DE102018216958B4 - Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren - Google Patents

Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren Download PDF

Info

Publication number
DE102018216958B4
DE102018216958B4 DE102018216958.6A DE102018216958A DE102018216958B4 DE 102018216958 B4 DE102018216958 B4 DE 102018216958B4 DE 102018216958 A DE102018216958 A DE 102018216958A DE 102018216958 B4 DE102018216958 B4 DE 102018216958B4
Authority
DE
Germany
Prior art keywords
bus
message
identifier
node
bus node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018216958.6A
Other languages
English (en)
Other versions
DE102018216958A1 (de
Inventor
Florian Gerster
Lorenz Lieder
Wolfgang Schulter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Conti Temic Microelectronic GmbH
Original Assignee
Conti Temic Microelectronic GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Conti Temic Microelectronic GmbH filed Critical Conti Temic Microelectronic GmbH
Priority to DE102018216958.6A priority Critical patent/DE102018216958B4/de
Publication of DE102018216958A1 publication Critical patent/DE102018216958A1/de
Application granted granted Critical
Publication of DE102018216958B4 publication Critical patent/DE102018216958B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40195Flexible bus arrangements involving redundancy by using a plurality of nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Abstract

Bussystem (2), aufweisend zumindest zwei Busknoten (3,4), die jeweils dazu eingerichtet sind, Botschaften (5) über einen Datenbus (6) zu versenden und/oder zu empfangen, wobei die jeweilige Botschaft (5) einen durch einen Signalinhalt der Botschaft (5) festgelegten Signaltyp (7) aufweist und der jeweilige Signaltyp (7) jeder Botschaft (5) durch eine jeweilige Kennung (8) in der Botschaft (5) signalisiert ist und in dem Bussystem (6) für jeden Signaltyp (7) jeweils genau einer der Busknoten (3,4) zum Erzeugen von Botschaften (5) des Signaltyps (7) vorgesehen ist, wodurch jedem Busknoten (3,4) jeweils eindeutig zumindest eine Kennung (8) zugeordnet ist, wobei zumindest einer der Busknoten (3,4) dazu eingerichtet ist,- in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft (9) über den Datenbus (6) des Bussystems (2) zu versenden, wobei die Zustandsbotschaft (9) in einem Normalzustand (10) eine Rückmeldungsbotschaft (11) ist,- die jeweilige Kennung (8) zumindest einer von ihm empfangenen Botschaft (5) mit der dem jeweiligen Busknoten (3,4) zugeordneten zumindest einen Kennung (12) zu vergleichen, und- bei einer Übereinstimmung der Kennung (8) der von ihm empfangenen Botschaft (5) mit einer der ihm zugeordneten zumindest einen Kennung (12) eine vorbestimmte Fehlerzustandsbotschaft (14) als Zustandsbotschaft (9) zu versenden,dadurch gekennzeichnet, dass zumindest einer der Busknoten (3,4) als Empfangsbusknoten dazu eingerichtet ist, die Zustandsbotschaft (9) über den Datenbus (6) des Bussystems (2) zu empfangen,- und dass der Empfangsbusknoten (3,4) dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft (14) einen Empfang von Botschaften (5) mit der zumindest einen Kennung (8) des Busknotens (3,4), der die vorbestimmte Fehlerzustandsbotschaft (14) versandt hat, zu deaktivieren.

