WO2012167995A2 - Verbindungsknoten für ein kommunikationsnetz - Google Patents

Verbindungsknoten für ein kommunikationsnetz Download PDF

Info

Publication number
WO2012167995A2
WO2012167995A2 PCT/EP2012/057563 EP2012057563W WO2012167995A2 WO 2012167995 A2 WO2012167995 A2 WO 2012167995A2 EP 2012057563 W EP2012057563 W EP 2012057563W WO 2012167995 A2 WO2012167995 A2 WO 2012167995A2
Authority
WO
WIPO (PCT)
Prior art keywords
communication network
connection node
data
network
network element
Prior art date
Application number
PCT/EP2012/057563
Other languages
English (en)
French (fr)
Other versions
WO2012167995A3 (de
Inventor
Juergen LIKKEI
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to EP12721201.7A priority Critical patent/EP2719127A2/de
Priority to JP2014513960A priority patent/JP2014520441A/ja
Priority to US14/125,235 priority patent/US10044564B2/en
Priority to CN201280028165.9A priority patent/CN103583019B/zh
Priority to KR1020137032576A priority patent/KR101879014B1/ko
Publication of WO2012167995A2 publication Critical patent/WO2012167995A2/de
Publication of WO2012167995A3 publication Critical patent/WO2012167995A3/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/15Interconnection of switching modules

