DE102022211587A1 - Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen - Google Patents

Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen Download PDF

Info

Publication number
DE102022211587A1
DE102022211587A1 DE102022211587.2A DE102022211587A DE102022211587A1 DE 102022211587 A1 DE102022211587 A1 DE 102022211587A1 DE 102022211587 A DE102022211587 A DE 102022211587A DE 102022211587 A1 DE102022211587 A1 DE 102022211587A1
Authority
DE
Germany
Prior art keywords
data path
communication
component
module
received via
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102022211587.2A
Other languages
English (en)
Other versions
DE102022211587B4 (de
Inventor
Dirk Dreyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102022211587.2A priority Critical patent/DE102022211587B4/de
Priority to PCT/EP2023/076705 priority patent/WO2024094372A1/de
Publication of DE102022211587A1 publication Critical patent/DE102022211587A1/de
Application granted granted Critical
Publication of DE102022211587B4 publication Critical patent/DE102022211587B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40228Modbus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

Um eine einfehlertolerantes Steuerungssystem für ein Fahrzeug zu erzeugen, wird eine redundante Kommunikation über einen primären und einen sekundären Datenpfad vorgeschlagen, wobei die Kommunikation über den sekundären Datenpfad verschlüsselt erfolgt, und das System eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad übermittelten Kommunikation durchzuführen. Hierbei ist das System weiterhin eingerichtet, die empfangene Kommunikation über den primären Datenpfad mit der entschlüsselten Kommunikation über den sekundären Datenpfad zu vergleichen, und, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden: Beenden der Verschlüsselung im sekundären Datenpfad und Ausführen von Aktionen aufgrund der über den sekundären Datenpfad übermittelten Kommunikation.