Description

  • Die Erfindung betrifft ein Bussystem mit mindestens zwei Busknoten, einen Busknoten, ein Kraftfahrzeug mit dem Bussystem und ein Verfahren zum Betreiben des Bussystems.
  • Im Betrieb eines Bussystems eines Kraftfahrzeugs kann es zu Anomalien während eines Versands von Botschaften kommen. Anomalien können Abweichungen einer Botschaft oder der Botschaftsübertragung von der Norm umfassen. Die Anomalien können ein Abweichen vom Sendeprotokoll und/oder vom Sendeplan umfassen. Diese Anomalien können aufgrund von Fehlern im Bussystem oder unberechtigten Manipulationsversuchen hervorgerufen werden. Um Anomalien feststellen und gegebenenfalls Gegenmaßnahmen einleiten zu können, ist es nach dem Stand der Technik üblich, Anomalien an einem zentralen Busknoten des Bussystems zu erfassen. Anomalien können beispielsweise durch den zentralen Busknoten erkannt werden, wenn dieser beispielsweise nicht definierte Botschaften empfängt oder ein Zeitpunkt einer Übertragung einer einzelnen CAN-Botschaft von einer vorgegebenen Periodizität abweicht.
  • Nachteilig an einer zentral ausgelegten Anomalieerkennung ist ein hoher Hard- und Softwareaufwand, welcher auf einen einzigen Knoten des Bussystems konzentriert ist. Bei einem Ausfall des zentralen Knotens oder einer Manipulation des Knotens kann die Anomalieerkennung zusammenbrechen.
  • Eine Vorrichtung, die auf einem zentralen Ansatz beruht, ist in der DE 10 2014 214 300 A1 offenbart. Dabei handelt es sich um eine Vorrichtung zur Fehler- und Angriffserkennung für ein Kraftfahrzeug. Die Vorrichtung ist dazu eingerichtet, Betriebsdaten des Kraftfahrzeugs zu erfassen und Daten über ein Systemverhalten des Kraftfahrzeugs abzuspeichern. Durch eine Recheneinrichtung der Vorrichtung wird anhand der erfassten Betriebsdaten und anhand der abgespeicherten Daten eine Abweichung des Systemverhaltens des Kraftfahrzeugs ermittelt.
  • In der Veröffentlichung Seifert, Stefan; Obermaisser, Roman. Secure automotive gateway-secure communication for future cars. In: Industrial Informatics (INDIN), 2014 12th IEEE International Conference on. IEEE, 2014, S. 213-220, ist ein Sicherheitsgateway beschrieben, welches sich an einem Übergangspunkt verschiedener Netzwerke eines Fahrzeugs befindet. Das Gateway überwacht die Kommunikation eines jeweiligen Netzwerks und schließt von Abweichungen auf eine Anomalie.
  • In der Veröffentlichung Dagan, Tsvika; Wool, Avishai. Parrot, a software-only anti-spoofing defense system for the can bus. ESCAR EUROPE, 2016, ist eine Software offenbart, welche auf einem Busknoten eines Busnetzwerks betrieben werden kann. Mittels der Software wird durch den Busknoten eine empfangene Botschaft überprüft. Wird durch den jeweiligen Busknoten festgestellt, dass eine Kennung der Botschaft die jeweilige Kennung des empfangenen Busknotens aufweist, aber nicht durch diesen versandt wurde, wird durch den Busknoten eine Gegenmaßnahme eingeleitet.
  • DE 10 2016 220 895 Al und DE 10 2004 042 004 Al offenbaren jeweils einen CAN Bus.
  • Es ist eine Aufgabe der Erfindung, ein Bussystem bereitzustellen, welches eine dezentrale Anomalieerkennung ermöglicht. Die Aufgabe wird jeweils durch die Gegenstände der unabhängigen Patentansprüche gelöst.
  • Durch die Erfindung wird ein Bussystem bereitgestellt, welches zumindest zwei Busknoten aufweist. Die zumindest zwei Busknoten sind jeweils dazu eingerichtet, Botschaften über einen Datenbus zu versenden und/oder zu empfangen. Die jeweilige Botschaft weist einen durch einen Signalinhalt der Botschaft festgelegten Signaltyp auf. Der jeweilige Signaltyp jeder Botschaft ist durch eine jeweilige Kennung in der Botschaft signalisiert. In dem Bussystem ist für jeden Signaltyp jeweils genau einer der Busknoten zum Erzeugen von Botschaften des Signaltyps vorgesehen. Dadurch ist jedem Busknoten jeweils eindeutig zumindest eine Kennung zugeordnet. Es ist vorgesehen, dass zumindest einer der Busknoten dazu eingerichtet ist, in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft über den Datenbus des Bussystems zu versenden, wobei die Zustandsbotschaft in einem Normalzustand eine Rückmeldungsbotschaft ist. Der zumindest eine Busknoten ist dazu eingerichtet, die jeweilige Kennung zumindest einer von ihm empfangenen Botschaft mit der dem jeweiligen Busknoten zugeordneten zumindest einen Kennung zu vergleichen. Der Busknoten ist dazu eingerichtet, bei einer Übereinstimmung der Kennung der von ihm empfangenen Botschaft mit einer der ihm zugeordneten zumindest einen Kennung eine vorbestimmte Fehlerzustandsbotschaft als Zustandsbotschaft zu versenden.
  • Mit anderen Worten wird das Bussystem mit den zumindest zwei Busknoten bereitgestellt. Die Busknoten können Botschaften über den Datenbus versenden oder empfangen. Eine jeweilige über den Datenbus versandte Botschaft weist den durch den Signalinhalt der Botschaft festgelegten Signaltyp auf. Der jeweilige Signaltyp einer jeden Botschaft ist durch die jeweilige Kennung in der Botschaft angezeigt. Für jeden der Signaltypen ist jeweils genau einer der Busknoten zum Erzeugen der Botschaften des Signaltyps vorgesehen oder zuständig. Somit ist die jeweilige Kennung einer Botschaft genau einem einzigen Busknoten des Bussystems zugewiesen. Zumindest einer der Busknoten ist dazu eingerichtet, in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft über den Datenbus des Bussystems zu versenden, um zu signalisieren, dass er sich in einem Normalzustand befindet. Der Normalzustand liegt vor, wenn durch den jeweiligen Busknoten keine Anomalie erfasst wurde, insbesondere keine Botschaft empfangen wurde, die eigentlich nur der Busknoten selbst senden darf. Der Busknoten ist dazu eingerichtet, bei einem Empfang einer Botschaft die jeweilige Kennung der Botschaft mit der zumindest einen ihm zugewiesenen Kennung zu vergleichen. Der Busknoten ist dazu eingerichtet, als Zustandsbotschaft anstatt der Rückmeldebotschaft die vorbestimmte Fehlerzustandsbotschaft zu versenden, wenn es sich bei der Kennung der Botschaft um eine ihm zugewiesene Kennung handelt, denn dies ist eine Anomalie. Zumindest einer der Busknoten ist als Empfangsbusknoten dazu eingerichtet, die Zustandsbotschaft über den Datenbus des Bussystems zu empfangen, und der Empfangsbusknoten ist dazu eingerichtet , bei einem Empfang der Fehlerzustandsbotschaft einen Empfang von Botschaften mit der zumindest einen Kennung des Busknotens, der die vorbestimmte Fehlerzustandsbotschaft versandt hat, zu deaktivieren.
  • Durch die Erfindung ergibt sich der Vorteil, dass eine dezentrale Fehlererfassung durch einen jeweiligen Busknoten erfolgen kann.
  • Es kann beispielsweise vorgesehen sein, dass es sich bei dem Bussystem um ein CAN-Bussystem eines Kraftfahrzeugs handelt. Das Bussystem kann die zumindest zwei Busknoten aufweisen, wobei es sich jeweils um eine Steuereinheit des Kraftfahrzeugs handeln kann. Die Busknoten können Botschaften über den Datenbus versenden oder empfangen, um miteinander kommunizieren zu können. Die Botschaften können einen jeweiligen Signaltyp aufweisen, welcher durch die jeweilige Kennung der Botschaft signalisiert sein kann. Bei dem Signaltyp kann es sich beispielsweise um eine Drehzahl eines Motors handeln. Die Kennung der Botschaft ermöglicht es den Busknoten des Bussystems, den Signaltyp der jeweiligen Botschaft zu erfassen. Anhand der Kennung der jeweiligen Botschaft, können die Busknoten identifizieren, ob der Inhalt der Botschaft für sie relevant ist. Das Bussystem kann derart gestaltet sein, dass die jeweilige Kennung einem einzigen der Busknoten zugeordnet sein kann. Bei der besagten Drehzahl kann es vorgesehen sein, dass die Kennung, welcher der Drehzahl zugewiesen ist, einem Busknoten einer Motorsteuereinheit zugewiesen ist. Somit kann es in dem Bussystem bei einem ordnungsgemäßen Betrieb vorgesehen, dass nur der Busknoten der Motorsteuereinheit Botschaften über die Drehzahl mit der Kennung versenden kann. Die Kennung ermöglicht es dem zumindest zweiten Busknoten den Inhalt der Botschaft als Motordrehzahl zu identifizieren. Der Busknoten kann dazu eingerichtet sein, Botschaften zumindest einer Kennung zu empfangen und auszulesen. Er kann dazu eingerichtet sein, den Inhalt der Botschaft zu ignorieren, wenn er für den empfangenden Busknoten nicht relevant ist. Kommt es zu einer Funktionsstörung oder einer Manipulation eines der Busknoten oder einem Hinzufügen eines nicht zulässigen Busknotens in das Bussystem, kann dies dazu führen, dass in dem Bussystem Botschaften versandt werden, welche eine Kennung aufweisen, die einem der anderen Busknoten zugewiesen sein könnte. Um diese erkennen zu können, kann der zumindest eine Busknoten zumindest dazu eingerichtet sein, so lange in den vorbestimmten zeitlichen Abständen die Rückmeldungsbotschaft als Zustandsbotschaft in das Bussystem zu versenden, solange er keine Botschaft mit einer ihm zugewiesenen Kennung empfangen hat. Der zumindest eine Busknoten kann dazu eingerichtet sein, die Kennung einer durch ihn empfangen Botschaft auszulesen. Diese Kennung kann er mit den ihm zugewiesenen Kennungen vergleichen. Zu diesem Zweck kann beispielsweise eine Datenbank in dem Busknoten gespeichert sein, welche alle ihm zugewiesenen Kennungen umfassen kann. Stimmt die Kennung der empfangenen Botschaft mit einer der Kennungen der Datenbank überein, kann es vorgesehen sein, dass der Busknoten bei der nächsten Übertragung der Zustandsbotschaft anstatt einer Rückmeldungsbotschaft eine Fehlerzustandsbotschaft versendet.
  • Die Erfindung umfasst Weiterbildungen, durch die sich weitere Vorteile ergeben.
  • Eine Weiterbildung der Erfindung sieht vor, dass zumindest einer der Busknoten dazu eingerichtet ist, als Empfangsbusknoten die Zustandsbotschaft über den Datenbus des Bussystems zu empfangen. Mit anderen Worten ist zumindest einer der Busknoten dazu vorgesehen, die über den Datenbus versandte Zustandsbotschaft als Empfangsbusknoten entgegen zu nehmen. Dadurch ergibt sich der Vorteil, dass der Empfangsbusknoten über das Vorliegen eines Fehlerzustands eines anderen Busknotens informiert werden kann. Es kann beispielsweise vorgesehen sein, dass eine jeweilige Zustandsbotschaft eines jeweiligen Busknotens eine vorbestimmte Kennung aufweist. Der Empfangsbusknoten kann dabei dazu eingerichtet sein, Zustandsbotschaften eines relevanten Busknotens zu empfangen. So kann der Empfangsbusknoten über einen Fehlerzustand eines für ihn relevanten Busknotens informiert werden.
  • Eine Weiterbildung der Erfindung sieht vor, dass der Empfangsbusknoten dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft einen vorbestimmten Fehlereintrag in einer Speichereinheit zu speichern. Mit anderen Worten ist der Busknoten, der zusätzlich zum Empfangen der Zustandsbotschaft eingerichtet ist, dazu eingerichtet, den Empfang der Fehlerzustandsbotschaft als den vorbestimmten Fehlereintrag in einer Speichereinheit des Empfangsbusknoten zu protokollieren. Dadurch ergibt sich der Vorteil, dass das Auftreten eines Fehlers oder einer Manipulation für eine Zurückverfolgung protokolliert wird. Es kann beispielsweise vorgesehen sein, dass der Empfangsbusknoten die Speichereinheit aufweist. In dieser Speichereinheit kann eine Protokolldatei gespeichert sein, in welcher auftretende Fehler protokolliert werden können. Empfängt der Empfangsbusknoten die Fehlerzustandsbotschaft, kann durch den Busknoten der vorbestimmte Fehlereintrag erzeugt und in der Speichereinheit gespeichert werden. Der Fehlereintrag kann beispielsweise die jeweilige Kennung und den jeweiligen Signalinhalt der Botschaft umfassen.
  • Eine Weiterbildung der Erfindung sieht vor, dass der Empfangsbusknoten dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft einen Empfang von Botschaften mit der zumindest einen Kennung des Busknotens, der die vorbestimmte Fehlerzustandsbotschaft versandt hat, zu deaktivieren. Mit anderen Worten ist der Empfangsbusknoten dazu eingerichtet, Botschaften zumindest einer der Kennungen, die dem Busknoten, der eine Anomalie aufweist, zugewiesen ist, nicht mehr entgegenzunehmen und weiterzuverarbeiten. Dadurch ergibt sich der Vorteil, dass ein manipulierter Busknoten oder manipulierte Botschaften aus dem Bussystem isoliert werden können. Es kann beispielsweise vorgesehen sein, dass für den Fall, dass durch einen unberechtigten Busknoten manipulierte Botschaften versandt werden und dies durch den eigentlichen Busknoten erfasst wird, ein Ignorieren der Botschaften mit einer Kennung des betroffenen Busknotens durch das Bussystem vorgesehen ist.
  • Eine Weiterbildung der Erfindung sieht vor, dass der Empfangsbusknoten dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft einen vorbestimmten Rückfallmodus zu aktivieren. Mit anderen Worten kann der Empfangsbusknoten in zumindest zwei Betriebsmodi betrieben werden. Der Empfang der Fehlerzustandsbotschaft führt dazu, dass der vorbestimmte Rückfallmodus aktiviert wird. Dadurch ergibt sich der Vorteil, dass der Empfangsbusknoten in einen abgesicherten Modus gesetzt werden kann, sobald ein Fehler oder eine Manipulation in dem Bussystem erfasst wird. Es kann beispielsweise vorgesehen sein, dass der standardmäßig aktivierte Betriebsmodus des Busknotens gemäß vorbestimmter Algorithmen betrieben werden kann. Diese Algorithmen können jeweils derart programmiert sein, dass fehlerhafte Daten aus fehlerhaften Botschaften zu einem fehlerhaften Betrieb des empfangenden Busknotens führen können. Aus diesem Grund kann es vorgesehen sein, dass bei einem Empfang einer Fehlerzustandsbotschaft der vorbestimmte Rückfallmodus aktiviert wird. Dieser Rückfallmodus kann Algorithmen aufweisen, welche resistenter gegenüber Fehlern oder interne Korrekturmaßnahmen sind. Somit kann der Betrieb des Busknotens trotz des Empfangs fehlerhafter Botschaften sichergestellt sein.
