用于控制从车辆的控制设备的至少一个数据检索的方法和装置以及用于从车辆的控制设备检索数据的方法和装置与流程

本发明涉及一种用于控制从车辆的控制设备的至少一个数据检索的方法、一种用于从车辆的控制设备检索数据的方法、至少一种相应装置以及一种相应的计算机程序。

背景技术：

车辆中的控制设备提供大量数据，这些数据也是其它控制设备所感兴趣的。这适用于同一车辆中的控制设备，通过车对车通信、或者按照交通基础设施、比如交通灯和交通控制中心、或者例如经由车对基础设施通信进行车队管理的服务供应商适用于相邻车辆中的控制设备。更一般而言，这用车对x技术来表示。

在未来，数据将从车辆中的控制设备中检索，以供用在云服务和增值服务中（车队管理、主动维护、现场数据观察等等）。因此，出于技术原因，必须限制数据检索的数目，以便避免由于过多询问造成的资源过载。此外，所存在的经济兴趣是，（例如由第三方供应商）利用支付模型来存放数据的使用（数据作为“资产”）。

技术实现要素：

在此背景下，利用在此提出的方案提出根据独立权利要求所述的一种用于控制从车辆的控制设备的至少一个数据检索的方法，此外一种用于从车辆的控制设备检索数据的方法，另外一种使用这些方法中的至少一个的控制设备、以及最后一种相应的计算机程序。有利的扩展方案从相应从属权利要求和下面的描述中得出。

对车辆中的数据的访问可以通过保护机制来限制和控制。这样，数据查询可以通过查询码来验证。在此，可以在相应范围内提供查询码。数据可以在一定条件下被提供，使得例如相应数据仅基于提供合适和有效查询码的数据查询来提供。

提出了一种用于控制从车辆的控制设备的至少一个数据检索的方法，其中该方法具有下列步骤：

读入用于提供数据的询问以及分配给所述询问的查询码；

检查查询码的有效性；以及

提供对该询问进行应答的应答信息，其中该应答信息包括车辆和/或驾驶员的至少一个物理参数和/或车辆的行驶参数。

车辆具有至少一个拥有通信接口的控制设备。控制设备可以理解成ecu。在此，ecu代表英语术语“electroniccontrolunit（电子控制单元）”。同一车辆、另一车辆或交通基础设施中的另一控制设备可以通过通信接口从该控制设备查询数据。为了从控制设备查询数据，可以提出询问。在此，该询问可以是表示数据查询的消息或信号。查询码可以理解成查询标号、交易号、一次性口令或者特征。在此，查询码可以表示模拟信号、或优选数字信号。询问和查询码可以被接收或读入。这样，也可以将读入理解成接收。应答信息可以表示在询问中被查询的数据。在此，应答信息可以表示数字信号或消息。应答信息可以包括存储在控制设备中的数据或信息。车辆的物理参数例如可以理解成速度、马达转速、马达温度、方向盘所成角度、倾斜角、或填充状态等等。在此，可以由传感器检测或由控制设备提供物理参数。驾驶员的参数例如可以理解成表示驾驶员的疲劳度的值、驾驶员的视向、或者驾驶员的座位状态。车辆的行驶参数例如可以理解成车辆的轨道或行驶方向。

在检查步骤和提供步骤之间可以执行监视步骤。在监视步骤中，可以监视和/或等待该询问与之前执行的询问之间的预先定义的时间间隔。这样，监视步骤可以停止该方法的执行，直到预先定义的时间间隔期满。替代地，当自从过去的查询以来的时间小于预先定义的时间间隔时，监视步骤可以输出错误或错误信号。有利地可以避免控制设备所连接的网络或控制设备的有意或无意的过载。这样，可以实现所定义的服务质量。

另外，可以在检查步骤中检查：查询码列表是否包括该查询码。查询码列表可以存放在控制设备中。在提供步骤中，尤其是可以将查询码从查询码列表中除去。查询码列表可以包括多个查询码。在此，可以在控制设备中存放多个查询码列表。这样，可以在检查步骤中检查：存放在控制设备中的多个查询码列表之一是否包括该查询码。

