit an die erste elektronische Recheneinrichtung (1) zu senden und / oder an einen Bus (5) zur Datenübertragung zu übertragen,
wobei die zweite elektronische Recheneinrichtung (2) gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung (1).
2. Vorrichtung gemäß Anspruch 1, dadurch gekennzeichnet, dass zumindest ein Signal zu dessen Empfang oder Aussendung die erste elektronische Recheneinrichtung (1) ausgebildet ist, als Signal einer Fahrzeugapplikation ausgebildet ist.
3. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfungseinrichtung (21) ausge bildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale mittels eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts, insbesondere in Form einer zyklischen Redundanzprüfung, auf formale Korrektheit zu prüfen .
4. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfungseinrichtung (21) ausge bildet ist, von der zweiten elektronischen Recheneinrichtung (2) empfangene Signale anhand einer gespeicherten Signalhistorie auf Plausibilität zu prüfen.
5. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) ausgebildet ist, ein auszusendendes Signal auf Grundlage eines empfangenen GNSS-Signals in Form eines Positionssignals zu erzeugen und an die zweite elektronische Recheneinrichtung (2) zu senden.
6. Vorrichtung gemäß Anspruch 5, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) ausgebildet ist, zur Erzeugung des Positionssignals neben dem GNSS-Signal Sensor signale (22) eines Fahrzeugs heranzuziehen, insbesondere Sensorsignale (22) von Raddrehzahl-, Radar-, Kamera-, Lenk winkel-, und / oder Inertialsensoren .
7. Vorrichtung gemäß Anspruch 6, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) einen Filter (17) zur Erzeugung des Positionssignals aus dem GNSS-Signal und den Sensorsignalen des Fahrzeugs aufweist.
8. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) eine eCall-Einrichtung (13) zum Auslösen eines automatischen Notrufs aufweist, wobei die zweite elektronische Rechenein richtung (2) ausgebildet ist, ein eCall-Signal von einem Bus (5) zur Datenübertragung zu empfangen, mittels der Überprüfungs einrichtung (21) zu prüfen und / oder zu plausibilisieren und an die eCall-Einrichtung (13) zu senden.
9. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Recheneinrichtung (1) eine Slowdown-Einrichtung (12) zum Auslösen einer auto matisch initiierten Bremsung oder Verlangsamung eines Fahrzeugs aufweist, wobei die zweite elektronische Recheneinrichtung (2) ausgebildet ist, ein Slowdown-Signal von der Slow down-Einrichtung (12) zu empfangen, mittels der Überprü fungseinrichtung (21) zu prüfen und / oder zu plausibilisieren und an einen Bus (5) zur Datenübertragung zu senden.
10. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Rechen einrichtung (1) eine Remote-Start-Einrichtung (11) zum Starten eines Fahrzeugmotors aus der Ferne aufweist, wobei die zweite elektronische Recheneinrichtung (2) ausgebildet ist, ein Re- mote-Start-Signal von der Remote-Start-Einrichtung (11) zu empfangen, mittels der Überprüfungseinrichtung (21) zu prüfen und / oder zu plausibilisieren und an einen Bus (5) zur Da tenübertragung zu senden.
11. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Empfangen und / oder Aussenden von Signalen zwischen der ersten und zweiten elektronischen Recheneinrichtung (1, 2) über eine elektronische Schnittstelle (3) erfolgt, wobei die Schnittstelle (3) gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die erste elektronische Recheneinrichtung (1), insbesondere gemäß des Sicherheitsintegritätslevels der zweiten elektronische Re cheneinrichtung .
12. Vorrichtung gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste elektronische Rechen einrichtung (1) gemäß des Sicherheitsintegritätslevels ASIL QM
und die zweite elektronische Recheneinrichtung (2) gemäß einem der Sicherheitsintegritätslevel ASIL A, ASIL B, ASIL C oder ASIL D, bevorzugt ASIL B ausgebildet ist.
13. Verwendung der Vorrichtung gemäß einem der vorhergehenden Ansprüche in einem Fahrzeug, insbesondere Straßenfahrzeug.
14. Verfahren zur Absicherung von Signalen mittels einer Vorrichtung gemäß einem der Ansprüche 1 bis 11, aufweisend die Schritte :
- Empfangen eines Signals durch die zweite elektronische Re cheneinrichtung (2) von einem Bus (5) zur Datenübertragung oder der ersten elektronischen Recheneinrichtung (1),
Plausibilisieren und / oder Prüfen des von der zweiten elektronischen Recheneinrichtung (2) empfangenen Signals auf formale Korrektheit mittels der Überprüfungseinrichtung (21), insbesondere mit Hilfe eines Zeitstempels und / oder eines Signalzählers und / oder eines Prüfwerts,
- Senden des Signals an die erste elektronische Recheneinrichtung (1) und / oder Übertragen des Signals an einen Bus (5) zur Datenübertragung abhängig von dem Ergebnis der Plausibilisierung und / oder dem Ergebnis der Prüfung auf formale Korrektheit.
