控制方法与系统与流程

1.本公开内容涉及用于车辆的控制系统和控制车辆的方法，并且特别地但不限于涉及用于允许远程控制车辆移动的控制系统。本发明的各方面涉及控制系统、系统、车辆、方法、计算机软件程序和计算机可读存储介质。


背景技术：

2.已知提供了用于辅助用户泊车的车辆泊车辅助系统。一些泊车辅助系统被配置成提供自动泊车功能，其中，车辆泊车辅助系统被配置成自主控制车辆速度和转向，以在不需要驾驶员向车辆提供任何速度或方向控制输入的情况下执行平行泊车操作。一些系统被配置成允许自动垂直泊车和车库泊车。一些系统允许对车辆位置进行小的调整，其中使车辆向前或向后移动相对小的量，这一功能被称为“避让”移动。
3.本技术人已经认识到，可能期望使得驾驶员能够借助于远程装置例如智能电话、智能手表或其他装置例如具有触摸屏的遥控钥匙来远程激活自动泊车功能，该远程装置运行适当的软件应用(可以被称为“应用”或“小部件”)。还可能期望通过借助于相同或类似的装置控制行驶方向、速度和转向角度允许驾驶员单独地控制车辆移动。在要求车辆在具有挑战性的地形上行驶的越野情况下该功能可能特别有用。
4.本技术人还已经认识到，确保用于控制车辆移动的系统的可靠性特别是在远程操作的情况下是重要的。
5.本发明人已经认识到，智能电话与泊车辅助控制系统之间的通信故障可能导致对车辆的控制变得不可靠。本发明的目的是改善该问题。


技术实现要素：

6.本发明的各方面和实施方式提供了如所附权利要求中所要求保护的控制系统、远程装置和控制车辆的运动的方法。
7.根据本发明的一个方面，提供了一种包括一个或更多个控制器的控制系统，该控制系统被布置成响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，其中，控制系统被布置成执行重复验证循环，在重复验证循环中，控制系统被配置成：向远程装置发送验证请求信号；监听响应于所发送的验证请求信号而从远程装置发送的验证请求应答信号；在从远程装置接收到验证请求应答信号的情况下，将验证请求应答信号所包括的信息与预期验证请求应答信息进行比较；以及根据比较，响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制车辆的运动。
8.本发明的实施方式具有如下优点：在远程装置与控制系统之间的通信链路发生故障的情况下，例如由于远程装置的故障或所传送的数据的损坏，可以防止控制系统响应于从远程装置接收到的信号来控制、或者向系统提供输入来控制机动车辆的运动。
9.可选地，所述一个或更多个控制器共同包括：具有用于接收验证请求应答信号的电输入和用于发送验证请求信号的电输出的至少一个电子处理器；以及耦接至至少一个电
子处理器并且具有存储在其中的指令的至少一个存储装置；其中，所述至少一个电子处理器被配置成访问至少一个存储装置并且执行存储在其中的指令，以控制、或者向系统提供输入以控制机动车辆的运动。
10.可选地，预期验证请求应答信息包括指示预定操作的结果的信息。
11.可选地，验证请求信号包括要在操作内使用的参数信息(argument information)，并且预期验证请求应答信息包括指示使用参数信息的所述操作的结果的信息。
12.可选地，由控制系统发送的连续的验证请求信号各自包括如下信息，所述信息包括由系统生成的参数信息，参数信息是指示要与操作一起使用的一个或更多个参数的信息，系统被配置成确定预期操作结果信息，预期操作结果信息是指示使用参数信息的预定义操作的结果的信息，系统还被配置成确定从远程装置接收到的验证请求应答信号所包括的信息是否包括与由控制系统确定的预期结果相对应的操作结果信息，其中，系统被配置成响应于从远程装置接收到的运动控制信号，根据接收到的操作结果信息与预期操作结果信息之间的对应关系来控制、或者向系统提供输入来控制车辆的运动。
13.应当理解，为了确定所发送的参数信息与所接收的操作结果信息之间的对应关系，控制系统可以将相应的标识符与每个连续的验证请求信号相关联，并且在验证请求信号中发送指示标识符的信息以及参数信息。远程装置进而可以将同一标识符或索引与远程装置所执行的预定义操作的对应的结果相关联，并且在验证请求应答信号中发送指示标识符的信息以及对应的操作结果信息。
14.可选地，该系统被配置成将预期操作结果信息与参数信息以及与参数信息和操作结果信息相关联的标识符信息一起存储在与控制系统相关联的存储器中，该系统被配置成将与验证请求信号所包括的参数信息相关联的标识符信息包括在验证请求信号中，其中，被配置成确定从远程装置接收到的验证请求应答信号所包括的信息是否包括与由控制系统确定的预期操作结果对应的操作结果信息的系统包括：被配置成将接收到的结果信息和存储的具有共同标识符信息的预期结果信息进行比较的系统。
15.因此，应当理解，接收到的验证请求应答信号包括指示预定义操作的结果的信息和指示与用于预定义操作的参数信息相关联的标识符的信息两者，从而使得能够将接收到的操作结果信息和预期操作结果信息进行比较。
16.可选地，一旦已经接收到其中具有标识符信息的验证请求应答信号，并且系统已经将接收到的结果信息和存储的与该标识符信息相关联的预期结果信息进行了比较，则该系统被配置成不将其他接收到的与该标识符相关联的预期结果信息进行比较，直到已经存储了具有同一标识符信息的新的预期结果。
17.该特征具有可以防止重放攻击的优点，在重放攻击中，远程装置所发送的验证请求应答信号被第三方重放，以使系统继续响应从同一远程装置或另一远程装置接收到的运动控制信号。
18.可选地，该系统被配置成，其中，一旦已经接收到其中具有标识符信息的验证请求应答信号，并且系统已经将接收到的结果信息和对应存储的与该标识符信息相关联的预期结果信息进行了比较，则该系统被配置成从存储器中删除所存储的预期结果信息和对应的标识符信息。
19.应当理解，从存储器中删除所存储的预期结果信息的结果和对应的标识符信息具有如下效果，如果系统接收到与同一标识符信息相关联的新的预期结果信息，则系统将无法将接收到的结果信息与存储的预期结果信息进行比较，直到已经存储了具有对应的标识符信息的新的预期结果信息。
20.可选地，该系统被配置成根据在规定时间段内系统接收到与预期验证请求应答信号不对应的验证请求应答信号的次数来防止车辆响应于从远程装置接收到的运动控制信号的运动。
21.因此，应当理解，在一些实施方式中，如果在给定的时间段内没有接收到响应于发送验证请求信号的验证请求应答信号，则系统可以防止车辆响应于从远程装置接收到的运动控制信号的运动。
22.在一些实施方式中，如果在规定时间段内接收到包含与预期操作结果信息不对应的操作结果信息的验证请求应答信号超过预定次数，则系统可以防止车辆响应于从远程装置接收到的运动控制信号的运动。应当理解，系统可以基于接收到的验证请求应答信号中所包含的标识符信息来确定操作结果信息是否对应于预期操作结果信息。
23.可选地，该系统被配置成根据接收到连续的验证请求应答信号的顺序是否对应于发送对应的连续的验证请求信号的顺序来防止车辆响应于从远程装置接收到的运动控制信号的运动。
24.可选地，该系统被配置成根据在给定时间段内接收到连续的验证请求应答信号的顺序与发送对应的连续的验证请求信号的顺序不对应的次数来防止车辆响应于从远程装置接收到的运动控制信号的运动。
25.可选地，该系统被配置成针对接收到的数据实现循环冗余校验(crc)。
26.根据本发明的另一方面，提供了一种借助于控制系统控制车辆的运动的方法，该方法包括响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，该方法包括执行重复验证循环，该方法包括：向远程装置发送验证请求信号；监听响应于所发送的验证请求信号而从远程装置发送的验证请求应答信号；在从远程装置接收到验证请求应答信号的情况下，将验证请求应答信号所包括的信息与预期验证请求应答信息进行比较；以及根据比较，响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制车辆的运动。
