EP1605410B1 - Tachograph - Google Patents

Tachograph Download PDF

Info

Publication number
EP1605410B1
EP1605410B1 EP05104736A EP05104736A EP1605410B1 EP 1605410 B1 EP1605410 B1 EP 1605410B1 EP 05104736 A EP05104736 A EP 05104736A EP 05104736 A EP05104736 A EP 05104736A EP 1605410 B1 EP1605410 B1 EP 1605410B1
Authority
EP
European Patent Office
Prior art keywords
microcontroller
memory
tachograph
connection
display
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Not-in-force
Application number
EP05104736A
Other languages
English (en)
French (fr)
Other versions
EP1605410A3 (de
EP1605410A2 (de
Inventor
Jochen Kiemes
Reinhard Ewald Stumpe
Gerhard Rombach
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to PL05104736T priority Critical patent/PL1605410T3/pl
Publication of EP1605410A2 publication Critical patent/EP1605410A2/de
Publication of EP1605410A3 publication Critical patent/EP1605410A3/de
Application granted granted Critical
Publication of EP1605410B1 publication Critical patent/EP1605410B1/de
Not-in-force legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time

Definitions

  • the invention relates to a tachograph which stores vehicle operating data digitally in a memory, with a display and control elements and with a first microcontroller.
  • a device for controlling the distance measurement of motor vehicles is known.
  • the two microprocessors are connected by means of connection and transmission means by a two-sided, encrypted and individual communication with each other.
  • the device contains unauthorized manipulation security means having internal means for protecting the microprocessors.
  • a protected encryption chip comprising an encryption unit and a security sensor is known.
  • the encryption chip is designed to detect one or more attack events and to respond to the attack events by means of appropriate measures.
  • Information to be protected is only available within the protected encryption chip and thus protected from attacks by the appropriate measures.
  • the invention has therefore taken on the task of creating a tachograph of the type mentioned above, which meets the high demands on the security against manipulation and at the same time is designed in its construction such that minor changes, especially in terms of appearance and user guidance, with less effort can be realized.
  • the invention proposes that the first microcontroller of the tachograph described above has an arithmetic unit, an encryption unit, a first memory and a safety sensor as integral components, which safety sensor monitors at least one safety-critical environmental parameters, namely a clock frequency of the first microcontroller, a Operating temperature of the microcontroller, a supply voltage of the microcontroller, or a resistance of the microcontroller substantially surrounding protective layer, wherein the first microcontroller with a second microcontroller of the tachograph is in a first connection, by means of which data are transferable and the first microcontroller with a transmitter comprising a internal encryption unit is in a signal transmitting third connection, which measures a speed at a transmission component and the first microcontroller übe determines which second microcontroller by means of a second connection is connected to an operating system or a display system and controls the layout of the display of the display or the function of the controls.
  • a safety-critical environmental parameters namely a clock frequency of the first microcontroller, a Operating temperature
  • the advantages of a tachograph with such an architecture of the first microcontroller and the interaction with a second microcontroller are, above all, the extensive integration of the safety functions in the first microcontroller, which considerably reduces the device costs in terms of the area of the printed circuit boards, component diversity and assembly costs. As a result, an increase in the quality of the other components is also associated with reduced costs.
  • the decisive advantage of the invention lies above all in the separation of flexibly to be handled properties and safety-critical functions of the tachograph.
  • the flexibly manageable features, the modification of which does not require a new safety certification and which are realized by means of the second microcontroller, can be easily adapted taking into account customer wishes.
  • the second microcontroller may include driver components for a display, in particular for an LCD, optionally as an integral component.
  • operating elements for example pushbuttons or dials, or the operating systems corresponding to these operating elements are connected to the second microcontroller, which converts the inputs made by means of these operating elements or operating systems into instructions or inputs suitable for the first microcontroller.
  • Speed at a transmission component proves to be a direct connection between the first microcontroller and the transmitter for signal transmission as appropriate.
  • the second microcontroller may have a direct connection to the transmitter, so that, for example, a direct representation of the speed is possible without prior evaluation by the first microcontroller on a display of the tachograph.
  • the storage of cryptological keys in the first memory by means of which the encryption unit encrypts vehicle operating data.
