WO2021122362A1 - Communication between networks of a motor vehicle - Google Patents

Communication between networks of a motor vehicle Download PDF

Info

Publication number
WO2021122362A1
WO2021122362A1 PCT/EP2020/085713 EP2020085713W WO2021122362A1 WO 2021122362 A1 WO2021122362 A1 WO 2021122362A1 EP 2020085713 W EP2020085713 W EP 2020085713W WO 2021122362 A1 WO2021122362 A1 WO 2021122362A1
Authority
WO
WIPO (PCT)
Prior art keywords
data bus
message
motor vehicle
control device
data
Prior art date
Application number
PCT/EP2020/085713
Other languages
German (de)
French (fr)
Inventor
Robert THEILACKER
Original Assignee
Voith Patent Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Voith Patent Gmbh filed Critical Voith Patent Gmbh
Publication of WO2021122362A1 publication Critical patent/WO2021122362A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems

Definitions

  • the present invention relates to communication between different networks on board a motor vehicle.
  • the invention relates to securing one of the networks against the other network.
  • a network is provided on board a motor vehicle, which network can in particular include a data bus such as the CAN bus.
  • the network can include a plurality of control devices, one or more of which are set up to control a driving function of the motor vehicle.
  • one of the control devices can control a drive motor, another a braking or steering system of the motor vehicle.
  • the network is usually designed to be closed with respect to the outside world, so that no or only very limited communication is possible.
  • a transmission standard of the network can be disclosed, but most of the messages that can be transmitted on the data bus are usually not disclosed in terms of their structure or meaning. This can make it more difficult to evaluate a message that is not intended for the public or to import a message from a third party.
  • a definition of a part of the messages that can be transmitted on the data bus can be disclosed. These messages usually concern the indication of a condition or event.
  • a diagnostic device can be connected to the data bus in order to carry out a technical analysis of control devices connected to the data bus, for example to support an exhaust gas check.
  • control devices connected to the data bus, for example to support an exhaust gas check.
  • Each control device is usually set up to assume a safe state in the event of a fault; however, a negative influence on the driving function of the vehicle by a recorded message cannot be completely prevented in all cases.
  • the motor vehicle can be networked with a central point or another motor vehicle by means of a second network.
  • information can be exchanged directly between motor vehicles (C2C: Car to Car; vehicle-to-vehicle), or a fleet of several vehicles can be controlled via the central point.
  • the two networks are usually strictly separated from one another on board the motor vehicle. However, it is desirable to exchange information between the networks in order, for example, to enable improved control of a driving function or improved fleet management. A security of the networks should remain assured.
  • the invention solves this problem by means of the subjects of the independent claims. Subclaims reproduce preferred embodiments.
  • a system for communication between a first and a second data bus on board a motor vehicle comprises a media converter which is set up to branch unidirectionally physical signals provided on the second data bus; and a control device having a first connection for connection to the first data bus and a second connection for connection to the media converter in order to receive the branched signals.
  • the control device is set up to reconstruct a message transmitted by means of signals on the second data bus, to evaluate the message and to provide a further message on the first data bus as a function of a result of the evaluation.
  • the media converter can operate on a physical layer of a communication model between the data buses.
  • the data buses can use different physical signals for message transmission, for example power and light, wherein the media converter can be set up to convert signals accordingly.
  • the media converter is set up to transmit information exclusively in a predetermined direction, in the present context in particular from the second data bus to the first data bus.
  • the media converter can represent the IT equivalent of a diode and is sometimes also called a data diode.
  • One as a data diode known device can be used for this purpose.
  • the only one-sided data transfer can also be called read-along or read-only access.
  • a diode or a similar semiconductor can be used to couple two data buses that work with electrical currents or voltages. If different physical signals are used on the data buses, for example power and light, the media converter can ensure the desired unidirectionality by appropriately converting the physical signals. In a further embodiment, a signal can also be converted several times between the data buses. For example, an electrical signal can first be converted into an optical signal and then back into an electrical signal by means of an optocoupler.
  • the first data bus can only be connected to the second for reading and this only for writing to the first.
  • the second data bus can be connected transparently for the first data bus; Components on the first data bus do not have to be aware of the second data bus or a component connected to it. Conversely, the second data bus can also be connected transparently to the first data bus.
  • the data buses usually have different meanings on board the motor vehicle.
  • the first data bus can be connected to a control device for controlling the motor vehicle.
  • the control device can in particular influence a movement of the motor vehicle in the longitudinal and / or transverse direction and, for example, control a component of a drive train of the motor vehicle, for example a transmission or a drive motor.
  • the first data bus can in particular be considered to be secured and / or trustworthy.
  • Information transmitted from the first data bus can be protected from uncontrolled dissemination to the second data bus.
  • the second data bus is usually less well secured, can be considered less trustworthy and is often connected to another network whose security or trustworthiness can generally not be guaranteed.
  • the second data bus can be connected to a wireless interface for connection to a remote device.
  • the wireless interface can include, for example, a cellular or WLAN connection.
  • the second data bus can be part of a network via the wireless interface, via which messages of the first data bus should not be transmitted without being estimated.
  • This network can be of any size and / or complex and, for example, comprise or be connected to the Internet.
  • control device cannot be addressed on the second data bus.
  • a message cannot be sent directly to the control unit on the second data bus.
  • control device cannot be recognized or not known on the second data bus.
  • a recipient address for the control unit cannot exist or cannot be set. The message can be transmitted on the first data bus to any recipient that differs from the second data bus.
  • a protocol that supports addressless communication for example by means of broadcast, can be used on the second data bus.
  • the control unit can receive information from the second data bus by "listening in” to it.
  • the control device is set up to determine a type of a reconstructed message and to discard the message if the type does not correspond to a predetermined type. In this way, only predetermined messages can get from the first to the second data bus.
  • a final list of message types can be provided, a message that does not correspond to a type of the list being discarded.
  • the message type can be defined in a specification of a protocol used on the second data bus. This prevents a message from being evaluated which could compromise the security of the first data bus. For example, a type of message relating to a request to provide information can be discarded.
  • a predetermined number of messages is defined that is evaluated by the control unit; all other messages can be discarded. In particular, defective or incomplete messages can also be discarded.
  • the control unit usually does not transmit any acknowledgment of receipt to the second data bus and cannot request a retransmission of a discarded message.
  • control device is set up to check the plausibility of the content of a reconstructed message.
  • the message can be handled on a higher communication layer than the physical transmission layer.
  • the plausibility check can take place in particular on the application layer (layer 7). If the content of the reconstructed message is not plausible, the message can be discarded. Otherwise the evaluation can be continued.
  • the plausibility check can take place in relation to information that was received via the first data bus.
  • the control unit can receive this information via the first data bus when the information is transmitted, or it can request its transmission itself.
  • the information can for example be provided by a sensor or a control device on the first data bus.
  • a corresponding technique can be used to provide information in the opposite direction, from the first data bus to the second data bus.
  • a corresponding system includes a further media converter which is set up to branch a physical signal provided on the first data bus unidirectionally to the second data bus. The second data bus can "listen" to the first data bus without being able to import a message onto the first data bus.
  • data from the first data bus first pass through the control device and then through the further media converter in order to be able to be reconstructed and evaluated in the second data bus.
  • the control device can only forward predetermined messages, in particular only messages of a predetermined message type, to the second data bus.
  • the control device can be set up to cause a further device connected to the first data bus to transmit predetermined information on the first data bus. The control device can thus ensure that the information is transmitted on the first data bus so that it can be read on the second data bus.
  • the control device can initiate the transmission of the information preferably in a time-controlled manner, in particular periodically.
  • a status or an operating parameter of a predetermined device can be published on the second data bus without a device on the second data bus sending a corresponding request to the first data bus.
  • a point in time for required maintenance of a component on board the motor vehicle can be determined on the basis of transmitted information.
  • control devices can include, for example, a device for determining a geographical position of the motor vehicle, a camera on board the motor vehicle, an operating hours counter or an input device controllable by a driver or passenger of the motor vehicle.
  • the other control devices can provide information according to a predetermined protocol or in a predetermined data format.
  • an open interface can be used for which a specification for the transmission of information is known (“open interface”).
  • At least one of the data buses comprises a CAN bus.
  • the CAN bus can in particular be used for the first data bus.
  • Alternative techniques for at least one of the data buses include, for example, K-Line, FlexRay, Lin or Ethernet. If the data buses use different protocols, the control device can be set up to convert messages accordingly.
  • a motor vehicle comprises a system as described herein.
  • the motor vehicle can in particular include a utility vehicle, which is further preferred for Passenger transport is set up.
  • the motor vehicle can include a city bus that is used, for example, in regular service.
  • a method for communication between a first and a second data bus on board a motor vehicle comprises steps of unidirectional branching of physical signals provided on the second data bus; reconstructing a message transmitted by signals on the second data bus based on the branched signals; evaluating the reconstructed message; and providing a further message on the first data bus as a function of a result of the evaluation.
  • the method can be carried out by means of a processing device, which can in particular be comprised by a control device described herein.
  • the processing device can comprise a programmable microcomputer or microcontroller, and the method can be in the form of a computer program product with program code means.
  • the computer program product can also be stored on a computer-readable data carrier. Additional features or advantages of the method can be transferred to a corresponding device, in particular a control device or a system described herein, or vice versa.
  • Figure 1 shows a system
  • FIG. 2 shows a flow chart of a first method
  • FIG. 3 illustrates a flow chart of a second method.
  • FIG. 1 shows a system 100 which comprises a motor vehicle 102, on whose board a first data bus 104 and a second data bus 106 are attached.