  • Eine Weiterbildung der Erfindung sieht vor, dass der Empfangsbusknoten dazu eingerichtet ist, in dem vorbestimmten Rückfallmodus zumindest eine Funktion des Empfangsbusknoten zu deaktivieren. Mit anderen Worten ist der Empfangsbusknoten zu einer Durchführung von einer oder mehrerer Funktionen eingerichtet. Empfängt der Empfangsbusknoten die Fehlerzustandsbotschaft und wird dadurch in den vorbestimmten Rückfallmodus gesetzt, wird zumindest eine der Funktionen des Empfangsbusknoten deaktiviert. Dadurch ergibt sich der Vorteil, dass gefährdete Funktionen deaktiviert werden können. Es kann beispielsweise vorgesehen sein, dass ein Empfangsbusknoten einer Motorsteuereinheit eines Fahrzeugs mehrere Funktionen zur Steuerung des Motors durchführen kann. Ist es aufgrund des Empfangs einer Fehlerzustandsbotschaft anzunehmen, dass auf einer als Busknoten betriebenen Steuereinheit, welche Botschaften für die Motorsteuereinheit versendet, ein Fehler aufgetreten ist oder diese manipuliert wurde, kann es vorgesehen sein, dass Funktionen, welche nicht essenziell für den Betrieb eines Motors sind, deaktiviert werden.
  • Eine Weiterbildung der Erfindung sieht vor, dass in dem Empfangsbusknoten zumindest ein vorbestimmter Rückfallwert gespeichert ist und der Empfangsbusknoten dazu eingerichtet ist, in dem vorbestimmten Rückfallmodus mit dem zumindest einen Rückfallwert betrieben zu werden. Mit anderen Worten ist der zumindest eine Rückfallwert in dem Empfangsbusknoten gespeichert. Empfängt dieser Empfangsbusknoten die vorbestimmte Fehlerzustandsbotschaft und wird somit in den vorbestimmten Rückfallmodus gesetzt, wird der vorbestimmte Rückfallwert durch den Empfangsbusknoten verwendet. Dadurch ergibt sich der Vorteil, dass Rückfallwerte in dem Empfangsbusknoten gespeichert sind, auf welche zurückgegriffen werden kann, wenn davon auszugehen ist, dass Werte aus anderen Busknoten fehlerhaft oder manipuliert sein können. Es kann beispielsweise vorgesehen sein, dass der Empfangsbusknoten auf Sensorsignale zum ordnungsgemäßen Betrieb angewiesen sein kann. Versendet ein anderer Busknoten, welcher nicht für die Versendung der Sensordaten vorgesehen ist, Botschaften der jeweiligen Kennung aufgrund eines Fehlers, kann dies dazu führen, dass der Busknoten nicht ordnungsgemäß betrieben werden kann. In diesem Fall ist es vorgesehen, dass der Empfangsbusknoten anstatt der Werte aus den Botschaften auf die gespeicherten vorbestimmten Rückfallwerte zurückgreift. Der Rückfallwert kann derart bestimmt sein, dass er einen minimalen Notstandsbetrieb des Empfangsbusknoten ermöglichen kann.
  • Die Erfindung umfasst auch einen Busknoten, der dazu eingerichtet ist, in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft über den Datenbus des Bussystems zu versenden, wobei die Zustandsbotschaft in einem Normalzustand eine Rückmeldungsbotschaft ist. Der Busknoten ist dazu eingerichtet, eine jeweilige Kennung zumindest einer von ihm empfangenen Botschaft mit der dem jeweiligen Busknoten zugeordneten zumindest einen Kennung zu vergleichen, und bei einer Übereinstimmung der Kennung der von ihm empfangenen Botschaft mit einer der ihm zugeordneten zumindest einen Kennung eine vorbestimmte Fehlerzustandsbotschaft als Zustandsbotschaft zu versenden.
  • Die Erfindung umfasst auch ein Kraftfahrzeug mit einem Bussystem. Bei dem Kraftfahrzeug kann es sich beispielsweise um einen Personenkraftwagen, einen Lastkraftwagen, ein Motorrad oder ein Elektrofahrrad handeln.
  • Die Erfindung umfasst auch ein Verfahren zum Betrieb eines Bussystems. Das Bussystem weist zumindest zwei Busknoten auf, die jeweils dazu eingerichtet sind, Botschaften über einen Datenbus zu versenden und/oder zu empfangen. Die jeweilige Botschaft weist einen durch einen Signalinhalt der Botschaft festgelegten Signaltyp auf. Der jeweilige Signaltyp jeder Botschaft ist durch eine jeweilige Kennung in der Botschaft signalisiert und in dem Bussystem für jeden Signaltyp jeweils genau einer der Busknoten zum Erzeugen von Botschaften des Signaltyps vorgesehen. Somit ist jedem Busknoten jeweils eindeutig zumindest eine Kennung zugeordnet. In dem Verfahren ist es vorgesehen, dass in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft über den Datenbus des Bussystems versandt wird, wobei die Zustandsbotschaft in einem Normalzustand eine Rückmeldungsbotschaft ist. Durch zumindest einen der Busknoten wird die jeweilige Kennung zumindest einer von ihm empfangenen Botschaft mit der dem jeweiligen Busknoten zugeordneten zumindest einen Kennung verglichen. Bei einer Übereinstimmung der Kennung der von ihm empfangenen Botschaft mit einer der ihm zugeordneten zumindest einen Kennung wird durch den zumindest einen Busknoten eine vorbestimmte Fehlerzustandsbotschaft als Zustandsbotschaft versandt.
  • Zu der Erfindung gehören auch Weiterbildungen des erfindungsgemäßen Busknotens, des erfindungsgemäßen Kraftfahrzeugs und des erfindungsgemäßen Verfahrens, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Bussystems beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen des erfindungsgemäßen Busknotens, des erfindungsgemäßen Kraftfahrzeugs und des erfindungsgemäßen Verfahrens hier nicht noch einmal beschrieben.
  • Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen.
  • Im Folgenden ist ein Ausführungsbeispiel der Erfindung beschrieben. Hierzu zeigt:
    • 1 eine Ausführungsform des Bussystems in einem Normalzustand;
    • 2 eine Ausführungsform eines Bussystems in einem Fehlerzustand;
    • 3 eine Ausführungsform eines Busknotens; und
    • 4 eine Ausführungsform eines Verfahrens;
  • Bei dem im Folgenden erläuterten Ausführungsbeispiel handelt es sich um eine bevorzugte Ausführungsform der Erfindung. Bei dem Ausführungsbeispiel stellen die beschriebenen Komponenten der Ausführungsform jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren ist die beschriebene Ausführungsform auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
  • In den Figuren sind funktionsgleiche Elemente jeweils mit denselben Bezugszeichen versehen.