  • the first microcontroller has an active hardware protection, for example a protective layer which surrounds the semiconductor component and is continuously checked for integrity by means of a security sensor, it makes sense if these sensitive data are protected against tampering and protected against unauthorized access.
  • the third memory may expediently be embodied cost-effectively as encrypted random access memory (coded RAM) or encrypted non-volatile memory (coded flash).
  • the first microcontroller With a not in the microcontroller itegrated battery is in communication, which supplies the contents of the first memory and an integrated into the microcontroller real-time clock with the required operating power.
  • the battery voltage can expediently be monitored by the safety sensor system, wherein the real-time clock can additionally be used as a manipulation indicator by subjecting certain timestamps to a subsequent evaluation. Due to the energetic buffering of the real-time clock and the memory containing cryptographic key, the first microcontroller can be switched off from the supply network. In this way, relatively low supply energies can be achieved. This power-down concept is particularly valuable in motor vehicles where power sources have limited capacity. If the first microcontroller can be switched off from an operating power supply network, it is expedient to configure the first microcontroller to be switchable on by the second microcontroller by means of an interrupt line between the two microcontrollers.
  • the first microcontroller can also control a display as a function of measured vehicle operating data
  • a data transmission connection is provided between the first microcontroller and the second microcontroller, by means of which the first microcontroller transmits vehicle operating data to the second microcontroller, the second microcontroller the display brings to the presentation.
  • deletion of the program memory in the first microcontroller may be provided for this case. So that the deletion process is always guaranteed, an integrated in the first microcontroller auxiliary energy buffering can be provided.
  • the in Fig. 1 illustrated tachograph 1 is connected to a transmitter 2 in a suitable for data transmission third connection 3.
  • the transmitter 2 transmits the measured data, namely the rotational speed n of a transmission component, not shown, encrypted by means of an internal encryption unit also not shown to the tachograph A-phen.
  • the encrypted rotational speed N is transmitted by means of the third connection 3 to both a first microcontroller 4 and a second microcontroller 5.
  • the first microcontroller 4 is surrounded by an active protective layer 6, which consists of strip conductors, which are monitored by means of a safety sensor 7 for their integrity.
  • the safety sensor 7 continuously measures a resistance value R of these printed conductors, not shown, or the protective layer 6 and causes when exceeding or Below r-stepping of a certain limit the deletion of kryptol o-gischen keys 8, which are stored in a first memory 9 de s first microcontroller 4 and a program code, with the first microcontroller 4 works.
  • a first memory 9 and the security sensors 7 are also an encryption unit 11, a real-time clock 12, a between the arithmetic unit 10 and the Ve r-encryption unit 11 arranged cache 13 (cache) and
  • the encryption unit 11 communicates with third memories 15 not integrated into the first microcontroller 4, namely an encrypted memory random access (coded RAM) 16 and an encrypted non-volatile i 17. Memory (coded flash) 17.
  • Speed measurement values transmitted by the transmitter 2 to the first microcontroller 4 are first processed by the calculating unit 10 and then transmitted to the buffer memory 13, to which the encryption processing unit 11 accesses this r evaluated vehicle operating data which subsequently are stored in the third memory 15.
  • a battery 18 provides for the maintenance of the functions of the safety sensor o-rik 7, the first memory 9 and the real-time clock 12 even in case of failure of a Energyverso r-supply by means of an external operating power supply network.
  • first connection 21 is the first Mikroko n-troller 4 with the second microcontroller 5 in the data exchange, so that the second microcontroller 5 ver means of the component 14, a control of display systems 22 and displays 23 ver-leaves.
  • User inputs in the tachograph 1 are possible by means of operating systems 25 and controls 26, whose Actuation be transmitted by means of an interface 30 to the first microcontroller 4 and / or the second microcontroller 5.
  • the safety sensor 7 monitors not only the integrity or the resistance R of the active protective layer 6 but also the environmental parameters clock frequency F, operating temperature T and supply voltage U. For each of the environmental parameters two limits are defined, when exceeding or falling below a deletion of the program files and the kry p-tological key 8 takes place.
  • the first microcontroller 4 is separable from the voltage of the operating s supply network 20, wherein an interrupt line 31 between the second microcontroller 5 and the first Mikroko n-troller 4 switching on or recording the full B e-drive voltage of the first microcontroller 4, caused by the second microcontroller 5 allows.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Steroid Compounds (AREA)