Description

  • Die Erfindung betrifft ein fehlertolerantes, insbesondere einfehlertolerantes, Steuerungssystem für ein Fahrzeug umfassend einen primären Datenpfad und einen sekundären Datenpfad zur Kommunikation von einem ersten Modul zu einem zweiten Modul, wobei das erste Modul eine Sendekomponente und eine Verschlüsselungskomponente, verbunden mit der Sendekomponente, beinhaltet; das zweite Modul eine Empfangskomponente, eine Entschlüsselungskomponente, verbunden mit der Empfangskomponente, eine Vergleichskomponente, verbunden mit der Empfangskomponente und der Entschlüsselungskomponente, und eine Aktionskomponente, verbunden mit der Empfangskomponente, beinhaltet, und das System weiterhin einen primären Datenpfad und einen sekundären Datenpfad zur Kommunikation zwischen der Sendekomponente und der Empfangskomponente beinhaltet, wobei die Aktionskomponente eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen.
  • Ein solches einfehlertolerantes Steuerungssystem ist aus der DE 10 2013 200 535 A1 bekannt. Das bekannte System beruht auf dem Konzept, ein elektronisches bzw. mechatronisches Fahrzeugsteuersystem oder dergleichen und/oder ein in einem solchen System zugrundeliegendes Daten- oder Kommunikationsnetzwerk, über das die Steuergeräte miteinander kommunizieren, nach dem Erkennen einer Verletzung der Datenintegrität oder einer sicherheitsrelevanten Datenmanipulation in einen sicheren Betriebszustand, z.B. in einen Notlaufmodus, überzuführen. Hierbei wird ein redundanter Netzwerkansatz verwendet, bei dem zumindest sicherheitsbezogene Daten oder Nachrichten über wenigstens zwei unterschiedliche und insbesondere kommunikationstechnisch voneinander getrennte Kommunikationskanäle oder -pfade an ein die Daten bzw. Nachrichten empfangendes Steuergerät getrennt bzw. unabhängig voneinander übertragen werden. Die wenigstens zwei getrennt empfangenen Daten bzw. Nachrichten können dann gegenseitig plausibilisiert bzw. verifiziert werden, z.B. durch einen einfachen Vergleich. Ergibt der Vergleich Abweichungen zwischen den getrennt voneinander empfangenen Daten bzw. Nachrichten, dann wird auf das Fehlen der Datenintegrität und/oder das Vorliegen einer Datenmanipulation geschlossen. Die genannte Netzwerkredundanz kann durch eine Netzwerkarchitektur mit wenigstens zwei unterschiedlichen Netzwerken oder Subnetzwerken eines übergeordneten Netzes realisiert werden, wobei die sicherheitsbezogenen Eingangsgrößen immer über die wenigstens zwei Netzwerke an die jeweiligen Steuergeräte übermittelt werden.
  • Ebenfalls bekannt ist aus der DE 10 2013 114 355 A1 eine Steuerung, betreibbar zum Übertragen von digitalen Datennachrichten zu einem Empfänger über eine Kommunikationsstrecke, die mindestens einen ersten und einen zweiten Übertragungspfad bereitstellt, einen ersten Signalanschluss für den ersten Übertragungspfad und einen zweiten Signalanschluss für den zweiten Übertragungspfad. Der erste Signalanschluss ist betreibbar zum digitalen Übertragen einer ersten Nachricht zu dem Empfänger gemäß einer ersten Übertragungstechnik, während der zweite Signalanschluss betreibbar ist zum digitalen Übertragen einer zweiten Nachricht zu dem Empfänger gemäß einer zweiten, anderen Übertragungstechnik. Hierbei ist ein durch die erste und die zweite Nachricht durch die verschiedenen Übertragungstechniken übertragener Inhalt identisch. Dies kann dazu dienen, insofern die Zuverlässigkeit zu vergrößern, als der Inhalt immer noch zu dem Empfänger übertragen oder durch diesen empfangen werden kann, selbst wenn bei einer der Übertragungstechniken ein Fehler auftritt.