  • the data buses 104, 106 are shown as circles, although a topology is shown in FIG Data buses 104, 106 can each be selected to be star-shaped, bus-shaped or any other.
  • the data buses 104 and 106 form different domains in terms of communication technology, between which information can only be exchanged under certain conditions.
  • a domain boundary 108 separates a first domain 110, which includes the first data bus 104, from a second domain 112, which includes the second data bus 106.
  • the first data bus 104 is preferably connected to one or more control units that can control a driving function of the motor vehicle 102.
  • the first data bus 104 can also be called DriveLine and is often implemented as a CAN bus.
  • motor vehicle 102 can include a drive train 114, which can include a drive motor 116, a transmission 118 and / or a drive wheel 120.
  • the first data bus 104 can be connected to control units that act, for example, on the drive motor 116 or the transmission 118.
  • Other possible control devices that can control a driving function of the motor vehicle 102 include, for example, control devices for a wheel brake, a retarder, a recuperator or a steering system.
  • the second data bus 106 can usually be connected to devices that do not or not directly affect a driving function of the motor vehicle 102.
  • a console 122 that can be operated by a driver of the motor vehicle 102, a camera 124 directed at an interior space or the surroundings of the motor vehicle 102, or a wireless interface 126 can be connected to the second data bus 106.
  • the interface 126 is preferably set up to communicate with a remote device 130 by means of a network 128.
  • the external device 130 can include a wireless interface 132 for communication with the wireless interface 126 on board the motor vehicle 102, a processing device 134 and an optional storage device 136.
  • the external device 130 is usually set up to process information obtained from a large number of motor vehicles 102.
  • a device located on board the motor vehicle 102 can also communicate with the interface 126.
  • the interface can comprise 126 a security component such as a firewall, which can in particular be designed as a packet filter, which can analyze transmitted data per se (“stateless inspection”) or in connection with a transmission status (“stateful inspection”).
  • the remote device 130 can in particular comprise a central device which is set up to communicate with a multiplicity of motor vehicles 102. Alternatively, the remote device 130 can also be mounted on board another motor vehicle 102 or on a traffic infrastructure.
  • a multiplicity of devices can be communicatively connected to one another via the network 128.
  • the network 128 can be connected to a wide area network such as the Internet via one of the devices.
  • the second data bus 106 can transport information that is required, for example, for demand-controlled or preventive maintenance of the motor vehicle 102, fleet management, traffic management, schedule monitoring, position transmission or a similar function.
  • the second data bus 106 is connected to another network 128, there is a risk that an attacker or an incorrectly configured device will act on a device connected to the second data bus 106.
  • a driving function of the motor vehicle 102 cannot be influenced thereby.
  • Operational safety of the motor vehicle 102 can thereby be ensured.
  • personal injury to a person in motor vehicle 102 or its surroundings cannot usually be caused by a device connected to network 128.
  • a first media converter 138 is set up to branch unidirectionally physical signals provided on the second data bus 106.
  • the first media converter 138 should behave essentially in the manner of a diode, so that it allows the physical signals to be passed on to another device, but prevents the reverse path. Accordingly, a physical signal cannot be fed into the second data bus 106 via the first media converter 138.
  • the media converter 138 can be implemented as a semiconductor, optical waveguide or optocoupler, for example.
  • control device 140 which is set up to receive the physical signals provided by the media converter 138 and to reconstruct a message transmitted on the second data bus 106 on their basis. In this way, a message can be transferred from the second data bus 106 to the control device 140 without any reaction.
  • the control device 140 is preferably not a dedicated communication partner for a device on the second data bus 106.
  • the control device 140 cannot, for example, be addressed from the second data bus 106, but it can preferably reconstruct messages transmitted via the second data bus 106.
  • the control device 140 can be designed as a gateway.
  • a reconstructed message can be further evaluated and, in particular, a further message can be determined on its basis, which the control device 140 can transmit to the first data bus 104.
  • This message can be newly created on the basis of the reconstructed message.
  • the sent message can also be derived from the reconstructed message, for example by deleting or changing parts of the reconstructed message. The handling of reconstructed and transmitted messages is described in more detail herein with reference to a method.
  • a second media converter 142 can be provided in order to enable information to be transmitted from the first data bus 104 to the second data bus 106 in the opposite direction.
  • the second media converter 142 operates in the same manner as described above with respect to the first media converter 138.
  • the second media converter 142 takes physical Signals either directly from the first data bus 104 or from the control device 140 connected to the first data bus 104 and branches these unidirectionally to the second data bus 106 or a device connected to it.
  • the entire data traffic of the first data bus 104 can also be read by the second data bus 106. If the control device 140 is connected between the first data bus 104 and the second media converter 142, it can only let through predetermined messages and filter out others. A message that has passed through can also be changed, for example by deleting or changing a part. Furthermore, a message read from the first data bus 104 can serve as the basis for a new message that is output by the control device 140 to the second media converter 142.
  • FIG. 2 shows a flow chart of a first method 200 which illustrates the transmission of information from the second data bus 106 to the first data bus 104 on board a motor vehicle 102.
  • the domain boundary 108 is shown for easier orientation. Method steps shown above the domain boundary 108 essentially relate to the second domain 112, and the method steps shown below relate to the first domain 110. It is thus made clear between which method steps the transition over the domain boundary 108 takes place.
  • a message is sent on the second data bus 106 in a step 205.
  • the sending takes place by means of a device connected to the second data bus 106 and the message is usually transmitted to another device connected to the second data bus 106.
  • the message can be received by this device in a step 210.
  • the second device it is not necessary for the second device to receive the message or to exist at all as long as the message is transmitted via the second data bus 106.
  • the communication taking place on the second data bus 106 is branched.
  • physical signals that represent the message are derived from the second data bus 106 to the control device 140 with as little feedback as possible.
  • the communication on the second data bus 106 is preferably not impaired as a result.
  • the branched message can be reconstructed.
  • this can include evaluating the physical signals provided, comparing them with threshold values, determining data integrity and / or dividing them into different data fields.
  • One of the data fields can relate to a message type. Different messages or message types could have different lengths.
  • the message can be provided with a checksum. An incomplete or incorrectly received message can be discarded.
  • a step 225 it can be checked whether a message type of the reconstructed message is known or allowed for forwarding. If the reconstructed message is not of a permitted message type, it can also be discarded. In a further embodiment, a final list of permitted messages or message types is specified, it being possible for all reconstructed messages that do not correspond to an entry in the list to be discarded.
  • a step 230 it can be checked whether the reconstructed message comprises a request.
  • a request is set up to cause a receiving device connected to the first data bus 104 to provide information on the first data bus 104.
  • the information can include an acknowledgment of the received message. Such a message can also be discarded.
  • a content of the reconstructed message can be checked for plausibility.
  • a comparison value can be determined in a step 240.
  • the comparison value can in particular originate from a device connected to the first data bus 104.
  • the control device 140 can read a corresponding piece of information transmitted to the first data bus 104.
  • the control device 140 can also initiate the transmission of the information on the first data bus 104 in a targeted manner.
  • the reconstructed message can be a
  • a position-dependent speed limit can be read from a map memory connected to the first data bus 104. If the two speed restrictions deviate from one another by more than a predetermined amount, the reconstructed message can be discarded.
  • method 200 can continue.
  • a further message can be generated on the basis of the reconstructed message.
  • the further message can essentially correspond to the reconstructed message. This applies in particular when the data buses 104 and 106 use the same technologies, for example a CAN bus.
  • the further message can only comprise part of the information in the reconstructed message. Other information that was determined in step 240, for example, can be added to the further message.
  • the further message can be sent out on the first data bus 104.
  • the message can be directed to a specific device, to the device connected to the first data bus 104, or it can be sent without a dedicated receiver.
  • FIG. 3 shows a flow chart of a second method 300 that can be carried out within the framework of a system 100 on board a motor vehicle 102.
  • the method 300 can in particular be combined with the method 200.
  • the domain boundary 108 and the domains 110 and 112 are shown schematically in relation to the steps shown.
  • the method 300 begins in the first domain 110 with the first data bus 104.
  • the control device 140 can transmit a message on the first data bus 104 to a device connected to it.
  • Step 305 is preferably carried out in a time-controlled manner, for example periodically or periodically as long as a certain condition is met, which in particular can include an operating state of motor vehicle 102.
  • the message can be transmitted every n seconds if the motor vehicle 102 is in an operationally ready state, in particular while the drive motor 116 is running.
  • the transmitted message includes a request for the provision of predetermined information by the addressed device.
  • This predetermined information is usually not already queried as standard on the data bus 104, but can also be provided by the control device 140.
  • a list with information to be exchanged can be defined on control device 140. Examples of such information are special requests to the fault memory.
  • the device can receive the message with the request. The device preferably reacts to the request and in a step 315 sends a message with the requested information on the first data bus 104. This message can be sent to the control device 140, another device connected to the first data bus 104, a non-existent device or no specific device Be addressed to the recipient.
  • a step 320 in which the message is received is optional.
  • the message is received by control device 140 and optionally processed.
  • the control device 140 can create a further message on the basis of the received message.
  • the created message can only comprise part of the information of the message provided in step 315.
  • the created message can also contain additional information.
  • the control device 140 can then transmit the message to the first data bus 104 in the manner of step 315.
  • the transmitted message is branched from the first data bus 104 or from the control device 140 in a step 325 by means of the second media converter 142.
  • the second media converter 142 In doing so, physical signals that the Represent message, provided in the direction of the second data bus 106 without significantly burdening the source of the physical signals and in particular without the possibility of transmitting physical signals in the opposite direction.
  • the message can be reconstructed in the second domain 112 by a device connected to the second data bus 106.
  • the message can then be processed and transmitted by means of the wireless interface 126 outside the motor vehicle 102.

