用于控制機動車的車輛功能的無線遙控設備的制作方法
【專利摘要】按照本發(fā)明的無線遙控設備用于控制至少一個對于功能安全重要的第一車輛功能����,例如用于自動泊入或駛出轎車的停車功能。除了一個或多個這樣的功能之外�����,遙控設備也用于控制另外的車輛功能����,例如用于打開和關閉中控鎖裝置�。按照本發(fā)明的遙控設備包括輸入器件���,用于在用戶側選擇所述車輛功能并且用于獲得根據所選擇的車輛功能的用戶輸入��。輸入器件也用于選擇第一車輛功能�����,從而在選擇第一車輛功能的情況下存在配置給第一車輛功能的用戶輸入��。按照本發(fā)明的遙控設備附加地還包括用于保障第一車輛功能的安全裝置�����。該安全裝置自身包括安全輸入器件����,能夠操縱該安全輸入器件用于執(zhí)行第一車輛功能�,此外安全裝置還包括與安全輸入器件耦合的具有安全信息的安全電路。所述遙控設備這樣設置�����,使得在配置給第一車輛功能的用戶輸入的情況下����,僅僅在操縱安全輸入器件的情況下使用安全信息�,以用于產生引起執(zhí)行第一車輛功能的發(fā)送數據的���。
【專利說明】用于控制機動車的車輛功能的無線遙控設備
【技術領域】
[0001]本發(fā)明涉及一種按照權利要求1的前序部分的用于控制機動車的車輛功能的無線遙控設備���。
【背景技術】
[0002]在下文中,由于在英語術語“security”(訪問保護�、防止入侵者的保護�����、免于數據歪曲的保護等等)意義上的安全和在英語術語“safety”(對身體和生命的不可防衛(wèi)的風險的保護)意義上的安全的在德語上可能混淆���,在第一種情況下一般使用術語“安全”��,而在第二種情況下使用術語“運行安全”或“功能安全”�����。
[0003]已知的是��,通過(例如集成到車輛的無線鑰匙中的)遙控設備來控制各個車輛系統(tǒng)�,所述各個車輛系統(tǒng)不直接與車輛的駕駛關聯(lián)。為此的例子是中控鎖裝置的訪問功能���、敞篷車蓬蓋的打開或窗戶的打開���。在多種車輛中無線鑰匙此外包含防盜鎖的一部分�。此外���,部分地也可以通過遙控設備控制其它舒適度功能��,如例如停車空調設備或停車加熱器。而車輛的運動在大多數情況下是不可遙控的�。
[0004]出于防盜保護的原因,對于當今的無線鑰匙一般具有密碼保障的必要性�����。該密碼保障典型地借助于對稱或非對稱的加密/簽名實現(xiàn)��。此外,保障這樣的遙控設備的無線路徑免于歪曲����,例如借助于校驗和方法,特別是循環(huán)冗余碼校驗(CRC)或簽名��。這不僅可以用于魯棒性而且可以用于傳輸的安全的進一步提高。
[0005]在車輛中具有多個對于運行安全/功能安全重要的功能�����。這樣的功能例如依照標準IEC 61508 (IEC-國際電工技術委員會)或者在車輛領域ISO 26262 (ISO-國際標準化組織)中研發(fā)并且保障�。
[0006]在車輛中遙控對于運行安全/功能安全重要的功能時�����,對整個遙控設備除了當今已知的對魯棒性和安全性(在“Security”的意義上)的要求之外也還具有對運行安全/功能安全(在“Safety”的意義上)的要求����。
[0007]例如必須足夠地排除或保障基于遙控設備中(亦即在發(fā)送器中)的錯誤而遙控的對于功能安全重要的功能的錯誤激活��。
[0008]對于功能安全的這些要求例如必須通過整個遙控系統(tǒng)根據在車輛領域中所應用的標準ISO 26262的研發(fā)和保障(不僅在發(fā)送器側而且在接收側)來滿足��。
[0009]不過�,該用于保證功能安全的傳統(tǒng)方案導致顯著的成本和附加的問題��,特別是對于遙控設備(亦即發(fā)送器)�。這樣相比于簡單的無線鑰匙來說����,例如軟件研發(fā)過程是非常耗費的并且數量上的故障率明顯更高�����。此外,典型地為了保證功能安全所應用的解決方案���、如這樣的輸入信號(其是對于保證功能安全是重要的)的冗余處理在無線鑰匙遙控設備中單單已經由于結構空間和電流消耗而窄地受限制�。
[0010]圖1示出了傳統(tǒng)的發(fā)送器/接收器系統(tǒng)���,其用于車輛功能的遙控:遙控設備I包括輸入器件2用于控制車輛功能���,例如不同的鍵用于觸發(fā)不同的車輛功能,例如用于打開車輛的鍵和用于關閉車輛的鍵�����。借助于輸入器件I獲得用戶輸入E����。用戶輸入E由發(fā)送器邏輯裝置3轉換成要發(fā)送的數據S����,所述數據包含以編碼形式的用戶輸入E��,亦即S是E的函數:S = f (E)��。f (E)例如可以涉及簡單的編碼(S = E);或者S還包含-例如出于安全原因——另外的信息��,如例如發(fā)送器標識(發(fā)送器ID)或校驗和(例如在CRC的意義上)或序列計數器�。發(fā)送器邏輯裝置3例如借助于微控制器和必要時另外的電子組件來實現(xiàn)����。將要發(fā)送的數據調制到相應的高頻載波上在圖1中出于簡化的原因而未示出。在接收側�����,在解調(未示出)之后在分析邏輯裝置4中由接收的數據S確定用戶輸入E��,亦即E = Γ1 (S)����,并且輸出相應的輸出信號A用于實施配置給用戶輸入的車輛功能。
[0011]在對于功能安全重要的車輛功能�����、如例如由車輛外部可觸發(fā)的用于自動泊入或泊出轎車的停車功能中,在傳統(tǒng)方案中可以根據用于功能安全的預定來設計遙控設備的全部部分�,它們與這樣的車輛功能的遙控相聯(lián)系。由此產生了顯著的額外費用��,所述額外費用沒有或僅僅困難地與存在的結構空間和電流消耗的給定的邊界條件相協(xié)調����。這特別是適用于在遙控設備中所應用的微控制器。
【發(fā)明內容】
[0012]本發(fā)明的任務在于�����,提出一種遙控設備�����,其除了控制對于功能安全不重要的車輛功能(例如打開和關閉中控鎖)之外也允許控制對于功能安全重要的車輛功能(例如自動泊入)���,而不將與功能安全相聯(lián)系的要求基本上完全地傳輸到整個發(fā)送器側的微控制器���。
[0013]該任務通過獨立權利要求的特征解決。有利的實施形式在從屬權利要求中描述。
