[go: up one dir, main page]

EP4323978A1 - Datenerfassung im fahrzeug - Google Patents

Datenerfassung im fahrzeug

Info

Publication number
EP4323978A1
EP4323978A1 EP22718042.9A EP22718042A EP4323978A1 EP 4323978 A1 EP4323978 A1 EP 4323978A1 EP 22718042 A EP22718042 A EP 22718042A EP 4323978 A1 EP4323978 A1 EP 4323978A1
Authority
EP
European Patent Office
Prior art keywords
vehicle
data
vehicle data
processing
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP22718042.9A
Other languages
English (en)
French (fr)
Inventor
Peter Priller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AVL List GmbH
Original Assignee
AVL List GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVL List GmbH filed Critical AVL List GmbH
Publication of EP4323978A1 publication Critical patent/EP4323978A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/02Registering or indicating driving, working, idle, or waiting time only
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • G08G1/0104Measuring and analyzing of parameters relative to traffic conditions
    • G08G1/0125Traffic data processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Definitions

  • Method for data acquisition in a vehicle consisting of at least one data acquisition unit and at least one processing unit, wherein the at least one data acquisition unit records at least one vehicle data set that is characterized by at least one protected data set.
  • Autonomous driving is understood to mean a quasi “autopilot system” which can, for example, carry out steering, turn signal, acceleration and braking maneuvers along and across the lane without human intervention. While such autopilot systems have already been implemented in industry in limited areas (plant premises), use by the general public is still a long way off, partly because complex ethical issues stand in the way of their introduction. There is a desire for better data collection in order to be able to develop better and safer systems.
  • ADAS driver assistance systems
  • RDE real driving emissions
  • data for various vehicle parameters e.g. engine power, speed, torque, acceleration, position, battery voltage for (partially) electric drive trains, emission values, etc.
  • vehicle parameters e.g. engine power, speed, torque, acceleration, position, battery voltage for (partially) electric drive trains, emission values, etc.
  • the data is either collected and stored in the vehicle and evaluated after the test drive (offline test drive), or sent directly to a test center and evaluated there (online test drive).
  • personal data is information about an identified or identifiable person.
  • the primary goal of data acquisition in the vehicle is only vehicle data and no personal data to capture data.
  • the current position of the vehicle is also the position of the driver and occupants.
  • the actions or characteristics of the driver can also be read from vehicle data (for example, attention, emotions, the influence of certain substances on the driver, etc. can be deduced from acceleration and braking behavior).
  • Vehicles with driver assistance systems are sometimes equipped with sensors whose task it is to recognize and categorize other road users, for example pedestrians, in the vicinity of the vehicle and their intention. This results in "indirect" personal data (data on the driver, front passenger, pedestrians in the vicinity of the vehicle). For example, information results from the behavior of the driver and other road users, but also from position data, and therefore requires special protection.
  • protected data in particular personal data
  • a speed curve over time and a path curve over time can be determined by integration over time.
  • assumptions about the starting points of the journey can be made (starting conditions).
  • traffic data at that time and the calculated speed profile possible paths can be determined (e.g. braking before a tight bend, waiting when turning with oncoming traffic or at traffic lights, stopping briefly at the stop sign, etc.) and ranked according to probability .
  • the sequence of specific whereabouts of the vehicle can be derived from this every (measurement) time, whereby the protected data (position of a person, length of stay) would be compromised.
  • ADAS ADAS
  • ADAS Advanced Driver Assistance Systems
  • the data collected is not stored or transmitted. Additional measurement systems for observing vehicle behavior can be used, for example, during development to optimize or analyze errors in the ADAS or AD.
  • this data should not be deleted immediately after use for the driving function, but should be saved/transmitted in order to be able to analyze the function afterwards.
  • Encrypting the protected data would be one way of protecting it from unauthorized access, at least during transmission and processing. However, the data to be protected is retained, which means that subsequent (after decrypting the data) conclusions about protected data, especially personal data, are still possible.
  • DE 102006043363 A1 discloses a data acquisition where the acquired data is divided into two groups. One group has personal data, the other does not. The personal group is checked and removed by an intermediary. The second group is not critical by assumption and can be processed. However, this approach requires that the collected data can actually be divided into these two groups. In practice, however, this is usually not possible.
  • Data recorded during a trip with a vehicle is usually characterized by protected data, such as personally assignable characteristics of the driver, location of the trip, and so on.
  • protected data such as personally assignable characteristics of the driver, location of the trip, and so on.
  • the driver type e.g. conservative, sporty, aggressive
  • the acceleration profile of the vehicle and thus the engine performance over time just as the topology of the road (road slope, curves, etc.) or the vehicle load (mass) influences the engine performance over time .
  • Engine power recorded while driving cannot simply be regarded as uncritical information because it is characterized by protected data and conclusions about personal data can be drawn from it to a certain extent.
  • the object in question is achieved in that the at least one vehicle data record is preprocessed in the at least one processing unit, with the preprocessing carrying out the following steps taking into account a predetermined degree of anonymity, namely loading the at least one vehicle data record into the preprocessing, applying at least one method the at least one vehicle data set, in order to change the at least one vehicle data set, analysis of whether the changed vehicle data set satisfies the degree of anonymity, and saving the at least one changed vehicle data set that meets the degree of anonymity as at least one secured vehicle data set, in order to draw an indirect conclusion about at least prevent a protected record.
  • a predetermined degree of anonymity namely loading the at least one vehicle data record into the preprocessing
  • applying at least one method the at least one vehicle data set in order to change the at least one vehicle data set, analysis of whether the changed vehicle data set satisfies the degree of anonymity
  • saving the at least one changed vehicle data set that meets the degree of anonymity as at least one secured vehicle data set, in order to draw an indirect
  • vehicle data are collected during a test drive with a vehicle.
  • This vehicle data can have different qualities, e.g. performance data from an engine, visual data from a video camera, exhaust gas data from an emissions analysis unit, position data from a GPS sensor, data entered personally by the driver, etc.
  • Vehicle data that are relevant to a certain measurement campaign are preferably selected during a test drive.
  • Preferred vehicle data would then be nitrogen oxide content, aerosol particles, engine power and engine temperature.
  • the data acquisition units are then attached, for example, to different locations, e.g. on the engine and along the exhaust system. Cameras on the vehicle roof or GPS position determination can also be data acquisition units.
  • This vehicle data is recorded during the test drive.
  • Such vehicle data can be, for example, from a running variable such as time, geo-position, engine speed, speed and the like. All running variables that the specialist needs for the evaluation can be used to index vehicle data sets.
  • Test drives for data recording are preferably carried out with test vehicles, most preferably with pre-installed data acquisition modules.
  • Test cars are preferably parked in a company car park that carries out the tests and are driven by trained personnel. For example, there are usually test drives with the same start and end point and with a limited number of drivers.
  • standard vehicles from current production can also be used be instrumented, e.g. for vehicle fleets (delivery vehicles, taxis,
  • test vehicles interact with other road users, such as other vehicles or pedestrians.
  • Various interactions with the test vehicle characterize the recorded vehicle data of the data acquisition. For example, it is possible to draw conclusions about license plates from other road users or the identity of passers-by using vehicle data from a video camera or from a GPS position determination.
  • a processing unit is integrated in the vehicle, which has pre-processing that converts vehicle data recorded during the test drive into secure vehicle data by means of at least one data acquisition unit, so that no indirect conclusions can be drawn about the protected data.
  • the pre-processing is carried out by specifying the probability, a degree of anonymity, of being able to identify protected data.
  • Definitions for the degree of anonymity are given in relevant publications such as “Diaz, C., Seys, S., Claessens, J., & Preneel, B. (2002, April). Towards measuring anonymity. In International Workshop on Privacy Enhancing Technologies (pp. 54-68). Springer, Berlin, Heidelberg” or “Edman, M., Sivrikaya, F., & Yener, B. (2007, May). A combinatorial approach to measuring anonymity. In 2007 IEEE Intelligence and Security Informatics (pp. 356-363). IEEE”. If a vehicle data record meets a predetermined level of anonymity, it is stored as a secure vehicle data record and can be sent for further processing if required. Preferably, once stored as a secured vehicle set, the protected data is inaccessible.
  • the degree of anonymity can also be linked to a cost factor and contain a categorization.
  • a cost factor describes the effort involved in accessing protected data.
  • Such a categorization is specified by the user and describes the risk that protected data can be accessed.
  • the value of the degree of anonymity can be adjusted, and thus the extent of the change in the vehicle data in the pre-processing can be adjusted. With a low risk, a vehicle data set can be changed only slightly and saved as a secured vehicle data set and thus be very close to the original vehicle data set.
  • the pre-processing models the impact of the protected data. This can be done using a correlation function, which a Describes embossing of the unembossed vehicle data record using protected data, and merges into a vehicle data record.
  • the embossing of different vehicle data sets can be mapped using different correlation functions. If a vehicle data set is not characterized by protected data, it can be saved directly as a secured vehicle data set, for example.
  • a vehicle data set can also be characterized by a number of protected data, which can be represented by a correlation function or by a number of correlation functions.
  • a context can also be used in order to be able to change a preprocessing model depending on the vehicle environment.
  • the context is preferably generated via a data acquisition unit, which forwards environmental influences to the preprocessing.
  • Such influences can be, for example, traffic volume, weather conditions, street sales, engine performance indicators and the like.
  • the pre-processing can then react to this context and, for example, select which methods are used and with what strength.
  • this secured vehicle data is stored in the vehicle and later read out at the evaluation location. Most preferably, however, the secured vehicle data is transmitted online to the evaluation location in order to be able to analyze the test drive and the test results directly in an evaluation unit.
  • the test drive can preferably be completed if there is enough data or extended if there is insufficient data.
  • the pre-processing is preferably carried out using microprocessor-based hardware on which the data processing software runs, for example a computer or a memory-programmable data processor.
  • microprocessor-based hardware on which the data processing software runs, for example a computer or a memory-programmable data processor.
  • IC integrated circuit
  • ASIC application-specific integrated circuit
  • FPGA field programmable gate array
  • the preprocessing uses methods such as normalization, resolution reduction, anonymization, dereferencing or overlaying from a method library.
  • the methods can be applied permanently to a vehicle data set, but methods can also be applied depending on the preprocessing model. Then it can be that methods are applied in parallel or sequentially, or in combinations thereof.
  • the application of the methods can also depend on correlation functions and the context. Preferably, the methods are applied to the extent that a specified degree of anonymity is just met.
  • new, alternative or additional methods can also be loaded into the preprocessing as required.
  • adding new, alternative, or additional methods may be on a subscription basis. Such forms can work on a subscription basis, for example. This allows new methods to be added via regular software updates, or during routine inspection in a workshop. This may be necessary if new developments enable access to protected data that was previously not possible.
  • FIGS. 1 to 5 show advantageous configurations of the invention by way of example, schematically and not restrictively. while showing
  • FIG. 1 shows a possible arrangement 1 for a measurement campaign with a vehicle 2 according to the present invention.
  • At least one data acquisition unit 3 and at least one processing unit 4, which are used for a measurement campaign, are located in or on the vehicle 2.
  • a measurement campaign describes a test drive (also in the sense of several test drives, also over a longer period of time) with the vehicle data 10 determined in the vehicle 2 in order to successfully complete this campaign.
  • a data acquisition unit 3 can be any measurement sensor that measures or acquires a specific variable.
  • a data acquisition unit 3 can also acquire data from a control device permanently installed in the vehicle.
  • Such control units work according to the EVA principle (input - processing - output), with a physical parameter such. B. speed, pressure, temperature, etc. is measured and this value is compared with a setpoint entered or calculated in the control unit. If the measured value does not match the stored value, the control unit adjusts the physical process using actuators so that the measured actual values match the target values again. The actors thus intervene to correct an ongoing process.
  • control units in the vehicle are, for example, an engine control unit, a transmission control unit, a battery management system or a hybrid control unit.
  • Whose Input signals come from permanently installed sensors such as speed, torque, temperature, pressure, voltage, current sensors, etc.
  • the control units control actuators in the vehicle, such as injection pumps, intake valves, drive batteries, accelerator controls, etc.
  • such control devices are connected to one another throughout the system by means of system buses.
  • such a data acquisition unit 3 can also be a GPS position detector, an exhaust gas measurement unit, an area camera, a temperature sensor, an air humidity measurement unit, etc.
  • the invention is not limited to these exemplary measurement sensors.
  • Different data acquisition units 3 in different designs can be installed in a vehicle, which the person skilled in the art could need for the data evaluations.
  • the data acquisition units 3 can be installed as standard on the vehicle 2, but can also be arranged specifically for carrying out the measurement campaign on the vehicle 2 (e.g. emission measurement technology).
  • the at least one data acquisition unit 3 generates vehicle data 10 in the form of at least one vehicle data set 10a.
  • Vehicle data set 10a is understood to be the course of a detected quantity x n* of data acquisition unit 3 in a predetermined interval, in particular during the test drive or part of the test drive.
  • the detected variable x n* is preferably digitized for further use, such as processing or storage.
  • the course of a detected quantity x n* is understood to be a sequence of consecutive measurements or data packets.
  • Vehicle data 10 is understood to mean all of the individual vehicle data sets 10a that are recorded when the test drive is carried out for the measurement campaign. Vehicle data sets 10a can, for example, be individual recorded profiles of a data acquisition unit 3 .
  • vehicle data records 10a can also be created by a data acquisition unit 3 .
  • vehicle data records 10a are preferably recorded as a function of a running variable k, as currently (x n (t)), or as a function of the position (e.g. geocoordinates (longitude, latitude, height) x n (x,y,z) or distance x n (s)), recorded.
  • Vehicle data records 10a can be data that describe the vehicle condition and are recorded with known measuring sensors or control units, such as position, speed (also in space), acceleration (also in space), engine power, engine speed, engine torque, engine temperature, coolant temperature, wheel speed, tire slip etc., but also data that describes the surroundings of the vehicle 2, such as data recorded by means of radar, LIDAR, a camera, an infrared sensor.
  • known measuring sensors or control units such as position, speed (also in space), acceleration (also in space), engine power, engine speed, engine torque, engine temperature, coolant temperature, wheel speed, tire slip etc.
  • data that describes the surroundings of the vehicle 2 such as data recorded by means of radar, LIDAR, a camera, an infrared sensor.
  • vehicle data records 10a can also be data obtained from other data sources, for example road data from digital road maps (eg topology of the road) or weather data from digital weather services, or Information transmitted from other vehicles via vehicle-to-vehicle communication (e.g., vehicle-to-vehicle communication (C2C), or a combination of vehicle-to-vehicle and vehicle-to-infrastructure communication (V2X)).
  • vehicle-to-vehicle communication e.g., vehicle-to-vehicle communication (C2C), or a combination of vehicle-to-vehicle and vehicle-to-infrastructure communication (V2X)
  • Data that is manually entered or triggered by the driver or a passenger while driving, such as activating/deactivating a function in the vehicle, can also be vehicle data records 10a.
  • the present invention also includes at least one processing unit 4 which is also provided on or in the vehicle 2 .
  • the processing unit 4 receives the vehicle data 10 continuously recorded with the at least one data recording unit 3 while driving the vehicle 2.
  • a data recording unit 3 can transmit the recorded vehicle data 10 directly to the processing unit 4, for example via suitable wiring or wirelessly.
  • the processing unit 4 consists of at least one pre-processing 17 (FIGS. 2 and 3).
  • the processing unit 4 can also include a memory unit 11 in which data can be stored.
  • the memory unit 11 can also be arranged externally and connected to the processing unit 4 with a suitable data connection.
  • Protected data 8 describes at least one protected data set 8a, which is to be seen as critical and should not be passed on, for example personal data within the meaning of the GDPR.
  • Protected data 8 is in particular data that should only be accessible to a specific person or that should remain completely anonymous. This includes, for example, personal data such as the identity of the driver or the passenger, an address of the starting point and data from third parties that interact with the vehicle 2 during the test drive.
  • Such critical data can be recorded during the test drive by a data acquisition unit 3 (can also be a vehicle data record 10a), but can also be entered or specified for a test drive, for example data on the driver, on the vehicle 2, route, etc.
  • protected data 8 has an influence on vehicle data 10, as illustrated and explained with reference to FIG.
  • the driver's driving style can affect speed, acceleration, stops, etc.
  • a specific vehicle data set 10a can therefore be different for different drivers on the same route.
  • Traffic volume such as traffic jams, or the position in urban or rural areas, or other road users influence the journey and the driving style of the driver and have an impact on the vehicle data 10.
  • This influence of the protected data 8 on vehicle data 10 is referred to as "imprint".
  • a vehicle data record 10a can therefore be influenced by an embossing. In one arrangement, therefore, an unembossed vehicle record 9a containing a size xn is affected by the embossing and made into the vehicle record 10a recorded by the data acquisition unit 3.
  • Unembossed vehicle data 9 contains at least one unembossed vehicle data set 9a.
  • Unembossed vehicle data records 9a cannot be accessed directly, because these are only merged into vehicle data records 10a through embossing and are recorded as vehicle data records 10a.
  • data such as driver, passenger, position data characterize the vehicle data 10, but these can also be shaped by third parties (e.g. other road users) and environmental factors (rain, rapid fall).
  • third parties e.g. other road users
  • environmental factors rain, rapid fall.
  • an acceleration over time when driving along a certain route will depend on the vehicle type and the payload, the driving behavior of the driver, the environment (e.g. pedestrians), the time of the journey, etc.
  • a time profile of an acceleration will also depend on the route itself.
  • the influence of the embossing on a vehicle data record 10a can be described, for example, using at least one correlation function C (FIG. 2).
  • the correlation function C describes how protected data 8 shapes the unembossed vehicle data record 9a and merges into a vehicle data record 10a.
  • the correlation function C is dependent on the protected data 8 and is, for example, a known function which describes the influence of protected data 8 on vehicle data 10 .
  • the correlation functions C for different unembossed vehicle data sets 9a and/or protected data 8 are generally not the same since different unembossed vehicle data sets 9a can be embossed differently with protected data 8 .
  • a correlation function C can be known from the literature, for example, or it can have been determined via a series of tests.
  • the correlation function C can be dependent on the number of vehicle data sets 10a generated. For example, with repeated driving by an identical driver, the acceleration profile can always be similar or even the same. A larger quantity of the same vehicle data records 10a therefore makes it more and more likely that the driver will be identified. Such a correlation function C can therefore be used to describe and possibly also weight the influence of the embossing on the vehicle data 10a.
  • Every protected data record 8a has to have a correlation function C with every vehicle data record 10a.
  • the driver's behavior can influence acceleration and engine power, but not the outside temperature or humidity.
  • the selected route can, for example, the environmental conditions experienced as a result, such as thunderstorms, snowfall and therefore has an influence on temperature and humidity data.
  • the vehicle data 10 recorded with a data acquisition unit 3 allow an indirect conclusion to be drawn about the protected data 8 due to this embossing. If, for example, you have an acceleration profile as a function of time t as a vehicle data record 10a, a route covered and thus a theoretical position relative to the start can be calculated by means of double integration be determined. With knowledge of the possible starting point, which can be given from obvious consideration, the route could be recalculated.
  • the vehicle data 10 could also be used to draw conclusions about a driver's driving style, which ultimately makes it possible to draw conclusions about the identity and other characteristics of the driver.
  • the pre-processing 17 contained in the processing unit 4 is used to change the vehicle data 10 before it is forwarded to the evaluation unit 5 in such a way that it is unlikely, or even impossible, to draw conclusions about the protected data 8 based on the vehicle data 10 .
  • the specification of the probability of a possible conclusion is described using a degree of anonymity 14 ("Degree of Anonymity" - DoA) (Fig. 3).
  • this degree of anonymity 14 can be in the form of a known k-anonymity.
  • the degree of anonymity 14 is a parameter that represents the conclusion of protected data 8 and is specified for the pre-processing 17 of the vehicle data 10, for example by a user and is therefore known.
  • One way of quantifying the degree of anonymity 14 is the probability p that a specific person can be identified (via the protected data 8) in the secured vehicle data 12 .
  • Another possible quantification consists of specifying the smallest possible group of N people for whom an allocation of the protected data is equally likely.
  • N 100.
  • a vehicle data record 10a would have to be changed by the preprocessing 17 in this way that at least one resulting secured vehicle data record 12a is created.
  • the degree of anonymity 14 can also be tied to a cost factor which describes the effort required to determine a specific protected data record 8a from a resulting secured vehicle data record 12a.
  • This effort can be calculated or estimated via computing power, time required and manpower in the event of an attack.
  • the attack can be assigned a categorization (level of security), such as “low”, “medium”, “high”. "Low” would represent very little effort, as before in computing power, time effort, while "high” characterizes a very high effort.
  • Different degrees of anonymity 14 can also be used for different unembossed vehicle data 9 .
  • categorizations can be made by the user for protected data 8 and are dependent, for example, on the type of protected data 8. Since an attack can never be completely ruled out, this categorization can only ever be used to minimize risk. Based on the categorizations, a probability can be assigned to risk minimization that an attacker will create access to protected data 8 . For example, it may be required that the probability of being able to draw conclusions about a specific person for a categorization of “high” based on a vehicle data record 10a should be less than 1% with the same probability. The value of the anonymity level 14 would then amount to a probability value of more than 99%, as already calculated above.
  • the secured vehicle data set 12a then contains a changed variable y n resulting from a detected variable x n * by the pre-processing 17 , which corresponds to the specification of the degree of anonymity 14 .
  • the degree of anonymity 14 can be set by the user, for example by the driver himself or a development engineer.
  • the degree of anonymity 14 should be selected in such a way that the information content of the data is reduced as little as possible or no more than is necessary. If the degree of anonymity 14 is set too high by the user, the secured vehicle data 12 may also be unusable for a legitimate user. For example, precise information about driving behavior (acceleration, driving style) is required for an RDE test drive, but this would be changed if the level of anonymity 14 was high, so that it could not be assigned to a specific driver.
  • the integrity of the vehicle data 10a on the exhaust gas composition in a measurement campaign for RDE is preferably more important for the legitimate user than the GPS geo-coordinates, for example, in the same measurement campaign.
  • the degree of anonymity 14 in this measurement campaign for the vehicle data set 10a “GPS geo-coordinates” can be selected to be significantly higher than for the exhaust gas composition.
  • the pre-processing 17 can use different methods 16 for data processing. For example, methods 16 that are frequently used in the pre-processing, such as normalization, anonymization, superimposition, reduction of the resolution, etc., can take place. Normalization means the mapping of the absolute values of a quantity x n* of a vehicle data set 10a to values between 0 and 1 (or -1 and +1). This can be done by dividing all values by the maximum value of the values. This is a suitable method for processing speed data or acceleration data, for example. For example, integration of the acceleration makes it difficult to draw conclusions about the route of the test drive if the maximum value or reference value is not known.
  • a reduction in resolution can also be applied.
  • locality codes of places driven through are reduced from 5 digits to 2 digits during a test drive.
  • Test drivers for example, are not stored with their names, but are simply abstracted as "male” or "female".
  • Such masking is also used, for example, in digital road maps.
  • the least significant bits of object coordinates are set to zero, for example, and this results in the digital road map becoming “pixelated”. If, for example, GPS data is reduced in resolution in this way, the accuracy of the recorded GPS position is reduced.
  • Such methods are also often referred to as "microaggregation".
  • “Anonymization” personal data is removed or replaced with non-assignable data.
  • the attention assistant can be mentioned, which is implemented in some vehicles with the help of a video camera facing the driver in order to monitor the driver's pupil activity.
  • This video data is usually deleted immediately after evaluation; but might be required for development or debugging in a later analysis.
  • this vehicle data (10a) could contain biometric personal characteristics (e.g. eye color and iris pattern). Although these are also recorded by the camera, they are not absolutely necessary for recognizing attention by monitoring pupil activity.
  • one method 16 would be to replace the actual eye color with a randomly chosen one (anonymization).
  • a further method 16 could superimpose image noise on the area of the iris in the image, and thus make it difficult or impossible to assign it precisely.
  • the pre-processing 17 uses at least one method 16, which is in the Preprocessing 17 is used, and is selected depending on the vehicle data set 10a. However, it is of course possible for a number of methods 16 to be applied to a vehicle data record 10a. The selection of the suitable or required methods 16 can, for example, be specified by the user for a specific measurement campaign or be automated by the pre-processing 17 .
  • a method 16 preferably changes a vehicle data record 10a to at least one secured vehicle data record 12a. Most preferably, the vehicle data set 10a is analyzed by a pre-processor 17 and only changed if protected data 8 can be inferred.
  • a method 16 can process a vehicle data record 10a independently of a running variable k, such as time or geo-coordinates.
  • a running variable k such as time or geo-coordinates.
  • the same method 16 is permanently applied to a vehicle data set 10a and generates a secured vehicle data set 12a.
  • the method 16 can remain unchanged and can always be applied in the same way to a vehicle data record 10a.
  • the pre-processing 17 contains a sequence as shown in FIG.
  • a pre-processing 17 is preferably a software-implemented solution that works, for example, according to the flow chart in FIG.
  • routine S has started, a vehicle data record 10a is analyzed by preprocessing 17 . If the vehicle data record 10a corresponds to the predefined degree of anonymity 14 (yes), it is stored as a secured vehicle data record 12a, for example in the storage unit 11, and the pre-processing is ended (work step E). A secured vehicle data record 12 can then be transmitted to an evaluation unit 5 for further processing. If the vehicle data record 10a does not correspond to the degree of anonymity 14 (no), this is changed using a first method 16 (step A).
  • modified vehicle data set 10a' This creates a modified vehicle data set 10a'. If the modified vehicle data set 10a′ corresponds to the anonymity level 14, it is stored as a secured vehicle data set 12a and the pre-processing 17 is ended (work step E). If they do not correspond, preprocessing 17 can choose whether to select original vehicle data set 10a or changed vehicle data set 10a′ as input for a second method 16 (work step B). This can depend on the methods 16 used and/or can be specified by the user. If, after using the second method 16, the degree of anonymity 14 is fulfilled (yes), the changed vehicle data record 10a′ is saved again as a secured vehicle data record 12a. This loop can be repeated using various methods 16 until the degree of anonymity 14 is met. Fig. 4 identifies this loop with work step X.
  • a vehicle data set 10a could also be discarded if the degree of anonymity 14 cannot be met after a predetermined number of methods 16 .
  • the methods 16 to be used and also their sequence can be specified in advance (for example by configuration by a user) or specified.
  • the above sequence for a vehicle data set 10a is repeated at regular intervals as a function of the running variable k, for example as a function of time.
  • the degree of anonymity 14 is not met.
  • correlation functions C can also flow into the pre-processing 17, or also the context 13 (FIG. 1).
  • the context 13 describes the surroundings of the vehicle 2, which can be recorded using various data acquisition units 3.
  • correlation functions C and context 13 can influence the selection of methods 16; in a highly preferred embodiment, correlation functions C and context 13 can also influence the effect of an individual method 16. For example, this method 16 can be applied to a vehicle data record 10a to different extents, and can bring about a different reduction in the resolution in a vehicle data record 10a, for example.
  • the pre-processing 17 can function in such a way that when there is low traffic volume, measured by the context 13 using GPS geo-coordinates, a method 16 is applied which greatly reduces the resolution of the position of the vehicle 2 in order to meet a degree of anonymity 14 . If there is a high volume of traffic, the pre-processing 17 can only reduce the resolution slightly using the method 16 or can even continue with the original vehicle data set 10a and immediately generate a secured vehicle data set 12a which satisfies the predetermined degree of anonymity 14 .
  • the context 13 could, for example, control the application of the method 16 (high reduction, low reduction, no reduction at all) in the example above by transmitting the GPS geo-coordinates, and thus be integrated into the pre-processing 17 .
  • correlation functions C and context 13 can also influence the degree of anonymity 14 and thus influence the application of methods 16 in preprocessing 17 indirectly.
  • the sum of all methods 16, which are used in the preprocessing 17, is called the method library 15.
  • the methods 16 are selected individually from the method library 15 for each vehicle data set 10a according to the user's specifications.
  • the preprocessing 17 independently select the methods 16 from the method library 15 in order to obtain a secured vehicle data set 12a.
  • Methods 16 can be used sequentially as shown in FIG. 4, but parallel use of methods 16 would also be conceivable.
  • a method library 15 can consist of a number of pre-stored methods 16, which have been described above. The user can also feed new methods 16 into the method library in order to ensure the security of the protected data 8 .
  • the protected data 8 can be detected, for example, by new types of attacks and analysis methods can be determined from the secured vehicle data 12, or new measurement methods in the vehicle 2 require new methods 16a to ensure the security of the protected data 8.
  • the method library 15 updated on a subscription basis at regular time intervals and new methods 16a fed in.
  • New methods 16a can, for example, only be in development and can be based on methods 16 or follow a completely different approach.
  • New methods 16a can preferably be developed via “big data” analysis of test drives that the vehicle 2 has carried out.
  • Such an update can be timely via wireless transmission protocols such as short-range communication protocols such as Bluetooth, or via long-distance communication protocols such as 4G and 5G. In a preferred embodiment, however, an update can also be loaded when the vehicle 2 is scheduled to be in the workshop via a vehicle bus or local communication protocols such as Bluetooth.
  • the pre-processing 17 uses methods 16 to generate secured vehicle data 12 with at least one secured vehicle data set 12a (yi(t) to y n (t)). These secured vehicle data 12 are only stored or sent in the vehicle 2 after pre-processing 17 . Vehicle data 10 are therefore not stored. It is not possible to access vehicle data 10 and protected data 8.
  • the saved vehicle data 12 can be read out afterwards at the location of a data evaluation 6 . This reading can preferably take place with a cable via a plug connection for data transfer, but it can also be read out wirelessly, such as via WLAN or Bluetooth.
  • the saved vehicle data 12 can be added to an evaluation unit 5 .
  • the secured vehicle data 12 can also be sent during the test drive via a transmission unit using a transmission protocol such as 5G (as indicated in Figure 1 with the transmission mast 7) and can then be fed directly (online) to an evaluation unit 5 at the evaluation location 6.
  • the saved vehicle data 12 can preferably also be read out in the vehicle 2 after processing.
  • the functioning of the preprocessing 17 in the processing unit 4 is described demonstratively but not conclusively.
  • a vehicle 2 makes a test drive in a rural area 19 with few other road users 18;
  • the vehicle position is also recorded cyclically via GPS, for example at 10 Hz, and recorded as a vehicle data record 10a.
  • Vehicle data 10 are characterized by the driver and the road network and other road users 18, for example by the driver's driving style, which characterizes the course of the position data over time.
  • the vehicle speed can be determined from a time series of the vehicle position data and, for example, compliance with applicable traffic regulations can be checked. Deriving it again gives the vehicle acceleration, which can be used to estimate the driving style (e.g. braking before crossings or curves, etc.).
  • the position data of the vehicle 2 are identical to the position data of the driver while driving.
  • the driver of the vehicle 2 can be identified and the determined vehicle data 10 of driving behavior can thus be assigned as personal data.
  • Individual position measurements of the driver's smartphone which are available to the operator of the radio network, or position data that various applications on the smartphone record, for example, can be used as such a third data source. If one or more measurements of (position, time) from the smartphone can be found by checking that the location and time match measurement points in the time series of the vehicle data 10a of the vehicle, then a dependency can be inferred. This means that the high-resolution time series of the vehicle's position data can be assigned to a person, as can the findings derived from it (driving style, observance of traffic rules, behavior towards other road users, etc.)
  • the position data can also be recorded as a relative position to an (undisclosed) starting point. This means that speed and acceleration can be calculated precisely, but assignment to a specific traffic area and determination of driving behavior is difficult if not impossible. In addition, a comparison with a third data source, as described above, is also more difficult.
  • variant a The effectiveness of variant a) is therefore dependent on the current position or the given density of roads and other road users (context 13) as well as available position data from smartphones. If few road users 18 are in the vicinity, the resolution is greatly reduced. The diameter d is therefore chosen to be large, which corresponds to a test drive in a rural area 19 . The vehicle data record 12a secured by the pre-processing 17 now allows neither the driver nor the vehicle to be inferred. In contrast, during a test drive of a vehicle 2 in an urban area 20, the resolution reduction method can turn out to be small. The radius d is selected to be small because there are many other road users 18 in the vicinity and the given degree of anonymity 14 can therefore be met with a small degree of uncertainty in the position determination.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Chemical & Material Sciences (AREA)
  • Analytical Chemistry (AREA)
  • Traffic Control Systems (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

