DE102019111949A1 - Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich - Google Patents

Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich Download PDF

Info

Publication number
DE102019111949A1
DE102019111949A1 DE102019111949.9A DE102019111949A DE102019111949A1 DE 102019111949 A1 DE102019111949 A1 DE 102019111949A1 DE 102019111949 A DE102019111949 A DE 102019111949A DE 102019111949 A1 DE102019111949 A1 DE 102019111949A1
Authority
DE
Germany
Prior art keywords
control device
interface
main control
communication
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102019111949.9A
Other languages
English (en)
Inventor
Thomas Kottke
Christoph Hirschle
Horst Weidele
Michael Welte
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rolls Royce Solutions GmbH
Original Assignee
MTU Friedrichshafen GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MTU Friedrichshafen GmbH filed Critical MTU Friedrichshafen GmbH
Priority to DE102019111949.9A priority Critical patent/DE102019111949A1/de
Publication of DE102019111949A1 publication Critical patent/DE102019111949A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)

Abstract

Die Erfindung betrifft eine Steuereinrichtung (100) zur Anbindung eines Haupt-Steuergerätes (110) in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk (1), insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät (110) und dem externen Netzwerk (1), wobei die Steuereinrichtung (100) aufweist:- ein Haupt-Steuergerät (110) mit einem Speicher (150) und einer Speicherverwaltungseinheit (140) für den Speicher, wobei der Speicher einen sicherheitsrelevanten Speicherbereich (151) und einen separaten Speicherbereich (152) aufweist. Erfindungsgemäß ist vorgesehen:- ein über eine elektrische Verbindung (10) mit dem Haupt-Steuergerät (110) datenübertragbar verbundenes separates Kommunikations-Steuergerät (120), wobei- die Datenübertragung zwischen dem externen Netzwerk (1) und dem Haupt-Steuergerät (110) ausschließlich über das separate Kommunikations-Steuergerät (120) und zwischen dem Kommunikations-Steuergerät (120) und dem Haupt-Steuergerät (110) über die elektrische Verbindung (10) erfolgt, wobei- eine dem Kommunikations-Steuergerät (120) und dem Haupt-Steuergerät (110) zugeordnete Schnittstelle (190) der elektrischen Verbindung vorgesehen ist, die ausgebildet ist, ausschließlich auf einen separaten Speicherbereich (152) des Haupt-Steuergerätes zuzugreifen.