Abstract

A system for communicating between a first data bus and a second data bus on board a motor vehicle comprises: a media converter which is configured to unidirectionally branch physical signals provided on the second data bus; and a control unit having a first connection for connection to the first data bus and a second connection for connection to the media converter in order to receive the branched signals. In this case, the control unit is configured to reconstruct a message transmitted on the second data bus by means of signals, to evaluate the message and to provide a further message on the first data bus on the basis of a result of the evaluation.

Description

Kommunikation zwischen Netzwerken eines Kraftfahrzeugs Communication between networks of a motor vehicle
Die vorliegende Erfindung betrifft die Kommunikation zwischen unterschiedlichen Netzwerken an Bord eines Kraftfahrzeugs. Insbesondere betrifft die Erfindung die Sicherung eines der Netzwerke gegenüber dem anderen Netzwerk. The present invention relates to communication between different networks on board a motor vehicle. In particular, the invention relates to securing one of the networks against the other network.
An Bord eines Kraftfahrzeugs ist ein Netzwerk vorgesehen, das insbesondere einen Datenbus wie den CAN-Bus umfassen kann. Das Netzwerk kann mehrere Steuergeräte umfassen, von denen eines oder mehrere dazu eingerichtet sind, eine Fahrfunktion des Kraftfahrzeugs zu steuern. Beispielsweise kann eines der Steuergeräte einen Antriebsmotor, ein anderes ein Brems- oder Lenksystem des Kraftfahrzeugs steuern. Das Netzwerk ist üblicherweise gegenüber einer Außenwelt geschlossen ausgeführt, sodass keine oder nur eine sehr eingeschränkte Kommunikation möglich ist. Ein Übertragungsstandard des Netzwerks kann offengelegt sein, jedoch sind üblicherweise die meisten auf dem Datenbus übertragbaren Nachrichten in ihrer Struktur oder Bedeutung nicht offengelegt. Das Auswerten einer nicht für die Öffentlichkeit bestimmten Nachricht oder das Einspielen einer Nachricht von dritter Seite können so erschwert sein. A network is provided on board a motor vehicle, which network can in particular include a data bus such as the CAN bus. The network can include a plurality of control devices, one or more of which are set up to control a driving function of the motor vehicle. For example, one of the control devices can control a drive motor, another a braking or steering system of the motor vehicle. The network is usually designed to be closed with respect to the outside world, so that no or only very limited communication is possible. A transmission standard of the network can be disclosed, but most of the messages that can be transmitted on the data bus are usually not disclosed in terms of their structure or meaning. This can make it more difficult to evaluate a message that is not intended for the public or to import a message from a third party.
Eine Definition eines Teils der auf dem Datenbus übertragbaren Nachrichten kann offengelegt sein. Diese Nachrichten betreffen üblicherweise die Anzeige eines Zustands oder Ereignisses. So kann beispielsweise ein Diagnosegerät mit dem Datenbus verbunden werden, um eine technische Analyse von mit dem Datenbus verbundenen Steuergeräten durchzuführen, etwa um eine Abgasüberprüfung zu unterstützen. Das Einspielen einer Nachricht von einem fremden Steuergerät auf den Datenbus ist jedoch üblicherweise nicht vorgesehen. Sollte trotzdem eine Nachricht von dritter Seite eingespielt werden, so kann eine Funktionssicherheit eines Steuergeräts des Kraftfahrzeugs oder des gesamten Kraftfahrzeugs gefährdet sein. Jedes Steuergerät ist üblicherweise dazu eingerichtet, bei einer Störung einen sicheren Zustand einzunehmen; eine negative Beeinflussung der Fahrfunktion des Fahrzeugs durch eine eingespielte Nachricht kann jedoch nicht in allen Fällen vollständig verhindert werden. Mittels eines zweiten Netzwerks kann das Kraftfahrzeug mit einer zentralen Stelle oder einem anderen Kraftfahrzeug vernetzt sein. So können beispielsweise Informationen zwischen Kraftfahrzeugen direkt ausgetauscht werden (C2C: Car to Car; Fahrzeug-zu-Fahrzeug), oder eine Flotte mehrerer Fahrzeuge kann über die zentrale Stelle gesteuert werden. An Bord des Kraftfahrzeugs sind die beiden Netzwerke üblicherweise strikt voneinander getrennt. Es ist jedoch wünschenswert, Informationen zwischen den Netzwerken auszutauschen, um beispielsweise eine verbesserte Steuerung einer Fahrfunktion oder ein verbessertes Flottenmanagement zu ermöglichen. Eine Sicherheit der Netzwerke soll dabei gesichert bleiben. Die Erfindung löst diese Aufgabe mittels der Gegenstände der unabhängigen Ansprüche. Unteransprüche geben bevorzugte Ausführungsformen wieder. A definition of a part of the messages that can be transmitted on the data bus can be disclosed. These messages usually concern the indication of a condition or event. For example, a diagnostic device can be connected to the data bus in order to carry out a technical analysis of control devices connected to the data bus, for example to support an exhaust gas check. However, there is usually no provision for a message from a third-party control unit to be imported onto the data bus. Should a message from a third party nevertheless be imported, the functional reliability of a control unit of the motor vehicle or of the entire motor vehicle can be endangered. Each control device is usually set up to assume a safe state in the event of a fault; however, a negative influence on the driving function of the vehicle by a recorded message cannot be completely prevented in all cases. The motor vehicle can be networked with a central point or another motor vehicle by means of a second network. For example, information can be exchanged directly between motor vehicles (C2C: Car to Car; vehicle-to-vehicle), or a fleet of several vehicles can be controlled via the central point. The two networks are usually strictly separated from one another on board the motor vehicle. However, it is desirable to exchange information between the networks in order, for example, to enable improved control of a driving function or improved fleet management. A security of the networks should remain assured. The invention solves this problem by means of the subjects of the independent claims. Subclaims reproduce preferred embodiments.
Nach einem ersten Aspekt der vorliegenden Erfindung umfasst ein System zur Kommunikation zwischen einem ersten und einem zweiten Datenbus an Bord eines Kraftfahrzeugs einen Medienkonverter, der dazu eingerichtet ist, auf dem zweiten Datenbus bereitgestellte physikalische Signale unidirektional zu verzweigen; und ein Steuergerät mit einem ersten Anschluss zur Verbindung mit dem ersten Datenbus und einem zweiten Anschluss zur Verbindung mit dem Medienkonverter, um die verzweigten Signale zu erhalten. Dabei ist das Steuergerät dazu eingerichtet, eine auf dem zweiten Datenbus mittels Signalen übermittelte Nachricht zu rekonstruieren, die Nachricht auszuwerten und in Abhängigkeit eines Ergebnisses der Auswertung eine weitere Nachricht auf dem ersten Datenbus bereitzustellen. According to a first aspect of the present invention, a system for communication between a first and a second data bus on board a motor vehicle comprises a media converter which is set up to branch unidirectionally physical signals provided on the second data bus; and a control device having a first connection for connection to the first data bus and a second connection for connection to the media converter in order to receive the branched signals. The control device is set up to reconstruct a message transmitted by means of signals on the second data bus, to evaluate the message and to provide a further message on the first data bus as a function of a result of the evaluation.
Der Medienkonverter kann auf einer physikalischen Schicht eines Kommunikationsmodells zwischen den Datenbussen arbeiten. Die Datenbusse können unterschiedliche physikalische Signale zur Nachrichtenübermittlung verwenden, beispielsweise Strom und Licht, wobei der Medienkonverter dazu eingerichtet sein kann, Signale entsprechend umzusetzen. Jedenfalls ist der Medienkonverter dazu eingerichtet, Informationen ausschließlich in eine vorbestimmte Richtung zu übermitteln, im vorliegenden Zusammenhang insbesondere vom zweiten Datenbus zum ersten Datenbus. Der Medienkonverter kann das informationstechnische Äquivalent einer Diode darstellen und wird gelegentlich auch Datendiode genannt. Eine als Datendiode bekannt Vorrichtung kann zu diesem Zweck verwendet werden. Die nur einseitige Datenübernahme kann auch Mitlesen oder Nur- Lesen-Zugriff ("read only access") genannt werden. The media converter can operate on a physical layer of a communication model between the data buses. The data buses can use different physical signals for message transmission, for example power and light, wherein the media converter can be set up to convert signals accordingly. In any case, the media converter is set up to transmit information exclusively in a predetermined direction, in the present context in particular from the second data bus to the first data bus. The media converter can represent the IT equivalent of a diode and is sometimes also called a data diode. One as a data diode known device can be used for this purpose. The only one-sided data transfer can also be called read-along or read-only access.
Zur Kopplung zweier Datenbusse, die mit elektrischen Strömen oder Spannungen arbeiten, kann eine Diode oder ein ähnlicher Halbleiter eingesetzt werden. Werden auf den Datenbussen unterschiedliche physikalische Signale eingesetzt, beispielsweise Strom und Licht, so kann der Medienkonverter die gesuchte Unidirektionalität durch eine passende Umwandlung der physischen Signale sicher stellen. In einerweiteren Ausführungsform kann ein Signal zwischen den Datenbussen auch mehrfach umgewandelt werden. Beispielsweise kann ein elektrisches Signal mittels eines Optokopplers zuerst in ein optisches Signal und dann wieder in ein elektrisches umgewandelt werden. A diode or a similar semiconductor can be used to couple two data buses that work with electrical currents or voltages. If different physical signals are used on the data buses, for example power and light, the media converter can ensure the desired unidirectionality by appropriately converting the physical signals. In a further embodiment, a signal can also be converted several times between the data buses. For example, an electrical signal can first be converted into an optical signal and then back into an electrical signal by means of an optocoupler.
Mittels des Systems können Informationen vom zweiten auf den ersten Datenbus übermittelt werden, ohne dass eine unmittelbare Rückkopplung entsteht. Durch den Medienkonverter kann der erste Datenbus nur lesend an den zweiten und dieser nur schreibend an den ersten angebunden sein. Für den ersten Datenbus kann der zweite Datenbus transparent angebunden sein; Komponenten am ersten Datenbus müssen vom zweiten Datenbus oder einer mit ihm verbundenen Komponente keine Kenntnis haben. Umgekehrt kann auch der zweite Datenbus transparent für den ersten Datenbus angebunden sein. By means of the system, information can be transmitted from the second to the first data bus without creating an immediate feedback. Due to the media converter, the first data bus can only be connected to the second for reading and this only for writing to the first. The second data bus can be connected transparently for the first data bus; Components on the first data bus do not have to be aware of the second data bus or a component connected to it. Conversely, the second data bus can also be connected transparently to the first data bus.
