WO2005032033A1 - Datenübertragungsstrecke mit einrichtung zur prüfung der datenintegrität - Google Patents

Datenübertragungsstrecke mit einrichtung zur prüfung der datenintegrität Download PDF

Info

Publication number
WO2005032033A1
WO2005032033A1 PCT/DE2004/001796 DE2004001796W WO2005032033A1 WO 2005032033 A1 WO2005032033 A1 WO 2005032033A1 DE 2004001796 W DE2004001796 W DE 2004001796W WO 2005032033 A1 WO2005032033 A1 WO 2005032033A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
data transmission
transmission path
input
output
Prior art date
Application number
PCT/DE2004/001796
Other languages
English (en)
French (fr)
Inventor
Martin Heinebrodt
Ulf Wilhelm
Paco Haffmans
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to US10/572,697 priority Critical patent/US7831897B2/en
Priority to EP04762641A priority patent/EP1665611A1/de
Priority to JP2006525032A priority patent/JP4290195B2/ja
Publication of WO2005032033A1 publication Critical patent/WO2005032033A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0045Arrangements at the receiver end

Definitions

  • the invention relates to a data transmission link with a device for checking the data integrity of data transmitted from the transmitter side to the receiver side of the data transmission link, in particular in a motor vehicle, and to a method for checking the data integrity according to the preamble of claim 6.
  • Data transmission links of the generic type are known. These are used to determine whether data sent by a sender has reached a recipient in unchanged form.
  • checksum methods are known, for example, in which a checksum is determined on the transmitter side for the data to be transmitted and is appended to the data to be transmitted. The checksum of the transmitted data is then determined again on the receiver side and compared with the attached transmitted checksum. If this test is positive, that is to say that the data is correctly transmitted from the sender to the receiver, the integrity of the data is guaranteed and the data can be processed further on the receiver side. If the check leads to a negative result, that is to say a change in the data on the transmitter-receiver link was found, then a procedure for correcting the transmission error is initiated.
  • a braking request can now also be triggered by safety functions, such as an anti-lock braking system, an electronic stability program or a braking assistant, or by comfort functions, such as adaptive cruise control.
  • safety functions such as an anti-lock braking system, an electronic stability program or a braking assistant
  • comfort functions such as adaptive cruise control.
  • the signals are partially transmitted from the vehicle communication on-board network CAN (Controller Area Network), whereby further control devices, for example for the dashboard, the engine or a diagnostic system, can also be connected to the CAN.
  • CAN Controller Area Network
  • a brake may only trigger if the control unit of the braking system has actually generated a braking request Errors in control units connected to the CAN or caused by faults within the CAN. This is aggravated by the fact that such applications are time-critical, which means that the time between the braking request from the control unit of the braking system and the required brake release is so short that there is no time to validate the braking request - be it by the control unit, be it verified by the brake itself. It is often only possible to transmit a single signal for triggering. There is no time to correct a faulty signal with another signal or to wait for another signal to be checked. Hence one Signa! of great importance with a somewhat irreversible character.
  • the data transmission link offers the advantage over the fact that a reliable determination of the data integrity is also realized in time-critical applications.
  • the data transmission path is characterized by a first, transmitter-side and a second, receiver-side data modification device, each of which has the same transmission function that effects the change of input data in output data and is connected to the data transmission path, a receiver-side one that is transmitted by the first data modification device via the Comparing the data transmission path and the output data supplied to the second data modification device, and if the output data are identical, activating a comparator that is connected to the data transmission path and the second data modification device, the transmission of input data generated by the transmitter to the first data modification device and of the same input data via the data transmission path to the data transmission path second data changing device.
  • the following mode of operation results for such a data transmission link.
  • input data are generated on the transmitter side of the data transmission link, by means of which an event is to be effected on the receiver side.
  • the data transmission link can be a wired (for Act electrically or optically) as well as a wireless (for example radio or infrared transmission) link.
  • input data are transmitted to the first data modification device and additionally to the second data modification device via the data transmission link.
  • the input data that are transmitted to the first and to the second data modification device are identical or identical. This can be achieved, for example, by generating two identical input data signals and routing them to the first or second data modification device or also by splitting the signal of the input data into two identical but separate input data signals after their generation.
  • the data modification devices are designed, for example, as a logic circuit, programmable electronic component or processor and have the same transfer function. For the same transfer function, it is decisive that if matching input data are supplied to the data changing devices, matching output data are also generated. However, it is not necessary for the output data to be generated using identical individual steps. (For example, it is possible to realize the transfer function "doubling of x" both as “multiplication of 2 " x "and as” addition x + x ".)
  • the output data generated by the data modification devices are fed to the comparator on the receiver side, the output data generated on the transmitter side being transmitted to the receiver side via the data transmission link.
  • the comparator checks the output data generated on the transmitter and receiver side for equality.
  • the comparator activates the release device, which releases the output data on the transmitter side or on the receiver side for further processing. (Due to the equality of sender-side or receiver-side output data, the further use of sender-side or receiver-side output data always leads to the same result.)
  • the data transmission link described brings great security in determining data integrity, since two different but defined associated data sets are transmitted. In this way, both random errors in data integrity and systematic errors can be determined, since the choice of the transfer function, for example a unique function with a large number of possible input and output data, can prevent changes along the transmission path Input and output data on the comparator again lead to matching output data.
