-
Stand der Technik
-
Die Erfindung betrifft ein Verfahren zur Authentifizierung von Messdaten einer Batterie, die zumindest ein Batteriemodul mit einem zugeordneten Modulsteuergerät und ein zentrales Steuergerät umfasst, wobei Messdaten von Batterieeinheiten durch das zumindest eine Modulsteuergerät erfasst werden.
-
Weiterhin werden eine Datenstruktur mit derartigen Messdaten angegeben, ein Computerprogramm und ein Batteriemanagementsystem, die insbesondere zur Durchführung des Verfahrens eingerichtet sind. Weiterhin werden eine Batterie und ein Kraftfahrzeug mit einer derartigen Batterie angegeben.
-
Elektronische Steuergeräte werden im automobilen Umfeld heutzutage in zunehmender Zahl eingesetzt, Beispiele hierfür sind Motorsteuergeräte und Steuergeräte für ABS oder den Airbag. Für elektrisch angetriebene Fahrzeuge ist ein heutiger Forschungsschwerpunkt die Entwicklung von leistungsfähigen Batteriepacks mit zugehörigen Batteriemanagementsystemen, d.h. Steuergeräten, welche mit einer Software zur Überwachung der Batteriefunktionalität ausgestattet sind. Batteriemanagementsysteme gewährleisten unter anderem die sichere und zuverlässige Funktion der eingesetzten Batteriezellen und Batteriepacks. Sie überwachen und steuern Ströme, Spannungen, Temperaturen, Isolationswiderstände und weitere Größen für einzelne Zellen und/oder den ganzen Batteriepack. Mit Hilfe dieser Größen lassen sich Managementfunktionen realisieren, die die Lebensdauer, Zuverlässigkeit und Sicherheit des Batteriesystems steigern.
-
Aus der
DE 10 2009 030 091 A1 ist ein Verfahren zur Kommunikation zwischen einer Ladestation und einem Elektrofahrzeug bekannt, das eine Integritäts- und Authentizitätsüberprüfung umfasst, wobei Datenpakete versendet werden, die mittels Hashcodes, insbesondere mittels Einwegfunktionen und Geräteschlüsseln signiert sind, sodass auf Empfängerseite festgestellt werden kann, ob eine Veränderung der Datenpakete stattgefunden haben muss.
-
Aus der
DE 10 2011 089 352 A1 ist ein Batteriemanagementsystem bekannt, bei welchem eine Überprüfung von Konfigurationsparametern erfolgt, wobei die Konfigurationsparameter sowohl Nutzungsdaten der Batterie als auch Parameter umfassen, die durch Werkstests bestimmt werden. Dabei ist vorgesehen, dass eine Firmware überprüft, dass die Werte in den Registern tatsächlich Werte solche aufweisen, die mit werksprogrammierten Fehlererkennungsdaten, z.B. Prüfsummen oder Hashfunktionen, identische Prüfsummen ergeben. Sind einige der Konfigurationsparameter als nicht korrekt befunden, können Maßnahmen ergriffen werden, wie beispielsweise Sperren des Batteriebetriebs, Speichern einer Meldung über den Ausfall eines Speichers, Systemreset.
-
Offenbarung der Erfindung
-
Ein erfindungsgemäßes Verfahren zur Authentifizierung von Messdaten einer Batterie umfasst die folgenden Schritte:
- a) Erfassen von Messdaten von Batterieeinheiten durch ein Modulsteuergerät;
- b) Ermitteln zumindest eines zusätzlichen Informationsträgers, der zu einer Authentifizierung der Messdaten eingerichtet ist, durch das Modulsteuergerät;
- c) Übermitteln der Messdaten und des zumindest einen zusätzlichen Informationsträgers von dem Modulsteuergerät an das zentrale Steuergerät;
- d) Validieren der Messdaten anhand des zumindest einen zusätzlichen Informationsträgers durch das zentrale Steuergerät,
wobei der zusätzliche Informationsträger anhand der Messdaten und eines vom Modulsteuergerät definierten Schlüsselwerts ermittelt wird.
