DE102011116642A1 - Übertragungseinrichtung und Verfahren zur sicheren Übertragung eines Sensorsignals an ein Übertragungsziel und Kraftfahrzeug - Google Patents

Übertragungseinrichtung und Verfahren zur sicheren Übertragung eines Sensorsignals an ein Übertragungsziel und Kraftfahrzeug Download PDF

Info

Publication number
DE102011116642A1
DE102011116642A1 DE201110116642 DE102011116642A DE102011116642A1 DE 102011116642 A1 DE102011116642 A1 DE 102011116642A1 DE 201110116642 DE201110116642 DE 201110116642 DE 102011116642 A DE102011116642 A DE 102011116642A DE 102011116642 A1 DE102011116642 A1 DE 102011116642A1
Authority
DE
Germany
Prior art keywords
transmission
sensor signal
sensor
transmission path
decoding device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201110116642
Other languages
English (en)
Inventor
Reinhard Hofmann
Stanislav Lincer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE201110116642 priority Critical patent/DE102011116642A1/de
Priority to PCT/EP2012/004257 priority patent/WO2013056797A2/de
Publication of DE102011116642A1 publication Critical patent/DE102011116642A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0057Block codes
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03MCODING; DECODING; CODE CONVERSION IN GENERAL
    • H03M13/00Coding, decoding or code conversion, for error detection or error correction; Coding theory basic assumptions; Coding bounds; Error probability evaluation methods; Channel models; Simulation or testing of codes
    • H03M13/03Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words
    • H03M13/05Error detection or forward error correction by redundancy in data representation, i.e. code words containing more digits than the source words using block codes, i.e. a predetermined number of check bits joined to a predetermined number of information bits
    • H03M13/13Linear codes
    • H03M13/15Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes
    • H03M13/151Cyclic codes, i.e. cyclic shifts of codewords produce other codewords, e.g. codes defined by a generator polynomial, Bose-Chaudhuri-Hocquenghem [BCH] codes using error location or error correction polynomials
    • H03M13/1515Reed-Solomon codes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Theoretical Computer Science (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Übertragungseinrichtung (7) zur sicheren Übertragung eines Sensorsignals eines Sensors (4, 5) an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke (10), insbesondere in einem Kraftfahrzeug (1), wobei eine sensorseitige Hardware-Codierungseinrichtung (11) am Beginn der Übertragungsstrecke (10) und eine übertragungszielseitige Decodierungseinrichtung (18) am Ende der Übertragungsstrecke (10) vorgesehen sind, wobei die Codierungseinrichtung (11) zum Aufprägen wenigstens einer Sicherheitsinformation auf das Sensorsignal und die Decodierungseinrichtung (18) zur Extraktion und Überprüfung der Sicherheitsinformation und zum Feststellen einer Fehlübertragung bei einer eine Abweichung anzeigenden Überprüfung ausgebildet ist.