[0014]按照本發(fā)明的無線遙控設備用于控制至少一個對于功能安全重要的第一車輛功能�、例如用于實施車輛的自主行駛過程的功能,特別是用于自動泊入和泊出轎車的停車功能��。優(yōu)選地涉及用于(正向和/或背向)泊入到直向停車位(Kopfparkplatz),特別是用于泊入到在前端可行駛的直向停車位(例如單車庫)中���。這樣的通過遙控設備可控制的停車功能在本 申請人:的名稱為“用于停車輔助系統(tǒng)的遙控設備和通過遙控設備可控制的停車輔助系統(tǒng)”的德國專利申請102011084366.3中描述。對停車功能及其操作的在那里給出的說明由此通過參考而納入到本申請的公開內容中����。
[0015]除了一個或多個這樣的功能之外,遙控設備也用于控制其它車輛功能����,例如用于打開和關閉中控鎖。
[0016]按照本發(fā)明的遙控設備包括輸入器件���,用于在用戶側選擇車輛功能并且用于根據用于輸入而獲得所選擇的車輛功能�,如這結合圖1已經描述過的那樣����。輸入器件也用于選擇第一車輛功能,從而在選擇第一車輛功能的情況下存在配置給第一車輛功能的用戶輸入�����。輸入器件例如涉及如下鍵,其中���,或者給每個鍵配置正好一個車輛功能����,或者備選地給一個或多個鍵也配置多于一個車輛功能���。此外��,遙控設備具有用于處理用戶輸入的發(fā)送器邏輯裝置����,如這結合圖1已經描述過的那樣���。
[0017]但是按照本發(fā)明的遙控設備與傳統(tǒng)遙控設備的不同之處在于附加地還包括用于保障第一車輛功能的確定的安全裝置�����。
[0018]該安全裝置自身包括安全輸入器件�,能夠操縱該安全輸入器件以用于執(zhí)行第一車輛功能�����。優(yōu)選地,該安全輸入器件在操縱時轉變到第一狀態(tài)中并且在執(zhí)行第一車輛功能期間保持在該狀態(tài)中�����。在此例如可以規(guī)定�����,遙控設備這樣設置��,使得安全輸入器件在執(zhí)行第一車輛功能期間可以由用戶保持在第一狀態(tài)中���,特別是通過在用戶側的力消耗、例如通過克服鍵的反作用力連續(xù)地操縱鍵或者通過克服反作用力連續(xù)地持握拉出的操作部件�。也可想到的是,設有(例如機械的)限時元件����,其中,該限時元件在一次激活(例如以鍵的形式的)安全輸入器件之后保持在第一狀態(tài)下并且隨后在優(yōu)選限定的時間段后復位�����。在該例子中,由用戶連續(xù)操縱安全輸入器件是可能的但不是絕對必要的���。例如也可以應用集成在控制安全輸入器件中的或者在該安全輸入器件下游連接的電氣或電子限時元件����,其中�,該限時元件在激活鍵之后保持在第一狀態(tài)中并且隨后在優(yōu)選限定的時間段過去之后復位。
[0019]安全輸入器件可以是開關�,所述開關通過在用戶側施加的力來切換。然而這不是強制的�。優(yōu)選地,安全輸入器件具有至少兩個不同的狀態(tài)并且通過用戶的動作(例如通過按壓鍵或觸碰遙控設備上的確定的區(qū)域)來操縱并且轉變到另一狀態(tài)中�。安全輸入器件例如是開關元件。
[0020]此外����,安全裝置包括與安全輸入器件耦合的具有安全信息的安全電路。在操縱安全輸入器件時例如釋放安全信息用于處理�。
[0021]遙控設備這樣設置,使得在配置給第一車輛功能的用戶輸入的情況下���,僅僅在操縱安全輸入器件的情況下使用安全信息����,以用于產生引起執(zhí)行第一車輛功能的發(fā)送數據。優(yōu)選地��,在配置給第一車輛功能的用戶輸入的情況下�����,僅在存在安全輸入器件的第一狀態(tài)的情況下使用安全信息�,以用于產生發(fā)送數據,該發(fā)送數據引起第一車輛功能的執(zhí)行��;而在離開第一狀態(tài)的情況下排除使用用于此的安全信息���。僅在存在第一狀態(tài)的情況下(并且優(yōu)選在使用配置給第一車輛功能的用戶輸入的情況下)才可以產生安全信息產生這樣的發(fā)送數據���,該發(fā)送數據能實現(xiàn)第一車輛功能的執(zhí)行���。安全輸入器件的操縱因此是用戶的安全輸入���。在安全輸入器件狀態(tài)的隨后變化的情況下又撤銷安全信息的應用。
[0022]按照本發(fā)明可以由此阻止第一車輛功能的不期望的接通����,其方法是設有以安全信息形式的機密��,該機密在產生發(fā)送數據時必須使用����,以便獲得用于觸發(fā)第一車輛功能的有效的發(fā)送數據���。機密���、亦即安全信息優(yōu)選應該這樣復雜,使得以足夠的概率排除電路中的元件即發(fā)送器�、傳輸路徑、接收器和分析邏輯裝置(即使在錯誤情況下�����!)隨機地產生機密����。優(yōu)選地,安全信息至少16位長����,特別是至少32位長,例如16�、32����、64�、128或256位長。
[0023]用于產生發(fā)送數據的機密的應用在發(fā)送器側可以通過在用戶側的安全輸入來激活��,亦即通過操縱附加的安全輸入器件���。在接收器中檢測����,在產生發(fā)送數據時是否應用機密����,并且僅僅在該情況下激活第一車輛功能。
[0024]優(yōu)選地規(guī)定���,在離開第一狀態(tài)時排除用于產生有效的發(fā)送數據的安全信息的使用����,該有效的發(fā)送數據引起第一車輛功能的執(zhí)行����。由此能實現(xiàn),一旦用戶撤銷安全輸入����,則安全地關斷第一車輛功能。在遙控設備的實現(xiàn)中(即使在錯誤情況下)應該以足夠的概率確保:如果用戶撤銷安全輸入并且安全輸入器件離開第一狀態(tài)��,則實現(xiàn)機密亦即安全信息的去激活����。在該情況下在接收側確定,安全信息不再用于產生發(fā)送數據���,其中����,于是禁止第一功能的繼續(xù)執(zhí)行���。例如發(fā)送器以確定的時間柵���、例如每10毫秒重復地將相應的數據發(fā)送到接收器上以用于執(zhí)行第一車輛功能。如果在接收到對于第一車輛功能的執(zhí)行有效的數據之后在確定的持續(xù)時間(例如100毫秒)之后于是不再接收有效數據���,所述有效數據在使用安全信息的情況下在發(fā)送器側產生�,則例如停止第一車輛功能的繼續(xù)執(zhí)行。
[0025]上述足夠概率的邊界值依賴于第一車輛功能的安全級別�。邊界值可以例如由對于功能安全的標準中的預定所導出,例如用于ASIL C(汽車安全完整性等級C)的ISO 26262提出每個運行小時小于等于1-7的值��。