Description

  • Die Erfindung betrifft eine Steuereinrichtung zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk, insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk, gemäß dem Oberbegriff des Anspruchs 1. Die Steuereinrichtung weist ein Haupt-Steuergerät mit einem sicherheitsrelevanten Speicher und einer Speicherverwaltungseinheit für den Speicher auf, wobei der Speicher einen zugangsbeschränkten sicherheitsrelevanten Speicherbereich und einen, separat definierten, sicherheitsrelevanten Speicherbereich aufweist, insbesondere einen separat definierten, zugangsoffenen sicherheitsrelevanten Speicherbereich für offene Daten.
  • Mittlerweile gib es eine starke Vernetzung der Gerate mit äußeren Netzwerken, insbesondere dem Internet. Dies ist aus Security -(Sicherheits)- Gründen kein Problem bei nicht sicherheitsrelevanten Anwendungen wie Staubsauger, Fernseher usw. Bei sicherheitsrelevanten Anwendungen wie Autos, Schiffen oder Anlagensteuerungen besteht die Gefahr, dass die Kontrolle über das System durch nicht-autorisierte Personen übernommen wird. Insbesondere besteht die Gefahr, dass bei einem Haupt-Steuergerät mit einem sicherheitsrelevanten Speicher und einer Speicherverwaltungseinheit missbräuchlich auf den sicherheitsrelevanten Speicher zugegriffen wird.
  • Dies ist umso relevanter als ein sicherheitsrelevanter Speicher für den Betrieb eines Antriebs- und/oder Anlagensystem essentiell ist und bereits auch nicht-missbräuchliche Zugriffe den Betrieb des Haupt-Steuergeräts für das Antriebs- und/oder Anlagensystem stören könnten.
  • Um dies zu vermeiden gibt es verschiedene Lösungsansätze. Einer davon ist der TPM (Trusted Platform Module) im PC Bereich. Das Trusted Platform Module (TPM) ist ein Chip nach der TCG-Spezifikation (Trusted Computing Group), der einen Computer, ein PDA, ein Mobiltelefon oder dergleichen Kommunikationsmodule oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert. Diese Funktionen können beispielsweise den Zielen des Lizenzschutzes oder denen des Datenschutzes dienen, oder auch Zielen der nachrichtendienstlichen Kontrolle von Computersicherheitsmerkmalen. Dieser hat jedoch auf Grund seiner Bauart diverse Sicherheitslücken und darf in hochsicherheitsrelevanten Anwendungen nicht eingesetzt werden.
  • Für diese Anwendungen gibt es z. B. eine Lösung, die als sogenanntes RSGate der Firma „Infodas“ bekannt ist und als solche auch zertifiziert ist - dies ist aus https://www.infodas.de/wp-content/uploads/2014/04/08-04-03_zulassung.pdf ersichtlich; allerdings ist diese Lösung sehr aufwendig und erfordert manuelle Nutzereingriffe, was in https://www.infodas.de/wpcontent/uploads/2014/04/rsgate 3 0 16022010.pdf beschrieben ist.
  • Wünschenswert ist für sicherheitsrelevante Anwendungen bei Antriebs- und/oder Anlagensystemen eine Steuereinrichtung, die eine einfache aber effektive Anbindung von diesen sicherheitsrelevanten Anwendungen an ein externes Netzwerk aufzeigt, insbesondere zur Durchführung einer Projektierung und/oder Konfiguration. Es sollen mittels der Steuereinrichtung Daten übertragen werden können, die für Industrie-4.0-Anwendungen notwendig sind, insbesondere zur Durchführung einer Projektierung und/oder Konfiguration, aber gleichzeitig eine Manipulation verhindert werden.
  • An dieser Stelle setzt die Erfindung an, deren Aufgabe es ist, eine Steuereinrichtung und ein Verfahren zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk anzugeben, das gegenüber dem Stand der Technik verbessert ist, insbesondere wenigstens einen der oben genannten Aspekte adressiert.
  • Diese Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1.
  • Die Erfindung geht aus von einer Steuereinrichtung zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk, insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk, wobei die Steuereinrichtung aufweist:
    • - ein Haupt-Steuergerät mit einem sicherheitsrelevanten Speicher und einer Speicherverwaltungseinheit für den Speicher.
  • Erfindungsgemäß setzt die Erfindung dabei an, dass der Speicher einen zugangsbeschränkten sicherheitsrelevanten Speicherbereich und einen, separat definierten, sicherheitsrelevanten Speicherbereich aufweist. Insbesondere kann letzterer ein separat definierter, zugangsoffener sicherheitsrelevanter Speicherbereich für offene Daten sein.
  • Die Steuereinrichtung ist weiter erfindungsgemäß gekennzeichnet durch
    • - ein über eine elektrische Verbindung mit dem Haupt-Steuergerät (ECU) datenübertragbar verbundenes separates Kommunikations-Steuergerät (COM), wobei, insbesondere zur Durchführung einer Projektierung und/oder Konfiguration,
    • - die Datenübertragung zwischen dem externen Netzwerk (NET) und dem Haupt-Steuergerät ausschließlich (ECU) über das separate Kommunikations-Steuergerät (COM) und zwischen dem Kommunikations-Steuergerät und dem Haupt-Steuergerät über die elektrische Verbindung erfolgt, wobei
    • - eine dem Kommunikations-Steuergerät (COM) und dem Haupt-Steuergerät zugeordnete Schnittstelle der elektrischen Verbindung vorgesehen ist, die ausgebildet ist, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, ausschließlich auf den separat definierten, sicherheitsrelevanten Speicherbereich des Haupt-Steuergerätes (ECU) zuzugreifen.
  • Die Erfindung führt auch auf ein Antriebs- und/oder Anlagensystem, insbesondere mit einer Brennkraftmaschine, mit einem sicherheitsrelevanten Bereich, in dem die erfindungsgemäße Steuereinrichtung angeordnet ist.
  • Die Erfindung führt zur Lösung der Aufgabe betreffend das Verfahren auch auf ein Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk, insbesondere ein Internet, unter manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk, mit der erfindungsgemäßen Steuereinrichtung.
  • Die Erfindung schlägt damit insbesondere eine Security-Anwendung zur sicheren Übertragung im Vorfeld definierter Motordaten bzw. Motorparameter vor. Im Hinblick auf die zunehmende Digitalisierung sicherheitsrelevanter Anwendungen bei Antriebs- und/oder Anlagensystemen kommt dieser Security-Anwendung zunehmend Bedeutung zu im Hinblick vor allem auf deren Steuergeräte (ECU). Die mit der Erfindung vorgeschlagene Implementierung ist aber nicht nur für Steuergeräte (ECU) einsetzbar, sondern generell bei jeglichen Geräten/Systemen, die eine Netzverbindung (Ethernet, WLAN, etc.) haben.
  • Vorteilhafte Weiterbildungen der Erfindung sind den Unteransprüchen zu entnehmen und geben im Einzelnen vorteilhafte Möglichkeiten an, das oben erläuterte Konzept im Rahmen der Aufgabenstellung sowie hinsichtlich weiterer Vorteile zu realisieren.
  • Die Schnittstelle ist vorteilhaft durch A/D- bzw. D/A-Konvertern oder digitale Ein- und/oder Ausgänge implementiert, erfindungsgemäß also derart, dass diese nur auf einen bestimmten separaten Speicherbereich (sepMEM) zugreifen kann. Dieser kann vorteilhaft geschützt sein, insbesondere durch eine Memory Protection Unit; evtl. kann auch der Zugriff über eine geschützte DRP (Dynamically Reconfigurable Processor, Dynamisch rekonfigurierbarer Prozessor) erfolgen. Somit ist sichergestellt, dass die Schnittstelle -vorteilhaft durch diese Wandler - nicht in den anderen sicherheitsrelevanten Speicherbereich MEM eingreifen und hier Daten verfälschen kann. Da nun diese Schnittstelle -vorteilhaft durch A/D- bzw. D/A-Konvertern oder digitale Ein- und/oder Ausgänge implementiert - gegen Manipulation gesichert ist, kann somit auf dem Kommunikations-Steuergerät (Communication Controller - COM) jegliche Manipulation durch externe Angriffe erfolgen ohne, dass das Haupt-Steuergerät (Engine Control Unit, ECU) selbst gestört wird.
  • Die Schnittstelle gemäß dem Konzept der Erfindung kann besonders vorteilhaft für Lese- und Schreiboperationen ausgebildet sein bzw. beides zulassen. Eine solche Schnittstelle ist für Schreib- und Leseoperationen gemäß dem Konzept der Erfindung ausgebildet.
