用于控制机动车的车辆功能的无线遥控设备.pdf

按照本发明的无线遥控设备用于控制至少一个对于功能安全重要的第一车辆功能，例如用于自动泊入或驶出轿车的停车功能。除了一个或多个这样的功能之外，遥控设备也用于控制另外的车辆功能，例如用于打开和关闭中控锁装置。按照本发明的遥控设备包括输入器件，用于在用户侧选择所述车辆功能并且用于获得根据所选择的车辆功能的用户输入。输入器件也用于选择第一车辆功能，从而在选择第一车辆功能的情况下存在配置给第一车辆功能的用户输入。按照本发明的遥控设备附加地还包括用于保障第一车辆功能的安全装置。该安全装置自身包括安全输入器件，能够操纵该安全输入器件用于执行第一车辆功能，此外安全装置还包括与安全输入器件耦合的具有安全信息的安全电路。所述遥控设备这样设置，使得在配置给第一车辆功能的用户输入的情况下，仅仅在操纵安全输入器件的情况下使用安全信息，以用于产生引起执行第一车辆功能的发送数据的。

1.  无线遥控设备(10、20、30、40)，
·用于控制至少一个对于功能安全重要的第一车辆功能以及
·用于控制机动车的一个或多个另外的第二车辆功能，
所述无线遥控设备包括：
·输入器件(2)，用于在用户侧激活所述车辆功能并且用于获得对应于要激活的车辆功能的用户输入(E)，其中，对于应该激活第一车辆功能的情况存在配置给第一车辆功能的用户输入(E)，以及
·发送器逻辑装置(3)，用于处理用户输入(E)，
其特征在于，
所述遥控设备附加地包括：
·用于保障第一车辆功能的安全装置(6)，包括：
·安全输入器件(Sw)，该安全输入器件能够被操纵用于执行第一车辆功能，以及
·与安全输入器件(Sw)耦合的具有安全信息(G)的安全电路(6)，
其中，遥控设备这样设置，使得在配置给第一车辆功能的用户输入(E)的情况下，仅仅在操纵安全输入器件的情况下使用安全信息(G)以用于产生引起执行第一车辆功能的发送数据(S；SH；W)。

2.  根据权利要求1所述的无线遥控设备(10)，其中
·安全输入器件(Sw)在操纵的情况下转变到第一状态(Z2)中并且在执行第一车辆功能期间保持在该第一状态(Z2)中；
·遥控设备这样设置，使得在离开第一状态(Z2)时排除使用安全信息(G)来产生这样的发送数据。

3.  根据权利要求1或2所述的无线遥控设备(10)，其中，无线遥控设备(10)这样设置，使得在操纵安全输入器件(Sw)的情况下发送器逻辑装置(3)
·获得安全信息(G)；并且
·在使用安全信息(G)和配置给第一车辆功能的用户输入(E)的情况下产生发送数据(S)。

4.  根据权利要求3所述的无线遥控设备(10)，其中，
·安全输入器件(Sw)在操纵的情况下转变到第一状态(Z2)中并且在执行第一车辆功能期间保持在该第一状态(Z2)中；
·遥控设备这样设置，使得在离开第一状态(Z2)时排除使用安全信息(G)来产生这样的发送数据；以及
·遥控设备这样设置，使得如果安全输入器件(Sw)离开第一状态(Z2)，则发送器逻辑装置(3)失去安全信息。

5.  根据权利要求4所述的无线遥控设备(10)，其中，安全装置还包括：
·与安全输入器件(Sw)耦合的用于产生复位脉冲的复位电路(5)，其中，在触发复位脉冲时，发送器逻辑装置(3)失去安全信息(G)。

6.  根据权利要求1或2所述的无线遥控设备(20)，其中，遥控设备(20)这样设置，使得：
·在操纵安全输入器件(Sw)时，安全电路(6)在使用安全信息(G)的情况下产生第一数据(H)或者提供安全信息(G)作为第一数据(H)；
·发送器逻辑装置(3)在使用配置给第一车辆功能的用户输入(E)的情况下产生第二数据(S)，或者配置给第一车辆功能的用户输入(E)对应于第二数据(S)；以及
·发送数据(SH)由第一数据(H)和第二数据(S)产生。

7.  根据权利要求1或2所述的无线遥控设备(30)，其中，遥控设备(30)这样设置，使得：
·在操纵安全输入器件(Sw)时，安全电路在使用安全信息(G)的情况下并且在使用第二数据(S)的情况下产生第一数据(H)；
·发送器逻辑装置(3)在使用配置给第一车辆功能的用户输入(E)的情况下产生第二数据(S)，或者配置给第一车辆功能的用户输入(E)对应于第二数据(S)；以及
·要发送的发送数据(SH)由第一数据(H)和可选地第二发送数据(S)产生，或者发送数据(SH)对应于第一数据(H)。

8.  根据权利要求6或7所述的无线遥控设备(20、30)，其中，
·安全输入器件(Sw)在操纵的情况下转变到第一状态(Z2)中并且在执行第一车辆功能期间保持在该第一状态(Z2)中；
·遥控设备这样设置，使得在离开第一状态(Z2)时排除使用安全信息(G)来产生这样的发送数据；以及
·遥控设备(20、30)这样设置，使得如果安全输入器件(Sw)离开第一状态(Z2)，则安全电路(6)在使用安全信息(G)的情况下不再产生或输出第一数据(H)。