Description

  • Die Erfindung betrifft eine Übertragungseinrichtung und ein Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke. Daneben betrifft die Erfindung ein Kraftfahrzeug mit einer solchen Übertragungseinrichtung.
  • In heutigen Kraftfahrzeugen werden Sensordaten zur weiteren Verarbeitung häufig als Sensorsignal an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel, beispielsweise ein Steuergerät oder unmittelbar einen Aktuator, übertragen. Insbesondere im Hinblick auf neue Technologien und autonome Funktionen eines Kraftfahrzeugs steigen die Anforderungen an die Verlässlichkeit und Sicherheit der Übertragung des Sensorsignals.
  • Als Beispiel sei ein Batteriemanagementsystem in einem Kraftfahrzeug betrachtet. So weisen Hochvoltbatterien, wie sie in Hybrid- und Elektrofahrzeugen eingesetzt werden, meist zulässige Betriebsintervalle für Betriebsgrößen, beispielsweise die Temperatur und die Spannung, auf. Außerhalb dieser zulässigen Betriebsintervalle können Probleme auftreten. Mithin werden die Betriebsgrößen gemessen, an ein Steuergerät übertragen und ausgewertet. Aus der Auswertung resultiert eine entsprechende Ansteuerung der Batterie bzw. weiterer Komponenten des Batteriemanagementsystems. Dabei ist es zwangsläufig wichtig, dass die Integrität und Verlässigkeit des Sensorsignals sichergestellt ist.
  • Zur Übertragung des Sensorsignals an das Übertragungsziel ist üblicherweise eine Übertragungsstrecke vorgesehen, die wenigstens teilweise einen Bus, beispielsweise einen CAN-Bus, umfasst. Das Sensorsignal wird von dem Sensor aufgenommen und zunächst, insbesondere nach einer Digitalisierung über einen Analog-Digital-Konverter (ADC) einer Verarbeitungskette zugeführt, die innerhalb des Sensorsteuergeräts wenigstens den als Softwaremittel ausgebildeten CAN-Transceiver (oder sonstigen Bus-Transceiver) umfasst. Hiernach werden die Daten auf den Bus, insbesondere den CAN-Bus, gegeben, um in dem Übertragungsziel, insbesondere einem weiteren Steuergerät, von einem weiteren CAN-Transceiver (oder allgemein Bustransceiver) empfangen zu werden. Nach einer Weiterleitung auf einen Software-Bus folgt dann die Verarbeitung bzw. Auswertung über weitere Softwaremittel. Nachdem die Auswertung und Verarbeitung der Sensorsignale sicherheitskritisch ist und über Software geschieht, müssen die Softwaremittel des Übertragungsziels meist einem Sicherheitsstandard genügen. Hierbei ist insbesondere die Norm ISO 26262 („Road vehicles – functional safety”) zu nennen, die für die Software eine Sicherheitsanforderungsstufe namens „Automotive safety integrity level”, kurz ASIL, definiert. Die im ISO 26262 in Teil 6 definierten Anforderungen sind äußerst hoch und aufwendig, so dass die Sicherheitsanforderungen an die Softwarequalität die Entwicklungskosten und die Entwicklungszeiten deutlich erhöhen.
  • Sollte nun die Übertragung des Sensorsignals komplett der geforderten Sicherheitsstufe (ASIL-Stufe) entsprechen, so besteht diese Anforderung auch für die Steuereinheit des Sensors, so dass jegliche dortige Software auch zeitaufwendig und kostenaufwendig unter Berücksichtigung der Sicherheitsstandards entwickelt werden müsste. Wie bereits erwähnt, bestehen hohe Anforderungen an die Robustheit und Qualität der Software, die dann auch auf der Sensorseite eingehalten werden müssten.
  • Der Erfindung liegt daher die Aufgabe zugrunde, eine Möglichkeit zur Erhöhung der Übertragungssicherheit zu dem Übertragungsziel anzugeben, die keine derart hohen Anforderungen an die sensorseitige Software stellt.
  • Zur Lösung dieser Aufgabe ist bei einer Übertragungseinrichtung der eingangs genannten Art erfindungsgemäß vorgesehen, dass eine sensorseitige Hardware-Codierungseinrichtung am Beginn der Übertragungsstrecke und eine übertragungszielseitige Decodierungseinrichtung am Ende der Übertragungsstrecke vorgesehen sind, wobei die Codierungseinrichtung zum Aufprägen wenigstens einer Sicherheitsinformation auf das Sensorsignal und die Decodierungseinrichtung zur Extraktion und Überprüfung der Sicherheitsinformation und zum Feststellen einer Fehlübertragung bei einer eine Abweichung anzeigenden Überprüfung ausgebildet ist.