  • Es hat sich jedoch auch als vorteilhaft erwiesen, die Schnittstelle bei Bedarf nur unidirektional auszulegen. Anders ausgedrückt, kann eine solche Schnittstelle nach Art einer elektrischen Diode aufgebaut sein. Die Daten können nur in eine Richtung ohne Rückwirkung übertragen werden. Ebenso kann nicht wie z. B. beim CAN Bus durch eine Fehlansteuerung des Empfängers der Bus auf einen Pegel gezogen werden, was sich wiederum auf das Haupt-Steuergerät auswirken kann.
  • Dies kann vorteilhaft eine Schnittstelle nur mit einem Eingangs-Verbindungskanal umfassen bzw. nur mit einem aktiven Eingangs-Verbindungskanal, wobei ein Ausgangs-Verbindungskanal inaktiv ist. Eine solche Schnittstelle kann z.B. nur für Leseoperationen ausgebildet sein.
  • Dies kann vorteilhaft auch eine Schnittstelle nur mit einem Ausgangs-Verbindungskanal umfassen bzw. nur mit einem aktiven Ausgangs-Verbindungskanal, wobei ein Eingangs-Verbindungskanal inaktiv ist. Eine solche Schnittstelle kann z. B. nur für Schreiboperationen ausgebildet sein.
  • Vorteilhaft kann die Schnittstelle (Interface) vom Kommunikations-Steuergerät (Communication Controller - COM) zum Haupt-Steuergerät aufgebaut sein, insbesondere gleichartig aufgebaut sein. Hierüber können z. B. nicht kritische Steuerdaten übertragen werden, wie z. B. eine Anforderung von Anlagendaten.
  • Vorteilhaft ist vorgesehen, dass eine Steuerung der Schnittstelle über das Kommunikations-Steuergerät unterbunden ist, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, und/oder die Schnittstelle zusätzlich oder alternativ ansteuerbar ist von wenigstens einem digitalen Ein- und Ausgang.
  • Vorteilhaft ist vorgesehen, dass die Schnittstelle angesteuert wird von wenigstens einem Wandler bzw. einer Anzahl Wandler. Vorteilhaft ist vorgesehen, dass der wenigstens eine Wandler ein Analog/Digital-Wandler oder ein Digital/Analog-Wandler ist und/oder die elektrische Verbindung zwischen dem Haupt-Steuergerät und dem Kommunikations-Steuergerät digital ausgeführt ist.
  • Vorteilhaft ist ein Projektierungsrechner vorgesehen, mittels dem in dem separat definierten Speicherbereich hinterlegte, durch das Kommunikations-Steuergerät auslesbare Daten, einmalig vorab über eine Projektierungsschnittstelle mittels Projektierungsrechner festlegbar sind.
  • Vorteilhaft ist vorgesehen, dass ein Projektierungsrechner oder dergleichen Projektierungswerkzeug über eine Projektierungsschnittstelle mit dem Haupt-Steuergerät und eine weitere Projektierungsschnittstelle mit dem Kommunikations-Steuergerät, zur Durchführung der Projektierung und/oder Konfiguration, verbunden werden kann.
  • Insbesondere hat es sich als vorteilhaft erwiesen, dass das Projektierungswerkzeug
    • - zur Durchführung der Projektierung und/oder Konfiguration verbunden ist mit dem Haupt-Steuergerät und/oder Kommunikations-Steuergerät, und/oder
    • - nach der Durchführung der Projektierung und/oder Konfiguration getrennt ist vom Haupt-Steuergerät und/oder Kommunikations-Steuergerät, insbesondere entfernt ist.
  • Vorteilhaft ist der Projektierungsrechner oder dergleichen Projektierungswerkzeug nach der Durchführung der Projektierung und/oder Konfiguration zu entfernen. Insbesondere ist dadurch gewährleistet bzw. heißt dies, dass dieser nicht während des Betriebes zu verbinden, insbesondere anzuschließen, ist.
  • Vorteilhaft ist vorgesehen, dass die Schnittstelle für eine unidirektionale oder eine bidirektionale Datenübertragung mittels einem ersten und zweiten separaten unidirektionalen elektrischen Verbindungskanal jeweils eine dieser zugeordneten Schnittstelle aufweist.
  • Vorteilhaft ist vorgesehen, dass die Schnittstelle eine kommunikationsseitige und steuerseitige Eingangs-Schnittstelle und eine steuerseitige und kommunikationsseitige Ausgangs-Schnittstelle aufweist. Insbesondere kann für die Schnittstelle jeweils ein Wandler für jeweils eine der Eingangs-Schnittstellen und jeweils ein Wandler für eine der Ausgangs-Schnittstellen vorgesehen sein.
  • Vorteilhaft ist vorgesehen, dass der separat definierte, sicherheitsrelevante Speicherbereich variabel aber fest vorbestimmt ist und/oder durch eine Speicherverwaltungseinheit, insbesondere einen DRP-Prozessor (Dynamically Reconfigurable Processor, Dynamisch rekonfigurierbarer Prozessor), geschützt ist.
  • Vorteilhaft ist vorgesehen, dass die wenigstens eine Speicherverwaltungseinheit den Zugriff auf den Speicher derart reglementiert, dass ein Zugriff von dem Kommunikations-Steuergerät nur auf den separat definierten Speicherbereich zugelassen ist und/oder auf den zugangsbeschränkten Speicherbereich außerhalb des separat definierten Speicherbereichs unterbunden ist.
  • Betreffend das Verfahren ist vorteilhaft vorgesehen, dass auslesbare Daten in der Projektierungsphase variabel wählbar festgelegt werden und/oder ein zeitlicher Abstand zwischen Ausleseoperationen in einer Projektierungsphase frei gewählt werden.
  • Es kann vorteilhaft eine Art von auslesbaren Daten, deren Reihenfolge und/oder der zeitliche Abstand zwischen den Ausleseoperationen, in der Projektierungsphase dem Kommunikations-Steuergerät über eine weitere Projektierungsschnittstelle mittels dem Projektierungsrechner übermittelt werden. Insbesondere können vorteilhaft auslesbaren Daten, deren Reihenfolge sowie der zeitliche Abstand zwischen Ausleseoperationen, in der Projektierungsphase durch eine vertrauenswürde Stelle fertigungsintern festgelegt werden.
  • Betreffend das Verfahren ist weiter vorteilhaft vorgesehen, dass
    • - eine serielle Übertragung der Daten-Abfrage zwischen dem Kommunikations-Steuergerät und dem Haupt-Steuergerät über eine Schnittstelle einer elektrischen Verbindung, entsprechend eines Kommunikations-Protokolls dergestalt erfolgt, dass erst ein Standardwert zur Synchronisation übertragen wird, gefolgt von der Übertragung eines Datenwertes; und/oder
    • - eine serielle Übertragung der abgefragten Daten zwischen dem Haupt-Steuergerät und dem Kommunikations-Steuergerät über wenigstens eine Schnittstelle wenigstens einer elektrischen Verbindung, entsprechend eines Kommunikations-Protokolls, dergestalt erfolgt, dass erst ein Standardwert zur Synchronisation übertragen wird, gefolgt von der Übertragung eines Datenwertes.
  • Vorteilhaft ist vorgesehen --wie oben schon zum Teil erläutert--, dass die Schnittstelle eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer steuerseitigen und kommunikationsseitigen Eingangs-Schnittstelle aufweist, insbesondere nur diese steuerseitige und kommunikationsseitige Eingangs-Schnittstelle, wobei für die Schnittstelle jeweils ein Wandler für jeweils eine der Eingangs-Schnittstellen vorgesehen ist. Eine solche Schnittstelle ist vorteilhaft nur zum unidirektionalen Schreiben bzw. Ablegen von Daten vorgesehen.
  • Vorteilhaft ist vorgesehen --wie oben schon zum Teil erläutert--, dass die Schnittstelle eine dem zweiten Verbindungskanal zugeordnete Schnittstelle mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle aufweist, insbesondere nur diese steuerseitige und kommunikationsseitige Ausgangs-Schnittstelle, wobei für die Schnittstelle jeweils ein Wandler für jeweils eine der Ausgangs-Schnittstellen vorgesehen ist. Eine solche Schnittstelle ist vorteilhaft nur zum unidirektionalen Auslesen bzw. Abrufen von Daten vorgesehen.
  • Besonders vorzugsweise ist vorgesehen, dass die Schnittstelle eine dem zweiten Verbindungskanal zugeordnete Schnittstelle und optional zusätzlich eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle aufweist, wobei für die Schnittstelle jeweils ein Wandler für jeweils eine der Eingangs-Schnittstellen und jeweils ein Wandler für eine der Ausgangs-Schnittstellen vorgesehen ist.
  • Vorzugsweise ist in einer ersten Variante vorgesehen, dass die Schnittstelle extern gesteuert wird, über eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle.
