-
Die Erfindung betrifft eine Vorrichtung zur Messung oder Generierung von Daten, ein Verfahren zur Sicherung eines erneuten Pairings einer derartigen Vorrichtung und ein Speichermedium für die Speicherung von Software zur Durchführung eines erfindungsgemäßen Verfahrens.
-
Die derzeit vielleicht wichtigste, quasi alle Technologiebereiche berührende und häufig als „Digitalisierung“ bezeichnete Entwicklung betrifft die Nutzung von Daten im großen Maßstab. Basis ist dabei die Messung oder Generierung von Daten, die im Internet bzw. der Cloud für Anwendungen - auch als Applikationen bezeichnet - bereitgestellt werden. Diese Anwendungen können dann z.B. der Überwachung, Steuerung oder Optimierungen von Geräten oder Systemen dienen.
-
Im Zuge dieser Entwicklung werden Vorrichtungen, die im industriellen oder privaten Einsatz sind, für die Übermittlung bzw. Übertragung von Daten ertüchtigt. Bei größeren Datenvolumina operiert man häufig mit dezidierten Knoten, an die diese Vorrichtungen ihre Daten senden und mittels derer dann diese Daten in der Cloud verfügbar gemacht werden. Diese Knoten werden auch als Datensammler (entsprechend dem Englischen „data collector“) oder Datenkonzentrator bezeichnet. Sie erlauben meist auch eine Anpassung der Datenströme nach Maßgabe von den Erfordernissen von Applikationen und den übertragungstechnischen Gegebenheiten.
-
Zum besseren Verständnis wird im Folgenden eine konkrete Situation dargestellt, bei der es um Niederspannungsschutzvorrichtungen geht, die für eine Kommunikation mit dem Kommunikationsprotokoll Zigbee ertüchtigt sind. Es sei aber schon an dieser Stelle darauf hingewiesen, dass die im Weiteren dargestellte Erfindung weder auf Geräte im Bereich der Niederspannungen noch auf das Protokoll Zigbee eingeschränkt ist.
-
Im Niederspannungsbereich werden verschiedene Vorrichtungen für den Schutz von Stromkreisen verwendet. Eine Kategorie betrifft den Leitungsschutz. Für die entsprechenden Vorrichtungen wird häufig die englische Abkürzung CP (circuit protection) verwendet, um diese Vorrichtungen zu charakterisieren. Dabei kann es sich um Schalter handeln, die nach Auslösung, z.B. bei Kurzschluss oder Überstrom, wieder eingeschaltet werden (beispielsweise ein sog. moulded circuit breaker oder MCB), oder um Sicherungen, die ersetzt werden müssen, wenn sie ausgelöst haben (z.B. Schmelzsicherung). Daneben gibt es weitere Schutzvorrichtungen, die bei anderen Fehlercharakteristiken auslösen, z.B. Fehlerstromschutzschalter (beispielsweise ein sogenanntes residual current device oder RCD) oder Brandschutzschalter (z.B. arc fault detection device oder AFDD). Im Folgenden werden alle diese und vergleichbare Vorrichtungen unter dem Begriff Niederspannungsschutzvorrichtung subsumiert.
-
Eine wichtige Entwicklung geht dahin, auch bei Niederspannungsschutzvorrichtungen anfallende Daten verfügbar zu machen, um die Kontroll- und Steuerungsmöglichkeiten zu erweitern. Dazu werden diese Vorrichtungen meist mit zusätzlichen Sensoren und obligatorisch mit einer Sendefunktion versehen. Dies wird im Folgenden anhand einer Schmelzsicherung näher erläutert (welche in der deutschen Anmeldung mit der Anmeldenummer
DE 20 2018 213 522.3 erstmals offenbart ist).
-
1 zeigt schematisch den prinzipiellen Aufbau einer Schmelzsicherung 1. Diese weist zwei Anschlusselemente 3 auf, welche aus einem elektrisch leitenden Werkstoff, beispielsweise Kupfer, bestehen. Die Anschlusselemente 3 sind mechanisch fest und dicht mit einem Schutzgehäuse 2 verbunden, welches aus einem festen, nichtleitenden und möglichst hitzebeständigen Werkstoff, beispielsweise aus einer Keramik, besteht. Das Schutzgehäuse 2 weist im Allgemeinen eine röhren- oder hohlzylinderförmige Grundform auf und ist nach außen druckdicht, beispielsweise mit Hilfe zweier Verschlusskappen 4, verschlossen. In der Schmelzsicherung 1 ist ein sogenannter Schmelzleiter 5 angeordnet, welcher die beiden Anschlusselemente 3 elektrisch leitend miteinander verbindet.
-
Der Schmelzleiter 5 besteht im Allgemeinen aus einem gut leitenden Werkstoff wie Kupfer oder Silber. Fließt ein Strom, der im Überlastbereich der Schmelzsicherung 1 liegt, so steigt die Temperatur im Inneren der Schmelzsicherung 1 stetig weiter an, bis der Schmelzpunkt des Schmelzleiters 5 überschritten wird und dieser durchschmilzt. Durch Reaktion von der Schmelze mit einem im Innenraum vorgesehenen Löschmittel kommt es zu einer Unterbrechung des Stromflusses zwischen den Anschlusselementen 3. Die Schmelzsicherung 1 weist neben dem Schutzgehäuse 2 ein weiteres Gehäuse 12 auf. In dem weiteren Gehäuse 12 ist eine Messvorrichtung 10 angeordnet, welche ein Sensorelement 11 zum Erfassen eines physikalischen Zustands-Messwertes der Schmelzsicherung 1 sowie eine Übertragungseinrichtung 13 zur Übertragung des Messwertes an einen außerhalb der Schmelzsicherung 1 angeordnete Empfangsvorrichtung (nicht dargestellt) aufweist. Das Sensorelement 11 ist vorliegend als Stromwandler zur Messung eines durch die Schmelzsicherung 1 fließenden elektrischen Stromes I ausgebildet; es kommen hierfür alternativ oder zusätzlich aber auch andere Sensorelemente, beispielsweise ein Hall-Sensor oder ein Temperatur-Sensor in Betracht.
-
Das Sensorelement 11 ist mit einer Verarbeitungseinrichtung 14 elektrisch leitend verbunden. Diese ist in dem in der Figur dargestellten Ausführungsbeispiel schematisch als Leiterplatte dargestellt, welche mit zur Verarbeitung des Messsignals geeigneten Bauelementen bestückt ist. Weiter ist eine Übertragungseinrichtung 13 vorgesehen, welche ebenso mit der als Leiterplatte dargestellten Verarbeitungseinrichtung 14 elektrisch leitend verbunden ist. Bei der Übertragungseinrichtung 13 handelt sich im Zuge dieses Beispiels um ein für den Übertragungsstandard Zigbee ausgestaltetes Kommunikationsmodul.
-
Für die Bereitstellung von Daten aus Niederspannungsschutzvorrichtungen wie der Schmelzsicherung aus 1 in der Cloud ist es sinnvoll, diese über eine Vorrichtung zu Aggregation von Daten aus einer Mehrzahl von Vorrichtungen zu realisieren. In 2 ist gezeigt, wie mehrere Niederspannungselemente (z.B. Niederspannungsschutzvorrichtungen bzw. Breaker) B1, B2, B3 und Bn drahtlos mit einem Datensammler bzw. Datenkonzentrator DC (DC steht für data collector) verbunden sind. Die Kommunikation läuft dabei über Zigbee. Über den Datensammler DC können dann unmittelbar oder mittelbar Daten für Applikationen in die Cloud gesendet werden. Durch den Datenkonzentrator kann die Bereitstellung von Daten in der Cloud flexibel z.B. bzgl. Einstellungen, Datenanpassungen und Sendeoptionen gestaltet werden.
