-
Die Erfindung betrifft eine Steuereinrichtung zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk, insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk, gemäß dem Oberbegriff des Anspruchs 1. Die Steuereinrichtung weist ein Haupt-Steuergerät mit einem sicherheitsrelevanten Speicher und einer Speicherverwaltungseinheit für den Speicher auf, wobei der Speicher einen zugangsbeschränkten sicherheitsrelevanten Speicherbereich und einen, separat definierten, sicherheitsrelevanten Speicherbereich aufweist, insbesondere einen separat definierten, zugangsoffenen sicherheitsrelevanten Speicherbereich für offene Daten.
-
Mittlerweile gib es eine starke Vernetzung der Gerate mit äußeren Netzwerken, insbesondere dem Internet. Dies ist aus Security -(Sicherheits)- Gründen kein Problem bei nicht sicherheitsrelevanten Anwendungen wie Staubsauger, Fernseher usw. Bei sicherheitsrelevanten Anwendungen wie Autos, Schiffen oder Anlagensteuerungen besteht die Gefahr, dass die Kontrolle über das System durch nicht-autorisierte Personen übernommen wird. Insbesondere besteht die Gefahr, dass bei einem Haupt-Steuergerät mit einem sicherheitsrelevanten Speicher und einer Speicherverwaltungseinheit missbräuchlich auf den sicherheitsrelevanten Speicher zugegriffen wird.
-
Dies ist umso relevanter als ein sicherheitsrelevanter Speicher für den Betrieb eines Antriebs- und/oder Anlagensystem essentiell ist und bereits auch nicht-missbräuchliche Zugriffe den Betrieb des Haupt-Steuergeräts für das Antriebs- und/oder Anlagensystem stören könnten.
-
Um dies zu vermeiden gibt es verschiedene Lösungsansätze. Einer davon ist der TPM (Trusted Platform Module) im PC Bereich. Das Trusted Platform Module (TPM) ist ein Chip nach der TCG-Spezifikation (Trusted Computing Group), der einen Computer, ein PDA, ein Mobiltelefon oder dergleichen Kommunikationsmodule oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert. Diese Funktionen können beispielsweise den Zielen des Lizenzschutzes oder denen des Datenschutzes dienen, oder auch Zielen der nachrichtendienstlichen Kontrolle von Computersicherheitsmerkmalen. Dieser hat jedoch auf Grund seiner Bauart diverse Sicherheitslücken und darf in hochsicherheitsrelevanten Anwendungen nicht eingesetzt werden.
-
Für diese Anwendungen gibt es z. B. eine Lösung, die als sogenanntes RSGate der Firma „Infodas“ bekannt ist und als solche auch zertifiziert ist - dies ist aus https://www.infodas.de/wp-content/uploads/2014/04/08-04-03_zulassung.pdf ersichtlich; allerdings ist diese Lösung sehr aufwendig und erfordert manuelle Nutzereingriffe, was in https://www.infodas.de/wpcontent/uploads/2014/04/rsgate 3 0 16022010.pdf beschrieben ist.
-
Wünschenswert ist für sicherheitsrelevante Anwendungen bei Antriebs- und/oder Anlagensystemen eine Steuereinrichtung, die eine einfache aber effektive Anbindung von diesen sicherheitsrelevanten Anwendungen an ein externes Netzwerk aufzeigt, insbesondere zur Durchführung einer Projektierung und/oder Konfiguration. Es sollen mittels der Steuereinrichtung Daten übertragen werden können, die für Industrie-4.0-Anwendungen notwendig sind, insbesondere zur Durchführung einer Projektierung und/oder Konfiguration, aber gleichzeitig eine Manipulation verhindert werden.
-
An dieser Stelle setzt die Erfindung an, deren Aufgabe es ist, eine Steuereinrichtung und ein Verfahren zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk anzugeben, das gegenüber dem Stand der Technik verbessert ist, insbesondere wenigstens einen der oben genannten Aspekte adressiert.
-
Diese Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1.
-
Die Erfindung geht aus von einer Steuereinrichtung zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk, insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk, wobei die Steuereinrichtung aufweist:
- - ein Haupt-Steuergerät mit einem sicherheitsrelevanten Speicher und einer Speicherverwaltungseinheit für den Speicher.
-
Erfindungsgemäß setzt die Erfindung dabei an, dass der Speicher einen zugangsbeschränkten sicherheitsrelevanten Speicherbereich und einen, separat definierten, sicherheitsrelevanten Speicherbereich aufweist. Insbesondere kann letzterer ein separat definierter, zugangsoffener sicherheitsrelevanter Speicherbereich für offene Daten sein.
-
Die Steuereinrichtung ist weiter erfindungsgemäß gekennzeichnet durch
- - ein über eine elektrische Verbindung mit dem Haupt-Steuergerät (ECU) datenübertragbar verbundenes separates Kommunikations-Steuergerät (COM), wobei, insbesondere zur Durchführung einer Projektierung und/oder Konfiguration,
- - die Datenübertragung zwischen dem externen Netzwerk (NET) und dem Haupt-Steuergerät ausschließlich (ECU) über das separate Kommunikations-Steuergerät (COM) und zwischen dem Kommunikations-Steuergerät und dem Haupt-Steuergerät über die elektrische Verbindung erfolgt, wobei
- - eine dem Kommunikations-Steuergerät (COM) und dem Haupt-Steuergerät zugeordnete Schnittstelle der elektrischen Verbindung vorgesehen ist, die ausgebildet ist, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, ausschließlich auf den separat definierten, sicherheitsrelevanten Speicherbereich des Haupt-Steuergerätes (ECU) zuzugreifen.