Definitions

  • the invention relates to a connection node according to the preamble of claim 1, and a control unit, a communication network and a method according to the independent claims.
  • Modern motor vehicles are known bus systems which connect a plurality of electrical units with each other.
  • various systems of bus guardians and / or software-based solutions are known.
  • Advantageous developments are specified in the subclaims.
  • connection node for a communication network, wherein the connection node connects a network element of the communication network with the communication network.
  • this may be a bus system of a motor vehicle.
  • Connection node has a first interface to connect the
  • connection node to the connection node and a second interface for connecting the connection node to the communication network.
  • the connection node is configured to exchange data between the communication network and the network element via the first and second Enable interface.
  • the connection node has facilities to connect between the communication network and the network element
  • connection node according to the invention the data exchanged via him in general, completely unchanged (“transparent") on.
  • connection node according to the invention for example, by means of an electronic identifier or identity in the protected
  • connection node can be its
  • connection nodes act, so to speak, as distributed in the communication network "mini-firewalls”.
  • connection node can also monitor, inter alia, a time behavior of the respectively associated network element, for example a number of messages per time unit can be determined and compared with a specification.
  • a time behavior of the respectively associated network element for example a number of messages per time unit can be determined and compared with a specification.
  • connection node may be embodied in arbitrary parts as an electronic circuit or by means of a computer program.
  • the connection node may be embodied in arbitrary parts as an electronic circuit or by means of a computer program.
  • the connection node may be embodied in arbitrary parts as an electronic circuit or by means of a computer program.
  • Connection node at least partially as a so-called "ASIC"
  • connection node can be designed such that it automatically authenticates the associated network element, for example with a so-called "PUF method"("physical unclonable function").
  • PAF method physical unclonable function
  • connection node according to the invention can monitor the power supply line of the communication network and, if appropriate, report any faults to the control unit.
  • the communication network or the bus system can be designed almost arbitrarily, for example as a serial or as a parallel bus, or as an optical network.
  • the connections made by the communication network can also be carried out in a variety of ways.
  • the communication network may have a simple linear or line structure, wherein two or more connection nodes, which represent the subscribers of the communication network as it were, are connected along the line.
  • the communication network can be branched or arranged in a star shape, or it can at least partially comprise a ring structure.
  • connection node can be operated in addition to and independently of other monitoring devices of the communication network and has the advantage that it can protect a communication network, in particular a bus system of a motor vehicle, particularly well. This makes it possible to increase the availability of the communication network.
  • the communication network can be protected against malicious manipulation or a faulty permanent occupancy of one or more network elements, or a sending of unauthorized messages by modified or sabotaged network elements can be prevented.
  • the communication network can also be monitored against any other malfunction of a network element and possibly protected.
  • the decentralized protection function effected by the invention can be carried out "real-time capable" and, for example, change or block the data exchange to be monitored without a significant additional delay.
  • the invention can also be applied to subnetworks of a
  • connection node is in each case arranged in a decentralized manner between the communication network and the respectively connected network element, and can thus monitor the data exchange independently of the connected network element. Furthermore, the connection node according to the invention is in each case arranged in a decentralized manner between the communication network and the respectively connected network element, and can thus monitor the data exchange independently of the connected network element. Furthermore, the connection node according to the invention is in each case arranged in a decentralized manner between the communication network and the respectively connected network element, and can thus monitor the data exchange independently of the connected network element. Furthermore, the
  • connection node can be permanently configured or in operation by the Control unit can be flexibly reconfigured. Also an encrypted
  • connection node Data exchange with the control unit is possible.
  • the scope of the invention is thus “scalable" within comparatively wide limits.
  • connection node a dynamic configuration of the communication network during operation is made possible by switching between different modes of operation of the communication network.
  • the invention makes it possible to operate the communication network in an operating mode designated as "degraded mode" if required, or an exclusive communication channel for a subnetwork of the
  • the invention can be carried out particularly inexpensively, i.a. because existing network elements do not need to be modified.
  • connection node has a third one
  • Control unit has. According to the invention, a "control” is understood to mean that a data exchange takes place between the control unit and the connection node in such a way that both elements interact with one another
  • Control unit can be initialized at start of operation or configured during operation. During this initialization or configuration, the connection node may temporarily disconnect the associated network element from the communication network as needed. If malfunctions of the associated network element and / or of the communication network are detected by the connection node, the connection node can send a corresponding message to the control unit via the third interface, which may include, inter alia, an error code or a device identity.
  • the third interface is preferably separated logically and / or physically from the communication network or from the data transmitted via the communication network.
  • connection node can be controlled or communicate via a separate channel independently of a state of the communication network.
  • the connection node according to the invention acts independently of the object to be monitored. This is very advantageous especially in case of an error.
  • the connection node can also be controlled via the communication network itself become.
  • the separate channel for example by means of "frequency division multiple access", FDMA, or a comparable technology - use the physical lines of the communication network. This creates an additional security function and ultimately increases the availability of the communication network again.
  • connection node according to the invention is structurally and / or electrically independent of the communication network and of the network element. This may cause possible disruptions of the
  • Network element does not affect the function of the connection node.
  • connection node according to the invention can be designed to read and / or modify and / or block data of an OSI-2 layer, and / or an OSI-3 layer and / or an OSI-7 layer.
  • OSI stands for "open system interconnection” and refers to a layer model of the International Organization for Standardization (ISO), which was developed as the basis for various communication protocols.
  • ISO International Organization for Standardization
  • connection node according to the invention is designed to perform at least one of the following functions:
  • Additional information in particular a CAN identity or an Ethernet and / or IP address and / or a MAC (media access control) address;
  • connection node This describes a large number of advantageous properties or functions of the connection node with which it can protect the communication network particularly well and increase the availability accordingly.
  • connection node is designed to receive control commands from the control unit alternatively or in addition to the third interface via the communication network. In this way, the control of the at least one connection node in the communication network can be carried out redundantly and thus particularly securely.
  • Connection nodes designed to log read data or derived information.
  • the data exchanged via the connection node can be read, linked, with specifications ("filter patterns”). be compared and evaluated.
  • the results determined in this way can be stored locally in the connection node, and / or transmitted to higher-level elements of the communication network, in particular to the control unit. There, the results can be linked in addition, compared with specifications, evaluated and / or stored.
  • a protocol (“logging") or an error message can be transmitted from the connection node to the control unit or from the control unit to a control and / or regulating device of the motor vehicle. Even an acoustic or optical information to the driver of the motor vehicle is possible.
  • Vehicle safety-critical bus messages can be signed, increasing data authenticity and secure logging
  • the communication network or in a connector of the wiring harness of the communication network.
  • the wiring harness of the communication network For example, the
  • the connection node according to the invention generally continues to transmit the data exchanged over it completely unchanged ("transparent").
  • the connection node may alternatively be structurally combined with the network element. It is the
  • Connection node however, functional and in terms of electrical
  • the third interface for connection to the control unit is executed independently of the network element. Because of the spatial proximity achieved thereby, the first interface for connecting the network element to the connection node on both sides without a complex electrical
  • Control unit communicates.
  • control unit for a communication network, which is designed to communicate with at least one connection node and / or to control the at least one connection node.
  • the control unit is a superordinated unit, by means of which the
  • Connection nodes are tuned to each other.
  • the structure of the communication network as a whole can be monitored and if necessary coordinatedly changed in order to achieve the best possible operation of the communication network even in the event of a fault. This can be done, for example, by reconfiguration or reinitialization of the connection nodes and / or the network elements.
  • the control unit with other
  • Control units communicate or, if necessary, automatically messages to the
  • Dispensing instrument panel or the like Dispensing instrument panel or the like.
  • control unit at least partially encrypts the communication with the at least one connection node and / or the controller and / or performs a signing.
  • the function of the connection nodes according to the invention is additionally secured and, for example, protected against malicious manipulation.
  • Communication network separated channel and / or control over the communication network, or via these connections with the at least one
  • connection node Communicate connection node.
  • the separate channel which is connected to the said third interface of the respective connection nodes, enables a preferred and particularly simple and secure communication between the control unit and the connection nodes.
  • Communication network can not affect the communication between the control unit and the connection node.
  • the separate channel may be linear, star-shaped or annular.
  • the channel can optionally be structurally integrated into the wiring harness of the communication network and / or use the same physical lines and be decoupled by means of an F DMA method.
  • the invention relates to a communication network, in particular a
  • Bus system of a motor vehicle which interconnects at least two network elements, wherein at least one network element via a
  • Connection node according to the invention to the communication network
  • the communication network may be a CAN bus system of a motor vehicle.
  • the invention may affect the availability of
  • the communication network according to the invention can be equipped such that the at least one connection node complementary to one in a
  • Network element arranged monitoring is arranged in the communication network. Due to the above-described characteristics of the at least one connection node and the control unit, other bus guardians, for example a "bus guardian" of a "flex-ray” system, are not impaired. Thus, the availability of the communication network can be further increased overall. In addition, protection against deliberate malicious manipulation of the network element is achieved.
  • the communication network according to the invention is preferably designed to process asynchronous and / or undeterministic protocols, in particular so-called CSMA protocols in a CAN bus system or in one
  • CSMA Carrier Sense Multiple Access
  • CAN CAN
  • the invention relates to a method for operating a
  • Communication network in which using a control unit and an independent channel and at least one connection node data be read and / or changed and / or disabled between the communication network and at least one network element.
  • a communication structure of the communication network is changed by the control unit controlling the at least one connection node.
  • the structure of the communication network can be changed in a coordinated manner, for example as a dynamic response to overloads or other disturbances in the network.
  • less important bus messages may be discarded and / or less important transmitting network elements from
  • FIG. 1 shows a block circuit of a connection node
  • Figure 2 shows an embodiment of an inventive
  • FIG. 3 shows a flow chart for carrying out a method for operating the communication network.
  • FIG. 1 shows a connection node 10 according to the invention in one
  • connection node 10 has a first interface 12 for connection to a network element 14 (see FIG. 2), and has a second interface 16 for connecting the connection node 10 to
  • Connection node 10 has a third interface 20 for connection to a control node 22 controlling connection node 10 (see FIG. 2).
  • the connection node 10 is in a preferred embodiment in
  • connection node 10 comprises a bidirectional data path 24 between the first interface 12 and the second interface 16, wherein the data path 24 can be separated by means of two switches 26 and 28. Via the data path 24, data 25 between the first interface 12 and the second
  • a circuit 30 comprises further devices of the
  • Connection node 10 including a memory 32.
  • a bidirectional control line 40 connects the circuit 30 to the third interface 20.
  • connection node 10 is preferably arranged close to its associated network element 14, but executed independently of the network element 14.
  • connection node 10 is structurally separated from the network element 14 and also has an independent of the network element 14
  • Connection node 10 as a structural unit with the network element 14th
  • connection node 10 is not connected to the control unit 22 and thus operates automatically.
  • 18 data for the configuration of the connection node 10 were stored in the memory 32 in the preparation of the connection node 10 and / or at startup of the communication network. With this data is the operation of the connection node 10
  • connection node 10 predetermined. In another embodiment, the connection node 10 is connected to the
  • Control unit 22 is connected and can be controlled by the control unit 22, that is, the connection node 10 may communicate with the control unit 22 and / or be initialized and / or configured by the control unit 22. This takes place, for example, by means of a bidirectional data traffic between the connection node 10 and the control unit 22.
  • This connection preferably takes place via the third interface 20 and via a separate channel 42 from the communication network 18 (see FIG. 2).
  • connection node 10 is not connected by means of the third interface 20 to the control unit 22, but via the
  • connection node 10 During normal operation of the connection node 10, the switches 26 and 28 are closed, that is, the data path 24 is connected between the first interface 12 and that between the interface 16. The data transmission between the first interface 12 and between the interface 16 is thus unchanged ("transparent").
  • the connection node 10 includes one or more amplifiers, level shifters, pulse shaping means, shift registers, or the like to pass the bidirectional signals exchanged via the interfaces 12 and 16 as accurately as possible. However, these elements are not shown in FIG.
  • the circuit 30 may read the data 25 exchanged at the interfaces 12 and 16 by means of data lines 34 and 36 and continuously compare and rate with presets stored in the memory 32.
  • the additional information accompanying data 25 such as a CAN identity or an Ethernet (e.g., MAC) and / or IP address, may be read, compared and evaluated. This can be a condition and / or a
  • Behavior of the connected network element 14 can be determined.
  • the data 25 can be changed by means of the data line 38, that is, written or deleted. Changing the data 25 may be single bits, bytes or even whole
  • Data packets concern. Furthermore, data 25 which are sent by the network element 14 and have a certain predetermined CAN identity or Ethernet IP address, with a signature, for example by a so-called HMAC method ("keyed-hash message authentication code"). be supplemented.
  • HMAC method keyed-hash message authentication code
  • received data 25 can be checked for its signature. If the respective signature was recognized as correct, the data 25 can be forwarded to the associated network element 14. On the other hand, if the signature is not correct, the connection node 10 can modify or at least partially block this data 25.
  • the circuit 30 or the connection node 10 is designed to read data 25 of an OSI-2 layer ("open system interconnection"), and / or an OSI-3 layer and / or an OSI-7 layer and / or to modify and / or block as needed.
  • data 25 which deviate impermissibly from a respective specification are "filtered out", for example blocked or replaced by zeros.
  • connection node 10 it is also possible to change the data 25 exchanged via the connection node 10 if necessary, so that these correspond to the respective specification and thus the network elements 14 can receive or transmit data which is as correct as possible. This is preferably done with knowledge of the communication network 18 underlying
  • the circuit 30 has to
  • connection node 10 or the circuit 30 are in the present case designed as an ASIC (application-specific integrated circuit). Accordingly, the two switches 26 and 28 are integrated and designed, for example, as a transistor, as a digital gate, as a multiplexer or the like. Alternatively, it is possible to implement the connection node 10 at least partially as an FPGA (Freely Programmable Integrated Circuit) or by another suitable technique. It should be noted that in the figure 1, the data path 24 and the switches 26 and 28 are shown only schematically, and that because of If necessary, a deviating circuit structure may be useful for bidirectional data exchange.
  • ASIC application-specific integrated circuit
  • FIG. 2 shows an example of the communications network 18, which in the present case is a bus system of a motor vehicle (not shown).
  • the communications network 18 in the present case is a bus system of a motor vehicle (not shown).
  • Communication network 18 of Figure 2 is executed in the form of two subnetworks 18a and 18b respectively in the left and right of the drawing.
  • Subnetworks 18a and 18b are each implemented by means of a wiring harness 29a and 29b.
  • connection nodes 10 have for this purpose a first interface 12 and a second interface 16, as has already been shown in FIG.
  • An uppermost in the drawing of Figure 2 network element 14 is independent of two
  • Connection node 10 connected to each one of the two subnets 18a and 18b. Three of the remaining six network elements 14 are each connected via a connection node 10 to the subnet 18a and three network elements 14 are each connected via a connection node 10 to the subnet 18b.
  • the control unit 22 shown in the upper right area of the drawing is connected by means of the channel 42 to the eight connection nodes 10.
  • the channel 42 is connected to the respective third interfaces 20 of the connection nodes 10.
  • the channel 42 is executed separately from the communication network 18 or from the subnetworks 18a and 18b. In particular, the channel 42 has no direct electrical connection to the communication network 18.
  • the separate channel 42 may, for example, be an electrical or optical connection independent of the communication network 18, which is designed separately or structurally in the cable harness 29a or 29b of the
  • the separate channel 42 may at least partially have a linear, a branched, a star-shaped and / or an annular structure.
  • the network elements 14 shown in FIG. 2 are, for example, control devices for controlling an internal combustion engine, an exhaust system and / or a Automatic transmission of the motor vehicle. Likewise, the network elements 14 may also be other smaller units connected to the CAN bus system.
  • the control unit 22 is preferably a structurally independent device of the motor vehicle, as shown in the drawing. Alternatively, the control unit 22 in one of the network elements 14 and the control units of the
  • connection nodes 10 can advantageously in the wiring harness 29 a and 29 b of the
  • Harness 29a and 29b to be fixed. This is particularly easy if the connection nodes 10 as described above by means of a
  • ASICs are executed.
  • the control unit 22 and optionally the connection nodes 10 have memory 32, in which, inter alia, the communication structure of the communication network 18 is stored. It can be a specific
  • Control unit 22 can be changed during operation.
  • the communication network 18 shown in FIG. 2 is electrically designed as a CAN bus system as described above, but according to the invention an optical embodiment of the communication network 18 is also possible.
  • connection nodes 10 are also designed to log the data 25 exchanged via the data path 24 or information derived therefrom.
  • the exchanged data 25 can be read, linked, compared with specifications and / or evaluated.
  • the results determined in this way can be transmitted via the channel 42 to the control unit 22.
  • the results can be linked in addition, compared with specifications, evaluated and / or stored.
  • a protocol or an error message can be transmitted to one or more control units of the motor vehicle. Even an acoustic or optical information to the driver of the motor vehicle is possible.
  • the control unit 22 can communicate with the connection nodes 10 of the
  • Communication network 18 communicate in almost any way and / or the connection node 10 after switching on a supply voltage initialize.
  • the control unit 22 the
  • Communication structure of the communication network 18 to optimize or adapt to any disturbances.
  • connection nodes 10 according to the invention.
  • Communication network 18 allows the illustrated bus system of
  • connection nodes 10 may also have a different number of connection nodes 10. It is also possible that not all of the connection nodes 10 used are connected via the channel 42, for example when the connection nodes 10 are fixedly configured for a particular task, and transmission of protocols to the control unit 22 is not required. It is also conceivable not to assign a connection node 10 to all network elements 14.
  • connection nodes 10 can also be made possible in the event of disruptions of the channel 42. It is also conceivable, by a general abandonment of the channel 42 to carry out the invention particularly cost.
  • the invention can be suitably “scaled” according to the respective requirements in terms of cost on the one hand and the function on the other hand.
  • connection node 10 is structurally combined with the network element 14.
  • the connection node 10 is designed to be functional and independent of the network element 14 with respect to the electrical power supply.
  • the third interface 20 for connection to the control unit 22 is executed independently of the network element 14.
  • a comparatively complex electrical circuit English, "physical layer”
  • the connection node 10 may even be integrated into the electrical circuit ("physical layer") of the network element 14 used for connection to the communication network 18.
  • the connection node 10 may be functionally connected between the electrical circuit connected to the
  • Communication network 18 is used, and the remaining network element 14 may be arranged. This is likewise not shown in FIG. In addition, it is not absolutely necessary to form the third interface 20 as a separate connection to the connection node 10 when the
  • Connection node 10 physically over the communication network 18 with the
  • Control unit 22 communicates.
  • FIG. 3 shows a simple flow chart for carrying out a method 50 for operating the communication network 18.
  • a start block 52 which is shown in the upper area of the drawing, the sequence shown in FIG.
  • Connection node 10 characterized.
  • the data 25 exchanged via the data path 24 are read and accompanying additional information, such as a CAN identity, evaluated.
  • additional information such as a CAN identity
  • a communication structure describing the exchange of the data 25 is also determined and evaluated, in particular a direction of the data flow in relation to the respectively associated one
  • Network element 14 Furthermore, a state or a behavior of the
  • the exchanged data 25 or the state of the network element 14 is compared with predetermined data 25 or a predetermined state of the network element 14 and evaluated. If the comparison does not result in any data 25 evaluated as being faulty or a faulty state of the network element 14, then the processing of the
  • Control unit 22 transmitted. This can reduce the availability of the
  • Control unit 22 for initialization and / or configuration of
  • Connection node 10 are received. Thereafter, the method 50 branches back to the input of the block 54.
  • the processing in the block 58 may optionally also be carried out directly after the start (start block 52), for example during a first initialization of the connection node 10 and / or during the ongoing operation of the Communication network 18.
  • Connection node 10 fulfill at least one of the following functions, or the connection node 10 has at least one of the following properties:
  • connection node 10 can be inexpensively manufactured as a configurable ASIC and preferably installed in the wiring harness, for example in a harness connector or alternatively in a housing of the network element 14;
  • connection node 10 can monitor the communication behavior of each connected network element 14;
  • connection node 10 works transparently for the network elements 14, that is, the network elements 14 need not have knowledge about the connection nodes 10;
  • connection node 10 may have a predetermined communication behavior by filtering the deviating from the default data packets force.
  • the following criteria are used as filtering criteria for the transmission behavior of a network element 14:
  • the transmission direction represents a specific to the network element 14 section of the communication matrix, which as
  • Development artifact is present, such as a CAN communication matrix or an AUTOSAR communication matrix;
  • CAN-ID CAN identity
  • IP IP address for Ethernet networks or Internet networks
  • time behavior of the network element 14 for example a maximum number of messages per unit of time
  • connection node 10 which (optionally) in the network
  • Start phase can be configured. This allows network problems to be remedied by restarting the communications network 18 as an alternative to dynamic reconfiguration.
  • Connection node 10 establish an exclusive network mode for the configuration by the respective network elements 14 for this phase from
  • bus messages with specific CAN ID or MAC / IP address, which are classified as critical to safety, are detected. These bus messages are only forwarded to the network element 14 when their signatures (eg HMAC) have been verified;
  • Control unit 22 Communication behavior, a message to the control unit 22 with control information, such as a device identification, ID, an error code or the like, sent over the separate channel 42;
  • connection nodes 10 also control the
  • control unit 22 monitors and controls the functions of the network elements 14.
  • the control unit 22 can fulfill at least one of the following functions, or the control unit 22 has at least one of the following properties:
  • Be configured communication network 18 - Specification of filter patterns for permissible or prohibited, incoming and / or outgoing communication for the respective connection nodes 10;
  • Control unit 22 a new communication structure configuration, which is distributed to the existing connection nodes 10 at the network restart.
  • the control unit 22 may notify the driver of the detected problem via the instrument panel of the motor vehicle and request a restart;
  • connection nodes 10 Coordination and control of the connection nodes 10 at runtime of the system, for example by means of a reconfiguration.
  • connection node 10 in each case the same protocol (CAN, Ethernet / IP).
  • the connection node 10 does not function as a communication participant.
  • the control of the connection node 10 via the separate channel 42.
  • An initiation phase of the communication network 18 can be used for configuration of the connection node 10. In this case, the connection nodes 10 disconnect the network elements 14 from the communication network 18 until a
  • Synchronization signal of the control unit 22 has been received.
  • an exclusive medium for the configuration of the connection nodes 10 is made.
  • different physical communication methods can be used on the same physical line.
  • the channel 42 represents a separate physical line.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es wird ein Verbindungsknoten (10) für ein Kommunikationsnetz (18) beschrieben, insbesondere zur Verbindung eines Netzelements (14) des Kommunikationsnetzes (18) mit dem Kommunikationsnetz (18), wobei der Verbindungsknoten (10) eine erste Schnittstelle (12) zum Anschluss des Netzelements (14) an den Verbindungsknoten (10) und eine zweite Schnittstelle (16) zum Anschluss des Verbindungsknotens (10) an das Kommunikationsnetz (18) aufweist, wobei der Verbindungsknoten (10) dazu ausgebildet ist, einen Datenaustausch zwischen dem Kommunikationsnetz (18) und dem Netzelement (14) über die erste und zweite Schnittstelle (12, 16) zu ermöglichen, und wobei der Verbindungsknoten (10) dazu ausgebildet ist zwischen dem Kommunikationsnetz (18) und dem Netzelement (14) ausgetauschte Daten (25) zu lesen und/oder zu verändern und/oder zu sperren.

