-
EINFÜHRUNG
-
Die Offenbarung bezieht sich auf die Benachrichtigung über einen Steuerungsfehler unter Verwendung eines Nachrichten-Authentifizierungscodes (engl. message authentication code, MAC).
-
Multi-Controller-Systeme, also Systeme mit mehreren Steuerungen, verteilen die Funktionalität auf mehrere Controller (Steuerungen), die miteinander kommunizieren. Ein Fahrzeug (z.B. PKW, LKW, Landmaschinen, Baumaschinen, automatisiertes Fertigungswerkzeug) ist ein Beispiel für ein Multi-Controller-System. Die Kommunikation zwischen den mehreren Steuerungen ermöglicht den ordnungsgemäßen Betrieb des gesamten Multi-Controller-Systems. Wenn eine der Steuerungen einen Fehler aufweist, kann der Betrieb des Multi-Controller-Systems negativ beeinflusst werden. Dementsprechend ist es wünschenswert, eine Benachrichtigung über einen Steuerungsfehler über einen MAC bereitzustellen.
-
BESCHREIBUNG
-
In einer exemplarischen Ausführungsform beinhaltet ein Verfahren zum Bereitstellen einer Benachrichtigung über einen Steuerungsfehler in einem Multi-Controller-System unter Verwendung eines Nachrichten-Authentifizierungscodes (MAC) das Empfangen einer Fehlermeldung von einem Monitor, der eine erste Steuerung unter den Steuerungen des Multi-Controller-Systems überwacht, an einer ersten Sicherheitsperipherie. Die Fehlermeldung zeigt an, dass die erste Steuerung defekt ist. Das Verfahren beinhaltet auch das Empfangen eines Schlüsselindexes von der ersten Steuerung an der ersten Sicherheitsperipherie als Anforderung für einen ersten korrekten MAC und das Bereitstellen eines fehlerhaften MAC an die erste Steuerung von der ersten Sicherheitsperipherie basierend auf der Fehlermeldung. Der fehlerhafte MAC unterscheidet sich von dem ersten korrekten MAC, der durch den Schlüsselindex der ersten Steuerung angezeigt wird. Eine zweite Steuerung unter den Steuerungen des Multi-Controller-Systems empfängt eine Nachricht von der ersten Steuerung. Die Meldung enthält den defekten MAC. Die zweite Steuerung bestimmt, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist, da der fehlerhafte MAC nicht mit dem ersten korrekten MAC übereinstimmt, der von der zweiten Steuerung erwartet wird.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Anfordern eines zweiten korrekten MAC durch die zweite Steuerung von einer zweiten Sicherheitsperipherie, nachdem die Nachricht von der fehlerhaften Steuerung empfangen wurde. Der zweite richtige MAC ist der gleiche MAC wie der erste richtige MAC.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Erhalten des zweiten korrekten MAC aus der zweiten Sicherheitsperipherie an der zweiten Steuerung.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Vergleichen des fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem zweiten korrekten MAC an der zweiten Steuerung.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Anfordern eines Sicherheitsmodus-MAC durch die zweite Steuerung von der zweiten Sicherheitsperipherie nach dem Bestimmen, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Empfangen des Sicherheitsmodus-MAC an der zweiten Steuerung von der zweiten Sicherheitsperipherie.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Vergleichen des fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem Sicherheitsmodus-MAC an der zweiten Steuerung.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch, dass die zweite Steuerung Fehlercodes an eine zentrale Steuerung ausgibt, basierend darauf, dass der fehlerhafte MAC mit dem Sicherheitsmodus-MAC übereinstimmt, um der zentralen Steuerung mitzuteilen, dass die erste Steuerung fehlerhaft ist.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch, dass die erste Steuerung regelmäßige Zustandsmeldungen an den Monitor ausgibt, bevor die erste Steuerung defekt wird.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch, dass der Monitor die Fehlermeldung an die erste Sicherheitsperipherie ausgibt, nachdem die erste Steuerung die Ausgabe der regelmäßigen Zustandsmeldungen an den Monitor beendet hat.