  • the data transmission link described also has a speed advantage since the data modification devices work independently of one another and therefore the time windows in which the data modification devices generate the output data can overlap or even lie at the same time.
  • a particularly advantageous embodiment is obtained if the input data are sent in the direction of the first and second data modification devices at substantially the same time. Since the throughput sequences “first data modification device, data transmission link, input of the comparator” and “data transmission link, second data modification device, input of the comparator” require approximately the same time, an im means Essentially simultaneous sending of the input data also an approximately simultaneous arrival of the output data at the comparator. This means that there are no waiting times at the comparator during which the comparator has to wait for output data at one of its inputs. This minimizes the time from generating the input data to establishing data integrity.
  • the data transmission link has at least one communication channel, in particular a CAN (Controller Area Network) communication channel.
  • CAN Controller Area Network
  • the output data generated by the first data modification device and the input data supplied to the second data modification device are advantageously transmitted through a common communication channel of the data transmission link.
  • the release device enables the actuation of an actuator, in particular a brake. This ensures that an actuator is not triggered due to incorrectly transmitted data or data not intended for the actuator. In this way, a dangerous incorrect triggering of the brake of a motor vehicle, in particular the incorrect triggering of full braking, can be avoided.
  • the invention further relates to a method for checking the data integrity of a data transmission from the transmitter side to the receiver side.
  • Data transmission route in particular in a motor vehicle, wherein
  • Input data from a first data modification device having a transfer function are changed into first output data and are fed to a comparator via the data transmission link,
  • the comparator outputs an activation signal.
  • Figure the principle of operation of a data transmission link according to the invention with a device for checking the data integrity.
  • the figure shows a data transmission link 1 having an area on the transmitter side 2, a data transmission link 3 and an area on the receiver side 4.
  • the receiver side 4 has a second data Change device 6, a comparator 7, a release device 8 and an actuator 9, which is designed here as a brake 10 of a motor vehicle.
  • the data transmission path is designed here as a communication channel 11 of a CAN, on which data is transmitted serially.
  • a receiver coding within the data ensures that even when using a common communication channel 11 or communication network, the data is only ever accepted by the addressed target receiver.
  • the first and the second data changing device 5, 6 have the same transfer function with which input data are converted into output data. That is, if the data changing devices 5, 6 are loaded with matching input data, then they generate matching output data.
  • the following mode of operation results for data transmission link 1:
  • the control device 12 generates input data E1, E2 from source input data E, which originate from sensors (not shown in more detail) on the basis of computing or program instructions.
  • the input data E1 are converted by the first data modification device 5 into output data A1 and fed to a first input of the comparator 7 via the feed point 13, the communication channel 11 and the decoupling point 14.
  • the input data E2 are fed via the feed-in point 13, the communication channel 11 and the decoupling point 14 to the second data changing device 6, the output data A2 is generated and fed to the second input of the comparator 7.
  • the comparator 7 now checks the output data A1, A2 for equality and forwards the result of the test via the line R to the release device 8. Only if the output data A1, A2 are identical?
  • the enabling device 8 activates and forwards the output data A1 branched off at the node 15 to the brake 10.
  • the dashed line from node 16 to release device 8 indicates that output data A2 can also be used for forwarding.
  • both output data A1, A2 can also be supplied to the release device 8, with logic within the release device 8 then determining which data are forwarded to the brake 10.
  • the signal is only forwarded to the brake 10 if the output data A1 generated by the first data modification device 5 and passed via the communication channel 11 to the comparator 7 match the output data A2 that are provided by the second data modification device 6 were generated on the basis of the input data E2 transmitted by the communication channel 11. If there is a change in the input data E2 along the communication channel 11, the second data change device 6 generates output data A2 which do not match the output data A1, and therefore the release device 8 is not activated. The same result calls for a change in the output data A1 along the communication channel 11, because even then the output data A2 do not match the changed output data A1.
  • a change in the input data E2 and the output data A1 is also detected when the transfer function of the first and the second data change device 5, 6 has a large number of possible input and output data. This ensures a high level of certainty that the brake 10 is really only actuated if this should actually be effected on the basis of the original input data E. In addition to the high security offered by the data transmission link, only a very small amount of time is required for checking the data integrity, since the first and second data modification devices 5, 6 work independently of one another and can process input data E1, E2 as soon as this input data E1, E2 are present at the respective input of the first or second data modification device 5, 6.
  • the output data A1, A2 are also available to the comparator 7 as quickly as possible, so that the data integrity can be checked immediately.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Communication Control (AREA)
  • Regulating Braking Force (AREA)
  • Valves And Accessory Devices For Braking Systems (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)

Abstract

Datenübertragungsstrecke (1) mit einer Einrichtung zur Prüfung der Datenintegrität von von der Senderseite (2) zur Empfängerseite (4) der Datenübertragungsstrecke (3) übertragenen Daten, insbesondere in einem Kraftfahrzeug, mit einer ersten, senderseitigen und einer zweiten, empfängerseitigen Datenveränderungseinrichtung (5, 6) die jeweils eine gleiche Übertragungsfunktion haben und einem die Ausgabedaten (A1, A2) der Datenveränderungseinrichtungen (5, 6) vergleichenden Vergleicher. Es werden dabei sowohl Eingabedaten (E1) auf der Senderseite (2) zu Ausgabedaten (A1) verarbeitet und an die Empfängerseite (4) übermittelt sowie gleiche Eingabedaten (E2) an die Empfängerseite (4) übermittelt und dort in Ausgabedaten (A2) verändert. Des Weiteren wird ein Verfahren zur Prüfung der Datenintegrität beschrieben.