Die Datenbusse haben üblicherweise unterschiedliche Bedeutungen an Bord des Kraftfahrzeugs. Insbesondere kann der erste Datenbus mit einem Steuergerät zur Steuerung des Kraftfahrzeugs verbunden sein. Das Steuergerät kann insbesondere eine Bewegung des Kraftfahrzeugs in Längs- und/oder Querrichtung beeinflussen und beispielsweise eine Komponente eines Antriebsstrangs des Kraftfahrzeugs steuern, etwa ein Getriebe oder einen Antriebsmotor. Der erste Datenbus kann insbesondere als gesichert und/oder vertrauenswürdig gelten. Aus dem ersten Datenbus übermittelte Informationen können vor einer unkontrollierten Verbreitung an den zweiten Datenbus geschützt werden. Der zweite Datenbus ist üblicherweise weniger gut gesichert, kann als weniger vertrauenswürdig gelten und ist häufig mit einem anderen Netzwerk verbunden, dessen Sicherheit oder Vertrauenswürdigkeit allgemein nicht garantiert werden kann. Insbesondere kann der zweite Datenbus mit einer drahtlosen Schnittstelle zur Verbindung mit einer entfernten Einrichtung verbunden sein. Die drahtlose Schnittstelle kann beispielsweise eine Mobilfunk- oder WLAN-Verbindung umfassen. Über die drahtlose Schnittstelle kann der zweite Datenbus Teil eines Netzwerks sein, über das Nachrichten des ersten Datenbusses nicht ungeschätzt übermittelt werden sollen. Dieses Netzwerk kann beliebig groß und/oder komplex sein und beispielsweise das Internet umfassen oder mit diesem verbunden sein. The data buses usually have different meanings on board the motor vehicle. In particular, the first data bus can be connected to a control device for controlling the motor vehicle. The control device can in particular influence a movement of the motor vehicle in the longitudinal and / or transverse direction and, for example, control a component of a drive train of the motor vehicle, for example a transmission or a drive motor. The first data bus can in particular be considered to be secured and / or trustworthy. Information transmitted from the first data bus can be protected from uncontrolled dissemination to the second data bus. The second data bus is usually less well secured, can be considered less trustworthy and is often connected to another network whose security or trustworthiness can generally not be guaranteed. In particular, the second data bus can be connected to a wireless interface for connection to a remote device. The wireless interface can include, for example, a cellular or WLAN connection. The second data bus can be part of a network via the wireless interface, via which messages of the first data bus should not be transmitted without being estimated. This network can be of any size and / or complex and, for example, comprise or be connected to the Internet.
In einer weiter bevorzugten Ausführungsform ist das Steuergerät auf dem zweiten Datenbus nicht adressierbar. Eine Nachricht kann so auf dem zweiten Datenbus nicht direkt an das Steuergerät gesandt werden. Dazu kann das Steuergerät auf dem zweiten Datenbus nicht erkannt werden bzw. nicht bekannt sein. Eine Empfängeradresse für das Steuergerät kann nicht existieren oder nicht gesetzt sein. Die Nachricht kann auf dem ersten Datenbus an einen beliebigen Empfänger übermittelt werden, der sich vom zweiten Datenbus unterscheidet.In a further preferred embodiment, the control device cannot be addressed on the second data bus. In this way, a message cannot be sent directly to the control unit on the second data bus. For this purpose, the control device cannot be recognized or not known on the second data bus. A recipient address for the control unit cannot exist or cannot be set. The message can be transmitted on the first data bus to any recipient that differs from the second data bus.
Auf dem zweiten Datenbus kann ein Protokoll verwendet werden, das eine adresslose Kommunikation, beispielsweise mittels Broadcast, unterstützt. Das Steuergerät kann Informationen vom zweiten Datenbus erhalten, indem es diesen „belauscht“. A protocol that supports addressless communication, for example by means of broadcast, can be used on the second data bus. The control unit can receive information from the second data bus by "listening in" to it.
In einerweiteren Ausführungsform ist das Steuergerät dazu eingerichtet, einen Typ einer rekonstruierten Nachricht zu bestimmen und die Nachricht zu verwerfen, falls der Typ nicht einem vorbestimmten Typ entspricht. So können nur vorbestimmte Nachrichten vom ersten an den zweiten Datenbus gelangen. Insbesondere kann eine abschließende Liste von Nachrichtentypen vorgesehen sein, wobei eine Nachricht, die nicht einem Typ der Liste entspricht, verworfen wird. Der Nachrichtentyp kann in einer Spezifikation eines auf dem zweiten Datenbus eingesetzten Protokolls definiert sein. So kann verhindert werden, dass eine Nachricht ausgewertet wird, welche die Sicherheit des ersten Datenbusses kompromittieren könnte. Beispielsweise kann ein Nachrichtentyp, der eine Anforderung zur Bereitstellung von Informationen betrifft, verworfen werden. In einer Ausführungsform ist eine vorbestimmte Anzahl Nachrichten definiert, die durch das Steuergerät ausgewertet wird; alle anderen Nachrichten können verworfen werden. So können insbesondere defekte oder unvollständige Nachrichten ebenfalls verworfen werden. Das Steuergerät übermittelt üblicherweise keine Empfangsbestätigung an den zweiten Datenbus und kann auch keine erneute Übertragung einer verworfenen Nachricht anfordern. In a further embodiment, the control device is set up to determine a type of a reconstructed message and to discard the message if the type does not correspond to a predetermined type. In this way, only predetermined messages can get from the first to the second data bus. In particular, a final list of message types can be provided, a message that does not correspond to a type of the list being discarded. The message type can be defined in a specification of a protocol used on the second data bus. This prevents a message from being evaluated which could compromise the security of the first data bus. For example, a type of message relating to a request to provide information can be discarded. In one embodiment, a predetermined number of messages is defined that is evaluated by the control unit; all other messages can be discarded. In particular, defective or incomplete messages can also be discarded. The control unit usually does not transmit any acknowledgment of receipt to the second data bus and cannot request a retransmission of a discarded message.
In einerweiteren Ausführungsform ist das Steuergerät dazu eingerichtet, den Inhalt einer rekonstruierten Nachricht zu plausibilisieren. Dazu kann die Nachricht auf einer höheren Kommunikationsschicht als der physischen Übertragungsschicht behandelt werden. Im OSI-Modell kann die Plausibilisierung insbesondere auf der Anwendungsschicht (Schicht 7) erfolgen. Sollte der Inhalt der rekonstruierten Nachricht nicht plausibel sein, so kann die Nachricht verworfen werden. Andernfalls kann mit der Auswertung fortgefahren werden. In a further embodiment, the control device is set up to check the plausibility of the content of a reconstructed message. For this purpose, the message can be handled on a higher communication layer than the physical transmission layer. In the OSI model, the plausibility check can take place in particular on the application layer (layer 7). If the content of the reconstructed message is not plausible, the message can be discarded. Otherwise the evaluation can be continued.
Das Plausibilisieren kann gegenüber einer Information erfolgen, die über den ersten Datenbus empfangen wurde. Das Steuergerät kann diese Information über den ersten Datenbus entgegennehmen, wenn die Information übertragen wird, oder ihre Übertragung eigens anfordern. Die Information kann beispielsweise von einem Sensor oder einem Steuergerät am ersten Datenbus bereitgestellt sein. The plausibility check can take place in relation to information that was received via the first data bus. The control unit can receive this information via the first data bus when the information is transmitted, or it can request its transmission itself. The information can for example be provided by a sensor or a control device on the first data bus.
Zur Bereitstellung von Informationen in der entgegengesetzten Richtung, vom ersten Datenbus an den zweiten Datenbus, kann eine entsprechende Technik eingesetzt werden. Dabei umfasst ein korrespondierendes System einen weiteren Medienkonverter, der dazu eingerichtet ist, ein auf dem ersten Datenbus bereitgestelltes physikalisches Signal unidirektional an den zweiten Datenbus zu verzweigen. So kann der zweite Datenbus am ersten Datenbus „lauschen“, ohne eine Nachricht auf den ersten Datenbus einspielen zu können.A corresponding technique can be used to provide information in the opposite direction, from the first data bus to the second data bus. A corresponding system includes a further media converter which is set up to branch a physical signal provided on the first data bus unidirectionally to the second data bus. The second data bus can "listen" to the first data bus without being able to import a message onto the first data bus.
In einer besonders bevorzugten Ausführungsform durchlaufen Daten vom ersten Datenbus zunächst das Steuergerät und dann den weiteren Medienkonverter, um im zweiten Datenbus rekonstruiert und ausgewertet werden zu können. Das Steuergerät kann nur vorbestimmte Nachrichten, insbesondere nur Nachrichten eines vorbestimmten Nachrichtentyps, an den zweiten Datenbus weiterleiten. Das Steuergerät kann dazu eingerichtet sein, ein weiteres mit dem ersten Datenbus verbundenes Gerät zur Übermittlung einer vorbestimmten Information auf dem ersten Datenbus zu veranlassen. Das Steuergerät kann so dafür sorgen, dass die Information auf dem ersten Datenbus übermittelt wird, sodass es auf dem zweiten Datenbus gelesen werden kann. Das Steuergerät kann die Übermittlung der Information bevorzugt zeitgesteuert, insbesondere periodisch veranlassen. So kann beispielsweise ein Status oder ein Betriebsparameter eines vorbestimmten Geräts an den zweiten Datenbus publiziert werden, ohne dass ein Gerät des zweiten Datenbusses eine entsprechende Anfrage auf den ersten Datenbus schickt. Beispielsweise kann auf der Basis von übermittelten Informationen ein Zeitpunkt für eine erforderliche Wartung einer Komponente an Bord des Kraftfahrzeugs bestimmt werden. In a particularly preferred embodiment, data from the first data bus first pass through the control device and then through the further media converter in order to be able to be reconstructed and evaluated in the second data bus. The control device can only forward predetermined messages, in particular only messages of a predetermined message type, to the second data bus. The control device can be set up to cause a further device connected to the first data bus to transmit predetermined information on the first data bus. The control device can thus ensure that the information is transmitted on the first data bus so that it can be read on the second data bus. The control device can initiate the transmission of the information preferably in a time-controlled manner, in particular periodically. For example, a status or an operating parameter of a predetermined device can be published on the second data bus without a device on the second data bus sending a corresponding request to the first data bus. For example, a point in time for required maintenance of a component on board the motor vehicle can be determined on the basis of transmitted information.
In einerweiteren Ausführungsform kann mit dem zweiten Datenbus eine Vielzahl Steuergeräte verbunden sein, die keinen direkten Einfluss auf eine Fahrfunktion des Kraftfahrzeugs haben. Derartige Steuergeräte können beispielsweise eine Einrichtung zur Bestimmung einer geographischen Position des Kraftfahrzeugs, eine Kamera an Bord des Kraftfahrzeugs, einen Betriebsstundenzähler oder eine durch einen Fahrer oder Passagier des Kraftfahrzeugs steuerbare Eingabeeinrichtung umfassen. Die weiteren Steuergeräte können Informationen nach einem vorbestimmten Protokoll oder in einem vorbestimmten Datenformat bereitstellen. Insbesondere kann eine offene Schnittstelle verwendet werden, für die eine Spezifikation für die Übermittlung von Informationen bekannt ist („offene Schnittstelle“). In a further embodiment, a large number of control units can be connected to the second data bus which have no direct influence on a driving function of the motor vehicle. Such control devices can include, for example, a device for determining a geographical position of the motor vehicle, a camera on board the motor vehicle, an operating hours counter or an input device controllable by a driver or passenger of the motor vehicle. The other control devices can provide information according to a predetermined protocol or in a predetermined data format. In particular, an open interface can be used for which a specification for the transmission of information is known (“open interface”).