-
In einer weiteren exemplarischen Ausführungsform beinhaltet ein Multi-Controller-System eine erste Steuerung unter den Steuerungen des Multi-Controller-Systems und einen Monitor, um regelmäßige Zustandsmeldungen von der ersten Steuerung zu empfangen und eine Fehlermeldung auszusenden, nachdem die erste Steuerung die Ausgabe der regelmäßigen Zustandsmeldungen an den Monitor beendet hat. Eine erste Sicherheitsperipherie erhält die Fehlermeldung vom Monitor. Die Fehlermeldung zeigt an, dass die erste Steuerung defekt ist. Die erste Sicherheitsperipherie erhält ebenfalls einen Schlüsselindex von der ersten Steuerung als Anforderung für einen ersten korrekten MAC und stellt der ersten Steuerung basierend auf der Fehlermeldung einen fehlerhaften MAC zur Verfügung. Der fehlerhafte MAC unterscheidet sich von dem ersten korrekten MAC, der von der ersten Steuerung angefordert wurde. Eine zweite Steuerung unter den Steuerungen des Multi-Controller-Systems empfängt eine Nachricht von der ersten Steuerung, die den fehlerhaften MAC beinhaltet und bestimmt, dass der Nachricht von der ersten Steuerung nicht vertraut werden kann, basierend darauf, dass der fehlerhafte MAC nicht dem ersten korrekten MAC entspricht, der von der zweiten Steuerung erwartet wird.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das System auch eine zweite Sicherheitsperipherie. Die zweite Steuerung fordert von der zweiten Sicherheitsperipherie einen zweiten korrekten MAC an, nachdem sie die Nachricht von der fehlerhaften Steuerung empfangen hat. Der zweite richtige MAC ist der gleiche MAC wie der erste richtige MAC.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale empfängt die zweite Steuerung den zweiten korrekten MAC von der zweiten Sicherheitsperipherie.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale vergleicht die zweite Steuerung den defekten MAC in der Meldung von der ersten Steuerung mit dem zweiten korrekten MAC.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale fordert die zweite Steuerung von der zweiten Sicherheitsperipherie einen Sicherheitsmodus-MAC an, nachdem sie bestimmt hat, dass die Nachricht der ersten Steuerung nicht vertrauenswürdig ist.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale empfängt die zweite Steuerung den Sicherheitsmodus-MAC von der zweiten Sicherheitsperipherie.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale vergleicht die zweite Steuerung den defekten MAC in der Meldung von der ersten Steuerung mit dem Sicherheitsmodus-MAC.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale gibt die zweite Steuerung Fehlercodes an eine zentrale Steuerung aus, basierend darauf, dass der fehlerhafte MAC dem Sicherheitsmodus-MAC entspricht, um die zentrale Steuerung darüber zu informieren, dass die erste Steuerung fehlerhaft ist.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale ist das Multi-Controller-System Teil eines Fahrzeugs.
-
Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale werden ein oder mehrere Vorgänge des Fahrzeugs basierend auf der Kommunikation zwischen den Steuerungen des Multi-Controller-Systems gesteuert.
-
Die vorgenannten Merkmale und Vorteile sowie weitere Merkmale und Vorteile der Offenbarung ergeben sich aus der folgenden detaillierten Beschreibung im Zusammenhang mit den beigefügten Zeichnungen.
-
Figurenliste
-
Weitere Merkmale, Vorteile und Details erscheinen lediglich exemplarisch in der folgenden Detailbeschreibung, die sich auf die Zeichnungen bezieht:
- 1 zeigt ein Blockdiagramm der relevanten Aspekte eines Fahrzeugs, die eine Benachrichtigung über einen Steuerungsfehler unter Verwendung eines Nachrichten-Authentifizierungscodes (MAC) beinhalten;
- 2 ist ein Blockdiagramm, das verwendet wird, um die Meldung eines Steuerungsfehlers unter Verwendung eines MAC gemäß einer oder mehrerer Ausführungsformen zu erklären; und
- 3 zeigt einen Nachrichtenfluss, der an der Durchführung der Benachrichtigung über einen Steuerungsfehler unter Verwendung eines MAC gemäß einer oder mehrerer Ausführungsformen beteiligt ist.
-
DETAILLIERTE BESCHREIBUNG
-
Die folgende Beschreibung ist lediglich exemplarischer Natur und soll die vorliegende Offenbarung, ihre Anwendung oder Verwendung nicht einschränken. Es ist zu verstehen, dass in den Zeichnungen entsprechende Bezugszeichen gleichartige oder entsprechende Teile und Merkmale angeben.
-
Wie bereits erwähnt, erfordert ein Multi-Controller-System, wie ein Fahrzeug, typischerweise eine Kommunikation zwischen den Steuerungen für den ordnungsgemäßen Betrieb. Wenn eine der Steuerungen einen Fehler aufweist, müssen die anderen Steuerungen benachrichtigt werden. Dies liegt daran, dass der fehlerhafte Controller anderen Controllern möglicherweise falsche Daten zur Verfügung stellt, was zu unsachgemäßem Betrieb oder sogar zu einer Gefahr führen kann. Ein früherer Ansatz zur Fehlererkennung bestand darin, dass eine fehlerhafte Steuerung die gesamte Kommunikation als Zeichen für einen fehlerhaften Betrieb stoppte. Während die fehlende Kommunikation jedoch andere Steuerungen auf den Fehler aufmerksam macht, verhindert sie auch die Kommunikation von Diagnosecodes von der fehlerhaften Steuerung oder Reparaturen an der fehlerhaften Steuerung, was die Diagnose oder Korrektur des Steuerungsbetriebs erleichtern kann.
-
Ausführungsformen der hierin beschriebenen Systeme und Verfahren beziehen sich auf die Benachrichtigung über einen Steuerungsfehler unter Verwendung eines MAC, wenn der fehlerhafte Controller eine verschlüsselte Kommunikation durchführt. Ein Fahrzeug beinhaltet beispielsweise eine Sicherheitsperipherie, um eine authentifizierte Kommunikation durch Steuerungen zu ermöglichen, die bestimmten sicherheitskritischen Funktionen zugeordnet sind (z.B. Motorsteuerung, Bremssteuerung). Die arithmetische Logikeinheit (engl. arithmetic logic unit, ALU) der Sicherheitsperipherie erzeugt einen MAC, der in die Kommunikation einbezogen wird. Wie detailliert beschrieben, kann dieser MAC verwendet werden, um einen Fehler anzuzeigen, so dass ein fehlerhafter Controller nicht die gesamte Kommunikation stoppen muss. Die Erkennung der fehleranzeigenden MAC durch andere Steuerungen ermöglicht eine gezielte Laufzeitreaktion der anderen Steuerungen sowie die Diagnose und Behebung der Störung.
-
Gemäß einer exemplarischen Ausführungsform zeigt 1 ein Blockdiagramm der relevanten Aspekte eines Fahrzeugs 100, bei dem ein Steuerungsfehler über einen MAC, der eine digitale Signatur ist, gemeldet wird. Das in 1 dargestellte exemplarische Fahrzeug 100 ist ein Automobil 101. Das Fahrzeug 100 wird mit mehreren Steuerungen 110a bis 110n (allgemein 110 genannt) dargestellt, die auch als elektronische Steuereinheiten (engl. electronic control units, ECUs) bezeichnet werden können. Jede Steuerung 110 kann, wie dargestellt, einer Sicherheitsperipherie 120 zugeordnet sein. Gemäß einer alternativen Ausführungsform können die Steuerungen 110 mit einer einzigen Sicherheitsperipherie 120 kommunizieren. Jede Sicherheitsperipherie 120 beinhaltet eine ALU 210 (2) und andere Komponenten zur Bereitstellung von Authentifizierungscodes (d.h. MACs), wie weiter unter Bezugnahme auf 2 erläutert. Das Fahrzeug kann auch Sensoren 130 (z.B. Kameras, Radarsysteme, Lidarsysteme) beinhalten, die mit einer oder mehreren Steuerungen 110 kommunizieren. Einige der Controller 110 sind mit entsprechenden Monitoren 115a bis 115m (allgemein als 115 bezeichnet) dargestellt. Während in 1 der Einfachheit halber nur die Verbindung zwischen einer bestimmten Steuerung 110 und dem entsprechenden Monitor 115 dargestellt ist, kann jede der für das Fahrzeug 101 dargestellten Komponenten über Kabel oder drahtlos kommunizieren. Darüber hinaus sind die Positionen für die in 1 dargestellten Komponenten nur exemplarisch, und die Steuerungen 110 oder Sensoren 130 könnten an verschiedenen Positionen des Automobils 101 gemäß alternativer Ausführungsformen angeordnet sein.
-
Jede Steuerung 110 des Fahrzeugs 101 kann nach einem Automotive Safety Integrity Level (ASIL) kategorisiert werden. So kann beispielsweise eine Motorsteuerung 110 oder eine Bremssteuerung 110 hohe ASIL-Systeme sein, da sie die Sicherheit des Betriebs des Fahrzeugs 101 beeinträchtigen. Andererseits kann eine Infotainmentsteuerung 110 ein niedriges ASIL-System sein oder überhaupt keine ASIL-Stufe haben. Eine Fenstersteuerung 110 kann als mittleres ASIL-System betrachtet werden. Im Allgemeinen sind höhere ASIL-Systeme mit mehr Fehlererkennung über einen Monitor 115 oder ein anderes System verbunden. In dem in 1 dargestellten exemplarischen Fahrzeug 101 führt jeder Monitor 115 eine Fehlererkennung und Reaktion für die entsprechende Steuerung 110 durch. So führt beispielsweise der Monitor 115a für die Steuerung 110a eine Fehlererkennung und Reaktion durch.
-
2 ist ein Blockdiagramm zur Erläuterung der Meldung eines Steuerungsfehlers unter Verwendung eines MAC gemäß einer oder mehreren Ausführungsformen. Es werden zwei Controller 110A und 110X gezeigt. Jede Steuerung 110A und 110X ist mit einem entsprechenden Monitor 115A und 115X und einer entsprechenden Sicherheitsperipherie 120A und 120X gekoppelt. Jede Steuerung 110A, 110X beinhaltet Verarbeitungsschaltungen, die eine anwendungsspezifische integrierte Schaltung (ASIC), eine elektronische Schaltung, einen Prozessor 220A, 220X (allgemein als 220 bezeichnet) (gemeinsam, dediziert oder Gruppe) samt Speicher 230A, 230X (allgemein als 230 bezeichnet), der ein oder mehrere Software- oder Firmwareprogramme ausführt, eine kombinatorische Logikschaltung und/oder andere geeignete Komponenten beinhalten können, die die beschriebene Funktionalität bereitstellen. Die Sicherheitsperipheriegeräte 120A, 120X beinhalten die ALU 210, die MACs generiert. Die Sicherheitsperipheriegeräte 120A, 120X beinhalten Verarbeitungsschaltungen wie die Steuerungen 110. Die ALU 210 kann zusätzlich zu oder teilweise zu einem anderen Prozessor der Verarbeitungsschaltung sein, der auch Speicher 215 beinhalten kann. Eine Steuerung 110 und die entsprechende Sicherheitsperipherie 120 können Teil derselben integrierten Schaltung (d.h. eines Chips) sein und sich auf derselben Leiterplatte (PCB) wie der entsprechende Monitor 115 befinden.
-
Unter der Annahme, dass die Steuerung 110A zu Erklärungszwecken eine Kommunikation zur Steuerung 110X sendet, wählt die Steuerung 110A einen in der Sicherheitsperipherie 120A gespeicherten Schlüssel aus, indem sie einen entsprechenden Schlüsselindex und die mit Authentifizierung zu sendenden Daten an die Sicherheitsperipherie 120A sendet. Die Steuerung 110A wird dann mit einer Signatur, einem MAC C1, von der Sicherheitsperipherie 120A bedient. Die Steuerung 110A sendet dann eine Nachricht mit den Daten und dem MAC C1 an die Steuerung 110X. Wenn die Steuerung 110X die Kommunikation von der Steuerung 110A empfängt, sendet sie einen Schlüsselindex, der den Daten in der Nachricht entspricht, und den Daten an die Sicherheitsperipherie 120X, um MAC C2 zu erhalten. Die Steuerung 110X vergleicht MAC C1, der in der Kommunikation von der Steuerung 110A empfangen wurde, mit MAC C2, der von der Sicherheitsperipherie 120 erhalten wurde. Wenn MAC C1 und MAC C2 gleich sind, dann werden die Daten in der Nachricht von der Steuerung 110A authentifiziert, und die Steuerung 110X weiß, dass sie den von der Steuerung 110A übermittelten Daten vertrauen kann.