替代地，可以在检查步骤中在使用存放在控制设备中的算法的情况下在线地确定查询码的有效性。在一个替代的实施方式中，可以多次使用查询码。在此，在一个变型方案中放弃在提供步骤中将查询码从查询码列表中除去。在另一变型方案中，在提供步骤中对查询授权的可分配给查询码的数目进行递减。

也有利的是，在一个实施方式中在检查步骤中封锁查询码列表中的查询码。这样可以保证：在查询仍未结束、并因此查询码还没有在查询码列表中被删除的时间段中，该查询码不能被二次使用。

在检查步骤之后，当查询码列表不包括该查询码或者该查询码在查询码列表中被注明为已封锁时，可以执行拒绝步骤。在此，可以在拒绝步骤中提供否定的确认信号。当监视步骤被执行并且两个询问之间的预先定义的时间间隔还未期满或未被遵守时，可以执行另一拒绝步骤或替代地执行同一拒绝步骤。

提出了一种用于从车辆的控制设备检索数据的方法，其中该方法具有下列步骤：

提供用于接收数据的询问以及分配给所述询问的查询码；以及

接收或读入对该询问进行应答的应答信息，其中该应答信息包括车辆和/或驾驶员的至少一个物理参数和/或车辆的行驶参数。

该询问可以是在用于控制从车辆的控制设备的数据检索的方法中接收到的询问。此外，应答信息可以是在用于控制从控制设备的数据检索的方法中所提供的应答信息。

在提供步骤中，可以从存放在查询码列表中的多个查询码中选择查询码。补充地或替代地，可以在接收步骤中将该查询码从查询码列表中除去。该查询码列表可以是在用于控制从控制设备的数据检索的方法中所使用的查询码列表、所述查询码列表的副本、或者是由特别的用于建立查询码列表的方法所提供的查询码列表。

在此提出的方案还实现了至少一种装置，所述装置被构造为在相应设备中执行、控制或实现此处提出的方法之一的变型方案的步骤。该装置可以是车辆的控制设备的一部分。通过本发明的装置形式的所述实施变型方案也可以快速和有效地解决本发明所基于的任务。

当前，可以将装置理解成处理传感器信号并据此输出控制和/或数据信号的电设备。该装置可以具有可按照硬件和/或软件来构造的至少一个接口。在按照硬件构造的情况下，所述接口例如可以是所谓系统asic的包含装置的不同功能的部分。但是也可以是，接口是单独的集成电路或者至少部分地由分立器件构成。在按照软件构造的情况下，接口可以是软件模块，该软件模块例如除了其它软件模块以外存在于微控制器上。

有利的还有一种具有程序代码的计算机程序产品或计算机程序，该程序代码可以存储在诸如半导体存储器、硬盘存储器或光学存储器之类的机器可读载体或存储介质上，并且尤其是在该程序产品或程序在计算机或装置上被执行时用于执行、实现和/或控制根据前述实施方式之一的方法的步骤。

附图说明

下面根据附图示例性地进一步阐述在此提出的方案。其中：

图1示出了各具有至少一个根据本发明的一个实施例的装置的两个车辆的示意图；

图2示出了根据本发明的一个实施例的方法的流程图；

图3示出了根据本发明的一个实施例的方法的流程图；

图4示出了根据本发明的一个实施例的方法的组合流程图；以及

图5示出了根据本发明的一个实施例的方法的流程图。

在下面对本发明的有利实施例的描述中，为在不同附图中示出和作用相似的元素使用相同或相似的附图标记，其中不对这些元素做重复的描述。

具体实施方式

图1示出了各具有至少一个根据本发明的一个实施例的装置104、106的两个车辆100、102的示意图。车辆100具有：至少一个控制设备108；装置104，其用于控制从车辆100的控制设备108的数据检索；装置106，其用于从车辆100的控制设备108检索数据；以及通信设备110。装置104被构造为响应于询问112在检查查询码114以后提供对询问112进行应答的应答信息116。装置106被构造为提供询问112并且接收对询问112进行应答的应答信息116。