-
Die Erfindung führt auch auf ein Antriebs- und/oder Anlagensystem, insbesondere mit einer Brennkraftmaschine, mit einem sicherheitsrelevanten Bereich, in dem die erfindungsgemäße Steuereinrichtung angeordnet ist.
-
Die Erfindung führt zur Lösung der Aufgabe betreffend das Verfahren auch auf ein Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk, insbesondere ein Internet, unter manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk, mit der erfindungsgemäßen Steuereinrichtung.
-
Die Erfindung schlägt damit insbesondere eine Security-Anwendung zur sicheren Übertragung im Vorfeld definierter Motordaten bzw. Motorparameter vor. Im Hinblick auf die zunehmende Digitalisierung sicherheitsrelevanter Anwendungen bei Antriebs- und/oder Anlagensystemen kommt dieser Security-Anwendung zunehmend Bedeutung zu im Hinblick vor allem auf deren Steuergeräte (ECU). Die mit der Erfindung vorgeschlagene Implementierung ist aber nicht nur für Steuergeräte (ECU) einsetzbar, sondern generell bei jeglichen Geräten/Systemen, die eine Netzverbindung (Ethernet, WLAN, etc.) haben.
-
Vorteilhafte Weiterbildungen der Erfindung sind den Unteransprüchen zu entnehmen und geben im Einzelnen vorteilhafte Möglichkeiten an, das oben erläuterte Konzept im Rahmen der Aufgabenstellung sowie hinsichtlich weiterer Vorteile zu realisieren.
-
Die Schnittstelle ist vorteilhaft durch A/D- bzw. D/A-Konvertern oder digitale Ein- und/oder Ausgänge implementiert, erfindungsgemäß also derart, dass diese nur auf einen bestimmten separaten Speicherbereich (sepMEM) zugreifen kann. Dieser kann vorteilhaft geschützt sein, insbesondere durch eine Memory Protection Unit; evtl. kann auch der Zugriff über eine geschützte DRP (Dynamically Reconfigurable Processor, Dynamisch rekonfigurierbarer Prozessor) erfolgen. Somit ist sichergestellt, dass die Schnittstelle -vorteilhaft durch diese Wandler - nicht in den anderen sicherheitsrelevanten Speicherbereich MEM eingreifen und hier Daten verfälschen kann. Da nun diese Schnittstelle -vorteilhaft durch A/D- bzw. D/A-Konvertern oder digitale Ein- und/oder Ausgänge implementiert - gegen Manipulation gesichert ist, kann somit auf dem Kommunikations-Steuergerät (Communication Controller - COM) jegliche Manipulation durch externe Angriffe erfolgen ohne, dass das Haupt-Steuergerät (Engine Control Unit, ECU) selbst gestört wird.
-
Die Schnittstelle gemäß dem Konzept der Erfindung kann besonders vorteilhaft für Lese- und Schreiboperationen ausgebildet sein bzw. beides zulassen. Eine solche Schnittstelle ist für Schreib- und Leseoperationen gemäß dem Konzept der Erfindung ausgebildet.
-
Es hat sich jedoch auch als vorteilhaft erwiesen, die Schnittstelle bei Bedarf nur unidirektional auszulegen. Anders ausgedrückt, kann eine solche Schnittstelle nach Art einer elektrischen Diode aufgebaut sein. Die Daten können nur in eine Richtung ohne Rückwirkung übertragen werden. Ebenso kann nicht wie z. B. beim CAN Bus durch eine Fehlansteuerung des Empfängers der Bus auf einen Pegel gezogen werden, was sich wiederum auf das Haupt-Steuergerät auswirken kann.
-
Dies kann vorteilhaft eine Schnittstelle nur mit einem Eingangs-Verbindungskanal umfassen bzw. nur mit einem aktiven Eingangs-Verbindungskanal, wobei ein Ausgangs-Verbindungskanal inaktiv ist. Eine solche Schnittstelle kann z.B. nur für Leseoperationen ausgebildet sein.
-
Dies kann vorteilhaft auch eine Schnittstelle nur mit einem Ausgangs-Verbindungskanal umfassen bzw. nur mit einem aktiven Ausgangs-Verbindungskanal, wobei ein Eingangs-Verbindungskanal inaktiv ist. Eine solche Schnittstelle kann z. B. nur für Schreiboperationen ausgebildet sein.
-
Vorteilhaft kann die Schnittstelle (Interface) vom Kommunikations-Steuergerät (Communication Controller - COM) zum Haupt-Steuergerät aufgebaut sein, insbesondere gleichartig aufgebaut sein. Hierüber können z. B. nicht kritische Steuerdaten übertragen werden, wie z. B. eine Anforderung von Anlagendaten.
-
Vorteilhaft ist vorgesehen, dass eine Steuerung der Schnittstelle über das Kommunikations-Steuergerät unterbunden ist, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, und/oder die Schnittstelle zusätzlich oder alternativ ansteuerbar ist von wenigstens einem digitalen Ein- und Ausgang.
-
Vorteilhaft ist vorgesehen, dass die Schnittstelle angesteuert wird von wenigstens einem Wandler bzw. einer Anzahl Wandler. Vorteilhaft ist vorgesehen, dass der wenigstens eine Wandler ein Analog/Digital-Wandler oder ein Digital/Analog-Wandler ist und/oder die elektrische Verbindung zwischen dem Haupt-Steuergerät und dem Kommunikations-Steuergerät digital ausgeführt ist.