Es ist weiterhin bevorzugt, dass wenigstens einer der Datenbusse einen CAN- Bus umfasst. Der CAN-Bus kann insbesondere für den ersten Datenbus verwendet werden. Alternative Techniken für wenigstens einen der Datenbusse umfassen beispielsweise K-Line, FlexRay, Lin oder Ethernet. Verwenden die Datenbusse unterschiedliche Protokolle, so kann das Steuergerät dazu eingerichtet sein, Nachrichten entsprechend zu konvertieren. It is further preferred that at least one of the data buses comprises a CAN bus. The CAN bus can in particular be used for the first data bus. Alternative techniques for at least one of the data buses include, for example, K-Line, FlexRay, Lin or Ethernet. If the data buses use different protocols, the control device can be set up to convert messages accordingly.
Nach einem weiteren Aspekt der vorliegenden Erfindung umfasst ein Kraftfahrzeug ein hierin beschriebenes System. Das Kraftfahrzeug kann insbesondere ein Nutzfahrzeug umfassen, das weiter bevorzugt zum Personentransport eingerichtet ist. Insbesondere kann das Kraftfahrzeug einen Stadtbus umfassen, der beispielsweise im Linienverkehr eingesetzt ist. According to a further aspect of the present invention, a motor vehicle comprises a system as described herein. The motor vehicle can in particular include a utility vehicle, which is further preferred for Passenger transport is set up. In particular, the motor vehicle can include a city bus that is used, for example, in regular service.
Nach wieder einem weiteren Aspekt der vorliegenden Erfindung umfasst ein Verfahren zur Kommunikation zwischen einem ersten und einem zweiten Datenbus an Bord eines Kraftfahrzeugs Schritte des unidirektionalen Verzweigens von auf dem zweiten Datenbus bereitgestellten physikalischen Signalen; des Rekonstruierens einer mittels Signalen auf dem zweiten Datenbus übermittelten Nachricht auf der Basis der verzweigten Signale; des Auswertens der rekonstruierten Nachricht; und des Bereitstellens einerweiteren Nachricht auf dem ersten Datenbus in Abhängigkeit eines Ergebnisses der Auswertung. According to yet another aspect of the present invention, a method for communication between a first and a second data bus on board a motor vehicle comprises steps of unidirectional branching of physical signals provided on the second data bus; reconstructing a message transmitted by signals on the second data bus based on the branched signals; evaluating the reconstructed message; and providing a further message on the first data bus as a function of a result of the evaluation.
Das Verfahren kann mittels einer Verarbeitungseinrichtung ausgeführt werden, die insbesondere von einem hierin beschriebenen Steuergerät umfasst sein kann. Die Verarbeitungseinrichtung kann einen programmierbaren Mikrocomputer oder Mikrocontroller umfassen, und das Verfahren kann in Form eines Computerprogrammprodukts mit Programmcodemitteln vorliegen. Das Computerprogrammprodukt kann auch auf einem computerlesbaren Datenträger abgespeichert sein. Merkmale oder Vorteile des Verfahrens können auf eine entsprechende Vorrichtung, insbesondere ein hierin beschriebenes Steuergerät oder ein hierin beschriebenes System, übertragen werden oder umgekehrt. The method can be carried out by means of a processing device, which can in particular be comprised by a control device described herein. The processing device can comprise a programmable microcomputer or microcontroller, and the method can be in the form of a computer program product with program code means. The computer program product can also be stored on a computer-readable data carrier. Features or advantages of the method can be transferred to a corresponding device, in particular a control device or a system described herein, or vice versa.
Die Erfindung wird nun mit Bezug auf die beigefügten Zeichnungen genauer beschrieben, in denen: The invention will now be described in more detail with reference to the accompanying drawings, in which:
Figur 1 ein System; Figure 1 shows a system;
Figur 2 ein Ablaufdiagramm eines ersten Verfahrens; und Figur 3 ein Ablaufdiagramm eines zweiten Verfahrens illustriert. FIG. 2 shows a flow chart of a first method; and FIG. 3 illustrates a flow chart of a second method.
Figur 1 zeigt ein System 100, das ein Kraftfahrzeug 102 umfasst, an dessen Bord ein erster Datenbus 104 und ein zweiter Datenbus 106 angebracht sind. Die Datenbusse 104, 106 sind als Kreise dargestellt, obwohl eine Topologie der Datenbusse 104, 106 jeweils sternförmig, busförmig oder beliebig anders gewählt sein kann. Die Datenbusse 104 und 106 bilden kommunikationstechnisch unterschiedliche Domänen, zwischen denen Informationen nur unter bestimmten Voraussetzungen ausgetauscht werden können. Eine Domänengrenze 108 trennt eine erste Domäne 110, die den ersten Datenbus 104 umfasst, von einer zweiten Domäne 112, die den zweiten Datenbus 106 umfasst. FIG. 1 shows a system 100 which comprises a motor vehicle 102, on whose board a first data bus 104 and a second data bus 106 are attached. The data buses 104, 106 are shown as circles, although a topology is shown in FIG Data buses 104, 106 can each be selected to be star-shaped, bus-shaped or any other. The data buses 104 and 106 form different domains in terms of communication technology, between which information can only be exchanged under certain conditions. A domain boundary 108 separates a first domain 110, which includes the first data bus 104, from a second domain 112, which includes the second data bus 106.
Der erste Datenbus 104 ist bevorzugt mit einem oder mehreren Steuergeräten verbunden, die eine Fahrfunktion des Kraftfahrzeugs 102 steuern können. Der erste Datenbus 104 kann auch DriveLine genannt werden und ist häufig als CAN-Bus realisiert. Beispielsweise kann das Kraftfahrzeug 102 einen Antriebsstrang 114 umfassen, der einen Antriebsmotor 116, ein Getriebe 118 und/oder ein Antriebsrad 120 umfassen kann. Der erste Datenbus 104 kann mit Steuergeräten verbunden sein, die beispielsweise auf den Antriebsmotor 116 oder das Getriebe 118 einwirken. Andere mögliche Steuergeräte, die eine Fahrfunktion des Kraftfahrzeugs 102 steuern können, umfassen beispielsweise Steuergeräte für eine Radbremse, einen Retarder, einen Rekuperator oder eine Lenkung. The first data bus 104 is preferably connected to one or more control units that can control a driving function of the motor vehicle 102. The first data bus 104 can also be called DriveLine and is often implemented as a CAN bus. For example, motor vehicle 102 can include a drive train 114, which can include a drive motor 116, a transmission 118 and / or a drive wheel 120. The first data bus 104 can be connected to control units that act, for example, on the drive motor 116 or the transmission 118. Other possible control devices that can control a driving function of the motor vehicle 102 include, for example, control devices for a wheel brake, a retarder, a recuperator or a steering system.
Der zweite Datenbus 106 kann üblicherweise mit Geräten verbunden werden, die eine Fahrfunktion des Kraftfahrzeugs 102 nicht oder nicht unmittelbar betreffen. Beispielsweise können eine durch einen Fahrer des Kraftfahrzeugs 102 bedienbare Konsole 122, eine auf einen Innenraum oder ein Umfeld des Kraftfahrzeugs 102 gerichtete Kamera 124 oder eine drahtlose Schnittstelle 126 mit dem zweiten Datenbus 106 verbunden sein. Die Schnittstelle 126 ist bevorzugt dazu eingerichtet, mittels eines Netzwerks 128 mit einer entfernten Einrichtung 130 zu kommunizieren. Die externe Einrichtung 130 kann eine drahtlose Schnittstelle 132 zur Kommunikation mit der drahtlosen Schnittstelle 126 an Bord des Kraftfahrzeugs 102, eine Verarbeitungseinrichtung 134 und eine optionale Speichervorrichtung 136 umfassen. Üblicherweise ist die externe Einrichtung 130 zur Verarbeitung von Informationen eingerichtet, die von einer Vielzahl Kraftfahrzeugen 102 bezogen sind. Auch ein an Bord des Kraftfahrzeugs 102 befindliches Gerät kann mit der Schnittstelle 126 kommunizieren. Die Schnittstelle kann 126 eine Sicherheitskomponente wie eine Firewall umfassen, die insbesondere als Paketfilter ausgebildet sein kann, die übermittelte Daten an sich („stateless inspection“) oder im Zusammenhang eines Übermittlungsstatus analysieren kann („stateful inspection“). Die entfernte Einrichtung 130 kann insbesondere eine zentrale Einrichtung umfassen, die dazu eingerichtet ist, mit einer Vielzahl Kraftfahrzeuge 102 zu kommunizieren. Alternativ kann die entfernte Einrichtung 130 auch an Bord eines anderen Kraftfahrzeugs 102 oder an einer Verkehrsinfrastruktur angebracht sein. Über das Netzwerk 128 kann eine Vielzahl Geräte kommunikativ miteinander verbunden sein. Insbesondere kann das Netzwerk 128 über eines der Geräte mit einem Weitverkehrsnetz wie dem Internet verbunden sein. The second data bus 106 can usually be connected to devices that do not or not directly affect a driving function of the motor vehicle 102. For example, a console 122 that can be operated by a driver of the motor vehicle 102, a camera 124 directed at an interior space or the surroundings of the motor vehicle 102, or a wireless interface 126 can be connected to the second data bus 106. The interface 126 is preferably set up to communicate with a remote device 130 by means of a network 128. The external device 130 can include a wireless interface 132 for communication with the wireless interface 126 on board the motor vehicle 102, a processing device 134 and an optional storage device 136. The external device 130 is usually set up to process information obtained from a large number of motor vehicles 102. A device located on board the motor vehicle 102 can also communicate with the interface 126. The interface can comprise 126 a security component such as a firewall, which can in particular be designed as a packet filter, which can analyze transmitted data per se (“stateless inspection”) or in connection with a transmission status (“stateful inspection”). The remote device 130 can in particular comprise a central device which is set up to communicate with a multiplicity of motor vehicles 102. Alternatively, the remote device 130 can also be mounted on board another motor vehicle 102 or on a traffic infrastructure. A multiplicity of devices can be communicatively connected to one another via the network 128. In particular, the network 128 can be connected to a wide area network such as the Internet via one of the devices.
Der zweite Datenbus 106 kann Informationen transportieren, die beispielsweise für eine bedarfsgesteuerte oder vorbeugende Wartung des Kraftfahrzeugs 102, ein Flottenmanagement, ein Verkehrsmanagement, eine Fahrplanüberwachung, eine Positionsübertragung oder eine ähnliche Funktion erforderlich sind. Insbesondere dann, wenn der zweite Datenbus 106 mit einem anderen Netzwerk 128 verbunden ist, besteht die Gefahr, dass ein Angreifer oder ein falsch konfiguriertes Gerät auf ein mit dem zweiten Datenbus 106 verbundenes Gerät einwirkt. Solange die Domänen 110, 112 datentechnisch voneinander getrennt sind, kann eine Fahrfunktion des Kraftfahrzeugs 102 dadurch nicht beeinflusst werden. Eine Betriebssicherheit des Kraftfahrzeugs 102 kann dadurch sichergestellt sein. Insbesondere kann ein Personenschaden an einer Person im Kraftfahrzeug 102 oder dessen Umfeld üblicherweise nicht durch ein mit dem Netzwerk 128 verbundenes Gerät verursacht werden. The second data bus 106 can transport information that is required, for example, for demand-controlled or preventive maintenance of the motor vehicle 102, fleet management, traffic management, schedule monitoring, position transmission or a similar function. In particular when the second data bus 106 is connected to another network 128, there is a risk that an attacker or an incorrectly configured device will act on a device connected to the second data bus 106. As long as the domains 110, 112 are separated from one another in terms of data technology, a driving function of the motor vehicle 102 cannot be influenced thereby. Operational safety of the motor vehicle 102 can thereby be ensured. In particular, personal injury to a person in motor vehicle 102 or its surroundings cannot usually be caused by a device connected to network 128.