Description

  • Die Erfindung betrifft einen Tachographen , der Fahrzeugbetriebsdaten digital in einem Speicher speichert, mit einer Anzeige und Bedienelementen und mit einem ersten Mikrokontroller.
  • Die neue Generation von Fahrtschreibern bzw. Tachographen verwendet zur Aufzeichnung der Fahrzeugbetriebsdaten nicht mehr, wie herkömmlich, eine papierne Diagrammscheibe sondern speichert die Daten digital auf einem elektronischen Medium. Ein so genannter digitaler Tachograph ist bereits aus dem deutschen Gebrauchsmuster DE 298 12 216 U1 bekannt. Für den Einsatz in Nutzfahrzeugen muss ein derartiges Gerät von einschlägigen Behörden eine Sicherheitszertifizierung erhalten, was sehr aufwändig, zeitintensiv und kostenträchtig ist. Das Verfahren der Zertifizierung muss im Rahmen jeglicher Änderungen an den von der Zertifizierungsinstanz zu überprüfenden Bauteile durchschritten werden, so dass bereits die Berücksichtigung kleinerer Kundenwünsche mit einem sehr hohen behördlichen Aufwand einhergeht.
  • Aus der ES 2072189 A2 ist eine Einrichtung zur Kontrolle der Fahrstreckenmessung von Kraftfahrzeugen bekannt. In diesem Zusammenhang ist ein an das Getriebe des Kraftfahrzeugs angeschlossener und mit einem Mikroprozessor ausgestatteter Entfernungswandler und eine mit einem weiteren Mikroprozessor ausgestattete Baueinheit offenbart, wobei die Baueinheit aus einem Taxameter, Fahrtenschreiber oder einer Blackbox bestehen kann. Die zwei Mikroprozessoren sind mittels Anschluss- und Übertragungsmittel durch eine beidseitige, verschlüsselte und individuelle Kommunikation miteinander verbunden. Die Einrichtung enthält Sicherheitsmittel gegen unberechtigte Manipulation, die interne Mittel zum Schutz der Mikroprozessoren besitzen.
  • Aus der EP 0965902 A2 ist ein geschützter Verschlüsselungschip bekannt, der eine Verschlüsselungseinheit und eine Sicherheitssensorik umfasst. Der Verschlüsselungschip ist dazu ausgebildet, eine oder mehrere Angriffsereignisse zu erkennen und mittels entsprechender Maßnahmen auf die Angriffsereignisse zu reagieren. Zu schützende Informationen sind nur innerhalb des geschützten Verschlüsselungschips verfügbar und somit durch die entsprechenden Maßnahmen vor Angriffen geschützt.
  • Die Erfindung hat es sich daher zur Aufgabe gemacht, einen Tachographen der eingangs genannten Art zu schaffen, der den hohen Anforderungen an die Manipulationssicherheit gerecht wird und gleichzeitig in seinem Aufbau derart ausgebildet ist, dass kleinere Änderungen, insbesondere hinsichtlich des Erscheinungsbildes und der Benutzerführung, mit geringerem Aufwand realisiert werden können.
  • Zur Lösung der Aufgabe schlägt die Erfindung vor, dass der erste Mikrokontroller des eingangs beschriebenen Tachographen ein Rechenwerk, eine Verschlüsselungseinheit, einen ersten Speicher und eine Sicherheitssensorik als integrale Bauelemente aufweist, welche Sicherheitssensorik mindestens einen sicherheitskritischen Umgebungsparameter überwacht, nämlich eine Taktfrequenz des ersten Mikrokontrollers, eine Betriebstemperatur des Mikrokontrollers, eine Versorgungsspannung des Mikrokontrollers, oder einen Widerstandswert einer den Mikrokontroller im Wesentlichen umgebenden Schutzschicht, wobei der erste Mikrokontroller mit einem zweiten Mikrokontroller des Tachographen in einer ersten Verbindung steht, mittels derer Daten übertragbar sind und der erste Mikrokontroller mit einem Messwertgeber umfassend eine interne Verschlüsselungseinheit in einer Signale übertragenden dritten Verbindung steht, der an einem Getriebebauelement eine Drehzahl misst und dem ersten Mikrokontroller übermittelt, welcher zweite Mikrokontroller mittels einer zweiten Verbindung mit einem Bediensystem oder einem Anzeigesystem verbunden ist und das Layout der Darstellung der Anzeige oder die Funktion der Bedienelemente steuert.
  • Die Vorteile eines Tachographen mit einer derartigen Architektur des ersten Mikrokontrollers und das Zusammenwirken mit einem zweiten Mikrokontroller bestehen vor allem in der weitgehenden Integration der Sicherheitsfunktionen in dem ersten Mikrokontroller, was die Gerätekosten in Bezug auf die Fläche der Leiterplatten, Bauteilevielfalt und Montagekosten erheblich reduziert. Das führt dazu, dass eine Erhöhung der Qualität der einzelnen übrigen Baugruppen gleichfalls mit reduzierten Kosten einhergeht. Der entscheidende Vorteil der Erfindung liegt vor allem in der Trennung flexibel zu handhabender Eigenschaften und sicherheitskritischer Funktionen des Tachographen. Die flexibel handhabbaren Eigenschaften, deren Änderung keine neuerliche Sicherheitszertifizierung erfordert und die mittels des zweiten Mikrokontrollers realisiert werden, können unter Berücksichtigung von Kundenwünschen leicht angepasst werden. Beispielsweise können dem Kunden ein eigenes Anzeige-Konzept oder besondere Schnittstellenfunktionen angeboten werden, ohne sicherheitsrelevante Funktionen des Tachographen verändern zu müssen. Der zweite Mikrokontroller kann hierbei Treiberbauelemente für eine Anzeige, insbesondere für eine LCD, gegebenenfalls als integrales Bauelement, umfassen. Daneben ist es zweckmäßig, wenn Bedienelemente, beispielsweise Druckknöpfe oder Drehregler bzw. die mit diesen Bedienelementen korrespondierenden Bediensysteme mit dem zweiten Mikrokontroller in Verbindung stehen, der die mittels dieser Bedienelemente bzw. Bediensysteme getätigten Eingaben in für den ersten Mikrokontroller geeignete Anweisungen bzw. Eingaben umsetzt. Zur Aufzeichnung und Auswertung der mittels eines Messwertgebers gemessenen. Drehzahl an einem Getriebebauelement erweist sich eine direkte Verbindung zwischen dem ersten Mikrokontroller und dem Messwertgeber zur Signalübertragung als zweckmäßig. Gegebenenfalls kann der zweite Mikrokontroller eine direkte Verbindung zu dem Messwertgeber aufweisen, so dass beispielsweise eine direkte Darstellung der Geschwindigkeit ohne vorherige Auswertung durch den ersten Mikrokontroller auf einer Anzeige des Tachographen möglich ist.
  • Besonders zweckmäßig ist die Speicherung kryptologischer Schlüssel in dem ersten Speicher, mittels derer die Verschlüsselungseinheit Fahrzeugsbetriebsdaten verschlüsselt. Insbesondere, wenn der erste Mikrokontroller einen aktiven Hardwareschutz aufweist, beispielsweise eine Schutzschicht, die das Halbleiterbauelement umgibt und mittels einer Sicherheitssensorik stetig auf Unversehrtheit überprüft wird, ist es sinnvoll, wenn diese sensiblen Daten in dieser Weise manipulationsgesichert und vor unbefugtem Zugriff geschützt sind.
  • Ein hohes Maß an Flexibilität hinsichtlich der Ausbildung des Speichermediums, auf dem die Fahrzeugbetriebsdaten digital abgelegt sind, ergibt sich, wenn die Verschlüsselungseinheit mit einem dritten Speicher, der kein integrales Bauelement des ersten Mikrokontrollers ist, in Verbindung steht und die Fahrzeugbetriebsdaten verschlüsselt in dem dritten Speicher speichert. Aufgrund des besonderen Schutzes der Verschlüsselungseinheit, die dem Mikrokontroller zugeordnet ist und der kryptologischen Schlüssel ermöglicht die Erfindung ohne jegliche Einbuße der Schwierigkeit einer Manipulation eine Ablage der verschlüsselten Fahrzeugsbetriebsdaten in einem ansonsten nicht zwingend gegen mechanische Manipulation geschützten Speichermedium. Der dritte Speicher kann hierbei zweckmäßig als verschlüsselter Speicher wahlfreien Zugriffs (Coded RAM) oder verschlüsselter nichtflüchtiger Speicher (Coded Flash) kostengünstig ausgebildet sein.
  • Zur Gewährleistung der korrekten Funktion auch bei Ausfall einer externen Spannungsversorgung ist es sinnvoll, wenn der erste Mikrokontroller mit einer nicht in den Mikrokontroller itegrierten Batterie in Verbindung steht, welche den Inhalt des ersten Speichers und eine in den Mikrokontroller integrierte Real-Time-Clock mit der erforderlichen Betriebsenergie versorgt. Zweckmäßig kann die Batteriespannung von der Sicher-heitssensorik überwacht werden, wobei die Real-Time-Clock zusätzlich als Manipulations-Indikator verwendbar ist, indem bestimmte Zeitmarken einer nachträglichen Auswertung unterzogen werden. Aufgrund der energetischen Pufferung der Real-Time-Clock und des Speichers, der kryptologische Schlüssel enthält, kann der erste Mikrokontroller vom Versorgungsnetz abgeschaltet werden. Auf diese Weise können verhältnismäßig niedrige Versorgungsenergien erreicht werden. Dieses Power-Down-Konzept ist im Kraftfahrzeug, wo Energiequellen begrenzte Kapazität aufweisen, besonders wertvoll. Wenn der erste Mikrokontroller von einem Betriebsenergieversorgungsnetz abschaltbar ausgebildet ist, ist es zweckmäßig, den ersten Mikrokontroller von dem zweiten Mikrokontroller mittels einer Interrupt -Leitung zwischen den beiden Mikrokontrollern einschaltbar auszubilden.
  • Damit der erste Mikrokontroller auch abhängig von gemessenen Fahrzeugbetriebsdaten situationsgerecht eine Anzeige ansteuern kann, ist es von Vorteil, wenn zwischen dem ersten Mikrokontroller und dem zweiten Mikrokontroller eine Datenübertragungsverbindung vorgesehen ist, mittels derer der erste Mikrokontroller dem zweiten Mikrokontroller Fahrzeugbetriebsdaten übermittelt, die der zweite Mikrokontroller auf der Anzeige zur Darstellung bringt.