Description

Datenubertragungsstrecke mit Einrichtung zur Prüfung der Datenintegrität
Die Erfindung betrifft eine Datenubertragungsstrecke mit einer Einrichtung zur Prüfung der Datenintegrität von der Senderseite zur Empfängerseite der Datenubertragungsstrecke übertragenen Daten, insbesondere in einem Kraftfahrzeug, und ein Verfahren zur Prüfung der Datenintegrität gemäß dem Oberbegriff des Anspruchs 6.
Stand der Technik
Datenübertragungsstrecken der gattungsgemäßen Art sind bekannt. Diese dienen dazu festzustellen, ob von einem Sender versandte Daten einen Empfänger in unveränderter Form erreicht haben. Dazu sind beispielsweise Prüfsummenverfahren bekannt, bei denen auf der Senderseite zu den zu übermittelnden Daten eine Prüfsumme ermittelt und an die zu übermittelnden Daten angehängt wird. Auf der Empfängerseite wird dann erneut die Prüfsumme der übermittelten Daten bestimmt und mit der angehängten übermittelten Prüfsumme verglichen. Ist diese Prüfung positiv, das heißt wird eine korrekte Ü- bertragung der Daten vom Sender zum Empfänger festgestellt, so ist die Integrität der Daten gewährleistet, und die Daten können auf der Empfängerseite weiter verarbeitet werden. Führt die Überprüfung zu einem negativen Ergebnis, das heißt es wurde ein Veränderung der Daten auf der Sender-Empfänger-Strecke festgestellt, so wird eine Prozedur zur Behebung des Übermittlungsfehlers eingeleitet. Insbesondere bei sicherheitsrelevanten und zeitkritischen Anwendungen, zum Beispiel bei der Ansteuerung der Bremsanlage eines Kraftfahrzeugs, muss die Prüfung der Datenintegrität hohen Anforderungen gerecht werden. Eine Bremsanforderung kann heute neben der manuellen Anforderung durch den Benutzer des Kraftfahrzeugs auch von Sicherheitsfunktionen, wie einem Antiblockiersystem, einem elektronischen Stabilitätsprogramm oder einem Bremsassistenten, oder von Komfortfunktionen, wie einer adaptiven Geschwindigkeitsregelung, ausgelöst werden. Dabei werden die Signale teil- weise vom Fahrzeugkommunikationsbordnetz CAN (Controller Area Network) übertragen, wobei an das CAN auch weitere Steuergeräte, zum Beispiel für das Armaturenbrett, den Motor oder ein Diagnosesystem, angeschlossen sein können. Da ein unberechtigtes Auslösen einer Bremsanlage, insbesondere die Durchführung einer auto- matisierten Vollbremsung, eine große Gefahr für den Kraftfahrzeugbenutzer und andere Verkehrsteilnehmer darstellt, darf eine Bremse nur dann auslösen, wenn das Steuergerät des Bremssystems tatsächlich eine Bremsanforderung erzeugt hat Unberechtigte Bremsanforderungen können zum Beispiel durch Fehler in an das CAN an- geschlossenen Steuergeräten oder durch Störungen innerhalb des CAN hervorgerufen werden. Dabei kommt erschwerend hinzu, dass derartige Anwendungen zeitkritisch sind, das heißt, dass die Zeit zwischen der Bremsanforderung seitens des Steuergeräts des Bremssystems und der erforderlichen Bremsauslösung so gering ist, dass keine Zeit verbleibt, um die Gültigkeit der Bremsanforderung - sei es durch das Steuergerät, sei es durch die Bremse selber- zu verifizieren. Oft ist es dabei zeitlich lediglich möglich ein einziges Signal zur Auslösung zu übertragen. Es verbleibt keine Zeit ein fehlerhaftes Signal durch ein weiteres Signal zu korrigieren oder ein weiteres Signal zur Überprüfung abzuwarten. Daher kommt einem einzigen Signa! eine große Bedeutung mit einem gewissermaßen irreversiblen Charakter zu. Vorteile der Erfindung