9.  根据权利要求1或2所述的无线遥控设备(40)，其中，
·发送器逻辑装置(3)在使用配置给第一车辆功能的用户输入(E)的情况下产生第二数据(S)；
·安全电路(6)包括用于释放安全信息(G)的器件(7)以用于 在安全电路(6)内进行处理，其中，用于释放安全信息(G)的器件(7)与安全输入器件(Sw)这样耦合，使得在操纵安全输入器件(Sw)时释放安全信息(G)以用于在安全电路(6)内进行处理；以及
·安全电路(6)设置为，在释放安全信息(G)时在使用安全信息(G)的情况下并且在使用第二数据(S)的情况下产生要发送的发送数据(W)。

10.  根据权利要求9所述的遥控设备(40)，其中，
·安全输入器件(Sw)在操纵的情况下转变到第一状态(Z2)中并且在执行第一车辆功能期间保持在该第一状态(Z2)中；
·遥控设备这样设置，使得在离开第一状态(Z2)时排除用于使用安全信息(G)来产生这样的发送数据；以及
·遥控设备(40)这样设置，使得如果安全输入器件(Sw)离开第一状态(Z2)，则安全电路(6)失去用于使用安全信息(G)的释放。

11.  根据上述权利要求之一所述的遥控设备(10、20、30、40)，其中，安全输入器件是安全开关元件，并且遥控设备(40)包括第一按键(9)，其包括所述安全开关元件(Sw)。

12.  根据权利要求11所述的遥控设备(10、20、30、40)，其中，第一按键(9)：
·除了安全开关元件(Sw)之外包括所述另外的开关元件(Sw_E2)，所述另外的开关元件用于获得配置给第一车辆功能的用户输入(E)；并且
·这样设计，使得在操纵第一按键(9)时不仅操纵安全开关元件(Sw)而且操纵另外的开关元件(Sw_E2)。

13.  根据权利要求11所述的遥控设备(10、20、30、40)，其中，
·遥控设备除了第一按键之外包括至少一个另外的键；以及
·所述另外的键用作用于激活第一车辆功能的输入器件。

14.  根据上述权利要求1-10之一所述的遥控设备(10、20、30、40)，其中，遥控设备(10、20、30、40)包括：
·基体；以及
·具有至少一个操作元件的操作部件，
其中，所述遥控设备这样设计，使得
·在操作部件被覆盖的状态下，操作部件的所述至少一个操作元件被覆盖并且是不可操作的；
·该操作部件从覆盖的状态通过使操作部件相对于基体运动、特别是通过推出、拉出或翻转操作部件而可转变到操作部件的打开状态中，其中，所述至少一个操作元件是可见的并且可操作的；以及
·通过使操作部件相对于基体运动来操纵安全输入器件(Sw)。

15.  根据上述权利要求之一所述的遥控设备(10、20、30、40)，其中，
·安全输入器件(Sw)在操纵的情况下转变到第一状态(Z2)中并且在执行第一车辆功能期间保持在该第一状态(Z2)中；
·遥控设备这样设置，使得在离开第一状态(Z2)时排除使用安全信息(G)来产生这样的发送数据；以及
·遥控设备(10、20、30、40)这样设置，安全输入器件(Sw)在执行第一车辆功能期间能够由用户、特别是通过在用户方面的力消耗而保持在第一状态(S2)下。

16.  根据上述权利要求之一所述的遥控设备(10、20、30、40)，其中，第一车辆功能是用于自动泊入或驶出轿车的停车功能。

17.  根据上述权利要求之一所述的遥控设备(10、20、30、40)，其中，安全信息是具有至少16位长度的安全信息。

18.  用于根据上述权利要求之一所述的遥控设备(10、20、30、40)的接收器，其中，该接收器设置为，
·如下检测所接收的数据(S、SH、W)，所述数据是否在使用安全信息(G)的情况下在发送器侧产生的。

19.  机动车，其包括根据权利要求17所述的接收器并且设置为，
·可遥控地执行至少一个对于功能安全重要的第一车辆功能并且执行一个或多个另外的第二车辆功能；以及
·只有根据在接收器中的检测确认了，所接收的数据(S、SH、W)是在使用安全信息(G)的情况下在发送器侧产生的，才执行第一车辆功能。