-
Messdaten, welche üblicherweise durch Modulsteuergeräte erfasst und überwacht werden, umfassen beispielsweise die Temperatur, den Isolationswiderstand, den Ladezustand, den abgegebenen Strom oder die bereitgestellte Spannung. Ebenso können Messdaten hieraus abgeleitete Größen umfassen, beispielsweise zeitlich aufsummierte oder integrierte Größen, miteinander multiplizierte oder anderweitig aggregierte Größen. Außerdem können Differenzwerte zwischen minimalen und maximalen Zuständen, beispielsweise von Ladungszuständen, relative Batterieleistungen oder Anzahl von Durchführungen von Lade- und Entladezyklen in den abgeleiteten Messdaten umfasst sein. Anhand derartiger Messdaten werden Batteriemanagementfunktionen realisiert, wie beispielsweise die Ermittlung einer voraussichtlichen Lebensdauer des Batteriesystems oder eines Gesundheitszustands (SOH) der Batterie.
-
Das Verfahren kann insbesondere bei Lithium-Ionenbatterien und bei Nickel-Metallhydridbatterien Anwendung finden. Vorzugsweise findet es Anwendung an mehreren und insbesondere an allen Modulen einer oder mehrerer Batterien, die im Wesentlichen gleichartig betrieben werden.
-
Vorteilhafte Weiterbildungen und Verbesserungen des in dem unabhängigen Anspruch angegebenen Verfahrens sind durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen möglich.
-
Der vom Modulsteuergerät definierte Schlüsselwert wird im Rahmen der Erfindung auch als seed oder als seed key bezeichnet. Besonders bevorzugt wird der vom Modulsteuergerät definierte Schlüsselwert anhand eines bestimmten Messwerts einer Größe ermittelt, beispielsweise anhand der Temperatur, des Ladezustand, des abgegebenen Stroms oder der bereitgestellten Spannung oder anhand einer abgeleiteten oder anderweitig aggregierten Größe, die wie zuvor beschrieben gebildet sein kann. Welcher konkrete Messwert verwendet wird, sollte geheim bleiben, um das Umgehen der Verschlüsselung für Dritte möglichst zu erschweren.
-
Der bestimmte Messwert ist bevorzugt ein Messwert, welcher zu den Messdaten gehört, die mit dem zumindest einen zusätzlichen Informationsträger oder zuvor vom Modulsteuergerät an das zentrale Steuergerät übermittelt und vom zentralen Steuergerät validiert werden oder wurden. Insbesondere kann der bestimmte Messwert zu den letzten übermittelten und validierten Messdaten des Modulsteuergeräts oder zu den aktuell übermittelten und zu validierenden Messdaten des Modulsteuergeräts gehören.
-
Der erste vom Modulsteuergerät definierte Schlüsselwert wird auch als Startwert bezeichnet. Als Startwert kann ein bestimmter Messwert dienen, der zu den aktuell übermittelten und zu validierenden Messdaten des Modulsteuergeräts gehört, beispielsweise eine erste gemessene Zellspannung.
-
Besonders bevorzugt wird der zusätzliche Informationsträger mittels einer Einwegfunktion f(x, y) aus dem vom Modulsteuergerät definierten Schlüsselwert und den Messdaten ermittelt. Die Einwegfunktion f(x, y) → z ist bevorzugt mit solchen Eigenschaften definiert, dass ihr Funktionswert z einfach zu berechnen ist und eine Umkehrung der Funktion sehr aufwendig und praktisch unmöglich ist. Beispiele für derartige Einwegfunktionen finden sich in der Kryptografie, beispielsweise Hash-Funktionen, insbesondere SHA-1, SHA-2 oder SHA-3, oder als Multiplikation von Primzahlen.
-
Hash-Funktionen sind dazu geeignet, die Integrität der Daten zu bestätigen. Das heißt, es ist praktisch unmöglich, durch beabsichtigte Modifikation Messdaten zu erzeugen, die den gleichen Hash-Wert wie gegebene Messdaten haben. Ohne Kenntnis der Berechnungsvorschrift des zusätzlichen Informationsträgers kann ein potenzieller Angreifer also keine plausible Kombination von Messdaten und passender Signatur erzeugen und im Steuergerät speichern.
-
Die Prüfsumme kann auch mittels einer zyklischen Redundanzprüfung gebildet sein. Bei der zyklischen Redundanzprüfung (CRC, cyclic redundancy check) wird eine Bitfolge der Messdaten durch ein festgelegtes Generatorpolynom, das so genannte CRC-Polynom Modulo 2 geteilt, wobei ein Rest bleibt. Dieser Rest ist der CRC-Wert, der den Messdaten angefügt wird.