27.该方法可以包括根据预期验证请求应答信号的接收来防止响应于从远程计算装置接收到的运动控制信号的车辆移动。
28.在本发明的一个方面中，提供了一种远程装置，该远程装置被配置成与控制系统通信，该控制系统被布置成响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，其中，该远程装置被配置成：监听由控制系统发送的验证请求信号；响应于接收到由控制系统发送的验证请求信号，向控制系统发送验证请求应答信号。
29.可选地，远程装置被配置成响应于接收到验证请求信号，使用包含在验证请求信号中的参数信息来执行预定义操作，该装置被配置成响应于执行预定义操作发送验证请求应答信号，验证请求应答信号包括指示预定义操作的结果的信息以及包含在验证请求信号中的标识符信息。
30.在本发明的又一方面，提供了一种控制具有控制系统的车辆的运动的方法，该方法包括借助于远程装置与控制系统通信，该控制系统被布置成响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，该方法包括：监听由控制系统发送至远程装置的验证请求信号；响应于接收到由控制系统发送的验证请求信号，向控制系统发送验证请求应答信号。
31.可选地，该方法包括，在远程装置处，响应于由远程装置接收到验证请求信号，使用包含在验证请求信号中的参数信息执行预定义操作，该方法包括响应于执行该预定义操作，从远程装置向控制系统发送验证请求应答信号，验证请求应答信号包括指示预定义操作的结果的信息和包含在验证请求信号中的标识符信息。
32.在本技术的范围内，明确旨在前面的段落、权利要求和/或下面的描述和附图中所阐述的各个方面、实施方式、示例和替选方案，并且特别是其单独的特征可以独立地或以任何组合采用。也就是说，除非这样的特征是不兼容的，否则所有实施方式和/或任何实施方式的特征可以以任何方式和/或组合进行组合。申请人保留更改任何原始提交的权利要求或相应地提交任何新的权利要求的权利，包括修改任何原始提交的权利要求取决于任何其他权利要求的任何特征和/或包含任何其他权利要求的任何特征的权利，尽管最初没有以该方式要求保护。
附图说明
33.现在将参照附图仅借助于示例描述本发明的一个或更多个实施方式，在附图中：
34.图1是(a)根据本发明的实施方式的车辆以及(b)车辆的中控台的示意图，该车辆具有本实施方式中的近场传感系统(nfs)形式的车载环境感知和轨迹规划系统，该系统可以由智能电话形式的远程装置控制；
35.图2是远程装置与nfs进行通信的方式的示意图；
36.图3是其他车辆部件彼此进行通信的方式的示意图；
37.图4更详细地示出了nfs和远程装置1900的操作；
38.图5示出了索引值、本地时间信息和操作结果信息在非易失性存储器(nvm)中的累积；
39.图6是示出nfs的操作的流程图；
40.图7是示出远程装置的操作的流程图；
41.图8示出了从远程装置接收第一验证请求应答信号之前(块t1)和之后(块t1')的nvm的内容；
42.图9是示出在从远程装置接收到验证请求应答信号的情况下的nfs的操作的流程图；
43.图10示出了在图1至图9的实施方式的方法中验证请求信号与验证请求应答信号之间的对应关系；
44.图11是根据本发明的实施方式的例如可以调整的控制系统的简化示意图；以及
45.图12示出了沿着具有一排智能柱行驶的车辆，所述一排智能柱沿着期望路径的一侧以引导车辆的行驶路径。
具体实施方式
46.本文参照附图描述了根据本发明的实施方式的控制系统、系统、车辆和方法。
47.图1(a)是根据本发明的实施方式的车辆1000的示意图。车辆1000被布置成与适当配置的远程装置1900通信，并且使得远程装置1900能够控制车辆1000的泊车辅助功能，从而可以借助于远程装置1900使车辆1000以低速操纵。可以采用该系统以低速操纵车辆进入泊车位。在某些情况下，可以采用该系统在具有挑战性的地形(例如，具有挑战性的越野地形)上操纵车辆。
48.尽管在一些实施方式中，远程装置1900可以被配置成使得用户能够激活泊车辅助功能，并且使得用户不能够自由地控制车辆的运动，但是远程装置1900和车辆1000还被配置成使得远程装置1900能够控制远程控制驾驶功能，从而用户可以使用远程装置1900自由地控制车辆的纵向和横向运动，而不限于激活车辆1000自主地执行泊车操纵的泊车辅助功能。
49.应当理解，在本实施方式中，在车辆正在执行泊车的情况下，车辆速度被限制为2kph，并且在实现了远程控制驾驶功能的情况下，车辆速度被限制为8kph。应当理解，在一些实施方式中，可以采用最大速度的其他值以用于这些功能中的一个或两个功能中的操作。例如，在一些实施方式中，在处于远程装置的控制下的情况下，车辆速度可以被限制为10kph。在一些替选实施方式中，在处于远程装置的控制下的情况下，车辆速度可以被限制为15kph。
50.在所示出的实施方式中，远程装置1900是用户的智能电话。然而，应当理解，在一些实施方式中，远程装置可以与基本上固定的设施例如泊车设施、车辆充电设施或其他设施相关联。可以由远程装置生成控制信号，以便引导车辆1000停放在设施处适合车辆的位置处，例如在可以对车辆1000的电池进行充电的位置处。在一些实施方式中，远程装置1900可以是具有hmi接口的智能手表，hmi接口包括使得用户能够远程地与车辆1000交互的按钮和/或触摸屏。
51.图2是远程装置1900与车辆1000进行通信的方式的示意图。车辆1000具有远程信息处理控制单元(tcu)1100(还可以被描述为车辆域控制器(vdc))、网关模块(gwm)1200和近场感测系统(nfs)1300。tcu 1100提供远程装置1900与车辆控制器局域网(can)总线1010之间的接口，gwm 1200和nfs1300也连接至can总线1010。在本实施方式中，can总线1010采用以太网联网技术(ieee 802.3)来促进连接的系统之间的通信。然而，应当理解，本发明不限于以太网技术，并且可以采用任何合适的联网技术。应当理解，在一些实施方式中，远程装置1900可以直接与nfs1300通信，而不经由gwm 1200。
52.远程装置1900被配置成借助于短程无线通信协议在远程装置与tcu 1100之间建立无线通信链路或“连接”。在本实施方式中，远程装置1900被配置成使用“wi-fi”协议来建立无线通信链路，然而，可以另外或替代地使用其他协议例如蓝牙(rtm)。如上所述，应当理解，远程装置1900可以是任何合适的装置，例如智能电话、智能手表、平板计算机或任何其他合适的编程计算装置。远程装置1900具有安装的远程车辆控制(rvc)软件程序或应用。在rvc应用正在运行的情况下，该程序使得远程装置1900的用户能够使用远程装置1900来控制车辆的运动。在本实施方式中，rvc程序允许用户远程地激活车辆的泊车辅助(pa)功能。由nfs1300来实现pa功能。nfs1300设置有远程泊车辅助(rpa)功能，从而允许nfs1300从远
程装置1900接收关于pa功能的命令。
53.在本实施方式中，可以由用户在驾驶车辆1000时借助于设置在车辆1000的中控台1001(图1(b))上的pa功能激活按钮1001b来激活pa功能。在pa功能被激活的情况下，nfs1300被自动配置成执行平行泊车操纵，其中车辆nfs1300在车辆沿着道路行驶时识别合适的泊车位，并且然后确定车辆1000的期望行驶路径以便将车辆停放在该泊车位中。也就是说，nfs1300控制车辆1000的速度和转向角度，以便平行停放车辆1000。nfs1300借助于车辆1000所包括的传感器来确定其他物体与车辆100的接近度。应当理解，在一些实施方式中可以另外或替代地执行其他泊车操纵，例如垂直泊车、车库泊车(从而使车辆移动到车库中)、或避让泊车(其中使车辆递增地向前或向后移动以便将车辆正确地定位在所期望的位置处)。