Die erfindungsgemäße Datenubertragungsstrecke mit den im Anspruch 1 genannten Merkmalen bietet demgegenüber den Vorteil, dass eine sichere Feststellung der Datenintegrität auch in zeitkritischen Anwendungen realisiert wird. Die Datenubertragungsstrecke ist dabei gekennzeichnet durch eine erste, senderseitige und eine zweite, empfängerseitige Datenveränderungseinrichtung, die jeweils eine gleiche, die Verän- derung von Eingabedaten in Ausgabedaten bewirkende Übertragungsfunktion haben und an die Datenubertragungsstrecke angeschlossen sind, einen empfängerseitigen, die von der ersten Datenveränderungseinrichtung über die Datenubertragungsstrecke und der zweiten Datenveränderungseinrichtung zugeleiteten Ausgabedaten vergleichenden, bei Gleichheit der Ausgabedaten eine Freigabeein- richtung aktivierenden Vergleicher, der mit der Datenubertragungsstrecke und der zweiten Datenveränderungseinrichtung verbunden ist, die Übermittlung von senderseitig erzeugten Eingabedaten an die erste Datenveränderungseinrichtung und von gleichen Eingabedaten über die Datenubertragungsstrecke an die zweite Datenveränderungseinrichtung.
Für eine derartige Datenubertragungsstrecke ergibt sich folgende Funktionsweise. Zunächst werden auf der Senderseite der Datenubertragungsstrecke Eingabedaten erzeugt, mittels derer ein Ereignis auf der Empfängerseite bewirkt werden soll. Bei der Datenubertragungsstrecke kann es sich sowohl um eine kabelgebundene (zum Beispiel elektrisch oder optisch) als auch um eine kabellose (zum Beispiel Funk- oder Infrarotübertragung) Verbindungsstrecke handeln. Zunächst werden Eingabedaten an die erste Datenveränderungseinrichtung und zusätzlich über die Datenubertragungsstrecke an die zweite Datenveränderungseinrichtung übermittelt. Dabei sind die Eingabedaten, die an die erste und an die zweite Datenveränderungseinrichtung übermittelt werden, gleich beziehungsweise identisch. Dies lässt sich zum Beispiel dadurch bewirken, dass zwei gleiche Eingabedatensignale erzeugt und an die erste beziehungsweise zweite Datenveränderungseinrichtung geleitet werden oder auch indem das Signal der Eingabedaten nach seiner Erzeugung in zwei gleiche, aber getrennte Eingabedatensignale aufgesplittet wird.
Die Datenveränderungseinrichtungen sind zum Beispiel als Logikschaltung, programmierbarer elektronischer Baustein oder Prozessor ausgeführt und besitzen die gleiche Übertragungsfunktion. Für die gleiche Übertragungsfunktion ist es maßgeblich, dass wenn übereinstimmende Eingabedaten an die Datenveränderungseinrichtungen geliefert werden, auch übereinstimmende Ausgabedaten erzeugt werden. Nicht erforderlich ist es hingegen, dass die Ausgabedaten mittels identischer Einzelschritte erzeugt werden. (So ist es zum Beispiel möglich, die Ubertragungsfunktion „Verdopplung von x" sowohl als „Multiplikation von 2«x" als auch als „Addition x+x" zu realisieren".) Die von den Datenveränderungseinrichtungen erzeugten Ausgabedaten werden dem empfängerseitigen Vergleicher zugeleitet, wobei die senderseitig erzeugten Ausgabedaten über die Datenubertragungsstrecke an die Empfängerseite übermittelt werden. Der Vergleicher prüft die senderseitig und empfängerseitig erzeugten Ausgabedaten auf Gleichheit. Wird ein Unterschied festgestellt, werden die Ausgabedaten verworfen und nicht weiter verwendet. Be- steht Gleichheit der Ausgabedaten, aktiviert der Vergleicher die Freigabeeinrichtung, die die senderseitigen oder empfängerseitigen Ausgabedaten zur Weiterverarbeitung freigibt. (Aufgrund der Gleichheit von senderseitigen oder empfängerseitigen Ausgabedaten führt die weitere Verwendung von senderseitigen oder empfängerseitigen Ausgabedaten stets zum selben Ergebnis.)
Die beschriebene Datenubertragungsstrecke bringt eine große Sicherheit bei der Feststellung der Datenintegrität, da zwei verschiedene, aber definiert zugehörige Datensätze übertragen werden. Auf diese Weise lassen sich sowohl zufällige Fehler in der Datenintegrität feststellen als auch systematische Fehler, da durch die Wahl der Ü- bertragungsfunktion, zum Beispiel einer eineindeutigen Funktion mit einer großen Anzahl möglicher Ein- und Ausgabedaten, verhindert werden kann, dass entlang der Übertragungsstrecke veränderte Ein- und Ausgabedaten am Vergleicher wieder zu übereinstimmenden Ausgabedaten führen. Die beschriebene Datenubertragungsstrecke weist zudem einen Geschwindigkeitsvorteil auf, da die Datenveränderungseinrichtungen unabhängig voneinander arbeiten und damit die Zeitfenster, in denen die Datenveränderungseinrichtungen die Ausgabedaten erzeugen, überlappen oder sogar zeitgleich liegen können.