在图1中示出了三个场景，下面对它们进行进一步详述。在第一变型方案中，车辆100具有彼此交换数据的两个控制设备108、118。在一个变型方案中，所提出的装置104、106分别是控制设备108、118的组成部分，或者替代地，控制设备108、118分别与装置104、106之一连接。在所示实施例中，装置104为了控制从控制设备108的数据检索而与该控制设备108通过控制线连接。控制设备118包括装置106。在两个控制设备108、118之间可以实现受保护的车内通信。

在第二变型方案中，数据在两个车辆100、102之间交换。两个车辆100、102具有通信设备110。车辆100的通信设备110与用于控制从车辆100的控制设备108的数据检索的装置104连接。所述连接是双向连接。在另一车辆102中，用于从车辆100的控制设备108检索数据的装置106与另一车辆102的通信设备110双向连接。在两个车辆100、102的两个通信设备110之间进行车对车通信120。为了给另一车辆102的控制设备118供应车辆100的数据，另一车辆102的装置106被构造为提供用于接收数据的询问112以及分配给该询问112的查询码114。询问112和所分配的查询码114通过另一车辆102的通信设备110被发送给车辆100的通信设备110，并且从那里被提供给车辆100的装置104的接口。车辆100的装置104如已经描述的那样被构造为：在用于接收的接口122中接收询问112和所分配的查询码114；然后在用于检查的设备124中检查查询码114的有效性；以及在用于提供的设备126中提供对询问112进行应答的应答信息116。应答信息116通过车辆100的通信设备110借助于车对车通信120被传输给另一车辆102的通信设备110。另一车辆102的装置106具有设备128，该设备128用于提供用于接收数据的询问112、以及分配给询问112的查询码。此外，另一车辆102的装置106具有用于接收对询问112进行应答的应答信息116的设备130。

在第三变型方案中，数据在车辆100与交通基础设施132之间交换。在车辆100与交通基础设施132之间，建立所谓车对基础设施通信134或利用车对x技术的通信132。关于询问112、查询码114以及对询问112进行应答的应答信息116的流程最后基本上对应于两个已经描述的变型方案。

在一个实施例中，通信设备110具有至少一个移动无线电接口。替代地或补充地，车辆100、102内的通信例如通过总线系统、如lin总线、can总线、flexray、most或具有实时能力的以太网来进行。在此，车辆内的通信优选有线地进行，在车辆100、102之间或者车辆100与基础设施130之间通常无线地进行。

可选地，针对来自控制设备或ecu的数据检索实现计费或付费功能。在此，检索码114凭付费输出。对此还要在图5中进行深入探讨。

查询码114——下面亦称令牌114——是一种数据组，该数据组的特征在于单义（并且几乎不可推测）的标号并且可选地具有另外的数据字段。在直观和简化地示出的情况下，令牌114对应于用于使用在数据之间进行处理的机器的口令。类似地，令牌114可以在分布式数据处理中例如用作api密钥或者会话令牌，以便加难或限制对资源的不期望的使用。此外，令牌114可以用于认证。在此，令牌114不仅是单义的，而且可以单义地分配给控制设备118、车辆100、102或基础设施132。

作为一方面，在一个实施例中可以“基于存款”从ecu或控制设备中检索数据。这既允许对数据检索的数目的纯粹限制（例如以便将总线负载保持得小），又允许在付费模型的意义上进行计费。为了实现，使用所谓的“令牌”114或查询码114，其中查询码114从进行询问的单元（例如ecu、智能电话、网络计算机、云服务）与询问112一起传输给源ecu。识别和授权通过该查询码114或该令牌114来保证。

有利地可以（绝对地和/或每时间单位地）限制第三方供应商的数据检索的数目。由此避免了资源的过载。此外，第三方/服务供应商通过这样缩减的“供应”被鼓励节省地对待询问。这样，可以减少总线负载并且改善服务质量。

有利的是，针对每个被检索的数据组可以收取一定金额（例如0.1欧分）。此外，对资源负载的隐式控制通过定价来实现（服务质量方法）。

有利地同样可以通过所提出的想法来实现相互计费或者按规定比率的数据交换。这尤其是在市场成员（或ecu）同时作为数据供应商和数据检索方出现时是有意义的。例如，可以在对查询进行应答时生成确定数目的查询授权114。因此有利地禁止了纯粹“寄生性的”数据查询。