Zur Überwindung der Domänengrenze 108 für bestimmte Informationen werden verschiedene Schutzmaßnahmen vorgeschlagen, die dazu beitragen können, dass mit dem ersten Datenbus 104 verbundene Geräte möglichst nicht von einem mit dem zweiten Datenbus 106 verbundenen Gerät gesteuert werden können. In order to overcome the domain boundary 108 for certain information, various protective measures are proposed which can contribute to the fact that devices connected to the first data bus 104 cannot, if possible, be controlled by a device connected to the second data bus 106.
Allgemein wird davon ausgegangen, dass auf beiden Datenbussen 104, 106 jeweils eine Nachricht übermittelt werden kann, indem physikalische Signale, beispielsweise Strom, Spannung oder Licht, auf dem jeweiligen Datenbus 104, 106 von einem Gerät zum anderen übersandt werden. Ein erster Medienkonverter 138 ist dazu eingerichtet, auf dem zweiten Datenbus 106 bereitgestellte physikalische Signale unidirektional zu verzweigen. Dabei soll sich der erste Medienkonverter 138 im Wesentlichen nach Art einer Diode verhalten, sodass er ein Weiterleiten der physikalischen Signale an eine andere Einrichtung erlaubt, den umgekehrten Weg aber verhindert. Ein physikalisches Signal kann dementsprechend nicht über den ersten Medienkonverter 138 in den zweiten Datenbus 106 eingespeist werden. Der Medienkonverter 138 kann beispielsweise als Halbleiter, Lichtwellenleiter oder Optokoppler ausgeführt sein. Sein Ausgang ist bevorzugt mit einem Steuergerät 140 verbunden, welches dazu eingerichtet ist, die vom Medienkonverter 138 bereitgestellten physikalischen Signale entgegenzunehmen und auf ihrer Basis eine auf dem zweiten Datenbus 106 übermittelte Nachricht zu rekonstruieren. Auf diese Weise kann eine Nachricht vom zweiten Datenbus 106 rückwirkungsfrei in das Steuergerät 140 übernommen werden. Dabei ist das Steuergerät 140 bevorzugt kein dedizierter Kommunikationspartner für ein Gerät am zweiten Datenbus 106. Das Steuergerät 140 kann beispielsweise nicht vom zweiten Datenbus 106 aus adressiert werden, jedoch kann es bevorzugt über den zweiten Datenbus 106 übertragene Nachrichten rekonstruieren. Das Steuergerät 140 kann als Gateway ausgeführt sein. It is generally assumed that a message can be transmitted on each of the two data buses 104, 106 by using physical signals, for example current, voltage or light, on the respective data bus 104, 106 can be sent from one device to another. A first media converter 138 is set up to branch unidirectionally physical signals provided on the second data bus 106. The first media converter 138 should behave essentially in the manner of a diode, so that it allows the physical signals to be passed on to another device, but prevents the reverse path. Accordingly, a physical signal cannot be fed into the second data bus 106 via the first media converter 138. The media converter 138 can be implemented as a semiconductor, optical waveguide or optocoupler, for example. Its output is preferably connected to a control device 140 which is set up to receive the physical signals provided by the media converter 138 and to reconstruct a message transmitted on the second data bus 106 on their basis. In this way, a message can be transferred from the second data bus 106 to the control device 140 without any reaction. The control device 140 is preferably not a dedicated communication partner for a device on the second data bus 106. The control device 140 cannot, for example, be addressed from the second data bus 106, but it can preferably reconstruct messages transmitted via the second data bus 106. The control device 140 can be designed as a gateway.
Eine rekonstruierte Nachricht kann weiter ausgewertet werden und insbesondere kann auf ihrer Basis eine weitere Nachricht bestimmt werden, die das Steuergerät 140 auf den ersten Datenbus 104 übertragen kann. Diese Nachricht kann auf der Basis der rekonstruierten Nachricht neu erstellt sein. Alternativ kann die versandte Nachricht auch aus der rekonstruierten Nachricht abgeleitet sein, beispielsweise indem Teile der rekonstruierten Nachricht gelöscht oder verändert werden. Die Behandlung rekonstruierter und ausgesandter Nachrichten wird hierin mit Bezug auf ein Verfahren noch genauer beschrieben. A reconstructed message can be further evaluated and, in particular, a further message can be determined on its basis, which the control device 140 can transmit to the first data bus 104. This message can be newly created on the basis of the reconstructed message. Alternatively, the sent message can also be derived from the reconstructed message, for example by deleting or changing parts of the reconstructed message. The handling of reconstructed and transmitted messages is described in more detail herein with reference to a method.
Ein zweiter Medienkonverter 142 kann vorgesehen sein, um in umgekehrter Richtung eine Übermittlung von Informationen vom ersten Datenbus 104 zum zweiten Datenbus 106 zu ermöglichen. Der zweite Medienkonverter 142 arbeitet auf die gleiche Weise, die oben bezüglich des ersten Medienkonverters 138 beschrieben ist. Allerdings nimmt der zweite Medienkonverter 142 physikalische Signale entweder direkt vom ersten Datenbus 104 oder von dem mit dem ersten Datenbus 104 verbundenen Steuergerät 140 entgegen und verzweigt diese unidirektional an den zweiten Datenbus 106 oder ein mit ihm verbundenes Gerät. A second media converter 142 can be provided in order to enable information to be transmitted from the first data bus 104 to the second data bus 106 in the opposite direction. The second media converter 142 operates in the same manner as described above with respect to the first media converter 138. However, the second media converter 142 takes physical Signals either directly from the first data bus 104 or from the control device 140 connected to the first data bus 104 and branches these unidirectionally to the second data bus 106 or a device connected to it.
Ist der zweite Medienkonverter 142 unmittelbar mit dem ersten Datenbus 104 verbunden, so kann seitens des zweiten Datenbusses 106 der gesamte Datenverkehr des ersten Datenbusses 104 mitgelesen werden. Ist das Steuergerät 140 zwischen den ersten Datenbus 104 und den zweiten Medienkonverter 142 geschaltet, so kann es nur vorbestimmte Nachrichten durchlassen und andere ausfiltern. Eine durchgelassene Nachricht kann auch verändert werden, beispielsweise indem ein Teil gelöscht oder verändert wird. Ferner kann eine vom ersten Datenbus 104 gelesene Nachricht als Grundlage für eine neue Nachricht dienen, die vom Steuergerät 140 an den zweiten Medienkonverter 142 ausgegeben wird. If the second media converter 142 is directly connected to the first data bus 104, then the entire data traffic of the first data bus 104 can also be read by the second data bus 106. If the control device 140 is connected between the first data bus 104 and the second media converter 142, it can only let through predetermined messages and filter out others. A message that has passed through can also be changed, for example by deleting or changing a part. Furthermore, a message read from the first data bus 104 can serve as the basis for a new message that is output by the control device 140 to the second media converter 142.
Figur 2 zeigt ein Ablaufdiagramm eines ersten Verfahrens 200, das die Übermittlung von Informationen vom zweiten Datenbus 106 zum ersten Datenbus 104 an Bord eines Kraftfahrzeugs 102 illustriert. Zur leichteren Orientierung ist die Domänengrenze 108 eingezeichnet. Oberhalb der Domänengrenze 108 dargestellte Verfahrensschritte beziehen sich im Wesentlichen auf die zweite Domäne 112, darunter dargestellte Verfahrensschritte auf die erste Domäne 110. So wird verdeutlicht, zwischen welchen Verfahrensschritten der Übergang über die Domänengrenze 108 erfolgt. FIG. 2 shows a flow chart of a first method 200 which illustrates the transmission of information from the second data bus 106 to the first data bus 104 on board a motor vehicle 102. The domain boundary 108 is shown for easier orientation. Method steps shown above the domain boundary 108 essentially relate to the second domain 112, and the method steps shown below relate to the first domain 110. It is thus made clear between which method steps the transition over the domain boundary 108 takes place.
In der Darstellung von Figur 2 wird in einem Schritt 205 eine Nachricht auf dem zweiten Datenbus 106 versandt. Das Versenden erfolgt mittels eines mit dem zweiten Datenbus 106 verbundenen Geräts und die Nachricht wird üblicherweise an ein anderes mit dem zweiten Datenbus 106 verbundenes Gerät übermittelt.In the illustration of FIG. 2, a message is sent on the second data bus 106 in a step 205. The sending takes place by means of a device connected to the second data bus 106 and the message is usually transmitted to another device connected to the second data bus 106.
Die Nachricht kann in einem Schritt 210 von diesem Gerät empfangen werden. Für das vorliegende Verfahren ist es jedoch nicht erforderlich, dass das zweite Gerät die Nachricht empfängt oder überhaupt existiert, solange die Nachricht über den zweiten Datenbus 106 übermittelt wird. In einem Schritt 215 wird die auf dem zweiten Datenbus 106 erfolgende Kommunikation verzweigt. Dabei werden physikalische Signale, die die Nachricht repräsentieren, möglichst rückwirkungsfrei vom zweiten Datenbus 106 an das Steuergerät 140 abgeleitet. Die Kommunikation auf dem zweiten Datenbus 106 wird dadurch bevorzugt nicht beeinträchtigt. The message can be received by this device in a step 210. For the present method, however, it is not necessary for the second device to receive the message or to exist at all as long as the message is transmitted via the second data bus 106. In a step 215, the communication taking place on the second data bus 106 is branched. In this case, physical signals that represent the message are derived from the second data bus 106 to the control device 140 with as little feedback as possible. The communication on the second data bus 106 is preferably not impaired as a result.
In einem Schritt 220 kann die verzweigte Nachricht rekonstruiert werden. Kommunikationstechnisch kann dies ein Auswerten der bereitgestellten physikalischen Signale, ein Vergleichen mit Schwellenwerten, ein Bestimmen einer Datenintegrität und/oder ein Aufteilen in unterschiedliche Datenfelder umfassen. Eines der Datenfelder kann einen Nachrichtentyp betreffen. Unterschiedliche Nachrichten bzw. Nachrichtentypen könnten unterschiedliche Längen aufweisen. Die Nachricht kann mit einer Prüfsumme versehen sein. Eine nicht vollständige oder nicht korrekt empfangene Nachricht kann verworfen werden. In a step 220, the branched message can be reconstructed. In terms of communication technology, this can include evaluating the physical signals provided, comparing them with threshold values, determining data integrity and / or dividing them into different data fields. One of the data fields can relate to a message type. Different messages or message types could have different lengths. The message can be provided with a checksum. An incomplete or incorrectly received message can be discarded.
In einem Schritt 225 kann geprüft werden, ob ein Nachrichtentyp der rekonstruierten Nachricht bekannt bzw. für die Weiterleitung zugelassen ist. Ist die rekonstruierte Nachricht nicht von einem zugelassenen Nachrichtentyp, so kann sie ebenfalls verworfen werden. In einerweiteren Ausführungsform ist eine abschließende Liste zugelassener Nachrichten oder Nachrichtentypen vorgegeben, wobei alle rekonstruierten Nachrichten, die nicht zu einem Eintrag der Liste korrespondieren, verworfen werden können. In a step 225 it can be checked whether a message type of the reconstructed message is known or allowed for forwarding. If the reconstructed message is not of a permitted message type, it can also be discarded. In a further embodiment, a final list of permitted messages or message types is specified, it being possible for all reconstructed messages that do not correspond to an entry in the list to be discarded.
