Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems

Die Erfindung betrifft ein Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems, ein funktional sicheres Audioausgabesystem, ein Fahrzeug mit einem solchen Audioausgabesystem sowie ein Com puterprogramm produkt zum Ausführen des Verfahrens und einen Datenträger mit einem solchen Programm.

Funktional sichere Audioausgaben erfolgen von Systemen, die selbst als funktional ausreichend sicher gelten oder die mit Hilfe von aufwendigen Überwachungseinrichtungen auf der Basis von digitaler Signalverarbeitung arbeiten. Andernfalls kann nur sehr begrenzt der inhaltliche Nachweis eines korrekt ausgegeben Audiosignals erbracht werden, z.B. in Form einer einfachen Messung des Maximalpegels. Es gibt außerdem Diagnose-Verfahren, die mit vom Menschen wahrnehmbaren Testsignalen arbeiten und etwa bei der Automobilproduktion den korrekten Einbau und die Funktion der Infotainment Komponenten in das Fahrzeug überprüfen.

Aufwendige digitale Signalverarbeitungseinrichtungen sind relativ aufwendig und teuer und werden daher mit nicht funktional sicheren Systemfunktionen geteilt. Ein funktionaler Sicherheitsnachweis ist daher sehr aufwendig, weil dieser neben der aufwendigen Signalverarbeitung auch nicht funktional sichere Anteile berücksichtigen muss. Eine Überprüfung aller an der akustischen Übertragung beteiligten technischen Komponenten findet häufig nicht statt, da dies zur Laufzeit des Systems nicht ohne wahrnehmbare Testsignale möglich ist.

Es wäre daher wünschenswert, wenn ein funktional sicheres Audioausgabesystem nicht nur auf aufwendige und teure, sondern auch auf einfach zertifizierte Einrichtungen zurückgreifen könnte und trotzdem ohne übermäßig erhöhten Aufwand die funktionale Sicherheit gewährleistet, sowie die Überprüfung an der Übertragung beteiligten technischen Komponenten zur Laufzeit des Systems durchführen könnte.

Das erfindungsgemäße Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems mit einem einfach zertifizierten Rechenknoten und einem komplexen Rechenknoten, weist die folgenden Schritte auf:

- Erzeugen eines einer Warnung zugeordneten Codes im einfach zertifizierten Rechenknoten;

- Sendes des Codes an den komplexen Rechenknoten;

- Erzeugen, in einem ersten Rechenprozess eines Ausgangsignals, das ein akustisches Wasserzeichen aufweist;

- Sendens des Ausgangsignals an einen zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess;

- Ermitteln, im zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess eines im Ausgangsignal enthaltenen Codes;

- Senden des Codes an den einfach zertifizierten Rechenknoten; und

- Verifizierung, ob das Audioausgabesystem funktional sicher ist anhand eines Vergleichs des erzeugten Codes mit einem auf dem empfangenen Code basierenden Code.

Dies hat den Vorteil, dass Kosten und Aufwand gespart werden kann und die funktionale Sicherheit des Audioausgabesystems, insbesondere auch Teile davon, einfach überprüft werden kann.

Vorteilhafterweise umfasst das erfindungsgemäße Verfahren im Schritt

- Sendens des Ausgangsignals an einen zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess; die Schritte

- Aussenden des Ausgangsignals mittels eines Schallwandlers;

- Empfangen von einem akustischen Signal umfassend des vom Schallwandler ausgegebenen Ausgangsignals durch einen Schallsensor; und der Schritt - Ermitteln, im zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess eines im Ausgangsignal enthaltenen Codes; ermittelt dem im Ausgangsignal enthaltenen Code aus dem akustischen Signal.

Dies hat den Vorteil, dass die funktionale Sicherheit der gesamten Übertragungsstrecke auf einfache und effiziente Art und Weise auf überprüft werden kann.

Vorteilhafterweise umfasst das erfindungsgemäße Verfahren zusätzlich den Schritt:

- Aussenden eines ersten Steuersignals vom einfach zertifizierten Rechenknoten zum komplexen Rechenknoten, um das Einbeziehen eines ersten Signals in das Ausgangsignal zu aktivieren.

Dies hat den Vorteil, dass zusätzliche, insbesondere sicherheitsrelevante Informationen mitgeteilt und aktiviert werden können und somit die Sicherheit und die Flexibilität des Verfahrens erhöht werden kann.