54.通过按下远程装置1900上的按钮1910，可以激活rpa功能。在所示出的实施方式中，远程装置1900是具有触摸屏1903的智能电话。以显示在触摸屏1903上的图标的形式提供按钮1910。在一些替选实施方式中，远程装置可以替代地设置有物理按钮。在一些实施方式中，远程装置1900可以被配置成借助于触摸屏来检测动态手势，例如滑动，例如在特定方向上滑动用户的手指。在一些实施方式中，可能需要执行滑动和保持手势以避免特征的意外激活。例如，可能需要用户触摸触摸屏上的特定位置并在特定方向上将其手指滑动到给定位置，并且然后将其手指保持在该位置以激活特征，例如使车辆前进或后退移动，可选地，在特定方向上前进或后退移动。在一些实施方式中，可以基于用户滑动其手指的方向来控制车辆的转向方向。在一些实施方式中，其它布置可能是有用的。
55.如图2中所示出的，在本实施方式中，在车辆1000接收到来自远程装置1900的信号的情况下，车辆1000被配置成经由can总线1010将从远程装置1900接收到的信息传送至gwm 1200。gwm 1200进而经由can总线1010将接收到的信息传送至nfs1300。在本实施方式中，采用用户数据报协议(udp)通信协议用于tcu 100与gwm 1200之间以及gwm 1200与nfs1300之间的通信。应当理解，替代can总线或者除了can总线之外，可以在有线网络上采用任何合适的汽车通信协议，例如flexray、以太网、局域互联网(lin)或任何其他合适的协议。
56.应当理解，在本实施方式中，远程装置1900与车辆1000之间的通信采用循环冗余校验(crc)方法来检测通信错误。然而，本发明的实施方式实现了更复杂的通信完整性验证方法，该方法更适合于借助于消费者级计算装置例如智能电话来控制车辆移动，车辆1000的制造商可能很少或无法控制其完整性和正确操作。因此，nfs1300被配置成验证远程装置1900的正确操作以确保对车辆1000的移动的正确控制。nfs1300对远程装置的正确操作的验证可以被称为验证周期。
57.图3示出了在本实施方式中其他车辆部件彼此通信的方式。如图3中所示，nfs1300还经由单独的运动控制通信总线1020与gwm 1200以及另外与运动控制单元(mcu)1400通信。运动控制通信总线1020允许gwm 1200、nfs1300和mcu 1400中的每一个之间的独立通信。
58.运动控制单元1400被配置成与车辆防抱死制动系统(abs)、电子泊车辅助系统(epas)、制动系统控制模块(bscm)、动力总成控制模块(pcm)和变速箱控制模块(tcm)进行通信。
59.gwm 1200还借助于bcm通信总线1030与遥控钥匙模块(remote fob module，rfa)
1600和车身控制模块(bcm)1500进行通信。rfa 1600被配置成与由用户携带的遥控钥匙进行通信。遥控钥匙1800设置有无线射频通信能力。rfa1600被周期性配置以尝试与遥控钥匙1800进行无线通信，以便确定遥控钥匙1800是否在与rfa 1600的通信范围内。如果rfa1600确定遥控钥匙1800在与rfa1600的通信范围内，则rfa1600经由bcm通信总线1030通知gwm 1200，使得gwm 1200在给定时刻知道遥控钥匙1800是否在与rfa1600通信的范围内。应当理解，除非遥控钥匙1800在与rfa1600通信的范围内，否则gwm 1200被配置成防止某些车辆功能例如车辆的移动(通过防止动力总成操作)以及车辆信息娱乐系统被激活。因此，运动控制单元1400被配置成需要来自gwm 1200的在其可以允许动力总成操作之前动力总成操作被允许的指示。
60.遥控钥匙1800设置有三个用户可操作的控制装置——主锁控制按钮1805、行李箱(或“后备箱”)解锁按钮1810和主解锁按钮1815。响应于按下按钮1805、1810、1815中的一个按钮，遥控钥匙1800向rfa 1600发送指示被按下的按钮的标识的无线电信号。rfa 1600进而向bcm 1500发送指示被按下的按钮的标识的信号。如果用户已经按下了主锁定按钮1805，则bcm 1500使车辆100的所有门锁和行李箱锁锁上。如果用户已经按下了行李箱解锁按钮1810，则bcm 1500使车辆1000的仅行李箱锁打开。如果用户按下了主解锁按钮1815，则bcm 1500使车辆100的所有门锁和行李箱锁打开。
61.如图2中所示，nfs1300被配置成经由gwm 1200和tcu 1100与远程装置1900通信。应当理解，本发明的实施方式被配置成周期地检查远程装置1900与nfs1300之间的通信链路是否正确工作，并且此外远程装置1900是否正确工作。为了实现这一点，nfs1300被配置成经由gwm 1200和tcu 1100向远程装置1900重复地发送验证请求信号，并且监听由远程装置1900响应于接收到验证请求信号经由tcu 110和gwm 1200发送回nfs1300的验证请求应答信号。应当理解，在本实施方式中，验证请求信号和验证请求应答信号是除了远程装置1900与nfs1300之间传输的用于控制车辆100的信号之外的信号。
62.图4更详细地示出了nfs1300和远程装置1900的操作。nfs1300被配置成在计算机程序代码中提供质询生成器函数1320、随机数生成器函数1325和响应验证器函数1340。随机数生成器函数1325生成三个连续的随机数(或伪随机数)，并且将生成的数提供给质询生成器函数1320。质询生成器函数1320使用提供的数作为参数(参数信息)来执行预定义操作(例如，其可以包括一个或更多个计算，例如除法或乘法)，并且将预定义操作的结果存储在nfs1300的非易失性存储器(nvm)1335中。该结果可以被称为“操作结果信息”。应当理解，另外地或替代地，可以使用其他类型的存储器，例如易失性存储器(vm)。在一些实施方式中，vm可能具有其可以以比nvm更快的速度写入和/或读取的优点。在本实施方式中，三个随机数形成三个参数(部分1、部分2和部分3)，即用于由质询生成器函数1320执行的操作的参数信息。在本实施方式中，所述部分是8位无符号型。这具有可以在具有8位架构或更高架构的任何计算装置上执行操作的优点。在本实施方式中，操作可以被写为如下：
63.响应＝(((部分1
＊
部分2)＞＞(部分3&&0x0f)+(部分3^部分1)＜＜(部分2-部分1))/(0x03))
64.其中，参数“响应(response)”是操作的结果，并且因此是远程装置1900在执行相同操作时所预期的响应，“》》”是指右位移操作，“《《”是指左位移操作，并且“^”是异或(xor)操作。应当理解，上面的操作利用了期望远程装置1900的中央处理单元(cpu)可靠地执行的
多个不同操作。此外，该操作被布置成避免生成溢出。因此，在部分1和部分2相乘在一起的乘法操作之后，结果被右移，因此数据返回到8位范围。应当理解，“0x03”是表示数量“3”的“000003”的简写。最后一步除以3旨在避免被除以非常大的数字，该数字可以导致可能示出为“000000”结果的非常小的数值结果。这样的结果不满足将结果视为有效的标准。
65.应当理解，通过在操作中使用无符号位，不能生成负数作为操作的结果。该特征增加了操作与一系列不同计算机系统架构的兼容性，这些不同计算机系统架构中的一些计算机系统架构可能不支持负数。
66.应当理解，由上面的等式限定的操作将导致独立于所使用的编程语言和编译器的确定性输出，并且因此为远程装置开发提供了更大的灵活性。更通常地，满足以下条件的等式是有利的：
67.(1)其不依赖于有符号的算术和有符号的数字的表示；
68.(2)其防止除以零；以及
69.(3)其利用通用中央处理单元的所有基本操作(算术的、逻辑的、按位的)针对远程装置的操作条件给出更大的置信度，该远程装置可以采用消费级电子装置，而不是机动车辆车载控制系统中所采用的更高级的电子装置。
