-
Die vorliegende Erfindung betrifft ein Steuergerät für ein Fahrzeug, insbesondere ein Kraftfahrzeug.
-
In der Automobilelektronik werden als Steuergeräte (ECU, ECM) alle elektronischen Schaltungen verstanden, welche die Steuerung unterschiedlichster technischer Prozesse im Kraftfahrzeug erlauben. Während unter diesen Begriff grundsätzlich auch diskrete analoge Schaltungen etwa zur Motorsteuerung gefasst werden können, sind Kraftfahrzeug-Steuergeräte nach dem Stand der Technik typischerweise als eingebettete Systeme realisiert, deren Größe abhängig von der Komplexität der zu bewältigenden Aufgabe erheblich variieren kann. Während einfache Steuergeräte zur Speicherung ihrer Programme dabei lediglich mit einem Festwertspeicher oder Nur-Lese-Speicher (ROM) ausgestattet sind, verfügen fortschrittliche Einrichtungen zumeist über einen Flash-Speicher (Flash-EEPROM), der eine Neuprogrammierung oder Softwareaktualisierung erlaubt.
-
Da moderne Kraftfahrzeuge in der Regel mit einer Vielzahl von Steuergeräten ausgerüstet sind, stellt der systemweite Austausch von Daten über die Betriebszustände einzelner Geräte eine besondere Herausforderung dar. Zu diesem Zweck wurden Kraftfahrzeuge entwickelt, die mittels einer Mehrzahl unterschiedlicher Bussysteme vernetzt sind. Um die Kommunikation innerhalb eines derartigen Bussystems zu verbessern oder eine Verbindung zu einem weiteren Bussystem herzustellen, das einem anderen Standard entspricht, werden dabei Elemente wie Repeater und Bridges, auf oberster Systemebene aber vor allem sogenannte Gateway eingesetzt. Bekannte Gateways verfügen etwa über die Fähigkeit, unterschiedliche Übertragungsgeschwindigkeiten anzupassen, aber auch physikalisch verschiedene Übertragungsmedien miteinander zu koppeln.
-
Mit der zunehmenden Anzahl teils baugleicher Bussysteme innerhalb einzelner Fahrzeuge finden Gateways ferner Verwendung, um selbst gleichartige Systeme zum Zwecke der Übersichtlichkeit und Erweiterbarkeit zu verbinden. Nach dem Stand der Technik sind etwa Fahrzeuge bekannt, die über acht Controller Area Networks (CAN-Busse) verfügen, welche über sechs oder mehr geeignete Gateways in Verbindung stehen. Nicht jedes Gateway ist dabei zwingend als eigenständiges Steuergerät realisiert, sondern kann etwa Teil eines als Telematics Control Unit (TCU) bekannten Moduls sein, das an unterschiedliche CAN-Busse mit potenziell unterschiedlichen Übertragungsraten angebunden ist. Kernaufgabe der TCU ist dabei die Vernetzung des Fahrzeugs mit einem externen Telematik-Dienstleister mittels drahtloser Übertragungsstandards wie GSM, GPRS oder WLAN. Abhängig von der angestrebten Telematik-Anwendung können dabei nicht nur Informationen zur Nutzung im Fahrzeug per Funk empfangen, sondern ebenso auf dem umgekehrten Übertragungsweg beispielsweise Betriebs- oder Positionsdaten eines entsprechend ausgestatteten Fahrzeugs versendet und beim Telematik-Dienstleister verarbeitet werden.
-
In
US 2012/0253551 A1 wurde zu diesem Zweck eine Plattform für telematische Anwendungen vorgeschlagen, die einen Telematik-Dienstleister mittels eines im IT-Management als Cloud-Computing bezeichneten Ansatzes drahtlos mit einer Vielzahl von TCUs unterschiedlicher Fahrzeuge verbindet. Protokollverarbeitung, Verschlüsselung und Weiterleitung sämtlicher Transaktionen werden dabei weitgehend vom Fahrzeug in die Sphäre des Dienstleisters ausgelagert, welcher mit den einzelnen Teilnehmern über ein sogenanntes Gateway-Dienst-Subsystem in Verbindung steht.
-
Eine beachtenswerte Problematik stellt bei derartigen Ansätzen die Informationssicherheit der Telematik-Plattform dar. Als Informationssicherheit oder IT-Sicherheit werden gemäß der Terminologie der Informatik diejenigen Eigenschaften informationsverarbeitender und -lagernder Systeme verstanden, welche in ihrem Zusammenspiel die Vertraulichkeit, Verfügbarkeit und Integrität der betreffenden Information sicherstellen. Im vorliegenden Zusammenhang steht dabei vor allem die Ausfallsicherheit der TCU und angeschlossener Steuergeräte im Vordergrund, die im Fahrzeugbetrieb nicht nur die Zuverlässigkeit unterschiedlichster Komfortfunktionen, sondern gleichsam der im Fahrzeug verbauten Motorsteuerung und Assistenzsysteme und somit letztlich die Fahrsicherheit insgesamt beeinflusst.
-
Die vorliegende Erfindung beschäftigt sich daher mit dem Problem, für ein gattungsgemäßes Steuergerät eine verbesserte Ausführungsform anzugeben, die sich insbesondere durch eine Beachtung der kritischen Sicherheitsanforderungen auszeichnet, denen Fahrzeugnetzwerke unterliegen.
-
Dieses Problem wird erfindungsgemäß durch den Gegenstand des unabhängigen Anspruchs gelöst. Vorteilhafte Ausführungsformen sind Gegenstand der abhängigen Ansprüche.
-
Die Erfindung beruht auf dem allgemeinen Gedanken, ein Steuergerät der beschriebenen Art mit zwei Prozessoren auszustatten, die in ihrem jeweiligen Einsatzzweck klar unterscheidbar sind. Die originären, sicherheitskritischen Aufgaben eines Gateways – den Datenaustausch zwischen unterschiedlichen an das Steuergerät angebundenen Bussystemen betreffend – sind dabei einem ersten Prozessor übertragen, der schreibend und lesend auf sämtliche verbundenen Busse zugreifen kann. Das abgrenzbare Aufgabenfeld der Erfassung und Verarbeitung der über einen dedizierten Feldbus gelieferten Daten bleibt indes einem zweiten Prozessor vorbehalten, der durch die spezifische Hardwarekonfiguration des Steuergeräts von einem Schreibzugriff auf den Feldbus ausgeschlossen ist.
-
Der erfindungsgemäße Ansatz gewährleistet somit ein erhebliches Maß an Informationssicherheit, da er eine Korrumpierung des systemkritischen Feldbusses, die in herkömmlichen Vorrichtungen etwa durch eine Fehlkonfiguration des zweiten Prozessors ausgelöst werden mag, einfach und wirksam verhindert. Schreibzugriffe durch den zweiten Prozessor bleiben vielmehr auf einen vom Feldbus konstruktiv getrennten Konfigurationsbus beschränkt, über welchen der Prozessor die erhobenen Daten zur Weiterverarbeitung an ein externes System übertragen kann. Diese Gestaltung lässt es zu, dass selbst ungeprüfte Software mittels der Konfigurationsbusanbindung auf dem zweiten Prozessor hinterlegt werden kann, die weder den ersten Prozessor noch über den Feldbus verbundene Steuergeräte beeinflusst.
-
Insbesondere kann es sich bei einem oder beiden genannten Bussen um einen CAN-Bus handeln. Sämtliche Vorzüge dieses international standardisierten seriellen asynchronen Bussystems werden damit auf das erfindungsgemäße Steuergerät übertragen. Insbesondere können Kollisionen beim Buszugriff durch das Steuergerät mittels der CAN-spezifischen Arbitrierung verlustfrei aufgelöst sowie Datenverluste während der Übertragung mittels der standardgemäßen zyklischen Redundanzprüfung (CRC) in den meisten Fällen verhindert werden. Zugleich wird durch ein dem Nachrichtentechniker als Bitstopfen geläufiges Verfahren eine Synchronisierung des Steuergeräts und seiner Verbindungspartner selbst bei geringfügig abweichender Prozessortaktung gewährleistet. Durch Nutzung des CAN-Busses lassen sich mit der Bitübertragung und Datensicherung zugleich zwei der grundlegendsten Abstraktionsschichten eines OSI-konformen Netzwerkprotokolls abdecken. Auch die konstruktive Flexibilität und Skalierbarkeit einer auf einem erfindungsgemäßen Steuergerät aufbauenden Plattform ist auf diese Weise angesichts der Unterstützung von Übertragungsraten von bis zu 1 Mbit/s, Leitungslängen von bis zu 500 m und Teilnehmerzahlen von bis zu 128 Netzwerkknoten je Leitung gesichert.
-
Besonders vorteilhaft ist eine Ausführungsform, bei welcher der zweite Prozessor mit einem weiteren Feldbus verbunden ist. Eine Datenakquise durch den zweiten Prozessor kann bei dieser Konfiguration im Regelfall ohne Beeinträchtigung des ersten Prozessors erfolgen, da die getrennte Anbindung des zweiten Prozessors einen separaten Übertragungsweg für die von verbundenen Steuergeräten gelieferten Daten eröffnet, welcher eine etwaige Mehrbelastung des ersten Prozessors durch Unterbrechungsanforderungen seitens des primären Feldbusses schon baubedingt ausschließt.
-
Gemäß einer anderen vorteilhaften Ausführungsform kann der erste Prozessor einen Firewall aufweisen, der einen Zugriff über den Konfigurationsbus softwaremäßig beschränkt. Ohne die Notwendigkeit einer baulichen Veränderung der Konfigurationsbusanbindung lassen sich unerwünschte Netzwerkzugriffe auf diesem Wege mit geringem Aufwand vermeiden. Die durch die auf dem ersten Prozessor hinterlegten Firewall-Regeln eröffneten Konfigurationsmöglichkeiten lassen dabei auch eine flexible Unterscheidung von Datenpaketen nach deren Herkunft oder Inhalt zu. Entsprechende Firewall-Technologien wie Paketfilter oder Stateful Packet Inspection (SPI) sind am Markt verfügbar und gestatten die unkomplizierte Programmierung des ersten Prozessors. In Verbindung mit der erfindungsgemäßen Zugriffsbeschränkung des zweiten Prozessors ergibt sich auf diese Weise eine kosteneffiziente Kombination geeigneter Hardware- und Software-Maßnahmen, die dem Fachmann die wirtschaftliche Realisierung eines leistungsfähigen Steuergeräts für den angestrebten Einsatzzweck erlaubt. Auch die Möglichkeit der gemeinsamen Nutzung weiterer Komponenten – zu denken ist etwa an das Gehäuse, die Spannungsversorgung sowie etwaige Steckverbinder – eröffnet fertigungspraktische und kostenmäßige Optimierungsmöglichkeiten.
-
Bei einer anderen Ausführungsform können die Prozessoren dergestalt programmiert sein, dass der erste Prozessor – vorzugsweise gemäß einem vorgegebenen Mess- und Kalibrierprotokoll – die Datenerfassung einleitet. Obgleich auch bei dieser Ausgestaltung die Kernaufgabe der Datenauswertung beim zweiten Prozessor verbleibt, kann der erste Prozessor auf die beschriebene Art mittels eines – für ihn erlaubten – Schreibzugriffs auf den Feldbus mit anderen an den Feldbus angeschlossenen Steuergeräten in Verbindung treten und diese etwa zur Übermittlung relevanter Betriebsdaten auffordern. Die Einschränkung des eigentlich für die Datenerfassung konzipierten zweiten Prozessors wird durch den beschriebenen Ansatz in pragmatischer Weise umgangen, indem die Initiierung des Erfassungsprozesses dem ersten, mit weiteren Zugriffsrechten ausgestatteten Prozessor übertragen wird.
-
Als durch den ersten Prozessor zu verwendendes Protokoll bietet sich dabei das in der Automobilelektronik verbreitete CAN Calibration Protocol (CCP) oder als dessen Nachfolger das Universal Measurement and Calibration Protocol (XCP) an. Beide Protokolle bieten den Vorzug einer breiten, im Falle des CCP sogar ausschließlichen Unterstützung des erfindungsgemäß als Feldbus einsetzbaren CAN-Busses. Auch in der Test- oder Entwicklungsphase eines entsprechend ausgestatteten Fahrzeugs erweist sich die Verwendung eines der genannten Protokolle als vorteilhaft. Der Einsatz von XCP gestattet dabei die alternative oder zusätzliche Nutzung anderer Transportschichten, derzeit beispielsweise Ethernet, FlexRay oder Universal Serial Bus (USB). Beiden Protokollen gemein ist der Vorzug einer sogenannten Master-Slave-Architektur, bei welcher der erste Prozessor in der Rolle des Masters den Zugriff auf sämtliche über den Feldbus verbundene Steuergeräte beherrscht und unaufgefordert eine Erfassung der von diesen gespeicherten Werte einleiten kann. Auch die Möglichkeit einer Anpassung interner Parameter der als Slaves konfigurierten Steuergeräte wird durch die Verwendung der genannten Protokolle eröffnet.
-
Dabei empfiehlt sich eine Ausgestaltung des Steuergeräts in einer Weise, die eine Konfiguration, insbesondere eine Neuprogrammierung, des zweiten Prozessors über den Konfigurationsbus gestattet. Das resultierende Steuergerät erlaubt angesichts seiner Architektur dabei nicht nur gleichermaßen die Ausführung sicherheitskritischer und -unkritischer Anwendungen, sondern zudem eine vergleichsweise einfache Steuerung und Programmierung beider integrierter Prozessoren mittels lediglich einer einzigen Konfigurationsschnittstelle. Dabei lässt sich nicht zertifizierte, nur zur vorübergehenden Anwendung vorgesehene Software von einem Server vorzugsweise auf den zweiten Prozessor mittels eines als Download oder Herunterladen bezeichneten Vorgangs übertragen. Insbesondere im Rahmen der Fahrzeugdiagnose, die häufig zeitlich beschränkt und daher mittels einer temporären Softwareinstallation zu bewältigen ist, birgt dieser Ansatz zahlreiche Vorteile.
-
Weitere wichtige Merkmale und Vorteile der Erfindung ergeben sich aus den Unteransprüchen, aus der Zeichnung und aus der zugehörigen Figurenbeschreibung anhand der Zeichnung.
-
Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
-
Bevorzugte Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert.
-
Die einzige 1 zeigt eine stark vereinfachte, schaltplanartige Prinzipdarstellung eines Steuergeräts 1 in Form einer TCU. Die in 1 dargestellte TCU ist dabei in Gestalt eines Gateways mit einer Mehrzahl von Busanbindungen 13–22 ausgeführt. Ein erster, schreibend und lesend nutzbarer CAN-Bus dient als Konfigurationsbus 2, kann zugleich aber zur Anbindung an einen Telematik-Dienstleister Verwendung finden. Fünf weitere CAN-Busse 3, 4, 5, 6, 7 verbinden das Steuergerät 1 mit einer Vielzahl anderer Steuergeräte (nicht dargestellt) und über Letztere mit angeschlossenen Feldgeräten, insbesondere in einem Fahrzeug 23 verteilten Messfühlern und Stellgliedern, welche der Regelung unterschiedlichster technischer Prozesse dienen mögen.
-
Besonderes Augenmerk verdient dabei die in 1 durch entsprechend ausgerichtete Pfeilspitzen angedeutete Übermittlungsrichtung von Daten zwischen beiden Prozessoren 8, 9 und den mit ihnen über ihre jeweiligen Busanbindungen 13–22 verbundenen Bussen 2–7, welche das erfindungsgemäße Berechtigungskonzept illustriert. Insofern wird erkennbar, dass der erste Prozessor 8 und der zweite Prozessor 9 jeweils lesend und schreibend auf den Konfigurationsbus 2 zugreifen können, während nur der erste Prozessor 8 über eine bidirektionale Zugriffsmöglichkeit auf die vier mit ihm verbundenen Feldbusse 3, 4, 5, 6 verfügt. Mit dreien dieser Feldbusse 4, 5, 6 ist der zweite Prozessor 9 zwar ebenfalls verbunden; geeignete Hardwaremerkmale des Steuergeräts 1 etwa in Form entsprechend konfigurierter Signalverstärker (nicht dargestellt) vereiteln dabei jedoch jeglichen Schreibzugriff auf diese Feldbusse 4, 5, 6 durch den zweiten Prozessor 9. Ausschließlich durch den zweiten Prozessor 9 auslesbar ist indes ein fünfter Feldbus 7, der wiederum keinerlei Verbindung zum ersten Prozessor 8 aufweist.
-
Neben weiteren, im vorliegenden Kontext nicht unmittelbar relevanten Softwarebausteinen 10 beherbergt der zweite, insbesondere zur Datenverarbeitung ausgelegte Prozessor 9 ein Datenerfassungsmodul 11, das von der Leseanbindung an die Feldbusse 19, 20, 21, 22 Gebrauch machen und auf diesem Wege bezogene Daten über den Konfigurationsbus 2 etwa an den Telematik-Dienstleister übermitteln kann. Der erste Prozessor 8 hingegen füllt neben den typischen Routing-Aufgaben eines konventionellen Gateways zusätzlich die Rolle eines Masters 12 gemäß dem XCP aus, indem er über die Feldbusse 15, 16, 17, 18 angeschlossene Slaves im Bedarfsfall zur Übermittlung von Betriebsdaten an das Steuergerät 1 auffordert.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 2012/0253551 A1 [0005]