[0026]所提出的無線遙控設備允許在敏感的車輛功能方面的功能安全的控制(例如接通和關斷)�����,而整個遙控設備不必須遵循用于功能安全的標準的相應要求�����。取而代之地�,優(yōu)選僅僅按照用于功能安全的標準來研發(fā)和保障安全裝置(亦即安全輸入器件、安全電路并且必要時安全裝置的其它組件)����。以此,盡管遵循用于功能安全的標準如IEC 61508或ISO26262�����,還是降低用于研發(fā)和保障遙控設備的成本�����。因為不是整個發(fā)送器側范圍而是僅僅安全電路按照相應標準來研發(fā)和確保�����,所以在此提出的方案導致明顯的成本降低�����。同時���,系統(tǒng)的功能安全也相對于保障整個發(fā)送器的經典方案而隨趨勢提高��,因為遙控設備的范圍(所述遙控設備實際上可以按照相應的標準來保障)不太復雜����。附加地獨立于功能安全地�,功能的魯棒性也提高,因為也可以阻止如下的錯誤激活����,該錯誤激活可能不會導致實際的危險,但是由用戶來看仍然是不期望的行為��。
[0027]優(yōu)選地,遙控設備包括第一鍵�,所述第一鍵又包括以安全開關元件形式的安全輸入器件。
[0028]按照第一鍵的第一實施變型方案�,第一鍵除了安全開關元件之外還包括另外的開關元件,所述另外的開關元件用于獲得配置給第一車輛功能的用戶輸入���。所述另外的開關元件因此配置給用于在用戶側選擇車輛功能的輸入器件���,而安全開關元件配置給安全裝置。第一鍵于是這樣設計��,使得在操縱第一鍵時不僅操縱安全開關元件而且操縱所述另外的開關元件��。
[0029]備選地可以規(guī)定����,遙控設備除了第一鍵之外至少包括另外的鍵,并且所述另外的鍵用作用于選擇第一車輛功能的輸入器件�。
[0030]備選于使用鍵,其中�,在操縱鍵時操縱安全輸入器件,也可以應用完全不同的構思���,以便操縱安全輸入器件����。例如可以規(guī)定,遙控設備包括基體和具有至少一個操作元件的操作部件��。所述至少一個操作元件用于選擇第一車輛功能�����,例如用于自主泊入車輛��。在操作部件被覆蓋的狀態(tài)下�����,操作部件的所述至少一個操作元件被覆蓋并且是不可操作的���。該操作部件從覆蓋的狀態(tài)通過使操作部件相對于基體運動、特別是通過推出����、拉出或翻轉操作部件而可轉變到操作部件的打開狀態(tài)中,其中����,所述至少一個操作元件是可見的并且可操作的。這樣的由基體和操作部件組成的布置結構在上述德國專利申請102011084366.3中描述。這樣的布置結構及其功能方式的在那里給出的說明由此通過參考而納入到本申請的公開內容中��。
[0031]在本發(fā)明中應用安全輸入器件���,其中����,在該情況下通過使操作部件相對于基體運動來操縱安全輸入器件并且使其置于第一狀態(tài)中���,其中����,于是該安全輸入器件在打開狀態(tài)下是在第一狀態(tài)下�����。安全輸入器件例如可以構造成微開關�����,其中���,通過使操作部件相對于基體運動來操縱微開關����,亦即轉變到第一狀態(tài)中。
[0032]在另一種實現(xiàn)方案中�,安全輸入器件可以例如構造成簧片繼電器,其中�,通過使操作部件相對于基體運動而將磁體引向簧片繼電器并且以此使安全輸入器件轉變到第一狀態(tài)中。
[0033]在此優(yōu)選地規(guī)定��,安全輸入器件必須由用戶激活地保持在第一狀態(tài)中���,其方法是,用戶在操作部件的打開狀態(tài)中必須使操作部件克服(例如通過彈簧器件引起的)反作用力而保持在打開狀態(tài)中�,因為否則在用戶側沒有足夠的力施加的情況下操作部件由于反作用力又返回到關閉狀態(tài)中并且由此安全輸入器件又離開第一狀態(tài)。
[0034]本發(fā)明的第二方面涉及用于上述遙控設備的接收器���,該接收器集成到機動車中�����。該接收器在此設置為�,如下檢測所接收的數據�����,所述數據是否是在使用上述安全信息的情況下在發(fā)送器側產生的。
[0035]本發(fā)明的第三方面涉及具有上述接收器的機動車�����。該機動車這樣通過上述遙控設備是可遙控的��,使得通過遙控設備可以觸發(fā)至少一個對于功能安全重要的第一車輛功能(例如用于自動泊入和泊出的停車功能)和一個或多個第二車輛功能(例如用于中控鎖的打開和關閉功能)��。然而只有根據在接收器中的檢測確認了����,所接收的數據是在使用安全信息的情況下在發(fā)送器側生成的時,才執(zhí)行第一車輛功能�����。
【專利附圖】
【附圖說明】
[0036]以下參照附圖根據多個實施例描述本發(fā)明�。圖中:
[0037]圖1示出傳統(tǒng)的發(fā)送器/接收器系統(tǒng),該系統(tǒng)用于遙控車輛功能��;
[0038]圖2示出用于按照本發(fā)明的遙控設備的第一實施例�����;
[0039]圖3示出安全電路的備選接線�����;
[0040]圖4示出用于按照本發(fā)明的遙控設備的第二實施例;
[0041]圖5示出用于按照本發(fā)明的遙控設備的第三實施例��;
[0042]圖6示出用于按照本發(fā)明的遙控設備的第四實施例��;以及
[0043]圖7示出用于遙控設備的兩個鍵的實施例����。
【具體實施方式】
[0044]在此提出的方案允許通過無線鑰匙遙控設備對于功能安全重要的功能進行接通和關斷,而無需將來自對于功能安全的重要的標準(例如ISO 26262)的要求轉用到整個電子裝置上或僅僅轉用到微控制器上���。
[0045]對于遙控設備的以下實施例基于對于功能安全的以下要求:
[0046]類似于位于車輛中的駕駛員,該駕駛員具有關于整個車輛駕駛的最終責任�,操作遙控設備的操作者(亦即用戶)應該保留關于遙控功能的最終責任。第一要求的內容因此是:系統(tǒng)必須在沒有操作者愿望的情況下阻止接通對于功能安全重要的功能��。
[0047]在此基于��,該功能的關斷是一種安全狀態(tài)�����。第二要求的內容因此是:該系統(tǒng)必須識別和轉換操作者的關斷遙控功能的期望�,其方法是�,采取安全狀態(tài)�。
[0048]因為操作者在確定的要保障的情況下不再采取機械措施,所以該系統(tǒng)此外應該這樣設計�����,使得在所有情況下特別是也在由操作者遙控時�,阻止在非安全的狀態(tài)中的不受控的保持或轉換。在懷疑情況下可以采取安全狀態(tài)����。這是第三要求。