Ein Verfahren zur Datenerfassung in einem Fahrzeug (2) bestehend aus zumindest einer Datenerfassungseinheit (3) und zumindest einer Verarbeitungseinheit (4), wobei die zumindest eine Datenerfassungseinheit (3) zumindest einen Fahrzeugdatensatz (10a) aufzeichnet, der von zumindest einem geschützten Fahrzeugdatensatz (8a) geprägt wird. Die Fahrzeugdaten (10) werden auf Basis eines Anonymitätsgrads (14) in einer Verarbeitungseinheit (4) über eine Vorverarbeitung (17) verändert und als gesicherte Fahrzeugdaten (12) abgespeichert, sodass kein Rückschluss auf die geschützten Fahrzeugdaten (8) möglich ist.

Description

Datenerfassung im Fahrzeug
Verfahren zur Datenerfassung in einem Fahrzeug bestehend aus zumindest einer Datenerfassungseinheit und zumindest einer Verarbeitungseinheit, wobei die zumindest eine Datenerfassungseinheit zumindest einen Fahrzeugdatensatz aufzeichnet, der von zumindest einem geschützten Datensatz geprägt wird.
In den letzten Jahren wird der Bedarf nach Datenerfassung in Fahrzeugen immer höher. Das ist zumal durch den Wunsch nach autonomen bzw. automatisierten Fahren - „autonomous driving“ (AD) - begünstigt. Unter autonomen Fahren versteht man ein quasi „Autopilot- System“, welches beispielsweise Lenk-, Blink-, Beschleunigungs- und Bremsmanöver längs und quer der Fahrspur ohne menschliches Eingreifen durchführen kann. Während solche Autopilot-Systeme in der Industrie in begrenzten Bereichen (Werksgelände) schon durchaus realisiert sind, ist der Einsatz in der breiten Öffentlichkeit noch entfernt, unter anderem weil komplexe ethische Fragen der Einführung im Wege stehen. Es besteht dahingehend der Wunsch nach besserer Datenerfassung, um bessere und sicherere Systeme entwickeln zu können.
Datenerfassung in Fahrzeugen ist aber nicht nur für die Entwicklung und Verbesserung von Fahrerassistenzsystemen (ADAS) bzw. autonomen Fahren von höchster Wichtigkeit. Beispielsweise besteht in der Fahrzeugentwicklung, -Optimierung, -Verifizierung, -Validierung, und -Zertifizierung der Bedarf, verschiedenste Komponenten und Systeme des Fahrzeuges unter realen Fahrbedingungen zu testen. Hierfür wird das Fahrzeug im realen Straßenverkehr bewegt und dabei werden benötigte Daten erfasst. Speziell die Emissionen im Realbetrieb - „real driving emission“ (RDE) - sind aufgrund strengerer gesetzlicher Vorgaben zu ermitteln.
Bei der Datenerfassung in Fahrzeugen werden Daten für verschiedene Fahrzeugparameter, z.B. Motorleistung, Drehzahl, Drehmoment, Beschleunigung, Position, Batteriespannung bei (teil)elektrischen Antriebssträngen, Emissionswerte etc., im Testfahrzeug aufgezeichnet, um später ausgewertet zu werden. Die Daten werden entweder im Fahrzeug gesammelt und gespeichert und nach der Testfahrt ausgewertet (offline Testfahrt), oder unmittelbar an eine Testzentrale übertragen und dort ausgewertet (online Testfahrt).
Bei der Datenerfassung in Fahrzeugen sind vor allem personenbezogene Daten problematisch, beispielsweise aufgrund der Datenschutzgrundverordnung (DSGVO) der EU, nach der personenbezogene Daten nur in einer Weise verarbeitet werden dürfen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung. Per Definition sind personenbezogene Daten Angaben über eine bestimmte oder eine bestimmbare Person. Die Datenerfassung im Fahrzeug hat primär das Ziel, nur Daten des Fahrzeugs und keine personenbezogenen Daten zu erfassen. Allerdings entsteht in bestimmten Fällen zwangsläufig auch eine ungewollte Zuordenbarkeit der Daten zu Personen, beispielsweise ist die aktuelle Position des Fahrzeugs gleichzeitig auch die Position von Fahrer und Insassen. Auch lassen sich ggf. aus Fahrzeugdaten die Aktionen bzw. Eigenschaften des Fahrers ablesen (z.B. aus Beschleunigungs- und Bremsverhalten lässt sich auf Aufmerksamkeit, Emotionen, Einfluss bestimmter Substanzen auf den Fahrer usw. schließen).
Fahrzeuge mit Fahrerassistenzsystemen sind manchmal mit Sensoren ausgestattet, deren Aufgabe es ist, andere Verkehrsteilnehmer, beispielsweise Fußgeher im Umfeld des Fahrzeugs und ihre Absicht zu erkennen und zu kategorisieren. Damit ergeben sich „indirekt“ personenbezogenen Daten (Daten zum Fahrer, Beifahrer, Passanten im Umfeld des Fahrzeugs). So ergeben sich beispielsweise Informationen aus dem Verhalten von Fahrer und anderer Verkehrsteilnehmer, aber auch, Positionsdaten, und bedürfen daher eines besonderen Schutzes.
Problematischer ist dementsprechend der „indirekte Zugriff/Rückschluss“ auf geschützte Daten, insbesondere personenbezogene Daten. Darunter versteht man, dass man aufgrund von anderen erfassten Daten im Fahrzeug, z.B. die Positionslokalisierung, Kameraaufnahmen, Motordaten (wie Leistung, Drehzahl, Drehmoment), Dynamikdaten (wie Beschleunigung, Geschwindigkeit) usw., Rückschlüsse auf Personen, deren Eigenschaften und deren unmittelbare Tätigkeit erhalten kann (Stichwort „big data analytics“). Dabei kann es sich nicht nur um Daten zum Fahrer oder Beifahrer handeln, sondern auch um Daten über Passanten und Dritte, welche mit dem Fahrzeug während der Fahrt interagiert haben, wie Stehenbleiben vor einem Fußgängerübergang oder vor einer Ampel, andere Verkehrsteilnehmer usw.
Beispielsweise kann aus einem, während einer Fahrt mit dem Fahrzeug erfassten zeitlichen Beschleunigungsprofil nicht direkt auf geschützte Daten, insbesondere personenbezogene Daten, geschlossen werden. Indirekt ist ein solcher Rückschluss aber durchaus möglich. Aus dem Beschleunigungsverlauf kann durch zeitliche Integration ein zeitlicher Geschwindigkeitsverlauf und zeitlicher Wegverlauf ermittelt werden. Aus anderen erfassten Daten, wie beispielsweise einer Fahrzeugbezeichnung, einem Startzeitpunkt usw., können Annahmen zu Startpunkten der Fahrt vorgenommen werden (Startbedingungen). Durch Übereinanderlegen von digitalen Straßenkarten, Verkehrsdaten zu dieser Zeit, und errechnetem Geschwindigkeitsprofil können möglichen Pfade ermittelt (z.B. vor einer engen Kurve wird gebremst, beim Abbiegen mit Gegenverkehr oder bei Ampeln gewartet, bei Stopp-Schild kurz stehengeblieben usw.) und nach Wahrscheinlichkeit gereiht werden.
Sofern einer der möglichen Pfade eine ausreichend hohe Übereinstimmung (Confidence- Level) erreicht, kann aus diesem die Abfolge konkreter Aufenthaltsorte des Fahrzeugs zu jeder (Mess-)Zeit angegeben werden, wodurch die geschützten Daten (Position einer Person, Aufenthaltsdauer) kompromittiert wären.
Systeme wie ADAS erfassen zwar diese Daten im und um das Fahrzeug, und verwenden diese zur unmittelbaren Steuerung des Fahrzeugs. Die erfassten Daten werden aber im Regelfall nicht gespeichert oder übertragen. Zusätzliche Messystemen zur Beobachtung des Fahrzeugverhaltens können beispielsweise während der Entwicklung zur Optimierung oder Fehleranalyse des ADAS oder AD eingesetzt werden. Dazu sollten diese Daten aber nach Verwendung für die Fahrfunktion nicht sofort gelöscht werden, sondern gespeichert/übertragen werden, um die Funktion im Nachhinein analysieren zu können.
Eine Verschlüsselung der geschützten Daten wäre eine Möglichkeit, um diese zumindest bei der Übertragung und Verarbeitung vor unerlaubten Zugriff zu schützten. Allerdings bleiben die zu schützenden Daten dabei erhalten, womit nachträgliche (nach einem Entschlüsseln der Daten) Rückschlüsse auf geschützte Daten, insbesondere personenbezogene Daten, trotzdem möglich sind.
DE 102006043363 A1 offenbart eine Datenerfassung, wobei die erfassten Daten in zwei Gruppen aufgeteilt werden. Davon besitzt eine Gruppe personenbezogene Daten, die andere nicht. Die personenbezogene Gruppe wird von einer Zwischenstelle geprüft und entfernt. Die zweite Gruppe ist per Annahme unkritisch und kann verarbeitet werden. Dieser Ansatz bedingt aber, dass die erfassten Daten tatsächlich in diese zwei Gruppen aufgeteilt werden können. In der Praxis ist das allerdings in der Regel nicht möglich.
Während einer Fahrt mit einem Fahrzeug erfasste Daten werden nämlich üblicherweise von geschützten Daten, wie beispielsweise persönlich zuordenbaren Merkmalen des Fahrers, Ort der Fahrt usw., geprägt. Beispielsweise beeinflusst der Fahrertyp (z.B. konservativ, sportlich, aggressiv) ein Beschleunigungsprofil des Fahrzeugs und damit einen zeitlichen Verlauf der Motorleistung, genauso beeinflusst die Topologie der Straße (Straßenneigung, Kurven usw.) oder die Beladung des Fahrzeugs (Masse) einen zeitlichen Verlauf der Motorleistung. Eine während der Fahrt erfasste Motorleistung kann damit nicht einfach als unkritische Information betrachtet werden, weil diese von geschützten Daten geprägt wird und sich daraus bis zu einem bestimmten Maß Rückschlüsse auf personenbezogene Daten ziehen lassen.
Im Stand der Technik sind somit zwar Methoden zur Datenverarbeitung von mit einem Fahrzeug während einer Fahrt erfassten Daten offenbart, welche den direkten Zugriff auf geschützte Daten verhindert, jedoch bleibt der indirekte Zugriff auf solche geschützten Daten weiterhin möglich. Es ist daher eine Aufgabe der gegenständlichen Erfindung den indirekten Zugriff auf geschützte Daten anhand von mit einem Fahrzeug während einer Fahrt erfassten Fahrzeugdaten zu verhindern.
Die gegenständliche Aufgabe wird dadurch gelöst, dass in der zumindest einen Verarbeitungseinheit eine Vorverarbeitung des zumindest einen Fahrzeugdatensatzes durchgeführt wird, wobei die Vorverarbeitung unter Berücksichtigung eines vorgegebenen Anonymitätsgrads folgende Schritte ausführt, nämlich Laden des zumindest einen Fahrzeugdatensatzes in die Vorverarbeitung, Anwenden von zumindest einer Methode auf den zumindest einen Fahrzeugdatensatz, um den zumindest einen Fahrzeugdatensatz zu verändern, Analyse, ob mit dem veränderten Fahrzeugdatensatz der Anonymitätsgrad erfüllt ist, und Speichern des zumindest einen veränderten Fahrzeugdatensatzes ,der den Anonymitätsgrad erfüllt, als zumindest einen gesicherten Fahrzeugdatensatz, um einen indirekten Rückschluss auf zumindest einen geschützten Datensatz zu verhindern.
In einer vorteilhaften Ausführung werden während einer Testfahrt mit einem Fahrzeug Fahrzeugdaten gesammelt. Diese Fahrzeugdaten können unterschiedliche Qualität haben, z.B. Leistungsdaten eines Motors, visuelle Daten von einer Videokamera, Abgasdaten von einer Emissionsanalyseeinheit, Positionsdaten eines GPS-Sensors, persönlich vom Fahrer eingetragene Daten etc.