-
Gemäß einer oder mehreren Ausführungsformen erhält der Monitor 115A eine regelmäßige (z.B. periodische) Kommunikation von der Steuerung 110A. Wenn die Steuerung 110A einen Fehler aufweist, beendet sie die Kommunikation mit dem Monitor 115A. Im Gegensatz zu bestehenden Systemen stellt die Steuerung 110A gemäß einer oder mehrerer Ausführungsformen die Kommunikation mit dem entsprechenden Monitor 115A nur dann ein, wenn sie einen Fehler erkennt, setzt aber eine andere Kommunikation fort, wie z.B. mit der Steuerung 110X. Wenn die Steuerung 110A die Kommunikation mit dem entsprechenden Monitor 115A einstellt, benachrichtigt der Monitor 115A wiederum die Sicherheitsperipherie 120A über den Fehler in der Steuerung 110A. Dies führt dazu, dass die Sicherheitsperipherie 120A (insbesondere die ALU 210A) einen vordefinierten Schlüssel verwendet, der sich von dem Schlüssel unterscheidet, der dem Schlüsselindex der Steuerung 110A entspricht, und der Steuerung 110A einen fehlerhaften MAC C1' (3) liefert. Wenn die Steuerung 110X anschließend die Kommunikation von der Steuerung 110A mit dem fehlerhaften MAC C1' empfängt, stellt sie fest, dass der MAC C2 nicht mit dem fehlerhaften MAC C1' übereinstimmt, der von der Steuerung 110A übermittelt wurde. Dies zeigt einen Fehler in der von der Steuerung 110A an der Steuerung 110X empfangenen Nachricht an. Eine Reaktion der Steuerung 110X auf das Erlernen eines Fehlers in der Steuerung 110A ist, die Daten in der Nachricht von der Steuerung 110A nicht mehr zu verwenden.
-
Gemäß einer zusätzlichen oder alternativen Ausführungsform, wenn die Sicherheitsperipherie 120A vom Monitor 115A Informationen darüber erhält, dass ein Fehler in der Steuerung 110A vorliegt, bietet die Sicherheitsperipherie 120A einen Sicherheitsmodus-MAC C1' und nicht nur irgendeinen fehlerhaften MAC. Der Sicherheitsmodus-MAC C1', der von der Sicherheitsperipherie 120A unter Verwendung des vordefinierten Schlüssels erzeugt wird, der sich von dem Schlüssel unterscheidet, der dem Schlüsselindex der Steuerung 110A entspricht, ist beispielsweise ein spezifischer vordefinierter MAC und nicht nur ein MAC C1 mit einem darin eingeführten Fehler. Nach dem Empfangen der Kommunikation von der Steuerung 110A mit dem MAC C1', nachdem festgestellt wurde, dass MAC C1' nicht mit MAC C2 übereinstimmt, kann die Steuerung 110X der Sicherheitsperipherie 120X einen Schlüsselindex zur Verfügung stellen, der einem Sicherheitsschlüssel zugeordnet ist, um einen Sicherheitsmodus-MAC C2' zu erhalten. Die Steuerung 110X kann dann den von der Steuerung 110A empfangenen Sicherheitsmodus-MAC C1' mit dem Sicherheitsmodus-MAC C2' vergleichen. Wenn es eine Übereinstimmung gibt, dann überprüft die Steuerung 110X, ob beispielsweise ein Fehler in der Steuerung 110A und nicht ein Problem mit korrupten Daten vorliegt. Die Steuerung 110X kann dann beispielsweise Fehlercodes senden, um den Fehler in der Steuerung 110A an eine zentrale Steuerung 110 anzuzeigen. Die zentrale Steuerung 110 kann eine beliebige der Steuerungen 110 oder eine zusätzliche Steuerung 110 sein, die Managementfunktionen für die anderen Steuerungen 110 übernimmt. Die Fehlermeldung an die zentrale Steuerung 110 kann zu einer Diagnose führen und die Steuerung 110A reparieren.
-
3 zeigt einen Nachrichtenfluss, der an der Durchführung der Benachrichtigung über einen Steuerungsfehler unter Verwendung eines MAC gemäß einer oder mehrerer Ausführungsformen beteiligt ist. Die Steuerung 110A sendet einen Schlüsselindex k1 zusammen mit den Daten D an die Sicherheitsperipherie 120A und die Sicherheitsperipherie 120A sendet MAC C1 an die Steuerung 110A zurück. Beim Empfangen des MAC C1 von der Sicherheitsperipherie 120A sendet die Steuerung 110A Daten D und den MAC C1 an die Steuerung 110X. Beim Empfangen der Nachricht mit den Daten D und MAC C1 sendet die Steuerung 110X einen Schlüsselindex k2 und die Daten D an die Sicherheitsperipherie 120X und erhält MAC C2 von der Sicherheitsperipherie 120X. Die Steuerung 110X vergleicht MAC C1 und MAC C2, um festzustellen, ob sie identisch sind. Wenn ja, kann die Steuerung 110X den Daten D vertrauen und sie bei Bedarf verwenden.