70.由nfs1300提供的本地定时器函数1330向质询生成器1320提供本地时间信息。在存储使用由随机数生成器函数1325生成的参数信息的操作结果(预期“响应”)时，质询生成器1320在操作结果被存储在nvm 1335中的情况下还存储由本地定时器函数1330提供的本地时间信息。在本实施方式中，nfs1300还被配置成将索引值与(a)操作结果(“预期响应”)和(b)对应的本地时间信息中的每个存储的值一起存储。在本实施方式中，索引值针对每个连续操作结果递增了预定量。应当理解，稍后将使用该本地时间戳检测通信问题(慢响应、无响应)。采用本地时间戳以避免在远程装置1900与nfs1300的车载电子控制单元(ecu)之间采用共同时钟/时间信息的需求。这减少了网络数据交换量，并且消除了在远程装置1900与nfs1300之间同步时钟的问题。应当理解，如下面所描述的，索引可以用于检测顺序错误，并且有助于更快地访问存储的数据。
71.nfs1300被配置成一旦已经生成了预定义操作的结果，就向远程装置1900发送验证请求信号，验证请求信号包括(a)索引值和(b)要用于操作的参数信息(部分1、部分2和部分3)。在一些实施方式中，可以省略索引值，并且发送用作参数信息的索引或标识符的本地时间信息。
72.应当理解，本实施方式的有利特征是不需要将本地时间从nfs1300发送至远程装置1900，并且不将本地时间从nfs1300发送至远程装置1900。充当质询器的nfs1300自身管理时间，并且不需要与远程装置1900同步。该特征有助于nfs1300补偿内部时钟抖动和存储本地时间戳信息的不同方式，从而避免了在两个装置(在这种情况下，nfs1300与远程装置1900)之间同步时间的需要。
73.图5示出了索引、本地时间信息和操作结果信息的存储值在nvm 1335中的累积。块t0是在时间t＝t0时nvm 1335的内容的示意图。如所示出的，nvm 1335在其中已经存储了与单个索引值相关联的数据。存储的数据是索引值(idx)(在本示例中为“1”)、本地时间值(在本示例中为“000000”)以及三个存储值的形式的操作结果信息(在本示例中为“0x31”(“000031”的缩写)、“0x55”和“0xfe”)的形式。
74.块t1示出了一旦已经存储了与两个索引值中的每个索引值对应的数据，在时间t＝t1时nvm 1335的内容。如从数据中可以看出的，使用连续参数信息的操作之间的时间间隔为30ms。在一些实施方式中，时间间隔的其他值可能是有用的。
75.块t2示出了一旦已经存储了32个索引值以及对应的本地时间和操作结果信息，在时间t＝t2时nvm 1335的内容。如从示出了在时间t2之后30ms的时间t＝t3时nvm 1335的内容的块t3可以看出的，第32个索引值之后的随后索引值恢复为“1”，并且本地时间数据和操作结果信息重写与相同索引值相对应的先前的这样的数据。因此，nfs1300实现了关于将数据存储在nvm 1335中的循环缓存方法。应当理解，采用循环缓存有助于减少内存使用以及通过更频繁地用新值进行重写来自动清除旧的存储值。这使得算法更快，并且系统将丢弃经过太长时间之后到来的响应(相对旧的消息)。这降低了对系统的重放攻击(或重播攻击)的风险。重放攻击意指由远程装置1900发送以控制车辆1000的数据被第三方欺骗性地重复或延迟的情况。
76.应当理解，取决于实际协议、电气架构和系统需求，可以在翻转发生之前存储多个索引值的其他值。该值越大，实现该方法所需要的存储器越多。然而，值太小将导致更频繁的翻转，并且可能导致系统对电噪声和/或电磁噪声过于敏感。
77.图6是更详细地示出充当质询器的nfs1300的操作的流程图。
78.在步骤s101处，nfs1300通过将与本地定时器函数1330相关联的时间信息的初始值设置为预定的基准定时器值(例如零)来初始化本地定时器函数。应当理解，初始化还可以被称为“重置”定时器函数1330。本地定时器函数1330从基准定时器值开始计时。
79.在步骤s103处，随机数生成器函数1325也被初始化(或“重置”)。应当理解，可以以基于硬件的真随机数生成器或需要“种子”值来初始化软件的基于软件的伪随机数生成器的形式提供随机数生成器函数。通常在(随机数开始重复的)饱和期之后或在每个电力周期发生随机数生成器函数的初始化或重置。在本实施方式中，随机数生成器函数1325是以软件实现的。
80.在步骤s105处，存储在nvm 1335中的“旧”数据被清除。在一些实施方式中，这是通过将所有存储的值设置为预定值例如零来执行的。因此，在本实施方式中，与(a)索引值、(b)操作结果的值和(c)与操作相关联的本地时间信息相对应的存储值被设置为预定值，例如“0”。
81.在步骤s109处，nfs1300检查远程装置1900是否已经与tcu 1100建立了通信连接。如果远程装置1900尚未建立连接，则nfs1300重复步骤s109。也就是说，nfs1300不借助质询生成器1320生成任何质询，直到远程装置1900成功连接到车辆1000。如果远程装置1900已经建立了连接，则在步骤111处，nfs1300通过将周期性定时器起始值存储在nfs 1300的存储器中来启动周期性定时器函数，该周期性定时器起始值是本地定时器函数1330输出的时间信息的当前值。在本实施方式中，周期性定时器起始值存储在nvm 1335中。在一些实施方式中，实现周期性定时器函数的其他方式是有用的。
82.在步骤s113处，质询生成器1320从随机数生成器函数1325接收三个新的随机数或伪随机数。在步骤s115处，质询生成器1320使用接收到的数(部分1、部分2和部分3)作为参数来执行上面所描述的预定义操作。在步骤s117处，质询生成器1320确定操作结果是否满足特定预定义标准以将其视为有效。如果结果不满足标准，则将其视为无效，并且该方法在
步骤s113处继续。如果结果满足标准，则将其视为有效，并且该方法在步骤s119处继续。
83.在本实施方式中，为了使操作结果被视为有效，表示结果的存储器数据位不能全部是逻辑“1”或全部是逻辑“0”。应当理解，另外地或替代地，一个或更多个其他标准或条件可以是有用的。质询生成器1320执行预定义操作的特征具有质询生成器1320能够在质询被发送至远程装置1900之前验证质询的结果是否满足预定义的标准的优点。应当理解，如果预定义操作的结果是所有存储器位是逻辑“1”或逻辑“0”，则nfs1300可能不能将其与其中所有位被设置为逻辑“1’或“0”的来自远程装置1900的损坏响应进行区分。此外，通过在该阶段执行操作并将结果存储在nvm 1335中，而不是仅存储参数信息(在本实施方式中为三个参数)，nfs1300能够更快地确定由远程装置1900执行的操作的结果是否与“正确”响应对应，因为nfs1300不必在已经接收到验证请求应答信号之后使用存储的参数信息来执行操作。
84.在步骤s119处，索引值递增了预定量，在本实施方式中为递增了“1”。
85.在步骤s121处，nfs1300确定是否已经达到索引的预定最大值，在本实施方式中为值“32”。如果已经达到最大值，则在步骤s123处将索引值重置为预定的索引基线值，在本实施方式中为值“1”。如果尚未达到最大值，则该方法在步骤s125处继续。应当理解，循环缓存技术的这种实现使得软件能够使用静态阵列，这可以有助于在函数安全的背景下证明确定性行为，并且符合所需要的标准，例如国际标准组织(iso)26262函数安全标准和汽车工业软件可靠性协会(misra)标准。
86.在步骤s125处，nfs1300将索引的当前值、定时器函数1325输出的时间的当前值以及使用所生成的参数的操作的结果存储在nvm 1335中。
87.在步骤s127处，nfs1300将在步骤s113处生成的参数与在步骤s125处存储在nvm中的索引值一起发送至远程装置1900。
88.在步骤s129处，nfs1300确定自存储了周期性定时器起始值的最新值以来已经经过的时间量。通过将本地定时器函数1330输出的时间信息的当前值与存储的周期性定时器起始值进行比较来实现这一点。如果值之间的差超过预定量，则nfs1300确定周期性定时器函数已经到期，并且该方法在步骤s109处继续，否则重复步骤s129。在本实施方式中，该方法被配置成使得nfs1300在步骤s109处继续之前等待，直到自存储了周期性定时器起始值的最近值以来已经经过至少30ms的时间段。因此，nfs 1300被配置成使得在连续的验证请求信号传输之间经过至少30ms的时间段。
