用于在两个数字可控车辆组件之间的数据传输的方法与流程

1.本发明涉及一种用于在两个数字可控车辆组件之间的数据传输的方法，所述两个数字可控车辆组件包括第一和第二车辆组件，其中每个车辆组件都具有电子控制单元，该电子控制单元具有监控单元、两个通信接口、即第一和第二通信接口和接口开关，其用于规定所要传输的数据在这两个通信接口之间的分配，其中监控单元被设立用于监控这些通信接口，其中这两个车辆组件为了交换数据而彼此连接，其方式是设置两条数据连接线路，其中这些第一通信接口通过第一数据连接线路来彼此连接并且这些第二通信接口通过第二数据连接线路来彼此连接。


背景技术：

2.长期以来，从现有技术中已知彼此进行数字通信的车辆组件。为此，这些车辆组件大多与有线数据连接线路连接，车辆组件可以经由这些有线数据连接线路来交换数据。数据连接线路通常是数据总线系统的线路。从现有技术中也已知冗余设计这种线路。借此，通过使用其余的线路可以补偿线路的失灵。这种冗余系统的不利之处在于：其余的线路可能有更大的概率过载。在车辆应用中，数据的不受控制的丢失不仅可能危及处于车辆中的人员的安全，而且可能危及车辆周围的人员的安全。因而，本发明的任务在于提供一种用于在两个数字可控车辆组件之间的数据传输的方法，该方法能够实现提高的安全性。


技术实现要素：

3.该任务利用开头提到的类型的方法来解决，按照本发明，该方法包括如下步骤：a) 借助于为此所设置的监控单元和在正常状态与故障状态之间的区别来持续检查车辆组件之间的数据连接，其中在正常状态下两条数据连接线路以它们的标称带宽来供支配，而在故障状态下，在少一条数据连接的情况下经由这两条数据连接线路中的一条数据连接线路来进行数据交换；b) 在发现是正常状态的情况下，借助于接口开关将在车辆组件之间所要交换的标准数据流分配到这两条数据连接线路上，以便同时使用两条数据连接线路的带宽并且基于对数据损失的发现而能立即发现数据连接线路的可能的限制、尤其是失灵，其中标准数据流包括安全相关的数据以及安全无关的数据，而且在车辆组件处存在关于标准数据流的结构的信息，使得通过与标准数据流的已知结构的比较来发现数据损失；c) 在发现数据连接线路的故障状态的情况下，通过借助于接口开关改变该分配来使有故障的数据连接线路免除对标准数据流的传输，并且如下改变对其余的数据连接线路的操控：即安全相关的数据的传输优先于安全无关的数据的传输。
4.表述
“‘
持续’检查数据连接”被理解成如下检查，在该检查的情况下在检查时提供足够短的时间段，以便发现数据丢失。该时间段可以根据数据传输率而改变。专业人员能够规定适合于特定应用情况的时间段。术语“标准数据流”被理解成包括安全相关的数据以及安全无关的数据的数据流。随后讨论关于数据安全相关性的更详细的信息。可以通过不同
层级的数据通信来规定用于发现标准数据流没有错误的标准。这样，例如可设想的是：就开放系统互连（osi）层模型而言，在硬件相关的层级1或2上就已经识别与正常运行的偏差。对此的典型示例是曼彻斯特编码连同检查直流分量或在电平变化之间的最大时长。附加地或独立地，可以检查信号电平及其时间顺序。例如，在rz编码（归零（return-to-zero））的情况下，可以假定在每个比特之间都短暂地存在零电平。如果在信号线路上在比预先限定的比特时长更长的间隔内未出现零电平，则这表明发生故障。在通过限定而以差分方式工作的传输链路（例如lvds（低电压差分信号（low voltage differential signaling））或can）的情况下，两条信号线路的平均值无论位序列如何都必须具有准恒定值，例如为0伏特的电压电平、工作电压的一半或者根据相应的限定的替代值。表述“通过与标准数据流的已知结构的比较来发现数据损失”被理解为使得先前已知的关于标准数据流的信息被用于该比较，而且与实际接收到的数据流的偏差被用于故障识别。在此，信息可以——如已经解释的那样——与按照osi模型的不同层相关（更准确地说可选地与每个单独的层都相关）。不规定对某个通信层级的限制。