[0049]以下示出的實施例規(guī)定用于滿足對于功能安全的第一要求:
[0050]以安全信息形式的機密位于遙控設備發(fā)送器中����,該機密的激活被接收器所期望,以便接通對于功能安全重要的功能�。該機密應該這樣復雜,使得以足夠的概率排除:電路中的元件即發(fā)送器����、傳輸路徑、接收器以及分析邏輯裝置(即使在錯誤情況下)隨機地產生機密���。該機密隱藏在作為安全裝置的部分的安全電路中�,亦即該機密存儲在安全裝置中。僅僅對于安全裝置并且不對于整個發(fā)送器使用來自對于功能安全的重要標準(例如ISO26262)的嚴格規(guī)定����。這是本發(fā)明的顯著的優(yōu)點。用于產生用于觸發(fā)要保障的功能的有效發(fā)送信號的機密的應用可以在發(fā)送器側通過在用戶側的安全輸入來激活�,亦即通過操縱附加的安全輸入器件。在接收器中檢測���,是否在產生發(fā)送數據中使用機密��,并且僅僅在該情況下激活第一車輛功能���。
[0051]以下示出的實施例規(guī)定用于滿足用于功能安全的第二要求:
[0052]遙控設備發(fā)送器包括一種機制,一旦操作者撤銷安全輸入����,則該機制安全地關斷要保障的功能�����。即使在故障情況下也可以以足夠概率確保�,如果操作者撤銷安全輸入,則實現(xiàn)機密的去激活��。安全輸入的撤銷例如可以通過撤銷安全輸入器件的連續(xù)操縱來實現(xiàn)(如果該安全輸入器件例如借助于鍵實現(xiàn)),在該情況下在接收側確定���,安全信息不再用于產生發(fā)送數據�,其中于是禁止要保障的功能的繼續(xù)執(zhí)行�����。
[0053]下述實施例規(guī)定用于滿足用于對于功能安全的第三要求:
[0054]安全輸入在發(fā)送器側這樣設計����,使得在典型的錯誤操作情況下,假如要保障的功能之前接通����,則例如在遙控設備掉落(Fallenlassen)的情況下關斷要保障的功能。此外���,安全輸入應該在發(fā)送器側這樣設計����,使得在典型的錯誤操作情況下——例如發(fā)送器在褲子口袋中通過無意地輸入一可以以足夠的概率排除無意地激活機密(亦即安全信息)����。
[0055]在圖2中示出了按照本發(fā)明的安全裝置的第一實施例�����。遙控設備10除了圖1中的遙控設備I之外還包括安全裝置����,該安全裝置包括以安全開關元件Sw形式的安全輸入器件�����、用于發(fā)送器邏輯裝置5的復位電路5以及安全電路6����。如果用戶進行非要保障的輸入(例如用于打開或關閉中控鎖),則遙控設備10的行為與圖1中的遙控設備I完全一樣����,因為安全開關元件Sw沒有被操縱并且安全開關元件Sw位于開關狀態(tài)Zl中。在該狀態(tài)Zl中��,安全電路6是非激活的�?��!胺羌せ睢币馕吨踩娐?不能提供安全信息G�,例如因為安全電路6特別是由于切斷運行電源而關斷。如果開關狀態(tài)Zl存在并且安全電路6是非激活的����,則發(fā)送器邏輯裝置3僅僅發(fā)送沒有G的發(fā)送數據S,亦即S = f (E)�。這在接收側是可識別的,并且接收器可以僅僅激活這樣的功能(例如打開中控鎖)�����,該功能響應于非要保障的用戶輸入�。
[0056]安全電路6的任務是,首先告知發(fā)送器邏輯裝置3不已知的并且足夠復雜的安全信息G,其用于保障安全重要的用戶輸入。安全電路6包含該安全信息G���,亦即安全信息G存儲在安全電路6中。安全電路可以是(簡單的)存儲器。安全電路也可以是較復雜的電路�,例如微控制器或ASIC (專用集成電路)����。優(yōu)選地,發(fā)送器邏輯裝置3和安全電路6是兩個不同的半導體元件�����,其中,安全電路6按照ISO 26262來保障�����,然而發(fā)送器邏輯裝置3不是��。
[0057]安全電路6僅僅當安全開關元件Sw位于開關狀態(tài)Z2時才是激活的(亦即才可以提供安全信息6)��。為此例如安全電路6的運行電源可以通過安全開關元件Sw進行操控����,其中,安全電路6僅在開關狀態(tài)Z2中供應以運行電壓V�,并且僅在該情況下,安全電路6可以在輸出端提供安全信息G���。備選地���,可以通過將安全開關元件Sw切換到開關狀態(tài)Z2中而將使能信號En (在此是具有運行電源的電壓值V的使能信號)給出到安全電路6的相應的使能輸入端上,其中�,在En = V的情況下,安全電路6在其輸出端上提供安全信息G����。為此的一個例子在圖3中示出。取而代之地���,也可以以復位信號Rs工作�����,該復位信號在安全開關元件Sw開關回到開關狀態(tài)Zl中時被觸發(fā)�,其中�����,在該情況下�����,安全電路6的數據輸出端復位到預定義的狀態(tài)上一定的持續(xù)時間并且在該持續(xù)時間期間在安全電路的輸出端上不存在安全信息G����。
[0058]這兩個變型方案也可以應用在圖4至圖6中的實施例的情況下。
[0059]在操縱安全開關元件Sw時����,將安全開關元件Sw置于開關狀態(tài)Z2����,從而激活安全電路6并且激活安全信息G以用于在發(fā)送器邏輯裝置3中進行處理����。于是發(fā)送器邏輯裝置3獲得并且得知安全信息G,例如因為已激活的安全電路6將安全信息G發(fā)送到發(fā)送器邏輯裝置3上或者因為發(fā)送器邏輯裝置3由安全電路6詢問機密G����。如果安全電路6是非激活的,則發(fā)送器邏輯裝置6不得知機密G���。
[0060]在要保障的用戶輸入的情況下(例如用于執(zhí)行自主停車功能)用戶必須通過輸入器件2進行相應的輸入����,從而存在相應的用戶輸入E��,以及操縱安全開關元件Sw�,從而占據開關狀態(tài)Z2。由此激活安全電路6并且發(fā)送器邏輯裝置3可以具有安全信息G��。
[0061]在該情況下����,用戶輸入E借助于安全信息G轉換為要發(fā)送的數據S����。換言之:在使用安全信息G和用戶輸入E的情況下產生發(fā)送數據S����,亦即S = f(E��,G)����,其中,數據S例如包含以編碼形式的用戶輸入E和G����。在此,每個函數f(E���,G)是適合的�,特別是只要滿足編碼的以下特性:
[0062].通過編碼保持G的復雜性����;
[0063].在產生發(fā)送數據S時針對正確的安全信息G的使用能夠在接收
[0064]器側進行檢測;以及
[0065].信息通過用戶輸入E來保持或者在接收器側是可重建的�����。
[0066]例如為了形成發(fā)送數據S可以將安全信息G簡單地附加到用戶輸入E上,亦即S=f (E,G) = E ο G0如果用戶輸入E例如由二進制字1010組成并且安全信息G由二進制字10011001組成���,則產生發(fā)送數據SSS= 101010011001���。
[0067]為了形成發(fā)送數據S也可以應用更復雜的編碼。例如可以給用戶輸入E在發(fā)送器邏輯裝置3中附加校驗和或散列,例如CRC校驗和�����。為了確定CRC校驗和����,安全信息G可以是CRC的開始值(種子):S = f(E,G) =Eo CRC(種子=G�����,數據=E)�。另一種更復雜的編碼是利用安全信息G作為加密的密鑰,或者以對稱的加密或者以非對稱加密��。如果例如采用加密方法AES(高級加密標準)則可以例如以以下形式確定發(fā)送數據S:S = f(E, G)=AES (密鑰=G,數據=E)。
[0068]在接收側上在分析邏輯裝置4中如下檢測所接收的數據S�����,在發(fā)送器側是否在使用安全信息G的情況產生所述數據��。為此根據所使用的函數f(E���,G)或者針對也在接收器中已知的安全信息G進行檢測(對稱編碼)或者在非對稱編碼的情況下借助于適合于安全信息G的安全信息G‘進行檢測��。在對稱編碼的情況下,接收器得知安全信息G并且知道如何構成發(fā)送數據S = f (E���,G)����。由此分析邏輯裝置4可以檢測���,所接收的數據S是否包含正確的G或者例如在使用CRC時基于正確的安全信息G計算并且重建E���。在非對稱編碼時,接收器得知適合于安全信息G的安全信息G ‘并且知道如何構成S = f (E���,G)��。由此分析邏輯裝置4可以通過(必要時與f(E�����,G)不同的)另外的函數g(S����,G’)針對所接收的數據S的正確性進行檢測并且這樣重建用戶輸入E (類似于PGP加密)。
[0069]如果在分析邏輯裝置4中如下檢測過所接收的數據S�,在發(fā)送器側是否在使用安全信息G的情況下產生所述數據,則可以在接收器中將重建好的用戶輸入E理解為要保障的用戶輸入并且輸出為A�����。否則在接收器側例如確定一個錯誤或者實現(xiàn)其他有意義的反應�����,例如執(zhí)行僅僅一個這樣的動作�����,該動作相當于非要保障的用戶輸入�����。例如可以雙重地占用遙控設備10的輸入鍵,亦即以非要保障的功能(打開和關閉中控鎖)并且以要保障的功能(實施自主停車過程)����。在操縱該輸入鍵和附加的開關元件S的情況下則在接收器側觸發(fā)要保障的功能,而在操縱輸入鍵時在沒有附加地操縱開關元件S的情況下觸發(fā)非要保障的功能���。
[0070]優(yōu)選地���,遙控設備10以一個確定的時間柵例如每10毫秒重復地發(fā)送相應的數據到接收器上。如果在接收到對于執(zhí)行要保障的車輛功能有效的數據之后在確定的持續(xù)時間(例如100毫秒)之后重新不再接收到有效的數據�����,在發(fā)送器側在使用安全信息G的情況下產生所述數據�,則例如停止要保障的功能的繼續(xù)執(zhí)行�。這也以相應的方式適用于以下實施例。
[0071]遙控設備10這樣設置�����,使得如果安全開關元件Sw離開開關狀態(tài)Z2�����,發(fā)送器邏輯裝置3又失去安全信息G。優(yōu)選地���,對此使用復位電路5��,其保證:一旦安全信息G被去激活(從狀態(tài)Z2切換到狀態(tài)Zl上)�,則發(fā)送器邏輯裝置3又可靠地忘記安全信息G����。復位電路的任務例如在于,在狀態(tài)Z2切換到狀態(tài)Zl上時����,由信號R ‘的邊沿變換產生用于發(fā)送器邏輯裝置3的復位脈沖R。在振蕩狀態(tài)下(開關狀態(tài)Zl)復位脈沖結束����,亦即發(fā)送器邏輯裝置不位于復位狀態(tài)下,而是準備好運行����。在從Zl到Z2的狀態(tài)轉換時對此不發(fā)生變化。如果隨后從狀態(tài)Z2轉換回到狀態(tài)Zl上�����,則在R‘上產生邊沿變換并且復位電路5產生復位脈沖R,該復位脈沖引起發(fā)送器邏輯裝置3轉換到復位狀態(tài)中并且失去安全信息G�����。一旦復位脈沖R結束�,則又達到振蕩狀態(tài)。復位電路因此優(yōu)選這樣設計����,使得一旦安全信息G由于安全開關元件Sw從Z2切換到Zl而去激活,則發(fā)送器邏輯裝置3以足夠的概率可靠地忘記之前明確地或者至少理論上(也在錯誤情況下)所已知的安全信息G��。發(fā)送器邏輯裝置3的復位�����、亦即重置例如可以通過發(fā)送器邏輯裝置3的存在的復位輸入端實現(xiàn)���,如果這樣觸發(fā)的復位以足夠的概率可靠地刪除或重置發(fā)送器邏輯裝置3的可能包含安全信息G的內部存儲器。發(fā)送器邏輯裝置3的重置備選地例如可以通過(暫時的)除去發(fā)送器邏輯裝置3的運行電壓實現(xiàn)�����,如果例如發(fā)送器邏輯裝置3具有一個或多個可能包含安全信息G的易失性存儲器。
[0072]在圖4中示出了遙控設備20的第二實施例����。在圖4所示的例子中在操縱安全開關元件Sw中,安全電路6在使用安全信息G的情況下產生數據H�,并且發(fā)送器邏輯裝置3在使用用戶輸入E的情況下產生數據S。要發(fā)送的數據SH由H和S產生��,例如作為H和S的耦合或者作為H和S的更復雜的函數��。
[0073]在圖4中示出安全開關元件Sw的類似于圖2所述的特別是功能方式的流程�。對于在圖4中未描述的方面參考圖2的描述。不過在圖4中與圖2的不同之處在于發(fā)送器邏輯裝置3不使用安全信息G來由G和用戶輸入E產生要發(fā)送的數據S�����。取而代之地��,在圖4中安全電路6除了用于發(fā)送給發(fā)送器邏輯裝置3的S之外也提供數據H�����,如果安全電路6在操縱安全開關元件Sw時被激活��,例如通過接通供應電壓V (備選地也可以通過安全電路6的使能輸入或復位輸入來控制激活/去激活)����。在最簡單的情況下可以是H = G和S = E����。優(yōu)選地�����,將一個或兩個數據值H和S編碼�����,亦即H = H (G)和S = f2 (E)�。在此H或S也還可以包含另外的信息,例如發(fā)送器的標識(也稱為發(fā)送器ID)或校驗和(例如CRC)或序列計數器����。
[0074]在圖2中示出的復位電路5在圖4中的安全裝置中不是必要的,因為發(fā)送器邏輯裝置3這樣從未得知安全信息G并且由此不必要的是����,發(fā)送器邏輯裝置3可靠地忘記安全/[目息G0
[0075]在圖4中發(fā)送SH,其由H和S產生����,亦即SH = f (S,H)���。例如H和S可以在時間上相關地被發(fā)送(例如作為串接SH = S ο H或SH = H ο S)���。例如發(fā)送器邏輯裝置3首先發(fā)送S而隨后安全電路6發(fā)送H。在此也可想到�,在重復地傳輸數據SH中H或S比S或H更少有地發(fā)送。例如H可以比S更少有地發(fā)送����,以便減少數據量。H可以周期地并且獨立于S發(fā)送��。此外可能的是�����,SH作為S和H的交替子段的串接而產生��,亦即例如首先是S的子段����,隨后是H的子段,隨后又是S的子段等等��。
[0076]在接收側針對正確性對SH進行檢測(亦即是否在使用安全信息的情況下產生SH)并且在成功情況下輸出相應的輸出信號A,以便執(zhí)行要保障的功能����。該方法類似于圖2地描述。也在該實施例中��,類似于圖2所述的那樣�����,在將安全開關元件從開關狀態(tài)Z2切換到開關狀態(tài)Zl中時安全電路6可靠地去激活�。在去激活的安全電路6中不再產生有效的H并且至少在安全電路6側不再將其輸出并且以此僅發(fā)送S而不發(fā)送SH。
[0077]在圖5中示出遙控設備30的第三實施例�����。在圖5中安全電路6在操縱安全開關元件Sw時在使用安全信息G的情況下并且在使用在發(fā)送器邏輯裝置3側由E產生的數據S的情況下產生數據H����。備選地也可以考慮在此代替S直接發(fā)送E。發(fā)送數據SH由H和可選地S產生���?��?赡艿氖荢H等于H���。
[0078]在圖5中描述了與圖4流程類似的流程�����。對于在圖5中未描述的方面參照圖2和4的描述����。在圖5的例子中,在操縱安全開關元件Sw時��,安全電路6在使用安全信息G的情況下產生數據H���。與圖4中的例子的不同之處在于��,安全電路6為此也使用由發(fā)送器邏輯裝置3產生的數據S���。也可想到,取而代之地使用用戶輸入E�����。要發(fā)送數據SH由H和可選地S產生,特別是發(fā)送數據SH也可以等于H���。
[0079]在圖5中示出的例子中�����,安全電路6在計算H時不僅將安全信息G而且將來自發(fā)送器邏輯裝置3的數據S包含在內并且隨后提供H用于發(fā)送��,如果安全電路6在操縱安全開關元件Sw中被激活�。由此適用的是出=€3(6�����,幻���。例如函數f3類似于結合圖2所述的例子可以是校驗和函數或加密函數�����。發(fā)送數據SH的產生以及數據SH在接收側上的檢測和分析以與結合圖4所已經描述的相同方式進行�。同樣也可以在該實施例中(如已經結合圖4所述的那樣)可選擇地使用復位電路5(參見圖5中用虛線畫出的范圍)�。在該實施例中,在從開關狀態(tài)Z2切換為開關狀態(tài)Zl上時���,安全電路6也可靠地去激活�����,如這已經結合圖2所述的那樣�。在去激活的安全電路6的情況下不可以產生H并且由此僅僅發(fā)送S而不發(fā)送SH0
[0080]在圖5中示出的變型方案相比于在圖4中示出的變型方案提供的優(yōu)點在于,典型地H根據信號S并由此根據用戶輸入E變化�。這可以提供發(fā)送協(xié)議技術上的優(yōu)點����。例如有意義的可以是,對于不同的用戶輸入E設置不同的保障H�。這樣例如可以對于對功能安全較不重要的經常發(fā)生的用戶輸入E相對于對于功能安全較重要的更少發(fā)生的用戶輸入E降低H的“大小”(例如位數),以便例如節(jié)省無線傳輸的帶寬��。
[0081]在圖6中示出遙控設備40的第五實施例���。在此����,安全電路6包括用于釋放安全信息G的器件7,使得在安全電路6內處理安全信息���。用于釋放安全信息G的器件7與安全開關元件Sw通過輸入端GEn這樣耦合�����,使得在操縱安全開關元件Sw時釋放安全信息G以用于在安全電路6內進行處理��。安全電路6設置為��,在釋放安全信息G時在使用安全信息G的情況下并且在使用由發(fā)送器邏輯裝置3產生的數據S的情況下產生要發(fā)送的發(fā)送數據I
[0082]與其他實施例的重要區(qū)別在于��,安全電路借助于安全開關元件Sw未完全被激活或去激活�����。在要保障的用戶輸入E的情況下(亦即在開關狀態(tài)Zl)如果在開關狀態(tài)Zl下在輸入端GEn存在相應的信號,則在安全電路6內釋放安全信息G�����。如果釋放安全信息G,則安全電路6在使用G的情況下可以由S計算發(fā)送數據W�,從而W = f (S,G)�。在沒有釋放的安全信息G的情況下,安全信息可以為此不使用安全信息G���,從而發(fā)送數據W按照W = f (S)計算�����。發(fā)送數據W緊接著被發(fā)送并且在接收器側被分析(類似于在圖4中所述的情況)���。如果安全開關元件Sw又離開開關狀態(tài)Z2則安全電路6失去用于使用安全信息G的釋放�;輸入端GEn則不再位于運行電源V的電勢上�。為了實現(xiàn)安全信息G的可靠的重置,在圖6中優(yōu)選類似于在圖2中所述的情況(借助于復位電路5)在從開關狀態(tài)Z2轉變到開關狀態(tài)Zl上時觸發(fā)復位���。不過�,該復位針對安全電路6的獨立于安全開關元件Sw而激活的部分���。
[0083]上述方法的功能安全可以可選地通過如下方式提高,其方法是安全開關元件Sw設計為防意外事故的安全控制電路�。由此確保,在錯誤控制如例如遙控設備掉落或滑落時將系統(tǒng)轉換到安全狀態(tài)中��。為此開關元件必須這樣設計�,使得操作者在要保障的用戶輸入的整個控制過程期間必須將開關元件特別是通過力的耗費而激活地保持在開關狀態(tài)Z2中。例如這可以通過克服鍵的反作用力連續(xù)地操縱包括安全開關元件Sw的鍵或者通過克服反作用力連續(xù)持握拉出的操作部件而引起����。
[0084]在圖7中示出遙控設備的兩個示例性的鍵8和9。鍵8是用于激活非要保障的功能���、例如用于打開中控鎖的鍵�。鍵9是用于激活要保障的功能、例如自主泊入和泊出功能的鍵����。
[0085]鍵8包括操作面11以及開關元件Sw_El。開關元件Sw_El用作用于獲得用戶輸入E的輸入器件�。在通過經由力Fl向下按壓操作面11來操縱開關8的情況下,該力Fl大于鍵8的反作用力F3���,使得開關元件Sw_El置于開關狀態(tài)Z2中并且產生相應的用戶輸入E��,所述用戶輸入給出非要保障的功能在用戶側的選擇并且借助于發(fā)送器邏輯裝置3轉換成相應的發(fā)送信號S���。在接收發(fā)送信號S之后在車輛中觸發(fā)非要保障的功能。
[0086]鍵9包括操作面12以及開關元件Sw_E2��。類似于開關元件Sw_El,開關元件Sw_E2用作用于獲得用戶輸入的輸入器件����。在通過力F2操縱開關9時,力F2大于鍵9的反作用力F4��,操縱開關元件Sw_E2并且使之置于開關狀態(tài)Z2并且產生相應的用戶輸入E�����,所述用戶輸入給出要保障的功能在用戶側的選擇。此外��,鍵9還包括安全開關元件Sw�����。在操縱鍵9時不僅操縱開關元件Sw_E2并且使之置于開關狀態(tài)Z2中���,而且操縱安全開關元件Sw并且使之置于開關狀態(tài)Z2中�����。僅當安全開關元件Sw位于開關狀態(tài)Z2中時�,使用安全信息G以用于產生發(fā)送數據S�,所述發(fā)送數據在接收時可以主要引起要保障的車輛功能的執(zhí)行�����。
[0087]與圖7不同地���,除了一個單個的安全開關元件Sw之外也可以使用多個安全開關元件�,這些開關元件必須被共同地操縱,以便保證安全信息的使用并且觸發(fā)期望的車輛功能����。備選地也可以使用多個如下的開關元件,這些開關元件必須以一個序列來操縱���,其中���,例如最后要操縱的開關元件對應于前述的安全開關元件。但是為了通過使用安全信息觸發(fā)要保障的功能則必須也以預定的序列操縱其他開關元件����。在此,至少最后操縱的開關元件在執(zhí)行要保障的功能時保持在開關狀態(tài)Z2��,其中�����,在離開狀態(tài)Z2時中斷要保障的功能的執(zhí)行�����。理論上也可以規(guī)定�,所有或部分數量的要以序列來開關的開關元件在執(zhí)行要保障的功能期間必須保持被切換��,例如與開關元件耦合的操作部件��,所述操作部件必須被拉出并且在此該開關元件被切換并且必須在執(zhí)行功能期間保持被拉出����;以及在拉出操作部件之后要操作的側面的鍵���,所述側面的鍵必須被按壓并且在執(zhí)行功能期間必須保持被按壓�����。
[0088]附加于安全開關元件Sw或與之組合地也可以在用戶輸入E中區(qū)分對于功能安全重要的和對于功能安全不重要的輸入�。例如輸入器件的不同鍵(或者其他操作元件)的同時操縱對于E可以是必要的����,以便產生對于功能安全重要的輸入E。備選地�����,多個鍵(或者多個操作元件)的順序操縱對于E可以是必要的���,以便產生對于功能安全重要的輸入E���。
【權利要求】
1.無線遙控設備(10、20���、30���、40), ?用于控制至少一個對于功能安全重要的第一車輛功能以及 ?用于控制機動車的一個或多個另外的第二車輛功能, 所述無線遙控設備包括: ?輸入器件(2)���,用于在用戶側激活所述車輛功能并且用于獲得對應于要激活的車輛功能的用戶輸入(E)��,其中���,對于應該激活第一車輛功能的情況存在配置給第一車輛功能的用戶輸入(E),以及 ?發(fā)送器邏輯裝置(3)���,用于處理用戶輸入(E)����, 其特征在于��, 所述遙控設備附加地包括: ?用于保障第一車輛功能的安全裝置(6),包括: ?安全輸入器件(Sw)�,該安全輸入器件能夠被操縱用于執(zhí)行第一車輛功能,以及 ?與安全輸入器件(Sw)耦合的具有安全信息(G)的安全電路(6)��, 其中���,遙控設備這樣設置��,使得在配置給第一車輛功能的用戶輸入(E)的情況下����,僅僅在操縱安全輸入器件的情況下使用安全信息(G)以用于產生引起執(zhí)行第一車輛功能的發(fā)送數據(S ��;SH ���;ff)�。
2.根據權利要求1所述的無線遙控設備(10)����,其中 ?安全輸入器件(Sw)在操縱的情況下轉變到第一狀態(tài)(Z2)中并且在執(zhí)行第一車輛功能期間保持在該第一狀態(tài)(Z2)中; ?遙控設備這樣設置���,使得在離開第一狀態(tài)(Z2)時排除使用安全信息(G)來產生這樣的發(fā)送數據����。
3.根據權利要求1或2所述的無線遙控設備(10)����,其中,無線遙控設備(10)這樣設置���,使得在操縱安全輸入器件(Sw)的情況下發(fā)送器邏輯裝置(3) ?獲得安全信息(G);并且 ?在使用安全信息(G)和配置給第一車輛功能的用戶輸入(E)的情況下產生發(fā)送數據⑶��。
4.根據權利要求3所述的無線遙控設備(10)�,其中�����, ?安全輸入器件(Sw)在操縱的情況下轉變到第一狀態(tài)(Z2)中并且在執(zhí)行第一車輛功能期間保持在該第一狀態(tài)(Z2)中�; ?遙控設備這樣設置,使得在離開第一狀態(tài)(Z2)時排除使用安全信息(G)來產生這樣的發(fā)送數據���;以及 ?遙控設備這樣設置���,使得如果安全輸入器件(Sw)離開第一狀態(tài)(Z2),則發(fā)送器邏輯裝置(3)失去安全信息�。
5.根據權利要求4所述的無線遙控設備(10)�����,其中��,安全裝置還包括: ?與安全輸入器件(Sw)耦合的用于產生復位脈沖的復位電路(5)��,其中�,在觸發(fā)復位脈沖時�,發(fā)送器邏輯裝置(3)失去安全信息(G)。
6.根據權利要求1或2所述的無線遙控設備(20)��,其中�����,遙控設備(20)這樣設置�����,使得: ?在操縱安全輸入器件(Sw)時,安全電路(6)在使用安全信息(G)的情況下產生第一數據(H)或者提供安全信息(G)作為第一數據(H)����; ?發(fā)送器邏輯裝置(3)在使用配置給第一車輛功能的用戶輸入(E)的情況下產生第二數據(S),或者配置給第一車輛功能的用戶輸入(E)對應于第二數據(S);以及?發(fā)送數據(SH)由第一數據(H)和第二數據(S)產生���。