-
Um eine gesicherte Kommunikation zwischen einem Datensammler und einer Niederspannungsschutzvorrichtung aufzubauen, wird ein Pairing der beiden Geräte durchgeführt. Z.B. bei einer Zigbee-Verbindung wird dabei ein Installationsschlüssel (installation key) über das Pairing-Verfahren (secure pairing) zwischen den beiden Geräten ausgetauscht. In einem weiteren Schritt wird der Installationsschlüssel durch einen neuen Schlüssel ersetzt. Dieser neue Schlüssel wird dann in der Niederspannungsschutzvorrichtung gespeichert.
-
Das Protokoll Zigbee unterstützt zwei unterschiedliche Sicherheitsmodelle, ein zentrales Sicherheitsmodell (centralized security model) und ein verteiltes Sicherheitsmodell (distributed security model). Das zentrale Sicherheitsmodell agiert mit der Sicherung von Einzelverbindungen, wofür ein dedizierter Schlüssel (link key) von einer dafür vorgesehenen Stelle (als „Trust Center“ im Standard bezeichnet) generiert und bereitgestellt wird. Im verteilten Sicherheitsmodell wird einem innerhalb eines Netzwerks öffentlichen Schlüssel (network key) operiert, was aber mit Abstrichen bei der Sicherheit verbunden ist. Daher wird in dem beschriebenen Beispiel die Zigbee-Verbindung im Rahmen des zentralen Sicherheitsmodells abgesichert. Wenn dann der neue Schlüssel (link key) aktiv ist, kann die Niederspannungsschutzvorrichtung nicht ohne weiteres mit einem neuen Datensammler verbunden werden, da kein Schlüssel für ein erneutes Pairing bereitsteht. Dies Problem kann durch die Verwendung des verteilten Sicherheitsmodell vermieden werden, wo ein öffentlicher Schlüssel verwendet wird, der für jedes Gerät gleich ist. Diese Verwendung eines öffentlichen Schlüssels würde zwar das beschriebene Problem bei Pairing mit einem neuen Datensammler beheben, aber zu einer verringerten Sicherheit führen. Insbesondere kann bei einer sog. „man-in-the-middle“ Attacke (3) die Kommunikationssicherheit nicht gewährleistet werden.
-
Maßnahmen für eine sichere Kommunikation sind z.B. in den Druckschriften
US 2017 / 0 149 806 A1 ,
US 2007 / 0 297 609 A1 ,
EP 1 892 913 A1 und US 2020 / 0 008 050 A1 offenbart.
-
Es besteht Bedarf an Vorrichtungen bzw. Verfahren, die ein sicheres Pairing bei einer Neuverbindung mit einem Kommunikationsknoten, wie z.B. einem Datensammler, gewährleisten.
-
Die Erfindung hat zur Aufgabe, eine derartige Vorrichtung bzw. ein derartiges Verfahren zum Pairing anzugeben.
-
Die Aufgabe wird durch eine Vorrichtung nach Anspruch 1, ein Verfahren nach Anspruch 7 und ein Speichermedium nach Anspruch 11 gelöst.
-
Ein Aspekt der Erfindung betrifft eine Vorrichtung zur Messung oder Generierung von Daten. Dabei kann es sich beispielsweise um eine Niederspannungsschutzvorrichtung handeln, welche Daten misst (z.B. Strom, Spannung, Temperaturinformationen) oder generiert (Z.B. Verschleißinformationen durch Zählung von Schaltspielen). Die Bereitstellung von zumindest einem Teil der in der Vorrichtung anfallenden Daten für Anwendungen, insbesondere Cloud-Anwendungen, soll ermöglicht werden. Dafür ist ein Routing der Daten über einen Kommunikationsknoten vorgesehen. Dabei handelt es sich z.B. um einen Datensammler oder Datenkonzentrator. Zwecks Routings von Daten ist die Vorrichtung für die drahtlose Übermittlung der Daten an den Kommunikationsknoten ausgestaltet (z.B. durch ein integriertes Sende- und Empfangsmodul). Für die Übermittlung der Daten an den Kommunikationsknoten ist ein Pairing der Vorrichtung mit dem Kommunikationsknoten erforderlich. Dafür verfügt ist die Vorrichtung über einen Installationsschlüssel, der für das Pairing zum Einsatz kommt. Im Weiteren ist eine mittels eines Verbindungsschlüssels gesicherte Datenübertragung von der Vorrichtung an den Kommunikationsknoten vorgesehen, weshalb die Vorrichtung ausgebildet ist, einen im Zuge des Pairings festgelegten Verbindungsschlüssels für die Datenübertragung an den Kommunikationskonten zu verwenden. Dieser Verbindungsschlüssel unterscheidet sich von dem Installationsschlüssel. Im Hinblick auf die Durchführung eines erneuten Pairings, insb. bei der Ersetzung des Kommunikationsknoten durch einen anderen Kommunikationsknoten, ist die Vorrichtung ausgebildet, mindestens ein auf die Erreichbarkeit des (zu ersetzenden) Kommunikationsknotens bezogenes Kriterium abzuprüfen und die fehlende Erreichbarkeit gem. Kriterium zur Voraussetzung für die Verwendung des Installationsschlüssels anstelle des Verbindungsschlüssels für ein erneutes Pairing zu machen. Ein erneutes Pairing kann auch im Zuge einer Neuverbindung eines Kommunikationsknotens z.B. nach einem Software-Update oder Reboot erforderlich sein. Auch im Hinblick auf ein derartiges Pairing kann eine Überprüfung des auf die Erreichbarkeit bezogenen Kriteriums erfolgen.
-
Auf diese Weise wird die Sicherheit erhöht und die Gefahr maliziöser Attacken gemindert. Insbesondere sind vorgetäuschte Pairing-Anfragen durch Dritte (z.B. man-in-the middle Attacke), in denen sich ein Knoten als zuständiger Datensammler ausgibt, denkbar. Derartige Attacken könnten zum einen zum Verlust von Daten an den Dritten führen, zum anderen den Datenaustausch mit den berechtigten Datensammler (wegen Wechsel des Schlüssels) stören. Diese Attacken werden durch die Erfindung in der Regel auffindbar bzw. abwehrbar.
-
Für das Kriterium, welches sich auf die fehlende Erreichbarkeit bezieht, wird folgende Methode verwendet.
-
Die Vorrichtung ist dafür ausgestaltet, in regelmäßigen Zeitabständen von dem Kommunikationsknoten deren lokale Zeit übermittelt zu bekommen, um diese dann als eigene Lokalzeit zu übernehmen. Als Kriterium für die Erreichbarkeit des Kommunikationsknotens wird dann das Ausbleiben der Übermittlung der lokalen Zeit des Kommunikationsknotens verwendet.
-
Die Vorrichtung kann auch dafür ausgestaltet sein, in regelmäßigen Zeitabständen eine Meldung durch den Kommunikationsknoten zu erhalten (z.B. als Antwort auf eine Nachricht der Vorrichtung an den Kommunikationsknoten, durch welchen dieser zur Sendung der Meldung veranlasst wird). Als Kriterium für die Erreichbarkeit des Kommunikationsknotens kann dann zusätzlich das Ausbleiben von dessen Meldungen verwendet werden.
-
Gemäß einer Weiterbildung kann die Vorrichtung dazu ausgestaltet sein, ein auf eine Adressinformation, insb. eine MAC-Adresse, des Kommunikationsknotens bezogenes Kriterium abzuprüfen und dieses auf die Adressinformation bezogene Kriterium zur zusätzlichen Voraussetzung für die Verwendung des Installationsschlüssels anstelle des Verbindungsschlüssels für ein erneutes Pairing zu machen. Beispielsweise kann in gewissen Konstellationen davon ausgegangen werden, dass ein erneutes Pairing nur von entweder demselben Kommunikationsknoten oder einem anderen Kommunikationsknoten mit derselben MAC-Adresse initiiert wird. Dann kann die Übereinstimmung der MAC-Adresse als zusätzliches Kriterium verwendet werden.
-
Die Erfindung betrifft auch ein Verfahren zur Sicherung eines erneuten Pairings einer Vorrichtung zur Messung oder Generierung von Daten mit einem Kommunikationsknoten, bei dem das auf die Erreichbarkeit des Kommunikationsknotens bezogene Kriterium des Ausbleibens der Übermittlung der lokalen Zeit des Kommunikationsknotens abgeprüft und die fehlende Erreichbarkeit gemäß dem Kriterium zur Voraussetzung für die Verwendung des Installationsschlüssels anstelle des Verbindungsschlüssels für ein erneutes Pairing gemacht wird.
-
Schließlich betrifft die Erfindung auch ein Speichermedium mit Software zur Durchführung eines erfindungsgemäßen Verfahrens. Hierbei ist insbesondere an Speichermedien gedacht, von denen Vorrichtungen zur Messung oder Generierung von Daten die Software herunterladen können, um sie für einen erfindungsgemäßes Vorgehen zu ertüchtigen.
-
Im Folgenden wird der Gegenstand der Erfindung im Rahmen eines Ausführungsbeispiel anhand von Figuren näher erläutert. Es zeigen:
- 1: eine Schmelzsicherung mit Kommunikationsfunktion (sog. Smart Fuse),
- 2: einen Datensammler und Niederspannungsschutzvorrichtungen, die drahtlos miteinander verbunden sind,
- 3: ein Szenario einer „man-in-the-middle“ Manipulation,
- 4: eine Kodierung von Initialisierungsinformationen auf einer Schmelzsicherung gem. 1,
- 5: ein Ablaufdiagramm für ein Pairing gem. Zigbee Protokoll,
- 6: eine Illustration zur Erklärung der Einstellung der Gerätezeit im Systemverbund,
- 7: ein Ablaufdiagramm für die Überprüfung der Erreichbarkeit eines Datensammlers, und
- 8: eine schematische Darstellung der Verwendung des Ergebnisses einer Überprüfung der Erreichbarkeit eines Datensammlers im Rahmen eines erneuten Pairings.
-
In 4 ist eine Schmelzsicherung 1 gezeigt, die z.B. gem. 1 mit Sensorik und Kommunikationsfunktionalität ausgestattet ist. Auf diese Schmelzsicherung 1 ist ein Matrixcode M aufgebracht, der neben der Schmelzsicherung noch einmal vergrößert dargestellt ist. Anstelle eines Datamatrixcodes kann auch ein QR-Code zum Einsatz kommen. Der Code kann mit Hilfe eines geeigneten Geräts gescannt werden. Das Gerät (in der Regel Mobiltelefon oder Tablet) verfügt über eine App, die aus dem Code einen Pairing-Schlüssel (Initialisierungsschlüssel) und eine auf das Gerät bezogene MAC-Adresse extrahiert und an einen Datensammler überträgt.
-
Es sind auch andere Verfahren zur Bereitstellung des Initialisierungsschlüssels denkbar. Z.B. kann dieser auch direkt auf der Schmelzsicherung angegeben, so dass er auch abgetippt werden kann.
-
Der Initialisierungsschlüssel wird dann im Zuge des Pairings mit einem Datensammler durch einen Verbindungsschlüssel (z.B. „link key“ beim Zigbee Protokoll) ersetzt, der die Verbindung zwischen der Schmelzsicherung und dem Datensammler absichert.
-
5 zeigt ein Pairing gem. Zigbee-Protokoll. Dort sind die Rollen „ZigBee end device“, „ZigBee router“ und „Trust Center“ definiert. Im Rahmen dieses Ausführungsbeispiels übernimmt die Schmelzsicherung die Rolle links in der Figur („Joining ZigBee router or ZigBee end device“). Die oben in der Figur spezifizierten Rollen „ZigBee router“ und „Trust Center“ werden beide durch den Datensammler ausgefüllt. Deswegen ist angegeben, dass die beiden Pairingschritte zwischen „ZigBee router“ und „Trust Center“ in der Figur nicht anwendbar sind (Angabe „nicht anwendbar“ in Figur).
-
Wie oben beschrieben wurde über eine App der Initialisierungsschlüssel und die MAC-Adresse der Sicherung an den Datensammler zwecks Pairings übermittelt. Über die MAC Adresse findet dann ein Verbindungsaufbau zwischen Datensammler und Sicherung statt (im ZigBee-Schichtenmodell auf dem Medium Access Control (MAC) Layer). Die Sicherung der Kommunikation erfolgt nicht auf dem MAC Layer, sondern auf im Schichtenmodell höheren Layern (Network (NKW) Layer bzw. Application Support Layer (APS)). Für das Verständnis der beanspruchten Erfindung ist eine eingehendere Erklärung der Figur anhand des ZigBee-Protokolls nicht erforderlich. Die dort verwendeten Elemente (z.B. ZDO steht für „ZigBee Device Object“ und unterstützt die Implementiertung von einem „ZigBee end device“ oder einem „ZigBee router“) sind aus den Protokoll-Spezifikationen bekannt. Wichtig ist hier nur, dass zunächst der Initialisierungsschlüssel (Link Key A in 5) verwendet wird, dieser dann aber für die reguläre Kommunikation nach dem Pairing durch einen anderen Schlüssel (Link Key B in 5) ersetzt wird. Dieser zweite Schlüssel wird im Folgenden auch als Verbindungsschlüssel bezeichnet, wobei dieser Begriff nicht als nur auf das ZigBee-Protokoll beziehend verstanden werden soll. Die Überlegungen gelten genauso für jeden Protokoll, bei dem ein Initialisierungsschlüssel für ein Pairing verwendet wird, welcher für die Kommunikation nach dem Pairing durch einen anderen Schlüssel (Verbindungsschlüssel) ersetzt wird.
-
Die Erfindung beruht auf der Überlegung, dass die Störung der Kommunikation mit dem Datensammler in der Regel das Erfordernis eines neuen Pairings indiziert. Insbesondere wird bei einem Austausch des Datensammlers oder bei der Funktionsübernahme durch einen anderen Datensammler zumindest zeitweise keine Konnektivität mit dem alten Datensammler vorliegen.
-
Erfindungsgemäß wird eine Information, dass der Datensammler nicht erreichbar ist, als Voraussetzung für eine Rücksetzung das Verbindungsschlüssels auf den initialen Schlüssel verwendet.
-
Diese Information kann z.B. dadurch generiert werden, dass eine regelmäßige Meldung des Datensammlers bei der Schmelzsicherung vorgesehen wird. Die kann z.B. mittels einer sog. Watchdog-Funktionalität implementiert werden (z.B. Software-Watchdog). Eine andere, elegante Möglichkeit macht sich die Funktionsweise der Gerätezeit zu nutze.
-
In 6 illustriert, wie die lokale Zeit der Geräte aus 2 im Hinblick auf Übereinstimmung mit der realen Zeit und Synchronität untereinander festgelegt werden. Die lokale Zeit des Datensammlers DS wird über einen Zeitserverdienst (in der Figur durch „NPT Time Server“ bezeichnet) erhalten. Dabei kommt das Network Time Protocol (NTP) zur Anwendung. Die lokale Uhr des Datenkollektors (siehe das Bezugszeichen „NTP Time Master“ in 5) und die Uhren der Niederspannungsvorrichtungen B1, B2, B3 und Bn (siehe das Bezugszeichen „NTP Time Slave“ in 5) stehen in einem Master-Slave-Verhältnis. D.h., die Niederspannungsvorrichtungen B1, B2, B3 und Bn erhalten in regelmäßigen Zeitabständen die lokale Zeit des Datensammlers DS übermittelt und stellen ihre Uhren danach bzw. übernehmen die Lokalzeit des Datensammlers DS. Dabei kann auch vorgesehen sein, dass nur Niederspannungselemente synchronisiert werden, bei denen es gerätebedingt zu größere Abweichungen bei der Zeit kommen kann.