-
Vorteilhaft ist ein Projektierungsrechner vorgesehen, mittels dem in dem separat definierten Speicherbereich hinterlegte, durch das Kommunikations-Steuergerät auslesbare Daten, einmalig vorab über eine Projektierungsschnittstelle mittels Projektierungsrechner festlegbar sind.
-
Vorteilhaft ist vorgesehen, dass ein Projektierungsrechner oder dergleichen Projektierungswerkzeug über eine Projektierungsschnittstelle mit dem Haupt-Steuergerät und eine weitere Projektierungsschnittstelle mit dem Kommunikations-Steuergerät, zur Durchführung der Projektierung und/oder Konfiguration, verbunden werden kann.
-
Insbesondere hat es sich als vorteilhaft erwiesen, dass das Projektierungswerkzeug
- - zur Durchführung der Projektierung und/oder Konfiguration verbunden ist mit dem Haupt-Steuergerät und/oder Kommunikations-Steuergerät, und/oder
- - nach der Durchführung der Projektierung und/oder Konfiguration getrennt ist vom Haupt-Steuergerät und/oder Kommunikations-Steuergerät, insbesondere entfernt ist.
-
Vorteilhaft ist der Projektierungsrechner oder dergleichen Projektierungswerkzeug nach der Durchführung der Projektierung und/oder Konfiguration zu entfernen. Insbesondere ist dadurch gewährleistet bzw. heißt dies, dass dieser nicht während des Betriebes zu verbinden, insbesondere anzuschließen, ist.
-
Vorteilhaft ist vorgesehen, dass die Schnittstelle für eine unidirektionale oder eine bidirektionale Datenübertragung mittels einem ersten und zweiten separaten unidirektionalen elektrischen Verbindungskanal jeweils eine dieser zugeordneten Schnittstelle aufweist.
-
Vorteilhaft ist vorgesehen, dass die Schnittstelle eine kommunikationsseitige und steuerseitige Eingangs-Schnittstelle und eine steuerseitige und kommunikationsseitige Ausgangs-Schnittstelle aufweist. Insbesondere kann für die Schnittstelle jeweils ein Wandler für jeweils eine der Eingangs-Schnittstellen und jeweils ein Wandler für eine der Ausgangs-Schnittstellen vorgesehen sein.
-
Vorteilhaft ist vorgesehen, dass der separat definierte, sicherheitsrelevante Speicherbereich variabel aber fest vorbestimmt ist und/oder durch eine Speicherverwaltungseinheit, insbesondere einen DRP-Prozessor (Dynamically Reconfigurable Processor, Dynamisch rekonfigurierbarer Prozessor), geschützt ist.
-
Vorteilhaft ist vorgesehen, dass die wenigstens eine Speicherverwaltungseinheit den Zugriff auf den Speicher derart reglementiert, dass ein Zugriff von dem Kommunikations-Steuergerät nur auf den separat definierten Speicherbereich zugelassen ist und/oder auf den zugangsbeschränkten Speicherbereich außerhalb des separat definierten Speicherbereichs unterbunden ist.
-
Betreffend das Verfahren ist vorteilhaft vorgesehen, dass auslesbare Daten in der Projektierungsphase variabel wählbar festgelegt werden und/oder ein zeitlicher Abstand zwischen Ausleseoperationen in einer Projektierungsphase frei gewählt werden.
-
Es kann vorteilhaft eine Art von auslesbaren Daten, deren Reihenfolge und/oder der zeitliche Abstand zwischen den Ausleseoperationen, in der Projektierungsphase dem Kommunikations-Steuergerät über eine weitere Projektierungsschnittstelle mittels dem Projektierungsrechner übermittelt werden. Insbesondere können vorteilhaft auslesbaren Daten, deren Reihenfolge sowie der zeitliche Abstand zwischen Ausleseoperationen, in der Projektierungsphase durch eine vertrauenswürde Stelle fertigungsintern festgelegt werden.
-
Betreffend das Verfahren ist weiter vorteilhaft vorgesehen, dass
- - eine serielle Übertragung der Daten-Abfrage zwischen dem Kommunikations-Steuergerät und dem Haupt-Steuergerät über eine Schnittstelle einer elektrischen Verbindung, entsprechend eines Kommunikations-Protokolls dergestalt erfolgt, dass erst ein Standardwert zur Synchronisation übertragen wird, gefolgt von der Übertragung eines Datenwertes; und/oder
- - eine serielle Übertragung der abgefragten Daten zwischen dem Haupt-Steuergerät und dem Kommunikations-Steuergerät über wenigstens eine Schnittstelle wenigstens einer elektrischen Verbindung, entsprechend eines Kommunikations-Protokolls, dergestalt erfolgt, dass erst ein Standardwert zur Synchronisation übertragen wird, gefolgt von der Übertragung eines Datenwertes.
-
Vorteilhaft ist vorgesehen --wie oben schon zum Teil erläutert--, dass die Schnittstelle eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer steuerseitigen und kommunikationsseitigen Eingangs-Schnittstelle aufweist, insbesondere nur diese steuerseitige und kommunikationsseitige Eingangs-Schnittstelle, wobei für die Schnittstelle jeweils ein Wandler für jeweils eine der Eingangs-Schnittstellen vorgesehen ist. Eine solche Schnittstelle ist vorteilhaft nur zum unidirektionalen Schreiben bzw. Ablegen von Daten vorgesehen.
-
Vorteilhaft ist vorgesehen --wie oben schon zum Teil erläutert--, dass die Schnittstelle eine dem zweiten Verbindungskanal zugeordnete Schnittstelle mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle aufweist, insbesondere nur diese steuerseitige und kommunikationsseitige Ausgangs-Schnittstelle, wobei für die Schnittstelle jeweils ein Wandler für jeweils eine der Ausgangs-Schnittstellen vorgesehen ist. Eine solche Schnittstelle ist vorteilhaft nur zum unidirektionalen Auslesen bzw. Abrufen von Daten vorgesehen.
-
Besonders vorzugsweise ist vorgesehen, dass die Schnittstelle eine dem zweiten Verbindungskanal zugeordnete Schnittstelle und optional zusätzlich eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle aufweist, wobei für die Schnittstelle jeweils ein Wandler für jeweils eine der Eingangs-Schnittstellen und jeweils ein Wandler für eine der Ausgangs-Schnittstellen vorgesehen ist.
-
Vorzugsweise ist in einer ersten Variante vorgesehen, dass die Schnittstelle extern gesteuert wird, über eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle.
-
Vorzugsweise ist in einer zweiten Variante vorgesehen, dass die Schnittstelle
- - ungesteuert ist und eine kontinuierliche Datenübertragung über die dem zweiten Verbindungskanal zugeordnete Schnittstelle mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle erfolgt, und/oder
- - eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle fehlt oder eine zusätzliche kommunikationsseitige und steuerseitige Eingangs-Schnittstelle inaktiv ist.
-
Vorzugsweise ist in einer dritten Variante vorgesehen, dass die Schnittstelle einmalig intern synchronisiert wird.
-
Ausführungsformen der Erfindung werden nun nachfolgend anhand der Zeichnung im Vergleich zum Stand der Technik, welcher zum Teil ebenfalls dargestellt ist, beschrieben. Diese Zeichnung soll die Ausführungsformen nicht notwendigerweise maßstäblich darstellen, vielmehr ist die Zeichnung, wo zur Erläuterung dienlich, in schematisierter und/oder leicht verzerrter Form ausgeführt. Im Hinblick auf Ergänzungen der aus der Zeichnung unmittelbar erkennbaren Lehren wird auf den einschlägigen Stand der Technik verwiesen. Dabei ist zu berücksichtigen, dass vielfältige Modifikationen und Änderungen betreffend die Form und das Detail einer Ausführungsform vorgenommen werden können, ohne von der allgemeinen Idee der Erfindung abzuweichen. Die in der Beschreibung, in der Zeichnung sowie in den Ansprüchen offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebiger Kombination für die Weiterbildung der Erfindung wesentlich sein. Zudem fallen in den Rahmen der Erfindung alle Kombinationen aus zumindest zwei der in der Beschreibung, der Zeichnung und/oder den Ansprüchen offenbarten Merkmale. Die allgemeine Idee der Erfindung ist nicht beschränkt auf die exakte Form oder das Detail der im Folgenden gezeigten und beschriebenen bevorzugten Ausführungsform oder beschränkt auf einen Gegenstand, der eingeschränkt wäre im Vergleich zu dem in den Ansprüchen beanspruchten Gegenstand. Bei angegebenen Bemessungsbereichen sollen auch innerhalb der genannten Grenzen liegende Werte als Grenzwerte offenbart und beliebig einsetzbar und beanspruchbar sein. Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der bevorzugten Ausführungsformen sowie anhand der Zeichnung; diese zeigt in:
- 1 eine bevorzugte Ausführungsform einer Steuereinrichtung zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich an ein externes Netzwerk, insbesondere ein Internet;
- 2 eine bevorzugte Ausführungsform der Steuereinrichtung der 1 in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems;
- 3 eine bevorzugte Ausführungsform eines Ablaufplans eines Verfahrens zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk einer Steuereinrichtung der 1 oder 2,
- 4A, 4B, 4C
drei Varianten eines Ablaufplans eines Verfahrens zur manipulationssicheren Datenübertragung.
-
In 1 ist eine Steuereinrichtung 100 zur Anbindung eines Haupt-Steuergerätes 110 in einem sicherheitsrelevanten Bereich an ein externes Netzwerk, insbesondere ein Internet, gezeigt. Die Steuereinrichtung 100 ist hier zur Anbindung eines Haupt-Steuergerätes 110 in einem sicherheitsrelevanten Bereich eines in 2 gezeigten Antriebs- und/oder Anlagensystems 200 an ein externes Netzwerk 1, insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen einem Haupt-Steuergerät 110 und dem externen Netzwerk 1 vor allem zur Durchführung einer Projektierung und/oder Konfiguration. Die Steuereinrichtung 100 weist dazu auf:
- - ein Haupt-Steuergerät 110 mit einem sicherheitsrelevanten Speicher 150 und einer Speicherverwaltungseinheit 140 für den Speicher.
-
Gemäß dem Konzept der Erfindung weist der der Speicher einen zugangsbeschränkten sicherheitsrelevanten Speicherbereich 151 und einen separat definierten sicherheitsrelevanten Speicherbereich 152 auf, insbesondere einen separat definierten, zugangsoffenen sicherheitsrelevanten Speicherbereich 152 für offene Daten.
-
Gemäß dem Konzept der Erfindung ist ein über eine elektrische Verbindung 10 mit dem Haupt-Steuergerät 110 datenübertragbar verbundenes separates Kommunikations-Steuergerät 120 vorgesehen, wobei --insbesondere zur Durchführung einer Projektierung und/oder Konfiguration-- die Datenübertragung zwischen dem externen Netzwerk 1 (NET) und dem Haupt-Steuergerät 110 ausschließlich über das separate Kommunikations-Steuergerät 120 und zwischen dem Kommunikations-Steuergerät 120 (COM) und dem Haupt-Steuergerät 110 (ECU) über die elektrische Verbindung 10 erfolgt.
-
Dabei ist eine dem Kommunikations-Steuergerät 120 und dem Haupt-Steuergerät 110 zugeordnete Schnittstelle 190 der elektrischen Verbindung 10 vorgesehen, die ausgebildet ist, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, ausschließlich auf den separat definierten, sicherheitsrelevanten Speicherbereich 152 des Haupt-Steuergerätes zuzugreifen.
-
Die Steuerung der Schnittstelle 190 über das Kommunikations-Steuergerät 120, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, ist vorteilhaft unterbunden und/oder die Schnittstelle 190 ist alternativ ansteuerbar von wenigstens einem digitalen Ein- und/oder Ausgang. Der elektrische Verbindungskanal 11 und 12 stellt sozusagen eine Art Firewall FW zwischen den beiden Steuergeräten dar - d. h. zwischen dem Haupt-Steuergerät 110 (ECU) und dem Kommunikations-Steuergerät 120 (COM); dies vorteilhaft nach Maßgabe einer Speicherverwaltungseinheit 140 (Memory Protection Unit).
-
Die Firewall FW ist hier symbolisch eingezeichnet - im Effekt wird sie in dieser Ausführungsform dadurch realisiert, dass die elektrische Verbindung 10 und/oder jeder der Verbindungskanäle 11, 12 entweder unidirektional ausgeführt werden kann. Im Falle einer lediglich unidirektionalen Verbindung 10 existiert vorteilhaft nur der Verbindungskanal 12 oder der Verbindungskanal 11 ist inaktiv. Im Falle einer lediglich unidirektionalen Verbindung 10 kann vorteilhaft auch nur der Verbindungskanal 11 existieren oder der Verbindungskanal 12 ist inaktiv.
-
Die elektrische Verbindung 10 und/oder jeder der Verbindungskanäle 11, 12 kann auch bidirektional ausgeführt werden. Im Falle einer bidirektionalen Verbindung 10 existiert der erste und zweite Verbindungskanal 11, 12 aber es kann nur ein sehr eingeschränkter Befehlssatz an das Haupt-Steuergerät 110 (ECU) über den Verbindungskanal 11 übermittelt werden; dies ebenfalls vorteilhaft nach Maßgabe der Speicherverwaltungseinheit 140 (Memory Protection Unit).
-
Hierbei liegt die eigentliche Funktion einer Applikation im Haupt-Steuergerät 110, d. h. im ECU-Steuergerät (Main Controller), bzw. ist dort abgebildet; grundsätzlich ist dies nicht zwingend. Die Kommunikation ins Netzwerk 1 (NET, bspw. Cloud) erfolgt über das separate Kommunikations-Steuergerät 120 (COM, Communication Controller). Verbunden sind diese beiden, z. B. Rechner des Haupt-Steuergeräts 110 und des Kommunikations-Steuergerät 120, über eine elektrische Verbindung 10. Diese elektrische Verbindung 10 kann digital dargestellt sein oder auch analog. Über diese elektrische Verbindung 10 erfolgt der Datenaustausch vom Haupt-Steuergerät 110, hier das ECU-Steuergerät (Main Controller), zum Kommunikations-Steuergerät 120 (Communication Controller) und umgekehrt.
-
Es ist vorteilhaft aber nicht zwingend, wie hier, die beiden Verbindungskanäle 11, 12 der elektrische Verbindung 10 unidirektional auszuführen; es können auch beide Verbindungskanäle 11, 12 birektional ausgeführt sein. Es kann auch die Verbindung 10 unidirektional ausgeführt sein; also z. B. nur in Form des Verbindungskanals 11, oder nur in Form des Verbindungskanals 12.
-
Gemäß dem Konzept der Erfindung ist bei dieser Ausführungsform sichergestellt, dass durch diese Verbindungskanäle 11, 12 der Verbindung keine Manipulation von Anlagendaten oder des Programmcodes im ECU Steuergerät erfolgen kann. Die Schnittstelle 190 hat hier eine kommunikationsseitige und steuerseitige Eingangs-Schnittstelle 191B, 191A und eine steuerseitige und kommunikationsseitige Ausgangs-Schnittstelle 192A, 192B. Für die Schnittstelle 190 ist jeweils ein Wandler 195 für jeweils eine der Eingangs-Schnittstellen 191A, 191B und jeweils ein Wandler 195 für eine der Ausgangs-Schnittstellen 192A, 192B vorgesehen.
-
Konkret erfolgt hier die Ansteuerung der Schnittstelle 190 vorteilhaft durch eine Anzahl Wandler 195 --wie z. B. einen A/D- bzw. D/A-Wandler oder digitale Ein- und Ausgänge--, wobei jeweils ein Wandler 195 für jeweils eine der kommunikationsseitigen und steuerseitigen Eingangs-Schnittstellen 191B, 191A und jeweils eine der steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstellen 192A, 192B an der Schnittstelle 190 vorgesehen ist; im vorliegenden beispielweise also vier Wandler 195. Gemäß dem Konzept der Erfindung erfolgt die Ansteuerung per Wandler 195 der Schnittstelle 190 derart, dass diese Schnittstelle 190 nur auf einen bestimmten separaten, sicherheitsrelevanten, zugangsoffenen Speicherbereich 152 sepMEM, z. B. für offene Daten, zugreifen kann. Ein Wandler 195 kann in Form einer Wandlereinheit oder auch in Form einer Wandlergruppe oder dergleichen A/D-Funktionalität gebildet sein.
-
Dieser bestimmte separat definierte, sicherheitsrelevante, zugangsoffene Speicherbereich 152, sepMEM kann vorteilhaft geschützt sein, insbesondere durch die Speicherverwaltungseinheit 140 (Memory Protection Unit) geschützt sein; evtl. kann auch der Zugriff über einen geschützten DRP (Dynamically Reconfigurable Processor, Dynamisch rekonfigurierbarer Prozessor) erfolgen. Anders ausgedrückt wird die wenigstens eine Speicherverwaltungseinheit 140 den Zugriff auf den Speicher 150 derart reglementieren, dass ein Zugriff von dem Kommunikations-Steuergerät 120 nur auf den separat definierten Speicherbereich 152 zugelassen ist und/oder auf den zugangsbeschränkten Speicherbereich 151 außerhalb des separat definierten Speicherbereichs 152 unterbunden ist.
-
Somit ist sichergestellt, dass die Schnittstelle 190 per Eingangs-Schnittstellen 191B, 191A 191A, 192A -vorteilhaft durch diese Wandler 195-- nicht in den anderen sicherheitsrelevanten aber zugangsbeschränkten Speicherbereich 151 MEM eingreifen und hier Daten verfälschen kann und/oder per Ausgangs-Schnittstellen 192A, 192B beschränkte Daten an das Kommunikations-Steuergerät 120 übermittelt werden.
-
Da nun diese Schnittstelle 190, insbesondere die Eingangs-Schnittstellen 191A, 191B vom Kommunikations-Steuergerät 120 (Communication Controller - COM) zum Haupt-Steuergerät 110 --vorteilhaft durch A/D- bzw. D/A-Wandler oder digitale Ein- und Ausgänge angesteuert-gegen Manipulation gesichert ist, kann somit auf dem Kommunikations-Steuergerät 120 (Communication Controller - COM) eine jegliche Manipulation durch externe Angriffe erfolgen ohne, dass das Haupt-Steuergerät 110 (Engine Control Unit, ECU) selbst gestört wird. Analog dazu kann vorteilhaft die Schnittstelle 190, insbesondere die Ausgangs-Schnittstellen 192A, 192B vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 (Communication Controller - COM) aufgebaut sein.
-
Hierüber vermittelt durch die Speicherverwaltungseinheit 140 (Memory Protection Unit) können z. B. nicht kritische Steuerdaten übertragen werden, wie z. B. eine Anforderung von den Anlagendaten. Weiterhin kann es notwendig sein, dass z. B. jeder Nutzer andere Daten nach außen ins Netz gestellt haben möchte.
-
Die in 2 gezeigte Implementierung ist für eine Brennkraftmaschine oder dergleichen Antriebssystem 200 vorgesehen. Durch einen Projektierungsrechner 170 werden in dem separat definierten Speicherbereich 152 hinterlegte, durch das Kommunikations-Steuergerät auslesbare Daten, einmalig vorab über eine Projektierungsschnittstelle 20 mittels Projektierungsrechner 170 festgelegt.
-
Ein Fährbetreiber möchte beispielsweise mit einem Antriebssystem 200 der 2 z. B. seine Position gemeldet bekommen, bei Militärschiffen sollte dies nicht erfolgen. Dazu wird der Projektierungsrechner 170 mit einer Projektierungsschnittstelle 20, 20A, 20B eingesetzt. Beim Haupt-Steuergerät 110 selbst wird über diese Projektierungsschnittstelle 20, 20A einmalig bei der Installation vorgegeben, welche Daten nach außen geliefert werden dürfen und ggf. in welcher Reihenfolge und in welchem zeitlichen Abstand.
-
Das Kommunikations-Steuergerät 120 (Communication Controller) sollte ebenfalls wissen, was die Daten auf dem Bus zu bedeuten haben. Daher sollte auch das Kommunikations-Steuergerät 120 diese Informationen über die Projektierungsschnittstelle 20, 20B erhalten.
-
Es ist besonders von Vorteil, dass die Projektierung einmalig durch eine vertrauenswürdige Stelle (z. B. in einem fertigungsinternen Ablauf) erfolgt und danach diese Projektierungsschnittstelle 20, 20A, 20B wieder physikalisch von dem Projektierungsrechner 170 oder dergleichen Projektierungswerkzeug getrennt wird.
-
Der Projektierungsrechner 170 wird also über eine Projektierungsschnittstelle 20, 20A mit dem Haupt-Steuergerät 110 und eine weitere Projektierungsschnittstelle 20, 20B mit dem Kommunikations-Steuergerät 120 verbunden, und dieser ist
- - zur Durchführung der Projektierung und/oder Konfiguration verbunden ist mit dem Haupt-Steuergerät 110 und/oder Kommunikations-Steuergerät 120, und/oder
- - nach der Durchführung der Projektierung und/oder Konfiguration getrennt vom Haupt-Steuergerät 110 und/oder Kommunikations-Steuergerät 120, insbesondere ist dieser entfernt.
-
Anhand 3 ist ein genereller Ablaufplan eines Verfahrens zur manipulationssicheren Datenübertragung erläutert, der die einzelnen Verfahrensschritte zunächst allgemein erläutert. Gemäß dem gezeigten Ablaufschema 300 kann bei einer Daten-Anfrage 410 aus einem externen Netzwerk 1 eine Übertragung 420 der Daten-Anfrage an das Kommunikations-Steuergerät 120 und dann weitergeleitet an das Haupt-Steuergerät 110 erfolgen, wobei anschließend zwischen den beiden Rechnern des Haupt-Steuergeräts 110 und Kommunikations-Steuergeräts 120 ein Kommunikations-Protokoll 480 wie folgt implementiert ist:
- Übertrag eines Standardwertes zur Synchronisierung
- Übertrag des Datenwertes.
-
Vorliegend erfolgt also im Falle einer Daten-Anfrage 410 aus dem externen Netzwerk 1 nach der Übertragung 420 der Daten-Anfrage an das Kommunikations-Steuergerät 120 eine Weiterleitung an das Haupt-Steuergerät 110, wobei eine serielle Übertragung 430 der Daten-Abfrage zwischen dem Kommunikations-Steuergerät 120 und dem Haupt-Steuergerät 110 über die genannte Schnittstelle 190 der elektrischen Verbindung 10 erfolgt. Entsprechend dem Kommunikations-Protokoll 480 wird dann erst ein Standardwert zur Synchronisation übertragen im Schritt 440gefolgt von der Übertragung eines Datenwertes im Schritt 450.
-
Es kann auch zusätzlich oder alternativ, in umgekehrter Richtung, nach einer Bereitstellung von abzufragenden Daten durch das Haupt-Steuergerät 110 eine, serielle Übertragung der abgefragten Daten zwischen dem Haupt-Steuergerät 110 und dem Kommunikations-Steuergerät 120 über die Schnittstelle 190 der elektrischen Verbindung 10 folgen. Dann kann entsprechend dem Kommunikations-Protokolls 480, ein Standardwert zur Synchronisation übertragen werden im Schritt 460, gefolgt von der Übertragung eines Datenwertes und der Übertragung der Daten an das externe Netzwerk 1 im Schritt 470.
-
Grundsätzlich sieht der Ablauf insgesamt vor, dass das Kommunikations-Steuergerät 120 nur „lauscht“. Insbesondere kann eine Steuerung der Schnittstelle 20 durch das Kommunikations-Steuergerät 120 nicht erfolgen bzw. ist unterbunden. Mit besonderem Vorteil versehen ist bei dieser Ausführungsform die Schnittstelle 20 deaktiviert und/oder der Projektierungsrechner 170 ist entfernt. Dadurch, dass das Haupt-Steuergerät 110 in Folge keine Befehle annimmt, kann es auch nicht gestört werden in der so manipulationssicheren Steuerung eines Antriebs- und/oder Anlagensystems 200.
-
Ein weiterer Vorteil ist, dass es nicht sichergestellt werden muss, dass die im Kommunikations-Steuergerät 120 gespeicherten Projektierungsdaten ausgelesen und manipuliert werden, da diese unabhängig vom Haupt-Steuergerät 110 sind. Der Unterschied bei dieser Art von Verbindung 10 zwischen dem Haupt-Steuergerät 110 und dem Kommunikations-Steuergerät 120 mit z. B. Ethernet besteht darin, dass explizit nur bestimmte Daten ausgetauscht werden, deren Größe bekannt ist und in einem separat definierten Speicherbereich abgelegt werden. Es erfolgt keine Kommunikation über ein Protokoll, bei dem der Controller durch eingespeiste Fehler einen Reset oder sonstige Aktionen beim Haupt-Steuergerät 110 auslösen könnte oder dies eine Beeinflussung des Haupt-Steuergeräts 110 (Main Controller) auslösen könnte.
-
Anhand 4A, 4B, 4C sind drei Varianten eines Ablaufplans eines Verfahrens zur manipulationssicheren Datenübertragung erläutert.
-
Grundsätzlich kann --wie am Beispiel der 4A ersichtlich-- für die die Schnittstelle 190 eine dem zweiten Verbindungskanal 12 zugeordnete Schnittstelle 190B und optional zusätzlich eine dem ersten Verbindungskanal 11 zugeordnete Schnittstelle 190A mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle 191B, 191A zur Verfügung stehen, wobei für die Schnittstelle 190 jeweils ein Wandler 195 für jeweils eine der Eingangs-Schnittstellen 191A, 191B und jeweils ein Wandler 195 für eine der Ausgangs-Schnittstellen 192A, 192B vorgesehen ist.
-
Es ist dann vorteilhaft vorgesehen, dass die Schnittstelle 190 extern gesteuert wird, über eine dem ersten Verbindungskanal 11 zugeordnete Schnittstelle 190A mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle 191B, 191A.
-
Demgemäß kann in einer diesem entsprechenden „Variante 1 mit Anfrage“ (VAR 1) eine externe Datenanfrage DA1 vom Netz 1 intern weitergeleitet werden als interne Datenanfrage DA1 über den ersten Verbindungskanal 11 vom Kommunikations-Steuergerät 120 zum Haupt-Steuergeräts 110. Nach der Datenbereitstellung DB im Haupt-Steuergeräts 110 wird dann über den zweiten Verbindungskanal 12 zunächst ein Standardwert zur Synchronisation übertragen als Synchronisierungsübertragung SÜ vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120. Anschließend erfolgt eine interne Datenübertragung DA2 vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 über den zweiten Verbindungskanal 12 und anschließend eine externe Datenübertragung DA1 vom Kommunikations-Steuergerät 120 zum Netz 1.
-
Diese Vorgänge der Datenbereitstellung DB, Synchronisierungsübertragung SÜ, interne Datenübertragung DA2 und externe Datenübertragung DA1 können dann beliebig wiederholt werden zur Erfüllung der Datenanfrage DA1, DA2, was in 4A (VAR 1) durch die Punktefolge dargestellt ist.
-
Grundsätzlich kann --wie am Beispiel der 4B ersichtlich-- für die Schnittstelle 190 eine dem zweiten Verbindungskanal 12 zugeordnete Schnittstelle 190B mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle 192A, 192B zur Verfügung stehen --insbesondere nur diese-- wobei für die Schnittstelle 190 jeweils ein Wandler 195 für jeweils eine der Ausgangs-Schnittstellen 192A, 192B vorgesehen ist.
-
Es kann dann die Schnittstelle 190 ungesteuert sein, insbesondere eine kontinuierliche Datenübertragung über die dem zweiten Verbindungskanal 12 zugeordnete Schnittstelle 190B mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle 192A, 192B erfolgen.
-
Alternativ oder zusätzlich ist es bei dieser Variante auch möglich, dass eine dem ersten Verbindungskanal 11 zugeordnete Schnittstelle 190A mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle 191B, 191A fehlt oder eine zusätzliche kommunikationsseitige und steuerseitige Eingangs-Schnittstelle 191B, 191A inaktiv ist.
-
Demgemäß kann in einer diesem entsprechenden „Variante 2 ohne Anfrage“ (VAR 2) bereits direkt eine Datenbereitstellung DB im Haupt-Steuergerät 110 erfolgen und es wird dann analog dem obigen Fall der „Variante 1 mit Anfrage“ wieder über den (vorliegend dann einzig aktiven) zweiten Verbindungskanal 12 zunächst ein Standardwert zur Synchronisation übertragen als Synchronisierungsübertragung SÜ vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120. Anschließend erfolgt eine interne Datenübertragung DA2 vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 über den zweiten Verbindungskanal 12 und anschließend eine externe Datenübertragung DA1 vom Kommunikations-Steuergerät 120 zum Netz 1.
-
Diese Vorgänge der Datenbereitstellung DB, Synchronisierungsübertragung SÜ, interne Datenübertragung DA2 und externe Datenübertragung DA1 können dann beliebig wiederholt werden, was in 4B (VAR 2) durch die Punktefolge dargestellt ist.
-
Für die weitere Variante ergibt sich insbesondere die Möglichkeit --wie am Beispiel der 4C ersichtlich--, dass die Schnittstelle 190 nur einmalig intern synchronisiert wird; dies anstatt der zuvor erläuterten Synchronisierungsübertragung SÜ vor jeder internen Datenübertragung DA2. Dies wird vorliegend anhand einer Abwandlung der „Variante 2 ohne Anfrage“ aus 2 erläutert. Grundsätzlich kann analog auch eine entsprechende Abwandlung der „Variante 1 mit Anfrage“ aus 1 erfolgen.
-
Demgemäß kann in einer diesem entsprechenden „Variante 3 mit einmaliger Synchronisierung“ (VAR 3) bereits direkt eine Datenbereitstellung DB im Haupt-Steuergerät 110 erfolgen und es wird dann analog dem obigen Fall der „Variante 1 mit Anfrage“ wieder über den (vorliegend dann einzig aktiven) zweiten Verbindungskanal 12 zunächst ein Standardwert zur Synchronisation übertragen als Synchronisierungsübertragung SÜ vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120. Dies stellt dann allerdings im Unterschied zum obigen Fall der „Variante 1 mit Anfrage“ und „Variante 2 ohne Anfrage“ den einzigen Synchronisierungsschritt dar.
-
Anschließend erfolgt eine beliebig ohne Synchronisierungsschritt wiederholbare interne Datenübertragung DA2 vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 über den zweiten Verbindungskanal 12 und anschließend eine externe Datenübertragung DA1 vom Kommunikations-Steuergerät 120 zum Netz 1. Diese Vorgänge der Datenbereitstellung DB, interne Datenübertragung DA2 und externe Datenübertragung DA1 können dann beliebig wiederholt werden, was in 4C (VAR 3) durch die Punktefolge dargestellt ist.
-
Bezugszeichenliste
-
- 100
- Steuereinrichtung
- 110
- Haupt-Steuergerät
- 120
- Kommunikations-Steuergerät (COM)
- 1
- externes Netzwerk (NET)
- 140
- Speicherverwaltungseinheit, z. B. Memory Protection Unit
- 150
- Speicher
- 151
- zugangsbeschränkter sicherheitsrelevanter Speicherbereich (MEM) ( separat definierter, insbesondere zugangsoffener,
- 152
- Speicherbereich (sep MEM), für z. B. offene Daten
- FW
- FireWall
- 10
- elektrische Verbindung
- 11, 12
- unidirektionale Verbindungen
- 170
- Projektierungsrechner
- 20, 20A, 20B
- Projektierungsschnittstelle
- 190
- Schnittstelle
- 191A, 191B
- Eingangs-Schnittstelle
- 192A 192B
- Ausgangs-Schnittstelle
- 195
- Wandler, insbesondere A/D - bzw. D/A-Wandler
- 200
- Antriebs- und/oder Anlagensystem
- 210
- Motor
- 300
- Ablaufschema
- 410, 420, 430, 440, 450, 460
- Verfahrensschritte
- 480
- Kommunikations-Protokoll
- DA1, DA2
- Datenanfrage extern, intern
- DÜ1, DÜ2
- Datenübertragung extern, intern
- SÜ
- Synchronisierungsübertragung, intern
- DB
- Datenbereitstellung
- VAR1, VAR2, VAR3
- Varianten