用于控制机动车的车辆功能的无线遥控设备
技术领域
本发明涉及一种按照权利要求1的前序部分的用于控制机动车的车辆功能的无线遥控设备。
背景技术
在下文中，由于在英语术语“security”(访问保护、防止入侵者的保护、免于数据歪曲的保护等等)意义上的安全和在英语术语“safety”(对身体和生命的不可防卫的风险的保护)意义上的安全的在德语上可能混淆，在第一种情况下一般使用术语“安全”，而在第二种情况下使用术语“运行安全”或“功能安全”。
已知的是，通过(例如集成到车辆的无线钥匙中的)遥控设备来控制各个车辆系统，所述各个车辆系统不直接与车辆的驾驶关联。为此的例子是中控锁装置的访问功能、敞篷车蓬盖的打开或窗户的打开。在多种车辆中无线钥匙此外包含防盗锁的一部分。此外，部分地也可以通过遥控设备控制其它舒适度功能，如例如停车空调设备或停车加热器。而车辆的运动在大多数情况下是不可遥控的。
出于防盗保护的原因，对于当今的无线钥匙一般具有密码保障的必要性。该密码保障典型地借助于对称或非对称的加密/签名实现。此外，保障这样的遥控设备的无线路径免于歪曲，例如借助于校验和方法，特别是循环冗余码校验(CRC)或签名。这不仅可以用于鲁棒性而且可以用于传输的安全的进一步提高。
在车辆中具有多个对于运行安全/功能安全重要的功能。这样的功能例如依照标准IEC 61508(IEC-国际电工技术委员会)或者在车辆领域ISO 26262(ISO-国际标准化组织)中研发并且保障。
在车辆中遥控对于运行安全/功能安全重要的功能时，对整个遥控 设备除了当今已知的对鲁棒性和安全性(在“Security”的意义上)的要求之外也还具有对运行安全/功能安全(在“Safety”的意义上)的要求。
例如必须足够地排除或保障基于遥控设备中(亦即在发送器中)的错误而遥控的对于功能安全重要的功能的错误激活。
对于功能安全的这些要求例如必须通过整个遥控系统根据在车辆领域中所应用的标准ISO 26262的研发和保障(不仅在发送器侧而且在接收侧)来满足。
不过，该用于保证功能安全的传统方案导致显著的成本和附加的问题，特别是对于遥控设备(亦即发送器)。这样相比于简单的无线钥匙来说，例如软件研发过程是非常耗费的并且数量上的故障率明显更高。此外，典型地为了保证功能安全所应用的解决方案、如这样的输入信号(其是对于保证功能安全是重要的)的冗余处理在无线钥匙遥控设备中单单已经由于结构空间和电流消耗而窄地受限制。
图1示出了传统的发送器/接收器系统，其用于车辆功能的遥控：遥控设备1包括输入器件2用于控制车辆功能，例如不同的键用于触发不同的车辆功能，例如用于打开车辆的键和用于关闭车辆的键。借助于输入器件1获得用户输入E。用户输入E由发送器逻辑装置3转换成要发送的数据S，所述数据包含以编码形式的用户输入E，亦即S是E的函数：S＝f(E)。f(E)例如可以涉及简单的编码(S＝E)；或者S还包含——例如出于安全原因——另外的信息，如例如发送器标识(发送器ID)或校验和(例如在CRC的意义上)或序列计数器。发送器逻辑装置3例如借助于微控制器和必要时另外的电子组件来实现。将要发送的数据调制到相应的高频载波上在图1中出于简化的原因而未示出。在接收侧，在解调(未示出)之后在分析逻辑装置4中由接收的数据S确定用户输入E，亦即E＝f^-1(S)，并且输出相应的输出信号A用于实施配置给用户输入的车辆功能。
在对于功能安全重要的车辆功能、如例如由车辆外部可触发的用于自动泊入或泊出轿车的停车功能中，在传统方案中可以根据用于功 能安全的预定来设计遥控设备的全部部分，它们与这样的车辆功能的遥控相联系。由此产生了显著的额外费用，所述额外费用没有或仅仅困难地与存在的结构空间和电流消耗的给定的边界条件相协调。这特别是适用于在遥控设备中所应用的微控制器。
发明内容
本发明的任务在于，提出一种遥控设备，其除了控制对于功能安全不重要的车辆功能(例如打开和关闭中控锁)之外也允许控制对于功能安全重要的车辆功能(例如自动泊入)，而不将与功能安全相联系的要求基本上完全地传输到整个发送器侧的微控制器。
该任务通过独立权利要求的特征解决。有利的实施形式在从属权利要求中描述。
按照本发明的无线遥控设备用于控制至少一个对于功能安全重要的第一车辆功能、例如用于实施车辆的自主行驶过程的功能，特别是用于自动泊入和泊出轿车的停车功能。优选地涉及用于(正向和/或背向)泊入到直向停车位(Kopfparkplatz)，特别是用于泊入到在前端可行驶的直向停车位(例如单车库)中。这样的通过遥控设备可控制的停车功能在本申请人的名称为“用于停车辅助系统的遥控设备和通过遥控设备可控制的停车辅助系统”的德国专利申请102011084366.3中描述。对停车功能及其操作的在那里给出的说明由此通过参考而纳入到本申请的公开内容中。
除了一个或多个这样的功能之外，遥控设备也用于控制其它车辆功能，例如用于打开和关闭中控锁。
按照本发明的遥控设备包括输入器件，用于在用户侧选择车辆功能并且用于根据用于输入而获得所选择的车辆功能，如这结合图1已经描述过的那样。输入器件也用于选择第一车辆功能，从而在选择第一车辆功能的情况下存在配置给第一车辆功能的用户输入。输入器件例如涉及如下键，其中，或者给每个键配置正好一个车辆功能，或者备选地给一个或多个键也配置多于一个车辆功能。此外，遥控设备具 有用于处理用户输入的发送器逻辑装置，如这结合图1已经描述过的那样。