-
Zwischen der Sicherung aus 1 und dem zugehörigen Datensammler wird periodisch (z.B. alle 15 Minuten) die Gerätezeit synchronisiert. Dabei besteht das angesprochene Master-Slave Verhältnis, d.h. die Sicherung übernimmt die Gerätezeit des Datensammlers. Da die Sicherung gem. 1 ihre Energie aus dem sie durchfließenden Strom generiert, kann es Phasen fehlender Energieversorgung geben, in denen die lokale Uhr stehen bleibt. Diese wird durch Übernahme der Zeit des Datensammler korrigiert. Die Sicherung implementiert dazu einen Timer, der die Gerätezeit alle Sekunden erhöht. Als Default Zeit wird der 01.01.1970 0:00h im Gerät hinterlegt. Sobald die erste Zeitsynchronisation mit dem Datensammler erfolgt ist, wird die aktuelle Zeit in der Sicherung verwendet. Die Sicherung verfügt über einen Microkontroller, der die Inkrementierung des Timers besorgt. Dieser ist nur dann aktiv, solange ausreichend Energie über die Strombahnen fließt. Daher wird die lokale Zeit bzw. Gerätezeit der Sicherung immer kleiner oder gleich der Gerätezeit des Datensammlers sein. Das Ausbleiben der Zeitsynchronisation bzw. eines von dem Datensammler übermittelten Zeitstempels für einen bestimmten Zeitraum (z.B. eine Stunde) ist dann das Kriterium, dass der Datensammler nicht erreichbar ist.
-
Die oben beschriebenen beiden Methoden des Tests, dass der Datensammler nicht erreichbar ist, nämlich mittels Watchdog-Funktionalität und mittels Überwachung der Zeitsynchronisation, können auch kombiniert werden. Dies ist in 7 dargestellt. Links sind dort auf die Zeitsynchronisation bezogene Schritte (Kriterium 1 bzw. K1) und rechts auf die Watchdog-Meldungen bezogene Schritte (Kriterium 2 bzw. K2) dargestellt. Im Schritt S11 (Zeit Update?) wird überprüft, ob eine neuer Zeitstempel erhalten wurde. Falls ja, wird in Schritt S12 (Reset Timer T1=0) ein zugehöriger Timer auf den Wert null gesetzt. Anderenfalls wird im Schritt S13 (T1 > TSW1?) überprüft, ob ein Schwellenwert TSW1 (z.B. 1 Stunde) überschritten wurde. Wenn nicht, erfolgt eine Verzweigung zurück zu Abfrage S11. Wenn schon, wird in Schritt S14 (K1 erfüllt) das Kriterium 1 als erfüllt gesehen und es erfolgt eine Verzweigung zu Schritt S2. Bei dem Kriterium 2 wird im Schritt S21 (DC(alt) Meldung?) überprüft, ob sich der Datensammler gemeldet hat. Falls ja, wird in Schritt S22 (Reset Timer T2=0) ein zugehöriger Timer auf den Wert null gesetzt. Anderenfalls wird im Schritt S23 (T2 > TSW2?) überprüft, ob ein Schwellenwert TSW2 (z.B. ebenfalls 1 Stunde) überschritten wurde. Wenn nicht, erfolgt eine Verzweigung zurück zu Abfrage S21. Wenn schon, wird in Schritt S24 (K2 erfüllt) das Kriterium 2 als erfüllt gesehen und es erfolgt eine Verzweigung zu Schritt S2 (K1 und K2 erfüllt), in welchen abgeprüft wird, ob beide Kriterien erfüllt sind. Falls ja, wird in Schritt S5 (DC(alt) nicht erreichbar) die Nichterreichbarkeit des Datensammlers festgestellt, was für ein erneutes Pairing im Regelfall mit einem anderen Datensammler zur Voraussetzung gemacht wird.