  • Mithin wird vorgeschlagen, dem Sensorsignal durch eine Hardware-Komponente sensorseitig, also im Beginn der Übertragungsstrecke, eine Sicherheitsinformation als Zusatzinformation aufzuprägen bzw. hinzuzufügen, deren Korrektheit übertragungszielseitig, also am Ende der Übertragungsstrecke, durch die Decodierungseinrichtung überprüft werden kann, so dass die Gesamtsicherheit erhöht wird. Dadurch, dass in Bezug auf die Übertragungssicherheit lediglich eine Hardware-Komponente auf der Sensorseite benötigt wird, bestehen keine Sicherheitsanforderungen an die Softwarequalität auf der Sensorseite, so dass die Entwicklungskosten und Entwicklungszeiten absinken. Durch die zusätzlich überprüfbare Sicherheitsinformation wird mithin jede Art von Fehler, die auf der Übertragungsstrecke auftreten, durch die Decodierungseinrichtung detektiert, insbesondere also die gegebenenfalls durch die sensorseitige Software auftretenden Fehler, beispielsweise also Fehler einer CAN-Transceiver-Software. Es findet also eine zentrale Übertragungsfehlerdetektion auf der Seite des Übertragungsziels statt, so dass die Sicherheitsanforderungen an die sensorseitige Software stark reduziert sind. Mithin kann auf wenig aufwendige Weise dennoch eine hinreichend sichere Datenübertragung in einem Kraftfahrzeug erreicht werden.
  • Dabei kann in einigen Ausführungsbeispielen vorgesehen sein, dass die Sicherheitsinformation von den im Sensorsignal enthaltenen Sensordaten abhängig ist, was eine Redundanz zu dem Signal hinzufügt. Ein Beispiel für eine derartige Sicherheitsinformation ist eine Prüfsumme, worauf im Folgenden noch näher eingegangen werden wird.
  • In einer einfachen, vorteilhaften Ausführungsform kann vorgesehen sein, dass die Codierungseinrichtung als ein Modulator und die Decodierungseinrichtung als ein Demodulator ausgebildet ist. Modulatoren und Demodulatoren sind als Hardware-Komponenten gängig und günstig erhältlich. Bevorzugt ist es hierbei, wenn die Codierungseinrichtung zur Pulsweitenmodulation des Sensorsignals ausgebildet ist. In diesem Fall ist also ein PWM-Generator vorgesehen, der durch das Sensorsignal erregt wird und ein pulsweitenmoduliertes Sensorsignal erzeugt, das den Wert des gemessenen, insbesondere des noch analogen Sensorsignals wiedergibt. Hierbei bildet die Frequenz des pulsweitenmodulierten Sensorsignals die zusätzlich vorhandene Sicherheitsinformation, das bedeutet, die Decodierungseinrichtung, hier der Demodulator, überprüft, ob ein korrektes, pulsweitenmoduliertes Sensorsignal vorliegt anhand der Modulationsfrequenz.
  • Es sei an dieser Stelle noch angemerkt, dass selbstverständlich auch andere Modulationsarten, bei denen die Sicherheitsinformation beispielsweise auf das Sensorsignal aufmoduliert wird, denkbar sind, beispielsweise Modulation von Phase, Frequenz und dergleichen.
  • In einer alternativen Ausgestaltung kann auch vorgesehen sein, dass die Codierungseinrichtung als ein eine Prüfsumme als Sicherheitsinformation hinzufügendes Prüfsummenmittel und/oder ein auf einem Reed-Solomon-Code basierendes Codiermittel ausgebildet ist, welches einem Analog-Digital-Konverter für das Sensorsignal nachgeschaltet ist. Auf diese Weise kann dem Sensorsignal beispielsweise eine Prüfsumme als Sicherheitsinformation hinzugefügt werden, indem beispielsweise ein zur Ermittlung und Hinzufügung der Prüfsumme ausgebildeter FPGA als Codiereinrichtung beziehungsweise konkret Prüfsummenmittel eingesetzt wird. Reed-Solomon-Codes sind grundsätzlich bekannte Codierungsverfahren, die mit Blöcken von Symbolen arbeiten, die in der Regel jeweils aus acht Bit bestehen. Reed-Solomon-Codes bieten gute Fehlerkorrektureigenschaften und es existieren relativ einfache Decodieralgorithmen. Bei dieser Art von Codierung ist jedoch zu beachten, dass ein digitales Sensorsignal vorliegen muss, mithin die Funktion eines Analog-Digital-Konverters (ADC) nicht überprüft werden kann, so dass hier ein verlässlicher ADC eingesetzt werden sollte.
  • In zweckmäßiger weiterer Ausgestaltung kann vorgesehen sein, dass eine zweite Übertragungsstrecke von dem Sensor zu dem Übertragungsziel zur Übertragung des uncodierten Sensorsignals vorgesehen ist. Es wird also vorgeschlagen, auch das uncodierte Signal zu übertragen. In diesem Fall existieren zwei vorteilhafte Anwendungsmöglichkeiten. So kann zum einen vorgesehen sein, dass die Decodierungseinrichtung zur weiteren Überprüfung der Übertragung durch Vergleich des uncodierten Sensorsignals mit dem decodierten Sensorsignal ausgebildet ist. Das bedeutet, das uncodierte Sensorsignal kann für eine Plausibilisierung herangezogen werden. Besonders vorteilhaft an der zusätzlichen uncodierten Übertragung des Sensorsignals ist jedoch, dass für spezielle Anwendungsfälle zusätzliche Verzögerungen bei Zustandsübergängen des Sensorsignals, die durch die Codierung/Decodierung auftreten können, vermieden werden. Das bedeutet also, dass immer dann, wenn aufgrund des Sensorsignals ein Übergang in einen grundsätzlich sicheren Betriebszustand des Übertragungsziels oder einer angesteuerten Komponente/eines angesteuerten Aktuators übergegangen wird, sind Fehler bei der Übertragung weniger kritisch sind, da ja allenfalls in einen ohnehin sicheren Zustand geschaltet würde. Dies sei anhand eines Beispiels näher erläutert.
  • Geht es beispielsweise bei der vorliegenden Erfindung um die Aktivierung und Deaktivierung eines Scheinwerfers in Abhängigkeit eines Sensorsignals, so ist der Umschaltvorgang von „Licht aus” zu „Licht an” unkritisch. Denn „Licht an” ist ein sichererer Zustand als „Licht aus”. Hier kann also unmittelbar auch das uncodierte, direkt übertragene Sensorsignal verwendet werden und es kann eine schnellere Reaktion ermöglicht werden. Geht es jedoch um den Übergang „Licht an” zu „Licht aus”, so ist eine höhere Verlässlichkeit des Sensorsignals erforderlich, nachdem beispielsweise bei einer Nachtfahrt ein Deaktivieren der Scheinwerfer ungünstig und weniger sicher wäre. Für diesen Übergang wird also in jedem Fall das mit der Sicherheitsinformation übertragene, überprüfte Sensorsignal verwendet.
  • In weiterer Ausgestaltung der vorliegenden Erfindung kann vorgesehen sein, dass die Decodierungseinrichtung als ein insbesondere einem sicherheitsbezogenen Standard entsprechendes Softwaremittel ausgebildet ist. Nachdem auf der Decodierungsseite, wo ja auch die weitere Verarbeitung und/oder Auswertung des Sensorsignals stattfinden soll, ohnehin höhere Anforderungen an die funktionale Sicherheit gestellt werden und die dortige Software grundsätzlich robust und verlässlich entwickelt wird, beispielsweise entsprechend einer bestimmten ASIL-Stufe, kann dies auch für die Decodierungseinrichtung als Softwaremittel realisiert werden. Insbesondere kann vorgesehen sein, dass jedes Softwaremittel des Übertragungsziels, also insbesondere eines Steuergeräts und/oder eines Aktuators, nach diesem Standard ausgebildet ist. Dies ist häufig eine Anforderung an Steuergeräte, dass alle Softwaremittel dieselbe ASIL-Sicherheitsstufe oder dergleichen erfüllen.
  • Es kann ferner vorgesehen sein, dass wenigstens ein Teil der Übertragungsstrecke ein Bus ist, insbesondere ein CAN-Bus oder ein FlexRay-Bus oder ein LIN-Bus. Derartige Bussysteme werden in Kraftfahrzeugen häufig verwendet, um Daten zwischen unterschiedlichen Fahrzeugsystemen beziehungsweise Softwaregeräten auszutauschen.
  • Neben der Übertragungseinrichtung betrifft die vorliegende Erfindung ein Kraftfahrzeug, umfassend wenigstens einen ein Sensorsignal aufnehmenden Sensor, ein Übertragungsziel für die Sensordaten, insbesondere ein Steuergerät und/oder einen Aktuator, und eine erfindungsgemäße Übertragungseinrichtung. Sämtliche Ausführungen bezüglich der erfindungsgemäßen Übertragungseinrichtung lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, so dass auch mit diesem die genannten Vorteile erreicht werden können. Bei dem Sensor kann es sich beispielsweise um einen Temperatursensor und/oder einen Spannungssensor für eine Hochspannungsbatterie und/oder einzelne Zellen einer Hochspannungsbatterie und bei den Übertragungsziel um ein Steuergerät für ein Batteriemanagement-System handeln. Selbstverständlich sind jedoch auch andere sicherheitskritische Übertragungsstrecken innerhalb des Kraftfahrzeugs nach dem erfindungsgemäßen Verfahren ausgestaltbar.
  • Es sei an dieser Stelle noch angemerkt, dass der Begriff des Sensors im Rahmen des erfindungsgemäßen Verfahrens weit verstanden werden kann als jede Vorrichtung, die durch eine Art von Messung ein Sensorsignal aufnimmt, beispielsweise also auch Kommunikationseinrichtungen oder dergleichen, die eine beispielsweise drahtlose Übertragung als das Sensorsignal empfangen.
  • Dabei sei an dieser Stelle noch angemerkt, dass dann, wenn eine zweite Übertragungsstrecke zur unmittelbaren Übertragung des uncodierten Sensorsignals vorgesehen ist, das Übertragungsziel, insbesondere also ein Steuergerät, dazu ausgebildet sein kann, das uncodierte Sensorsignal unmittelbar auszuwerten, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird. Dies wurde bereits bezüglich der Übertragungseinrichtung näher erläutert.
  • Schließlich betrifft die vorliegende Erfindung auch ein Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke, welches sich dadurch auszeichnet, dass am Beginn der Übertragungsstrecke durch eine Hardware-Codierungseinrichtung wenigstens eine Sicherheitsinformation auf das Sensorsignal aufgeprägt wird und am Ende der Übertragungsstrecke durch eine Decodierungseinrichtung die Sicherheitsinformation extrahiert und überprüft wird, wobei bei einer eine Abweichung der Sicherheitsinformation anzeigenden Überprüfung eine Fehlübertragung festgestellt wird. Sämtliche Ausführungen bezüglich der erfindungsgemäßen Übertragungseinrichtung und des erfindungsgemäßen Kraftfahrzeugs lassen sich analog auch auf das erfindungsgemäße Verfahren übertragen, mit welchem mithin die bereits genannten Vorteile auch erhalten werden können.
  • In weiterer Ausgestaltung des erfindungsgemäßen Verfahrens kann vorgesehen sein, dass bei einer festgestellten Fehlübertragung das Übertragungsziel und/oder aufgrund des Sensorsignals von dem Übertragungsziel angesteuerte Aktuatoren in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand geschaltet werden. Wird also eine Fehlübertragung festgestellt, so wird diese wie ein Sensorfehler behandelt und das entsprechende System wird bezüglich des Sensors in einen sicheren Zustand gebracht, also in einen Zustand, in dem möglichst wenig Gefahr für das Kraftfahrzeug und insbesondere seine Insassen besteht.
  • Ferner kann vorgesehen sein, dass das uncodierte Sensorsignal über eine zweite Übertragungsstrecke an das Übertragungsziel übertragen wird, wobei das uncodierte Sensorsignal an dem Übertragungsziel unmittelbar ausgewertet wird, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird. Wie bereits bezüglich der Übertragungseinrichtung ausführlich erläutert, kann diese Vorgehensweise bei bestimmten in sichere Zustände führenden Zustandswechseln aufgrund des Sensorsignals zu einer schnelleren Reaktion führen.
  • Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnung. Dabei zeigen:
  • 1 eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs,
  • 2 eine Prinzipskizze einer erfindungsgemäßen Übertragungseinrichtung, und
  • 3 eine Prinzipskizze zur alternativen Realisierung einer Codierung.
  • 1 zeigt eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs 1. Es handelt sich dabei um ein Hybridfahrzeug, welches eine Hochspannungsbatterie 2 umfasst, der ein Batteriemanagement-System 3 zugeordnet ist. Die Hochspannungsbatterie 2 umfasst eine Mehrzahl von Lithium-Ionen-Zellen, deren Betriebszustand durch das Batteriemanagement-System 3 ständig überprüft wird. Hierzu sind Temperatursensoren 4 und Spannungssensoren 5 vorgesehen, von denen der Einfachheit halber nur jeweils einer gezeigt ist. Selbstverständlich können auch weitere Sensoren vorgesehen werden. Die Daten der Sensoren 4, 5 sollen in einem zentralen Steuergerät 6 des Batteriemanagement-Systems 3 ausgewertet werden. Mithin müssen die von den Sensoren 4, 5 aufgenommenen Sensorsignale möglichst verlässlich und fehlerfrei an das Steuergerät 6 als Übertragungsziel übertragen werden. Hierzu sind für die Sensoren 4, 5 jeweils erfindungsgemäße Übertragungseinrichtungen 7 vorgesehen, welche im Hinblick auf 2 näher erläutert werden sollen.
  • 2 zeigt mithin eine Prinzipskizze wesentlicher Komponenten der Übertragungseinrichtung 7 im Beispiel des Temperatursensors 4. Diesem ist ersichtlich eine eigene Steuereinheit 8 zugeordnet, die über einen CAN-Bus 9 als Teil der Übertragungsstrecke 10 verbunden sind.
  • Zu Beginn der Übertragungsstrecke 10 ist sensorseitig in der Steuereinheit 8 eine Codierungseinrichtung 11, vorliegend ein Modulator 12, vorgesehen. Der Modulator 12 ist ein Pulsweitenmodulations-Generator (PWM-Generator), der das gemessene Sensorsignal in ein pulsweitenmoduliertes Sensorsignal mit einer bestimmten Frequenz umsetzt. Der Modulator 12 ist gänzlich als Hardware realisiert. Das pulsweitenmodulierte Sensorsignal wird dann gemäß des Pfeils 13 an die nicht sicherheitskritisch zu realisierende Software 14 der Steuereinheit 8 des Sensors 4 weitergeleitet. Vorliegend umfasst die Software 14 insbesondere einen CAN-Transceiver, der die Daten für den Transport über den CAN-Bus 9 vorbereitet und auf den CAN-Bus 9 übergibt.
  • Die Übertragungsstrecke 10 kann also als ein sogenannter „Grey channel” vorgesehen werden, also eine nicht sicherheitskritische Kommunikationsverbindung zwischen zwei Modulen, hier die Kodierungseinrichtung 11 und die später zu diskutierende Dekodierungseinrichtung 18, die als sicherheitskritisch angesehen werden. Daten, die über einen „Grey channel” (Übertragungsstrecke 10) gesendet werden, können durch Fehler innerhalb der Übertragungsstrecke 10 beeinflusst werden, so dass diese Fehler anhand des sicherheitsbezogenen Empfängers, hier konkret der Dekodierungseinrichtung 18, dekodiert werden müssen.
  • Seitens des Steuergeräts 6 ist nun eine entsprechende Empfangssoftware 15 vorgesehen, die das pulsweitenmodulierte Sensorsignal aus dem CAN-Bus 9 abfragt und die ebenso einen CAN-Transceiver umfasst. Von dort wird das pulsweitenmodulierte empfangene Sensorsignal gemäß des Pfeils 16 an einen als Softwaremittel realisierten Demodulator 17 weitergegeben, der mithin die Decodierungseinrichtung 18 bildet.
  • Dabei sei an dieser Stelle angemerkt, dass sämtliche Softwaremittel des Steuergeräts 6 vorliegend einem Sicherheitsstandard entsprechend entwickelt wurden, der für das gesamte Steuergerät 6 außer die Übertragungsstrecke 10 gilt, insbesondere einer ASIL-Stufe des Steuergeräts 6 entsprechend. Sicherheitskritisch sind im vorliegenden Fall also die Dekodierungseinrichtung 18, die Verbindung zu einem Auswerte-Softwaremittel 20, das Auswerte-Softwaremittel 20 und die Ausgabe.
  • Der Demodulator 17 dient zwei Zwecken. Zum einen demoduliert er das pulsweitenmodulierte empfangene Sensorsignal wieder, so dass ein übertragenes demoduliertes Sensorsignal erhalten wird, Pfeil 19. Zum anderen aber überprüft er, ob eine korrekte, der Modulationsfrequenz als Sicherheitsinformation entsprechende Modulation vorliegt. Weicht die Sicherheitsinformation, hier die Frequenz, ab, so wird eine Fehlübertragung durch den Demodulator 17 festgestellt und es werden seitens des Steuergeräts 6 Maßnahmen ergriffen, um die Hochspannungsbatterie 2 in einen sicheren Zustand zu überführen, also einen Zustand, in dem sichergestellt ist, dass sich die entsprechende Betriebsgröße – hier die Temperatur – in einem zulässigen Intervall bewegt und/oder die entsprechende Lithium-Ionen-Zelle gänzlich deaktiviert wird. Bei Feststellung einer Fehlübertragung wird also zumindest bezüglich des Sensors 4 ein sicherer Betriebszustand beziehungsweise ein sicherer Betriebsmodus herbeigeführt.
  • Wird keine Fehlübertragung festgestellt, so wird das übertragene demodulierte Sensorsignal von dem Auswerte-Softwaremittel 20 ausgewertet, welches hieraus entsprechende Aktuatorsignale, beispielsweise einzustellende Betriebsparameter für die Hochspannungsbatterie 2, erzeugen kann, Pfeil 21.
  • Wie in 2 ebenso dargestellt ist, kann optional auch eine zweite Übertragungsstrecke realisiert werden, vgl. Pfeile 22, 23, auf der das Sensorsignal unmittelbar über den CAN-Bus 9 übertragen wird, das bedeutet, ohne Hinzufügen einer Sicherheitsinformation. Eine derartige zweite Übertragungsstrecke kann in zweierlei Hinsicht vorteilhaft sein. Zum einen kann der Demodulator 17 ausgebildet sein, zur Überprüfung des Vorliegens einer Fehlübertragung auch einen Vergleich zwischen den unmittelbar übertragenen Sensorsignal und dem empfangenen demodulierten Sensorsignal vorzunehmen, sodass eine weitere Plausibilisierung möglich ist. Zum anderen aber kann in einer bevorzugten Ausgestaltung der Erfindung das unmittelbar übertragene Sensorsignal, welches also nicht moduliert und demoduliert wurde, immer dann unmittelbar als Eingang für die Auswerte-Softwaremittel 20 verwendet werden, wenn es ohnehin um das Erreichen eines sichereren Betriebszustands beziehungsweise Betriebsmodus geht. Denn dann kann ein Fehler lediglich zu einem allgemein sichereren Zustand führen, was zunächst nicht nachteilhaft ist, jedoch Zeitverzögerungen aufgrund der Modulation und Demodulation, wenn lediglich das auf sichere Weise übertragene Signal verwendet würde, vermeidet.
  • 3 zeigt eine Möglichkeit zur Realisierung eines alternativen Ausführungsbeispiels, bei dem eine vom Sensorsignal selbst abhängige Sicherheitsinformation dem Sensorsignal aufgeprägt wird. Ersichtlich wird das Sensorsignal, während in der Ausführungsform nach 2 unmittelbar das analoge Sensorsignal moduliert wurde, dort zunächst einem Analog-Digital-Wandler 24 zugeführt, bevor es durch die hier als Prüfsummenmittel 25 ausgebildete Codierungseinrichtung 11 weitergeleitet wird. In diesem Fall wird die Funktion des ADC 24 nicht überprüft, da nur für das digitalisierte Sensorsignal eine Prüfsumme ermittelt werden kann. Das Prüfsummenmittel 25 kann dabei beispielsweise als ein FPGA ausgeführt sein, das bedeutet, es ist wiederum gänzlich durch Hardware realisiert.
  • Abschließend sei an dieser Stelle noch angemerkt, dass auch ein Reed-Solomon-Code zur Codierung verwendet werden kann. Wird beispielsweise die PAR2-Prüfsumme verwendet, kann das Prüfsummenmittel 25 auch ein auf dem Reed-Solomon-Code basierendes Codiermittel sein.
  • Es sei an dieser Stelle noch angemerkt, dass die erfindungsgemäße Übertragungseinrichtung 7 auch in anderen Bereichen eines Kraftfahrzeugs, wo eine verlässliche, sichere Übertragung von Sensorsignalen erforderlich ist, eingesetzt werden kann, beispielsweise bei die Aktivierung und Deaktivierung eines Scheinwerfers bestimmenden Sensorsignalen und dergleichen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Norm ISO 26262 [0004]
    • ISO 26262 in Teil 6 [0004]

Claims (12)

  1. Übertragungseinrichtung (7) zur sicheren Übertragung eines Sensorsignals eines Sensors (4, 5) an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke (10), insbesondere in einem Kraftfahrzeug (1), dadurch gekennzeichnet, dass eine sensorseitige Hardware-Codierungseinrichtung (11) am Beginn der Übertragungsstrecke (10) und eine übertragungszielseitige Decodierungseinrichtung (18) am Ende der Übertragungsstrecke (10) vorgesehen sind, wobei die Codierungseinrichtung (11) zum Aufprägen wenigstens einer Sicherheitsinformation auf das Sensorsignal und die Decodierungseinrichtung (18) zur Extraktion und Überprüfung der Sicherheitsinformation und zum Feststellen einer Fehlübertragung bei einer eine Abweichung anzeigenden Überprüfung ausgebildet ist.
  2. Übertragungseinrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Codierungseinrichtung (11) als ein Modulator (12) und die Decodierungseinrichtung (18) als ein Demodulator (17) ausgebildet ist.
  3. Übertragungseinrichtung nach Anspruch 2, dadurch gekennzeichnet, dass die Codierungseinrichtung (11) zur Pulsweitenmodulation des Sensorsignals ausgebildet ist.
  4. Übertragungseinrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Codierungseinrichtung (11) als ein eine Prüfsumme als Sicherheitsinformation hinzufügendes Prüfsummenmittel (25) und/oder ein auf einem Reed-Solomon-Code basierendes Codiermittel ausgebildet ist, welches einem Analog-Digital-Konverter (24) für das Sensorsignal nachgeschaltet ist.
  5. Übertragungseinrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass eine zweite Übertragungsstrecke von dem Sensor (4, 5) zu dem Übertragungsziel zur Übertragung des uncodierten Sensorsignals vorgesehen ist.
  6. Übertragungseinrichtung nach Anspruch 5, dadurch gekennzeichnet, dass die Decodierungseinrichtung (18) zur weiteren Überprüfung der Übertragung durch Vergleich des uncodierten Sensorsignals mit dem decodierten Sensorsignal ausgebildet ist.
  7. Übertragungseinrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Decodierungseinrichtung (18) als ein insbesondere einem sicherheitsbezogenen Standard entsprechendes Softwaremittel ausgebildet ist.
  8. Übertragungseinrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass wenigstens ein Teil der Übertragungsstrecke (10) ein Bus ist, insbesondere ein CAN-Bus (9) oder ein FlexRay-Bus.
  9. Kraftfahrzeug (1), umfassend wenigstens einen ein Sensorsignal aufnehmenden Sensor (4, 5), ein Übertragungsziel für die Sensordaten, insbesondere ein Steuergerät (6) und/oder ein Aktuator, und eine Übertragungseinrichtung (7) nach einem der vorangehenden Ansprüche.
  10. Verfahren zur sicheren Übertragung eines Sensorsignals eines Sensors (4, 5) an ein das Sensorsignal auswertendes und/oder verarbeitendes Übertragungsziel über eine Übertragungsstrecke (10), dadurch gekennzeichnet, dass am Beginn der Übertragungsstrecke (10) durch eine Hardware-Codierungseinrichtung (11) wenigstens eine Sicherheitsinformation auf das Sensorsignal aufgeprägt wird und am Ende der Übertragungsstrecke (10) durch eine Decodierungseinrichtung (18) die Sicherheitsinformation extrahiert und überprüft wird, wobei bei einer eine Abweichung der Sicherheitsinformation anzeigenden Überprüfung eine Fehlübertragung festgestellt wird.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass bei einer festgestellten Fehlübertragung das Übertragungsziel und/oder aufgrund des Sensorsignals von dem Übertragungsziel angesteuerte Aktuatoren in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand geschaltet werden.
  12. Verfahren nach Anspruch 10 oder 11, dadurch gekennzeichnet, dass das uncodierte Sensorsignal über eine zweite Übertragungsstrecke an das Übertragungsziel übertragen wird, wobei das uncodierte Sensorsignal an dem Übertragungsziel unmittelbar ausgewertet wird, wenn es im Hinblick auf ein Umschalten in einen sicheren Betriebsmodus und/oder einen sicheren Betriebszustand ausgewertet wird.
DE201110116642 2011-10-20 2011-10-20 Übertragungseinrichtung und Verfahren zur sicheren Übertragung eines Sensorsignals an ein Übertragungsziel und Kraftfahrzeug Withdrawn DE102011116642A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE201110116642 DE102011116642A1 (de) 2011-10-20 2011-10-20 Übertragungseinrichtung und Verfahren zur sicheren Übertragung eines Sensorsignals an ein Übertragungsziel und Kraftfahrzeug
PCT/EP2012/004257 WO2013056797A2 (de) 2011-10-20 2012-10-11 Übertragungseinrichtung und verfahren zur sicheren übertragung eines sensorsignals an ein übertragungsziel und kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110116642 DE102011116642A1 (de) 2011-10-20 2011-10-20 Übertragungseinrichtung und Verfahren zur sicheren Übertragung eines Sensorsignals an ein Übertragungsziel und Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE102011116642A1 true DE102011116642A1 (de) 2013-04-25