但是按照本发明的遥控设备与传统遥控设备的不同之处在于附加地还包括用于保障第一车辆功能的确定的安全装置。
该安全装置自身包括安全输入器件，能够操纵该安全输入器件以用于执行第一车辆功能。优选地，该安全输入器件在操纵时转变到第一状态中并且在执行第一车辆功能期间保持在该状态中。在此例如可以规定，遥控设备这样设置，使得安全输入器件在执行第一车辆功能期间可以由用户保持在第一状态中，特别是通过在用户侧的力消耗、例如通过克服键的反作用力连续地操纵键或者通过克服反作用力连续地持握拉出的操作部件。也可想到的是，设有(例如机械的)限时元件，其中，该限时元件在一次激活(例如以键的形式的)安全输入器件之后保持在第一状态下并且随后在优选限定的时间段后复位。在该例子中，由用户连续操纵安全输入器件是可能的但不是绝对必要的。例如也可以应用集成在控制安全输入器件中的或者在该安全输入器件下游连接的电气或电子限时元件，其中，该限时元件在激活键之后保持在第一状态中并且随后在优选限定的时间段过去之后复位。
安全输入器件可以是开关，所述开关通过在用户侧施加的力来切换。然而这不是强制的。优选地，安全输入器件具有至少两个不同的状态并且通过用户的动作(例如通过按压键或触碰遥控设备上的确定的区域)来操纵并且转变到另一状态中。安全输入器件例如是开关元件。
此外，安全装置包括与安全输入器件耦合的具有安全信息的安全电路。在操纵安全输入器件时例如释放安全信息用于处理。
遥控设备这样设置，使得在配置给第一车辆功能的用户输入的情况下，仅仅在操纵安全输入器件的情况下使用安全信息，以用于产生引起执行第一车辆功能的发送数据。优选地，在配置给第一车辆功能的用户输入的情况下，仅在存在安全输入器件的第一状态的情况下使用安全信息，以用于产生发送数据，该发送数据引起第一车辆功能的 执行；而在离开第一状态的情况下排除使用用于此的安全信息。仅在存在第一状态的情况下(并且优选在使用配置给第一车辆功能的用户输入的情况下)才可以产生安全信息产生这样的发送数据，该发送数据能实现第一车辆功能的执行。安全输入器件的操纵因此是用户的安全输入。在安全输入器件状态的随后变化的情况下又撤销安全信息的应用。
按照本发明可以由此阻止第一车辆功能的不期望的接通，其方法是设有以安全信息形式的机密，该机密在产生发送数据时必须使用，以便获得用于触发第一车辆功能的有效的发送数据。机密、亦即安全信息优选应该这样复杂，使得以足够的概率排除电路中的元件即发送器、传输路径、接收器和分析逻辑装置(即使在错误情况下！)随机地产生机密。优选地，安全信息至少16位长，特别是至少32位长，例如16、32、64、128或256位长。
用于产生发送数据的机密的应用在发送器侧可以通过在用户侧的安全输入来激活，亦即通过操纵附加的安全输入器件。在接收器中检测，在产生发送数据时是否应用机密，并且仅仅在该情况下激活第一车辆功能。
优选地规定，在离开第一状态时排除用于产生有效的发送数据的安全信息的使用，该有效的发送数据引起第一车辆功能的执行。由此能实现，一旦用户撤销安全输入，则安全地关断第一车辆功能。在遥控设备的实现中(即使在错误情况下)应该以足够的概率确保：如果用户撤销安全输入并且安全输入器件离开第一状态，则实现机密亦即安全信息的去激活。在该情况下在接收侧确定，安全信息不再用于产生发送数据，其中，于是禁止第一功能的继续执行。例如发送器以确定的时间栅、例如每10毫秒重复地将相应的数据发送到接收器上以用于执行第一车辆功能。如果在接收到对于第一车辆功能的执行有效的数据之后在确定的持续时间(例如100毫秒)之后于是不再接收有效数据，所述有效数据在使用安全信息的情况下在发送器侧产生，则例如停止第一车辆功能的继续执行。
上述足够概率的边界值依赖于第一车辆功能的安全级别。边界值可以例如由对于功能安全的标准中的预定所导出，例如用于ASIL C(汽车安全完整性等级C)的ISO 26262提出每个运行小时小于等于1-⁷的值。
所提出的无线遥控设备允许在敏感的车辆功能方面的功能安全的控制(例如接通和关断)，而整个遥控设备不必须遵循用于功能安全的标准的相应要求。取而代之地，优选仅仅按照用于功能安全的标准来研发和保障安全装置(亦即安全输入器件、安全电路并且必要时安全装置的其它组件)。以此，尽管遵循用于功能安全的标准如IEC 61508或ISO 26262，还是降低用于研发和保障遥控设备的成本。因为不是整个发送器侧范围而是仅仅安全电路按照相应标准来研发和确保，所以在此提出的方案导致明显的成本降低。同时，系统的功能安全也相对于保障整个发送器的经典方案而随趋势提高，因为遥控设备的范围(所述遥控设备实际上可以按照相应的标准来保障)不太复杂。附加地独立于功能安全地，功能的鲁棒性也提高，因为也可以阻止如下的错误激活，该错误激活可能不会导致实际的危险，但是由用户来看仍然是不期望的行为。
优选地，遥控设备包括第一键，所述第一键又包括以安全开关元件形式的安全输入器件。
按照第一键的第一实施变型方案，第一键除了安全开关元件之外还包括另外的开关元件，所述另外的开关元件用于获得配置给第一车辆功能的用户输入。所述另外的开关元件因此配置给用于在用户侧选择车辆功能的输入器件，而安全开关元件配置给安全装置。第一键于是这样设计，使得在操纵第一键时不仅操纵安全开关元件而且操纵所述另外的开关元件。
备选地可以规定，遥控设备除了第一键之外至少包括另外的键，并且所述另外的键用作用于选择第一车辆功能的输入器件。
备选于使用键，其中，在操纵键时操纵安全输入器件，也可以应用完全不同的构思，以便操纵安全输入器件。例如可以规定，遥控设 备包括基体和具有至少一个操作元件的操作部件。所述至少一个操作元件用于选择第一车辆功能，例如用于自主泊入车辆。在操作部件被覆盖的状态下，操作部件的所述至少一个操作元件被覆盖并且是不可操作的。该操作部件从覆盖的状态通过使操作部件相对于基体运动、特别是通过推出、拉出或翻转操作部件而可转变到操作部件的打开状态中，其中，所述至少一个操作元件是可见的并且可操作的。这样的由基体和操作部件组成的布置结构在上述德国专利申请102011084366.3中描述。这样的布置结构及其功能方式的在那里给出的说明由此通过参考而纳入到本申请的公开内容中。
在本发明中应用安全输入器件，其中，在该情况下通过使操作部件相对于基体运动来操纵安全输入器件并且使其置于第一状态中，其中，于是该安全输入器件在打开状态下是在第一状态下。安全输入器件例如可以构造成微开关，其中，通过使操作部件相对于基体运动来操纵微开关，亦即转变到第一状态中。
在另一种实现方案中，安全输入器件可以例如构造成簧片继电器，其中，通过使操作部件相对于基体运动而将磁体引向簧片继电器并且以此使安全输入器件转变到第一状态中。
在此优选地规定，安全输入器件必须由用户激活地保持在第一状态中，其方法是，用户在操作部件的打开状态中必须使操作部件克服(例如通过弹簧器件引起的)反作用力而保持在打开状态中，因为否则在用户侧没有足够的力施加的情况下操作部件由于反作用力又返回到关闭状态中并且由此安全输入器件又离开第一状态。
本发明的第二方面涉及用于上述遥控设备的接收器，该接收器集成到机动车中。该接收器在此设置为，如下检测所接收的数据，所述数据是否是在使用上述安全信息的情况下在发送器侧产生的。
本发明的第三方面涉及具有上述接收器的机动车。该机动车这样通过上述遥控设备是可遥控的，使得通过遥控设备可以触发至少一个对于功能安全重要的第一车辆功能(例如用于自动泊入和泊出的停车功能)和一个或多个第二车辆功能(例如用于中控锁的打开和关闭功 能)。然而只有根据在接收器中的检测确认了，所接收的数据是在使用安全信息的情况下在发送器侧生成的时，才执行第一车辆功能。
附图说明
以下参照附图根据多个实施例描述本发明。图中：
图1示出传统的发送器/接收器系统，该系统用于遥控车辆功能；
图2示出用于按照本发明的遥控设备的第一实施例；
图3示出安全电路的备选接线；
图4示出用于按照本发明的遥控设备的第二实施例；
图5示出用于按照本发明的遥控设备的第三实施例；
图6示出用于按照本发明的遥控设备的第四实施例；以及
图7示出用于遥控设备的两个键的实施例。
具体实施方式
在此提出的方案允许通过无线钥匙遥控设备对于功能安全重要的功能进行接通和关断，而无需将来自对于功能安全的重要的标准(例如ISO 26262)的要求转用到整个电子装置上或仅仅转用到微控制器上。
对于遥控设备的以下实施例基于对于功能安全的以下要求：
类似于位于车辆中的驾驶员，该驾驶员具有关于整个车辆驾驶的最终责任，操作遥控设备的操作者(亦即用户)应该保留关于遥控功能的最终责任。第一要求的内容因此是：系统必须在没有操作者愿望的情况下阻止接通对于功能安全重要的功能。
在此基于，该功能的关断是一种安全状态。第二要求的内容因此是：该系统必须识别和转换操作者的关断遥控功能的期望，其方法是，采取安全状态。
因为操作者在确定的要保障的情况下不再采取机械措施，所以该系统此外应该这样设计，使得在所有情况下特别是也在由操作者遥控时，阻止在非安全的状态中的不受控的保持或转换。在怀疑情况下可 以采取安全状态。这是第三要求。
以下示出的实施例规定用于满足对于功能安全的第一要求：
以安全信息形式的机密位于遥控设备发送器中，该机密的激活被接收器所期望，以便接通对于功能安全重要的功能。该机密应该这样复杂，使得以足够的概率排除：电路中的元件即发送器、传输路径、接收器以及分析逻辑装置(即使在错误情况下)随机地产生机密。该机密隐藏在作为安全装置的部分的安全电路中，亦即该机密存储在安全装置中。仅仅对于安全装置并且不对于整个发送器使用来自对于功能安全的重要标准(例如ISO 26262)的严格规定。这是本发明的显著的优点。用于产生用于触发要保障的功能的有效发送信号的机密的应用可以在发送器侧通过在用户侧的安全输入来激活，亦即通过操纵附加的安全输入器件。在接收器中检测，是否在产生发送数据中使用机密，并且仅仅在该情况下激活第一车辆功能。
以下示出的实施例规定用于满足用于功能安全的第二要求：
遥控设备发送器包括一种机制，一旦操作者撤销安全输入，则该机制安全地关断要保障的功能。即使在故障情况下也可以以足够概率确保，如果操作者撤销安全输入，则实现机密的去激活。安全输入的撤销例如可以通过撤销安全输入器件的连续操纵来实现(如果该安全输入器件例如借助于键实现)，在该情况下在接收侧确定，安全信息不再用于产生发送数据，其中于是禁止要保障的功能的继续执行。
下述实施例规定用于满足用于对于功能安全的第三要求：
安全输入在发送器侧这样设计，使得在典型的错误操作情况下，假如要保障的功能之前接通，则例如在遥控设备掉落(Fallenlassen)的情况下关断要保障的功能。此外，安全输入应该在发送器侧这样设计，使得在典型的错误操作情况下——例如发送器在裤子口袋中通过无意地输入——可以以足够的概率排除无意地激活机密(亦即安全信息)。