-
Die Verwendung des Kriteriums für die Erreichbarkeit bei einem erneuten Pairing ist in 8 gezeigt. Dabei stellt der mit gestrichelten Linien dargestellte Schritt S32 (laufende Abfrage: DC erreichbar?) eine Abfrage gemäß 7 dar. Nach einem initialen Pairing in Schritt S31 (initiales Pairing) mit einem Datenkollektor DC ist die MAC-Adresse (MAC(DC) dieses Datenkollektors bekannt (in Figur durch „MAC(DC) bekannt“ verdeutlicht) und der initiale Schlüssel wurde durch den Verbindungsschlüssel ersetzt (In Figur „INIT KEY → LINK KEY“). Die Abfrage bzw. die Überprüfung der Erreichbarkeit des Datenkollektors DC wird laufend durchgeführt. Das aktuelle Resultat davon wird bei einem erneuten Pairing-Versuch verwendet. Der Pairing-Versuch ist dabei in der Figur durch Schritt S34 (Anfrage Pairing von Knoten mit Adresse MAC(K)) dargestellt. Bei Abfrage S35 (DC erreichbar?) wird die aktuelle Information bzgl. der Erreichbarkeit des Datenkollektors DC überprüft. Das Pairing kommt nicht zustande, wenn der Datenkollektor DC erreichbar sein sollte, was mit Schritt S36 (kein Pairing) in der Figur verdeutlicht ist. Es ist auch denkbar, dass dies als Indikation für eine mögliche absichtliche Störung von außen interpretiert wird und zu einem Alarm oder sogar Gegenmaßnahmen führt. Falls der Datenkollektor DC nicht erreichbar war, wird in einer weiteren Abfrage überprüft, ob die MAC-Adresse des anfragenden Knotens mit der MAC-Adresse des Datenkollektors übereinstimmt (Schritt S38: MAC(K)=MAC(DC)?). In dem Ausführungsbeispiel ist angenommen, dass entweder die Pairing-Anfrage von dem ursprünglichen Datensammler DC oder von einem Ersatz-Datensammler, der die MAC-Adresse des ursprünglichen Datensammlers übernommen hat, kommen müsste. Demzufolge findet auch kein Pairing statt, wenn die MAC-Adressen voneinander abweichen (Schritt S37: kein Pairing). Erst wenn die Abfrage in S35 negativ und die in S38 positiv ausgefallen sind, wird der Verbindungsschlüssel durch den initialen Schlüssel ersetzt (Schritt S39: LINK KEY → INIT KEY) und das Pairing durchgeführt (Schritt S40: Pairing), wobei dann weitere Schritte gem. 5 vorgenommen werden. Dabei ist insofern auch relevant, den Kommunikationsschlüssel erst zu ersetzten, wenn die Abfrage von S35 nach der Erreichbarkeit negativ ausfällt, als dass nach Schlüsselersetzung der ursprüngliche Datensammler DC mit dem Verbindungsschlüssel des initialen Pairings nicht mehr mit der Sicherung erfolgreich kommunizieren kann.
-
Die Erfindung wurde oben anhand einer Schmelzsicherung und eines durch das ZigBee-Protokoll verbundenen Datensammler erklärt, ist aber nicht bei weitem auf diesen Fall eingeschränkt, sondern für im Prinzip beliebige Vorrichtungen zur Messung oder Generierung von Daten mit auch anderen Protokollen anwendbar.