  • Eine maximale Sicherheit gegen unbefugten Zugriff wird erhalten, wenn die Sicherheitssensorik bei einem Über - oder Unterschreiten eines vorbestimmten Grenzwerts für einen Umgebungsparameter die in dem ersten Speicher gespeicherten kryptologischen Schlüssel löscht.
  • Zusätzlich kann ein Löschen des Programmspeichers in dem ersten Mikrokontroller für diesen Fall vorgesehen sein. Damit der Löschvorgang stets gewährleistet ist, kann eine in den ersten Mikrokontroller integrierte Hilf s-energiepufferung vorgesehen sein.
  • Im Folgenden ist die Erfindung anhand eines Ausführungsbe i-spiels unter Bezugnahme auf eine Zeichnun g näher beschrieben. Es zeigt:
    • Fig. 1:
    eine schematische Darstellung der Funktionsweise des erfindungsgemäßen Tachographen.
  • Der in Fig. 1 dargestellte Tachograph 1 steht mit einem Messwertgeber 2 in einer zur Datenübertragung geeigneten dritten Verbindung 3. Der Messwertgeber 2 übermittelt die gemessenen Daten, nämlich die Drehzahl n eines nicht dargestellten Getriebebauelements, mittels einer gleichfalls nicht dargestellten internen Verschlüsselungseinheit verschlüsselt an den Tachogr a-phen 1. In dem Tachographen 1 wird die verschlüsselte Drehzahl N mittels der dritten Verbindung 3 sowohl an einen ersten Mi k-rokontroller 4 als auch an einen zweiten Mikrokon troller 5 übermittelt.
  • Der erste Mikrokontroller 4 ist von einer aktiven Schutzschicht 6 umgeben, die aus Leiterbahnen besteht, welche mittels einer Sicherheitssensorik 7 auf ihre Unversehrtheit überwacht werden. Hierzu misst die Sicherheitssensorik 7 stetig einen Widerstandswert R dieser nicht dargestellten Leiterbahnen bzw. der Schutzschicht 6 und veranlasst bei Überschreiten oder Unte r-schreiten eines bestimmtes Grenzwerts das Löschen von kryptol o-gischen Schlüsseln 8, die in einem ersten Speicher 9 de s ersten Mikrokontrollers 4 gespeichert sind sowie eines Programmcodes, mit dem der erste Mikrokontroller 4 arbeitet. Neben einem R e-chenwerk 10, einem ersten Speicher 9 und der Sicherheitssensorik 7 sind auch noch eine Verschlüsselungseinheit 11, eine Real-Time-Clock 12, ein zwischen dem Rechenwerk 10 und der Ve r-schlüsselungseinheit 11 angeordneter Zwischenspeicher 13 (Cache) und ein verschiedener Schnittstellen verwaltendes Bauteil 14 wesentliche Bestandteile des ersten Mikrokontrollers 4. Die Verschlüsselungseinheit 11 steht mit nicht in den ersten Mikrokontroller 4 integrierten dritten Speichern 15 in Verbi n-dung, nämlich einem verschlüsselten Speicher wahlfreie Zugriffs (Coded RAM) 16 und einem verschlüsselten nichtflücht i-gen Speicher (Coded Flash) 17. Von dem Messwertgeber 2 an den ersten Mikrokontroller 4 übermittelte Drehzahlmesswerte werden zunächst von dem Rechenwerk 10 verarbeitet und anschließend an den Zwischenspeicher 13 übermittelt, auf den die Verschlüss e-lungseinheit 11 zur Verschlüsselung diese r ausgewerteten Fahrzeugsbetriebsdaten zugreift, welche anschließend in den dritten Speicher 15 abgelegt werden.
  • Eine Batterie 18 sorgt selbst bei Ausfall einer Energieverso r-gung mittels eines externen Betriebsenergieversorgungsnetzes 20 für die Aufrechterhaltung der Funktionen der Sicherheitssens o-rik 7, des ersten Speichers 9 und der Real -Time-Clock 12.
  • Mittels einer ersten Verbindung 21 steht der erste Mikroko n-troller 4 mit dem zweiten Mikrokontroller 5 im Datenaustausch, so dass der zweite Mikrokontroller 5 mittels des Bauteils 14 eine Ansteuerung von Anzeigesystemen 22 und Anzeigen 23 vera n-lasst. Benutzerseitige Eingaben in den Tachographen 1 sind möglich mittels Bediensystemen 25 bzw. Bedienelementen 26, deren Betätigung mittels eines Interfaces 30 an den ersten Mikrokontroller 4 und/oder den zweiten Mikrokontroller 5 übermittelt werden.
  • Die Sicherheitssensorik 7 überwacht neben der Unversehrtheit bzw. dem Widerstandswert R der aktiven Schutzschicht 6 auch noch die Umgebungsparameter Taktfrequenz F , Betriebstemperatur T und Versorgungsspannung U. Für jeden der Umgebungsparameter sind zwei Grenzwerte definiert, bei deren Überschreiten bzw. Unterschreiten eine Löschung der Programmdateien und der kry p-tologischen Schlüssel 8 erfolgt.
  • Der erste Mikrokontroller 4 ist von der Spannung des Betrieb s-versorgungsnetzes 20 trennbar, wobei eine Interrupt -Leitung 31 zwischen dem zweiten Mikrokontroller 5 und dem ersten Mikroko n-troller 4 ein Einschalten bzw. eine Aufnahme der vollen B e-triebsspannung des ersten Mikrokontrollers 4, veranlasst durch den zweiten Mikrokontroller 5 ermöglicht.

Claims (8)

  1. Tachograph (1) mit einer Anzeige (23) und Bedienelementen (26), der Fahrzeugbetriebsdaten digital in einem Speicher speichert, mit einem ersten Mikrokontroller (4), wobei der Tachograph derart ausgebildet ist, dass der erste Mikrokontroller (4) ein Rechenwerk, eine Verschlüsselungseinheit (11), einen ersten Speicher (9) und eine Sicherheitssensorik (7) als integrale Bauelemente aufweist, welche Sicherheitssensorik (7) mindestens einen sicherheitskritischen Umgebungsparameter überwacht, nämlich eine Taktfrequenz des ersten Mikrokontrollers (4), eine Betriebstemperatur T des Mikrokontrollers, eine Versorgungsspannung (U) des Mikrokontrollers oder einen Widerstandswert (R) einer den Mikrokontroller im Wesentlichen umgebenden Schutzschicht (6), wobei der erste Mikrokontroller (4) mit einem zweiten Mikrokontroller (5) des Tachographen (1) in einer ersten Verbindung (21) steht, mittels derer Daten übertragbar sind und der erste Mikrokontroller (4) mit einem Messwertgeber (2) umfassend eine interne Verschlüsselungseinheit in einer Signale übertragenden dritten Verbindung (3) steht, der an einem Getriebebauelement eine Drehzahl (n) misst und dem ersten Mikrokontroller (4) übermittelt, welcher zweite Mikrokontroller (5) mittels einer zweiten Verbindung mit einem Bediensystem (25) oder einem Anzeigesystem (22) verbunden ist und das Layout der Darstellung der Anzeige (23) oder die Funktion der Bedienelemente (26) steuert.
  2. Tachograph nach Anspruch 1, dadurch gekennzeichnet, dass in dem ersten Speicher (9) kryptologische Schlüssel (8) gespeichert sind, mittels derer die Verschlüsselungseinheit (11) Fahrzeugbetriebsdaten verschlüsselt.
  3. Tachograph nach Anspruch 1, dadurch gekennzeichnet, dass die Verschlüsselungseinheit (11) mit einem dritten Speicher (15), der kein integrales Bauelement des ersten Mikrokontrollers (4) ist, in Verbindung steht und die Fahrzeugbetriebsdaten verschlüsselt in dem dritten Speicher (15) speichert.
  4. Tachograph nach Anspruch 3, dadurch gekennzeichnet, dass der dritte Speicher (15) als verschlüsselter Speicher wahlfreiem Zugriffs, z.B. Coded RAM (16), oder verschlüsselter nichtflüchtiger Speicher, z.B. Coded Flash (17), ausgebildet ist.
  5. Tachograph nach Anspruch 1, dadurch gekennzeichnet, dass der erste Mikrokontroller (4) mit einer nicht in den Mikrokontroller integrierten Batterie (18) in Verbindung steht, welche den Inhalt des ersten Speichers (9) und eine in den Mikrokontroller integrierte Real -Time-Clock (12) bei Ausfällen einer externen Spannungsversorgung mit einer Betriebsenergie versorgt.
  6. Tachograph nach Anspruch 5, dadurch gekennzeichnet, dass der erste Mikrokontroller (4) von einem Betriebsenergieversorgungsnetz abschaltbar ist und der erste Mikrokontroller (4) von dem zweiten Mikrokontroller (5) mittels einer Interrupt-Leitung (31) zwischen dem ersten Mikrokontroller (4) und dem zweiten Mikrokontroller (5) einschaltbar ausgebildet ist.
  7. Tachograph nach Anspruch 1, dadurch gekennzeichnet, dass zwischen dem ersten Mikrokontroller (4) und dem zweiten Mikrokontroller (5) eine Datenübertragungsverbindung vorgesehen ist, mittels derer der erste Mikrokontroller (4) dem zweiten Mikrokontroller (5) Fahrzeugbetriebsdaten übermittelt, die der zweite Mikrokontroller (5) auf der Anzeige (23) zur Darstellung bringt.
  8. Tachograph nach Anspruch 2, dadurch gekennzeichnet, dass der Mikrokontroller, wenn die Sicher-heitssensorik (7) ein Überschreiten oder Unterschreiten eines bestimmten Grenzwertes für einen Umgebungsparameter ermittelt, in dem ersten Speicher (9) gespeicherte kryptologische Schlüssel (8) löscht.
EP05104736A 2004-06-11 2005-06-01 Tachograph Not-in-force EP1605410B1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PL05104736T PL1605410T3 (pl) 2004-06-11 2005-06-01 Tachograf

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004028338 2004-06-11
DE102004028338A DE102004028338A1 (de) 2004-06-11 2004-06-11 Tachograph

Publications (3)

Publication Number Publication Date
EP1605410A2 EP1605410A2 (de) 2005-12-14
EP1605410A3 EP1605410A3 (de) 2006-09-13
EP1605410B1 true EP1605410B1 (de) 2008-08-20

Family

ID=34982060

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05104736A Not-in-force EP1605410B1 (de) 2004-06-11 2005-06-01 Tachograph

Country Status (6)

Country Link
EP (1) EP1605410B1 (de)
AT (1) ATE405900T1 (de)
DE (2) DE102004028338A1 (de)
DK (1) DK1605410T3 (de)
ES (1) ES2313217T3 (de)
PL (1) PL1605410T3 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015214791A1 (de) * 2015-08-03 2017-02-09 Continental Automotive Gmbh Verfahren zur Betriebsvalidierung einer Sensoreinheit, Sensoreinheit und Tachographsystem
DE102018209163A1 (de) * 2018-06-08 2019-12-12 Continental Automotive Gmbh Bewegungssensor und Verfahren zum Betreiben eines Bewegungssensors

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006047245A1 (de) * 2006-10-04 2008-04-10 Siemens Ag Fahrtschreiberanordnung und Verfahren zum Einbringen einer Kennung in einen Adapter für die Fahrtschreiberanordnung
DE102007004280A1 (de) * 2007-01-23 2008-07-24 Siemens Ag Ein-Chip-Computer und Tachograph
DE102007043262A1 (de) * 2007-09-11 2009-03-12 Continental Automotive Gmbh Datenverarbeitungsvorrichtung für ein eingebettetes System
DE102008061710A1 (de) * 2008-12-12 2010-06-17 Continental Automotive Gmbh Verfahren zum Betreiben einer Sensorvorrichtung und Sensorvorrichtung
DE102009051350A1 (de) * 2009-10-30 2011-05-05 Continental Automotive Gmbh Verfahren zum Betreiben eines Tachographen und Tachograph

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD154877A3 (de) * 1980-07-23 1982-04-28 Uwe Knauff Digitaler fahrtschreiber
ES2072189B1 (es) * 1993-03-29 1997-08-16 Interfacom S A Sistema para el control de la medida del recorrido de vehiculos automoviles, aplicable en especial en taximetros, tacografos y cajas negras.
US5533123A (en) * 1994-06-28 1996-07-02 National Semiconductor Corporation Programmable distributed personal security
DE19512266C2 (de) * 1994-09-23 1998-11-19 Rainer Jacob Diebstahlschutzsystem für Fahrzeuge
DE19502657C1 (de) * 1995-01-28 1996-08-14 Vdo Schindling Verfahren und Vorrichtung zum Nachweis einer Manipulation an übertragenen Daten
DE19912781A1 (de) * 1999-03-12 2000-11-23 Francotyp Postalia Gmbh Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
DE10203433A1 (de) * 2002-01-28 2003-08-07 Kostal Leopold Gmbh & Co Kg Elektronische Steuereinrichtung

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015214791A1 (de) * 2015-08-03 2017-02-09 Continental Automotive Gmbh Verfahren zur Betriebsvalidierung einer Sensoreinheit, Sensoreinheit und Tachographsystem
DE102018209163A1 (de) * 2018-06-08 2019-12-12 Continental Automotive Gmbh Bewegungssensor und Verfahren zum Betreiben eines Bewegungssensors

Also Published As

Publication number Publication date
DE102004028338A1 (de) 2006-01-12
PL1605410T3 (pl) 2009-01-30
EP1605410A3 (de) 2006-09-13
ES2313217T3 (es) 2009-03-01
ATE405900T1 (de) 2008-09-15
DK1605410T3 (da) 2009-01-05
DE502005005075D1 (de) 2008-10-02
EP1605410A2 (de) 2005-12-14

Similar Documents

Publication Publication Date Title
EP1605410B1 (de) Tachograph
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP0788946B1 (de) Verfahren und Einrichtung zur Einprogrammierung von Betriebsdaten in Fahrzeugbauteile
EP2668607B1 (de) Verfahren zur überwachung eines tamperschutzes sowie überwachungssystem für ein feldgerät mit tamperschutz
DE102006045195B3 (de) Codeeingabeeinheit für elektronische Schließzylinder
DE19610161C2 (de) Datenübertragungsvorrichtung in einem Fahrzeug, bestehend aus einem Impulsgeber und einem Kontrollgerät, sowie Impulsgeber für das Kontrollgerät
EP2195790A1 (de) Tachograph, maut-on-board-unit, anzeigeinstrument und system
DE202005015165U1 (de) Fernsteuerbare Schließvorrichtung für ein Fahrzeug
DE102018210318B4 (de) Verfahren zur Sicherung von Fahrzeugkomponenten und entsprechende Fahrzeugkomponente
EP3531333B1 (de) Manipulationsgeschützte speicherung beweiserheblicher daten
DE4317119C2 (de) Diebstahlschutzeinrichtung als Immobilisationseinrichtung an einem Kraftfahrzeug
EP1399797A2 (de) Steuereinheit
DE4301436C2 (de) Sicherungssystem
EP1999521A1 (de) Feldgerät
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
EP2376871B1 (de) Verfahren zum betreiben einer sensorvorrichtung und sensorvorrichtung
Anderson On the security of digital tachographs
EP0377128A1 (de) Zündanlage für Kraftfahrzeuge
EP0724343B1 (de) Verfahren zum Nachweis einer Manipulation an zu übertragenen Daten
WO2001046785A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
EP1222621B1 (de) Integrierter schaltkreis und schaltungsanordnung zur stromversorgung eines integrierten schaltkreises
WO2009021599A1 (de) Elektromechanische feststellbremse für ein kraftfahrzeug
DE10152349B4 (de) Sicherheitseinrichtung
EP1175644B1 (de) Einrichtung zum uberwachen von betriebsparametern an eine elektrische oder elektronische steuerungseinrichtung aufweisenden anlagen
EP0794306A2 (de) Elektronisches Zugangskontroll- und Sicherheitssystem

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR LV MK YU

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR LV MK YU

17P Request for examination filed

Effective date: 20061010

17Q First examination report despatched

Effective date: 20061117

17Q First examination report despatched

Effective date: 20061117

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: CONTINENTAL AUTOMOTIVE GMBH

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REF Corresponds to:

Ref document number: 502005005075

Country of ref document: DE

Date of ref document: 20081002

Kind code of ref document: P

REG Reference to a national code

Ref country code: SE

Ref legal event code: TRGR

REG Reference to a national code

Ref country code: DK

Ref legal event code: T3

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20081220

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

REG Reference to a national code

Ref country code: PL

Ref legal event code: T3

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2313217

Country of ref document: ES

Kind code of ref document: T3

REG Reference to a national code

Ref country code: IE

Ref legal event code: FD4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20081120

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20090120

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20090525

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

BERE Be: lapsed

Owner name: CONTINENTAL AUTOMOTIVE G.M.B.H.

Effective date: 20090630

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CZ

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090601

Ref country code: MC

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090630

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

REG Reference to a national code

Ref country code: DK

Ref legal event code: EBP

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090630

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090630

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090630

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DK

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090630

REG Reference to a national code

Ref country code: PL

Ref legal event code: LAPE

REG Reference to a national code

Ref country code: ES

Ref legal event code: FD2A

Effective date: 20090602

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PL

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090601

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20081121

Ref country code: ES

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090602

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20090601

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: HU

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20090221

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20080820

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 20120613

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: SE

Payment date: 20130619

Year of fee payment: 9

Ref country code: GB

Payment date: 20130619

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IT

Payment date: 20130624

Year of fee payment: 9

Ref country code: FR

Payment date: 20130703

Year of fee payment: 9

Ref country code: NL

Payment date: 20130619

Year of fee payment: 9

REG Reference to a national code

Ref country code: NL

Ref legal event code: V1

Effective date: 20150101

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140602

REG Reference to a national code

Ref country code: SE

Ref legal event code: EUG

REG Reference to a national code

Ref country code: AT

Ref legal event code: MM01

Ref document number: 405900

Country of ref document: AT

Kind code of ref document: T

Effective date: 20140601

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20140601

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20150227

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20150101

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140601

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140630

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140601

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140601

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20180630

Year of fee payment: 14

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: TR

Payment date: 20180531

Year of fee payment: 14

REG Reference to a national code

Ref country code: DE

Ref legal event code: R119

Ref document number: 502005005075

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200101

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20190601