WO2021073938A1 - Method and apparatus for outputting, by means of an output module, representations of conditions relevant to the safe operation of a vehicle - Google Patents

Method and apparatus for outputting, by means of an output module, representations of conditions relevant to the safe operation of a vehicle Download PDF

Info

Publication number
WO2021073938A1
WO2021073938A1 PCT/EP2020/077936 EP2020077936W WO2021073938A1 WO 2021073938 A1 WO2021073938 A1 WO 2021073938A1 EP 2020077936 W EP2020077936 W EP 2020077936W WO 2021073938 A1 WO2021073938 A1 WO 2021073938A1
Authority
WO
WIPO (PCT)
Prior art keywords
output
representation
output module
sensor
control device
Prior art date
Application number
PCT/EP2020/077936
Other languages
German (de)
French (fr)
Inventor
Martin Stamm
Original Assignee
Continental Automotive Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Gmbh filed Critical Continental Automotive Gmbh
Publication of WO2021073938A1 publication Critical patent/WO2021073938A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Definitions

  • the invention relates to a method for outputting representations relevant to the safe operation of a vehicle, a Com puterprogramm product, a corresponding system or its components, and a vehicle with a system according to the invention.
  • Modern vehicles are equipped with a large number of sensors and support systems that are used for safe, approval-compliant and / or comfortable operation of the vehicles.
  • fault-free functionality of the systems or their components cannot be guaranteed one hundred percent despite all efforts and precautions in the design of the systems or components and for quality assurance in production and system integration.
  • Certain, in particular safety-relevant systems or components can be designed redundantly to increase the operational readiness of the vehicle, but this is often not possible for reasons of cost.
  • the document DE 102012024818 A1 discloses a method for improving the functional safety and increasing the availability of an electronic control system, in particular in automotive electronics.
  • the document DE 102014220373 A1 discloses a method for displaying information in a motor vehicle, the integrity and safety requirements for the correct and needs-based display of the driver warning being guaranteed for digital displays.
  • the document US 2019/0018408 A1 shows a system for verifying the integrity of a sensor system in a motor vehicle.
  • the document DE 102015211 451 A1 discloses a method for protecting against manipulation of user data packets to be transmitted between system components via a bus system, in particular for motor vehicles.
  • the document DE 10 2015 209448 A1 shows a method for displaying safety-relevant display elements in a motor vehicle.
  • the document DE 10 2016 212 196 A1 discloses a method for evaluating sensor data in which sensor data are signed.
  • These output devices include displays on which a large amount of information can be displayed at the same time.
  • the displays can be set up to show certain content in some areas when the vehicle systems are functioning normally, the perceptibility of which is of subordinate importance for the safe driving of the vehicle at all times. Other areas of the display can be reserved for the presentation of content, the perceptibility of which must be guaranteed at all times for safe driving of vehicles.
  • the content does not have to be permanently visible, it is also possible that the content is selectively displayed or not displayed depending on an operating mode of the vehicle. For ergonomic reasons, it is advantageous to always have certain content in the same place on the display in the same way. In the case of selectively displayed content, this position can also be empty, depending on the operating mode or the operating status.
  • FIG. 4 shows some exemplary examples of representations which can be output on a display and which inform a vehicle driver about conditions relevant for the safe operation of the vehicle.
  • symbols are shown line-by-line that represent the function or malfunction of a steering support device, the anti-lock braking system, the braking device, the airbags, the engine control and an electronic driving stability program.
  • the last line shows a symbol for the engine oil pressure, which also relates to a condition relevant to the safe operation of a vehicle.
  • ASIL Automotive Safety Integrity Level
  • A, B, C and D levels, A, B, C and D.
  • Level A stands for the lowest risk level and D for the highest risk level.
  • the standard defines functional safety as "the absence of disproportionate risk due to hazards caused by incorrect behavior of electrical or electronic systems.”
  • the ASIL levels set safety requirements for vehicle components and systems based on the likelihood and acceptability of damage firmly.
  • the aforementioned output devices which inform a vehicle driver about operating states and modes as well as the proper function or failure of safety-relevant systems or components of the vehicle he is driving, can therefore also be subject to the ASIL requirements as soon as safety-relevant information is output about them.
  • the systems used for information from vehicle drivers in vehicles include one or more sensors that detect physical measured variables and / or logical states required to determine the operating state, one or more control units that evaluate the measured values supplied by the one or more sensors and determine an operating state or mode or the proper functioning or failure of a system or a component of the vehicle, a communication channel, for example a network, and the actual output device.
  • the output device can, for example, comprise a display which is connected to a control device which calculates the information to be displayed on the display and sends it to the display via a graphic interface.
  • the information to be displayed on the display can include general content, the display of which does not have to comply with an AS IL requirement, and safety-relevant content, the display or output of which must comply with ASIL requirements.
  • the control device must ensure that safety-relevant content is displayed correctly over or instead of other content.
  • the control unit must therefore meet ASIL requirements, i.e. the hardware and software of the control unit must meet the safety requirements specified in ISO 26262 because the Driver at no time wrong Information about certain safety-relevant operating states, operating modes or the proper functioning of systems or components of the vehicle may be conveyed.
  • the control devices used to control output devices in vehicles have to process and output an increasing number of sensor signals. Because the performance of the processors that can basically be used in the control units is constantly increasing, this does not appear to be a problem from the point of view of computing capacity. However, the performance increases are usually achieved with processors that do not come from the automotive environment and therefore do not meet AS IL requirements that the use of such more powerful components is not easily possible. An adaptation of the more powerful components to the AS IL requirements is not carried out by the manufacturers because of the small quantities compared to other industries in the automotive environment, or it is not economically feasible. In addition, the software executed by the control unit must also meet the AS IL requirements, so that the development effort increases considerably here as well.
  • a method for outputting a representation of a state relevant for safe operation of a vehicle by an output module of the vehicle includes the signing of a sensor signal that corresponds to a physical or logical variable that represents a state relevant for safe operation of a vehicle with one of the Sensor, the sensor type and / or the signature assigned to the signal.
  • the term output of a representation can refer to a large number of possible output types, although the focus in the present description is on a visual output on a display.
  • the display output representation of a state relevant for safe operation of a vehicle can, for example, comprise a status or warning symbol or icon.
  • Acoustic representations can include specific beeps or sequences of beeps.
  • a physical variable that represents a condition relevant to the safe operation of a vehicle can be represented, for example, by a measured value from a temperature sensor that indicates a machine temperature or an outside temperature, or by a measured value from a level meter that indicates a brake fluid or cooling water level.
  • a logic variable can be represented, for example, by a binary signal which indicates the function or failure of a safety-relevant system of the vehicle, for example an anti-lock braking system or an electronic driving stability system.
  • the term sensor signal is used here for a signal that can be transmitted via a communication channel and that transports a measured value of the physical or logical variable.
  • the sensor signal can be transmitted directly from a sensor equipped with a corresponding interface for the communication channel, or from a sensor control device equipped with a corresponding interface, to which measured values from a plurality of measuring sensors are fed.
  • the method also includes sending the signed sensor signal to an output control device connected to the output module and set up to control it via a communication channel, and accordingly receiving the signed sensor signal in the output control device.
  • the method further comprises generating a representation, which can be output by the output module, of the meaning content of the received sensor signal in the output control device, sending the output representation and the signature received with the sensor signal from the output control device to the output module and, accordingly, receiving the output representation and the signature in the output module.
  • the method further comprises checking, in the output module, whether the outputtable representation matches the signature, and if the outputtable representation and the signature match, outputting the outputtable representation by the output module, or if the representation that can be output and the signature do not match, the generation of a perceptible error reaction.
  • the perceptible error reaction can, for example, be an output of information perceptible by the vehicle driver, which indicates a malfunction of the sensor or of a system component involved in the transmission of the sensor signal.
  • a perceptible malfunction can also include the recognizable shutdown of the output module.
  • the step of checking whether the outputtable representation matches the signature can include, in one or more embodiments, the calculation of unambiguous validation information from the received outputtable representation.
  • the calculation of the validation information can include, for example, the formation of a checksum or a scatter value using image data of a received display content that can be output.
  • the calculated validation information can then be compared with reference information stored for the received signature in a memory of the output module.
  • a representation that can be output by the output module is stored in the memory of the output module for a signature, for example an image or icon.
  • output parameters of the representation can be stored, for example a position on a display at which the representation is to be output, a duration of the output of the representation, an intermittent output or the like.
  • the output module can output the received representation that can be output or a representation stored in the memory, the latter for example in order to obtain a defined graphic appearance independently of a representation generated in the output control device.
  • the output parameters stipulate that the representation that can be output is always output over any other output content.
  • the matching of the received representation and the stored Reference information also include a subtraction of the received and stored image contents from one another in a pixel-by-pixel manner.
  • the area used by the representations must be empty, for example the brightness or color values of each pixel must be 0.
  • the signature of the sensor signal can also be transported in a data stream which also transmits the sensor signal.
  • the signature can, however, also be transmitted via a separate data connection, with the signature and sensor signal being assigned, for example, via time stamps or tags. If a sensor signal is processed in a control device, the received signature is added to the result of the processing by the control device or is sent on together with it.
  • the signature can be transmitted from the output control device to the display module via a separate interface, or in a data stream that transmits the content to be output, for example in an image data stream.
  • the signature When transmitted in an image data stream, the signature can be transmitted, for example, in data fields provided for synchronization, or in image areas not shown on a display, for example in an overscan area of an image content. It is also possible to transmit the signature in the representation that can be output, for example in a row or column located on the outer edge of a bitmap representation of a graphic symbol to be output, which is omitted in the output. Another possibility is to transfer the signature through changes in the colors or brightness of individual pixels of a graphic symbol to be output that are imperceptible to humans. If the signature is not contained in the same way in the reference information stored in the output module, the rows or columns containing the signature can be ignored when calculating the validation information, or a method can be used that tolerates slight deviations between the calculated validation information and reference information.
  • a computer program product accordingly contains commands which, when executed by a computer, cause the computer to generate an or carry out several refinements and further developments of the method described above.
  • the computer program product can be stored on a computer-readable data carrier.
  • the data carrier can be embodied physically, for example as a hard drive, CD, DVD, flash memory or the like, but the data carrier can also comprise a modulated electrical, electromagnetic or optical signal that is received by a computer by means of a corresponding receiver and stored in the memory of the computer can be saved.
  • a vehicle system which is set up to output a representation of a state relevant to the safe operation of a vehicle, comprises an output module, one or more sensors, an output control device connected to the output module and set up to control it, and a communication device that has a communication channel between the provides one or more sensors and the output control device.
  • the communication device can, for example, comprise a network, wherein the network can have several interconnected sections which have physical and / or logical properties defined according to different standards, for example CAN, Ethernet, FlexRay, etc.
  • the one or more sensors, the output control device and the output module of the vehicle system are set up to carry out one or more steps of the method described above.
  • the vehicle system is thus set up to use the one or more sensors to detect a physical or logical variable that represents a state that is relevant for the safe operation of a vehicle.
  • the physical or logical variable can relate, for example, to an environmental condition or a state of a vehicle component.
  • the detected physical or logical variable is converted into a corresponding sensor signal by the respective sensor or a control device to which the respective sensor is connected, with one of the sensor, the sensor type and / or the physical or provided a signature assigned to a logical variable, and the signed sensor signal is transmitted to a first control device interface of an output control device via a communication channel connected to a sensor interface of the sensor.
  • the communication channel can comprise a network that transports data over interconnected sections of the network.
  • the individual sections of the network can be implemented according to one or different standards.
  • the output control device receives the signed sensor signal at the first control device interface and, based on the received sensor signal and the signature, generates a representation of a meaning content of the sensor signal that can be output by an output module.
  • the representation that can be output is transmitted together with the received signature via a second control device interface of the output control device to an interface of the output module.
  • the output module receives the outputtable representation and the signature at its interface and compares the received data with validation information stored in a memory of the output module. If the comparison shows that the received displayable representation and the received signature match, the output module outputs the displayable representation. If the received representation that can be outputted and the received signature do not match, the output module outputs a perceptible error response.
  • a sensor of the vehicle system comprises one or more sensor arrangements which are set up to detect physical or logical variables which represent states that are relevant for the safe operation of the vehicle.
  • the sensor also includes a sensor control device which is set up to generate a sensor signal as a function of the detected physical or logical variable and which is also set up to output the sensor signal with a signature assigned to the sensor, the sensor type and / or the physical or logical variable to provide.
  • the sensor arrangement and the sensor control device can be arranged spatially at a distance from one another, and the sensor control device can be connected to a plurality of sensor arrangements for detecting the same or different physical or logical variables be.
  • the sensor or the sensor control device also has a sensor interface which is set up to transmit the signed sensor signal to an output control device via a communication channel.
  • An output control device of the vehicle system comprises a first control device interface, which is set up to receive signed sensor signals via a communication network, and a second control device interface, which is connected to an output device.
  • the output control device is set up to generate, based on received signed sensor signals and the signature, a representation of a meaningful content of the sensor signal that can be output by the output module, and to transmit the representation together with the received signature to the output module via the second control device interface.
  • the expression “representation of a meaningful content” stands for a representation that conveys a meaning of the physical or logical variable in an associated context to a human recipient.
  • a logical variable can, for example, be a flag that signals a faulty function of a vehicle component, for example a failure of the ABS.
  • the corresponding sensor signal can, for example, be an error code with which a normal vehicle driver can do little.
  • the representation of the meaning content can, for example, be a symbol that shows a simplified symbol of a braking device, possibly with the letters ABS, so that the vehicle driver can immediately recognize that a system that is important for the safe operation of the vehicle is not working or is working incorrectly.
  • a physical variable for example a temperature
  • a measured value recorded by a sensor arrangement for example a measuring probe, is converted into a data value of a sensor signal that does not necessarily give a human receiver an immediate idea of the temperature.
  • the representation of the data value can include, for example, an output of the temperature in degrees Celsius or degrees Fahrenheit, which as a rule gives a human receiver an impression of the temperature.
  • a snowflake symbol can also be displayed, which is widely accepted as a warning symbol, for example at low outside temperatures or low engine temperatures.
  • Graphically displayable representations of the The meaning of sensor signals can include, for example, monochrome or color bitmaps or other graphic formats.
  • An output module of the vehicle system comprises one or more interfaces which are set up to receive a representation that can be output by the output module and a signature associated with the output that can be output.
  • the representation that can be output and the signature can be received via the same interface or via interfaces that are independent of one another; it is particularly important that a signature and a representation that can be outputted belong to one another in a recognizable manner for the output module.
  • the output module also includes a memory that stores reference information on signatures of representations that can be output, and a comparison device that is configured to calculate validation information on the basis of the representation that can be output and to compare it with reference information stored for the received signature.
  • the output module is also set up to output the representation that can be output or a perceptible error reaction as a function of the result of the comparison.
  • the output module also includes an arrangement that noticeably conveys the outputtable representation and the error reaction to a human receiver, for example a monochrome or color display or a loudspeaker for outputting acoustic representations of states relevant to the operation of a vehicle.
  • the present invention separates the functional path of the output of a representation of a state relevant for safe operation of a vehicle by an output module of the vehicle into the phases of detecting the state, transmitting the state to a display control device and outputting the representation.
  • a verification of the representation to be output can take place, so that the sensor and the output device ASIL Requirements must be met while this is for other components not necessarily the case.
  • errors in the processing chain can be detected down to the last link, and correspondingly perceptible error reactions can be triggered at the end of the signal chain.
  • the method and the system can be used particularly advantageously in vehicle networks in which networks are divided into zones with their own zone servers.
  • the safeguarding of the correct output of safety-relevant content guaranteed by the signature of the sensor signal makes it possible to develop components located between the sensor and the output module according to the usual QM standard without an ASIL requirement having to be met; only the sensors and the output device must meet the ASIL requirements. Since these include less complex flardware and software, the development of the sensors and output devices according to the relevant safety standards is simpler and cheaper.
  • FIG. 1 shows an exemplary flow diagram of the method according to the invention
  • FIG. 2 shows a schematic representation of a vehicle system set up to carry out the method according to the invention
  • FIG. 3 shows a further schematic representation of the vehicle system set up to carry out the method according to the invention
  • FIG. 4 shows examples of representations that can be outputted of states relevant for the safe operation of a vehicle
  • FIG. 1 shows an exemplary flow chart of the method 100 according to the invention.
  • a sensor signal is signed with a signature assigned to the sensor, the sensor type and / or the signal, and in step 104 it is sent to an output control device connected to an output module.
  • the output control device receives the signed sensor signal, step 106, and in step 108 generates a representation of the meaning content of the received sensor signal which can be output by the output module and which is sent to the output module together with the signature in step 110.
  • the output module receives the outputtable representation in step 112 and checks in step 114 whether the outputtable representation matches the signature.
  • the check can include calculating validation information from the received outputtable representation, step 114a, and comparing the calculated validation information with reference information stored in a memory of the output module, step 114b. If the comparison shows that the signature matches the received output representation, "j" branch of step 114, the output module outputs it, step 116.
  • the output can include the reading out of output parameters, step 116, which specify, for example, at which point on a display an outputtable representation is to be shown. If the comparison shows that the signature does not match the received output representation, "n" branch of step 114, the output module generates a perceptible error reaction, which can consist, for example, in a predetermined message being shown on a display, or that the display is switched off.
  • FIG. 2 shows a schematic representation of an exemplary vehicle system 200 set up to carry out the method according to the invention.
  • Vehicle system 200 comprises a sensor control device 202 that outputs a sensor signal that corresponds to a physical or logical variable that represents a state relevant for the safe operation of a vehicle.
  • Sensor control device 202 also includes one or more sensor arrangements 204 that detect physical or logical variables and feed them to sensor control device 202.
  • Sensor control device 202 is set up to To sign sensor signals with a signature assigned to the sensor control device 202, the sensor type and / or the signal or the signal type before the output.
  • Sensor control unit 202 sends the signed sensor signal via a first section 206 of a communication channel to an optional zone server 208.
  • Zone server 208 is connected to several control units of a zone of the vehicle and forwards the signals together with their signatures via a second section 210 of the communication channel to an output control unit 212 .
  • output control device 212 From the received sensor signal and the signature, output control device 212 generates a representation of the meaning content of the received sensor signal that can be output by an output module 216 connected to output control device 212 via a third section 214 of the communication channel, and sends it to output module 216
  • sensor control device 202 and output module 216 as well as comparison or test device 218 have to meet ASIL requirements, indicated by the hatched background, because only these components of the system can actively influence the output of a content or signal corresponding to a safety-relevant state.
  • the comparison or test device can be formed by a corresponding computer program which is executed in the output module and can comprise hardware components or parts thereof.
  • One or more zone servers 208, which form part of the communication channel, as well as the output control device 212, can change the content of transmitted messages, but this change would be detected at the latest during the check in the output module 216 and trigger an error reaction. Therefore, the zone servers 208 and the output controller 212 do not have to meet the strict ASIL requirements; it is sufficient here to meet the established QM requirements.
  • FIG. 3 shows a further schematic illustration of the vehicle system 200 set up to carry out the method according to the invention.
  • the illustration essentially corresponds to that from FIG. 2.
  • exemplary different sections 206, 210, 214 of the communication channel are shown.
  • the first section 206 can, for example, a connection according to the CAN bus standard include, via which sensor control device 202 is connected to zone server 208.
  • the sensor control device 202 can be combined in one component with the actual sensor arrangement 204, which records the physical or logical variable, or can be connected to a plurality of spatially separate sensor arrangements 204.
  • the second section 210 can, for example, comprise an Ethernet connection between the zone server 208 and the output control device 212.
  • the third section can, for example, comprise an LVDS display interface. What all three parts have in common is that, in addition to the sensor signal or the sensor data in the “Data” field, the signature associated with the sensor signal is transmitted in accordance with the respective protocol.
  • the “Data” field in addition to the sensor signal or the sensor data, time stamps, status information of the sensor and other information can be transmitted, which are converted into an output in the output control device.
  • an “alive counter” can be provided, which can be used to monitor that no messages sent by the sensor control device are lost during transmission. This can be done, for example, in that the output module stores the count value of the last message sent by a control device and compares it with the count value of the next message sent by this control device.
  • a count value is skipped, ie the message has a count value that is two or more higher, a corresponding error response can be output.
  • the embedding of the signature in different protocols of transmission links can take place without changing the protocols, for example in the payload sections or unused data fields. Because of the end-to-end control, it is not necessary to secure the interfaces used for transport.
  • FIG. 4 has already been described with reference to the prior art and will therefore not be discussed again at this point.
  • FIG. 5 shows examples of representations that can be output with signatures contained therein.
  • a barcode-like alternation of black and white pixels, which contains the signature is contained in an upper line of a bitmap image which represents the representation that can be output on a display contains.
  • the output module can either ignore this line and calculate validation information from the remaining lines, which is compared with the reference information for the signature stored in the output module, or the reference information can already take into account the signature contained in the representation.
  • the top line can be omitted accordingly.
  • FIG. 5 b) also contains a barcode-like change of image points that contains the signature, contained in the upper line of a bitmap image that represents the representation that can be output on a display.
  • the change is imperceptible to a human observer because the pixels of the per se black edge of the bitmap image change between black and a dark gray that is only one level lighter. In the figure, this is indicated by medium gray pixels for reasons of displayability. In this embodiment it is not necessary to omit the top line when outputting to a display. Instead of black and dark gray pixels, other color or brightness combinations can of course be used, depending on the image background on which the symbol is displayed.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

The invention relates to a method (100) for outputting, by means of an output module (216) of the vehicle, a representation of a condition relevant to the safe operation of a vehicle, the method comprising signing (102), by means of a signature assigned to the sensor (202, 204), the sensor type and/or the signal or the type of signal, a sensor signal which corresponds to a physical or logical variable that represents a condition relevant to the safe operation of a vehicle. The signed sensor signal is transmitted via a communication channel (206, 208, 210) to an output control device (212) that is connected to the output module (216) and configured to control said module. The output control device (212) generates a representation of the meaningful content of the received sensor signal, which representation can be output by the output module (216), and transmits, to the output module (216), the outputtable representation and the signature received by the sensor signal. The output module (216) checks whether the outputtable representation matches the signature and outputs the outputtable representation if the outputtable representation and the signature match. Otherwise, the output module (216) generates a perceivable error response.

Description

Beschreibung description
Verfahren und Vorrichtung zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände durch ein Ausgabemodul Method and device for outputting representations of states relevant to the safe operation of a vehicle by an output module
GEBIET DER TECHNIK TECHNICAL FIELD
Die Erfindung betrifft ein Verfahren zur Ausgabe von Repräsentationen für den sicheren Betrieb eines Fahrzeugs relevanter Zustände, ein Com puterprogramm produkt, ein entsprechendes System bzw. dessen Komponenten, und ein Fahrzeug mit einem erfindungsgemäßen System. The invention relates to a method for outputting representations relevant to the safe operation of a vehicle, a Com puterprogramm product, a corresponding system or its components, and a vehicle with a system according to the invention.
STAND DER TECHNIK STATE OF THE ART
Moderne Fahrzeuge sind mit einer Vielzahl von Sensoren und Unterstützungssystemen ausgestattet, die dem sicheren, zulassungskonformen und/oder komfortablen Betrieb der Fahrzeuge dienen. Wie bei allen technischen Systemen kann eine fehlerfreie Funktionsfähigkeit der Systeme oder ihrer Komponenten trotz aller Anstrengungen und Vorkehrungen beim Design der Systeme bzw. Komponenten und zur Qualitätssicherung bei der Herstellung und System Integration nicht zu einhundert Prozent garantiert werden. Bestimmte, insbesondere sicherheitsrelevante Systeme oder Komponenten können zur Erhöhung der Betriebsbereitschaft des Fahrzeugs redundant ausgelegt sein, allerdings ist dies aus Kostengründen häufig nicht möglich. Modern vehicles are equipped with a large number of sensors and support systems that are used for safe, approval-compliant and / or comfortable operation of the vehicles. As with all technical systems, fault-free functionality of the systems or their components cannot be guaranteed one hundred percent despite all efforts and precautions in the design of the systems or components and for quality assurance in production and system integration. Certain, in particular safety-relevant systems or components can be designed redundantly to increase the operational readiness of the vehicle, but this is often not possible for reasons of cost.
Das Dokument DE 102012024818 A1 offenbart ein Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelsystems, insbesondere in der Automobilelektronik. The document DE 102012024818 A1 discloses a method for improving the functional safety and increasing the availability of an electronic control system, in particular in automotive electronics.
In dem Dokument DE 102014220373 A1 ist ein Verfahren zur Darstellung von Informationen in einem Kraftfahrzeug offenbart, wobei für digitale Displays die Integritäts- und Sicherheitsanforderungen an die korrekte und bedarfsgerechte Anzeige der Fahrerwarnung gewährleistet ist. In dem Dokument US 2019/0018408 A1 ein System zum Verifizieren der Integrität eines Sensorsystems in einem Kraftfahrzeug gezeigt. The document DE 102014220373 A1 discloses a method for displaying information in a motor vehicle, the integrity and safety requirements for the correct and needs-based display of the driver warning being guaranteed for digital displays. The document US 2019/0018408 A1 shows a system for verifying the integrity of a sensor system in a motor vehicle.
In dem Dokument DE 102015211 451 A1 ist ein Verfahren zu einem Manipulationsschutz von über ein Bussystem zwischen Systemkomponenten zu übertragenden Nutzdatenpaketen, insbesondere für Kraftfahrzeuge, offenbart. The document DE 102015211 451 A1 discloses a method for protecting against manipulation of user data packets to be transmitted between system components via a bus system, in particular for motor vehicles.
In dem Dokument DE 10 2015 209448 A1 ist ein Verfahren zur Anzeige sicherheitsrelevanter Anzeigeelemente in einem Kraftfahrzeug gezeigt. The document DE 10 2015 209448 A1 shows a method for displaying safety-relevant display elements in a motor vehicle.
In dem Dokument DE 10 2016 212 196 A1 ist ein Verfahren zum Auswerten von Sensordaten offenbart, in dem Sensordaten signiert werden. The document DE 10 2016 212 196 A1 discloses a method for evaluating sensor data in which sensor data are signed.
In der Regel sind moderne Fahrzeuge so ausgelegt, dass sie auch bei Ausfall vieler Systeme oder System komponenten noch eine eingeschränkte Funktion bieten. Sobald ein solcher Betriebsmodus oder -zustand vorliegt muss ein Fahrzeugführer dies erkennen können und das Fahrzeug entsprechend führen. Zur Information des Fahrzeugführers über Betriebszustände oder -modi und die ordnungsgemäße oder eingeschränkte Funktion bzw. den Ausfall von Systemen des Fahrzeugs sind in modernen Fahrzeugen eine Vielzahl von Ausgabegeräten im Wahrnehmungsbereich des Fahrzeugführers angeordnet. As a rule, modern vehicles are designed in such a way that they still offer limited functionality even if many systems or system components fail. As soon as such an operating mode or state is present, a vehicle driver must be able to recognize this and guide the vehicle accordingly. To inform the vehicle driver about operating states or modes and the correct or restricted function or failure of systems of the vehicle, a large number of output devices are arranged in the vehicle driver's perception area in modern vehicles.
Diese Ausgabegeräte umfassen unter anderem Displays, auf denen eine Vielzahl von Informationen zeitgleich dargestellt werden kann. Die Displays können dazu eingerichtet sein, in einigen Bereichen bei normaler Funktion der Fahrzeugsysteme bestimmte Inhalte darzustellen, deren jederzeitige Wahrnehmbarkeit von untergeordneter Bedeutung für das sichere Führen des Fahrzeugs ist. Andere Bereiche des Displays können für die Darstellung von Inhalten reserviert sein, deren jederzeitige Wahrnehmbarkeit für das sichere Führen von Fahrzeugen gewährleistet sein muss. Dabei müssen die Inhalte nicht ständig sichtbar sein, es ist auch möglich, dass die Inhalte abhängig von einer Betriebsart des Fahrzeugs selektiv dargestellt oder nicht dargestellt werden. Aus ergonomischen Gründen ist es von Vorteil, bestimmte Inhalte stets an derselben Stelle des Displays in derselben Art und Weise darzustellen. Bei selektiv dargestellten Inhalten kann diese Stelle abhängig von der Betriebsart oder dem Betriebszustand auch leer sein. These output devices include displays on which a large amount of information can be displayed at the same time. The displays can be set up to show certain content in some areas when the vehicle systems are functioning normally, the perceptibility of which is of subordinate importance for the safe driving of the vehicle at all times. Other areas of the display can be reserved for the presentation of content, the perceptibility of which must be guaranteed at all times for safe driving of vehicles. The content does not have to be permanently visible, it is also possible that the content is selectively displayed or not displayed depending on an operating mode of the vehicle. For ergonomic reasons, it is advantageous to always have certain content in the same place on the display in the same way. In the case of selectively displayed content, this position can also be empty, depending on the operating mode or the operating status.
Figur 4 zeigt einige exemplarische Beispiele für auf einem Display ausgebbare Repräsentationen, die einen Fahrzeugführer über für den sicheren Betrieb des Fahrzeugs relevante Zustände informieren. Von oben links ausgehend sind zeilenweise Symbole dargestellt, die die Funktion bzw. Fehlfunktion einer Lenkunterstützungseinrichtung, des Antiblockiersystems, der Bremseinrichtung, der Airbags, der Motorsteuerung und eines elektronischen Fahrstabilitätsprogramms darstellen. In der letzten Zeile ist ein Symbol für den Motoröldruck dargestellt, der ebenfalls einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand betrifft. FIG. 4 shows some exemplary examples of representations which can be output on a display and which inform a vehicle driver about conditions relevant for the safe operation of the vehicle. Starting from the top left, symbols are shown line-by-line that represent the function or malfunction of a steering support device, the anti-lock braking system, the braking device, the airbags, the engine control and an electronic driving stability program. The last line shows a symbol for the engine oil pressure, which also relates to a condition relevant to the safe operation of a vehicle.
Wegen der Notwendigkeit, den Fahrzeugführer jederzeit über bestimmte Betriebs und Systemzustände informieren zu müssen werden an die für diese Information notwendigen Systemkomponenten besondere Anforderungen gestellt, die beim Design der Systeme und Komponenten eingehalten werden müssen. Because of the necessity of having to inform the vehicle driver about certain operating and system states at all times, special requirements are placed on the system components necessary for this information, which must be complied with when designing the systems and components.
Im Automotive-Umfeld sind Anforderungen bezüglich der funktionalen Sicherheit von Straßenfahrzeugen bspw. in der ISO 26262 standardisiert und in Sicherheitsstufen eingeteilt, die auch als ASIL bezeichnet werden. ASIL steht für „Automotive Safety Integrity Level” und weist vier Stufen, A, B, C und D, auf. Die Stufe A steht dabei für die niedrigste Gefährdungsstufe und D für die höchste Gefährdungsstufe. Der Standard definiert funktionale Sicherheit als „die Abwesenheit eines unverhältnismäßigen Risikos aufgrund von Gefahren, die durch ein fehlerhaftes Verhalten der elektrischen oder elektronischen Systeme verursacht werden.“ Die ASIL-Stufen legen Sicherheitsanforderungen für Fahrzeugkomponenten und -Systeme basierend auf der Wahrscheinlichkeit und der Hinnehmbarkeit von Schäden fest. In the automotive environment, requirements relating to the functional safety of road vehicles are standardized, for example in ISO 26262, and divided into safety levels, which are also referred to as ASIL. ASIL stands for “Automotive Safety Integrity Level” and has four levels, A, B, C and D. Level A stands for the lowest risk level and D for the highest risk level. The standard defines functional safety as "the absence of disproportionate risk due to hazards caused by incorrect behavior of electrical or electronic systems." The ASIL levels set safety requirements for vehicle components and systems based on the likelihood and acceptability of damage firmly.
Systeme wie bspw. Airbags, Antiblockiersysteme und Lenkunterstützungssysteme müssen dabei Sicherheitsanforderungen des ASIL D entsprechen, weil das Risiko des Eintritts eines Schadensfalls bei deren Ausfall am größten ist. Komponenten wie Rücklichter müssen dagegen nur den Anforderungen des ASIL A entsprechen. Bremsleuchten und Frontscheinwerfer müssen bspw. ASIL B Anforderungen entsprechen, und ein Geschwindigkeitsregelsystem den ASIL C Anforderungen. Systems such as airbags, anti-lock braking systems and steering assistance systems must meet the safety requirements of ASIL D because the risk of damage occurring is greatest if they fail. Components like taillights, however, only have to meet the requirements of ASIL A. Brake lights and headlights, for example, must meet ASIL B requirements, and a speed control system must meet ASIL C requirements.
Die zuvor genannten Ausgabegeräte, die einen Fahrzeugführer über Betriebszustände und -modi sowie die ordnungsgemäße Funktion bzw. den Ausfall von sicherheitsrelevanten Systemen bzw. Komponenten des von ihm geführten Fahrzeugs informieren können demnach ebenfalls den ASIL-Anforderungen unterliegen, sobald über sie sicherheitsrelevante Informationen ausgegeben werden. The aforementioned output devices, which inform a vehicle driver about operating states and modes as well as the proper function or failure of safety-relevant systems or components of the vehicle he is driving, can therefore also be subject to the ASIL requirements as soon as safety-relevant information is output about them.
Die für in Fahrzeugen die Information von Fahrzeugführern genutzten Systeme umfassen einen oder mehrere Sensoren, die für die Bestimmung des Betriebszustands erforderliche physikalische Messgrößen und/oder logische Zustände erfassen, ein oder mehrere Steuergeräte, welche die von dem einen oder den mehreren Sensoren gelieferten Messwerte auswerten und einen Betriebszustand oder -modus oder das ordnungsgemäße Funktionieren bzw. den Ausfall eines Systems oder einer Komponente des Fahrzeugs feststellen, einen Kommunikationskanal, bspw. ein Netzwerk, und das eigentliche Ausgabegerät. The systems used for information from vehicle drivers in vehicles include one or more sensors that detect physical measured variables and / or logical states required to determine the operating state, one or more control units that evaluate the measured values supplied by the one or more sensors and determine an operating state or mode or the proper functioning or failure of a system or a component of the vehicle, a communication channel, for example a network, and the actual output device.
Wie zuvor erwähnt kann das Ausgabegerät bspw. ein Display umfassen, das mit einem Steuergerät verbunden ist, welches die auf dem Display anzuzeigenden Informationen berechnet und über eine Grafikschnittstelle an das Display sendet. Die auf dem Display anzuzeigenden Informationen können allgemeine Inhalte umfassen, deren Anzeige nicht einer AS IL-Anforderung entsprechen muss, und sicherheitsrelevante Inhalte, deren Anzeige oder Ausgabe ASIL-Anforderungen entsprechen muss. Die korrekte Einblendung von sicherheitsrelevanten Inhalten über oder anstelle eines anderen Inhalts muss von dem Steuergerät gewährleistet sein. Für die Anzeige von für den sicheren Betrieb des Fahrzeugs relevanten Zuständen, oder allgemeiner für die Anzeige sicherheitsrelevanter Informationen, muss das Steuergerät daher ASIL-Anforderungen entsprechen, d.h. die Hardware und die Software des Steuergeräts müssen den in der ISO 26262 spezifizierten Sicherheitsanforderungen entsprechen, weil dem Fahrer zu keiner Zeit falsche Informationen über bestimmte sicherheitsrelevante Betriebszustände, Betriebsmodi oder das ordnungsgemäße Funktionieren von Systemen bzw. Komponenten des Fahrzeugs vermittelt werden dürfen. As mentioned above, the output device can, for example, comprise a display which is connected to a control device which calculates the information to be displayed on the display and sends it to the display via a graphic interface. The information to be displayed on the display can include general content, the display of which does not have to comply with an AS IL requirement, and safety-relevant content, the display or output of which must comply with ASIL requirements. The control device must ensure that safety-relevant content is displayed correctly over or instead of other content. For the display of states relevant for the safe operation of the vehicle, or more generally for the display of safety-relevant information, the control unit must therefore meet ASIL requirements, i.e. the hardware and software of the control unit must meet the safety requirements specified in ISO 26262 because the Driver at no time wrong Information about certain safety-relevant operating states, operating modes or the proper functioning of systems or components of the vehicle may be conveyed.
Die für die Ansteuerung von Ausgabegeräten in Fahrzeugen eingesetzten Steuergeräte müssen eine zunehmende Anzahl von Sensorsignalen verarbeiten und zur Ausgabe bringen. Weil die Leistungsfähigkeit der in den Steuergeräten grundsätzlich nutzbaren Prozessoren stetig zunimmt stellt das aus Sicht der Rechenkapazität augenscheinlich kein Problem dar. Allerdings werden die Leistungssteigerungen üblicherweise mit Prozessoren erzielt, welche nicht aus dem Automotive-Umfeld stammen und daher nicht AS IL-Anforderungen entsprechen, so dass die Verwendung solcher leistungsfähigeren Komponenten nicht ohne weiteres möglich ist. Eine Anpassung der leistungsfähigeren Komponenten an die AS IL-Anforderungen wird wegen der verglichen mit anderen Industrien kleinen Stückzahlen im Automotive-Umfeld von den Herstellern nicht vorgenommen, oder ist wirtschaftlich nicht darstellbar. Außerdem muss die von dem Steuergerät ausgeführte Software ebenfalls den AS IL-Anforderungen entsprechen, so dass der Aufwand für die Entwicklung auch hier erheblich steigt. The control devices used to control output devices in vehicles have to process and output an increasing number of sensor signals. Because the performance of the processors that can basically be used in the control units is constantly increasing, this does not appear to be a problem from the point of view of computing capacity. However, the performance increases are usually achieved with processors that do not come from the automotive environment and therefore do not meet AS IL requirements that the use of such more powerful components is not easily possible. An adaptation of the more powerful components to the AS IL requirements is not carried out by the manufacturers because of the small quantities compared to other industries in the automotive environment, or it is not economically feasible. In addition, the software executed by the control unit must also meet the AS IL requirements, so that the development effort increases considerably here as well.
Zudem sind nicht alle der zusätzlich hinzukommenden Sensorsignale gleichermaßen relevant für den sicheren Betrieb eines Fahrzeugs. Wie zuvor erläutert müssen sicherheitsrelevante Informationen einem Bediener des Fahrzeugs unter allen Umständen übermittelt werden können, während dies bei für den sicheren Betrieb des Fahrzeugs nicht notwendigen Informationen nicht unbedingt erforderlich ist. Bei einer Auslegung des Steuergeräts gemäß der AS IL-Anforderungen müsste für alle im Betrieb hypothetisch möglichen Signalzustände auch von Sensoren, die nicht sicherheitsrelevante Daten liefern, geprüft werden, ob die korrekte Anzeige von sicherheitsrelevanten Informationen zu jeder Zeit gewährleistet ist. In Anbetracht der großen Zahl von Informationen, die nicht sicherheitsrelevant sind und der vergleichsweise kleinen Zahl von sicherheitsrelevanten Informationen stellt diese Prüfung einen nicht vernachlässigbaren Kostenfaktor dar. Das Festhalten an den bestehenden Systemen, die ASIL konform designt sind, und das Vorsehen von zusätzlichen Systemen in dem Fahrzeug, die keiner besonderen Sicherheitsanforderung unterliegen, könnte als eine naheliegende Lösung angesehen werden, mit den hinzukommenden, auf Ausgabegeräten auszugebenden Informationen umzugehen. Dies wird aber häufig unter anderem an Gestaltungswünschen und auch an Kostenvorgaben scheitern. Außerdem wird auch bei bestehenden, ASIL-konformen Systemen zu irgendeinem Zeitpunkt die wirtschaftliche Verfügbarkeit von zertifizierten Komponenten nicht mehr gegeben sein, so dass die naheliegende Lösung zwar einen Zeitaufschub bringt, aber nicht von großer Dauer wäre. In addition, not all of the additional sensor signals are equally relevant for the safe operation of a vehicle. As explained above, it must be possible to transmit safety-relevant information to an operator of the vehicle under all circumstances, while this is not absolutely necessary in the case of information that is not necessary for the safe operation of the vehicle. If the control unit is designed in accordance with the AS IL requirements, it would have to be checked for all signal states that are hypothetically possible during operation, including sensors that do not deliver safety-relevant data, whether the correct display of safety-relevant information is guaranteed at all times. In view of the large amount of information that is not safety-relevant and the comparatively small amount of safety-relevant information, this check represents a non-negligible cost factor. Sticking to the existing systems that are designed to conform to ASIL, and the provision of additional systems in the vehicle that are not subject to any special safety requirements, could be seen as an obvious solution for dealing with the additional information to be output on output devices. However, this will often fail due to design requirements and cost targets, among other things. In addition, even with existing, ASIL-compliant systems, the economic availability of certified components will no longer be given at some point, so that the obvious solution would bring a delay, but would not last long.
ZUSAMMENFASSUNG DER ERFINDUNG SUMMARY OF THE INVENTION
Es ist daher eine Aufgabe der vorliegenden Erfindung ein alternatives Verfahren und ein dieses implementierendes System zur Ausgabe von sicherheitsrelevanten Inhalten bzw. Informationen an einen Fahrzeugführer durch ein Ausgabemodul eines Fahrzeugs anzugeben, welches eine größer Freiheit bei der Auswahl der System komponenten sowie eine einfachere Erweiterbarkeit vor allem bzgl. nicht-sicherheitsrelevanter Signalausgaben bietet, ohne dass jede neue oder geänderte Komponente zwingend den ASIL-Anforderungen entsprechen muss. It is therefore an object of the present invention to provide an alternative method and a system implementing this for outputting safety-relevant content or information to a vehicle driver through an output module of a vehicle, which offers greater freedom in the selection of system components and, above all, simpler expandability with regard to non-safety-relevant signal outputs, without each new or changed component necessarily having to comply with the ASIL requirements.
Diese Aufgabe wird durch das in Anspruch 1 angegebene Verfahren und das in Anspruch 5 angegebene System gelöst. Weiterentwicklungen und Ausgestaltungen sind in den jeweiligen abhängigen Ansprüchen angegeben. This object is achieved by the method specified in claim 1 and the system specified in claim 5. Further developments and refinements are given in the respective dependent claims.
Ein erfindungsgemäßes Verfahren zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands durch ein Ausgabemodul des Fahrzeugs umfasst das Signieren eines Sensorsignals, das einer physikalischen oder logischen Größe entspricht, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert, mit einer dem Sensor, dem Sensortyp und/oder dem Signal zugeordneten Signatur. A method according to the invention for outputting a representation of a state relevant for safe operation of a vehicle by an output module of the vehicle includes the signing of a sensor signal that corresponds to a physical or logical variable that represents a state relevant for safe operation of a vehicle with one of the Sensor, the sensor type and / or the signature assigned to the signal.
Der Begriff Ausgabe einer Repräsentation kann sich auf eine Vielzahl von möglichen Ausgabearten beziehen, wenngleich in der vorliegenden Beschreibung der Fokus auf einer visuellen Ausgabe auf einem Display liegt. Eine auf einem Display ausgegebene Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands kann bspw. ein Status- oder Warnsymbol bzw. -icon umfassen. Akustische Repräsentationen können bestimmte Signaltöne oder Signaltonfolgen umfassen. The term output of a representation can refer to a large number of possible output types, although the focus in the present description is on a visual output on a display. One on one The display output representation of a state relevant for safe operation of a vehicle can, for example, comprise a status or warning symbol or icon. Acoustic representations can include specific beeps or sequences of beeps.
Eine physikalische Größe, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert, kann bspw. durch einen Messwert eines Temperatursensors repräsentiert sein, der eine Maschinentemperatur oder eine Außentemperatur angibt, oder durch einen Messwert eines Pegelmessers, der einen Bremsflüssigkeits- oder Kühlwasserpegel angibt. Entsprechend kann eine logische Größe bspw. durch ein binäres Signal repräsentiert sein, welches die Funktion oder den Ausfall eines sicherheitsrelevanten Systems des Fahrzeugs angibt, bspw. eines Antiblockiersystems oder eines elektronischen F ahrstabi I itätssystem s. A physical variable that represents a condition relevant to the safe operation of a vehicle can be represented, for example, by a measured value from a temperature sensor that indicates a machine temperature or an outside temperature, or by a measured value from a level meter that indicates a brake fluid or cooling water level. Accordingly, a logic variable can be represented, for example, by a binary signal which indicates the function or failure of a safety-relevant system of the vehicle, for example an anti-lock braking system or an electronic driving stability system.
Der Begriff Sensorsignal wird hier für ein über einen Kommunikationskanal übertragbares Signal verwendet, das einen Messwert der physikalischen oder logischen Größe transportiert. Das Sensorsignal kann direkt von einem mit einer entsprechenden Schnittstelle für den Kommunikationskanal ausgestatteten Sensor übertragen werden, oder von einem mit einer entsprechenden Schnittstelle ausgestatteten Sensorsteuergerät, welchem Messwerte mehrerer Messaufnehmer zugeführt sind. The term sensor signal is used here for a signal that can be transmitted via a communication channel and that transports a measured value of the physical or logical variable. The sensor signal can be transmitted directly from a sensor equipped with a corresponding interface for the communication channel, or from a sensor control device equipped with a corresponding interface, to which measured values from a plurality of measuring sensors are fed.
Das Verfahren umfasst außerdem das Senden des signierten Sensorsignals an ein mit dem Ausgabemodul verbundenes und zu dessen Ansteuerung eingerichtetes ein Ausgabesteuergerät über einen Kommunikationskanal, und entsprechend das Empfangen des signierten Sensorsignals in dem Ausgabesteuergerät. The method also includes sending the signed sensor signal to an output control device connected to the output module and set up to control it via a communication channel, and accordingly receiving the signed sensor signal in the output control device.
Das Verfahren umfasst ferner das Erzeugen einer von dem Ausgabemodul ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals in dem Ausgabesteuergerät, das Senden der ausgebbaren Repräsentation und der mit dem Sensorsignal empfangenen Signatur von dem Ausgabesteuergerät an das Ausgabemodul und entsprechend das Empfangen der ausgebbaren Repräsentation und der Signatur in dem Ausgabemodul. Das Verfahren umfasst weiter das Prüfen, in dem Ausgabemodul, ob die ausgebbare Repräsentation zu der Signatur passt, und falls die ausgebbare Repräsentation und die Signatur zusammenpassen, das Ausgeben der ausgebbaren Repräsentation durch das Ausgabemodul, oder falls die ausgebbare Repräsentation und die Signatur nicht zusammenpassen, das Erzeugen einer wahrnehmbaren Fehlerreaktion. The method further comprises generating a representation, which can be output by the output module, of the meaning content of the received sensor signal in the output control device, sending the output representation and the signature received with the sensor signal from the output control device to the output module and, accordingly, receiving the output representation and the signature in the output module. The method further comprises checking, in the output module, whether the outputtable representation matches the signature, and if the outputtable representation and the signature match, outputting the outputtable representation by the output module, or if the representation that can be output and the signature do not match, the generation of a perceptible error reaction.
Die wahrnehmbare Fehlerreaktion kann bspw. eine Ausgabe einer von dem Fahrzeugführer wahrnehmbaren Information sein, die auf eine Fehlfunktion des Sensors oder einer an der Übertragung des Sensorsignals beteiligten System kom ponente hinweist. Eine wahrnehmbare Fehlfunktion kann auch das erkennbare Abschalten des Ausgabemoduls umfassen. The perceptible error reaction can, for example, be an output of information perceptible by the vehicle driver, which indicates a malfunction of the sensor or of a system component involved in the transmission of the sensor signal. A perceptible malfunction can also include the recognizable shutdown of the output module.
Der Schritt des Prüfens, ob die ausgebbare Repräsentation zu der Signatur passt, kann bei einer oder mehreren Ausgestaltungen das Berechnen einer eindeutigen Validierungsinformation aus der empfangenen ausgebbaren Repräsentation umfassen. Das berechnen der Validierungsinformation kann bspw. das Bilden einer Prüfsumme oder eines Streuwerts über Bilddaten eines empfangenen ausgebbaren Displayinhalts umfassen. Die berechnete Validierungsinformation kann dann mit einer zu der empfangenen Signatur in einem Speicher des Ausgabemoduls abgelegten Referenzinformation verglichen werden. The step of checking whether the outputtable representation matches the signature can include, in one or more embodiments, the calculation of unambiguous validation information from the received outputtable representation. The calculation of the validation information can include, for example, the formation of a checksum or a scatter value using image data of a received display content that can be output. The calculated validation information can then be compared with reference information stored for the received signature in a memory of the output module.
Bei einer oder mehreren Ausgestaltungen ist in dem Speicher des Ausgabemoduls zu einer Signatur eine von dem Ausgabemodul ausgebbare Repräsentation gespeichert, bspw. ein Bild oder Icon. Außerdem können Ausgabeparameter der Repräsentation gespeichert sein, bspw. eine Position auf einem Display, an der die Repräsentation auszugeben ist, eine Dauer der Ausgabe der Repräsentation, eine intermittierende Ausgabe oder dergleichen. Das Ausgabemodul kann die empfangene ausgebbare Repräsentation oder eine in dem Speicher gespeicherte Repräsentation ausgeben, letzteres bspw. um unabhängig von einer in dem Ausgabesteuergerät erzeugten Repräsentation ein festgelegtes graphische Erscheinungsbild zu erhalten. In jedem Fall legen die Ausgabeparameter fest, dass die ausgebbare Repräsentation stets über jeglichem anderen ausgegebenen Inhalt ausgegeben wird. In one or more configurations, a representation that can be output by the output module is stored in the memory of the output module for a signature, for example an image or icon. In addition, output parameters of the representation can be stored, for example a position on a display at which the representation is to be output, a duration of the output of the representation, an intermittent output or the like. The output module can output the received representation that can be output or a representation stored in the memory, the latter for example in order to obtain a defined graphic appearance independently of a representation generated in the output control device. In any case, the output parameters stipulate that the representation that can be output is always output over any other output content.
Wenn die ausgebbare Repräsentation ein Bild oder ein Icon ist, kann die Prüfung der Übereinstimmung von empfangener Repräsentation und gespeicherter Referenzinformation auch eine bildpunktweise Subtraktion der empfangenen und gespeicherten Bildinhalte voneinander umfassen. Bei völlig identischen Repräsentationen muss die von den Repräsentationen genutzte Fläche leer sein, bspw. die Helligkeits- oder Farbwerte jedes Bildpunkts 0 sein. If the representation that can be output is an image or an icon, the matching of the received representation and the stored Reference information also include a subtraction of the received and stored image contents from one another in a pixel-by-pixel manner. In the case of completely identical representations, the area used by the representations must be empty, for example the brightness or color values of each pixel must be 0.
Bei dem erfindungsgemäßen Verfahren kann die Signatur des Sensorsignals in einem Datenstrom mittransportiert werden, der auch das Sensorsignal überträgt. Die Signatur kann aber auch über eine separate Datenverbindung übertragen werden, wobei eine Zuordnung von Signatur und Sensorsignal bspw. über Zeitstempel oder Tags erfolgt. Sofern ein Sensorsignal in einem Steuergerät verarbeitet wird, wird die empfangene Signatur von dem Steuergerät dem Ergebnis der Verarbeitung wieder hinzugefügt bzw. mit diesem zusammen weitergesendet. Von dem Ausgabesteuergerät kann die Signatur an das Anzeigemodul über eine separate Schnittstelle übertragen werden, oder in einem Datenstrom, der den auszugebenden Inhalt überträgt, bspw. in einem Bilddatenstrom. Bei einer Übertragung in einem Bilddatenstrom kann die Signatur bspw. in zur Synchronisation vorgesehenen Datenfeldern übertragen werden, oder in auf einem Display nicht dargestellten Bildbereichen, bspw. in einem Overscan-Bereich eines Bildinhalts. Es ist ebenfalls möglich, die Signatur in der ausgebbaren Repräsentation zu übertragen, bspw. in einer am äußeren Rand einer Bitmap-Darstellung eines auszugebenden graphischen Symbols liegenden Zeile oder Spalte, die bei der Ausgabe weggelassen wird. Eine andere Möglichkeit ist, die Signatur durch für Menschen nicht wahrnehmbare Änderungen in Farben oder Helligkeiten einzelner Pixel eines auszugebenden graphischen Symbols zu übertragen. Sofern die Signatur nicht in gleicher Weise in der im Ausgabemodul gespeicherten Referenzinformation enthalten ist können die die Signatur enthaltenen Zeilen oder Spalten bei der Berechnung der Validierungsinformation ignoriert werden, oder es kann ein Verfahren genutzt werden, das geringfügige Abweichungen zwischen der berechneten Validierungsinformation und Referenzinformation toleriert. In the method according to the invention, the signature of the sensor signal can also be transported in a data stream which also transmits the sensor signal. The signature can, however, also be transmitted via a separate data connection, with the signature and sensor signal being assigned, for example, via time stamps or tags. If a sensor signal is processed in a control device, the received signature is added to the result of the processing by the control device or is sent on together with it. The signature can be transmitted from the output control device to the display module via a separate interface, or in a data stream that transmits the content to be output, for example in an image data stream. When transmitted in an image data stream, the signature can be transmitted, for example, in data fields provided for synchronization, or in image areas not shown on a display, for example in an overscan area of an image content. It is also possible to transmit the signature in the representation that can be output, for example in a row or column located on the outer edge of a bitmap representation of a graphic symbol to be output, which is omitted in the output. Another possibility is to transfer the signature through changes in the colors or brightness of individual pixels of a graphic symbol to be output that are imperceptible to humans. If the signature is not contained in the same way in the reference information stored in the output module, the rows or columns containing the signature can be ignored when calculating the validation information, or a method can be used that tolerates slight deviations between the calculated validation information and reference information.
Ein erfindungsgemäßes Computerprogrammprodukt enthält entsprechend Befehle, die bei der Ausführung durch einen Computer diesen dazu veranlassen, eine oder mehrere Ausgestaltungen und Weiterentwicklungen des vorstehend beschriebenen Verfahrens ausführen. A computer program product according to the invention accordingly contains commands which, when executed by a computer, cause the computer to generate an or carry out several refinements and further developments of the method described above.
Das Computerprogrammprodukt kann auf einem computerlesbaren Datenträger gespeichert sein. Der Datenträger kann physisch verkörpert sein, bspw. als Festplatte, CD, DVD, Flash-Speicher oder dergleichen, der Datenträger kann aber auch ein moduliertes elektrisches, elektromagnetisches oder optisches Signal umfassen, das von einem Computer mittels eines entsprechenden Empfängers empfangen und in dem Speicher des Computers gespeichert werden kann. The computer program product can be stored on a computer-readable data carrier. The data carrier can be embodied physically, for example as a hard drive, CD, DVD, flash memory or the like, but the data carrier can also comprise a modulated electrical, electromagnetic or optical signal that is received by a computer by means of a corresponding receiver and stored in the memory of the computer can be saved.
Ein erfindungsgemäßes Fahrzeugsystem, das zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands eingerichtet ist, umfasst ein Ausgabemodul, einen oder mehrere Sensoren, ein mit dem Ausgabemodul verbundenes und zu dessen Ansteuerung eingerichtetes Ausgabesteuergerät und eine Kommunikationsvorrichtung, die einen Kommunikationskanal zwischen dem einen oder den mehreren Sensoren und dem Ausgabesteuergerät bereitstellt. Die Kommunikationsvorrichtung kann bspw. ein Netzwerk umfassen, wobei das Netzwerk mehrere miteinander verbundene Abschnitte aufweisen kann, die nach unterschiedlichen Standards festgelegte physische und/oder logische Eigenschaften aufweisen, bspw. CAN, Ethernet, FlexRay, etc. A vehicle system according to the invention, which is set up to output a representation of a state relevant to the safe operation of a vehicle, comprises an output module, one or more sensors, an output control device connected to the output module and set up to control it, and a communication device that has a communication channel between the provides one or more sensors and the output control device. The communication device can, for example, comprise a network, wherein the network can have several interconnected sections which have physical and / or logical properties defined according to different standards, for example CAN, Ethernet, FlexRay, etc.
Der eine oder die mehreren Sensoren, das Ausgabesteuergerät und das Ausgabemodul des Fahrzeugsystems sind dazu eingerichtet, einen oder mehrere Schritte des vorstehend beschriebenen Verfahrens auszuführen. The one or more sensors, the output control device and the output module of the vehicle system are set up to carry out one or more steps of the method described above.
Im Betrieb ist das Fahrzeugsystem also dazu eingerichtet, mittels des einen oder der mehreren Sensoren eine physikalische oder logische Größe zu erfassen, die einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert. Die physikalische oder logische Größe kann bspw. eine Umweltbedingung oder einen Zustand einer Fahrzeugkomponente betreffen. Die erfasste physikalische oder logische Größe wird von dem jeweiligen Sensor oder einem Steuergerät, mit dem der jeweilige Sensor verbunden ist, in ein entsprechendes Sensorsignal umgesetzt, mit einer dem Sensor, dem Sensortyp und/oder der physikalischen oder logischen Größe zugeordneten Signatur versehen, und das signierte Sensorsignal wird über einen mit einer Sensorschnittstelle des Sensors verbundenen Kommunikationskanal an eine erste Steuergeräteschnittstelle eines Ausgabesteuergeräts übertragen. Der Kommunikationskanal kann ein Netzwerk umfassen, welches Daten über miteinander verbundene Abschnitte des Netzwerks transportiert. Die einzelnen Abschnitte des Netzwerks können entsprechend eines oder unterschiedlicher Standards realisiert sein. Das Ausgabesteuergerät empfängt das signierte Sensorsignal an der ersten Steuergeräteschnittstelle und erzeugt, basierend auf dem empfangenen Sensorsignal und der Signatur, eine von einem Ausgabemodul ausgebbare Repräsentation eines Bedeutungsinhalts des Sensorsignals. Die ausgebbare Repräsentation wird zusammen mit der empfangenen Signatur über eine zweite Steuergeräteschnittstelle des Ausgabesteuergeräts an eine Schnittstelle des Ausgabemoduls übertragen. Das Ausgabemodul empfängt die ausgebbare Repräsentation und die Signatur an seiner Schnittstelle und gleicht die empfangenen Daten mit in einem Speicher des Ausgabemoduls gespeicherten Validierungsinformationen ab. Wenn der Vergleich ergibt, dass die empfangene ausgebbare Repräsentation und die empfangene Signatur zusammenpassen gibt das Ausgabemodul die ausgebbare Repräsentation aus. Wenn die empfangene ausgebbare Repräsentation und die empfangene Signatur nicht zusammenpassen gibt das Ausgabemodul eine wahrnehmbare Fehlerreaktion aus. During operation, the vehicle system is thus set up to use the one or more sensors to detect a physical or logical variable that represents a state that is relevant for the safe operation of a vehicle. The physical or logical variable can relate, for example, to an environmental condition or a state of a vehicle component. The detected physical or logical variable is converted into a corresponding sensor signal by the respective sensor or a control device to which the respective sensor is connected, with one of the sensor, the sensor type and / or the physical or provided a signature assigned to a logical variable, and the signed sensor signal is transmitted to a first control device interface of an output control device via a communication channel connected to a sensor interface of the sensor. The communication channel can comprise a network that transports data over interconnected sections of the network. The individual sections of the network can be implemented according to one or different standards. The output control device receives the signed sensor signal at the first control device interface and, based on the received sensor signal and the signature, generates a representation of a meaning content of the sensor signal that can be output by an output module. The representation that can be output is transmitted together with the received signature via a second control device interface of the output control device to an interface of the output module. The output module receives the outputtable representation and the signature at its interface and compares the received data with validation information stored in a memory of the output module. If the comparison shows that the received displayable representation and the received signature match, the output module outputs the displayable representation. If the received representation that can be outputted and the received signature do not match, the output module outputs a perceptible error response.
Ein Sensor des Fahrzeugsystems umfasst eine oder mehrere Sensoranordnungen, die zur Erfassung von physikalischen oder logischen Größen eingerichtet sind, welche für den sicheren Betrieb des Fahrzeugs relevante Zustände repräsentieren. Der Sensor umfasst außerdem ein Sensorsteuergerät, das zur Erzeugung eines Sensorsignals in Abhängigkeit von der erfassten physikalischen oder logischen Größe eingerichtet ist, und das außerdem dazu eingerichtet ist, das Sensorsignal mit einer dem Sensor, dem Sensortyp und/oder der physikalischen oder logischen Größe zugeordneten Signatur zu versehen. Die Sensoranordnung und das Sensorsteuergerät können räumlich voneinander beabstandet angeordnet sein, und das Sensorsteuergerät kann mit mehreren Sensoranordnungen zur Erfassung gleicher oder unterschiedlicher physikalischer oder logischer Größen verbunden sein. Der Sensor oder das Sensorsteuergerät weisen ferner eine Sensorschnittstelle auf, die zur Übertragung des signierten Sensorsignals über einen Kommunikationskanal an ein Ausgabesteuergerät eingerichtet ist. A sensor of the vehicle system comprises one or more sensor arrangements which are set up to detect physical or logical variables which represent states that are relevant for the safe operation of the vehicle. The sensor also includes a sensor control device which is set up to generate a sensor signal as a function of the detected physical or logical variable and which is also set up to output the sensor signal with a signature assigned to the sensor, the sensor type and / or the physical or logical variable to provide. The sensor arrangement and the sensor control device can be arranged spatially at a distance from one another, and the sensor control device can be connected to a plurality of sensor arrangements for detecting the same or different physical or logical variables be. The sensor or the sensor control device also has a sensor interface which is set up to transmit the signed sensor signal to an output control device via a communication channel.
Ein Ausgabesteuergerät des Fahrzeugsystems umfasst eine erste Steuergeräteschnittstelle, die zum Empfang von signierten Sensorsignalen über ein Kommunikationsnetzwerk eingerichtet ist, und eine zweite Steuergeräteschnittstelle, die mit einem Ausgabegerät verbunden ist. Das Ausgabesteuergerät ist dazu eingerichtet, basierend auf empfangenen signierten Sensorsignalen und der Signatur eine von dem Ausgabemodul ausgebbare Repräsentation eines Bedeutungsinhalts des Sensorsignals zu erzeugen, und die Repräsentation zusammen mit der empfangenen Signatur über die zweite Steuergeräteschnittstelle an das Ausgabemodul zu übertragen. Der Ausdruck „Repräsentation eines Bedeutungsinhalts“ steht hierbei für eine Repräsentation, die einem menschlichen Empfänger eine Bedeutung der physikalischen oder logischen Größe in einem zugehörigen Kontext vermittelt. Eine logische Größe kann bspw. ein Flag sein, das eine fehlerhafte Funktion einer Fahrzeugkomponente signalisiert, bspw. einen Ausfall des ABS. Das entsprechende Sensorsignal kann bspw. ein Fehlercode sein, mit dem ein normaler Fahrzeugführer wenig anfangen kann. Die Repräsentation des Bedeutungsinhalts kann bspw. ein Symbol sein, das ein vereinfachtes Symbol einer Bremseinrichtung zeigt, ggf. mit den Buchstaben ABS, so dass der Fahrzeugführer sofort erkennen kann, dass ein für den sicheren Betrieb des Fahrzeugs wichtiges System nicht oder fehlerhaft funktioniert. Im Falle einer physikalischen Größe, bspw. einer Temperatur, wird ein von einer Sensoranordnung, also bspw. einem Messfühler, erfasster Messwert in einen Datenwert eines Sensorsignals umgewandelt, der einem menschlichen Empfänger nicht unbedingt unmittelbar eine Vorstellung von der Temperatur vermittelt. Die Repräsentation des Datenwerts kann bspw. eine Ausgabe der Temperatur in Grad Celsius oder Grad Fahrenheit umfassen, die einem menschlichen Empfänger in der Regel einen Eindruck von der Temperatur vermittelt. Bei tiefen Temperaturen kann bspw. auch eine Anzeige eines Schneeflockensymbols erfolgen, das in weiten Kreisen als Warnsymbol bspw. bei tiefen Außentemperaturen oder niedriger Motortemperatur akzeptiert ist. Graphisch ausgebbare Repräsentationen des Bedeutungsinhalts von Sensorsignalen können z.B. monochrome oder farbige Bitmaps oder andere Grafikformate umfassen. An output control device of the vehicle system comprises a first control device interface, which is set up to receive signed sensor signals via a communication network, and a second control device interface, which is connected to an output device. The output control device is set up to generate, based on received signed sensor signals and the signature, a representation of a meaningful content of the sensor signal that can be output by the output module, and to transmit the representation together with the received signature to the output module via the second control device interface. The expression “representation of a meaningful content” stands for a representation that conveys a meaning of the physical or logical variable in an associated context to a human recipient. A logical variable can, for example, be a flag that signals a faulty function of a vehicle component, for example a failure of the ABS. The corresponding sensor signal can, for example, be an error code with which a normal vehicle driver can do little. The representation of the meaning content can, for example, be a symbol that shows a simplified symbol of a braking device, possibly with the letters ABS, so that the vehicle driver can immediately recognize that a system that is important for the safe operation of the vehicle is not working or is working incorrectly. In the case of a physical variable, for example a temperature, a measured value recorded by a sensor arrangement, for example a measuring probe, is converted into a data value of a sensor signal that does not necessarily give a human receiver an immediate idea of the temperature. The representation of the data value can include, for example, an output of the temperature in degrees Celsius or degrees Fahrenheit, which as a rule gives a human receiver an impression of the temperature. At low temperatures, for example, a snowflake symbol can also be displayed, which is widely accepted as a warning symbol, for example at low outside temperatures or low engine temperatures. Graphically displayable representations of the The meaning of sensor signals can include, for example, monochrome or color bitmaps or other graphic formats.
Ein Ausgabemodul des Fahrzeugsystems umfasst eine oder mehrere Schnittstellen, die zum Empfang einer von dem Ausgabemodul ausgebbaren Repräsentation und einer zu der ausgebbaren Repräsentation zugehörigen Signatur eingerichtet sind. Die ausgebbare Repräsentation und die Signatur können über dieselbe Schnittstelle oder über voneinander unabhängige Schnittstellen empfangen sein, es kommt vor allem darauf an, dass eine Signatur und eine ausgebbare Repräsentation für das Ausgabemodul erkennbar zueinander gehören. Das Ausgabemodul umfasst außerdem einen Speicher, der Referenzinformationen zu Signaturen von ausgebbaren Repräsentationen speichert, und eine Vergleichsvorrichtung, welche dazu eingerichtet ist, auf Basis der ausgebbaren Repräsentation Validierungsinformationen zu berechnen und mit zu der empfangenen Signatur gespeicherten Referenzinformationen zu vergleichen. Das Ausgabemodul ist außerdem dazu eingerichtet, abhängig von dem Ergebnis des Vergleichs die ausgebbare Repräsentation oder eine wahrnehmbare Fehlerreaktion auszugeben. Das Ausgabemodul umfasst außerdem eine Anordnung, die einem menschlichem Empfänger die ausgebbare Repräsentation und die Fehlerreaktion wahrnehmbar vermittelt, bspw. ein Monochrom- oder Farbdisplay, oder ein Lautsprecher zur Ausgabe von akustischen Repräsentationen von für den Betrieb eines Fahrzeugs relevanten Zuständen. An output module of the vehicle system comprises one or more interfaces which are set up to receive a representation that can be output by the output module and a signature associated with the output that can be output. The representation that can be output and the signature can be received via the same interface or via interfaces that are independent of one another; it is particularly important that a signature and a representation that can be outputted belong to one another in a recognizable manner for the output module. The output module also includes a memory that stores reference information on signatures of representations that can be output, and a comparison device that is configured to calculate validation information on the basis of the representation that can be output and to compare it with reference information stored for the received signature. The output module is also set up to output the representation that can be output or a perceptible error reaction as a function of the result of the comparison. The output module also includes an arrangement that noticeably conveys the outputtable representation and the error reaction to a human receiver, for example a monochrome or color display or a loudspeaker for outputting acoustic representations of states relevant to the operation of a vehicle.
Die vorliegende Erfindung trennt den Funktionspfad der Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands durch ein Ausgabemodul des Fahrzeugs in die Phasen Erfassen des Zustands, Übertragen des Zustands an ein Anzeigesteuergerät und Ausgabe der Repräsentation. Dabei kann durch die Signierung der sicherheitsrelevanten Sensorsignale durch den Sensor und die Weiterleitung der Signatur zusammen mit den Sensorsignalen über alle an der Kommunikation und der Datenverarbeitung beteiligten Komponenten im Ausgabemodul eine Verifikation der auszugebenden Repräsentation erfolgen, so dass vor allem der Sensor und das Ausgabegerät ASIL-Anforderungen entsprechen müssen, während dies für andere Komponenten nicht notwendigerweise der Fall ist. Bei Sensorsignalen, die nicht zu der dazu empfangenen Signatur passen, können so Fehler in der Verarbeitungskette bis zum letzten Glied erkannt werden, und es können am Ende der Signalkette entsprechend wahrnehmbare Fehlerreaktionen ausgelöst werden. Dadurch ist das Verfahren und das System in besonders vorteilhafter weise in Fahrzeugnetzwerken einsetzbar, in denen Netzwerke in Zonen mit eigenen Zonenservern eingeteilt sind. Durch die über die Signatur des Sensorsignals gewährleistete Absicherung der korrekten Ausgabe von sicherheitsrelevanten Inhalten ist es möglich, zwischen dem Sensor und dem Ausgabemodul liegende Komponenten nach dem üblichen QM-Standard zu entwickeln, ohne dass eine ASIL-Anforderung erfüllt sein müsste; nur die Sensoren und das Ausgabegerät müssen den ASIL-Anforderungen entsprechen. Da diese weniger komplexe Flardware und Software umfassen ist die Entwicklung der Sensoren und Ausgabegeräte nach den einschlägigen Sicherheitsstandards einfacher und günstiger. The present invention separates the functional path of the output of a representation of a state relevant for safe operation of a vehicle by an output module of the vehicle into the phases of detecting the state, transmitting the state to a display control device and outputting the representation. By signing the safety-relevant sensor signals by the sensor and forwarding the signature together with the sensor signals via all components involved in the communication and data processing in the output module, a verification of the representation to be output can take place, so that the sensor and the output device ASIL Requirements must be met while this is for other components not necessarily the case. In the case of sensor signals that do not match the signature received, errors in the processing chain can be detected down to the last link, and correspondingly perceptible error reactions can be triggered at the end of the signal chain. As a result, the method and the system can be used particularly advantageously in vehicle networks in which networks are divided into zones with their own zone servers. The safeguarding of the correct output of safety-relevant content guaranteed by the signature of the sensor signal makes it possible to develop components located between the sensor and the output module according to the usual QM standard without an ASIL requirement having to be met; only the sensors and the output device must meet the ASIL requirements. Since these include less complex flardware and software, the development of the sensors and output devices according to the relevant safety standards is simpler and cheaper.
KURZE BESCHREIBUNG DER ZEICHNUNG BRIEF DESCRIPTION OF THE DRAWING
Nachfolgend wird die Erfindung anhand einer Ausführungsform unter Bezugnahme auf die begleitenden Figuren exemplarisch näher erläutert. Alle Figuren sind rein schematisch. Es zeigen: In the following, the invention is explained in more detail using an embodiment example with reference to the accompanying figures. All figures are purely schematic. Show it:
Fig. 1 ein exemplarisches Flussdiagramm des erfindungsgemäßen Verfahrens, Fig. 2 eine schematische Darstellung eines zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten Fahrzeugsystems, 1 shows an exemplary flow diagram of the method according to the invention, FIG. 2 shows a schematic representation of a vehicle system set up to carry out the method according to the invention,
Fig. 3 eine weitere schematische Darstellung des zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten Fahrzeugsystems, 3 shows a further schematic representation of the vehicle system set up to carry out the method according to the invention,
Fig. 4 Beispiele von ausgebbaren Repräsentationen von für den sicheren Betrieb eines Fahrzeugs relevanten Zuständen, und 4 shows examples of representations that can be outputted of states relevant for the safe operation of a vehicle, and FIG
Fig. 5 Beispiele von ausgebbaren Repräsentationen mit darin enthaltenen Signaturen. 5 examples of representations that can be output with signatures contained therein.
In den Figuren sind gleiche oder ähnliche Elemente mit denselben Referenzzeichen bezeichnet. BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN Figur 1 zeigt ein exemplarisches Flussdiagramm des erfindungsgemäßen Verfahrens 100. In Schritt 102 wird ein Sensorsignal mit einer dem Sensor, dem Sensortyp und/oder dem Signal zugeordneten Signatur signiert, und in Schritt 104 an ein mit einem Ausgabemodul verbundenes Ausgabesteuergerät gesendet. Das Ausgabesteuergerät empfängt das signierte Sensorsignal, Schritt 106, und erzeugt in Schritt 108 eine von dem Ausgabemodul ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals, das zusammen mit der Signatur in Schritt 110 an das Ausgabemodul gesendet wird. Das Ausgabemodul empfängt die ausgebbare Repräsentation in Schritt 112 und prüft in Schritt 114, ob die ausgebbare Repräsentation zu der Signatur passt. Die Prüfung kann das Berechnen einer Validierungsinformation aus der empfangenen ausgebbaren Repräsentation enthalten, Schritt 114a, und das Vergleichen der berechneten Validierungsinformation mit einer in einem Speicher des Ausgabemoduls gespeicherten Referenzinformation, Schritt 114b. Wenn der Vergleich ergibt, dass die Signatur zu der empfangenen ausgebbaren Repräsentation passt, „j“-Zweig von Schritt 114, gibt das Ausgabemodul sie aus, Schritt 116. Die Ausgabe kann das Auslesen von Ausgabeparametern umfassen, Schritt 116, welche bspw. angeben, an welcher Stelle auf einem Display eine ausgebbare Repräsentation darzustellen ist. Wenn der Vergleich ergibt, dass die Signatur nicht zu der empfangenen ausgebbaren Repräsentation pass, „n“-Zweig von Schritt 114, erzeugt das Ausgabemodul eine wahrnehmbare Fehlerreaktion, die bspw. darin bestehen kann, dass eine vorbestimmte Nachricht auf einem Display dargestellt wird, oder dass das Display abgeschaltet wird. Identical or similar elements are denoted by the same reference symbols in the figures. DESCRIPTION OF EXEMPLARY EMBODIMENTS FIG. 1 shows an exemplary flow chart of the method 100 according to the invention. In step 102 a sensor signal is signed with a signature assigned to the sensor, the sensor type and / or the signal, and in step 104 it is sent to an output control device connected to an output module. The output control device receives the signed sensor signal, step 106, and in step 108 generates a representation of the meaning content of the received sensor signal which can be output by the output module and which is sent to the output module together with the signature in step 110. The output module receives the outputtable representation in step 112 and checks in step 114 whether the outputtable representation matches the signature. The check can include calculating validation information from the received outputtable representation, step 114a, and comparing the calculated validation information with reference information stored in a memory of the output module, step 114b. If the comparison shows that the signature matches the received output representation, "j" branch of step 114, the output module outputs it, step 116. The output can include the reading out of output parameters, step 116, which specify, for example, at which point on a display an outputtable representation is to be shown. If the comparison shows that the signature does not match the received output representation, "n" branch of step 114, the output module generates a perceptible error reaction, which can consist, for example, in a predetermined message being shown on a display, or that the display is switched off.
Figur 2 zeigt eine schematische Darstellung eines zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten beispielhaften Fahrzeugsystems 200. Fahrzeugsystem 200 umfasst ein Sensorsteuergerät 202, das ein Sensorsignal ausgibt, das einer physikalischen oder logischen Größe entspricht, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert. Sensorsteuergerät 202 umfasst außerdem eine oder mehrere Sensoranordnungen 204, die physikalische oder logischer Größe erfassen und dem Sensorsteuergerät 202 zuführen. Sensorsteuergerät 202 ist dazu eingerichtet, Sensorsignale vor der Ausgabe mit einer dem Sensorsteuergerät 202, dem Sensortyp und/oder dem Signal bzw. der Signalart zugeordneten Signatur zu signieren. Sensorsteuergerät 202 sendet das signierte Sensorsignal über ein erstes Teilstück 206 eines Kommunikationskanals an einen optionalen Zonenserver 208. Zonenserver 208 ist mit mehreren Steuergeräten einer Zone des Fahrzeugs verbunden und leitet die Signale zusammen mit deren Signaturen über ein zweites Teilstück 210 des Kommunikationskanals an ein Ausgabesteuergerät 212 weiter. Ausgabesteuergerät 212 erzeugt aus dem empfangenen Sensorsignal und der Signatur eine von einem mit dem Ausgabesteuergerät 212 über ein drittes Teilstück 214 des Kommunikationskanals verbundenen Ausgabemodul 216 ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals, und sendet sie an das Ausgabemodul 216. Ausgabemodul 216 umfasst eine Vergleichs- bzw. Prüfvorrichtung 218, die dazu eingerichtet ist, die empfangene ausgebbare Repräsentation darauf zu prüfen, ob sie zu der Signatur passt. Nur Sensorsteuergerät 202 und Ausgabemodul 216 sowie die Vergleichs- bzw. Prüfvorrichtung 218 müssen ASIL-Anforderungen entsprechen, angedeutet durch den schraffierten Hintergrund, weil nur diese Komponenten des Systems die Ausgabe eines einem sicherheitsrelevanten Zustand entsprechenden Inhalts oder Signals aktiv beeinflussen können. Die Vergleichs- bzw. Prüfvorrichtung kann durch ein entsprechendes Computerprogramm gebildet sein, welches in dem Ausgabemodul ausgeführt wird, und kann Hardware-Komponenten bzw. Teile davon umfassen. Ein oder mehrere Zonenserver 208, die Teile des Kommunikationskanals bilden, sowie das Ausgabesteuergerät 212, können zwar Inhalte übertragener Nachrichten verändern, jedoch würde diese Veränderung spätestens bei der Prüfung in dem Ausgabemodul 216 auffallen und eine Fehlerreaktion auslösen. Daher müssen die Zonenserver 208 und das Ausgabesteuergerät 212 nicht den strengen ASIL-Anforderungen genügen; es genügt hier, die etablierten QM-Anforderungen zu erfüllen. FIG. 2 shows a schematic representation of an exemplary vehicle system 200 set up to carry out the method according to the invention. Vehicle system 200 comprises a sensor control device 202 that outputs a sensor signal that corresponds to a physical or logical variable that represents a state relevant for the safe operation of a vehicle. Sensor control device 202 also includes one or more sensor arrangements 204 that detect physical or logical variables and feed them to sensor control device 202. Sensor control device 202 is set up to To sign sensor signals with a signature assigned to the sensor control device 202, the sensor type and / or the signal or the signal type before the output. Sensor control unit 202 sends the signed sensor signal via a first section 206 of a communication channel to an optional zone server 208. Zone server 208 is connected to several control units of a zone of the vehicle and forwards the signals together with their signatures via a second section 210 of the communication channel to an output control unit 212 . From the received sensor signal and the signature, output control device 212 generates a representation of the meaning content of the received sensor signal that can be output by an output module 216 connected to output control device 212 via a third section 214 of the communication channel, and sends it to output module 216 Checking device 218, which is set up to check the received outputtable representation to determine whether it matches the signature. Only sensor control device 202 and output module 216 as well as comparison or test device 218 have to meet ASIL requirements, indicated by the hatched background, because only these components of the system can actively influence the output of a content or signal corresponding to a safety-relevant state. The comparison or test device can be formed by a corresponding computer program which is executed in the output module and can comprise hardware components or parts thereof. One or more zone servers 208, which form part of the communication channel, as well as the output control device 212, can change the content of transmitted messages, but this change would be detected at the latest during the check in the output module 216 and trigger an error reaction. Therefore, the zone servers 208 and the output controller 212 do not have to meet the strict ASIL requirements; it is sufficient here to meet the established QM requirements.
Figur 3 zeigt eine weitere schematische Darstellung des zur Ausführung des erfindungsgemäßen Verfahrens eingerichteten Fahrzeugsystems 200. Die Darstellung entspricht im Wesentlichen derjenigen aus Figur 2. In Figur 3 sind beispielhafte unterschiedliche Teilstücke 206, 210, 214 des Kommunikationskanals dargestellt. Das erste Teilstück 206 kann bspw. eine Verbindung nach dem CAN-Bus Standard umfassen, über den Sensorsteuergerät 202 mit Zonenserver 208 verbunden ist. Wie bereits an anderer Stelle erwähnt kann das Sensorsteuergerät 202 mit der eigentlichen Sensoranordnung 204, welche die physikalische oder logische Größe aufnimmt, in einem Bauteil vereint sein, oder mit mehreren räumlich getrennten Sensoranordnungen 204 verbunden sein. Das zweite Teilstück 210 kann bspw. eine Ethernet-Verbindung zwischen Zonenserver 208 und Ausgabesteuergerät 212 umfassen. Das dritte Teilstück kann bspw. eine LVDS-Displayschnittstelle umfassen. Allen drei Teilstücken ist gemeinsam, dass über sie neben dem Sensorsignal bzw. den Sensordaten in dem „Data“-Feld die zu dem Sensorsignal gehörende Signatur gemäß dem jeweiligen Protokoll übertragen wird. In dem „Data“-Feld können neben dem Sensorsignal bzw. den Sensordaten Zeitstempel, Zustandsinformationen des Sensors sowie weitere Informationen übertragen werden, die in dem Ausgabesteuergerät in eine Ausgabe umgesetzt werden. Zusätzlich kann ein „Alive Counter“ vorgesehen sein, der dazu genutzt werden kann, zu überwachen, dass keine vom Sensorsteuergerät gesendeten Nachrichten bei der Übertragung verloren gehen. Dies kann bspw. dadurch erfolgen, dass das Ausgabemodul jeweils den Zählwert der letzten von einem Steuergerät gesendeten Nachricht speichert und den Zählwert der nächsten von diesem Steuergerät gesendeten Nachricht damit vergleicht. Bei Überspringen eines Zählwerts, d.h. die Nachricht hat einen um zwei oder mehr höheren Zählwert, kann eine entsprechende Fehlerreaktion ausgegeben werden. Das Einbetten der Signatur in unterschiedliche Protokolle von Übertragungsstrecken kann ohne Änderung der Protokolle erfolgen, bspw. in den Payload-Abschnitten oder ungenutzten Datenfeldern. Wegen der Ende-zu-Ende Kontrolle ist eine Absicherung der für den Transport genutzten Schnittstellen nicht erforderlich. FIG. 3 shows a further schematic illustration of the vehicle system 200 set up to carry out the method according to the invention. The illustration essentially corresponds to that from FIG. 2. In FIG. 3, exemplary different sections 206, 210, 214 of the communication channel are shown. The first section 206 can, for example, a connection according to the CAN bus standard include, via which sensor control device 202 is connected to zone server 208. As already mentioned elsewhere, the sensor control device 202 can be combined in one component with the actual sensor arrangement 204, which records the physical or logical variable, or can be connected to a plurality of spatially separate sensor arrangements 204. The second section 210 can, for example, comprise an Ethernet connection between the zone server 208 and the output control device 212. The third section can, for example, comprise an LVDS display interface. What all three parts have in common is that, in addition to the sensor signal or the sensor data in the “Data” field, the signature associated with the sensor signal is transmitted in accordance with the respective protocol. In the “Data” field, in addition to the sensor signal or the sensor data, time stamps, status information of the sensor and other information can be transmitted, which are converted into an output in the output control device. In addition, an “alive counter” can be provided, which can be used to monitor that no messages sent by the sensor control device are lost during transmission. This can be done, for example, in that the output module stores the count value of the last message sent by a control device and compares it with the count value of the next message sent by this control device. If a count value is skipped, ie the message has a count value that is two or more higher, a corresponding error response can be output. The embedding of the signature in different protocols of transmission links can take place without changing the protocols, for example in the payload sections or unused data fields. Because of the end-to-end control, it is not necessary to secure the interfaces used for transport.
Figur 4 wurde bereits mit Bezug auf den Stand der Technik beschrieben und wird daher an dieser Stelle nicht erneut erörtert. FIG. 4 has already been described with reference to the prior art and will therefore not be discussed again at this point.
Figur 5 zeigt Beispiele von ausgebbaren Repräsentationen mit darin enthaltenen Signaturen. In Figur 5 a) ist in einer oberen Zeile eines Bitmap-Bildes, welches die auf einem Display ausgebbare Repräsentation darstellt, ein barcode-ähnlicher Wechsel von schwarzen und weißen Bildpunkten enthalten, der die Signatur enthält. Bei der Prüfung kann das Ausgabemodul entweder diese Zeile ignorieren, und aus den übrigen Zeilen eine Validierungsinformation berechnen, die mit der in dem Ausgabemodul gespeicherten Referenzinformation für die Signatur verglichen wird, oder die Referenzinformation kann bereits die in der Repräsentation enthaltene Signatur berücksichtigen. Bei der Ausgabe auf dem Display kann die obere Zeile entsprechend weggelassen werden. FIG. 5 shows examples of representations that can be output with signatures contained therein. In FIG. 5 a), a barcode-like alternation of black and white pixels, which contains the signature, is contained in an upper line of a bitmap image which represents the representation that can be output on a display contains. During the check, the output module can either ignore this line and calculate validation information from the remaining lines, which is compared with the reference information for the signature stored in the output module, or the reference information can already take into account the signature contained in the representation. When outputting to the display, the top line can be omitted accordingly.
In Figur 5 b) ist ebenfalls ein barcode-ähnlicher Wechsel von Bildpunkten enthalten, der die Signatur enthält, in der oberen Zeile des eines Bitmap-Bildes enthalten, welches die auf einem Display ausgebbare Repräsentation darstellt. Bei dieser Ausführungsform ist der Wechsel für einen menschlichen Betrachter allerdings nicht wahrnehmbar, weil die Bildpunkte des an sich schwarzen Randes des Bitmaps-Bildes zwischen schwarz und einem nur eine Helligkeitsstufe helleren dunkelgrau wechseln. In der Figur ist dies aus Gründen der Darstellbarkeit durch mittelgraue Bildpunkte angedeutet. Bei dieser Ausführung ist es nicht erforderlich, die obere Zeile bei der Ausgabe auf einem Display wegzulassen. Anstelle schwarzer und dunkelgrauer Bildpunkte können, abhängig von dem Bildhintergrund auf dem das Symbol dargestellt wird, natürlich andere Färb- oder Helligkeitskombinationen genutzt werden. FIG. 5 b) also contains a barcode-like change of image points that contains the signature, contained in the upper line of a bitmap image that represents the representation that can be output on a display. In this embodiment, however, the change is imperceptible to a human observer because the pixels of the per se black edge of the bitmap image change between black and a dark gray that is only one level lighter. In the figure, this is indicated by medium gray pixels for reasons of displayability. In this embodiment it is not necessary to omit the top line when outputting to a display. Instead of black and dark gray pixels, other color or brightness combinations can of course be used, depending on the image background on which the symbol is displayed.
LISTE DER BEZUGSZEICHEN LIST OF REFERENCES
100 Verfahren 100 procedures
102 Signieren 102 Signing
104 Senden 104 Send
106 Empfangen 106 Received
108 Erzeugen 108 Generate
110 Senden 110 Send
112 Empfangen 112 Received
114 Prüfen 114 Check
114a Validierungsinformation berechnen 114b Vergleichen 116 Ausgeben 114a Calculate validation information 114b Compare 116 Output
116a Ausgabeparameter auslesen 116a Read out output parameters
118 Fehlerreaktion erzeugen 118 Generate error response
200 Fahrzeugsystem 200 vehicle system
202 Sensorsteuergerät 202 sensor control unit
204 Sensoranordnung 204 sensor arrangement
206 erstes Kommunikationskanal-Teilstück206 first communication channel section
208 Zonenserver 208 zone server
210 zweites Kommunikationskanal-Teilstück210 second communication channel section
212 Ausgabesteuergerät 212 Output control device
214 drittes Kommunikationskanal-Teilstück214 third communication channel section
216 Ausgabemodul 216 output module
218 Vergleichs- bzw. Prüfvorrichtung 218 Comparison or testing device

Claims

Patentansprüche Claims
1 . Verfahren (100) zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands durch ein Ausgabemodul (216) des Fahrzeugs, umfassend: 1 . A method (100) for outputting a representation of a state relevant for safe operation of a vehicle by an output module (216) of the vehicle, comprising:
- Signieren (102) eines Sensorsignals, das einer physikalischen oder logischen Größe entspricht, welche einen für den sicheren Betrieb eines Fahrzeugs relevanten Zustand repräsentiert, mit einer einem Sensor (202, 204), einem Sensortyp und/oder einem Signal bzw. einer Signalart zugeordneten Signatur,- Signing (102) a sensor signal, which corresponds to a physical or logical variable, which represents a state relevant for the safe operation of a vehicle, with one assigned to a sensor (202, 204), a sensor type and / or a signal or a signal type Signature,
- Senden (104) des signierten Sensorsignals über einen Kommunikationskanal (206, 208, 210) an ein mit dem Ausgabemodul (216) verbundenes und zu dessen Ansteuerung eingerichtetes Ausgabesteuergerät (212), - Sending (104) the signed sensor signal via a communication channel (206, 208, 210) to an output control device (212) connected to the output module (216) and set up to control it,
- Empfangen (106) des signierten Sensorsignals in dem Ausgabesteuergerät (212),- Receiving (106) the signed sensor signal in the output control device (212),
- Erzeugen (108), in dem Ausgabesteuergerät (212), einer von dem Ausgabemodul (216) ausgebbaren Repräsentation des Bedeutungsinhalts des empfangenen Sensorsignals, - Generating (108), in the output control device (212), a representation of the meaning content of the received sensor signal which can be output by the output module (216),
- Senden (110), von dem Ausgabesteuergerät (212), der ausgebbaren Repräsentation und der mit dem Sensorsignal empfangenen Signatur an das Ausgabemodul (216), - Sending (110), from the output control device (212), the outputtable representation and the signature received with the sensor signal to the output module (216),
- Empfangen (112), in dem Ausgabemodul (216), der ausgebbaren Repräsentation und der Signatur, - Receiving (112), in the output module (216), the outputtable representation and the signature,
- Prüfen (114), in dem Ausgabemodul (216), ob die ausgebbare Repräsentation zu der Signatur passt, und - Checking (114), in the output module (216), whether the outputtable representation matches the signature, and
- falls die ausgebbare Repräsentation und die Signatur zusammenpassen, Ausgeben (116) der ausgebbaren Repräsentation durch das Ausgabemodul (216), oder - if the outputtable representation and the signature match, outputting (116) the outputtable representation by the output module (216), or
- falls die ausgebbare Repräsentation und die Signatur nicht zusammenpassen, Erzeugen (118) einer wahrnehmbaren Fehlerreaktion. - if the outputtable representation and the signature do not match, generating (118) a perceptible error reaction.
2. Verfahren (100) nach Anspruch 1 , wobei das Prüfen (114) umfasst: The method (100) of claim 1, wherein the checking (114) comprises:
- Berechnen (114a) einer eindeutigen Validierungsinformation aus der empfangenen ausgebbaren Repräsentation, und - Vergleichen (114b) der berechneten Validierungsinformation mit einer zu der empfangenen Signatur in einem Speicher abgelegten Referenzinformation. - Calculating (114a) unambiguous validation information from the received outputtable representation, and - Comparing (114b) the calculated validation information with reference information stored in a memory for the received signature.
3. Verfahren (100) nach Anspruch 1 oder 2, wobei das Ausgeben (116) umfasst: 3. The method (100) of claim 1 or 2, wherein the outputting (116) comprises:
- Auslesen (116a) von Ausgabeparametern aus einem Speicher. - Reading (116a) output parameters from a memory.
4. Verfahren (100) nach einem der vorhergehenden Ansprüche, wobei das Erzeugen (118) einer wahrnehmbaren Fehlerreaktion die Ausgabe eines vorbestimmten Inhalts durch das Ausgabemodul (216) oder das wahrnehmbare Abschalten des Ausgabemoduls (216) umfasst. 4. The method (100) according to any one of the preceding claims, wherein the generation (118) of a perceptible error reaction comprises the output of a predetermined content by the output module (216) or the perceptible deactivation of the output module (216).
5. Fahrzeugsystem (200) eingerichtet zur Ausgabe einer Repräsentation eines für einen sicheren Betrieb eines Fahrzeugs relevanten Zustands, umfassend:5. Vehicle system (200) set up to output a representation of a state relevant for safe operation of a vehicle, comprising:
- ein Ausgabemodul (216), - an output module (216),
- einen oder mehrere Sensoren (202, 204), - one or more sensors (202, 204),
- ein mit dem Ausgabemodul (216) verbundenes und zu dessen Ansteuerung eingerichtetes Ausgabesteuergerät (212), und - An output control device (212) connected to the output module (216) and set up to control it, and
- eine Kommunikationsvorrichtung, die einen Kommunikationskanal zwischen Sensoren (202, 204) und Ausgabesteuergerät (212) bereitstellt, wobei der eine oder die mehreren Sensoren (202, 204), das Ausgabesteuergerät (212) und das Ausgabemodul (216) dazu eingerichtet sind, einen oder mehrere Schritte eines Verfahrens (100) nach einem der vorhergehenden Ansprüche auszuführen. - A communication device that provides a communication channel between sensors (202, 204) and output control device (212), wherein the one or more sensors (202, 204), the output control device (212) and the output module (216) are set up to include a or to carry out several steps of a method (100) according to one of the preceding claims.
6. Sensor (202, 204) des Fahrzeugsystems (200) nach Anspruch 5, umfassend: 6. The sensor (202, 204) of the vehicle system (200) according to claim 5, comprising:
- mindestens eine Sensoranordnung (204), die zur Erfassung einer physikalischen oder logischen Größe eingerichtet ist, welche einen für den sicheren Betrieb des Fahrzeugs relevanten Zustand repräsentiert, - At least one sensor arrangement (204) which is set up to detect a physical or logical variable which represents a state relevant for the safe operation of the vehicle,
- ein Sensorsteuergerät (202), das zur Erzeugung eines Sensorsignals in Abhängigkeit von der erfassten physikalischen oder logischen Größe eingerichtet ist, und das außerdem dazu eingerichtet ist, das Sensorsignal mit einer dem Sensor, dem Sensortyp, dem Signal bzw. der Signalart und/oder der physikalischen oder logischen Größe zugeordneten Signatur zu versehen, - A sensor control device (202) which is set up to generate a sensor signal as a function of the detected physical or logical variable, and which is also set up to the sensor signal with one of the To provide a signature assigned to the sensor, the sensor type, the signal or the signal type and / or the physical or logical variable,
- einer Sensorschnittstelle, die zur Übertragung des signierten Sensorsignals über einen Kommunikationskanal (206, 208, 210) an ein Ausgabesteuergerät (212) eingerichtet ist. - A sensor interface which is set up to transmit the signed sensor signal via a communication channel (206, 208, 210) to an output control device (212).
7. Ausgabesteuergerät (212) des Fahrzeugsystems (200) nach Anspruch 5, umfassend: 7. The output control device (212) of the vehicle system (200) according to claim 5, comprising:
- eine erste Steuergeräteschnittstelle, die zum Empfang von signierten Sensorsignalen über ein Kommunikationsnetzwerk (206, 208, 210) eingerichtet ist,- A first control device interface which is set up to receive signed sensor signals via a communication network (206, 208, 210),
- eine zweite Steuergeräteschnittstelle, die mit einem Ausgabemodul (216) verbunden ist, wobei das Ausgabesteuergerät dazu eingerichtet ist, basierend auf empfangenen signierten Sensorsignalen und der Signatur eine von dem Ausgabemodul (216) ausgebbare Repräsentation eines Bedeutungsinhalts des Sensorsignals zu erzeugen, und die Repräsentation zusammen mit der empfangenen Signatur über die zweite Steuergeräteschnittstelle an das Ausgabemodul (216) zu übertragen. - A second control device interface, which is connected to an output module (216), wherein the output control device is set up to generate a representation of a meaning content of the sensor signal that can be output by the output module (216) based on received signed sensor signals and the signature, and the representation together with the received signature via the second control device interface to the output module (216).
8. Ausgabemodul (216) des Fahrzeugsystems (200) nach Anspruch 5, umfassend: The output module (216) of the vehicle system (200) according to claim 5, comprising:
- eine Schnittstelle, die zum Empfang einer von dem Ausgabemodul (216) ausgebbaren Repräsentation und einer zu der ausgebbaren Repräsentation zugehörigen Signatur eingerichtet ist, - An interface which is set up to receive a representation that can be output by the output module (216) and a signature associated with the representation that can be output
- einen Speicher, der Referenzinformationen zu Signaturen von ausgebbaren Repräsentationen speichert, - a memory that stores reference information on signatures of representations that can be output,
- eine Vergleichs- bzw. Prüfvorrichtung (218), welche dazu eingerichtet ist, auf Basis der ausgebbaren Repräsentation Validierungsinformationen zu berechnen und mit zu der empfangenen Signatur gespeicherten Referenzinformationen zu vergleichen, wobei das Ausgabemodul (216) außerdem dazu eingerichtet ist, abhängig von dem Ergebnis des Vergleichs die ausgebbare Repräsentation oder eine wahrnehmbare Fehlerreaktion auszugeben. - A comparison or checking device (218) which is set up to calculate validation information on the basis of the outputtable representation and to compare it with reference information stored for the received signature, the output module (216) also being set up, depending on the result of the comparison to output the representation that can be output or a perceptible error reaction.
9. Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Programms durch einen Mikroprozessor diesen veranlassen, das Verfahren (100) nach einem oder mehreren der Ansprüche 1 - 4 auszuführen. 9. Computer program product, comprising instructions which, when the program is executed by a microprocessor, cause the microprocessor to execute the method (100) according to one or more of claims 1-4.
10. Computerlesbarer Datenträger, auf dem das Com puterprogramm produkt nach Anspruch 9 gespeichert ist. 10. Computer-readable data carrier on which the Com puterprogramm product according to claim 9 is stored.
11. Fahrzeug mit einem Fahrzeugsystem nach Anspruch 5. 11. A vehicle with a vehicle system according to claim 5.
PCT/EP2020/077936 2019-10-17 2020-10-06 Method and apparatus for outputting, by means of an output module, representations of conditions relevant to the safe operation of a vehicle WO2021073938A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019216030.1A DE102019216030A1 (en) 2019-10-17 2019-10-17 Method and device for outputting representations of states relevant to the safe operation of a vehicle by an output module
DE102019216030.1 2019-10-17

Publications (1)

Publication Number Publication Date
WO2021073938A1 true WO2021073938A1 (en) 2021-04-22

Family

ID=72811823

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/077936 WO2021073938A1 (en) 2019-10-17 2020-10-06 Method and apparatus for outputting, by means of an output module, representations of conditions relevant to the safe operation of a vehicle

Country Status (2)

Country Link
DE (1) DE102019216030A1 (en)
WO (1) WO2021073938A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022210422A1 (en) 2022-09-15 2024-03-21 Continental Automotive Technologies GmbH Method for transferring a data set between a tachograph and a control device

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008043830A1 (en) * 2008-11-18 2010-05-20 Bundesdruckerei Gmbh Motor vehicle display device, motor vehicle electronic system, motor vehicle, method for displaying data and computer program product
DE102012024818A1 (en) 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Procedures to improve functional safety and increase the availability of an electronic control system, as well as an electronic control system
DE102014008808A1 (en) * 2014-06-11 2014-11-27 Daimler Ag Method for securing the transmission of safety-related camera images
DE102014220373A1 (en) 2014-10-08 2016-04-14 Bayerische Motoren Werke Aktiengesellschaft Freely programmable display
DE102015209448A1 (en) 2015-05-22 2016-11-24 Bayerische Motoren Werke Aktiengesellschaft Method for displaying safety-relevant display elements
DE102015211451A1 (en) 2015-06-22 2017-01-05 Volkswagen Aktiengesellschaft Method for manipulation protection of user data packets to be transmitted via a bus system between system components
DE102016212196A1 (en) 2016-07-05 2018-01-11 Robert Bosch Gmbh Method for evaluating sensor data
DE102016225436A1 (en) * 2016-12-19 2018-06-21 Volkswagen Aktiengesellschaft Sensor for acquiring measured values, methods, apparatus and computer-readable storage medium with instructions for processing measured values of a sensor
US20190018408A1 (en) 2017-07-12 2019-01-17 Qualcomm Incorporated Systems and methods for verifying integrity of a sensing system
US10331128B1 (en) * 2018-04-20 2019-06-25 Lyft, Inc. Control redundancy

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008043830A1 (en) * 2008-11-18 2010-05-20 Bundesdruckerei Gmbh Motor vehicle display device, motor vehicle electronic system, motor vehicle, method for displaying data and computer program product
DE102012024818A1 (en) 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Procedures to improve functional safety and increase the availability of an electronic control system, as well as an electronic control system
DE102014008808A1 (en) * 2014-06-11 2014-11-27 Daimler Ag Method for securing the transmission of safety-related camera images
DE102014220373A1 (en) 2014-10-08 2016-04-14 Bayerische Motoren Werke Aktiengesellschaft Freely programmable display
DE102015209448A1 (en) 2015-05-22 2016-11-24 Bayerische Motoren Werke Aktiengesellschaft Method for displaying safety-relevant display elements
DE102015211451A1 (en) 2015-06-22 2017-01-05 Volkswagen Aktiengesellschaft Method for manipulation protection of user data packets to be transmitted via a bus system between system components
DE102016212196A1 (en) 2016-07-05 2018-01-11 Robert Bosch Gmbh Method for evaluating sensor data
DE102016225436A1 (en) * 2016-12-19 2018-06-21 Volkswagen Aktiengesellschaft Sensor for acquiring measured values, methods, apparatus and computer-readable storage medium with instructions for processing measured values of a sensor
US20190018408A1 (en) 2017-07-12 2019-01-17 Qualcomm Incorporated Systems and methods for verifying integrity of a sensing system
US10331128B1 (en) * 2018-04-20 2019-06-25 Lyft, Inc. Control redundancy

Also Published As

Publication number Publication date
DE102019216030A1 (en) 2021-04-22

Similar Documents

Publication Publication Date Title
DE10243713B4 (en) Redundant control unit arrangement
EP2040957B1 (en) Method and device for checking the plausibility of measured values in the surroundings of a motor vehicle
DE102005014550B4 (en) Brake by-wire control system
DE10052307A1 (en) Error reporting system for a vehicle
EP2273369A1 (en) Method for presenting safety-relevant information on a display device and device for carrying out the method
EP2833349B1 (en) Method and device for representing a safety-relevant state
DE102006008575B4 (en) Gearbox device, motor vehicle component and method for producing a fail-safe state of a gearbox device
EP2171585B1 (en) Method for the operation of a microcontroller and an execution unit and a microcontroller and an execution unit
DE102006056668A1 (en) Method for ensuring or maintaining the function of a complex safety-critical overall system
WO2021073938A1 (en) Method and apparatus for outputting, by means of an output module, representations of conditions relevant to the safe operation of a vehicle
DE10142511B4 (en) Error handling of software modules
DE102012207439A1 (en) Method for displaying safety-critical data by a display unit; display unit
EP3571085B1 (en) Method and device for displaying a notification for a user and working device
EP2394400B1 (en) Configurable status processing unit for sensor-actuator systems
DE102012221277A1 (en) Device for controlling operation and movement of hybrid vehicle, has signal comparison modules comparing output signals of sensors with each other to determine whether abnormality of sensors or micro-processing units is present
DE102019202862B4 (en) Device for providing image data
DE102016223540A1 (en) Method for implementing a predetermined AUTOSAR communication structure in a control unit of a motor vehicle and motor vehicle control unit and motor vehicle
DE102019203775B4 (en) Method and apparatus for using error propagation
DE102016215213A1 (en) Apparatus, controller, method, vehicle and computer program for determining information about a replacement value for a sensor value
EP3488303B1 (en) Monitoring of a display of a driver's cab of a means of transportation
DE102020005066A1 (en) Method for time synchronization of vehicle sensors
DE102018207791A1 (en) A method of authenticating a diagnostic fault code generated by a vehicle's vehicle system
DE102021127310B4 (en) System and method for data transmission
DE10160348A1 (en) Information transmission, in motor vehicles, involves sending additional information for checking transmitted message in message frames with no operating parameter present
EP4114679B1 (en) Method and device for the safe display of asil-relevant data on a display device of a motor vehicle

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20789045

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20789045

Country of ref document: EP

Kind code of ref document: A1