Die Erfindung betrifft ein Verfahren gemäß Oberbegriff von Anspruch 1, ein System gemäß Oberbegriff von Anspruch 13 sowie dessen Verwendung.

Die zunehmend schnell voranschreitende Entwicklung im Bereich der sogenannten Fahrzeug-zu-X-Kommunikationssysteme und der zugehörigen Technologien bietet eine Vielzahl neuer Möglichkeiten, um Risiken und Gefährdungssituationen im Straßenverkehr zu verringern oder sogar vollständig zu vermeiden. Darüber hinaus ist es bekannt, Fahrzeug-zu-X- Kommunikationssysteme zur Erhöhung des Fahrkomforts zu nutzen, beispielsweise im Rahmen eines Ampelphasen-Assistenten, oder auch für kommerzielle Anwendungen und zu Unterhaltungszwecken für die Mitfahrer. Ein mit dieser Entwicklung einhergehendes Problem stellt jedoch das Gewährleisten der notwendigen Zuverlässigkeit und insbesondere Datensicherheit der übermittelten Fahrzeug-zu-X-Informationen dar, da derartige Informationen als Grundlage für autonome Eingriffe in die Fahrzeugsteuerung genutzt werden können und Zugriff auf wesentliche Fahrzeugfunktionen erhalten. Eine falsche oder schlimmstenfalls sogar böswillig gefälschte Fahrzeug-zu-X- Information kann daher schwerwiegende Folgen haben und muss zuverlässig als nicht vertrauenswürdig erkannt werden.

In diesem Zusammenhang offenbart die DE 10 2011 077 998 AI ein Verfahren zur Informationsvalidierung einer Fahrzeug-zu- X-Botschaft mittels Umfeldsensorik . Der Informationsinhalt einer Fahrzeug-zu-X-Information kann dabei selbst dann zuverlässig validiert werden, wenn die Umfeldsensoren den von der Fahrzeug-zu-X-Information beschriebenen Informationsinhalt nur kurzfristig bzw. mit ständigen Unterbrechungen erfassen. Somit können Fahrzeug-zu-X-Informationen auch in Situationen mit nur eingeschränkten

Umfelderfassungsmöglichkeiten validiert bzw. als nicht ausreichend vertrauenswürdig verworfen werden. Sofern die Fahrzeug-zu-X-Informationen nach dem in der DE 10 2011 077 998 AI vorgeschlagenen Verfahren validiert werden, weisen sie einen ausreichend hohen Zuverlässigkeitsgrad für einen Eingriff in die Fahrzeugsteuerung aus.

Die DE 10 2007 030 430 AI beschreibt ein Verfahren zur Übertragung von fahrzeugrelevanten Informationen in und aus einem Fahrzeug. Mittels einer sog. Transmission Control Unit werden von unterschiedlichen Kommunikationsmitteln, wie beispielsweise Mobilfunk-Mitteln oder WLAN-Mitteln, empfangene Informationen ausgewertet und anschließend an im Fahrzeug mitgeführte mobile Endgeräte übertragen. Die Transmission Control Unit kann dabei ein Security-Modul umfassen, welches eine Kommunikation und einen Datenaustausch mit außerhalb des Fahrzeugs befindlichen Sendern in sicherer Form erlaubt. Um diese sichere Form des Datenaustauschs zu gewährleisten, werden sowohl die zu übertragenden als auch die empfangenen Informationen gespeichert und überwacht. Gleichzeit werden Angriffe von außen auf die Informationen, wie z.B. ein Abhörversuch, abgewehrt. Zusätzlich wird die Möglichkeit beschrieben, die Informationen verschlüsselt zu übertragen.

Aus der DE 10 2011 079 052 AI sind ein Verfahren und ein System zu Validierung einer Fahrzeug-zu-X-Botschaft bekannt. Dabei wird eine drahtlos gesendete Fahrzeug-zu-X-Botschaft von einer mindestens zwei Antennenglieder aufweisenden Antennenanordnung empfangen, wobei die elektromagnetische Feldstärke der Fahrzeug-zu-X-Botschaft wegen unterschiedlicher, richtungsabhängiger Empfangscharakteristiken der Antennenglieder von den Antennengliedern mit unterschiedlichen Leistungsdichten aufgenommen wird. Die gesendete Fahrzeug- zu-X-Botschaft umfasst außerdem eine auf GPS-Daten basierende absolute Position des Senders, aus welcher der Empfänger der Fahrzeug-zu-X-Botschaft über seine Eigenposition eine erste relative Position des Senders zum Empfänger berechnet. Weiterhin bestimmt der Empfänger aus dem Verhältnis der aufgenommenen Leistungsdichten eine zweite relative Position des Senders zum Empfänger. Mittels eines Vergleichs der ersten relativen Position mit der zweiten relativen Position kann nun die empfangene Fahrzeug-zu-X-Botschaft validiert werden, sofern beide Positionen übereinstimmen, oder verworfen werden, wenn die Positionen voneinander abweichen. Die aus dem Stand der Technik im Zusammenhang mit Fahrzeug- zu-X-Kommunikation bekannten Datensicherheitsvorkehrungen bzw. Datensicherheitsverfahren sind jedoch aus verschiedenen Gründen nachteilbehaftet. So müssen Fahrzeug-zu-X- Botschaften entweder wegen der hohen Datensicherheitsanforderungen aufwendig signiert bzw. verschlüsselt werden, wodurch vergleichsweise leistungsfähige Hardware zur Kodierung bzw. Dekodierung erforderlich wird. Diese Hardware wiederum ist mit entsprechend hohem Kostenaufwand verbunden, was derartige Verfahren unattraktiv macht. Sofern auf eine Überprüfung des Informationsinhalts der empfangenen Fahrzeug-zu-X- Botschaften mittels Umfeldsensoren zurückgegriffen wird, ist eine ausreichende Anzahl verschiedengattiger Umfeldsensoren am Fahrzeug notwendig, um eine möglichst große Zahl unterschiedlicher Informationen erfassen und mit dem Informationsinhalt der empfangenen Fahrzeug-zu-X-Botschaften vergleichen zu können. Zudem ist es aufgrund der unterschiedlichen Wirkprinzipien der Kommunikationsmittel und der

Umfeldsensoren, der Ausrichtung der Umfeldsensoren oder schlicht wegen des Fehlens von Umfeldsensoren oftmals nicht möglich, eine Fahrzeug-zu-X-Botschaft auf diesem Weg zu überprüfen. Die Verwendung einer richtungsselektiven Antenne wiederum erlaubt oftmals keine eindeutigen Rückschlüsse auf die Position des Senders, da das elektromagnetische Feld der gesendeten Fahrzeug-zu-X-Botschaft auf der Strahlstrecke bis zur Antenne des Empfängers einer Vielzahl von Einflüssen unterworfen ist. Dies mindert die Zuverlässigkeit und Verfügbarkeit eines derartigen Verfahrens. Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren vorzuschlagen, welches die aus dem Stand der Technik bekannten Nachteile vermeidet.

Diese Aufgabe wird erfindungsgemäß durch das Verfahren zur verteilten Übertragung eines Kommunikationsflusses gemäß Anspruch 1 gelöst.

Gemäß dem erfindungsgemäßen Verfahren zur verteilten Übertragung eines Kommunikationsflusses, bei welchem der Kommu- nikationsfluss von einer ersten an eine zweite Kommunikationseinheit zumindest monodirektional erfolgt und wobei die erste und die zweite Kommunikationseinheit zur Übertragung des Kommunikationsflusses mittels mindestens zweier unterschiedlicher Kommunikationswege befähigt sind, umfasst der Kommunikationsfluss mindestens eine Fahrzeug-zu-X-Botschaft . Das Verfahren zeichnet sich dadurch aus, dass der Kommunika- tionsfluss von der ersten Kommunikationseinheit vor einem Senden in mindestens zwei Kommunikationsteilflüsse geteilt wird, wobei die mindestens zwei Kommunikationsteilflüsse von der ersten an die zweite Kommunikationseinheit auf die mindestens zwei unterschiedlichen Kommunikationswege verteilt übertragen werden und wobei die mindestens zwei Kommunikationsteilflüsse von der zweiten Kommunikationseinheit nach einem Empfangen wieder zusammengefügt werden.

Das erfindungsgemäße Verfahren führt somit zu dem Vorteil, dass der Kommunikationsfluss und die vom Kommunikations- fluss umfassten Fahrzeug-zu-X-Botschaften vergleichsweise einfach gegen versehentliche und insbesondere gegen böswil- lige Informationseinschleusungen bzw. Informations eränderungen geschützt werden können, da die zweite Kommunikationseinheit beim Zusammenfügen der mindestens zwei Kommunikationsteilflüsse feststellt, ob die mindestens zwei Kommunikationsteilflüsse dem von der ersten Kommunikationseinheit zuvor geteilten Kommunikationsfluss entsprechen. Wenn sich die mindestens zwei Kommunikationsteilflüsse nicht zu einem widerspruchsfreien bzw. konsistenten gemeinsamen Kommunika- tionsfluss zusammenfügen lassen, so ist dies ein Hinweis, dass einer der Kommunikationsteilflüsse versehentlich oder böswillig verändert wurde. Diese Dateninkonsistenz äußert sich beispielsweise darin, dass der zusammengefügte Kommunikationsfluss eine nicht mehr auswertbare bzw. nicht lesbare Information beschreibt. Dies erzeugt eine entsprechende, zumindest interne Fehlermeldung, welche auch extern ausgegeben werden kann.

Somit ist also ein versehentliches oder böswilliges verfälschen des Informationsinhalts der vom Kommunikationsfluss umfassten Fahrzeug-zu-X-Botschaften insofern erschwert, als dass die mindestens zwei Kommunikationsteilflüsse in gleichem Maße und synchron verändert werden müssen, um diese Veränderung beim Zusammenfügen durch die zweite Kommunikationseinheit zu verschleiern. Da die mindestens zwei Kommunikationsteilflüsse zudem über mindestens zwei unterschiedliche Kommunikationswege verteilt übertragen werden, ist es jedoch weitestgehend unmöglich, die mindestens zwei Kommunikationsteilflüsse in gleichem Maße und synchron zu verändern . Bevorzugt ist es vorgesehen, dass die erste und die zweite Kommunikationseinheit jeweils zur bidirektionalen Kommunikation befähigt sind, wobei die bidirektionale Kommunikation zwei entgegengerichtete monodirektionale Kommunikationsflüsse umfasst, wobei für die bidirektionale Kommunikation von der ersten und zweiten Kommunikationseinheit zur Übertragung des monodirektionalen Kommunikationsflusses jeweils unterschiedliche Kommunikationswege gewählt werden und wobei insbesondere für die bidirektionale Kommunikation ein monodi- rektionaler Kommunikationsfluss nicht geteilt wird. Somit ergibt sich der Vorteil, dass durch das erfindungsgemäße Verfahren auch eine sichere bidirektionale Kommunikation ermöglicht wird. Die Ausführung und Umsetzung des erfindungsgemäßen Verfahrens wird zudem vereinfacht, indem bei der bidirektionalen Kommunikation ein monodirektionaler Kommunika- tionsfluss nicht geteilt wird, da somit die erste Kommunikationseinheit auf einem ersten Kommunikationsweg sendet und auf einem zweiten Kommunikationsweg empfängt, während die zweite Kommunikatiosneinheit auf dem zweiten Kommunikationsweg sendet und auf dem ersten Kommunikationsweg empfängt. Sofern die erste und die zweite Kommunikationseinheit zur Kommunikation mittels mehr als zwei unerschiedlichen Kommunikationswegen befähigt sind, können die zum Senden bzw. Empfangen genutzten Kommunikationswege zudem regelmäßig geändert werden, was die Datensicherheit der Kommunikation weiter erhöht.

Weiterhin ist es bevorzugt, dass die Fahrzeug-zu-X-Botschaft aus einem Nutzdatenteil und einem Sicherheitsdatenteil besteht, wobei der Sicherheitsdatenteil eine Prüfsumme und/oder einen Zeitstempel und/oder ein Datensicherheitszertifikat, insbesondere ein auf zentraler Infrastruktur basierendes Datensicherheitszertifikat, umfasst. Der Nutzdatenteil umfasst dabei die eigentliche, zu übertragende Information, beispielsweise eine sog. „CAM" (cooperative awareness message) , welche durch den Sicherheitsdatenteil datentechnisch geschützt wird. Ein Beispiel für ein erfindungsgemäß verwendbares Datensicherheitszertifikat ist etwa ein Datensicherheitszertifikat, das mittels zentraler Infrastruktur erstellt und verteilt wird. Derartige zentrale Infrastruktur ist im Allgemeinen auch als sog. „Public-Key-Infrastruktur" bekannt .

Insbesondere ist es bevorzugt, dass der Nutzdatenteil und der Sicherheitsdatenteil auf unterschiedlichen Kommunikationswegen übertragen werden, wobei geprüft wird, ob der Sicherheitsdatenteil dem Nutzdatenanteil zuordbar ist und wobei die Fahrzeug-zu-X-Botschaft als nicht zuverlässig eingestuft wird, wenn der Sicherheitsdatenteil dem Nutzdatenteil nicht zuordbar ist. Durch Prüfen der Zuordbarkeit des Nutzdatenteils zum Sicherheitsdatenteil bzw. umgekehrt lässt sich auf einfache Weise eine Dateninkonsistenz feststellen, wobei dennoch eine Auswertbarkeit bzw. Lesbarkeit des Nutzdatenteils gewährleistet bleibt. Die Einstufung der Fahrzeug-zu-X-Botschaft als nicht zuverlässig ermöglicht zudem eine entsprechende Nutzung der Fahrzeug-zu-X-Botschaft für unkritische Anwendungen, wie z.B. die Ausgabe eines Hinweises an den Fahrer, wobei der Fahrer die dem Hinweis zugrunde liegende Situation mittels seiner Sinneswahrnehmung selbst prüfen kann. Außerdem ist es bevorzugt, dass über die jeweils mindestens zwei unterschiedlichen Kommunikationswege ein identischer Kommunikationsteilfluss, insbesondere ein identischer Nutzdatenteil der Fahrzeug-zu-X-Botschaft, redundant übertragen wird. Dadurch wird die Datensicherheit bei der Kommunikation weiter erhöht, da ein Kommunikationsteilfluss bei der empfangenden Kommunikationseinheit redundant zur Verfügung steht .

Insbesondere ist es bevorzugt, dass ein Abgleich des redundant übertragenen Kommunikationsteilflusses, insbesondere des redundant übertragenen Nutzdatenteils der Fahrzeug-zu-X- Botschaft, erfolgt, wobei bei einer Abweichung der redundant übertragene Kommunikationsteilfluss , insbesondere die redundant übertragene Fahrzeug-zu-X-Botschaft, als nicht zuverlässig eingestuft wird. Somit wird es ermöglicht, durch ein einfaches Abgleichen der redundant empfangenen Kommunikationsteilflüsse bzw. der Nutzdatenteile der Fahrzeug-zu-X- Botschaften eine Veränderung in der Kommunikation sofort zu erkennen. Die ggf. folgende Einstufung der redundant empfangenen Kommunikationsflüsse, insbesondere der Nutzdatenteile der Fahrzeug-zu-X-Botschaften, als nicht zuverlässig erlaubt unter Umständen dennoch eine entsprechende Verwendung.

Besonders bevorzugt ist es vorgesehen, dass ein Abgleich eines zeitlichen Verhaltens der über die mindestens zwei unterschiedlichen Kommunikationswege verteilt übertragenen Fahrzeug-zu-X-Botschaft erfolgt, wobei bei einer Abweichung die Fahrzeug-zu-X-Botschaft als nicht zuverlässig eingestuft wird. Ergeben sich Abweichungen von einem typischen, einem bekannten, einem erwarteten bzw. einem vorgegebenen zeitlichen Verhalten, so kann dies durch eine Veränderung des Informationsinhalts des Kommunikationsflusses verursacht sein. Eine als nicht zuverlässig klassifizierte Fahrzeug-zu-X- Botschaft kann dann ggf. noch für unkritische Verwendungen genutzt werden. Als zu betrachtende Größen für den Abgleich des zeitlichen Verhaltens können z.B. die Latenzen, die Zeitstempel bzw. die bekannten Übertragungseigenschaften der genutzten unterschiedlichen Kommunikationswege herangezogen werden .

In einer vorteilhaften Ausführungsform der Erfindung ist es vorgesehen, dass aus Empfangseigenschaften einer elektromagnetischen Welle der Fahrzeug-zu-X-Botschaft an einer Empfangsvorrichtung einer die Fahrzeug-zu-X-Botschaft empfangenden Kommunikationseinheit Positionsinformationen einer die Fahrzeug-zu-X-Botschaft sendenden Kommunikationseinheit bestimmt werden und mit von der Fahrzeug-zu-X-Botschaft um- fassten Positionsinformationen der die Fahrzeug-zu-X- Botschaft sendenden Kommunikationseinheit abgeglichen werden, wobei bei einer Abweichung die Fahrzeug-zu-X-Botschaft als nicht zuverlässig eingestuft wird. Somit kann das erfindungsgemäße Verfahren durch Hinzuziehen einer zusätzlichen Prüfebene, nämlich der elektromagnetischen Empfangseigenschaften der vom Kommunikations fluss umfassten Fahrzeug-zu- X-Botschaft, noch sicherer und zuverlässiger gestaltet werden. Der besondere Vorteil dieser Ausführungsform ist es, dass die aus den Empfangseigenschaften der elektromagnetischen Welle der Fahrzeug-zu-X-Botschaft an der Empfangsvor- richtung der die Fahrzeug-zu-X-Botschaft empfangenden Kommunikationseinheit bestimmten Positionsinformationen durch einen Dritten nicht verändert werden können. Somit steht eine fälschungssichere Größe für den Abgleich zur Verfügung.

In einer weiteren bevorzugten Ausführungsform ist es vorgesehen, dass eine kommunikationswegabhängige Zuverlässigkeitsbewertung erfolgt, insbesondere wenn die Fahrzeug-zu-X- Botschaft zuvor als nicht zuverlässig eingestuft wurde. Daraus ergibt sich der Vorteil, dass eine abgestufte Zuverlässigkeitsbewertung ermöglicht wird, welche den unterschiedlichen Kommunikationswegen und ihren technisch bedingt unterschiedlichen Manipulationsanfälligkeiten Rechnung trägt. Als Basis dieser Bewertung kann z.B. das auf dem jeweiligen Kommunikationsweg genutzte Datensicherheitsverfahren verwendet werden. Sofern die Fahrzeug-zu-X-Botschaft als nicht zuverlässig eingestuft wurde, ermöglicht die kommunikationswegabhängige Zuverlässigkeitsbewertung eine Beurteilung, auf welchem Kommunikationsweg ein redundant übertragener Anteil der Fahrzeug-zu-X-Botschaft mutmaßlich verändert wurde und welcher redundant übertragene Anteil folglich mutmaßlich unverändert ist.

Des Weiteren ist es bevorzugt, dass als nicht zuverlässig eingestufte Fahrzeug-zu-X-Botschaften unverarbeitet verworfen werden. Somit wird es vermieden, eine falsche oder sogar böswillig gefälschte Fahrzeug-zu-Botschaft zu verarbeiten und dadurch eine Gefahrensituation zu erzeugen oder der Erzeugung einer Gefahrensituation Vorschub zu leisten. Zweckmäßigerweise ist es vorgesehen, dass eine Verteilung der mindestens zwei Kommunikationsteilflüsse auf die mindestens zwei unterschiedlichen Kommunikationswege nach einem vorgegebenen Schema erfolgt. Das vorgegebene Schema ist dabei vorzugsweise nur der ersten und zweiten Kommunikationseinheit bekannt. Besonders bevorzugt überträgt die erste Kommunikationseinheit zu Beginn der Kommunikation eine entsprechende Information über das Schema zur Änderung der Kommunikationswege an die zweite Kommunikationseinhet . Somit wird es zusätzlich erschwert, einen Kommunikationsteilfluss zu verändern bzw. zu verfälschen, da die empfangende Kommunikationseinheit den Empfang des Kommunikationsteilflusses über einen für einen Dritten nicht vorhersehbaren Kommunikationsweg erwartet.

Außerdem ist es vorteilhaft, dass die jeweils mindestens zwei unterschiedlichen Kommunikationswege mindestens zwei unterschiedliche Kommunikationsmittel und/oder unterschiedliche Kommunikationskanäle ein und desselben Kommunikationsmittels sind. Durch die Verwendung unterschiedlicher Kommunikationsmittel als unterschiedliche Kommunikationswege wird in der Regel ein deutlich unterschiedliches Verhalten der unterschiedlichen Kommunikationswege gewährleistet, was für einen Dritten wiederum mit vergleichsweise großen Schwierigkeiten einer synchronen Veränderung des übertragenen Kommunikationsflusses verbunden ist. Somit ist diese Ausführungsvariante besonders sicher. Die Verwendung unterschiedlicher Kommunikationskanäle ein und desselben Fahrzeug-zu-X- Kommunikationsmittels als unterschiedliche Kommunikationswege hingegen ermöglicht die Anwendung des erfindungsgemäßen Verfahrens auch mit nur einfach ausgestatteten Kommunikationseinheiten, die nur über ein einziges Kommunikationsmittel verfügen .

Die vorliegende Erfindung betrifft des Weiteren ein System zur verteilten Übertragung eines Kommunikationsflusses, welches mindestens eine erste und eine zweite Kommunikationseinheit umfasst, die jeweils monodirektional oder bidirektional miteinander kommunizieren. Die erste und die zweite Kommunikationseinheit umfassen ihrerseits jeweils Kommunikationsmittel und sind durch diese zur Übertragung des Kommunikationsflusses mittels mindestens zweier unterschiedlicher Kommunikationswege befähigt. Weiterhin umfassen die erste und die zweite Kommunikationseinheit insbesondere Abgleichsmittel zum Abgleichen redundant empfangener Kommunikationsteilflüsse und Bewertungsmittel zum Bewerten einer Zuverlässigkeit einer von einem empfangenen Kommunikations- teilfluss umfassten Fahrzeug-zu-X-Botschaft . Das erfindungsgemäße System ist dadurch gekennzeichnet dass die erste und/oder die zweite Kommunikationseinheit Kommunikations- flussteilungsmittel zum Teilen eines Kommunikationsflusses in mindestens zwei Kommunikationsteilflüsse und/oder Kommunikationsflus s zusammenfügungsmittel zum Zusammenfügen der mindestens zwei Kommunikationsteilflüsse zu einem gemeinsamen Kommunikationsfluss umfassen und dass das System das erfindungsgemäße Verfahren ausführt. Da das erfindungsgemäße System somit alle zur Ausführung des erfindungsgemäßen Verfahrens notwendigen Mittel umfasst und das erfindungsgemäße Verfahren ausführt, ergeben sich hieraus die bereits beschriebenen Vorteile. Als Kommunikations flussteilungsmittel bzw. Kommunikations- flusszusammenfügungsmittel können z.B. entsprechend ausgelegte elektronische Schaltungen oder Mikroprozessoren verwendet werden, die geeignet sind, einen binären Datenstrom nach einem vorgegebenen Schema aufzuteilen bzw. zusammenzufügen .

Ebenso sind die Abgleichsmittel und die Bewertungsmittel bevorzugt als elektronische Schaltung oder Mikroprozessor ausgelegt. Besonders bevorzugt greifen die Abgleichsmittel, die Bewertungsmittel, die Kommunikationsflussteilungsmittel und die Kommunikationsflusszusammenfügungsmittel auf einen gemeinsamen Mikroprozessor zurück, der eine für alle diese Verwendungen ausreichend große Rechenkapazität zur Verfügung stellt.

Bevorzugt ist es vorgesehen, dass ein Kommunikationsmittel auf Basis mindestens einer der folgenden Verbindungsarten kommuniziert :

- WLAN-Verbindung, insbesondere nach IEEE 802.11p,

- ISM-Verbindung (Industrial, Scientific, Medical

Band) , insbesondere über eine funkverbindungsfähige SchließVorrichtung,

- Bluetooth-Verbindung,

- ZigBee-Verbindung,

- UWB-Verbindung (Ultra Wide Band) ,

- WiMax (Worldwide Interoperability for Microwave

Access ) , - Mobilfunkverbindung, insbesondere GSM-, GPRS-, EDGE-, UMTS- und/oder LTE-Verbindungen und

- Infrarotverbindung, wobei die mobilfunkbasierten Kommunikationsmittel besonders bevorzugt einem automatischen Notruf-Modul zugeordnet sind. Die aufgeführten Verbindungsarten bieten unterschiedliche Vor- und Nachteile, je nach Art, Wellenlänge und verwendetem Datenprotokoll. WLAN-Verbindungen ermöglichen z.B. eine hohe Datenübertragungsrate und einen schnellen Verbindungsaufbau. ISM-Verbindungen bieten hingegen nur eine geringere Datenübertragungsrate, sind aber hervorragend zur Datenübertragung um Sichthindernisse herum geeignet. Infrarotverbindungen wiederum bieten ebenfalls eine geringe Datenübertragungsrate. Mobilfunkverbindungen schließlich werden durch Sichthindernisse nicht beeinträchtigt und bieten eine gute Datenübertragungsrate. Dafür ist der Verbindungsaufbau von Mobilfunkverbindungen jedoch vergleichsweise langsam.

Ein automatisches Notruf-Modul ist auch bekannt als sogenanntes eCall-Modul.

Die Erfindung betrifft außerdem eine Verwendung des Systems zur verteilten Übertragung eines Kommunikationsflusses zur Fahrzeug-zu-X-Kommunikation in Kraftfahrzeugen.

Weitere bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung eines Aus führungsbeispiels an Hand von Figuren. Es zeigt

Fig. 1 mögliche Ausführungsform eines erfindungsge mäßen Verfahrens in Form eines Flussdiagramms,

Fig. 2 einen schematischen Aufbau eines erfindungsgemäßen

Systems und

Fig. 3 mögliche Datenstruktur einer von einem Kommu nikationsfluss umfassten Fahrzeug-zu-Botschaft .

In Fig. 1 ist eine beispielhafte Darstellung eines erfindungsgemäßen Verfahrensablaufs in Form eines Flussdiagramms dargestellt. In Schritt 11 wird von einer ersten Kommunikationseinheit ein zu versendender Kommunikationsfluss erstellt, welcher eine Vielzahl von Fahrzeug- zu-X-Botschaften umfasst. Im folgenden Schritt 12 wird der Kommunikations- fluss in drei unterschiedliche Kommunikationsteilflüsse geteilt, welche jeweils unabhängig voneinander auf drei unterschiedlichen Kommunikationswege verteilt übertragen werden. Die Übertragung geschieht jeweils zeitgleich in den Verfahrensschritten 13, 14 und 15. Dabei wird in Schritt 13 ein erster Kommunikationsteilfluss mittels einer WLAN-Verbindung übertragen, in Schritt 14 ein zweiter Kommunikationsteil- fluss mittels einer Mobilfunkverbindung und in Schritt 15 ein dritter Kommunikationsteilfluss mittels einer ISM- Verbindung. Die von den drei Kommunikationsteilflüssen umfassten Fahrzeug-zu-X-Botschaften sind dabei teilweise redundant in den drei Kommunikationsteilflüssen enthalten. In Verfahrensschritt 16 werden die drei Kommunikationsteilflüsse von einer zweiten Kommunikationseinheit empfangen, welche wie die erste Kommunikationseinheit zur Kommunikation mittels WLAN-Kommunikationsmitteln, Mobilfunk- Kommunikationsmitteln und ISM-Kommunikationsmitteln befähigt ist. Im folgenden Schritt 17 werden nun die redundant enthaltenen Anteile der drei Kommunikationsteilflüsse untereinander abgeglichen. Da der Abgleich ergibt, dass die drei Kommunikationsteilflüsse keine Abweichungen voneinander aufweisen, werden sie in Schritt 18 zu einem gemeinsamen Kommunikationsfluss zusammengefügt. Da hierbei keine Dateninkon- sistenzen auftreten und die Sicherheitsdatenteile jeweils den Nutzdatenteilen zuordbar sind, wird davon ausgegangen, dass der Kommunikationsfluss nicht manipuliert wurde. In Schritt 19 werden die vom Kommunikationsfluss umfassten Fahrzeug-zu-X-Botschaften daher an die entsprechenden Fahrzeugsysteme weitergeführt und verarbeitet.

Fig. 2 zeigt einen schematischen Aufbau eines erfindungsgemäßen Systems, welches untereinander bidirektional kommunizierende Kommunikationseinheiten 201 und 202 umfasst. Kommunikationseinheit 201 wiederum umfasst ihrerseits unterschiedliche Kommunikationsmittel 203, 204, 205 und 206. Bei Kommunikationsmitteln 203 handelt es sich um WLAN- Kommunikationsmittel nach IEEE 802.11p, bei Kommunikationsmitteln 204 um UMTS-fähige Mobilfunk-Kommunikationsmittel, bei Kommunikationsmitteln 205 um ISM-Kommunikationsmittel und bei Kommunikationsmitteln 206 um WiMax-

Kommunikationsmittel . Außerdem umfasst Kommunikationseinheit 201 Abgleichsmittel 207 zum Abgleichen redundant empfangener Kommunikationsteilflüsse und Bewertungsmittel 208 zum Bewerten einer Zuverlässigkeit einer von einem empfangenen Kommu- nikationsteilfluss umfassten Fahrzeug-zu-X-Botschaft . Mittels Kommunikationsflussteilungsmitteln 209 wird ein zu versendender Kommunikationsfluss in mindestens zwei Kommunikationsteilflüsse geteilt und mittels Kommunikationsfluss- zusammenfügungsmitteln 210 werden empfangene Kommunikationsteilflüsse zu einem gemeinsamen Kommunikationsfluss zusammengefügt. Abgleichsmittel 207, Bewertungsmittel 208, Kommunikationsflussteilungsmittel 209 und Kommunikationsfluss- zusammenfügungsmittel 210 sind jeweils als eigenständiger Mikroprozessor mit entsprechender softwareseitiger und hard- wareseitiger Datenverarbeitungsstruktur ausgebildet.

Kommunikationseinheit 202 umfasst Kommunikationsmittel 211, 212, 213 und 214. Kommunikationsmittel 211 sind dabei als WLAN-Kommunikationsmittel nach IEEE 802.11p ausgebildet, Kommunikationsmittel 212 als HSDPA-fähige Mobilfunk- Kommunikationsmittel mit Abwärtskompatibilität für UMTS- Verbindungen, Kommunikationsmittel 213 als Bluetooth- Kommunikationsmittel und Kommunikationsmittel 214 als Infrarot-Kommunikationsmittel. Da Kommunikationseinheiten 201 und 202 somit nur WLAN-Kommunikationsmittel 203, 211 und Mobilfunk-Kommunikationsmittel 204, 212 als gemeinsame Kommunikationsmittel aufweisen, findet die Kommunikation zwischen Kommunikationseinheiten 201 und 202 nur über WLAN-Kommunikationsmittel 203, 211 und Mobilfunk-Kommunikationsmittel 204, 212 statt. Weiterhin umfasst Kommunikationseinheit 202 in Mikroprozessor 215 kombinierte Abgleichsmittel zum Abgleichen redundant empfangener Kommunikationsteilflüsse und Bewertungsmittel zum Bewerten einer Zuverlässigkeit einer von einem empfangenen Kommunikationsteilfluss umfassten Fahrzeug-zu-X-Botschaft . Mikroprozessor 216 stellt die ebenfalls kombinierten Kommunikationsflussteilungsmittel zum Teilen eines zu versendender Kommunikationsflusses in mindestens zwei Kommunikationsteilflüsse sowie Kommunikations- flusszusammenfügungsmittel zum Zusammenfügen empfangener Kommunikationsteilflüsse zu einem gemeinsamen Kommunikati- onsfluss dar. Da Mikroprozessoren 215 und 216 somit jeweils zwei unterschiedliche Aufgaben zugewiesen sind, verfügen sie im Vergleich zu Mikroprozessoren 207, 208, 209 und 210 in Kommunikationseinheit 201 über eine höhere Rechenkapazität.

In Fig. 3 ist eine mögliche Datenstruktur von von einem Kommunikationsfluss umfassten Fahrzeug-zu-X-Botschaft 301 abgebildet. Fahrzeug-zu-Botschaft 301 besteht aus Sicherheitsdatenteil 303 und Nutzdatenteil 302, welche durch charakteristische Bitfolge 307 voneinander getrennt werden. Sicherheitsdatenteil 303 umfasst Prüfsumme 304, Zeitstempel 305 und auf zentraler Infrastruktur basierendes

Datensicherheistzertifikat 306. Somit umfasst Sicherheitsdatenteil 303 wesentliche Informationen, welche von einem Empfänger von Fahrzeug-zu-Botschaft 301 genutzt werden können, die Autenthizität und Zuverlässigkeit von Fahrzeug-zuBotschaft 301 zu bewerten. Nutzdatenteil 302 umfasst seinerseits zunächst auf GPS-Koordinaten basierende Positionsinformation 308 des Senders. Weiterhin umfasst Nutzdatenteil 302 Ausrichtungs- und Geschwindigkeitsinformationen 309 des Senders sowie Stauinformation 310. Stauinformation 310 beschreibt, dass der Sender von Fahrzeug-zu-Botschaft 301 mittels Fahrzeug-zu-Kommunikationsmitteln und Kamerasensorik ein Stauende erkannt hat. In Stauinformation 310 ist weiter- hin eine auf GPS-Koordinaten basierende Positionsinformation des Stauendes enthalten sowie eine Wahrscheinlichkeitsangabe, die beschreibt, mit welcher Wahrscheinlichkeit es sich bei der erkannten Situation nach Bewertung des Senders tatsächlich um ein Stauende handelt.