Alternativ oder zusätzlich können noch folgende Schritte ausgeführt werden:

- Überlagern des erzeugten Codes mit einem dem einfach zertifizierten Rechenknoten bekannten und für das Signal charakteristischen Code;

- Generieren des Ausgangssignals aus dem akustischen Wasserzeichen und zumindest eines aus dem ersten Signal oder einem zweiten Signal; und

- Aussenden eines zweiten Steuersignals vom einfach zertifizierten Rechenknoten zum komplexen Rechenknoten, um eine Begrenzungsstufe zu aktivieren, die einen Signalpegel eines zweiten Signals begrenzen kann.

Dies hat den Vorteil, dass zusätzliche, insbesondere sicherheitsrelevante Funktionen mitgeteilt und aktiviert werden können und somit die Sicherheit und die Flexibilität des Verfahrens erhöht werden kann.

Vorteilhafterweise weist das erfindungsgemäße Verfahren den folgenden zusätzlichen Schritt auf: - Aussenden eines dritten Steuersignals vom komplexen Rechenknoten zum einfach zertifizierten Rechenknoten, um das Einbeziehen des zweiten Signals in das Ausgangsignal mitzuteilen.

Dies hat den Vorteil, dass auch nicht sicherheitsrelevante Signale benutzt werden können und die Überprüfung einfacher und flexibler gestaltet werden kann.

Vorteilhafterweise wiederholt das erfindungsgemäße Verfahren die Schritte

- Ermitteln, in einem zweiten, vom ersten Rechenprozess unabhängigen Rechenprozess, eines im akustischen Signal enthaltenen Codes; und

- Senden des Codes an den einfach zertifizierten Rechenknoten;

Dabei kann insbesondere der Code mehrfach im Ausgangssignal vorhanden sein, und der auf dem empfangenen Code basierende Code durch eine statistische Verarbeitung des wiederholt ermittelten und an den einfach zertifizierten Rechenknoten gesendeten Codes erzeugt werden.

Dies hat den Vorteil, dass die Auswertung, Überprüfung und Sicherheit der Übertragung besonders sicher und robust gegen Störeinflüsse ist.

Zusätzlich kann das erfindungsgemäße Verfahren dadurch gekennzeichnet sein, dass der Vergleich des erzeugten Codes mit dem auf dem empfangenen Code basierenden Code eine Wahrscheinlichkeit für eine positive Verifizierung liefert. Dabei besagt dies, dass das Audioausgabesystem also mit einer gewissen Wahrscheinlichkeit funktional sicher ist. Dabei kann zumindest ein Schwellwert vorgesehen sein, bei dessen Überschreiten eine positive, bei dessen Unterschreiten eine negative oder keine Verifizierung der funktionalen Sicherheit festgestellt wird. Alternativ oder zusätzlich kann der Vergleich des erzeugten Codes mit dem auf dem empfangenen Code basierenden Code eine Wahrscheinlichkeit für eine negative Verifizierung, dass das Audioausgabesystem also mit einer gewissen Wahrscheinlichkeit funktional nicht sicher ist, liefern. Dabei kann auch zumindest ein Schwellwert vorgesehen sein, bei dessen Unterschreiten eine negative, bei dessen Überschreiten eine positive oder keine Verifizierung der funktionalen Sicherheit festgestellt wird. Dies hat den Vorteil, dass sich bedarfsgerecht die Sicherheit flexibel einstellen lässt.

Vorteilhafterweise führt ein erfindungsgemäßes Verfahren bei einer negativen und/oder bei keiner Verifizierung, die also besagt, dass das Audioausgabesystem funktional nicht sicher ist, zumindest eines aus den folgenden Schritten aus:

- Ansteuern einer einfacheren aber zuverlässigen alternativen Audioausgabe;

- Schalten des Systems in einen sicheren Zustand;

- Informieren des Fahrers über das Vorliegen eines Systemfehlers;

- Veranlassung einer Überprüfung basierend auf redundanten Eigenschaften des Audioausgabesystems; und

- Veranlassen einer Kompensation basierend auf redundanten Eigenschaften des Audioausgabesystems.

Dies hat den Vorteil, dass auf einen Ausfall der funktionalen Sicherheit flexibel und bedarfsgerecht reagiert werden kann und der Fahrer jederzeit über sicherheitsrelevante Umstände informiert werden kann.

Ein erfindungsgemäßes funktional sicheres Audioausgabesystem zum Ausführen eines erfindungsgemäßen Verfahrens umfasst einen Schallwandle, einen Schallsensor, einen einfach zertifizierten Rechenknoten und einen komplexen Rechenknoten.

Dies hat den Vorteil, dass sich das Audioausgabesystem einfach und kostengünstiger ehrstellen lässt. Außerdem übertragen sich die Vorteile des Verfahrens auf das Audioausgabesystem.