-
Bei der Einwegfunktion f(x, y) → z ist der Wert y der vom Modulsteuergerät definierte Schlüsselwert. Durch den Wert y wird sichergestellt, dass die gleiche Einwegfunktion in unterschiedlichen Steuergeräten unterschiedliche Ergebnisse liefert. Jedes Modulsteuergerät weist eigene Schlüsselwerte auf und verwendet daher bei auch gleichen Messdaten eine von den anderen verschiedene Einwegfunktion. Der Eingabewert x sind die Messdaten. Der Wert x und der Wert y ergeben den Schlüssel, d. h. die Information, die den kryptographischen Algorithmus parametrisiert. Beispielsweise können alle Messdaten mittels einer XOR-Funktion zu einem Wert verknüpft werden, welcher dann zusammen mit dem Wert y in die Berechnung des zusätzlichen Informationsträgers eingeht. Das Zurückschließen auf die Berechnungsvorschrift wird durch die Verwendung des Modulsteuergeräte-individuellen Schlüssels stark erschwert.
-
Nach ihrer Erfassung werden die Messdaten entweder einzeln oder gebündelt mit dem zusätzlichen Informationsträger versehen, welcher in diesem Zusammenhang auch als eine Authentifizierungsinformation oder als eine so genannte Signatur bezeichnet sein kann. Die Signatur, beispielsweise ein 32-Bit-Wert, wird in einer Datenstruktur gemeinsam mit den Messdaten abgespeichert.
-
Der vom Modulsteuergerät definierte Schlüsselwert wird vom Modulsteuergerät bevorzugt zeitlich zufällig geändert. Als zeitlich zufällig kann ein Zeitpunkt bezeichnet werden, welcher vom Modulsteuergerät anhand echter Zufallszahlen oder pseudozufällig berechnet wird, beispielsweise anhand der Auswertung eines Rauschens oder unter Verwendung eines Zufallszahlengenerators. Eine Pseudozufälligkeit kann insbesondere auch derart gestaltet sein, dass ein Wechsel im Mittel nach einer definierten Anzahl von Messzyklen stattfindet, beispielsweise nach jedem hundertsten, nach jedem tausendsten oder nach jedem zehntausendsten. Alternativ hierzu kann die Pseudozufälligkeit so eingerichtet sein, dass ein Wechsel im Mittel nach einem bestimmten Zeitraum oder nach einer bestimmten Nutzungsdauer stattfindet, beispielsweise ein Mal pro Tag, an dem Batterie benutzt wurde.
-
Die Messdaten der einzelnen Modulsteuergeräte und die zusätzlichen Informationsträger, die zur Authentifizierung der Messdaten eingerichtet sind, werden dem zentralen Steuergerät übermittelt. Das zentrale Steuergerät kennt darüber hinaus alle bisherigen von den Modulsteuergeräten definierten Schlüsselwerte. Das zentrale Steuergerät validiert die Messdaten durch Abgleich der übermittelten zusätzlichen Informationsträger mit selbst berechneten zusätzlichen Informationsträgern, die mittels der bekannten Schlüsselwerte und den Messdaten ermittelt werden.
-
Da jedes Modulsteuergerät die Schlüsselwerte ändern kann, erfolgt die Validierung durch das zentrale Steuergerät bevorzugt zweistufig, wobei in einer ersten Stufe eine Validierung gegenüber einem bekannten Schlüsselwert erfolgt und bei einem Misslingen der Validierung in der ersten Stufe in einer zweiten Stufe eine Validierung gegenüber einem neuen Schlüsselwert erfolgt. Da der neue Schlüsselwert ein zu den übermittelten und validierten Messdaten des Modulsteuergeräts oder zu den aktuell übermittelten und zu validierenden Messdaten des Modulsteuergeräts gehört, hat das zentrale Steuergerät unmittelbar Zugriff darauf.
-
Nach einer bevorzugten Ausführungsform erzeugt bei einem Misslingen der Validierung das zentrale Steuergerät eine Fehlermeldung und stellt diese beispielsweise auf dem CAN-Bus bereit. Alternativ hierzu oder zusätzlich hierzu kann vorgesehen sein, dass das zentrale Steuergerät die Batterie zum Teil sperrt oder reduziert, beispielsweise einen so genannten Limp-Home initiiert.
-
Nach einer bevorzugten Ausführungsform umfasst das Verfahren den folgenden weiteren Schritt:
- e) Speichern der Messdaten in einen nicht-flüchtigen Speicher des zentralen Steuergeräts.
-
Ein solcher nicht-flüchtiger Speicher ist z.B. ein so genannter EEPROM (electrically erasable programmable read-only memory), d.h. ein nicht-flüchtiger, elektronischer Speicherbaustein, dessen gespeicherte Information elektrisch gelöscht werden kann. Die Speicherung der Messdaten in den nicht-flüchtigen Speicher kann sowohl verifizierte Messdaten umfassen als auch erfolglos verifizierte Daten, wobei ersteres insbesondere zum Zweck der Bereitstellung von Messdaten für Batteriemanagementfunktionen erfolgen kann. Derartig bereitgestellte Messdaten können beispielsweise zur Ermittlung der durchschnittlichen oder kumulierten Nutzung der Batterie herangezogen werden, beispielsweise im Rahmen von Schadensfällen zur Ermittlung von Ursachen. Gespeicherte erfolglos verifizierte Daten können dagegen einen erfolgten Angriff auf das System belegen.
-
Bevorzugt findet die Verifikation nach einer definierten Anzahl von Messzyklen statt, beispielsweise nach jedem, jedem zehnten, jedem hundertsten, jedem tausendsten oder nach jedem zehntausendsten. Alternativ kann die Verifikation nach einem bestimmten Zeitraum oder nach einer bestimmten Nutzungsdauer stattfinden, beispielsweise an jedem Tag, falls die Batterie an dem Tag benutzt wurde.
-
Erfindungsgemäß wird außerdem eine Datenstruktur vorgeschlagen mit Messdaten von Batterieeinheiten und mit zumindest einem zusätzlichen Informationsträger, der zu einer Validitätsprüfung der Messdaten eingerichtet ist. Die Datenstruktur wurde bei der Durchführung eines der beschriebenen Verfahren erstellt. Die Datenstruktur wird beispielsweise von einer Computereinrichtung zu Wartungs- und Servicezwecken oder zur Authentifizierung der Messdaten ausgelesen.
-
Erfindungsgemäß wird weiterhin ein Computerprogramm vorgeschlagen, gemäß dem eines der hierin beschriebenen Verfahren durchgeführt wird, wenn das Computerprogramm auf einer programmierbaren Computereinrichtung ausgeführt wird. Bei dem Computerprogramm kann es sich beispielsweise um ein Modul zur Implementierung einer Einrichtung zur Bereitstellung von Messdaten für ein Batteriemanagementsystem und/oder um ein Modul zur Implementierung eines Batteriemanagementsystems eines Fahrzeugs handeln. Das Computerprogramm kann auf einem maschinenlesbaren Speichermedium gespeichert werden, etwa auf einem permanenten oder wiederbeschreibbaren Speichermedium oder in Zuordnung zu einer Computereinrichtung, beispielsweise auf einem tragbaren Speicher, wie einer CD-ROM, DVD, einem USB-Stick oder einer Speicherkarte. Zusätzlich oder alternativ dazu kann das Computerprogramm auf einer Computereinrichtung, wie etwa auf einem Server oder einem Cloud-Server, zum Herunterladen bereitgestellt werden, beispielweise über ein Datennetzwerk, wie das Internet, oder eine Kommunikationsverbindung, wie etwa eine Telefonleitung oder eine drahtlose Verbindung.
-
Erfindungsgemäß wird außerdem ein Batteriemanagementsystem (BMS) bereitgestellt, mit einer Einheit zum Erfassen von Messdaten von Batterieeinheiten, einer Einheit zur Ermittlung eines zusätzlichen Informationsträgers, der zu einer Authentifizierung der Messdaten eingerichtet ist und der anhand der Messdaten und eines vom Modulsteuergerät definierten Schlüsselwerts ermittelt wird, Einheiten zum Übermitteln der Messdaten und des zusätzlichen Informationsträgers von einem Modulsteuergerät an ein zentrales Steuergerät und einer Einheit zur Validierung der Messdaten anhand des zusätzlichen Informationsträgers. Bevorzugt weist das Batteriemanagementsystem einen nicht-flüchtigen Speicher auf sowie eine Einheit zum Speichern der übermittelten und validierten Messdaten in einen nicht-flüchtigen Speicher.
-
Erfindungsgemäß wird außerdem eine Batterie, insbesondere eine Lithium-Ionenbatterie oder eine Nickel-Metallhydridbatterie, zur Verfügung gestellt, die ein Batteriemanagementsystem umfasst und mit einem Antriebssystem eines Kraftfahrzeugs verbindbar ist, wobei das Batteriemanagementsystem wie zuvor beschrieben ausgebildet ist und/oder eingerichtet ist, das erfindungsgemäße Verfahren auszuführen.
-
Die Begriffe "Batterie" und "Batterieeinheit" werden in der vorliegenden Beschreibung dem üblichen Sprachgebrauch angepasst für Akkumulator bzw. Akkumulatoreinheit verwendet. Die Batterie umfasst bevorzugt eine oder mehrere Batterieeinheiten, die eine Batteriezelle, ein Batteriemodul, einen Modulstrang oder ein Batteriepack umfassen können. Die Batteriezellen sind dabei vorzugsweise räumlich zusammengefasst und schaltungstechnisch miteinander verbunden, beispielsweise seriell oder parallel zu Modulen verschaltet. Mehrere Module können sogenannte Batteriedirektkonverter (BDC, Battery Direct Converter) bilden, und mehrere Batteriedirektkonverter einen Batteriedirektinverter (BDI, Battery Direct Inverter).
-
Erfindungsgemäß wird außerdem ein Kraftfahrzeug mit einer derartigen Batterie zur Verfügung gestellt, wobei die Batterie mit einem Antriebssystem des Kraftfahrzeugs verbunden ist. Bevorzugt wird das Verfahren bei elektrisch angetriebenen Fahrzeugen angewendet, bei welchen eine Zusammenschaltung einer Vielzahl von Batteriezellen zur Bereitstellung der nötigen Antriebsspannung erfolgt.
-
Vorteile der Erfindung
-
Mit dem erfindungsgemäßen Verfahren kann eine Manipulation von Messdaten und/oder ein nicht autorisierter Austausch von Batteriemodulen verhindert werden. Außerdem kann die unerlaubte Nutzung von Batteriepacks außerhalb von Spezifikationen durch Manipulation der Messdaten aufgedeckt werden. Wenn Messdaten keinen korrekten zusätzlichen Informationsträger aufweisen, so ist dies ein Hinweis auf die Manipulation der Messdaten oder auf einen defekten Speicher.
-
Ohne exakte Kenntnis der Berechnungsvorschrift und des eindeutigen Schlüselwerts des Modulsteuergeräts kann eine plausible Signatur von einem potenziellen Angreifer nicht berechnet werden. Auch das so genannte Reverse Engineering der Signaturberechnung mittels ausreichend vieler bekannter Messdaten-Signatur-Kombinationen wird durch Verwendung des Modulsteuergeräte-individuellen Schlüssels stark erschwert. Für den unwahrscheinlichen Fall, dass ein Angreifer die Absicherung der Nutzungsinformation für ein Modul entschlüsselt hat, kann dieser maximal die Nutzungsinformationen dieses einen Moduls verfälschen, alle weiteren Module bleiben nach wie vor abgesichert. Besonders vorteilhaft ist außerdem, dass die Einwegfunktionen auf allen Modulsteuergeräten identisch implementiert werden können, da die Modulsteuergeräte die Einwegfunktion für jedes Modulsteuergerät eindeutig verändert.
-
Besonders vorteilhaft aus Sicherheitsgründen und zur Behandlung von Gewährleistungsansprüchen wird auch der Austausch von Modulsteuergeräten erkannt. Das Batteriemanagementsystem kann bei Erkennung eines unerlaubten Austausches die Verwendung des gesamten Batteriepacks sperren oder in einen Notlauf versetzen.
-
Das zentrale Batteriesteuergerät und die lokalen Modulsteuergeräte können beliebig konfiguriert werden und auf die Fälschung reagieren, beispielsweise durch Vermerke im Fehlerspeicher oder Sperren der Batterie. Dem Steuergerät wird außerdem die Möglichkeit zur Erkennung von Speicherdefekten gegeben, und es kann entsprechend reagieren und die defekten Speicherzellen nicht mehr weiter verwenden.
-
Besonders vorteilhaft ist auch, dass die Authentifizierung sehr schnell und mit geringem Aufwand durchgeführt werden kann, da nur eine einzige Signatur kommuniziert wird und zu überprüfen ist. Das Verfahren zeichnet sich auch durch ein geringes zusätzliches Datenaufkommen aus, da eine einzige Signatur auch einer Vielzahl von Messwerten zugeordnet sein kann. Außerdem wird der Hochfahrvorgang des Batteriemanagementsystems, der so genannte System-Boot, nicht verzögert, da ein Abgleich der Signaturen im Rahmen der zyklischen Messdatenkommunikation durchgeführt werden kann.
-
Kurze Beschreibung der Zeichnungen
-
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert.
-
Es zeigen:
-
1 ein Batteriemanagementsystem,
-
2 ein Beispiel für einen Manipulationsversuch in der Kommunikation von Modulsteuergeräten und einem zentralen Steuergerät,
-
3 ein Beispiel für ein erfindungsgemäßes System und Verfahren und
-
4 ein Beispiel für erfindungsgemäße Verfahrensschritte.
-
Ausführungsformen der Erfindung
-
Das Batteriemanagementsystem 1 in 1 umfasst ein zentrales Steuergerät 2, welches auch als BCU (Battery Control Unit) bezeichnet werden kann und eine Anzahl von Batteriemodulen 4, welche jeweils eigene Modulsteuergeräte 6 aufweisen, welche auch als CMC (Cell Module Controller) bezeichnet werden. Jedem Batteriemodul 4 sind Batterieeinheiten 8 mit üblicherweise mehreren Batteriezellen zugeordnet, wobei diese in Serie und teilweise zusätzlich parallel geschaltet werden, um die geforderten Leistungs- und Energiedaten mit dem Batteriesystem zu erzielen. Die einzelnen Batteriezellen sind beispielsweise Lithium-Ionenbatterien mit einem Spannungsbereich von 2,8 bis 4,2 Volt. Die Kommunikation zwischen dem zentralen Steuergerät 2 und den Modulsteuergeräten 6 erfolgt über einen Kommunikationskanal 5, beispielsweise über einen CAN-Bus, und geeignete Schnittstellen 10, 12.
-
2 zeigt eine weitere schematische Darstellung des Batteriemanagementsystem 1 aus 1. Das Batteriemanagementsystem 1 umfasst das zentrale Steuergerät 2 und die Batteriemodule 4, welche jeweils Modulsteuergeräte 6 aufweisen. Jedem Batteriemodul 4 sind Batterieeinheiten 8 mit mehreren Batteriezellen zugeordnet. Die Kommunikation zwischen dem zentralen Steuergerät 2 und den Modulsteuergeräten 6 erfolgt über den Kommunikationskanal 5, beispielsweise über den CAN-Bus, und geeignete Schnittstellen 10, 12. An den Kommunikationskanal 5 sind über weitere Schnittstellen 16 Sensoren 14 angeschlossen. In 2 ist ein Manipulationsversuch durch einen Angreifer 23 in der Kommunikation der Modulsteuergeräte 12 und dem zentralen Steuergerät 2 dargestellt. Der Angreifer 23 erreicht einen Zugriff auf den Kommunikationskanal 5 und verfälscht Übertragungsdaten. Der Angreifer 23 unterbricht hierzu die Kommunikation zwischen dem zentralen Steuergerät 2 und den Modulsteuergeräten 6 und beantwortet Dienstanfragen des zentralen Steuergeräts 2 mit selbst erstellten Botschaften. Diese Botschaften bilden die gültige Kommunikation mit den Modulsteuergeräten 6 nach. Der Angreifer 23 kann beispielsweise Messwerte verfälschen, um die Leistung der Batterie zu vergrößern. Insbesondere könnte der Angreifer 23 den Ladungszustand der Batterie höher angeben als er tatsächlich ist. Dadurch erlaubt das zentrale Steuergerät 2 eine größere Energieentnahme aus der Batterie und gibt mehr Leistung an das Fahrzeug frei. Dies kann zur Beschädigung und zur Tiefentladung der Batterie führen und sicherheitskritische Zustände hervorrufen, die aufgrund der verfälschten Kommunikation vom zentralen Steuergerät 2 nicht erkannt werden können. Dies stellt ein erhebliches Sicherheitsrisiko dar, da die Batterie außerhalb ihrer Spezifikation betrieben werden kann und dadurch die Möglichkeit der Beschädigung der Batterie besteht.
-
3 zeigt ein erfindungsgemäßes Batteriemanagementsystem 1, welches das erfindungsgemäße Verfahren ausführt. Das Batteriemanagementsystem 1 umfasst ein zentrales Steuergerät 2 und mehrere Modulsteuergeräte 6. Die Modulsteuergeräte 6 sind an Sensoren 14 gekoppelt, welche Messdaten, wie Temperaturen, Ladezustand, Strom oder Spannung, erfassen und den Modulsteuergeräten 6 über ihre Schnittstellen 16 in einem Schritt S2 bereitstellen. Die Modulsteuergeräte 6 umfassen jeweils eine Einheit 20 zur Erfassung der Messdaten, welche die Messdaten von den Sensoren 14 empfängt. In jedem Modulsteuergerät 6 ist die Einheit 20 zur Erfassung der Messdaten an eine Einheit 24 zur Ermittlung eines zusätzlichen Informationsträgers, der zu einer Authentifizierung der Messdaten eingerichtet ist, gekoppelt. Die Einheit 24 zur Ermittlung des zusätzlichen Informationsträgers empfängt von der Einheit 20 zur Erfassung der Messdaten die Messdaten und ermittelt aus einem nicht-flüchtigen Speicher 22 oder anhand der Messdaten einen Schlüsselwert. Anhand dieser Eingabeparameter berechnet die Einheit 24 mittels der Einwegfunktion die Signatur und stellt sie in einem Schritt S3 einer Kommunikationseinheit 26 bereit. Die Kommunikationseinheit 26 übermittelt in einem weiteren Schritt S4 die Messdaten und den zusätzlichen Informationsträger an das zentrale Steuergerät 2.
-
Das zentrale Steuergerät 2 umfasst eine Kommunikationseinheit 32 zum Empfangen der Messdaten und des zusätzlichen Informationsträgers von den Modulsteuergeräten 6. Die Kommunikationseinheit 32 zum Empfang der Messdaten und des zusätzlichen Informationsträgers stellt die empfangenen Messdaten und den zusätzlichen Informationsträger einer Einheit 30 zur Validierung der Messdaten anhand des zusätzlichen Informationsträgers bereit. Die Einheit 30 zur Validierung der Messdaten umfasst eine Einheit 34 zur Ermittlung des Schlüsselwerts. Der Schlüsselwert kann aus einem nicht-flüchtigen Speicher 36 des zentralen Steuergeräts 2 ermittelt werden, in dem dieser abgelegt ist. Falls die Messdaten über den im nicht-flüchtigen Speicher 36 abgelegten Schlüsselwert nicht verifiziert werden können oder im Falle des Systemstarts ermittelt die Einheit 34 den Schlüsselwert anhand eines bestimmten Messwerts. Die Einheit 30 zur Validierung der Messdaten umfasst außerdem eine Einheit 38 zur Berechnung einer Signatur anhand der Messdaten und des Schlüsselwerts und eine Einheit 40 zum Vergleich der übermittelten Signatur mit der errechneten Signatur.
-
In einem weiteren Schritt S6 werden die Informationen weiter verarbeitet. Für den Fall, dass die Messdaten von der Einheit 30 zur Validierung der Messdaten authentifiziert wurden, werden diese weiter verarbeitet, beispielsweise gespeichert oder einem Kommunikationsbus bereitgestellt. Für den Fall, dass die Signaturen nicht übereinstimmen, können folgenden Szenarios vorliegen:
- a) Das Modulsteuergerät 6 wurde ausgetauscht;
- b) ein nicht-flüchtiger Speicher des Modulsteuergeräts oder des zentralen Steuergeräts ist defekt;
- c) Fehler bei der Datenübertragung und/oder
- d) Messdaten sind verfälscht worden.
-
Bevorzugt führt das zentrale Steuergerät 2 hieraufhin weitere Tests durch, um die Fehlerquelle einzugrenzen, beispielsweise um zu ermitteln, ob es sich um einen Fehler handelt, der einem individuellen Modulsteuergerät 6 zuordenbar ist oder ob jedes Modulsteuergerät 6 betroffen ist. Im letzteren Fall ist von einem Fehler des Kommunikationskanals auszugehen. Bei Fehlern, die auf verfälschte Messdaten hinweisen, wird das zentrale Steuergerät 2 den Betrieb des Batteriepacks sperren, da nicht alle Modulsteuergeräte 6 im Originalzustand sind. Es kann vorgesehen sein, dass das zentrale Steuergerät 2 einen eingeschränkten Betrieb des Batteriepacks zulässt, um beispielsweise das Fahrzeug so weit fahrtüchtig zu belassen, dass es zur Untersuchung in eine Werkstatt gebracht werden kann, was auch als sogenanntes limp home bezeichnet wird.
-
4 zeigt weitere Schritte des erfindungsgemäßen Verfahrens zu vier verschiedenen Zeitpunkten t1, t2, t3, t4,. Das Modulsteuergerät 6 ermittelt zu einem ersten Zeitpunkt t1 in einem Schritt S8 aus einem bestimmten Messwert aus einer Menge von ersten Messdaten 46 einen ersten Schlüsselwert 44, beispielsweise aus einem Rohwert einer ersten ermittelten Zellspannung. In einem Schritt S7 werden die Messdaten 46 mit dem Schlüsselwert 44 signiert. Die Signatur liegt als zusätzlicher Informationsträger 48 zusammen mit den Messdaten 46 in einer gemeinsamen Datenstruktur 50 vor. In dem Schritt S4 übermittelt das Modulsteuergerät 6 die Messdaten 46 und den zusätzlichen Informationsträger 48 an das zentrale Steuergerät 2. Das zentrale Steuergerät 2 ermittelt aus den Messdaten 46 den Schlüsselwert 44 und authentifiziert die Messdaten 46 als gültig. Das zentrale Steuergerät 2 speichert den Schlüsselwert 44 in einem nicht-flüchtigen Speicher in einem Schritt S9 bevorzugt verschlüsselt ab.
-
Die Messdaten 46 einer zweiten Messung werden zu einem zweiten Zeitpunkt t2 vom Modulsteuergerät 6 im Schritt S7 ebenfalls mit dem ersten Schlüsselwert 44 signiert. Die Messdaten 46 werden im Schritt S4 an das zentrale Steuergerät 2 übermittelt und von diesem anhand des gespeicherten Schlüsselwerts 44 als gültig authentifiziert.
-
Das Modulsteuergerät wechselt zu einem dritten Zeitpunkt t3 selbstständig den Schlüsselwert 44 zur dritten Messung zu einem neuen Schlüsselwert 44. Dieser Wechsel wird nicht aktiv an das zentrale Steuergerät 2 kommuniziert. Das zentrale Steuergerät 2 versucht die Authentifizierung der Messdaten 46 mit dem gespeicherten Schlüsselwert 44, was fehl schlägt.
-
Das zentrale Steuergerät 2 wechselt zu einem vierten Zeitpunkt t4 von einer ersten Stufe der Validierung in eine zweite Stufe der Validierung und ermittelt den neuen Schlüsselwert 44 aus den Messdaten 46 und authentifiziert die Messdaten 46 anhand des neuen Schlüsselwerts 44 als gültig. Der neue Schlüsselwert 44 wird daraufhin im Schritt S9 gespeichert.
-
Wenn ein Angreifer die Kommunikation der Steuergeräte 2, 6 nachbildet, aber nicht die korrekten Schlüsselwerte 44 berechnet, kann das zentrale Steuergerät 2 keine gültige Authentifizierung der Messdaten 46 durchführen. Im dargestellten Beispiel wird bei gefälschten Daten auch die zweite Authentifizierung fehlschlagen. Dies ist ein eindeutiges Zeichen für gefälschte Messdaten. Der scheinbar zufällige und nach außen nicht erkennbare Wechsel der Schlüsselwerte 44 erschwert ein Reverse Engineering der Signaturfunktion erheblich.
-
Die Erfindung ist nicht auf die hier beschriebenen Ausführungsbeispiele und die darin hervorgehobenen Aspekte beschränkt. Vielmehr ist innerhalb des durch die Ansprüche angegebenen Bereichs eine Vielzahl von Abwandlungen möglich, die im Rahmen fachmännischen Handelns liegen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102009030091 A1 [0004]
- DE 102011089352 A1 [0005]