图2示出了根据本发明的一个实施例的方法240的流程图。方法240具有读入步骤242、检查步骤244、可选的监视步骤246以及提供步骤248。方法240可以在一个实施例中在图1中所示的用于控制从车辆的控制设备的数据检索的装置104上执行。

在读入步骤242中，读入用于提供数据的询问以及分配给询问的查询码。在跟随在读入步骤242之后的检查步骤244中，检查查询码的有效性。在最后的提供步骤248中，提供对查询进行应答的应答信息。在此，该应答信息包括车辆和/或驾驶员的至少一个物理参数和/或车辆的行驶参数。

可选地，方法240如图2中所示具有监视步骤246。监视步骤246在检查步骤244之后并且在提供步骤248之前执行。在监视步骤246中，监视该询问与之前执行的询问之间的预先定义的时间间隔。这样有利地保证：在两个询问之间存在最小时间间隔。在一个变型方案中，当与之前执行的询问的时间间隔过短时，添加等待时间。在另一变型方案中结束该方法，在此可以输出错误通知或错误信号。

在一个实施例中，在检查步骤244中检查：所存放的查询码列表是否包括该查询码。在此，在实施例中在提供步骤248中将该查询码从查询码列表中除去。在一个变型方案中，附加地在检查步骤244中在查询码列表中封锁该查询码。

在一个未示出的实施例中，方法240具有可选的拒绝步骤，当查询码列表不包括该查询码时，在检查步骤244之后执行该拒绝步骤。在可选的拒绝步骤中，提供否定的确认信号。拒绝步骤在图5中所示的框图中关联地示出。

图3示出了根据本发明的一个实施例的方法350的流程图。用于从车辆的控制设备检索数据的方法350具有至少一个提供步骤352以及接收步骤354。车辆可以是图1中所示的车辆100、102的一个实施例。在提供步骤352中，提供用于接收数据的询问以及分配给询问的查询码。在接收步骤354中，接收对询问进行应答的应答信息。在此，该应答信息包括车辆的至少一个物理参数、驾驶员的物理参数或车辆的行驶参数。在一个实施例中，应答信息包括多个所述参数。

在一个可选实施例中，在提供步骤352中，从存放在查询码列表中的多个查询码中选择查询码。在接收步骤354中，将查询码从查询码列表中除去。

在一个实施例中，图2中所描述的用于控制从车辆的控制设备的数据检索的方法240与图3中所描述的用于从车辆的控制设备检索数据的方法350彼此交互。这样的交互在图4中的流程图中予以示出。

图4示出了根据本发明的一个实施例的方法的组合流程图。作为图4中的流程图的开始点，可以观察配备有附图标记452的框。框452表示提供用于从控制设备接收数据的询问、以及分配给询问的查询码。询问和所分配的查询码由进行查询的系统发送给被询问的系统，并且在那里被读入。这样，框452表示图3中所示的方法350的提供步骤352、以及图2中所示的方法240的读入步骤242。在跟随在其后的框444中，由被查询的控制设备检查：该查询码是否包含在有效查询码的查询码列表中。这样，框444表示图2中所示的方法240的检查步骤244。在框444中的检查的肯定结果的情况下，在流程中随后是框446，在框444中的检查的否定结果的情况下，在流程中随后是框460。在框446中，由被查询的控制设备检查：两个询问之间的最小时长是否被遵守或已经被遵守。在框446中的监视的肯定结果的情况下，在流程中随后是框448，在框446中的监视的否定结果的情况下，在流程中随后是框460。这样，框446表示图2中所示的方法240的监视步骤246。框448表示从被查询的控制设备内的有效查询码的查询码列表中除去该查询码，以及提供对该询问进行应答的应答信息。这样，框448表示图2中所示方法240的提供步骤248。跟在框448之后的是框454。框454表示由进行查询的系统接收应答信息，以及从存放在进行查询的系统中的有效查询码的查询码列表中除去该查询码。这样，框454表示图3中所示方法350的接收步骤354。