89.应当理解，通过周期性地发送质询，本发明的实施方式可以检测通信丢失形式的故障，而与所采用的通信协议(无论是wi-fi、蓝牙还是其他)无关。
90.在(经由gwm 1200和tcu 1100)接收到来自nfs1300的验证请求信号时，远程装置1900向由远程装置1900以计算机程序代码形式实现的响应生成器函数1920(图4)提供接收到的索引值、时间信息和参数信息。响应生成器函数1920被配置成使用接收到的参数信息执行与nfs 1300的质询生成器函数1320执行的操作相同的预定义操作。然后，远程装置1900经由tcu 110和gwm 1200将验证请求应答信号发送回nfs 1300，验证请求应答信号包括使用接收到的参数信息的预定义操作的结果和对应的索引值以及由远程装置1900从nfs1300接收到的本地时间信息。
91.图7更详细地示出了远程装置1900的操作。
92.在步骤s201处，远程装置1900检查其是否已经与车辆1000的tcu 1100建立了通信链路。如果已经建立了链接，则该方法在步骤s203处继续，否则该方法重复步骤s201。
93.在步骤s203处，远程装置1900检查是否已经从车辆1000的nfs1300接收到了验证请求信号。如果已经接收到这样的信号，则该方法在步骤s205处继续，否则nfs1300在步骤s201处继续。
94.在步骤s205处，响应生成器函数1920使用接收到的参数信息执行预定义操作，该预定义操作对应于nfs1300的质询生成器函数1320执行的操作。
95.在步骤s207处，远程装置1900将预定义操作的结果以及借助验证请求信号从nfs1300接收的索引值和时间信息进行组合。
96.在步骤s209处，远程装置1900以验证请求应答信号的形式将预定义操作的结果以及接收到的索引值发送至nfs1300。然后，该方法在步骤s201处继续。
97.在接收到验证请求应答信号时，nfs1300被配置成通过确定验证请求应答信号是否包含预期的验证请求应答信息来检查验证请求应答信号是否对应于预期的验证请求应答信号。nfs1300通过确定由远程装置1900执行的预定义操作的结果的值是否对应于由nfs1300存储在nvm 1335中的值期望(即远程装置1900执行的预定义操作的结果的值是否对应于作为由nfs1300存储在nvm 1335中的操作结果信息的预期操作结果信息)来确定验证请求应答信号是否包括预期的验证请求应答信息。
98.如图4中所示，nfs1300具有从远程装置1900接收验证请求应答信号的响应验证器1340。响应验证器1340从nvm 1300中取得与包含在接收到的验证请求应答信号中的索引值相同的索引值对应的预定义操作的结果的先前存储的值以及存储在nvm 1300中的对应的本地时间信息。响应验证器1340将预定义操作的结果的存储值与包含在接收到的验证请求应答信号中的值进行比较；如果所述值相同，则响应验证器1340确定已经接收到“正确响应”。如果所述值不匹配，则响应验证器1340确定已经接收到“错误响应”。然后，响应验证器1340通过重写存储的响应将存储在nvm 1335中的操作结果的值设置为预定值，在本实施方式中为值0。如下面所讨论的，该特征具有可以防止发生恶意重放攻击的优点。
99.响应验证器1340还检查在质询生成器1320将与索引值相关联的信息存储在nvm 1335中的时间与响应验证器1344接收到验证请求应答信号的时间之间已经经过的时间长度。通过将由响应验证器1340接收到验证请求应答信号的本地时间的值以及已经存储在nvm 1335中并与相同索引值相关联的信息一起存储在nvm 1335中，并且比较所存储的时间信息的两个值来实现这一点。如果已经经过的时间量超过了预定的“慢响应”阈值，则响应验证器1340确定验证请求应答信号对应于“慢响应”。类似地，如果预定义操作的预期值与包含在验证请求应答信号中的值不对应，则响应验证器1340确定已经接收到“错误响应”。如果慢响应的数目或错误响应的数目在预定时间段内超过预定阈值，则响应验证器1340被配置成响应于接收到来自远程装置1900的信号使车辆100停止移动并防止车辆100的进一步移动。
100.图8示出了nvm 1335在从远程装置1900接收到第一验证请求应答信号s之前(块t1)和之后(块t1')的内容。
101.在接收到第一验证请求应答信号s紧之前，nvm 1335具有与存储在其中的四个索引值idx＝1至idx＝4相关联的数据。如从块t1可以看到的，存储第一索引值idx＝1的本地
时间是时间“000000”，连续的索引值存储在对应于30ms时间间隔的“000030”的时间间隔处。在本地时间是“000130”的情况下，由响应验证器1340接收验证请求应答信号s。因此，如图8的块t1'中所示出的，响应验证器1340将接收到信号s的时间存储在nvm 1335中，并且将存储的时间值与包含在信号s中的索引值相关联，即与索引值idx＝1相关联。然后，响应验证器1340将操作结果的值与在验证请求应答信号s中接收到的值进行比较以确定他们是否匹配；在本示例中它们确实匹配，并且因此如块t1'中也所示出的，响应验证器1340将操作结果的存储值设置为0。
102.应当理解，根据本实施方式，nfs1300仅基于一旦已经接收到第一应答所经过的时间开始检查关于通信的故障。该功能通过使得nfs1300能够以这种方式适应与系统相关联的通信时间延迟来减少发生在nfs 1300上的计算负担。此外，该特征还缓解了nfs1300确定在最初与远程装置1900建立通信时已经发生了“超时”故障的问题。
103.因此，一旦接收到第一应答，nfs1300就期望连续的响应周期性地(在本实施方式中为每30ms)到达。
104.现在将更详细地描述nfs1300关于接收验证请求应答信号的操作。
105.参照图9，在步骤s301处，响应验证器1340初始化非活动定时器。响应验证器1340可以通过将非活动定时器的初始值设置为预定值例如0来实现这一点。
106.在步骤s303处，响应验证器1340检查远程装置1900是否已经与tcu 1100建立了连接。如果已经进行了这样的连接，则响应验证器1340在步骤s305处继续，否则其重复步骤s303。
107.在步骤s305处，如果非活动定时器尚未启动，则响应验证器1345启动非活动定时器。
108.在步骤s307处，响应验证器1340检查是否已经接收到新的验证请求应答信号。如果已经接收到新的验证请求应答信号，则响应验证器1340在步骤s311处继续，否则响应验证器1340在步骤s309处继续。在步骤s309处，响应验证器检查自非活动定时器启动以来经过的时间是否超过非活动阈值。如果经过的时间超过了非活动阈值，则响应验证器1340在步骤s339处继续，否则响应验证器1340在步骤s303处继续。
109.在步骤s311处，响应验证器1340确定接收到的响应是否是自响应验证器1340在步骤s303处确定连接了远程装置以来的第一响应。如果是这种情况，则响应验证器1340在步骤s313处继续，否则响应验证器1340在步骤s315处继续。
110.在步骤s313处，响应验证器1340确定总等待时间值，该总等待时间值是由本地定时器1330生成的当前本地时间信息与在图6的步骤s109处确定连接了远程装置1900之后质询生成器1320向远程装置1900发送第一验证请求信号的时间之间的差。质询生成器1320向远程装置1900发送第一验证请求信号的时间是通过参照所存储的与第一索引值(idx＝1)相对应的时间信息获得的。应当理解，该特征使得nfs1300能够自动估计从nfs1300(充当质询器)到远程装置1900(充当响应器)并返回到nfs 1300(充当质询器)的信号传输的总等待时间，并且消除了手动调节的要求。在一些实施方式中，该针对延迟的测量稍后可以用于检测异常响应，例如nfs1300要花费不可接受的长时间来接收的响应。