Vorteilhafterweise ist ein erfindungsgemäßes Audioausgabesystem dadurch gekennzeichnet, dass der erste Rechenprozess und der zweite, vom ersten Rechenprozess unabhängige Rechenprozess, auf demselben physikalischen Rechenknoten ausgeführt werden, wobei insbesondere der erste Rechenprozess und zweite Rechenprozess durch zumindest eine Speicherisolationstechnik voneinander getrennt sind. Dies hat den Vorteil, dass die Sicherheit z.B. gegenüber möglichen Programmierfehlern erhöht wird und der Anteil an komplexen Bauteilen reduziert werden kann.

In einer alternativen Ausführungsform wird das Kodieren des akustischen Warnsignals S mit dem Wasserzeichens W bereits im Vorfeld in einer zertifizierten Umgebung erfolgen, so dass das Wasserzeichen von vorneherein Bestandteil der im Audioausgabesystem bzw. Fahrzeug gespeicherten Audiodaten ist. Dadurch kann eine Vereinfachung der Rechenoperationen des Audioausgabesystems erfolgen. Jeder Warnung ist somit auch ein fester Code bzw. ein Codepaar zugeordnet. Diese Zuordnung kann in einer gesonderten Datenbank gespeichert werden. Vom einfach zertifizierbaren Rechenknoten kann somit auch nur ein Repräsentant der Warnung und nicht unbedingt der Code an den komplexen Knoten gesendet werden.

Dies hat den Vorteil, dass dadurch Fehler, die durch die Kenntnis des Codes im komplexen Knoten auftreten, verhindert werden können und die notwendige Datenverarbeitung reduziert und vereinfacht wird. Der komplexe Knoten hat in diesem Fall überhaupt keine Information über den Code.

Dementsprechend weist ein solches Verfahren zum Betreiben eines funktional sicheren Audioausgabesystems mit einem einfach zertifizierten Rechenknoten und einem komplexen Rechenknoten zumindest die folgenden Schritte auf:

- Einlesen eines einer Warnung (R) zugeordneten Repräsentanten und eines Codes (A1) aus einer Datenbank im einfach zertifizierten Rechenknoten (A);

- Sendes des Repräsentanten an den komplexen Rechenknoten (B);

- Erzeugen, in einem ersten Rechenprozess (B1) eines Ausgangsignals (Y), das ein akustisches Wasserzeichen (W) aufweist;

- Sendens des Ausgangsignals (Y) an einen zweiten, vom ersten Rechenprozess (B1) unabhängigen Rechenprozess (B2);

- Ermitteln, im zweiten, vom ersten Rechenprozess (B1) unabhängigen Rechenprozess (B2) eines im Ausgangsignal (Y) enthaltenen Codes (A2); - Senden des Codes (A2) an den einfach zertifizierten Rechenknoten (A); und

- Verifizierung, ob das Audioausgabesystem funktional sicher ist anhand eines Vergleichs des eingelesenen Codes (A1) mit einem auf dem empfangenen Code (A2) basierenden Code.

Ein erfindungsgemäßes Fahrzeug mit einem erfindungsgemäßen funktional sicheren Audioausgabesystem ist zum Ausführen des erfindungsgemäßen Verfahrens ausgebildet.

Dies hat den Vorteil, dass sich das Fahrzeug dadurch kostengünstiger Fierstellen lässt und die funktionale Sicherheit gewahrt bleibt. Außerdem übertragen sich die Vorteile des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Audioausgabesystems auch auf das erfindungsgemäße Fahrzeug.

Ein erfindungsgemäßes Computerprogramm umfasst Befehle, die bei der Ausführung des Programms durch ein eingebettetes System dieses veranlassen, das erfindungsgemäße Verfahren auszuführen.

Dies hat den Vorteil, dass sich das Verfahren flexibel anpassen und auf vielen verschiedenen Systemen ausführen lässt.

Ein erfindungsgemäßer Datenträger speichert das erfindungsgemäße Computerprogramm.

Dies hat den Vorteil, dass sich das sich das Computerprogramm einfach transportieren, sichern und vervielfältigen lässt.

