DE102022211587A1 - Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen - Google Patents
Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen Download PDFInfo
- Publication number
- DE102022211587A1 DE102022211587A1 DE102022211587.2A DE102022211587A DE102022211587A1 DE 102022211587 A1 DE102022211587 A1 DE 102022211587A1 DE 102022211587 A DE102022211587 A DE 102022211587A DE 102022211587 A1 DE102022211587 A1 DE 102022211587A1
- Authority
- DE
- Germany
- Prior art keywords
- data path
- communication
- component
- module
- received via
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 107
- 238000000034 method Methods 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 17
- 241000270295 Serpentes Species 0.000 claims description 3
- 241001441724 Tetraodontidae Species 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
- H04L12/40182—Flexible bus arrangements involving redundancy by using a plurality of communication lines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40228—Modbus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Abstract
Um eine einfehlertolerantes Steuerungssystem für ein Fahrzeug zu erzeugen, wird eine redundante Kommunikation über einen primären und einen sekundären Datenpfad vorgeschlagen, wobei die Kommunikation über den sekundären Datenpfad verschlüsselt erfolgt, und das System eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad übermittelten Kommunikation durchzuführen. Hierbei ist das System weiterhin eingerichtet, die empfangene Kommunikation über den primären Datenpfad mit der entschlüsselten Kommunikation über den sekundären Datenpfad zu vergleichen, und, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden: Beenden der Verschlüsselung im sekundären Datenpfad und Ausführen von Aktionen aufgrund der über den sekundären Datenpfad übermittelten Kommunikation.
Description
- Die Erfindung betrifft ein fehlertolerantes, insbesondere einfehlertolerantes, Steuerungssystem für ein Fahrzeug umfassend einen primären Datenpfad und einen sekundären Datenpfad zur Kommunikation von einem ersten Modul zu einem zweiten Modul, wobei das erste Modul eine Sendekomponente und eine Verschlüsselungskomponente, verbunden mit der Sendekomponente, beinhaltet; das zweite Modul eine Empfangskomponente, eine Entschlüsselungskomponente, verbunden mit der Empfangskomponente, eine Vergleichskomponente, verbunden mit der Empfangskomponente und der Entschlüsselungskomponente, und eine Aktionskomponente, verbunden mit der Empfangskomponente, beinhaltet, und das System weiterhin einen primären Datenpfad und einen sekundären Datenpfad zur Kommunikation zwischen der Sendekomponente und der Empfangskomponente beinhaltet, wobei die Aktionskomponente eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen.
- Ein solches einfehlertolerantes Steuerungssystem ist aus der
DE 10 2013 200 535 A1 bekannt. Das bekannte System beruht auf dem Konzept, ein elektronisches bzw. mechatronisches Fahrzeugsteuersystem oder dergleichen und/oder ein in einem solchen System zugrundeliegendes Daten- oder Kommunikationsnetzwerk, über das die Steuergeräte miteinander kommunizieren, nach dem Erkennen einer Verletzung der Datenintegrität oder einer sicherheitsrelevanten Datenmanipulation in einen sicheren Betriebszustand, z.B. in einen Notlaufmodus, überzuführen. Hierbei wird ein redundanter Netzwerkansatz verwendet, bei dem zumindest sicherheitsbezogene Daten oder Nachrichten über wenigstens zwei unterschiedliche und insbesondere kommunikationstechnisch voneinander getrennte Kommunikationskanäle oder -pfade an ein die Daten bzw. Nachrichten empfangendes Steuergerät getrennt bzw. unabhängig voneinander übertragen werden. Die wenigstens zwei getrennt empfangenen Daten bzw. Nachrichten können dann gegenseitig plausibilisiert bzw. verifiziert werden, z.B. durch einen einfachen Vergleich. Ergibt der Vergleich Abweichungen zwischen den getrennt voneinander empfangenen Daten bzw. Nachrichten, dann wird auf das Fehlen der Datenintegrität und/oder das Vorliegen einer Datenmanipulation geschlossen. Die genannte Netzwerkredundanz kann durch eine Netzwerkarchitektur mit wenigstens zwei unterschiedlichen Netzwerken oder Subnetzwerken eines übergeordneten Netzes realisiert werden, wobei die sicherheitsbezogenen Eingangsgrößen immer über die wenigstens zwei Netzwerke an die jeweiligen Steuergeräte übermittelt werden. - Ebenfalls bekannt ist aus der