Description

Beschreibung Titel
Verbindungsknoten für ein Kommunikationsnetz Stand der Technik
Die Erfindung betrifft einen Verbindungsknoten nach dem Oberbegriff des Anspruchs 1 , sowie eine Steuereinheit, ein Kommunikationsnetz und ein Verfahren nach den nebengeordneten Patentansprüchen.
Von modernen Kraftfahrzeugen sind Bussysteme bekannt, welche eine Vielzahl von elektrischen Einheiten miteinander verbinden. Um die Verfügbarkeit dieser Bussysteme zu verbessern, sind verschiedene Systeme von Buswächtern und/oder von software-basierten Lösungen bekannt.
Offenbarung der Erfindung
Das der Erfindung zugrunde liegende Problem wird durch einen
Verbindungsknoten nach Anspruch 1 sowie durch eine Steuereinheit, ein Kommunikationsnetz und ein Verfahren nach den nebengeordneten Ansprüchen gelöst. Vorteilhafte Weiterbildungen sind in den Unteransprüchen angegeben.
Die Erfindung betrifft einen Verbindungsknoten für ein Kommunikationsnetz, wobei der Verbindungsknoten ein Netzelement des Kommunikationsnetzes mit dem Kommunikationsnetz verbindet. Insbesondere kann es sich hierbei um ein Bussystem eines Kraftfahrzeugs handeln. Der erfindungsgemäße
Verbindungsknoten weist eine erste Schnittstelle zum Anschluss des
Netzelements an den Verbindungsknoten und eine zweite Schnittstelle zum Anschluss des Verbindungsknotens an das Kommunikationsnetz auf. Der Verbindungsknoten ist dazu ausgebildet, einen Datenaustausch zwischen dem Kommunikationsnetz und dem Netzelement über die erste und zweite Schnittstelle zu ermöglichen. Dazu weist der Verbindungsknoten Einrichtungen auf, um zwischen dem Kommunikationsnetz und dem Netzelement
ausgetauschte Daten zu lesen und/oder zu verändern und/oder zu sperren. Dieser Datenaustausch kann bidirektional oder unidirektional erfolgen. Bei einem als fehlerfrei bewerteten Bussystem bzw. Netzelement reicht der
erfindungsgemäße Verbindungsknoten die über ihn ausgetauschten Daten im Allgemeinen völlig unverändert ("transparent") weiter. Somit ist es auch nicht erforderlich, den erfindungsgemäßen Verbindungsknoten beispielsweise mittels einer elektronischen Kennung oder Identität in das zu schützende
Kommunikationsnetz zu integrieren. Der Verbindungsknoten kann seine
Funktionen vielmehr "unsichtbar" für die Netzelemente durchführen, und schützt das Kommunikationsnetz insbesondere vor Gefährdungen, welche innerhalb des Kommunikationsnetzes entstehen. Die Verbindungsknoten wirken sozusagen als in dem Kommunikationsnetz verteilte "Mini-Firewalls".
Zur Durchführung der erfindungsgemäßen Funktion kann der Verbindungsknoten unter anderem auch ein Zeitverhalten des jeweils zugehörigen Netzelements überwachen, beispielsweise kann eine Anzahl von Nachrichten je Zeiteinheit ermittelt und mit einer Vorgabe verglichen werden. Ergänzend ist es möglich, eine Wartezeit des Netzelements zu ermitteln und/oder zu erzwingen, das heißt, eine Zeitspanne zwischen einer Initialisierung des Kommunikationsnetzes und einem Absenden einer ersten Nachricht durch das Netzelement.
Der Verbindungsknoten kann zu beliebigen Teilen als elektronische Schaltung oder mittels eines Computerprogramms ausgeführt sein. Beispielsweise kann der
Verbindungsknoten zumindest teilweise als so genanntes "ASIC"
(anwendungsspezifische integrierte Schaltung) oder als "FPGA" (frei
programmierbare integrierte Schaltung) ausgeführt sein. Weiterhin kann der Verbindungsknoten so ausgebildet sein, dass er das zugehörige Netzelement selbsttätig authentifiziert, beispielsweise mit einem so genannten "PUF-Verfahren" ("physical unclonable function"). Darüber hinaus kann der erfindungsgemäße Verbindungsknoten die Energieversorgungsleitung des Kommunikationsnetzes überwachen und Störungen gegebenenfalls an die Steuereinheit melden. Das Kommunikationsnetz bzw. das Bussystem kann nahezu beliebig ausgeführt sein, beispielsweise als serieller oder als paralleler Bus, oder als optisches Netzwerk. Die durch das Kommunikationsnetz hergestellten Verbindungen können ebenfalls in vielgestaltiger weise ausgeführt sein. Beispielsweise kann das Kommunikationsnetz eine einfache lineare bzw. Linienstruktur aufweisen, wobei längs der Linie zwei oder mehrere Verbindungsknoten, welche sozusagen die Teilnehmer des Kommunikationsnetzes darstellen, angeschlossen sind. Ebenso kann das Kommunikationsnetz verzweigt oder sternförmig angeordnet sein, oder es kann zumindest teilweise eine Ringstruktur umfassen.
Der erfindungsgemäße Verbindungsknoten kann ergänzend zu und unabhängig von sonstigen Überwachungseinrichtungen des Kommunikationsnetzes betrieben werden und weist den Vorteil auf, dass er ein Kommunikationsnetz, insbesondere ein Bussystem eines Kraftfahrzeugs, besonders gut schützen kann. Dadurch ist es möglich, die Verfügbarkeit des Kommunikationsnetzes zu erhöhen. Beispielsweise kann das Kommunikationsnetz gegen böswillige Manipulationen oder eine fehlerhafte Dauerbelegung eines oder mehrerer Netzelemente geschützt werden, öder es kann ein Verschicken von nicht- autorisierten Nachrichten durch modifizierte bzw. sabotierte Netzelemente verhindert werden. Darüber hinaus kann das Kommunikationsnetz auch gegen ein sonstiges Fehlverhalten eines Netzelements überwacht und gegebenenfalls geschützt werden. Die durch die Erfindung bewirkte dezentrale Schutzfunktion kann "echtzeitfähig" ausgeführt werden, und beispielsweise ohne eine wesentliche zusätzliche Verzögerung den zu überwachenden Datenaustausch verändern oder sperren. Weiterhin kann die Erfindung auch auf Teilnetze eines
Kommunikationsnetzes angewendet werden, wobei sich entsprechende Vorteile ergeben.
Der erfindungsgemäße Verbindungsknoten ist jeweils dezentral zwischen dem Kommunikationsnetz und dem jeweils daran angeschlossenen Netzelement angeordnet, und kann somit den Datenaustausch unabhängig von dem angeschlossen Netzelement überwachen. Weiterhin kann der
Verbindungsknoten unabhängig von anderen Verbindungsknoten des
Kommunikationsnetzes betrieben werden, und kann sowohl abhängig als auch unabhängig von der übergeordneten Steuereinheit betrieben werden. Somit kann der Verbindungsknoten fest konfiguriert sein oder im laufenden Betrieb von der Steuereinheit flexibel umkonfiguriert werden. Auch ein verschlüsselter
Datenaustausch mit der Steuereinheit ist möglich. Der Anwendungsbereich der Erfindung ist somit in vergleichsweise weiten Grenzen "skalierbar". Weiterhin wird mittels des Verbindungsknotens eine dynamische Konfiguration des Kommunikationsnetzes während des laufenden Betriebs ermöglicht, indem zwischen verschiedenen Betriebsmoden des Kommunikationsnetzes gewechselt werden kann. Zudem ermöglicht es die Erfindung, das Kommunikationsnetz bei Bedarf in einem als "degraded mode" bezeichneten Betriebsmodus zu betreiben oder einen exklusiven Kommunikationskanal für ein Teilnetz des
Kommunikationsnetzes zu realisieren. Weiterhin kann die Erfindung besonders kostengünstig ausgeführt werden, u.a. weil bestehende Netzelemente nicht modifiziert werden müssen.
Insbesondere ist vorgesehen, dass der Verbindungsknoten eine dritte
Schnittstelle zum Anschluss an die den Verbindungsknoten steuernde
Steuereinheit aufweist. Erfindungsgemäß wird unter einer "Steuerung" verstanden, dass ein Datenaustausch zwischen der Steuereinheit und dem Verbindungsknoten derart erfolgt, dass beide Elemente miteinander
kommunizieren können, und/oder dass der Verbindungsknoten von der
Steuereinheit zu Betriebsbeginn initialisiert bzw. im laufenden Betrieb konfiguriert werden kann. Während dieser Initialisierung bzw. Konfiguration kann der Verbindungsknoten das zugehörige Netzelement bei Bedarf vorübergehend von dem Kommunikationsnetz trennen. Werden von dem Verbindungsknoten Störungen des zugehörigen Netzelements und/oder des Kommunikationsnetzes erkannt, so kann der Verbindungsknoten über die dritte Schnittstelle eine entsprechende Nachricht an die Steuereinheit senden, welche unter anderem einen Fehlerkode oder eine Geräte-Identität umfassen kann. Vorzugsweise ist die dritte Schnittstelle logisch und/oder physisch von dem Kommunikationsnetz bzw. von den über das Kommunikationsnetz übertragenen Daten getrennt.
Mittels der dritten Schnittstelle kann der Verbindungsknoten über einen getrennten Kanal unabhängig von einem Zustand des Kommunikationsnetzes gesteuert werden bzw. kommunizieren. Somit wirkt der erfindungsgemäße Verbindungsknoten unabhängig von dem zu überwachenden Objekt. Dies ist gerade in einem Fehlerfall sehr von Vorteil. Alternativ oder ergänzend kann der Verbindungsknoten jedoch auch über das Kommunikationsnetz selbst gesteuert werden. Dazu kann der getrennte Kanal - beispielsweise mittels "frequency- division multiple access", FDMA, oder einer vergleichbaren Technik - die physischen Leitungen des Kommunikationsnetzes nutzen. Dadurch wird eine zusätzliche Sicherheitsfunktion geschaffen und letztlich die Verfügbarkeit des Kommunikationsnetzes nochmals erhöht.
Besonders vorteilhaft ist es, dass der erfindungsgemäße Verbindungsknoten von dem Kommunikationsnetz und von dem Netzelement baulich und/oder elektrisch unabhängig ausgeführt ist. Dadurch können eventuelle Störungen des
Netzelements nicht die Funktion des Verbindungsknotens beeinträchtigen.
Weiterhin kann der erfindungsgemäße Verbindungsknoten dazu ausgebildet sein, Daten einer OSI-2-Schicht, und/oder einer OSI-3-Schicht und/oder einer OSI-7-Schicht zu lesen und/oder zu verändern und/oder zu sperren. Die
Abkürzung "OSI" steht für "open Systems interconnection" und betrifft ein Schichtenmodell der Internationalen Organisation für Normung (ISO), das als Grundlage für verschiedene Kommunikationsprotokolle entwickelt wurde. Der Verbindungsknoten kann somit vergleichsweise "tief" in die über ihn
ausgetauschten Daten eingreifen und somit eine entsprechend gründliche Überwachung des Kommunikationsnetzes durchführen.
Insbesondere ist vorgesehen, dass der erfindungsgemäße Verbindungsknoten dazu ausgebildet ist, wenigstens eine der folgenden Funktionen durchzuführen:
- lesen und auswerten von die ausgetauschten Daten begleitenden
Zusatzinformationen, insbesondere einer CAN-Identität oder einer Ethernet- und/oder IP-Adresse und/oder einer MAC (media access control)-Adresse;
- ermitteln, bewerten und/oder verändern einer den Austausch der Daten beschreibenden Kommunikationsstruktur, insbesondere einer Richtung des Datenflusses in Bezug auf das Netzelement;
- ermitteln eines Zustands und/oder eines Verhaltens des Netzelements in Bezug auf die mit dem Kommunikationsnetz ausgetauschten Daten; - vergleichen der ausgetauschten Daten und/oder des Zustande und/oder des Verhaltens des Netzelements mit vorgegebenen Daten bzw. einem
vorgegebenen Zustand bzw. einem vorgegebenen Verhalten;
- bewerten der ausgetauschten Daten und/oder des Zustande und/oder des Verhaltens des Netzelements;
- verändern und/oder sperren von Daten, insbesondere von Daten, welche von einer Vorgabe abweichen;