在图2中示出了按照本发明的安全装置的第一实施例。遥控设备10除了图1中的遥控设备1之外还包括安全装置，该安全装置包括以 安全开关元件Sw形式的安全输入器件、用于发送器逻辑装置5的复位电路5以及安全电路6。如果用户进行非要保障的输入(例如用于打开或关闭中控锁)，则遥控设备10的行为与图1中的遥控设备1完全一样，因为安全开关元件Sw没有被操纵并且安全开关元件Sw位于开关状态Z1中。在该状态Z1中，安全电路6是非激活的。“非激活”意味着安全电路6不能提供安全信息G，例如因为安全电路6特别是由于切断运行电源而关断。如果开关状态Z1存在并且安全电路6是非激活的，则发送器逻辑装置3仅仅发送没有G的发送数据S，亦即S＝f(E)。这在接收侧是可识别的，并且接收器可以仅仅激活这样的功能(例如打开中控锁)，该功能响应于非要保障的用户输入。
安全电路6的任务是，首先告知发送器逻辑装置3不已知的并且足够复杂的安全信息G，其用于保障安全重要的用户输入。安全电路6包含该安全信息G，亦即安全信息G存储在安全电路6中。安全电路可以是(简单的)存储器。安全电路也可以是较复杂的电路，例如微控制器或ASIC(专用集成电路)。优选地，发送器逻辑装置3和安全电路6是两个不同的半导体元件，其中，安全电路6按照ISO 26262来保障，然而发送器逻辑装置3不是。
安全电路6仅仅当安全开关元件Sw位于开关状态Z2时才是激活的(亦即才可以提供安全信息6)。为此例如安全电路6的运行电源可以通过安全开关元件Sw进行操控，其中，安全电路6仅在开关状态Z2中供应以运行电压V，并且仅在该情况下，安全电路6可以在输出端提供安全信息G。备选地，可以通过将安全开关元件Sw切换到开关状态Z2中而将使能信号En(在此是具有运行电源的电压值V的使能信号)给出到安全电路6的相应的使能输入端上，其中，在En＝V的情况下，安全电路6在其输出端上提供安全信息G。为此的一个例子在图3中示出。取而代之地，也可以以复位信号Rs工作，该复位信号在安全开关元件Sw开关回到开关状态Z1中时被触发，其中，在该情况下，安全电路6的数据输出端复位到预定义的状态上一定的持续时间并且在该持续时间期间在安全电路的输出端上不存在安全信息 G。
这两个变型方案也可以应用在图4至图6中的实施例的情况下。
在操纵安全开关元件Sw时，将安全开关元件Sw置于开关状态Z2，从而激活安全电路6并且激活安全信息G以用于在发送器逻辑装置3中进行处理。于是发送器逻辑装置3获得并且得知安全信息G，例如因为已激活的安全电路6将安全信息G发送到发送器逻辑装置3上或者因为发送器逻辑装置3由安全电路6询问机密G。如果安全电路6是非激活的，则发送器逻辑装置6不得知机密G。
在要保障的用户输入的情况下(例如用于执行自主停车功能)用户必须通过输入器件2进行相应的输入，从而存在相应的用户输入E，以及操纵安全开关元件Sw，从而占据开关状态Z2。由此激活安全电路6并且发送器逻辑装置3可以具有安全信息G。
在该情况下，用户输入E借助于安全信息G转换为要发送的数据S。换言之：在使用安全信息G和用户输入E的情况下产生发送数据S，亦即S＝f(E,G)，其中，数据S例如包含以编码形式的用户输入E和G。在此，每个函数f(E,G)是适合的，特别是只要满足编码的以下特性：
·通过编码保持G的复杂性；
·在产生发送数据S时针对正确的安全信息G的使用能够在接收
器侧进行检测；以及
·信息通过用户输入E来保持或者在接收器侧是可重建的。
例如为了形成发送数据S可以将安全信息G简单地附加到用户输入E上，亦即S＝f(E,G)＝E o G。如果用户输入E例如由二进制字1010组成并且安全信息G由二进制字10011001组成，则产生发送数据S为S＝101010011001。
为了形成发送数据S也可以应用更复杂的编码。例如可以给用户输入E在发送器逻辑装置3中附加校验和或散列，例如CRC校验和。为了确定CRC校验和,安全信息G可以是CRC的开始值(种子)：S＝f(E,G)＝E o CRC(种子＝G，数据＝E)。另一种更复杂的编码是利用安 全信息G作为加密的密钥，或者以对称的加密或者以非对称加密。如果例如采用加密方法AES(高级加密标准)则可以例如以以下形式确定发送数据S：S＝f(E,G)＝AES(密钥＝G，数据＝E)。
在接收侧上在分析逻辑装置4中如下检测所接收的数据S，在发送器侧是否在使用安全信息G的情况产生所述数据。为此根据所使用的函数f(E,G)或者针对也在接收器中已知的安全信息G进行检测(对称编码)或者在非对称编码的情况下借助于适合于安全信息G的安全信息G‘进行检测。在对称编码的情况下，接收器得知安全信息G并且知道如何构成发送数据S＝f(E,G)。由此分析逻辑装置4可以检测，所接收的数据S是否包含正确的G或者例如在使用CRC时基于正确的安全信息G计算并且重建E。在非对称编码时，接收器得知适合于安全信息G的安全信息G‘并且知道如何构成S＝f(E,G)。由此分析逻辑装置4可以通过(必要时与f(E,G)不同的)另外的函数g(S,G')针对所接收的数据S的正确性进行检测并且这样重建用户输入E(类似于PGP加密)。
如果在分析逻辑装置4中如下检测过所接收的数据S，在发送器侧是否在使用安全信息G的情况下产生所述数据，则可以在接收器中将重建好的用户输入E理解为要保障的用户输入并且输出为A。否则在接收器侧例如确定一个错误或者实现其他有意义的反应，例如执行仅仅一个这样的动作，该动作相当于非要保障的用户输入。例如可以双重地占用遥控设备10的输入键，亦即以非要保障的功能(打开和关闭中控锁)并且以要保障的功能(实施自主停车过程)。在操纵该输入键和附加的开关元件S的情况下则在接收器侧触发要保障的功能，而在操纵输入键时在没有附加地操纵开关元件S的情况下触发非要保障的功能。
优选地，遥控设备10以一个确定的时间栅例如每10毫秒重复地发送相应的数据到接收器上。如果在接收到对于执行要保障的车辆功能有效的数据之后在确定的持续时间(例如100毫秒)之后重新不再接收到有效的数据，在发送器侧在使用安全信息G的情况下产生所述 数据，则例如停止要保障的功能的继续执行。这也以相应的方式适用于以下实施例。
遥控设备10这样设置，使得如果安全开关元件Sw离开开关状态Z2，发送器逻辑装置3又失去安全信息G。优选地，对此使用复位电路5，其保证：一旦安全信息G被去激活(从状态Z2切换到状态Z1上)，则发送器逻辑装置3又可靠地忘记安全信息G。复位电路的任务例如在于，在状态Z2切换到状态Z1上时，由信号R‘的边沿变换产生用于发送器逻辑装置3的复位脉冲R。在振荡状态下(开关状态Z1)复位脉冲结束，亦即发送器逻辑装置不位于复位状态下，而是准备好运行。在从Z1到Z2的状态转换时对此不发生变化。如果随后从状态Z2转换回到状态Z1上，则在R‘上产生边沿变换并且复位电路5产生复位脉冲R，该复位脉冲引起发送器逻辑装置3转换到复位状态中并且失去安全信息G。一旦复位脉冲R结束，则又达到振荡状态。复位电路因此优选这样设计，使得一旦安全信息G由于安全开关元件Sw从Z2切换到Z1而去激活，则发送器逻辑装置3以足够的概率可靠地忘记之前明确地或者至少理论上(也在错误情况下)所已知的安全信息G。发送器逻辑装置3的复位、亦即重置例如可以通过发送器逻辑装置3的存在的复位输入端实现，如果这样触发的复位以足够的概率可靠地删除或重置发送器逻辑装置3的可能包含安全信息G的内部存储器。发送器逻辑装置3的重置备选地例如可以通过(暂时的)除去发送器逻辑装置3的运行电压实现，如果例如发送器逻辑装置3具有一个或多个可能包含安全信息G的易失性存储器。
在图4中示出了遥控设备20的第二实施例。在图4所示的例子中在操纵安全开关元件Sw中，安全电路6在使用安全信息G的情况下产生数据H，并且发送器逻辑装置3在使用用户输入E的情况下产生数据S。要发送的数据SH由H和S产生，例如作为H和S的耦合或者作为H和S的更复杂的函数。
在图4中示出安全开关元件Sw的类似于图2所述的特别是功能方式的流程。对于在图4中未描述的方面参考图2的描述。不过在图 4中与图2的不同之处在于发送器逻辑装置3不使用安全信息G来由G和用户输入E产生要发送的数据S。取而代之地，在图4中安全电路6除了用于发送给发送器逻辑装置3的S之外也提供数据H，如果安全电路6在操纵安全开关元件Sw时被激活，例如通过接通供应电压V(备选地也可以通过安全电路6的使能输入或复位输入来控制激活/去激活)。在最简单的情况下可以是H＝G和S＝E。优选地，将一个或两个数据值H和S编码，亦即H＝f1(G)和S＝f2(E)。在此H或S也还可以包含另外的信息，例如发送器的标识(也称为发送器ID)或校验和(例如CRC)或序列计数器。
在图2中示出的复位电路5在图4中的安全装置中不是必要的，因为发送器逻辑装置3这样从未得知安全信息G并且由此不必要的是，发送器逻辑装置3可靠地忘记安全信息G。
在图4中发送SH，其由H和S产生，亦即SH＝f(S,H)。例如H和S可以在时间上相关地被发送(例如作为串接SH＝S o H或SH＝H o S)。例如发送器逻辑装置3首先发送S而随后安全电路6发送H。在此也可想到，在重复地传输数据SH中H或S比S或H更少有地发送。例如H可以比S更少有地发送，以便减少数据量。H可以周期地并且独立于S发送。此外可能的是，SH作为S和H的交替子段的串接而产生，亦即例如首先是S的子段，随后是H的子段，随后又是S的子段等等。
在接收侧针对正确性对SH进行检测(亦即是否在使用安全信息的情况下产生SH)并且在成功情况下输出相应的输出信号A，以便执行要保障的功能。该方法类似于图2地描述。也在该实施例中，类似于图2所述的那样，在将安全开关元件从开关状态Z2切换到开关状态Z1中时安全电路6可靠地去激活。在去激活的安全电路6中不再产生有效的H并且至少在安全电路6侧不再将其输出并且以此仅发送S而不发送SH。
在图5中示出遥控设备30的第三实施例。在图5中安全电路6在操纵安全开关元件Sw时在使用安全信息G的情况下并且在使用在 发送器逻辑装置3侧由E产生的数据S的情况下产生数据H。备选地也可以考虑在此代替S直接发送E。发送数据SH由H和可选地S产生。可能的是SH等于H。
在图5中描述了与图4流程类似的流程。对于在图5中未描述的方面参照图2和4的描述。在图5的例子中，在操纵安全开关元件Sw时，安全电路6在使用安全信息G的情况下产生数据H。与图4中的例子的不同之处在于，安全电路6为此也使用由发送器逻辑装置3产生的数据S。也可想到，取而代之地使用用户输入E。要发送数据SH由H和可选地S产生，特别是发送数据SH也可以等于H。