5.也可能会规定：在更高的数据通信层级（在有些协议中是osi第4层，通常是osi第5层）上检查数据流的完整性。最简单的形式是检查数据包的报头信息（在最简单的情况下是起始和/或停止位，但是还有除了有效数据之外被传输的更复杂的位模式）或者时间顺序。这些简单措施的缺点在于：在有效数据中的错误不被注意到，而是盲目相信没有错误的报头也意味着有效数据没有错误（情况通常并非如此）。
6.广泛流行的是使用crc（循环冗余校验（cyclic redundancy checks）），所述crc被应用于固定长度的数据包。由于在当前情况下只需要错误识别而不需要错误修正，所以可以使用比较短的crc，诸如根据sae-j1850的crc-8。
7.同样可设想并且在应用需要被签名的数据流的情况下甚至有利的是，可以使用（密码）“哈希（hashes）”（德文：streuwertfunktion（散点值函数），比较不常用）。在这样的系统中，有错误的传输将会被识别为损坏的消息，其中在传输链路发生故障与对数据内容的蓄意篡改之间无法区分。然而，在很多应用情况下，按照本发明的对数据传输线路的断开在两种情况下都可以是优选的反应。
8.可以以类似的方式来评估借助于分组密码加密的数据流。只要明文消息包含短的已知的位序列，在解密之后就仅须检查该“魔法值（magic value）”是否存在。在加密形式下，存在涂抹在整个数据包上的该魔法值的信息。在任意位置的传输错误也会概率高地伪造该魔法值并且因此在解密之后也能定位在该魔法值中地被识别。实际上，为此可以使用几乎所有现代的、密码学相关的密码，诸如aes、blowfish、3des、idea或rc5。与被签名的数据流类似，这里也无法在部分失灵或失灵与篡改之间进行区分，但是这在大多数应用情况下都不代表限制。
9.数据的优先次序主要被理解成划分成安全相关的数据和其它安全无关的数据。此外，在安全无关的数据内可以进行逐级分级（“较重要
”‑“
较不重要”）以及区分成在紧急运行时允许有丢失地被压缩的数据和这种要么要未经伪造地被传输要么完全不要被传输的数据。
10.尤其可以规定：对于标准数据流的能打包的部分来说，在故障情况下使全部数据包重定向（umlenkung）。就本技术而言，数据包被理解成独立的信息单元。数据包例如可以
是视频信号的“帧（frame）”（即图像），或者也可以是被分配给数据流的时间段的数据包。数据包的特点也可能会在于特定的数据结构，例如具有所分派的数据报头和有效数据的各一个数据帧，这些有效数据包含实际所要传输的信息。数据的重定向借助于为此设置的接口开关来实现。在本文档中，接口开关被理解成如下装置，该装置与经过相应的通信接口的两条现有的数据连接线路和监控单元连接，并且被设计为实现数据流的内容的重定向并且在故障情况下实现对相应损坏的数据连接线路的断开。在正常状态下，根据接口开关的相应的在发送方一侧或在接收方一侧的实现方案，将标准数据流相对应地分配到两条数据连接线路上或者将经由这些数据连接线路所接收到的数据组合成标准数据流。在故障状态下，将相对应的数据转发给能运转的线路并且将有故障的线路断开。可以规定：在故障情况下，接口开关在考虑所选择的数据优先类型的情况下执行对标准数据流的内容的改变。
11.还可以规定：对于标准数据流的不能打包的部分来说，在应用数据压缩方法的情况下进行重定向，其中借助于时分复用法经由其余的完好无损的数据连接线路来传输经压缩的数据。对于有些数据流格式来说，可以使总归始终存在的压缩增强（例如mpeg/mp4或者jpg能够实现可变的、有丢失的压缩）。同样，可以从无丢失的压缩方法变换到有丢失的压缩方法，以便减少所要传输的数据量。只要知道有效数据的含义，就可以使用特定于应用的压缩方法。在光分配的情况下，例如可以是合理的是：将分辨率降低为使得解压缩伪影绝不使像素或区域更亮（有眩光风险）而是在最不利的情况下更暗（性能降低）。替代地，同样可能会规定：明暗边界的位置继续准确地被传输，但是在亮区域内的分级允许被伪造或者丢失。
12.尤其可以规定：在故障情况下，完全省去对安全无关的数据的传输。
13.还可以规定：在识别出故障情况时，触发安全例程，在该安全例程的过程中，借助于接口开关将有错误的传输所涉及到的数据连接线路与这两个车辆组件电分离。