  • Der Erfindung liegt die Aufgabe zugrunde, bei einem einfehlertoleranten Steuerungssystem der genannten Art die Sicherheit zu verbessern. Diese Aufgabe wird gelöst durch die im Anspruch 1 angegebenen Merkmale, dass die Verschlüsselungskomponente im ersten Modul und die Entschlüsselungskomponente im zweiten Modul eingerichtet ist, die Kommunikation über den sekundären Datenpfad zu verschlüsseln, wobei die Aktionskomponente des zweiten Moduls eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen, und dadurch, dass die Vergleichskomponente eingerichtet ist, die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation zu vergleichen, und wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden, das erste Modul anzuweisen, die Verschlüsselung des sekundären Datenpfades auszuschalten und die Aktionskomponente des zweiten Moduls anzuweisen, Aktionen aufgrund der über den sekundären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen.
  • Durch diese Merkmale wird gewährleistet, dass eine zeitkritische Kommunikation zwischen dem ersten und dem zweiten Modul innerhalb eines eventuellen Sicherheitsziels abläuft, da immer mindestens eine unverschlüsselte, und damit nicht durch die Ver- und Entschlüsselung verlangsamte Kommunikation zwischen dem ersten und zweiten Modul besteht. Des Weiteren wird sichergestellt, dass eine Manipulation dieser unverschlüsselten Kommunikation entdeckt wird, da die Vergleichsinformation auf dem sekundären Datenpfad verschlüsselt und damit manipulationssicher kommuniziert wird.
  • Vorteilhaft ist hierbei die Kommunikation zwischen dem ersten Modul und dem zweiten Modul zeitkritisch, und die unverschlüsselte Kommunikation ist eingerichtet, Zeitziele im Normalfall nicht zu verletzen.
  • Vorteilhaft ist die Verbindung zwischen der Empfangskomponente, der Entschlüsselungskomponente, der Vergleichskomponente und der Aktionskomponente des zweiten Moduls eine interne Steuergerätekommunikation des zweiten Moduls, die von außen nicht zugänglich ist. Besonders vorteilhaft ist diese interne Steuergerätekommunikation manipulationssicher.
  • Vorteilhaft beinhaltet das Vergleichen der über den primären Datenpfad empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad empfangenen Kommunikation in der Vergleichskomponente eine Überprüfung, ob die Daten der über den primären Datenpfad empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad empfangenen Kommunikation funktional gleich sind.
  • Vorteilhaft ist die Vergleichskomponente weiterhin eingerichtet, ein Fehlersignal zu generieren, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden, und das Steuerungssystem ist eingerichtet, das Fehlersignal zu empfangen und, als Reaktion auf das Fehlersignal, das Fahrzeug in einen sicheren Zustand zu bringen.
  • Vorteilhaft sind die Verschlüsselungskomponente und die Entschlüsselungskomponente eingerichtet, die Kommunikation mit Hilfe einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman durchzuführen.
  • Vorteilhaft umfasst der primäre Datenpfad und/oder der sekundäre Datenpfad eine Busverbindung, insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB. Besonders vorteilhaft umfasst der erste Datenpfad eine erste Busverbindung und der zweite Datenpfad eine zweite, unabhängige, Busverbindung.
  • In einem anderen Aspekt beinhaltet die Erfindung ein Verfahren zum einfehlertoleranten Steuern eines Fahrzeugs, umfassend: Erzeugen einer redundanten Kommunikation von einem ersten Modul zu einem zweiten Modul, mittels eines primären Datenpfades und eines sekundären Datenpfades; Übertragen der redundanten Kommunikation vom ersten Modul zum zweiten Modul über den primären Datenpfad und den sekundären Datenpfad, wobei die Übertragung über den sekundären Datenpfad verschlüsselt erfolgt; Durchführen, im zweiten Modul, einer Aktion aufgrund der über den primären Datenpfad übertragenen Kommunikation; Vergleichen, im zweiten Modul, der empfangenen Kommunikation über den primären Datenpfad und der entschlüsselten Kommunikation über den sekundären Datenpfad; wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden: Anweisen des ersten Moduls, die Kommunikation über den sekundären Datenpfad nicht mehr zu verschlüsseln; Anweisen des zweiten Moduls, Aktionen im Folgenden aufgrund der über den sekundären Datenpfad empfangen Kommunikation auszuführen.