当进行查询的系统对被询问的系统提出重新的询问时，该流程必要时可以在框454之后以框452继续。

框460表示发送亦称nak的否定确认，或者替代地表示无应答，其中在流程中跟在框460之后的是框452。框460表示图2中所示的方法240的可选的拒绝步骤，其中可选的拒绝步骤在图2中未明确示出。

在一个实施例中，如图4中的流程图中所示，在两个控制设备之间或者在进行询问的系统与控制设备之间进行数据交换。数据用户或进行询问的系统将具有有效查询码或令牌的询问发送给应当从中查询数据的控制设备。在进行询问的系统上，查询码或令牌在所使用令牌的列表中被暂存，因为其不再能够用于未来的询问，但还未被“消耗”（应答）。然后控制设备检查：查询码或令牌是否被包含在有效查询码或令牌的列表、即查询码列表中。如果查询码或令牌是有效的并且如果两个询问之间的可选的最小时长（为了避免过载）被遵守，则控制设备或ecu发送所询问的数据。同时，查询码或品牌被从有效查询码或令牌的列表中除去。如果查询码或令牌不是有效的，则控制设备或ecu要么发送否定确认，要么替代地完全不发送应答（例如以便将资源消耗保持得小）。进行询问的系统接收所述数据。查询码或品牌因此是“已消耗的”（无价值的），并且在进行询问的系统上被从有效查询码或令牌的列表中以及从被使用的查询码或令牌的列表中删除。

图5示出了根据本发明的一个实施例的方法的流程图。在之前的附图中描述的方法使用查询码。图5表明：这些查询码可以如何建立，并且被输送给两个方法或相应控制设备或系统。图5中的流程图具有四个框562、564、566、568，这些框被顺序地经过。在执行框568以后，该流程可以以框562重新开始。框562表示获得一定数目的用于数据查询的授权。框564表示在使用在框562中获得的用于数据查询的授权的数目的情况下生成查询码，该查询码在下面亦称令牌。框566表示将查询码传输到进行查询的系统或者控制设备。这样的传输可以通过网络或通过数据载体进行。作为网络例如可以使用因特网，作为数据载体例如可以使用usb棒或存储卡等。框568表示通过相应数据查询消耗查询码。这样，框568表示在图4中示出的流程图。

换言之，存在用于获得或赋予一定数目的询问授权的框562——在此，数据用户在数据持有者或数据交易商（例如ecu制造商或oem）那里获得一定数目的查询授权。可选的支付或付款利用根据现有技术的被承认的方法进行。在框564中，数据持有者生成一定数目的一次性令牌（用于分别恰好一个查询）或者替代地生成一定数目的块令牌（用于各一批所定义数目>1的查询）。在框566中，令牌以经加密和经签名的方式（利用根据现有技术的方法、例如在使用hsm的情况下）传输给数据用户（或进行询问的系统）以及要进行查询的控制设备（例如在线地、或者替代地例如在车辆中通过头单元处的蓝牙/wlan/usb棒）。框568如已经描述那样表示图4中所示的流程图。在此，在每个询问中将一次性令牌传输给控制设备。控制设备检查：该令牌是否被包含在有效令牌的列表中。如果该令牌是有效的，则提供数据组，并且将该令牌从有效令牌的列表中删除。

在一个替代的实施例中，在框568中在每个询问中将块令牌传输给控制设备。控制设备检查：凭该令牌是否仍然允许检索数据组。如果是，则交付数据组，并且对可检索的数据组的数目进行递减。如果可检索数据组的数目对应于零，则令牌被从有效令牌的列表中删除。有利的是，针对每个令牌允许所定义的多个询问，由此令牌列表需要更少的存储需求。在此，针对最后提到的实施例，需要依赖于应用的对安全性需求和资源消耗的权衡。

所描述和附图中所示的实施例仅仅示例性地选择。不同实施例可以完全或关于各个特征彼此组合。一个实施例也可以由另一实施例的特征来补充。

另外，在此提出的方法步骤可以重复以及以与所述顺序不同的顺序来执行。

如果实施例包括第一特征与第二特征之间的“和/或”连接，则这应当被理解为该实施例根据一个实施方式既具有第一特征又具有第二特征，并且根据另一实施方式要么仅具有第一特征、要么仅具有第二特征。