7.根據權利要求1或2所述的無線遙控設備(30)�����,其中�����,遙控設備(30)這樣設置��,使得: ?在操縱安全輸入器件(Sw)時��,安全電路在使用安全信息(G)的情況下并且在使用第二數據(S)的情況下產生第一數據(H)�����; ?發(fā)送器邏輯裝置(3)在使用配置給第一車輛功能的用戶輸入(E)的情況下產生第二數據(S)��,或者配置給第一車輛功能的用戶輸入(E)對應于第二數據(S);以及 ?要發(fā)送的發(fā)送數據(SH)由第一數據(H)和可選地第二發(fā)送數據(S)產生����,或者發(fā)送數據(SH)對應于第一數據(H)����。
8.根據權利要求6或7所述的無線遙控設備(20���、30),其中��, ?安全輸入器件(Sw)在操縱的情況下轉變到第一狀態(tài)(Z2)中并且在執(zhí)行第一車輛功能期間保持在該第一狀態(tài)(Z2)中�����; ?遙控設備這樣設置�,使得在離開第一狀態(tài)(Z2)時排除使用安全信息(G)來產生這樣的發(fā)送數據;以及 ?遙控設備(20����、30)這樣設置,使得如果安全輸入器件(Sw)離開第一狀態(tài)(Z2)�,則安全電路(6)在使用安全信息(G)的情況下不再產生或輸出第一數據(H)。
9.根據權利要求1或2所述的無線遙控設備(40)�����,其中���, ?發(fā)送器邏輯裝置(3)在使用配置給第一車輛功能的用戶輸入(E)的情況下產生第二數據⑶���; ?安全電路(6)包括用于釋放安全信息(G)的器件(7)以用于在安全電路(6)內進行處理�,其中����,用于釋放安全信息(G)的器件(7)與安全輸入器件(Sw)這樣耦合,使得在操縱安全輸入器件(Sw)時釋放安全信息(G)以用于在安全電路(6)內進行處理��;以及 ?安全電路(6)設置為�,在釋放安全信息(G)時在使用安全信息(G)的情況下并且在使用第二數據(S)的情況下產生要發(fā)送的發(fā)送數據(W)��。
10.根據權利要求9所述的遙控設備(40)����,其中, ?安全輸入器件(Sw)在操縱的情況下轉變到第一狀態(tài)(Z2)中并且在執(zhí)行第一車輛功能期間保持在該第一狀態(tài)(Z2)中�; ?遙控設備這樣設置,使得在離開第一狀態(tài)(Z2)時排除用于使用安全信息(G)來產生這樣的發(fā)送數據���;以及 ?遙控設備(40)這樣設置��,使得如果安全輸入器件(Sw)離開第一狀態(tài)(Z2)����,則安全電路(6)失去用于使用安全信息(G)的釋放����。
11.根據上述權利要求之一所述的遙控設備(10�����、20���、30、40)�����,其中���,安全輸入器件是安全開關元件����,并且遙控設備(40)包括第一按鍵(9)�,其包括所述安全開關元件(Sw)。
12.根據權利要求11所述的遙控設備(10���、20����、30、40)����,其中,第一按鍵(9): ?除了安全開關元件(Sw)之外包括所述另外的開關元件(Sw_E2)���,所述另外的開關元件用于獲得配置給第一車輛功能的用戶輸入(E);并且 ?這樣設計�,使得在操縱第一按鍵(9)時不僅操縱安全開關元件(Sw)而且操縱另外的開關元件(Sw_E2)���。
13.根據權利要求11所述的遙控設備(10���、20���、30����、40)�����,其中�, ?遙控設備除了第一按鍵之外包括至少一個另外的鍵�����;以及 ?所述另外的鍵用作用于激活第一車輛功能的輸入器件����。
14.根據上述權利要求1-10之一所述的遙控設備(10���、20���、30、40)���,其中�,遙控設備(10���、20��、30��、40)包括: ?基體����;以及 ?具有至少一個操作元件的操作部件, 其中��,所述遙控設備這樣設計��,使得 ?在操作部件被覆蓋的狀態(tài)下��,操作部件的所述至少一個操作元件被覆蓋并且是不可操作的�����; ?該操作部件從覆蓋的狀態(tài)通過使操作部件相對于基體運動�、特別是通過推出、拉出或翻轉操作部件而可轉變到操作部件的打開狀態(tài)中���,其中�����,所述至少一個操作元件是可見的并且可操作的;以及 ?通過使操作部件相對于基體運動來操縱安全輸入器件(Sw)�����。
15.根據上述權利要求之一所述的遙控設備(10、20��、30����、40),其中���, ?安全輸入器件(Sw)在操縱的情況下轉變到第一狀態(tài)(Z2)中并且在執(zhí)行第一車輛功能期間保持在該第一狀態(tài)(Z2)中���; ?遙控設備這樣設置,使得在離開第一狀態(tài)(Z2)時排除使用安全信息(G)來產生這樣的發(fā)送數據��;以及 ?遙控設備(10�����、20��、30�����、40)這樣設置����,安全輸入器件(Sw)在執(zhí)行第一車輛功能期間能夠由用戶�、特別是通過在用戶方面的力消耗而保持在第一狀態(tài)(S2)下��。
16.根據上述權利要求之一所述的遙控設備(10�、20、30����、40)���,其中�����,第一車輛功能是用于自動泊入或駛出轎車的停車功能。
17.根據上述權利要求之一所述的遙控設備(10�、20�����、30、40)��,其中���,安全信息是具有至少16位長度的安全信息���。
18.用于根據上述權利要求之一所述的遙控設備(10�����、20����、30����、40)的接收器���,其中�����,該接收器設置為��, ?如下檢測所接收的數據(S����、SH、W)�,所述數據是否在使用安全信息(G)的情況下在發(fā)送器側產生的。
19.機動車�����,其包括根據權利要求17所述的接收器并且設置為�����, ?可遙控地執(zhí)行至少一個對于功能安全重要的第一車輛功能并且執(zhí)行一個或多個另外的第二車輛功能��;以及 ?只有根據在接收器中的檢測確認了,所接收的數據(S����、SH��、W)是在使用安全信息(G)的情況下在發(fā)送器側產生的����,才執(zhí)行第一車輛功能����。
【文檔編號】G08C17/02GK104205183SQ201380015946
【公開日】2014年12月10日 申請日期:2013年2月22日 優(yōu)先權日:2012年2月27日
【發(fā)明者】S·席林, J·巴特爾特, M·昆茨, H·瓦加塔 申請人:寶馬股份公司