DE 10 2013 114 355 A1 eine Steuerung, betreibbar zum Übertragen von digitalen Datennachrichten zu einem Empfänger über eine Kommunikationsstrecke, die mindestens einen ersten und einen zweiten Übertragungspfad bereitstellt, einen ersten Signalanschluss für den ersten Übertragungspfad und einen zweiten Signalanschluss für den zweiten Übertragungspfad. Der erste Signalanschluss ist betreibbar zum digitalen Übertragen einer ersten Nachricht zu dem Empfänger gemäß einer ersten Übertragungstechnik, während der zweite Signalanschluss betreibbar ist zum digitalen Übertragen einer zweiten Nachricht zu dem Empfänger gemäß einer zweiten, anderen Übertragungstechnik. Hierbei ist ein durch die erste und die zweite Nachricht durch die verschiedenen Übertragungstechniken übertragener Inhalt identisch. Dies kann dazu dienen, insofern die Zuverlässigkeit zu vergrößern, als der Inhalt immer noch zu dem Empfänger übertragen oder durch diesen empfangen werden kann, selbst wenn bei einer der Übertragungstechniken ein Fehler auftritt. - Der Erfindung liegt die Aufgabe zugrunde, bei einem einfehlertoleranten Steuerungssystem der genannten Art die Sicherheit zu verbessern. Diese Aufgabe wird gelöst durch die im Anspruch 1 angegebenen Merkmale, dass die Verschlüsselungskomponente im ersten Modul und die Entschlüsselungskomponente im zweiten Modul eingerichtet ist, die Kommunikation über den sekundären Datenpfad zu verschlüsseln, wobei die Aktionskomponente des zweiten Moduls eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen, und dadurch, dass die Vergleichskomponente eingerichtet ist, die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation zu vergleichen, und wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden, das erste Modul anzuweisen, die Verschlüsselung des sekundären Datenpfades auszuschalten und die Aktionskomponente des zweiten Moduls anzuweisen, Aktionen aufgrund der über den sekundären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen.
- Durch diese Merkmale wird gewährleistet, dass eine zeitkritische Kommunikation zwischen dem ersten und dem zweiten Modul innerhalb eines eventuellen Sicherheitsziels abläuft, da immer mindestens eine unverschlüsselte, und damit nicht durch die Ver- und Entschlüsselung verlangsamte Kommunikation zwischen dem ersten und zweiten Modul besteht. Des Weiteren wird sichergestellt, dass eine Manipulation dieser unverschlüsselten Kommunikation entdeckt wird, da die Vergleichsinformation auf dem sekundären Datenpfad verschlüsselt und damit manipulationssicher kommuniziert wird.
- Vorteilhaft ist hierbei die Kommunikation zwischen dem ersten Modul und dem zweiten Modul zeitkritisch, und die unverschlüsselte Kommunikation ist eingerichtet, Zeitziele im Normalfall nicht zu verletzen.
- Vorteilhaft ist die Verbindung zwischen der Empfangskomponente, der Entschlüsselungskomponente, der Vergleichskomponente und der Aktionskomponente des zweiten Moduls eine interne Steuergerätekommunikation des zweiten Moduls, die von außen nicht zugänglich ist. Besonders vorteilhaft ist diese interne Steuergerätekommunikation manipulationssicher.
- Vorteilhaft beinhaltet das Vergleichen der über den primären Datenpfad empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad empfangenen Kommunikation in der Vergleichskomponente eine Überprüfung, ob die Daten der über den primären Datenpfad empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad empfangenen Kommunikation funktional gleich sind.
- Vorteilhaft ist die Vergleichskomponente weiterhin eingerichtet, ein Fehlersignal zu generieren, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden, und das Steuerungssystem ist eingerichtet, das Fehlersignal zu empfangen und, als Reaktion auf das Fehlersignal, das Fahrzeug in einen sicheren Zustand zu bringen.
- Vorteilhaft sind die Verschlüsselungskomponente und die Entschlüsselungskomponente eingerichtet, die Kommunikation mit Hilfe einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman durchzuführen.