111.在步骤s315处，响应验证器1340从新接收到的验证请求应答信号中提取索引值idx，并且记录由本地定时器函数1330生成的本地时间信息的当前值。在步骤s317处，响应
验证器1340确定nvm 1335中是否存在与接收到的索引值idx对应的条目，即具有相同索引值的条目。如果确实存在对应的条目，则响应验证器1340在步骤s319处继续，否则响应验证器1340在步骤s323处继续。
112.在步骤323处，响应验证器1340递增错误响应计数器值，并且在步骤s325处继续。应当理解，由响应验证器检查在nvm 1335中具有相同索引值的对应条目并且在没有找到这样的条目的情况下递增错误响应计数器，使得系统能够防止第三方添加具有参数值的所有可能组合或随机生成的参数值的组合的信号的“蛮力”攻击。该特征还检测由于例如与硬件或软件相关联的错误，响应器将索引值错误地发送回质询器的情况(在本实施方式中，由远程装置1900发送回nfs1300)。
113.在步骤s325处，响应验证器1340检查错误响应计数器值是否超过错误响应计数器阈值；如果错误响应计数器值超过了错误响应计数器阈值，则响应验证器1340在步骤s339处继续，否则响应验证器1340在步骤s307处继续。应当理解，错误响应计数器阈值可以设置为任何期望的值，例如设置为取决于给定应用用例并考虑所采用的通信协议的值。例如，该值可以是2、3、4、5、10或任何其他合适的值。
114.在步骤s339处，响应验证器1340借助rpa应用中断或取消远程装置1900对车辆1000的控制，即nfs1300不再允许远程装置1900控制车辆运动。在本实施方式中，nfs1300使车辆1000的制动系统立即使车辆停下。
115.如上所述，如果在步骤s317处响应验证器1340确定nvm 1335中存在与接收到的索引值idx对应的条目，则响应验证器1340在步骤s319处继续。
116.在步骤s319处，响应验证器1340从nvm 1335中取得操作结果信息的值和与和接收到的验证请求应答信号的索引值相对应的索引值相关联的本地时间信息。
117.在步骤s321处，响应验证器1340确定验证请求应答信号中包含的操作结果的值是否与从nvm 1335中取得的对应操作结果信息相同。如果不相同，则响应验证器1340在步骤s323处继续，否则响应验证器1340在步骤s327处继续。
118.在步骤s327处，响应验证器1340计算信号延迟值，该信号延迟值是在接收到验证请求应答信号时由本地定时器1330生成的本地时间信息与质询生成器1320将对应的操作结果信息存储在nvm 1335中的时间之间的差。信号延迟值提供在nfs1300发送验证请求信号与nfs1300接收验证请求应答信号之间所经过的时间的指示。
119.在步骤s329处，响应验证器1340确定信号延迟值是否超过预定信号延迟值阈值。如果信号延迟值超过该阈值，则响应验证器1340在步骤s331处继续，否则响应验证器1340在步骤s335处继续。在本实施方式中，信号延迟值阈值是30ms，尽管在一些实施方式中其它值可以是有用的。应当理解，在本实施方式中，信号延迟阈值被设置为不超过nfs1300向远程装置1900传输验证请求信号之间的周期的值。如上面所讨论的，在一些实施方式中，由nfs1300进行的传输之间的周期是30ms。
120.在一些实施方式中，nfs1300可以被配置成将预定的“慢响应”阈值设置为取决于估计的总延迟值的值，例如等于估计的延迟值与预定因子相乘的值。在一些实施方式中，延迟值可以由系统确定为大约10ms，并且预定因子可以是大约3或任何其他合适的值。应当理解，可以选择因子以使得在防止车辆移动之前经过的时间量不超过期望的最大值，例如100ms、200ms、300ms、400ms、500ms或任何其他期望的最大值。应当理解，可以在考虑其他车
辆系统延迟例如与车辆制动系统相关联的延迟的情况下选择因子的值。
121.应当理解，系统可以被配置成使得预定的慢响应阈值不能被设置为高于预定最大允许值的值。如上所述，在本实施方式中，信号延迟阈值被设置为不超过nfs1300向远程装置1900传输验证请求信号之间的周期的值。
122.应当理解，在一些实施方式中，信号延迟阈值可以至少部分地基于在步骤s313处确定的总延迟值而动态变化。另外地或者替代地，在一些实施方式中，可以至少部分地基于在步骤s327处针对预定数量的过去值计算的信号延迟值的值(例如预定数量的过去值、例如过去5个、10个、15个或任何合适数目的连续过去值的平均值)来计算信号延迟阈值。
123.在步骤s331处，响应验证器1340递增慢响应计数器，并且从nvm 1335中清除所存储的关于与接收到的验证请求应答信号相关联的索引值的操作结果信息。在步骤s333处，响应验证器1340确定慢响应计数器是否超过预定的慢响应计数器阈值。如果慢响应计数器超过了预定的慢响应计数器阈值，则响应验证器1340在步骤s339(如上所述)处继续，否则该方法在步骤s307处继续。应当理解，该特征有助于保护系统免受如上面所描述的重放攻击，在重放攻击中，接收到正确响应，但该响应来自第三方(欺诈)源。该特征还保护系统免受错误，在该错误中，索引值idx被远程装置1900破坏或在远程装置1900与nfs1300的传输过程中被破坏，但其中接收到的响应仍有效。预定的慢响应计数器阈值可以被设置为任何合适的值，例如3、4、5、10、15、20或任何其他合适的值。
124.例如，应当理解，如果估计的总延迟值是10ms并且预定因子是3(并且因此慢响应阈值将是30ms)并且预定慢响应计数器阈值是3，则如果系统在系统上变得较慢并且响应计数器在三个连续时刻接收到超过30ms的响应，则nfs1300将执行步骤s339并且将防止车辆移动。
125.在步骤s335处，响应验证器1340从nvm 1335中清除所存储的关于与接收到的验证请求应答信号相关联的索引值的操作结果信息。
126.在步骤s337处，响应验证器1340通过前进至步骤s303处来继续操作。
127.图10示出了在图1至图9的实施方式的方法中验证请求信号与验证请求应答信号之间的对应关系。在图10的步骤s401处，质询生成器1320执行函数gen_challenge()，在该函数中，其从随机数生成器1325接收三个随机数，所述三个随机数形成用于预定义操作的参数chlng_part1、chlng_part2、chlng_part3(在上文分别被称为部分1、部分2和部分3)。在步骤s403处，质询生成器将参数(参数信息)与索引值idx相关联以用于与本地时间值(图10中未指示)一起发送至远程装置1900。
128.在步骤s405处，质询生成器1320使用利用函数gen_response()生成的参数(参数信息)来执行上面所描述的操作。在步骤s407处，如上面所描述的，质询生成器1320在检查结果满足作为有效结果的要求之后将操作的结果“响应”存储在nvm 1335中。
129.在一些实施方式中，nfs1300被配置成根据接收到连续的验证请求应答信号的顺序是否对应于发送连续的验证请求信号的顺序来防止车辆1000响应于从远程装置1900接收到的运动控制信号的运动。这可以通过确定与接收到的验证请求应答信号相关联的索引值idx是否对应于最近接收到的验证请求应答信号紧之前接收到的验证请求应答信号的索引值idx的预期后续索引值来执行。如果确实注意到，则nfs1300可以递增“无序”计数器。如果计数器在预定时间段内递增超过预定数目，则nfs1300可以防止车辆1000响应于从远程
装置1900接收到的运动控制信号的运动。也就是说，nfs1300可以被配置成根据给定时间段内接收连续的验证请求应答信号的顺序与发送连续的验证请求信号的顺序不对应的次数来防止车辆1000响应于从远程装置1900接收到的运动控制信号的运动。
