(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-05
(45)【発行日】2024-07-16
(54)【発明の名称】イーサネットオンボードネットワークのセンサデータの有効性を検証するための方法
(51)【国際特許分類】
H04L 7/00 20060101AFI20240708BHJP
【FI】
H04L7/00 810
H04L7/00 990
(21)【出願番号】P 2022537048
(86)(22)【出願日】2020-12-16
(86)【国際出願番号】 EP2020086533
(87)【国際公開番号】W WO2021122823
(87)【国際公開日】2021-06-24
【審査請求日】2022-06-16
(31)【優先権主張番号】102019220495.3
(32)【優先日】2019-12-20
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】508097870
【氏名又は名称】コンチネンタル オートモーティヴ ゲゼルシャフト ミット ベシュレンクテル ハフツング
【氏名又は名称原語表記】Continental Automotive GmbH
【住所又は居所原語表記】Vahrenwalder Strasse 9, D-30165 Hannover, Germany
(74)【代理人】
【識別番号】100114890
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100134315
【氏名又は名称】永島 秀郎
(74)【代理人】
【識別番号】100162880
【氏名又は名称】上島 類
(72)【発明者】
【氏名】ヘルゲ ツィナー
【審査官】阿部 弘
(56)【参考文献】
【文献】国際公開第2019/197233(WO,A1)
【文献】国際公開第2019/081463(WO,A1)
【文献】独国特許出願公開第102018207684(DE,A1)
【文献】特開2017-034671(JP,A)
【文献】特開2012-170076(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 7/00
(57)【特許請求の範囲】
【請求項1】
自動車(1)においてイーサネットオンボードネットワーク(2)のセンサデータの有効性をチェックするための方法であって、
d)前記イーサネットオンボードネットワーク(2)の第1の制御ユニット(3)と前記イーサネットオンボードネットワーク(2)の第2の制御ユニット(4)との間の第1の接続経路(6)上の第1の信号(10)の遅延時間(9)を判定することと、
e)前記遅延時間(9)に基づいて、前記第1の接続経路(6)の最大速度(11)を判定することと、
f)前記最大速度(11)に基づいて、前記第1の接続経路(6)の伝送媒体(12)のタイプを判定することと、
からなるステップを実行する、方法において、
- 前記イーサネットオンボードネットワーク(2)の少なくとも第1の制御ユニット(3)を識別することと、
- 前記イーサネットオンボードネットワーク(2)の少なくとも第1の制御ユニット(3)を同期することと、
-
前記第1の制御ユニット(3)の前記同期
の間隔を確認することと、
- 前記第1の制御ユニット(3)のタイマ(410)のドリフトを確認することと、
- 前記第1の制御ユニット(3)のタイムスタンプを確認することと、
- タイムスタンプを読み取るか、又は前記第1の制御ユニット(3)の前記時間を照会することと、
-
前記第1の制御ユニット(3)の前記タイムスタンプを前記イーサネットオンボードネットワーク(
2)の基準クロックと比較することと、
-
前記第1の制御ユニット(3)の遅延時間測定を実行することと、
- 関連するクロックジェネレータの速度を確認することと、
- 前記同期
の間隔の時間差を確認することと、
-
前記第1の制御ユニット(3)のノードの最後の正常な同期がいつ行われたか、および、前記ノードがもはや同期されなくなった期間を確認することと、
からなるステップを実行する、ことを特徴とする、方法。
【請求項2】
前記タイマの前記ドリフトが、プロトコルIEEE 802.1ASによって確認される、ことを特徴とする、請求項1に記載の方法。
【請求項3】
前記タイムスタンプの前記イーサネットオンボードネットワーク(
2)の基準クロックとの前記比較が、Tdeviation=Treference-Tsuspectの形態で計算される差をもたらす、ことを特徴とする、請求項1又は2に記載の方法。
【請求項4】
前記クロックジェネレータの前記速度が、PTP NRR(隣接レート比)法によって確認される、ことを特徴とする、請求項1~3のいずれか一項に記載の方法。
【請求項5】
前記伝送媒体(12)の前記タイプ、及び
- 前記同期
の間隔の確認、
- 前記第1の制御ユニット(3)のタイマ(410)のドリフトの確認、
- 前記第1の制御ユニット(3)のタイムスタンプの確認、
- 前記関連する前記クロックジェネレータの前記速度の確認、
- 前記同期
の間隔の前記時間差の確認、
- 前記
第1の制御ユニット(3)のノードの最後の正常な同期がいつ行われたか、および、前記ノードがもはや同期されなくなった期間の確認
が、前記イーサネットオンボードネットワーク(2)内のプログラム(13)に通信され、前記プログラム(13)の接続経路の選択(14)が、前記伝送媒体(12)の前記タイプに基づいて適合される、ことを特徴とする、請求項1~4のいずれか一項に記載の方法。
【請求項6】
前記伝送媒体(12)の前記タイプが、光、銅、又は無線として判定される、ことを特徴とする、請求項1~5のいずれか一項に記載の方法。
【請求項7】
前記第1の接続経路(6)を介して送信されるデータの損失の確率を表す伝送セキュリティ値(15)が、前記伝送媒体(12)の前記タイプに基づいて、前記第1の接続経路(6)に割り当てられる、ことを特徴とする、請求項1~6のいずれか一項に記載の方法。
【請求項8】
前記第1の接続経路(6)上の複数の信号の遅延時間が判定され、前記複数の信号の最速の遅延時間が選択され、前記最速の遅延時間に基づいて、前記第1の接続経路(6)の前記最大速度(11)が判定される、ことを特徴とする、請求項1~7のいずれか一項に記載の方法。
【請求項9】
前記第1の制御ユニット(3)と前記第2の制御ユニット(4)との間の、前記第1の接続経路(6)とは異なる第2の接続経路(7)上の第2の信号(17)の遅延時間(16)が判定され、前記第2の接続経路(7)の最大速度(11)が判定され、前記第2の接続経路(7)の前記最大速度(11)に基づいて、前記第2の接続経路(7)の前記伝送媒体(19)のタイプが判定される、ことを特徴とする、請求項1~8のいずれか一項に記載の方法。
【請求項10】
前記方法が、前記第1の制御ユニット(3)が通常動作モードから省エネモードに、及び/又は前記省エネモードから前記通常動作モードに変化した後に実行される、ことを特徴とする、請求項1~9のいずれか一項に記載の方法。
【請求項11】
前記第1の信号(10)の前記遅延時間(9)が、前記第1の制御ユニット(3)を使用して判定され、前記イーサネットオンボードネットワーク(2)の前記第2の制御ユニット(4)と第3の制御ユニット(5)との間の前記第1の制御ユニット(3)に間接的にのみ接続されている、第3の接続経路(8)上の第3の信号(22)の遅延時間(21)が、前記第3の制御ユニット(5)を使用して判定され、前記第3の信号(22)の前記遅延時間(21)の前記判定が、前記第1の制御ユニット(3)から前記第3の制御ユニット(5)に送信されたサービスメッセージ(20)によってトリガされる、ことを特徴とする、請求項1~10のいずれか一項に記載の方法。
【請求項12】
第1の制御ユニット(3)の形態としての、イーサネットオンボードネットワーク(2)用の制御ユニットであって、
- 信号(10)を前記イーサネットオンボードネットワーク(2)の第2の制御ユニット(4)に送信し、前記信号(10)を前記第2の制御ユニット(4)から受信し、
- 前記第2の制御ユニット(4)までの接続経路(6)上の前記信号(10)の遅延時間(9)を判定し、
- 前記遅延時間(9)に基づいて前記接続経路(6)の最大速度(11)を判定し、
- 前記最大速度(11)に基づいて前記接続経路(6)の伝送媒体(12)のタイプを判定する、ように設計され、
少なくとも、
- マイクロプロセッサ(402)と、
- 揮発性メモリ(404)及び不揮発性メモリ(406)と、
- 少なくとも2つの通信インターフェース(408)と、
- 同期可能タイマ
(410
)と、を含み、
前記不揮発性メモリ(406)が、前記マイクロプロセッサ(402)によって実行されると、
請求項1~10のいずれか一項に記載の方法
を実行可能であるプログラム命令を含む、ことを特徴とする、制御ユニット。
【請求項13】