- Vorteilhaft umfasst der primäre Datenpfad und/oder der sekundäre Datenpfad eine Busverbindung, insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB. Besonders vorteilhaft umfasst der erste Datenpfad eine erste Busverbindung und der zweite Datenpfad eine zweite, unabhängige, Busverbindung.
- In einem anderen Aspekt beinhaltet die Erfindung ein Verfahren zum einfehlertoleranten Steuern eines Fahrzeugs, umfassend: Erzeugen einer redundanten Kommunikation von einem ersten Modul zu einem zweiten Modul, mittels eines primären Datenpfades und eines sekundären Datenpfades; Übertragen der redundanten Kommunikation vom ersten Modul zum zweiten Modul über den primären Datenpfad und den sekundären Datenpfad, wobei die Übertragung über den sekundären Datenpfad verschlüsselt erfolgt; Durchführen, im zweiten Modul, einer Aktion aufgrund der über den primären Datenpfad übertragenen Kommunikation; Vergleichen, im zweiten Modul, der empfangenen Kommunikation über den primären Datenpfad und der entschlüsselten Kommunikation über den sekundären Datenpfad; wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden: Anweisen des ersten Moduls, die Kommunikation über den sekundären Datenpfad nicht mehr zu verschlüsseln; Anweisen des zweiten Moduls, Aktionen im Folgenden aufgrund der über den sekundären Datenpfad empfangen Kommunikation auszuführen.
- Weitere Aspekte der Erfindung beinhalten ein computerlesbares Speichermedium, das Informationen enthält, die, wenn sie auf einem oder mehreren Prozessoren ausgeführt werden, diese veranlassen, die Schritte des Verfahrens entsprechend einer Ausführungsform der Erfindung auszuführen, sowie ein Fahrzeug mit einem redundanten Steuerungssystem entsprechend einer Ausführungsform der Erfindung.
- Ausführungsbeispiele der Erfindung werden nachstehend anhand der Zeichnungen erläutert. Es zeigen:
-
1 ein schematisches Diagramm eines redundanten Steuerungssystems entsprechend einer Ausführungsform der Erfindung und -
2 einen Ablaufplan eines Verfahrens nach einer Ausführungsform der Erfindung. -
3 ein Fahrzeug, in dem das redundante Steuerungssystem nach den Ausführungsformen der Erfindung verwendet werden kann. -
1 zeigt ein schematisches Diagramm eines Systems 100 nach einer Ausführungsform der vorliegenden Erfindung. Hierbei sind ein erstes Modul 110 und ein zweites Modul 120 durch einen ersten, primären Datenpfad 130 und einen zweiten, sekundären Datenpfad 140, vorteilhaft zwei Busverbindungen 131, 141, kommunikativ verbunden. Zu diesem Zweck enthält das erste Modul 110 eine Sendekomponente 111 und das zweite Modul 120 eine Empfangskomponente 121, die mit dem primären Datenpfad 130 und dem sekundären Datenpfad 140 verbunden sind. Ebenfalls enthält das erste Modul 110 eine Verschlüsselungskomponente 112 und das zweite Modul eine Entschlüsselungskomponente 122, die mit der jeweiligen Sendekomponente 111 und Empfangskomponente 121 verbunden sind. Des weiteren enthält das zweite Modul 120 eine Vergleichskomponente 123 und eine Aktionskomponente 124, die mit der Empfangskomponente 121 kommunikativ, vorteilhaft durch eine, insbesondere manipulationssichere, interne Steuergerätekommunikation des zweiten Moduls 120 verbunden ist, wobei die Entschlüsselungskomponente 122 hierbei zwischen die Empfangskomponente 121 und die Vergleichskomponente 123 geschaltet ist. - Im normalen Betrieb erzeugt das erste Modul 110 eine funktional identische Kommunikation, also eine Kommunikation, die funktional identische Daten und Anweisungen enthält, aber sich z.B. im Header und/oder der Codierung unterscheiden kann, sowohl über den primären Datenpfad 130 als auch über den sekundären Datenpfad 140, wobei die Kommunikation über den sekundären Datenpfad 140 mit Hilfe der Verschlüsselungskomponente 112 verschlüsselt wird.
