控制器、情境广播器和警报处理设备

摘要

一种控制器可包括一个或多个处理器，该一个或多个处理器被配置成用于：控制表示汽车的致动器的操作的汽车操作功能；经由现场总线通信网络根据汽车现场总线通信协议接收第一消息，其中该第一消息包括与该汽车相关联的情境信息；确定该情境信息与该汽车操作功能的状态之间的关系是否满足预定义准则；根据该汽车现场总线通信协议来生成第二消息，其中该第二消息包括表示该确定的结果的信息。

说明书

相关申请的交叉引用

本申请要求2018年12月14日提交的美国非临时申请第16/220,251号的优先权，所述专利申请的全文通过援引并入本文。

技术领域

本公开的各方面一般涉及控制器、情境广播器和警报处理设备。

背景技术

一般而言，CAN(控制器局域网)可用于稳健的交通工具消息总线，该总线在现有和将来交通工具中被广泛采用并被设计成允许微控制器和设备在没有主机计算机的情况下彼此通信。CAN依靠基于消息的协议，其中诸如引擎控制单元、制动系统、巡航控制(作为示例)之类的消息源通过消息ID来标识(也被称为软连线)。然而，CAN通信协议开放性以及缺少内置安全基础设施是与CAN的各种竞争对手相比安全性较弱且弹性较低的主要原因。

例如，攻击者可将恶意设备连接到调试套接字(OBD-板载诊断)或替换一个CAN连接单元(例如，ECU(电子控制单元)或MCU(微控制器))，并且广播欺诈消息或者用共享替代值的冲突消息来覆写真实消息，这些冲突消息迷惑关键系统并且可能导致严重事故。

常规上，CAN安全性由提供异常检测的若干插件来增强。常规的异常检测在保护交通工具消息收发基础设施方面造成障碍。

例如，可应用由CAN连接端点进行的消息加密和认证(MEC)。然而，MEC可增加功耗和/或影响性能，以使其操作可能不适用于低功率MCU/ECU。此外，MEC可包括密钥配置和管理功能，这些功能打开附加攻击面并且使得一些维护规程复杂化。

例如，可应用异常/入侵检测(IDS)系统。IDS可受到在一些系统中可能不适用的检测延迟的限制。此外，IDS可能是昂贵的并且可需要紧密/侵入式CAN集成。

例如，序列分析可以包括基于正常样本的汇总历史的布林格异常(不太可能的值)的概率度量。然而，该序列分析可导致低响应时间并且是非常专用且容易出错的。

由此，常规的异常检测系统是昂贵的、计算密集的、缓慢的、复杂且不可缩放的。将IDS系统置于MCU/ECU之外使得对所确定的异常的缓解是易受攻击的。给恰当的ECU/MCS的IDS命令可被阻塞或欺骗，以使得MCU/ECU将无法相应地做出反应。

附图说明

在附图中，贯穿不同的视图，相同的附图标记一般指代相同部分。这些附图不一定是按比例的，而是一般着重于说明本发明的原理。在以下描述中，参照下面的附图描述本发明的多个方面，其中：

图1A用示意性横截面视图示出了根据各方面的汽车，并且图1B用示意性通信图示出了该汽车；

图2用示意性通信图示出了根据各方面的汽车警报检测系统；

图3用示意性流程图示出了根据各方面的汽车警报检测系统的操作；

图4用示意性架构图示出了根据各方面的情境消息；

图5用示意性处理图示出了根据各方面的控制器；

图6用示意性架构图示出了根据各方面的警报消息；

图7用示意性处理图示出了根据各方面的控制器；

图8用示意性处理图示出了根据各方面的情境广播器；

图9用透视图示出了根据各方面的更广泛情境提供器的示例；以及

图10用示意性处理图示出了根据各方面的通信系统。

具体实施方式

以下详细描述中对附图进行参考，附图通过图示方式示出了可在其中实施本发明的具体细节和示例。

在此使用词语“示例性”来意指“用作示例、实例或说明”。在此被描述为“示例性”的任何示例或设计并不一定被解释为相对于其他示例或设计是优选的或有优势的。

关于一组要素的短语“至少一个”在本文中可用于意指来自由要素组成的组的至少一个要素。例如，关于一组要素的短语“至少一个”在本文中可用于意指以下各项中的选择：所列要素中的一个、所列要素中的多个要素、多个单独的所列要素、或多个所列要素中的多个。

例如，如本文中所使用的术语“处理器”可被理解为允许处置数据、信号(作为示例)的任何种类的实体。可根据由处理器执行的一个或多个特定功能来处理的数据、信号(作为示例)。

处理器或控制器因此可以是或可包括模拟电路、数字电路、混合信号电路、逻辑电路、处理器、微处理器、中央处理单元(CPU)、图形处理单元(GPU)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、集成电路、专用集成电路(ASIC)(作为示例)，或其任何组合。下文将进一步详细描述的相应功能的任何其他种类的实现方式也可被理解为处理器或逻辑电路。应理解，本文中详述的处理器或逻辑电路中的任何两个(或更多个)可被实现为具有等效功能的单个实体，并且相反地，本文中详述的任何单个处理器或逻辑电路可被实现为具有等效功能的两个(或更多个)分开的实体。可以理解，本文详述的各方法步骤中的一者或多者可由处理器执行(例如，实施)，可由处理器执行的一个或多个特定功能来实现。

本文详述的术语“系统”(例如，驱动系统、位置检测系统等)可被理解为交互元件的集合，作为示例而非限制，这些元件可以是一个或多个机械组件、一个或多个机电转换器(或其他类型的致动器)、一个或多个电子组件、一个或多个指令(例如，被编码在存储介质中)、一个或多个控制器等。

术语“致动器”可被理解为负责例如通过打开阀来移动和控制机构或系统的任何组件(例如，机器的组件)。致动器例如可需要控制信号和能量源。控制信号可将比能量源更少的能量传送到致动器。控制信号可以是电压或电流。当致动器接收到控制信号时，致动器可通过将控制信号能量转换成机械能(例如，通过运动)来进行响应。换言之，致动器可包括机电转换器或由机电转换器形成。也可使用其他类型的致动器，例如将控制信号能量会聚或转换成辐射(例如，光)能、热能、气动能、另一电能、以及水力能中的至少一者。

术语“控制器”可被理解为任意种类的逻辑实现实体，其可以是专用电路或执行存储在存储器中的软件、执行固件或执行软件与固件的任何组合的处理器。因此，“控制器”可以包括硬接线逻辑电路或诸如可编程处理器这样的可编程逻辑电路，可编程处理器例如微处理器(例如，复杂指令集计算机(CISC)处理器或精简指令集计算(RISC)处理器)。另外地或另选地，“控制器”可包括一个或多个处理器，该一个或多个处理器执行软件或至少代码段，例如任何种类的计算机程序，例如使用诸如Java等虚拟机代码的计算机程序。

控制器可以例如通过代码段(例如，软件)来被配置成控制系统(例如，其工作点)(例如，汽车或其部件，例如至少其动力总成)的操作。一般而言，系统可包括要操作的一个或多个功能(也被称为操作功能)，该一个或多个功能中的每一者可被控制以用于操作整个系统。

术语“控制”可被理解为对系统的预期改变，例如通过影响。因此，系统的状态(例如，一个或多个操作功能)可根据目标状态来改变。调节可被理解为闭环控制回路，即，另外，抵消了系统状态的改变(例如，由于干扰或其他错误)。说明性地，纯控制(也称为开环控制回路)可以实现前向控制通道，并由此说明性地实现顺序控制，该顺序控制将输入变量直接转换为输出变量。该控制通道还可以是包括反馈通道的闭环控制回路的一部分，以使得实现调节。与纯前向控制通道相反，该调节包括输出变量对输入变量的连续影响，该影响受闭环控制回路(包括反馈)的影响。换言之，作为对控制的替换或补充，可实现调节，或者作为对控制器的替换或补充，可使用闭环控制器。在闭环控制的情形中，将受控变量(例如，基于所测量的值)的实际值与参考值(目标值或默认值)相比较，并且基于该比较，可影响受控变量(例如，使用致动器)，以使得受控变量的相应实际值与参考值的偏离将被最小化。

控制器可任选地包括存储器，例如存储表示由该控制器提供的过程的代码段，例如控制一个或多个操作功能。另外地或另选地，作为示例，该存储器可存储一个或多个准则、规则和算法，如本文详述的。

如本文使用的，“存储器”可被理解为非暂态计算机可读介质，数据或信息以可被存储于其中以供检取。因此，对本文中所包括的“存储器”的引用可被理解为指代易失性或非易失性存储器，包括随机存取存储器(“RAM”)、只读存储器(“ROM”)、闪存、固态存储、磁带、硬盘驱动器、光盘驱动器等、或其任何组合。此外，应领会，寄存器、移位寄存器、处理器寄存器、数据缓冲器等在本文中也被术语存储器所涵盖。应领会，被称为“存储器”或“一存储器”的单个组件可由多于一种不同类型的存储器组成，并且因此可指代包括一种或多种类型的存储器的集体组件。容易理解的是，任何单个存储器组件可被分成多个集体等同的存储器组件，并且反之亦然。此外，虽然存储器可被描绘为与一个或多个其他组件分离(诸如，在附图中)，但是应理解，存储器可被集成在另一个组件内，诸如被集成在公共集成芯片上。

根据各方面，由一个或多个处理器执行的一个或多个过程可说明性地作为对应物由存储在存储器中的代码段实现，其中代码段在由一个或多个处理器执行的情况下使该一个或多个处理器执行这些过程(例如，功能和方法)。例如作为软件的一部分来提供的代码段可经由移动网络来更新，例如按需。

将在下文中更详细地描述的相应过程的任何其他种类的实现也可被理解为由例如控制器的一个或多个处理器来提供。应理解，本文详述的任何两个(或更多个)控制器可被实现为具有基本等效功能的单个控制器，并且相反地，本文详述的任何单个控制器可被实现为具有基本等效功能的两个(或更多个)分开的控制器。附加地，对“控制器”的引用可指代共同形成单个控制器的两个或更多个控制器。

根据各方面，现场总线通信网络可被理解为用于例如经由基于消息的通信协议来进行例如实时分布式通信的网络。现场总线通信网络可例如以菊形链、星形、环形、分支、和/或树形网络拓扑或其混合来提供。经由现场总线通信网络发送的多个消息的次序和优先级由现场总线通信协议来定义。此类现场总线通信协议可针对实时分布式控制来进行配置，例如，标准化为国际电工委员会(IEC)61158(题为“用于测量和控制的数字数据通信–用于在工业控制系统中使用的现场总线”，例如在2017年5月2日的版本中)。现场总线通信协议可被配置成用于基于分组的通信(也被称为基于消息的通信)。每一个消息可至少包括一帧以及嵌入在其中的信息以便经由该消息传送。现场总线通信协议可被配置成满足实时准则以提供实时分布式通信。实时准则可通过汽车操作(例如，汽车动力总成的操作)来定义。为了满足实时准则，现场总线通信网络可被配置成用于时间触发式通信。另外地或另选地，为了满足实时准则，现场总线通信网络可被配置成经由现场总线通信网络在少于约100毫秒(ms)(例如，少于约10ms、1ms或100微秒(例如，少于约10μs或1μs))内递送每一个消息。

根据各方面，各种物理实体(例如，致动器、控制器或传感器等)可以例如经由网络(例如，基于分组的通信)或其他通信类型(例如，数据连接)来彼此连接。可以理解，每一个物理实体都可包括被配置成提供相应类型的通信的接口，例如包括逻辑接口和/或物理接口(例如，插座或针脚)中的至少一者。例如，基于分组的通信可根据由该接口实现的通信协议。在基于消息的通信的情形中，该接口可包括编码器，其被配置成将要发送的信息编码到消息中以便根据相应的通信协议来发送。另外地或另选地，该接口可包括解码器，其被配置成解码来自根据该相应通信协议接收到的消息的信息。

为了控制，可使用模拟或串行通信(例如，模拟控制或串行控制)。例如，该接口可包括被配置成基于要发送的信息来提供(例如，模拟或数字)信号的相应(例如，模拟或数字)信号输出。操作功能的控制可包括模拟通信或数字通信。用于控制的数字通信可被调制，例如脉宽调制或振幅调制。

根据各方面，汽车可包括各种类型的路基车辆，诸如自主(例如，无人驾驶)车辆、乘用车(也被称为汽车或有人驾驶车辆)、公共汽车、卡车或其他机动车，诸如(例如，仅仅)燃烧驱动车辆、(例如，仅仅)电驱动车辆以及燃烧和电驱动车辆(例如，混合动力车辆)，等等。

根据各方面，汽车可以配备有用于异常检测的基础设施。基础设施可包括多个异常检测算法，每一个算法针对多个连接CAN的控制器中的一个特定控制器进行适配以便由该特定控制器执行。由此，提供了分布式异常检测，这使得能够针对控制器的特定类型和操作来适配异常检测算法，由此降低算法复杂性并减小通信范围。例如，控制器可以在本地将控制器外部信息与控制器内部信息(例如，表示受控汽车操作功能)相比较。此外，基础设施可包括广播器，其将云数据作为外部数据提供给多个连接CAN的控制器以使得在每一个连接CAN的控制器中，相应的异常检测算法处理本地和云数据以用于异常检测。

根据各方面，可提供异常检测扩展的因本地MCU/ECU而异的实现。例如，可提供对缓解命令的安全递送的支持(因为缓解命令是在MCU/ECU内部制定的并且未被暴露在CAN总线上)。可提供可缩放且轻量级的非侵入式集成。可提供比常规的基于CAN总线的方法更可靠的异常检测，因为仅仅基于消息监视。

例如，可提供极简和/或廉价的异常检测。例如，该极简和/或廉价的异常检测利用现有组件或者不一定需要附加组件。

例如，可提供比常规方法更快的异常检测，例如因为不一定需要数据合计和求均值。

图1A用示意性横截面视图示出了根据各方面的汽车100，图1B用示意性通信图100b示出了该汽车100。除了汽车100之外，所描述的汽车100的细节也可应用于其他类型的地面车辆(也被称为车辆)。

汽车100可包括以下至少一者：底盘102、车身104和动力总成108。

底盘102可包括车架，车架包括用于装载动力总成108和底盘102中的至少一者的一个或多个区域。动力总成106可包括以下至少一者：一个或多个引擎、一个或多个变速器以及多个(例如4个)车轮106。该一个或多个引擎可包括至少一个燃烧引擎和/或至少一个电力引擎。底盘102可提供汽车的下部，在该下部上可装载汽车100的车身104(也被称为车体)以及一个或多个乘客座椅。动力总成108可任选地包括附加组件，诸如一个或多个刹车、一个或多个档位，等等。

汽车100可任选地包括一个或多个传感器108(也被称为外部邻域传感器108)，其被配置成感测汽车100的外部邻域。汽车100可任选地包括导航系统，其包括一个或多个地理位置传感器(例如，包括GPS传感器)。汽车100可任选地包括移动通信系统，该系统包括一个或多个天线。

导航系统可被配置成(例如，经由音频或视频输出)提供导航信息，诸如但不限于地图信息、汽车100的位置信息、方向信息、关于附近车辆的信息、关于交通状况的信息、路线信息，等等。导航系统可以兼容于定位系统，诸如但不限于全球系统，例如全球定位系统(GPS)、全球导航卫星系统(GLONASS、BDS、IRNSS或伽利略)或者另一基于卫星和/或基于无线电的导航系统，例如基于空间的无线电导航系统或全球导航卫星系统。

GLONASS指的是“全球导航卫星系统”，它是在无线电导航卫星服务中操作的基于空间的卫星导航系统。GLONASS提供对GPS的替代方案，并且是第二个在全球范围内运行且具有相当精度的导航系统。BDS指的是“北斗导航卫星系统”，它是中国的卫星导航系统。IRNSS指的是“印度区域导航卫星系统”，它是提供准确的实时定位和定时服务的自主区域卫星导航系统。伽利略是指通过欧洲GNSS机构(GSA)创建的欧盟的全球导航卫星系统(GNSS)。

该一个或多个外部邻域传感器108可包括一个或多个红外传感器、一个或多个相机、一个或多个麦克风、一个或多个运动传感器、一个或多个超声传感器、一个或多个雷达传感器、一个或多个激光雷达传感器、以及一个或多个接近传感器。可存在其他传感器，例如一个或多个占座传感器。

此外，汽车100可包括如在通信图100b中示出的汽车警报检测系统200。

汽车警报检测系统200可包括汽车现场总线通信网络112、一个或多个控制器114、一个或多个情境广播器116以及可选的一个或多个警报处理设备118。一个或多个控制器114、一个或多个情境广播器116以及一个或多个警报处理设备118可经由汽车现场总线通信网络112来通信地连接。

控制器114可包括或由以下各项形成：芯片、可选的扩展卡、或可选一个或多个接口，该一个或多个接口用于例如经由汽车现场总线通信网络112与汽车100的其他实体通信。每一个控制器114可被配置成控制汽车100的汽车操作功能。

汽车现场总线通信网络112可包括总线系统。该总线系统可包括一个或多个硬件通信组件(例如，一条或多条线缆、一个或多个光纤等)并且包括现场总线通信协议，并且可选地包括根据汽车现场总线通信协议来运行软件组件的一个或多个处理器。

控制器114可以是控制论系统的一部分。该控制论系统可包括闭环控制回路(包括反馈通道和控制通道)。例如，由控制器114控制的致动器可改变一个或多个汽车操作功能的状态，这些汽车操作功能可被潜在地干扰或以其他方式被影响。该一个或多个汽车操作功能的改变(包括干扰)可经由反馈通道被反映给控制器114，这触发控制器14改变致动器以补偿该干扰。例如，控制器114可以是汽车100的引擎控制单元(ECU)、制动系统或巡航控制的一部分。

汽车100的汽车操作功能可被理解为使得能够操作汽车100的功能(也被称为汽车功能)。操作汽车100可包括例如经由操作汽车100的一个或多个驾驶相关实体(例如，引擎、变速器、档位、刹车等)来驾驶汽车100。

为了操作汽车100，可控制汽车100的一个或多个致动器。该一个或多个致动器可包括动力总成108的致动器，诸如档位的一个或多个致动器、引擎的一个或多个致动器、变速器的一个或多个致动器、刹车的一个或多个致动器，等等。致动器可以是开环控制回路或闭环控制回路(包括反馈通道)的一部分，在该回路中汽车操作功能的状态的改变可被反馈(报告)给控制器114。汽车操作功能的示例是刹车控制、巡航控制、变速器控制、引擎管理、驱动控制、档位控制(例如，降档或升档)、加速控制。

例如在各种实现中，汽车警报检测系统200可以下下文中更详细地描述。为了更好地理解，汽车现场总线通信网络112参照CAN(控制器局域网)示例性地描述。然而，相同的网络可以类似地应用于其他类型的汽车现场总线通信网络112，诸如Can-FD(具有灵活数据速率的CAN)、LIN(本地互连网络)或FlexRay。FlexRay提供了一种用于高数据速率(例如，高达10Mbit/s)的汽车现场总线通信协议，并明确支持星形以及“合用线(party line)”总线拓扑，并且可以具有两个独立的数据通道以用于容错。LIN是包括16个节点的广播串行网络，并且提供用于车辆中的各组件之间的通信的串行网络协议。根据LIN，主节点和从节点通常是微控制器，但可以用专用硬件或专用集成电路(ASIC)来实现以节省成本、空间、功率。Can-FD是对国际标准化组织(ISO)11898(标题为“Road vehicles—Controller areanetwork(CAN)(道路车辆-控制器局域网(CAN))”，例如2015年版本)中指定的CAN总线协议的扩展。Can-FD可被配置成在不使用中央“主”计算机的情况下在设备和微控制器之间记录并传送数据，包括错误。CAN FD还允许消息的CAN帧中的更多存储容量。尽管CAN具有在CAN帧中保存8个字节的数据的容量，但CAN FD可以在CAN帧中最多保存64个字节的数据。

图2用示意性通信图示出了根据各方面的汽车警报检测系统200。经由汽车警报检测系统200，可提供对CAN总线的可靠性和安全性的改进。汽车警报检测系统200可提供基于情境的分布式异常检测(CBAD)以支持CAN消息收发系统中的高级、有效、稳健且低成本的异常检测。

利用CAN消息应与来自高级情境信息提供者的输入高度相关的事实，汽车警报检测系统200(也被称为CBAD系统)可允许检测其中CAN消息不匹配预期(相关的)交换(即，这些消息不一致)的情形。

CBAD系统200可被配置成触发异常警报222d和/或所导致的补救规程，例如在检测到这一不一致性(也被称为异常检测)时。CBAD系统200可被配置成通过包括以下系统实体中的一者或多者来利用使用情境信息来检测异常的能力。

作为第一系统实体，CAN通信协议可被配置成用于传送(例如，发送和/或接收)情境消息210c和/或本地警报消息210a，例如以便支持CAN总线112上的情境和警报传播。情境消息和本地警报消息将在稍后更详细地描述。

作为第二系统实体，异常检测模块(ADM)114m(也被称为CBAD模块)可被构建在汽车100的一个或多个控制器中。每一个控制器114可包括ECU(电子控制单元)和/或MCU(微控制器)中的至少一者或由ECU(电子控制单元)和/或MCU(微控制器)中的至少一者形成。ADM114m可经由软件(例如，算法)和/或硬件来实现，例如被添加到常规控制器和/或修改常规控制器。例如，ADM 114m可通过更新控制器的软件(例如，固件)来被添加到控制器。ADM114m可实现稳健且简单的检测逻辑。例如，每一个ADM 114m修改的ECU/MCU可实现其自己的和/或因ECU/MCU而异的检测算法。作为示例，该检测算法可包括较不复杂(例如，if-then-else(如果-则-否则))逻辑或由较不复杂(例如，if-then-else(如果-则-否则))逻辑形成。

作为第三系统实体，一个或多个情境广播器(CB)116可用于创建车内情境并经由CAN总线112广播车内情境。每一个情境广播器116可被配置成从一个或多个“更广泛情境”提供者(WCP)202(例如，包括一个或多个汽车100外部源)接收数据。每一个WCP 202可被配置成提供(例如，生成)源自一个或多个汽车100外部源的高级情境信息。

CB 116可被配置成合并来自车内源204和/或一个或多个汽车100外部源202的信息以创建基本情境细节，从而允许个体控制器114(例如，ECU)在汽车100上实现至少轻量级(简单)的因控制器而异的规程，该规程用于检测指示潜在安全漏洞或系统故障的消息引发的异常。

CB 116可被配置成生成并经由CAN总线112发送一个或多个情境消息(CM)210c。每一个情境消息210c可包括至少一个情境信息，如稍后详细描述的。

控制器114可被配置成发送一个或多个警报消息(AM)210a以便向更高级系统报告已确定异常(也被称为异常事件)。更高级系统可以例如经由一个或多个警报处理设备222来处理每一个AM 210a以确认(也被称为异常确认)所确定的异常。响应于确认所确定的异常，更高级系统222可以例如经由一个或多个警报处理设备222来向汽车100的一个或多个乘客输出警报信号222d，例如音频信号和/或视频信号。例如，警报信号222d可经由汽车100的仪表盘、经由汽车100的音频系统、或经由一个或多个车内光源灯来输出。另外地或另选地，可启动警报响应模式，该模式将汽车100带入安全状况(例如，完全停止)，例如由警报消息222d触发。

可选地，CAN 112(例如，其通信协议)和/或连接到CAN 112的每一个控制器114可被配置成支持AM 210a和/或CM 210c超过8字节大小。例如，消息结构可需要传递超过8字节(例如，由CAN规定的8字节)的数据。因此，CAN 112(例如，其通信协议)可以是兼容CAN-FD的。另选地，可应用其他通信协议变更以超过CAN通信协议的8字节消息大小限制。CAN 112(例如，其通信协议)和/或连接到CAN 112的每一个控制器114可被配置成支持多达64字节大小或更大的有效载荷(即，数据字段)。

例如，可提供现有应用编程接口(API)及其定义中的变更和/或扩展以支持以上能力。一个或多个CB 116可实现情境生成及其管理。为了在现有MCU或另一控制器中实现异常检测，可向该控制器提供ADM 114m。WCP 202可被配置成组合高级能力和低级能力以实现以上功能性。

此外，可提供汽车警报检测系统200(APD)以用于如以下描述的基于基础设施服务的高级异常检测。

图3用示意性流程图300示出了根据各方面的汽车警报检测系统200(例如，警报处理设备222)的操作。

在301中，可由一个或多个控制器114(也被称为异常检测301)检测异常。在303和305中，可由汽车警报检测系统200(例如，APD 222)执行异常确认。异常确认303、305可响应于检测到异常而执行。因此，APD 222可以例如经由AM 210a从一个或多个控制器114接收表示异常的信息(也被称为异常信息)。该异常信息可以例如至少包括该异常检测的底层信息和/或该异常检测的结果。

在303中，第一异常确认可包括使用表示汽车100的外部邻域的信息(也被称为外部信息)(例如，通过将异常信息与该外部信息相比较)来确认该异常信息。外部信息可以例如经由对等通信网络从一个或多个其它车辆接收到。另外地或另选地，外部信息可以从一个或多个其它路侧单元(RSU，也被称为路侧传感器)接收到。例如，外部信息可经由无线通信网络(也被称为移动通信网络)(例如，对等通信网络或车辆间通信网络(v2v通信网络)、蜂窝通信网络等)或另一宽程通信网络来接收。

另外地或另选地，在305中，第二异常确认可包括使用表示汽车100的参考数据的信息(也被称为参考信息)来确认异常信息。第二异常确认在305中可包括将异常信息与参考信息相比较。该参考信息可被存储在一个或多个汽车外部数据库(例如，一个或多个外部(例如，驻定式)计算设备(例如，去中心化的))中。另外地或另选地，参考信息可以是与汽车100相关联的虚拟汽车(也被称为车辆数据化身)的一部分。

例如，参考信息可经由移动通信网络、例如从一个或多个汽车外部(例如，驻定式)计算设备(例如，基于云的计算服务)接收。该计算设备可以应请求参考信息而向汽车100(例如，APD 222)提供该参考信息。换言之，第二异常确认305是在汽车100上执行的。

另外地或另选地，异常信息可经由移动通信网络发送到例如汽车外计算设备，例如基于云的计算服务。在此情况下，该计算设备可执行第二异常确认305并将第二异常确认305的结果返回给汽车100，例如返回给APD 222。参考信息和/或异常信息可经由移动通信网络(也被称为无线通信网络)(例如，对等通信网络或车辆间通信网络(v2v通信网络)、蜂窝通信网络等)或另一宽程通信网络来传送。换言之，第二异常确认305是在汽车100外执行的。类似地，第一异常确认303可以另外地或另选地在汽车100外部执行。

响应于异常被确认，例如当第一和/或第二异常确认303、305的结果为肯定时(例如，如果异常被证实)，APD 222可以输出警报信号222d。所接收到的用于第一和/或第二异常确认303、305的信息可以例如经由通过移动通信网络发送的请求消息来请求。

说明性地，第一和/或第二异常确认303、305可基于更复杂的分析、使用未被存储在车辆上的的数据(也被称为车辆外部数据)来提供更高级的异常检测。

图4用示意性架构图400示出了根据各方面的情境消息(CM)210c。

情境消息210c可包括将该消息标识为包括情境信息403的消息标识符(ID)401。另外，情境消息210c可包括情境信息403。

情境信息403可包括标识情境信息类型(也被称为情境类型)的类型标识符413。例如，汽车警报检测系统200可包括一个或多个连接CAN的CB 116，其中每一个CB 116被指派给一个或多个情境类型并被配置成提供所指派的一个或多个情境类型的一个或多个情境。每一个CB 116可被配置成经由CAN 112发送CM 210c，其中CM 210c包括类型标识符413，该类型标识符413标识包括指派给CM 210c的一种情境类型的情境信息的CM 210c。例如，CBAD系统200可被配置成提供一种或多种(例如，两种或更多种、三种或更多种、四种或更多种、五种或更多种、十种或更多种、二十种或更多种)不同的情境类型，其中每一种情境类型可以例如被指派给CBAD系统200的至少一个CB 116。

可选地，情境类型可被编码，例如数值或二进制。例如，8位或更多位可被保留以用于对情境类型进行编码。可选地，CAN通信协议可被配置成支持用于对各种情境进行编码的多达256位(1字节)。

情境信息一般可表示汽车100的情境，例如包括以下类型中的至少一种类型的情境信息：汽车100自身的信息(即，该汽车的状态，也被称为内部信息)、汽车100的环境的信息(也被称为外部信息或环境信息)、和/或汽车100与汽车100的环境之间的关系的信息(也被称为关系信息)。换言之，情境信息可包括与特定汽车100相关联(例如，相关)的信息，并且例如指示汽车100例如在其环境、在其内部和/或在其与环境的关系方面的变化。例如，内部信息可包括表示汽车100的状态的信息(也被称为状态信息)。

一般而言，情境信息可包括简单数据类型，诸如字符串、布尔值、数字、数组和对象。另外地或另选地，情境信息可包括更复杂的数据类型，诸如功能状态、统计数据、传感器简档、道路细节、交通数据、天气信息以及时间相关信息。情境信息可以与汽车100，例如该汽车的状态(例如，位置、操作模式、占座、车龄、汽车类型、驾驶速度、驾驶方向、温度或环境)相对应(例如，相一致)。

各类情境信息中的一个或多个情境信息(例如，驾驶速度)可响应于汽车100的变化而变化，例如汽车100的状态的变化和/或汽车100与汽车100的环境之间的关系的变化。各类情境信息中的一个或多个情境信息(例如，传感器简档)对于汽车100的变化可以是不变的。各类情境信息中的一个或多个情境信息(例如，外部信息)可包括汽车100外在的信息，例如表示汽车的环境(例如，交通、道路、温度或天气)，环境例如汽车前方和/或后方的环境。各类情境信息中的一个或多个情境信息(例如，状态信息)可包括汽车100内在的信息(例如，驾驶速度、驾驶方向或构造细节)。各类情境信息中的一个或多个情境信息可包括源自汽车100外部的信息。各类情境信息中的一个或多个情境信息可包括源自汽车100的底盘102中的一个或多个传感器的信息。各类情境信息中的一个或多个情境信息可包括源自远离汽车100的动力总成108的一个或多个传感器和/或远离汽车100的一个或多个传感器(也被称为外部传感器)的信息。

情境信息的示例可包括汽车100固有的内部信息，诸如例如汽车100的类型、汽车100的车龄、或汽车100的构造细节(例如动力总成类型、车轮类型、引擎类型)。情境信息的示例可包括与(例如，准入或操作)要求相关的内部信息，诸如例如汽车100的允许重量、汽车100的允许速度或汽车100的允许乘员数。情境信息的示例可包括占座固有的内部信息，诸如例如占座状态(已占座或未占座)、乘客重量、或载重、乘客数量。情境信息的示例可包括巡航固有的内部信息，诸如例如行程目标、驾驶方向、汽车100的速度(也被称为驾驶速度)或驾驶历时。情境信息的示例可包括汽车100外部的信息(也被称为外部信息)，诸如例如道路类型、天气状况、天气预报或环境温度。情境信息的示例可包括与操作模式相关的内部信息，诸如汽车100的操作模式(例如，驾驶或驻定)、引擎的操作模式(例如，空闲或忙碌、转速)、巡航控制的操作模式、或自主驾驶助手的操作模式(或另一驾驶助手的操作模式)。情境信息的示例可包括与交通相关的外部信息，诸如离另一车辆的距离、或交通密度。

汽车100的环境可包括汽车100的外部邻域(在汽车100外部)或由汽车100的外部邻域(在汽车100外部)形成，例如在离汽车100小于约100米(m)(例如，小于约50米(例如，25m、10m或5m))的距离内的外部邻域。

例如，该情境信息可以与未与CAN 112连接(例如，分开)的一个或多个源相关联。该一个或多个源的示例可以是汽车100内的源(也被称为内部或车载源)或汽车100外的源(也被称为外部源)。例如，情境信息可表示汽车100的当前情境状态，例如一个或多个汽车操作功能的附加信息(beside information)(例如，动力总成相关信息)。

情境信息403还可包括表示情境信息的量或参数的数据423(也被称为情境参数423)。情境参数423可以例如表示与情境信息相关联的量，例如，数量、枚举、大小、值等。

情境消息210c可任选地包括时间戳405，该时间戳405表示与情境消息210c相关联的时间顺序信息，例如生成情境消息210c的时间或情境信息403的时间，情境信息403的时间例如确定情境参数423的时间。例如，时间戳405可包括用于管理历史的日期或当日时间中的至少一者。

情境消息210c可任选地包括帧数407。帧数407可包括表示经由CAN发送消息(例如，情境信息210c)的事件的数量的计数器(数字值)。例如，帧数可基于(例如，相对于)时钟信号来提供。例如，帧数407可被配置成保护以防止情境信息210c的重放。

情境消息210c可任选地包括信任属性409。信任属性409可被配置成阻止欺诈、篡改和未授权重放，等等。因此，信任属性409可包括CB 116的信任标识，例如CB 116的数字签名。

例如，情境消息210c可包括以下数据字段中的一者或多者或由以下数据字段中的一者或多者形成，以获取信息：

ID＝情境；

情境类型；

时间戳；

参数值；以及

帧数。

例如，CAN 112(例如其通信协议)和/或连接到CAN 112的每一个控制器114可被配置成支持对信任属性409的验证，例如对一个或多个数字签名的验证。

可选地，CM 210c可被重复(例如，周期性地(例如根据一频率))发送。例如，CB 116可被配置成重复地(例如周期性地)发送CM 210c。例如，帧数可随着CM 210c的每一次重复发送而增加。重复CM 210c例如可以是相同的，但包括不同的帧数407，例如只要情境信息保持不变。例如，CM 210c可由CB 116来创建并加强(例如，数字签名或以其他方式证明)并被周期性地广播。

例如，多个CM 210c可以按预定义频率(也被称为CM频率)(例如，小于约)1/100毫秒(ms)或约1/10秒(s))发送。例如，CM频率可以在预定义的频率范围内，例如在大约1/100ms至大约1/10s的范围内。另外地或另选地，紧接相继的CM 210c可以在时间上在大约100ms至大约10s的范围内彼此间隔。可选地，CM频率可以例如基于情境信息来动态变化(也被称为动态CM广播)。说明性地，CM频率可以按情境调整。例如，如果情境信息表示关键情境(例如，挑战性路况或激进驾驶模式)，则CM频率可以变化，例如增大。说明性地，汽车100的若干环境、汽车100的状态和/或汽车100与汽车100的环境之间的关系可需要更频繁的更新。作为示例，CM频率可以是第一频率，基于情境信息变为第二频率(例如，基于该情境信息持续一段时间)，并且可任选地变回第一频率(例如，基于情境信息)。

增大CM频率可包括在根据第一频率的两个相继CM 210c之间生成(例如，发送)一个或多个CM 210c(也被称为失序CM 210c)。即，排除失序CM 210c或在发送失序CM 210c之前的CM 210c可具有比包括该失序CM 210c的CM 210c更低的频率。失序CM 210c可表示所确定的关键情境。生成(例如，发送)一个或多个失序CM 210c(例如，其数量和/或发送频率)可基于情境信息。说明性地，在汽车100内部的CB 116或汽车100外部的情境模块(例如，情境生成系统)检测到重要的情境变化(例如，关键状况)的情况下可“失序”传播一个或多个CM210c，如稍后详细描述的。

CM 210c的一个或多个(例如每一个)信息401、403、405、407、409可被编码，例如数值或二进制。

CM 210c的示例是：

响应于一个或多个控制器114(例如，连接CAN的系统)中的至少一个控制器114(诸如仪表盘控制器)确定情境信息403与由该控制器控制的汽车功能不一致(即，已检测到异常)，该控制器114可发送一个或多个警报消息(AM)210a，如以下详细描述的。

图5用示意性处理图500示出了根据各方面的控制器114。

控制器114可包括被配置成根据汽车现场总线通信协议进行通信的第一接口502(也被称为现场总线接口)。第一接口502可包括根据汽车现场总线通信协议配置的解码器和编码器中的至少一者。控制器114可包括被配置成控制汽车100(例如动力总成)的一个或多个致动器的第二接口504(也被称为控制接口)。该控制接口504(例如，模拟通信接口)可以例如包括被配置成输出用于一个或多个致动器的驱动信号(例如，模拟驱动信号或数字驱动信号)的信号输出。控制接口504可能不一定支持基于消息的通信，但例如可被配置成用于另一种类型的数字通信或用于模拟通信。控制接口504可被配置成控制由一个或多个致动器提供的一个或多个汽车操作功能。例如，控制器114可经由控制接口504输出设定点信号，以将一个或多个致动器的一个或多个汽车功能设为该设定点。

设定点可被理解为汽车操作功能的参数或者汽车操作功能的过程参数的目标(或期望状态)。这一变量距其设定点的偏离是使用负面反馈来进行错误控制管控以用于自动化控制的一个基础。经由该反馈，控制器114可确定(例如，感测或请求)汽车操作功能的当前状态(例如，参数值)，并基于该当前状态来提供新设定点。

在501中，控制器114可接收包括情境信息的CM 210c。现场总线接口502可以从CM210c中提取(例如，解码)情境信息并将该CM 210c提供给异常检测模块(ADM)114m。

在503中，控制器114可确定汽车功能的(例如，当前)状态512。例如，汽车功能的状态512(也被称为功能状态512)可以从控制器的存储器中读出，经由被配置成感测汽车操作功能的传感器来感测，经由消息来请求，等等。

在301中，控制器114可确定情境信息403与功能状态512之间的关系是否满足预定义准则(也被称为异常检测301)。例如，该准则可以为功能状态512或者为取决于情境信息403和功能状态512的数值参数定义阈值。

可选地，该准则可由控制器114例如响应于接收到CM 210c和/或基于存储在控制器114的存储器中的数据来确定。例如，该准则可使用存储在控制器114的存储器中的规则来确定。例如，该规则可包括算法(例如，归类算法)、数学公式或另一逻辑关系。例如，该规则可被配置成将情境信息403(例如，其情境参数423)转换成该准则，或者以另一种方式基于情境信息403来输出该准则。另外地或另选地，该准则可选自例如存储在控制器114的存储器中的多个准则。例如，该选择可基于情境信息403(例如，其情境参数423)。

在507中，可提供异常检测301的结果514。无论准则是否被满足都可获取结果514。例如，结果可包括二进制信息或错误码，二进制信息例如表示以下情况：“已满足准则”和“未满足准则”。另选地，结果514可包括更复杂的信息，例如情境信息403与功能状态512之间的关系、准则、规则、情境信息403本身、功能状态512本身，等等。

确定关系不满足准则的情况也可被称为确定(例如，检测到)异常事件。

响应于确定未满足准则，在509中，可由控制器114生成AM 210a。生成AM 210a可包括根据现场总线通信协议(例如，CAN通信协议)来对异常检测301的结果514进行编码。换言之，控制器可响应于确定所接收到的情境信息403与由控制器114控制的汽车功能的状态不一致(即，异常)而生成AM 210a。例如，控制器114可以只对由控制器114控制的汽车功能应用异常确定301。

可选地，控制器114可被配置成基于情境信息来确定要确定的功能状态的参数的类型，例如在控制器控制汽车功能的不止一个参数的情况下。例如，参数的类型可选自用于控制汽车功能的多个参数。另外地或另选地，控制器114可被配置成基于情境信息来确定汽车功能，例如在控制器控制不止一个汽车功能的情况下。

可选地，CAN 112(例如，其通信协议)和/或连接到CAN 112的每一个控制器114可被配置成支持AM 210a和/或CM 210c超过8字节大小。例如，消息结构可需要传递超过8字节(例如，由CAN规定的8字节)的数据。因此，CAN 112(例如，其通信协议)可以是兼容CAN-FD的。另选地，可应用其他通信协议变更以超过CAN通信协议的8字节消息大小限制。例如，CAN112(例如，其通信协议)和/或连接到CAN 112的每一个控制器114可被配置成支持多达64字节大小或更大的有效载荷(即，数据字段)。

例如，接收到的情境信息403可指示汽车100的操作模式是“驾驶”。例如，经由规则，操作模式“驾驶”可被转换成表示“驾驶速度应大于0”的准则(也被称为速度准则)。可选地，控制器114确定要感测的汽车功能“速度计”的参数“驾驶速度”。例如，如果速度计的状态由控制器114确定为0(即，汽车100的驾驶速度，例如汽车100是驻定的)，则驾驶速度为“0”不满足速度准则。

响应于确定驾驶速度为“0”不满足“驾驶速度应大于0”的速度准则，可生成AM210a。例如，AM 210a可包括表示异常事件的以下信息(也被称为异常信息)中的至少一者：驾驶速度为“0”、汽车100的操作模式是“驾驶”、和/或速度准则是“驾驶速度应大于0”。

例如，接收到的情境信息指示汽车100的驾驶速度是“100mph”。例如，经由规则，操作模式“100mph”可被转换成准则“档位应大于2”(也被称为档位准则)。可选地，控制器114确定要感测的汽车功能“换挡”的参数“当前档位”。例如，如果换挡的状态可由控制器114确定为1(即，汽车100的档位是第一档)，则档位准则可能不被满足。

响应于确定档位是“1”不满足“档位应大于2”的档位准则，可生成AM 210a。例如，AM 210a可包括以下异常信息中的至少一者：档位是“1”、汽车100的操作模式是“100mph”、和/或准则是“档位应大于2”。

可选地，该准则可基于表示对其将检测不到异常(也被称为异常例外)或者对其将忽略异常事件的功能状态的范围或值的一条或多条例外规则。例如，可实现该一条或多条规则以引发恰当的异常例外和/或定义一个或多个预防动作，例如在驾驶速度高于5mph(每小时英里数)时不进入诊断模式。

图6用示意性架构图600示出了根据各方面的AM 210a。

AM 210a可包括将AM 210a标识为包括异常信息603的消息标识符(ID)601。换言之，消息标识符可包括指示已经确定异常事件(即，在准则未被满足的情况下)的信息。

警报信息603可任选地包括标识警报信息603的类型(也被称为警报类型)的类型标识符613。例如，汽车警报检测系统200可包括一个或多个连接CAN的控制器114，其中每一个控制器114被指派给一控制器类型。例如，CBAD系统200可被配置成提供一种或多种(例如，两种或更多种、三种或更多种、四种或更多种、五种或更多种、十种或更多种、二十种或更多种)不同的控制器类型，其中每一种控制器类型可以例如被指派给CBAD系统200的一个控制器114。例如，警报类型可包括如通过ECU/MCU手册指定的因控制器114而异的预定义值之一，诸如“异常值”、“异常消息类型”、“失序消息”、“非预期消息”。

警报信息603可包括表示异常事件的细节623，例如包括表示异常检测的结果的信息。例如，警报信息603可包括表示异常事件的以下细节中的至少一者：由控制器114控制的操作功能的状态、情境信息403(例如，情境参数623)、和/或异常检测的底层准则。例如，细节623可以在例如可基于警报类型612而变化的自由格式字节序列中提供。例如，细节623可包括指示引发异常事件的CM 210c的数据(例如，CM 210c的消息标识符401和/或时间戳405中的至少一者)。例如，可提供对原始情境信息210c的消息标识符401和/或时间戳405的格式串联。更一般而言，CM 210c和AM 210a可以例如通过异常事件的细节623来彼此串联。

AM 210a可包括标识AM 210a的来源的信息615(也被称为单元ID)，例如控制器114的标识符(例如，网络地址、mac地址等)。

AM 210a可任选地包括表示与异常信息相关联的时间顺序信息的时间戳605，例如确定异常事件的时间或者生成AM 210a的时间。例如，时间戳605可包括用于管理历史的日期或当日时间中的至少一者。

AM 210a可任选地包括帧数607。帧数607可包括表示经由CAN发送消息(例如，AM210a)的事件的数量的计数器(数字值)。例如，帧数可基于(例如，相对于)时钟信号来提供。例如，帧数607可被配置成保护以防止AM 210a的重放。

AM 210a可任选地包括信任属性609。信任属性609可被配置成阻止欺诈、篡改、重放，等等。因此，信任属性609可包括来源114(例如，控制器114)的源信任标识，例如控制器114的数字签名。

AM 210a可任选地包括表示异常事件的严重性的数据611(也被称为严重性数据609)。例如，严重性数据609可以是或表示“普通”、“警报”、“关键”、“致命”中的一者。换言之，严重性数据609可表示异常事件对汽车100(例如，对CBAD系统600)的潜在影响。

AM 210a可任选地包括指示AM 210a的优先级的优先级指示符613。例如，优先级指示符613可以是或表示“高”、“中”和“低”中的一者。换言之，优先级指示符613可表示响应异常事件的紧急性或者说明性地表示处理的紧急性(例如，如果未被立即处理，则可能在从现在开始的非常短的时间内出现故障)。

AM 210a可包括以下信息中的一个或多个：

ID＝异常警报；

单元ID；

时间戳；

警报类型；

严重性；

优先级；

细节；以及

信任属性。

例如，CAN 112(例如其通信协议)和/或连接到CAN 112的每一个警报处理设备222可被配置成支持对信任属性609的验证，例如对数字签名的验证。例如，AM 210a可由ECU/MCU创建并通过CAN 222转发至更高级系统。

AM 210a的一个或多个(例如每一个)信息601、603、605、607、609、611、613可被编码，例如数值或二进制。

可选地，优先级指示符613可基于以下至少一者：AM 210a的警报信息603(例如，表示异常事件的细节623或者类型标识符613)以及来源。说明性地，如果AM 210a的警报信息603和/或来源被确定为是关键的，则优先级指示符613可指示更高优先级。

AM 210a的示例是：

响应于接收到AM 210a，APD 222可执行如先前更详细地描述(参见图3)的预定义警报响应模式中的一者或多者。

例如，警报响应模式可定义对确定异常事件或确认异常事件的一个或多个响应。例如，警报响应模式可定义：响应于确定异常事件，例如由APD 222输出第一警报信号222d。另外地或另选地，警报响应模式可定义：响应于确定异常事件，例如可由APD 222执行第一异常确认303和/或第二异常确认305。作为对第一警报信号222d的补充或替换，警报响应模式可定义：响应于异常被确认，可以例如由APD 222输出第二警报信号222d。第一警报信号222d和/或第二警报信号222d可包括例如输出至汽车100的内部和/或外部的音频信号和/或视频信号或由例如输出至汽车100的内部和/或外部的音频信号和/或视频信号形成(例如，可被汽车100的一个或多个乘客识别)。另外地或另选地，第一警报信号222d和/或第二警报消息222d可包括命令或由命令形成，该命令导致汽车100改变一个或多个汽车功能，例如减速、完全停止、启动全自动巡航辅助、安全地靠边停车、以及进入预定义模式(例如，安全模式或空闲模式)。第一警报信号222d和/或第二警报消息222d可包括发送至服务中心的通知。

图7用示意性处理图700示出了根据各方面的控制器114。控制器114可以例如包括ECU(电子控制单元)或MCU(微控制器)或由ECU(电子控制单元)或MCU(微控制器)形成。

控制器114可包括被配置成控制汽车操作功能的一个或多个处理器。控制汽车操作功能可通过控制逻辑702(也被称为因控制器114而异的应用702)来提供。控制逻辑702可经由软件和/或硬件来实现。此外，控制器114可包括被配置成如下操作的ADM 114m。

在701中，ADM 114m可请求(例如，触发)控制逻辑702提供功能状态512。例如，控制逻辑702可以例如经由一个或多个传感器来确定功能状态512并将该确定的结果返回给ADM114m。

控制器114(例如，现场总线接口502)可包括至少一个(即，一个或一个以上)情境解析器704。情境解析器704可被配置成通过解析CM 210c来从CM 210c中提取(例如，解码和/或解释)情境信息。

控制器114(例如，现场总线接口502)可包括至少一个消息编码器706(也被称为警报编码器706)。警报编码器706可被配置成通过对警报消息603进行编码、来根据现场总线通信协议生成(例如，编码)AM 210a。由此，经编码的警报消息603可被包括在AM 210a中以供经由现场总线112来发送。

ADM 114m可包括至少一个因领域而异的异常检测逻辑708(也被称为异常检测逻辑708)。异常检测逻辑708可被配置成基于功能状态512和所提取(例如，所解析)的情境信息来执行异常检测。

例如，ECU 114和/或MCU 114可被配置成在内部实现专用异常检测逻辑708。ADM114m或至少异常检测逻辑708可被配置为可插拔模块。异常检测逻辑708可被配置成理解(例如，经由解释)标准化CM 210c并广播标准化AM 210a。CM 210c和/或AM 210a的标准化可由现场总线通信协议来定义。

例如，情境解析器704和警报编码器706可以是采用层的一部分或形成采用层。情境解析器704可被配置成从标准CM 210a中捡取特定于ECU/MCU的细节。例如，如经由CM210a接收到的情境信息可以是通用情境信息，该通用情境信息将被转换(例如，简化)以供异常确认逻辑708进一步处理。

例如，情境解析器704可被配置成将如经由CM 210a接收到的“通用”或标准化情境信息(也被称为第一CI)转换成适配控制器114的情境信息(也被称为第二CI)。第二CI可以是与第一CI相比可简化被异常确认逻辑708处理的信息类型。例如，第一CI的多种类型可(例如，通过归类)被转换成表示相应类型的第一CI的同一类型的第二CI。例如，表示不同于0的“驾驶速度”(例如，“驾驶速度＝10mph”或“驾驶速度＝50mph”)的每一个第一CI可被转换成“汽车操作状态＝驾驶”的第二CI。例如，表示乘客上车(例如，“乘客＝3”或“乘客＝1”)的每一个第一CI可被转换成“占座状态＝已占座”的第二CI。例如，第二CI可包括比第一CI更少的细节。

例如，第二CI可以是二进制信息，例如表示“true(真)”或“false(假)”。

反之亦然，警报编码器706可被配置成将如从异常确认逻辑708接收到的因控制器1144(例如，MCU)而异的报告(例如，包括异常信息)转换成AM210c的标准化通用结构并经由CAN 112发送该AM 210c。

因领域而异的异常检测模块114m可任选地提供封装回调的程序空间，其中可实现附加代码，例如其中ECU/MCU开发者可放置检查潜在异常的代码。

用于实现异常确认逻辑708的示例是：

CBAD系统700可被配置成根据情境预期之外的读数来操作，如在“参数值”中操作化的。如果由汽车功能的一个或多个传感器提供的信息超过情境信息的允许值(例如，满足准则)，则MCU/ECU内部异常检测模块114m可通过提供异常信息来报告问题。警报处理设备222可以例如基于警报响应模式来确定要执行的汽车100的动作，例如安全靠边停车以及向乘客和/或向服务中心通知警报。

另外地或另选地，例如根据汽车100制造设计，控制器114(例如，MCU/ECU)可采取即刻动作以阻止当前情境中的危险动作。例如，控制器114可被配置成响应于检测到异常而将汽车功能设为预定义模式，例如空闲模式或安全模式。

用于异常检测301的详细准则和/或规则(例如，一个或多个参数值和/或阈值)可由制造商(例如在维护期间或者在制造之际)定义和/或可由基于云的服务来更新。详细准则和/或规则可驻留在受保护的ADM 114m中，例如不在驾驶期间经受更新。

图8用示意性处理图800示出了根据各方面的情境广播器116。情境广播器116可以例如包括一个或多个处理器或由一个或多个处理器形成。

情境广播器116可包括第一接口802(也被称为内部通信接口802)，其被配置成从汽车100的一个或多个外部邻域传感器108和/或汽车100的一个或多个占座传感器接收数据。汽车100的一个或多个外部邻域传感器108可被配置成感测汽车100的外部邻域，例如道路、驾驶方向以及汽车100的侧方或后方。换言之，汽车100的一个或多个外部邻域传感器108可被配置成感测汽车100之外的状况。一个或多个占座传感器可被配置成确定汽车100的占座状态和/或占座数(例如，乘客数)。

一个或多个外部邻域传感器108可以向情境广播器116提供表示汽车100的外部邻域的数据，例如视频数据、音频数据、雷达数据、激光雷达数据、导航数据。一个或多个占座传感器可以向情境广播器116提供汽车100的占座状态和/或占座数。数据可由汽车100的一个或多个(例如，外部邻域和/或占座)传感器重复发送。

例如，汽车100的一个或多个外部邻域传感器108可包括以下传感器中的至少一者：仪表盘相机、雷达传感器、激光雷达传感器、障碍物传感器、巡航控制传感器、接近传感器、超声传感器、运动传感器、温度传感器，等等。该一个或多个(例如，外部邻域和/或占座)传感器(例如，包括该一个或多个传感器的设备)可以例如与CAN 112分开。例如，该一个或多个(例如，外部邻域和/或占座)传感器提供的数据只可通过CAN 112经由情境广播器116来报告。

作为对内部通信接口802的补充或替换，情境广播器116可包括第二接口804(也被称为移动通信接口802)，其被配置成从移动通信网络(例如，对等通信网络或车辆间通信网络(v2v通信网络)、蜂窝通信网络等)接收数据。经由移动通信网络接收到的数据可源自汽车100外部的源(也被称为车辆外部源202)，例如来自另一车辆、来自基于云的服务、来自路侧单元等。

情境广播器116的内部通信接口802和/或移动通信接口804可包括采用层806。采用层806可以例如包括数据解析器和/或数据解码器。例如，采用层806可被配置成基于数据来确定情境信息，例如提取(例如，解码和/或解析)情境信息和/或计算情境信息。

例如，仪表盘相机可将视频数据提供给情境广播器116，采用层806可以在该视频数据的基础上确定汽车100是否正在驾驶。例如，路侧单元可将交通数据提供给情境广播器116，采用层806可以在该交通数据的基础上确定汽车100是否正在驾驶。例如，汽车100的导航系统可将位置数据和/或速度数据提供给情境广播器116，采用层806可以在这些数据的基础上确定汽车100是否正在驾驶。例如，汽车100的雷达系统可将雷达数据提供给情境广播器116，采用层806可以在该雷达数据的基础上确定汽车100是否正在驾驶。此外，可确定作为对“驾驶”或“未驾驶”的补充或替换的其他情境信息，例如驾驶速度和驾驶方向。

情境广播器116可任选地包括情境管理器808。情境管理器808可被配置成处理例如来自多个汽车100外部源202和/或来自多个时间点的多个情境信息。另外地或另选地，情境管理器808可被配置成保存当前情境信息和/或用新确定的情境信息来更新情境信息，例如经由情境所有者模块808o。

例如，情境管理器808可被配置成例如基于旧情境信息或另一种类型的情境信息来确认情境信息。例如，情境管理器808可被配置成聚集和/或合并多个情境信息并基于这些情境信息来提供CM 210c。

例如，情境管理器808可被配置成例如响应于确定情境信息已改变或已被更新而触发发送新CM 210c。另外地或另选地，情境管理器808可被配置成例如响应于确定情境信息已被维持和/或不变而触发重复(例如，周期性地)发送相同的CM 210c。另外地或另选地，发送CM 210c可以是周期性的或者通过调度(例如，经由情境管理器808的调度器模块808s)来触发。另外地或另选地，调度器模块808s可被配置成调度向一个或多个外部源和/或向一个或多个(例如，外部邻域和/或占座)传感器请求数据。

例如，情境广播器116(例如，情境管理器808)可被配置成触发以预定义频率(也被称为CM频率)(例如，小于约1/100ms或约1/10s)多个CM 210c的发送。例如，CM频率可以在预定义频率范围内，例如在约1/100ms至约1/10s的范围内。另外地或另选地，情境广播器116(例如，情境管理器808)可被配置成在约100ms至约10s的范围内的时间段内触发紧接相继CM 210c的发送。可选地，情境广播器116(例如，情境管理器808)可被配置成例如基于情境信息来改变CM频率(也被称为动态CM广播)。说明性地，CM频率可以按情境来调整。例如，如果情境广播器116(例如，情境管理器808)确定情境信息表示关键情境(例如，挑战性路况或激进驾驶模式)，则情境广播器116(例如，情境管理器808)可以例如通过提高CM频率来改变CM频率。

为了提高CM频率，情境广播器116(例如，情境管理器808)可被配置成在根据先前的CM频率的两个直接相继的CM 210c之间触发一个或多个CM 210c(也被称为失序CM 210c)的发送(即，这些CM 210c具有更高的频率)。生成(例如，发送)一个或多个失序CM 210c可基于情境信息。说明性地，情境广播器116(例如，情境管理器808)可被配置成在由情境广播器116(例如，情境管理器808)确定关键情境(或关键情境改变或关键状况)的情况下、触发一个或多个“失序”CM 210c。例如，情境广播器116(例如，情境管理器808)确定关键情境(例如，关键情境改变)可包括计算由该情境广播器116(例如，情境管理器808)接收到的情境信息，或者可包括接收关于关键情境(例如，关键情境改变)的通知。作为示例，CM频率可以是第一频率，基于情境信息变为第二频率(例如，基于情境信息持续一段时间)，并且可任选地变回到第一频率(例如，基于情境信息)。

情境广播器116可包括被配置成经由现场总线(例如，CAN 112)进行通信(例如，发送和/或接收一个或多个消息)的第三接口816(也被称为现场总线接口816)。情境广播器116(例如，现场总线接口816)可包括至少一个消息编码器818m(也被称为情境编码器818m)。情境编码器818m可被配置成通过编码情境信息来根据现场总线通信协议生成(例如，编码)CM 210c。由此，经编码的情境信息可被包括在CM 210c中以供经由现场总线112发送。

情境广播器116(例如，现场总线接口816)可包括用于数据链路层(例如，根据OIS模型)的相应适配器818l。

情境广播器116(例如，现场总线接口816)可被配置成根据现场总线通信协议来生成CM 210c，其中CM 210c包括情境信息403(参见图4)。

例如，情境广播器116可以收集来自安装在汽车100中的高级系统(诸如视觉和音频识别、导航计算机、雷达/激光雷达对象检测器等)的信息。来自这些系统的输入数据可由输入采用层806所实现的一个或多个专用输入适配器806l来转换成统一表示。情境相关输入可由情境所有者808处理以合并最有名的情境表示以便通过现场总线(例如，CAN)编码器818m共享给附连到CAN 112的一个或多个控制器114(例如，ECU/MCU)。信任提供者模块808t可被配置成签署所生成的CM 210c和/或引发一个或多个控制器114(说明性地是端点)检查情境信息403的可信度。例如，调度器模块808s可被配置成经由CM 210c生成规则广播和/或响应于检测到情境改变而广播，以确保一个或多个控制器114中的即刻检查。

图9用透视图900示出了根据各方面的用作WCP 202的外部源932、912、922。汽车100(例如，CB 116和/或APD 222)可以从一个或多个汽车100外部源932、912、922接收数据。汽车100可以(例如，CB 116和/或警报处理设备222的移动通信接口)包括用于从一个或多个汽车100外部源932、912、922接收数据的天线902。

该一个或多个汽车100外部源932、912、922可包括基于云的服务932。另外地或另选地，该一个或多个汽车100外部源932、912、922可包括固定路侧单元912(RSU)。另外地或另选地，该一个或多个汽车100外部源932、912、922可包括一个或多个其他车辆922，例如其他汽车922。

例如，基于云的服务932可包括用于将汽车100连接到诸如基于云的车辆数据化身等基础设施服务的桥接系统。车辆数据化身可包括汽车100的数据，该数据先前已被确定并存储和/或已由制造商提供。

移动通信网络可以例如包括蜂窝基础设施。该WCP 202或每一个WCP 202可被配置成提供包括带标记的情境参数的标准化结构以供情境广播器116使用。还可使用另一移动通信网络来接收数据(例如，外部数据)。

图10用示意性处理图1000示出了根据各方面的通信系统1000。通信系统1000可包括汽车100，汽车100包括CBAD系统200。CBAD系统200可包括一个或多个CB 116并且可包括通过现场总线112(例如，CAN)连接的一个或多个ADM 114m。CBAD系统200可任选地包括例如在汽车100上的一个或多个移动通信接口(comm)和/或一个或多个外部邻域传感器108(例如，传感器阵列)。

通信系统1000可任选地包括一个或多个外部源932、912、922，例如一个或多个基于云的服务932、一个或多个其他车辆922和/或RSU 912(例如，道路控制器)。每一个外部源932、912、922可包括移动通信接口(comm)以便经由移动通信网络1001与汽车100通信，例如向汽车100发送数据。例如，CBAD系统200可以经由移动通信接口来通信地耦合到一个或多个外部源932、912、922。

可选地，该RSU 912或每一个RSU 912可包括用于感测道路和/或交通的一个或多个传感器(例如，传感器阵列)。可选地，该RSU 912或每一个RSU 912可包括情境模块912c，其被配置成基于从RSU 912的一个或多个传感器接收到的数据来确定情境信息(类似于CB116)，并且将所确定的情境信息发送至汽车100。

可选地，每一个其他车辆922可包括用于感测汽车100的一个或多个传感器(例如，传感器阵列)。可选地，每一个其他车辆922可包括情境模块，其被配置成基于从其他车辆922的一个或多个传感器接收到的数据来确定情境信息(类似于CB 116)，并且将所确定的情境信息发送至汽车100。例如，每一个其他车辆922可包括类似于汽车100的CBAD系统200，其中多个CBAD系统200彼此提供数据。

每一个其他车辆922和/或每一个RSU 912的情境模块可被配置成确定汽车100的关键情境(例如，挑战性路况或激进驾驶模式)，并将关于该关键情境的通知传送至汽车100。汽车100(例如，CB 116)可被配置成响应于接收到关于关键情境的通知而提高CM频率(例如，通过生成一个或多个失序CM 210c)。

由一个或多个外部源932、912、922中的至少一者提供的数据可被请求用于异常确认303、305(参见图3)，如上所述。另外地或另选地，由一个或多个外部源932、912、922中的至少一者提供的数据可由汽车100的CB 116处理以提供情境信息，该情境信息将经由汽车100的现场总线112来发送。

可选地，每一个基于云的服务932可包括以下数据提供者中的一者或多者：历史数据库932h、异常评估器932a和/或一个或多个传感器简档932s。历史数据库932h可被配置成提供(例如，按时间顺序排序的)与汽车100相关联的数据。每一个传感器简档932s可被配置成提供被指派给汽车100的传感器的数据，例如包括表示随时间或者取决于所指派的传感器的环境状况(例如，温度)的性能的信息。异常评估器932a可被配置成例如基于从汽车100发送到基于云的服务932的异常信息来提供汽车100外部异常确认。例如，异常确认可由汽车外计算设备(例如，服务器)从汽车100以外执行。异常评估器可被配置成向汽车100发送异常确认(如从汽车100以外执行的)的结果。

通信系统1000可支持高级异常检测能力，如以下详细描述的。

通信系统1000可不止提供应用于汽车100的数据的异常检测。车内CBAD系统200提供例如跨车和/或RSU 912通信。为了如上所述的基于情境信息的异常检测，CBAD系统200可被应用于汽车100，但另外地或另选地，情境分析(例如，异常确认303、305)可由以下之一执行：边缘(一个或多个RSU 912内或由该一个或多个RSU 912)，例如对等(与一个或多个其他车辆922对等或由该一个或多个其他车辆922)，或者云932。取决于要执行的分析，一些比较可能是恰当的或可能不是恰当的。例如，背朝彼此的汽车将不太可能具有供比较的激光雷达数据，尽管雷达可能是相关的，但跨具有类似视图的车和RSU的激光雷达比较可能是相关的。例如，如果在本地(汽车100上的)分析中、汽车100上的数据不满足准则(例如，超过预定义限制)，则另外的基于云的情境分析(例如，异常确认303、305)可以不被触发，由此防止无线网络连接指数级增长。

情境分析的扩展水平(例如，超过汽车100上的本地分析)可提供扩展确认。例如，汽车100处的明显异常事件(处于本地水平)可能由于极端情境状况而是假肯定，这可通过与对等车辆、路侧单元(RSU)或云数据中的至少一者的比较来解决。另外地或另选地，汽车100的架构中的各种水平的攻击可通过将车载情境分析与基于云的情境分析相比较来检测。例如，如果本地性被影响，则区域网络攻击可能不适于RSU 912处的实时情境检测，但历史数据的基于云的比较可以是相关的。

例如，在情境异常检测301的第一阶段中，可扫描内容(例如，各个传感器数据点或数据点序列)以基于诸如超过简单阈值、标准偏离和不寻常序列等因素来寻找例外。情境异常检测301的这一第一阶段可以在计算上简单地实现并且可以在汽车100上处理(即，在本地处理)。例如，与现场总线112(例如，CAN)连接的场可编程门阵列(FPGA)或另一低级模块可被配置成执行情境异常检测301的第一阶段。在情境异常检测301的第二阶段，可使用情境信息(诸如一个或多个传感器简档)和/或与先前在汽车100的相同情境中确定的类似传感器数据的比较、来分析通过情境异常检测301的第一阶段导出的一个或多个例外。例如，将传感器的(如在本地确定的)异常的数据序列与从基于云的数据接收到的来自相同的传感器或类似传感器的先前和/或随机选择的序列相比较。在另一示例中，传感器读数(例如，来自传感器的数据)可以与来自处于同一温度(或在另一等同环境状况下)的类似传感器的读数相比较。在情境异常检测301的这一第二阶段中可分析数据序列中的一个或多个因素和大小。例如，循环神经网络(RNN)可以在时间序列数据上训练以估计各种序列的概率。另外地或另选地，情境异常检测301的第二阶段可使用调度数据和功率电平数据。

根据各方面，汽车100的架构中的处于各种水平的一个或多个攻击可适于异常检测，例如通过将本地数据与云数据相比较(例如，区域网络攻击可能不适于边缘处的实时情境检测，但历史数据的基于云的比较可以是相关的)。如果实际攻击已经影响了汽车100内的传感器，则相同的攻击将不可能重写存储在基于云的安全系统中的数据。由此，异常的传感器数据可在那里被验证。另外地或另选地，如果不寻常的情境变量出现(诸如极端温度或泛洪)，则可对照本地情境读数检查历史数据。

例如，汽车100的车载组件可被实现为情境广播器116的插件扩展或被实现为附连到CAN的独立ECU。

进一步地，将在以下示例中描述各方面。

在示例1中，公开了一种通信(例如，汽车内部通信)方法，包括：(例如通过控制器)控制表示汽车的致动器的操作的汽车操作功能；经由(例如汽车)现场总线通信网络根据(例如汽车)现场总线通信协议来(例如由控制器)接收第一消息(例如CM)，其中该第一消息包括与汽车相关联的情境信息；(例如由控制器)确定该情境信息与汽车操作功能的状态之间的关系是否满足预定义准则；根据(例如汽车)现场总线通信协议来(例如由控制器)生成第二消息(例如AM)，其中该第二消息包括表示该确定的结果的信息。

在示例2中，公开了示例1的方法，其中汽车操作功能是表示汽车的动力总成(例如包括致动器的动力总成)的操作的动力总成操作功能。

在示例3中，公开了示例1或2的方法，其中汽车操作功能是表示汽车的引擎(例如包括致动器的引擎)的操作的引擎操作功能。

在示例4中，公开了示例1到3之一的方法，其中汽车操作功能是表示汽车的档位(例如包括致动器的档位)的操作的档位操作功能。

在示例5中，公开了示例1到4之一的方法，其中情境信息与汽车操作功能相关联(例如，相关)。

在示例6中，公开了示例1到5之一的方法，其中(例如汽车)现场总线通信网络包括可选地具有灵活数据速率的控制器局域网；和/或其中(例如汽车)现场总线通信协议是控制器局域网通信协议。

在示例7中，公开了示例1到6之一的方法，其中(例如汽车)现场总线通信网络包括以下类型的网络中的至少一者：控制器局域网；本地互联网络；以及FlexRay网络。

在示例8中，公开了示例1到7之一的方法，其中第一消息进一步包括以下至少一者(即一个或多个)：将该消息标识为包括情境信息的消息标识符；帧数；时间戳(例如情境信息的时间戳)；和/或信任属性。

在示例9中，公开了示例1到8之一的方法，其中情境信息进一步包括以下至少一者：标识情境信息的类型的类型标识符；表示情境信息的参数(例如，其量)的数据。

在示例10中，公开了示例1到9之一的方法，其中情境信息进一步包括以下情境信息类型中的至少一种类型的情境信息：汽车的环境的信息(也被称为外部信息)，例如表示汽车的外部邻域的信息；汽车与汽车环境之间的关系的信息；汽车本身的信息；与存储在数据库中的关于汽车的数据相关联的信息(也被称为参考信息)；与汽车底下的道路相关联的信息(也被称为路侧信息)；源自汽车制造商的信息(也被称为制造商信息)；表示(例如指示)汽车的操作模式的信息(也被称为操作模式信息)；表示汽车的乘客占座的信息(也被称为占座信息)；与汽车导航相关联的信息(也被称为导航信息)；表示汽车负载的信息(也被称为负载信息)。

在示例11中，公开了示例1到10之一的方法，其中第二消息进一步包括以下至少一者：指示汽车(例如动力总成)操作功能的状态的信息；指示与汽车操作功能相关联的异常事件已被确定的信息，其中该异常事件表示情境信息与汽车操作功能的状态之间的关系不满足预定义准则。

在示例12中，公开了示例1到11之一的方法，其中第二消息进一步包括以下至少一者：将该消息标识为包括异常信息的消息标识符；标识异常事件的类型的类型标识符；标识第二消息的来源的信息；指示第二消息的优先级的优先级指示符；情境信息；表示异常的严重性的数据；帧数；时间戳(例如，情境信息的时间戳)；和/或信任属性。

在示例13中，公开了示例12的方法，其中优先级指示符基于以下至少一者来确定：第一消息(例如情境信息)、异常事件的类型、汽车操作功能的类型、和/或确定的结果，例如其组合。

在示例14中，公开了示例1到13之一的方法，其中汽车操作功能的控制基于经由(例如汽车)现场总线通信网络根据(例如汽车)现场总线通信协议的通信(例如包括所接收到的一个或多个消息)。

在示例15中，公开了示例1到14之一的方法，进一步包括：确定情境信息与汽车操作功能的状态之间的关系；其中该关系优选地包括数学关系或由数学关系形成。

在示例16中，公开了示例1到15之一的方法，进一步包括：基于情境信息来确定预定义准则，其中优选地，确定预定义准则包括从存储在控制器中的多个预定义准则中选择该预定义准则，其中每一个预定义准则例如与情境信息的类型相关联；其中优选地，该预定义准则表示要满足的汽车操作功能的状态的范围。

在示例17中，公开了一种控制器，包括被配置成执行示例1到16之一的方法的一个或多个处理器和/或包括被配置成执行以下操作的一个或多个处理器：控制表示汽车的致动器的操作的汽车操作功能；经由(例如汽车)现场总线通信网络根据(例如汽车)现场总线通信协议来接收第一消息(例如CM)，其中该第一消息包括与汽车(例如汽车操作功能)相关联的情境信息；确定该情境信息与汽车操作功能的状态之间的关系是否满足预定义准则；根据(例如汽车)现场总线通信协议来生成第二消息(例如AM)，其中该第二消息包括表示该确定的结果的信息。

在示例18中，公开了示例17的控制器，进一步包括：被配置成根据(例如汽车)现场总线通信协议来进行通信的第一接口；和/或用于例如经由已调制信号来控制汽车(例如动力总成)操作功能的第二接口，其中优选地，调制表示控制汽车的设定点。

在示例19中，公开了示例17或18的控制器，进一步包括：第二接口，其用于感测汽车操作功能的状态，例如经由被配置成感测汽车操作功能的状态的一个或多个传感器。

在示例20中，公开了一种汽车操作系统(例如动力总成系统)，包括：示例17到19之一的控制器；与该控制器耦合的致动器，其中该致动器由该控制器控制和/或被配置成改变(例如操纵)汽车操作功能的状态。

在示例21中，公开了示例20的汽车操作系统，进一步包括：与该控制器耦合的一个或多个传感器，其中该一个或多个传感器被配置成感测汽车操作功能的状态和/或将汽车操作功能的状态返回给该控制器。

在示例22中，公开了一种通信(例如，汽车内部通信)装置，包括：用于控制表示汽车的致动器的操作的汽车操作功能的装置；用于经由(例如汽车)现场总线通信网络根据(例如汽车)现场总线通信协议来接收第一消息(例如CM)的装置，其中该第一消息包括与汽车相关联的情境信息；用于确定该情境信息与汽车操作功能的状态之间的关系是否满足预定义准则的装置；用于根据(例如汽车)现场总线通信协议来生成第二消息(例如AM)的装置，其中该第二消息包括表示该确定的结果的信息。

在示例23中，公开了一种通信(例如，汽车内部通信)方法，包括：从汽车的一个或多个传感器接收数据，其中该数据表示与该汽车的外部邻域相关联的环境信息和/或表示一个或多个乘客对该汽车的占座；基于该数据(例如通过归类)来确定情境信息；根据(例如汽车)现场总线通信协议来生成消息(例如CM)，其中该消息包括该情境信息。

在示例24中，公开了示例23的方法，其中该数据包括表示以下至少一者的数据：汽车的操作模式；汽车的占座；汽车的导航过程；汽车的负载；视觉(例如光学、视频和/或图像)信息；雷达信息；激光雷达信息；超声信息；对象检测信息；障碍物信息；汽车的环境(例如交通、道路、温度或天气)，例如汽车前方和/或后方的环境。

在示例25中，公开了示例23或24的方法，其中该数据包括原始传感器数据。

在示例26中，公开了示例23到25之一的方法，其中生成该消息的频率基于该情境信息而变化。

在示例27中，公开了示例23到26之一的方法，其中(例如汽车)现场总线通信网络包括可选地具有灵活数据速率的控制器局域网；和/或其中(例如汽车)现场总线通信协议是控制器局域网通信协议。

在示例28中，公开了示例23到27之一的方法，其中(例如汽车)现场总线通信网络包括以下类型的网络中的至少一者：控制器局域网；本地互联网络；以及FlexRay网络。

在示例29中，公开了示例23到28之一的方法，其中该消息进一步包括以下至少一者：将该消息标识为包括情境信息的消息标识符；帧数；和/或时间戳(例如情境信息的时间戳)；信任属性。

在示例30中，公开了示例23到29之一的方法，其中情境信息进一步包括以下至少一者：标识情境信息的类型的类型标识符；表示情境信息的参数(例如，其量)的数据。

在示例31中，公开了示例23到30之一的方法，其中确定情境信息进一步基于(例如通过合并)附加信息，其中优选地该附加信息包括以下信息类型中的至少一种类型的信息：汽车环境的信息(也被称为外部信息)，例如表示汽车的外部邻域的信息；汽车与汽车环境之间的关系的信息；汽车本身的信息；与存储在数据库中的关于汽车的数据相关联的参考信息；与汽车底下的道路相关联的路侧信息；制造商信息；操作模式信息；表示汽车占座的占座信息；与汽车相关联的导航信息；汽车的负载信息。

在示例32中，公开了一种情境广播器，包括被配置成执行示例23到31之一的方法的一个或多个处理器和/或包括被配置成执行以下操作的一个或多个处理器：从汽车的一个或多个传感器接收数据，其中该数据表示与该汽车的外部邻域相关联的环境信息；基于该数据来确定情境信息；根据(例如汽车)现场总线通信协议来生成消息(例如CM)，其中该消息包括该情境信息。

在示例33中，公开了示例32的情境广播器，进一步包括：被配置成根据(例如汽车)现场总线通信协议来进行通信的第一接口。

在示例34中，公开了示例32或33的情境广播器，进一步包括：用于与一个或多个传感器通信以便例如从该一个或多个传感器接收传感器数据的第二接口。

在示例35中，公开了一种(例如汽车)广播布置，包括：示例32到34之一的情境广播器；与该情境广播器耦合的一个或多个传感器，其中优选地，该一个或多个传感器包括以下传感器类型中的至少一种类型：汽车的占座传感器；汽车的导航(例如位置、高度和/或方向)传感器；视觉(例如光学、视频和/或图像)传感器；雷达传感器；激光雷达传感器；超声传感器；对象检测传感器；障碍物传感器。

在示例36中，公开了一种通信(例如，汽车内部通信)装置，包括：用于从汽车的一个或多个传感器接收数据的装置，其中该数据表示与该汽车的外部邻域相关联的环境信息；用于基于该数据来确定情境信息的装置；用于根据(例如汽车)现场总线通信协议来生成消息(例如CM)的装置，其中该消息包括该情境信息。

在示例37中，公开了一种通信(例如，汽车内部通信)方法，包括：经由移动通信网络根据移动网络通信协议来接收数据，其中该数据表示与汽车相关联的情境信息；基于该数据来确定情境信息；根据现场总线通信协议来生成消息(例如CM)，其中该消息包括情境信息。

在示例38中，公开了示例37的方法，其中该数据表示以下情境信息类型中的至少一种类型：表示汽车的操作模式的操作模式信息；表示汽车的占座的占座信息；与汽车相关联的导航信息；汽车的负载信息；视觉(例如光学、视频和/或图像)信息；表示汽车(例如其位置)的雷达信息；表示汽车(例如其位置)的激光雷达信息；表示汽车(例如其位置)的超声信息；表示汽车(例如其位置)的对象检测信息；表示汽车(例如其位置)的的障碍物信息。

在示例39中，公开了示例37或38的方法，其中该数据表示汽车操作功能。

在示例40中，公开了示例37到39之一的方法，其中生成该消息的频率基于该情境信息而变化。

在示例41中，公开了示例37到40之一的方法，其中该数据源自一个或多个路侧传感器和/或一个或多个其他车辆。

在示例42中，公开了示例37到41之一的方法，其中该数据源自云计算网络。

在示例43中，公开了示例37到42之一的方法，其中该数据源自(例如基于云的)汽车数据化身，其表示汽车的时移状态和/或汽车的虚拟版本。

在示例44中，公开了示例37到43之一的方法，其中(例如汽车)现场总线通信网络包括可选地具有灵活数据速率的控制器局域网；并且(例如汽车)现场总线通信协议是控制器局域网通信协议。

在示例45中，公开了示例37到44之一的方法，其中(例如汽车)现场总线通信网络包括以下类型的网络中的至少一者：控制器局域网；本地互联网络；以及FlexRay网络。

在示例46中，公开了示例37到45之一的方法，其中该消息进一步包括以下至少一者：将该消息标识为包括情境信息的消息标识符；帧数；和/或时间戳(例如情境信息的时间戳)；信任属性。

在示例47中，公开了示例37到46之一的方法，其中情境信息进一步包括以下至少一者：标识情境信息的类型的类型标识符；表示情境信息的参数(例如，其量)的数据。

在示例48中，公开了示例37到47之一的方法，其中情境信息进一步包括以下情境信息类型中的至少一种类型的情境信息：汽车环境的信息(也被称为外部信息)，例如表示汽车的外部邻域的信息；汽车与汽车环境之间的关系的信息；汽车本身的信息；与存储在数据库中的关于汽车的数据相关联的参考信息；与汽车底下的道路相关联的路侧信息；制造商信息。

在示例49中，公开了一种情境广播器，包括被配置成执行示例37到48之一的方法的一个或多个处理器和/或包括被配置成执行以下操作的一个或多个处理器：经由移动通信网络根据移动网络通信协议来接收数据，其中该数据表示与汽车相关联的情境信息；基于该数据来确定情境信息；根据现场总线通信协议来生成消息(例如CM)，其中该消息包括情境信息。

在示例50中，公开了示例49的情境广播器，进一步包括：被配置成根据(例如汽车)现场总线通信协议来进行通信的第一接口。

在示例51中，公开了示例49或50的情境广播器，进一步包括：被配置成根据移动网络通信协议来进行通信的第二接口；其中该第二接口优选地包括天线。

在示例52中，公开了示例49到51之一的情境广播器，其中该一个或多个处理器被进一步配置成：从汽车的一个或多个传感器接收数据，其中该数据表示与汽车的外部邻域相关联的环境信息；其中该情境信息进一步基于该数据来确定。

在示例53中，公开了一种通信(例如，汽车内部通信)装置，包括：用于经由移动通信网络根据移动网络通信协议来接收数据的装置，其中该数据表示与汽车相关联的情境信息；用于基于该数据来确定情境信息的装置；用于根据现场总线通信协议来生成消息(例如CM)的装置，其中该消息包括情境信息。

在示例54中，公开了一种通信(例如，汽车内部通信)方法，包括：经由(例如汽车)现场总线通信网络根据现场总线通信协议来接收第一消息(例如AM)，其中该第一消息包括指示汽车操作功能(例如其状态)以及与汽车操作功能相关联的异常事件已被确定的信息，该汽车操作功能表示汽车的致动器的操作；经由移动通信网络根据移动通信协议向汽车外部的实体发送第二消息，其中该第二消息包括对与汽车(例如汽车操作功能)相关联的情境信息的请求。

在示例55中，公开了示例54的方法，其中汽车操作功能是表示汽车的动力总成(例如包括致动器的动力总成)的操作的动力总成操作功能。

在示例56中，公开了示例54或55的方法，其中汽车操作功能是表示汽车的引擎(例如包括致动器的引擎)的操作的引擎操作功能。

在示例57中，公开了示例54到56之一的方法，其中汽车操作功能是表示汽车的档位(例如包括致动器的档位)的操作的档位操作功能。

在示例58中，公开了示例54到57之一的方法，其中情境信息与汽车操作功能相关联。

在示例59中，公开了示例54到58之一的方法，其中(例如汽车)现场总线通信网络包括可选地具有灵活数据速率的控制器局域网；和/或(例如汽车)现场总线通信协议是控制器局域网通信协议。

在示例60中，公开了示例54到59之一的方法，其中(例如汽车)现场总线通信网络包括以下类型的网络中的至少一者：控制器局域网；本地互联网络；以及FlexRay网络。

在示例61中，公开了示例54到60之一的方法，其中该第一消息进一步包括以下至少一者：表示包括与汽车相关联的附加情境信息的先前接收到的消息(例如CM)的信息；其中异常事件表示附加情境信息与汽车操作功能的状态之间的关系不满足预定义准则。

在示例62中，公开了示例54到61之一的方法，其中该第一消息进一步包括以下至少一者：将该消息标识为包括异常信息的消息标识符；标识异常类型的类型标识符；标识第二消息的来源的信息；指示第二消息的优先级的优先级指示符；情境信息；表示异常的严重性的数据；帧数；时间戳(例如，情境信息的时间戳)；和/或信任属性。

在示例63中，公开了示例54到62之一的方法，其中该第一消息源自汽车控制器。

在示例64中，公开了示例54到63之一的方法，其中该第一消息源自汽车内部的和/或与汽车相关联的汽车控制器。

在示例65中，公开了示例54到64之一的方法，进一步包括：例如经由汽车的仪表盘生成警报信号(例如视觉或音频可识别警报信号)。

在示例66中，公开了示例54到65之一的方法，进一步包括：基于情境信息来确认异常事件。

在示例67中，公开了示例54到66之一的方法，其中该情境信息源自一个或多个路侧传感器和/或一个或多个其他车辆。

在示例68中，公开了示例54到67之一的方法，其中该情境信息源自云计算网络。

在示例69中，公开了示例54到68之一的方法，其中该情境信息源自(例如基于云的)汽车数据化身，其表示汽车的时移状态和/或汽车的虚拟版本。

在示例70中，公开了一种警报处理设备，包括被配置成执行示例54到69之一的方法的一个或多个处理器和/或包括被配置成执行以下操作的一个或多个处理器：经由(例如汽车)现场总线通信网络根据现场总线通信协议来接收第一消息(例如AM)，其中该第一消息包括指示汽车(例如动力总成)操作功能的状态以及与汽车操作功能相关联的异常事件已被确定的信息，该汽车操作功能表示汽车的致动器的操作；经由移动通信网络根据移动通信协议向汽车外部的实体发送第二消息(例如请求消息)，其中该第二消息包括对与汽车操作功能相关联的情境信息的请求。

在示例71中，公开了示例70的警报处理设备，进一步包括：被配置成根据(例如汽车)现场总线通信协议来进行通信的第一接口。

在示例72中，公开了示例70或71的警报处理设备，进一步包括：被配置成输出(例如视觉或音频可识别)警报信号的警报指示器，例如其中该警报指示器被布置在汽车的内部空间中。

在示例73中，公开了示例70到72之一的警报处理设备，进一步包括：被配置成根据移动通信协议来进行通信的第二接口；其中该第二接口优选地包括天线。

在示例74中，公开了一种通信(例如，汽车内部通信)装置，包括：

用于经由(例如汽车)现场总线通信网络根据现场总线通信协议来接收第一消息(例如AM)的装置，其中该第一消息包括指示汽车操作功能的状态以及与汽车操作功能相关联的异常事件已被确定的信息，该汽车操作功能表示汽车的致动器的操作；用于经由移动通信网络根据移动通信协议向汽车外部的实体发送第二消息(例如请求消息)的装置，其中该第二消息包括对与汽车操作功能相关联的情境信息的请求。

在示例75中，公开了一种(例如汽车)现场总线通信网络，包括被配置成执行以下操作的一个或多个处理器：处理第一消息(例如CM)和/或第二消息(例如AM)中的至少一者，其中该第一消息和/或该第二消息中的至少一者根据(例如汽车)现场总线通信协议，其中该第一消息和/或该第二消息中的至少一者将经由该接口来发送或接收，其中优选地，该第二消息是响应于接收到该第一消息而生成的；其中该现场总线通信协议将第一消息定义为包括与汽车相关联的情境信息；其中该现场总线通信协议进一步包括将第二消息定义为包括指示与汽车操作功能相关联的异常事件已被确定的信息，其中该异常事件表示情境信息与汽车操作功能的状态之间的关系不满足预定义准则；其中优选地，汽车操作功能表示汽车的致动器的操作；其中优选地，现场总线通信协议进一步将第二消息定义为包括指示第一信息的信息。

在示例76中，公开了示例75的(例如汽车)现场总线通信网络，其中该网络通信协议将第一消息定义为包括以下至少一者：将该消息标识为包括情境信息的消息标识符；帧数；和/或时间戳(例如情境信息的时间戳)；信任属性。

在示例77中，公开了示例75或76的(例如汽车)现场总线通信网络，其中该网络通信协议将情境信息定义为包括：表示情境信息的类型的类型标识符；以及表示情境信息的值的值标识符。

在示例78中，公开了示例75到77之一的(例如汽车)现场总线通信网络，其中该网络通信协议将第二消息定义为包括指示汽车(例如动力总成)操作功能的状态的信息。

在示例79中，公开了示例75到78之一的(例如汽车)现场总线通信网络，包括可选地具有灵活数据速率的控制器局域网；和/或其中(例如汽车)现场总线通信协议是控制器局域网通信协议。

在示例80中，公开了示例75到79之一的(例如汽车)现场总线通信网络，包括以下网络类型中的至少一种类型：控制器局域网；本地互联网络；以及FlexRay网络。

在示例81中，公开了示例75到80之一的(例如汽车)现场总线通信网络，其中汽车操作功能是表示汽车的动力总成(例如包括致动器的动力总成)的操作的动力总成操作功能。

在示例82中，公开了示例75到81之一的(例如汽车)现场总线通信网络，其中汽车操作功能是表示汽车的引擎(例如包括致动器的引擎)的操作的引擎操作功能。

在示例83中，公开了示例75到82之一的(例如汽车)现场总线通信网络，其中汽车操作功能是表示汽车的档位(例如包括致动器的档位)的操作的档位操作功能。

在示例84中，公开了示例75到83之一的(例如汽车)现场总线通信网络，其中情境信息与汽车操作功能相关联。

在示例85中，公开了一种(例如汽车)警报检测系统，包括：根据示例17到19之一配置的一个或多个控制器；和/或根据示例32到34之一和/或根据示例49到52之一配置的一个或多个情境广播器；根据示例70到73之一配置的一个或多个警报处理设备；例如根据示例75到84之一的(例如汽车)现场总线通信网络，其使得一个或多个控制器、一个或多个情境广播器和/或一个或多个警报处理设备通信地相互连接。

在示例86中，公开了一种汽车，包括：多个车轮；与该多个车轮耦合的动力总成；以及示例85的(例如汽车)警报检测系统。

在示例87中，公开了一种汽车，包括：多个车轮；与该多个车轮耦合的动力总成，其中该动力总成包括根据示例17到19之一配置的一个或多个控制器；以及优选地，通信地连接该一个或多个控制器的例如根据示例75到84之一的(例如汽车)现场总线通信网络。

在示例88中，公开了一种汽车，包括：多个车轮；与该多个车轮耦合的动力总成；以及根据示例32到34之一和/或根据示例49到52之一配置的一个或多个情境广播器；以及优选地，使该一个或多个情境广播器和动力总成通信地相互连接的例如根据示例75到84之一的(例如汽车)现场总线通信网络。

在示例89中，公开了一种汽车，包括：多个车轮；与该多个车轮耦合的动力总成；以及根据示例70到73之一配置的一个或多个警报处理设备；以及优选地，使该一个或多个警报处理设备和动力总成通信地相互连接的根据示例75到84之一的(例如汽车)现场总线通信网络。

在示例90中，公开了一种非瞬态计算机可读介质，包括在由一个或多个处理器执行时实现示例1到16、23到31、37到48或54到69中的任一者的方法的指令。

虽然已经参照具体实施例具体地示出和描述了本发明，但本领域技术人员应当理解，可对本发明作出形式上和细节上的各种变化而不背离如所附权利要求所限定的本发明的精神和范围。因此，本发明的范围由所附权利要求表示并且因此旨在涵盖落在权利要求的等效含义和范围内的所有变化。