In einem Schritt 230 kann geprüft werden, ob die rekonstruierte Nachricht eine Anforderung umfasst. Eine Anforderung ist dazu eingerichtet, ein empfangendes, mit dem ersten Datenbus 104 verbundenes Gerät zur Bereitstellung von Informationen auf dem ersten Datenbus 104 zu veranlassen. Die Informationen können ein Quittieren der erhaltenen Nachricht umfassen. Eine derartige Nachricht kann ebenfalls verworfen werden. In a step 230 it can be checked whether the reconstructed message comprises a request. A request is set up to cause a receiving device connected to the first data bus 104 to provide information on the first data bus 104. The information can include an acknowledgment of the received message. Such a message can also be discarded.
In einem Schritt 235 kann ein Inhalt der rekonstruierten Nachricht auf Plausibilität überprüft werden. Dazu kann in einem Schritt 240 ein Vergleichswert bestimmt werden. Der Vergleichswert kann insbesondere von einem mit dem ersten Datenbus 104 verbundenen Gerät stammen. In unterschiedlichen Ausführungsformen kann das Steuergerät 140 eine entsprechende, auf den ersten Datenbus 104 übertragene Information mitlesen. In einer zweiten Ausführungsform kann das Steuergerät 140 die Übermittlung der Information auf den ersten Datenbus 104 auch gezielt veranlassen. In a step 235, a content of the reconstructed message can be checked for plausibility. For this purpose, a comparison value can be determined in a step 240. The comparison value can in particular originate from a device connected to the first data bus 104. In different embodiments, the control device 140 can read a corresponding piece of information transmitted to the first data bus 104. In a second In the embodiment, the control device 140 can also initiate the transmission of the information on the first data bus 104 in a targeted manner.
Beispielsweise kann die rekonstruierte Nachricht eineFor example, the reconstructed message can be a
Geschwindigkeitsbeschränkung auf einer Fahrstraßen an einer geographischen Position des Kraftfahrzeugs 102 betreffen, und im Schritt 240 kann eine positionsabhängige Geschwindigkeitsbeschränkung aus einem mit dem ersten Datenbus 104 verbundenen Kartenspeicher abgelesen werden. Weichen die beiden Geschwindigkeitsbeschränkungen um mehr als ein vorbestimmtes Maß voneinander ab, so kann die rekonstruierte Nachricht verworfen werden. Relate to the speed limit on a route at a geographical position of the motor vehicle 102, and in step 240 a position-dependent speed limit can be read from a map memory connected to the first data bus 104. If the two speed restrictions deviate from one another by more than a predetermined amount, the reconstructed message can be discarded.
Erscheint der Nachrichteninhalt hingegen plausibel, so kann das Verfahren 200 fortfahren. If, on the other hand, the message content appears plausible, method 200 can continue.
In einem Schritt 245 kann auf der Basis der rekonstruierten Nachricht eine weitere Nachricht erzeugt werden. Die weitere Nachricht kann der rekonstruierten Nachricht im Wesentlichen entsprechen. Dies gilt insbesondere dann, wenn die Datenbusse 104 und 106 gleiche Technologien verwenden, beispielsweise einen CAN-Bus. Die weitere Nachricht kann nur einen Teil der Informationen der rekonstruierten Nachricht umfassen. Der weiteren Nachricht können andere Informationen hinzugefügt werden, die beispielsweise im Schritt 240 bestimmt wurden. In a step 245, a further message can be generated on the basis of the reconstructed message. The further message can essentially correspond to the reconstructed message. This applies in particular when the data buses 104 and 106 use the same technologies, for example a CAN bus. The further message can only comprise part of the information in the reconstructed message. Other information that was determined in step 240, for example, can be added to the further message.
In einem Schritt 250 kann die weitere Nachricht auf dem ersten Datenbus 104 ausgesandt werden. Dabei kann die Nachricht an ein spezifisches Gerät, mit dem ersten Datenbus 104 verbundenes Gerät gerichtet sein, oder ohne dedizierten Empfänger ausgesandt werden. In a step 250, the further message can be sent out on the first data bus 104. The message can be directed to a specific device, to the device connected to the first data bus 104, or it can be sent without a dedicated receiver.
Figur 3 zeigt ein Ablaufdiagramm eines zweiten Verfahrens 300, das im Rahmen eines Systems 100 an Bord eines Kraftfahrzeugs 102 ausgeführt werden kann. Das Verfahren 300 kann insbesondere mit dem Verfahren 200 kombiniert werden. Zum leichteren Verständnis sind wie in Figur 2 die Domänengrenze 108 und die Domänen 110 und 112 bezüglich der gezeigten Schritte schematisch eingezeichnet. Das Verfahren 300 beginnt in der ersten Domäne 110 mit dem ersten Datenbus 104. ln einem Schritt 305 kann durch das Steuergerät 140 eine Nachricht auf dem ersten Datenbus 104 an ein mit diesem verbundenes Gerät übermittelt werden. Der Schritt 305 wird bevorzugt zeitgesteuert ausgeführt, beispielsweise periodisch oder periodisch solange eine bestimmte Bedingung erfüllt ist, die insbesondere einen Betriebszustand des Kraftfahrzeugs 102 umfassen kann. Beispielsweise kann die Nachricht alle n Sekunden übermittelt werden, falls sich das Kraftfahrzeug 102 in einem betriebsbereiten Zustand befindet, insbesondere während der Antriebsmotor 116 läuft. FIG. 3 shows a flow chart of a second method 300 that can be carried out within the framework of a system 100 on board a motor vehicle 102. The method 300 can in particular be combined with the method 200. For easier understanding, as in FIG. 2, the domain boundary 108 and the domains 110 and 112 are shown schematically in relation to the steps shown. The method 300 begins in the first domain 110 with the first data bus 104. In a step 305, the control device 140 can transmit a message on the first data bus 104 to a device connected to it. Step 305 is preferably carried out in a time-controlled manner, for example periodically or periodically as long as a certain condition is met, which in particular can include an operating state of motor vehicle 102. For example, the message can be transmitted every n seconds if the motor vehicle 102 is in an operationally ready state, in particular while the drive motor 116 is running.
Die übermittelte Nachricht umfasst eine Anforderung zur Bereitstellung einer vorbestimmten Information durch das adressierte Gerät. Diese vorbestimmten Informationen sind üblicherweise nicht schon standardmäßig auf dem Datenbus 104 abgefragt, sondern können zusätzlich durch das Steuergerät 140 bereitgestellt werden. Hierzu kann auf dem Steuergerät 140 insbesondere eine Liste mit auszutauschenden Informationen definiert sein. Beispiele für solche Informationen sind spezielle Anfragen zum Fehlerspeicher. In einem Schritt 310 kann das Gerät die Nachricht mit der Aufforderung empfangen. Bevorzugt reagiert das Gerät auf die Anforderung und sendet in einem Schritt 315 eine Nachricht mit den angeforderten Informationen auf dem ersten Datenbus 104. Diese Nachricht kann an das Steuergerät 140, ein anderes mit dem ersten Datenbus 104 verbundenes Gerät, ein nicht existierendes Gerät oder keinen spezifischen Empfänger gerichtet sein. Ein Schritt 320, in dem die Nachricht empfangen wird, ist optional. The transmitted message includes a request for the provision of predetermined information by the addressed device. This predetermined information is usually not already queried as standard on the data bus 104, but can also be provided by the control device 140. For this purpose, in particular a list with information to be exchanged can be defined on control device 140. Examples of such information are special requests to the fault memory. In a step 310, the device can receive the message with the request. The device preferably reacts to the request and in a step 315 sends a message with the requested information on the first data bus 104. This message can be sent to the control device 140, another device connected to the first data bus 104, a non-existent device or no specific device Be addressed to the recipient. A step 320 in which the message is received is optional.
In einer Ausführungsform wird die Nachricht vom Steuergerät 140 empfangen und optional aufbereitet. Insbesondere kann das Steuergerät 140 eine weitere Nachricht auf der Basis der empfangenen Nachricht erstellen. Die erstellte Nachricht kann nur einen Teil der Informationen der im Schritt 315 bereitgestellten Nachricht umfassen. Die erstellte Nachricht kann auch zusätzliche Informationen umfassen. Das Steuergerät 140 kann die Nachricht dann nach Art des Schritts 315 auf dem ersten Datenbus 104 aussenden. In one embodiment, the message is received by control device 140 and optionally processed. In particular, the control device 140 can create a further message on the basis of the received message. The created message can only comprise part of the information of the message provided in step 315. The created message can also contain additional information. The control device 140 can then transmit the message to the first data bus 104 in the manner of step 315.
In einem Schritt 325 wird die ausgesandte Nachricht vom ersten Datenbus 104 oder vom Steuergerät 140 in einem Schritt 325 mittels des zweiten Medienkonverters 142 verzweigt. Dabei werden physikalische Signale, die die Nachricht repräsentieren, in Richtung des zweiten Datenbusses 106 bereitgestellt, ohne die Quelle der physikalischen Signale nennenswert zu belasten und insbesondere ohne die Möglichkeit, physikalische Signale in der umgekehrten Richtung zu übertragen. In a step 325, the transmitted message is branched from the first data bus 104 or from the control device 140 in a step 325 by means of the second media converter 142. In doing so, physical signals that the Represent message, provided in the direction of the second data bus 106 without significantly burdening the source of the physical signals and in particular without the possibility of transmitting physical signals in the opposite direction.
In einem Schritt 330 kann die Nachricht in der zweiten Domäne 112 von einem mit dem zweiten Datenbus 106 verbundenen Gerät rekonstruiert werden. Anschließend kann die Nachricht aufbereitet und mittels der drahtlosen Schnittstelle 126 außerhalb des Kraftfahrzeugs 102 übermittelt werden. In a step 330, the message can be reconstructed in the second domain 112 by a device connected to the second data bus 106. The message can then be processed and transmitted by means of the wireless interface 126 outside the motor vehicle 102.
Bezugszeichen Reference number
100 System 100 system
102 Kraftfahrzeug 102 motor vehicle
104 erster Datenbus 104 first data bus
106 zweiter Datenbus 106 second data bus
108 Domänengrenze 108 Domain Boundary
110 erste Domäne 110 first domain
112 zweite Domäne 112 second domain
114 Antriebsstrang 114 powertrain
116 Antriebsmotor 116 drive motor
118 Getriebe 118 transmission
120 Antriebsrad 120 drive wheel
122 Konsole 122 console
124 Kamera 124 camera
126 drahtlose Schnittstelle 126 wireless interface
128 Netzwerk 128 network
130 entfernte Einrichtung 130 remote facility
132 drahtlose Schnittstelle 132 wireless interface
134 Verarbeitungseinrichtung 134 processing facility
136 Speichervorrichtung 136 storage device
138 erster Medienkonverter 138 first media converter
140 Steuergerät 140 control unit
142 zweiter Medienkonverter 142 second media converter
200 erstes Verfahren 200 first procedure
205 Nachricht senden 205 Send a message
210 Nachricht empfangen 210 Message received
215 Verzweigen 215 Branching
220 Nachricht rekonstruieren 220 Reconstructing a message
225 Nachrichtentyp bekannt? 225 Message type known?
230 Nachricht betrifft Anforderung? 230 Message concerns request?
235 Nachrichteninhalt plausibel? 240 Vergleichswert bestimmen235 Message content plausible? 240 Determine comparison value
245 weitere Nachricht erzeugen245 generate another message
250 weitere Nachricht senden Send 250 more messages
300 zweites Verfahren 300 second procedure
305 Nachricht senden 305 Send a message
310 Nachricht empfangen310 Message received
315 Nachricht senden 315 Send a message
320 Nachricht empfangen320 Message received
325 Verzweigen 325 Branch
330 Nachricht rekonstruieren 330 Reconstruct message