Eine besonders vorteilhafte Ausgestaltung ergibt sich, wenn die Eingabedaten im Wesentlichen zeitgleich in Richtung der ersten und der zweiten Datenveränderungseinrichtung abgeschickt werden. Da die Durchlaufreihenfolgen „erste Datenveränderungseinrichtung, Datenubertragungsstrecke, Eingang des Vergleichers" und „Datenubertragungsstrecke, zweite Datenveränderungseinrichtung, Eingang des Vergleichers" ungefähr die gleiche Zeit benötigen, bedeutet ein im Wesentlichen zeitgleiches Absenden der Eingabedaten auch ein in etwa zeitgleiches Eintreffen der Ausgabedaten am Vergleicher. Damit treten am Vergleicher keine Wartezeiten auf, in denen der Vergleicher an einem seiner Eingänge auf Ausgabedaten warten muss. Damit lässt sich die Zeit vom Erzeugen der Eingabedaten bis zur Feststellung der Datenintegrität minimieren.
In einer weiteren Ausgestaltung der Erfindung weist die Datenubertragungsstrecke mindestens einen Kommunikationskanal, insbesondere einen CAN- (Controller Area Network-) Kommunikationskanal auf. Damit ist eine Möglichkeit aufgezeigt Herstellungskosten zu sparen, indem zur Realisierung der Datenubertragungsstrecke Teile eines bereits vorhandenen Netzwerks genutzt werden.
Vorteilhafterweise werden die von der ersten Datenveränderungseinrichtung erzeugten Ausgabedaten und die der zweiten Datenverän- derungseinrichtung zugeführten Eingabedaten durch einen gemeinsamen Kommunikationskanal der Datenubertragungsstrecke übertragen.
Ein weiterer Vorteil ergibt sich, wenn die Freigabeeinrichtung die Betätigung eines Aktuators, insbesondere einer Bremse, freigibt. Damit wird sichergestellt, dass ein Aktuator nicht aufgrund von fehlerhaft übermittelten oder nicht für den Aktuator bestimmten Daten ausgelöst wird. So kann eine gefährliche Fehlauslösung der Bremse eines Kraftfahrzeugs, insbesondere die fälschliche Auslösung einer Vollbremsung, vermieden werden.
Ferner betrifft die Erfindung ein Verfahren zur Prüfung der Datenintegrität von von der Senderseite zur Empfängerseite einer Daten- Übertragungsstrecke übertragenen Daten, insbesondere in einem Kraftfahrzeug, wobei
- Eingabedaten von einer ersten, eine Übertragungsfunktion aufweisenden Datenveränderungseinrichtung in erste Ausgabe- daten verändert und über die Datenubertragungsstrecke einem Vergleicher zugeführt werden,
- gleiche Eingabedaten über die Datenubertragungsstrecke einer zweiten, dieselbe Übertragungsfunktion aufweisenden Datenveränderungseinrichtung zugeleitet, in zweite Ausgabedaten verändert und dem Vergleicher zugeführt werden und
- der Vergleicher bei Gleichheit von ersten und zweiten Ausgabedaten ein Aktivierungssignal ausgibt.
Zeichnung
Die Erfindung wird nachfolgend in einem Ausführungsbeispiel an- hand der zugehörigen Zeichnung näher erläutert. Dabei zeigt die
Figur die prinzipielle Funktionsweise einer erfindungsgemäßen Datenubertragungsstrecke mit einer Einrichtung zur Prüfung der Datenintegrität.
Beschreibung des Ausführungsbeispiels
Die Figur zeigt eine Datenubertragungsstrecke 1 aufweisend einen Bereich auf der Senderseite 2, eine Datenubertragungsstrecke 3 und einen Bereich auf der Empfängerseite 4. Auf der Senderseite 2 befinden eine Steuervorrichtung 12 sowie eine erste Datenveränderungseinrichtung 5. Die Empfängerseite 4 weist eine zweite Daten- Veränderungseinrichtung 6, einen Vergleicher 7, eine Freigabeeinrichtung 8 und einen Aktuator 9 auf, der hier als Bremse 10 eines Kraftfahrzeugs ausgeführt ist. Die Datenubertragungsstrecke ist hier als Kommunikationskanal 11 eines CAN ausgeführt, auf dem Daten seriell übertragen werden. Dabei wird durch eine Empfängerkodierung innerhalb der Daten sichergestellt, dass auch bei der Nutzung eines gemeinsamen Kommunikationskanals 11 beziehungsweise Kommunikationsnetzwerks, die Daten stets nur vom adressierten Zielempfänger angenommen werden. Die erste und die zweite Da- tenveränderungseinrichtung 5, 6 weisen dieselbe Übertragungsfunktion auf, mit der Eingabedaten in Ausgabedaten überführt werden. Das heißt, werden die Datenveränderungseinrichtung 5, 6 mit übereinstimmenden Eingabedaten beschickt, so generieren sie übereinstimmende Ausgabedaten. Für die Datenubertragungsstrecke 1 er- gibt sich folgende Funktionsweise:
Die Steuervorrichtung 12 generiert aus Ursprungseingabedaten E, die von nicht näher dargestellten Sensoren stammen, anhand von Rechen- oder Programmvorschriften Eingangsdaten E1 , E2. Die Eingabedaten E1 werden von der ersten Datenveränderungsein- richtung 5 in Ausgabedaten A1 umgewandelt und über den Einspeisepunkt 13, den Kommunikationskanal 11 und den Auskoppelpunkt 14 einem ersten Eingang des Vergleichers 7 zugeführt. Die Eingabedaten E2 werden über den Einspeisepunkt 13, den Kommunikationskanal 11 und den Auskoppelpunkt 14 der zweiten Datenverände- rungseinrichtung 6 zugeführt, die Ausgabedaten A2 generiert und dem zweiten Eingang des Vergleichers 7 zuführt. Der Vergleicher 7 prüft nun die Ausgabedaten A1 , A2 auf Gleichheit und leitet das Ergebnis der Prüfung über die Leitung R an die Freigabeeinrichtung 8. Nur für den Fall der Gleichheit der Ausgabedaten A1 , A2 wird nun die Freigabeeinrichtung 8 aktiviert und leitet die am Knoten 15 abgezweigten Ausgabedaten A1 an die Bremse 10 weiter. Durch die gestrichelte Linie vom Knoten 16 zur Freigabeeinrichtung 8 wird angezeigt, dass ebenso die Ausgabedaten A2 zur Weiterleitung verwen- det werden können. Ebenso können bei Bedarf auch beide Ausgabedaten A1 , A2 der Freigabeeinrichtung 8 zugeführt werden, wobei dann eine Logik innerhalb der Freigabeeinrichtung 8 bestimmt, welche Daten an die Bremse 10 weitergeleitet werden.
Zusammenfassend lässt sich festhalten, dass eine Signalweiterlei- tung an die Bremse 10 nur dann stattfindet, wenn die von der ersten Datenveränderungseinrichtung 5 erzeugten, und über den Kommunikationskanal 11 an den Vergleicher 7 geleiteten Ausgabedaten A1 mit den Ausgabedaten A2 übereinstimmen, die von der zweiten Datenveränderungseinrichtung 6 anhand der von dem Kommunikati- onskanal 11 übertragenen Eingabedaten E2 erzeugt wurden. Findet entlang des Kommunikationskaηals 11 eine Veränderung der Eingabedaten E2 statt, so generiert die zweite Datenveränderungseinrichtung 6 Ausgabedaten A2, die nicht mit den Ausgabedaten A1 übereinstimmen, und daher wird die Freigabeeinrichtung 8 nicht aktiviert. Ein gleiches Ergebnis ruft eine Änderung der Ausgabedaten A1 entlang des Kommunikationskanals 11 vor, weil auch dann die Ausgabedaten A2 mit den veränderten Ausgabedaten A1 nicht übereinstimmen. Auch eine Veränderung der Eingabedaten E2 und der Ausgabedaten A1 wird erfasst, wenn die Übertragungsfunktion der ersten und der zweiten Datenveränderungseinrichtung 5, 6 eine große Anzahl möglicher Ein- und Ausgabedaten hat. Damit wird eine hohe Sicherheit erreicht, dass eine Betätigung der Bremse 10 wirklich nur dann stattfindet, wenn dies anhand der Ursprungseingabedaten E auch tatsächlich bewirkt werden sollte. Neben der hohen Sicherheit, die die Datenubertragungsstrecke bietet, wird für die Prüfung der Datenintegrität zudem nur ein sehr geringer Zeitaufwand benötigt, da die erste und die zweite Datenveränderungseinrichtung 5, 6 unabhängig voneinander arbeiten und Ein- gabedaten E1 , E2 abarbeiten können, sobald diese Eingabedaten E1 , E2 am jeweiligen Eingang der ersten beziehungsweise der zweiten Datenveränderungseinrichtung 5, 6 anliegen. Dadurch stehen auch die Ausgabedaten A1 , A2 dem Vergleicher 7 schnellstmöglich zur Verfügung, so dass umgehend die Prüfung der Datenintegri- tat stattfinden kann. Zudem ist es möglich die Freigabeeinrichtung 8 zu deaktivieren, zum Beispiel um einen ausgelösten Bremsvorgang abzubrechen, indem gezielt eine Ungleichheit an den Eingängen des Vergleichers 7 erzeugt wird. Dafür ist es ausreichend eine der Eingabedaten E1 , E2 zu ändern oder bei einer der Datenveränderungs- einrichtungen 5,6 eine Änderung der Ausgabedaten A1 , A2 zu bewirken.

Claims

Patentansprüche
1. Datenubertragungsstrecke mit einer Einrichtung zur Prüfung der Datenintegrität von von der Senderseite zur Empfängerseite der Da-, tenübertragungsstrecke übertragenen Daten, insbesondere in einem Kraftfahrzeug, gekennzeichnet durch
- eine erste, senderseitige und eine zweite, empfängerseitige Datenveränderungseinrichtung (5,6), die jeweils eine gleiche, die Veränderung , von Eingabedaten (E1 ,E2) in Ausgabedaten (A1 ,A2) bewirkende Übertragungsfunktion haben und an die Datenubertragungsstrecke (3) angeschlossen sind,
- einen empfängerseitigen, die von der ersten Datenveränderungseinrichtung (5) über die Datenubertragungsstrecke (3) und der zweiten Datenveränderungseinrichtung (6) zugeleiteten Ausgabedaten (A1 ,A2) vergleichenden, bei Gleichheit der Ausgabedaten (A1 ,A2) eine Freigabeeinrichtung (8) aktivierenden Verglei- eher (7), der mit der Datenubertragungsstrecke (3) und der zweiten Datenveränderungseinrichtung (6) verbunden ist,
- die Übermittlung von senderseitig erzeugten Eingabedaten (E1 ) an die erste Datenveränderungseinrichtung (5) und von gleichen Eingabedaten (E2) über die Datenubertragungsstrecke (3) an die zweite Datenveränderungseinrichtung (6).
2. Datenubertragungsstrecke nach Anspruch 1 , dadurch gekennzeichnet, dass die Eingabedaten im Wesentlichen zeitgleich in Richtung der ersten und der zweiten Datenveränderungseinrichtung (5,6) abgeschickt werden.
3. Datenubertragungsstrecke nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Datenübertragungs- strecke (3) mindestens einen Kommunikationskanal (11), insbesondere einen CAN- (Controller Area Network-) Kommunikationskanal aufweist.
4. Datenubertragungsstrecke nach Anspruch 3, dadurch gekennzeichnet, dass die von der ersten Datenveränderungseinrichtung (5) erzeugten Ausgabedaten (A1) und die der zweiten Datenveränderungseinrichtung (6) zugeführten Eingabedaten (E2) durch einen gemeinsamen Kommunikationskanal (11) der Datenübertragungs- strecke (3) übertragen werden.
5. Datenubertragungsstrecke nach einem der vorhergehenden An- sprüche, dadurch gekennzeichnet, dass die Freigabeeinrichtung
(8) die Betätigung eines Aktuators (9), insbesondere einer Bremse (10), freigibt.
6. Verfahren zur Prüfung der Datenintegrität von von der Senderseite zur Empfängerseite einer Datenubertragungsstrecke übertra- genen Daten, insbesondere in einem Kraftfahrzeug, dadurch gekennzeichnet,
- dass Eingabedaten (E1) von einer ersten, eine Übertragungsfunktion aufweisenden Datenveränderungseinrichtung (5) in erste Ausgabedaten (A1) verändert und über die Datenübertra- gungsstrecke (3) einem Vergleicher (7) zugeführt werden, dass gleiche Eingabedaten (E2) über die Datenübertragungs- strecke (3) einer zweiten, dieselbe Übertragungsfunktion aufweisenden Datenveränderungseinrichtung (6) zugeleitet, in zweite Ausgabedaten (A2) verändert und dem Vergleicher (7) zugeführt werden und
dass der Vergleicher (7) bei Gleichheit von ersten und zweiten Ausgabedaten (A1 ,A2) ein Aktivierungssignal ausgibt.
PCT/DE2004/001796 2003-09-18 2004-08-10 Datenübertragungsstrecke mit einrichtung zur prüfung der datenintegrität WO2005032033A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US10/572,697 US7831897B2 (en) 2003-09-18 2004-08-10 Data transmission path including a device for checking the data integrity
EP04762641A EP1665611A1 (de) 2003-09-18 2004-08-10 Daten bertragungsstrecke mit einrichtung zur pruefung der datenintegritaet
JP2006525032A JP4290195B2 (ja) 2003-09-18 2004-08-10 データ完全性の検査装置を有するデータ伝送路

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10343172.1A DE10343172B4 (de) 2003-09-18 2003-09-18 Datenübertragungsstrecke mit Einrichtung zur Prüfung der Datenintegrität
DE10343172.1 2003-09-18

Publications (1)

Publication Number Publication Date
WO2005032033A1 true WO2005032033A1 (de) 2005-04-07

Family

ID=34305876

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2004/001796 WO2005032033A1 (de) 2003-09-18 2004-08-10 Datenübertragungsstrecke mit einrichtung zur prüfung der datenintegrität

Country Status (5)

Country Link
US (1) US7831897B2 (de)
EP (1) EP1665611A1 (de)
JP (1) JP4290195B2 (de)
DE (1) DE10343172B4 (de)
WO (1) WO2005032033A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8904182B2 (en) 2008-03-20 2014-12-02 Kinamik Data Integrity, S.L. Method and system to provide fine granular integrity to digital data

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1943781A1 (de) * 2005-11-03 2008-07-16 Continental Teves AG & Co. oHG Gemischtsignalschaltkreis für ein elektronisches, abgesichertes steuer- bzw. regelungssystem
US10637785B2 (en) * 2018-08-16 2020-04-28 Uchicago Argonne, Llc Software defined networking multiple operating system rotational environment
US11876833B2 (en) 2019-08-15 2024-01-16 Uchicago Argonne, Llc Software defined networking moving target defense honeypot
DE102021127310B4 (de) 2021-10-21 2024-02-08 Liebherr-Aerospace Lindenberg Gmbh System und Verfahren zur Datenübertragung

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5499247A (en) * 1991-04-02 1996-03-12 The Furukawa Electric Corp. Multiplex transmission system having plurality of nodes and common transmission line and using divided data areas
EP0890937A2 (de) * 1997-07-08 1999-01-13 Robert Bosch Gmbh Einrichtung zur Übertragung von Daten aus einem Kraftfahrzeug
EP0998160A1 (de) * 1996-09-04 2000-05-03 Hitachi, Ltd. Verfahren und anlage zur übertragung von eisenbahninformationen