130.应当理解，本实施方式能够检测关于用户与nfs1300之间的通信的可能错误的数目。如果与远程装置1900相关联的硬件发生故障或者远程装置1900与车辆1000之间的wi-fi链路发生故障，则nfs1300将不会响应于由nfs1300发送验证请求信号而接收到验证请求应答信号。此外，如果发生验证请求信号或验证请求应答信号的损坏，则对由nfs1300发送的参数信息所执行的操作结果的值将与存储在nvm 1335中的对应值不匹配。
131.本发明的一些实施方式还可以区分用户不活动与停滞通信故障。也就是说，因为nfs1300通过重复发送验证请求信号来重复地要求远程装置1900提供响应，所以即使在用户空闲的情况下nfs1300也可以确定没有发生停滞通信故障。
132.此外，通过要求远程装置1900在每次接收到验证请求信号时使用新的参数信息来执行操作，其结果不能在接收到每个验证请求信号以及其提供的参数信息之前进行预测，nfs1300可以具有远程装置1900正在正确操作的增加的置信度。
133.响应验证器1340记录慢响应以及错误响应的特征使得响应验证器1340能够检测到用户与nfs1300之间的通信状态何时可能不适合于借助远程装置1900继续远程车辆操作，并且终止远程车辆操作。应当理解，该特征使得即使发生意外的通信延迟或故障，系统也能够在给定的时间限制内响应停下车辆1000的用户请求。应当理解，在存在大量时间延迟的情况下继续系统的操作的方式可能增加连续的验证请求信号的传输之间的时间段，例如从值30ms到值60ms。然而，这样的长度的时间段可以在用户使用远程装置1900请求车辆1000停下的情况下防止nfs1300使车辆1000足够快地停下，以及在nfs1300发送验证请求信号与nfs1300接收到对应的验证请求应答信号之间发生过大的延迟。
134.应当理解，在本实施方式中，nfs1300被配置成仅在远程装置1900连接至tcu 1100的情况下生成验证请求信号并将其发送至远程装置1900。如果连接变得断开，例如如果远程装置1900移出范围或者远程装置1900的wi-fi功能被关闭，则nfs1300终止验证请求信号的发送。
135.在本发明的一些实施方式中，nfs1300被配置成与在固定位置处提供的远程装置通信，并且所述远程装置向nfs1300提供位置信息以便通过提供引导信息来辅助nfs1300使车辆1000行驶到期望的位置。在实施方式中，如图12中示意性示出的，智能柱2900设置在车辆的期望行驶路径一侧的间隔位置处。每个柱2900被配置成感测车辆1000相对于柱2900的位置，并且向nfs1300提供相对位置信息，从而使得nfs1300能够引导车辆的路径经过柱2900而不与柱2900碰撞。在一些实施方式中，nfs 1300可以被配置成沿着使车辆1000在距离柱2900的期望距离处经过柱2900的轨迹引导车辆1000。如图12中所示，可以沿着车辆1000的期望行驶路径的一侧提供一排柱2900。在一些实施方式中，智能柱2900可以设置在车辆1000的期望行驶路径的两侧。nfs1300可以被配置成使用与nfs1300与远程装置1900通信的方法类似的方法来与智能柱2900通信。也就是说，使用上面参照图1至图11所描述的质询/响应方法。
136.应当理解，本发明的一些实施方式具有如下优点：其可以基本上独立于所使用的通信介质和协议来实现。一些实施方式具有如下优点：其通过采用crc技术提供端到端保
护。一些实施方式具有如下优点：其通过检测错误来提供端到端保护，所述错误例如关于响应于由车辆发送的验证请求信号由车辆接收的验证请求应答信号的一个或更多个序列错误、基于从充当质询器的nfs接收到的质询由远程装置产生的计算错误、时序错误和通信错误。一些实施方式具有如下优点：其可以在计算上更快地工作并且与复杂数据结构例如链表方法相比要求较少资源。一些实施方式具有如下优点：其能够使充当质询器的车辆和充当响应器的远程装置与开发环境解耦。这通过减少与特定制造商或软件开发者提供的装置或软件相关联的约束(还被称为供应商搭售)来增强开发者的灵活性。这至少部分是因为可以提供不依赖于特定编程语言或特定计算硬件的使用的实施方式。如本文中所描述的，本发明的一些实施方式不需要车辆与远程装置之间的时钟同步。这至少部分是因为在一些实施方式中，车辆控制电子装置(上面所描述的实施方式中的nfs1300)使用本地时间戳并且不需要由远程装置提供时间信息。应当理解，本文中所描述的许多参数是可配置的，因为可以根据特定的预期应用来改变所采用的值。例如，在重写索引值之前可以根据预期应用改变存储在存储器中的不同索引值的数目。
137.如图11中所示，应当理解，nfs1300包括至少一个控制器1360，该控制器1360包括具有用于接收一个或更多个输入信号1363的一个或更多个电输入1362和用于输出一个或更多个输出信号1365的一个或者更多个电输出1364的至少一个电子处理器1361。控制器或每个控制器1360还包括电耦接至至少一个电子处理器1361并且具有存储在其中的指令1368的至少一个存储装置1366。所述至少一个电子处理器1361被配置成访问至少一个存储装置1366并且执行存储在其中的指令1368，以被布置成响应于从远程装置接收到的信号来控制、或者向系统提供输入来控制机动车辆的运动，其中，所述至少一个控制器1360被布置成执行重复验证循环，在该重复验证循环中，所述至少一个控制器1360被配置成：向远程装置1900发送验证请求信号；监听响应于发送的验证请求信号而从远程装置1900发送的验证请求应答信号；在从远程装置1900接收到验证请求应答信号的情况下，将验证请求应答信号与预期验证请求应答信号进行比较；以及根据接收到与预期验证请求应答信号相对应的验证请求应答信号，响应于从远程装置1900接收到的运动控制信号来控制、或者向系统提供输入来控制车辆1000的运动。
138.电子处理器或每个电子处理器1361可以包括被配置成执行电子指令的任何合适的电子处理器(例如，微处理器、微控制器、asic等)。电子存储装置或每个电子存储装置1366可以包括任何合适的存储装置，并且可以在其中或其上存储各种数据、信息、阈值、查找表或其他数据结构和/或指令。在实施方式中，存储装置1366具有存储在其中或其上的用于软件、固件、程序、算法、脚本、应用等的信息和指令，所述信息和指令可以控制本文中所描述的方法的全部或部分。处理器或每个电子处理器1361可以访问存储装置1366，并且执行和/或使用该指令和信息或这些指令和信息来实现或执行本文中所描述的功能和方法中的一些或全部功能和方法。
139.所述至少一个存储装置1366可以包括可以包括用于存储机器或电子处理器/计算装置/计算机装置可读形式的信息的任何机制的计算机可读存储介质(例如，非暂态或非瞬态存储介质)，包括但不限于：磁存储介质(例如软盘)；光学存储介质(例如cd-rom)；磁光存储介质；只读存储器(rom)；随机存取存储器(ram)；可擦除可编程存储器(例如eprom或eeprom)；闪存；或者用于存储这样的信息/指令的电介质或其他类型的介质。
140.如上所述，应当理解，控制器或每个控制器1360可以包括具有一个或更多个电子处理器1361(例如微处理器、微控制器、专用集成电路(asic)等)的控制单元或计算装置，并且可以包括单个控制单元或计算装置，或者可替选地，控制器或每个控制器1360的不同功能可以体现或者托管在不同的控制单元或计算装置中。如本文中所使用的，术语“控制器”、“控制单元”或“计算装置”(或“计算机装置”)应被理解为包括单个控制器、控制单元或计算装置以及共同操作以提供所需要的控制功能的多个控制器、控制单元或计算装置。可以提供一组指令，所述指令在被执行时使控制器1360实现本文中所描述的控制技术(包括本文中所描述的方法所需要的功能中的一些或全部功能)。该组指令可以被嵌入控制器1360的所述一个或更多个电子处理器中；或者可替选地，该组指令可以作为要在控制器1360中执行的软件来提供。可以在一个或更多个处理器上运行的软件中实现第一控制器或控制单元。可以在一个或更多个处理器(可选地，与第一控制器或控制单元相同的一个或更多个处理器)上运行的软件中实现一个或更多个其他控制器或控制单元。其他布置也是有用的。
141.示例控制器1360已被描述为包括被配置成执行存储在至少一个存储装置1366内的电子指令的至少一个电子处理器1361，所述电子指令在被执行时使电子处理器1360执行如前文中所描述的方法。然而，可设想，本发明不限于借助于可编程处理装置来实现，并且可以同样地借助于不可编程硬件例如借助于不可编程asic、布尔逻辑电路等来实现本发明的功能和/或方法步骤中的至少一些功能和/或方法步骤以及在一些实施方式中的全部功能和/或方法步骤。
142.应当理解，在不脱离本技术的范围的情况下，可以对本发明进行各种改变和修改。

技术特征：
1.一种控制系统，包括一个或更多个控制器，所述控制系统被布置成响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，其中，所述控制系统被布置成执行重复验证循环，在所述重复验证循环中，所述控制系统被配置成：向所述远程装置发送验证请求信号；监听响应于所发送的验证请求信号而从所述远程装置发送的验证请求应答信号；在从所述远程装置接收到验证请求应答信号的情况下，将所述验证请求应答信号所包含的信息与预期验证请求应答信息进行比较；以及根据所述比较，响应于从所述远程装置接收到的运动控制信号来控制所述车辆的运动、或者向系统提供输入来控制所述车辆的运动。2.根据权利要求1所述的控制系统，其中，由所述控制系统发送的连续的验证请求信号各自包含如下信息，所述信息包括由所述系统生成的参数信息，所述参数信息是指示操作要使用的一个或更多个参数的信息，所述系统被配置成确定预期操作结果信息，所述预期操作结果信息是指示使用所述参数信息的预定义操作的结果的信息，所述系统还被配置成确定从所述远程装置接收到的所述验证请求应答信号所包含的信息是否包括与由所述控制系统确定的预期结果相对应的操作结果信息，其中，所述系统被配置成响应于从所述远程装置接收到的运动控制信号，根据接收到的操作结果信息与所述预期操作结果信息之间的对应关系来控制所述车辆的运动、或者向系统提供输入来控制所述车辆的运动。3.根据权利要求2所述的系统，其中，所述系统被配置成将所述预期操作结果信息与所述参数信息以及与所述参数信息和所述操作结果信息相关联的标识符信息一起存储在与所述控制系统相关联的存储器中，所述系统被配置成在所述验证请求信号中包括与所述验证请求信号所包含的所述参数信息相关联的所述标识符信息，其中，被配置成确定从所述远程装置接收到的所述验证请求应答信号所包含的信息是否包括与由所述控制系统确定的所述预期操作结果对应的操作结果信息的系统包括：被配置成将接收到的结果信息和存储的具有共同标识符信息的预期结果信息进行比较的系统。4.根据权利要求3所述的系统，其中，一旦已经接收到其中具有标识符信息的验证请求应答信号，并且所述系统已经将接收到的结果信息和存储的与该标识符信息相关联的预期结果信息进行了比较，则所述系统被配置成不将其他接收到的与该标识符信息相关联的预期结果信息进行比较，直到已经存储了具有同样标识符信息的新的预期结果信息；可选地，所述系统被配置成，其中，一旦已经接收到其中具有标识符信息的验证请求应答信号，并且所述系统已经将接收到的结果信息和对应的所存储的与该标识符信息相关联的预期结果信息进行了比较，则所述系统被配置成从存储器中删除该所存储的预期结果信息和对应的标识符信息。5.根据任一前述权利要求所述的系统，所述系统被配置成根据在规定时间段内所述系统接收到与预期验证请求应答信号不对应的验证请求应答信号的次数来防止所述车辆响应于从所述远程装置接收到的运动控制信号的运动。6.根据任一前述权利要求所述的系统，所述系统被配置成根据接收到连续的验证请求应答信号的顺序是否对应于发送对应的连续的验证请求信号的顺序来防止所述车辆响应于从所述远程装置接收到的运动控制信号的运动。
7.根据权利要求6所述的系统，所述系统被配置成根据在给定时间段内接收到连续的验证请求应答信号的顺序与发送对应的连续的验证请求信号的顺序不对应的次数来防止所述车辆响应于从所述远程装置接收到的运动控制信号的运动。8.根据任一前述权利要求所述的系统，所述系统被配置成针对接收到的数据实现循环冗余校验。9.一种借助于控制系统控制车辆运动的方法，所述方法包括响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，所述方法包括执行重复验证循环，所述方法包括：向所述远程装置发送验证请求信号；监听响应于所发送的验证请求信号而从所述远程装置发送的验证请求应答信号；在从所述远程装置接收到验证请求应答信号的情况下，将所述验证请求应答信号所包含的信息与预期验证请求应答信息进行比较；以及根据比较，响应于从所述远程装置接收到的运动控制信号来控制所述车辆的运动、或者向系统提供输入来控制所述车辆的运动。10.根据权利要求9所述的方法，包括根据所述预期验证请求应答信号的接收来防止响应于从所述远程计算装置接收到的运动控制信号的车辆移动。11.一种远程装置，其被配置成与控制系统通信，所述控制系统被布置成响应于从所述远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，其中，所述远程装置被配置成：监听由所述控制系统发送的验证请求信号；响应于接收到由所述控制系统发送的验证请求信号，向所述控制系统发送验证请求应答信号。12.根据权利要求11所述的远程装置，所述远程装置被配置成响应于接收到验证请求信号，使用包含在所述验证请求信号中的参数信息来执行预定义操作，所述装置被配置成响应于执行所述预定义操作发送所述验证请求应答信号，所述验证请求应答信号包含指示所述预定义操作的结果的信息以及包含在所述验证请求信号中的标识符信息。13.一种控制具有控制系统的车辆的运动的方法，所述方法包括借助于远程装置与控制系统通信，所述控制系统被布置成响应于从所述远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆的运动，所述方法包括：监听由所述控制系统发送至所述远程装置的验证请求信号；响应于接收到由所述控制系统发送的验证请求信号，向所述控制系统发送验证请求应答信号。14.根据权利要求13所述的方法，包括：在所述远程装置处，响应于由所述远程装置接收到所述验证请求信号，使用包含在所述验证请求信号中的参数信息执行预定义操作，所述方法包括响应于执行所述预定义操作，从所述远程装置向所述控制系统发送所述验证请求应答信号，所述验证请求应答信号包含指示所述预定义操作的结果的信息和包含在所述验证请求信号中的标识符信息。15.一种在其上存储有指令的非暂态计算机可读存储介质，所述指令在由一个或更多个电子处理器执行时，使所述一个或更多个电子处理器执行权利要求9至权利要求14中任一项所述的方法。

技术总结
本发明的各方面涉及一种包括一个或更多个控制器(121)的控制系统(1300)，控制系统(1300)被布置成响应于从远程装置接收到的运动控制信号来控制、或者向系统提供输入来控制机动车辆(1000)的运动，其中，控制系统(1300)被布置成执行重复验证循环，在重复验证循环中，控制系统(1300)被配置成：向远程装置(1900)发送验证请求信号；监听响应于发送的验证请求信号而从远程装置(1900)发送的验证请求应答信号；在从远程装置(1900)接收到验证请求应答信号的情况下，将验证请求应答信号与预期验证请求应答信号进行比较；以及根据接收到与预期验证请求应答信号相对应的验证请求应答信号，响应于从远程装置(1900)接收到的运动控制信号来控制、或者向系统提供输入来控制车辆(1000)的运动。辆(1000)的运动。辆(1000)的运动。


技术研发人员：吉特什
受保护的技术使用者：捷豹路虎有限公司
技术研发日：2022.02.18
技术公布日：2023/10/7