15. Verfahren gemäß Anspruch 14, gekennzeichnet durch die Schritte :
- Empfangen eines GNSS-Signals durch einen GNSS-Empfänger (4),
- Erzeugen des Signals in Form eines Positionssignals durch die erste elektronische Recheneinrichtung (1) auf Grundlage des empfangenen GNSS-Signals,
- Senden des Signals in Form des Positionssignals an die zweite elektronische Recheneinrichtung (2).
16. Verfahren gemäß Anspruch 15, gekennzeichnet durch den Schritt :
- Erzeugen des Positionssignals durch die erste elektronische Recheneinrichtung (1) unter Hinzuziehung von Sensorsignalen eines Fahrzeugs, insbesondere Sensorsignalen von Raddrehzahl-, Radar-, Kamera-, Lenkwinkel-, und / oder Inertialsensoren, vorzugsweise durch eine Filterung des GNSS-Signals mit den Sensorsignalen des Fahrzeugs.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/107,057 | 2018-08-21 | ||
US16/107,057 US10776195B2 (en) | 2018-08-21 | 2018-08-21 | Apparatus for protecting signals |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2020038700A1 true WO2020038700A1 (de) | 2020-02-27 |
Family
ID=67667808
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/EP2019/070814 WO2020038700A1 (de) | 2018-08-21 | 2019-08-01 | Vorrichtung zur absicherung von signalen |
Country Status (2)
Country | Link |
---|---|
US (1) | US10776195B2 (de) |
WO (1) | WO2020038700A1 (de) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120053888A1 (en) * | 2008-10-15 | 2012-03-01 | Continental Teves Ag & Co. Ohg | Improvement and validation of position determination |
US20130184990A1 (en) | 2010-09-23 | 2013-07-18 | Continental Teve AG & Co. oHG | Location-Determining Device in a Motor Vehicle and Information Merging Method |
US20150210258A1 (en) * | 2012-08-29 | 2015-07-30 | Continental Automotive Gmbh | Method for carrying out a safety function of a vehicle and system for carrying out the method |
US20170089722A1 (en) | 2014-06-11 | 2017-03-30 | Continental Teves Ag & Co. Ohg | Method and system for initializing a sensor fusion system |
WO2017080556A1 (de) * | 2015-11-12 | 2017-05-18 | Continental Teves Ag & Co. Ohg | Verfahren und vorrichtung zum bewerten einer position eines fahrzeugs, insbesondere nach einer asil sicherheitsstufe |
US20180063301A1 (en) * | 2016-08-23 | 2018-03-01 | Steering Solutions Ip Holding Corporation | Vehicle inter-controller communication |
US20180217269A1 (en) | 2015-09-29 | 2018-08-02 | Continental Teves Ag & Co. Ohg | Method for selecting localization algorithms in a vehicle |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10113917B4 (de) * | 2001-03-21 | 2019-05-23 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Steuereinheiten |
JP4281109B2 (ja) * | 2003-12-11 | 2009-06-17 | 株式会社デンソー | 車両用補機診断システム |
US20150187209A1 (en) * | 2006-01-31 | 2015-07-02 | Sigma Designs, Inc. | Method and system for synchronization and remote control of controlling units |
DE102006031230B4 (de) * | 2006-07-06 | 2021-07-15 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zur Übertragung von Daten |
DE102012224103A1 (de) * | 2012-12-20 | 2014-06-26 | Continental Teves Ag & Co. Ohg | Vorrichtung zum Ausgeben eines eine physikalische Messgröße anzeigenden Messsignals |
GB2523194B (en) * | 2014-02-18 | 2017-10-25 | Jaguar Land Rover Ltd | Control system and method |
US10637681B2 (en) * | 2014-03-13 | 2020-04-28 | Silicon Laboratories Inc. | Method and system for synchronization and remote control of controlling units |
US9965438B2 (en) * | 2015-12-14 | 2018-05-08 | International Business Machines Corporation | Dynamic clock lane assignment for increased performance and security |
US10277258B2 (en) * | 2016-09-09 | 2019-04-30 | Toshiba Memory Corporation | Information processing device and host device |
US10229016B2 (en) * | 2017-06-01 | 2019-03-12 | The University Of Akron | Redundant computer system utilizing comparison diagnostics and voting techniques |
WO2019241022A1 (en) * | 2018-06-13 | 2019-12-19 | Nvidia Corporation | Path detection for autonomous machines using deep neural networks |
CN110611546B (zh) * | 2018-06-14 | 2021-12-24 | 上海朗帛通信技术有限公司 | 一种被用于无线通信的用户设备、基站中的方法和装置 |
US20200017114A1 (en) * | 2019-09-23 | 2020-01-16 | Intel Corporation | Independent safety monitoring of an automated driving system |
-
2018
- 2018-08-21 US US16/107,057 patent/US10776195B2/en active Active
-
2019