Bevorzugterweise werden Fahrzeugdaten bei einer Testfahrt ausgewählt, welche für eine gewisse Messkampagne relevant sind. Das könnte beispielsweise RDE Daten eines Dieselmotors sein, welche beispielsweise abhängig von Motortemperatur, Motorleistung, Außentemperatur etc. sind. Bevorzugte Fahrzeugdaten wären dann Stickoxidgehalt, Aerosolpartikel, Motorleistung und Motortemperatur. Die Datenerfassungseinheiten sind dann beispielsweise an unterschiedlichen Stellen angebracht, z.B. am Motor und entlang der Abgasanlage. Auch Kameras am Fahrzeugdach, oder GPS-Positionsermittlung können Datenerfassungseinheiten sein. Diese Fahrzeugdaten werden während der Testfahrt aufgezeichnet. Solche Fahrzeugdaten können beispielsweise von einer Laufvariable, wie Zeit, Geoposition, Motordrehzahl, Geschwindigkeit und ähnliches sein. Alle Laufvariablen, die der Fachmann für die Auswertung benötigt, können benutzt werden um Fahrzeugdatensätze zu indizieren.
Bevorzugterweise werden Testfahrten zur Datenaufzeichnung mit Testfahrzeugen durchgeführt, höchst bevorzugt mit vorinstallierten Datenerfassungsmodulen. Testautos stehen bevorzugterweise auf einem Unternehmensparkplatz, welches die Testungen durchführt und werden von geschultem Personal gefahren. So ergeben sich beispielsweise im Regelfall Testfahrten mit gleichem Start und Endpunkt und mit begrenzter Anzahl an Fahrern. Es können aber auch Standard-Fahrzeuge aus der laufenden Produktion instrumentiert werden, beispielsweise für Fahrzeugflotten (Lieferfahrzeuge, Taxis,
Mietwagen, etc.), oder Einzelfahrzeuge für Stichprobenanalysen.
Solchen geschützten Daten, wie Fahrer und Bewegungsprofil, werden während Testfahrten noch weitere geschützte Daten hinzugefügt. Beispielsweise interagieren Testfahrzeuge mit anderen Verkehrsteilnehmern, wie anderen Fahrzeugen oder Passanten. Verschiedene Interaktionen mit dem Testfahrzeug prägen die erfassten Fahrzeugdaten der Datenerfassung. Beispielsweise sind daher Rückschlüsse auf Autokennzeichen von anderen Verkehrsteilnehmern oder die Identität von Passanten mittels Fahrzeugdaten aus einer Videokamera oder auch aus einer GPS-Positionsermittlung möglich.
Erfindungsgemäß wird eine Verarbeitungseinheit im Fahrzeug integriert, welche über eine Vorverarbeitung verfügt, die, durch die Testfahrt aufgenommenen Fahrzeugdaten, mittels zumindest einer Datenerfassungseinheit, in gesicherte Fahrzeugdaten überführt, und somit kein indirekter Rückschluss auf die geschützten Daten möglich ist.
Die Vorverarbeitung erfolgt über eine Vorgabe der Wahrscheinlichkeit, einem Anonymitätsgrad („Degree of anonymity“), geschützte Daten identifizieren zu können. Definitionen für den Anonymitätsgrad sind in einschlägigen Publikationen gegeben, wie „Diaz, C., Seys, S., Claessens, J., & Preneel, B. (2002, April). Towards measuring anonymity. In International Workshop on Privacy Enhancing Technologies (pp. 54-68). Springer, Berlin, Heidelberg“ oder „Edman, M., Sivrikaya, F., & Yener, B. (2007, May). A combinatorial approach to measuring anonymity. In 2007 IEEE Intelligence and Security Informatics (pp. 356-363). IEEE“. Wenn ein Fahrzeugdatensatz einen vorgegebenen Anonymitätsgrad erfüllt, wird er als gesicherter Fahrzeugdatensatz gespeichert und kann bedarfsweise einerweiteren Verarbeitung zugeführt werden. Bevorzugterweise kann nach Speicherung als gesicherter Fahrzeugsatz nichtmehr auf die geschützten Daten zugegriffen werden.
Der Anonymitätsgrad kann auch an einen Kostenfaktor gekoppelt sein und eine Kategorisierung enthalten. Ein Kostenfaktor beschreibt den Aufwand für einen Zugriff auf geschützte Daten. Eine solche Kategorisierung wird vom Anwender vorgegeben und beschreibt das Risiko, dass auf geschützte Daten zugegriffen werden kann. Je nach Kategorisierung kann der Wert des Anonymitätsgrads angepasst werden, und so die Stärke der Veränderung der Fahrzeugdaten in der Vorverarbeitung angepasst werden. Bei einem geringen Risiko, kann ein Fahrzeugdatensatz nur wenig verändert werden und als gesicherter Fahrzeugdatensatz gespeichert werden und damit sehr nahe am ursprünglichen Fahrzeugdatensatz sein.
In einer höchst bevorzugten Ausführung modelliert die Vorverarbeitung den Einfluss der geschützten Daten. Das kann mittels einer Korrelationsfunktionen erfolgen, welche eine Prägung des ungeprägten Fahrzeugdatensatzes mittels geschützter Daten beschreibt, und in einem Fahrzeugdatensatz aufgeht. Die Prägung unterschiedlicher Fahrzeugdatensätze kann über unterschiedliche Korrelationsfunktionen abgebildet werden. Wenn ein Fahrzeugdatensatz keine Prägung durch geschützte Daten aufweist, kann dieser beispielsweise direkt als gesicherter Fahrzeugdatensatz gespeichert werden. Ein Fahrzeugdatensatz kann auch durch mehrere geschützte Daten geprägt sein, was durch eine Korrelationsfunktion oder auch durch mehrere Korrelationsfunktionen abgebildet sein kann.
Es kann auch Vorkommen, dass ein Fahrzeugdatensatz den Anonymitätsgrad nach einer Vorverarbeitung nicht erfüllt und verworfen wird.
Es kann auch ein Kontext verwendet werden um ein Modell der Vorverarbeitung abhängig von der Fahrzeugumgebung verändern zu können. Bevorzugterweise wird der Kontext über eine Datenerfassungseinheit erzeugt, welcher Einflüsse der Umgebung an die Vorverarbeitung weiterleitet. Solche Einflüsse können beispielsweise das Verkehrsaufkommen, die Wetterlage, Straßenverkäufe, Motorleistungskennzahlen und ähnliches sein. Die Vorverarbeitung kann dann auf diesen Kontext reagieren und beispielsweise auswählen welche Methoden in welcher Stärke angewendet werden.
In einer bevorzugten Ausführung werden diese gesicherten Fahrzeugdaten im Fahrzeug gespeichert und später am Auswertestandort ausgelesen. Höchst bevorzugt werden aber die gesicherten Fahrzeugdaten online an den Auswertestandort übermittelt, um die Testfahrt und die Testergebnisse in einer Auswerteeinheit direkt analysieren zu können. Bevorzugt kann die Testfahrt bei genügend Daten abgeschlossen oder bei ungenügender Datenlage verlängert werden.
Bevorzugterweise wird die Vorverarbeitung mittels mikroprozessorbasierter Hardware ausgeführt sein, auf der die Datenverarbeitungssoftware läuft, beispielsweise ein Computer oder eine speicherprogrammierbare Datenverarbeitung. Auch eine Implementierung als integrierter Schaltkreis (IC), beispielsweise als anwendungsspezifische integrierte Schaltung (ASIC) oder Field Programmable Gate Array (FPGA), ist denkbar. Ebenso sind Mischformen möglich.
Die Vorverarbeitung benutzt Methoden wie beispielsweise Normalisieren, Auflösungsreduktion, Anonymisieren, De-referenzieren oder Überlagern aus einer Methodenbibliothek. Die Methoden können permanent auf einen Fahrzeugdatensatz angewendet werden, es können Methoden aber auch abhängig vom Modell der Vorverarbeitung angewandt werden. Dann kann es sein, dass Methoden parallel oder sequentiell, oder in Kombinationen davon angewandt werden. Die Anwendung der Methoden kann auch abhängig von Korrelationsfunktionen und vom Kontext sein. Bevorzugterweise, werden die Methoden soweit angewandt, dass ein vorgegebener Anonymitätsgrad gerade erfüllt ist.
Es können aber auch neue, alternative oder zusätzliche Methoden je nach Bedarf in die Vorverarbeitung geladen werden. In einer bevorzugten Ausführungsform kann ein Hinzufügen neuer, alternativer oder zusätzlicher Methoden auf Abo-Basis laufen. Solche Formen können beispielsweise auf Suscription Basis funktionieren. Damit können neue Methoden über regelmäßige Software Updates hinzugefügt werden, oder bei der Routineuntersuchung in einer Werkstatt. Das kann nötig sein, falls neue Entwicklungen Zugriffe auf geschützte Daten ermöglichen, die bislang nicht möglich waren.
Die gegenständliche Erfindung wird nachfolgend unter Bezugnahme auf die Figuren 1 bis 5 näher erläutert, die beispielhaft, schematisch und nicht einschränkend vorteilhafte Ausgestaltungen der Erfindung zeigen. Dabei zeigt
Fig.1 eine schematische Darstellung der Ausführung einer Messkampagne,
Fig.2 Prägung der Fahrzeugdaten durch geschützte Daten und Verarbeitung in gesicherte Fahrzeugdaten,
Fig.3 Verarbeitungseinheit mit Vorverarbeitung gemäß der Erfindung und
Fig.4 Flowchart mit Wirkungsweise der Vorverarbeitung und
Fig.5 eine bespielhafte Positionsverarbeitung.
Fig.1 zeigt eine mögliche Anordnung 1 für eine Messkampagne mit einem Fahrzeug 2 laut gegenständlicher Erfindung. Im oder am Fahrzeug 2 befindet sich zumindest eine Datenerfassungseinheit 3 und zumindest eine Verarbeitungseinheit 4, welche für eine Messkampagne verwendet werden. Eine Messkampagne beschreibt eine Testfahrt (auch im Sinne mehrerer Testfahrten, auch über einen längeren Zeitraum) mit den im Fahrzeug 2 ermittelten Fahrzeugdaten 10, um diese Kampagne erfolgreich abzuschließen.
Eine Datenerfassungseinheit 3 kann ein beliebiger Messsensor sein, der eine bestimmte Größe misst oder erfasst. Eine Datenerfassungseinheit 3 kann auch Daten aus einem fest im Fahrzeug verbauten Steuergerät erfassen. Solche Steuergeräte arbeiten nach dem EVA Prinzip (Eingabe - Verarbeitung - Ausgabe), wobei eine physikalische Kenngröße wie z. B. Drehzahl, Druck, Temperatur usw. gemessen wird und dieser Wert mit einer im Steuergerät eingegebenen oder berechneten Sollgröße verglichen wird. Sollte der gemessene Wert mit dem eingespeicherten Wert nicht übereinstimmen, regelt das Steuergerät mittels Aktoren den physikalischen Prozess nach, so dass die gemessenen Istwerte wieder mit Sollgrößen übereinstimmen. Die Aktoren greifen also korrigierend in einen laufenden Prozess ein.
Solche Steuergerate im Fahrzeug sind beispielsweise ein Motor-Steuergerät, ein Getriebe- Steuergerät, ein Batteriemanagementsystem oder ein Hybridsteuergerät. Deren Eingangssignale kommen von fest verbauten Sensoren wie Drehzahl-, Drehmoment-, Temperatur-, Druck-, Spannungs-, Stromsensoren etc. Die Steuergeräte steuern Aktoren im Fahrzeug, wie z.B. Einspritzpumpen, Einlassventile, Antriebsbatterien, Fahrhebelsteller usw., an. In einer bevorzugten Ausführungsweise sind solche Steuergeräte mittels Systembusse systemweit miteinander verbunden.