Das Verfahren überprüft die gesamte akustische Übertragungsstrecke bis zum Fahrer einschließlich der Lautsprecher. Es benötigt dazu keine vom Menschen wahrnehmbaren Testsignale. Die Verfahren zum Erkennen von akustischen Wasserzeichen sind sehr zuverlässig und robust gegenüber äußeren Störungen, so dass ein Einsatz auch bei Vorliegen von akustischen Störungen aus dem Fahrzeuginneren oder der Umgebung erfolgen kann. Die Erfindung ermöglicht den Einsatz von nicht zertifizierbaren, d.h. komplexen Prozessoren, die auch noch viele andere Aufgaben außer einer Audioausgabe erfüllen können. Insbesondere kann dies in Systemen erfolgen, die zusätzlich zu einem sicherheitsrelevanten Audiosignal S weitere Audiosignale dem Fahrer zu Gehör bringen müssen. Ein weiterer wesentlicher Vorteil der Erfindung ist die Aufteilung in einen einfachen und als ausreichend zuverlässig zertifizierbaren Anteil nach ASIL auf dem keine aufwendige oder schnelle Signalverarbeitung im Takt der Audioabtastwerte notwendig ist. Dies ermöglicht eine kostengünstige Realisierung mit heute im Markt erhältlichen Prozessoren. Die Erfindung ermöglicht auch die Nutzung der für die Unterhaltung, Information und Sprachbedienung des Fahrers vorhandenen typischen Einrichtungen eines Fahrerinformationssystems für sicherheitsrelevante, akustische Warnungen oder Mitteilungen ohne dass deren Zuverlässigkeit sicherheitstechnisch für höhere ASIL (Automotive Safety Integrity Level) Stufen größere als QM (Quality Management) nachgewiesen werden muss, da die gesamte akustische Übertragungsstrecke durch relativ einfache und preiswerte Komponenten überwacht wird. Ausfälle einzelner Komponenten können in vielen Fällen rechtzeitig vor einer für den Fahrer sicherheitskritischen Situation erkannt und ausgetauscht werden oder sie können bei vorhandener Redundanz für den Fall einer sicherheitskritischen akustischen Warnung toleriert werden.

Außer in einem Fahrzeug wäre noch ein Einsatz bei sicherheitsrelevanten Durchsagen in öffentlichen Gebäuden und Transportsystemen, Industrieanlagen oder ähnliches, möglich.

Das erfindungsgemäße Konzept für eine funktional sicher Audioausgabe könnte zum Beispiel bis ASIL B zertifizierbar sein.

Weitere Merkmale, Eigenschaften und Vorteile der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung unter Bezugnahme auf die beiliegenden Figuren. Darin zeigen schematisch: Fig. 1 eine Darstellung eines erfindungsgemäßen Verfahrens zum Betreiben eines funktional sicheren Audioausgabesystems;

Fig. 2 eine Darstellung einer digitalen Signalverarbeitung; und

Fig. 3 eine weitere Darstellung einer digitalen Signalverarbeitung.

In Figur 1 ist schematisch ein erfindungsgemäßes sicheres Audioausgabesystem X dargestellt. Das funktional sicheres Audioausgabesystem X wird derart aufgeteilt, dass ein relativ einfach zertifizierbarer (d.h. zum Beispiel mit geringer Komplexität und begrenzter Rechenleistung), insbesondere nach ASIL zertifizierbarer, ausgestatteter Rechenknoten A in einer Ablaufsteuerung (Programm) G einen einer bestimmten Warnung R einen Code A1 zuordnet und zu einem komplexeren Knoten B sendet und dieser mit H ilfe einer digitalen Signalverarbeitung C in einem Rechenprozess B1 aus diesem Code A1 und einem auszugebenden akustisches Warnsignal S ein Signal W erzeugt, das von dem auszugebenden Warnsignal S maskiert wird, das heißt, dass ein Mensch das ausgegebene Signal S nicht von der Überlagerung von S und W unterscheiden kann. Dazu sendet die Ablaufsteuerung G ein Steuersignal A3 an den Rechenprozess B1 , der die Ausgabe des Signals S aktiviert und auf das Warnsignal S als Referenzsignal für die Signalverarbeitung C umschaltet. Für eine sichere und eindeutige Unterscheidung der Signalquelle für Warntöne S von beliebigen anderen Audiosignalen M kann außer dem Code A1 ein charakteristischer und dem Knoten A bekannter Code BK ungleich Null der Signalquelle S (z.B. eine Checksumme der zugehörigen Audiodatei) dem Code A1 z.B. durch eine bitweise Exklusive-Oder-Funktion (XOR) überlagert werden. Für andere Audiosignale M kann A1 unverändert bleiben, indem z.B. eine Null mit A1 verodert wird. Das Signal Wwird auch als akustisches Wasserzeichen bezeichnet. Die Modulierung und Codierung von A1 zum akustischen Wasserzeichen W erfolgt typischerweise in den für das menschliche Gehör irrelevanten und redundanten Signalanteilen des Warnsignals S.

Das Signal S und W und optional weitere Signale M (z.B. Musik) werden addiert zu einem Ausgangssignal Y. Im Falle, dass ein Warnsignal S ausgegeben werden muss, sendet die Ablaufsteuerung G dem Rechenprozess B1 ein Signal A4, das ein Begrenzungsstufe L aktiviert und den Signalpegel von M so weit begrenzt, dass die Warnung S vom Fahrer nicht überhört werden kann und die Erkennung des Wasserzeichens im Ausgangssignal Y nicht gestört oder zu stark verzögert wird. Der Rechenprozess B1 gibt das Ausgangssignal Y typischerweise an einen Verstärker V aus, der das verstärkte Signal an Schallwandler LS (z. B. Lautsprecher) als ein Ausgabesignal ausgibt. Der von den Schallwandlern LS erzeugt Schall und eventuelle andere Geräusche, das akustische Signal Z1 , wird sowohl vom Fahrer als auch von einem Schallsensor MIC aufgenommen. Dieser wandelt das Signal in einen Signalstrom (von Abtastwerten) Z und führt diesen einem zweiten Rechenprozess B2 zu. Dieser zweite Rechenprozess befindet sich vorteilhafterweise im gleichen physikalischen Rechenknoten B, wodurch eine Kostenersparnis ermöglicht wird., könnte aber auch in einem eigenen Rechenknoten untergebracht sein. Dieser Rechenprozess B2 ermittelt mit Hilfe einer Signalverarbeitung D den (wahrscheinlichsten) im Signal enthaltenen Code A2. Der Rechenprozess B2 muss völlig unabhängig vom Rechenprozess B1 arbeiten und kennt insbesondere den Code A1 a priori nicht. Der aus dem Signalstrom Z wahrscheinlichste enthaltene Code A2 wird über viele Wiederholungen hinweg zum Rechenknoten A gesendet, welcher die ermittelten Codes in einer statistischen Verarbeitung H auswertet. Die Ablaufsteuerung K im Rechenknoten A wiederum kann nach ausreichenden Codewiederholungen nun mit hinreichender Zuverlässigkeit entscheiden, ob im empfangenen akustischen Signal Z1 der von den Lautsprechern im akustischen Signal vorhandene Code A1 BK (A1 xor BK) im Falle einer Warntonausgabe durch einen Vergleich mit dem über viele Perioden gemittelten Code A2 vorliegt und damit eine Hörbarkeit des Warnsignals für den Fahrer gegeben ist. Im Falle der Nichtübereinstimmung vom gemittelten Code A2 mit A1 BK liegt ein Fehler im System vor und der Rechenknoten A kann entweder eine einfachere aber zuverlässige alternative Audioausgabe BZ ansteuern oder das System in einen sicheren Zustand schalten, in dem Sinne, dass dem Fahrer das Vorliegen eines Systemfehlers sicher signalisiert wird. Für eine ausreichende Zuverlässigkeit des Gesamtsystems muss sichergestellt sein, dass dem Rechenprozess der Code A1 nicht bekannt ist. Dies kann durch Speicherisolationstechniken (z.B. mit Hilfe von Memory Management Units und einem Betriebssystem, dass Prozessisolation unterstützt) erfolgen. Um die Zuverlässigkeit des Systems zu erhöhen und die Robustheit gegenüber Störsignalen zu vergrößern, kann der zu kodierende Code viele Male im Signalverlauf wiederholt werden und durch eine stochastische Verarbeitung H im Rechenknoten A ausgewertet werden, bevor eine Entscheidung über das Vorliegen eines Systemfehlers in der Ablaufsteuerung K des Rechenknotens A getroffen wird. Insbesondere eignen sich für diesen Zweck Korrelationsfilter, zum Beispiel kann auch ein signalangepasster Filter (Optimalfilter, Matched Filter) verwendet werden.

Bei der Signalausgabe und der Einschätzung, ob das Ausgabesignal die zu informierende Person erreicht hat, können verschiedene Faktoren berücksichtigt werden. Insbesondere können die Umgebungslautstärke, aber auch andere Informationen, speziell persönliche Informationen, persönliche Einstellungen und Flörgewohnheiten berücksichtigt werden. So können zum Beispiel Sitzeinstellungen, die Körperpositionierung, typische Lautstärkeeinstellungen und Informationen insbesondere über Einschränkungen oder Überempfindlichkeiten im Bereich der Hörfähigkeit einer Person berücksichtigt werden. Auch die Anwesenheit bzw. Benutzung von externen Geräten, insbesondere von Hörgeräten, und deren Einstellungen können berücksichtigt werden. Dies wird vorteilhafterweise durch eine Kommunikation der externen Geräte mit einer Fahrzeugkomponente realisiert, kann aber auch indirekt durch Fahrzeugsensoren festgestellt werden. So kann zum Beispiel eine Kamera das Fehlen eines Hörgerätes feststellen und/oder das Abspielen von Tönen und anderen Geräuschen mit einer erhöhten Lautstärke erfolgt.

Ein Funktionieren des Sende- Empfangssystems kann auch im Hintergrund ohne Vorliegen einer Warnung überprüft werden, wenn ein ausreichend lautes Signal M vorliegt. Ob das Audiosignal M ausreichend laut ist, kann die Begrenzungsstufe L ermitteln, da diese die aktuelle Leistung des Signals misst, und der Ablaufsteuerung K als Steuersignal A5 mitteilen. Das Audiosignal M wird der Signalverarbeitung C statt der Warnung S zugeführt und genauso verarbeitet wie S. Wenn das Steuersignal A5 eine ausreichende Audiolautstärke signalisiert, kann die Ablaufsteuerung K anhand des empfangenen Codes A2 entscheiden, ob ein Systemfehler vorliegt. In der Regel muss in diesem Fall keine Entscheidung innerhalb einer kurzen Zeit getroffen werden, weil keine Gefährdung vorliegt, weshalb die Zeiten für die statistische Auswertung entsprechend größer gewählt werden dürfen und damit die Zuverlässigkeit für eine richtigen Entscheidung, ob ein Systemfehler vorliegt oder nicht, steigt. Die Ablaufsteuerung K kann das Ergebnis der Hintergrundüberprüfung nutzen, um sofort den Fahrer über das Vorliegen eines Systemfehlers auf einem anderen funktionsfähigen Weg (z.B. über eine visuelle Ausgabe oder alternativen akustischen Ausgabe) zu informieren und zum Beispiel auffordern den Service aufzusuchen. Da in der Regel heute die Audioausgabe über mehrere Schallwandler (Lautsprecher) erfolgt und oft auch die Aufnahme des Schalls zur Verbesserung der Richtwirkung über mehrere Mikrofone MIC erfolgt, liegt oft ein redundantes akustisches System vor, das nur in dem unwahrscheinlichen Fall eines gleichzeitigen Ausfalls aller Schallwandler oder Mikrofone versagt, was die Signalverarbeitung D und die Ablaufsteuerung K berücksichtigen können. Zum Beispiel kann der Ausfall eines oder mehrerer Mikrofone einfach erkannt werden, solange noch von mindestens einem Mikrofon ein Signalstrom Z mit einem richtig erkannten Code vorliegt. Ebenso ist es möglich die Lautsprecher einzeln zu prüfen, in dem der Code A1 abwechselnd nur einem Lautsprecherkanal überlagert wird oder jedem Lautsprecher verschiedene Codes (die voneinander statistisch unabhängig sind) überlagert werden. In diesen Fällen kann der Fahrer auf einen Service-Fall hingewiesen werden, bevor es zu einem Systemversagen kommt.

Ein scheinbares Systemversagen kann allerdings dann fehlerhafter Weise erkannt werden, wenn ein äußeres akustisches Störsignal derartig laut ist, dass alle Mikrofone versagen, weil sie z.B. in ihre Begrenzung getrieben werden. Ein übersteuertes akustisches Signal Z1 kann jedoch von der Signalverarbeitung D erkannt werden und von einem typischen Signalverlauf eines ausgefallenen Mikrofons unterschieden werden, da dieses keinen Audiosignalpegel oder nur noch geringen Pegel liefert. Im Übersteuerungsfall schickt die Signalverarbeitung D dann einen besonderen Code A2 an die Ablaufsteuerung K, die die Ausgabe einer Warnung an den Fahrer auf einem anderen Wege veranlassen kann, z. B. durch eine visuelle Ausgabe, da der akustische Übertragungsweg zum Fahrer nicht mehr sichergestellt ist. Weiterhin besteht die Möglichkeit, dass bei der Erzeugung, Verarbeitung und/oder Übertragung von Signalen ein Fehler passiert, und daher die Wahrscheinlichkeit, dass der Code A1 und der Code A2 übereinstimmen, im Wesentlichen immer 1 beträgt. Dies kann zum Beispiel dadurch passieren, dass der Rechenprozess B1 nicht richtig vom Rechenprozess B2 getrennt ist und daher der Code A1 dem Rechenprozess B2 bekannt ist oder von ihm fälschlicherweise verwendet wird. Durch eine Veränderung oder Löschung des Codes A1 bzw. des Codes A1 BK nach der Benutzung im Rechenprozess B1 in bzw. aus dem kompletten Speicher könnte ein solcher Fehler aufgedeckt werden.

Alternativ oder zusätzlich, insbesondere in dem Fall, dass die Übertragungsstrecke vom Verstärker V über den Schallwandler LS zum Ohr der Person als funktional Sicher eingestuft oder anderweitig verifiziert werden kann, kann auch das Ausgangsignal Y direkt dem Rechenprozess B2 zugeführt werden. Durch die verifizierte Übertragungsstrecke kann somit die komplette Verarbeitungsstrecke, inklusive die akustische Übertragung als funktional Sicher eingestuft werden. Insbesondere gelangt der eigentlich im akustischen Signal enthaltene Code daher auch im Wesentlichen genauso durch eine rein elektronische Übertragung an den Rechenprozess B2.

Eine beispielhafte Realisierung der digitalen Signalverarbeitung C (Enkoder) ist in Figur 2 dargestellt und beschrieben. Der zu kodierende Code kann durch eine Binäre Phasenumtastung (BPSK) auf einen großen Frequenzbereich gespreizt werden, der bei antipodaler Signalkodierung (z.B. -1 ;1 ) von einer bekannten, pseudozufälligen Signalfolge (PRBS Quelle) und zyklisch wiederholter Codefolge durch eine einfache Multiplikation der Signale realisiert werden kann. Eine Überlagerung des zu kodierenden Codes mit einer solchen bekannten, pseudozufälligen Signalfolge aus der PRBS Quelle mit annähernd weißem Spektrum und einer eindeutigen Spitze in seiner Autokorrelationsfunktion (z.B. mit einer XOR Funktion) vereinfacht die Erkennung des Beginns und der Periode der Impulsfolge da die Autokorrelationsfunktion ein eindeutiges Maximum nach genau einer Periode aufweist. Schließlich kann das Signal mit einer Cosinus-Funktion multipliziert werden, um eine spektrale Verschiebung des maximalen spektralen Beitrags auf einen geeigneten Wert zu erreichen. Des Weiteren kann die Gewichtung der entstehenden Signalfolge im Frequenzbereich (z. B. mittels einer schnellen Fouriertransformation FFT) durch ein psychoakustisches Modell des Menschen so erfolgen, dass die das Signal W unter der Wahrnehmungsschwelle des menschlichen Gehörs bleibt. Das Maskierungsmodell liefert dabei dem Gewichtungsprozess eine Einschätzung über die Schwelle der Maskierung, so dass das Audiosignal M und/oder die Warnung S die Veränderung durch den Code gerade noch maskieren. Außerdem ist es möglich den zu kodierenden Code so zu modifizieren, dass Übertragungsfehler vom Empfänger erkannt werden können z.B. mit Hilfe von Faltungscodes.

Wenn mehrere sicherheitsrelevante Sounds gleichzeitig ausgegeben werden müssen, können PNR Signalen mit orthogonalen Codes für verschiedene Sounds und zur besseren und sicheren Unterscheidbarkeit mit unterschiedlichen Code-Periodenlängen verwendet werden.

Eine beispielhafte Implementierung der Signalverarbeitung D (Dekoder) ist in Figur 3 dargestellt und beschrieben und weist ein Optimalfilter (Matched Filter) auf, dem der Abtastdatenstrom z[k], der vom Mikrofon kommenden Signalstrom Z, zugeführt wird. Das Optimalfilter weist eine zum PRBS Signal zeitlich umgekehrte Impulsantwort d[N-n] auf, dass jeweils an den Grenzen der Symboldauern Tsymb = n ^* T0 eine maximale Korrelation oder Antikorrelation mit dem Eingangssignal aufweist. Diese Extrema werden von einer Synchronisationseinheit erkannt und steuern eine Abtasteinheit an, die den Ausgang des Optimalfilters o[k] zu den Zeitpunkten n abtastet und einem Schwellwertentscheider zuführt. Dieser entscheidet ob eine ausreichende Korrelation für ein positives Bit (Datenbit g[n] und PRBS Folge d[n] sind gleich) oder eine ausreichende Antikorrelation (Datenbit g[n] und PRBS Folge d[n] sind verschieden) für eine negatives Bit anhand einer empirisch zu wählenden Schwelle S vorliegt. Ist dies nicht der Fall gibt der Entscheider eine 0 aus, die auf ein nicht erkanntes Bit bzw. ein Bitfehler hinweist. So entsteht am Ausgang des Dekoders D der Code A2, der eine Schätzung des Codes A1 BK darstellt. Da dieser Code A2 noch Bitfehler aufweisen kann oder sogar Schätzfehler, wird dieser zu einer stochastischen Auswerteeinheit Fl im Rechenknoten A über viele Perioden N der Codefolge A1 gesendet. Die stochastische Auswertung kann nun diese Auswerteeinheit sehr einfach durch Aufaddieren der Datenbits an gleichen Bitpositionen der empfangenen Codewörter A2 durchführen und das Ergebnis einem Schwellwertentscheider in der Ablaufsteuerung K zuführen.

Das Kodieren des akustischen Warnsignals S mit dem Wasserzeichens W kann auch in einer alternativen Ausführungsform bereits im Vorfeld in einer zertifizierten Umgebung erfolgen, so dass das Wasserzeichen von vorneherein Bestandteil der im Audioausgabesystem X bzw. Fahrzeug gespeicherten Audiodaten ist. Dadurch kann eine Vereinfachung der Rechenoperationen des Audioausgabesystems X erfolgen. Jeder Warnung R ist somit auch ein fester Code A1 bzw. ein Codepaar A1 , BK zugeordnet. Diese Zuordnung kann in einer gesonderten Datenbank gespeichert werden. Vom einfach zertifizierbaren Rechenknoten A kann somit auch nur ein Repräsentant der Warnung R und nicht unbedingt der Code A1 an den komplexen Knoten B gesendet werden. Dadurch können Fehler, die durch die Kenntnis des Codes A1 im komplexen Knoten B auftreten, verhindert werden. Der komplexe Knoten B hat in diesem Fall überhaupt keine Information über den Code A1 .

Dementsprechend wird zuerst ein einer Warnung R zugeordneter Repräsentant und ein Code A1 aus einer Datenbank vom einfach zertifizierten Rechenknoten A eingelesen. Der Repräsentant wird an den komplexen Rechenknoten B gesendet, um dort das der Warnung zugeordneten Audiosignal, das zumindest den Code A1 als Wasserzeichen umfasst, zu bestimmen. Auf die Datenbank, die die Codes A1 und die Repräsentanten umfasst, darf der Rechenknoten B keinen Zugriff haben. Das Audiosignal wurde dabei im Vorfeld in einer zertifizierten Umgebung erstellt und während oder nach der Produktion des Audioausgabesystems darauf gespeichert. Die zertifizierte Umgebung ist dabei für das Erstellen von Audioausgabedaten für sicherheitskritische Anwendungen im Automobilbereich geeignet, so dass damit ein hohes ASIL-Level, d.h. höher als QM-Level, erreicht werden kann. In einem ersten Rechenprozess B1 wird dann ein Ausgangsignals Y, dass das Audiosignal mit dem Code A1 umfasst, erzeugt. Das Ausgangssignal wird dann an einen zweiten, vom ersten Rechenprozess B1 unabhängigen Rechenprozess B2 gesendet. Dort wird dann ein im Ausgangsignal Y enthaltener Code A2 extrahiert. Dieser extrahierte bzw. empfangene Code A2 wird dann an den einfach zertifizierten Rechenknoten A gesendet. Dort wird dann der eingelesene Code A1 mit einem auf dem empfangenen Code A2 basierenden Code verglichen, um zu verifizieren, ob das Audioausgabesystem funktional sicher ist.

Besonders vorteilhaft ist es, wenn das Senden des Ausgangsignals Y an den zweiten, vom ersten Rechenprozess B1 unabhängigen Rechenprozess B2 über die Lautsprecher-Mikrophon-Strecke stattfindet. So kann verifiziert werden, ob das Audioausgabesystem funktional sicher ist.

Die Audiosignale, die das Wasserzeichen bereits umfassen, und die dazugehörigen Repräsentanten und Codes A1 können auch vorteilhafterweise nachträglich über Softwareupdates, insbesondere über Fernwartung zur Verfügung gestellten Updates, sogenannte Over-The-Air-Updates, dem Audioausgabesystem zur Verfügung gestellt werden.

Ein solches funktional sicheres Audioausgabesystem X umfasst dabei zumindest einen Schallwandler LS, einen Schallsensor MIC, einen einfach zertifizierten Rechenknoten A, eine Datenbank und einen komplexen Rechenknoten B.

In Fahrzeugen kann insbesondere der Schallwandler und der Schallsensor auch in Form von Verkleidungsbauteilen ausgestaltet sein. Weiterhin kann auch das räumlich gezielte Aussenden von Schallwellen per Laser ausgeführt werden.

Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt. Variationen hiervon können vom Fachmann abgeleitet werden, ohne den Schutzumfang der Erfindung, wie er durch die nachfolgenden Patentansprüche definiert wird, zu verlassen.