Claims

Ansprüche Expectations
1. System (100) zur Kommunikation zwischen einem ersten (104) und einem zweiten Datenbus (106) an Bord eines Kraftfahrzeugs (102), wobei das System (100) folgendes umfasst: einen Medienkonverter (138), der dazu eingerichtet ist, auf dem zweiten Datenbus (106) bereitgestellte physikalische Signale unidirektional zu verzweigen; und ein Steuergerät (140) mit einem ersten Anschluss zur Verbindung mit dem ersten Datenbus (104) und einem zweiten Anschluss zur Verbindung mit dem Medienkonverter (138), um die verzweigten Signale zu erhalten; wobei das Steuergerät (140) dazu eingerichtet ist, eine auf dem zweiten Datenbus (106) mittels Signalen übermittelte Nachricht zu rekonstruieren, die Nachricht auszuwerten und in Abhängigkeit eines Ergebnisses der Auswertung eine weitere Nachricht auf dem ersten Datenbus (106) bereitzustellen. A system (100) for communication between a first (104) and a second data bus (106) on board a motor vehicle (102), the system (100) comprising: a media converter (138) which is set up to do so branching physical signals provided to the second data bus (106) unidirectionally; and a control device (140) having a first connection for connection to the first data bus (104) and a second connection for connection to the media converter (138) in order to receive the branched signals; wherein the control device (140) is set up to reconstruct a message transmitted by means of signals on the second data bus (106), to evaluate the message and, depending on a result of the evaluation, to provide a further message on the first data bus (106).
2. System (100) nach Anspruch 1, wobei der erste Datenbus (104) mit einem Steuergerät (140) zur Steuerung des Kraftfahrzeugs (102) verbunden ist. 2. System (100) according to claim 1, wherein the first data bus (104) is connected to a control device (140) for controlling the motor vehicle (102).
3. System (100) nach Anspruch 1 oder 2, wobei der zweite Datenbus (106) mit einer drahtlosen Schnittstelle (126) zur Verbindung mit einer entfernten Einrichtung (130) verbunden ist. The system (100) of claim 1 or 2, wherein the second data bus (106) is connected to a wireless interface (126) for connection to a remote device (130).
4. System (100) nach einem der vorangehenden Ansprüche, wobei das Steuergerät (140) auf dem zweiten Datenbus (106) nicht adressierbar ist. 4. System (100) according to one of the preceding claims, wherein the control device (140) is not addressable on the second data bus (106).
5. System (100) nach einem der vorangehenden Ansprüche, wobei das Steuergerät (140) dazu eingerichtet ist, einen Typ einer rekonstruierten Nachricht zu bestimmen und die Nachricht zu verwerfen, falls der Typ nicht einem vorbestimmten Typ entspricht. 5. System (100) according to one of the preceding claims, wherein the control unit (140) is set up to determine a type of a reconstructed message and to discard the message if the type does not correspond to a predetermined type.
6. System (100) nach einem der vorangehenden Ansprüche, wobei das Steuergerät (140) dazu eingerichtet ist, einen Inhalt einer rekonstruierten Nachricht zu plausibilisieren. 6. System (100) according to one of the preceding claims, wherein the control device (140) is set up to check the plausibility of the content of a reconstructed message.
7. System (100) nach Anspruch 6, wobei das Plausibilisieren gegenüber einer Information erfolgt, die über den ersten Datenbus (104) empfangen wurde. 7. System (100) according to claim 6, wherein the plausibility check takes place with respect to information that was received via the first data bus (104).
8. System (100) nach einem der vorangehenden Ansprüche, ferner umfassend einen weiteren Medienkonverter (142), der dazu eingerichtet ist, ein auf dem ersten Datenbus (104) bereitgestelltes physikalisches Signal unidirektional an den zweiten Datenbus (106) verzweigen. 8. System (100) according to one of the preceding claims, further comprising a further media converter (142) which is set up to branch a physical signal provided on the first data bus (104) unidirectionally to the second data bus (106).
9. System (100) nach Anspruch 8, wobei das Steuergerät (140) dazu eingerichtet ist, ein weiteres mit dem ersten Datenbus (104) verbundenes Gerät (116, 118) zur Übermittlung einer vorbestimmten Information auf dem ersten Datenbus (104) zu veranlassen. 9. System (100) according to claim 8, wherein the control device (140) is set up to cause a further device (116, 118) connected to the first data bus (104) to transmit predetermined information on the first data bus (104) .
10. System (100) nach einem der vorangehenden Ansprüche, wobei mit dem zweiten Datenbus (106) eine Vielzahl Steuergeräte (122, 124) verbunden ist, die keinen direkten Einfluss auf eine Fahrfunktion des Kraftfahrzeugs (102) haben. 10. System (100) according to one of the preceding claims, wherein a plurality of control devices (122, 124) are connected to the second data bus (106) which have no direct influence on a driving function of the motor vehicle (102).
11. System (100) nach einem der vorangehenden Ansprüche, wobei einer der Datenbusse (104, 106) einen CAN-Bus umfasst. 11. System (100) according to one of the preceding claims, wherein one of the data buses (104, 106) comprises a CAN bus.
12. Kraftfahrzeug (102), umfassend ein System (100) nach einem der vorangehenden Ansprüche. 12. Motor vehicle (102), comprising a system (100) according to one of the preceding claims.
13. Verfahren (200) zur Kommunikation zwischen einem ersten (104) und einem zweiten Datenbus (106) an Bord eines Kraftfahrzeugs (102), folgende Schritte umfassend: unidirektionales Verzweigen (215) von auf dem zweiten Datenbus (106) bereitgestellten physikalischen Signalen; 13. A method (200) for communication between a first (104) and a second data bus (106) on board a motor vehicle (102), comprising the following steps: unidirectional branching (215) of physical signals provided on the second data bus (106);
Rekonstruieren (220) einer mittels Signalen auf dem zweiten Datenbus (106) übermittelten Nachricht auf der Basis der verzweigten Signale; Auswerten (225-235) der rekonstruierten Nachricht; und Bereitstellen (245, 250) einer weiteren Nachricht auf dem ersten Datenbus (104) in Abhängigkeit eines Ergebnisses der Auswertung. Reconstructing (220) a message transmitted by means of signals on the second data bus (106) on the basis of the branched signals; Evaluating (225-235) the reconstructed message; and providing (245, 250) a further message on the first data bus (104) as a function of a result of the evaluation.
PCT/EP2020/085713 2019-12-17 2020-12-11 Communication between networks of a motor vehicle WO2021122362A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019134626.6 2019-12-17
DE102019134626.6A DE102019134626A1 (en) 2019-12-17 2019-12-17 Communication between networks of a motor vehicle

Publications (1)

Publication Number Publication Date
WO2021122362A1 true WO2021122362A1 (en) 2021-06-24

Family

ID=73835603

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/085713 WO2021122362A1 (en) 2019-12-17 2020-12-11 Communication between networks of a motor vehicle

Country Status (2)

Country Link
DE (1) DE102019134626A1 (en)
WO (1) WO2021122362A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022201461A1 (en) * 2022-02-11 2023-08-17 Zf Friedrichshafen Ag communication on board a vehicle
DE102022124559A1 (en) 2022-09-23 2024-03-28 Zf Cv Systems Global Gmbh Trailer network system for data communication in a trailer vehicle and trailer vehicle therewith and method therefor

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130152206A1 (en) * 2011-12-07 2013-06-13 Owl Computing Technologies, Inc. Method and apparatus for preventing unauthorized access to information stored in a non-volatile memory
DE102014226398A1 (en) * 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Method and device for the feedback-free acquisition of data
US20180048674A1 (en) * 2016-08-11 2018-02-15 Vm-Robot, Inc. Routing Systems and Methods

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9305189B2 (en) * 2009-04-14 2016-04-05 Owl Computing Technologies, Inc. Ruggedized, compact and integrated one-way controlled interface to enforce confidentiality of a secure enclave
DE102015105134A1 (en) * 2015-04-02 2016-10-06 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Control unit for connecting a CAN bus to a radio network and motor vehicle with such a control unit
DE102017203898A1 (en) * 2017-03-09 2018-09-13 Siemens Aktiengesellschaft Gateway device, communication method and communication system for a vehicle, in particular a rail vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130152206A1 (en) * 2011-12-07 2013-06-13 Owl Computing Technologies, Inc. Method and apparatus for preventing unauthorized access to information stored in a non-volatile memory
DE102014226398A1 (en) * 2014-12-18 2016-06-23 Siemens Aktiengesellschaft Method and device for the feedback-free acquisition of data
US20180048674A1 (en) * 2016-08-11 2018-02-15 Vm-Robot, Inc. Routing Systems and Methods

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "Unidirectional network - Wikipedia - Version of 1 December 2019", 1 December 2019 (2019-12-01), XP055775371, Retrieved from the Internet <URL:https://en.wikipedia.org/w/index.php?title=Unidirectional_network&oldid=928827981> [retrieved on 20210212] *
STEVENS M ET AL: "Data diodes", INTERNET CITATION, 1 July 1995 (1995-07-01), XP002469791, Retrieved from the Internet <URL:http://hdl.handle.net/1947/3990> [retrieved on 20080220] *

Also Published As

Publication number Publication date
DE102019134626A1 (en) 2021-06-17

Similar Documents

Publication Publication Date Title
EP2457359B1 (en) Vehicle antenna unit
DE19954377C2 (en) Data transmission system for aircraft
DE102017121049A1 (en) A communication method based on a vehicle safety integrity level in the vehicle network, and apparatus for the same
DE102011116247B3 (en) A method for transmitting messages from a data network to a vehicle and server device for a data network
DE102010026433A1 (en) Control network for a rail vehicle
EP3036554A1 (en) Car2x receiver filtering based on a receiving corridor in a geographic coordinate system
DE102017202022A1 (en) Motor vehicle with an in-vehicle data network and method for operating the motor vehicle
WO2021122362A1 (en) Communication between networks of a motor vehicle
WO2015025048A2 (en) Filtering data packets to be relayed in the car2x network
DE102015213378A1 (en) Method and device for diagnosing a network
EP3496975B1 (en) Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network
DE102011007588A1 (en) Method and apparatus for control communication between coupled train parts
DE102019005608A1 (en) Transport layer authenticity and security for automotive communications
DE102014225802A1 (en) Scalable Ethernet communication in the vehicle via multicast messages
DE102021203094A1 (en) Communication network system for vehicles and its operating procedures
EP3044912A1 (en) Method for the provision and transmission of data, in particular with a link to a vehicle
DE102004059981B4 (en) Control unit for a communication network with gateway functionality and method for operating the same
EP2769525B1 (en) Method for processing a data packet
DE102005015912B4 (en) Operation of a network, network and network components and method for operating a network and network subscribers
DE102018220324A1 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
DE102017211153A1 (en) Method and device for transmitting data between a first communication network of a first tracked vehicle unit and a second communication network of a second tracked vehicle unit
DE102020213522A1 (en) Method of operating a security system
WO2012052270A2 (en) Network
DE102016212755B3 (en) Ethernet vehicle electrical system with protected configurability
EP3883193A1 (en) Bus system, especially for bicycles

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20824531

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20824531

Country of ref document: EP

Kind code of ref document: A1