DE10148323A1 - Verfahren zum Funktionstest von Steuergeräten und Programmen - Google Patents

Verfahren zum Funktionstest von Steuergeräten und Programmen

Info

Publication number
DE10148323A1
DE10148323A1 DE2001148323 DE10148323A DE10148323A1 DE 10148323 A1 DE10148323 A1 DE 10148323A1 DE 2001148323 DE2001148323 DE 2001148323 DE 10148323 A DE10148323 A DE 10148323A DE 10148323 A1 DE10148323 A1 DE 10148323A1
Authority
DE
Germany
Prior art keywords
data
programs
program
control unit
units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2001148323
Other languages
English (en)
Inventor
Andreas Schwarzhaupt
Gernot Spiegelberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Priority to DE2001148323 priority Critical patent/DE10148323A1/de
Publication of DE10148323A1 publication Critical patent/DE10148323A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/221Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test buses, lines or interfaces, e.g. stuck-at or open line faults
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24036Test signal generated by microprocessor, for all I-O tests
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24038Several test signals stored in memory and used as input signals
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25157Checksum CRC
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25205Encrypt communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Funktionstest von Steuergeräten und/oder Programmen, wobei die Steuergeräte und/oder Programme Daten mittels eines Datenbussystems austauschen und Prüfdaten existieren, die den am Funktionstest teilnehmenden Steuergeräten und/oder Programmen bekannt sind. Die Erfindung bildet bekannte Verfahren derart weiter, dass Steuergeräte und/oder Programme sowohl sich selbst als auch weitere Steuergeräte und/oder Programme auf korrekte Funktion überprüfen können. Danach verschlüsselt ein erstes Steuergerät oder Programm die Prüfdaten, sendet diese an ein zweites Steuergerät oder Programm, das zweite Steuergerät oder Programm entschlüsselt diese Daten und sendet diese Daten an das erste Steuergerät oder Programm zurück. Das erste Steuergerät oder Programm vergleicht diese empfangenen Daten mit den Prüfdaten.

Description

  • Die Erfindung betrifft ein Verfahren zum Funktionstest von Steuergeräten und/oder Programmen in einem vernetzten System. In sicherheitsrelevanten elektronischen Systemen ist es notwendig, dass sich Steuergeräte oder Softwaremodule gegenseitig auf korrekte Funktion überprüfen. Gängige Methoden sind hierbei das Übermitteln von Zählern (diese werden in jeder abgeschickten Nachricht inkrementiert) oder Checksummen in zyklisch gesendeten Nachrichten von einem Steuergerät zum anderen.
  • Es ist auf diese Weise jedoch nur möglich, das korrekte Aussenden und Übertragen der Botschaft zu prüfen, nicht jedoch einen korrekten Inhalt und somit die korrekte Funktion des aussendenden Steuergerätes. Diese Vorgehensweise ist weiterhin zur eindeutigen Überprüfung eines anderen Steuergerätes und gleichzeitiger Überprüfung des prüfenden Steuergerätes nicht ausreichend.
  • Es ist nun die Aufgabe der vorliegenden Erfindung bekannte Verfahren derart weiterzubilden, dass Steuergeräte und/oder Programme sowohl sich selbst als auch weitere Steuergeräte und/oder Programme auf korrekte Funktion überprüfen können.
  • Diese Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 gelöst. Danach verschlüsselt ein erstes Steuergerät oder Programm die Prüfdaten und sendet diese an ein zweites Steuergerät oder Programm. Das zweite Steuergerät oder Programm entschlüsselt diese Daten und sendet diese an das erste Steuergerät oder Programm zurück. Das erste Steuergerät oder Programm vergleicht diese empfangenen Daten mit den Prüfdaten und kann damit feststellen ob ein Fehler vorliegt. Mittels der eingangs erwähnten Mittel (Check-Summe, Kontrollfeld) kann das erste Steuergerät feststellen, ob ein Fehler in der Datenübertragung vorliegt. Ist dies nicht der Fall, kann der Fehler nur im ersten Steuergerät (Fehler im Verschlüsseln der Prüfdaten-Eigentest) oder im zweiten Steuergerät (Fehler im Entschlüsseln der vom ersten Steuergerät gesendeten Daten-Fremdtest) liegen.
  • Die Anwendung des Verfahrens erfolgt vorzugsweise im Fahrzeug. Hierbei erfolgt die Kommunikation zwischen Steuergeräten und/oder Programmen mittels eines Datenbussystems, dessen Protokollfunktionalität bereits eine Überprüfung der Netzwerkfunktionalität enthält. Die Programme können jedes Softwareprogramm und/oder modul sein, dass auf einem oder mehreren Steuergeräten installiert ist. Das Datenbussystem kann auch ein virtuelles Datenbussystem sein, dass zur Vernetzung von Softwaremodulen dient.
  • Zur Verschlüsselung kann ein beliebiges bekanntes Verfahren genommen werden. Vorzugsweise bietet sich ein symmetrisches Verschlüsselungsverfahren an, da es mit geringer Rechenkapazität und Aufwand angewendet werden. Für Details sei auf den Artikel "Der Kryptographie-Report" in der Zeitschrift Elektronik Bd. 22/2000, Seite 78-86 verwiesen.
  • Die Prüfdaten müssen allen am Funktionstest teilnehmenden Steuergeräten und/oder Programmen jederzeit zur Verfügung stehen. Vorzugsweise werden diese Prüfdaten bei den Test-Teilnehmern abgelegt, um den Netzwerkverkehr zu minimieren. Beispielsweise kann die eindeutige Fahrzeugkennung, im Allgemeinen die Fahrgestellnummer, als Prüfdaten auf den Teilnehmern abgelegt sein. Die Prüfdaten können aber auch von einem oder mehreren Teilnehmern zur Verfügung gestellt werden, wobei deren korrekte Funktionalität laufend sichergestellt werden muss.
  • Diese Aufgabe wird erfindungsgemäß auch durch die Merkmale des Anspruchs 2 gelöst. Danach verschlüsselt ein erstes Steuergerät oder Programm die Prüfdaten, entschlüsselt diese wieder und vergleicht das Ergebnis mit den Prüfdaten, um seine korrekte Funktionalität festzustellen. Beim Auftreten eines Fehlers kann das erste Steuergerät nach Ausführung des Eigentests feststellen, ob der Fehler im ersten Steuergerät oder in einem weiteren Steuergerät vorliegt.
  • Es ist also nun möglich, dass ein Steuergerät sowohl ein weiteres Steuergerät wie auch sich selbst auf korrekte Funktion prüft.
  • Es gibt nun verschiedene Möglichkeiten, die, Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die untergeordneten Ansprüche und andererseits auf die nachfolgende Erläuterung einer Ausführungsform zu verweisen. Es sollen auch die vorteilhaften Ausgestaltungen einbezogen sein, die sich aus einer beliebigen Kombination der Unteransprüche ergeben. In der Zeichnung ist eine Ausführungsform des erfindungsgemäßen Verfahrens und eine entsprechende Vorrichtung dargestellt. Es zeigt in schematischer Darstellung.
  • Fig. 1 eine Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens.
  • Die erfindungsgemäße Vorrichtung ist in Fig. 1 abgebildet. Das vernetzte System besteht aus mehreren Steuergeräten 1, 2, 3, die miteinander über ein Datenbussystem 4 verbunden sind. Innerhalb der Steuergeräte laufen Softwaremodule ab. Sowohl die Steuergeräte als auch die Softwaremodule kommunizieren über das Datenbussystem mit den anderen Steuergeräten und Softwaremodulen.
  • In dem Ausführungsbeispiel ist das Datenbussystem 4 ein CAN- Bus, wobei aber das Verfahren mit jedem anderen Bussystem wie MOST, FlexRay anwendbar ist. In dem CAN-Protokoll ist festgelegt, dass eine Botschaft prinzipiell folgendermaßen aufgebaut ist: "Start der Botschaft" bezeichnet den Anfang der Botschaft, "Botschaftskennzeichnung" enthält den Identifier zur Unterscheidung der Botschaften, das "Kontrollfeld" enthält den Code für die Anzahl der Datenbytes im "Datenfeld", das "Datenfeld" enthält die zu übertragenden Daten, das "CRC-Feld" enthält ein Rahmensicherungswort zur Erkennung von Übertragungsstörungen, "Empfangsbestätigung" enthält ein Bestätigungssignal aller Empfänger, die die Botschaft fehlerfrei empfangen haben und "Ende der Botschaft" markiert das Ende der Botschaft.
  • Als Prüfdaten wird in diesem System die Fahrgestellnummer des Fahrzeugs verwendet, da diese aus Sicherheitsgründen auf den teilnehmenden Steuergeräten (1, 2, 3) bereits abgelegt ist. Die Verschlüsselung selbst erfolgt nach bekannten Verfahren. Diese können aus dem eingangs zitierten Stand der Technik entnommen werden.
  • Der Funktionstest wird von einem Steuergerät, beispielsweise Steuergerät 1, initiiert. Dazu werden von dem Steuergerät 1 die Prüfdaten verschlüsselt und an das Steuergerät 2 gesendet. Diese Botschaft wird nach dem Standard CAN-Protokoll unter anderem mit einem Kontrollfeld und einem CRC-Feld versehen.
  • Das Empfänger-Steuergerät 2 entschlüsselt den Inhalt der empfangenen Botschaft und sendet diese Daten unverschlüsselt an das ursprünglich sendende Steuergerät 1 zurück. Das Steuergerät 1 vergleicht den Inhalt dieser Botschaft mit den Prüfdaten.
  • Stimmen diese Daten überein, so ist davon auszugehen, dass sowohl Steuergerät 1 als auch Steuergerät 2 und die Kommunikationslinie korrekt funktionieren. Stimmen diese Daten nicht überein, muss an einer dieser drei Stellen ein Fehler vorliegen.
  • Beide Steuergeräte 1, 2 können einen Fehler in der Datenübertragung mittels der Standard-CAN-Protokoll-Funktionalität überprüfen. Hierzu wird von den Steuergeräten 1, 2 beim Senden bzw. Empfang der Botschaft eine Prüfung anhand des Kontroll- und CRC-Feldes vorgenommen. Anhand dieser Prüfung können die Steuergeräte 1, 2 feststellen ob ein Fehler in der Kommunikationslinie zwischen Steuergerät 1 und Steuergerät 2 vorliegt.
  • Das Steuergerät 1 überprüft seine korrekte Funktionalität indem es eine Referenzcodierung durchführt, das heißt die Prüfdaten verschlüsselt, wieder entschlüsselt und danach mit den Ausgangs-Prüfdaten vergleicht. Stimmen die Daten überein funktioniert Steuergerät 1 korrekt und der Fehler muss am Steuergerät 2 liegen. Damit hat das Steuergerät 1 seine eigene Funktionalität sowie die Funktionalität des Steuergeräts 2 überprüft.
  • Das Steuergerät 2 kann seine korrekte Funktionalität ebenfalls über eine Referenzcodierung überprüfen. Zudem kann das Steuergerät 2 die vom Steuergerät 1 gesendeten Daten entschlüsseln und mit den Prüfdaten vergleichen und so die Funktionalität von Steuergerät 1 überprüfen. Damit hat auch das Steuergerät 2 seine eigene Funktionalität und die Funktionalität eines weiteren Steuergeräts, hier Steuergerät 1, geprüft.
  • Das Verfahren läuft beim Funktionstest zwischen Softwaremodulen bzw. zwischen Softwaremodulen und Steuergeräten identisch ab.

Claims (4)

1. Verfahren zum Funktionstest von Steuergeräten (1, 2, 3) und/oder Programmen, wobei
die Steuergeräte (1, 2, 3) und/oder Programme Daten mittels eines Datenbussystems (4) austauschen und
Prüfdaten existieren, die den am Funktionstest teilnehmenden Steuergeräten (1, 2, 3) und/oder Programmen bekannt sind, dadurch gekennzeichnet, dass
ein erstes Steuergerät (1) oder Programm die Prüfdaten ver- schlüsselt an ein zweites Steuergerät (2) oder Programm sendet,
das zweite Steuergerät (2) oder Programm diese Daten entschlüsselt und an das erste Steuergerät (1) oder Programm zurücksendet und
das erste Steuergerät (1) oder Programm diese empfangenen Daten mit den Prüfdaten vergleicht.
2. Verfahren zum Funktionstest von Steuergeräten (1, 2, 3) und/oder Programmen, wobei
die Steuergeräte (1, 2, 3) und/oder Programme Daten mittels eines Datenbussystems (4) austauschen und
Prüfdaten existieren, die den am Funktionstest teilnehmenden Steuergeräten (1, 2, 3) und/oder Programmen bekannt sind, dadurch gekennzeichnet, dass ein erstes Steuergerät (1) oder Programm die Prüfdaten verschlüsselt, wieder entschlüsselt und mit den Prüfdaten vergleicht, um seine korrekte Funktionalität festzustellen.
3. Verfahren zum Funktionstest von Steuergeräten (1, 2, 3) und/oder Programmen, wobei
die Steuergeräte (1, 2, 3) und/oder Programme Daten mittels eines Datenbussystems (4) austauschen und
Prüfdaten existieren, die den am Funktionstest teilnehmenden Steuergeräten (1, 2, 3) und/oder Programmen bekannt sind, dadurch gekennzeichnet, dass
ein erstes Steuergerät (1) oder Programm die Prüfdaten verschlüsselt an ein zweites Steuergerät (2) oder Programm sendet,
das zweite Steuergerät (2) oder Programm diese Daten entschlüsselt und mit den Prüfdaten vergleicht, um festzustellen, ob das zweite Steuergerät (2) oder Programm korrekt funktioniert.
4. Verfahren zum Funktionstest von Steuergeräten (1, 2, 3) und/oder Programmen, wobei
die Steuergeräte (1, 2, 3) und/oder Programme Daten mittels eines Datenbussystems (4) austauschen und
Prüfdaten existieren, die den am Funktionstest teilnehmenden Steuergeräten (1, 2, 3) und/oder Programmen bekannt sind, dadurch gekennzeichnet, dass
ein erstes Steuergerät (1) oder Programm die Prüfdaten verschlüsselt an ein zweites Steuergerät (2) oder Programm sendet,
das zweite Steuergerät (2) oder Programm die Prüfdaten verschlüsselt und mit den von dem ersten Steuergerät (1) oder Programm gesendeten verschlüsselten Daten vergleicht, um festzustellen ob das zweite Steuergerät (2) oder Programm korrekt funktioniert.
DE2001148323 2001-09-29 2001-09-29 Verfahren zum Funktionstest von Steuergeräten und Programmen Withdrawn DE10148323A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001148323 DE10148323A1 (de) 2001-09-29 2001-09-29 Verfahren zum Funktionstest von Steuergeräten und Programmen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001148323 DE10148323A1 (de) 2001-09-29 2001-09-29 Verfahren zum Funktionstest von Steuergeräten und Programmen

Publications (1)

Publication Number Publication Date
DE10148323A1 true DE10148323A1 (de) 2003-04-10

Family

ID=7700925

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001148323 Withdrawn DE10148323A1 (de) 2001-09-29 2001-09-29 Verfahren zum Funktionstest von Steuergeräten und Programmen

Country Status (1)

Country Link
DE (1) DE10148323A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10334086A1 (de) * 2003-07-25 2005-02-17 Volkswagen Ag Motorsteuer-Vorrichtung
WO2005116834A1 (de) * 2004-04-29 2005-12-08 Bayerische Motoren Werke Aktiengesellschaft Authentisierung von steuerge­räten in einem fahrzeug
US8886943B2 (en) 2004-04-29 2014-11-11 Bayerische Motoren Werke Aktiengesellschaft Authentication of a vehicle-external device

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10334086A1 (de) * 2003-07-25 2005-02-17 Volkswagen Ag Motorsteuer-Vorrichtung
DE10334086B4 (de) * 2003-07-25 2014-02-13 Volkswagen Ag Motorsteuer-Vorrichtung
WO2005116834A1 (de) * 2004-04-29 2005-12-08 Bayerische Motoren Werke Aktiengesellschaft Authentisierung von steuerge­räten in einem fahrzeug
CN100492248C (zh) * 2004-04-29 2009-05-27 宝马股份公司 验证汽车中的控制设备
US8886943B2 (en) 2004-04-29 2014-11-11 Bayerische Motoren Werke Aktiengesellschaft Authentication of a vehicle-external device

Similar Documents

Publication Publication Date Title
DE112010001370B4 (de) Signalübertragungsvorrichtung für einen Aufzug
EP1352326B1 (de) Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung
DE69433098T2 (de) Vorrichtung zur Übertragung von Daten
EP1631014B1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
WO2016096599A1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE112013006757T5 (de) Datenverarbeitungsvorrichtung und Kommunikationssystem
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
EP1811722A2 (de) Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
EP3412018B1 (de) Verfahren zum austausch von nachrichten zwischen sicherheitsrelevanten vorrichtungen
EP1985070B1 (de) Verfahren und vorrichtung zur busankopplung sicherheitsrelevanter prozesse
DE102012110712B4 (de) Verfahren und System zur Funktionsprüfung einer Fehlererkennungseinheit einer CAN-Bus-Controllereinheit
DE10148323A1 (de) Verfahren zum Funktionstest von Steuergeräten und Programmen
WO2020109200A1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
EP0977395B1 (de) Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE10240669A1 (de) Verfahren und Einrichtung zur Übertragung von Botschaften
DE102020213432A1 (de) Elektronische Fahrzeugarchitektur zur Aktuatordiagnose
DE10243319B4 (de) Sichere Datenübertragung
WO2005101208A1 (de) Verfahren und steuerungssystem zum erkennen eines fehlers bei einer verarbeitung von daten in einem verarbeitungssystem
DE102022211587B4 (de) Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
DE102013204891B4 (de) Verfahren zur Rekonstruktion von Messdaten
EP4066114A1 (de) Verfahren zur überprüfung einer signalverbindung
EP0525921A2 (de) Von quellenseitig her sich wiederholende kryptologisch verschlüsselte Datenübertagung

Legal Events

Date Code Title Description
8127 New person/name/address of the applicant

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

8127 New person/name/address of the applicant

Owner name: DAIMLER AG, 70327 STUTTGART, DE

8141 Disposal/no request for examination