14.尤其可以规定：第一车辆组件的电子控制单元还具有第三和第四通信接口，使得第一车辆组件还可以与第三车辆组件连接，其中第一车辆组件的就第三车辆组件而言的第三和第四通信接口表现得与就第二车辆组件而言的第一和第二通信接口一样。
15.还可以规定：第一车辆组件是光控制设备并且第二和第三车辆组件分别是机动车大灯的通过光控制设备来控制的光模块，其中该控制用于规定光模块的光分配并且基于在光控制设备与光模块之间交换的数据来进行。
16.尤其可以规定：第一和第二车辆组件分别是光模块，而第三车辆组件是用于控制这些光模块的光控制设备，其中该控制用于规定光模块的光分配并且基于在光控制设备与光模块之间交换的数据来进行。
17.还可以规定：监控单元是cpu。即，监控可以在独立的模块中实现。车辆组件例如可包括如下系统，该系统包括：车辆大灯和监控单元或电子控制单元，以及相对应的数据连接。
18.尤其可以规定：标准数据流的安全相关的数据涉及用于控制如下车辆大灯照明功能中的至少一个的数据：{定位灯；日间行车灯；静态近光灯；行驶方向指示灯}。
19.还可以规定：标准数据流的安全无关的数据涉及用于控制如下车辆大灯照明功能中的至少一个的数据：{动态随动转向灯；远光灯；无眩光远光灯；静态随动转向灯；车道标记；障碍物/物体标记灯}。
20.尤其可以规定：数据连接线路是数据总线系统的一部分，其中该数据总线系统尤
其是can、can-fd或者汽车以太网总线系统。
21.还可以规定：这些数据连接线路具有至少两个彼此不同的总线系统。
22.尤其可以规定：通过适当的显示、例如以光信号形式的显示或者通过在车辆内部空间中的替代装置来向车辆驾驶员报告所发现的故障状态的存在、即显示该故障状态的信息。
23.换言之，本发明的方面可以按如下地被描述：可以使用两个相同或非常相似的总线系统（链路1、链路2），这两个总线系统
•ꢀ
在正常运行时o 并行地运行并且借此提供单独带宽的总和（这也包含将数据流分配到两个物理信道上）o 两者都被监控；
•ꢀ
在故障情况下（一条链路失灵）o 数据被区分优先次序，使得在其余的有工作能力的总线上为“紧急运行”传输足够的数据o 有错误的链路被断开（隔离），使得系统的其余部分不进一步受损害o 法律框架条件可以被遵守。
24.因而，尽管存在故障，仍可以至少有限地维持技术系统的功能。
25.在此，可以考虑如下方面：分配：在面向数据包的数据传输（例如传输控制协议/因特网协议——之类的或者can帧）的情况下，可以按如下地分配数据包：一个数据包经由第一链路（即数据连接线路），另一个数据包经由第二链路，以此类推。对于未打包的数据流（例如红绿蓝信息），可以使用标准通信技术方法，诸如时分复用。在一个优选的设计方案中，首先对数据进行压缩，然后可以应用时分复用法。
26.监控：如果发送方（链路监视器）从自身出发识别出两条总线之一损坏（例如无法接收到can确认位），则可以立即报告链路故障并且激活故障模式。如果这一点由于在物理层上的链路1从发送方的角度正常工作但是数据仍然有错误地被接收而无法实现，则ecu2（所谓的电子监控单元“electronic control unit”，该电子监控单元可以是车辆组件的电子控制单元的一部分）或其链路监视器能够将故障状态经由最不可能受影响的信道反馈给ecu1（即该ecu1可以是另一车辆组件的电子单元的一部分），其中链路监视器切换到此，借此切换到故障模式下并且停用链路1。
27.区分优先次序：可存在事先规定的数据“标记”，该“标记”在故障情况下必须继续被传输。这例如可以是优先的数据包（由cpu本身来标记）或者数据流的固定部分（仅每两个像素或者仅每两个帧）。不优先的数据在故障情况下不被传输并且会丢失。同样可设想的是对优先次序的逐级分级，其中给安全相关的数据配备最高优先级。在这种情况下，必要时同样可以传输数据，这些数据虽然被分类成安全无关，但是仍然可以被视为例如对于交通安全来说相关。
28.隔离：该行动包含：1. 存在并传输进行接收的ecu（准确地说是其链路监视器）的关于链路的失灵和停用的信息；