- 2019-08-01 WO PCT/EP2019/070814 patent/WO2020038700A1/de active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120053888A1 (en) * | 2008-10-15 | 2012-03-01 | Continental Teves Ag & Co. Ohg | Improvement and validation of position determination |
US20130184990A1 (en) | 2010-09-23 | 2013-07-18 | Continental Teve AG & Co. oHG | Location-Determining Device in a Motor Vehicle and Information Merging Method |
US20150210258A1 (en) * | 2012-08-29 | 2015-07-30 | Continental Automotive Gmbh | Method for carrying out a safety function of a vehicle and system for carrying out the method |
US20170089722A1 (en) | 2014-06-11 | 2017-03-30 | Continental Teves Ag & Co. Ohg | Method and system for initializing a sensor fusion system |
US20180217269A1 (en) | 2015-09-29 | 2018-08-02 | Continental Teves Ag & Co. Ohg | Method for selecting localization algorithms in a vehicle |
WO2017080556A1 (de) * | 2015-11-12 | 2017-05-18 | Continental Teves Ag & Co. Ohg | Verfahren und vorrichtung zum bewerten einer position eines fahrzeugs, insbesondere nach einer asil sicherheitsstufe |
US20180063301A1 (en) * | 2016-08-23 | 2018-03-01 | Steering Solutions Ip Holding Corporation | Vehicle inter-controller communication |
Non-Patent Citations (1)
Title |
---|
LU DEBIAO ET AL: "Methods for certification of GNSS-based safe vehicle localisation in driving assistance systems", 2015 INTERNATIONAL CONFERENCE ON CONNECTED VEHICLES AND EXPO (ICCVE), IEEE, 19 October 2015 (2015-10-19), pages 226 - 231, XP032889581, DOI: 10.1109/ICCVE.2015.19 * |
Also Published As
Publication number | Publication date |
---|---|
US20200065172A1 (en) | 2020-02-27 |
US10776195B2 (en) | 2020-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3374799B1 (de) | Verfahren und vorrichtung zum bewerten einer position eines fahrzeugs, insbesondere nach einer asil sicherheitsstufe | |
DE102011084254A1 (de) | Kommunikationssystem für ein Kraftfahrzeug | |
EP3529789B1 (de) | Verfahren und vorrichtung zum generieren eines notrufs für ein fahrzeug | |
DE102017214611A1 (de) | Verfahren zum Überprüfen eines Reaktionssignals einer Fahrzeugkomponente sowie Überprüfungsvorrichtung und Kraftfahrzeug | |
DE102016220197A1 (de) | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug | |
DE102019214453A1 (de) | Verfahren zum Ausführen einer Funktion eines Kraftfahrzeugs | |
DE102019214461A1 (de) | Verfahren zum Fernsteuern eines Kraftfahrzeugs | |
DE102018118190A1 (de) | Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung | |
EP3374798B1 (de) | System zum plausibilisieren von satellitensignalen globaler navigationssysteme | |
DE102019214471A1 (de) | Verfahren zum Fernsteuern eines Kraftfahrzeugs | |
EP1956558A2 (de) | Frühwarnsystem zur präventiven Erkennung und Korrektur von Mängeln in Fahrzeugen | |
EP2726352B1 (de) | Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit | |
DE102020110528A1 (de) | Kamerasignalüberwachungsvorrichtung und -verfahren | |
WO2020038700A1 (de) | Vorrichtung zur absicherung von signalen | |
DE102019004612A1 (de) | Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät | |
DE102009012887B4 (de) | Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren | |
WO2017186384A1 (de) | Diagnosevorrichtung und verfahren zur filterung von diagnosekommandos | |
DE10121061B4 (de) | Überwachungsvorrichtung und Überwachungsverfahren | |
WO2021018453A1 (de) | Verfahren zum testen eines kraftfahrzeugs | |
DE102016105876A1 (de) | Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren | |
DE102017201419A1 (de) | Konzept zum Prüfen von unterschiedlich ermittelten Belegungszuständen eines Stellplatzes für Kraftfahrzeuge auf Fehler | |
EP2960632B1 (de) | Verfahren und system zum aufbereiten von durch kraftfahrzeugseitig angeordnete sensoren erzeugten sensormesswerten | |
DE102022130306A1 (de) | Verfahren zum Verarbeiten von Nachrichten, Verfahren zum Betreiben zumindest einer Einrichtung eines Kraftfahrzeugs, Vorrichtung zum Verarbeiten von Nachrichten sowie Kraftfahrzeug | |
WO2020089039A1 (de) | Verfahren zur fahrzeugbasierten verifikation von zumindest einer erkannten gefahrenstelle | |
DE112019007143T5 (de) | Fahrzeugdatenverarbeitungsvorrichtung, Fahrzeugdatenverarbeitungssystem, Fahrzeugdatenverarbeitungsserver und Fahrzeugdatenverarbeitungsverfahren |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19755832 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 19755832 Country of ref document: EP Kind code of ref document: A1 |