-
Wie 3 anzeigt, sendet die Steuerung 110A auch periodisch Zustandsmeldungen H an einen entsprechenden Monitor 115A. Wenn ein Fehler in der Steuerung 110A auftritt, werden die Zustandsmeldungen H an den Monitor 115A beendet. Das verursacht, dass der Monitor 115A eine Fehleranzeige F an die Sicherheitsperipherie 120A sendet. Wenn die fehlerhafte Steuerung 110A anschließend einen Schlüsselindex k1 und Daten D als MAC-Anforderung an die Sicherheitsperipherie 120A sendet, sendet die Sicherheitsperipherie 120A, die vom Monitor 115A über den Fehler informiert wurde, MAC C1'. Gemäß einer exemplarischen Ausführungsform ist MAC C1' ein fehlerhafter MAC C1, der sich von dem MAC C1 unterscheidet, der basierend auf dem Schlüsselindex k1 erzeugt werden soll. Gemäß einer weiteren exemplarischen Ausführungsform unterscheidet sich MAC C1' nicht nur von dem MAC C1, der basierend auf dem Schlüsselindex k1 generiert werden soll, sondern ist auch ein spezifischer vordefinierter Sicherheitsmodus-MAC. Die Steuerung 110A sendet die Daten D und MAC C1' an die Steuerung 110X.
-
Beim Empfangen der Nachricht mit den Daten D und MAC C1' sendet die Steuerung 110X einen Schlüsselindex k2 und die Daten D an die Sicherheitsperipherie 120X und empfängt MAC C2, was der erwartete Code von der Steuerung 110A ist. Wie 3 anzeigt, vergleicht die Steuerung 110X den empfangenen MAC C1' mit dem MAC C2. Gemäß einer exemplarischen Ausführungsform, bei der MAC C1' ein fehlerhafter MAC ist, kann die Steuerung 110X die Verwendung der Daten D der Steuerung 110A einstellen. Gemäß einer zusätzlichen oder alternativen Ausführungsform, bei der MAC C1' nicht nur ein fehlerhafter MAC ist (d.h. sich von MAC C1 unterscheidet), sondern auch ein spezifischer Sicherheitsmodus-Mac, sendet die Steuerung 110X einen Sicherheitsmodus-Schlüsselindex k2' mit den Daten D an die Sicherheitsperipherie 120X und empfängt einen Sicherheitsmodus-MAC C2'. Wenn die Steuerung 110X bestimmt, dass MAC C1' und MAC C2' gleich sind, bestätigt die Steuerung 110X, dass ein Fehler in der Steuerung 110A vorliegt. Basierend auf dieser Bestätigung kann die Steuerung 110X zusätzliche Aktionen wie z.B. die Übertragung von Fehlercodes an eine zentrale Steuerung 110 durchführen.
-
Das Multi-Controller-System (z.B. Fahrzeug 100) wird verbessert, indem die Fehlererkennung zwischen den Steuerungen 110 deutlicher gemacht wird, als z.B. durch einen einfachen Kommunikationsabbruch. Darüber hinaus ermöglichen Ausführungsformen unter Verwendung des Sicherheitsmodus-MAC eine schnellere Diagnose und Reparatur fehlerhafter Steuerungen 110. Durch die Sicherstellung, dass die von einer defekten Steuerung 110 erzeugten Daten nicht verwendet werden, wird die Systemsicherheit gewährleistet. Handelt es sich bei dem System um ein Fahrzeug 100 (z.B. Automobil 101), stellen die hierin beschriebenen Ausführungsformen sicher, dass der Fahrzeugbetrieb (z.B. Sicherheitssysteme wie Kollisionsvermeidung, automatisierter Betrieb), der durch zwischen den Steuerungen 110 kommunizierte Daten gesteuert wird, nicht aufgrund fehlerhafter Daten beeinträchtigt wird.
-
Obwohl die vorstehende Offenbarung mit Bezug auf exemplarische Ausführungsformen beschrieben wurde, wird von den Fachleuten verstanden, dass verschiedene Änderungen vorgenommen und Äquivalente durch Elemente davon ersetzt werden können, ohne von ihrem Umfang abzuweichen. Darüber hinaus können viele Änderungen vorgenommen werden, um eine bestimmte Situation oder ein bestimmtes Material an die Lehren der Offenbarung anzupassen, ohne vom wesentlichen Umfang der Offenbarung abzuweichen. Daher ist beabsichtigt, dass sich die vorliegende Offenbarung nicht auf die einzelnen offenbarten Ausführungsformen beschränkt, sondern alle in den Anwendungsbereich fallenden Ausführungsformen umfasst.