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3679948D1 (de) * 1985-09-11 1991-08-01 Siemens Ag Schaltungsanordnung zum uebertragen von datensignalen zwischen ueber ein ringleitungssystem miteinander verbundenen steuereinrichtungen.
US4852680A (en) * 1988-04-07 1989-08-01 J. I. Case Company Vehicle anti-theft system with remote security module
JP3164402B2 (ja) 1991-04-02 2001-05-08 古河電気工業株式会社 多重伝送方式
NL9200391A (nl) * 1992-03-03 1993-10-01 Nederland Ptt Inrichting voor het in een stroom van transmissiecellen aanbrengen van een wijziging.
JPH05316125A (ja) 1992-05-07 1993-11-26 Toyota Central Res & Dev Lab Inc シリアル多重通信システム
JPH07183887A (ja) 1993-12-24 1995-07-21 Hitachi Ltd Atmアダプテーション装置およびcrc符号生成回路
EP0738973B1 (de) * 1995-04-13 2001-06-20 Siemens Schweiz AG Datenübertragungsverfahren und Vorrichtung
DE19644238C2 (de) * 1996-10-24 1998-12-24 Krone Ag Verfahren zur Synchronisation von Übertragungen mit konstanter Bitrate in ATM-Netzen und Schaltungsanordnung zur Durchführung des Verfahrens
JP3253565B2 (ja) * 1997-04-25 2002-02-04 矢崎総業株式会社 通信システム及び通信方法
JP3788867B2 (ja) * 1997-10-28 2006-06-21 株式会社東芝 半導体記憶装置
US6683854B1 (en) * 1998-03-20 2004-01-27 International Business Machines Corporation System for checking data integrity in a high speed packet switching network node
US7046802B2 (en) * 2000-10-12 2006-05-16 Rogaway Phillip W Method and apparatus for facilitating efficient authenticated encryption
JP3501763B2 (ja) 2001-02-19 2004-03-02 Necアクセステクニカ株式会社 データ送信装置、データ受信装置及びデータ送受信装置
FR2824176B1 (fr) * 2001-04-30 2003-10-31 St Microelectronics Sa Procede et dispositif de lecture de cellules de memoire dynamique
WO2004066514A1 (en) * 2003-01-22 2004-08-05 Johnson Controls Technology Company System, method and device for providing communication between a vehicle and a plurality of wireless devices having different communication standards

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5499247A (en) * 1991-04-02 1996-03-12 The Furukawa Electric Corp. Multiplex transmission system having plurality of nodes and common transmission line and using divided data areas
EP0998160A1 (de) * 1996-09-04 2000-05-03 Hitachi, Ltd. Verfahren und anlage zur übertragung von eisenbahninformationen
EP0890937A2 (de) * 1997-07-08 1999-01-13 Robert Bosch Gmbh Einrichtung zur Übertragung von Daten aus einem Kraftfahrzeug

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PROAKIS JOHN G.: "Digital Communications (pages 417-436)", 1995, MCGRAW-HILL INC., NEW YORK, XP002310947 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8904182B2 (en) 2008-03-20 2014-12-02 Kinamik Data Integrity, S.L. Method and system to provide fine granular integrity to digital data

Also Published As

Publication number Publication date
DE10343172A1 (de) 2005-04-14
DE10343172B4 (de) 2016-02-11
US7831897B2 (en) 2010-11-09
US20070230464A1 (en) 2007-10-04
JP2007504726A (ja) 2007-03-01
JP4290195B2 (ja) 2009-07-01
EP1665611A1 (de) 2006-06-07

Similar Documents

Publication Publication Date Title
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
EP2160857B1 (de) Prüfverfahren und elektronische schaltung zur sicheren seriellen übertragung von daten
DE102006054124B4 (de) Verfahren und System zur sicheren Datenübertragung
EP2681633A2 (de) Neuartige kombination von fehlerkorrektur und fehlererkennung für die übertragung digitaler daten
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
WO2017021060A1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102014202826A1 (de) Teilnehmerstation für ein Bussystem und Verfahren zur Erhöhung der Datenrate eines Bussystems
WO2005032033A1 (de) Datenübertragungsstrecke mit einrichtung zur prüfung der datenintegrität
DE102017202347B4 (de) Verfahren, System, und Fahrzeug umfassend das System zum Testen einer Funktionssicherheit eines Fahrzeugs während eines Betriebs des Fahrzeugs
DE102021112146A1 (de) Kabelbasiertes Steuersystem zur Steuerung eines Kraftfahrzeugs
EP1085705A2 (de) Netzwerk mit mehreren Netzknoten und wenigstens einem Sternknoten
DE102021120393B3 (de) Verfahren und Verschaltung zum Betrieb eines Netzwerks oder Netzwerkabschnitts
DE102018220324A1 (de) Verfahren zur Überwachung eines Datenübertragungssystems, Datenübertragungssystem und Kraftfahrzeug
DE102013108006B4 (de) Kommunikationsanordnung
EP3570499A1 (de) Verfahren zur funktional sicheren verbindungsidentifizierung
DE102007058071A1 (de) Verfahren und Vorrichtung zur Plausibilisierung einer Auswertung von sicherheitsrelevanten Signalen für ein Kraftfahrzeug
DE10121061B4 (de) Überwachungsvorrichtung und Überwachungsverfahren
EP1928091B1 (de) Sensoreinheit mit Sicherheitssystem
DE102020210096A1 (de) Verfahren und Vorrichtung zum Ermitteln von Informationen eines Bussystems
DE102021117324A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen
DE102019210969A1 (de) Verfahren zum Betreiben eines kraftfahrzeuginternen Kommunikationssystems mittels einer Watchdogeinrichtung, Computerprogramm, Kommunikationssystem, elektronisches Fahrzeugführungssystem sowie Kraftfahrzeug
EP4048574A1 (de) Auswertevorrichtung zur fehlertoleranten auswertung von sensorsignalen für ein motorsteuergerät einer kraftfahrzeuglenkung und kraftfahrzeuglenkung
DE3327489C2 (de)
EP1133096A2 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE102008052781A1 (de) Fehlererkennung in differentiellen Bussystemen

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2004762641

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2006525032

Country of ref document: JP

WWP Wipo information: published in national office

Ref document number: 2004762641

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2007230464

Country of ref document: US

Ref document number: 10572697

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 10572697

Country of ref document: US