2. 通过接口开关对该链路的电和/或物理隔离，使得短路或者还有过电压无法损害ecu和其余的链路的功能。该隔离可以在发送方一侧和/或在接收方一侧进行，取决于所选择的故障探测方法。
附图说明
29.在下文，本发明依据示例性的并且非限制性的实施方式更详细地被阐述，这些实施方式在附图中阐明。其中：图1示出了在按照本发明的方法中应用的组件的示意图；图2示出了这些组件的替代布局；以及图3示出了用于应用按照本发明的方法的这些组件的另一替代布局。
30.在下面的附图中，只要不另作说明，相同的附图标记就表示相同的特征。
具体实施方式
31.图1示出了在按照本发明的方法中应用的组件的示意图。该方法涉及在至少两个数字可控车辆组件1a和1b之间的数据传输，所述至少两个数字可控车辆组件包括第一和第二车辆组件，其中每个车辆组件都具有电子控制单元2，该电子控制单元2具有监控单元3、两个通信接口4a、4b，即第一和第二通信接口和接口开关8。
32.监控单元3被设立用于监控这些通信接口，其中这两个车辆组件1a和1b为了交换数据而彼此连接，其方式是设置两条数据连接线路5a和5b。第一通信接口4a通过第一数据连接线路5a来彼此连接，并且第二通信接口4b通过第二数据连接线路5b来彼此连接。该方法包括如下步骤：a) 借助于为此所设置的监控单元3和在正常状态与故障状态之间的区别来持续检查车辆组件之间的数据连接，其中在正常状态下两条数据连接线路5a、5b以它们的标称带宽来供支配，而在故障状态下，在少一条数据连接的情况下经由这两条数据连接线路5a、5b中的一条数据连接线路来进行数据交换；b) 在发现是正常状态的情况下，借助于接口开关8将在车辆组件1a和1b之间所要交换的标准数据流dn分配到这两条数据连接线路5a和5b上，以便同时使用两条数据连接线路5a和5b的带宽并且基于对数据损失的发现而能立即发现数据连接线路5a和5b的可能的限制、尤其是失灵，其中标准数据流包括安全相关的数据d
sr
以及安全无关的数据d
si
，而且在车辆组件处存在关于标准数据流的结构的信息，使得通过与标准数据流的已知结构的比较来发现数据损失；c) 在发现数据连接线路的故障状态的情况下，通过借助于接口开关8改变该分配来使有故障的数据连接线路5a、5b免除对标准数据流dn的传输，并且如下改变对其余的数据连接线路5a、5b的操控：即安全相关的数据d
sr
的传输优先于安全无关的数据d
si
的传输。
33.图2示出了该方法的扩展方案，其中第一车辆组件1a的电子控制单元2还具有第三通信接口4c和第四通信接口4d，使得第一车辆组件1a还可以与第三车辆组件1c连接，其中第一车辆组件1a的就第三车辆组件1c而言的第三通信接口4c和第四通信接口4d表现得与就第二车辆组件1b而言的第一通信接口4a和第二通信接口4b一样。
34.在此，尤其可以规定：第一车辆组件1a是光控制设备6并且第二和第三车辆组件1b
和1c分别是机动车大灯的通过该光控制设备来控制的光模块7，其中该控制用于规定光模块7的光分配并且基于在光控制设备6与光模块7之间交换的数据来进行。
35.图3示出了本发明的替代的变型方案，其中第一和第二车辆组件1a、1b分别是光模块7，而第三车辆组件1c是用于控制这些光模块的光控制设备6，其中该控制用于规定该光模块7或这些光模块7的光分配并且基于在该光控制设备6与该光模块7或这些光模块7之间交换的数据来进行。
36.如在随后的表格中所描述的那样，在有总线失灵时，借助于按照本发明的方法可以继续运行法律规定的功能。通过对带宽的最优使用，可以通过其余的总线或其余的数据连接线路来描绘超过50%的功能。
37.涉及法律规定的功能的数据优选地全部是就本发明而言安全相关的数据d
sr
，其余的数据可以被归为安全无关的数据d
si
。
38.在一个特别优选的实施方式中，可以规定：通过光信号、显示系统或者替代装置来向机动车驾驶员报告关于存在故障情况的信息。
39.本发明不限于所示出的实施方式，而是通过权利要求书的整个保护范围来限定。本发明或实施方式的各个方面也可以予以考虑并且彼此组合。权利要求书中的任何附图标记都是示例性的，并且仅用于使权利要求书更易于阅读，而并不对权利要求书进行限制。