  • 1 zeigt ein Bussystem. Die Kommunikation in einem Kraftfahrzeug 1 kann durch das Bussystem 2 sichergestellt werden. Das Bussystem 2 kann zumindest zwei Busknoten 3, 4 aufweisen. Bei den Busknoten kann es sich beispielsweise um Steuereinheiten des Kraftfahrzeugs 1 handeln. Die Busknoten 3, 4 können dazu eingerichtet sein, Botschaften 5 über den Datenbus 6 des Bussystems 2 zu versenden und/oder zu empfangen. Die jeweilige Botschaft 5 weist einen durch einen Signalinhalt der jeweiligen Botschaft festgelegten Signaltyp 7 auf. Der jeweilige Signaltyp 7 wird durch die jeweilige Kennung 8 der Botschaft signalisiert. Für jeden der Signaltypen 7 ist in dem Bussystem 2 genau einer der Busknoten 3, 4 zuständig. Somit ist die jeweilige Kennung 8 der Botschaft 5 eindeutig dem zuständigen Busknoten 3, 4 zugeordnet. Mit anderen Worten kann es vorgesehen sein, dass Botschaften 5 eines bestimmten Signaltyps 7 und einer bestimmten Kennung 8 nur durch einen zugewiesenen Busknoten 3, 4 versandt werden können. Die Kennung 8 ermöglicht es anderen Busknoten 3, 4 den in der Botschaft 5 enthaltenen Signaltyp 7 zu identifizieren. Mittels der Kennung ist es den jeweiligen Busknoten 3, 4 möglich, die Botschaften 5 zu identifizieren, welche für den jeweiligen Busknoten 3, 4 relevant sind. Dies ist erforderlich, weil es vorgesehen sein kann, dass keine Adressierung der Botschaften 5 bei einem Versandt über den Datenbus 6 vorgesehen sein kann. Aufgrund von Betriebsfehlern eines Busknoten 3, 4 oder einer Manipulation des Bussystems 2 ist es möglich, das Botschaften 5 über den Datenbus 6 versandt werden, die nicht von den vorgesehenen Busknoten 3, 4 versandt wurden. Dadurch kann ein Busknoten 3, 4, welcher die fehlerhafte Botschaft 5 empfängt, manipuliert werden oder fehlerhaft betrieben werden. Um dies zu vermeiden kann es vorgesehen sein, dass in dem Bussystem 2 zumindest einer der Busknoten 3 dazu eingerichtet ist, in den vorbestimmten zeitlichen Abständen eine Zustandsbotschaft 9 über den Datenbus 6 zu versenden. Die Zustandsbotschaft informiert die anderen Busknoten 4 über den Betriebszustand des jeweiligen Busknotens 3. Es kann vorgesehen sein, dass in einem Normalzustand 10 des Busknotens 3 die vorbestimmte Rückmeldungsbotschaft 11 als Zustandsbotschaft 9 versandt wird. Normalzustand 10 bedeutet in diesem Fall, dass durch den jeweiligen Busknoten 3 keine Manipulation der ihm zugewiesenen Kennungen 12 erkannt wurde.
  • 2 zeigt ebenfalls ein Bussystem. Das dargestellte Bussystem kann das gleiche Bussystem wie in 1 sein. In diesem Fall wurde jedoch der Busknoten 15 manipuliert. Aufgrund der Manipulation des Busknotens 15 kann dieser Botschaften 5 versenden, welche eine Kennung 8 aufweisen, die normalerweise dem Steuerknoten 3 zugeordnet sind. Es kann somit sein dass aufgrund der Manipulation zwei der Busknoten 3, 15 dazu eingerichtet sein können, Botschaften 5 einer bestimmten Kennung 8 zu versenden. Der Busknoten 3 kann dazu eingerichtet sein, die Botschaft 5 des Busknotens 15 zu empfangen. Da die Botschaft eine Kennung 8 aufweist, die dem Busknoten 3 zugeordnet ist, wird durch den Busknoten 3 ein Fehler erkannt und somit einer Fehlerzustand 13 festgestellt. Anstatt die Rückmeldungsbotschaft zur Signalisierung eines Normalzustands 10 des Busknotens 3 als Zustandsbotschaft 9 in den CAN-Bus 6 zu übertragen, kann es vorgesehen sein, dass der Busknoten 3 eine Fehlerzustandsbotschaft 14 als Zustandsbotschaft 9 versendet um den Fehlerzustand 13 bekannt zu machen. Es kann vorgesehen sein, dass der Busknoten als Empfangsbusknoten 4 dazu eingerichtet ist, zumindest die Zustandsbotschaften 9 des Busknotens 3 zu empfangen. Dies kann beispielsweise erforderlich sein, weil der Empfangsbusknoten 4 auf Botschaften 5 des Busknotens 3 angewiesen sein kann. Ist ein ordnungsgemäßer Empfang der vorbestimmten Kennung 8 nicht gewährleistet, kann es vorgesehen sein, dass der Empfangsbusknoten 4 einen vorbestimmten Rückfallmodus aktiviert, um auf den potentiellen Fehler beziehungsweise die potentielle Manipulation, welche durch die Fehlerzustandsbotschaft 14 signalisiert ist, zu reagieren. Der Empfangsbusknoten 4 kann auch eine Speichereinheit 16 aufweisen, in welcher nach einem Empfang der Fehlerzustandsbotschaft 14 ein vorbestimmter Fehlereintrag gespeichert werden kann. So kann beispielsweise eine Manipulation im Rahmen eines so genannten Chip Tunings zurück verfolgbar sein. Als Reaktion auf die Manipulation können durch den Empfangsbusknoten 4 mehrere mögliche Gegenmaßnahmen eingeleitet werden. Es kann beispielsweise vorgesehen sein, dass der Empfangsbusknoten 4 nach Empfang der Fehlerzustandsbotschaft 14 Botschaften zumindest einer Kennung 8 der betroffenen Steuereinheit 3 ignorieren kann. Mit anderen Worten kann es vorgesehen sein, dass der Empfangsbusknoten 4 die Botschaften 5 des Busknotens 3 nicht mehr empfängt. Dadurch kann verhindert werden, dass der Empfangsbusknoten 4 durch einen Empfang fehlerhafter Signale manipuliert werden kann. In dem vorbestimmten Rückfallmodus kann es vorgesehen sein, dass der Empfangsbusknoten 4 zumindest eine Funktion deaktiviert. Es kann beispielsweise vorgesehen sein, dass der Empfangsbusknoten 4 die Funktionen deaktiviert, welche von den Signalinhalten der Botschaften 5 einer betroffenen Kennung 8 abhängen. Es kann auch vorgesehen sein, dass gefährdete Funktionen deaktiviert werden. Wird eine Annahme von Botschaften 5 einer Kennung 8 verweigert, kann das Problem auftreten, dass ein benötigter Wert zum Betrieb des Empfangsbusknotens 4 nicht durch das Bussystem 2 bereitgestellt wird. Um zumindest einen eingeschränkten Betrieb des Empfangsbusknotens 4 sicherstellen zu können, kann es vorgesehen sein, dass in dem Empfangsbusknoten 4 zumindest ein Rückfallwert gespeichert ist, welcher in dem vorbestimmten Rückfallmodus für Funktionen des Empfangsbusknotens 4 verwendet wird. Somit ist der Empfangsbusknoten 4 nicht auf die Botschaftsinhalte der Botschaften 5 angewiesen.
  • 3 zeigt ein mögliches Implementierungsbeispiel eines Busknotens. Bei dem Busknoten 3 des Bussystems 2 kann es sich beispielsweise um eine Steuereinheit eines Kraftfahrzeugs 1 handeln. Das Anomalieerkennungssystem 18 kann beispielsweise eine Fehlfunktion des Bussystems 2 über einen Empfangspuffer 20 erkennen, welcher beispielsweise im Informationsprotokollstapel 19 implementiert sein kann. Eine Sendemailbox 21 kann die Kennungen 12 definieren, welche normalerweise durch den jeweiligen Busknoten versandt werden können. Der Empfangspuffer und die Versendemailbox 21 können beispielsweise im CAN-Treiber des jeweiligen Busknotens implementiert sein. Die Kommunikation eines jeweiligen Busknotens kann über einen jeweiligen CAN-Controller 24 mit dem Datenbus 6 hergestellt werden. Der jeweilige CAN-Controller 24 kann mit dem jeweiligen Mikrocontroller 23 des Busknotens verbunden sein. Ein jeweiliger Busknoten 3 kann dazu eingerichtet sein, die Kennungen 8 empfangener Botschaften 5 mit den zugewiesenen Kennungen 12 zu vergleichen. Empfängt der Busknoten 3 in dem Empfangspuffer 20 eine Botschaft 5, welche eine Kennung 8 des Busknotens 3 aufweist, kann daraus auf eine Anomalie geschlossen werden. Das Anomalieerkennungssystem 18 kann daraufhin den Zustand des jeweiligen CAN-Busses 3 von dem Normalzustand 10 auf den Fehlerzustand 13 setzen. Dies kann zur Folge haben, dass bei dem regelmäßigen Verstand der Zustandsbotschaft 9 statt der Rückmeldungsbotschaft 11 die Fehlerzustandsbotschaft 14 versendet wird.
  • 4 zeigt einen möglichen Verlauf des Verfahrens. Das Verfahren kann beispielsweise durch zumindest einen Busknoten 3 des Bussystems 2 durchgeführt werden. In einem ersten Schritt S1 kann es vorgesehen sein, dass der Busknoten 3 den Normalzustand 10 aufweist. In diesem Fall ist es vorgesehen, dass der Busknoten 3 in vorbestimmten zeitlichen Abständen die Rückmeldungsbotschaft 11 als Zustandsbotschaft 9 an den CAN-Bus 6 versendet. Somit kann der Busknoten 3 dem Bussystem 2 einen Normalzustand 10 mitteilen. Dem jeweiligen Busknoten 3 können vorbestimmte Kennungen 12 zugewiesen sein. Botschaften 5, welche diese Kennung 12 aufweisen, können somit im Normalfall nur durch diesen Busknoten 3 versandt worden sein.
  • Empfängt der Busknoten 3 zumindest eine Botschaft 5, kann der Busknoten 3 die Kennung 8 der Botschaft auslesen und mit den ihm zugewiesenen Kennungen 12 vergleichen. Ist die Kennung 8 der empfangenen Botschaft 5 nicht in den zugewiesenen Kennungen 12 des Busknotens 3 enthalten, liegt kein Fehler vor. Der Busknoten 3 zeigt weiterhin einen Normalzustand an und versendet als Zustandsbotschaft 9 die Rückmeldungsbotschaft 11. Stellt der Busknoten k3 fest, dass die Kennung 8 der empfangenen Botschaft 5 mit einer der ihm zugewiesenen Kennungen 12 übereinstimmt, so liegt ein Fehler vor, und es wird der Fehlerzustand 13 festgestellt. Dies kann zur Folge haben, dass durch den Busknoten 3 bei dem nächste Versand der Zustandsbotschaft 9 anstatt der Rückmeldungsbotschaft 11 die FZ 14 verstand wird, um andere Busknoten 3 des Bussystems 2 auf einen Fehler hinzuweisen.
  • Eine Anomalie-Erkennung im CAN-Bus eines Fahrzeugs ist erforderlich, um böswillige Angriffe oder Fehler im System zu detektieren und daraufhin gegebenenfalls Gegenmaßnahmen zu ergreifen. Nach dem Stand der Technik erfolgt eine Anomalie-Erkennung in Bussystemen an einem zentralen Busknoten im CAN-Netzwerk, wobei es sich beispielsweise um ein sogenanntes Gateway handeln kann. Die besagten Anomalien umfassen beispielsweise das Empfangen nicht definierter CAN-Botschaften oder das Abweichen einzelner CAN-Botschaften von einer vorgegebenen Periodizität. Dieser Ansatz erfordert einen hohen Hard- und Softwareaufwand und ist auf einen CAN-Knoten konzentriert. Ein Ausfall oder eine böswillige Übernahme dieses CAN-Knotens kann zu einem Ausfall des gesamten Anomalie-Erkennungssystems führen.
  • Der neue Ansatz basiert auf einer Verteilung der Anomalie-Erkennung auf mehrere/alle CAN-Knoten, wie nachfolgend erläutert. Jeder CAN-Knoten überprüft, ob er CAN-Botschaften empfängt, für die er selbst als eindeutiger Sender spezifiziert ist. Für die dargelegte Erfindung wird diese Eindeutigkeit vorausgesetzt und ist schon aus Gründen der prinzipbedingten Arbitrierung beim CAN-Bus gegeben. Erkennbar ist dies durch eindeutig festgelegte Kennungen (Identifiers) der CAN-Botschaften. Zusätzlich sendet jeder beteiligte CAN-Knoten in regelmäßigen Abständen eine Zustandsmeldung zur Signalisierung des erfindungsgemäßen Anomalie-Zustands. Im Normalfall zeigt diese Zustandsmeldung keine Anomalie an (1). Im Anomalie-Fall, also dem Empfangen einer CAN- Botschaft, von welcher der empfangende CAN-Knoten im Normalfall der einzige berechtigte Sender ist, zeigt die Zustandsmeldung das Auftreten dieser Anomalie an (2). Die Zustandsmeldung kann von den betroffenen CAN- Busknoten selbst und/oder einer zentralen Auswerteeinheit ausgewertet und verarbeitet werden, worunter eine Fehlerbehandlung oder Gegenmaßnahmen fallen können.
  • Vorteile des beschriebenen Ansatzes sind ein ressourcenschonender Betrieb bezüglich Hardware und Software, ein dezentraler Aufbau, eine geringe Fehlalarmrate und eine geringe Komplexität im Vergleich zu anderen Verfahren.
  • Der beschriebene Ansatz kann allgemein in Bussystemen, wie CAN, FD, oder LIN verwendet werden.
  • 1 zeigt beispielhaft den Normalfall. Der Busknoten 3 sendet die Botschaft 5, für die sie als der eindeutige Sender am dargestellten CAN-Bus spezifiziert ist. Die ADS-Komponenten 18 (Anomalieerkennungskomponenten) der übrigen Busknoten 4, 15 erkennen den Empfang dieser Botschaft 5 als normal an und zeigen dies mit der jeweiligen nächsten Zustandsbotschaft 9 erfindungsgemäß an.
  • 2 zeigt beispielhaft einen möglichen Anomaliefall. Der böswillig gehackte Busknoten 15 sendet hier die Botschaft 5, für die am dargestellten CAN-Bus der Busknoten 3 als eindeutiger Sender spezifiziert ist. Die ADS-Komponente 18 in dem Busknoten 3 erkennt den Empfang der Botschaft 5, für die der Busknoten 3 als eindeutiger Sender spezifiziert ist und zeigt mit der nächsten Zustandsmeldung erfindungsgemäß das Auftreten dieser Anomalie an.
  • 3 zeigt schematisch ein Implementierungsbeispiel der o.g. Erfindung wie es zum Beispiel in einem AUTOSAR- oder Embedded Linux-System umgesetzt sein könnte. Im Kommunikations-Protokollstack 19, genauer im CAN-Treiber 22, der jeweiligen ECU 3,4,15 wird ein Empfangs-Puffer (Rx mailbox) 20 definiert, der für den Empfang eben jener Botschaften 5 ausgelegt ist, die im Normalfall nur von dieser ECU gesendet werden (Tx mailbox) 21. Taucht in diesem Empfangs-Puffer 20 nun eine Botschaft 5 auf, kann sofort auf eine Anomalie geschlossen werden. Die jeweilige ADS-Komponente 18 kann dieses Ereignis anschließend erfindungsgemäß mittels Zustandsmeldung anzeigen.
  • Insgesamt zeigt das Beispiel, wie durch die Erfindung eine dezentrale Fehlererkennung bereitgestellt werden kann.
  • Bezugszeichenliste
    • 1
    Kraftfahrzeug
    2
    Bussystems
    3
    Busknoten
    4
    Empfangsbusknoten
    5
    Botschaft
    6
    Datenbus
    7
    Signaltyp
    8
    Kennung
    9
    Zustandsbotschaft
    10
    Normalzustand
    11
    Rückmeldungsbotschaft
    12
    Zugeordnete Kennung
    13
    Fehlerzustand
    14
    Fehlerzustandsbotschaft
    15
    Fehlerhafter Datenbus
    16
    Speichereinheit
    17
    Fehlereintrag
    18
    Anomalieerkennungseinheit
    19
    Kommunikationsprotokollstapel
    20
    Empfangspuffer
    21
    Versendemodul
    22
    CAN-Treiber
    23
    Microcontroller
    24
    CAN-Controller

Claims (8)

  1. Bussystem (2), aufweisend zumindest zwei Busknoten (3,4), die jeweils dazu eingerichtet sind, Botschaften (5) über einen Datenbus (6) zu versenden und/oder zu empfangen, wobei die jeweilige Botschaft (5) einen durch einen Signalinhalt der Botschaft (5) festgelegten Signaltyp (7) aufweist und der jeweilige Signaltyp (7) jeder Botschaft (5) durch eine jeweilige Kennung (8) in der Botschaft (5) signalisiert ist und in dem Bussystem (6) für jeden Signaltyp (7) jeweils genau einer der Busknoten (3,4) zum Erzeugen von Botschaften (5) des Signaltyps (7) vorgesehen ist, wodurch jedem Busknoten (3,4) jeweils eindeutig zumindest eine Kennung (8) zugeordnet ist, wobei zumindest einer der Busknoten (3,4) dazu eingerichtet ist, - in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft (9) über den Datenbus (6) des Bussystems (2) zu versenden, wobei die Zustandsbotschaft (9) in einem Normalzustand (10) eine Rückmeldungsbotschaft (11) ist, - die jeweilige Kennung (8) zumindest einer von ihm empfangenen Botschaft (5) mit der dem jeweiligen Busknoten (3,4) zugeordneten zumindest einen Kennung (12) zu vergleichen, und - bei einer Übereinstimmung der Kennung (8) der von ihm empfangenen Botschaft (5) mit einer der ihm zugeordneten zumindest einen Kennung (12) eine vorbestimmte Fehlerzustandsbotschaft (14) als Zustandsbotschaft (9) zu versenden, dadurch gekennzeichnet, dass zumindest einer der Busknoten (3,4) als Empfangsbusknoten dazu eingerichtet ist, die Zustandsbotschaft (9) über den Datenbus (6) des Bussystems (2) zu empfangen, - und dass der Empfangsbusknoten (3,4) dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft (14) einen Empfang von Botschaften (5) mit der zumindest einen Kennung (8) des Busknotens (3,4), der die vorbestimmte Fehlerzustandsbotschaft (14) versandt hat, zu deaktivieren.
  2. Bussystem (2) nach Anspruch 1, dass der Empfangsbusknoten (3,4) dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft (14) einen vorbestimmten Fehlereintrag (17) in einer Speichereinheit (16) zu speichern.
  3. Bussystem (2) nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet , dass der Empfangsbusknoten (3,4) dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft (14) einen vorbestimmten Rückfallmodus zu aktivieren.
  4. Bussystem (2) nach Anspruch 3, dadurch gekennzeichnet, dass der Empfangsbusknoten (3,4) dazu eingerichtet ist, in dem vorbestimmten Rückfallmodus zumindest eine Funktion des Busknotens (3,4) zu deaktivieren.
  5. Bussystem (2) nach einem der Ansprüche 3 oder 4, dadurch gekennzeichnet, dass in dem Empfangsbusknoten (3,4) zumindest ein vorbestimmter Rückfallwert gespeichert ist und der Empfangsbusknoten (3,4) dazu eingerichtet ist, in dem vorbestimmten Rückfallmodus mit dem zumindest einen Rückfallwert betrieben zu werden.
  6. Busknoten (3,4) der dazu eingerichtet ist, - in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft (9) über einen Datenbus (6) eines Bussystems (2) zu versenden, wobei die Zustandsbotschaft (9) in einem Normalzustand (10) eine Rückmeldungsbotschaft (11) ist, - eine jeweilige Kennung (8) zumindest einer von ihm empfangenen Botschaft (5) mit der dem jeweiligen Busknoten (3,4) zugeordneten zumindest einen Kennung (12) zu vergleichen, und - bei einer Übereinstimmung der Kennung (8) der von ihm empfangenen Botschaft (5) mit einer der ihm zugeordneten zumindest einen Kennung (12) eine vorbestimmte Fehlerzustandsbotschaft (13) als Zustandsbotschaft (9) zu versenden, dadurch gekennzeichnet, dass zumindest einer der Busknoten (3,4) als Empfangsbusknoten dazu eingerichtet ist, die Zustandsbotschaft (9) über den Datenbus (6) des Bussystems (2) zu empfangen, - und dass der Empfangsbusknoten (3,4) dazu eingerichtet ist, bei einem Empfang der Fehlerzustandsbotschaft (14) einen Empfang von Botschaften (5) mit der zumindest einen Kennung (8) des Busknotens (3,4), der die vorbestimmte Fehlerzustandsbotschaft (14) versandt hat, zu deaktivieren.
  7. Kraftfahrzeug (1) mit einem Bussystem (2) nach einem der Ansprüche 1 bis 5.
  8. Verfahren zum Betrieb eines Bussystems (2), aufweisend zumindest zwei Busknoten (3,4), die jeweils dazu eingerichtet sind, Botschaften (5) über einen Datenbus (6) zu versenden und/oder zu empfangen, wobei die jeweilige Botschaft (5) einen durch einen Signalinhalt der Botschaft (5) festgelegten Signaltyp (7) aufweist und der jeweilige Signaltyp (7) jeder Botschaft (5) durch eine jeweilige Kennung (8) in der Botschaft (5) signalisiert ist und in dem Bussystem (6) für jeden Signaltyp (7) jeweils genau einer der Busknoten (3,4) zum Erzeugen von Botschaften (5) des Signaltyps (7) vorgesehen ist, wodurch jedem Busknoten (3,4) jeweils eindeutig zumindest eine Kennung (8) zugeordnet ist, wobei durch zumindest einen der Busknoten (3,4), - in vorbestimmten zeitlichen Abständen eine Zustandsbotschaft (9) über den Datenbus (6) des Bussystems versandt (2) wird, wobei die Zustandsbotschaft (9) in einem Normalzustand (10) eine Rückmeldungsbotschaft (11) ist, - die jeweilige Kennung (8) zumindest einer von ihm empfangenen Botschaft (5) mit der dem jeweiligen Busknoten (3,4) zugeordneten zumindest einen Kennung (12) verglichen wird, und - bei einer Übereinstimmung der Kennung (8) der von ihm empfangenen Botschaft (5) mit einer der ihm zugeordneten zumindest einen Kennung (12) eine vorbestimmte Fehlerzustandsbotschaft (14) als Zustandsbotschaft (9) versandt wird, dadurch gekennzeichnet, dass zumindest einer der Busknoten (3,4) als Empfangsbusknoten die Zustandsbotschaft (9) über den Datenbus (6) des Bussystems (2) empfängt, - und dass der Empfangsbusknoten (3,4) bei einem Empfang der Fehlerzustandsbotschaft (14) einen Empfang von Botschaften (5) mit der zumindest einen Kennung (8) des Busknotens (3,4), der die vorbestimmte Fehlerzustandsbotschaft (14) versandt hat, deaktiviert.
DE102018216958.6A 2018-10-02 2018-10-02 Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren Active DE102018216958B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018216958.6A DE102018216958B4 (de) 2018-10-02 2018-10-02 Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018216958.6A DE102018216958B4 (de) 2018-10-02 2018-10-02 Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren

Publications (2)

Publication Number Publication Date
DE102018216958A1 DE102018216958A1 (de) 2020-04-02
DE102018216958B4 true DE102018216958B4 (de) 2020-08-06

Family

ID=69781120

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018216958.6A Active DE102018216958B4 (de) 2018-10-02 2018-10-02 Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren

Country Status (1)

Country Link
DE (1) DE102018216958B4 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004042004A1 (de) 2004-08-31 2006-03-02 Daimlerchrysler Ag Energiemanagement auf der Basis eines logischen Rings
DE102014214300A1 (de) 2014-07-22 2016-01-28 Continental Automotive Gmbh Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug
DE102016220895A1 (de) 2016-10-25 2018-04-26 Volkswagen Aktiengesellschaft Erkennung von Manipulationen in einem CAN-Netzwerk

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004042004A1 (de) 2004-08-31 2006-03-02 Daimlerchrysler Ag Energiemanagement auf der Basis eines logischen Rings
DE102014214300A1 (de) 2014-07-22 2016-01-28 Continental Automotive Gmbh Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug
DE102016220895A1 (de) 2016-10-25 2018-04-26 Volkswagen Aktiengesellschaft Erkennung von Manipulationen in einem CAN-Netzwerk

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DAGAN, Tsvika ; WOOL, Avishai: Parrot , a software-only anti-spoofing defense system for the CAN bus. In: escar Europe: 14th escar Europe - The world's leading automative cyber security conference - 16-17- November 2016 - München, 2016, S. 1-10. URL: https://pdfs.semanticscholar.org/506c/644457bdc382cf1a5d37a100914e17db0ad4.pdf [abgerufen am 2018-11-23]. *
SEIFERT, Stefan ; OBERMAISSER, Roman: Secure automotive gateway — secure communication for future cars. In: IEEE: 12th International Conference on Industrial Informatics (INDIN) - 27-30 July 2014 - Porto Alegre, Brazil, 2014, S. 213-220. - ISBN 978-1-4799-4905-2 (E). DOI: 10.1109/INDIN.2014.6945510. URL: https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6945510 [abgerufen am 2018-11-23]. *

Also Published As

Publication number Publication date
DE102018216958A1 (de) 2020-04-02

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP2684154B1 (de) Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102019217030A1 (de) Zuweisen von bus-off-angriffen auf der basis von error-frames
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
DE102017216808A1 (de) Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus sowie elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus
DE112008000795T5 (de) In einem Fahrzeug verbaute Weiterleitungs-Verbindungseinheit
DE102010003448A1 (de) Adressierungsverfahren und Kommunikationsnetzwerk mit einem solchen Adressierungsverfahren
DE112014003345B4 (de) Datenausschlussvorrichtung
EP1548986B1 (de) Bussystem für ein Flugzeug
DE102018216958B4 (de) Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren
EP3725041B1 (de) Verfahren zur bereitstellung von informationen für die lokalisierung von fehlern in einem kommunikationsnetzwerk eines gerätes, entsprechend ausgelegte busteilnehmerstation sowie fahrzeug
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102013108006B4 (de) Kommunikationsanordnung
DE19960959C2 (de) Vorrichtung zum manipulationssicheren Datenaustausch in einem Kraftfahrzeug
EP1640869A2 (de) Verfahren zur Durchführung eines Votings von redundanten Informationen
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
EP0410270B1 (de) Verfahren zum Betrieb einer signaltechnisch sicheren Schnittstelle
DE102020212452B3 (de) Verfahren zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus eingeschleusten Botschaft
DE102016216700B4 (de) Verfahren zum Identifizieren einer defekten Fahrzeugkomponente in einem Kraftfahrzeug sowie Kraftfahrzeug mit über ein Kommunikationsnetzwerk gekoppelten Fahrzeugkomponenten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000