Beispielsweise kann eine solche Datenerfassungseinheit 3 auch ein GPS-Positionsermittler, eine Abgasmesseinheit, eine Umgebungskamera, ein Temperatursensor, eine Luftfeuchtmesseinheit, etc. sein. Die Erfindung ist nicht auf diese exemplarischen Messsensoren limitiert. Es können verschiedene Datenerfassungseinheiten 3 in verschiedenen Ausführungen in einem Fahrzeug verbaut sein, welche der Fachmann für die Datenauswertungen benötigen könnte. Die Datenerfassungseinheiten 3 können standardmäßig am Fahrzeug 2 verbaut sein, können aber auch speziell für die Durchführung der Messkampagne am Fahrzeug 2 angeordnet werden (beispielsweise Emissionsmesstechnik).
Die zumindest eine Datenerfassungseinheit 3 generiert Fahrzeugdaten 10 in Form zumindest eines Fahrzeugdatensatzes 10a. Unter Fahrzeugdatensatz 10a versteht man den Verlauf einer erfassten Größe xn* der Datenerfassungseinheit 3 in einem vorgegebenen Intervall, insbesondere während der Testfahrt oder eines Teils der Testfahrt. Die erfasste Größe xn* wird vorzugsweise zur weiteren Verwendung, wie Verarbeitung oder Speicherung, digitalisiert. Unter Verlauf einer erfassten Größe xn* wird eine Abfolge von aufeinander folgenden Messungen oder Datenpaketen verstanden. Unter Fahrzeugdaten 10 wird die Gesamtheit aller einzelnen Fahrzeugdatensätze 10a verstanden, die bei der Durchführung der Testfahrt für die Messkampagne aufgezeichnet werden. Fahrzeugdatensätze 10a können beispielsweise einzelne aufgenommen Verläufe einer Datenerfassungseinheit 3 sein. Es können aber auch mehrere Fahrzeugdatensätze 10a von einer Datenerfassungseinheit 3 erstellt werden. Diese Fahrzeugdatensätze 10a werden, bevorzugterweise als Funktion einer Laufvariable k, wie derzeit aufgenommen (xn(t)), oder auch als Funktion der Position (z.B. Geokoordinate (Länge, Breite, Höhe) xn(x,y,z) oder auch Wegstrecke xn(s)), aufgenommen.
Fahrzeugdatensätze 10a können Daten sein, die den Fahrzeugzustand beschreiben und mit bekannten Messsensoren oder Steuergeräten erfasst werden, wie beispielsweise Position, Geschwindigkeit (auch im Raum), Beschleunigung (auch im Raum), Motorleistung, Motordrehzahl, Motormoment, Motortemperatur, Kühlmitteltemperatur, Raddrehzahl, Reifenschlupf usw., aber auch Daten, die die Umgebung des Fahrzeugs 2 beschreiben, wie beispielsweise mittels Radar, LI DAR, einer Kamera, eines Infrarotsensors aufgenommene Daten. Fahrzeugdatensätze 10a können aber auch Daten sein, die von anderen Datenquellen bezogen werden, beispielsweise Straßendaten aus digitalen Straßenkarten (z.B. Topologie der Straße) oder Wetterdaten von digitalen Wetterdiensten, oder Informationen die von anderen Fahrzeugen über Fahrzeug-zu-Fahrzeug Kommunikation (z.B. Fahrzeug zu Fahrzeug Kommunikation (C2C), oder eine Kombination von Fahrzeug zu Fahrzeug und Fahrzeug zu Infrastrukturkommunikation (V2X)) übermittelt werden. Auch Daten, die vom Fahrer oder einem Beifahrer während der Fahrt manuell eingegeben oder ausgelöst werden, wie beispielsweise das Aktivieren / Deaktivieren einer Funktion im Fahrzeug, können Fahrzeugdatensätze 10a sein.
Die gegenständliche Erfindung beinhaltet auch zumindest eine Verarbeitungseinheit 4, welche ebenfalls am oder im Fahrzeug 2 vorgesehen ist. Die Verarbeitungseinheit 4 empfängt die mit der zumindest einen Datenerfassungseinheit 3 laufend während einer Fahrt mit dem Fahrzeug 2 erfassten Fahrzeugdaten 10. Eine Datenerfassungseinheit 3 kann die erfassten Fahrzeugdaten 10 direkt an die Verarbeitungseinheit 4 übermitteln, beispielsweise über eine geeignete Verkabelung oder drahtlos.
Die Verarbeitungseinheit 4 besteht aus zumindest einer Vorverarbeitung 17 (Fig.2 und 3).
Die Verarbeitungseinheit 4 kann auch eine Speichereinheit 11 umfassen, in welche Daten gespeichert werden können. Die Speichereinheit 11 kann aber auch extern angeordnet sein und mit einer geeigneten Datenverbindung mit der Verarbeitungseinheit 4 verbunden sein.
Während einer Testfahrt gibt es auch geschützte Daten 8. Geschütze Daten 8 beschreiben zumindest einen geschützten Datensatz 8a, welcher als kritisch zu sehen ist und nicht weitergegeben werden soll, beispielsweise personenbezogene Daten im Sinne der DSGVO. Geschützte Daten 8 sind insbesondere solche Daten, die nur einer bestimmten Person selbst zugänglich sein sollen oder auch völlig anonym bleiben sollen. Dazu zählen z.B. personenbezogene Daten, wie die Identität des Fahrers oder des Beifahrers, eine Adresse des Startpunkts und Daten Dritter, die mit dem Fahrzeug 2 während der Testfahrt interagieren. Solche kritischen Daten können während der Testfahrt durch eine Datenerfassungseinheit 3 aufgezeichnet werden (können also auch ein Fahrzeugdatensatz 10a sein), können aber auch zu einer Testfahrt eingegeben oder vorgegeben werden, beispielsweise Daten zum Fahrer, zum Fahrzeug 2, Fahrstrecke usw.
Geschütze Daten 8 haben jedoch Einfluss auf Fahrzeugdaten 10, wie anhand von Fig.2 veranschaulicht und erläutert wird. Beispielsweise kann der Fahrstil des Fahrers die Geschwindigkeit, Beschleunigung, Stopps etc. beeinflussen. Ein bestimmter Fahrzeugdatensatz 10a kann somit bei unterschiedlichen Fahrern bei gleicher Fahrstrecke unterschiedlich sein. Auch Verkehrsaufkommen, wie Staus, oder die Position, im städtischen oder ländlichen Bereich, oder andere Verkehrsteilnehmer beeinflussen die Fahrt und den Fahrstil des Fahrers und haben Einfluss auf die Fahrzeugdaten 10. Dieser Einfluss der geschützten Daten 8 auf Fahrzeugdaten 10 wird als „Prägung“ bezeichnet. Ein Fahrzeugdatensatz 10a kann daher durch eine Prägung beeinflusst sein. In einer Anordnung wird daher ein ungeprägter Fahrzeugdatensatz 9a, der eine Größe xn enthält, durch die Prägung beeinflusst und zu dem durch die Datenerfassungseinheit 3 aufgezeichneten Fahrzeugdatensatz 10a gemacht. Ungeprägte Fahrzeugdaten 9 enthalten zumindest einen ungeprägten Fahrzeugdatensätze 9a. Auf ungeprägte Fahrzeugdatensätze 9a kann nicht direkt zugegriffen werden, weil diese durch die Prägung erst in Fahrzeugdatensätzen 10a aufgehen und als Fahrzeugdatensätze 10a erfasst werden. Es sei aber angemerkt, dass nicht jeder erfasste Fahrzeugdatensatz 10a durch geschützte Daten 8 geprägt sei muss.
Diese Prägung kann ganz unterschiedlich erfolgen. Einerseits prägen Daten, wie Fahrer, Beifahrer, Positionsdaten die Fahrzeugdaten 10, diese können aber auch von Dritten (z.B. andere Verkehrsteilnehmer) und Umweltfaktoren (Regen, Schnellfall) geprägt werden. Beispielsweise wird ein zeitlicher Verlauf einer Beschleunigung bei einer Fahrt entlang einer bestimmten Strecke vom Fahrzeugtyp und der Nutzlast, vom Fahrverhalten des Fahrers, von der Umgebung (z.B. Passanten), vom Zeitpunkt der Fahrt usw. abhängig sein. Ein zeitlicher Verlauf einer Beschleunigung wird andererseits auch von der Strecke selbst abhängig sein.
Der Einfluss der Prägung auf einen Fahrzeugdatensatz 10a kann beispielsweise mittels zumindest einer Korrelationsfunktion C beschrieben werden (Fig.2). Die Korrelationsfunktion C beschreibt, wie geschützte Daten 8 den ungeprägten Fahrzeugdatensatz 9a prägen und in einem Fahrzeugdatensatz 10a aufgehen. Die Korrelationsfunktion C ist abhängig von den geschützten Daten 8 und beispielsweise eine bekannte Funktion, welche den Einfluss von geschützten Daten 8 auf Fahrzeugdaten 10 beschreibt. Die Korrelationsfunktionen C für verschiedene ungeprägte Fahrzeugdatensätze 9a und/oder geschützte Daten 8 sind in der Regel nicht gleich, da verschiedene ungeprägte Fahrzeugdatensätze 9a unterschiedlich von geschützte Daten 8 geprägt werden können. Eine Korrelationsfunktion C kann beispielsweise aus der Literatur bekannt sein, oder über Testreihen bestimmt worden sein. Die Korrelationsfunktion C kann von der Anzahl der generierten Fahrzeugdatensätze 10a abhängig sein. Beispielsweise, kann bei wiederholter Fahrt durch einen identen Fahrer das Beschleunigungsprofil immer ähnlich oder sogar gleich sein. Durch eine größere Menge an gleichen Fahrzeugdatensätzen 10a wird daher die Identifikation des Fahrers immer wahrscheinlicher. So eine Korrelationsfunktion C kann daher benutzt werden um den Einfluss der Prägung auf die Fahrzeugdaten 10a zu beschreiben und möglicherweise auch zu gewichten.
Nicht jeder geschützte Datensatz 8a muss mit jedem Fahrzeugdatensatz 10a eine Korrelationsfunktion C aufweisen. Beispielsweise, kann das Fahrerverhalten auf Beschleunigung und abgerufene Motorleistung Einfluss haben, nicht aber auf Außentemperatur oder Luftfeuchte. Die gewählte Fahrstrecke kann beispielsweise die dadurch erlebten Umweltbedingungen beeinflussen, wie Gewitter, Schneefall und hat daher Einfluss auf Temperatur und Luftfeuchtedaten.
Die mit einer Datenerfassungseinheit 3 erfassten Fahrzeugdaten 10 erlauben aufgrund dieser Prägung einen indirekten Rückschluss auf die geschützten Daten 8. Hat man beispielsweise ein Beschleunigungsprofil in Abhängigkeit der Zeit t als Fahrzeugdatensatz 10a, kann mittels zweifacher Integration eine zurückgelegte Strecke und damit eine theoretische Position relativ zum Start ermittelt werden. Mit Kenntnis des möglichen Startpunktes, welcher aus naheliegender Überlegung gegeben sein kann, könnte die Route rückgerechnet werden. Aus den Fahrzeugdaten 10 könnte auch auf eine Fahrweise eines Fahrers rückgeschlossen werden, was letztendlich einen Rückschluss auf die Identität und weiterer Eigenschaften des Fahrers ermöglicht.
Die in der Verarbeitungseinheit 4 enthaltene Vorverarbeitung 17 dient dazu, die Fahrzeugdaten 10 vor der Weiterleitung an die Auswerteeinheit 5 so zu verändern, dass ein Rückschließen auf die geschützten Daten 8 anhand der Fahrzeugdaten 10 unwahrscheinlich, oder gar unmöglich, wird. Die Vorgabe der Wahrscheinlichkeit auf einen möglichen Rückschluss wird über einen Anonymitätsgrad 14 („Degree of Anonymity“ - DoA) beschrieben (Fig. 3). Dieser Anonymitätsgrad 14 kann in einer bevorzugten Ausführungsform als bekannte k-Anonymität ausgestaltet sein. Der Anonymitätsgrad 14 ist eine Kenngröße, die den Rückschluss auf geschützte Daten 8 darstellt und wird für die Vorverarbeitung 17 der Fahrzeugdaten 10 vorgegeben, beispielsweise von einem Anwender und ist also bekannt.
Eine Möglichkeit der Quantifizierung des Anonymitätsgrades 14 besteht in der Wahrscheinlichkeit p, dass eine bestimmte Person (über die geschützten Daten 8) in den gesicherten Fahrzeugdaten12 identifizierbar ist. Der Anonymitätsgrad beträgt dann 1-p. So beträgt beispielsweise bei einer Wahrscheinlichkeit eine Zuordenbarkeit von p = 0,01 (1%) der Anonymitätsgrad 0.99 (99%).
Eine ebenfalls mögliche Quantifizierung besteht in der Angabe der kleinstmöglichen Gruppe von N Personen, für die eine Zuordnung der geschützten Daten gleichwahrscheinlich ist. Im eben genannten Beispiel mit p=0,01 beträgt N = 100. Beispielsweise, müsste bei einen Anonymitätsgrad 14 von größer 99% für die Identifikation des Fahrers (bei gleicher Wahrscheinlichkeit der Identifikation eines Fahrers) ein Fahrzeugdatensatz 10a von der Vorverarbeitung 17 so verändert werden, dass zumindest ein resultierender gesicherter Fahrzeugdatensatz 12a entsteht. Bei der bevorzugten Verwendung einer k-Anonymität mit k > 99 als Anonymitätsgrad 14 wird der Fahrzeugdatensatz 10a so verändert, dass bei Datenauswertung des gesicherten Fahrzeugdatensatzes 12a ein Rückschluss auf mindestens 100 Personen (N = 100) gleichwahrscheinlich ist. In einerweiteren Ausführungsform kann der Anonymitätsgrad 14 auch an einen Kostenfaktor gebunden werden, welcher den nötigen Aufwand zur Ermittlung von einem bestimmten geschützten Datensatz 8a aus einem resultierenden gesicherten Fahrzeugdatensatz 12a beschreibt. Dieser Aufwand ist über Rechenleistung, Zeitaufwand und Manpower bei einem Angriff errechenbar oder abschätzbar. Dem Angriff kann je nach verbundenem Aufwand eine Kategorisierung (Level an Security) zugeordnet werden, wie beispielsweise „niedrig“, „mittel“, „hoch“. „Niedrig“ würde sehr geringen Aufwand, wie zuvor in Rechenleistung, Zeitaufwand darstellen, während „hoch“ einen sehr hohen Aufwand charakterisiert.
Für verschiedene ungeprägte Fahrzeugdaten 9 können auch verschiedene Anonymitätsgrade 14 verwendet werden.
Diese Kategorisierungen können für geschützte Daten 8 vom Anwender getroffen werden und sind beispielsweise abhängig von der Art der geschützten Daten 8. Dadurch, dass ein Angriff nie völlig ausgeschlossen werden kann, kann anhand dieser Kategorisierung immer nur eine Risikominimierung durchgeführt werden. Anhand der Kategorisierungen kann der Risikominimierung eine Wahrscheinlichkeit zugeordnet werden, dass ein Angreifer auf geschützte Daten 8 einen Zugriff schafft. Beispielsweise kann gefordert sein, dass die Wahrscheinlichkeit, für eine Kategorisierung von „hoch“, anhand eines Fahrzeugdatensatzes 10a auf eine bestimmte Person rückgeschlossen werden kann, kleiner als 1% gleichwahrscheinlich sein soll. Der Wert des Anonymitätsgrad 14 würde sich dann auf einen Wahrscheinlichkeitswert, wie schon oben errechnet, von größer 99% belaufen.
Der gesicherte Fahrzeugdatensatz 12a enthält dann eine aus einer erfassten Größe xn* durch die Vorverarbeitung 17 hervorgehende veränderte Größe yn, die der Vorgabe des Anonymitätsgrads 14 entspricht. Der Anonymitätsgrad 14 kann vom Anwender, beispielsweise vom Fahrer selbst oder einem Entwicklungsingenieur, eingestellt werden.
Der Anonymitätsgrad 14 sollte so gewählt werden, dass der Informationsgehalt der Daten möglichst wenig, bzw. nicht mehr als benötigt, reduziert wird. Wird der Anonymitätsgrad 14 vom Anwender zu hoch angesetzt, sind die gesicherten Fahrzeugdaten 12 möglicherweise auch für einen legitimierten Benutzer unbrauchbar. Beispielsweise werden bei einer RDE Messfahrt genaue Angaben über das Fahrverhalten (Beschleunigung, Fahrweise) benötigt, die aber bei einem hohen Anonymitätsgrad 14 verändert werden würden, um keine Zuordnung zu einem bestimmten Fahrer zu ermöglichen. Bevorzugterweise sind die Integrität der Fahrzeugdaten 10a zur Abgaszusammensetzung bei einer Messkampagne zur RDE für den legitimierten Benutzer wichtiger, als die beispielsweise GPS-Geokoordinaten bei gleicher Messkampagne. Danach kann der Anonymitätsgrad 14 bei dieser Messkampagne für den Fahrzeugdatensatz 10a „GPS-Geokoordinaten“ wesentlich höher gewählt werden, als für die Abgaszusammensetzung. Die Vorverarbeitung 17 kann verschiedene Methoden 16 zur Datenverarbeitung benutzen. Beispielsweise können in der Vorverarbeitung häufig genutzte Methoden 16 wie Normalisieren, Anonymisieren, Überlagern, Reduktion der Auflösung etc. erfolgen. Unter Normalisieren versteht man das Abbilden der Absolutwerte einer Größe xn* eines Fahrzeugdatensatzes 10a auf Werte zwischen 0 und 1 (bzw. -1 und +1). Das kann durch Division aller Werte, durch den Höchstwert der Werte erfolgen. Das ist z.B. eine geeignete Methode, um Geschwindigkeitsdaten oder Beschleunigungsdaten zu verarbeiten. Beispielsweise erschwert es durch Integration der Beschleunigung auf die Strecke der Testfahrt zurück zu schließen, wenn der Höchstwert bzw. Bezugswert nicht bekannt ist.
In einer bevorzugten Ausführungsform kann auch eine Reduktion der Auflösung angewandt werden. In anschaulicher Weise werden z.B. Ortschaftskennzahlen von durchfahrenen Orten bei einer Testfahrt vom 5 Stellen auf 2 Stellen reduziert. Testfahrer werden beispielsweise nicht mit ihren Namen gespeichert, sondern nur als „männlich“ oder „weiblich“ abstrahiert.
Ein solches Maskieren wird beispielsweise auch bei digitalen Straßenkarten verwendet. Die niederwertigsten Bits von Objektkoordinaten werden beispielsweise auf null gesetzt und dadurch erfolgt ein „Verpixeln“ der digitalen Straßenkarte. Werden beispielsweise GPS- Daten auf diese Weise in der Auflösung reduziert, wird die Genauigkeit der erfassten GPS- Position reduziert. Solche Methoden werden auch oft als “Microaggregation“ bezeichnet.
Bei der Methode 16 „Anonymisierung“ werden Personen-zuordenbare Daten entfernt oder durch nicht-zuordenbare Daten ersetzt. Als Beispiel kann der Aufmerksamkeitsassistent genannt werden, der in manchen Fahrzeugen mit Hilfe einer, dem Fahrer zugewandten, Videokamera implementiert ist, um die Pupillenaktivität des Fahrers zu überwachen. Üblicherweise werden diese Videodaten sofort nach der Auswertung gelöscht; könnte aber für Entwicklung oder Fehlersuche in einer späteren Analyse erforderlich sein. Diese Fahrzeugdaten (10a) könnten in diesem Fall biometrische Personenmerkmale (beispielsweise Augenfarbe und Iris-Muster) enthalten. Diese werden mit der Kamera zwar miterfasst, sind aber für die Erkennung der Aufmerksamkeit durch Überwachung der Pupillenaktivität nicht unbedingt erforderlich. In diesem Fall wäre eine Methode 16, die tatsächliche Augenfarbe durch eine zufällig gewählte zu ersetzen (Anonymisierung). Eine weitere Methode 16 könnte den Bereich der Iris im Bild mit einem Bildrauschen überlagern, und somit genaue Zuordenbarkeit erschweren bzw. verunmöglichen.
Die Methoden 16 der Datenverarbeitung sind nur Beispiele zur Verdeutlichung der Funktionsweise und nicht auf die genannten limitiert, sondern alle Methoden 16, welche für einen Fachmann ersichtlich sind, können angewandt werden.
Alle möglichen Formen der Datenverarbeitung werden nachfolgend als Methoden 16 bezeichnet. Die Vorverarbeitung 17 verwendet zumindest eine Methode 16, welche in der Vorverarbeitung 17 benutzt wird, und abhängig vom Fahrzeugdatensatz 10a gewählt ist. Es ist aber natürlich möglich, dass auf einen Fahrzeugdatensatz 10a auch mehrere Methoden 16 angewendet werden. Die Auswahl der geeigneten oder benötigten Methoden 16 kann beispielsweise vom Anwender für eine gegenständliche Messkampagne vorgeben sein oder von der Vorverarbeitung 17, automatisiert erfolgen. Bevorzugterweise verändert eine Methode 16 einen Fahrzeugdatensatz 10a zu zumindest einem gesicherten Fahrzeugdatensatz 12a. Höchst bevorzugt, wird der Fahrzeugdatensatz 10a durch ein Vorverarbeitung 17 analysiert und nur verändert, wenn ein Rückschluss auf geschützte Daten 8 möglich ist.
In einer bevorzugten Ausführung kann eine Methode 16 einen Fahrzeugdatensatz 10a unabhängig von einer Laufvariablen k, wie Zeit oder Geokoordinaten, verarbeiten. Beispielsweise wird die gleiche Methode 16 permanent auf einen Fahrzeugdatensatz 10a angewandt und erzeugt dabei einen gesicherten Fahrzeugdatensatz 12a. Dabei kann die Methode 16 unverändert bleiben und immer in gleicher Weise auf einen Fahrzeugdatensatz 10a angewandt werden.
In einer bevorzugten Ausführung enthält die Vorverarbeitung 17 einen Ablauf wie in Fig.4 dargestellt. Eine Vorverarbeitung 17 ist vorzugsweise eine softwareimplementierte Lösung die beispielsweise nach dem Flussschema in Fig.4 funktioniert. Nach einem Starten der Routine S, wird ein Fahrzeugdatensatz 10a von der Vorverarbeitung 17 analysiert. Entspricht der Fahrzeugdatensatz 10a dem vorgegebenen Anonymitätsgrad 14 (yes) wird er als gesicherter Fahrzeugdatensatz 12a gespeichert, beispielsweise in der Speichereinheit 11, und die Vorverarbeitung ist beendet (Arbeitsschritt E). Ein gesicherter Fahrzeugdatensatz 12 kann dann an eine Auswerteeinheit 5 zur weiteren Verarbeitung übermittelt werden. Falls der Fahrzeugdatensatz 10a nicht dem Anonymitätsgrad 14 entspricht (no), wird dieser über eine erste Methode 16 (Arbeitsschritt A) verändert. Dadurch entsteht ein veränderter Fahrzeugdatensatz 10a‘. Wenn der veränderte Fahrzeugdatensatz 10a‘ dem Anonymitätsgrad 14 entspricht, wird dieser als gesicherter Fahrzeugdatensatz 12a gespeichert und die Vorverarbeitung 17 ist beendet (Arbeitsschritt E). Bei Nichtentsprechen kann die Vorverarbeitung 17 wählen, ob sie den ursprünglichen Fahrzeugdatensatz 10a oder den veränderten Fahrzeugdatensatz 10a‘ als Input für eine zweite Methode 16 (Arbeitsschritt B) wählt. Das kann abhängig von den angewandten Methoden 16 und/oder kann vom Anwender vorgegeben sein. Falls nach Anwenden der zweiten Methode 16 der Anonymitätsgrad 14 erfüllt ist (yes), wird der veränderte Fahrzeugdatensatz 10a‘ wieder als gesicherter Fahrzeugdatensatz 12a gespeichert. Diese Schleife kann, unter Anwendung verschiedener Methoden 16, solange wiederholt werden, bis der Anonymitätsgrad 14 erfüllt ist. Fig. 4 kennzeichnet diese Schleife mit Arbeitsschritt X. Alternativ könnte ein Fahrzeugdatensatz 10a auch verworfen werden, wenn der Anonymitätsgrad 14 nach einer vorgegebenen Anzahl an Methoden 16 nicht erfüllt werden kann. Hierbei können die anzuwendenden Methoden 16 und auch deren Reihenfolge vorab festgelegt (z.B. durch Konfiguration durch einen Anwender) oder vorgegeben sein. Vorzugsweise wird der oben genannte Ablauf für einen Fahrzeugdatensatz 10a in regelmäßigen Intervallen abhängig von der Laufvariable k wiederholt, beispielsweise als Funktion der zeit. Beispielsweise können analog zu obiger Beschreibung auch nur Teile eines von der Laufvariable k abhängigen Fahrzeugdatensatzes 10a gespeichert werden und andere bei Nichterfüllen des Anonymitätsgrades 14 verworfen werden.
Beispielsweise können in die Vorverarbeitung 17 auch Korrelationsfunktionen C einfließen, oder auch der Kontext 13 (Fig.1 ). Der Kontext 13 beschreibt die Umgebung des Fahrzeugs 2, welche über verschiedene Datenerfassungseinheiten 3 aufgenommen werden kann. In einer bevorzugten Ausführungsform können Korrelationsfunktionen C und Kontext 13 auf die Auswahl der Methoden 16 Einfluss haben, in einer höchst bevorzugten Ausführungsform können Korrelationsfunktionen C und Kontext 13 auch Einfluss auf die Wirkung einer einzelnen Methode 16 haben. Beispielsweise, kann diese Methode 16 verschieden stark auf einen Fahrzeugdatensatz 10a angewandt werden, und beispielsweise eine unterschiedliche Reduktion der Auflösung in einem Fahrzeugdatensatz 10a bewirken.
Beispielsweise kann die Vorverarbeitung 17 in einer Weise funktionieren, dass bei niedrigem Verkehrsaufkommen, gemessen durch den Kontext 13 anhand von GPS-Geokoordinaten, eine Methode 16 angewandt wird, welche eine hohe Reduktion der Auflösung der Position des Fahrzeuges 2 vornimmt um einen Anonymitätsgrad 14 zu erfüllen. Bei hohem Verkehrsaufkommen kann die Vorverarbeitung 17 mit der Methode 16 nur eine geringe Reduktion der Auflösung vornehmen oder sogar mit dem ursprünglichen Fahrzeugdatensatz 10a weiterverfahren und sofort einen gesicherten Fahrzeugdatensatz 12a erzeugen, welcher den vorgegeben Anonymitätsgrad 14 erfüllt. Der Kontext 13 könnte beispielsweise die Anwendung der Methode 16 (hohe Reduktion, niedrige Reduktion, gar keine Reduktion) im obigen Beispiel durch Übersenden der GPS-Geokoordinaten steuern, und so in die Vorverarbeitung 17 integriert werden.
In einerweiteren bevorzugten Ausführungsmethode können Korrelationsfunktionen C und Kontext 13 auch Einfluss auf den Anonymitätsgrad 14 haben und so die Anwendung von Methoden 16 in der Vorverarbeitung 17 indirekt beeinflussen.
Die Summe aller Methoden 16, welche in der Vorverarbeitung 17 genutzt werden, heißt die Methodenbibliothek 15. In einer bevorzugten Ausführung werden nach Vorgabe des Anwenders die Methoden 16 aus der Methodenbibliothek 15 für jeden Fahrzeugdatensatz 10a einzeln gewählt. In einer höchst bevorzugten Ausführungsform kann die Vorverarbeitung 17 selbstständig die Methoden 16 aus der Methodenbibliothek 15 auswählen, um einen gesicherten Fahrzeugdatensatz 12a zu erhalten. Die Anwendung der Methoden 16 kann wie in Fig.4 gegeben sequentiell erfolgen, aber auch eine parallele Anwendung von Methoden 16 wäre denkbar. Eine Methodenbibliothek 15 kann aus einer Anzahl an vorgespeicherten Methoden 16, welche oben beschrieben worden sind, bestehen. Es können vom Anwender auch neue Methoden 16 in die Methodenbibliothek eingespeist werden, um die Sicherheit der geschützten Daten 8 zu gewährleisten. Die geschützten Daten 8 können beispielsweise durch neue Arten von Angriffen erkannt werden und von Analysemethoden aus den gesicherten Fahrzeugdaten 12 ermittelt werden, oder neue Messmethoden im Fahrzeug 2 erfordern neue Methoden 16a zu Gewährleistung der Sicherheit der geschützten Daten 8. In einer bevorzugten Ausführungsform wird die Methodenbibliothek 15 auf Subscription-Basis in regelmäßigen Zeitintervallen upgedatet und dabei neue Methoden 16a eingespeist. Neue Methoden 16a können beispielsweise erst in Entwicklung sein und auf Methoden 16 basieren, oder einen völlig anderen Ansatz verfolgen. Bevorzugt können neue Methoden 16a über „Big data“ Analyse von durchgeführten Testfahrten des Fahrzeugs 2 entwickelt werden. Solch ein Update kann über drahtlose Übertragungsprotokolle wie Nahkommunikationsprotokollen wie beispielsweise Bluetooth, oder über Fernkommunikationsprotokolle wie 4G und 5G zeitnah erfolgen. In einer bevorzugten Ausführungsform kann ein Update aber auch bei einem planmäßigen Werkstätten-Aufenthalt des Fahrzeuges 2 über einen Fahrzugbus oder Nahkommunikationsprotokollen wie Bluetooth aufgespielt werden.
Die Vorverarbeitung 17 erzeugt mittels Methoden 16 gesicherte Fahrzeugdaten 12 mit zumindest einem gesicherten Fahrzeugdatensatz 12a (yi(t) bis yn(t)). Diese gesicherten Fahrzeugdaten 12 werden erst nach Vorverarbeitung 17 im Fahrzeug 2 gespeichert oder gesendet. Fahrzeugdaten 10 werden daher nicht gespeichert. So ist es nicht möglich auf Fahrzeugdaten 10 und geschützte Daten 8 zuzugreifen.
Dabei können die gesicherten Fahrzeugdaten 12 im Nachhinein am Ort einer Datenauswertung 6 ausgelesen werden. Dieses Auslesen kann bevorzugt kabelgebunden über eine Steckverbindung zum Datentransfer erfolgen, aber auch kabellos, wie über WLAN oder Bluetooth, ausgelesen werden. Die gesicherten Fahrzeugdaten 12 können einer Auswerteeinheit 5 zugefügt werden. Die gesicherten Fahrzeugdaten 12 können aber auch während der Testfahrt über eine Übertragungseinheit mittels einem Übertragungsprotokoll wie beispielsweise 5G (wie in Fig.1 mit dem Sendemast 7 angedeutet) gesendet werden und kann dann am Auswerteort 6 einer Auswerteeinheit 5 direkt (online) zugeführt werden. Bevorzugterweise können die gesicherten Fahrzeugdaten 12 nach Verarbeitung auch in Fahrzeug 2 ausgelesen werden. In einer bespielhaften Ausführung in Fig.5 wird demonstrativ aber nicht abschließend die Funktionsweise der Vorverarbeitung 17 in der Verarbeitungseinheit 4 beschrieben. Ein Fahrzeug 2 macht eine Testfahrt in ländlichem Gebiet 19 mit wenig anderen Verkehrsteilnehmern 18; neben anderen Fahrzeugdaten 10a wird auch die Fahrzeugposition über GPS zyklisch, beispielsweise mit 10 Hz, erfasst und als Fahrzeugdatensatz 10a aufgezeichnet.
Durch Fahrer und Straßennetz und andere Verkehrsteilnehmer 18 werden Fahrzeugdaten 10 geprägt, beispielsweise durch den Fahrstil des Fahrers, der den zeitlichen Verlauf der Positionsdaten prägt. Aus einer Zeitserie der Fahrzeugpositionsdaten kann nach einer ersten Ableitung nach der Zeit die Fahrzeuggeschwindigkeit ermittelt und beispielsweise die Einhaltung geltender Verkehrsregeln überprüft werden. Durch nochmaliges Ableiten entsteht daraus die Fahrzeugbeschleunigung, welche zur Abschätzung der Fahrweise (z.B. Bremsen vor Kreuzungen oder Kurven etc.) dienen kann.
Gleichzeitig sind während der Fahrt die Positionsdaten des Fahrzeugs 2 identisch mit den Positionsdaten des Fahrers. So kann durch einen Abgleich einer Zeitreihe der Fahrzeugpositionsdaten mit einer dritten Datenquelle der Fahrer des Fahrzeugs 2 identifiziert und damit die ermittelten Fahrzeugdaten 10 von Fahrverhalten als personenbezogene Daten zugeordnet werden. Als solche dritte Datenquelle können beispielsweise einzelne Positionsmessungen des Smartphones des Fahrers, die den Betreiber des Funknetzes vorliegen, oder Positionsdaten, die diverse Applikationen am Smartphone erfassen, verwendet werden. Lassen sich ein oder mehrere Messungen von (Position, Zeit) aus dem Smartphone durch Überprüfung einer Übereinstimmung von Ort und Zeit mit Messpunkten in der Zeitserie der Fahrzeugdaten 10a des Fahrzeugs finden, so kann auf eine Abhängigkeit geschlossen werden. Damit wird die hochaufgelöste Zeitserie der Positionsdaten des Fahrzeugs einer Person zuordenbar, ebenso wie die daraus abgeleiteten Erkenntnisse (Fahrstil, Beachtung der Verkehrsregeln, Verhalten gegenüber anderen Verkehrsteilnehmern etc.)
Um den Anonymitätsgrad 14 zu erfüllen und keine Rückschlüsse auf geschützte Daten 8, hier beispielsweise (a) der Fahrstil und (b) der genaue Aufenthaltsort des Fahrers zu ermöglichen, kann in der Vorverarbeitung 17 eine der folgenden Methoden 16 angewendet werden: a. Reduktion der Auflösung
Dies kann entweder die zeitliche oder die räumliche Auflösung betreffen oder auch beides. Damit ergibt sich ein Bereich (zeitlich und räumlich), innerhalb dessen eine eindeutige Zuordenbarkeit nicht mehr möglich ist. Abhängig von der Anzahl von Smartphones mit verfügbaren Positionsdaten in diesem Bereich entsteht also eine Mehrdeutigkeit in einer Zuordnung und damit ein gewünschter Anonymitätsgrad 14 (z.B. k-Anonymität).
Es ergibt sich in diesem Fall auch ein zweiter Effekt: Abhängig von der Straßendichte an der Position wird damit eine eindeutige Zuordnung zu einer bestimmten Fahrbahn schwieriger und auch die durch zeitliche Ableitung errechnete Geschwindigkeit bzw. Beschleunigung ungenauer. Damit kann die Bestimmung des Fahrstils erschwert oder verunmöglicht werden. b. Normalisieren
Die Positionsdaten können auch als relative Position zu einem (nicht bekannt gegebenen) Startpunkt aufgezeichnet werden. Damit kann zwar Geschwindigkeit und Beschleunigung genau errechnet werden, aber eine Zuordnung zu einer bestimmten Verkehrsfläche und Bestimmung des Fahrverhaltens ist schwer bis gar nicht möglich. Zusätzlich ist auch ein Abgleich mit einer dritten Datenquelle wie oben beschrieben schwieriger.
Die Wirksamkeit von Variante a) ist also abhängig von der aktuellen Position bzw. der gegebenen vorherrschenden Dichte an Straßen und anderen Verkehrsteilnehmern (Kontext 13) sowie verfügbaren Positionsdaten von Smartphones. Sind wenige Verkehrsteilnehmer 18 in der Nähe wird die Auflösung stark reduziert. Der Durchmesser d wird also groß gewählt, was einer Testfahrt im ländlichen Gebiet 19 entspricht. Der durch die Vorverarbeitung 17 gesicherte Fahrzeugdatensatz 12a erlaubt nun weder Rückschluss auf Fahrer noch auf das Fahrzeug. Zum Kontrast kann bei einer Testfahrt eines Fahrzeugs 2 im städtischen Gebiet 20 die Methode der Auflösungsreduktion gering ausfallen. Der Radius d wird klein gewählt, da viele andere Verkehrsteilnehmer 18 in der Nähe sind und daher den vergebenen Anonymitätsgrad 14 mit kleiner Unschärfe in der Positionsbestimmung erfüllt werden kann.

Claims

Patentansprüche
1. Verfahren zur Datenerfassung in einem Fahrzeug (2) bestehend aus zumindest einer Datenerfassungseinheit (3) und zumindest einer Verarbeitungseinheit (4), wobei die zumindest eine Datenerfassungseinheit (3) zumindest einen Fahrzeugdatensatz (10a) aufzeichnet, der von zumindest einem geschützten Datensatz (8a) geprägt wird, dadurch gekennzeichnet, dass in der zumindest einen Verarbeitungseinheit (4) eine Vorverarbeitung (17) des zumindest einen Fahrzeugdatensatzes (10a) durchgeführt wird, wobei die Vorverarbeitung (17) unter Berücksichtigung eines vorgegebenen Anonymitätsgrads (14) folgende Schritte ausführt:
• Laden des zumindest einen Fahrzeugdatensatzes (10a) in die Vorverarbeitung,
• Anwenden von zumindest einer Methode (16) auf den zumindest einen Fahrzeugdatensatz (10a), um den zumindest einen Fahrzeugdatensatz (10a) zu verändern,
• Analyse, ob mit dem veränderten Fahrzeugdatensatz (10a‘) der Anonymitätsgrad (14) erfüllt ist,
• Speichern des zumindest einen veränderten Fahrzeugdatensatzes (10a‘), der den Anonymitätsgrad (14) erfüllt, als zumindest einen gesicherten Fahrzeugdatensatz (12a), um einen indirekten Rückschluss auf den zumindest einen geschützten Datensatz (8a) aus dem gesicherten Fahrzeugdatensatz (12a) zu verhindern.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Vorverarbeitung (17) auf zumindest eine Methode (16) aus einer Methodenbibliothek (15) zugreifen kann.
3. Verfahren nach Ansprüchen 1 und 2 dadurch gekennzeichnet, dass die Vorverarbeitung (17) zumindest eine Methode (16) permanent auf einen Fahrzeugdatensatz (10a) anwendet und dabei zumindest ein gesicherter Fahrzeugdatensatz (12a) entsteht.
4. Verfahren nach Ansprüchen 1 und 2 dadurch gekennzeichnet, dass die Vorverarbeitung (17) abhängig von zumindest eine Laufvariable k zumindest eine Methode (16) auf den zumindest einen Fahrzeugdatensatz (10a) anwendet und dabei zumindest ein gesicherter Fahrzeugdatensatz (12a) entsteht.
5. Verfahren nach Ansprüchen 1 bis 4 dadurch gekennzeichnet, dass die Vorverarbeitung (17) von zumindest einer Korrelationsfunktion C und von einem Kontext (13) abhängt.
6. Verfahren nach Ansprüchen 1 bis 5 dadurch gekennzeichnet, dass die Vorverarbeitung (17) zumindest zwei Methoden (16) sequentiell oder parallel anwendet.
7. Verfahren nach Ansprüchen 1 bis 6 dadurch gekennzeichnet, dass die Methodenbibliothek (15) auf Subscription-Basis funktioniert und neue Methoden (16a) in die Methodenbibliothek (15) hinzugefügt werden.
8. Verfahren nach Ansprüchen 1 bis 7 dadurch gekennzeichnet, dass der Anonymitätsgrad (14) an einen Kostenfaktor gebunden wird und eine Kategorisierung erhält.
9. Vorrichtung zur Datenerfassung in einem Fahrzeug (2) bestehend aus zumindest einer Datenerfassungseinheit (3) und zumindest einer Verarbeitungseinheit (4), wobei die zumindest eine Datenerfassungseinheit (3) zumindest einen Fahrzeugdatensatz (10a) aufzeichnet, der von zumindest einem geschützten Datensatz (8a) geprägt ist, dadurch gekennzeichnet, dass in der die zumindest einen Verarbeitungseinheit (4) eine
Vorverarbeitung (17) vorgesehen ist, wobei die Vorverarbeitung (17) unter Berücksichtigung eines Anonymitätsgrads (14) zumindest einen Fahrzeugdatensatz (10a) verändert, indem die Vorverarbeitung (17) zumindest eine Methode (16) verwendet, um den zumindest einen Fahrzeugdatensatz (10a) in einen veränderten Fahrzeugdatensatz (10a‘) umzuwandeln, und dass eine Speichereinheit (11) vorgesehen ist, die den veränderten Fahrzeugdatensatz (10a‘), der den Anonymitätsgrad (14) erfüllt, als gesicherten Fahrzeugdatensatz (12a) speichert, sodass ein indirekter Rückschluss auf zumindest einen geschützten Datensatz (8a) aus dem gesicherten Fahrzeugdatensatz (12a) verhindert ist.
EP22718042.9A 2021-04-15 2022-04-14 Datenerfassung im fahrzeug Pending EP4323978A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
ATA50282/2021A AT524959B1 (de) 2021-04-15 2021-04-15 Datenerfassung im Fahrzeug
PCT/AT2022/060116 WO2022217300A1 (de) 2021-04-15 2022-04-14 Datenerfassung im fahrzeug

Publications (1)

Publication Number Publication Date
EP4323978A1 true EP4323978A1 (de) 2024-02-21

Family

ID=81384898

Family Applications (1)

Application Number Title Priority Date Filing Date
EP22718042.9A Pending EP4323978A1 (de) 2021-04-15 2022-04-14 Datenerfassung im fahrzeug

Country Status (7)

Country Link
US (1) US20240193303A1 (de)
EP (1) EP4323978A1 (de)
JP (1) JP2024514612A (de)
KR (1) KR20230174754A (de)
CN (1) CN117256021A (de)
AT (1) AT524959B1 (de)
WO (1) WO2022217300A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT524385B1 (de) * 2020-11-09 2022-10-15 Avl List Gmbh Validierung einer Fahrzeugposition
US20240265139A1 (en) * 2023-02-07 2024-08-08 Otonomo Technologies Ltd. Method and system for privacy multi-tiering of automotive data
FR3155347A1 (fr) * 2023-11-09 2025-05-16 Stellantis Auto Sas Procede et systeme pour enregistrer des donnees dans un vehicule d’essai

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030130893A1 (en) * 2000-08-11 2003-07-10 Telanon, Inc. Systems, methods, and computer program products for privacy protection
US8015404B2 (en) 2005-09-16 2011-09-06 Gm Global Technology Operations, Llc System and method for collecting traffic data using probe vehicles
US9460311B2 (en) * 2013-06-26 2016-10-04 Sap Se Method and system for on-the-fly anonymization on in-memory databases
KR101861455B1 (ko) * 2013-12-19 2018-05-25 인텔 코포레이션 향상된 프라이버시를 갖는 보안 차량 데이터 관리
US20180131740A1 (en) * 2016-11-04 2018-05-10 General Motors Llc Anonymizing streaming data
DE102016225287A1 (de) * 2016-12-16 2018-06-21 Volkswagen Aktiengesellschaft Verfahren, Vorrichtung und computerlesbares Speichermedium mit Instruktionen zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten
US10380366B2 (en) * 2017-04-25 2019-08-13 Sap Se Tracking privacy budget with distributed ledger
DE102018220307B3 (de) * 2018-11-27 2020-02-20 Audi Ag Verfahren zum anonymisierten Übermitteln von Sensordaten eines Fahrzeugs an eine fahrzeugexterne Empfangseinheit sowie ein Anonymisierungssystem, ein Kraftfahrzeug und eine fahrzeugexterne Empfangseinheit
DE102019201530B3 (de) * 2019-02-06 2020-07-02 Volkswagen Aktiengesellschaft Überwachung und Korrektur der Verschleierung fahrzeugbezogener Daten
US10896555B2 (en) * 2019-03-29 2021-01-19 Toyota Motor North America, Inc. Vehicle data sharing with interested parties
CN112601194B (zh) * 2020-12-08 2022-04-29 兰州理工大学 一种路网环境下的车联网位置隐私保护方法及系统
US11317247B1 (en) * 2020-12-22 2022-04-26 Here Global B.V. Method, apparatus, and system for data-driven evaluation of heuristics for trajectory cropping

Also Published As

Publication number Publication date
AT524959A4 (de) 2022-11-15
WO2022217300A1 (de) 2022-10-20
AT524959B1 (de) 2022-11-15
KR20230174754A (ko) 2023-12-28
JP2024514612A (ja) 2024-04-02
CN117256021A (zh) 2023-12-19
US20240193303A1 (en) 2024-06-13

Similar Documents

Publication Publication Date Title
DE102019107797B4 (de) FAHRZEUGPROGNOSEN UND ABHILFEMAßNAHMEN
AT524959B1 (de) Datenerfassung im Fahrzeug
DE102012212740A1 (de) System und Verfahren zum Aktualisieren einer digitalen Karte eines Fahrerassistenzsystems
EP4025470A1 (de) Querführung eines fahrzeugs mittels von anderen fahrzeugen erfassten umgebungsdaten
DE102018120845A1 (de) Verfahren und Vorrichtung zum Überwachen eines autonomen Fahrzeugs
DE102017103123A1 (de) Fahrzeugfahrbahnplatzierung
DE102012219631A1 (de) Verfahren und Vorrichtung zum Detektieren von zumindest einer Fahrbahnunebenheit
DE102016223422A1 (de) Verfahren zur automatischen Ermittlung extrinsischer Parameter einer Kamera eines Fahrzeugs
DE102013222634A1 (de) Verfahren zur Prognostizierung eines Fahrbahn-Reibungsbeiwerts sowie Verfahren zum Betrieb eines Kraftfahrzeugs
DE102015218964A1 (de) Verfahren und System zum Ermitteln von Verkehrsteilnehmern mit Interaktionspotential
DE102018124578A1 (de) System und verfahren zur dynamischen fahrzeuganpassung und zum -tuning
DE102018215351A1 (de) Verfahren zum Erzeugen einer Informationssammlung zu Fahrszenarien wenigstens eines Fahrzeugs, sowie Fahrzeug, Anordnung und daraus bestehendes System
DE102015206776A1 (de) Kooperatives Lernverfahren für Straßeninfrastruktur-Detektion und -Charakterisierung
DE102020120085A1 (de) Erfassung von fahrzeugbedrohungen und reaktion darauf
DE102021112804A1 (de) Verfahren, Fahrzeugsteuergerät und Fahrzeug zur vorausschauenden Datenerhebung von vernetzten Verkehrsteilnehmern
DE102018213378B4 (de) Fahrassistenzsystem für ein Fahrzeug, Fahrzeug mit demselben und Fahrassistenzverfahren für ein Fahrzeug
DE102021128041A1 (de) Verbesserung eines neuronalen fahrzeugnetzwerks
DE102018126830A1 (de) Vorrichtung und Steuereinheit zur Automatisierung einer Zustandsänderung einer Fensterscheibe eines Fahrzeugs
EP3206928B1 (de) Verfahren zum ermitteln einer fahrtreichweite eines kraftfahrzeugs und kraftfahrzeug
DE102017223621A1 (de) Verfahren und Steuereinheit zur Steuerung einer Funktion eines zumindest teilweise automatisiert fahrenden Fahrzeugs
DE102020211477A1 (de) Verfahren zum Bewerten eines Fahrverhaltens eines Kraftfahrzeugs
EP3844936B1 (de) Anfordern, analysieren und übermitteln von daten der fahrerassistenzsysteme eines fahrzeugs an einen externen nutzer
DE102021130805A1 (de) Verfahren und vorrichtung zur analyse eines umfelds zumindest eines kraftfahrzeugs
DE102020206302A1 (de) Verfahren und Vorrichtung zum Bestimmen eines zukünftigen Reibwerts für einen von einem Fahrzeug zu einem zukünftigen Zeitpunkt befahrenen Fahrbahnabschnitt eines Verkehrsnetzes
EP4047569B1 (de) Verfahren, vorrichtung zur datenverarbeitung und system

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20231114

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

P01 Opt-out of the competence of the unified patent court (upc) registered

Effective date: 20240516

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20251017