  • Weitere Aspekte der Erfindung beinhalten ein computerlesbares Speichermedium, das Informationen enthält, die, wenn sie auf einem oder mehreren Prozessoren ausgeführt werden, diese veranlassen, die Schritte des Verfahrens entsprechend einer Ausführungsform der Erfindung auszuführen, sowie ein Fahrzeug mit einem redundanten Steuerungssystem entsprechend einer Ausführungsform der Erfindung.
  • Ausführungsbeispiele der Erfindung werden nachstehend anhand der Zeichnungen erläutert. Es zeigen:
    • 1 ein schematisches Diagramm eines redundanten Steuerungssystems entsprechend einer Ausführungsform der Erfindung und
    • 2 einen Ablaufplan eines Verfahrens nach einer Ausführungsform der Erfindung.
    • 3 ein Fahrzeug, in dem das redundante Steuerungssystem nach den Ausführungsformen der Erfindung verwendet werden kann.
  • 1 zeigt ein schematisches Diagramm eines Systems 100 nach einer Ausführungsform der vorliegenden Erfindung. Hierbei sind ein erstes Modul 110 und ein zweites Modul 120 durch einen ersten, primären Datenpfad 130 und einen zweiten, sekundären Datenpfad 140, vorteilhaft zwei Busverbindungen 131, 141, kommunikativ verbunden. Zu diesem Zweck enthält das erste Modul 110 eine Sendekomponente 111 und das zweite Modul 120 eine Empfangskomponente 121, die mit dem primären Datenpfad 130 und dem sekundären Datenpfad 140 verbunden sind. Ebenfalls enthält das erste Modul 110 eine Verschlüsselungskomponente 112 und das zweite Modul eine Entschlüsselungskomponente 122, die mit der jeweiligen Sendekomponente 111 und Empfangskomponente 121 verbunden sind. Des weiteren enthält das zweite Modul 120 eine Vergleichskomponente 123 und eine Aktionskomponente 124, die mit der Empfangskomponente 121 kommunikativ, vorteilhaft durch eine, insbesondere manipulationssichere, interne Steuergerätekommunikation des zweiten Moduls 120 verbunden ist, wobei die Entschlüsselungskomponente 122 hierbei zwischen die Empfangskomponente 121 und die Vergleichskomponente 123 geschaltet ist.
  • Im normalen Betrieb erzeugt das erste Modul 110 eine funktional identische Kommunikation, also eine Kommunikation, die funktional identische Daten und Anweisungen enthält, aber sich z.B. im Header und/oder der Codierung unterscheiden kann, sowohl über den primären Datenpfad 130 als auch über den sekundären Datenpfad 140, wobei die Kommunikation über den sekundären Datenpfad 140 mit Hilfe der Verschlüsselungskomponente 112 verschlüsselt wird.
  • Das zweite Modul 120 empfängt die Kommunikation sowohl über den primären Datenpfad 130 als auch über den sekundären Datenpfad 140, und führt, mittels der Aktionskomponente 124 eine Aktion entsprechend der über den primären Datenpfad 130 empfangenen Daten und Anweisungen aus. Da hierzu keine Ver- und Entschlüsselung der Kommunikation über den ersten Kommunikationskanal 130 nötig ist, erfolgen diese Aktionen schnell, vorteilhafterweise ohne die Verletzung von Zeitzielen eines Sicherheitsprotokolls.
  • Gleichzeitig vergleicht die Vergleichskomponente 123 die Kommunikation über den primären Datenpfad 130 und die entschlüsselte Kommunikation über den sekundären Datenpfad 140. Wenn der Vergleich der beiden Kommunikationen einen insbesondere funktionalen Unterschied der übertragenen Anweisungen und Daten ergibt, ist dies ein Hinweis auf Manipulation des primären Datenpfades 130. In diesem Fall wird das erste Modul angewiesen, die Übertragung über den sekundären Datenpfad 140 nicht mehr zu verschlüsseln, die Aktionskomponente 124 wird angewiesen, Aktionen von nun an aufgrund der über den, jetzt unverschlüsselten, sekundären Datenpfad 140 empfangenen Daten und Anweisungen auszuführen, und, vorteilhafterweise, wird das Steuerungssystem angewiesen, das Fahrzeug in einen sicheren Zustand, insbesondere Stillstand, zu bringen.
