WO2021048300A1 - Verfahren zum betreiben eines funktional sicheren audioausgabesystems - Google Patents

Verfahren zum betreiben eines funktional sicheren audioausgabesystems Download PDF

Info

Publication number
WO2021048300A1
WO2021048300A1 PCT/EP2020/075377 EP2020075377W WO2021048300A1 WO 2021048300 A1 WO2021048300 A1 WO 2021048300A1 EP 2020075377 W EP2020075377 W EP 2020075377W WO 2021048300 A1 WO2021048300 A1 WO 2021048300A1
Authority
WO
WIPO (PCT)
Prior art keywords
code
signal
computing node
audio output
output signal
Prior art date
Application number
PCT/EP2020/075377
Other languages
English (en)
French (fr)
Inventor
Gerhard - c/o Continental Automotive GmbH DOCHOW
Joachim - c/o Continental Automotive GmbH PERREVOORT
Original Assignee
Continental Automotive Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Gmbh filed Critical Continental Automotive Gmbh
Priority to DE112020004296.0T priority Critical patent/DE112020004296A5/de
Priority to CN202080057490.2A priority patent/CN114223030A/zh
Priority to US17/642,447 priority patent/US20220342961A1/en
Publication of WO2021048300A1 publication Critical patent/WO2021048300A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B3/00Audible signalling systems; Audible personal calling systems
    • G08B3/10Audible signalling systems; Audible personal calling systems using electric transmission; using electromagnetic transmission
    • GPHYSICS
    • G10MUSICAL INSTRUMENTS; ACOUSTICS
    • G10LSPEECH ANALYSIS TECHNIQUES OR SPEECH SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING TECHNIQUES; SPEECH OR AUDIO CODING OR DECODING
    • G10L19/00Speech or audio signals analysis-synthesis techniques for redundancy reduction, e.g. in vocoders; Coding or decoding of speech or audio signals, using source filter models or psychoacoustic analysis
    • G10L19/018Audio watermarking, i.e. embedding inaudible data in the audio signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04RLOUDSPEAKERS, MICROPHONES, GRAMOPHONE PICK-UPS OR LIKE ACOUSTIC ELECTROMECHANICAL TRANSDUCERS; DEAF-AID SETS; PUBLIC ADDRESS SYSTEMS
    • H04R1/00Details of transducers, loudspeakers or microphones
    • H04R1/20Arrangements for obtaining desired frequency or directional characteristics
    • H04R1/32Arrangements for obtaining desired frequency or directional characteristics for obtaining desired directional characteristic only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04RLOUDSPEAKERS, MICROPHONES, GRAMOPHONE PICK-UPS OR LIKE ACOUSTIC ELECTROMECHANICAL TRANSDUCERS; DEAF-AID SETS; PUBLIC ADDRESS SYSTEMS
    • H04R2201/00Details of transducers, loudspeakers or microphones covered by H04R1/00 but not provided for in any of its subgroups
    • H04R2201/40Details of arrangements for obtaining desired directional characteristic by combining a number of identical transducers covered by H04R1/40 but not provided for in any of its subgroups

Definitions

  • the invention relates to a method for operating a functionally safe audio output system, a functionally safe audio output system, a vehicle with such an audio output system and a computer program product for executing the method and a data carrier with such a program.
  • Functionally safe audio outputs are made by systems that are themselves considered to be functionally sufficiently safe or that work with the help of complex monitoring devices on the basis of digital signal processing. Otherwise, the content of a correctly output audio signal can only be provided to a very limited extent, e.g. in the form of a simple measurement of the maximum level. There are also diagnostic methods that work with test signals that can be perceived by humans and, for example, check the correct installation and function of the infotainment components in the vehicle in automobile production.
  • the method according to the invention for operating a functionally safe audio output system with a simply certified computing node and a complex computing node has the following steps:
  • Verification of whether the audio output system is functionally safe based on a comparison of the generated code with a code based on the received code.
  • the method according to the invention advantageously has the following additional step: - Sending a third control signal from the complex computing node to the simply certified computing node in order to notify the inclusion of the second signal in the output signal.
  • the code can be present several times in the output signal, and the code based on the received code can be generated by statistical processing of the code repeatedly determined and sent to the simply certified computing node.
  • the method according to the invention can be characterized in that the comparison of the generated code with the code based on the received code provides a probability of a positive verification. This means that there is a certain probability that the audio output system is functionally safe.
  • at least one threshold value can be provided, if it is exceeded, a positive one, and if it falls below it, a negative or no verification of the functional safety is established.
  • the comparison of the generated code with the code based on the received code can provide a probability of a negative verification that the audio output system is therefore functionally unsafe with a certain probability.
  • at least one threshold value can also be provided, if it is undershot a negative threshold value, and if it is exceeded a positive or no verification of the functional safety is established. This has the advantage that the security can be flexibly adjusted as required.
  • a method according to the invention advantageously carries out at least one of the following steps:
  • An audio output system is advantageously characterized in that the first arithmetic process and the second arithmetic process independent of the first arithmetic process are executed on the same physical arithmetic node, in particular the first arithmetic process and the second arithmetic process being separated from one another by at least one memory isolation technique.
  • the coding of the acoustic warning signal S with the watermark W will take place in advance in a certified environment, so that the watermark is part of the audio data stored in the audio output system or vehicle from the outset.
  • This can simplify the arithmetic operations of the audio output system.
  • Each warning is therefore also assigned a fixed code or a code pair. This assignment can be saved in a separate database. The easily certifiable computing node can therefore only send a representative of the warning and not necessarily the code to the complex node.
  • such a method for operating a functionally safe audio output system with a simply certified computing node and a complex computing node has at least the following steps:
  • a vehicle according to the invention with a functionally safe audio output system according to the invention is designed to carry out the method according to the invention.
  • a computer program according to the invention comprises commands which, when the program is executed by an embedded system, cause the program to execute the method according to the invention.
  • a data carrier according to the invention stores the computer program according to the invention.
  • the procedure checks the entire acoustic transmission path up to the driver, including the loudspeakers. It does not require any test signals that can be perceived by humans.
  • the methods for recognizing acoustic watermarks are very reliable and robust against external interference, so that they can be used even when acoustic interference is present Can take place inside the vehicle or the environment.
  • the invention enables the use of non-certifiable, ie complex processors that can also perform many other tasks besides audio output. In particular, this can take place in systems which, in addition to a safety-relevant audio signal S, have to make the driver hear further audio signals.
  • Another essential advantage of the invention is the division into a simple part according to ASIL that can be certified as sufficiently reliable and on which no complex or fast signal processing is necessary in time with the audio samples. This enables a cost-effective implementation with processors available on the market today.
  • the invention also enables the use of the typical devices of a driver information system that are available for entertainment, information and voice control of the driver for safety-relevant, acoustic warnings or messages without their reliability being greater than QM (Quality Management) in terms of safety technology for higher ASIL (Automotive Safety Integrity Level) levels. must be proven, since the entire acoustic transmission path is monitored by relatively simple and inexpensive components. Failures of individual components can in many cases be recognized and exchanged in good time before a safety-critical situation for the driver, or they can be tolerated if there is redundancy in the event of a safety-critical acoustic warning.
  • the inventive concept for a functionally safe audio output could be certifiable up to ASIL B, for example.
  • FIG. 1 shows an illustration of a method according to the invention for operating a functionally safe audio output system
  • FIG. 3 shows a further illustration of digital signal processing.
  • a secure audio output system X is shown schematically in FIG.
  • the functionally safe audio output system X is divided up in such a way that a relatively easily certifiable (i.e., for example, with low complexity and limited computing power), in particular ASIL-certifiable, equipped computing node A in a sequence control (program) G assigns a code A1 to a specific warning R. and sends to a more complex node B and this with the help of a digital signal processing C in a computing process B1 generates a signal W from this code A1 and an acoustic warning signal S to be output, which is masked by the warning signal S to be output, that is, that a person the output signal S cannot distinguish from the superposition of S and W.
  • a relatively easily certifiable i.e., for example, with low complexity and limited computing power
  • ASIL-certifiable equipped computing node A in a sequence control (program) G assigns a code A1 to a specific warning R
  • the sequence controller G sends a control signal A3 to the computing process B1, which activates the output of the signal S and switches to the warning signal S as the reference signal for the signal processing C.
  • a characteristic code BK known to the node A and not equal to zero of the signal source S e.g. a checksum of the associated audio file
  • the code A1 e.g. by means of a bit by bit Exclusive-Or-Function (XOR) can be superimposed.
  • A1 can remain unchanged, e.g. by ORing a zero with A1.
  • the signal W is also referred to as an acoustic watermark.
  • the modulation and coding of A1 to the acoustic watermark W typically takes place in the redundant signal components of the warning signal S that are irrelevant and redundant for the human ear.
  • the signal S and W and optionally further signals M are added to an output signal Y.
  • the sequence control G sends a signal A4 to the computing process B1, which activates a limitation level L and the Signal level of M limited so far that the Warning S cannot be overheard by the driver and the detection of the watermark in the output signal Y is not disturbed or delayed too much.
  • the computation process B1 typically outputs the output signal Y to an amplifier V, which outputs the amplified signal to the sound transducer LS (e.g. loudspeaker) as an output signal.
  • the sound generated by the sound transducers LS and any other noises, the acoustic signal Z1, is picked up both by the driver and by a sound sensor MIC.
  • This converts the signal into a signal stream (of sample values) Z and feeds this to a second computing process B2.
  • This second computing process is advantageously located in the same physical computing node B, which enables cost savings, but could also be accommodated in a separate computing node.
  • This arithmetic process B2 determines the (most likely) code A2 contained in the signal with the aid of signal processing D.
  • the computation process B2 must work completely independently of the computation process B1 and in particular does not know the code A1 a priori.
  • the code A2 most likely contained in the signal stream Z is sent over many repetitions to the computing node A, which evaluates the codes determined in a statistical processing H.
  • the sequence control K in the computing node A can, in turn, decide with sufficient reliability whether the code A1 BK (A1 xor BK) present in the acoustic signal from the loudspeakers in the received acoustic signal in the case of a warning tone output by comparing it with the one over many Periods averaged code A2 is present and thus audibility of the warning signal for the driver is given.
  • the computation node A can either control a simpler but reliable alternative audio output BZ or switch the system to a safe state, in the sense that the driver is aware of the presence of a System error is safely signaled.
  • the overall system it must be ensured that the calculation process does not know the code A1. This can be done using memory isolation techniques (eg with the help of memory management units and an operating system that supports process isolation).
  • the code to be coded can be repeated many times in the signal course and evaluated by stochastic processing H in computing node A before a decision on the presence of a system error is made in sequence control K of computing node A.
  • Correlation filters are particularly suitable for this purpose, for example a signal-matched filter (optimal filter, matched filter) can also be used.
  • the ambient noise but also other information, especially personal information, personal settings and routing habits can be taken into account.
  • seat settings, body positioning, typical volume settings and information, in particular about restrictions or hypersensitivities in the area of a person's hearing ability can be taken into account.
  • the presence or use of external devices, in particular hearing aids, and their settings can also be taken into account. This is advantageously implemented by communication between the external devices and a vehicle component, but it can also be determined indirectly by vehicle sensors. For example, a camera can determine the absence of a hearing aid and / or the playback of tones and other noises can take place at an increased volume.
  • a functioning of the transceiver system can also be checked in the background without the presence of a warning if a sufficiently loud signal M is present.
  • the limiting stage L can determine whether the audio signal M is sufficiently loud, since it measures the current power of the signal, and communicates this to the sequence control K as a control signal A5.
  • the audio signal M is fed to the signal processing unit C instead of the warning S and processed in exactly the same way as S. If the control signal A5 signals a sufficient audio volume, the sequence control K can decide on the basis of the received code A2 whether there is a system error.
  • the process control K can use the result of the background check to immediately inform the driver of the presence of a system error on another functional way (for example via a visual output or alternative acoustic output) and, for example, to request the service.
  • the audio output usually takes place via several transducers (loudspeakers) and the sound is often also recorded to improve the directional effect via several microphones MIC, there is often a redundant acoustic system that is only available in the unlikely event of a simultaneous failure of all transducers or microphones fail, which the signal processing D and the sequence control K can take into account.
  • the failure of one or more microphones can be easily recognized as long as a signal stream Z with a correctly recognized code is still present from at least one microphone.
  • An apparent system failure can, however, be incorrectly recognized if an external acoustic interference signal is so loud that all microphones fail, for example because they are driven to their limits.
  • An overdriven acoustic signal Z1 can, however, be recognized by the signal processing unit D and be distinguished from a typical signal profile of a failed microphone, since this does not provide an audio signal level or only a low level.
  • the signal processing D then sends a special code A2 to the sequence control K, which can cause a warning to be issued to the driver in another way, e.g. B. by a visual output, since the acoustic transmission path to the driver is no longer guaranteed.
  • the output signal Y can also be fed directly to the computation process B2. Thanks to the verified transmission path, the entire processing path, including the acoustic transmission, can be classified as functionally safe. In particular, the code actually contained in the acoustic signal therefore also essentially reaches the computing process B2 through a purely electronic transmission.
  • the code to be encoded can be spread over a large frequency range by means of binary phase shift keying (BPSK), which in the case of antipodal signal coding (e.g. -1; 1) is derived from a known, pseudo-random signal sequence (PRBS source) and cyclically repeated code sequence through a simple multiplication of the signals can be realized.
  • BPSK binary phase shift keying
  • PRBS source pseudo-random signal sequence
  • the weighting of the resulting signal sequence in the frequency domain (e.g. by means of a fast Fourier transformation FFT) can be carried out by a psychoacoustic model of the human being in such a way that the signal W remains below the perception threshold of the human hearing.
  • the masking model provides the weighting process with an assessment of the masking threshold, so that the audio signal M and / or the warning S just mask the change caused by the code. It is also possible to modify the code to be encoded in such a way that transmission errors can be recognized by the receiver, for example with the aid of convolutional codes.
  • PNR signals with orthogonal codes can be used for different sounds and for better and more reliable differentiation with different code period lengths.
  • FIG. 3 An exemplary implementation of the signal processing D (decoder) is shown and described in FIG. 3 and has a matched filter to which the sample data stream z [k], the signal stream Z coming from the microphone, is fed.
  • the code A2 which represents an estimate of the code A1 BK, is thus produced at the output of the decoder D. Since this code A2 can still have bit errors or even estimation errors, it becomes a stochastic evaluation unit Fl im Computing node A sent over many periods N of the code sequence A1. The stochastic evaluation can now be carried out by this evaluation unit very simply by adding up the data bits at the same bit positions of the received code words A2 and supplying the result to a threshold value decider in the sequence control K.
  • the coding of the acoustic warning signal S with the watermark W can also take place in advance in a certified environment in an alternative embodiment, so that the watermark is part of the audio data stored in the audio output system X or vehicle from the outset.
  • the arithmetic operations of the audio output system X can thereby be simplified.
  • Each warning R is therefore also assigned a fixed code A1 or a code pair A1, BK. This assignment can be saved in a separate database. From the easily certifiable computing node A, only a representative of the warning R and not necessarily the code A1 can therefore be sent to the complex node B. This can prevent errors that occur in the complex node B due to the knowledge of the code A1.
  • the complex node B in this case has absolutely no information about the code A1.
  • a representative assigned to a warning R and a code A1 from a database are first read in by the simply certified computing node A.
  • the representative is sent to the complex computing node B in order to determine there the audio signal assigned to the warning, which comprises at least the code A1 as a watermark.
  • the computing node B must not have access to the database, which includes the codes A1 and the representatives.
  • the audio signal was created in advance in a certified environment and stored on it during or after the production of the audio output system.
  • the certified environment is suitable for the creation of audio output data for safety-critical applications in the automotive sector, so that a high ASIL level, ie higher than QM level, can be achieved.
  • an output signal Y that includes the audio signal with the code A1 is then generated.
  • the output signal will be then sent to a second computing process B2 that is independent of the first computing process B1.
  • a code A2 contained in the output signal Y is then extracted there.
  • This extracted or received code A2 is then sent to the computing node A, which has been certified simply.
  • the code A1 read in is then compared with a code based on the received code A2 in order to verify whether the audio output system is functionally safe.
  • the audio signals that already include the watermark and the associated representatives and codes A1 can also advantageously be made available to the audio output system subsequently via software updates, in particular updates made available via remote maintenance, so-called over-the-air updates.
  • Such a functionally safe audio output system X comprises at least one sound transducer LS, a sound sensor MIC, a simply certified computing node A, a database and a complex computing node B.
  • the sound transducer and the sound sensor in particular can also be designed in the form of trim components.
  • the spatially targeted emission of sound waves can also be carried out by laser.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Acoustics & Sound (AREA)
  • Technology Law (AREA)
  • Human Computer Interaction (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Computational Linguistics (AREA)
  • Otolaryngology (AREA)
  • Electromagnetism (AREA)
  • Fittings On The Vehicle Exterior For Carrying Loads, And Devices For Holding Or Mounting Articles (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems mit einem einfach zertifizierten Rechenknoten und einem komplexen Rechenknoten, aufweisend die Schritte: - Erzeugen eines einer Warnung zugeordneten Codes im einfach zertifizierten Rechenknoten; - Sendes des Codes an den komplexen Rechenknoten; - Erzeugen, in einem ersten Rechenprozess, eines Ausgangssignals, das ein akustisches Wasserzeichen aufweist; - Sendens des Ausgangsignals an einen zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess; - Ermitteln, im zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess eines im Ausgangsignal enthaltenen Codes; - Senden des Codes an den einfach zertifizierten Rechenknoten; und - Verifizierung, ob das Audioausgabesystem funktional sicher ist anhand eines Vergleichs des erzeugten Codes mit einem auf dem empfangenen Code basierenden Code.

Description

Beschreibung
Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems
Die Erfindung betrifft ein Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems, ein funktional sicheres Audioausgabesystem, ein Fahrzeug mit einem solchen Audioausgabesystem sowie ein Com puterprogramm produkt zum Ausführen des Verfahrens und einen Datenträger mit einem solchen Programm.
Funktional sichere Audioausgaben erfolgen von Systemen, die selbst als funktional ausreichend sicher gelten oder die mit Hilfe von aufwendigen Überwachungseinrichtungen auf der Basis von digitaler Signalverarbeitung arbeiten. Andernfalls kann nur sehr begrenzt der inhaltliche Nachweis eines korrekt ausgegeben Audiosignals erbracht werden, z.B. in Form einer einfachen Messung des Maximalpegels. Es gibt außerdem Diagnose-Verfahren, die mit vom Menschen wahrnehmbaren Testsignalen arbeiten und etwa bei der Automobilproduktion den korrekten Einbau und die Funktion der Infotainment Komponenten in das Fahrzeug überprüfen.
Aufwendige digitale Signalverarbeitungseinrichtungen sind relativ aufwendig und teuer und werden daher mit nicht funktional sicheren Systemfunktionen geteilt. Ein funktionaler Sicherheitsnachweis ist daher sehr aufwendig, weil dieser neben der aufwendigen Signalverarbeitung auch nicht funktional sichere Anteile berücksichtigen muss. Eine Überprüfung aller an der akustischen Übertragung beteiligten technischen Komponenten findet häufig nicht statt, da dies zur Laufzeit des Systems nicht ohne wahrnehmbare Testsignale möglich ist.
Es wäre daher wünschenswert, wenn ein funktional sicheres Audioausgabesystem nicht nur auf aufwendige und teure, sondern auch auf einfach zertifizierte Einrichtungen zurückgreifen könnte und trotzdem ohne übermäßig erhöhten Aufwand die funktionale Sicherheit gewährleistet, sowie die Überprüfung an der Übertragung beteiligten technischen Komponenten zur Laufzeit des Systems durchführen könnte.
Das erfindungsgemäße Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems mit einem einfach zertifizierten Rechenknoten und einem komplexen Rechenknoten, weist die folgenden Schritte auf:
- Erzeugen eines einer Warnung zugeordneten Codes im einfach zertifizierten Rechenknoten;
- Sendes des Codes an den komplexen Rechenknoten;
- Erzeugen, in einem ersten Rechenprozess eines Ausgangsignals, das ein akustisches Wasserzeichen aufweist;
- Sendens des Ausgangsignals an einen zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess;
- Ermitteln, im zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess eines im Ausgangsignal enthaltenen Codes;
- Senden des Codes an den einfach zertifizierten Rechenknoten; und
- Verifizierung, ob das Audioausgabesystem funktional sicher ist anhand eines Vergleichs des erzeugten Codes mit einem auf dem empfangenen Code basierenden Code.
Dies hat den Vorteil, dass Kosten und Aufwand gespart werden kann und die funktionale Sicherheit des Audioausgabesystems, insbesondere auch Teile davon, einfach überprüft werden kann.
Vorteilhafterweise umfasst das erfindungsgemäße Verfahren im Schritt
- Sendens des Ausgangsignals an einen zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess; die Schritte
- Aussenden des Ausgangsignals mittels eines Schallwandlers;
- Empfangen von einem akustischen Signal umfassend des vom Schallwandler ausgegebenen Ausgangsignals durch einen Schallsensor; und der Schritt - Ermitteln, im zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess eines im Ausgangsignal enthaltenen Codes; ermittelt dem im Ausgangsignal enthaltenen Code aus dem akustischen Signal.
Dies hat den Vorteil, dass die funktionale Sicherheit der gesamten Übertragungsstrecke auf einfache und effiziente Art und Weise auf überprüft werden kann.
Vorteilhafterweise umfasst das erfindungsgemäße Verfahren zusätzlich den Schritt:
- Aussenden eines ersten Steuersignals vom einfach zertifizierten Rechenknoten zum komplexen Rechenknoten, um das Einbeziehen eines ersten Signals in das Ausgangsignal zu aktivieren.
Dies hat den Vorteil, dass zusätzliche, insbesondere sicherheitsrelevante Informationen mitgeteilt und aktiviert werden können und somit die Sicherheit und die Flexibilität des Verfahrens erhöht werden kann.
Alternativ oder zusätzlich können noch folgende Schritte ausgeführt werden:
- Überlagern des erzeugten Codes mit einem dem einfach zertifizierten Rechenknoten bekannten und für das Signal charakteristischen Code;
- Generieren des Ausgangssignals aus dem akustischen Wasserzeichen und zumindest eines aus dem ersten Signal oder einem zweiten Signal; und
- Aussenden eines zweiten Steuersignals vom einfach zertifizierten Rechenknoten zum komplexen Rechenknoten, um eine Begrenzungsstufe zu aktivieren, die einen Signalpegel eines zweiten Signals begrenzen kann.
Dies hat den Vorteil, dass zusätzliche, insbesondere sicherheitsrelevante Funktionen mitgeteilt und aktiviert werden können und somit die Sicherheit und die Flexibilität des Verfahrens erhöht werden kann.
Vorteilhafterweise weist das erfindungsgemäße Verfahren den folgenden zusätzlichen Schritt auf: - Aussenden eines dritten Steuersignals vom komplexen Rechenknoten zum einfach zertifizierten Rechenknoten, um das Einbeziehen des zweiten Signals in das Ausgangsignal mitzuteilen.
Dies hat den Vorteil, dass auch nicht sicherheitsrelevante Signale benutzt werden können und die Überprüfung einfacher und flexibler gestaltet werden kann.
Vorteilhafterweise wiederholt das erfindungsgemäße Verfahren die Schritte
- Ermitteln, in einem zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess, eines im akustischen Signal enthaltenen Codes; und
- Senden des Codes an den einfach zertifizierten Rechenknoten;
Dabei kann insbesondere der Code mehrfach im Ausgangssignal vorhanden sein, und der auf dem empfangenen Code basierende Code durch eine statistische Verarbeitung des wiederholt ermittelten und an den einfach zertifizierten Rechenknoten gesendeten Codes erzeugt werden.
Dies hat den Vorteil, dass die Auswertung, Überprüfung und Sicherheit der Übertragung besonders sicher und robust gegen Störeinflüsse ist.
Zusätzlich kann das erfindungsgemäße Verfahren dadurch gekennzeichnet sein, dass der Vergleich des erzeugten Codes mit dem auf dem empfangenen Code basierenden Code eine Wahrscheinlichkeit für eine positive Verifizierung liefert. Dabei besagt dies, dass das Audioausgabesystem also mit einer gewissen Wahrscheinlichkeit funktional sicher ist. Dabei kann zumindest ein Schwellwert vorgesehen sein, bei dessen Überschreiten eine positive, bei dessen Unterschreiten eine negative oder keine Verifizierung der funktionalen Sicherheit festgestellt wird. Alternativ oder zusätzlich kann der Vergleich des erzeugten Codes mit dem auf dem empfangenen Code basierenden Code eine Wahrscheinlichkeit für eine negative Verifizierung, dass das Audioausgabesystem also mit einer gewissen Wahrscheinlichkeit funktional nicht sicher ist, liefern. Dabei kann auch zumindest ein Schwellwert vorgesehen sein, bei dessen Unterschreiten eine negative, bei dessen Überschreiten eine positive oder keine Verifizierung der funktionalen Sicherheit festgestellt wird. Dies hat den Vorteil, dass sich bedarfsgerecht die Sicherheit flexibel einstellen lässt.
Vorteilhafterweise führt ein erfindungsgemäßes Verfahren bei einer negativen und/oder bei keiner Verifizierung, die also besagt, dass das Audioausgabesystem funktional nicht sicher ist, zumindest eines aus den folgenden Schritten aus:
- Ansteuern einer einfacheren aber zuverlässigen alternativen Audioausgabe;
- Schalten des Systems in einen sicheren Zustand;
- Informieren des Fahrers über das Vorliegen eines Systemfehlers;
- Veranlassung einer Überprüfung basierend auf redundanten Eigenschaften des Audioausgabesystems; und
- Veranlassen einer Kompensation basierend auf redundanten Eigenschaften des Audioausgabesystems.
Dies hat den Vorteil, dass auf einen Ausfall der funktionalen Sicherheit flexibel und bedarfsgerecht reagiert werden kann und der Fahrer jederzeit über sicherheitsrelevante Umstände informiert werden kann.
Ein erfindungsgemäßes funktional sicheres Audioausgabesystem zum Ausführen eines erfindungsgemäßen Verfahrens umfasst einen Schallwandle, einen Schallsensor, einen einfach zertifizierten Rechenknoten und einen komplexen Rechenknoten.
Dies hat den Vorteil, dass sich das Audioausgabesystem einfach und kostengünstiger ehrstellen lässt. Außerdem übertragen sich die Vorteile des Verfahrens auf das Audioausgabesystem.
Vorteilhafterweise ist ein erfindungsgemäßes Audioausgabesystem dadurch gekennzeichnet, dass der erste Rechenprozess und der zweite, vom ersten Rechenprozess unabhängige Rechenprozess, auf demselben physikalischen Rechenknoten ausgeführt werden, wobei insbesondere der erste Rechenprozess und zweite Rechenprozess durch zumindest eine Speicherisolationstechnik voneinander getrennt sind. Dies hat den Vorteil, dass die Sicherheit z.B. gegenüber möglichen Programmierfehlern erhöht wird und der Anteil an komplexen Bauteilen reduziert werden kann.
In einer alternativen Ausführungsform wird das Kodieren des akustischen Warnsignals S mit dem Wasserzeichens W bereits im Vorfeld in einer zertifizierten Umgebung erfolgen, so dass das Wasserzeichen von vorneherein Bestandteil der im Audioausgabesystem bzw. Fahrzeug gespeicherten Audiodaten ist. Dadurch kann eine Vereinfachung der Rechenoperationen des Audioausgabesystems erfolgen. Jeder Warnung ist somit auch ein fester Code bzw. ein Codepaar zugeordnet. Diese Zuordnung kann in einer gesonderten Datenbank gespeichert werden. Vom einfach zertifizierbaren Rechenknoten kann somit auch nur ein Repräsentant der Warnung und nicht unbedingt der Code an den komplexen Knoten gesendet werden.
Dies hat den Vorteil, dass dadurch Fehler, die durch die Kenntnis des Codes im komplexen Knoten auftreten, verhindert werden können und die notwendige Datenverarbeitung reduziert und vereinfacht wird. Der komplexe Knoten hat in diesem Fall überhaupt keine Information über den Code.
Dementsprechend weist ein solches Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems mit einem einfach zertifizierten Rechenknoten und einem komplexen Rechenknoten zumindest die folgenden Schritte auf:
- Einlesen eines einer Warnung (R) zugeordneten Repräsentanten und eines Codes (A1) aus einer Datenbank im einfach zertifizierten Rechenknoten (A);
- Sendes des Repräsentanten an den komplexen Rechenknoten (B);
- Erzeugen, in einem ersten Rechenprozess (B1) eines Ausgangsignals (Y), das ein akustisches Wasserzeichen (W) aufweist;
- Sendens des Ausgangsignals (Y) an einen zweiten, vom ersten Rechenprozess (B1) unabhängigen Rechenprozess (B2);
- Ermitteln, im zweiten, vom ersten Rechenprozess (B1) unabhängigen Rechenprozess (B2) eines im Ausgangsignal (Y) enthaltenen Codes (A2); - Senden des Codes (A2) an den einfach zertifizierten Rechenknoten (A); und
- Verifizierung, ob das Audioausgabesystem funktional sicher ist anhand eines Vergleichs des eingelesenen Codes (A1) mit einem auf dem empfangenen Code (A2) basierenden Code.
Ein erfindungsgemäßes Fahrzeug mit einem erfindungsgemäßen funktional sicheren Audioausgabesystem ist zum Ausführen des erfindungsgemäßen Verfahrens ausgebildet.
Dies hat den Vorteil, dass sich das Fahrzeug dadurch kostengünstiger Fierstellen lässt und die funktionale Sicherheit gewahrt bleibt. Außerdem übertragen sich die Vorteile des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Audioausgabesystems auch auf das erfindungsgemäße Fahrzeug.
Ein erfindungsgemäßes Computerprogramm umfasst Befehle, die bei der Ausführung des Programms durch ein eingebettetes System dieses veranlassen, das erfindungsgemäße Verfahren auszuführen.
Dies hat den Vorteil, dass sich das Verfahren flexibel anpassen und auf vielen verschiedenen Systemen ausführen lässt.
Ein erfindungsgemäßer Datenträger speichert das erfindungsgemäße Computerprogramm.
Dies hat den Vorteil, dass sich das sich das Computerprogramm einfach transportieren, sichern und vervielfältigen lässt.
Das Verfahren überprüft die gesamte akustische Übertragungsstrecke bis zum Fahrer einschließlich der Lautsprecher. Es benötigt dazu keine vom Menschen wahrnehmbaren Testsignale. Die Verfahren zum Erkennen von akustischen Wasserzeichen sind sehr zuverlässig und robust gegenüber äußeren Störungen, so dass ein Einsatz auch bei Vorliegen von akustischen Störungen aus dem Fahrzeuginneren oder der Umgebung erfolgen kann. Die Erfindung ermöglicht den Einsatz von nicht zertifizierbaren, d.h. komplexen Prozessoren, die auch noch viele andere Aufgaben außer einer Audioausgabe erfüllen können. Insbesondere kann dies in Systemen erfolgen, die zusätzlich zu einem sicherheitsrelevanten Audiosignal S weitere Audiosignale dem Fahrer zu Gehör bringen müssen. Ein weiterer wesentlicher Vorteil der Erfindung ist die Aufteilung in einen einfachen und als ausreichend zuverlässig zertifizierbaren Anteil nach ASIL auf dem keine aufwendige oder schnelle Signalverarbeitung im Takt der Audioabtastwerte notwendig ist. Dies ermöglicht eine kostengünstige Realisierung mit heute im Markt erhältlichen Prozessoren. Die Erfindung ermöglicht auch die Nutzung der für die Unterhaltung, Information und Sprachbedienung des Fahrers vorhandenen typischen Einrichtungen eines Fahrerinformationssystems für sicherheitsrelevante, akustische Warnungen oder Mitteilungen ohne dass deren Zuverlässigkeit sicherheitstechnisch für höhere ASIL (Automotive Safety Integrity Level) Stufen größere als QM (Quality Management) nachgewiesen werden muss, da die gesamte akustische Übertragungsstrecke durch relativ einfache und preiswerte Komponenten überwacht wird. Ausfälle einzelner Komponenten können in vielen Fällen rechtzeitig vor einer für den Fahrer sicherheitskritischen Situation erkannt und ausgetauscht werden oder sie können bei vorhandener Redundanz für den Fall einer sicherheitskritischen akustischen Warnung toleriert werden.
Außer in einem Fahrzeug wäre noch ein Einsatz bei sicherheitsrelevanten Durchsagen in öffentlichen Gebäuden und Transportsystemen, Industrieanlagen oder ähnliches, möglich.
Das erfindungsgemäße Konzept für eine funktional sicher Audioausgabe könnte zum Beispiel bis ASIL B zertifizierbar sein.
Weitere Merkmale, Eigenschaften und Vorteile der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung unter Bezugnahme auf die beiliegenden Figuren. Darin zeigen schematisch: Fig. 1 eine Darstellung eines erfindungsgemäßen Verfahrens zum Betreiben eines funktional sicheren Audioausgabesystems;
Fig. 2 eine Darstellung einer digitalen Signalverarbeitung; und
Fig. 3 eine weitere Darstellung einer digitalen Signalverarbeitung.
In Figur 1 ist schematisch ein erfindungsgemäßes sicheres Audioausgabesystem X dargestellt. Das funktional sicheres Audioausgabesystem X wird derart aufgeteilt, dass ein relativ einfach zertifizierbarer (d.h. zum Beispiel mit geringer Komplexität und begrenzter Rechenleistung), insbesondere nach ASIL zertifizierbarer, ausgestatteter Rechenknoten A in einer Ablaufsteuerung (Programm) G einen einer bestimmten Warnung R einen Code A1 zuordnet und zu einem komplexeren Knoten B sendet und dieser mit H ilfe einer digitalen Signalverarbeitung C in einem Rechenprozess B1 aus diesem Code A1 und einem auszugebenden akustisches Warnsignal S ein Signal W erzeugt, das von dem auszugebenden Warnsignal S maskiert wird, das heißt, dass ein Mensch das ausgegebene Signal S nicht von der Überlagerung von S und W unterscheiden kann. Dazu sendet die Ablaufsteuerung G ein Steuersignal A3 an den Rechenprozess B1 , der die Ausgabe des Signals S aktiviert und auf das Warnsignal S als Referenzsignal für die Signalverarbeitung C umschaltet. Für eine sichere und eindeutige Unterscheidung der Signalquelle für Warntöne S von beliebigen anderen Audiosignalen M kann außer dem Code A1 ein charakteristischer und dem Knoten A bekannter Code BK ungleich Null der Signalquelle S (z.B. eine Checksumme der zugehörigen Audiodatei) dem Code A1 z.B. durch eine bitweise Exklusive-Oder-Funktion (XOR) überlagert werden. Für andere Audiosignale M kann A1 unverändert bleiben, indem z.B. eine Null mit A1 verodert wird. Das Signal Wwird auch als akustisches Wasserzeichen bezeichnet. Die Modulierung und Codierung von A1 zum akustischen Wasserzeichen W erfolgt typischerweise in den für das menschliche Gehör irrelevanten und redundanten Signalanteilen des Warnsignals S.
Das Signal S und W und optional weitere Signale M (z.B. Musik) werden addiert zu einem Ausgangssignal Y. Im Falle, dass ein Warnsignal S ausgegeben werden muss, sendet die Ablaufsteuerung G dem Rechenprozess B1 ein Signal A4, das ein Begrenzungsstufe L aktiviert und den Signalpegel von M so weit begrenzt, dass die Warnung S vom Fahrer nicht überhört werden kann und die Erkennung des Wasserzeichens im Ausgangssignal Y nicht gestört oder zu stark verzögert wird. Der Rechenprozess B1 gibt das Ausgangssignal Y typischerweise an einen Verstärker V aus, der das verstärkte Signal an Schallwandler LS (z. B. Lautsprecher) als ein Ausgabesignal ausgibt. Der von den Schallwandlern LS erzeugt Schall und eventuelle andere Geräusche, das akustische Signal Z1 , wird sowohl vom Fahrer als auch von einem Schallsensor MIC aufgenommen. Dieser wandelt das Signal in einen Signalstrom (von Abtastwerten) Z und führt diesen einem zweiten Rechenprozess B2 zu. Dieser zweite Rechenprozess befindet sich vorteilhafterweise im gleichen physikalischen Rechenknoten B, wodurch eine Kostenersparnis ermöglicht wird., könnte aber auch in einem eigenen Rechenknoten untergebracht sein. Dieser Rechenprozess B2 ermittelt mit Hilfe einer Signalverarbeitung D den (wahrscheinlichsten) im Signal enthaltenen Code A2. Der Rechenprozess B2 muss völlig unabhängig vom Rechenprozess B1 arbeiten und kennt insbesondere den Code A1 a priori nicht. Der aus dem Signalstrom Z wahrscheinlichste enthaltene Code A2 wird über viele Wiederholungen hinweg zum Rechenknoten A gesendet, welcher die ermittelten Codes in einer statistischen Verarbeitung H auswertet. Die Ablaufsteuerung K im Rechenknoten A wiederum kann nach ausreichenden Codewiederholungen nun mit hinreichender Zuverlässigkeit entscheiden, ob im empfangenen akustischen Signal Z1 der von den Lautsprechern im akustischen Signal vorhandene Code A1 BK (A1 xor BK) im Falle einer Warntonausgabe durch einen Vergleich mit dem über viele Perioden gemittelten Code A2 vorliegt und damit eine Hörbarkeit des Warnsignals für den Fahrer gegeben ist. Im Falle der Nichtübereinstimmung vom gemittelten Code A2 mit A1 BK liegt ein Fehler im System vor und der Rechenknoten A kann entweder eine einfachere aber zuverlässige alternative Audioausgabe BZ ansteuern oder das System in einen sicheren Zustand schalten, in dem Sinne, dass dem Fahrer das Vorliegen eines Systemfehlers sicher signalisiert wird. Für eine ausreichende Zuverlässigkeit des Gesamtsystems muss sichergestellt sein, dass dem Rechenprozess der Code A1 nicht bekannt ist. Dies kann durch Speicherisolationstechniken (z.B. mit Hilfe von Memory Management Units und einem Betriebssystem, dass Prozessisolation unterstützt) erfolgen. Um die Zuverlässigkeit des Systems zu erhöhen und die Robustheit gegenüber Störsignalen zu vergrößern, kann der zu kodierende Code viele Male im Signalverlauf wiederholt werden und durch eine stochastische Verarbeitung H im Rechenknoten A ausgewertet werden, bevor eine Entscheidung über das Vorliegen eines Systemfehlers in der Ablaufsteuerung K des Rechenknotens A getroffen wird. Insbesondere eignen sich für diesen Zweck Korrelationsfilter, zum Beispiel kann auch ein signalangepasster Filter (Optimalfilter, Matched Filter) verwendet werden.
Bei der Signalausgabe und der Einschätzung, ob das Ausgabesignal die zu informierende Person erreicht hat, können verschiedene Faktoren berücksichtigt werden. Insbesondere können die Umgebungslautstärke, aber auch andere Informationen, speziell persönliche Informationen, persönliche Einstellungen und Flörgewohnheiten berücksichtigt werden. So können zum Beispiel Sitzeinstellungen, die Körperpositionierung, typische Lautstärkeeinstellungen und Informationen insbesondere über Einschränkungen oder Überempfindlichkeiten im Bereich der Hörfähigkeit einer Person berücksichtigt werden. Auch die Anwesenheit bzw. Benutzung von externen Geräten, insbesondere von Hörgeräten, und deren Einstellungen können berücksichtigt werden. Dies wird vorteilhafterweise durch eine Kommunikation der externen Geräte mit einer Fahrzeugkomponente realisiert, kann aber auch indirekt durch Fahrzeugsensoren festgestellt werden. So kann zum Beispiel eine Kamera das Fehlen eines Hörgerätes feststellen und/oder das Abspielen von Tönen und anderen Geräuschen mit einer erhöhten Lautstärke erfolgt.
Ein Funktionieren des Sende- Empfangssystems kann auch im Hintergrund ohne Vorliegen einer Warnung überprüft werden, wenn ein ausreichend lautes Signal M vorliegt. Ob das Audiosignal M ausreichend laut ist, kann die Begrenzungsstufe L ermitteln, da diese die aktuelle Leistung des Signals misst, und der Ablaufsteuerung K als Steuersignal A5 mitteilen. Das Audiosignal M wird der Signalverarbeitung C statt der Warnung S zugeführt und genauso verarbeitet wie S. Wenn das Steuersignal A5 eine ausreichende Audiolautstärke signalisiert, kann die Ablaufsteuerung K anhand des empfangenen Codes A2 entscheiden, ob ein Systemfehler vorliegt. In der Regel muss in diesem Fall keine Entscheidung innerhalb einer kurzen Zeit getroffen werden, weil keine Gefährdung vorliegt, weshalb die Zeiten für die statistische Auswertung entsprechend größer gewählt werden dürfen und damit die Zuverlässigkeit für eine richtigen Entscheidung, ob ein Systemfehler vorliegt oder nicht, steigt. Die Ablaufsteuerung K kann das Ergebnis der Hintergrundüberprüfung nutzen, um sofort den Fahrer über das Vorliegen eines Systemfehlers auf einem anderen funktionsfähigen Weg (z.B. über eine visuelle Ausgabe oder alternativen akustischen Ausgabe) zu informieren und zum Beispiel auffordern den Service aufzusuchen. Da in der Regel heute die Audioausgabe über mehrere Schallwandler (Lautsprecher) erfolgt und oft auch die Aufnahme des Schalls zur Verbesserung der Richtwirkung über mehrere Mikrofone MIC erfolgt, liegt oft ein redundantes akustisches System vor, das nur in dem unwahrscheinlichen Fall eines gleichzeitigen Ausfalls aller Schallwandler oder Mikrofone versagt, was die Signalverarbeitung D und die Ablaufsteuerung K berücksichtigen können. Zum Beispiel kann der Ausfall eines oder mehrerer Mikrofone einfach erkannt werden, solange noch von mindestens einem Mikrofon ein Signalstrom Z mit einem richtig erkannten Code vorliegt. Ebenso ist es möglich die Lautsprecher einzeln zu prüfen, in dem der Code A1 abwechselnd nur einem Lautsprecherkanal überlagert wird oder jedem Lautsprecher verschiedene Codes (die voneinander statistisch unabhängig sind) überlagert werden. In diesen Fällen kann der Fahrer auf einen Service-Fall hingewiesen werden, bevor es zu einem Systemversagen kommt.
Ein scheinbares Systemversagen kann allerdings dann fehlerhafter Weise erkannt werden, wenn ein äußeres akustisches Störsignal derartig laut ist, dass alle Mikrofone versagen, weil sie z.B. in ihre Begrenzung getrieben werden. Ein übersteuertes akustisches Signal Z1 kann jedoch von der Signalverarbeitung D erkannt werden und von einem typischen Signalverlauf eines ausgefallenen Mikrofons unterschieden werden, da dieses keinen Audiosignalpegel oder nur noch geringen Pegel liefert. Im Übersteuerungsfall schickt die Signalverarbeitung D dann einen besonderen Code A2 an die Ablaufsteuerung K, die die Ausgabe einer Warnung an den Fahrer auf einem anderen Wege veranlassen kann, z. B. durch eine visuelle Ausgabe, da der akustische Übertragungsweg zum Fahrer nicht mehr sichergestellt ist. Weiterhin besteht die Möglichkeit, dass bei der Erzeugung, Verarbeitung und/oder Übertragung von Signalen ein Fehler passiert, und daher die Wahrscheinlichkeit, dass der Code A1 und der Code A2 übereinstimmen, im Wesentlichen immer 1 beträgt. Dies kann zum Beispiel dadurch passieren, dass der Rechenprozess B1 nicht richtig vom Rechenprozess B2 getrennt ist und daher der Code A1 dem Rechenprozess B2 bekannt ist oder von ihm fälschlicherweise verwendet wird. Durch eine Veränderung oder Löschung des Codes A1 bzw. des Codes A1 BK nach der Benutzung im Rechenprozess B1 in bzw. aus dem kompletten Speicher könnte ein solcher Fehler aufgedeckt werden.
Alternativ oder zusätzlich, insbesondere in dem Fall, dass die Übertragungsstrecke vom Verstärker V über den Schallwandler LS zum Ohr der Person als funktional Sicher eingestuft oder anderweitig verifiziert werden kann, kann auch das Ausgangsignal Y direkt dem Rechenprozess B2 zugeführt werden. Durch die verifizierte Übertragungsstrecke kann somit die komplette Verarbeitungsstrecke, inklusive die akustische Übertragung als funktional Sicher eingestuft werden. Insbesondere gelangt der eigentlich im akustischen Signal enthaltene Code daher auch im Wesentlichen genauso durch eine rein elektronische Übertragung an den Rechenprozess B2.
Eine beispielhafte Realisierung der digitalen Signalverarbeitung C (Enkoder) ist in Figur 2 dargestellt und beschrieben. Der zu kodierende Code kann durch eine Binäre Phasenumtastung (BPSK) auf einen großen Frequenzbereich gespreizt werden, der bei antipodaler Signalkodierung (z.B. -1 ;1 ) von einer bekannten, pseudozufälligen Signalfolge (PRBS Quelle) und zyklisch wiederholter Codefolge durch eine einfache Multiplikation der Signale realisiert werden kann. Eine Überlagerung des zu kodierenden Codes mit einer solchen bekannten, pseudozufälligen Signalfolge aus der PRBS Quelle mit annähernd weißem Spektrum und einer eindeutigen Spitze in seiner Autokorrelationsfunktion (z.B. mit einer XOR Funktion) vereinfacht die Erkennung des Beginns und der Periode der Impulsfolge da die Autokorrelationsfunktion ein eindeutiges Maximum nach genau einer Periode aufweist. Schließlich kann das Signal mit einer Cosinus-Funktion multipliziert werden, um eine spektrale Verschiebung des maximalen spektralen Beitrags auf einen geeigneten Wert zu erreichen. Des Weiteren kann die Gewichtung der entstehenden Signalfolge im Frequenzbereich (z. B. mittels einer schnellen Fouriertransformation FFT) durch ein psychoakustisches Modell des Menschen so erfolgen, dass die das Signal W unter der Wahrnehmungsschwelle des menschlichen Gehörs bleibt. Das Maskierungsmodell liefert dabei dem Gewichtungsprozess eine Einschätzung über die Schwelle der Maskierung, so dass das Audiosignal M und/oder die Warnung S die Veränderung durch den Code gerade noch maskieren. Außerdem ist es möglich den zu kodierenden Code so zu modifizieren, dass Übertragungsfehler vom Empfänger erkannt werden können z.B. mit Hilfe von Faltungscodes.
Wenn mehrere sicherheitsrelevante Sounds gleichzeitig ausgegeben werden müssen, können PNR Signalen mit orthogonalen Codes für verschiedene Sounds und zur besseren und sicheren Unterscheidbarkeit mit unterschiedlichen Code-Periodenlängen verwendet werden.
Eine beispielhafte Implementierung der Signalverarbeitung D (Dekoder) ist in Figur 3 dargestellt und beschrieben und weist ein Optimalfilter (Matched Filter) auf, dem der Abtastdatenstrom z[k], der vom Mikrofon kommenden Signalstrom Z, zugeführt wird. Das Optimalfilter weist eine zum PRBS Signal zeitlich umgekehrte Impulsantwort d[N-n] auf, dass jeweils an den Grenzen der Symboldauern Tsymb = n * T0 eine maximale Korrelation oder Antikorrelation mit dem Eingangssignal aufweist. Diese Extrema werden von einer Synchronisationseinheit erkannt und steuern eine Abtasteinheit an, die den Ausgang des Optimalfilters o[k] zu den Zeitpunkten n abtastet und einem Schwellwertentscheider zuführt. Dieser entscheidet ob eine ausreichende Korrelation für ein positives Bit (Datenbit g[n] und PRBS Folge d[n] sind gleich) oder eine ausreichende Antikorrelation (Datenbit g[n] und PRBS Folge d[n] sind verschieden) für eine negatives Bit anhand einer empirisch zu wählenden Schwelle S vorliegt. Ist dies nicht der Fall gibt der Entscheider eine 0 aus, die auf ein nicht erkanntes Bit bzw. ein Bitfehler hinweist. So entsteht am Ausgang des Dekoders D der Code A2, der eine Schätzung des Codes A1 BK darstellt. Da dieser Code A2 noch Bitfehler aufweisen kann oder sogar Schätzfehler, wird dieser zu einer stochastischen Auswerteeinheit Fl im Rechenknoten A über viele Perioden N der Codefolge A1 gesendet. Die stochastische Auswertung kann nun diese Auswerteeinheit sehr einfach durch Aufaddieren der Datenbits an gleichen Bitpositionen der empfangenen Codewörter A2 durchführen und das Ergebnis einem Schwellwertentscheider in der Ablaufsteuerung K zuführen.
Das Kodieren des akustischen Warnsignals S mit dem Wasserzeichens W kann auch in einer alternativen Ausführungsform bereits im Vorfeld in einer zertifizierten Umgebung erfolgen, so dass das Wasserzeichen von vorneherein Bestandteil der im Audioausgabesystem X bzw. Fahrzeug gespeicherten Audiodaten ist. Dadurch kann eine Vereinfachung der Rechenoperationen des Audioausgabesystems X erfolgen. Jeder Warnung R ist somit auch ein fester Code A1 bzw. ein Codepaar A1 , BK zugeordnet. Diese Zuordnung kann in einer gesonderten Datenbank gespeichert werden. Vom einfach zertifizierbaren Rechenknoten A kann somit auch nur ein Repräsentant der Warnung R und nicht unbedingt der Code A1 an den komplexen Knoten B gesendet werden. Dadurch können Fehler, die durch die Kenntnis des Codes A1 im komplexen Knoten B auftreten, verhindert werden. Der komplexe Knoten B hat in diesem Fall überhaupt keine Information über den Code A1 .
Dementsprechend wird zuerst ein einer Warnung R zugeordneter Repräsentant und ein Code A1 aus einer Datenbank vom einfach zertifizierten Rechenknoten A eingelesen. Der Repräsentant wird an den komplexen Rechenknoten B gesendet, um dort das der Warnung zugeordneten Audiosignal, das zumindest den Code A1 als Wasserzeichen umfasst, zu bestimmen. Auf die Datenbank, die die Codes A1 und die Repräsentanten umfasst, darf der Rechenknoten B keinen Zugriff haben. Das Audiosignal wurde dabei im Vorfeld in einer zertifizierten Umgebung erstellt und während oder nach der Produktion des Audioausgabesystems darauf gespeichert. Die zertifizierte Umgebung ist dabei für das Erstellen von Audioausgabedaten für sicherheitskritische Anwendungen im Automobilbereich geeignet, so dass damit ein hohes ASIL-Level, d.h. höher als QM-Level, erreicht werden kann. In einem ersten Rechenprozess B1 wird dann ein Ausgangsignals Y, dass das Audiosignal mit dem Code A1 umfasst, erzeugt. Das Ausgangssignal wird dann an einen zweiten, vom ersten Rechenprozess B1 unabhängigen Rechenprozess B2 gesendet. Dort wird dann ein im Ausgangsignal Y enthaltener Code A2 extrahiert. Dieser extrahierte bzw. empfangene Code A2 wird dann an den einfach zertifizierten Rechenknoten A gesendet. Dort wird dann der eingelesene Code A1 mit einem auf dem empfangenen Code A2 basierenden Code verglichen, um zu verifizieren, ob das Audioausgabesystem funktional sicher ist.
Besonders vorteilhaft ist es, wenn das Senden des Ausgangsignals Y an den zweiten, vom ersten Rechenprozess B1 unabhängigen Rechenprozess B2 über die Lautsprecher-Mikrophon-Strecke stattfindet. So kann verifiziert werden, ob das Audioausgabesystem funktional sicher ist.
Die Audiosignale, die das Wasserzeichen bereits umfassen, und die dazugehörigen Repräsentanten und Codes A1 können auch vorteilhafterweise nachträglich über Softwareupdates, insbesondere über Fernwartung zur Verfügung gestellten Updates, sogenannte Over-The-Air-Updates, dem Audioausgabesystem zur Verfügung gestellt werden.
Ein solches funktional sicheres Audioausgabesystem X umfasst dabei zumindest einen Schallwandler LS, einen Schallsensor MIC, einen einfach zertifizierten Rechenknoten A, eine Datenbank und einen komplexen Rechenknoten B.
In Fahrzeugen kann insbesondere der Schallwandler und der Schallsensor auch in Form von Verkleidungsbauteilen ausgestaltet sein. Weiterhin kann auch das räumlich gezielte Aussenden von Schallwellen per Laser ausgeführt werden.
Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt. Variationen hiervon können vom Fachmann abgeleitet werden, ohne den Schutzumfang der Erfindung, wie er durch die nachfolgenden Patentansprüche definiert wird, zu verlassen.

Claims

Patentansprüche / Patent Claims
1 . Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems (X) mit einem einfach zertifizierten Rechenknoten (A) und einem komplexen Rechenknoten (B), aufweisend die Schritte:
- Erzeugen eines einer Warnung (R) zugeordneten Codes (A1 ) im einfach zertifizierten Rechenknoten (A);
- Sendes des Codes (A1 ) an den komplexen Rechenknoten (B);
- Erzeugen, in einem ersten Rechenprozess (B1 ) eines Ausgangsignals (Y), das ein akustisches Wasserzeichen (W) aufweist;
- Sendens des Ausgangsignals (Y) an einen zweiten, vom ersten Rechenprozess (B1 ) unabhängigen Rechenprozess (B2);
- Ermitteln, im zweiten, vom ersten Rechenprozess (B1 ) unabhängigen Rechenprozess (B2) eines im Ausgangsignal (Y) enthaltenen Codes (A2);
- Senden des Codes (A2) an den einfach zertifizierten Rechenknoten (A); und
- Verifizierung, ob das Audioausgabesystem funktional sicher ist anhand eines Vergleichs des erzeugten Codes (A1 ) mit einem auf dem empfangenen Code (A2) basierenden Code.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass der Schritt
- Sendens des Ausgangsignals (Y) an einen zweiten, vom ersten Rechenprozess (B1 ) unabhängigen Rechenprozess (B2); die Schritte
- Aussenden des Ausgangsignals (Y) mittels eines Schallwandlers (LS);
- Empfangen von einem akustischen Signal (Z1 ) umfassend des vom Schallwandler (LS) ausgegebenen Ausgangsignals (Y) durch einen Schallsensor (MIC); umfasst, und der Schritt
- Ermitteln, im zweiten, vom ersten Rechenprozess (B1 ) unabhängigen Rechenprozess (B2) eines im Ausgangsignal (Y) enthaltenen Codes (A2); dem im Ausgangsignal (Y) enthaltenen Code (A2) aus dem akustischen Signal
(Z1 ) ermittelt.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Verfahren zusätzlich den Schritt:
- Aussenden eines ersten Steuersignals (A3) vom einfach zertifizierten Rechenknoten (A) zum komplexen Rechenknoten (B), um das Einbeziehen eines ersten Signals (S) in das Ausgangsignal (Y) zu aktivieren; aufweist.
4. Verfahren nach Anspruch 3, aufweisend zumindest einen der folgenden Schritte:
- Überlagern des erzeugten Codes (A1 ) mit einem dem einfach zertifizierten Rechenknoten (A) bekannten und für das Signal (S) charakteristischen Code (BK);
- Generieren des Ausgangssignals (Y) aus dem akustischen Wasserzeichen (W) und zumindest eines aus dem ersten Signal (S) oder einem zweiten Signal (M); und
- Aussenden eines zweiten Steuersignals (A4) vom einfach zertifizierten Rechenknoten (A) zum komplexen Rechenknoten (B), um eine Begrenzungsstufe (L) zu aktivieren, die einen Signalpegel eines zweiten Signals (M) begrenzen kann.
5. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Verfahren zusätzlich den Schritt:
- Aussenden eines dritten Steuersignals (A5) vom komplexen Rechenknoten (B) zum einfach zertifizierten Rechenknoten (A), um das Einbeziehen des zweiten Signals (M) in das Ausgangsignal (Y) mitzuteilen; aufweist.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schritte
- Ermitteln, in einem zweiten, vom ersten Rechenprozess (B1 ) unabhängigen Rechenprozess (B2), eines im akustischen Signal (Z1 ) enthaltenen Codes (A2); und
- Senden des Codes (A2) an den einfach zertifizierten Rechenknoten (A); wiederholt durchgeführt werden, wobei insbesondere der Code (A1 , A1 BK) mehrfach im Ausgangssignal (Y) vorhanden ist, und der auf dem empfangenen Code (A2) basierenden Code durch eine statistische Verarbeitung (H) der wiederholt ermittelten und an den einfach zertifizierten Rechenknoten (A) gesendeten Codes (A2) erzeugt wird.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass der Vergleich des erzeugten Codes (A1 , A1 BK) mit dem auf dem empfangenen Code (A2) basierenden Code eine Wahrscheinlichkeit für eine positive Verifizierung, dass das Audioausgabesystem (X) also mit einer gewissen Wahrscheinlichkeit funktional sicher ist, liefert, und dass zumindest ein Schwellwert vorgesehen ist, bei dessen Überschreiten eine positive, bei dessen Unterschreiten eine negative oder keine Verifizierung der funktionalen Sicherheit festgestellt wird, und/oder dass der Vergleich des erzeugten Codes (A1 ) mit dem auf dem empfangenen Code (A2) basierenden Code eine Wahrscheinlichkeit für eine negative Verifizierung, dass das Audioausgabesystem (X) also mit einer gewissen Wahrscheinlichkeit funktional nicht sicher ist, liefert, und dass zumindest ein Schwellwert vorgesehen ist, bei dessen Unterschreiten eine negative, bei dessen Überschreiten eine positive oder keine Verifizierung der funktionalen Sicherheit festgestellt wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einer negativen und/oder bei keiner Verifizierung, dass das Audioausgabesystem (X) also funktional nicht sicher ist, zumindest eines aus
- eine einfachere aber zuverlässige alternative Audioausgabe (BZ) anzusteuern;
- das System in einen sicheren Zustand zu schalten;
- der Fahrer über das Vorliegen eines Systemfehlers zu informieren;
- eine Überprüfung basierend auf redundanten Eigenschaften des Audioausgabesystems (X) zu veranlassen; und - eine Kompensation basierend auf redundanten Eigenschaften des Audioausgabesystems (X) zu veranlassen; ausgeführt wird.
9. Funktional sicheres Audioausgabesystem (X) zum Ausführen des Verfahrens nach einem der Ansprüche 1 bis 8, umfassend einen Schallwandler (LS), einen Schallsensor (MIC), einen einfach zertifizierten Rechenknoten (A) und einen komplexen Rechenknoten (B).
10. Audioausgabesystem (X) nach Anspruch 9, dadurch gekennzeichnet, dass der erste Rechenprozess und der zweite, vom ersten Rechenprozess (B1 ) unabhängige Rechenprozess (B2), auf demselben physikalischen Rechenknoten (B) ausgeführt werden, wobei insbesondere der erste Rechenprozess (B1 ) und zweite Rechenprozess (B2) durch zumindest eine Speicherisolationstechnik voneinander getrennt sind.
11 . Fahrzeug mit einem funktional sicheren Audioausgabesystem (X) nach einem der Ansprüche 9 oder 10 zum Ausführen des Verfahrens nach einem der Ansprüche 1 bis 8.
12. Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch ein eingebettetes System dieses veranlassen, das Verfahren nach einem der vorhergehenden Ansprüche 1 bis 8 auszuführen.
13. Datenträger, auf dem das Computerprogramm nach Anspruch 12 gespeichert ist.
14. Ein Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems mit einem einfach zertifizierten Rechenknoten und einem komplexen Rechenknoten, das zumindest die Schritte
- Einlesen eines einer Warnung (R) zugeordneten Repräsentanten und eines Codes (A1 ) aus einer Datenbank im einfach zertifizierten Rechenknoten (A);
- Sendes des Repräsentanten an den komplexen Rechenknoten (B); - Erzeugen, in einem ersten Rechenprozess (B1), eines Ausgangsignals (Y), das ein akustisches Wasserzeichen (W) aufweist;
- Sendens des Ausgangsignals (Y) an einen zweiten, vom ersten Rechenprozess (B1) unabhängigen Rechenprozess (B2); - Ermitteln, im zweiten, vom ersten Rechenprozess (B1) unabhängigen
Rechenprozess (B2) eines im Ausgangsignal (Y) enthaltenen Codes (A2);
- Senden des Codes (A2) an den einfach zertifizierten Rechenknoten (A); und
- Verifizierung, ob das Audioausgabesystem funktional sicher ist anhand eines Vergleichs des eingelesenen Codes (A1) mit einem auf dem empfangenen Code (A2) basierenden Code; aufweist.
15. Funktional sicheres Audioausgabesystem (X) zum Ausführen des Verfahrens nach Anspruch 14, umfassend einen Schallwandler (LS), einen Schallsensor (MIC), einen einfach zertifizierten Rechenknoten (A), eine Datenbank und einen komplexen Rechenknoten (B).
PCT/EP2020/075377 2019-09-11 2020-09-10 Verfahren zum betreiben eines funktional sicheren audioausgabesystems WO2021048300A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE112020004296.0T DE112020004296A5 (de) 2019-09-11 2020-09-10 Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems
CN202080057490.2A CN114223030A (zh) 2019-09-11 2020-09-10 用于运行功能可靠的音频输出系统的方法
US17/642,447 US20220342961A1 (en) 2019-09-11 2020-09-10 Method for operating a functionally secure audio output system

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102019213888 2019-09-11
DE102019213888.8 2019-09-11
DE102019214346.6A DE102019214346A1 (de) 2019-09-11 2019-09-20 Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems
DE102019214346.6 2019-09-20

Publications (1)

Publication Number Publication Date
WO2021048300A1 true WO2021048300A1 (de) 2021-03-18

Family

ID=74644595

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/075377 WO2021048300A1 (de) 2019-09-11 2020-09-10 Verfahren zum betreiben eines funktional sicheren audioausgabesystems

Country Status (4)

Country Link
US (1) US20220342961A1 (de)
CN (1) CN114223030A (de)
DE (2) DE102019214346A1 (de)
WO (1) WO2021048300A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4325893A1 (de) * 2022-08-16 2024-02-21 Aptiv Technologies Limited Überwachung der audiowiedergabe für automobilanwendungen

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014220520A1 (de) * 2014-10-09 2016-04-14 Continental Automotive Gmbh Vorrichtung und Verfahren zum Steuern einer Audioausgabe für ein Kraftfahrzeug

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10012691B1 (en) * 2017-11-07 2018-07-03 Qualcomm Incorporated Audio output diagnostic circuit
US11120642B2 (en) * 2018-06-27 2021-09-14 Intel Corporation Functional safety critical audio system for autonomous and industrial applications
US11308791B2 (en) * 2018-12-28 2022-04-19 Intel Corporation Methods, systems and apparatus to use audio return path for functional safety validation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014220520A1 (de) * 2014-10-09 2016-04-14 Continental Automotive Gmbh Vorrichtung und Verfahren zum Steuern einer Audioausgabe für ein Kraftfahrzeug

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ZHE FENG: "Watermark-based Sensor Data Authentication", MASTER OF SCIENCE IN ENGINEERING, 28 April 2019 (2019-04-28), XP055737767, Retrieved from the Internet <URL:https://deepblue.lib.umich.edu/handle/2027.42/148655> [retrieved on 20201007] *

Also Published As

Publication number Publication date
DE102019214346A1 (de) 2021-03-11
DE112020004296A5 (de) 2022-06-23
US20220342961A1 (en) 2022-10-27
CN114223030A (zh) 2022-03-22

Similar Documents

Publication Publication Date Title
DE102005032274B4 (de) Hörvorrichtung und entsprechendes Verfahren zur Eigenstimmendetektion
EP1931172B1 (de) Hörgerät mit Störschallunterdrückung und entsprechendes Verfahren
DE102010043413A1 (de) Verfahren und Hörgerät zur Ermittlung von Nässe
DE102015103024B4 (de) Fahrzeugsystem zur Funktionszustandsüberwachung eines Schallverstärkungssystem-Betriebsverhaltens
DE102014012184B4 (de) Vorrichtung und Verfahren zur automatischen Erkennung und Klassifizierung von akustischen Signalen in einem Überwachungsbereich
DE112013006702B4 (de) Aktiv-Vibrations-oder-Geräusch-Steuervorrichtung
WO2021048300A1 (de) Verfahren zum betreiben eines funktional sicheren audioausgabesystems
DE102010044016B4 (de) Vorrichtung zur Überwachung eines Schallgebers, ein System umfassend eine solche Vorrichtung und einen Schallgeber, sowie ein diesbezügliches Verfahren und eine diesbezügliche Verwendung
EP2171585A2 (de) Verfahren zum betreiben eines mikrocontrollers und einer ausführungseinheit sowie ein mikrocontroller und eine ausführungseinheit
DE102008046040A1 (de) Verfahren zum Betrieb einer Hörvorrichtung mit Richtwirkung und zugehörige Hörvorrichtung
DE102015015130A1 (de) Verfahren zum Betreiben eines Kraftfahrzeugs und Kraftfahrzeug
DE102020003692A1 (de) Assistenzsystem zur schallabhängigen Erkennung von Objekten im Straßenverkehr und einer Warnfunktion
DE102020203722B4 (de) Sicheres Sprachausgabesystem und Verfahren zur sicheren Sprachausgabe
EP1570244A1 (de) Vorrichtung und verfahren zum erfassen und wiedergeben von gerauschen, insbesondere zur akustischen komponentenanalyse bei kraftfahrzeugen, und kopfhörer
DE102009027413A1 (de) Verfahren und Steuereinrichtung zur Ansteuerung eines Fahrzeugsantriebssystems eines Fahrzeugs
DE102004035988A1 (de) Notrufsystem für ein Personentransportsystem, insbesondere für ein Kraftfahrzeug, und Verfahren zur automatischen Übermittlung eines Notrufes
DE102020126434A1 (de) Fahrsystem zum automatisierten fahren mit akustischer informationsausgabe und einem mikrofon, entsprechendes verfahren und entsprechende software
DE102008060194A1 (de) Verfahren und Kraftfahrzeug für ein Fahrzeugflotten-Qualifikationsmanagement
DE102019210934A1 (de) System zur Verbesserung des Hörens für hörgeschädigte Personen
DE102017219991B4 (de) Vorrichtung zur Erzeugung von akustischen Kompensationssignalen
DE102019205534A1 (de) Verfahren zum Betreiben eines insbesondere wenigstens teilweise automatisierten Fahrzeugs
WO2018158111A1 (de) Verfahren und vorrichtung zum betreiben einer fahrzeugkabine
WO2021224508A1 (de) Vorrichtung, verfahren und computerprogramm zur erkennung von akustischen ereignissen, insbesondere akustischen informations- und/oder warnsignalen
DE102014200102A1 (de) Fortbewegungsmittel und Verfahren zum Nachweis einer erfolgreichen Ausgabe eines Klangzeichens
DE19816752A1 (de) Einrichtung und Verfahren zur Erzeugung eines Steuersignales zur Ansteuerung wenigstens einer Signalquelle, die ein für einen Hörgeschädigten wahrnehmbares Signal erzeugt

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20771541

Country of ref document: EP

Kind code of ref document: A1

REG Reference to national code

Ref country code: DE

Ref legal event code: R225

Ref document number: 112020004296

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20771541

Country of ref document: EP

Kind code of ref document: A1