在图5中示出的例子中，安全电路6在计算H时不仅将安全信息G而且将来自发送器逻辑装置3的数据S包含在内并且随后提供H用于发送，如果安全电路6在操纵安全开关元件Sw中被激活。由此适用的是：H＝f3(G,S)。例如函数f3类似于结合图2所述的例子可以是校验和函数或加密函数。发送数据SH的产生以及数据SH在接收侧上的检测和分析以与结合图4所已经描述的相同方式进行。同样也可以在该实施例中(如已经结合图4所述的那样)可选择地使用复位电路5(参见图5中用虚线画出的范围)。在该实施例中，在从开关状态Z2切换为开关状态Z1上时，安全电路6也可靠地去激活，如这已经结合图2所述的那样。在去激活的安全电路6的情况下不可以产生H并且由此仅仅发送S而不发送SH。
在图5中示出的变型方案相比于在图4中示出的变型方案提供的优点在于，典型地H根据信号S并由此根据用户输入E变化。这可以提供发送协议技术上的优点。例如有意义的可以是，对于不同的用户输入E设置不同的保障H。这样例如可以对于对功能安全较不重要的经常发生的用户输入E相对于对于功能安全较重要的更少发生的用户输入E降低H的“大小”(例如位数)，以便例如节省无线传输的带宽。
在图6中示出遥控设备40的第五实施例。在此，安全电路6包括用于释放安全信息G的器件7，使得在安全电路6内处理安全信息。用于释放安全信息G的器件7与安全开关元件Sw通过输入端GEn 这样耦合，使得在操纵安全开关元件Sw时释放安全信息G以用于在安全电路6内进行处理。安全电路6设置为，在释放安全信息G时在使用安全信息G的情况下并且在使用由发送器逻辑装置3产生的数据S的情况下产生要发送的发送数据W。
与其他实施例的重要区别在于，安全电路借助于安全开关元件Sw未完全被激活或去激活。在要保障的用户输入E的情况下(亦即在开关状态Z1)如果在开关状态Z1下在输入端GEn存在相应的信号，则在安全电路6内释放安全信息G。如果释放安全信息G，则安全电路6在使用G的情况下可以由S计算发送数据W，从而W＝f(S,G)。在没有释放的安全信息G的情况下，安全信息可以为此不使用安全信息G，从而发送数据W按照W＝f(S)计算。发送数据W紧接着被发送并且在接收器侧被分析(类似于在图4中所述的情况)。如果安全开关元件Sw又离开开关状态Z2则安全电路6失去用于使用安全信息G的释放；输入端GEn则不再位于运行电源V的电势上。为了实现安全信息G的可靠的重置，在图6中优选类似于在图2中所述的情况(借助于复位电路5)在从开关状态Z2转变到开关状态Z1上时触发复位。不过，该复位针对安全电路6的独立于安全开关元件Sw而激活的部分。
上述方法的功能安全可以可选地通过如下方式提高，其方法是安全开关元件Sw设计为防意外事故的安全控制电路。由此确保，在错误控制如例如遥控设备掉落或滑落时将系统转换到安全状态中。为此开关元件必须这样设计，使得操作者在要保障的用户输入的整个控制过程期间必须将开关元件特别是通过力的耗费而激活地保持在开关状态Z2中。例如这可以通过克服键的反作用力连续地操纵包括安全开关元件Sw的键或者通过克服反作用力连续持握拉出的操作部件而引起。
在图7中示出遥控设备的两个示例性的键8和9。键8是用于激活非要保障的功能、例如用于打开中控锁的键。键9是用于激活要保障的功能、例如自主泊入和泊出功能的键。
键8包括操作面11以及开关元件Sw_E1。开关元件Sw_E1用作用于获得用户输入E的输入器件。在通过经由力F1向下按压操作面11来操纵开关8的情况下，该力F1大于键8的反作用力F3，使得开关元件Sw_E1置于开关状态Z2中并且产生相应的用户输入E，所述用户输入给出非要保障的功能在用户侧的选择并且借助于发送器逻辑装置3转换成相应的发送信号S。在接收发送信号S之后在车辆中触发非要保障的功能。
键9包括操作面12以及开关元件Sw_E2。类似于开关元件Sw_E1，开关元件Sw_E2用作用于获得用户输入的输入器件。在通过力F2操纵开关9时，力F2大于键9的反作用力F4，操纵开关元件Sw_E2并且使之置于开关状态Z2并且产生相应的用户输入E，所述用户输入给出要保障的功能在用户侧的选择。此外，键9还包括安全开关元件Sw。在操纵键9时不仅操纵开关元件Sw_E2并且使之置于开关状态Z2中，而且操纵安全开关元件Sw并且使之置于开关状态Z2中。仅当安全开关元件Sw位于开关状态Z2中时，使用安全信息G以用于产生发送数据S，所述发送数据在接收时可以主要引起要保障的车辆功能的执行。
与图7不同地，除了一个单个的安全开关元件Sw之外也可以使用多个安全开关元件，这些开关元件必须被共同地操纵，以便保证安全信息的使用并且触发期望的车辆功能。备选地也可以使用多个如下的开关元件，这些开关元件必须以一个序列来操纵，其中，例如最后要操纵的开关元件对应于前述的安全开关元件。但是为了通过使用安全信息触发要保障的功能则必须也以预定的序列操纵其他开关元件。在此，至少最后操纵的开关元件在执行要保障的功能时保持在开关状态Z2，其中，在离开状态Z2时中断要保障的功能的执行。理论上也可以规定，所有或部分数量的要以序列来开关的开关元件在执行要保障的功能期间必须保持被切换，例如与开关元件耦合的操作部件，所述操作部件必须被拉出并且在此该开关元件被切换并且必须在执行功能期间保持被拉出；以及在拉出操作部件之后要操作的侧面的键，所 述侧面的键必须被按压并且在执行功能期间必须保持被按压。
附加于安全开关元件Sw或与之组合地也可以在用户输入E中区分对于功能安全重要的和对于功能安全不重要的输入。例如输入器件的不同键(或者其他操作元件)的同时操纵对于E可以是必要的，以便产生对于功能安全重要的输入E。备选地，多个键(或者多个操作元件)的顺序操纵对于E可以是必要的，以便产生对于功能安全重要的输入E。