- Das zweite Modul 120 empfängt die Kommunikation sowohl über den primären Datenpfad 130 als auch über den sekundären Datenpfad 140, und führt, mittels der Aktionskomponente 124 eine Aktion entsprechend der über den primären Datenpfad 130 empfangenen Daten und Anweisungen aus. Da hierzu keine Ver- und Entschlüsselung der Kommunikation über den ersten Kommunikationskanal 130 nötig ist, erfolgen diese Aktionen schnell, vorteilhafterweise ohne die Verletzung von Zeitzielen eines Sicherheitsprotokolls.
- Gleichzeitig vergleicht die Vergleichskomponente 123 die Kommunikation über den primären Datenpfad 130 und die entschlüsselte Kommunikation über den sekundären Datenpfad 140. Wenn der Vergleich der beiden Kommunikationen einen insbesondere funktionalen Unterschied der übertragenen Anweisungen und Daten ergibt, ist dies ein Hinweis auf Manipulation des primären Datenpfades 130. In diesem Fall wird das erste Modul angewiesen, die Übertragung über den sekundären Datenpfad 140 nicht mehr zu verschlüsseln, die Aktionskomponente 124 wird angewiesen, Aktionen von nun an aufgrund der über den, jetzt unverschlüsselten, sekundären Datenpfad 140 empfangenen Daten und Anweisungen auszuführen, und, vorteilhafterweise, wird das Steuerungssystem angewiesen, das Fahrzeug in einen sicheren Zustand, insbesondere Stillstand, zu bringen.
-
2 zeigt einen Ablaufplan eines Verfahrens nach einer Ausführungsform der Erfindung: Im ersten Schritt 210 wird eine redundante Kommunikation des ersten Moduls 110 zu einem zweiten Modul 120 mittels eines primären Datenpfades 130 und eines sekundären Datenpfades 140 erzeugt. Im darauffolgenden Übertragungsschritt 220 wird die redundante Kommunikation vom ersten Modul 110 zum zweiten Modul 120 über den primären Datenpfad 130 und den sekundären Datenpfad 140, vorteilhaft ein erstes und zweites Bussystem, übertragen, wobei die Übertragung über den sekundären Datenpfad 130 verschlüsselt erfolgt. - Als Folge der erhaltenen Kommunikation führt im darauf folgenden Aktionsschritt 230 das zweite Modul 120 aufgrund der über den primären Datenpfad 130 übertragenen Kommunikation eine Aktion aus. Da die Kommunikation über den primären Datenpfad 130 unverschlüsselt erfolgt, werden hierdurch eventuelle Zeitziele zur Ausführung der Aktion im Normalfall nicht verletzt.
- Ebenfalls als Folge der erhaltenen Kommunikation, und teilweise parallel zur Ausführung der Aktion im Aktionsschritt 230 vergleicht im darauf folgenden Vergleichsschritt 240 das zweite Modul die empfangene Kommunikation über den primären Datenpfad 130 mit der entschlüsselten Kommunikation über den sekundären Datenpfad 140. Falls dieser Vergleich ergibt, dass die empfangene Kommunikation über den primären Datenpfad 130 und die entschlüsselte Kommunikation über den sekundären Datenpfad 140 funktional identisch sind, also funktional gleiche Anweisungen und funktional gleiche Daten enthalten, geht das Verfahren weiter beim ersten Schritt 210.
- Wenn im Vergleichsschritt 240 ein Unterschied festgestellt wurde, also die Übertragung über den primären Datenkanal vermutlich verfälscht wurde, geht das Verfahren weiter zum ersten Anweisungsschritt 250. In diesem ersten Anweisungsschritt 250 wird das erste Modul 110 angewiesen, die Kommunikation über den sekundären Datenpfad 130 nicht mehr zu verschlüsseln und im darauffolgenden zweiten Anweisungsschritt 260 wird das zweite Modul 120 angewiesen, Aktionen im Folgenden aufgrund der über den sekundären Datenpfad 140 empfangen Kommunikation auszuführen. Durch diese Schritte ist weiterhin eine Ausführung der angewiesenen Aktionen im zweiten Modul 120 möglich, die eventuelle Zeitziele zur Ausführung der Aktion im Normalfall nicht verletzt.
- Vorteilhaft enthält das Verfahren nach den Anweisungen der vorhergehenden Anweisungsschritte 250, 260 noch weitere Schritte, die die Sicherheit des Steuerungssystems, und des Fahrzeuges gewährleisten. Diese Schritte umfassen: Generieren 270 eines Fehlersignals, und, als Reaktion auf das Fehlersignal, Bringen 280 des Fahrzeugs in einen sicheren Zustand, insbesondere Bringen des Fahrzeugs zum Stillstand.
-
3 zeigt schematisch ein Fahrzeug entsprechend einer Ausführungsform der Erfindung. Hierbei ist das Steuerungssystem (100) in einem Fahrzeug (300) integriert. Insbesondere wird gezeigt, wie vorteilhaft die primären (130) und sekundären (140) Datenpfade zur Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) durch eine erste (131) und eine zweite (132) Busverbindung ausgeführt werden können. - Bezugszeichenliste
-
- 100
- Steuerungssystem
- 110
- erstes Modul
- 111
- Sendekomponente
- 112
- Verschlüsselungskomponente
- 120
- zweites Modul
- 121
- Empfangskomponente
- 122
- Entschlüsselungskomponente
- 123
- Vergleichskomponente
- 124
- Aktionskomponente
- 130
- primärer Datenpfad
- 131
- erste Busverbindung
- 140
- sekundärer Datenpfad
- 141
- zweite Busverbindung
- 200
- Steuerungsverfahren
- 210
- Erzeugen einer redundanten Kommunikation
- 220
- Übertragungsschritt
- 230
- Aktionsschritt
- 240
- Vergleichsschritt
- 250
- erster Anweisungsschritt
- 260
- zweiter Anweisungsschritt
- 270
- Generieren eines Fehlersignals
- 280
- Bringen des Fahrzeugs in einen sicheren Zustand
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- DE 102013200535 A1 [0002]
- DE 102013114355 A1 [0003]
Claims (15)
- Einfehlertolerantes Steuerungssystem (100) zur Verwendung in einem Fahrzeug, umfassend: ein erstes Modul (110), beinhaltend: eine Sendekomponente (111), und eine Verschlüsselungskomponente (112), verbunden mit der Sendekomponente (111); ein zweites Modul (120), beinhaltend: eine Empfangskomponente (121), eine Entschlüsselungskomponente (122), verbunden mit der Empfangskomponente (121), eine Vergleichskomponente (123), verbunden mit der Empfangskomponente (121) und der Entschlüsselungskomponente (122), und eine Aktionskomponente (124), verbunden mit der Empfangskomponente (121); einen primären Datenpfad (130) zur Kommunikation zwischen der Sendekomponente (111) und der Empfangskomponente (121); und einen sekundären Datenpfad (140) zur Kommunikation zwischen der Sendekomponente (111) und der Empfangskomponente (121), wobei die Aktionskomponente (124) eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad (130) empfangenen unverschlüsselten Kommunikation auszuführen, dadurch gekennzeichnet, dass die Verschlüsselungskomponente (112) eingerichtet ist, die Kommunikation über den sekundären Datenpfad (140) zu verschlüsseln, die Entschlüsselungskomponente (122) eingerichtet ist, die empfangene Kommunikation zu entschlüsseln, und dass die Vergleichskomponente (123) eingerichtet ist, die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation zu vergleichen, und wenn ein Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, das erste Modul (110) anzuweisen, die Verschlüsselung des sekundären Datenpfades (140) auszuschalten und die Aktionskomponente (124) anzuweisen, Aktionen aufgrund der über den sekundären Datenpfad (140) empfangenen unverschlüsselten Kommunikation auszuführen.
- Steuerungssystem (100) nach
Anspruch 1 , dadurch gekennzeichnet, dass die Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) zeitkritisch ist, und die unverschlüsselte Kommunikation eingerichtet ist, die Zeitziele im Normalfall nicht zu verletzen. - Steuerungssystem (100) nach
Anspruch 1 oder2 , dadurch gekennzeichnet, dass die Verbindung zwischen der Empfangskomponente (121), der Entschlüsselungskomponente (122), der Vergleichskomponente (123) und der Aktionskomponente (124) eine interne Steuergerätekommunikation des zweiten Moduls ist, die von außen nicht zugänglich ist, wobei die interne Steuergerätekommunikation bevorzugt manipulationssicher ist. - Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Vergleichen der über den primären Datenpfad (130) empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation in der Vergleichskomponente (123) eine Überprüfung umfasst, ob die Daten der über den primären Datenpfad (130) empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation funktional gleich sind.
- Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Vergleichskomponente (123) weiterhin eingerichtet ist, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, ein Fehlersignal zu generieren, und das Steuerungssystem (100) eingerichtet ist, das Fehlersignal zu empfangen und, als Reaktion auf das Fehlersignal, das Fahrzeug anzuweisen, einen sicheren Zustand einzunehmen.
- Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Verschlüsselungskomponente (112) und die Entschlüsselungskomponente (122) eingerichtet sind, die Kommunikation mit Hilfe einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman durchzuführen.
- Steuerungssystem (100) nach einem der vorangehenden Ansprüche dadurch gekennzeichnet, dass der primäre Datenpfad (130) und/oder der sekundäre Datenpfad (140) eine Busverbindung (131, 141), insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB umfasst.
- Verfahren (200) zum einfehlertoleranten Steuern eines Fahrzeugs, umfassend: Erzeugen (210) einer redundanten Kommunikation von einem ersten Modul (110) zu einem zweiten Modul (120), mittels eines primären Datenpfades (130) und eines sekundären Datenpfades (140); Übertragen (220) der redundanten Kommunikation vom ersten Modul (110) zum zweiten Modul (120) über den primären Datenpfad (130) und den sekundären Datenpfad (140), wobei die Übertragung über den sekundären Datenpfad (130) verschlüsselt erfolgt; Durchführen (230), im zweiten Modul (120), einer Aktion aufgrund der über den primären Datenpfad (130) übertragenen Kommunikation; Vergleichen (240), im zweiten Modul (120), der empfangenen Kommunikation über den primären Datenpfad (130) und der entschlüsselten Kommunikation über den sekundären Datenpfad (140); wenn der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden: Anweisen (250) des ersten Moduls (110), die Kommunikation über den sekundären Datenpfad (130) nicht mehr zu verschlüsseln; Anweisen (260) des zweiten Moduls (110), Aktionen im Folgenden aufgrund der über den sekundären Datenpfad (140) empfangen Kommunikation auszuführen.
- Verfahren nach
Anspruch 8 , dadurch gekennzeichnet, dass die Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) zeitkritisch ist, und das Übertragen (220) der unverschlüsselten Kommunikation die Zeitziele im Normalfall nicht verletzt. - Verfahren nach
Anspruch 8 oder9 , dadurch gekennzeichnet, dass das Vergleichen (240) der über den primären Datenpfad (130) empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation eine Überprüfung umfasst, ob die Daten der über den primären Datenpfad (130) empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation funktional gleich sind. - Verfahren nach einem der
Ansprüche 8 bis10 , dadurch gekennzeichnet, dass das Verfahren, nachdem der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, weiterhin Folgendes umfasst: Generieren (270) eines Fehlersignals; und als Reaktion auf das Fehlersignal, Bringen (280) des Fahrzeugs in einen sicheren Zustand. - Verfahren nach einem der
Ansprüche 8 bis11 , dadurch gekennzeichnet, dass das verschlüsselte Übertragen (220) der Kommunikation die Verwendung einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman umfasst. - Verfahren nach einem der
Ansprüche 8 bis13 , dadurch gekennzeichnet, dass das Übertragen (220) über den primären Datenpfad (130) und/oder den sekundären Datenpfad (140) eine Busverbindung (131, 141), insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB umfasst. - Computerlesbares Speichermedium, welches Informationen enthält, die, wenn sie auf einem oder mehreren Prozessoren ausgeführt werden, diese veranlassen, die Schritte des Verfahrens nach einem der
Ansprüche 8 -13 auszuführen. - Fahrzeug mit einfehlertolerantem Steuerungssystem nach einem der
Ansprüche 1 -7 .
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022211587.2A DE102022211587B4 (de) | 2022-11-02 | 2022-11-02 | Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen |
PCT/EP2023/076705 WO2024094372A1 (de) | 2022-11-02 | 2023-09-27 | Sicherer betrieb von redundanten, einfehlertoleranten steuergeräten im fahrzeug mit signierten signalen |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022211587.2A DE102022211587B4 (de) | 2022-11-02 | 2022-11-02 | Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102022211587A1 true DE102022211587A1 (de) | 2024-05-02 |
DE102022211587B4 DE102022211587B4 (de) | 2024-05-08 |
Family
ID=88237459
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102022211587.2A Active DE102022211587B4 (de) | 2022-11-02 | 2022-11-02 | Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102022211587B4 (de) |
WO (1) | WO2024094372A1 (de) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013200535A1 (de) | 2013-01-16 | 2014-07-17 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs |
DE102013114355A1 (de) | 2013-01-25 | 2014-08-21 | Infineon Technologies Ag | Verfahren, vorrichtung und computerprogramm zur digitalen übertragung von nachrichten |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19610161C2 (de) | 1996-03-15 | 1998-01-22 | Mannesmann Vdo Ag | Datenübertragungsvorrichtung in einem Fahrzeug, bestehend aus einem Impulsgeber und einem Kontrollgerät, sowie Impulsgeber für das Kontrollgerät |
-
2022
- 2022-11-02 DE DE102022211587.2A patent/DE102022211587B4/de active Active
-
2023
- 2023-09-27 WO PCT/EP2023/076705 patent/WO2024094372A1/de unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013200535A1 (de) | 2013-01-16 | 2014-07-17 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs |
DE102013114355A1 (de) | 2013-01-25 | 2014-08-21 | Infineon Technologies Ag | Verfahren, vorrichtung und computerprogramm zur digitalen übertragung von nachrichten |
Also Published As
Publication number | Publication date |
---|---|
DE102022211587B4 (de) | 2024-05-08 |
WO2024094372A1 (de) | 2024-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3295645B1 (de) | Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken | |
DE102014111361A1 (de) | Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung | |
EP2637362A1 (de) | Busteilnehmer-Einrichtung zum Anschluss an einen linienredundanten, seriellen Datenbus und Verfahren zur Steuerung der Kommunikation eines Busteilnehmers mit einem linienredundanten, seriellen Datenbus | |
DE102007032805A1 (de) | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses | |
EP3412018B1 (de) | Verfahren zum austausch von nachrichten zwischen sicherheitsrelevanten vorrichtungen | |
WO2024002687A1 (de) | Verfahren zur absicherung einer datenverbindung | |
DE102017219661A1 (de) | Verfahren zum Betreiben eines Steuergeräts | |
DE10337699A1 (de) | Verfahren und Vorrichtung zur Übertragung von Daten über ein Busnetz unter Verwendung des Broadcast-Prinzip | |
DE102022211587B4 (de) | Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen | |
EP3659317B1 (de) | Verfahren zum bereitstellen eines sicheren telegramms | |
DE19833867C2 (de) | Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten | |
EP1596517B1 (de) | Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten | |
DE102021120393B3 (de) | Verfahren und Verschaltung zum Betrieb eines Netzwerks oder Netzwerkabschnitts | |
EP1133096B1 (de) | Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu | |
DE102013221955A1 (de) | Sicherheitsrelevantes System | |
DE102012209445A1 (de) | Verfahren und Kommunikationssystem zur sicheren Datenübertragung | |
EP2822227B1 (de) | CAN-FD-Kommunikationsnetzwerk | |
DE102005032877A1 (de) | Verfahren zur Zeitsynchronisation von Teilnehmern eines Netzwerks | |
DE102006042131B4 (de) | Rechnersystem | |
EP3987697B1 (de) | Verfahren zum betreiben eines kommunikationsnetzwerks, kommunikationsnetzwerk und teilnehmer für ein kommunikationsnetzwerk | |
WO2017063996A1 (de) | Verfahren zur generierung eines geheimnisses in einem netzwerk mit wenigstens zwei übertragungskanälen | |
WO2017186457A1 (de) | Verfahren zur wegredundanzbewertung in einem backbone-netzwerk | |
EP4066114A1 (de) | Verfahren zur überprüfung einer signalverbindung | |
EP0525921A2 (de) | Von quellenseitig her sich wiederholende kryptologisch verschlüsselte Datenübertagung | |
EP3939241A1 (de) | Zugerfassungssystem sowie verfahren zum übermitteln von nachrichten in einem zugerfassungssystem |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division |