  • Vorzugsweise ist in einer zweiten Variante vorgesehen, dass die Schnittstelle
    • - ungesteuert ist und eine kontinuierliche Datenübertragung über die dem zweiten Verbindungskanal zugeordnete Schnittstelle mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle erfolgt, und/oder
    • - eine dem ersten Verbindungskanal zugeordnete Schnittstelle mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle fehlt oder eine zusätzliche kommunikationsseitige und steuerseitige Eingangs-Schnittstelle inaktiv ist.
  • Vorzugsweise ist in einer dritten Variante vorgesehen, dass die Schnittstelle einmalig intern synchronisiert wird.
  • Ausführungsformen der Erfindung werden nun nachfolgend anhand der Zeichnung im Vergleich zum Stand der Technik, welcher zum Teil ebenfalls dargestellt ist, beschrieben. Diese Zeichnung soll die Ausführungsformen nicht notwendigerweise maßstäblich darstellen, vielmehr ist die Zeichnung, wo zur Erläuterung dienlich, in schematisierter und/oder leicht verzerrter Form ausgeführt. Im Hinblick auf Ergänzungen der aus der Zeichnung unmittelbar erkennbaren Lehren wird auf den einschlägigen Stand der Technik verwiesen. Dabei ist zu berücksichtigen, dass vielfältige Modifikationen und Änderungen betreffend die Form und das Detail einer Ausführungsform vorgenommen werden können, ohne von der allgemeinen Idee der Erfindung abzuweichen. Die in der Beschreibung, in der Zeichnung sowie in den Ansprüchen offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebiger Kombination für die Weiterbildung der Erfindung wesentlich sein. Zudem fallen in den Rahmen der Erfindung alle Kombinationen aus zumindest zwei der in der Beschreibung, der Zeichnung und/oder den Ansprüchen offenbarten Merkmale. Die allgemeine Idee der Erfindung ist nicht beschränkt auf die exakte Form oder das Detail der im Folgenden gezeigten und beschriebenen bevorzugten Ausführungsform oder beschränkt auf einen Gegenstand, der eingeschränkt wäre im Vergleich zu dem in den Ansprüchen beanspruchten Gegenstand. Bei angegebenen Bemessungsbereichen sollen auch innerhalb der genannten Grenzen liegende Werte als Grenzwerte offenbart und beliebig einsetzbar und beanspruchbar sein. Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der bevorzugten Ausführungsformen sowie anhand der Zeichnung; diese zeigt in:
    • 1 eine bevorzugte Ausführungsform einer Steuereinrichtung zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich an ein externes Netzwerk, insbesondere ein Internet;
    • 2 eine bevorzugte Ausführungsform der Steuereinrichtung der 1 in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems;
    • 3 eine bevorzugte Ausführungsform eines Ablaufplans eines Verfahrens zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät und dem externen Netzwerk einer Steuereinrichtung der 1 oder 2,
    • 4A, 4B, 4C drei Varianten eines Ablaufplans eines Verfahrens zur manipulationssicheren Datenübertragung.
  • In 1 ist eine Steuereinrichtung 100 zur Anbindung eines Haupt-Steuergerätes 110 in einem sicherheitsrelevanten Bereich an ein externes Netzwerk, insbesondere ein Internet, gezeigt. Die Steuereinrichtung 100 ist hier zur Anbindung eines Haupt-Steuergerätes 110 in einem sicherheitsrelevanten Bereich eines in 2 gezeigten Antriebs- und/oder Anlagensystems 200 an ein externes Netzwerk 1, insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen einem Haupt-Steuergerät 110 und dem externen Netzwerk 1 vor allem zur Durchführung einer Projektierung und/oder Konfiguration. Die Steuereinrichtung 100 weist dazu auf:
    • - ein Haupt-Steuergerät 110 mit einem sicherheitsrelevanten Speicher 150 und einer Speicherverwaltungseinheit 140 für den Speicher.
  • Gemäß dem Konzept der Erfindung weist der der Speicher einen zugangsbeschränkten sicherheitsrelevanten Speicherbereich 151 und einen separat definierten sicherheitsrelevanten Speicherbereich 152 auf, insbesondere einen separat definierten, zugangsoffenen sicherheitsrelevanten Speicherbereich 152 für offene Daten.
  • Gemäß dem Konzept der Erfindung ist ein über eine elektrische Verbindung 10 mit dem Haupt-Steuergerät 110 datenübertragbar verbundenes separates Kommunikations-Steuergerät 120 vorgesehen, wobei --insbesondere zur Durchführung einer Projektierung und/oder Konfiguration-- die Datenübertragung zwischen dem externen Netzwerk 1 (NET) und dem Haupt-Steuergerät 110 ausschließlich über das separate Kommunikations-Steuergerät 120 und zwischen dem Kommunikations-Steuergerät 120 (COM) und dem Haupt-Steuergerät 110 (ECU) über die elektrische Verbindung 10 erfolgt.
  • Dabei ist eine dem Kommunikations-Steuergerät 120 und dem Haupt-Steuergerät 110 zugeordnete Schnittstelle 190 der elektrischen Verbindung 10 vorgesehen, die ausgebildet ist, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, ausschließlich auf den separat definierten, sicherheitsrelevanten Speicherbereich 152 des Haupt-Steuergerätes zuzugreifen.
  • Die Steuerung der Schnittstelle 190 über das Kommunikations-Steuergerät 120, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, ist vorteilhaft unterbunden und/oder die Schnittstelle 190 ist alternativ ansteuerbar von wenigstens einem digitalen Ein- und/oder Ausgang. Der elektrische Verbindungskanal 11 und 12 stellt sozusagen eine Art Firewall FW zwischen den beiden Steuergeräten dar - d. h. zwischen dem Haupt-Steuergerät 110 (ECU) und dem Kommunikations-Steuergerät 120 (COM); dies vorteilhaft nach Maßgabe einer Speicherverwaltungseinheit 140 (Memory Protection Unit).
  • Die Firewall FW ist hier symbolisch eingezeichnet - im Effekt wird sie in dieser Ausführungsform dadurch realisiert, dass die elektrische Verbindung 10 und/oder jeder der Verbindungskanäle 11, 12 entweder unidirektional ausgeführt werden kann. Im Falle einer lediglich unidirektionalen Verbindung 10 existiert vorteilhaft nur der Verbindungskanal 12 oder der Verbindungskanal 11 ist inaktiv. Im Falle einer lediglich unidirektionalen Verbindung 10 kann vorteilhaft auch nur der Verbindungskanal 11 existieren oder der Verbindungskanal 12 ist inaktiv.
  • Die elektrische Verbindung 10 und/oder jeder der Verbindungskanäle 11, 12 kann auch bidirektional ausgeführt werden. Im Falle einer bidirektionalen Verbindung 10 existiert der erste und zweite Verbindungskanal 11, 12 aber es kann nur ein sehr eingeschränkter Befehlssatz an das Haupt-Steuergerät 110 (ECU) über den Verbindungskanal 11 übermittelt werden; dies ebenfalls vorteilhaft nach Maßgabe der Speicherverwaltungseinheit 140 (Memory Protection Unit).
  • Hierbei liegt die eigentliche Funktion einer Applikation im Haupt-Steuergerät 110, d. h. im ECU-Steuergerät (Main Controller), bzw. ist dort abgebildet; grundsätzlich ist dies nicht zwingend. Die Kommunikation ins Netzwerk 1 (NET, bspw. Cloud) erfolgt über das separate Kommunikations-Steuergerät 120 (COM, Communication Controller). Verbunden sind diese beiden, z. B. Rechner des Haupt-Steuergeräts 110 und des Kommunikations-Steuergerät 120, über eine elektrische Verbindung 10. Diese elektrische Verbindung 10 kann digital dargestellt sein oder auch analog. Über diese elektrische Verbindung 10 erfolgt der Datenaustausch vom Haupt-Steuergerät 110, hier das ECU-Steuergerät (Main Controller), zum Kommunikations-Steuergerät 120 (Communication Controller) und umgekehrt.
  • Es ist vorteilhaft aber nicht zwingend, wie hier, die beiden Verbindungskanäle 11, 12 der elektrische Verbindung 10 unidirektional auszuführen; es können auch beide Verbindungskanäle 11, 12 birektional ausgeführt sein. Es kann auch die Verbindung 10 unidirektional ausgeführt sein; also z. B. nur in Form des Verbindungskanals 11, oder nur in Form des Verbindungskanals 12.
  • Gemäß dem Konzept der Erfindung ist bei dieser Ausführungsform sichergestellt, dass durch diese Verbindungskanäle 11, 12 der Verbindung keine Manipulation von Anlagendaten oder des Programmcodes im ECU Steuergerät erfolgen kann. Die Schnittstelle 190 hat hier eine kommunikationsseitige und steuerseitige Eingangs-Schnittstelle 191B, 191A und eine steuerseitige und kommunikationsseitige Ausgangs-Schnittstelle 192A, 192B. Für die Schnittstelle 190 ist jeweils ein Wandler 195 für jeweils eine der Eingangs-Schnittstellen 191A, 191B und jeweils ein Wandler 195 für eine der Ausgangs-Schnittstellen 192A, 192B vorgesehen.
  • Konkret erfolgt hier die Ansteuerung der Schnittstelle 190 vorteilhaft durch eine Anzahl Wandler 195 --wie z. B. einen A/D- bzw. D/A-Wandler oder digitale Ein- und Ausgänge--, wobei jeweils ein Wandler 195 für jeweils eine der kommunikationsseitigen und steuerseitigen Eingangs-Schnittstellen 191B, 191A und jeweils eine der steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstellen 192A, 192B an der Schnittstelle 190 vorgesehen ist; im vorliegenden beispielweise also vier Wandler 195. Gemäß dem Konzept der Erfindung erfolgt die Ansteuerung per Wandler 195 der Schnittstelle 190 derart, dass diese Schnittstelle 190 nur auf einen bestimmten separaten, sicherheitsrelevanten, zugangsoffenen Speicherbereich 152 sepMEM, z. B. für offene Daten, zugreifen kann. Ein Wandler 195 kann in Form einer Wandlereinheit oder auch in Form einer Wandlergruppe oder dergleichen A/D-Funktionalität gebildet sein.
  • Dieser bestimmte separat definierte, sicherheitsrelevante, zugangsoffene Speicherbereich 152, sepMEM kann vorteilhaft geschützt sein, insbesondere durch die Speicherverwaltungseinheit 140 (Memory Protection Unit) geschützt sein; evtl. kann auch der Zugriff über einen geschützten DRP (Dynamically Reconfigurable Processor, Dynamisch rekonfigurierbarer Prozessor) erfolgen. Anders ausgedrückt wird die wenigstens eine Speicherverwaltungseinheit 140 den Zugriff auf den Speicher 150 derart reglementieren, dass ein Zugriff von dem Kommunikations-Steuergerät 120 nur auf den separat definierten Speicherbereich 152 zugelassen ist und/oder auf den zugangsbeschränkten Speicherbereich 151 außerhalb des separat definierten Speicherbereichs 152 unterbunden ist.
  • Somit ist sichergestellt, dass die Schnittstelle 190 per Eingangs-Schnittstellen 191B, 191A 191A, 192A -vorteilhaft durch diese Wandler 195-- nicht in den anderen sicherheitsrelevanten aber zugangsbeschränkten Speicherbereich 151 MEM eingreifen und hier Daten verfälschen kann und/oder per Ausgangs-Schnittstellen 192A, 192B beschränkte Daten an das Kommunikations-Steuergerät 120 übermittelt werden.
  • Da nun diese Schnittstelle 190, insbesondere die Eingangs-Schnittstellen 191A, 191B vom Kommunikations-Steuergerät 120 (Communication Controller - COM) zum Haupt-Steuergerät 110 --vorteilhaft durch A/D- bzw. D/A-Wandler oder digitale Ein- und Ausgänge angesteuert-gegen Manipulation gesichert ist, kann somit auf dem Kommunikations-Steuergerät 120 (Communication Controller - COM) eine jegliche Manipulation durch externe Angriffe erfolgen ohne, dass das Haupt-Steuergerät 110 (Engine Control Unit, ECU) selbst gestört wird. Analog dazu kann vorteilhaft die Schnittstelle 190, insbesondere die Ausgangs-Schnittstellen 192A, 192B vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 (Communication Controller - COM) aufgebaut sein.
  • Hierüber vermittelt durch die Speicherverwaltungseinheit 140 (Memory Protection Unit) können z. B. nicht kritische Steuerdaten übertragen werden, wie z. B. eine Anforderung von den Anlagendaten. Weiterhin kann es notwendig sein, dass z. B. jeder Nutzer andere Daten nach außen ins Netz gestellt haben möchte.
  • Die in 2 gezeigte Implementierung ist für eine Brennkraftmaschine oder dergleichen Antriebssystem 200 vorgesehen. Durch einen Projektierungsrechner 170 werden in dem separat definierten Speicherbereich 152 hinterlegte, durch das Kommunikations-Steuergerät auslesbare Daten, einmalig vorab über eine Projektierungsschnittstelle 20 mittels Projektierungsrechner 170 festgelegt.
  • Ein Fährbetreiber möchte beispielsweise mit einem Antriebssystem 200 der 2 z. B. seine Position gemeldet bekommen, bei Militärschiffen sollte dies nicht erfolgen. Dazu wird der Projektierungsrechner 170 mit einer Projektierungsschnittstelle 20, 20A, 20B eingesetzt. Beim Haupt-Steuergerät 110 selbst wird über diese Projektierungsschnittstelle 20, 20A einmalig bei der Installation vorgegeben, welche Daten nach außen geliefert werden dürfen und ggf. in welcher Reihenfolge und in welchem zeitlichen Abstand.
  • Das Kommunikations-Steuergerät 120 (Communication Controller) sollte ebenfalls wissen, was die Daten auf dem Bus zu bedeuten haben. Daher sollte auch das Kommunikations-Steuergerät 120 diese Informationen über die Projektierungsschnittstelle 20, 20B erhalten.
  • Es ist besonders von Vorteil, dass die Projektierung einmalig durch eine vertrauenswürdige Stelle (z. B. in einem fertigungsinternen Ablauf) erfolgt und danach diese Projektierungsschnittstelle 20, 20A, 20B wieder physikalisch von dem Projektierungsrechner 170 oder dergleichen Projektierungswerkzeug getrennt wird.
  • Der Projektierungsrechner 170 wird also über eine Projektierungsschnittstelle 20, 20A mit dem Haupt-Steuergerät 110 und eine weitere Projektierungsschnittstelle 20, 20B mit dem Kommunikations-Steuergerät 120 verbunden, und dieser ist
    • - zur Durchführung der Projektierung und/oder Konfiguration verbunden ist mit dem Haupt-Steuergerät 110 und/oder Kommunikations-Steuergerät 120, und/oder
    • - nach der Durchführung der Projektierung und/oder Konfiguration getrennt vom Haupt-Steuergerät 110 und/oder Kommunikations-Steuergerät 120, insbesondere ist dieser entfernt.
  • Anhand 3 ist ein genereller Ablaufplan eines Verfahrens zur manipulationssicheren Datenübertragung erläutert, der die einzelnen Verfahrensschritte zunächst allgemein erläutert. Gemäß dem gezeigten Ablaufschema 300 kann bei einer Daten-Anfrage 410 aus einem externen Netzwerk 1 eine Übertragung 420 der Daten-Anfrage an das Kommunikations-Steuergerät 120 und dann weitergeleitet an das Haupt-Steuergerät 110 erfolgen, wobei anschließend zwischen den beiden Rechnern des Haupt-Steuergeräts 110 und Kommunikations-Steuergeräts 120 ein Kommunikations-Protokoll 480 wie folgt implementiert ist:
    • Übertrag eines Standardwertes zur Synchronisierung
    • Übertrag des Datenwertes.
  • Vorliegend erfolgt also im Falle einer Daten-Anfrage 410 aus dem externen Netzwerk 1 nach der Übertragung 420 der Daten-Anfrage an das Kommunikations-Steuergerät 120 eine Weiterleitung an das Haupt-Steuergerät 110, wobei eine serielle Übertragung 430 der Daten-Abfrage zwischen dem Kommunikations-Steuergerät 120 und dem Haupt-Steuergerät 110 über die genannte Schnittstelle 190 der elektrischen Verbindung 10 erfolgt. Entsprechend dem Kommunikations-Protokoll 480 wird dann erst ein Standardwert zur Synchronisation übertragen im Schritt 440gefolgt von der Übertragung eines Datenwertes im Schritt 450.
  • Es kann auch zusätzlich oder alternativ, in umgekehrter Richtung, nach einer Bereitstellung von abzufragenden Daten durch das Haupt-Steuergerät 110 eine, serielle Übertragung der abgefragten Daten zwischen dem Haupt-Steuergerät 110 und dem Kommunikations-Steuergerät 120 über die Schnittstelle 190 der elektrischen Verbindung 10 folgen. Dann kann entsprechend dem Kommunikations-Protokolls 480, ein Standardwert zur Synchronisation übertragen werden im Schritt 460, gefolgt von der Übertragung eines Datenwertes und der Übertragung der Daten an das externe Netzwerk 1 im Schritt 470.
  • Grundsätzlich sieht der Ablauf insgesamt vor, dass das Kommunikations-Steuergerät 120 nur „lauscht“. Insbesondere kann eine Steuerung der Schnittstelle 20 durch das Kommunikations-Steuergerät 120 nicht erfolgen bzw. ist unterbunden. Mit besonderem Vorteil versehen ist bei dieser Ausführungsform die Schnittstelle 20 deaktiviert und/oder der Projektierungsrechner 170 ist entfernt. Dadurch, dass das Haupt-Steuergerät 110 in Folge keine Befehle annimmt, kann es auch nicht gestört werden in der so manipulationssicheren Steuerung eines Antriebs- und/oder Anlagensystems 200.
  • Ein weiterer Vorteil ist, dass es nicht sichergestellt werden muss, dass die im Kommunikations-Steuergerät 120 gespeicherten Projektierungsdaten ausgelesen und manipuliert werden, da diese unabhängig vom Haupt-Steuergerät 110 sind. Der Unterschied bei dieser Art von Verbindung 10 zwischen dem Haupt-Steuergerät 110 und dem Kommunikations-Steuergerät 120 mit z. B. Ethernet besteht darin, dass explizit nur bestimmte Daten ausgetauscht werden, deren Größe bekannt ist und in einem separat definierten Speicherbereich abgelegt werden. Es erfolgt keine Kommunikation über ein Protokoll, bei dem der Controller durch eingespeiste Fehler einen Reset oder sonstige Aktionen beim Haupt-Steuergerät 110 auslösen könnte oder dies eine Beeinflussung des Haupt-Steuergeräts 110 (Main Controller) auslösen könnte.
  • Anhand 4A, 4B, 4C sind drei Varianten eines Ablaufplans eines Verfahrens zur manipulationssicheren Datenübertragung erläutert.
  • Grundsätzlich kann --wie am Beispiel der 4A ersichtlich-- für die die Schnittstelle 190 eine dem zweiten Verbindungskanal 12 zugeordnete Schnittstelle 190B und optional zusätzlich eine dem ersten Verbindungskanal 11 zugeordnete Schnittstelle 190A mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle 191B, 191A zur Verfügung stehen, wobei für die Schnittstelle 190 jeweils ein Wandler 195 für jeweils eine der Eingangs-Schnittstellen 191A, 191B und jeweils ein Wandler 195 für eine der Ausgangs-Schnittstellen 192A, 192B vorgesehen ist.
  • Es ist dann vorteilhaft vorgesehen, dass die Schnittstelle 190 extern gesteuert wird, über eine dem ersten Verbindungskanal 11 zugeordnete Schnittstelle 190A mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle 191B, 191A.
  • Demgemäß kann in einer diesem entsprechenden „Variante 1 mit Anfrage“ (VAR 1) eine externe Datenanfrage DA1 vom Netz 1 intern weitergeleitet werden als interne Datenanfrage DA1 über den ersten Verbindungskanal 11 vom Kommunikations-Steuergerät 120 zum Haupt-Steuergeräts 110. Nach der Datenbereitstellung DB im Haupt-Steuergeräts 110 wird dann über den zweiten Verbindungskanal 12 zunächst ein Standardwert zur Synchronisation übertragen als Synchronisierungsübertragung vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120. Anschließend erfolgt eine interne Datenübertragung DA2 vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 über den zweiten Verbindungskanal 12 und anschließend eine externe Datenübertragung DA1 vom Kommunikations-Steuergerät 120 zum Netz 1.
  • Diese Vorgänge der Datenbereitstellung DB, Synchronisierungsübertragung , interne Datenübertragung DA2 und externe Datenübertragung DA1 können dann beliebig wiederholt werden zur Erfüllung der Datenanfrage DA1, DA2, was in 4A (VAR 1) durch die Punktefolge dargestellt ist.
  • Grundsätzlich kann --wie am Beispiel der 4B ersichtlich-- für die Schnittstelle 190 eine dem zweiten Verbindungskanal 12 zugeordnete Schnittstelle 190B mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle 192A, 192B zur Verfügung stehen --insbesondere nur diese-- wobei für die Schnittstelle 190 jeweils ein Wandler 195 für jeweils eine der Ausgangs-Schnittstellen 192A, 192B vorgesehen ist.
  • Es kann dann die Schnittstelle 190 ungesteuert sein, insbesondere eine kontinuierliche Datenübertragung über die dem zweiten Verbindungskanal 12 zugeordnete Schnittstelle 190B mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle 192A, 192B erfolgen.
  • Alternativ oder zusätzlich ist es bei dieser Variante auch möglich, dass eine dem ersten Verbindungskanal 11 zugeordnete Schnittstelle 190A mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle 191B, 191A fehlt oder eine zusätzliche kommunikationsseitige und steuerseitige Eingangs-Schnittstelle 191B, 191A inaktiv ist.
  • Demgemäß kann in einer diesem entsprechenden „Variante 2 ohne Anfrage“ (VAR 2) bereits direkt eine Datenbereitstellung DB im Haupt-Steuergerät 110 erfolgen und es wird dann analog dem obigen Fall der „Variante 1 mit Anfrage“ wieder über den (vorliegend dann einzig aktiven) zweiten Verbindungskanal 12 zunächst ein Standardwert zur Synchronisation übertragen als Synchronisierungsübertragung vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120. Anschließend erfolgt eine interne Datenübertragung DA2 vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 über den zweiten Verbindungskanal 12 und anschließend eine externe Datenübertragung DA1 vom Kommunikations-Steuergerät 120 zum Netz 1.
  • Diese Vorgänge der Datenbereitstellung DB, Synchronisierungsübertragung , interne Datenübertragung DA2 und externe Datenübertragung DA1 können dann beliebig wiederholt werden, was in 4B (VAR 2) durch die Punktefolge dargestellt ist.
  • Für die weitere Variante ergibt sich insbesondere die Möglichkeit --wie am Beispiel der 4C ersichtlich--, dass die Schnittstelle 190 nur einmalig intern synchronisiert wird; dies anstatt der zuvor erläuterten Synchronisierungsübertragung vor jeder internen Datenübertragung DA2. Dies wird vorliegend anhand einer Abwandlung der „Variante 2 ohne Anfrage“ aus 2 erläutert. Grundsätzlich kann analog auch eine entsprechende Abwandlung der „Variante 1 mit Anfrage“ aus 1 erfolgen.
  • Demgemäß kann in einer diesem entsprechenden „Variante 3 mit einmaliger Synchronisierung“ (VAR 3) bereits direkt eine Datenbereitstellung DB im Haupt-Steuergerät 110 erfolgen und es wird dann analog dem obigen Fall der „Variante 1 mit Anfrage“ wieder über den (vorliegend dann einzig aktiven) zweiten Verbindungskanal 12 zunächst ein Standardwert zur Synchronisation übertragen als Synchronisierungsübertragung vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120. Dies stellt dann allerdings im Unterschied zum obigen Fall der „Variante 1 mit Anfrage“ und „Variante 2 ohne Anfrage“ den einzigen Synchronisierungsschritt dar.
  • Anschließend erfolgt eine beliebig ohne Synchronisierungsschritt wiederholbare interne Datenübertragung DA2 vom Haupt-Steuergerät 110 zum Kommunikations-Steuergerät 120 über den zweiten Verbindungskanal 12 und anschließend eine externe Datenübertragung DA1 vom Kommunikations-Steuergerät 120 zum Netz 1. Diese Vorgänge der Datenbereitstellung DB, interne Datenübertragung DA2 und externe Datenübertragung DA1 können dann beliebig wiederholt werden, was in 4C (VAR 3) durch die Punktefolge dargestellt ist.
  • Bezugszeichenliste
    • 100
    Steuereinrichtung
    110
    Haupt-Steuergerät
    120
    Kommunikations-Steuergerät (COM)
    1
    externes Netzwerk (NET)
    140
    Speicherverwaltungseinheit, z. B. Memory Protection Unit
    150
    Speicher
    151
    zugangsbeschränkter sicherheitsrelevanter Speicherbereich (MEM) ( separat definierter, insbesondere zugangsoffener,
    152
    Speicherbereich (sep MEM), für z. B. offene Daten
    FW
    FireWall
    10
    elektrische Verbindung
    11, 12
    unidirektionale Verbindungen
    170
    Projektierungsrechner
    20, 20A, 20B
    Projektierungsschnittstelle
    190
    Schnittstelle
    191A, 191B
    Eingangs-Schnittstelle
    192A 192B
    Ausgangs-Schnittstelle
    195
    Wandler, insbesondere A/D - bzw. D/A-Wandler
    200
    Antriebs- und/oder Anlagensystem
    210
    Motor
    300
    Ablaufschema
    410, 420, 430, 440, 450, 460
    Verfahrensschritte
    480
    Kommunikations-Protokoll
    DA1, DA2
    Datenanfrage extern, intern
    DÜ1, DÜ2
    Datenübertragung extern, intern
    Synchronisierungsübertragung, intern
    DB
    Datenbereitstellung
    VAR1, VAR2, VAR3
    Varianten

Claims (22)

  1. Steuereinrichtung (100) zur Anbindung eines Haupt-Steuergerätes (110) in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk (1), insbesondere ein Internet, ausgebildet zur manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät (110) und dem externen Netzwerk (1), wobei die Steuereinrichtung (100) aufweist: - ein Haupt-Steuergerät (110) mit einem sicherheitsrelevanten Speicher (150) und einer Speicherverwaltungseinheit (140) für den Speicher (150), dadurch gekennzeichnet, dass der Speicher (150) einen zugangsbeschränkten sicherheitsrelevanten Speicherbereich (151) und einen, separat definierten, sicherheitsrelevanten Speicherbereich (152) aufweist, insbesondere einen separat definierten, zugangsoffenen sicherheitsrelevanten Speicherbereich (152) für offene Daten aufweist, weiter gekennzeichnet durch - ein über eine elektrische Verbindung (10) mit dem Haupt-Steuergerät (110) datenübertragbar verbundenes separates Kommunikations-Steuergerät (120), wobei, insbesondere zur Durchführung einer Projektierung und/oder Konfiguration, - die Datenübertragung zwischen dem externen Netzwerk (1) und dem Haupt-Steuergerät (110) ausschließlich über das separate Kommunikations-Steuergerät (120) und zwischen dem Kommunikations-Steuergerät (120) und dem Haupt-Steuergerät (110) über die elektrische Verbindung (10) erfolgt, wobei - eine dem Kommunikations-Steuergerät (120) und dem Haupt-Steuergerät (110) zugeordnete Schnittstelle (190) der elektrischen Verbindung vorgesehen ist, die ausgebildet ist, insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, ausschließlich auf den separat definierten, sicherheitsrelevanten Speicherbereich (152) des Haupt-Steuergerätes zuzugreifen.
  2. Steuereinrichtung (100) gemäß Anspruch 1, dadurch gekennzeichnet, dass eine Steuerung der Schnittstelle (190) über das Kommunikations-Steuergerät (120), insbesondere zur Durchführung der Projektierung und/oder der Konfiguration, unterbunden ist und/oder die Schnittstelle (190) alternativ ansteuerbar ist von wenigstens einem digitalen Ein- und/oder Ausgang.
  3. Steuereinrichtung (100) gemäß Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Schnittstelle (190) angesteuert wird von einer Anzahl Wandler (195).
  4. Steuereinrichtung (100) gemäß Anspruch 3, dadurch gekennzeichnet, dass ein Wandler (195) der Anzahl Wandler, insbesondere jeder Wandler der Anzahl Wandler (195), ein Analog/DigitalWandler oder ein Digital/Analog-Wandler ist, und/oder die elektrische Verbindung (10) zwischen dem Haupt-Steuergerät (110) und dem Kommunikations-Steuergerät (120) digital ausgeführt ist.
  5. Steuereinrichtung (100) gemäß einem der vorherigen Ansprüche, gekennzeichnet durch einen Projektierungsrechner (170) mittels dem in dem separat definierten Speicherbereich (152) hinterlegte, durch das Kommunikations-Steuergerät auslesbare Daten, einmalig vorab über eine Projektierungsschnittstelle (20) mittels Projektierungsrechner (170) festlegbar sind.
  6. Steuereinrichtung (100) gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein Projektierungsrechner (170) über eine Projektierungsschnittstelle (20, 20A) mit dem Haupt-Steuergerät (110) und eine weitere Projektierungsschnittstelle (20, 20B) mit dem Kommunikations-Steuergerät (120) verbunden werden kann, und - zur Durchführung der Projektierung und/oder Konfiguration verbunden ist mit dem Haupt-Steuergerät (110) und/oder Kommunikations-Steuergerät (120), und/oder - nach der Durchführung der Projektierung und/oder Konfiguration getrennt ist vom Haupt-Steuergerät (110) und/oder Kommunikations-Steuergerät (120), insbesondere entfernt ist.
  7. Steuereinrichtung (100) gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Schnittstelle (190) für eine unidirektionale oder eine bidirektionale Datenübertragung mittels einem ersten und/oder zweiten separaten unidirektionalen elektrischen Verbindungskanal (11, 12) jeweils eine dem ersten und zweiten Verbindungskanal (11, 12) zugeordnete Schnittstelle (190A, 190B) aufweist.
  8. Steuereinrichtung (100) gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Schnittstelle (190) eine kommunikationsseitige und steuerseitige Eingangs-Schnittstelle (191B, 191A) und eine steuerseitige und kommunikationsseitige Ausgangs-Schnittstelle (192A, 192B) aufweist.
  9. Steuereinrichtung (100) gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass für die Schnittstelle (190) jeweils ein Wandler (195) für jeweils eine der Eingangs-Schnittstellen (191A, 191B) und jeweils ein Wandler (195) für eine der Ausgangs-Schnittstellen (192A, 192B) vorgesehen ist.
  10. Steuereinrichtung (100) gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der separat definierte, sicherheitsrelevanten Speicherbereich (152) variabel aber fest vorbestimmt ist und/oder durch eine Speicherverwaltungseinheit (140), insbesondere einen DRP-Prozessor (Dynamisch rekonfigurierbarer Prozessor), geschützt ist.
  11. Steuereinrichtung (100) gemäß einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die wenigstens eine Speicherverwaltungseinheit (140) den Zugriff auf den Speicher (150) derart reglementiert, dass ein Zugriff von dem Kommunikations-Steuergerät (120) nur auf den separat definierten Speicherbereich (152) zugelassen ist und/oder auf den zugangsbeschränkten Speicherbereich (151) außerhalb des separat definierten Speicherbereichs (152) unterbunden ist.
  12. Antriebs- und/oder Anlagensystem (200), insbesondere mit einer Brennkraftmaschine, mit einem sicherheitsrelevanten Bereich, in dem die Steuereinrichtung (100) gemäß einem der Ansprüche 1 bis 11 angeordnet ist.
  13. Verfahren (300) zur Anbindung eines Haupt-Steuergerätes (110) in einem sicherheitsrelevanten Bereich, insbesondere in einem sicherheitsrelevanten Bereich eines Antriebs- und/oder Anlagensystems, an ein externes Netzwerk (1), insbesondere ein Internet, unter manipulationssicheren Datenübertragung von Daten zwischen dem Haupt-Steuergerät (110) und dem externen Netzwerk (1), mit einer Steuereinrichtung (100) nach einem der Ansprüche 1 bis 11.
  14. Verfahren (300) nach Anspruch 13, dadurch gekennzeichnet, dass auslesbare Daten in der Projektierungsphase variabel wählbar festgelegt werden und/oder ein zeitlicher Abstand zwischen Ausleseoperationen in einer Projektierungsphase frei gewählt werden.
  15. Verfahren (300) nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass eine Art von auslesbaren Daten, deren Reihenfolge und/oder der zeitliche Abstand zwischen den Ausleseoperationen, in der Projektierungsphase dem Kommunikations-Steuergerät (120) über eine weitere Projektierungsschnittstelle (20) mittels dem Projektierungsrechner (170) übermittelt werden.
  16. Verfahren (300) nach einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, dass auslesbaren Daten, deren Reihenfolge sowie der zeitliche Abstand zwischen Ausleseoperationen, in der Projektierungsphase durch eine vertrauenswürde Stelle fertigungsintern festgelegt werden.
  17. Verfahren (300) nach einem der Ansprüche 13 bis 16, dadurch gekennzeichnet, dass - eine serielle Übertragung (440) der Daten-Abfrage zwischen dem Kommunikations-Steuergerät (120) und dem Haupt-Steuergerät (110) über eine Schnittstelle (190) einer elektrischen Verbindung (10), entsprechend eines Kommunikations-Protokolls (480), dergestalt erfolgt, dass erst ein Standardwert zur Synchronisation übertragen wird, gefolgt von der Übertragung eines Datenwertes; und/oder - eine serielle Übertragung (460) der abgefragten Daten zwischen dem Haupt-Steuergerät (110) und dem Kommunikations-Steuergerät (120) über wenigstens eine Schnittstelle (190) wenigstens einer elektrischen Verbindung (10), entsprechend eines Kommunikations-Protokolls (480), dergestalt erfolgt, dass erst ein Standardwert zur Synchronisation übertragen wird, gefolgt von der Übertragung eines Datenwertes.
  18. Verfahren (300) nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, dass die Schnittstelle (190) eine dem zweiten Verbindungskanal (12) zugeordnete Schnittstelle (190B) mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle (192A, 192B) aufweist, insbesondere nur diese, wobei für die Schnittstelle (190) jeweils ein Wandler (195) für jeweils eine der Ausgangs-Schnittstellen (192A, 192B) vorgesehen ist.
  19. Verfahren (300) nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, dass die Schnittstelle (190) eine dem zweiten Verbindungskanal (12) zugeordnete Schnittstelle (190B) und optional zusätzlich eine dem ersten Verbindungskanal (11) zugeordnete Schnittstelle (190A) mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle (191B, 191A) aufweist, wobei für die Schnittstelle (190) jeweils ein Wandler (195) für jeweils eine der Eingangs-Schnittstellen (191A, 191B) und jeweils ein Wandler (195) für eine der Ausgangs-Schnittstellen (192A, 192B) vorgesehen ist.
  20. Verfahren (300) nach einem der Ansprüche 13 bis 19, dadurch gekennzeichnet, dass die Schnittstelle (190) extern gesteuert wird (Var1, DA1, DA2), über eine dem ersten Verbindungskanal (11) zugeordnete Schnittstelle (190A) mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle (191B, 191A).
  21. Verfahren (300) nach einem der Ansprüche 13 bis 19, dadurch gekennzeichnet, dass die Schnittstelle (190) - ungesteuert ist und eine kontinuierliche Datenübertragung über die dem zweiten Verbindungskanal (12) zugeordnete Schnittstelle (190B) mit einer steuerseitigen und kommunikationsseitigen Ausgangs-Schnittstelle (192A, 192B) erfolgt (Var2, SÜ, DÜ2), und/oder - eine dem ersten Verbindungskanal (11) zugeordnete Schnittstelle (190A) mit einer kommunikationsseitigen und steuerseitigen Eingangs-Schnittstelle (191B, 191A) fehlt oder eine zusätzliche kommunikationsseitige und steuerseitige Eingangs-Schnittstelle (191B, 191A) inaktiv ist.
  22. Verfahren (300) nach einem der Ansprüche 13 bis 19, dadurch gekennzeichnet, dass die Schnittstelle (190) einmalig intern synchronisiert wird (Var3, SÜ).
DE102019111949.9A 2019-05-08 2019-05-08 Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich Withdrawn DE102019111949A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019111949.9A DE102019111949A1 (de) 2019-05-08 2019-05-08 Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019111949.9A DE102019111949A1 (de) 2019-05-08 2019-05-08 Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich

Publications (1)

Publication Number Publication Date
DE102019111949A1 true DE102019111949A1 (de) 2020-11-12

Family

ID=72943554

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019111949.9A Withdrawn DE102019111949A1 (de) 2019-05-08 2019-05-08 Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich

Country Status (1)

Country Link
DE (1) DE102019111949A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078590A1 (en) * 2000-03-31 2004-04-22 Ellison Carl M. Controlling access to multiple memory zones in an isolated execution environment
US20130145066A1 (en) * 2011-12-02 2013-06-06 Microchip Technology Incorporated Analog-to-digital converter with early interrupt capability
US20180004953A1 (en) * 2016-06-30 2018-01-04 General Electric Company Secure industrial control platform
EP3462263A1 (de) * 2017-09-29 2019-04-03 Siemens Aktiengesellschaft Verfahren und anordnung zur überwachung des zustands einer produktionseinrichtung

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078590A1 (en) * 2000-03-31 2004-04-22 Ellison Carl M. Controlling access to multiple memory zones in an isolated execution environment
US20130145066A1 (en) * 2011-12-02 2013-06-06 Microchip Technology Incorporated Analog-to-digital converter with early interrupt capability
US20180004953A1 (en) * 2016-06-30 2018-01-04 General Electric Company Secure industrial control platform
EP3462263A1 (de) * 2017-09-29 2019-04-03 Siemens Aktiengesellschaft Verfahren und anordnung zur überwachung des zustands einer produktionseinrichtung

Similar Documents

Publication Publication Date Title
EP3520350B1 (de) Manipulationssicheres speichern einer prozessgrösse in einem automatisierungssystem
DE19750662C2 (de) Prozessoreinheit für ein datenverarbeitungsgestütztes elektronisches Steuerungssystem in einem Kraftfahrzeug
EP3379447A1 (de) Verfahren und vorrichtung zum manipulationssicheren speichern von informationen bezüglich objektbezogener massnahmen
DE102006062555B4 (de) Verfahren zur Beobachtung eines Steuergeräts
DE10317390A1 (de) Datenübertragungseinrichtung und elektronische Steuereinheit
DE19860069B4 (de) Programmierbare Steuereinrichtung
EP3149710B1 (de) Fahrzeugdiagnosevorrichtung und datenübertragungsvorrichtung
DE3501194C2 (de) Verfahren und Vorrichtung zum Datenaustausch zwischen Mikroprozessoren
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
EP3291094A1 (de) Prozessorsystem und verfahren zur überwachung von prozessoren
EP0862763B1 (de) Simulatoreinheit zum simulieren einer peripherieeinheit einer modular aufgebauten speicherprogrammierbaren steuerung
WO1996016366A1 (de) Anordnung mit master- und slave-einheiten
EP3732608B1 (de) Verfahren zur rechnergestützten parametrierung eines technischen systems
DE102014016180A1 (de) Verfahren und Einrichtung zur Verwaltung und Konfiguration von Feldgeräten einer Automatisierungsanlage
DE102019111949A1 (de) Steuereinrichtung, Antriebs- und/oder Anlagensystem und Verfahren zur Anbindung eines Haupt-Steuergerätes in einem sicherheitsrelevanten Bereich
EP3246778B1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
WO1999048021A2 (de) Computersystem für kraftfahrzeuge
EP3622403A2 (de) Verfahren zur computergestützten, automatisierten überprüfung von anforderungen
DE102016008957A1 (de) Direkter Zugriff auf Bussignale in einem Kraftfahrzeug
EP3399375B1 (de) Verfahren zur konfiguration von steuergeräten
AT522276A1 (de) Vorrichtung und Verfahren zur Integritätsprüfung von Sensordatenströmen
DE102018100879A1 (de) IoT-Computersystem sowie Anordnung mit einem solchen IoT-Computersystem und einem externen System
EP4193505B1 (de) Netzwerk zur datenübertragung
DE102004008869A1 (de) Steuergerät und Computerprogramm zum Steuern eines Antriebsaggregates eines Fahrzeugs
EP3523728B1 (de) Befehls- und meldesystem für die automatisierungstechnik

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012240000

Ipc: H04L0041000000

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee