▶ アー・ファウ・エル・リスト・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-04-02
(54)【発明の名称】車両でのデータ収集
(51)【国際特許分類】
G08G 1/00 20060101AFI20240326BHJP
G07C 5/00 20060101ALI20240326BHJP
【FI】
G08G1/00 D
G07C5/00 A
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023562850
(86)(22)【出願日】2022-04-14
(85)【翻訳文提出日】2023-10-25
(86)【国際出願番号】 AT2022060116
(87)【国際公開番号】W WO2022217300
(87)【国際公開日】2022-10-20
(31)【優先権主張番号】A50282/2021
(32)【優先日】2021-04-15
(33)【優先権主張国・地域又は機関】AT
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ブルートゥース
(71)【出願人】
【識別番号】398055255
【氏名又は名称】アー・ファウ・エル・リスト・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
(74)【代理人】
【識別番号】100069556
【弁理士】
【氏名又は名称】江崎 光史
(74)【代理人】
【識別番号】100111486
【弁理士】
【氏名又は名称】鍛冶澤 實
(74)【代理人】
【識別番号】100191835
【弁理士】
【氏名又は名称】中村 真介
(74)【代理人】
【識別番号】100221981
【弁理士】
【氏名又は名称】石田 大成
(74)【代理人】
【識別番号】100191938
【弁理士】
【氏名又は名称】高原 昭典
(72)【発明者】
【氏名】プリラー・ペーター
【テーマコード(参考)】
3E138
5H181
【Fターム(参考)】
3E138AA07
3E138CA03
3E138CC01
3E138MA06
3E138MB02
3E138MB03
3E138MB08
3E138MB10
3E138MB12
3E138MB20
3E138MC12
3E138MD05
5H181AA01
5H181BB04
5H181BB05
5H181CC02
5H181CC03
5H181CC04
5H181CC12
5H181CC14
5H181CC27
5H181EE12
5H181FF04
5H181FF22
5H181FF27
(57)【要約】
少なくとも一つのデータ収集ユニット3と少なくとも一つの処理ユニット4とを含む車両2においてデータを収集する方法であって、この少なくとも一つのデータ収集ユニット3が、少なくとも一つの保護データ8aにより特徴付けられた少なくとも一つのデータ車両データセット10aを記録する、方法である。車両データ10が、処理ユニット4において前処理17により匿名度14に応じて変更されて、安全を保証された車両データ12として保存され、その結果、保護データ8の推定が不可能となる。
【特許請求の範囲】
【請求項1】
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)とを含む車両(2)においてデータを収集する方法であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、方法において、前記少なくとも一つの処理ユニット(4)では、前記少なくとも一つの車両データセット(10a)の前処理(17)が実行され、前記前処理が、所与の匿名度(14)を考慮して、
前記少なくとも一つの車両データセット(10a)を当該前処理にロードする工程と、
前記この少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用して、前記少なくとも一つの車両データセット(10a)を変更する工程と、
前記変更された車両データセット(10a’)により匿名度(14)が満たされるのかを分析する工程と、
前記匿名度(14)を満たす、少なくとも一つの変更された車両データセット(10a’)を少なくとも一つの保護された車両データセット(12a)として保存して、当該保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することを防止する工程と、を実行することを特徴とする方法。
【請求項2】
請求項1に記載の方法において、前記前処理(17)は、方法のライブラリ(15)の中の少なくとも一つの方法(16)にアクセスできることを特徴とする方法。
【請求項3】
請求項1及び2に記載の方法において、前記前処理(17)は、少なくとも一つの方法(16)を持続的に車両データセット(10a)に適用し、
少なくとも一つの保護された車両データセット(12a)が発生することを特徴とする方法。
【請求項4】
請求項1及び2に記載の方法において、前記の前処理(17)が、少なくとも一つの制御変数kに依存して、前記の少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用し、
少なくとも一つの保護された車両データセット(12a)が生じることを特徴とする方法。
【請求項5】
請求項1~4に記載の方法において、前記前処理(17)は、少なくとも一つの相関関数C及び一つのコンテキスト(13)に依存することを特徴とする方法。
【請求項6】
請求項1~5に記載の方法において、前記前処理(17)は、少なくとも二つの方法(16)を順次に、或いは並列に適用することを特徴とする方法。
【請求項7】
請求項1~6に記載の方法において、前記方法のライブラリ(15)は、サブスクリプションベースで機能して、新たな方法(16a)が、当該方法のライブラリ(15)に追加されることを特徴とする方法。
【請求項8】
請求項1~7に記載の方法において、前記匿名度(14)は、コスト係数と結び付けられ、分類が施されることを特徴とする方法。
【請求項9】
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)と含む車両(2)においてデータを収集する装置であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、装置において、前記少なくとも一つの処理ユニット(4)に前処理(17)が配備されており、前記前処理(17)は、匿名度(14)を考慮して、少なくとも一つの方法(16)を使用して、前記少なくとも一つの車両データセット(10a)を変更された車両データセット(10a’)に変換することによって、当該少なくとも一つの車両データセット(10a)を変更し、
メモリユニット(11)が配備されており、前記メモリユニットは、前記匿名度(14)を満たす、変更された車両データセット(10a’)を保護された車両データセット(12a)として保存し、それにより、前記保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することが防止されることを特徴とする装置。
【発明の詳細な説明】
【技術分野】
【0001】
少なくとも一つのデータ取集ユニットと少なくとも一つの処理ユニットとを含む車両において、この少なくとも一つのデータ収集ユニットが、少なくとも一つの保護データセットにより特徴付けられた少なくとも一つの車両データセットを記録する、データを収集する方法である。
【背景技術】
【0002】
近年、車両でデータを収集する必要性が益々高まっている。それは、特に、自動運転又は自動化された運転(autonomous driving:AD)に対する要望によって助長されている。自動運転とは、例えば、走行車線に沿って、或いは走行車線を横切って操舵、方向指示点滅、加速及び制動する操作を人の介入無しに実行できる謂わば「自動操縦システム」であると理解される。そのような自動操縦システムは、産業界において限定された領域(工場の敷地)内で既に完全に実現されているが、一方では、特に、導入への複雑で倫理的な問題が邪魔をしているので、広い世間への採用は未だ遠い。それに対して、より良い、より安全なシステムを開発できるようにするために、より良いデータ収集に対する要望が生じている。
【0003】
しかし、車両でのデータ収集は、運転者支援システム(ADAS)又は自動運転の開発及び改善にとって極めて重要であるだけではない。例えば、車両の開発、最適化、検証、認可及び認証において、車両の様々なコンポーネント及びシステムを現実の走行条件下において試験する必要性が生じている。そのために、車両が現実の道路交通において動かされて、その際に、必要なデータが収集される。特に、より厳しい法律規定のために、現実の動作における排ガス(real driving emission:RDE)を検出すべきである。
【0004】
車両でのデータ収集の際に、異なる車両パラメータ、例えば、エンジン出力、回転数、トルク、加速度、位置、(部分的)電気駆動系統におけるバッテリー電圧、排ガス値などに関するデータが、その後の評価のために試験車両において記録される。それらのデータは、車両内に蓄積、保存されて、試験走行後に評価される(オフライン試験走行)か、或いは直ちに試験センターに伝送されて、そこで評価される(オンライン試験走行)。
【0005】
車両でのデータ収集の際に、特に、人に関連するデータが問題である、特に、EUの一般データ保護規則(DSGVO)のために、人に関連するデータに関して、権限の無い、或いは違法な処理に対する保護を含む、人に関連するデータの適切な安全性を保証する手法でしか処理することが許されない。定義によれば、人に関連するデータとは、特定の、或いは特定可能な人に関する情報である。車両でのデータ収集の目的は、主に、車両のデータだけを収集して、人に関連するデータを収集しないことである。しかし、所定のケースでは必然的に、データが人物に意図しない形で割り当てられることも起こる。例えば、車両のその時々の位置と同時に、運転者と乗客の位置も得られる。場合によっては、車両データから、運転者の動作又は特性も読み取ることができる(例えば、加速挙動と制動挙動から、注意深さ、感情、運転者に対する所定の物質の影響などを推定することができる)。
【0006】
運転者支援システムを備えた車両には、時として、センサーが配備されており、その課題は、車両の周囲環境における別の交通参加者、例えば、歩行者とその意図を検知して、分類することである。それにより、「間接的な」人に関連するデータ(運転者、同乗者、車両の周囲環境における通行人に関するデータ)が得られる。そのように、例えば、運転者及び別の交通参加者の挙動から、そして位置データからも情報が得られ、従って、特別な保護を必要とする。
【0007】
それに対応して、保護データ、特に、人に関連するデータに関する「間接的なアクセス/推定」が問題である。それは、車両での別に収集されたデータ、例えば、位置計測、カメラ撮影、(出力、回転数、トルクなどの)エンジンデータ、(加速度、速度などの)動特性データなどに基づき、人、その特性及びその直接的な活動を推定できる(キーワード「big data analytics」)ことであると理解される。それは、運転者又は同乗者に関するデータであるだけでなく、横断歩道の前又は交通信号の前に立ち止まっている人、別の交通参加者などの走行中に車両と互に関係し合う通行人及び第三者に関するデータでもある。
【0008】
例えば、走行中に車両により収集された時間的な加速度プロファイルからは、保護データ、特に、人に関連するデータを直接推定することはできない。しかし、間接的には、そのような推定が全く可能である。加速挙動から、時間積分によって、速度の時間的な推移と経路の時間的な推移を算出することができる。例えば、車両の標識、スタート時点などの別の収集されたデータから、走行開始地点を仮定することができる(開始条件)。デジタル道路マップ、その時点の交通データ及び算出された速度プロファイルを重ね合わせることによって、考え得るパスを特定して(例えば、急なカーブの前に制動した、対向車と共に脇に曲がった、交通信号で待機した、停止標識で短時間停止したなど)、確率に基づき並べることができる。それらの考え得るパスの中の一つが十分に高い一致(Confidence-Level)を達成した場合、そのことから、各々の(測定)時における車両の一連の具体的な停車場所を示すことができ、それによって、保護データ(人の位置、停車時間)がハッキングされてしまう。
【0009】
ADASなどのシステムは、確かに車両において及び車両周辺においてそれらのデータを収集して、車両を直接制御するために、それらを使用している。しかし、収集されたデータは、通常の場合保存されていないか、或いは伝送されていない。例えば、開発中に、ADAS又はADの最適化又は誤り分析のために、車両の挙動を観測するための追加の測定システムを用いることができる。しかし、そのためには、それらのデータは、走行機能のために使用した後に直ちに削除されるのではなく、後で機能を分析できるようにするために保存/伝送されるべきである。
【0010】
保護データの暗号化は、少なくとも伝送及び処理の際に、それらを違法なアクセスから保護する手法である。しかし、その場合、保護すべきデータは、保持されたままであり、それにも関わらず、それによって、保護データ、特に、人に関連するデータを後で(データの暗号解除後に)推定することが可能である。
【0011】
特許文献1は、収集したデータを二つのグループに分けるデータ収集形態を開示している。その中の一方のグループが人に関連するデータを保有しており、他方は保有していない。その人に関連するデータは、中間部によって検査されて除去される。第二のグループは、想定として重要ではなく、処理することができる。しかし、そのアプローチは、収集されたデータが実際にそのような二つのグループに分けられることを前提としている。しかし、実際には、それは一般的に有り得ない。
【0012】
即ち、走行中に車両で収集されたデータは、通常、例えば、運転者の個人的に割り当て可能な特徴、走行場所などの保護データによって特徴付けられる。例えば、運転者のタイプ(例えば、保守的なタイプ、スポーツタイプ、乱暴なタイプ)が、車両の加速度プロファイルに、それによりエンジン出力の時間的な推移に影響し、同様に、道路のトポロジー(道路の傾斜、カーブなど)又は車両の荷重(重量)が、エンジン出力の時間的な推移に影響する。それにより、走行中に収集されたエンジン出力は、それが保護データによって特徴付けられ、それから人に関連するデータを所定の程度にまで推定できてしまうので、単純に重要でない情報と見做すことはできない。
【0013】
従って、従来技術では、確かに走行中に車両で収集されたデータをデータ処理して、保護データへの直接的なアクセスを防止する方法が開示されているが、そのような保護データへの間接的なアクセスは引き続き可能なままである。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】ドイツ特許公開第102006043363号明細書
【非特許文献】
【0015】
【非特許文献1】Diaz, C., Seys, S., Claessens, J., & Preneel, B. (2002,April). Towards measuring anonymity. In International Workshop on Privacy Enhancing Technologies (pp.54~68). Springer, Berlin, Heidelberg
【非特許文献2】Edman, M., Sivrikaya, F., & Yener, B. (2007,May). A combinatorial approach to measuring anonymity. In 2007 IEEE Intelligence and Security Informatics (pp.356~363). IEEE
【発明の概要】
【発明が解決しようとする課題】
【0016】
以上のことから、本発明の課題は、走行中に車両で収集された車両データに基づき保護データに間接的にアクセスすることを防止することである。
【課題を解決するための手段】
【0017】
本課題は、少なくとも一つの処理ユニットにおいて、少なくとも一つの車両データセットの前処理が実行され、この前処理が、所与の匿名度を考慮して、次の工程を実施する、即ち、この少なくとも一つの車両データセットを前処理にロードする工程と、この少なくとも一つの車両データセットに少なくとも一つの方法を適用して、この少なくとも一つの車両データセットを変更する工程と、この変更された車両データセットを用いて、匿名度が満たされるのかを分析する工程と、この匿名度を満たす少なくとも一つの車両データセットを少なくとも一つの保護された車両データセットとして保存して、この少なくとも一つの保護データセットを間接的な推定することを防止する工程とを実施することによって解決される。
【0018】
一つの有利な実現形態では、車両による試験走行中に車両データが蓄積される。これらの車両データは、異なる品質を、例えば、エンジンの出力データ、ビデオカメラの映像データ、排出分析ユニットの排ガスデータ、GPSセンサーの位置データ、運転者によって個人的に登録されたデータなどを含むことができる。
【0019】
有利には、試験走行時に、所定の測定活動に関連する車両データが選定される。これは、例えば、ディーゼルエンジンのRDEデータであるとすることができ、このデータは、例えば、エンジン温度、エンジン出力、外気温などに依存する。そして、好適な車両データは、窒素酸化物の含有量、エアロゾル粒子、エンジン出力及びエンジン温度である。そして、複数のデータ収集ユニットが、例えば、異なる箇所に、例えば、エンジンに、並びに排ガス設備に沿って取り付けられる。車両の屋根のカメラ又はGPS位置計測部も、データ収集ユニットであるとすることができる。これらの車両データは、試験走行中に記録される。そのような車両データは、例えば、時間、地理的位置、エンジン回転数、速度及びそれらと同等のデータなどの制御変数であるとすることができる。車両データセットを導き出すために、当業者が評価に必要な全ての制御変数を利用することができる。
【0020】
有利には、試験車両を用いて、極めて有利には、事前にインストールされたデータ収集モジュールを用いて、データを記録するための試験走行が実施される。試験自動車は、有利には、試験を実施し、訓練された人が走行する企業の駐車場に止められる。そのように、例えば、通常の場合、開始地点と終了地点が同じである、限られた数の運転者による試験走行が行われる。しかし、例えば、車両群(配送車両、タクシー、レンタカーなど)又は無作為抽出分析用の個別車両のために、稼働している製造過程からの標準的な車両に計器を取り付けることもできる。
【0021】
運転者や運動プロファイルなどの保護データには、試験走行中に、更に別の保護データが追加される。例えば、試験車両は、別の車両や通行人などの別の交通参加者と互いに関係し合う。試験車両との異なる相互関係は、データ収集部の収集されたデータを特徴付ける。従って、例えば、別の交通参加者から自動車ナンバーを推定するか、或いはビデオカメラ又はGPS位置検出部からの車両データを用いて通行人の識別子を推定することが可能である。
【0022】
本発明では、試験走行により収集された車両データを、少なくとも一つのデータ収集ユニットを用いて保護された車両データに変換する前処理を提供する処理ユニットが車両に組み込まれており、そのため、保護データを間接的に推定することが不可能である。
【0023】
この前処理は、保護データを識別できる確率、すなわち匿名度(Degree of anonymity)を規定することによって行われる。匿名度に関する定義は、非特許文献1や非特許文献2などの関連文書に記載されている。車両データセットが所与の匿名度を満たす場合、それは、保護された車両データセットとして保存されて、必要に応じて、別の処理に提供することができる。有利には、保護された車両データセットとして保存した後には、最早保護データにアクセスことはできない。
【0024】
この匿名度は、コスト係数に紐付けるとともに、分類を施すこともできる。コスト係数は、保護データにアクセスする負荷を記述する。そのような分類は、使用者によって予め与えられて、保護データにアクセスでき得るリスクを記述する。この分類に応じて、匿名度の値を調整し、そのようにして前処理において車両データを変更する度合いを調整することができる。リスクが小さければ、車両データセットは、僅かにしか変更されず、保護された車両データセットとして保存することができ、したがって、当初の車両データセットに非常に近似する。
【0025】
極めて有利な実施形態では、この前処理は、保護データの影響をモデル化する。このことは、保護データを用いて特徴付けられる車両データセットの特徴付けを記述し、かつ車両データセットに入り込む相関関数を用いて行うことができる。異なる車両データセットの特徴付けは、異なる相関関数によって表現することができる。車両データセットが保護データによる特徴付けを有さない場合、それは、例えば、保護された車両データセットとして直ぐに保存することができる。一つの車両データセットを、複数の保護データによって特徴付けることもでき、このことは、一つの相関関数によって表現できるか、或いは複数の相関関数によっても表現できる。
【0026】
車両データセットが前処理後に匿名度を満たさなくなって、廃棄されることもある。
【0027】
前処理のモデルを車両の周囲環境に依存して変更できるようにするために、コンテキストを使用することもできる。有利には、このコンテキストは、データ収集ユニットによって生成され、周囲環境の影響を前処理に伝える。そのような影響は、例えば、交通量、気象状況、路上販売、エンジン出力特性値及びそれらと同等のものであるとすることができる。そして、前処理は、このコンテキストに応答することができ、例えば、如何なる方法を如何なる程度で適用するのかを選定することができる。
【0028】
有利な実施形態では、この保護された車両データは、車両に保存されて、後の時点で評価試験場で読み出される。しかし、極めて有利には、保護された車両データは、試験走行と試験結果を評価ユニットで直ぐに分析できるようにするために、オンラインで評価試験場に伝送される。有利には、試験走行は、データが十分になった時に終了するか、或いはデータの状況が不十分な場合には延長することができる。
【0029】
有利には、この前処理は、データ処理ソフトウェアが動作する、マイクロプロセッサベースのハードウェア、例えば、コンピュータ又はメモリプログラミング可能なデータ処理部を用いて実行される。集積回路(IC)として、例えば、特定用途向け集積回路(ASIC)又はフィールド・プログラマブル・ゲート・アレイ(FPGA)としての実現形態も考えられる。同様に、これらのハイブリッド構成も可能である。
【0030】
この前処理は、例えば、方法ライブラリから、正規化、分解能低減、匿名化、参照除去又は重ね合わせなどの方法を利用する。これらの方法は、持続的に車両データセットに適用することができるが、前処理のモデルに応じて適用することもできる。そして、並列的又は順次的に、或いはそれらを組み合わせて、方法を適用するとすることができる。これらの方法の適用は、相関関数及びコンテキストに依存することもできる。有利には、所与の匿名度がちょうど満たされるように、これらの方法が適用される。
【0031】
しかし、必要に応じて、新たな方法、代替の方法又は追加の方法を前処理にロードすることもできる。有利な実施構成では、新たな方法、代替の方法又は追加の方法の付加をサブスクベースで行うことができる。そのような構成は、例えば、サブスクリプションに基づき機能することができる。それにより、新たな方法は、通常のソフトウェア更新によって、或いは作業場での定期検査時に追加することができる。これは、新たな開発が、それまで可能でなかった、保護データへのアクセスを可能にする場合に必要であるとすることができる。
【0032】
以下において、本発明の有利な実施形態を例示して、模式的に、本発明を限定しない形で図示する図1~5を参照して、本発明を詳しく説明する。
【図面の簡単な説明】
【0033】
【図1】測定活動の実施形態の模式図
【図2】保護データによる車両データの特徴付けと保護された車両データへの処理の模式図
【図3】本発明による前処理を有する処理ユニットの模式図
【図4】前処理の作用形態のフローチャート図
【図5】位置を処理する例の模式図
【発明を実施するための形態】
【0034】
図1は、本発明の車両2による測定活動に関して可能な構成1を図示している。車両2には又は車内には、測定活動に使用される、少なくとも一つのデータ収集ユニット3と少なくとも一つの処理ユニット4とが存在する。測定活動は、この活動を成功裏に終了させるために、車両2で検出された車両データ10を伴う試験走行を(複数の試験走行との意味での走行試験も、より長い期間に渡る走行試験も)を記述する。
【0035】
データ収集ユニット3は、所定の変量を測定又は収集する任意のセンサーであるとすることができる。データ収集ユニット3は、車両に固定的に組み込まれた制御機器からデータを収集することもできる。そのような制御機器は、EVA(入力-処理-出力)方式に基づき動作し、その際、例えば、回転数、圧力、温度などの物理的な特性変量が測定されて、これらの値が制御機器において入力又は計算された目標変量と比較される。測定値が保存された値と一致しない場合、制御機器が、アクチュエータを用いて、物理的なプロセスを追従制御し、その結果、測定された実際値が再び目標変量と一致するようになる。即ち、アクチュエータが、動作中のプロセスに介入して修正する。そのような車両内の制御機器は、例えば、エンジン制御機器、変速機制御機器、バッテリー管理システム又はハイブリッド制御機器である。これらの入力信号は、回転数、回転モーメント、温度、圧力、電圧、電流のセンサーなどの固定的に組み込まれたセンサーに由来する。制御機器は、例えば、噴射ポンプ、吸気弁、駆動バッテリー、ドライブレバー駆動部などの車両内のアクチュエータを駆動する。有利な実施形態では、そのような制御機器は、システムバスを用いて、システムに渡って互いに接続されている。
【0036】
例えば、そのようなデータ収集ユニット3は、GPS位置検出器、排ガス測定ユニット、周囲環境カメラ、温度センサー、湿気測定ユニットなどであるとすることもできる。本発明は、これらの測定センサーの例に限定されない。当業者がデータの評価に必要とするであろう異なるデータ収集ユニット3を異なる実施形態で車両に組み込むことができる。これらのデータ収集ユニット3は、標準的には車両2に組み込むことができるが、特別に測定活動を実施するために車両2に配置することもできる(例えば、排気測定技術)。
【0037】
この少なくとも一つのデータ収集ユニット3は、少なくとも一つの車両データセット10aの形で車両データ10を生成する。車両データセット10aとは、所与の時間期間、特に、試験走行中又は試験走行の一部の期間中におけるデータ収集ユニット3の一連の収集された変量xn
*であると理解される。収集された変量xn
*は、有利には、処理又は保存などの更なる使用のためにデジタル化される。一連の収集された変量xn
*とは、連続する測定又はデータパケットのシーケンスであると理解される。車両データ10とは、測定活動のための試験走行の実施時に記録される全ての個々の車両データセット10aの総体であると理解される。車両データセット10aは、例えば、データ収集ユニット3の過程を個々に収録したものであるとすることができる。しかし、一つのデータ収集ユニット3によって、複数の車両データセット10aを作成することもできる。これらの車両データセット10aは、有利には、時間などの制御変数kの関数(xn(t))として記録されるか、さもなければ位置の関数(例えば、幾何学座標(長さ、幅、高さ)の関数xn(x,y,z)、さもなければ距離の関数xn(s))として記録される。
【0038】
車両データセット10aは、車両の状態を記述し、既知の測定センサー又は制御機器により収集される、例えば、位置、速度(空間内における速度も)、加速度(空間内における加速度も)、エンジン出力、エンジン回転数、エンジンモーメント、エンジン温度、冷媒温度、車輪回転数、タイヤのスリップなどのデータであるが、車両2の周囲環境を記述するデータ、例えば、レーダー、ライダー、カメラ、赤外線センサーを用いて集められたデータなどのデータであるとすることもできる。しかし、車両データセット10aは、別のデータ源から取得されたデータ、例えば、デジタル道路マップからの道路データ(例えば、道路のトポロジー)や、デジタル気象サービスからの気象データや、別の車両から車両対車両通信(例えば、車両間通信(C2C)又は車両間通信と車両対インフラストラクチャー通信(V2X)の組合せ)を介して伝送される情報であるとすることもできる。例えば、車両での機能の作動/停止などの走行中に運転者又は同乗者により手動で入力又は解除されるデータも車両データセット10aであるとすることができる。
【0039】
本発明には、同じく車両に又は車内に配備された少なくとも一つの処理ユニット4も含まれる。この処理ユニット4は、少なくとも一つのデータ収集ユニット3を用いて走行中に連続して車両2で収集された車両データ10を受信する。データ収集ユニット3は、例えば、好適な有線接続又は無線接続を介して、収集した車両データ10を処理ユニット4に直に伝送することができる。
【0040】
この処理ユニット4は、少なくとも一つの前処理17(図2及び3)から構成される。この処理ユニット4は、データを保存できるメモリユニット11を備えることもできる。しかし、このメモリユニット11は、外部に配置するか、或いは好適なデータ接続部を用いて処理ユニット4と接続することもできる。
【0041】
試験走行中には、保護データ8も発生する。保護データ8は、重要であると見做される、転送すべきではない少なくとも一つの保護データセット8a、例えば、DSGVOとの意味における人に関連するデータを記述する。保護データ8は、特に、それ自体特定の人だけにアクセスが許されるようなデータであるか、さもなければ完全に匿名のままにすべきであるようなデータである。例えば、運転者又は同乗者の識別子、スタート地点のアドレスなどの人に関連するデータ及び試験走行中に車両2と互いに関係し合う第三者のデータがそれらに属している。そのような重要なデータは、試験走行中にデータ収集ユニット3により記録することができる(即ち、車両データセット10aであるとすることもできる)が、試験走行時に、例えば、運転者、車両2、走行区間などに関するデータを入力又は予め与えることもできる。
【0042】
しかし、保護データ8は、図2に基づき図解して説明した通り、車両データ10に影響を及ぼす。例えば、運転者の走行スタイルは、速度、加速度、停車などに影響する場合がある。そのため、所定の車両データセット10aは、走行区間が同じで運転者が異なる場合に相違する可能性がある。都会又は田舎の地域における状態や位置などの交通量や別の交通参加者も、走行と運転者の走行スタイルに影響するとともに、車両データ10に対して影響を与える。この車両データ10に対する保護データ8の影響が「特徴付け」と呼ばれる。
【0043】
従って、車両データセット10aは、特徴付けによって影響を受けることがある。従って、一つの構成では、変量xnを含むが特徴付けられていない車両データセット10aが、特徴付けによる影響を受けて、データ収集ユニット3により記録される車両データセット10aとなる。特徴付けられていない車両データ9は、少なくとも一つの特徴付けられていない車両データセット9aを含む。特徴付けられていない車両データセット9aに対しては、これらが特徴付けによって初めて車両データセット10aに組み入れられて、車両データセット10aとして収集されるので、直接アクセスできない。しかし、収集された車両データセット10aのいずれもが保護データ8によって特徴付けられている訳ではないことを補足しておきたい。
【0044】
この特徴付けは、全く様々な形で行うことができる。一方において、運転者、同乗者、位置データなどのデータが車両データ10を特徴付けるが、これらは、第三者(例えば、別の交通参加者)及び環境要因(雨、高速の場合)によって特徴付けられる可能性もある。例えば、所定の区間に沿った走行時における加速度の時間的な推移は、車両のタイプと積載能力、運転者の走行挙動、周囲環境(例えば、通行人)、走行時点などに依存する。他方において、加速度の時間的な推移は、区間自体にも依存する。
【0045】
車両データセット10aに対する特徴付けの影響は、例えば、少なくとも一つの相関関数Cを用いて記述することができる(図2)。この相関関数Cは、どのように保護データ8が特徴付けられていない車両データセット9aを特徴付けて、車両データセット10aに組み入れられるのかを記述する。この相関関数Cは、保護データ8に依存し、例えば、車両データ10に対する保護データ8の影響を記述する既知の関数である。特徴付けられていない異なる車両データセット9aは、異なる形で保護データ8によって特徴付けられる場合があるので、特徴付けられていない異なる車両データセット9a及び/又は保護データ8に関する相関関数Cは、通常同じではない。相関関数Cは、例えば、文献から周知であるか、或いは一連の試験によって決定することができる。この相関関数Cは、生成される車両データセット10aの数に依存することができる。例えば、同じ運転者により走行を繰り返すことによって、加速度プロファイルが益々類似するようになるか、それどころか同じになる可能性がある。従って、同じ車両データセット10aの量を多くすることによって、運転者を識別できる確率が益々高くなる。従って、そのように、車両データ10aに対する特徴付けの影響を記述して、場合によっては、重み付けするために、相関関数Cを利用することができる。
【0046】
全ての保護データセット8aが、全ての車両データセット10aに対して相関関数Cを有する訳ではない。例えば、運転者の挙動は、加速度及び引き出されるエンジン出力に影響を与える可能性があるが、外気温や湿気に影響を与えることはない。選定された走行区間は、例えば、それによって体感される、雷雨、高速の場合などの周囲環境の条件に影響を与える可能性があり、従って、温度と湿気データに影響を与える。
【0047】
データ収集ユニット3により収集された車両データ10は、この特徴付けに基づき、保護データ8を間接的に推定することを可能にする。例えば、時間tに依存する加速度プロファイルを車両データセット10aとする場合、二回の積分によって、巡って来た区間を、それにより始点に対して相対的な理論上の位置を算出することができる。容易な考察から得ることができる考え得るスタート地点が分かると、ルートを逆算することができる。車両データ10から、運転者の運転形態も推定することができ、このことは、最終的に運転者の識別子とそれ以外の特性を推定することを可能にする。
【0048】
処理ユニット4に含まれる前処理17は、評価ユニット5への転送の前に、車両データ10に基づく保護データ8の推定が起こりそうもないか、或いは全く不可能であるように車両データ10を変更する役割を果たす。考え得る推定に関する確率の規定は、匿名度(Degree of Anonymity:DoA)14によって記述される(図3)。この匿名度14は、有利な実施構成では、既知のk匿名性として構成することができる。この匿名度14は、保護データ8に対する推定度を表し、例えば、使用者によって、車両データ10の前処理17に対して予め設定される。即ち、既知のパラメータである。
【0049】
匿名度14を定量化する手法は、特定の人物が、(保護データ8を介して)保護された車両データ12において識別可能である確率pである。その際、匿名度は1-pとなる。したがって、例えば確率において、割り当て可能率がp=0.01(1%)である場合、匿名度は0.99(99%)となる。
【0050】
同じく考え得る定量化は、保護データを割り当てできる確率が同等となる、出来る限り小さなN人のグループを規定することである。ちょうどp=0.01である前記の例では、N=100となる。例えば、運転者の識別に関して(運転者の識別確率が同じ時に)、匿名度14が99%を上回る場合、車両データセット10aは、結果として少なくとも一つの保護された車両データセット12aが得られるように、前処理17によって変更されなければならない。有利には、匿名度14として(k>99)k匿名性を使用した場合、車両データセット10aは、保護された車両データセット12aのデータ評価において、少なくとも100人(N=100)を推定できる確率と同等となるように変更される。
【0051】
別の実施構成では、匿名度14は、結果として得られた保護された車両データセット12aから所定の保護データ8aを特定するのに必要な負担を記述するコスト係数と紐付けることもできる。この負担は、アタックの際の計算能力、時間的な負担及びマンパワーによって算定可能であるか、或いは見積り可能である。アタックに対して、紐付けられた負担に応じて、例えば、「低」、「中」、「高」などの分類(セキュリティレベル)を割り当てることができる。「低」は、上記の計算能力、時間的な負担などの負担が非常に小さいことを表す一方、「高」は、負担が非常に大きいことを表す。
【0052】
特徴付けられていない異なる車両データ9に対して、異なる匿名度14を使用することもできる。
【0053】
これらの分類は、保護データ8に対して、使用者によって行うことができ、例えば、保護データ8の種類に依存する。アタックを決して完全には排除できないことにより、この分類に基づき、常にリスクの最小化だけを実施することができる。この分類に基づき、このリスクの最小化は、アタッカーが保護データ8へのアクセスを実現する確率に割り当てることができる。例えば、「高」の分類に関して、車両データセット10aに基づき特定の人を推定できる確率が1%以内の確率に等しくなることを要求できる。そして、匿名度14の値は、既に前に算出した通り、その確率が99%を上回る値に達する。
【0054】
そして、保護された車両データセット12aは、匿名度14の規定に一致する、前処理17により前もって変更された、収集された変量xn
*に由来する変量ynを有する。匿名度14は、使用者によって、例えば、運転者自身又は開発技師によって設定することができる。
【0055】
匿名度14は、データの情報内容が出来る限り少なく低減されるか、或いは必要以上に多く低減されないように選定すべきである。使用者によって設定された匿名度14が高過ぎた場合、保護された車両データ12が、場合によっては、認められたユーザーに対しても使用できなくなる。例えば、RDEでは、測定走行は、走行挙動(加速度、走行形態)に関して正確な規定を必要とするが、これらの規定は、高い匿名度14では、所定の運転者への割り当てができないように変更される。有利には、認められたユーザーに対して、RDEに関する測定活動における排ガス組成に対する車両データ10aの一体性は、例えば、同じ測定活動におけるGPS地理座標よりも重要である。それ故、この測定活動では、「GPS地理座標」の車両データセット10aに対する匿名度14を排ガス組成よりも著しく高く選定することができる。
【0056】
この前処理17は、異なるデータ処理方法16を利用することができる。例えば、前処理において、正規化、匿名化、重ね合わせ、分解能の低減などの頻繁に利用される方法16を実施することができる。正規化とは、車両データセット10aの一つの変量xn
*の絶対値を0と1(又は-1と+1)の間の値にマッピングすることであると理解される。これは、値の最大値による全ての値の除算によって実現できる。これは、例えば、速度データ又は加速度データを処理するのに適した方法である。例えば、最大値又は基準値が分からない場合、加速度の積分によって試験走行の区間を推定することが難しくなる。
【0057】
有利な実施構成では、分解能の低減を適用することもできる。具体的には、例えば、試験走行時に通り抜けてきた場所の地域特性数が、5か所から2か所に低減される。テストドライバーは、例えば、名前を記録されるのではなく、単に「男性」又は「女性」として抽象化される。そのようなマスキングは、例えば、デジタル道路マップでも使用される。物体の座標の最下位ビットが、例えば、ゼロに設定されて、それにより、デジタル道路マップの「ピクセル化」が行われる。例えば、このようにして、GPSデータの分解能が低減された場合、収集されたGPS位置の精度が低減される。そのような方法は、しばしば「マイクロアグリゲーション」とも呼ばれる。
【0058】
「匿名化」の方法16では、人に割り当て可能なデータが除去されるか、或いは割り当て不可能なデータに置き換えられる。多くの車両で運転者の方を向いたビデオカメラを用いて、運転者の瞳孔を監視するために実装されている注目点アシスタントを例として挙げることができる。一般的に、これらの映像データは評価後に直ちに削除されるが、開発又は問題解決のために、その後の分析で必要となる場合がある。この場合、これらの車両データ10aは、人の生体的な特徴(例えば、眼の色及び虹彩パターン)を含む可能性がある。これらは、確かにカメラを用いて収集されるが、瞳孔の動きの監視により注目点を検知するためには必ずしも必要ではない。この場合、一つの方法16は、実際の眼の色をランダムに選定した色に置き換えること(匿名化)である。別の方法16は、画像内の虹彩の領域に画像雑音を重ね合わせて、それにより正確に割り当てできることを困難にするか、或いは不可能にすることができる。
【0059】
これらのデータ処理の方法16は、機能形態を明らかにするための単なる例であり、前記の方法に限定されるのではなく、当業者にとって明らかである全ての方法16を適用することができる。
【0060】
以下において、データ処理の考え得る全ての構成を方法16と称する。この前処理17は、少なくとも一つの方法16を使用し、この方法は、前処理17で利用され、車両データセット10aに応じて選定される。しかし、車両データセット10aに複数の方法16を適用することも当然に可能である。好適又は必要な方法16の選定は、例えば、当該の測定活動に対して使用者によって予め与えるか、或いは前処理17の上流で自動的に行うことができる。有利には、一つの方法16は、車両データセット10aを少なくとも一つの保護された車両データセット12aに変更する。極めて有利には、車両データセット10aが、前処理17によって分析され、保護データ8の推定が可能である場合にのみ変更される。
【0061】
有利な実施形態では、一つの方法16は、時間や地理座標などの制御変数kに関係なく車両データセット10aを処理することができる。例えば、この同じ方法16が、車両データセット10aに持続的に適用され、その際に保護された車両データセット12aを生成する。この場合、この方法16は、変更されないままであり、常に同じ手法で車両データセット10aに適用することができる。
【0062】
有利な実施形態では、この前処理17は、図4に図示されている通りのフローを有する。前処理17は、有利には、例えば、図4のフローに基づき動作する、ソフトウェアにより実現される解決策である。ルーチンSの開始後に、車両データセット10aが前処理17により分析される。車両データセット10aが所与の匿名度14に対応する場合(yes)、それは、例えば、メモリユニット11に、保護された車両データセット12aとして保存されて、前処理が終了される(作業工程E)。そして、保護された車両データセット12aは、更なる処理のために評価ユニット5に送ることができる。車両データセット10aが匿名度14に対応しない場合(no)、これは、第一の方法16(作業工程A)によって変更される。それによって、変更された車両データセット10a’が得られる。この変更された車両データセット10a’が匿名度14に相当する場合、これは、保護された車両データセット12aとして保存され、前処理17が終了される(作業工程E)。相当しない場合、前処理17は、元の車両データセット10a又は変更された車両データセット10a’の何れを第二の方法16(作業工程B)の入力として選定するのかを選ぶことができる。これは、適用される方法16に依存するか、使用者によって予め与えるか、或いはその両方であるとすることができる。第二の方法16の適用後に、匿名度14が満たされた場合(yes)、変更された車両データセット10a’が再び保護された車両データセット12aとして保存される。このループは、異なる方法16を適用して、匿名度14が満たされるまで繰り返すことができる。図4は、このループを作業工程Xにより表示している。
【0063】
それに代わって、匿名度14を、所与の数の方法16の後に満たすことができなった場合、車両データセット10aを破棄することもできる。この場合、適用すべき方法16とその順番も(例えば、使用者によるコンフィグレーションによって)事前に決めるか、或いは予め与えることができる。有利には、前述したフローは、例えば、時間の関数として、制御変数kに依存して規則的な間隔で繰り返される。例えば、前の説明と同様に、制御変数kに依存する車両データセット10aの一部だけを保存して、匿名度14を満たさないそれ以外の部分を破棄することもできる。
【0064】
例えば、この前処理17に相関関数Cを導入するか、或いはコンテキストも導入することができる(図1)。このコンテキスト13は、異なるデータ収集ユニット3によって集めることができる、車両2の周囲環境を記述する。有利な実施構成では、相関関数Cとコンテキスト13は、これらの方法16の選定に影響を及ぼすことができ、極めて有利な実施構成では、相関関数Cとコンテキスト13が、個々の方法16の作用にも影響を及ぼすことができる。例えば、この方法16は、異なる程度で車両データセット10aに適用されて、例えば、車両データセット10aにおける分解能の異なる低減を引き起こすことができる。
【0065】
例えば、この前処理17は、GPS地理座標に基づきコンテキスト13により測定される交通量が少ない場合に、匿名度14を満たすために車両2の位置の分解能の大幅な低減を実施する方法16を適用するとの手法で動作することができる。交通量が多い場合、前処理17は、この方法16により、分解能の小幅な低減だけを実施するか、それどころか元の車両データセット10aを用いて更に進行して、所与の匿名度14を満たす保護された車両データセット12aを直ちに生成することができる。このコンテキスト13は、例えば、GPS地理座標を送り込むことによって、前の例における方法16の(大幅に低減する、小幅に低減する、全く低減しないとの)適用形態を制御し、そのようにして前処理17に統合することができる。
【0066】
別の有利な実施方法では、相関関数Cとコンテキスト13が匿名度14にも影響を及ぼし、そのようにして前処理17への方法16の適用に間接的に影響を及ぼすことができる。
【0067】
前処理17で利用される全ての方法16の合計は、方法のライブラリ15と呼ばれる。有利な実施形態では、使用者の設定の後、この方法のライブラリ15から、車両データセット10a毎に方法16が個別に選定される。極めて有利な実施構成では、前処理17が、保護された車両データセット12aを得るための方法16を方法のライブラリ15から自主的に選定することができる。方法16の適用は、図4に示された通り、順番に実行できるが、方法16を並行して適用することも考えられる。方法のライブラリ15は、前に説明した一定数の予め保存された方法16から構成することができる。保護データ8の安全性を保証するために、使用者によって、新たな方法16を方法のライブラリ15に加えることもできる。例えば、新たな形式のアタックによって、保護データ8を検知して、分析方法によって、保護された車両データセット12aから特定するか、或いは車両2での新たな測定方法が、保護データ8の安全性を保証する新たな方法16aを要求することができる。有利な実施構成では、方法のライブラリ15は、サブスクリプションベースで定期的な時間間隔で更新されて、その際に新たな方法16aが加えられる。新たな方法16aは、例えば、未だ開発中であって、方法16に基づくものであるか、或いは全く別のアプローチを追及するものであるとすることができる。有利には、新たな方法16aは、車両2の実行された試験走行の「ビックデータ」の分析によって開発することができる。そのような更新は、例えば、ブルートゥースなどの近距離通信プロトコルなどの無線伝送プロトコルを介して、或いは4G及び5Gなどの遠距離通信プロトコルを介してリアルタイムに行うことができる。しかし、有利な実施構成では、車両2の計画的な修理工場での停車時に、車両バスやブルートゥースなどの近距離通信プロトコルを介して更新をインストールすることもできる。
【0068】
この前処理17は、方法16を用いて、少なくとも一つの保護された車両データセット12a(y1(t)~yn(t))から成る保護された車両データ12を生成する。これらの保護された車両データ12は、前処理17の下流で初めて車両2に保存されるか、或いは送信される。従って、車両データ10は保存されない。そのようにして、車両データ10及び保護データ8にアクセスすることが不可能となる。
【0069】
この場合、保護された車両データ12は、その後にデータ評価6の場所で読み出すことができる。この読み出しは、有利には、テータ転送用のコネクタ接続を介して有線接続形態により行うことができるが、WLANやブルートゥースなどの無線接続形態により読み出すこともできる。保護された車両データ12は、評価ユニット5に供給することができる。しかし、保護された車両データ12は、試験走行中に、例えば、(図1で送信塔7により示されている通り)5Gなどの伝送プロトコルを用いて、伝送ユニットを介して送信することもでき、そして、評価ユニット5の評価地点6に直接(オンラインで)供給することができる。有利には、保護された車両データ12は、処理後に車両2に読み出すこともできる。
【0070】
図5の実施例では、具体的ではあるが、最終的ではない形で、処理ユニット4での前処理17の動作形態が示されている。車両2が、別の交通参加者18の少ない田舎の地域19で試験走行を行っており、別の車両データ10aに加えて、車両位置も、GPSを介して周期的に、例えば、10Hzで収集されて、車両データセット10aとして記録される。
【0071】
車両データ10は、運転者、道路網及び別の交通参加者18によって、例えば、運転者の運転スタイルによって特徴付けられ、この運転スタイルは、位置データの時間的な推移を特徴付ける。車両位置データの時間シーケンスから、時間に関する一次微分により、車両速度を算出して、例えば、有効な交通ルールを遵守しているのかを検査することができる。それから、再度の微分によって、走行形態(例えば、交差点又はカーブの前の制動など)を推定する役割を果たすことが可能な車両加速度が得られる。
【0072】
同時に、走行中は、車両2の位置データが運転者の位置データに等しい。そのようにして、車両の位置データの時間シーケンスを第三のデータ源と比較することによって、車両2の運転者を特定し、それにより、運転挙動から算出された車両データ10を人に関連するデータとして割り当てることができる。そのような第三のデータ源としては、例えば、無線ネットワークの運営業者に存在する、運転者のスマートフォンの個々の位置測定、或いはスマートフォンの様々なアプリケーションが収集する位置データを使用することができる。場所と時間が車両の車両データ10aの時間シーケンスにおける測定点と一致することを検査することによって、スマートフォンから(位置、時間の)一つ又は複数の測定が見つけ出すことができた場合、関連性を推定することができる。それによって、車両の位置データの高分解能時間シーケンスを人物に割り当て、同様に、それから導き出される知見(運転スタイル、交通ルールの遵守、別の交通参加者に対する挙動等)などに割り当てることが可能である。
【0073】
匿名度14を満たすとともに、保護データ8、ここでは、例えば、(a)運転スタイルと(b)運転者の正確な停車地点を推定できないようにするために、前処理17では、以下の方法16を適用することができる。
【0074】
a.分解能の低減
これは、時間的な分解能と空間的な分解能の何れかに関連するか、或いは両方にも関連することができる。これによって、一義的な割り当てが最早不可能である(時間的及び空間的な)範囲が得られる。即ち、この範囲内においては位置データが入手可能なスマートフォンの数に依存して、割り当てにおける不確実性が発生し、それにより所望の匿名度14(例えば、k匿名度)が得られる。
これは、時間的な分解能と空間的な分解能の何れかに関連するか、或いは両方にも関連することができる。これによって、一義的な割り当てが最早不可能である(時間的及び空間的な)範囲が得られる。即ち、この範囲内においては位置データが入手可能なスマートフォンの数に依存して、割り当てにおける不確実性が発生し、それにより所望の匿名度14(例えば、k匿名度)が得られる。
【0075】
この場合、それにより、該当位置での道路密度に依存して、特定の走行路に一義的に割り当てることがより難しくなり、時間微分により算出される速度又は加速度もより不正確になるとの第二の効果も得られる。それによって、走行スタイルの決定を困難又は不可能にすることができる。
【0076】
b.正規化
位置データは、(未知のものとして与えられる)スタート地点に対する相対的な位置として記録することもできる。それによって、確かに速度と加速度を正確に計算できるが、特定の交通面への割り当てと走行挙動の決定が難しくなるか、全く不可能になるまでになる。更に、上述した通りの第三のデータ源との比較もより難しくなる。
位置データは、(未知のものとして与えられる)スタート地点に対する相対的な位置として記録することもできる。それによって、確かに速度と加速度を正確に計算できるが、特定の交通面への割り当てと走行挙動の決定が難しくなるか、全く不可能になるまでになる。更に、上述した通りの第三のデータ源との比較もより難しくなる。
【0077】
即ち、バリエーションa)の有効性は、その時々の位置又は道路の目下の密度と別の交通参加者(コンテキスト13)、及びスマートフォンから入手可能な位置データに依存する。近くの交通参加者が少ない場合、分解能が大幅に低減される。即ち、直径dが大きく選定され、このことは、田舎の領域19での試験走行に相当する。そして、前処理17により保護された車両データセット12aは、運転者の推定も、車両の推定も不可能にする。それに対して、都会の領域20での車両2の試験走行では、分解能を低減する方法を僅かに省くことができる。多くの別の交通参加者が近くにおり、従って、位置測定において、より小さな不正確さで所与の匿名度14を満たすことができるので、半径dが小さく選定される。
【図1】
【図2】
【図3】
【図4】
【図5】
【手続補正書】
【提出日】2023-12-14
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)とを含む車両(2)においてデータを収集する方法であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、方法において、前記少なくとも一つの処理ユニット(4)では、前記少なくとも一つの車両データセット(10a)の前処理(17)が実行され、前記前処理が、所与の匿名度(14)を考慮して、
前記少なくとも一つの車両データセット(10a)を当該前処理にロードする工程と、
前記この少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用して、前記少なくとも一つの車両データセット(10a)を変更する工程と、
前記変更された車両データセット(10a’)により匿名度(14)が満たされるのかを分析する工程と、
前記匿名度(14)を満たす、少なくとも一つの変更された車両データセット(10a’)を少なくとも一つの保護された車両データセット(12a)として保存して、当該保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することを防止する工程と、を実行することを特徴とする方法。
【請求項2】
請求項1に記載の方法において、前記前処理(17)は、方法のライブラリ(15)の中の少なくとも一つの方法(16)にアクセスできることを特徴とする方法。
【請求項3】
請求項1又は2に記載の方法において、前記前処理(17)は、少なくとも一つの方法(16)を持続的に車両データセット(10a)に適用し、
少なくとも一つの保護された車両データセット(12a)が発生することを特徴とする方法。
【請求項4】
請求項1又は2に記載の方法において、前記の前処理(17)が、少なくとも一つの制御変数kに依存して、前記の少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用し、
少なくとも一つの保護された車両データセット(12a)が生じることを特徴とする方法。
【請求項5】
請求項1に記載の方法において、前記前処理(17)は、少なくとも一つの相関関数C及び一つのコンテキスト(13)に依存することを特徴とする方法。
【請求項6】
請求項1に記載の方法において、前記前処理(17)は、少なくとも二つの方法(16)を順次に、或いは並列に適用することを特徴とする方法。
【請求項7】
請求項2に記載の方法において、前記方法のライブラリ(15)は、サブスクリプションベースで機能して、新たな方法(16a)が、当該方法のライブラリ(15)に追加されることを特徴とする方法。
【請求項8】
請求項1に記載の方法において、前記匿名度(14)は、コスト係数と結び付けられ、分類が施されることを特徴とする方法。
【請求項9】
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)と含む車両(2)においてデータを収集する装置であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、装置において、前記少なくとも一つの処理ユニット(4)に前処理(17)が配備されており、前記前処理(17)は、匿名度(14)を考慮して、少なくとも一つの方法(16)を使用して、前記少なくとも一つの車両データセット(10a)を変更された車両データセット(10a’)に変換することによって、当該少なくとも一つの車両データセット(10a)を変更し、
メモリユニット(11)が配備されており、前記メモリユニットは、前記匿名度(14)を満たす、変更された車両データセット(10a’)を保護された車両データセット(12a)として保存し、それにより、前記保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することが防止されることを特徴とする装置。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0077
【補正方法】変更
【補正の内容】
【0077】
即ち、バリエーションa)の有効性は、その時々の位置又は道路の目下の密度と別の交通参加者(コンテキスト13)、及びスマートフォンから入手可能な位置データに依存する。近くの交通参加者が少ない場合、分解能が大幅に低減される。即ち、直径dが大きく選定され、このことは、田舎の領域19での試験走行に相当する。そして、前処理17により保護された車両データセット12aは、運転者の推定も、車両の推定も不可能にする。それに対して、都会の領域20での車両2の試験走行では、分解能を低減する方法を僅かに省くことができる。多くの別の交通参加者が近くにおり、従って、位置測定において、より小さな不正確さで所与の匿名度14を満たすことができるので、半径dが小さく選定される。
なお、本願は、特許請求の範囲に記載の発明に関するものであるが、他の態様として以下の構成も包含し得る:
1.
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)とを含む車両(2)においてデータを収集する方法であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、方法において、
前記少なくとも一つの処理ユニット(4)では、前記少なくとも一つの車両データセット(10a)の前処理(17)が実行され、前記前処理が、所与の匿名度(14)を考慮して、
前記少なくとも一つの車両データセット(10a)を当該前処理にロードする工程と、
前記この少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用して、前記少なくとも一つの車両データセット(10a)を変更する工程と、
前記変更された車両データセット(10a’)により匿名度(14)が満たされるのかを分析する工程と、
前記匿名度(14)を満たす、少なくとも一つの変更された車両データセット(10a’)を少なくとも一つの保護された車両データセット(12a)として保存して、当該保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することを防止する工程と、を実行する当該方法。
2.
上記1に記載の方法において、
前記前処理(17)は、方法のライブラリ(15)の中の少なくとも一つの方法(16)にアクセスできる当該方法。
3.
上記1及び2に記載の方法において、
前記前処理(17)は、少なくとも一つの方法(16)を持続的に車両データセット(10a)に適用し、
少なくとも一つの保護された車両データセット(12a)が発生する当該方法。
4.
上記1及び2に記載の方法において、
前記の前処理(17)が、少なくとも一つの制御変数kに依存して、前記の少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用し、
少なくとも一つの保護された車両データセット(12a)が生じる当該方法。
5.
上記1~4に記載の方法において、
前記前処理(17)は、少なくとも一つの相関関数C及び一つのコンテキスト(13)に依存する当該方法。
6.
上記1~5に記載の方法において、
前記前処理(17)は、少なくとも二つの方法(16)を順次に、或いは並列に適用する当該方法。
7.
上記1~6に記載の方法において、
前記方法のライブラリ(15)は、サブスクリプションベースで機能して、新たな方法(16a)が、当該方法のライブラリ(15)に追加される当該方法。
8.
上記1~7に記載の方法において、
前記匿名度(14)は、コスト係数と結び付けられ、分類が施される当該方法。
9.
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)と含む車両(2)においてデータを収集する装置であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、装置において、
前記少なくとも一つの処理ユニット(4)に前処理(17)が配備されており、前記前処理(17)は、匿名度(14)を考慮して、少なくとも一つの方法(16)を使用して、前記少なくとも一つの車両データセット(10a)を変更された車両データセット(10a’)に変換することによって、当該少なくとも一つの車両データセット(10a)を変更し、
メモリユニット(11)が配備されており、前記メモリユニットは、前記匿名度(14)を満たす、変更された車両データセット(10a’)を保護された車両データセット(12a)として保存し、それにより、前記保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することが防止される当該装置。
なお、本願は、特許請求の範囲に記載の発明に関するものであるが、他の態様として以下の構成も包含し得る:
1.
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)とを含む車両(2)においてデータを収集する方法であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、方法において、
前記少なくとも一つの処理ユニット(4)では、前記少なくとも一つの車両データセット(10a)の前処理(17)が実行され、前記前処理が、所与の匿名度(14)を考慮して、
前記少なくとも一つの車両データセット(10a)を当該前処理にロードする工程と、
前記この少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用して、前記少なくとも一つの車両データセット(10a)を変更する工程と、
前記変更された車両データセット(10a’)により匿名度(14)が満たされるのかを分析する工程と、
前記匿名度(14)を満たす、少なくとも一つの変更された車両データセット(10a’)を少なくとも一つの保護された車両データセット(12a)として保存して、当該保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することを防止する工程と、を実行する当該方法。
2.
上記1に記載の方法において、
前記前処理(17)は、方法のライブラリ(15)の中の少なくとも一つの方法(16)にアクセスできる当該方法。
3.
上記1及び2に記載の方法において、
前記前処理(17)は、少なくとも一つの方法(16)を持続的に車両データセット(10a)に適用し、
少なくとも一つの保護された車両データセット(12a)が発生する当該方法。
4.
上記1及び2に記載の方法において、
前記の前処理(17)が、少なくとも一つの制御変数kに依存して、前記の少なくとも一つの車両データセット(10a)に少なくとも一つの方法(16)を適用し、
少なくとも一つの保護された車両データセット(12a)が生じる当該方法。
5.
上記1~4に記載の方法において、
前記前処理(17)は、少なくとも一つの相関関数C及び一つのコンテキスト(13)に依存する当該方法。
6.
上記1~5に記載の方法において、
前記前処理(17)は、少なくとも二つの方法(16)を順次に、或いは並列に適用する当該方法。
7.
上記1~6に記載の方法において、
前記方法のライブラリ(15)は、サブスクリプションベースで機能して、新たな方法(16a)が、当該方法のライブラリ(15)に追加される当該方法。
8.
上記1~7に記載の方法において、
前記匿名度(14)は、コスト係数と結び付けられ、分類が施される当該方法。
9.
少なくとも一つのデータ収集ユニット(3)と少なくとも一つの処理ユニット(4)と含む車両(2)においてデータを収集する装置であって、前記少なくとも一つのデータ収集ユニット(3)が、少なくとも一つの保護データ(8a)により特徴付けられた少なくとも一つのデータ車両データセット(10a)を記録する、装置において、
前記少なくとも一つの処理ユニット(4)に前処理(17)が配備されており、前記前処理(17)は、匿名度(14)を考慮して、少なくとも一つの方法(16)を使用して、前記少なくとも一つの車両データセット(10a)を変更された車両データセット(10a’)に変換することによって、当該少なくとも一つの車両データセット(10a)を変更し、
メモリユニット(11)が配備されており、前記メモリユニットは、前記匿名度(14)を満たす、変更された車両データセット(10a’)を保護された車両データセット(12a)として保存し、それにより、前記保護された車両データセット(12a)から前記少なくとも一つの保護データセット(8a)を間接的に推定することが防止される当該装置。
【国際調査報告】