自動車(1)用のイーサネットオンボードネットワーク(2)であって、第1の制御ユニット(3)及び第2の制御ユニット(4)を有し、前記制御ユニット(3、4)が少なくとも1つの接続経路(6,7)を介して互いに接続され、前記第1の制御ユニット(3)が、請求項11に記載の
方法を実行する、イーサネットオンボードネットワーク(2)。
【請求項14】
前記イーサネットオンボードネットワーク(2)が、第3の制御ユニット(5)を備え、前記第1の制御ユニット(3)に間接的にのみ接続され、及び第3の接続経路(8)を介して前記第2の制御ユニット(4)に直接接続されており、前記第3の制御ユニット(5)が、前記第3の接続経路(8)上の第3の信号(22)の遅延時間(21)を判定するように設計されており、前記第1の制御ユニット(3)が、前記第3の制御ユニット(5)へのサービスメッセージ(20)によって前記第3の信号(22)の前記遅延時間(21)の前記判定をトリガするように設計されている、ことを特徴とする、請求項
13に記載のイーサネットオンボードネットワーク
(2)。
【請求項15】
命令を含むコンピュータプログラ
ムであって、前記
コンピュータプログラムがコンピュータによって実行されると、前記命令が前記コンピュータに、請求項1~10のいずれか一項に記載の方法(200)を実行させる、コンピュータプログラ
ム。
【請求項16】
請求項
15に記載の前記コンピュータプログラ
ムが記憶されている、コンピュータ可読媒体。
【請求項17】
複数の、イーサネットオンボードネットワークを備える請求項12に記載の
前記第1の制御ユニット(
3)を有する、車両。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、センサデータの有効性をチェックするための方法に関する。
【背景技術】
【0002】
自動車メーカ(OEM)及び自動車業界のTier-1サプライヤは、車両コントローラ又は電子制御デバイス/制御ユニット、ECU用の次世代アーキテクチャを準備している。1つの発展形態は、制御デバイスが例えば右前ドアゾーンなどのゾーンにグループ化される、いわゆる、「ゾーン指向アーキテクチャ」である。以前のアーキテクチャとの違いは、コントローラが特定の物理的又は空間的な位置に配置されて、そこに配置されたセンサからデータを最適にキャプチャすることである。したがって、例えば、右前ドアのセンサからデータを収集する制御ユニットは、右前ドアゾーンに配置され得る。
【0003】
他のコントローラ及びプロセッサに対する、機能及びアプリケーション用のソフトウェア実行のローカリゼーション又は配布もまた検討されている。そのようなローカリゼーション又は配布は、最適化の一部であり得、また、例えば制御デバイスのエラー又は障害が発生した場合に使用され得る。このローカリゼーション又は配布は、動的移行又は単に移行として既知である。車両内の他の制御デバイス/プロセッサに対するソフトウェアの動的移行用の大量生産が間もなく予期されている。
【0004】
イーサネットは、ネットワーク内の制御デバイスを接続するために選択されるネットワークであり得る。イーサネット技術は、車両及びサプライヤ製品の電気システムに対してますます人気が高まっている。イーサネット技術を使用するには、効果的な同期の概念が必要である。
【0005】
既存のイーサネットシステムは、時間同期標準IEEE 802.1ASの実装を使用する場合がある。特に注目を集める2つのバリエーションは、802.1AS-Revの選択及び802.1AS-Revの時間領域であり、後者は前者に対する必須要件である。物理的伝送標準以外の他のプロトコルは、イーサネットAVB及びその後継のイーサネットTSNである。イーサネットAVBは、既に大量生産されている自動車用に導入されている。イーサネットTSN及びAVBの重要な下位標準は、時間同期標準IEEE 802.1ASであり、これは、上位層LANプロトコル(ブリッジング)用のメイン標準IEEE 802.1に依拠している。どちらの標準も、IEEE 1588高精度時間プロトコル(Precision Time Protocol:PTP)を使用して、イーサネットネットワークにおいて共通のタイムベースを確立する。
【0006】
OSI層モデルの第3層上で、イーサネット接続は、送信機と受信機との間でデータパケットを送信するための多数のスイッチングプロトコルをサポートする。より上位のプロトコル層では、パケットへのデータストリームの分割、通信しているシステム間のプロセス通信、システム非依存の形態へのデータ変換、及び最後にアプリケーション用の機能の提供が行われる。
【0007】
車両で使用されるほとんど全てのイーサネット通信ネットワークは、全てのネットワークデバイスにおいて同期しているグローバルネットワークタイムベースを提供する時間同期に関連するプロトコルを使用する。時間同期ネットワークデバイスの普及は、今後も増大し続けると予期されている。
【0008】
IEEE 802.1AS標準は、時間同期に関連するそのようなプロトコルを提供する。グランドマスタ又はグランドマスタクロック、マスタスレーブとしても既知である、ネットワーク内のいわゆる「ベストクロック」に基づき、マスタスレーブクロック階層が設定される。
【0009】
グランドマスタは、ネットワーク内の他の全てのネットワークデバイスが同期される、ネットワーク用のタイムベースを提供する。グランドマスタは、いわゆるベストマスタクロックアルゴリズム(BMCA)によって判定され、ネットワーク内でアナウンスされる。これを行うために、IEEE 802.1AS互換のネットワークデバイスは、直接接続されている他のネットワークデバイスに対して、内部クロックに関する情報を含むアナウンスメッセージを送信する。内部クロックに関する情報は、それぞれのクロックの精度、その基準又は時間基準、及びネットワークにおいてベストクロックを判定するために使用され得る他のプロパティの指標を提供する。そのようなアナウンスメッセージの受信者は、受信した情報を自身の内部クロックの機能と比較し、別のポートから既に受信している任意のメッセージを他のネットワークデバイスのクロックに関連する情報と比較し、より良好なクロックパラメータを有している場合は、別のネットワークデバイスにおけるクロックを受け入れる。しばらくすると、ネットワークにおけるベストクロックが確認され、これがネットワークにおけるグランドマスタになる。グランドマスタに基づき、時間同期に関連するメッセージが、ネットワークを介してブロードキャストされる。時間同期に関連するメッセージを受信するネットワークデバイスは、単にメッセージを転送するのではなく、接続時に以前に確認された遅延時間用の時間情報を修正し、それによって、内部処理時間に対しても、修正された時間情報との時間同期に関連するメッセージを再送信する前に、直接接続されたネットワークデバイスから時間同期に関連するメッセージを受信する。
【0010】
IEEE 802.1AS及びそこで定義されている一般化された高精度時間プロトコル(gPTP)に従ったクロック階層の場合、単一のネットワークデバイスのみが常に、ネットワークにおいてベストクロックを提供する。したがって、このネットワークデバイスは、車両の全時間を制御及び調整する。ネットワーク内のネットワークデバイスにおける全ての他のクロックは、この1つのクロックによって排他的に制御される。いくつかの車両メーカは、このイーサネットタイムマスタによって、例えばCANである、他の標準のネットワークを同期することさえもあり、これは、車両内のほとんど全てのネットワークデバイスが、グランドマスタを提供するネットワークデバイスによって、システム時間を通知されることを意味する。その結果、単一のネットワークデバイスは、ネットワーク又は車両の単一の障害点として定義され、そのデバイスの障害又は操作は、車両の動作上の安全性に深刻な影響を及ぼす可能性がある。したがって、例えば、適切なシステム又は(半)自動運転用のシステムによる高度な運転者サポートを備えた車両では、車両のアクチュエータ用の適切な制御信号を導出するために、狭い時間窓内でキャプチャされた大量のセンサデータを一緒に処理する必要がある。センサデータに対する最も正確で可能な時間登録は、例えば、誤動作又は操作エラーを再構築するために分析され得るログファイル内に記憶する際に、文書化の目的でも非常に重要な場合がある。後者は、特に保険会社及び法執行機関にとって、非常に興味深いものである。したがって、時間情報の安全で同期された提供が不可欠である。
【0011】
欧州特許出願公開第2759174A1号明細書によれば、受信したノードと受信しているノードとの間のカウンタの差は、タイムスタンプ及びエラー計算ユニットに基づいて判定される。エラー値は、2つのカウンタ値間(絶対値)の差から、又は2つのカウンタ値間のドリフトの差を使用して計算される。
【0012】
欧州特許出願公開第2490357A2号明細書は、ネットワーク内の受信ノードのグローバルネットワーク時間のローカル推定値を、ネットワーク内の少なくとも第1と第2の送信ノードのうちの1つからのグローバルネットワーク時間基準と同期するための方法を記載している。クロック同期方法により、ノードが同期されているか否かを検出するために、アビオニクスネットワーク内の自走ノードを判定することを可能にする。検出された場合は、同期フラグを設定することが提案されている。
【0013】
米国特許出願公開第2008183896A1号明細書は、ネットワークに対して事前に定義されており、且つこのサーバのクロック源のクロックに対するサーバ用のクロックの最大ドリフト率の関数である、通信の損失が長すぎることが判明した場合、受信サーバがその時間パラメータが無効であると宣言することを説明している。
【0014】
欧州特許出願公開第2191300A1号明細書は、地震データを取得するためのセンサネットワークを開示している。この目的のために、クロック更新サイクルは、最大許容時間偏差、及び確認された(電流)周波数ドリフトに基づいて判定される。
【0015】
欧州特許出願公開第2382829A1号明細書は、一連のステップを含む、基地局送受信機(BTS)の基準周波数を基地局コントローラ(BSC)の基準周波数と同期するための方法を開示しており、ここで、同期パケットが送信され、送信用のタイムスタンプ及び受信用のタイムスタンプが提供される。ネットワーク配信の評価は、観察期間の終了後に評価される。それが十分に高い場合、受信した同期パケットの信頼レベルが確認される。信頼レベルが閾値を超えている場合にのみ、基地局送受信機の発振器の基準周波数が修正される。
【0016】
自動車における環境センサシステムの数は、何年にもわたって継続的に増大している。2016年には、既存の超音波センサとレーダセンサに加えて、レーザスキャナもまた大量生産に使用された。大量生産の準備がほぼ整った方法で自動車において様々なセンサシステムが使用されているにもかかわらず、得られたセンサデータの融合に関して、未解決の課題が依然として存在している。データ融合を使用して、個別のセンサシステムの弱点を補償し、冗長性によってより優れたフェイルセーフ性(堅牢性)を保証することができる。ADASシステム用のデータ品質を交通渋滞又は都市環境でも安定させるために、例えば緊急ブレーキなどの、同じ視野を監視する異なるセンサシステムが、安全が重大な結果に関わる操作に必要である。センサ融合という用語は、異なるセンサからのデータのマージを表す。センサ融合の目的は、融合結果のデータが、それぞれのセンサから取得された個別のデータよりも、あらゆる面でより高い品質を有することである。更に、同種のセンサネットワークと異種のセンサネットワークは区別される。同種のセンサネットワークでは、全てのセンサが同じ物理的測定原理を使用するため、同じ物理的制限(例えば、範囲、精度、及びノイズに対する感度)の影響を受ける。一方、異種のセンサネットワークでは、異なる測定技術が使用され、これは時に、あるセンサの弱点を別のセンサによって補償することができることを意味する。ここで、センサ融合は、補完的、競争的、協調的に分離される。
【0017】
ネットワークの時間同期を使用することにより、通信ネットワークの構成又は構造の変化を検出するためのいくつかのアプローチが、従来技術から既知である。センサ融合の追加の利点を使用するために、データストリーム及びそのデータストリームの相互の関連付けを監視する必要がある。ネットワークの構成を許可なく変更すると、混乱をまねく可能性があり、これには、分析のためにメッセージを傍受し、必要に応じて変更されたメッセージを再送信する攻撃の準備を伴う可能性がある。これは、安全で適切な動作を妨げるか又は少なくとも混乱させるために用いられ得る。
【0018】
現在のところ、タイムスタンプを検証するソリューションは存在しない。2つのパケットを融合するがタイムスタンプが一致しないと想定される場合、融合ユニットはどのように挙動すべきだろうか?もちろん、これは、データが古くて使用できないことを必ずしも意味するのではなく、タイムスタンプにエラーが存在することを意味する。また、全てのパケットが実際には重要であり、通常、それらのいずれかを省略することが可能でないことにも言及する必要がある。例えば、ADASシステムでは、失われたパケットを再要求する時間は存在しない。データの損失によって引き起こされる運転上の安全性に対する重要な問題は深刻な結果をもたらし、システム内のアクチュエータの誤った制御につながる可能性がある。
【0019】
したがって、本発明の目的は、タイムスタンプが誤って割り当てられた場合に、これを検出し、センサ融合によってタイムスタンプを確実に使用するために、この検出の結果として、割り当てられたデータが時間的に異なる起源を有するために、データが一緒に属しているかどうかをチェックする方法を提供することである。
【0020】
この目的は、請求項1で規定される方法及び請求項11で規定される制御ユニットによって達成される。実施形態及び更なる発展形態は、それぞれの従属請求項に規定されている。
【0021】
言い換えれば、本発明の目的は、オンボードネットワークにおける時間同期を安全に監視及び確保することである。
【0022】
時間は、エラー、気温、及び攻撃によって、歪んでいる場合がある。特に自動運転に関して、例えば、センサ(カメラ、LIDAR、レーダなど)とそのデータストリームとの同期である、時間管理されたアクションの実行がますます重要になっている。特にこれらの機能に対して、例えば、車両による操作を行うことができるかどうか、又は運転者がハンドルを握り続けることが好ましいかどうかをチェックするために、妥当性チェックが必要である。本発明の利点は、センサメッセージのタイムスタンプの有効性を検証及びチェックするためのメカニズム及び方法の仕様に見いだすことができる。
【0023】
この方法は、タイムスタンプが意図的に歪められており、攻撃が可能であるかどうかを識別するために使用され得る。加えて、この方法は、たとえ同期がまだ行われていない場合でも、タイムスタンプが無効であり得るかどうかを検出する。タイムスタンプはまた、例えば、説明されたアプローチによって検出される、いわゆるビットローテーションに起因して誤っている場合がある。最後に成功した同期が既知でない場合、これは指定された方法により判別され得る。この方法により、イーサネットの分野におけるセキュリティが向上する。
【0024】
本発明の利点は、イーサネット又はAUTOSARなどの標準が今日の自動車用ツールをまだ提供していないため、ネットワークにおけるセンサデータの同期精度、したがって融合精度も改善され、保証されることである。これは、提示された考慮事項によって、異常な挙動又は考えられるエラー/攻撃をここで検出できることを意味する。そのようなメカニズム及びプロトコルを実装することにより、追加のハードウェア及び独自のプロトコルを不要にすることが可能である。これはまた、車両内の通信技術の数をこれ以上増やす必要がないこと、又は追加のラインを実行/接続する必要がないことを意味する。
【0025】
この方法が車両内のデータバスの負荷を軽減するという更なる利点を見つけることができる。μCリソース、任意のエラー、及び消費電力にプラスの影響も及ぼす、必要となる同期が少なくて済む。本発明の本質的な利点はまた、イーサネットが、例えば、温度制御された水晶又は安全モジュールなどの更なる追加のハードウェア構成要素なしで、時間制御されたアクションを実行できるという事実から生じる。本発明によるイーサネットオンボードネットワークは、コスト及び信頼性の点で改善されている。
【0026】
この方法は、特に、ネットワーク内の加入者の既存のソフトウェア又はファームウェアの更新又はアップグレードとして配布され得るソフトウェアの形態で実装することができ、この点で独立したソリューションである。
【0027】
検出により、例として、隣接する制御デバイスが過度に高いか若しくは過度に低い温度、エラー、又は攻撃などの特定のリスクにさらされているかどうかを見つけ出すことを可能にする。
【0028】
ネットワーク内の変更の検出は、オンボードネットワークにおけるデータセキュリティ及び機能安全性を確保するための別の方法を提供する。例えば、変更された制御デバイスが使用され、運転者もワークショップもこれを実際に認識していない場合、イーサネットオンボードネットワーク及び制御デバイスは、これらの説明された方法に基づいてエラーを識別することができる。
【0029】
イーサネットを介した信頼性及び安全性のトピックは自動車において非常に重要であり、且つますます重要になるため、本発明及びその結果として得られるソリューションは自動車セクタにとって特に興味深いものである。今後の数年間で、センサ(カメラ及びレーダ)もまたイーサネット経由で非圧縮データを送信することになる。そのようなデータレートは、イーサネットシステムをよりフェイルセーフでパフォーマンスの高いものにするための更なる技術を必要とする。この方法は、これらのアプリケーションを容易にするのに役立つ。
【0030】
今日の、及び任意の新しいシステムに関する既存の問題は、通信インターフェース及びそのサポートに対する依存である。ここで説明される本発明は、はるかに多くのプラットフォーム非依存の発展形態を実行することを可能にする。本発明の実現により、実装形態をより長く使用することができ、必要なメンテナンスを減らすことが可能になる。
【0031】
例として、より正確な同期により、よりリアルタイムで重要なアクション(センサ融合)をより安全且つより確実に実行することができる。センサデータ融合の品質が向上すると、最終的にはより良い環境モデル及びより良い軌道につながる。
【0032】
一方、特にADASの分野において、ネットワークに接続されている全ての加入者に対して、完全に暗号化された通信に十分なハードウェアを装備することは、一般的に経済的ではない。記載されている方法は、必要なハードウェアリソースが大幅に少なく、既存の実装を使用して実行できるため、これがネットワーク又は接続されているデバイスの製造コストの上昇につながる必要なしに、安全性レベルを大幅に向上させる。
【0033】
自動車に新しく導入されたイーサネットプロトコルを使用することには、高価な実装及び更なる追加のハードウェアなしで実行できるようにするために、単純な技術及び技術の所与の特性を利用するメカニズムを必要とする。通信経路の早期分析による攻撃及び異常挙動の早期検出により、車両が提供される前にギャップ及びエラーを特定することが可能になる。本発明によるネットワークシステムは、コスト及び信頼性の点で改善されている。システムのテスト可能性は、本発明によってより明確に定義され、これにより、テストのコストを節約することが可能になる。加えて、本発明は、明白な安全機能を提供する。
【0034】
本方法は、制御デバイスに実装することができ、時間同期の改善された保護を確実にする、異なる制御デバイスで構成されるオンボードネットワークを使用することができる。
【0035】
この目的は、請求項1で規定される方法及び請求項11で規定される制御ユニットによって達成される。実施形態及び更なる発展形態は、それぞれの従属請求項に規定されている。
【発明の概要】
【課題を解決するための手段】
【0036】
イーサネットオンボードネットワークのセンサデータの有効性をチェックするための方法の一実施形態では、自動車において、以下のステップ、すなわち、
a)イーサネットオンボードネットワーク(2)の第1の制御ユニット(3)とイーサネットオンボードネットワーク(2)の第2の制御ユニット(4)との間の第1の接続経路(6)上の第1の信号(10)の遅延時間(9)を判定することと、
b)遅延時間(9)に基づいて、第1の接続経路(6)の最大速度(11)を判定することと、
c)最大速度(11)に基づいて、第1の接続経路(6)の伝送媒体(12)のタイプを判定することと、が実行される。
【0037】
加えて、イーサネットオンボードネットワークの少なくとも第1の制御ユニット(3)が識別され、イーサネットオンボードネットワークの少なくとも第1の制御ユニットが同期され、同期間隔が確認され、第1の制御ユニットのタイマのドリフトが確認され、第1の制御ユニットのタイムスタンプが確認され、タイムスタンプが読み取られるか、又は第1の制御ユニットの時間が照会され、タイムスタンプがイーサネットオンボードネットワークの基準クロックと比較され、遅延時間測定が実行され、関連するクロックジェネレータの速度が確認され、同期間隔の時間差が確認され、最後の同期が確認される。
【0038】
加えて、第1の信号の遅延時間の判定、及び第1の接続経路の最大速度の判定、及び第1の接続経路の伝送媒体のタイプの判定により、接続経路6の時間同期メッセージを暗号化するために使用される接続経路用の少なくとも1つの動的キーを確認するために使用されるエントロピーソースが形成される結果となり得る。
【0039】
本方法の更なる実施形態では、タイマのドリフトは、プロトコルIEEE 802.1ASによって確認される。
【0040】
本発明の更なる実施形態は、タイムスタンプのイーサネットオンボードネットワーク(3)の基準クロックとの比較が、Tdeviation=Treference-Tsusupectの形態で計算される差をもたらす、という点で区別される。
【0041】
本発明の更なる実施形態は、クロックジェネレータの速度がPTP NRR(隣接レート比)法によって判定される、という点で区別される。
【0042】
本発明の更なる実施形態は、伝送媒体のタイプ、及び同期間隔の確認、第1の制御ユニットのタイマのドリフトの確認、第1の制御ユニットのタイムスタンプの確認、関連するクロックジェネレータの速度の確認、同期間隔の時間差の確認、並びに最後の同期の確認は、イーサネットオンボードネットワーク内のプログラムに通信され、プログラムの接続経路の選択は、伝送媒体のタイプに基づいて適合される。
【0043】
本発明の更なる実施形態は、伝送媒体のタイプが光、銅、又は無線として判定されるという点で区別される。
【0044】
本発明の更なる実施形態は、第1の接続経路(6)を介して送信されるデータの損失の確率を表す伝送セキュリティ値(15)が、伝送媒体(12)のタイプに基づいて、第1の接続経路(6)に割り当てられる、という点で区別される。
【0045】
本発明の更なる実施形態は、第1の接続経路上の複数の信号の遅延時間が判定され、複数の信号の最速の遅延時間が選択され、最速の遅延時間に基づいて、第1の接続経路の最大速度が判定される、という点で区別される。
【0046】
本発明の更なる実施形態は、第1の制御ユニットと第2の制御ユニットとの間の、第1の接続経路とは異なる第2の接続経路上の第2の信号の遅延時間が判定され、第2の接続経路の最大速度が判定され、第2の接続経路(7)の最大速度(11)に基づいて、第2の接続経路(7)の伝送媒体(19)のタイプが判定される、という点で区別される。
【0047】
本発明の更なる実施形態は、第1の制御ユニット(3)が通常動作モードから省エネモードに、及び/又は省エネモードから通常動作モードに変化した後に、方法が実行される、という点で区別される。
【0048】
本発明の別の実施形態は、第1の信号の遅延時間が、第1の制御ユニットを使用して判定され、イーサネットオンボードネットワークの第2の制御ユニット(4)と第3の制御ユニットとの間の第1の制御ユニットに間接的にのみ接続されている第3の接続経路上の第3の信号の遅延時間が、第3の制御ユニット(5)を使用して判定され、第3の信号の遅延時間の判定は、第1の制御ユニットから第3の制御ユニットに送信されたサービスメッセージによってトリガされる、という点で区別される。
【0049】
第1の制御ユニットの形態であるイーサネットオンボードネットワーク用の制御ユニットの実施形態は、信号がイーサネットオンボードネットワークの第2の制御ユニットに送信され、信号が第2の制御ユニットから受信され、第2の制御ユニットまでの接続経路上の信号の遅延時間が判定され、遅延時間に基づいて接続経路の最大速度が判定され、最大速度に基づいて接続経路の伝送媒体のタイプが判定される、ことを可能にし、制御ユニットは、少なくとも1つのマイクロプロセッサ、揮発性メモリ及び不揮発性メモリ、少なくとも2つの通信インターフェース、同期可能タイマ、プログラム命令を含む不揮発性メモリを含み、命令は、マイクロプロセッサによって実行されると、請求項1~10のいずれか一項に記載の方法の少なくとも1つの実施形態が実施可能で実行可能である。
【0050】
自動車用のイーサネットオンボードネットワークの更なる実施形態は、第1の制御ユニット及び第2の制御ユニットが少なくとも1つの接続経路によって互いに接続され、第1の制御ユニットが、請求項11に記載の形態である、という点で区別される。
【0051】
イーサネットオンボードネットワークの別の実施形態は、イーサネットオンボードネットワークが第3の制御ユニットを備え、これが第1の制御ユニットに間接的にのみ接続され、且つ第3の接続経路を介して第2の制御ユニットに直接接続されており、第3の制御ユニットが、第3の接続経路上の第3の信号の遅延時間を判定するように設計され、第1の制御ユニットが、第3の制御ユニットへのサービスメッセージによって第3の信号の遅延時間の判定をトリガするように設計されている、という点で区別される。
【0052】
一実施形態は、コンピュータプログラム製品によって表される。コンピュータプログラム製品は、命令を含み、命令は、プログラムがコンピュータによって実行されると、そのコンピュータに、請求項1~10のいずれか一項に記載の方法を実行させる。
【0053】
一実施形態は、請求項12に記載の前記コンピュータプログラム製品が記憶されている、コンピュータ可読媒体に提供される。
【0054】
本発明によるコンピュータプログラム製品は、コンピュータによって実行されると、そのコンピュータに、上述された方法の1つ以上の実施形態及び更なる発展形態を実行させる命令を含む。
【0055】
コンピュータプログラム製品は、コンピュータ可読媒体又はデータキャリアに記憶され得る。データキャリアは、例えば、ハードディスク、CD、DVD、又はフラッシュメモリなどとしての物理的な実施形態であり得るが、しかしながら、データキャリア又は媒体は、適切な受信機によりコンピュータによって受信することができ、且つコンピュータのメモリに記憶することができる、変調された電気信号、電磁信号、又は光信号を含み得る。
【0056】
制御ユニットは、少なくとも本発明によれば、マイクロプロセッサ、不揮発性及び揮発性メモリ、並びにタイマにも加えて、少なくとも1つの物理的通信インターフェースを含む。制御ユニットの構成要素は、1つ以上のデータライン又はデータバスによって互いに通信可能に接続される。制御ユニットのメモリは、マイクロプロセッサによって実行されると、上述の方法の1つ以上の実施形態を実施するようにネットワークデバイスを構成する、コンピュータプログラム命令を含む。
【0057】
本発明による方法は、既存のネットワークデバイスを使用して実施することができ、必要に応じて、クロックを同期するために初期化中に確認されたグランドマスタクロックからの時間同期に関連するメッセージのみを使用するためだが、依然として時間同期に関連する追加のメッセージを転送し、単にそれらを削除するのではない、時間同期に関連するメッセージを受信及び処理するために使用されるソフトウェア又はステートマシンの調整のみが必要とされる。その結果、実装のために生じるのは、仮にあったとしても追加の低いコストのみである。既存のシステムでも、適切に改変されたソフトウェアにより、本方法を実施するように構成することができる。本発明による方法の別の利点は、特定の基礎となるハードウェアプラットフォームが、IEEE 802.1AS標準に従った同期をサポートする限り、無関係であるということである。
【0058】
本発明について、図面を参照して例として以下に説明する。
【図面の簡単な説明】
【0059】
【
図1a】本発明によるイーサネットオンボードネットワークの例示的な実施形態を有する自動車の概略平面図を示す。
【
図1b】第1の接続経路、第2の接続経路、及び第3の接続経路を介して接続された第1の制御ユニット、第2の制御ユニット、及び第3の制御ユニットを有するイーサネットオンボードネットワークの概略図を示す。
【
図2】検査されるノードの現在時間及びそのクロックジェネレータ特性の方法及び判定の完全なシーケンスを示す。
【
図3】それぞれの接続経路の伝送媒体のタイプを判定するための時間同期メッセージの暗号化のフローチャートを示す。
【
図4】時間同期が成功したときの周波数ドリフトの鋸歯状モデルの表現を示す。
【
図6a】センサ融合のためにセンサのオフセットを判定するシーケンスを示す。
【
図7】個別の結晶周波数を判定するためのフローチャートを示す。
【
図8】キーの計算及びメッセージの送信のためのフローチャートを示す。
【
図9】キーの経時的な使用のためのフローチャートを示す。
【
図10】イーサネットオンボードネットワークにおけるプログラムの適合のためのフローチャートを示す。
【
図11】イーサネットオンボードネットワークにおけるプログラムの適合のためのフローチャートを示す。
【
図12】信号の遅延時間の判定及び記憶のためのフローチャートを示す。
【
図13】イーサネットオンボードネットワークにおけるプログラムの例示的な適合のためのフローチャートを示す。
【
図14】イーサネットオンボードネットワークにおけるプログラムの例示的な適合のためのフローチャートを示す。
【
図15】最後に成功した同期時間に基づいて、受信データの使用を評価するためのフローチャートを示す。
【
図17】制御ユニットの通信から生成された動的キーを有する暗号化されたリンクを示す。
【
図19】データ融合のデータレコーダとのユースケースの表現を示す。
【
図20】データ融合のための正しいデータの割り当ての表現を示す。
【
図21】データ融合のための誤ったデータの割り当ての表現を示す。
【
図22】同期時間が制限値を超える場合のデータの遡及的消去のためのシーケンスを示す。
【0060】
図面では、同一の又は類似の要素は、同じ参照符号を使用して参照され得る。
【発明を実施するための形態】
【0061】
図1aは、平面図での自動車1を示している。自動車1は、イーサネットオンボードネットワーク2を備える。一方、イーサネットオンボードネットワーク2は、例示的な実施形態によれば、複数の制御ユニット3、4、5を備え、これらは、制御装置又は制御デバイスとも呼ばれ得る。制御ユニットは、接続経路を介して互いに接続されている。例示的な実施形態におけるイーサネットオンボードネットワーク2の既存のトポロジーのために、制御ユニット間に複数のパラレル通信経路が存在する。接続経路は、例えば、異なる媒体タイプ又は材料から形成され得る。
【0062】
イーサネットの変形例の数が増加すると、例えば、接続速度における動的変化も使用されることになる。これは、例えば、実行時に速度が変更され得ることを意味する。例えば、10Gbit/秒の接続経路を100Mbit/秒に変更して、エネルギーを節約することができる。これは動的な機能であるため、例えば、オンボードネットワークは、ソフトウェアの更新後又は障害状況時よりも、提供後又は自動車への初期インストール後の異なる形態である場合にあてはまる。
【0063】
イーサネットオンボードネットワーク2は、少なくとも1つの第1の制御ユニット3、第2の制御ユニット4、及び加えて、第3の制御ユニット5を備える。第1の制御ユニット3は、第1の接続経路6によって第2の制御ユニット4に接続されている。更に、例示的な実施形態による第1の制御ユニット3はまた、第2の接続経路7によって第2の制御ユニット4に接続されている。
【0064】
第1の制御ユニット3、第2の制御ユニット4、及び/又は第3の制御ユニット5は、例えば、制御デバイス又はネットワークスイッチの形態であり得る。第2の制御ユニット4及び第3の制御ユニット5は、第3の接続経路8によって互いに接続されている。
【0065】
図1aの例示的な実施形態によれば、第1の制御ユニット3及び第2の制御ユニット4は、第1の接続経路6を介して互いに直接接続されているが、第2の接続経路7が更なる制御ユニットによって2つの部分に分割されるため、第1の制御ユニット3及び第2の制御ユニット4は、第2の接続経路7を介して間接的にのみ接続される。しかしながら、別の例示的な実施形態によれば、第2の接続経路7はまた、第1の制御ユニット3及び第2の制御ユニット4を互いに直接接続することができる。
【0066】
一般的に言って、本方法は、同期時のエラーを検出するのに適している。
【0067】
図2に示されるように、非同期の持続時間、又は同期が正しく実行された時間及び最後の時間を計算又は判定することが可能である。既存の同期に基づいて、本方法は、例えば、同じECU内に配置され得る「自分の」隣接ECU又は「隣接」CPUの、ネットワーク内のクロックの誤りを確認することを提案する。これらの確認されたデータに基づき、「自分の」自身のクロック又はグランドマスタのクロックと併せて、この構成要素のタイムスタンプ、及び同期間隔を使用して、最後の同期から経過した時間量を計算することができる。したがって、最後に成功した同期がいつ行われたかを確認することが可能である。判定時間とも呼ばれる時間において、依然として同期しているかどうかを知ることが望ましい制御デバイスのECUからのタイムスタンプが記録される。次いで、一連のパラメータが、
図4に例として表されているように、同期間隔の数を確認し、又はこの構成要素がいつから正常に同期されなくなったかを確認するための基礎として採用される。
【0068】
したがって、本方法は、ノードの最後の正常な同期がいつ行われたか、したがってノードがもはや同期されなくなった期間も判定する。これは、センサデータが信頼できるかどうか、したがって使用可能かどうかを判断するための基礎である。
【0069】
図4は、一般に、メッセージベースの時間同期での同期を示している。同期メッセージが到着した後、内部クロック又はオフセットが調整される。次いで、クロックは、次の同期までその独自の特性で実行し続ける。
【0070】
図2からわかり得るように、方法は、ノード、又はμC、又はスイッチ、又はECU全体、又は制御ユニット3、4、5にその時間について尋ねるか、タイムスタンプにより後者を読み取ることによって開始する。この値は、記憶される。方法は次に、802.1ASプロトコル(Pdelay照会)によって、タイマの周波数ドリフトを判定する。このように、実際には遅延時間を測定するのに役立ち、とにかく送信されるサイクリックメッセージを使用して、このECU/μC、又はECU全体、又は制御ユニット3、4、5のクロックジェネレータが動作する速度を計算する。
【0071】
遅延時間の測定には、
図3のシーケンスに従った手順が使用される。1つのポートであるイニシエータは、接続されるポートであるレスポンダにDelay_requestメッセージを送信することによって測定を開始し、終了タイムスタンプt1を生成する。この終了タイムスタンプは、イーサネット送受信機を離れるときに、できるだけ遅く書き込まれるハードウェアタイムスタンプを示す。このパケットが到着すると、レスポンダは、タイムスタンプt2を生成する。それに応じて、レスポンダは、Delay_Responseメッセージを送信する。このメッセージでは、Delay_Requestメッセージ用の受信タイムスタンプt2を送信する。このメッセージがレスポンダを離れると、レスポンダは次いで、タイムスタンプt3を生成し、これは、直後のDelay_Response_Follow_Upメッセージで送出される。イニシエータがDelay_Responseメッセージを受信すると、タイムスタンプt4を生成する。イニシエータは、4つのタイムスタンプt1~t4を使用して、カバーされるルートの平均遅延時間を計算することができる。
【0072】
PTPは、ネットワーク内でベストクロックを有するマスタ/スレーブクロック階層を定義する。このネットワーク内のノード用のタイムベースは、このクロック、グランドマスタから導出される。ベストマスタクロックアルゴリズム(Best Master Clock Algorithm:BMCA)は、このクロックタイプを判定し、この情報をネットワークでアナウンスするために使用される。IEEE 802.1AS互換システムは、クラウドでベストクロックに関する情報を有するアナウンスメッセージを隣接ノードに周期的に送信する。そのようなメッセージの受信者は、この情報を、そのクロックの機能及び別のポートから既に受信している任意のメッセージと比較する。これらのメッセージに基づいて、時間同期スパニングツリーが設定される。このプロセス中、各ポートには、4つのポートステータスのうちの1つが割り当てられる。そのリンクパートナよりもグランドマスタに対する経路が短いポートには、「マスタポート」ステータスが付与される。「スレーブ」ステータスは、このノードの他のいずれのポートも依然としてこのステータスを有していない場合に割り当てられる。無効は、PTPプロトコルを完全にサポートすることができないポートによって選択される。「パッシブ」ステータスは、他の3つのステータスのいずれも当てはまらない場合に選択される。
【0073】
最後に、時間情報は、Sync_Follow_Upメカニズムによって交換される。マスタポートは、同期メッセージ及びFollow_Upメッセージを、隣接するリンクパートナに周期的に送信する。同期メッセージがマスタポートを離れると、タイムスタンプが生成され、後続のFollow_Upメッセージにおいて直ちに送信される。このタイムスタンプは、同期メッセージが送信された時点におけるグランドマスタの現在時間に対応している。グランドマスタから生じたメッセージは転送されないが、スイッチを含む各ノードにおいて再生成される。
【0074】
図6aに示されるように、クロックジェネレータの速度は、PTP NRR(隣接レート比)法を使用して確認又は計算され得る。サイクリックPDelayメッセージは、基準クロックに対するクロックジェネレータの速度(オフセット)を計算するために使用される。読み取り又は照会時間(Tsuspect)は、現在のシステム時間(Treference)に割り当てられ、したがって、信頼される時間、すなわち、グランドマスタ又はそのデータ用の時間のいずれかが重要である。検査すべき構成要素がセンサの場合、センサの融合時間が基準として使用され得る。これは、2つの時間の差が最初に確認されることを意味する。
Tdeviation=Treference-Tsuspect
【0075】
同期周波数は、最初に、Tdeviationが最大でどれだけの大きさであるべきかを計算するために使用され得る。イーサネットの場合、PHY(送受信機)とMACとの間のインターフェースは、時間情報を記録するための最も信頼のおけるインターフェースである。このインターフェース(xMII)は、25MHzの公称周波数fでクロックされる。自動車用イーサネットAVB/TSN互換の実装用の水晶は、最大誤り率fo±100ppmを超えてはならない。したがって、インターフェースに関連して考えられる最悪の水晶は、以下の式に従って、公称周波数fに対して5kHzの周波数偏差を引き起こす。
df=(f*fo)/10^6
【0076】
最大周波数(25002500Hz)と最小周波数(24997500Hz)との間の周期の変化は、40nsの持続時間の周期に対して8psである。これは、40nsで2つの水晶(したがって2つのECU)が+25Cにおいて最大8psの時間差を有し得ることを意味する。各々40nsの正確に3125000周期が125msの標準同期間隔で可能であり、これは25μsの最大偏差に対応する。
【0077】
IEEE 802.1AS仕様によると、同期間隔は、31.25ms~32秒であり得る。これは、最小間隔に対して6.25μs、最大間隔に対して6.4msの最悪の場合の偏差を意味する。
【0078】
図6bは、クロックジェネレータの速度、及び同期間隔Tdeviationのナレッジを確認することによって、方法が前述の式を使用して、最後の同期がいつ行われたかを計算する方法を概略的に示している。
【0079】
図1bに示されるイーサネットオンボードネットワーク2の例示的な実施形態では、第1の制御ユニット3、第2の制御ユニット4、及び第3の制御ユニット5を有する。更に、イーサネットオンボードネットワーク2はまた、第1の接続経路6、第2の接続経路7、及び第3の接続経路8を有する。例示的な実施形態によれば、第1の接続経路6上の第1の信号10の遅延時間9が判定される。遅延時間9は、第1の信号10が第1の接続経路6を介して第1の制御ユニット3から第2の制御ユニット4まで、又はその逆に遷移している時間の長さを表す。第1の接続経路6の最大速度11は、第1の信号10の遅延時間9に基づいて判定される。この場合、第1の接続経路6の最大速度11は、ケーブルの長さ、伝送速度及び/若しくは媒体タイプ、又は伝送媒体のタイプに応じて変化する。第1の接続経路6の伝送媒体12のタイプは、最大速度11に基づいて判定される。
【0080】
この例示的な実施形態によれば、伝送媒体12のタイプは、光、銅、又は無線として判定される。光の場合、第1の接続経路6は、例えば、光ファイバ接続の形態である。銅の場合、第1の接続経路は、例えば、ツイストペア線を有するケーブル、例えば、シールドなしツイストペア(UTP)ケーブルによって形成される。無線の場合、第1の接続経路6は、実質的に無線リンクの形態であり、第1の制御ユニット3及び/又は第2の制御ユニット4は、無線受信機及び/又は無線送信機を有するか、又はそれに接続されている。
【0081】
制御ユニット3は、オンボードネットワークを介してデータを制御ユニット4に転送するための遅延時間を確認する。重要な要因は、遅延時間が、第1の制御ユニット3から制御ユニット4までの伝送経路の実際の物理的状態に基づいて何らかの形態で確認されること、すなわち、伝送経路の物理的状態又は特性が存在し、それが変化すると、確認された遅延時間に変化がもたらされることである。
【0082】
この場合、1つの制御ユニット3は、ネットワークを介してデータを制御ユニット4に転送するための遅延時間を確認する。これは、別の方法で行うことができる。例えば、遅延時間は、例えば、時間同期標準IEEE 802.1AS及びそこに含まれるPTPプロトコルに従って、第1の加入者と第2の加入者との間の時間同期の過程で発生し得る。したがって、このプロトコルの範囲内で実装された「遅延要求」及び「ピア遅延」メッセージは、例えば、データパケットとして使用され得る。しかしながら、方法はこれに限定されない。重要な要因は、遅延時間が、第1の加入者/制御ユニット3から第2の加入者制御ユニット4までの伝送経路の実際の物理的状態に基づいて何らかの形態で確認されること、すなわち、伝送経路の物理的状態又は特性が存在し、それが変化すると、確認された遅延時間に変化がもたらされることのみである。
【0083】
更に、第1の制御ユニット3は、原則として、対向する制御ユニット4のPLL及び水晶の速度から導出されるメッセージ周波数を確認する。制御ユニット3は、温度や経年変化などにより絶えず変化するこれら2つの値から、これらのタイムメッセージを暗号化するためのキーを導出する。
【0084】
時間同期メッセージは、生成された動的キーを使用して暗号化され、動的キーは、一般的に表現すると、接続パートナに関連する個別のパラメータから導出され得る。
【0085】
図3に示されるように、個別の絶えず変化するキーは、ライン遅延221及びメッセージ周波数213に基づいて追加的に生成される。このキーは単位時間ごとに一意であり、また、リンクごとに異なる。このアプローチの結果として、ネットワークにキーが2回存在することはない。ポイント間ライン遅延及び水晶の周波数の組み合わせからキーを生成することにより、第1にキーが絶えず変化し、第2に車両ネットワーク内の各リンクで異なることになるため、キーはそれを回避しようとする試みに対して特に抵抗力がある。
【0086】
2つの値は、直接組み合わせて使用することも、他の静的な値で拡張することもでき、キーを生成するために、例えばアドレスなどを、両方の制御デバイスに知られている必要がある。それぞれの制御ユニット、両方の制御ユニット、又は加入者/リンクパートナで実行することができる方法は、暗号化用の個別のキーを取得するために、そこからランダムな値を確認することができ、このキーは短時間しか有効ではない。キーは、時間同期に使用されるため、いかなる追加の作業も表さない、先行する測定に基づいて、何度も変更される。
【0087】
伝送媒体12のタイプは、イーサネットオンボードネットワーク2内のプログラム13に通信される。プログラム13は、例えば、第1の制御ユニット3、第2の制御ユニット4、又は第3の制御ユニット5、又はイーサネットオンボードネットワーク2の更なる制御ユニット内に存在することができる。伝送媒体12のタイプは、接続経路の選択14を適合させるための基礎として採用される。したがって、プログラム13は、例えば、接続経路の選択14を使用して、接続経路の選択の前とは異なる接続経路を介してデータを送信することができる。しかしながら、プログラム13はまた、例えば、接続経路の選択14によってデータの送信を中断することができ、後でそれを再開することができる。
【0088】
例示的な実施形態によれば、伝送セキュリティ値15は、伝送媒体12のタイプに基づいて、第1の接続経路6に割り当てられる。伝送セキュリティ値は、接続経路を介して送信されたデータが失われる確率を表す。すなわち、伝送セキュリティ値15は、第1の接続経路を介してデータをどれだけ確実に送信できるかに関するステートメントを許可する。これは、エントロピーソース200に供給される。例えば、セキュリティ制限値に達していない場合、及びデータを安全でない方式でしか送信できない場合は、データが遅延して宛先に到達することを予期する必要があり、データを最新の状態にする必要があるためにデータを再送信する価値がない場合は、宛先にまったく到達しないことになる。
【0089】
更なる例示的な実施形態によれば、第1の接続経路6上の複数の信号の遅延時間が判定され、複数の信号のうち最速の遅延時間が選択される。次いで、第1の接続経路6の最大速度11が、最速遅延時間に基づいて判定される。
【0090】
制御ユニットは遅延測定を開始し、リンクパートナメッセージの受信を待機する。PTPの例を使用したメッセージの受信に基づいて、ライン遅延が測定され得る。一方のリンクパートナが遅延測定を開始した場合、他方のリンクパートナは必然的にこれに気付くことになり、また、これら2つの測定が関連する測定値を生成することもできるように、測定を開始する必要がある。
【0091】
第2の接続経路7及び/又は第3の接続経路8用の伝送媒体12のタイプはまた、上述のアプローチと同様に判定され得る。
【0092】
それぞれの記録値は異なり、秘密のままであり、毎回、制御デバイスに記憶され、且つネットワークを介して送信されることもない(送信される必要もない)。単なる試行錯誤によるキーの発見は、十分にありそうもない。個別のキーは、2つの値を考慮して生成される。第1に、各水晶の周波数は異なり、第2に、各リンクのライン遅延は異なる。ここで、2つの変動する値が一緒に加算され、推測が更に難しい第3の値(キーの値)が与えられる。ライン遅延は、通常、50~500ナノ秒であり得、周波数は、パラメータであって、+/-ppmで与えられる。往復のライン遅延は同じチャネルに基づいており、それゆえ、リンクの両側での計算値は同じである。したがって、パラメータを交換する必要はない。これは、両方のパートナがほぼ同時にキーを生成するための同じ値を有していることを意味する。一方のリンクパートナは、最後の測定から得られたこれら2つの値を使用して暗号化し、他方のリンクパートナは、その最後の値を使用して復号する。
【0093】
したがって、判定される第2の接続経路7に対する第2の信号17の遅延時間16のための準備も存在する。次いで、第2の接続経路7の最大速度18が、第2の信号17の遅延時間16に基づいて判定される。次に、第2の接続経路7の伝送媒体19のタイプが、第2の接続経路7の最大速度18に基づいて判定される。
【0094】
新しいライン測定が実行されない限り、現在のキーA1を使用することが有利である。このようにして、リンクパートナは、新しいライン測定が事前に開始されていない場合に使用するキーを常に認識している。新しいキーは、例えば事前定義された頻度で、周期的に生成されるべきであり/され得るか、又は必要に応じて、トリガによって、若しくは常に重要なメッセージが送信される直前に開始されるべきである/され得る。
【0095】
第1の制御ユニット3及び第2の制御ユニット4の両方、並びにまた第3の制御ユニット5は、通常動作モード又は省エネモードで動作することができる。省エネモードでは、それぞれの制御ユニットは、通常動作モードよりも消費するエネルギーが少ない。例えば、省エネモードでは、それぞれの制御ユニットのポートの速度を、通常動作モードの速度と比較して低減することができる。そのように、ポートの低減された速度はまた、それぞれの接続経路のそれぞれの最大速度にも影響を及ぼす。
【0096】
更なる例示的な実施形態によれば、サービスメッセージ20は、第1の制御ユニット3から第3の制御ユニット8に送信され得る。次いで、第3の信号22の遅延時間21の判定が、サービスメッセージ20によってトリガされる。第3の信号22は、第2の制御ユニット4と第3の制御ユニット5との間で送信される。例示的な実施形態によれば、第3の信号22の遅延時間21は、第3の制御ユニット5によって判定される。
【0097】
図10は、遅延時間を判定するための方法の一般的な説明を提供している。ステップS1において、第1の信号10の遅延時間9が判定される。ステップS2において、伝送媒体12のタイプが判定される。最後に、ステップS3において、プログラム13が適合される。ステップS4において、第1の信号10の遅延時間9が判定される。結果として、ステップS5において、伝送媒体12のタイプが判定され得る。一方、伝送媒体12のタイプは、以下のパラメータ、すなわち、速度23、媒体24、ケーブル長25、電力伝送26、ビットエラー率27を含み得る。最後に、プログラム13の適合及び接続経路の選択14は次に、ステップS6に続く。
【0098】
この例によれば、接続された制御ユニット間、又はコントローラ間の信号の遅延時間を測定することが提案されている。例えば、標準IEEE 1588又はIEEE 802.1ASの方法を使用して、遅延時間9、16、及び21を測定することができる。方法はまた、例えば、それぞれの遅延時間9、16、及び21を判定するために、TTEthernet(時間トリガイーサネット:time triggered Ethernet)によって提供され得る。
【0099】
図12は、それぞれの遅延時間9、16、及び21の判定を示している。遅延時間のローカル及び非ローカル照会について説明する。プログラム13は、特に少なくとも1つの制御ユニット上で、好ましくはまず最初にローカルでローカル遅延時間を判定し、又は2つ以上の制御ユニットが直接接続されている場合の遅延時間を判定する。次いで、他の制御ユニットは、サービス指向の方法、例えば、SOME/IP(スケーラブルサービス指向ミドルウェアオーバIP:Scalalbe Sarce orined Midwaret over IP)によって、隣接者に対する遅延時間について照会されることが好ましい。これは、集中的に、又は分散的な方式のいずれかで実施され得る。照会は、システムの起動時、定義時、又はソフトウェアの更新後に1回実行することも、動的変化を検出するために周期的に実行することもできる。これらのデータは次いで、特に制御ユニットのアドレスを含めて、最初に記憶されて割り当てられる。ステップS7において。直接接続された制御ユニットに対するそれぞれの遅延時間が判定される。ステップS8において、他の接続経路のそれぞれの遅延時間が照会される。ステップS9において、それぞれの遅延時間及びそれに関連する接続パートナが記憶される。
【0100】
図13は、基準測定値に基づいて他の速度を導出するための更なる方法を示している。例えば、現在の温度が非常に高い場合、又は使用されているケーブルが不十分な場合、事前記憶された値が過度に不正確になる可能性があり得る。したがって、アプリケーション又はプログラム13自体が、特にそこから導出及び計算され得るそれ自身のパラメータ及び他の速度に照らして、それ自身の制御ユニットで測定を実行することが提案されている。ステップS10において、ローカルイーサネットポートごとに1つの分析が実行される。ステップS11において、チャネルパラメータが既知であるかどうかのテストが実行される。そうでない場合、ステップS12が続き、方法は終了する。そうである場合、ステップS13が続き、そこで、それぞれの遅延時間9、16、及び21が判定される。ステップS14において、記憶が行われ、判定された遅延時間はチャネルパラメータに関連している。ステップS15において、基準値の一覧が作成される。
【0101】
図14は、伝送媒体12、19のタイプのナレッジによる可能な最適化を示している。ステップS16において、伝送媒体12、19のタイプが銅であるかどうかについての判定がなされる。そうである場合、ステップS17が続き、そこで、PoDL(電力オーバデータライン:Power over Data Lines)、すなわちイーサネットを介した電力供給が可能であることが確認される。ステップS16における決定が、媒体が銅ではないということである場合、ステップS18が続く。ステップS18において、伝送媒体12のタイプが光学的であるかどうかを確認するためのチェックが実行される。そうである場合、ステップS19が続く。ステップS19において、ビットエラー率がより低く、したがってこの接続経路の信頼性がそれゆえより高いことが見いだされる。ステップS20において、必要でない場合、制御ユニット3、4、5のRX(受信ユニット)又はTX(送信ユニット)を非アクティブ化する任意選択が提供される。
【0102】
ステップS18における判定が、伝送媒体12の媒体又はタイプが光学的ではないということである場合、ステップS21において、関連する接続経路としてのそれぞれの接続経路が、直接MII(媒体独立インターフェース:Media Independent Interface)接続の形態であると想定される。この場合、それぞれの制御ユニットは、例えば、IEEE 802.1CB(冗長性のためのフレーム複製及び除去:Frame Replication and Elimination for Redundancy)に適している。
【0103】
伝送速度のナレッジから、更なる任意選択が生じる。現在のデータストリームと組み合わせることにより、例えば、高帯域幅接続を使用してデータを計画的に送信することができるため、不要な他の接続経路を非アクティブ化して、エネルギーを節約することが可能になる。
【0104】
加えて、高帯域幅接続の場合、冗長メカニズム(IEEE 802.1CBなど)を使用する任意選択が存在する。この場合、データは冗長な方式で継続的に送信されるため、この目的に対して高い帯域幅が必要である。伝送経路の速度に応じてアプリケーションを適合させることもまた考えられる。カメラは、例えば、リンク又は接続経路6、7、8の速度に応じて、送信すべき画像データの解像度を適合させることができる。
【0105】
マイクロプロセッサ402に加えて、
図16の制御ユニット3、4、5は、揮発性及び不揮発性メモリ404、406、2つの通信インターフェース408、及び同期可能なタイマ410を備える。ネットワークデバイスの要素は、1つ又は複数のデータ接続若しくはデータバス412によって互いに通信可能に接続される。不揮発性メモリ406は、マイクロプロセッサ402によって実行されると、本発明による方法の少なくとも1つの実施形態を実施するプログラム命令を含み、エントロピーソースは、揮発性及び/又は不揮発性メモリ404、406内に形成され、エントロピーソースは次いで、接続経路6用の動的キー28を形成するために使用される。復号中の動的キーの復号シーケンスを、
図17に示す。
【0106】
図15は、受信したデータの使用が、その最後に成功した同期時間に基づいてどのように評価されるかを示している。このシーケンスを使用して、記憶しようとされているチェックデータもまた、それぞれのアプリケーションに適しているかどうかを確認することができる。これは、そのデータがデータレコーダに記憶されている場合に特に有利である。データの内容もまた正しいかどうかは、データレコーダに対して非常に重要である。事故が発生した場合、例えば、カメラが歩行者を検知したかどうかは重要である。誤ったデータが記録された場合、又は誤った時間を有するデータが記録された場合、記録は無効であり、本方法なしではそのように検出することはできない。
【0107】
照会構成要素は、
図22に示されるように、データストリーム及びその送信者を分析する。本方法は、データが最後に信頼されたのはいつかを確認するための基礎として使用され得る。公称制限値は、機能、システムメーカ、又はユースケース自体のいずれかによって判定される。そのユースケースは、ECUごと及びユースケースごとに異なる場合がある。この制限値に基づいて、データは有効、無効、又は信頼できないものとして分類され得る。
【0108】
図18及び
図19は、時間同期が非常に重要であり、且つ本方法が使用される2つのユースケースを示している。第1に、異なるセンサ/制御デバイスからの異なるデータを融合する必要があり、そのデータは時間情報に基づいてセンサメッセージに含まれ、第2に、エラーが発生した場合の証拠を得るために記憶することもできる。
【0109】
図20は、データのタイムスタンプがデータの融合と記憶の両方の基礎として使用されて、正しいデータを時間に割り当てることができることを示している。
【0110】
図21は、融合ユニット、又は例としてデータレコーダにおける異なるセンサデータフレームの到着を示している。後者では、到着した順序ではなく、先行する時間同期に基づいたそれらのタイムスタンプに従って、データを割り当てる。ネットワーク内のデータは異なる長さの経路をたどる必要があるため、並べ替えは通常、記録されたときのこれらのセンサデータの作成に基づく。
【0111】
図21は、タイムスタンプが誤っていること、すなわち、融合中にセンサデータにおいて不一致が生じ、その結果、時間同期が誤っていることを示しており、ここで提案されている方法は使用されていない。本方法により、イーサネットオンボードネットワークのリアルタイム機能に対するクロック同期の正確性及び精度が向上する。同期プロトコルの品質の測定は、何よりもその達成可能な同期精度であり、これは追加情報として本方法から導出され得る。
【0112】
図22は、同期時間が制限値を超える場合にデータの遡及的消去がどのように行われるかについてのシーケンスを示している。この方法はまた、例えば、データレコーダのユースケースのように、データが既に記憶されている(又はちょうど記憶されようとしている)場合にも使用される。データの内容もまた正しいかどうかは、データレコーダに対して非常に重要であり、例えば、事故が発生した場合、カメラが歩行者を検出したか否かが重要である。誤ったデータ、又は誤った時間を有するデータが記録された場合、記録は無効になる。照会構成要素は、
図22に示されるように、データストリーム及びその送信者を分析する。本方法は、データが最後に信頼されたのはいつかを確認するための基礎として使用され得る。公称制限値は、機能、システムメーカ、又はユースケース自体のいずれかによって判定される。そのユースケースは、ECUごと及びユースケースごとに異なる場合がある。この制限値に基づいて、データは有効、無効、又は信頼できないものとして分類され得る。
【0113】
照会構成要素は、センサデータストリームなどの構成要素の記憶されたデータセットを検査するために順序をチェックしたいデータレコーダ、クラウドストレージユニットであり得る。これは、例えば、アドレス、ストリーム、又はタイムスタンプをチェックすることによって遂行され得る。この目的のために、最後に成功した同期がチェックされ、データが最後に有効になった時間が確認される。メモリがチェックされ、誤って同期されたデータセットはリジェクトされる。
【符号の説明】
【0114】
1 自動車
2 イーサネットオンボードネットワーク
3 第1の制御ユニット
4 第2の制御ユニット
5 第3の制御ユニット
6 第1の接続経路
7 第2の接続経路
8 第3の接続経路
9 第1の信号の遅延時間
10 第1の信号
11 第1の接続経路の最大速度
12 第1の接続経路の伝送媒体のタイプ
13 プログラム
14 接続経路の選択
15 伝送セキュリティ値
16 第2の信号の遅延時間
17 第2の信号
18 第2の接続経路の最大速度
19 第2の接続経路の伝送媒体のタイプ
20 サービスメッセージ
21 第3の信号の遅延時間
22 第3の信号
23 速度
24 媒体
25 ケーブル長
26 電力伝送
27 ビットエラー率
28 動的キー
29 時間同期メッセージ
200 エントロピーソース
211 時間t1における送信
212 時間t4における受信
213 時間t4における受信
221 時間t2における受信
222 時間t3における送信
223 時間t3における遅延送信
300 時間t5における暗号化メッセージ
400 制御ユニット
402 マイクロプロセッサ
404 RAM
406 ROM
408 通信インターフェース
410 タイマ
412 バス/通信インターフェース
1001 暗号化メッセージを受信する
1002 ライン遅延の測定及び周波数測定を開始する
1003 最後のライン測定値及び周波数パラメータを要求する
1004 キーを生成する
1005 メッセージを復号する