  • 2 zeigt einen Ablaufplan eines Verfahrens nach einer Ausführungsform der Erfindung: Im ersten Schritt 210 wird eine redundante Kommunikation des ersten Moduls 110 zu einem zweiten Modul 120 mittels eines primären Datenpfades 130 und eines sekundären Datenpfades 140 erzeugt. Im darauffolgenden Übertragungsschritt 220 wird die redundante Kommunikation vom ersten Modul 110 zum zweiten Modul 120 über den primären Datenpfad 130 und den sekundären Datenpfad 140, vorteilhaft ein erstes und zweites Bussystem, übertragen, wobei die Übertragung über den sekundären Datenpfad 130 verschlüsselt erfolgt.
  • Als Folge der erhaltenen Kommunikation führt im darauf folgenden Aktionsschritt 230 das zweite Modul 120 aufgrund der über den primären Datenpfad 130 übertragenen Kommunikation eine Aktion aus. Da die Kommunikation über den primären Datenpfad 130 unverschlüsselt erfolgt, werden hierdurch eventuelle Zeitziele zur Ausführung der Aktion im Normalfall nicht verletzt.
  • Ebenfalls als Folge der erhaltenen Kommunikation, und teilweise parallel zur Ausführung der Aktion im Aktionsschritt 230 vergleicht im darauf folgenden Vergleichsschritt 240 das zweite Modul die empfangene Kommunikation über den primären Datenpfad 130 mit der entschlüsselten Kommunikation über den sekundären Datenpfad 140. Falls dieser Vergleich ergibt, dass die empfangene Kommunikation über den primären Datenpfad 130 und die entschlüsselte Kommunikation über den sekundären Datenpfad 140 funktional identisch sind, also funktional gleiche Anweisungen und funktional gleiche Daten enthalten, geht das Verfahren weiter beim ersten Schritt 210.
  • Wenn im Vergleichsschritt 240 ein Unterschied festgestellt wurde, also die Übertragung über den primären Datenkanal vermutlich verfälscht wurde, geht das Verfahren weiter zum ersten Anweisungsschritt 250. In diesem ersten Anweisungsschritt 250 wird das erste Modul 110 angewiesen, die Kommunikation über den sekundären Datenpfad 130 nicht mehr zu verschlüsseln und im darauffolgenden zweiten Anweisungsschritt 260 wird das zweite Modul 120 angewiesen, Aktionen im Folgenden aufgrund der über den sekundären Datenpfad 140 empfangen Kommunikation auszuführen. Durch diese Schritte ist weiterhin eine Ausführung der angewiesenen Aktionen im zweiten Modul 120 möglich, die eventuelle Zeitziele zur Ausführung der Aktion im Normalfall nicht verletzt.
  • Vorteilhaft enthält das Verfahren nach den Anweisungen der vorhergehenden Anweisungsschritte 250, 260 noch weitere Schritte, die die Sicherheit des Steuerungssystems, und des Fahrzeuges gewährleisten. Diese Schritte umfassen: Generieren 270 eines Fehlersignals, und, als Reaktion auf das Fehlersignal, Bringen 280 des Fahrzeugs in einen sicheren Zustand, insbesondere Bringen des Fahrzeugs zum Stillstand.
  • 3 zeigt schematisch ein Fahrzeug entsprechend einer Ausführungsform der Erfindung. Hierbei ist das Steuerungssystem (100) in einem Fahrzeug (300) integriert. Insbesondere wird gezeigt, wie vorteilhaft die primären (130) und sekundären (140) Datenpfade zur Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) durch eine erste (131) und eine zweite (132) Busverbindung ausgeführt werden können.
  • Bezugszeichenliste
    • 100
    Steuerungssystem
    110
    erstes Modul
    111
    Sendekomponente
    112
    Verschlüsselungskomponente
    120
    zweites Modul
    121
    Empfangskomponente
    122
    Entschlüsselungskomponente
    123
    Vergleichskomponente
    124
    Aktionskomponente
    130
    primärer Datenpfad
    131
    erste Busverbindung
    140
    sekundärer Datenpfad
    141
    zweite Busverbindung
    200
    Steuerungsverfahren
    210
    Erzeugen einer redundanten Kommunikation
    220
    Übertragungsschritt
    230
    Aktionsschritt
    240
    Vergleichsschritt
    250
    erster Anweisungsschritt
    260
    zweiter Anweisungsschritt
    270
    Generieren eines Fehlersignals
    280
    Bringen des Fahrzeugs in einen sicheren Zustand
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102013200535 A1 [0002]
    • DE 102013114355 A1 [0003]

Claims (15)

  1. Einfehlertolerantes Steuerungssystem (100) zur Verwendung in einem Fahrzeug, umfassend: ein erstes Modul (110), beinhaltend: eine Sendekomponente (111), und eine Verschlüsselungskomponente (112), verbunden mit der Sendekomponente (111); ein zweites Modul (120), beinhaltend: eine Empfangskomponente (121), eine Entschlüsselungskomponente (122), verbunden mit der Empfangskomponente (121), eine Vergleichskomponente (123), verbunden mit der Empfangskomponente (121) und der Entschlüsselungskomponente (122), und eine Aktionskomponente (124), verbunden mit der Empfangskomponente (121); einen primären Datenpfad (130) zur Kommunikation zwischen der Sendekomponente (111) und der Empfangskomponente (121); und einen sekundären Datenpfad (140) zur Kommunikation zwischen der Sendekomponente (111) und der Empfangskomponente (121), wobei die Aktionskomponente (124) eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad (130) empfangenen unverschlüsselten Kommunikation auszuführen, dadurch gekennzeichnet, dass die Verschlüsselungskomponente (112) eingerichtet ist, die Kommunikation über den sekundären Datenpfad (140) zu verschlüsseln, die Entschlüsselungskomponente (122) eingerichtet ist, die empfangene Kommunikation zu entschlüsseln, und dass die Vergleichskomponente (123) eingerichtet ist, die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation zu vergleichen, und wenn ein Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, das erste Modul (110) anzuweisen, die Verschlüsselung des sekundären Datenpfades (140) auszuschalten und die Aktionskomponente (124) anzuweisen, Aktionen aufgrund der über den sekundären Datenpfad (140) empfangenen unverschlüsselten Kommunikation auszuführen.
  2. Steuerungssystem (100) nach Anspruch 1, dadurch gekennzeichnet, dass die Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) zeitkritisch ist, und die unverschlüsselte Kommunikation eingerichtet ist, die Zeitziele im Normalfall nicht zu verletzen.
  3. Steuerungssystem (100) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Verbindung zwischen der Empfangskomponente (121), der Entschlüsselungskomponente (122), der Vergleichskomponente (123) und der Aktionskomponente (124) eine interne Steuergerätekommunikation des zweiten Moduls ist, die von außen nicht zugänglich ist, wobei die interne Steuergerätekommunikation bevorzugt manipulationssicher ist.
  4. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Vergleichen der über den primären Datenpfad (130) empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation in der Vergleichskomponente (123) eine Überprüfung umfasst, ob die Daten der über den primären Datenpfad (130) empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation funktional gleich sind.
  5. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Vergleichskomponente (123) weiterhin eingerichtet ist, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, ein Fehlersignal zu generieren, und das Steuerungssystem (100) eingerichtet ist, das Fehlersignal zu empfangen und, als Reaktion auf das Fehlersignal, das Fahrzeug anzuweisen, einen sicheren Zustand einzunehmen.
  6. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Verschlüsselungskomponente (112) und die Entschlüsselungskomponente (122) eingerichtet sind, die Kommunikation mit Hilfe einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman durchzuführen.
  7. Steuerungssystem (100) nach einem der vorangehenden Ansprüche dadurch gekennzeichnet, dass der primäre Datenpfad (130) und/oder der sekundäre Datenpfad (140) eine Busverbindung (131, 141), insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB umfasst.
  8. Verfahren (200) zum einfehlertoleranten Steuern eines Fahrzeugs, umfassend: Erzeugen (210) einer redundanten Kommunikation von einem ersten Modul (110) zu einem zweiten Modul (120), mittels eines primären Datenpfades (130) und eines sekundären Datenpfades (140); Übertragen (220) der redundanten Kommunikation vom ersten Modul (110) zum zweiten Modul (120) über den primären Datenpfad (130) und den sekundären Datenpfad (140), wobei die Übertragung über den sekundären Datenpfad (130) verschlüsselt erfolgt; Durchführen (230), im zweiten Modul (120), einer Aktion aufgrund der über den primären Datenpfad (130) übertragenen Kommunikation; Vergleichen (240), im zweiten Modul (120), der empfangenen Kommunikation über den primären Datenpfad (130) und der entschlüsselten Kommunikation über den sekundären Datenpfad (140); wenn der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden: Anweisen (250) des ersten Moduls (110), die Kommunikation über den sekundären Datenpfad (130) nicht mehr zu verschlüsseln; Anweisen (260) des zweiten Moduls (110), Aktionen im Folgenden aufgrund der über den sekundären Datenpfad (140) empfangen Kommunikation auszuführen.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) zeitkritisch ist, und das Übertragen (220) der unverschlüsselten Kommunikation die Zeitziele im Normalfall nicht verletzt.
  10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass das Vergleichen (240) der über den primären Datenpfad (130) empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation eine Überprüfung umfasst, ob die Daten der über den primären Datenpfad (130) empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation funktional gleich sind.
  11. Verfahren nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass das Verfahren, nachdem der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, weiterhin Folgendes umfasst: Generieren (270) eines Fehlersignals; und als Reaktion auf das Fehlersignal, Bringen (280) des Fahrzeugs in einen sicheren Zustand.
  12. Verfahren nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass das verschlüsselte Übertragen (220) der Kommunikation die Verwendung einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman umfasst.
  13. Verfahren nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass das Übertragen (220) über den primären Datenpfad (130) und/oder den sekundären Datenpfad (140) eine Busverbindung (131, 141), insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB umfasst.
  14. Computerlesbares Speichermedium, welches Informationen enthält, die, wenn sie auf einem oder mehreren Prozessoren ausgeführt werden, diese veranlassen, die Schritte des Verfahrens nach einem der Ansprüche 8-13 auszuführen.
  15. Fahrzeug mit einfehlertolerantem Steuerungssystem nach einem der Ansprüche 1-7.
DE102022211587.2A 2022-11-02 2022-11-02 Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen Active DE102022211587B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022211587.2A DE102022211587B4 (de) 2022-11-02 2022-11-02 Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
PCT/EP2023/076705 WO2024094372A1 (de) 2022-11-02 2023-09-27 Sicherer betrieb von redundanten, einfehlertoleranten steuergeräten im fahrzeug mit signierten signalen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022211587.2A DE102022211587B4 (de) 2022-11-02 2022-11-02 Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen

Publications (2)

Publication Number Publication Date
DE102022211587A1 true DE102022211587A1 (de) 2024-05-02
DE102022211587B4 DE102022211587B4 (de) 2024-05-08

Family

ID=88237459

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022211587.2A Active DE102022211587B4 (de) 2022-11-02 2022-11-02 Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen

Country Status (2)

Country Link
DE (1) DE102022211587B4 (de)
WO (1) WO2024094372A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013200535A1 (de) 2013-01-16 2014-07-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102013114355A1 (de) 2013-01-25 2014-08-21 Infineon Technologies Ag Verfahren, vorrichtung und computerprogramm zur digitalen übertragung von nachrichten

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19610161C2 (de) 1996-03-15 1998-01-22 Mannesmann Vdo Ag Datenübertragungsvorrichtung in einem Fahrzeug, bestehend aus einem Impulsgeber und einem Kontrollgerät, sowie Impulsgeber für das Kontrollgerät

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013200535A1 (de) 2013-01-16 2014-07-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102013114355A1 (de) 2013-01-25 2014-08-21 Infineon Technologies Ag Verfahren, vorrichtung und computerprogramm zur digitalen übertragung von nachrichten

Also Published As

Publication number Publication date
DE102022211587B4 (de) 2024-05-08
WO2024094372A1 (de) 2024-05-10

Similar Documents

Publication Publication Date Title
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
EP2637362A1 (de) Busteilnehmer-Einrichtung zum Anschluss an einen linienredundanten, seriellen Datenbus und Verfahren zur Steuerung der Kommunikation eines Busteilnehmers mit einem linienredundanten, seriellen Datenbus
DE102007032805A1 (de) Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
EP3412018B1 (de) Verfahren zum austausch von nachrichten zwischen sicherheitsrelevanten vorrichtungen
WO2024002687A1 (de) Verfahren zur absicherung einer datenverbindung
DE102017219661A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE10337699A1 (de) Verfahren und Vorrichtung zur Übertragung von Daten über ein Busnetz unter Verwendung des Broadcast-Prinzip
DE102022211587B4 (de) Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
EP3659317B1 (de) Verfahren zum bereitstellen eines sicheren telegramms
DE19833867C2 (de) Verfahren zur sicheren einkanaligen Übertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102021120393B3 (de) Verfahren und Verschaltung zum Betrieb eines Netzwerks oder Netzwerkabschnitts
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE102013221955A1 (de) Sicherheitsrelevantes System
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
EP2822227B1 (de) CAN-FD-Kommunikationsnetzwerk
DE102005032877A1 (de) Verfahren zur Zeitsynchronisation von Teilnehmern eines Netzwerks
DE102006042131B4 (de) Rechnersystem
EP3987697B1 (de) Verfahren zum betreiben eines kommunikationsnetzwerks, kommunikationsnetzwerk und teilnehmer für ein kommunikationsnetzwerk
WO2017063996A1 (de) Verfahren zur generierung eines geheimnisses in einem netzwerk mit wenigstens zwei übertragungskanälen
WO2017186457A1 (de) Verfahren zur wegredundanzbewertung in einem backbone-netzwerk
EP4066114A1 (de) Verfahren zur überprüfung einer signalverbindung
EP0525921A2 (de) Von quellenseitig her sich wiederholende kryptologisch verschlüsselte Datenübertagung
EP3939241A1 (de) Zugerfassungssystem sowie verfahren zum übermitteln von nachrichten in einem zugerfassungssystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division