Family

ID=47177867

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110116642 Withdrawn DE102011116642A1 (de) 2011-10-20 2011-10-20 Übertragungseinrichtung und Verfahren zur sicheren Übertragung eines Sensorsignals an ein Übertragungsziel und Kraftfahrzeug

Country Status (2)

Country Link
DE (1) DE102011116642A1 (de)
WO (1) WO2013056797A2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013204891A1 (de) * 2013-03-20 2014-09-25 Robert Bosch Gmbh Verfahren zur Rekonstruktion von Messdaten
DE102020214694A1 (de) 2020-11-23 2022-05-25 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Überprüfen einer Vollständigkeit eines Anzeigeinhalts beim Übertragen zumindest einer Anzeigeinformation für ein Fahrzeug

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0961724B2 (de) * 1997-02-19 2007-09-12 Pacifica Group Technologies Pty Ltd Bremsanlage für ein kraftfahrzeug und verfahren zum übermitteln von daten in einer elektrisch gesteuerten kraftfahrzeug-bremsanlage

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100201580B1 (ko) * 1991-04-02 1999-06-15 후루까와 준노스께 다중전송시스템
DE69433866T2 (de) * 1993-02-15 2005-06-30 Honda Giken Kogyo K.K. Verfahren zur Übertragung von Daten
DE10250920B4 (de) * 2002-10-31 2005-05-04 Siemens Ag Ausgabeeinheit, Empfangseinheit, Anordnung zur Datenübertragung in einem Kraftfahrzeug sowie Verfahren dazu
DE102006051907A1 (de) * 2005-11-03 2007-08-30 Continental Teves Ag & Co. Ohg Gemischtsignalschaltkreis für ein elektronisches, abgesichertes Steuer- bzw. Regelungssystem

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0961724B2 (de) * 1997-02-19 2007-09-12 Pacifica Group Technologies Pty Ltd Bremsanlage für ein kraftfahrzeug und verfahren zum übermitteln von daten in einer elektrisch gesteuerten kraftfahrzeug-bremsanlage

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ISO 26262 in Teil 6
Norm ISO 26262

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013204891A1 (de) * 2013-03-20 2014-09-25 Robert Bosch Gmbh Verfahren zur Rekonstruktion von Messdaten
DE102013204891B4 (de) * 2013-03-20 2021-03-25 Robert Bosch Gmbh Verfahren zur Rekonstruktion von Messdaten
DE102020214694A1 (de) 2020-11-23 2022-05-25 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Überprüfen einer Vollständigkeit eines Anzeigeinhalts beim Übertragen zumindest einer Anzeigeinformation für ein Fahrzeug

Also Published As

Publication number Publication date
WO2013056797A3 (de) 2013-08-15
WO2013056797A2 (de) 2013-04-25

Similar Documents

Publication Publication Date Title
EP2882626B1 (de) Verfahren und anordnung zum überwachen eines durch zwei achszähl-sensoreinheiten begrenzten streckenabschnitts
DE112017004873T5 (de) Sicherheitssystem für elektronikausrüstung
DE102015119439A1 (de) Reduzierte Leistungsaufnahme bei Datenübertragung mit Sensoren mittels Strommodulation
WO2017108675A1 (de) Überwachung und modifikation von kraftfahrzeugfunktionen in einem kraftfahrzeug
DE10311364B4 (de) Vorrichtung zum Erlangen von Fahrzeugradinformationen und Vorrichtung zum Verarbeiten der Radinformationen
EP3871933B1 (de) Testeinrichtung und testverfahren für ein elektro-pneumatisches bremssystem von zügen
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
WO2018133953A1 (de) Verfahren zum betreiben einer überwachungsvorrichtung eines datennetzwerks eines kraftfahrzeugs sowie überwachungsvorrichtung, steuergerät und kraftfahrzeug
EP2613462B1 (de) Verfahren zur Überwachung eines Transmitters und entsprechender Transmitter
EP3295645A1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102013200535A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102011116642A1 (de) Übertragungseinrichtung und Verfahren zur sicheren Übertragung eines Sensorsignals an ein Übertragungsziel und Kraftfahrzeug
DE102018220605A1 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102009055044A1 (de) Verfahren und Vorrichtung zur Unterbindung einer ungewollten Beschleunigung eines Fahrzeuges
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102012110712B4 (de) Verfahren und System zur Funktionsprüfung einer Fehlererkennungseinheit einer CAN-Bus-Controllereinheit
DE102020210876B4 (de) Verfahren zur Gewährleistung der Integrität von Daten zur Sicherstellung der Betriebssicherheit und Fahrzeug-zu-X Vorrichtung
DE102007058071A1 (de) Verfahren und Vorrichtung zur Plausibilisierung einer Auswertung von sicherheitsrelevanten Signalen für ein Kraftfahrzeug
DE102008018014A1 (de) Verfahren zum automatischen Initialisieren von Radelektroniken und Fahrzeug
DE102013200525A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
WO2011091996A1 (de) Verfahren und vorrichtung zur erzeugung eines bremslichtausgangssignals einer bremsanlage für ein fahrzeug
EP2575282B1 (de) Vorrichtung sowie Verfahren zum Empfangen eines sicheren Telegramms
EP2960632B1 (de) Verfahren und system zum aufbereiten von durch kraftfahrzeugseitig angeordnete sensoren erzeugten sensormesswerten
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
WO2018162161A1 (de) Verfahren und vorrichtungen zum rückwirkungsfreien übermitteln von informationen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee