Titel

Sicherheitssystem für ein Fahrzeug einer Fahrzeugflotte Die Erfindung geht aus von einem Sicherheitssystem für ein Fahrzeug einer

Fahrzeugflotte nach der Gattung des unabhängigen Patentanspruchs 1 und von einer korrespondierenden Anordnung zur Validierung einer Pre-Trigger- Funktion für Sicherheitssysteme in Fahrzeugen einer Fahrzeugflotte nach der Gattung des unabhängigen Patentanspruchs 5.

Irreversible Aktuatoren von Personenschutzmitteln für passive Sicherheitssysteme in Fahrzeugen, wie beispielsweise pyrotechnische Gurtstraffer und Airbags, werden heutzutage in der Regel auf Basis einer Kontaktsensorik ausgelöst. Reversible Aktuatoren von Personenschutzmitteln, wie beispielsweise elektromoto- rische Gurtstraffer, werden heute schon in einer Pre-Crash-Phase auf Basis einer

Umfeldsensorik, wie beispielsweise Radar, Video oder fusionierte Systeme ausgelöst. Für die Auslösung der irreversiblen Aktuatoren wird eine sehr hohe Robustheit gefordert. Dies ergibt sich aus der hohen Sicherheitsforderung gegenüber„Fehlauslösungen" (False Positives) aufgrund der Gefahren- und Risikobe- trachtung und einer sehr geringen Akzeptanz für Fehlauslösungen, da selbst ohne Sicherheitsrisiko bei Fehlauslösungen eine Reparatur erforderlich ist, was Kosten und Verärgerung erzeugt.

Eine geforderte rechtzeitige Erkennung einer unvermeidbaren Kollision für die ir- reversible Auslösung von pyrotechnischen Aktuatoren im Pre-Trigger- Bereich von ca. 80 bis 40ms vor dem Aufprall kann mit heutigen Umfeldsensoriken für viele Crashsituationen dargestellt werden. Die Grundlage hierfür ist durch aus dem Stand der Technik bekannte Pre-Crash- Funktionen und automatische Notbremsfunktionen gelegt. Diese bekannten Systeme werden heutzutage allerdings etwa so ausgelegt, dass eine Validationsleistung gegen Fehleingriffe bzw. Fehlauslösungen (False Positives) einer Anforderung von weniger als einmal pro Fahrzeugleben genügt. Für Pre-Trigger- Funktionen wird eine weitaus höhere Robustheitsforderung gegen Fehlauslösungen vorgegeben, welche mindestens drei Größenordnungen unter den dem heutigen Validationsgrad für Fehleingriffe bzw. Fehlauslösungen liegt.

Aus dem Stand der Technik ist eine so genannte Black Box Validation bekannt, in welcher so viele Stunden mit einem Prototyp-System im Feld gefahren wird, dass durch Nachweis keiner aufgetretenen Fehlauslösung in diesem Zeitraum die entsprechende Robustheit sicher gestellt werden kann. Ist die geforderte Robustheit beispielsweise kleiner als 10 ^"5 Fehler/Betriebsstunde dann werden mit dem Prototyp-System 10 ⁵ Betriebsstunden im Feld gefahren. Für die erforderliche Größenordnung der Pre-Trigger- Funktion ist das in einer Serienentwick- lungs-Applikation nicht zu leisten.

Offenbarung der Erfindung

Das erfindungsgemäße Sicherheitssystem für ein Fahrzeug einer Fahrzeugflotte mit den Merkmalen des unabhängigen Patentanspruchs 1 und die erfindungsgemäße Anordnung zur Validierung einer Pre-Trigger- Funktion für Sicherheitssysteme in Fahrzeugen einer Fahrzeugflotte mit den Merkmalen der unabhängigen Patentanspruchs 5 haben demgegenüber den Vorteil, dass sowohl Software- Komponenten bzw. Parameter des Algorithmus zur Crasherkennung als auch Software- Komponenten bzw. Parameter der Pre-Crash- Funktion zur Ansteue- rung von Aktuatoren bei einem erkannten bzw. drohenden Crash nachträglich, d.h. nach dem Einbau, aktiviert werden können. Dabei sind die Software- Komponenten zur Crasherkennung grundsätzlich aktiv werden aber mit verschiedenen Parametern über Dummy-Aktuatoren so lange ausgewertet, bis eine bestimmte Robustheit nachgewiesen werden kann. Wenn das der Falls ist, werden die Algorithmen mit der optimalen Parametrisierung zum Eingriff auf die realen Aktuatoren freigeschaltet.

In Ausführungsbeispielen der vorliegenden Erfindung basieren Algorithmen, wel- che das Ziel verfolgen einen unvermeidbaren Crash zu erkennen auf derselben Grundidee sind aber in Abhängigkeit von erforderlicher Erkennungsrate, Erkennungszeit und Robustheit anders ausgestaltet bzw. parametrisiert. So ermöglicht der erste Parametersatz bei einem niedrigen Validationsgrad beispielsweise nur unkritische Eingriffe mit reversiblen Maßnahmen bzw. Eingriffe mit starker Einschränkung des Wirkungsfeldes, um damit auch bei einem niedrigen Validationsgrad eine hohe Robustheit zur Verfügung zu stellen. Der zweite Parametersatz ermöglicht bei einem hohen Validationsgrad die Aktivierung von Eingriffen mit höherem Sicherheitsrisiko bzw. von irreversiblen Maßnahmen und Eingriffe mit einem verbreiterten Wirkungsfeld, da diese durch den hohen Validationsgrad abgesichert sind.

Ausführungsformen der vorliegenden Erfindung stellen ein Sicherheitssystem für ein Fahrzeug einer Fahrzeugflotte mit Personenschutzmitteln, einer

Kontaktsensorik zur Erfassung von mindestens einer aufprallrelevanten physikalischen Größe, einem Pre-Crash-System, welches eine Umfeldsensorik zur Erfassung von mindestens einer crashrelevanten physikalischen Größe im Fahrzeugumfeld umfasst, und einer Auswerte- und Steuereinheit zur Verfügung, welche die von der Kontaktsensorik und von der Umfeldsensorik erfassten physikalischen Größen zur Aufprallerkennung und zur Pre-Crash- Erkennung auswertet und in Abhängigkeit von der Auswertung und von vorgegebenen Parametern mindestens einen Aktuator der Personenschutzmittel ansteuert. Erfindungsgemäß weist das Pre-Crash-System mindestens einen Dummy-Aktuator und eine adaptive Pre-Trigger- Funktion auf, welche in Abhängigkeit vom aktuellen Validierungsgrad mit verschiedenen Parametersätzen implementiert ist und die erfassten physikalischen Größen zur Pre-Crash- Erkennung auswertet, um einen unvermeidbaren Crash zu erkennen, wobei ein erster Parametersatz, welcher die Pre-Trigger- Funktion auf einen Dummy-Betrieb einschränkt, in welchem die Pre- Trigger- Funktion zumindest ein Auslösesignal für den Dummy-Aktuator erzeugt, wenn die Auswertung der physikalischen Größen auf einen unvermeidbaren Crash schließen lässt, so lange implementiert ist, bis der aktuelle Validierungsgrad eine vorgegebene Bedingung erfüllt, wobei die Pre-Trigger- Funktion die Auslösung des Dummy-Aktuators mit dem Verhalten der Auswerte- und Steuereinheit abgleicht und in Abhängigkeit des Abgleichs die Auslösung des Dummy- Aktuators als„Korrekt" oder als„Fehlauslösung" einstuft. Bei dem automatische Abgleich wird die erfolgte Auslösung des Dummy- Aktuators beispielsweise mit den Signalen der im Fahrzeug vorhandenen Kontaktsensorik (Inertialsensorik) verglichen. Wurde nach einer Pre-Crash- Auslösung des Dummy- Aktuators durch die Pre-Trigger- Funktion durch die Kontakt- bzw. Inertialsensorik ein Beschleunigungsimpuls gemessen, welcher die Auswerte- und Steuereinheit beispielsweise zur Auslösung eines Gurtstraffers veranlasst hat, dann kann diese Auslösung als„Korrekt" bzw. als„True Positive" Ereignis gespeichert werden. Fehlt ein solcher Beschleunigungsimpuls, so handelt es sich um eine„Fehlauslösung" bzw. ein„False Positive" Ereignis, welches gespeichert wird.

Zudem wird eine Anordnung zur Validierung einer Pre-Trigger- Funktion für erfindungsgemäße Sicherheitssysteme in Fahrzeugen einer Fahrzeugflotte vorgeschlagen, welche eine Zentrale mit einem Computersystem, einer zweiten Kommunikationsvorrichtung und Speichermitteln umfasst. Hierbei kommuniziert das Computersystem über die zweite Kommunikationsvorrichtung mit den Fahrzeugen der Fahrzeugflotte und tauscht Daten mit den Fahrzeugen aus. Das Computersystem der Zentrale empfängt die Einstufungen von Auslösungen der Dummy- Aktuatoren und/oder die Summe der Betriebsstunden von Fahrzeugen der Fahrzeugflotte. Das Computersystem speichert diese Informationen in den Speichermitteln. Zudem wertet das Computersystem diese Informationen zur Berechnung des aktuellen Validierungsgrads der Pre-Trigger- Funktion und zur Überprüfung des ersten Parametersatzes aus. Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen und Weiterbildungen sind vorteilhafte Verbesserungen des im unabhängigen Patentanspruch 1 angegebenen Sicherheitssystems für ein Fahrzeug einer Fahrzeugflotte und der im unabhängigen Patentanspruch 5 angegebenen Anordnung zur Validierung einer Pre-Trigger- Funktion für Sicherheitssysteme in Fahrzeugen einer Fahrzeugflotte möglich.

Besonders vorteilhaft ist, dass die Pre-Trigger- Funktion einen Datenrekorder umfassen kann, welcher die Einstufung der Auslösung des Dummy-Aktuators speichert und die Betriebsstunden aufsummiert. In vorteilhafter Ausgestaltung des erfindungsgemäßen Sicherheitssystems kann die Pre-Trigger- Funktion eine erste Kommunikationsvorrichtung umfassen, über welche die Einstufung der Auslösung des Dummy-Aktuators und/oder die Summe der Betriebsstunden an eine Zentrale übertragen werden können. Zudem kann die erste Kommunikationsvorrichtung einen aktualisierten ersten Parametersatz oder einen zweiten Parametersatz von der Zentrale empfangen und der Pre-Trigger- Funktion zur Verfügung stellen. Hierbei gibt der zweite Parametersatz einen bestimmungsgemäßen Betrieb der Pre-Trigger- Funktion frei in welchem die Pre-Trigger- Funktion Auslösesignale für den mindestens einen Aktua- tor der Personenschutzmittel erzeugt.

In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung kann das Computersystem bei Bedarf die Anzahl von„Fehlauslösungen" der Dummy- Aktuatoren in Fahrzeugen der Fahrzeugflotte und die Summe der Betriebsstunden dieser Fahrzeuge der Fahrzeugflotte ermitteln und den aktuellen Validierungsgrad der Pre-Trigger- Funktion als Anzahl von„Fehlauslösungen" der Dum- my-Aktuatoren in den Fahrzeugen für eine Zeiteinheit berechnet. Das Computersystem kann den berechneten aktuellen Validierungsgrad der Pre-Trigger- Funktion mit einem vorgegebenen Schwellwert vergleichen, welcher eine geforderte Robustheit der Pre-Trigger- Funktion repräsentiert. Hierbei kann das Computersystem den zweiten Parametersatz an Fahrzeuge der Fahrzeugflotte ausgeben, wenn die Anzahl von„Fehlauslösungen" der Dummy-Aktuatoren in den Fahrzeugen für eine Zeiteinheit den vorgegebenen Schwellwert unterschreitet.

In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung kann das Computersystem über die zweite Kommunikationsvorrichtung direkt oder über eine dritte Kommunikationsvorrichtung mit den ersten Kommunikationsvorrichtungen der Fahrzeuge der Fahrzeugflotte kommunizieren. Die dritte Kommunikationsvorrichtung kann beispielsweise in einer Werkstatt angeordnet werden und den Datenrecorder der Pre-Trigger- Funktion über die erste Kommunikationsvorrichtung während einer Diagnose auslesen. Die Kommunikationsvorrichtungen sind vorzugsweise als IP- Knoten (IP: Internet Protokoll) ausgeführt. Die Freischaltung bzw. Parametrisierung von Software- Komponenten der Pre- Trigger- Funktion erfolgt beispielsweise über eine drahtlose Funkverbindung mit einem IP-Knoten in dem jeweiligen Fahrzeug der Fahrzeugflotte und eine autorisierbare und geschützte Download Funktion. Alternativ kann die Freischaltung bzw. Parametrisierung von Software- Komponenten der Pre-Trigger- Funktion über ein Diagnosetool in der Werkstatt, beispielsweise bei der Durchführung von Service Intervallen oder bei Facelifts durchgeführt werden. Das Auslesen der in den Fahrzeugen der Fahrzeugflotte gesammelten Daten kann beispielsweise ebenfalls über eine drahtlose Funkverbindung mit IP- Knoten in dem jeweiligen Fahrzeug der Fahrzeugflotte oder über die Diagnoseschnittstelle bei Werkstattaufenthalten erfolgen. Zudem können die einzelnen Fahrzeuge die gesammelten Daten periodisch ober nach einer Auslösung des Dummy-Aktuators über eine Funkverbindung zu einer Cloud oder einem Server in der Zentrale übertragen. Die Zentrale kann beispielsweise vom Fahrzeughersteller, einem Zulieferer oder einem Dienstleister eingerichtet werden, welcher die gesammelten Daten ständig auswerten kann. Da es sich bei der Freischaltung bzw. Parametrisierung von Software- Komponenten der Pre-Trigger- Funktion um eine Aktivierung von sicherheitskritischen Funktionen handelt, erfolgt die Aktivierung, egal in welcher Form sie geschieht, geschützt und nur durch eine autorisierte Stelle.

Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen dargestellt und wird in der nachfolgenden Beschreibung näher erläutert. In den Zeichnungen bezeichnen gleiche Bezugszeichen Komponenten bzw. Elemente, die gleiche bzw. analoge Funktionen ausführen.

Kurze Beschreibung der Zeichnungen

Fig. 1 zeigt ein schematisches Blockdiagramm einer Anordnung zur Validierung einer Pre-Trigger- Funktion für Sicherheitssysteme in Fahrzeugen einer Fahrzeugflotte mit einem Ausführungsbeispiel eines erfindungsgemäßen Sicherheitssystems für ein Fahrzeug einer Fahrzeugflotte.

Ausführungsformen der Erfindung

Wie aus Fig. 1 ersichtlich ist, umfasst eine Fahrzeugflotte 1 mehrere Fahrzeuge, von denen beispielhaft drei Fahrzeuge 1A, 1B, IC dargestellt sind. Jedes dieser Fahrzeuge 1A, 1B, IC umfasst ein Sicherheitssystem 2, das in einem ersten Fahrzeug 1A der Fahrzeugflotte 1 detaillierter dargestellt ist. Wie aus Fig. 1 weiter ersichtlich ist, umfasst das Sicherheitssystem 2 Personenschutzmittel 7, eine Kontaktsensorik 4 zur Erfassung von mindestens einer aufprallrelevanten physikalischen Größe, ein Pre-Crash-System 10, welches eine Umfeldsensorik 3 zur Erfassung von mindestens einer crash relevanten physikalischen Größe im Fahrzeugumfeld umfasst, und eine Auswerte- und Steuereinheit 5.1, welche die von der Kontaktsensorik 4 und von der Umfeldsensorik 3 erfass- ten physikalischen Größen zur Aufprallerkennung und zur Pre-Crash-Erkennung auswertet und in Abhängigkeit von der Auswertung und von vorgegebenen Parametern mindestens einen Aktuator 14A, 14B, 14C der Personenschutzmittel 7 ansteuert. Erfindungsgemäß weist das Pre-Crash-System 10 mindestens einen Dummy- Aktuator 14D und eine adaptive Pre-Trigger- Funktion 12 auf, welche in Abhängigkeit vom aktuellen Validierungsgrad mit verschiedenen Parametersätzen implementiert ist und die erfassten physikalischen Größen zur Pre-Crash- Erkennung auswertet, um einen unvermeidbaren Crash zu erkennen, wobei ein erster Parametersatz, welcher die Pre-Trigger- Funktion 12 auf einen Dummy- Betrieb einschränkt, in welchem die Pre-Trigger- Funktion 12 zumindest ein Auslösesignal für den Dummy-Aktuator 14D erzeugt, wenn die Auswertung der physikalischen Größen auf einen unvermeidbaren Crash schließen lässt, so lange implementiert ist, bis der aktuelle Validierungsgrad eine vorgegebene Bedingung erfüllt, wobei die Pre-Trigger- Funktion 12 die Auslösung des Dummy- Aktuators 14D mit dem Verhalten der Auswerte- und Steuereinheit 5.1 abgleicht und in Abhängigkeit des Abgleichs die Auslösung des Dummy-Aktuators 14D als„Korrekt" oder als„Fehlauslösung" einstuft. In dem durch den ersten Parametersatz freigegebenen Dummy-Betrieb sind im dargestellten Ausführungsbeispiel bei einem niedrigen Validationsgrad beispielsweise nur unkritische Eingriffe mit reversiblen Maßnahmen bzw. Eingriffe mit starker Einschränkung des Wirkungsfeldes möglich, um damit auch bei einem niedrigen Validationsgrad eine hohe Robustheit des Sicherheitssystems 2 zur Verfügung zu stellen.

Im dargestellten Ausführungsbeispiel umfasst die Pre-Trigger- Funktion 12 einen Datenrekorder 18, welcher die Einstufung der Auslösung des Dummy-Aktuators 14D speichert und die Betriebsstunden aufsummiert, und eine erste Kommunikationsvorrichtung 16, über welche die Einstufung der Auslösung des Dummy- Aktuators 14D und/oder die Summe der Betriebsstunden an eine Zentrale 20 übertragbar sind. Zudem empfängt die erste Kommunikationsvorrichtung 16 einen aktualisierten ersten Parametersatz oder einen zweiten Parametersatz von der Zentrale 20 und stellt diese der Pre-Trigger- Funktion 12 zur Verfügung. Der zweite Parametersatz gibt einen bestimmungsgemäßen Betrieb der Pre-Trigger- Funktion 12 frei, in welchem die Pre-Trigger- Funktion 12 Auslösesignale für den mindestens einen Aktuator 14A, 14B, 14C der Personenschutzmittel 7 erzeugt.

Wie aus Fig. 1 weiter ersichtlich ist, umfassen die Personenschutzmittel 7 reversible Rückhaltemittel 7.1, wie beispielsweise elektromotorische Gurtstraffer oder aktive Motorhauben, welche von einem ersten Aktuator 14A ausgelöst werden, irreversible Rückhaltemittel 7.2, wie beispielsweise Innen- und/oder Außen- Airbags, welche von einem zweiten pyrotechnischen Aktuator 14B ausgelöst werden, und adaptive Crashstrukturen 7.3, welche von einem dritten Aktuator 14C ausgelöst werden. Des Weiteren können Aktuatoren vorgesehen werden, welche aktive Eingriffe in das Fahrzeugbremssystem, die Lenkung, das Fahrwerk und/oder das Dämpfersystem vornehmen und/oder eine zusätzliche Bremswirkung erzeugen.

Die Umfeldsensorik 3 umfasst beispielsweise Radar-, Video-, Ultraschall- oder Lidar- Systeme zur Erfassung der crashrelevanten physikalischen Größen im Fahrzeugumfeld. Die Kontaktsensorik 4 umfasst beispielweise Druck- und/oder Beschleunigungssensoren zur Erfassung der aufprallrelevanten physikalischen Größen. Die Auswerte- und Steuereinheit 5.1 und die Komponenten des Pre- Crash-Systems 10 sind im dargestellten Ausführungsbeispiel in einem gemeinsamen Steuergerät 5 implementiert. Zudem können die Auswerte- und Steuereinheit 5.1 und die Pre-Trigger- Funktion 12 beliebige Daten aus Sensorinformationen der Umfeldsensorik 3 und der Kontaktsensorik 4 fusionieren um einen bevorstehenden Aufprall zu erkennen. So kann beispielsweise durch eine intelligente Datenfusion von mindestens zwei physikalisch redundanten Sensorsignalen der Umfeldsensorik 3, wie beispielsweise Radarsignale, welche für Ort- und Geschwindigkeitsmessungen geeignet sind, und Videosignale, welche für eine Objektklassifizierung geeignet sind, eine hinreichend gute und sichere Pre-Crash- Erkennung dargestellt werden. Aber selbst wenn eine solche Abschätzung diese Möglichkeit der Pre-Crash- Erkennung zeigt, bleibt die Anforderung der sicheren Validation des erfindungsgemäßen Sicherheitssystems 2 gegen unerwünschte Fehlauslösungen bestehen.

Daher umfasst die dargestellte Anordnung zur Validierung einer Pre-Trigger- Funktion 12 für Sicherheitssysteme 2 in Fahrzeugen 1A, IB, IC einer Fahrzeugflotte 1 eine Zentrale 20, welche ein Computersystem 22, eine zweite Kommunikationsvorrichtung 24 und Speichermittel 28 umfasst. Das Computersystem 22 kommuniziert über die zweite Kommunikationsvorrichtung 24 mit den Fahrzeugen 1A, IB, IC der Fahrzeugflotte 1 und tauscht Daten mit den Fahrzeugen 1A, IB, IC der Fahrzeugflotte 1 aus. Das Computersystem 22 empfängt die Einstufungen von Auslösungen der Dummy-Aktuatoren 14D und/oder die Summe der Betriebsstunden von Fahrzeugen 1A, IB, IC der Fahrzeugflotte 1, speichert diese Daten in den Speichermitteln 28 und wertet diese Daten zur Berechnung des aktuellen Validierungsgrads der Pre-Trigger- Funktion 12 und zur Überprüfung des ersten Parametersatzes aus.

Das Computersystem 22 ermittelt bei Bedarf die Anzahl von„Fehlauslösungen" der Dummy-Aktuatoren 14D in Fahrzeugen 1A, IB, IC der Fahrzeugflotte 1 und die Summe der Betriebsstunden dieser Fahrzeuge 1A, IB, IC der Fahrzeugflotte 1 und berechnet den aktuellen Validierungsgrad der Pre-Trigger- Funktion 12 als Anzahl von„Fehlauslösungen" der Dummy-Aktuatoren 14D in den Fahrzeugen 1A, IB, IC für eine Zeiteinheit. Das Computersystem 22 vergleicht den berechneten aktuellen Validierungsgrad der Pre-Trigger- Funktion 12 mit einem vorgegebenen Schwellwert, welcher eine geforderte Robustheit der Pre-Trigger- Funktion 12 repräsentiert. Hierbei gibt das Computersystem 22 den zweiten Parametersatz an Fahrzeuge 1A, IB, IC der Fahrzeugflotte 1 aus, wenn die Anzahl von„Fehlauslösungen" der Dummy-Aktuatoren 14D in den Fahrzeugen 1A, IB, IC für eine Zeiteinheit den vorgegebenen Schwellwert unterschreitet. Der zweite Parametersatz ermöglicht bei einem hohen Validationsgrad die Aktivierung von Eingriffen mit höherem Sicherheitsrisiko bzw. von irreversiblen Maßnahmen und Eingriffe mit einem verbreiterten Wirkungsfeld, da diese durch den hohen Validationsgrad abgesichert sind.

Wie aus Fig. 1 weiter ersichtlich ist, kann das Computersystem 22 über die zwei- te Kommunikationsvorrichtung 24 direkt oder über eine dritte Kommunikations- Vorrichtung 26 mit den ersten Kommunikationsvorrichtungen 16 der Fahrzeuge 1A, 1B, IC der Fahrzeugflotte 1 kommunizieren. Die dritte Kommunikationsvorrichtung 26 kann beispielsweise in einer Werkstatt angeordnet werden und den Datenrecorder 18 der Pre-Trigger- Funktion 12 über die erste Kommunikationsvorrichtung 16 während einer Diagnose auslesen.

Im dargestellten Ausführungsbeispiel sind die Kommunikationsvorrichtung 16, 24, 26 jeweils als IP-Knoten ausgeführt. Dies ermöglicht in vorteilhafter Weise die Freischaltung bzw. Parametrisierung von Software- Komponenten der Pre- Trigger- Funktion 12 durch eine entsprechende Kommunikationsverbindung zwischen der zweiten Kommunikationsvorrichtung 24 bzw. der dritten Kommunikationsvorrichtung 26 mit dem der ersten Kommunikationsvorrichtung 16 im Fahrzeug 1A, 1B, IC mit einer autorisierten und geschützten Download- Funktion. So können die Parametersätze von der Zentrale 20 beispielsweise direkt über die zweite Kommunikationsverbindung 24 zur ersten Kommunikationsvorrichtung 16 oder indirekt über die zweite Kommunikationsverbindung 24 und die dritte Kommunikationsverbindung 26 zur ersten Kommunikationsvorrichtung 16 übertragen werden. Zudem können die Daten zwischen der Zentrale 20 und den Fahrzeugen 1A, 1B, IC der Fahrzeugflotte 1 über eine Cloud ausgetauscht werden. Da es sich um eine Aktivierung von sicherheitskritischen Funktionen handelt, erfolgt die Datenübertragung, egal in welcher Form sie geschieht, geschützt und nur durch eine autorisierte Stelle. Die Zentrale 20 kann beispielsweise vom Fahrzeughersteller, einem Zulieferer oder einem Dienstleister eingerichtet werden, welcher die gesammelten Daten ständig auswerten kann.