-
Die Erfindung betrifft eine Übertragungseinrichtung und ein Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke. Daneben betrifft die Erfindung ein Kraftfahrzeug mit einer solchen Übertragungseinrichtung.
-
In heutigen Kraftfahrzeugen werden Sensordaten zur weiteren Verarbeitung häufig als Sensorsignal an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel, beispielsweise ein Steuergerät oder unmittelbar einen Aktuator, übertragen. Insbesondere im Hinblick auf neue Technologien und autonome Funktionen eines Kraftfahrzeugs steigen die Anforderungen an die Verlässlichkeit und Sicherheit der Übertragung des Sensorsignals.
-
Als Beispiel sei ein Batteriemanagementsystem in einem Kraftfahrzeug betrachtet. So weisen Hochvoltbatterien, wie sie in Hybrid- und Elektrofahrzeugen eingesetzt werden, meist zulässige Betriebsintervalle für Betriebsgrößen, beispielsweise die Temperatur und die Spannung, auf. Außerhalb dieser zulässigen Betriebsintervalle können Probleme auftreten. Mithin werden die Betriebsgrößen gemessen, an ein Steuergerät übertragen und ausgewertet. Aus der Auswertung resultiert eine entsprechende Ansteuerung der Batterie bzw. weiterer Komponenten des Batteriemanagementsystems. Dabei ist es zwangsläufig wichtig, dass die Integrität und Verlässigkeit des Sensorsignals sichergestellt ist.
-
Zur Übertragung des Sensorsignals an das Übertragungsziel ist üblicherweise eine Übertragungsstrecke vorgesehen, die wenigstens teilweise einen Bus, beispielsweise einen CAN-Bus, umfasst. Das Sensorsignal wird von dem Sensor aufgenommen und zunächst, insbesondere nach einer Digitalisierung über einen Analog-Digital-Konverter (ADC) einer Verarbeitungskette zugeführt, die innerhalb des Sensorsteuergeräts wenigstens den als Softwaremittel ausgebildeten CAN-Transceiver (oder sonstigen Bus-Transceiver) umfasst. Hiernach werden die Daten auf den Bus, insbesondere den CAN-Bus, gegeben, um in dem Übertragungsziel, insbesondere einem weiteren Steuergerät, von einem weiteren CAN-Transceiver (oder allgemein Bustransceiver) empfangen zu werden. Nach einer Weiterleitung auf einen Software-Bus folgt dann die Verarbeitung bzw. Auswertung über weitere Softwaremittel. Nachdem die Auswertung und Verarbeitung der Sensorsignale sicherheitskritisch ist und über Software geschieht, müssen die Softwaremittel des Übertragungsziels meist einem Sicherheitsstandard genügen. Hierbei ist insbesondere die Norm ISO 26262 („Road vehicles – functional safety”) zu nennen, die für die Software eine Sicherheitsanforderungsstufe namens „Automotive safety integrity level”, kurz ASIL, definiert. Die im ISO 26262 in Teil 6 definierten Anforderungen sind äußerst hoch und aufwendig, so dass die Sicherheitsanforderungen an die Softwarequalität die Entwicklungskosten und die Entwicklungszeiten deutlich erhöhen.
-
Sollte nun die Übertragung des Sensorsignals komplett der geforderten Sicherheitsstufe (ASIL-Stufe) entsprechen, so besteht diese Anforderung auch für die Steuereinheit des Sensors, so dass jegliche dortige Software auch zeitaufwendig und kostenaufwendig unter Berücksichtigung der Sicherheitsstandards entwickelt werden müsste. Wie bereits erwähnt, bestehen hohe Anforderungen an die Robustheit und Qualität der Software, die dann auch auf der Sensorseite eingehalten werden müssten.
-
Der Erfindung liegt daher die Aufgabe zugrunde, eine Möglichkeit zur Erhöhung der Übertragungssicherheit zu dem Übertragungsziel anzugeben, die keine derart hohen Anforderungen an die sensorseitige Software stellt.
-
Zur Lösung dieser Aufgabe ist bei einer Übertragungseinrichtung der eingangs genannten Art erfindungsgemäß vorgesehen, dass eine sensorseitige Hardware-Codierungseinrichtung am Beginn der Übertragungsstrecke und eine übertragungszielseitige Decodierungseinrichtung am Ende der Übertragungsstrecke vorgesehen sind, wobei die Codierungseinrichtung zum Aufprägen wenigstens einer Sicherheitsinformation auf das Sensorsignal und die Decodierungseinrichtung zur Extraktion und Überprüfung der Sicherheitsinformation und zum Feststellen einer Fehlübertragung bei einer eine Abweichung anzeigenden Überprüfung ausgebildet ist.
-
Mithin wird vorgeschlagen, dem Sensorsignal durch eine Hardware-Komponente sensorseitig, also im Beginn der Übertragungsstrecke, eine Sicherheitsinformation als Zusatzinformation aufzuprägen bzw. hinzuzufügen, deren Korrektheit übertragungszielseitig, also am Ende der Übertragungsstrecke, durch die Decodierungseinrichtung überprüft werden kann, so dass die Gesamtsicherheit erhöht wird. Dadurch, dass in Bezug auf die Übertragungssicherheit lediglich eine Hardware-Komponente auf der Sensorseite benötigt wird, bestehen keine Sicherheitsanforderungen an die Softwarequalität auf der Sensorseite, so dass die Entwicklungskosten und Entwicklungszeiten absinken. Durch die zusätzlich überprüfbare Sicherheitsinformation wird mithin jede Art von Fehler, die auf der Übertragungsstrecke auftreten, durch die Decodierungseinrichtung detektiert, insbesondere also die gegebenenfalls durch die sensorseitige Software auftretenden Fehler, beispielsweise also Fehler einer CAN-Transceiver-Software. Es findet also eine zentrale Übertragungsfehlerdetektion auf der Seite des Übertragungsziels statt, so dass die Sicherheitsanforderungen an die sensorseitige Software stark reduziert sind. Mithin kann auf wenig aufwendige Weise dennoch eine hinreichend sichere Datenübertragung in einem Kraftfahrzeug erreicht werden.
-
Dabei kann in einigen Ausführungsbeispielen vorgesehen sein, dass die Sicherheitsinformation von den im Sensorsignal enthaltenen Sensordaten abhängig ist, was eine Redundanz zu dem Signal hinzufügt. Ein Beispiel für eine derartige Sicherheitsinformation ist eine Prüfsumme, worauf im Folgenden noch näher eingegangen werden wird.
-
In einer einfachen, vorteilhaften Ausführungsform kann vorgesehen sein, dass die Codierungseinrichtung als ein Modulator und die Decodierungseinrichtung als ein Demodulator ausgebildet ist. Modulatoren und Demodulatoren sind als Hardware-Komponenten gängig und günstig erhältlich. Bevorzugt ist es hierbei, wenn die Codierungseinrichtung zur Pulsweitenmodulation des Sensorsignals ausgebildet ist. In diesem Fall ist also ein PWM-Generator vorgesehen, der durch das Sensorsignal erregt wird und ein pulsweitenmoduliertes Sensorsignal erzeugt, das den Wert des gemessenen, insbesondere des noch analogen Sensorsignals wiedergibt. Hierbei bildet die Frequenz des pulsweitenmodulierten Sensorsignals die zusätzlich vorhandene Sicherheitsinformation, das bedeutet, die Decodierungseinrichtung, hier der Demodulator, überprüft, ob ein korrektes, pulsweitenmoduliertes Sensorsignal vorliegt anhand der Modulationsfrequenz.
-
Es sei an dieser Stelle noch angemerkt, dass selbstverständlich auch andere Modulationsarten, bei denen die Sicherheitsinformation beispielsweise auf das Sensorsignal aufmoduliert wird, denkbar sind, beispielsweise Modulation von Phase, Frequenz und dergleichen.
-
In einer alternativen Ausgestaltung kann auch vorgesehen sein, dass die Codierungseinrichtung als ein eine Prüfsumme als Sicherheitsinformation hinzufügendes Prüfsummenmittel und/oder ein auf einem Reed-Solomon-Code basierendes Codiermittel ausgebildet ist, welches einem Analog-Digital-Konverter für das Sensorsignal nachgeschaltet ist. Auf diese Weise kann dem Sensorsignal beispielsweise eine Prüfsumme als Sicherheitsinformation hinzugefügt werden, indem beispielsweise ein zur Ermittlung und Hinzufügung der Prüfsumme ausgebildeter FPGA als Codiereinrichtung beziehungsweise konkret Prüfsummenmittel eingesetzt wird. Reed-Solomon-Codes sind grundsätzlich bekannte Codierungsverfahren, die mit Blöcken von Symbolen arbeiten, die in der Regel jeweils aus acht Bit bestehen. Reed-Solomon-Codes bieten gute Fehlerkorrektureigenschaften und es existieren relativ einfache Decodieralgorithmen. Bei dieser Art von Codierung ist jedoch zu beachten, dass ein digitales Sensorsignal vorliegen muss, mithin die Funktion eines Analog-Digital-Konverters (ADC) nicht überprüft werden kann, so dass hier ein verlässlicher ADC eingesetzt werden sollte.
-
In zweckmäßiger weiterer Ausgestaltung kann vorgesehen sein, dass eine zweite Übertragungsstrecke von dem Sensor zu dem Übertragungsziel zur Übertragung des uncodierten Sensorsignals vorgesehen ist. Es wird also vorgeschlagen, auch das uncodierte Signal zu übertragen. In diesem Fall existieren zwei vorteilhafte Anwendungsmöglichkeiten. So kann zum einen vorgesehen sein, dass die Decodierungseinrichtung zur weiteren Überprüfung der Übertragung durch Vergleich des uncodierten Sensorsignals mit dem decodierten Sensorsignal ausgebildet ist. Das bedeutet, das uncodierte Sensorsignal kann für eine Plausibilisierung herangezogen werden. Besonders vorteilhaft an der zusätzlichen uncodierten Übertragung des Sensorsignals ist jedoch, dass für spezielle Anwendungsfälle zusätzliche Verzögerungen bei Zustandsübergängen des Sensorsignals, die durch die Codierung/Decodierung auftreten können, vermieden werden. Das bedeutet also, dass immer dann, wenn aufgrund des Sensorsignals ein Übergang in einen grundsätzlich sicheren Betriebszustand des Übertragungsziels oder einer angesteuerten Komponente/eines angesteuerten Aktuators übergegangen wird, sind Fehler bei der Übertragung weniger kritisch sind, da ja allenfalls in einen ohnehin sicheren Zustand geschaltet würde. Dies sei anhand eines Beispiels näher erläutert.
-
Geht es beispielsweise bei der vorliegenden Erfindung um die Aktivierung und Deaktivierung eines Scheinwerfers in Abhängigkeit eines Sensorsignals, so ist der Umschaltvorgang von „Licht aus” zu „Licht an” unkritisch. Denn „Licht an” ist ein sichererer Zustand als „Licht aus”. Hier kann also unmittelbar auch das uncodierte, direkt übertragene Sensorsignal verwendet werden und es kann eine schnellere Reaktion ermöglicht werden. Geht es jedoch um den Übergang „Licht an” zu „Licht aus”, so ist eine höhere Verlässlichkeit des Sensorsignals erforderlich, nachdem beispielsweise bei einer Nachtfahrt ein Deaktivieren der Scheinwerfer ungünstig und weniger sicher wäre. Für diesen Übergang wird also in jedem Fall das mit der Sicherheitsinformation übertragene, überprüfte Sensorsignal verwendet.
-
In weiterer Ausgestaltung der vorliegenden Erfindung kann vorgesehen sein, dass die Decodierungseinrichtung als ein insbesondere einem sicherheitsbezogenen Standard entsprechendes Softwaremittel ausgebildet ist. Nachdem auf der Decodierungsseite, wo ja auch die weitere Verarbeitung und/oder Auswertung des Sensorsignals stattfinden soll, ohnehin höhere Anforderungen an die funktionale Sicherheit gestellt werden und die dortige Software grundsätzlich robust und verlässlich entwickelt wird, beispielsweise entsprechend einer bestimmten ASIL-Stufe, kann dies auch für die Decodierungseinrichtung als Softwaremittel realisiert werden. Insbesondere kann vorgesehen sein, dass jedes Softwaremittel des Übertragungsziels, also insbesondere eines Steuergeräts und/oder eines Aktuators, nach diesem Standard ausgebildet ist. Dies ist häufig eine Anforderung an Steuergeräte, dass alle Softwaremittel dieselbe ASIL-Sicherheitsstufe oder dergleichen erfüllen.
-
Es kann ferner vorgesehen sein, dass wenigstens ein Teil der Übertragungsstrecke ein Bus ist, insbesondere ein CAN-Bus oder ein FlexRay-Bus oder ein LIN-Bus. Derartige Bussysteme werden in Kraftfahrzeugen häufig verwendet, um Daten zwischen unterschiedlichen Fahrzeugsystemen beziehungsweise Softwaregeräten auszutauschen.
-
Neben der Übertragungseinrichtung betrifft die vorliegende Erfindung ein Kraftfahrzeug, umfassend wenigstens einen ein Sensorsignal aufnehmenden Sensor, ein Übertragungsziel für die Sensordaten, insbesondere ein Steuergerät und/oder einen Aktuator, und eine erfindungsgemäße Übertragungseinrichtung. Sämtliche Ausführungen bezüglich der erfindungsgemäßen Übertragungseinrichtung lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, so dass auch mit diesem die genannten Vorteile erreicht werden können. Bei dem Sensor kann es sich beispielsweise um einen Temperatursensor und/oder einen Spannungssensor für eine Hochspannungsbatterie und/oder einzelne Zellen einer Hochspannungsbatterie und bei den Übertragungsziel um ein Steuergerät für ein Batteriemanagement-System handeln. Selbstverständlich sind jedoch auch andere sicherheitskritische Übertragungsstrecken innerhalb des Kraftfahrzeugs nach dem erfindungsgemäßen Verfahren ausgestaltbar.
-
Es sei an dieser Stelle noch angemerkt, dass der Begriff des Sensors im Rahmen des erfindungsgemäßen Verfahrens weit verstanden werden kann als jede Vorrichtung, die durch eine Art von Messung ein Sensorsignal aufnimmt, beispielsweise also auch Kommunikationseinrichtungen oder dergleichen, die eine beispielsweise drahtlose Übertragung als das Sensorsignal empfangen.
-
Dabei sei an dieser Stelle noch angemerkt, dass dann, wenn eine zweite Übertragungsstrecke zur unmittelbaren Übertragung des uncodierten Sensorsignals vorgesehen ist, das Übertragungsziel, insbesondere also ein Steuergerät, dazu ausgebildet sein kann, das uncodierte Sensorsignal unmittelbar auszuwerten, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird. Dies wurde bereits bezüglich der Übertragungseinrichtung näher erläutert.
-
Schließlich betrifft die vorliegende Erfindung auch ein Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke, welches sich dadurch auszeichnet, dass am Beginn der Übertragungsstrecke durch eine Hardware-Codierungseinrichtung wenigstens eine Sicherheitsinformation auf das Sensorsignal aufgeprägt wird und am Ende der Übertragungsstrecke durch eine Decodierungseinrichtung die Sicherheitsinformation extrahiert und überprüft wird, wobei bei einer eine Abweichung der Sicherheitsinformation anzeigenden Überprüfung eine Fehlübertragung festgestellt wird. Sämtliche Ausführungen bezüglich der erfindungsgemäßen Übertragungseinrichtung und des erfindungsgemäßen Kraftfahrzeugs lassen sich analog auch auf das erfindungsgemäße Verfahren übertragen, mit welchem mithin die bereits genannten Vorteile auch erhalten werden können.
-
In weiterer Ausgestaltung des erfindungsgemäßen Verfahrens kann vorgesehen sein, dass bei einer festgestellten Fehlübertragung das Übertragungsziel und/oder aufgrund des Sensorsignals von dem Übertragungsziel angesteuerte Aktuatoren in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand geschaltet werden. Wird also eine Fehlübertragung festgestellt, so wird diese wie ein Sensorfehler behandelt und das entsprechende System wird bezüglich des Sensors in einen sicheren Zustand gebracht, also in einen Zustand, in dem möglichst wenig Gefahr für das Kraftfahrzeug und insbesondere seine Insassen besteht.
-
Ferner kann vorgesehen sein, dass das uncodierte Sensorsignal über eine zweite Übertragungsstrecke an das Übertragungsziel übertragen wird, wobei das uncodierte Sensorsignal an dem Übertragungsziel unmittelbar ausgewertet wird, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird. Wie bereits bezüglich der Übertragungseinrichtung ausführlich erläutert, kann diese Vorgehensweise bei bestimmten in sichere Zustände führenden Zustandswechseln aufgrund des Sensorsignals zu einer schnelleren Reaktion führen.
-
Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnung. Dabei zeigen:
-
1 eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs,
-
2 eine Prinzipskizze einer erfindungsgemäßen Übertragungseinrichtung, und
-
3 eine Prinzipskizze zur alternativen Realisierung einer Codierung.
-
1 zeigt eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs 1. Es handelt sich dabei um ein Hybridfahrzeug, welches eine Hochspannungsbatterie 2 umfasst, der ein Batteriemanagement-System 3 zugeordnet ist. Die Hochspannungsbatterie 2 umfasst eine Mehrzahl von Lithium-Ionen-Zellen, deren Betriebszustand durch das Batteriemanagement-System 3 ständig überprüft wird. Hierzu sind Temperatursensoren 4 und Spannungssensoren 5 vorgesehen, von denen der Einfachheit halber nur jeweils einer gezeigt ist. Selbstverständlich können auch weitere Sensoren vorgesehen werden. Die Daten der Sensoren 4, 5 sollen in einem zentralen Steuergerät 6 des Batteriemanagement-Systems 3 ausgewertet werden. Mithin müssen die von den Sensoren 4, 5 aufgenommenen Sensorsignale möglichst verlässlich und fehlerfrei an das Steuergerät 6 als Übertragungsziel übertragen werden. Hierzu sind für die Sensoren 4, 5 jeweils erfindungsgemäße Übertragungseinrichtungen 7 vorgesehen, welche im Hinblick auf 2 näher erläutert werden sollen.
-
2 zeigt mithin eine Prinzipskizze wesentlicher Komponenten der Übertragungseinrichtung 7 im Beispiel des Temperatursensors 4. Diesem ist ersichtlich eine eigene Steuereinheit 8 zugeordnet, die über einen CAN-Bus 9 als Teil der Übertragungsstrecke 10 verbunden sind.
-
Zu Beginn der Übertragungsstrecke 10 ist sensorseitig in der Steuereinheit 8 eine Codierungseinrichtung 11, vorliegend ein Modulator 12, vorgesehen. Der Modulator 12 ist ein Pulsweitenmodulations-Generator (PWM-Generator), der das gemessene Sensorsignal in ein pulsweitenmoduliertes Sensorsignal mit einer bestimmten Frequenz umsetzt. Der Modulator 12 ist gänzlich als Hardware realisiert. Das pulsweitenmodulierte Sensorsignal wird dann gemäß des Pfeils 13 an die nicht sicherheitskritisch zu realisierende Software 14 der Steuereinheit 8 des Sensors 4 weitergeleitet. Vorliegend umfasst die Software 14 insbesondere einen CAN-Transceiver, der die Daten für den Transport über den CAN-Bus 9 vorbereitet und auf den CAN-Bus 9 übergibt.
-
Die Übertragungsstrecke 10 kann also als ein sogenannter „Grey channel” vorgesehen werden, also eine nicht sicherheitskritische Kommunikationsverbindung zwischen zwei Modulen, hier die Kodierungseinrichtung 11 und die später zu diskutierende Dekodierungseinrichtung 18, die als sicherheitskritisch angesehen werden. Daten, die über einen „Grey channel” (Übertragungsstrecke 10) gesendet werden, können durch Fehler innerhalb der Übertragungsstrecke 10 beeinflusst werden, so dass diese Fehler anhand des sicherheitsbezogenen Empfängers, hier konkret der Dekodierungseinrichtung 18, dekodiert werden müssen.
-
Seitens des Steuergeräts 6 ist nun eine entsprechende Empfangssoftware 15 vorgesehen, die das pulsweitenmodulierte Sensorsignal aus dem CAN-Bus 9 abfragt und die ebenso einen CAN-Transceiver umfasst. Von dort wird das pulsweitenmodulierte empfangene Sensorsignal gemäß des Pfeils 16 an einen als Softwaremittel realisierten Demodulator 17 weitergegeben, der mithin die Decodierungseinrichtung 18 bildet.
-
Dabei sei an dieser Stelle angemerkt, dass sämtliche Softwaremittel des Steuergeräts 6 vorliegend einem Sicherheitsstandard entsprechend entwickelt wurden, der für das gesamte Steuergerät 6 außer die Übertragungsstrecke 10 gilt, insbesondere einer ASIL-Stufe des Steuergeräts 6 entsprechend. Sicherheitskritisch sind im vorliegenden Fall also die Dekodierungseinrichtung 18, die Verbindung zu einem Auswerte-Softwaremittel 20, das Auswerte-Softwaremittel 20 und die Ausgabe.
-
Der Demodulator 17 dient zwei Zwecken. Zum einen demoduliert er das pulsweitenmodulierte empfangene Sensorsignal wieder, so dass ein übertragenes demoduliertes Sensorsignal erhalten wird, Pfeil 19. Zum anderen aber überprüft er, ob eine korrekte, der Modulationsfrequenz als Sicherheitsinformation entsprechende Modulation vorliegt. Weicht die Sicherheitsinformation, hier die Frequenz, ab, so wird eine Fehlübertragung durch den Demodulator 17 festgestellt und es werden seitens des Steuergeräts 6 Maßnahmen ergriffen, um die Hochspannungsbatterie 2 in einen sicheren Zustand zu überführen, also einen Zustand, in dem sichergestellt ist, dass sich die entsprechende Betriebsgröße – hier die Temperatur – in einem zulässigen Intervall bewegt und/oder die entsprechende Lithium-Ionen-Zelle gänzlich deaktiviert wird. Bei Feststellung einer Fehlübertragung wird also zumindest bezüglich des Sensors 4 ein sicherer Betriebszustand beziehungsweise ein sicherer Betriebsmodus herbeigeführt.
-
Wird keine Fehlübertragung festgestellt, so wird das übertragene demodulierte Sensorsignal von dem Auswerte-Softwaremittel 20 ausgewertet, welches hieraus entsprechende Aktuatorsignale, beispielsweise einzustellende Betriebsparameter für die Hochspannungsbatterie 2, erzeugen kann, Pfeil 21.
-
Wie in 2 ebenso dargestellt ist, kann optional auch eine zweite Übertragungsstrecke realisiert werden, vgl. Pfeile 22, 23, auf der das Sensorsignal unmittelbar über den CAN-Bus 9 übertragen wird, das bedeutet, ohne Hinzufügen einer Sicherheitsinformation. Eine derartige zweite Übertragungsstrecke kann in zweierlei Hinsicht vorteilhaft sein. Zum einen kann der Demodulator 17 ausgebildet sein, zur Überprüfung des Vorliegens einer Fehlübertragung auch einen Vergleich zwischen den unmittelbar übertragenen Sensorsignal und dem empfangenen demodulierten Sensorsignal vorzunehmen, sodass eine weitere Plausibilisierung möglich ist. Zum anderen aber kann in einer bevorzugten Ausgestaltung der Erfindung das unmittelbar übertragene Sensorsignal, welches also nicht moduliert und demoduliert wurde, immer dann unmittelbar als Eingang für die Auswerte-Softwaremittel 20 verwendet werden, wenn es ohnehin um das Erreichen eines sichereren Betriebszustands beziehungsweise Betriebsmodus geht. Denn dann kann ein Fehler lediglich zu einem allgemein sichereren Zustand führen, was zunächst nicht nachteilhaft ist, jedoch Zeitverzögerungen aufgrund der Modulation und Demodulation, wenn lediglich das auf sichere Weise übertragene Signal verwendet würde, vermeidet.
-
3 zeigt eine Möglichkeit zur Realisierung eines alternativen Ausführungsbeispiels, bei dem eine vom Sensorsignal selbst abhängige Sicherheitsinformation dem Sensorsignal aufgeprägt wird. Ersichtlich wird das Sensorsignal, während in der Ausführungsform nach 2 unmittelbar das analoge Sensorsignal moduliert wurde, dort zunächst einem Analog-Digital-Wandler 24 zugeführt, bevor es durch die hier als Prüfsummenmittel 25 ausgebildete Codierungseinrichtung 11 weitergeleitet wird. In diesem Fall wird die Funktion des ADC 24 nicht überprüft, da nur für das digitalisierte Sensorsignal eine Prüfsumme ermittelt werden kann. Das Prüfsummenmittel 25 kann dabei beispielsweise als ein FPGA ausgeführt sein, das bedeutet, es ist wiederum gänzlich durch Hardware realisiert.
-
Abschließend sei an dieser Stelle noch angemerkt, dass auch ein Reed-Solomon-Code zur Codierung verwendet werden kann. Wird beispielsweise die PAR2-Prüfsumme verwendet, kann das Prüfsummenmittel 25 auch ein auf dem Reed-Solomon-Code basierendes Codiermittel sein.
-
Es sei an dieser Stelle noch angemerkt, dass die erfindungsgemäße Übertragungseinrichtung 7 auch in anderen Bereichen eines Kraftfahrzeugs, wo eine verlässliche, sichere Übertragung von Sensorsignalen erforderlich ist, eingesetzt werden kann, beispielsweise bei die Aktivierung und Deaktivierung eines Scheinwerfers bestimmenden Sensorsignalen und dergleichen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Norm ISO 26262 [0004]
- ISO 26262 in Teil 6 [0004]