- ergänzen von Daten, welche von dem Netzelement gesendet werden und eine bestimmte CAN-Identität oder Ethernet- und/oder IP-Adresse aufweisen, mit einer Signatur, insbesondere nach einem HMAC-Verfahren (keyed-hash message authentication code);
- prüfen einer bzw. der Signatur von über das Kommunikationsnetz
empfangenen Daten; und/oder
- weiterleiten der empfangenen Daten an das Netzelement, nachdem die Signatur als korrekt erkannt wurde.
Damit wird eine Vielzahl vorteilhafter Eigenschaften oder Funktionen des Verbindungsknotens beschrieben, mit denen er das Kommunikationsnetz besonders gut schützen und die Verfügbarkeit entsprechend erhöhen kann.
Eine Ausgestaltung der Erfindung sieht vor, dass der Verbindungsknoten dazu ausgebildet ist, Steuerbefehle von der Steuereinheit alternativ oder ergänzend zu der dritten Schnittstelle über das Kommunikationsnetz zu empfangen. Auf diese Weise kann die Steuerung des mindestens einen Verbindungsknotens in dem Kommunikationsnetz redundant und somit besonders sicher durchgeführt werden.
Entsprechend einer weiteren vorteilhaften Ausgestaltung ist der
Verbindungsknoten dazu ausgebildet, gelesene Daten oder daraus abgeleitete Informationen zu protokollieren. Somit können die über den Verbindungsknoten ausgetauschten Daten gelesen, verknüpft, mit Vorgaben ("Filtermustern") verglichen und bewertet werden. Die derart ermittelten Ergebnisse können lokal in dem Verbindungsknoten gespeichert werden, und/oder an übergeordnete Elemente des Kommunikationsnetzes, insbesondere an die Steuereinheit, übermittelt werden. Dort können die Ergebnisse ergänzend verknüpft, mit Vorgaben verglichen, ausgewertet und/oder gespeichert werden. Weiterhin kann aufgrund der Ergebnisse ein Protokoll ("Logging") oder eine Fehlermeldung von dem Verbindungsknoten an die Steuereinheit bzw. von der Steuereinheit an eine Steuer- und/oder Regeleinrichtung des Kraftfahrzeugs übermittelt werden. Sogar eine akustische oder optische Information an den Fahrer des Kraftfahrzeugs ist möglich. Fahrzeugsicherheitskritische Busnachrichten können signiert werden, wodurch die Daten-Authentizität erhöht und eine sichere Protokollierung
(Logging) durch einen dedizierten Busteilnehmer oder die Steuereinheit ermöglicht wird. Besonders vorteilhaft ist es, den Verbindungsknoten in einem Kabelbaum des
Kommunikationsnetzes oder in einem Steckverbinder des Kabelbaums des Kommunikationsnetzes anzuordnen. Beispielsweise kann der
Verbindungsknoten in einem Stecker bzw. in einer Buchse des Kabelbaums oder als Steckdosenadapter dazwischen angeordnet sein. Dadurch wird Bauraum gespart und die Anordnung des Verbindungsknotens vereinfacht. Wie bereits erwähnt, reicht bei einem als fehlerfrei bewerteten Bussystem bzw. Netzelement der erfindungsgemäße Verbindungsknoten die über ihn ausgetauschten Daten im Allgemeinen völlig unverändert ("transparent") weiter. In einer weiteren Ausgestaltung der Erfindung kann der Verbindungsknoten alternativ mit dem Netzelement baulich vereint sein. Dabei ist der
Verbindungsknoten jedoch funktional und in Bezug auf die elektrische
Spannungsversorgung unabhängig von dem Netzelement ausgeführt.
Insbesondere ist auch die dritte Schnittstelle zum Anschluss an die Steuereinheit unabhängig von dem Netzelement ausgeführt. Wegen der dadurch erreichten räumlichen Nähe kann die erste Schnittstelle zum Anschluss des Netzelements an den Verbindungsknoten beiderseits ohne eine aufwändige elektrische
Schaltung ("physical layer") ausgeführt sein. Dadurch können erhebliche Kosten gespart werden. Dabei ist es nicht zwingend erforderlich, die dritte Schnittstelle als einen getrennten Anschluss an dem Verbindungsknoten auszubilden, wenn der Verbindungsknoten physisch über das Kommunikationsnetz mit der
Steuereinheit kommuniziert.
Weiterhin betrifft die Erfindung eine Steuereinheit für ein Kommunikationsnetz, welche dazu ausgebildet ist, mit mindestens einem Verbindungsknoten zu kommunizieren und/oder den mindestens einen Verbindungsknoten zu steuern. Die Steuereinheit stellt eine übergeordnete Einheit dar, mittels derer die
Funktionen der in dem Kommunikationsnetz verteilt angeordneten
Verbindungsknoten aufeinander abstimmt werden. Dadurch kann die Struktur des Kommunikationsnetzes insgesamt überwacht und gegebenenfalls koordiniert verändert werden, um auch in einem Fehlerfall einen bestmöglichen Betrieb des Kommunikationsnetzes zu erreichen. Dies kann beispielsweise durch eine Umkonfiguration oder Neu-Initialisierung der Verbindungsknoten und/oder der Netzelemente erfolgen. Weiterhin kann die Steuereinheit mit sonstigen
Steuergeräten kommunizieren oder bei Bedarf selbsttätig Meldungen an die
Instrumententafel oder dergleichen abgeben.
Ergänzend ist vorgesehen, dass die Steuereinheit die Kommunikation mit dem mindestens einen Verbindungsknoten und/oder die Steuerung zumindest teilweise verschlüsselt und/oder mittels einer Signierung durchführt. Dadurch wird die Funktion der erfindungsgemäßen Verbindungsknoten zusätzlich abgesichert und beispielsweise auch vor böswilligen Manipulationen geschützt.
Eine weitere Ausgestaltung der Erfindung sieht vor, dass die Steuereinheit dazu ausgebildet ist, den mindestens einen Verbindungsknoten über einen von dem
Kommunikationsnetz getrennten Kanal und/oder über das Kommunikationsnetz zu steuern, bzw. über diese Verbindungen mit dem mindestens einen
Verbindungsknoten zu kommunizieren. Durch den getrennten Kanal, welcher an die besagte dritte Schnittstelle der jeweiligen Verbindungsknoten angeschlossen ist, wird eine bevorzugte und besonders einfache und sichere Kommunikation zwischen der Steuereinheit und den Verbindungsknoten ermöglicht.
Insbesondere wird der Datenaustausch über das Kommunikationsnetz nicht verändert und eventuelle Unterbrechungen oder Kurzschlüsse des
Kommunikationsnetzes können die Kommunikation zwischen der Steuereinheit und den Verbindungsknoten nicht beeinträchtigen. Der getrennte Kanal kann linienförmig, sternförmig oder ringförmig ausgebildet sein. Der Kanal kann gegebenenfalls auch baulich in den Kabelbaum des Kommunikationsnetzes integriert sein und/oder dieselben physischen Leitungen nutzen und dabei mittels eines F DMA-Verfahrens entkoppelt sein. Weiterhin betrifft die Erfindung ein Kommunikationsnetz, insbesondere ein
Bussystem eines Kraftfahrzeugs, welches mindestens zwei Netzelemente miteinander verbindet, wobei mindestens ein Netzelement über einen
erfindungsgemäßen Verbindungsknoten an das Kommunikationsnetz
angeschlossen ist. Beispielsweise kann das Kommunikationsnetz ein CAN-Bus- System eines Kraftfahrzeugs sein. Die Erfindung kann die Verfügbarkeit des
Kommunikationsnetzes erhöhen und somit die Fahrsicherheit des Kraftfahrzeugs verbessern.
Das erfindungsgemäße Kommunikationsnetz kann derart ausgerüstet sein, dass der mindestens eine Verbindungsknoten ergänzend zu einer in einem
Netzelement angeordneten Überwachung in dem Kommunikationsnetz angeordnet ist. Aufgrund der oben beschriebenen Eigenschaften des mindestens einen Verbindungsknotens und der Steuereinheit werden sonstige Buswächter, beispielsweise ein "Bus-Guardian" eines "Flex-Ray" Systems nicht beeinträchtigt. Somit kann die Verfügbarkeit des Kommunikationsnetzes insgesamt weiter erhöht werden. Dabei wird zusätzlich Schutz gegen eine absichtliche maliziöse Manipulation des Netzelements erreicht.
Das erfindungsgemäße Kommunikationsnetz ist bevorzugt dazu ausgebildet, asynchrone und/oder undeterministische Protokolle zu bearbeiten, insbesondere so genannte CSMA-Protokolle in einem CAN-Bussystem oder in einem
Ethernet/IP-System. "CSMA" steht für englisch "Carrier Sense Multiple Access" und bezeichnet ein dezentrales Verfahren zum Erlangen von Zugriffsrechten in der Telekommunikation und ähnlichen Netzen. "CAN" bedeutet englisch
" Controller Area Network" und bezeichnet ein in der Automobilelektronik und der
Automatisierungstechnik verwendetes Bussystem.
Weiterhin betrifft die Erfindung ein Verfahren zum Betreiben eines
Kommunikationsnetzes, in welchem unter Verwendung einer Steuereinheit und eines unabhängigen Kanals und mindestens eines Verbindungsknotens Daten zwischen dem Kommunikationsnetz und mindestens einem Netzelement gelesen und/oder verändert und/oder gesperrt werden.
Insbesondere ist für das erfindungsgemäße Verfahren vorgesehen, dass bei einer Störung und/oder einer Überlastung des Kommunikationsnetzes eine Kommunikationsstruktur des Kommunikationsnetzes verändert wird, indem die Steuereinheit den mindestens einen Verbindungsknoten steuert. Dadurch kann die Struktur des Kommunikationsnetzes - beispielsweise als dynamische Reaktion auf Überlastungen oder andere Störungen im Netz - koordiniert verändert werden. Insbesondere können weniger wichtige Busnachrichten verworfen und/oder weniger wichtige sendende Netzelemente vom
Kommunikationsnetz getrennt werden. Gegebenenfalls kann - beispielsweise unter Verwendung des getrennten Kanals - auch ein exklusiver
Kommunikationskanal für ein Teilnetz geschaffen werden.
Für die Erfindung wichtige Merkmale finden sich ferner in den nachfolgenden Zeichnungen, wobei die Merkmale sowohl in Alleinstellung als auch in unterschiedlichen Kombinationen für die Erfindung wichtig sein können, ohne dass hierauf nochmals explizit hingewiesen wird.
Nachfolgend werden beispielhafte Ausführungsformen der Erfindung unter Bezugnahme auf die Zeichnung erläutert. In der Zeichnung zeigen:
Figur 1 eine Blockschaltung eines Verbindungsknotens;
Figur 2 eine Ausführungsform eines erfindungsgemäßen
Kommunikationsnetzes; und
Figur 3 ein Flussdiagramm zur Durchführung eines Verfahrens zum Betreiben des Kommunikationsnetzes.
Es werden für funktionsäquivalente Elemente und Größen in allen Figuren auch bei unterschiedlichen Ausführungsformen die gleichen Bezugszeichen verwendet. Figur 1 zeigt einen erfindungsgemäßen Verbindungsknoten 10 in einer
Blockdarstellung. Der Verbindungsknoten 10 weist eine erste Schnittstelle 12 zum Anschluss an ein Netzelement 14 (siehe Figur 2) auf, und weist eine zweite Schnittstelle 16 zum Anschluss des Verbindungsknotens 10 an ein
Kommunikationsnetz 18 (siehe Figur 2) auf. Weiterhin weist der
Verbindungsknoten 10 eine dritte Schnittstelle 20 zum Anschluss an eine den Verbindungsknoten 10 steuernde Steuereinheit 22 (siehe Figur 2) auf. Der Verbindungsknoten 10 ist bei einer bevorzugten Ausführungsform im
Wesentlichen symmetrisch zu der ersten und der zweiten Schnittstelle 12 und 16 ausgeführt.
Der Verbindungsknoten 10 umfasst einen bidirektionalen Datenpfad 24 zwischen der ersten Schnittstelle 12 und der zweiten Schnittstelle 16, wobei der Datenpfad 24 mittels zweier Schalter 26 und 28 auftrennbar ist. Über den Datenpfad 24 werden Daten 25 zwischen der ersten Schnittstelle 12 und der zweiten
Schnittstelle 16 ausgetauscht. Vorliegend sind die erste und die zweite
Schnittstelle 12 und 16 elektrisch ausgeführt, eine optische Ausführung ist jedoch ebenso möglich. Eine Schaltung 30 umfasst weitere Einrichtungen des
Verbindungsknotens 10, unter anderem einen Speicher 32. Mittels
Datenleitungen 34, 36 und 38 ist die Schaltung 30 an geeigneten Stellen mit dem
Datenpfad 24 verbunden. Eine bidirektionale Steuerleitung 40 verbindet die Schaltung 30 mit der dritten Schnittstelle 20.
Der Verbindungsknoten 10 ist vorzugsweise dicht an dem ihm zugehörigen Netzelement 14 angeordnet, jedoch von dem Netzelement 14 unabhängig ausgeführt. Somit ist der Verbindungsknoten 10 von dem Netzelement 14 baulich getrennt und weist ebenso eine von dem Netzelement 14 unabhängige
Spannungsversorgung auf. Letzteres gilt auch bei einer Anordnung des
Verbindungsknotens 10 als bauliche Einheit mit dem Netzelement 14.
In einer ersten Ausführungsform ist der Verbindungsknoten 10 nicht an die Steuereinheit 22 angeschlossen und arbeitet somit selbsttätig. Dazu wurden in dem Speicher 32 bei der Herstellung des Verbindungsknotens 10 und/oder bei einer Inbetriebnahme des Kommunikationsnetzes 18 Daten zur Konfiguration des Verbindungsknotens 10 abgespeichert. Mit diesen Daten ist die Arbeitsweise des
Verbindungsknotens 10 vorgegeben. In einer weiteren Ausführungsform ist der Verbindungsknoten 10 mit der
Steuereinheit 22 verbunden und kann durch die Steuereinheit 22 gesteuert werden, das heißt, der Verbindungsknoten 10 kann mit der Steuereinheit 22 kommunizieren bzw. durch die Steuereinheit 22 initialisiert und/oder konfiguriert werden. Dies erfolgt beispielsweise mittels eines bidirektionalen Datenverkehrs zwischen dem Verbindungsknoten 10 und der Steuereinheit 22. Vorzugsweise erfolgt diese Verbindung über die dritte Schnittstelle 20 und über einen von dem Kommunikationsnetz 18 getrennten, also unabhängigen Kanal 42 (siehe Figur 2).
Ergänzend oder alternativ ist der Verbindungsknoten 10 nicht mittels der dritten Schnittstelle 20 mit der Steuereinheit 22 verbunden, sondern über das
Kommunikationsnetz 18. Dadurch ist der getrennte Kanal 42 zwischen dem Verbindungsknoten 10 und der Steuereinheit 22 nicht erforderlich.
Im normalen Betrieb des Verbindungsknotens 10 sind die Schalter 26 und 28 geschlossen, das heißt, der Datenpfad 24 ist zwischen der ersten Schnittstelle 12 und der zwischen Schnittstelle 16 geschaltet. Die Datenübertragung zwischen der ersten Schnittstelle 12 und der zwischen Schnittstelle 16 erfolgt somit unverändert ("transparent"). Gegebenenfalls umfasst der Verbindungsknoten 10 einen oder mehrere Verstärker, Pegelumsetzer, Mittel zur Impulsformung, Schieberegister oder dergleichen, um die über die Schnittstellen 12 und 16 ausgetauschten bidirektionalen Signale möglichst korrekt durchzureichen. Diese Elemente sind in der Figur 1 jedoch nicht mit dargestellt.
Die Schaltung 30 kann die an den Schnittstellen 12 und 16 ausgetauschten Daten 25 mittels Datenleitungen 34 und 36 lesen und fortlaufend mit in dem Speicher 32 gespeicherten Vorgaben vergleichen und bewerten. Insbesondere können die Daten 25 begleitende Zusatzinformationen, wie etwa eine CAN- Identität oder einen Ethernet- (z.B. MAC) und/oder IP-Adresse, gelesen, verglichen und bewertet werden. Daraus kann ein Zustand und/oder ein
Verhalten des angeschlossenen Netzelements 14 ermittelt werden. In
Abhängigkeit des Vergleichs bzw. der Bewertung können die Daten 25 mittels der Datenleitung 38 verändert werden, also geschrieben oder gelöscht werden. Das Verändern der Daten 25 kann einzelne Bits, Bytes oder auch ganze
Datenpakete betreffen. Weiterhin können Daten 25, welche von dem Netzelement 14 gesendet werden und eine bestimmte vorgegebene CAN-Identität bzw. Ethernet-IP-Adresse aufweisen, mit einer Signatur, beispielsweise nach einem so genannten HMAC- Verfahren ("keyed-hash message authentication code") ergänzt werden.
Entsprechend können empfangene Daten 25 in Bezug auf ihre Signatur geprüft werden. Sofern die jeweilige Signatur als korrekt erkannt wurde, können die Daten 25 an das zugehörige Netzelement 14 weitergeleitet werden. Ist die Signatur dagegen nicht korrekt, so kann der Verbindungsknoten 10 diese Daten 25 verändern oder zumindest teilweise sperren.
Insbesondere ist die Schaltung 30 bzw. der Verbindungsknoten 10 dazu ausgebildet, Daten 25 einer OSI-2-Schicht, ("open Systems interconnection"), und/oder einer OSI-3-Schicht und/oder einer OSI-7-Schicht zu lesen und/oder zu verändern und/oder bedarfsweise zu sperren. Dabei werden Daten 25, welche von einer jeweiligen Vorgabe unzulässig abweichen, "herausgefiltert", beispielsweise also gesperrt oder durch Nullen ersetzt. Es ist jedoch
erfindungsgemäß ebenso möglich, die über den Verbindungsknoten 10 ausgetauschten Daten 25 gegebenenfalls zu verändern, so dass diese der jeweiligen Vorgabe entsprechen und somit die Netzelemente 14 möglichst korrekte Daten 25 empfangen bzw. senden können. Dies erfolgt vorzugsweise unter Kenntnis der dem Kommunikationsnetz 18 zugrunde liegenden
Kommunikationsstruktur, welche fest in dem Verbindungsknoten 10 und/oder der Steuereinheit 22 gespeichert oder auch während des Betriebs geändert werden kann. Optional können die über die dritte Schnittstelle 20 übertragenen
Informationen auch verschlüsselt sein. Die Schaltung 30 weist dazu
entsprechende Einrichtungen zum Verschlüsseln bzw. Entschlüsseln auf.
Der Verbindungsknoten 10 bzw. die Schaltung 30 sind vorliegend als ASIC (anwendungsspezifische integrierte Schaltung) ausgeführt. Entsprechend sind auch die beiden Schalter 26 und 28 integriert und beispielsweise als Transistor, als digitales Gatter, als Multiplexer oder dergleichen ausgeführt. Alternativ ist es möglich, den Verbindungsknoten 10 zumindest teilweise als FPGA (frei programmierbare integrierte Schaltung) oder mittels einer anderen geeigneten Technik auszuführen. Es sei angemerkt, dass in der Figur 1 der Datenpfad 24 und die Schalter 26 und 28 nur schematisch dargestellt sind, und dass wegen des bidirektionalen Datenaustausches gegebenenfalls eine abweichende Schaltungsstruktur sinnvoll sein kann.
Figur 2 zeigt ein Beispiel für das Kommunikationsnetz 18, welches vorliegend ein Bussystem eines (nicht dargestellten) Kraftfahrzeugs ist. Das
Kommunikationsnetz 18 der Figur 2 ist in Gestalt von zwei Teilnetzen 18a und 18b jeweils im linken bzw. rechten Bereich der Zeichnung ausgeführt. Die Teilnetze 18a und 18b sind jeweils mittels eines Kabelbaums 29a und 29b ausgeführt.
An das Kommunikationsnetz 18 sind insgesamt sieben Netzelemente 14 über insgesamt acht Verbindungsknoten 10 angeschlossen. Die Verbindungsknoten 10 weisen dazu eine erste Schnittstelle 12 und eine zweite Schnittstelle 16 auf, wie dies in der Figur 1 bereits gezeigt wurde. Ein in der Zeichnung der Figur 2 oberstes Netzelement 14 ist über zwei voneinander unabhängige
Verbindungsknoten 10 an jeweils eines der beiden Teilnetze 18a und 18b angeschlossen. Drei der übrigen sechs Netzelemente 14 sind jeweils über einen Verbindungsknoten 10 an das Teilnetz 18a und drei Netzelemente 14 sind jeweils über einen Verbindungsknoten 10 an das Teilnetz 18b angeschlossen.
Die im rechten oberen Bereich der Zeichnung dargestellte Steuereinheit 22 ist mittels des Kanals 42 mit den acht Verbindungsknoten 10 verbunden. Dazu ist der Kanal 42 an die jeweiligen dritten Schnittstellen 20 der Verbindungsknoten 10 angeschlossen. Der Kanal 42 ist von dem Kommunikationsnetz 18 bzw. von den Teilnetzen 18a und 18b getrennt ausgeführt. Insbesondere weist der Kanal 42 keine unmittelbare elektrische Verbindung zu dem Kommunikationsnetz 18 auf.
Der getrennte Kanal 42 kann beispielsweise eine von dem Kommunikationsnetz 18 unabhängige elektrische oder optische Verbindung sein, welche separat ausgeführt ist oder baulich in dem Kabelbaum 29a bzw. 29b des
Kommunikationsnetzes 18 angeordnet ist. Dabei kann der getrennte Kanal 42 zumindest teilweise eine linienförmige, eine verzweigte, eine sternförmige und/oder eine ringförmige Struktur aufweisen. Die in der Figur 2 gezeigten Netzelemente 14 sind beispielsweise Steuergeräte zum Steuern einer Brennkraftmaschine, einer Abgasanlage und/oder eines Automatikgetriebes des Kraftfahrzeugs. Ebenso können die Netzelemente 14 auch sonstige kleinere an das CAN-Bussystem angeschlossene Einheiten sein. Die Steuereinheit 22 ist vorzugsweise eine baulich unabhängige Einrichtung des Kraftfahrzeugs, wie es in der Zeichnung dargestellt ist. Alternativ kann die Steuereinheit 22 in eines der Netzelemente 14 bzw. der Steuergeräte des
Kraftfahrzeugs baulich und/oder elektrisch integriert sein. Ebenso können die Verbindungsknoten 10 vorteilhaft in dem Kabelbaum 29a bzw. 29b des
Kommunikationsnetzes 18 oder in einem Steckverbindergehäuse des
Kabelbaums 29a bzw. 29b fest angeordnet sein. Dies ist besonders einfach möglich, wenn die Verbindungsknoten 10 wie oben beschrieben mittels eines
ASICs ausgeführt sind.
Die Steuereinheit 22 und gegebenenfalls die Verbindungsknoten 10 weisen Speicher 32 auf, in denen unter anderem die Kommunikationsstruktur des Kommunikationsnetzes 18 gespeichert ist. Dabei kann eine bestimmte
Kommunikationsstruktur fest vorgegeben sein oder alternativ von der
Steuereinheit 22 während des Betriebs geändert werden. Das in der Figur 2 dargestellte Kommunikationsnetz 18 ist wie oben beschrieben elektrisch als CAN-Bussystem ausgeführt, erfindungsgemäß ist jedoch ebenso eine optische Ausführungsform des Kommunikationsnetzes 18 möglich.
Die Verbindungsknoten 10 sind auch dazu ausgebildet, die über den Datenpfad 24 ausgetauschten Daten 25 oder daraus abgeleitete Informationen zu protokollieren. Die ausgetauschten Daten 25 können gelesen, miteinander verknüpft, mit Vorgaben verglichen und/oder bewertet werden. Die derart ermittelten Ergebnisse können über den Kanal 42 an die Steuereinheit 22 übermittelt werden. Dort können die Ergebnisse ergänzend verknüpft, mit Vorgaben verglichen, ausgewertet und/oder gespeichert werden. Weiterhin kann aufgrund der Ergebnisse ein Protokoll bzw. eine Fehlermeldung an eines oder mehrere Steuergeräte des Kraftfahrzeugs übermittelt werden. Sogar eine akustische oder optische Information an den Fahrer des Kraftfahrzeugs ist möglich.
Die Steuereinheit 22 kann mit den Verbindungsknoten 10 des
Kommunikationsnetzes 18 in nahezu beliebiger Weise kommunizieren und/oder die Verbindungsknoten 10 nach dem Einschalten einer Versorgungsspannung initialisieren. Auch während des Betriebs kann die Steuereinheit 22 die
Verbindungsknoten 10 konfigurieren, beispielsweise um die
Kommunikationsstruktur des Kommunikationsnetzes 18 zu optimieren oder an eventuelle Störungen anzupassen.
Die Verwendung der erfindungsgemäßen Verbindungsknoten 10 in dem
Kommunikationsnetz 18 ermöglicht es, das dargestellte Bussystem des
Kraftfahrzeugs besonders gut zu schützen und somit die Verfügbarkeit des Kommunikationsnetzes 18 zu erhöhen. Die beiden Teilnetze 18a und 18b der Figur 2 können sogar unabhängig voneinander geschützt werden. Anders als in der Zeichnung dargestellt, kann das Kommunikationsnetz 18 auch eine abweichende Anzahl von Verbindungsknoten 10 aufweisen. Ebenso ist es möglich, dass nicht alle der verwendeten Verbindungsknoten 10 über den Kanal 42 angeschlossen sind, beispielsweise wenn die Verbindungsknoten 10 für eine jeweilige Aufgabe fest konfiguriert sind, und eine Übertragung von Protokollen zu der Steuereinheit 22 nicht erforderlich ist. Auch ist es denkbar, nicht allen Netzelementen 14 einen Verbindungsknoten 10 zuzuordnen.
Weiterhin ist es erfindungsgemäß möglich, die Initialisierung und/oder die Konfiguration der Verbindungsknoten 10 und/oder die Übertragung der Protokolle statt über den getrennten Kanal 42 alternativ über das Kommunikationsnetz 18 durchzuführen. Damit kann auch bei eventuellen Störungen des Kanals 42 ein ordnungsgemäßer Betrieb der Verbindungsknoten 10 ermöglicht werden. Ebenso ist es denkbar, durch einen generellen Verzicht auf den Kanal 42 die Erfindung besonders kostengünstig auszuführen. Somit kann die Erfindung entsprechend den jeweiligen Anforderungen in Bezug auf die Kosten einerseits und die Funktion andererseits passend "skaliert" werden.
In einer nicht gezeigten alternativen Ausführungsform ist der Verbindungsknoten 10 baulich mit dem Netzelement 14 vereint. Dabei ist der Verbindungsknoten 10 jedoch funktional und in Bezug auf die elektrische Spannungsversorgung unabhängig von dem Netzelement 14 ausgeführt. Insbesondere ist auch die dritte Schnittstelle 20 zum Anschluss an die Steuereinheit 22 unabhängig von dem Netzelement 14 ausgeführt. Dadurch ist eine vergleichsweise aufwändige elektrische Schaltung (engl, "physical layer") an der ersten Schnittstelle 12 zwischen dem Netzelement 14 und dem Verbindungsknoten 10 beiderseits entbehrlich. Dadurch können erhebliche Kosten gespart werden. Gegebenenfalls kann der Verbindungsknoten 10 sogar in die elektrische Schaltung ("physical layer") des Netzelements 14, welche zum Anschluss an das Kommunikationsnetz 18 verwendet wird, integriert sein. Vorzugsweise kann der Verbindungsknoten 10 funktional zwischen der elektrischen Schaltung, welche zum Anschluss an das
Kommunikationsnetz 18 verwendet wird, und dem restlichen Netzelement 14 angeordnet sein. Dies ist ebenfalls in der Figur 2 nicht dargestellt. Außerdem ist es nicht zwingend erforderlich, die dritte Schnittstelle 20 als einen getrennten Anschluss an dem Verbindungsknoten 10 auszubilden, wenn der
Verbindungsknoten 10 physisch über das Kommunikationsnetz 18 mit der
Steuereinheit 22 kommuniziert.
Figur 3 zeigt ein einfaches Flussdiagramm zur Durchführung eines Verfahrens 50 zum Betreiben des Kommunikationsnetzes 18. In einem Start-Block 52, welcher im oberen Bereich der Zeichnung dargestellt ist, beginnt der in der Figur 3 gezeigte Ablauf, welcher im Wesentlichen das Verhalten eines
Verbindungsknotens 10 charakterisiert.
In einem folgenden Block 54 werden die über den Datenpfad 24 ausgetauschten Daten 25 gelesen und begleitende Zusatzinformationen, wie beispielsweise eine CAN-Identität, bewertet. Dabei wird auch eine den Austausch der Daten 25 beschreibende Kommunikationsstruktur ermittelt und bewertet, insbesondere eine Richtung des Datenflusses in Bezug auf das jeweils zugehörige
Netzelement 14. Weiterhin wird ein Zustand bzw. ein Verhalten des
Netzelements 14 in Bezug auf die mit dem Kommunikationsnetz 18
ausgetauschten Daten 25 ermittelt.
Weiterhin werden in dem Block 54 die ausgetauschten Daten 25 bzw. der Zustand des Netzelements 14 mit vorgegebenen Daten 25 bzw. einem vorgegebenen Zustand des Netzelements 14 verglichen und bewertet. Wenn der Vergleich keine als fehlerhaft bewertete Daten 25 bzw. einen fehlerhaften Zustand des Netzelements 14 ergibt, so verzweigt die Abarbeitung des
Flussdiagramms fortlaufend zum Eingang des Blocks 54 zurück. Zugleich werden die Daten 25 zwischen der ersten Schnittstelle 12 und der zweiten Schnittstelle 16 unverändert durchgereicht. Sofern die ausgetauschten Daten 25 und/oder der Zustand des Netzelements 14 zumindest teilweise als fehlerhaft bewertet werden, so verzweigt das Verfahren 50 zu einem folgenden Block 56. Im Block 56 können die Daten 25 teilweise verändert oder sogar gesperrt werden. Ein die fehlerhaften Daten 25 bzw. den Zustand des Netzelements 14 beschreibendes Protokoll wird an die
Steuereinheit 22 übermittelt. Dadurch kann die Verfügbarkeit des
Kommunikationsnetzes 18 vorteilhaft erhöhen.
In einem folgenden Block 58 können eventuelle Informationen von der
Steuereinheit 22 zur Initialisierung und/oder Konfiguration des
Verbindungsknotens 10 empfangen werden. Danach verzweigt das Verfahren 50 zurück an den Eingang des Blocks 54. Die Bearbeitung im Block 58 kann gegebenenfalls auch direkt nach dem Beginn (Start-Block 52) ausgeführt werden, beispielsweise bei einer ersten Initialisierung des Verbindungsknotens 10 und/oder während des laufenden Betriebs des Kommunikationsnetzes 18.
Gemäß einer weiteren bevorzugten Ausführungsform kann der
Verbindungsknoten 10 mindestens eine der folgenden Funktionen erfüllen, bzw. weist der Verbindungsknoten 10 mindestens eine der folgenden Eigenschaften auf:
- Der Verbindungsknoten 10 kann kostengünstig als konfigurierbares ASIC gefertigt werden und vorzugsweise in den Kabelbaum, beispielsweise in einen Kabelbaumstecker oder alternativ in einem Gehäuse des Netzelements 14 eingebaut werden;
- der Verbindungsknoten 10 kann das Kommunikationsverhalten des jeweils angeschlossenen Netzelementes 14 überwachen;
- der Verbindungsknoten 10 arbeitet für die Netzelemente 14 transparent, das heißt, die Netzelemente 14 brauchen keine Kenntnis über die Verbindungsknoten 10 zu haben;
- der Verbindungsknoten 10 kann ein vorgegebenes Kommunikationsverhalten durch das Herausfiltern der von der Vorgabe abweichenden Datenpakete erzwingen. Als Filterungskriterien für das Sende-Verhalten eines Netzelements 14 werden folgende Kriterien genutzt:
- Die Senderichtung stellt einen für das Netzelement 14 spezifischen Ausschnitt aus der Kommunikationsmatrix dar, die als
Entwicklungsartefakt vorliegt, wie beispielsweise eine CAN- Kommunikationsmatrix oder eine AUTOSAR- Kommunikationsmatrix;
- die Senderichtung wird erkannt durch eine CAN-Identität (CAN-ID) für CAN-Netze bzw. eine Ethernet-Adresse und/oder einer Internet
Protocol-, IP, Adresse für Ethernetnetze bzw. Internetnetze;
- das Zeitverhalten des Netzelements 14, beispielsweise eine maximale Anzahl von Nachrichten pro Zeiteinheit; und/oder
- weitere Kriterien, beispielsweise eine Wartezeit, bevor die erste Nachricht nach der Netzinitiierung vom Netzelement 14 gesendet werden darf. - Initialisieren von Verbindungsknoten 10, wobei diese (optional) in der Netz-
Startphase konfiguriert werden können. Dies ermöglicht eine Behebung von Netzwerkproblemen durch einen Neustart des Kommunikationsnetzes 18 als Alternative zu einer dynamischen Rekonfiguration. Dabei können die
Verbindungsknoten 10 einen exklusiven Netz-Modus für die Konfiguration herstellen, indem sie die jeweiligen Netzelemente 14 für diese Phase vom
Kommunikationsnetz 18 trennen;
- Erzwingen einer geänderten Kommunikationsstruktur im Kommunikationsnetz 18 (beispielsweise in einem Kraftfahrzeug) als dynamische Reaktion auf
Überlastungen oder andere Störungen in dem Kommunikationsnetz 18. Ändern der oben beschriebenen Filterungskriterien;
- Ermöglichen zusätzlicher (optionaler) verteilter Netzwerkdienste, wie
beispielsweise: - Signieren von sicherheitskritischen Busnachrichten. Die zu sendenden Busnachrichten mit einer bestimmten CAN-ID bzw. MAC/IP-Adresse, die als sicherheitskritisch klassifiziert sind, werden erkannt. Für diese Busnachrichten werden Signaturen (z. B. nach keyed-hash message authentication code, HMAC-Verfahren) erstellt und mit versendet;
- Verifizieren der sicherheitskritischen Busnachrichten. Die
empfangenen Busnachrichten mit bestimmter CAN-ID bzw. MAC/IP- Adresse, die als sicherheitskritisch klassifiziert sind, werden erkannt. Diese Busnachrichten werden erst dann an das Netzelement 14 weitergegeben, wenn deren Signaturen (z. B. HMAC) verifiziert worden sind;
- Melden eines auffälligen Verhaltens an die Steuereinheit 22. Im Falle einer starken Abweichung von dem vorgegebenen
Kommunikationsverhalten wird eine Nachricht an die Steuereinheit 22 mit Steuer-Informationen, wie beispielsweise eine Geräte- Identifizierung, ID, ein Fehlerkode oder dergleichen, über den separaten Kanal 42 gesendet;
- komplexere Verbindungsknoten 10 realisieren die Authentifizierung des Netzelements 14 beispielsweise mit einem geeigneten "PUF" (physical unclonable function) Verfahren; und/oder
- die Verbindungsknoten 10 kontrollieren außerdem die
Energieversorgungs-Leitung.
Dabei überwacht und steuert die erfindungsgemäße Steuereinheit 22 die Funktionen der Netzelemente 14. Dabei kann die Steuereinheit 22 mindestens eine der folgenden Funktionen erfüllen, bzw. weist die Steuereinheit 22 mindestens eine der folgenden Eigenschaften auf:
- Initialisieren der Verbindungsknoten 10. Abhängig von der Ausführung der Verbindungsknoten 10 können diese bei jedem Start ("Hochfahren") des
Kommunikationsnetzes 18 konfiguriert werden; - Vorgabe von Filtermustern für zulässige bzw. verbotene, eingehende und/oder ausgehende Kommunikation für die jeweiligen Verbindungsknoten 10;
- Nach dem Erkennen eines Fehlers in dem Netzelement 14 erstellt die
Steuereinheit 22 eine neue Kommunikationsstruktur-Konfiguration, die beim Netzwerk-Neustart auf die vorhandenen Verbindungsknoten 10 verteilt wird. Die Steuereinheit 22 kann über die Instrumententafel des Kraftfahrzeugs den Fahrer über das erkannte Problem benachrichtigen und einen Neustart anfragen;
- Erzeugung eines oder mehrerer kryptographischer Schlüssel(s) für die
Absicherung der Kommunikation;
- Vorgabe weiterer Steuerungsinformationen, beispielsweise in Bezug auf das zulässige Zeitverhalten der Netzelemente 14;
- Erkennen kritischer Situationen in dem Kommunikationsnetz 18 und Erstellen geeigneter Reaktionen, wie beispielsweise eine Rekonfiguration nach einem vorgegebenen Verfahren.
- Koordinierung und Steuerung der Verbindungsknoten 10 zur Laufzeit des Systems, beispielsweise mittels einer Rekonfiguration.
- Sicherere Protokollierung (Logging) der kritischen Ereignisse in Kombination mit der oben beschriebenen Signierung der Nachrichten.
Dabei verläuft die Kommunikation zwischen den Netzelementen 14 und den Verbindungsknoten 10 bzw. den Verbindungsknoten 10 und dem übrigen
Kommunikationsnetz 18 nach jeweils demselben Protokoll (CAN, Ethernet/IP). Der Verbindungsknoten 10 fungiert nicht als Kommunikationsteilnehmer. Die Steuerung der Verbindungsknoten 10 erfolgt über den separaten Kanal 42. Eine Initiierungsphase des Kommunikationsnetzes 18 kann für Konfiguration der Verbindungsknoten 10 genutzt werden. Dabei trennen die Verbindungsknoten 10 die Netzelemente 14 so lange vom Kommunikationsnetz 18 ab, bis ein
Synchronisationssignal der Steuereinheit 22 empfangen wurde. Somit wird ein exklusives Medium für die Konfiguration der Verbindungsknoten 10 hergestellt. Des Weiteren können andersartige physikalische Kommunikationsverfahren auf derselben physischen Leitung benutzt werden. Der Kanal 42 stellt eine separate physische Leitung dar.

Claims

Ansprüche
1 . Verbindungsknoten (10) für ein Kommunikationsnetz (18), insbesondere zur Verbindung eines Netzelements (14) des Kommunikationsnetzes (18) mit dem Kommunikationsnetz (18), dadurch gekennzeichnet, dass der
Verbindungsknoten (10) eine erste Schnittstelle (12) zum Anschluss des Netzelements (14) an den Verbindungsknoten (10) und eine zweite
Schnittstelle (16) zum Anschluss des Verbindungsknotens (10) an das Kommunikationsnetz (18) aufweist, dass der Verbindungsknoten (10) dazu ausgebildet ist, einen Datenaustausch zwischen dem Kommunikationsnetz (18) und dem Netzelement (14) über die erste und zweite Schnittstelle (12, 16) zu ermöglichen, und dass der Verbindungsknoten (10) dazu ausgebildet ist zwischen dem Kommunikationsnetz (18) und dem Netzelement (14) ausgetauschte Daten (25) zu lesen und/oder zu verändern und/oder zu sperren.
2. Verbindungsknoten (10) nach Anspruch 1 , dadurch gekennzeichnet, dass er eine dritte Schnittstelle (20) zum Anschluss an eine den Verbindungsknoten (10) steuernde Steuereinheit (22) aufweist.
3. Verbindungsknoten (10) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Verbindungsknoten (10) von dem Kommunikationsnetz (18) und von dem Netzelement (14) baulich und/oder elektrisch unabhängig ausgeführt ist.
4. Verbindungsknoten (10) nach wenigstens einem der vorhergehenden
Ansprüche, dadurch gekennzeichnet, dass er dazu ausgebildet ist, Daten (25) einer OSI-2-Schicht, open Systems interconnection, und/oder einer OSI- 3-Schicht und/oder einer OSI-7-Schicht zu lesen und/oder zu verändern und/oder zu sperren. Verbindungsknoten (10) nach wenigstens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass er dazu ausgebildet ist, wenigstens eine der folgenden Funktionen durchzuführen:
lesen und auswerten von die ausgetauschten Daten (25) begleitenden Zusatzinformationen, insbesondere einer CAN-Identität und/oder einer Ethernet-Adresse und/oder einer internet protocol -, IP, Adresse;
ermitteln, bewerten und/oder verändern einer den Austausch der Daten (25) beschreibenden Kommunikationsstruktur, insbesondere einer Richtung des Datenflusses in Bezug auf das Netzelement (14);
ermitteln eines Zustande und/oder eines Verhaltens des Netzelements (14) in Bezug auf die mit dem Kommunikationsnetz (18) ausgetauschten Daten (25);
vergleichen der ausgetauschten Daten (25) und/oder des Zustande und/oder des Verhaltens des Netzelements (14) mit vorgegebenen Daten (25) bzw. einem vorgegebenen Zustand bzw. einem
vorgegebenen Verhalten;
bewerten der ausgetauschten Daten (25) und/oder des Zustande und/oder des Verhaltens des Netzelements (14);
verändern und/oder sperren von Daten (25), insbesondere von Daten (25), welche von einer Vorgabe abweichen;
ergänzen von Daten (25), welche von dem Netzelement (14) gesendet werden und eine bestimmte CAN-Identität oder Ethernet- bzw. IP - Adresse aufweisen, mit einer Signatur, insbesondere nach einem HMAC, keyed-hash message authentication code, -Verfahren;
prüfen der Signatur von über das Kommunikationsnetz (18)
empfangenen Daten (25); und/oder
weiterleiten der empfangenen Daten (25) an das Netzelement (14), nachdem die Signatur als korrekt erkannt wurde.
Verbindungsknoten (10) nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass er dazu ausgebildet ist, Steuerbefehle von der Steuereinheit (22) alternativ oder ergänzend zu der dritten Schnittstelle (20) über das Kommunikationsnetz (18) zu empfangen.
7. Verbindungsknoten (10) nach wenigstens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass er dazu ausgebildet ist, gelesene Daten (25) oder daraus abgeleitete Informationen zu protokollieren.
8. Verbindungsknoten (10) nach wenigstens einem der vorhergehenden
Ansprüche, dadurch gekennzeichnet, dass er in einem Kabelbaum (29a, 29b) des Kommunikationsnetzes (18) oder in einem Steckverbinder des Kabelbaums (29a, 29b) des Kommunikationsnetzes (18) angeordnet ist.
9. Steuereinheit (22) für ein Kommunikationsnetz (18), dadurch
gekennzeichnet, dass sie dazu ausgebildet ist, mit mindestens einem Verbindungsknoten (10) nach einem der vorstehenden Ansprüche zu kommunizieren und/oder den mindestens einen Verbindungsknoten (10) zu steuern.
10. Steuereinheit (22) nach Anspruch 9, dadurch gekennzeichnet, dass sie dazu ausgebildet ist, die Kommunikation mit dem mindestens einen
Verbindungsknoten (10) und/oder die Steuerung zumindest teilweise verschlüsselt und/oder mittels einer Signierung durchzuführen.
1 1 . Steuereinheit (22) nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass sie dazu ausgebildet ist, den mindestens einen Verbindungsknoten (10) über einen von dem Kommunikationsnetz (18) getrennten Kanal (42) und/oder über das Kommunikationsnetz (18) zu steuern, bzw. über diese
Verbindungen mit dem mindestens einen Verbindungsknoten (10) zu kommunizieren.
12. Kommunikationsnetz (18), insbesondere ein Bussystem eines
Kraftfahrzeugs, welches mindestens zwei Netzelemente (14) miteinander verbindet, dadurch gekennzeichnet, dass mindestens ein Netzelement (14) über einen Verbindungsknoten (10) nach einem der Ansprüche 1 bis 8 an das Kommunikationsnetz (18) angeschlossen ist.
13. Kommunikationsnetz (18) nach Anspruch 12, dadurch gekennzeichnet, dass der mindestens eine Verbindungsknoten (10) ergänzend zu einer in einem Netzelement (14) angeordneten Überwachung in dem Kommunikationsnetz (18) angeordnet ist.
14. Kommunikationsnetz (18) nach Anspruch 12 oder 13, dadurch
gekennzeichnet, dass es zur Übertragung von Daten unter Verwendung von asynchronen und/oder undeterministischen Protokollen ausgebildet ist, insbesondere CSMA-Protokolle in einem CAN-Bussystem oder in einem Ethernet und/oder IP-System.
15. Verfahren (50) zum Betreiben eines Kommunikationsnetzes (18) nach einem der Ansprüche 12 bis 14, dadurch gekennzeichnet, dass unter Verwendung einer Steuereinheit (22) und eines unabhängigen Kanals (42) und mindestens eines Verbindungsknotens (10) Daten (25) zwischen dem Kommunikationsnetz (18) und mindestens einem Netzelement (14) gelesen und/oder verändert und/oder gesperrt werden.
16. Verfahren (50) nach Anspruch 15, dadurch gekennzeichnet, dass bei einer Störung und/oder einer Überlastung des Kommunikationsnetzes (18) eine Kommunikationsstruktur des Kommunikationsnetzes (18) verändert wird, indem die Steuereinheit (22) den mindestens einen Verbindungsknoten (10) steuert.
PCT/EP2012/057563 2011-06-10 2012-04-25 Verbindungsknoten für ein kommunikationsnetz WO2012167995A2 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
EP12721201.7A EP2719127A2 (de) 2011-06-10 2012-04-25 Verbindungsknoten für ein kommunikationsnetz
JP2014513960A JP2014520441A (ja) 2011-06-10 2012-04-25 通信ネットワークのための接続ノード
US14/125,235 US10044564B2 (en) 2011-06-10 2012-04-25 Connecting node for a communications network
CN201280028165.9A CN103583019B (zh) 2011-06-10 2012-04-25 用于通信网络的连接节点
KR1020137032576A KR101879014B1 (ko) 2011-06-10 2012-04-25 통신 네트워크용 연결 노드

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102011077409.2 2011-06-10
DE102011077409A DE102011077409A1 (de) 2011-06-10 2011-06-10 Verbindungsknoten für ein Kommunikationsnetz

Publications (2)

Publication Number Publication Date
WO2012167995A2 true WO2012167995A2 (de) 2012-12-13
WO2012167995A3 WO2012167995A3 (de) 2013-02-21

Family

ID=46085552

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/057563 WO2012167995A2 (de) 2011-06-10 2012-04-25 Verbindungsknoten für ein kommunikationsnetz

Country Status (7)

Country Link
US (1) US10044564B2 (de)
EP (1) EP2719127A2 (de)
JP (1) JP2014520441A (de)
KR (1) KR101879014B1 (de)
CN (1) CN103583019B (de)
DE (1) DE102011077409A1 (de)
WO (1) WO2012167995A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106464557B (zh) * 2014-07-10 2020-04-24 松下电器(美国)知识产权公司 车载网络系统、电子控制单元、接收方法以及发送方法

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013209264A1 (de) * 2013-05-17 2014-11-20 Robert Bosch Gmbh Verfahren zum Betreiben eines Kommunikationsmoduls und Kommunikationsmodul
EP2981028B1 (de) * 2014-07-28 2020-05-06 MyLaps B.V. Transpondermodul und Zugriffsmodul zur Aktivierung und Konfiguration solch eines Transpondermoduls über einen CAN-Bus
ES2952400T3 (es) 2014-07-28 2023-10-31 Mylaps B V Módulo transpondedor y módulo de acceso para activar y configurar dicho módulo transpondedor
DE102015220009A1 (de) * 2015-10-15 2017-04-20 Robert Bosch Gmbh Schaltungsanordnung zur Generierung eines Geheimnisses in einem Netzwerk
DE102015223435A1 (de) * 2015-11-26 2017-06-01 Robert Bosch Gmbh Verfahren und Vorrichtung zum Auswerten von Signaldaten
DE102016208453A1 (de) * 2016-05-17 2017-12-07 Robert Bosch Gmbh Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
JP6890025B2 (ja) * 2016-05-27 2021-06-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 電子制御ユニット、フレーム生成方法及びプログラム
DE102016219348A1 (de) * 2016-10-06 2018-04-12 Continental Teves Ag & Co. Ohg Authentifizierungsvorrichtung für ein Fahrzeug
DE102016222740A1 (de) * 2016-11-18 2018-05-24 Continental Automotive Gmbh Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
JP6781038B2 (ja) * 2016-12-27 2020-11-04 日立オートモティブシステムズ株式会社 マイクロコンピュータ、論理回路
DE102017209428A1 (de) * 2017-06-02 2018-12-06 Robert Bosch Gmbh Verfahren und Vorrichtung zur Identifikation in einem Rechnernetzwerk
AT522607A1 (de) 2019-05-23 2020-12-15 Sticht Tech Gmbh Verfahren zur Datenübertragung

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2679983B2 (ja) * 1987-03-06 1997-11-19 株式会社日立製作所 通信網における制御情報伝送方法
US5774695A (en) * 1996-03-22 1998-06-30 Ericsson Inc. Protocol interface gateway and method of connecting an emulator to a network
US6885916B2 (en) * 2001-08-31 2005-04-26 Motorola, Inc. Data packet for a vehicle active network
US7170853B2 (en) * 2001-08-31 2007-01-30 Temic Automotive Of North America, Inc. Vehicle active network topologies
US7415508B2 (en) * 2001-08-31 2008-08-19 Temic Automotive Of North America, Inc. Linked vehicle active networks
DE10248456A1 (de) * 2001-10-19 2003-06-18 Denso Corp Fahrzeugkommunikationssystem
US7437230B2 (en) * 2003-03-20 2008-10-14 Hemisphere Gps Llc Satellite based vehicle guidance control in straight and contour modes
US7142956B2 (en) * 2004-03-19 2006-11-28 Hemisphere Gps Llc Automatic steering system and method
JP4055605B2 (ja) 2003-02-21 2008-03-05 住友電気工業株式会社 車載通信システム、車載通信接続装置及び電力供給制御装置
US7272496B2 (en) * 2003-06-12 2007-09-18 Temic Automotive Of North America, Inc. Vehicle network and method of communicating data packets in a vehicle network
US20050108387A1 (en) * 2003-10-31 2005-05-19 Bingjun Li System and apparatus for a network management system using presence and instant message techniques
US20060083172A1 (en) * 2004-10-14 2006-04-20 Jordan Patrick D System and method for evaluating the performance of an automotive switch fabric network
US7599377B2 (en) * 2004-10-15 2009-10-06 Temic Automotive Of North America, Inc. System and method for tunneling standard bus protocol messages through an automotive switch fabric network
JP2006192970A (ja) 2005-01-11 2006-07-27 Sumitomo Electric Ind Ltd 車載用通信接続装置および車載通信システム
US7583689B2 (en) * 2005-11-01 2009-09-01 Alcatel Lucent Distributed communication equipment architectures and techniques
JP2007158534A (ja) 2005-12-01 2007-06-21 Toyota Motor Corp 通信システム
JP2009130535A (ja) 2007-11-21 2009-06-11 Yokogawa Electric Corp 異常信号伝播防止装置
US8649942B2 (en) * 2009-05-20 2014-02-11 Deere & Company System and method for controlling a material application system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106464557B (zh) * 2014-07-10 2020-04-24 松下电器(美国)知识产权公司 车载网络系统、电子控制单元、接收方法以及发送方法

Also Published As

Publication number Publication date
US10044564B2 (en) 2018-08-07
CN103583019B (zh) 2017-08-25
KR101879014B1 (ko) 2018-08-17
DE102011077409A1 (de) 2012-12-13
WO2012167995A3 (de) 2013-02-21
JP2014520441A (ja) 2014-08-21
KR20140031303A (ko) 2014-03-12
CN103583019A (zh) 2014-02-12
EP2719127A2 (de) 2014-04-16
US20140185463A1 (en) 2014-07-03

Similar Documents

Publication Publication Date Title
WO2012167995A2 (de) Verbindungsknoten für ein kommunikationsnetz
EP2954498B1 (de) Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
EP3523930B1 (de) Kraftfahrzeug mit einem fahrzeuginternen datennetzwerk sowie verfahren zum betreiben des kraftfahrzeugs
EP3001884B1 (de) Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit
EP3262797B1 (de) Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung
WO2015028342A1 (de) Modusumschaltung eines steuergeräts zwischen diagnosebus und externer ethernetverbindung
WO2015074938A1 (de) Fahrzeug mit einem ethernet-bussystem und verfahren zum betreiben eines solchen bussystems
EP2783487B1 (de) Verfahren zum betreiben eines kommunikationsnetzwerkes und netzwerkanordnung
DE102014212484A1 (de) Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs
EP3496975B1 (de) Kraftfahrzeug mit einem in mehrere getrennte domänen eingeteilten datennetzwerk sowie verfahren zum betreiben des datennetzwerks
WO2019057882A1 (de) Verfahren zur überwachung der kommunikation auf einem kommunikationsbus sowie elektronische vorrichtung zum anschluss an einen kommunikationsbus
EP2880823B1 (de) Kommunikationsnetzwerk und verfahren zum betreiben eines kommunikationsnetzwerkes
EP2400708B1 (de) Netzwerk-Schutzeinrichtung
EP1862931B1 (de) Vorrichtung und Verfahren zum Schutz eines medizinischen Geräts und eines von diesem Gerät behandelten Patienten vor gefährdenden Einflüssen aus einem Kommunikationsnetzwerk
EP1496664A2 (de) Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
WO2021099186A2 (de) Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus, sowie zentrale überwachungsvorrichtung zum anschluss an einen kommunikationsbus
EP3742680B1 (de) Verteilervorrichtung und entsprechendes verfahren
DE102022107431B3 (de) Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug
EP3661830B1 (de) Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs
DE102011082489A1 (de) Verfahren und Vorrichtung zur gesicherten Veränderung einer Konfigurationseinstellung eines Netzwerkgerätes
DE102016212755B3 (de) Ethernet-Fahrzeugbordnetz mit geschützter Konfigurierbarkeit
WO2017063996A1 (de) Verfahren zur generierung eines geheimnisses in einem netzwerk mit wenigstens zwei übertragungskanälen
DE102014214138A1 (de) Verfahren zum Betreiben eines Steuergeräts
WO2006063725A1 (de) Vorrichtung zum anschliessen an eine datenverarbeitungseinrichtung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12721201

Country of ref document: EP

Kind code of ref document: A2

REEP Request for entry into the european phase

Ref document number: 2012721201

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2012721201

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2014513960

Country of ref document: JP

Kind code of ref document: A

Ref document number: 20137032576

Country of ref document: KR

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 14125235

Country of ref document: US