WO2021219337A1 - Erkennen von fehlern in einem computernetzwerk - Google Patents

Erkennen von fehlern in einem computernetzwerk Download PDF

Info

Publication number
WO2021219337A1
WO2021219337A1 PCT/EP2021/059157 EP2021059157W WO2021219337A1 WO 2021219337 A1 WO2021219337 A1 WO 2021219337A1 EP 2021059157 W EP2021059157 W EP 2021059157W WO 2021219337 A1 WO2021219337 A1 WO 2021219337A1
Authority
WO
WIPO (PCT)
Prior art keywords
coupling element
data packets
network
coupling
control unit
Prior art date
Application number
PCT/EP2021/059157
Other languages
English (en)
French (fr)
Inventor
Christoph Gollob
Daniel Matlok
Andreas TSCHERNER
Karl Budweiser
Andreas Schramm
Original Assignee
Bayerische Motoren Werke Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke Aktiengesellschaft filed Critical Bayerische Motoren Werke Aktiengesellschaft
Priority to US17/919,007 priority Critical patent/US20230336491A1/en
Priority to KR1020227034752A priority patent/KR20220148905A/ko
Priority to JP2022559605A priority patent/JP2023521964A/ja
Priority to CN202180030615.7A priority patent/CN115443625A/zh
Publication of WO2021219337A1 publication Critical patent/WO2021219337A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1867Arrangements specially adapted for the transmitter end
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/0001Systems modifying transmission characteristics according to link quality, e.g. power backoff
    • H04L1/0033Systems modifying transmission characteristics according to link quality, e.g. power backoff arrangements specific to the transmitter
    • H04L1/0035Systems modifying transmission characteristics according to link quality, e.g. power backoff arrangements specific to the transmitter evaluation of received explicit signalling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60YINDEXING SCHEME RELATING TO ASPECTS CROSS-CUTTING VEHICLE TECHNOLOGY
    • B60Y2306/00Other features of vehicle sub-units
    • B60Y2306/15Failure diagnostics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L2001/0092Error control systems characterised by the topology of the transmission link
    • H04L2001/0097Relays

Definitions

  • the invention relates to a device and a method for detecting errors and anomalies in a computer network.
  • automated driving can be understood to mean driving with automated longitudinal or lateral guidance or autonomous driving with automated longitudinal and lateral guidance.
  • automated driving includes automated driving with any degree of automation. Exemplary degrees of automation are assisted, partially automated, highly automated or fully automated driving. These degrees of automation were defined by the Federal Highway Research Institute (BASt) (see BASt publication “Research compact”, edition 11/2012). With assisted driving, the driver continuously performs the longitudinal or lateral guidance while the system executes the other function in each case assumes certain limits.
  • BASt Federal Highway Research Institute
  • the system takes over the longitudinal and lateral guidance for a certain period of time and / or in specific situations, whereby the driver has to constantly monitor the system as with assisted driving.
  • highly automated driving FIAF
  • the system takes over the longitudinal and lateral guidance for a certain period of time without the driver having to constantly monitor the system; however, the driver must be able to take control of the vehicle within a certain period of time.
  • VAF fully automated driving
  • the system can automatically cope with driving in all situations for a specific application; a driver is no longer required for this application.
  • the above-mentioned four degrees of automation according to the definition of the BASt correspond to the SAE levels 1 to 4 of the standard SAE J3016 (SAE - Society of Automotive Engineering).
  • HAF highly automated driving
  • SAE J3016 provides for SAE level 5 as the highest degree of automation, which is not included in the definition of BASt.
  • SAE level 5 corresponds to driverless driving, in which the system can automatically cope with all situations like a human driver during the entire journey; a driver is generally no longer required.
  • a first aspect of the invention relates to a device for detecting errors or anomalies in a computer network.
  • the computer network in particular an Ethernet network, comprises at least one coupling element (connecting element), in particular a switch or hub.
  • Connecting element in particular a switch or hub.
  • Switch from English for “switch”, “toggle switch” or “switch”, also called network switch or distributor
  • switches describes a coupling element in computer networks that connects network segments with one another. Within a segment (broadcast domain), it ensures that data packets reach their destination.
  • switch generally refers to a multiport bridge, i.e. an active network device that forwards frames based on information from the data link layer (layer 2) of the OSI model. Sometimes the more precise terms bridging hub or switching hub are used. In the IEEE 802.3 standard, the function is called MAC Bridge.
  • Switches that also process data on the network layer (layer 3 and higher) are often referred to as layer 3 switches or multilayer switches and can fulfill the function of a router.
  • the coupling task comes in non-Ethernet networks to a so-called gateway, which can connect the heterogeneous network to one another in a similar way to a router or switch.
  • the coupling element connects at least two network participants to one another, wherein a network participant can also be a further coupling element.
  • the coupling element comprises a memory for an actual configuration of the coupling element and, depending on this actual configuration, decides whether it forwards or discards data packets.
  • the device comprises a target configuration for the coupling element and is set up to compare the actual configuration with the target configuration.
  • the comparison between the target configuration and the actual configuration can take place once or several times, the comparison in particular being repeated regularly.
  • the invention is based on the knowledge that, due to errors such as external disturbances, the actual configuration in the memory of the coupling element can be falsified, which can lead to undesired behavior when forwarding or discarding data packets.
  • the coupling element can have a behavior that differs from that specified by the configuration due to external influences, systematic or random errors.
  • the actual configuration By comparing the actual configuration with the target configuration, it can be determined at least in a snapshot whether the actual configuration has changed due to an error compared to the target configuration.
  • the target configuration can also be changed due to an error, the probability that both the actual configuration and the target configuration have the same error at the time of the comparison is extremely low and can be reduced to any technical level using coding measures.
  • the device is a network participant connected to the coupling element.
  • the device can also have access to diagnostic counters of the coupling element, for example to be able to determine when, which and how many data packets were discarded and why.
  • this mechanism can be used to ensure the integrity of certain configuration items.
  • the device is set up to send a predetermined number of data packets, which are suitable for testing configuration items of the coupling element for network separation of the primary and secondary control units, via the coupling element to another network participant at a predetermined time, the number of those discarded by the coupling unit To determine data packets, and to compare the number of data packets sent to the other network subscriber with the number of data packets discarded by the coupling unit.
  • Suitable data packets are those with which the correctness of individual components of the configuration can be tested, for example packets with a non-configured VLAN should be discarded.
  • the knowledge of the target system behavior i.e. a signature of a network of integrity, can also be used to advantage.
  • the invention is based on the knowledge that the number of data discarded by an error-free coupling element is defined with the configured limits (e.g. a defined amount of data per time) or other configurable properties or filter rules as well as by the performance of the coupling element itself.
  • the configuration of the coupling element specifies at least an upper limit for the data packets forwarded by the coupling element within a specified time, in particular by specifying a data rate, for example in the unit Mbit / s.
  • Traffic shaping describes a type of queue management in packet-switched data networks, in which data packets are delayed or discarded according to certain criteria in order to meet certain requirement profiles. This function is carried out by the interaction of a network scheduler and a network shaper and is basically a form of data rate limitation. Traffic shaping is unidirectional and usually memoryless, which means that, in contrast to data flow control, it works without control information from the other side.
  • Traffic policing is a traffic flow procedure similar to traffic shaping, with the difference that it relates to incoming data packets and installs rules that allow non-compliant data packets to be destroyed. In contrast to traffic shaping, no packets are temporarily stored, but records are kept of how often the policeman has destroyed packets.
  • the configuration of the coupling element gives characteristic upper limits for the forwarding of the data packets received from a network participant within a predetermined time (for example through traffic policing), and / or upper limits for the forwarding of the data packets sent to the network participant within a predetermined time Data packets (e.g. through traffic shaping).
  • the upper limits can in particular be chosen so that an integral network and its characteristic traffic signature are not affected, anomalous traffic or incorrect configuration are recognized and packets belonging to an atypical traffic pattern are discarded. These packet losses can be used as an indicator for the integrity of the network.
  • the useful traffic can also be designed in such a way that the selected upper limits can be narrower and more sensitive. This can be implemented, for example, by "blending" a short-term high data rate over a longer time interval in order to avoid traffic peaks.
  • the device is set up to compare the difference between the number of data packets sent to the other network subscriber and the number of data packets discarded by the coupling unit with at least one upper limit for the data packets forwarded by the coupling element within a predetermined time.
  • the invention is based on the knowledge that the comparison allows conclusions to be drawn about a faulty configuration of the coupling unit.
  • the coupling element consists of a large number of technical elements that together form a chain of effects. The configuration is only part of this chain of effects.
  • the comparison allows conclusions to be drawn about a fault in the complete functional chain within the coupling element which can be recognized by the measure and which causes a deviation from the target function.
  • any comparisons are made with the highest available ASIL integrity.
  • the comparisons are triggered by an element external to the action chain that has been developed with the required integrity (e.g. in accordance with ISO 26262 or IEC 61508) and the results are also read back by this.
  • the comparison takes place within the integral element external to the functional chain.
  • the selected pattern of querying, reading back and possibly necessary test data sent must be chosen so complex that an E / E error within the chain of effects can generate it randomly or systematically with sufficient unlikely thereto .
  • individual elements within the functional chain which are checked by means of an integral element external to the functional chain, can also be developed in accordance with the required integrity.
  • the error cases avoided in this way then no longer have to be absorbed by the higher-level measures that are carried out by the element external to the functional chain. This can lead, for example, to a reduction in the requirements for the pattern used for querying, reading back and possibly necessary test data.
  • Another advantageous embodiment of the invention is a driving system for automated driving for a motor vehicle, the driving system comprises a primary control unit for automated driving and a secondary control unit for automated driving.
  • the division of the automated driving function between a primary control unit and a secondary control unit can be carried out, for example, on the basis of functional safety requirements that require a redundant system structure.
  • the primary control unit and the secondary control unit each comprise a device according to one of the preceding claims and a coupling element, the coupling elements being connected to one another.
  • the configuration of the coupling elements specifies an upper limit for the forwarding of the data packets received from a network subscriber within a specified time and an upper limit for the forwarding of the data packets sent to the network subscriber within a specified time, the upper limit for the forwarding of the is lower or higher than the upper limit for the forwarding of the data packets received by a coupling element within a predetermined time.
  • the invention is based on the knowledge that, through the selected ratio of the two upper limits to one another, an error within an effective chain within the two coupling elements, in particular a faulty configuration of the two coupling units, can be determined.
  • the primary control unit and the secondary control unit each comprise a device according to one of claims 2, 3, 4 or 5, the predetermined point in time prior to activation of an automated driving mode for the motor vehicle and / or during an active one automated driving mode for the motor vehicle.
  • the invention is based on the knowledge that an error detection by means of the invention is only a snapshot and an error can occur shortly after the error detection.
  • a suitable point in time would be, for example, shortly before the driving task is handed over from the driver to the vehicle and, if possible, during the automated journey.
  • An unsuitable point in time would be if the vehicle is in rest mode, for example, i.e. the boundary conditions do not correspond to the boundary conditions during a highly automated journey.
  • the repetition frequency of the checking of the invention / measure (shaping / policing) must be chosen so that the assumed error rate which leads to its ineffectiveness multiplied by the probability of occurrence of a babbling idiot within the monitoring interval is sufficiently small is to meet the integrity requirements. If it is not sufficient, the monitoring interval must be reduced.
  • the device of a control unit is set up to send a data packet with low priority to the respective other device via the coupling element of this control unit and the coupling element of the other control unit at at least one predetermined point in time, the priority of the data packet being selected such that at every unexpected communication that displaces the useful communication, for example, the data packet is discarded by one of the coupling elements between the two coupling units, and the respective other device is set up to essentially expect the receipt of this data packet at the specified time.
  • a second aspect of the invention relates to a method for detecting errors in a computer network, the network comprising at least one coupling element that connects at least two network participants to one another, the coupling element comprises a memory for an actual configuration of the coupling element, the coupling element depending on the Actual configuration forwards or discards data packets.
  • One step of the method is to compare the actual configuration with a target configuration for the coupling element.
  • FIG. 1 shows an exemplary embodiment of the driving system according to the invention
  • FIG. 2 shows an exemplary curve of data transmission rates.
  • FIG. 1 shows a driving system for automated driving for a motor vehicle, the driving system comprising a primary control unit hPAD for automated driving and a secondary control unit mPAD for automated driving.
  • the primary control unit hPAD and the secondary control unit mPAD each comprise a device V1, V2 according to the invention and a coupling element S1, S2, the coupling elements S1, S2 being connected to one another.
  • the coupling elements S1, S2 and the devices V1, V2 form a computer network, the coupling elements S1, S2 and the devices V1, V2 being network participants.
  • the coupling elements S1, S2 each include a memory for an actual configuration of the coupling element S1, S2, and the coupling elements S1, S2 are each set up to forward or discard data packets depending on the actual configuration.
  • the devices V1, V2 each include a target configuration for the respective coupling element S1, S2 of their control unit hPAD, mPAD and the devices V1, V2 are each set up to compare the actual configuration with the target configuration.
  • the devices V1, V2 are each set up to send a predetermined number ds of data packets via the coupling elements S1, S2 to another network participant, for example to the respective other device V1, V2, at a predetermined point in time.
  • the predetermined point in time is before an automated driving mode for the motor vehicle is activated and / or during an active automated driving mode for the motor vehicle.
  • the configuration of the coupling elements gives at least one upper limit 01, 02 for the forwarding of the data packets received from a network subscriber within a predetermined time and one Upper limit for the forwarding of the data packets sent to the network subscriber within a predetermined time, the upper limit 01 for forwarding the data packets sent to the other coupling element S1, S2 within a predetermined time being lower than the upper limit 02 for forwarding the data packets sent by one Coupling element S1, S2 received data packets within a predetermined time.
  • the devices V1, V2 are each set up to determine the number 11, I2) of the data packets discarded by the coupling unit S1, S2, and the difference between the number ds of the data packets sent to the other network subscriber and the number 11, I2 of the Coupling unit S1, S2 to compare discarded data packets with at least one upper limit 01, 02 for the data packets forwarded by the coupling element S1, S2 within a predetermined time.
  • the devices V1, V2 of a control unit hPAD, mPAD are each set up, via the coupling element S1, S2 of this control unit hPAD, mPAD and the coupling element S1, S2 of the other control unit hPAD, mPAD, a data packet with low priority to the at least one predetermined point in time to send each other device V1, V2, the priority of the data packet being selected such that for every unexpected communication that suppresses useful communication, for example, between the two coupling units S1, S2, the data packet is discarded by one of the coupling elements S1, S2, and the respective other device V1, V2 is set up to essentially expect the receipt of this data packet at the predetermined point in time.
  • Fig. 2 shows an exemplary course of data transmission rates.
  • Data transmission rates in Mbit are plotted against time t.
  • a data transmission level NL is shown, which is usually transmitted as a payload.
  • This payload NL is lower than two upper limits 01, 02.
  • the upper limit 01 for forwarding the data packets sent to the other coupling element S1, S2 within a predetermined time is lower than the upper limit 02 for forwarding the data packets sent by a coupling element S1, S2 within data packets received within a specified time.
  • bursts B1, B2, B3 are shown. These result at predetermined times through the sending of a predetermined number ds of data packets by a device V1, V2 via a coupling element S1, S2 to another network subscriber.
  • the burst B1 shows the number ds of the data packets actually sent by the device V1, V2. This number ds exceeds the two upper limits 01, 02. If the coupling elements S1, S2 were to work without errors, a number 11 of data packets would be discarded by the first coupling unit S1, S2. Only one burst B2 would thus arrive at the other coupling unit S1, S2. This other coupling unit S1, S2 would discard a number I2 of data packets, so that only one burst B3 would arrive at the other device V1, V2.
  • the receiving device V1, V2 can compare the actually received data packets with a number of expected data packets resulting from the difference in the number ds of the data packets sent to the device and the upper limits 01, 02, it can be determined whether there is an error in the computer network, for example an error in the actual configuration of the coupling elements S1, S2. For example, if the number of data packets actually received is above the upper limit 02 for forwarding the data packets received from a network subscriber within a specified time, it can be concluded that there is an error in the actual configuration of the receiving coupling element S1, S2.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Aspekt der Erfindung betrifft eine Vorrichtung zum Erkennen von Fehlern in einem Computernetzwerk, wobei das Netzwerk zumindest ein Kopplungselement umfasst, das zumindest zwei Netzwerkteilnehmer miteinander verbindet, das Kopplungselement einen Speicher für eine Ist-Konfiguration des Kopplungselements umfasst, das Kopplungselement in Abhängigkeit von der Ist-Konfiguration Datenpakete weiterleitet oder verwirft, die Vorrichtung eine Soll-Konfiguration für das Kopplungselement umfasst, und die Vorrichtung eingerichtet ist, die Ist-Konfiguration mit der Soll-Konfiguration zu vergleichen.

Description

Erkennen von Fehlern in einem Computernetzwerk
Die Erfindung betrifft eine Vorrichtung und ein Verfahren zum Erkennen von Fehlern und Anomalien in einem Computernetzwerk. Unter dem Begriff „automatisiertes Fahren“ kann im Rahmen des Dokuments ein Fahren mit automatisierter Längs- oder Querführung oder ein autonomes Fahren mit automatisierter Längs- und Querführung verstanden werden. Der Begriff „automatisiertes Fahren“ umfasst ein automatisiertes Fahren mit einem beliebigen Automatisierungsgrad. Beispielhafte Automatisierungsgrade sind ein assistiertes, teilautomatisiertes, hochautomatisiertes oder vollautomatisiertes Fahren. Diese Automatisierungsgrade wurden von der Bundesanstalt für Straßenwesen (BASt) definiert (siehe BASt-Publikation „Forschung kompakt“, Ausgabe 11/2012). Beim assistierten Fahren führt der Fahrer dauerhaft die Längs- oder Querführung aus, während das System die jeweils andere Funktion in gewissen Grenzen übernimmt. Beim teilautomatisierten Fahren (TAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum und/oder in spezifischen Situationen, wobei der Fahrer das System wie beim assistierten Fahren dauerhaft überwachen muss. Beim hochautomatisierten Fahren (FIAF) übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum, ohne dass der Fahrer das System dauerhaft überwachen muss; der Fahrer muss aber in einer gewissen Zeit in der Lage sein, die Fahrzeugführung zu übernehmen. Beim vollautomatisierten Fahren (VAF) kann das System für einen spezifischen Anwendungsfall das Fahren in allen Situationen automatisch bewältigen; für diesen Anwendungsfall ist kein Fahrer mehr erforderlich. Die vorstehend genannten vier Automatisierungsgrade gemäß der Definition der BASt entsprechen den SAE-Level 1 bis 4 der Norm SAE J3016 (SAE - Society of Automotive Engineering). Beispielsweise entspricht das hochautomatisierte Fahren (HAF) gemäß der BASt dem Level 3 der Norm SAE J3016. Ferner ist in der SAE J3016 noch der SAE-Level 5 als höchster Automatisierungsgrad vorgesehen, der in der Definition der BASt nicht enthalten ist. Der SAE-Level 5 entspricht einem fahrerlosen Fahren, bei dem das System während der ganzen Fahrt alle Situationen wie ein menschlicher Fahrer automatisch bewältigen kann; ein Fahrer ist generell nicht mehr erforderlich.
Es ist Aufgabe der Erfindung, einen Fehler oder Anomalie in einem Computernetzwerk, insbesondere in einem Computernetzwerk eines automatisierten Kraftfahrzeugs zu erkennen.
Die Aufgabe wird durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen beschrieben. Es wird darauf hingewiesen, dass zusätzliche Merkmale eines von einem unabhängigen Patentanspruch abhängigen Patentanspruchs ohne die Merkmale des unabhängigen Patentanspruchs oder nur in Kombination mit einer Teilmenge der Merkmale des unabhängigen Patentanspruchs eine eigene und von der Kombination sämtlicher Merkmale des unabhängigen Patentanspruchs unabhängige Erfindung bilden können, die zum Gegenstand eines unabhängigen Anspruchs, einer Teilungsanmeldung oder einer Nachanmeldung gemacht werden kann. Dies gilt in gleicher Weise für in der Beschreibung beschriebene technische Lehren, die eine von den Merkmalen der unabhängigen Patentansprüche unabhängige Erfindung bilden können.
Ein erster Aspekt der Erfindung betrifft eine Vorrichtung zum Erkennen von Fehlern oder Anomalien in einem Computernetzwerk.
Das Computernetzwerk, insbesondere ein Ethernet-Netzwerk umfasst zumindest ein Kopplungselement (Verbindungselement), insbesondere einen Switch oder Hub. Switch (vom Englischen für „Schalter“, „Umschalter“ oder „Weiche“, auch Netzwerkweiche oder Verteiler genannt) bezeichnet ein Kopplungselement in Rechnernetzen, das Netzwerksegmente miteinander verbindet. Es sorgt innerhalb eines Segments (Broadcast-Domain) dafür, dass Datenpakete an ihr Ziel kommen.
Der Begriff Switch bezieht sich allgemein auf eine Multiport-Bridge, also ein aktives Netzwerkgerät, das Frames anhand von Informationen aus dem Data Link Layer (Layer 2) des OSI-Modells weiterleitet. Manchmal werden auch die präziseren Bezeichnungen Bridging Hub oder Switching Hub verwendet. Im IEEE 802.3-Standard heißt die Funktion MAC Bridge.
Das dem Switch vergleichbare Gerät auf Netzwerkschicht 1 (Layer 1) wird als (Repeater-)Hub bezeichnet. Switches, die zusätzlich Daten auf der Netzwerkschicht (Layer 3 und höher) verarbeiten, werden oft als Layer-3- Switches oder Multilayer-Switches bezeichnet und können die Funktion eines Routers erfüllen. In non-Ethernet-Netzwerken kommt die Kopplungsaufgabe einem sogenannten Gateway zu, das heterogene Netz ähnlich wie ein Router bzw. Switch miteinander verbinden kann.
Das Kopplungselement verbindet zumindest zwei Netzwerkteilnehmer miteinander, wobei ein Netzwerkteilnehmer auch ein weiteres Kopplungselement sein kann.
Das Kopplungselement umfasst einen Speicher für eine Ist-Konfiguration des Kopplungselements und entscheidet in Abhängigkeit von dieser Ist- Konfiguration, ob es Datenpakete weiterleitet oder verwirft.
Die Vorrichtung umfasst eine Soll-Konfiguration für das Kopplungselement und ist eingerichtet, die Ist-Konfiguration mit der Soll-Konfiguration zu vergleichen.
Der Vergleich zwischen Soll-Konfiguration und Ist-Konfiguration kann dabei einmalig oder mehrmals erfolgen, wobei der Vergleich insbesondere regelmäßig wiederholt wird.
Hierbei liegt der Erfindung die Erkenntnis zugrunde, dass aufgrund von Fehlern wie etwa äußeren Störungen die Ist-Konfiguration im Speicher des Kopplungselements verfälscht werden kann, was zu einem nicht gewünschten Verhalten beim Weiterleiten, bzw. Verwerfen von Datenpaketen führen kann.
Zusätzlich liegt die Erkenntnis zu Grunde, dass auch bei einer korrekten bzw. unverfälschten Konfiguration, das Kopplungselement durch äußere Einflüsse, systematische oder zufällige Fehler ein abweichendes Verhalten aufweisen kann, als es durch die Konfiguration vorgegeben wird. Durch den Vergleich der Ist-Konfiguration mit der Soll-Konfiguration kann zumindest in einer Momentaufnahme ermittelt werden, ob die Ist- Konfiguration aufgrund eines Fehlers gegenüber der Soll-Konfiguration verändert ist. Zwar kann auch die Soll-Konfiguration aufgrund eines Fehlers verändert sein, aber die Wahrscheinlichkeit, dass sowohl die Ist- Konfiguration als auch die Soll-Konfiguration zum Zeitpunkt des Vergleichs den selbe Fehler aufweisen ist äußerst gering und kann durch Kodierungsmaßnahmen technisch beliebig weit reduziert werden. In einer vorteilhaften Ausführungsform ist die Vorrichtung ein mit dem Kopplungselement verbundener Netzwerkteilnehmer.
Die Vorrichtung kann neben der Ist-Konfiguration auch Zugriff auf Diagnose- Counter des Kopplungselementes haben, um beispielsweise feststellen zu können wann, welche und wie viele Datenpakete warum verworfen wurden. Dieser Mechanismus kann bei einer vorteilhaften Ausführung genutzt werden, um die Integrität bestimmter Konfigurationsitems gewährleisten. Die Vorrichtung ist dafür eingerichtet, zu einem vorgegebenen Zeitpunkt eine vorgegebene Anzahl von Datenpaketen, die geeignet sind, Konfigurationsitems des Kopplungselementes zur Netzwerkseparation der primären und sekundären Steuereinheiten, abzutesten, über das Kopplungselement an einen anderen Netzwerkteilnehmer zu senden, die Anzahl der von der Kopplungseinheit verworfenen Datenpakete zu ermitteln, und die Anzahl der an den anderen Netzwerkteilnehmer gesendeten Datenpakete mit der Anzahl der von der Kopplungseinheit verworfenen Datenpakete zu vergleichen.
Geeignet Datenpakete sind solche mit denen man die Richtigkeit von einzelnen Bestandteilen der Konfiguration testen kann, beispielsweise sollen Pakete mit einen nichtkonfigurierten VLAN verworfen werden. Das Wissen über das Soll-Systemverhalten, also eine Signatur eines integeren Netzwerks, kann zudem vorteilhaft ausgenutzt werden. Hierbei liegt der Erfindung die Erkenntnis zugrunde, dass die Anzahl der von einem fehlerfrei laufenden Kopplungselement verworfenen Daten mit den konfigurierten Grenzen (z.B. einer definierten Datenmenge pro Zeit) oder anderen konfigurierbaren Eigenschaften oder Filterregeln sowie durch die Leistungsfähigkeit des Kopplungselements selbst definiert ist.
In einerweiteren vorteilhaften Ausführungsform gibt die Konfiguration des Kopplungselements zumindest eine Obergrenze für die vom Kopplungselement innerhalb einer vorgegebenen Zeit weitergeleiteten Datenpakete vor, insbesondere durch Vorgabe einer Datenrate beispielsweise in der Einheit Mbit/s.
Beispielsweise handelt es sich dabei um Traffic-Shaping. Traffic-Shaping bezeichnet eine Art der Warteschlangenverwaltung bei paketvermittelten Datennetzen, bei der Datenpakete nach bestimmten Kriterien verzögert oder verworfen werden, um bestimmten Anforderungsprofilen zu genügen. Durchgeführt wird diese Funktion von der Interaktion eines Netzwerk- Schedulers und eines Netzwerk-Shapers und ist grundsätzlich eine Form der Datenratenbegrenzung. Traffic-Shaping ist unidirektional und in der Regel gedächtnislos, das heißt, es arbeitet im Gegensatz zur Datenflusskontrolle ohne Steuerinformationen der Gegenseite.
Alternativ handelt es sich beispielsweise um Traffic-Policing. Traffic-Policing ist ein Verkehrsflussverfahren ähnlich dem Traffic-Shaping, mit dem Unterschied, dass es sich auf ankommende Datenpakete bezieht und Regeln installiert, die es erlauben nicht konforme Datenpakete zu vernichten. Im Gegensatz zum Traffic-Shaping werden dabei keine Pakete zwischengespeichert, wohl aber buchgeführt wie oft der Policier Pakete vernichtet hat. In einerweiteren vorteilhaften Ausführungsform der Erfindung gibt die Konfiguration des Kopplungselements charakteristische Obergrenzen für die Weiterleitung der von einem Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit empfangenen Datenpakete (beispielsweise durch Traffic- Policing), und/oder Obergrenzen für die Weiterleitung der an den Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit gesendeten Datenpakete (beispielsweise durch Traffic-Shaping) vor. Die Obergrenzen können insbesondere so gewählt werden, dass ein integres Netzt und seine charakteristische Traffic Signatur davon nicht berührt wird, anomaler Traffic oder Fehlkonfiguration aber erkannt werden und Pakete, die zu einem untypischen Verkehrsmuster gehören, verworfen werden. Diese Paketverluste können als Indikator für die Integrität des Netzwerkes herangezogen werden.
Als Ergänzung dieser Ausführungsform kann auch der Nutztraffic so gestaltet werden, dass die gewählten Obergrenzen enger und empfindlicher werden können. Dies kann z.B. durch ein „Verschleifen“ einer kurzfristig hohen Datenrate auf ein längeres Zeitintervall umgesetzt werden um Traffic-Spitzen zu vermeiden.
In einer weiteren vorteilhaften Ausführungsform ist die Vorrichtung eingerichtet, die Differenz der Anzahl der an den anderen Netzwerkteilnehmer gesendeten Datenpakete und der Anzahl der von der Kopplungseinheit verworfenen Datenpakete mit zumindest einer Obergrenze für die vom Kopplungselement innerhalb einer vorgegebenen Zeit weitergeleiteten Datenpakete zu vergleichen.
Hierbei liegt der Erfindung die Erkenntnis zugrunde, dass durch den Vergleich Rückschlüsse über eine fehlerhafte Konfiguration der Kopplungseinheit geschlossen werden können. Außerdem besteht das Kopplungselement aus einer Vielzahl von technischen Elementen, die gemeinsam eine Wirkkette bilden. Die Konfiguration ist nur ein Teil dieser Wirkkette. Durch den Vergleich lassen sich damit Rückschlüsse auf einen Fehler in der kompletten Wirkkette innerhalb des Kopplungselements schließen welche von der Maßnahme erkennbar ist und eine Abweichung von der Soll-Funktion bewirkt.
In einerweiteren vorteilhaften Ausführung werden etwaige Vergleiche mit der höchsten verfügbaren ASIL Integrität durchgeführt.
In einerweiteren vorteilhaften Ausführung werden die Vergleiche durch ein mit benötigter Integrität (z.B. gemäß ISO 26262 oder IEC 61508) entwickeltes wirkkettenexternes Element angestoßen und die Ergebnisse ebenfalls durch diese rück gelesen. Der Vergleich findet dabei innerhalb des wirkkettenexternen integren Elements statt. Um einen gefährlichen Falsch- Negativ-Fall abzufangen, muss das dabei gewählte Muster der Abfrage, des Rücklesens und ggf. notwendiger gesendeter Testdaten so komplex gewählt werden, so dass ein E/E-Fehler innerhalb der Wirkkette dieses ausreichend unwahrscheinlich zufällig oder systematisch erzeugen kann.
In einerweiteren vorteilhaften Ausführung können auch einzelne Elemente innerhalb der Wirkkette, welche mittels eines integren wirkkettenexternen Elements geprüft werden, gemäß der benötigten Integrität entwickelt werden. Die hierdurch vermiedenen Fehlerfälle müssen dann durch die übergeordneten Maßnahmen, welche durch das wirkkettenexterne Element durchgeführt werden, nicht mehr aufgefangen werden. Dies kann z.B. zur einer Reduzierung der Anforderungen an das genutzte Muster der Abfrage, des Rücklesens und ggf. notwendiger Testdaten führen.
Eine weitere vorteilhafte Ausführungsform der Erfindung ist ein Fahrsystem zum automatisierten Fahren für ein Kraftfahrzeug, wobei das Fahrsystem eine primäre Steuereinheit zum automatisierten Fahren und eine sekundäre Steuereinheit zum automatisierten Fahren umfasst.
Die Aufteilung der automatisierten Fahrfunktion auf eine primäre Steuereinheit und eine sekundäre Steuereinheit kann beispielsweise aufgrund von Anforderungen aus der funktionalen Sicherheit erfolgen, die einen redundanten Systemaufbau erfordern.
Die primäre Steuereinheit und die sekundäre Steuereinheit umfassen jeweils eine Vorrichtung nach einem der vorherigen Ansprüche und ein Kopplungselement, wobei die Kopplungselemente miteinander verbunden sind.
Somit ergibt sich insbesondere eine Netzwerktopologie, in der die Vorrichtung der primären Steuereinheit mit dem Kopplungselement der primären Steuereinheit verbunden ist, das wiederum mit dem Kopplungselement der sekundären Steuereinheit verbunden ist, das wiederum mit der Vorrichtung der sekundären Steuereinheit verbunden ist.
In einerweiteren vorteilhaften Ausführungsform gibt die Konfiguration der Kopplungselemente jeweils eine Obergrenze für die Weiterleitung der von einem Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit empfangenen Datenpakete und eine Obergrenze für die Weiterleitung der an den Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit gesendeten Datenpakete vor, wobei die Obergrenze für die Weiterleitung der an das jeweils andere Kopplungselement innerhalb einer vorgegebenen Zeit gesendeten Datenpakete niedriger oder höher ist als die Obergrenze für die Weiterleitung der von einem Kopplungselement innerhalb einer vorgegebenen Zeit empfangenen Datenpakete. Hierbei liegt der Erfindung die Erkenntnis zugrunde, dass durch das gewählte Verhältnis der beiden Obergrenzen zueinander ein Fehler innerhalb einer Wirkkette innerhalb der beiden Kopplungselemente, insbesondere eine fehlerhafte Konfiguration der beiden Kopplungseinheiten, ermittelt werden kann.
In einerweiteren vorteilhaften Ausführungsform der Erfindung umfassen die primäre Steuereinheit und die sekundäre Steuereinheit jeweils eine Vorrichtung nach einem der Ansprüche 2, 3, 4 oder 5, wobei der vorgegebenen Zeitpunkt zeitlich vor einer Aktivierung eines automatisierten Fahrmodus für das Kraftfahrzeug, und/oder während eines aktiven automatisierten Fahrmodus für das Kraftfahrzeugs liegt.
Hierbei liegt der Erfindung die Erkenntnis zugrunde, dass eine Fehlererkennung mittels der Erfindung nur eine Momentaufnahme ist und ein Fehler kurz nach der Fehlererkennung auftreten kann.
Da das Auftreten von Fehlern als statistischer Prozess betrachtet werden kann, steigt die kumulierte Fehlerauftrittswahrscheinlichkeit im Laufe der Zeit. Deshalb ist es vorteilhaft, den vorgegebenen Zeitpunkt kurz vor der Aktivierung des automatisierten Fahrmodus zu wählen, um die Fehlerauftrittswahrscheinlich vor diesem sicherheitstechnisch anspruchsvollen Ereignis zu verringern.
Um eine ausreichend hohe Fehlererkennung in der Erfindung/Maßnahme und damit ihre Verfügbarkeit im Ernstfall zu gewährleisten, muss sichergestellt werden, dass ein Ausfall ausreichend unwahrscheinlich zusammen mit einem Babbling Idiot auftritt. Hintergrund: Ein unerkannter Ausfall der Maßnahme (Shaping/Policing) (Latentfehler) würde bei einem Babbling Idiot Fehler sofort zu einem beidseitigem Ausfall der Teilnetze sorgen. Hierzu müssen zwei Schwerpunkte abgedeckt werden: 1. Liegt ein systematischer Fehler vor, so wird dieser zwangsläufig durch eine sich ändernde Umgebungsvariable ausgelöst. Es muss daher sichergestellt sein, dass die Überprüfung der Maßnahme (Shaping/Policing) in möglichst identischen Randbedingungen stattfinden, in welchem ein Babbling Idiot ein sicherheitsrelevantes Ereignis auslösen könnte. Ein geeigneter Zeitpunkt bei einem hochautomatisierte Fahrzeug wäre beispielsweise kurz vor Übergabe der Fahraufgabe vom Fahrer an das Fahrzeug und wenn möglich während der automatisierten Fahrt. Ein ungeeigneter Zeitpunkt wäre wenn das Fahrzeug z.B. im Ruhemodus befindet, also die Randbedingungen nicht den Randbedingungen während einer hochautomatisierten Fahrt entsprechen.
2. Um einem zufälligen Fehler ausreichend zu begegnen, muss die Wiederholfrequenz der Überprüfung der Erfindung/Maßnahme (Shaping/Policing) so gewählt werden, dass die anzunehmende Fehlerrate welche zu einer Unwirksamkeit derselben führt multipliziert mit der Auftretenswahrscheinlichkeit eines Babbling Idiots innerhalb des Überwachungsintervalls ausreichend klein ist um den Integritätsanforderungen gerecht zu werden. Reicht sie nicht aus, muss der Überwachungsinterfall verkleinert werden.
In einerweiteren vorteilhaften Ausführungsform ist die Vorrichtung einer Steuereinheit eingerichtet über das Kopplungselement dieser Steuereinheit und das Kopplungselement der anderen Steuereinheit zu zumindest einem vorgegebenen Zeitpunkt ein Datenpaket mit geringer Priorität an die jeweils andere Vorrichtung zu schicken, wobei die Priorität des Datenpakets derart gewählt ist, dass bei jeder unerwarteten Kommunikation, die beispielsweise die Nutzkommunikation verdrängt, zwischen den beiden Kopplungseinheiten das Datenpaket von einem der Kopplungselemente verworfen wird, und die jeweils andere Vorrichtung eingerichtet ist, im Wesentlichen zu dem vorgegebenen Zeitpunkt den Empfang dieses Datenpakets zu erwarten. Ein zweiter Aspekt der Erfindung betrifft ein Verfahren zum Erkennen von Fehlern in einem Computernetzwerk, wobei das Netzwerk zumindest ein Kopplungselement umfasst, das zumindest zwei Netzwerkteilnehmer miteinander verbindet, das Kopplungselement einen Speicher für eine Ist- Konfiguration des Kopplungselements umfasst, das Kopplungselement in Abhängigkeit von der Ist-Konfiguration Datenpakete weiterleitet oder verwirft.
Ein Schritt des Verfahrens ist das Vergleichen der Ist-Konfiguration mit einer Soll-Konfiguration für das Kopplungselement.
Die vorstehenden Ausführungen zur erfindungsgemäßen Vorrichtung nach dem ersten Aspekt der Erfindung gelten in entsprechender Weise auch für das erfindungsgemäße Verfahren nach dem zweiten Aspekt der Erfindung. An dieser Stelle und in den Patentansprüchen nicht explizit beschriebene vorteilhafte Ausführungsbeispiele des erfindungsgemäßen Verfahrens entsprechen den vorstehend beschriebenen oder in den Patentansprüchen beschriebenen vorteilhaften Ausführungsbeispielen der erfindungsgemäßen Vorrichtung.
Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels unter Zuhilfenahme der beigefügten Zeichnungen beschrieben. In diesen zeigen:
Fig. 1 ein Ausführungsbeispiel des erfindungsgemäßen Fahrsystems, und Fig. 2 einen beispielhaften Verlauf von Datenübertragungsraten.
Fig. 1 zeigt ein Fahrsystem zum automatisierten Fahren für ein Kraftfahrzeug, wobei das Fahrsystem eine primäre Steuereinheit hPAD zum automatisierten Fahren und eine sekundäre Steuereinheit mPAD zum automatisierten Fahren umfasst. Die primäre Steuereinheit hPAD und die sekundäre Steuereinheit mPAD umfassen jeweils eine erfindungsgemäße Vorrichtung V1 , V2 und ein Kopplungselement S1, S2, wobei die Kopplungselemente S1, S2 miteinander verbunden sind.
Die Kopplungselemente S1, S2 und die Vorrichtungen V1, V2 bilden dabei ein Computernetzwerk, wobei die Kopplungselemente S1, S2 und die Vorrichtungen V1 , V2 Netzwerkteilnehmer sind.
Die Kopplungselemente S1, S2 umfasse jeweils einen Speicher für eine Ist- Konfiguration des Kopplungselements S1, S2, und die Kopplungselemente S1 , S2 sind jeweils eingerichtet, in Abhängigkeit von der Ist-Konfiguration Datenpakete weiterzuleiten oder zu verwerfen.
Die Vorrichtungen V1 , V2 umfassen jeweils eine Soll-Konfiguration für das jeweilige Kopplungselement S1, S2 ihrer Steuereinheit hPAD, mPAD und die Vorrichtungen V1, V2 sind jeweils eingerichtet, die Ist-Konfiguration mit der Soll-Konfiguration zu vergleichen.
Die Vorrichtungen V1, V2 sind jeweils eingerichtet, zu einem vorgegebenen Zeitpunkt eine vorgegebene Anzahl ds von Datenpaketen über die Kopplungselemente S1, S2 an einen anderen Netzwerkteilnehmer zu senden, beispielsweise an die jeweils andere Vorrichtung V1 , V2.
Der vorgegebene Zeitpunkt liegt dabei zeitlich vor einer Aktivierung eines automatisierten Fahrmodus für das Kraftfahrzeug, und/oder während eines aktiven automatisierten Fahrmodus für das Kraftfahrzeugs.
Die Konfiguration der Kopplungselemente gibt jeweils mindestens eine Obergrenze 01 , 02 für die Weiterleitung der von einem Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit empfangenen Datenpakete und eine Obergrenze für die Weiterleitung der an den Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit gesendeten Datenpakete vor, wobei die Obergrenze 01 für die Weiterleitung der an das jeweils andere Kopplungselement S1 , S2 innerhalb einer vorgegebenen Zeit gesendeten Datenpakete niedriger ist als die Obergrenze 02 für die Weiterleitung der von einem Kopplungselement S1, S2 innerhalb einer vorgegebenen Zeit empfangenen Datenpakete.
Außerdem sind die Vorrichtungen V1 , V2 jeweils eingerichtet, die Anzahl 11 , I2) der von der Kopplungseinheit S1 , S2 verworfenen Datenpakete zu ermitteln, und die Differenz der Anzahl ds der an den anderen Netzwerkteilnehmer gesendeten Datenpakete und der Anzahl 11, I2 der von der Kopplungseinheit S1 , S2 verworfenen Datenpakete mit zumindest einer Obergrenze 01 , 02 für die vom Kopplungselement S1 , S2 innerhalb einer vorgegebenen Zeit weitergeleiteten Datenpakete zu vergleichen.
Außerdem sind die Vorrichtungen V1, V2 einer Steuereinheit hPAD, mPAD jeweils eingerichtet, über das Kopplungselement S1, S2 dieser Steuereinheit hPAD, mPAD und das Kopplungselement S1, S2 der anderen Steuereinheit hPAD, mPAD zu zumindest einem vorgegebenen Zeitpunkt ein Datenpaket mit geringer Priorität an die jeweils andere Vorrichtung V1 , V2 zu schicken, wobei die Priorität des Datenpakets derart gewählt ist, dass bei jeder unerwarteten Kommunikation, die beispielsweise die Nutzkommunikation verdrängt, zwischen den beiden Kopplungseinheiten S1, S2 das Datenpaket von einem der Kopplungselemente S1, S2 verworfen wird, und die jeweils andere Vorrichtung V1 , V2 eingerichtet ist, im Wesentlichen zu dem vorgegebenen Zeitpunkt den Empfang dieses Datenpakets zu erwarten.
Fig. 2 zeigt einen beispielhaften Verlauf von Datenübertragungsraten. Dabei sind Datenübertragungsraten in MBit gegenüber der Zeit t aufgetragen. Gezeigt ist dabei ein Datenübertragungsniveau NL, das als Nutzlast üblicherweise übertragen wird. Diese Nutzlast NL ist niedriger als zwei Obergrenzen 01 , 02. Die Obergrenze 01 für die Weiterleitung der an das jeweils andere Kopplungselement S1, S2 innerhalb einer vorgegebenen Zeit gesendeten Datenpakete ist niedriger als die Obergrenze 02 für die Weiterleitung der von einem Kopplungselement S1, S2 innerhalb einer vorgegebenen Zeit empfangenen Datenpakete.
Darüber hinaus sind drei sogenannte Bursts B1, B2, B3 gezeigt. Diese ergeben sich zu vorgegebenen Zeitpunkten durch das Senden einer vorgegebenen Anzahl ds von Datenpaketen durch eine Vorrichtung V1 , V2 über ein Kopplungselement S1, S2 an einen anderen Netzwerkteilnehmer.
Der Burst B1 zeigt dabei die Anzahl ds der von der Vorrichtung V1 , V2 tatsächlich versendeten Datenpakete. Diese Anzahl ds übersteigt die beiden Obergrenzen 01, 02. Wenn Die Kopplungselemente S1, S2 fehlerfrei arbeiten würden, würde eine Anzahl 11 von Datenpaketen von der ersten Kopplungseinheit S1, S2 verworfen. Bei der jeweils anderen Kopplungseinheit S1, S2 würde somit nur ein Burst B2 ankommen. Diese andere Kopplungseinheit S1 , S2 würde eine Anzahl I2 von Datenpaketen verwerfen, so dass bei der anderen Vorrichtung V1 , V2 nur ein Burst B3 ankommen würde.
Da sowohl die Anzahl ds von Datenpaketen bekannt ist, als auch die beiden Obergrenzen 01 , 02, kann von der empfangenden Vorrichtung V1 , V2 durch Vergleich der tatsächlich empfangenen Datenpakete mit einer Anzahl an erwarteten Datenpaketen, die sich aus der der Differenz der Anzahl ds der an die Vorrichtung gesendeten Datenpakete und den Obergrenzen 01, 02 ergibt, ermittelt werden, ob ein Fehler im Computernetzwerk vorliegt, beispielsweise ein Fehler in der Ist-Konfiguration der Kopplungselemente S1, S2. Wenn beispielsweise die Anzahl der tatsächlich empfangenen Datenpakete über der Obergrenze 02 für die Weiterleitung der von einem Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit empfangenen Datenpakete liegt, so kann darauf geschlossen werden, dass ein Fehler in der Ist-Konfiguration des empfangenden Kopplungselements S1, S2 vorliegt.
Wenn beispielsweise die Anzahl der tatsächlich empfangenen Datenpakete über der Obergrenze 01 für die Weiterleitung der an den Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit gesendeten Datenpakete liegt, so kann darauf geschlossen werden, dass ein Fehler der Ist-Konfiguration des versendenden Kopplungselements S1, S2 vorliegt.

Claims

Bayerische Motoren Werke 20-0229 Aktiengesellschaft Patentansprüche
1. Vorrichtung (V1 , V2) zum Erkennen von Fehlern in einem Computernetzwerk, wobei
• das Computernetzwerk zumindest ein Kopplungselement (S1 , S2) umfasst, das zumindest zwei Netzwerkteilnehmer des Com puternetzwerksm iteinander verbindet,
• das Kopplungselement (S1 , S2) einen Speicher für eine Ist- Konfiguration des Kopplungselements (S1, S2) umfasst,
• das Kopplungselement (S1 , S2) in Abhängigkeit von der Ist- Konfiguration Datenpakete weiterleitet oder verwirft,
• die Vorrichtung (V1 , V2) eine Soll-Konfiguration für das Kopplungselement (S1, S2) umfasst, und
• die Vorrichtung (V1 , V2) eingerichtet ist, die Ist-Konfiguration mit der Soll-Konfiguration zu vergleichen.
2. Vorrichtung (V1 , V2) nach Anspruch 1 , wobei die Vorrichtung (V1 , V2) ein mit dem Kopplungselement (S1 , S2) verbundener
Netzwerkteilnehmer ist, und die Vorrichtung (V1, V2) eingerichtet ist,
• zu einem vorgegebenen Zeitpunkt eine vorgegebene Anzahl (ds) von Datenpaketen über das Kopplungselement (S1 , S2) an einen anderen Netzwerkteilnehmer zu senden, · die Anzahl (11 , I2) der von der Kopplungseinheit (S1 , S2) verworfenen Datenpakete zu ermitteln, und
• die Anzahl (ds) der an den anderen Netzwerkteilnehmer gesendeten Datenpakete mit der Anzahl (11 , I2) der von der Kopplungseinheit (S1, S2) verworfenen Datenpakete zu vergleichen.
3. Vorrichtung (V1 , V2) nach einem der vorherigen Ansprüche, wobei die Konfiguration des Kopplungselements (S1, S2) zumindest eine Obergrenze (01 , 02) für die vom Kopplungselement (S1 , S2) innerhalb einer vorgegebenen Zeit weitergeleiteten Datenpakete vorgibt.
4. Vorrichtung nach Anspruch 3, wobei die Konfiguration des Kopplungselements (S1, S2) · mindestens eine Obergrenze (02) für die Weiterleitung der von einem Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit empfangenen Datenpakete vorgibt, und/oder • mindestens eine Obergrenze (01 ) für die Weiterleitung der an den Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit gesendeten Datenpakete vorgibt.
5. Vorrichtung (V1 , V2) nach Anspruch 3 oder 4, wobei die Vorrichtung (V1 , V2) eingerichtet ist,
• die Differenz der Anzahl (ds) der an den anderen Netzwerkteilnehmer gesendeten Datenpakete und der Anzahl
(11 , I2) der von der Kopplungseinheit (S1 , S2) verworfenen Datenpakete mit zumindest einer Obergrenze (01 , 02) für die vom Kopplungselement (S1, S2) innerhalb einer vorgegebenen Zeit weitergeleiteten Datenpakete zu vergleichen.
6. Fahrsystem zum automatisierten Fahren für ein Kraftfahrzeug, wobei das Fahrsystem eine primäre Steuereinheit (hPAD) zum automatisierten Fahren und eine sekundäre Steuereinheit (mPAD) zum automatisierten Fahren umfasst, die primäre Steuereinheit (hPAD) und die sekundäre Steuereinheit (mPAD) jeweils eine
Vorrichtung (V1 , V2) nach einem der vorherigen Ansprüche und ein Kopplungselement (S1, S2) umfassen, wobei die Kopplungselemente (S1, S2) miteinander verbunden sind.
7. Fahrsystem nach Anspruch 6, wobei
• die Konfiguration der Kopplungselemente (S1 , S2) jeweils eine Obergrenze (01 , 02) für die Weiterleitung der von einem Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit empfangenen Datenpakete und eine Obergrenze für die Weiterleitung der an den Netzwerkteilnehmer innerhalb einer vorgegebenen Zeit gesendeten Datenpakete vorgibt, und
• die Obergrenze (01 ) für die Weiterleitung der an das jeweils andere Kopplungselement (S1, S2) innerhalb einer vorgegebenen Zeit gesendeten Datenpakete niedriger ist als die Obergrenze (02) für die Weiterleitung der von einem Kopplungselement (S1, S2) innerhalb einer vorgegebenen Zeit empfangenen Datenpakete.
8. Fahrsystem nach Anspruch 6 oder 7, wobei die primäre Steuereinheit (hPAD) und die sekundäre Steuereinheit (mPAD) jeweils eine Vorrichtung (V1 , V2) nach einem der Ansprüche 2, 3, 4 oder 5 umfassen, wobei der vorgegebenen Zeitpunkt
• zeitlich vor einer Aktivierung eines automatisierten Fahrmodus für das Kraftfahrzeug, und/oder
• während eines aktiven automatisierten Fahrmodus für das Kraftfahrzeugs liegt.
9. Fahrsystem nach Anspruch 6, wobei die Vorrichtung (V1 , V2) einer Steuereinheit (hPAD, mPAD) eingerichtet ist, über das Kopplungselement (S1, S2) dieser Steuereinheit (hPAD, mPAD) und das Kopplungselement (S1 , S2) der anderen Steuereinheit (hPAD, mPAD) zu zumindest einem vorgegebenen Zeitpunkt ein Datenpaket mit geringer Priorität an die jeweils andere Vorrichtung (V1 , V2) zu schicken, wobei die Priorität des Datenpakets derart gewählt ist, dass bei jeder unerwarteten Kommunikation zwischen den beiden Kopplungseinheiten (S1, S2) das Datenpaket von einem der Kopplungselemente (S1 , S2) verworfen wird, und die jeweils andere
Vorrichtung (V1 , V2) eingerichtet ist, im Wesentlichen zu dem vorgegebenen Zeitpunkt den Empfang dieses Datenpakets zu erwarten. Verfahren zum Erkennen von Fehlern in einem Computernetzwerk, wobei das Computernetzwerk zumindest ein Kopplungselement (S1 , S2) umfasst, das zumindest zwei Netzwerkteilnehmer des Computernetzwerks miteinander verbindet, das Kopplungselement (S1, S2) einen Speicher für eine Ist-Konfiguration des Kopplungselements (S1, S2) umfasst, das Kopplungselement (S1, S2) in Abhängigkeit von der Ist-Konfiguration Datenpakete weiterleitet oder verwirft, und das Verfahren den folgenden Schritt umfasst:
• Vergleichen der Ist-Konfiguration mit einer Soll-Konfiguration für das Kopplungselement (S1 , S2).
PCT/EP2021/059157 2020-04-27 2021-04-08 Erkennen von fehlern in einem computernetzwerk WO2021219337A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
US17/919,007 US20230336491A1 (en) 2020-04-27 2021-04-08 Identifying Errors in a Computer Network
KR1020227034752A KR20220148905A (ko) 2020-04-27 2021-04-08 컴퓨터 네트워크 내의 오류 식별
JP2022559605A JP2023521964A (ja) 2020-04-27 2021-04-08 コンピュータネットワークにおけるエラーの検知
CN202180030615.7A CN115443625A (zh) 2020-04-27 2021-04-08 识别计算机网络中的错误

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020111450.8 2020-04-27
DE102020111450.8A DE102020111450A1 (de) 2020-04-27 2020-04-27 Erkennen von Fehlern in einem Computernetzwerk

Publications (1)

Publication Number Publication Date
WO2021219337A1 true WO2021219337A1 (de) 2021-11-04

Family

ID=75478045

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/059157 WO2021219337A1 (de) 2020-04-27 2021-04-08 Erkennen von fehlern in einem computernetzwerk

Country Status (6)

Country Link
US (1) US20230336491A1 (de)
JP (1) JP2023521964A (de)
KR (1) KR20220148905A (de)
CN (1) CN115443625A (de)
DE (1) DE102020111450A1 (de)
WO (1) WO2021219337A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1420317A2 (de) * 2002-10-21 2004-05-19 Rockwell Automation Technologies, Inc. Systen und Verfahren zur Sicherheitsanalyse in einem Automasierungssystem zur Überprüfung und zum Lernen in einer industriellen Steuerungs-Umgebung
EP3258661A1 (de) * 2016-06-16 2017-12-20 ABB Schweiz AG Detektion von abnormalen konfigurationsänderungen
WO2020035584A1 (de) * 2018-08-17 2020-02-20 Continental Automotive Gmbh Gegen angriffe gesicherte netzwerkschnittstelle

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8392764B2 (en) 2009-11-16 2013-03-05 Cooper Technologies Company Methods and systems for identifying and configuring networked devices
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US9705918B2 (en) 2012-05-22 2017-07-11 Sri International Security mediation for dynamically programmable network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1420317A2 (de) * 2002-10-21 2004-05-19 Rockwell Automation Technologies, Inc. Systen und Verfahren zur Sicherheitsanalyse in einem Automasierungssystem zur Überprüfung und zum Lernen in einer industriellen Steuerungs-Umgebung
EP3258661A1 (de) * 2016-06-16 2017-12-20 ABB Schweiz AG Detektion von abnormalen konfigurationsänderungen
WO2020035584A1 (de) * 2018-08-17 2020-02-20 Continental Automotive Gmbh Gegen angriffe gesicherte netzwerkschnittstelle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Forschung kompakt", November 2012

Also Published As

Publication number Publication date
DE102020111450A1 (de) 2021-10-28
JP2023521964A (ja) 2023-05-26
CN115443625A (zh) 2022-12-06
US20230336491A1 (en) 2023-10-19
KR20220148905A (ko) 2022-11-07

Similar Documents

Publication Publication Date Title
EP0403763A2 (de) Verfahren zum Vernetzen von Rechnern und/oder Rechnernetzen sowie Vernetzungssystem
DE102018209407A1 (de) Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
WO1994006081A1 (de) Netzwerkschnittstelle
EP2637362B1 (de) Busteilnehmer-einrichtung zum anschluss an einen linienredundanten, seriellen datenbus und verfahren zur steuerung der kommunikation eines busteilnehmers mit einem linienredundanten, seriellen datenbus
DE19752792A1 (de) Einrichtung zur Selbstdiagnose von im wesentlichen sporadischen Fehlern in seriellen Übertragungssystemen
EP2880823B1 (de) Kommunikationsnetzwerk und verfahren zum betreiben eines kommunikationsnetzwerkes
WO2003094442A1 (de) Verfahren zur überwachung der übertragungsgüte von verbindungen in mpls-netzen
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
DE4428132C2 (de) Verfahren zur automatischen Überprüfung eines Datenübertragungsnetzwerks
DE102014224944A1 (de) Verfahren und Steuergerät zur Übertragung sicherheitsrelevanter Daten in einem Kraftfahrzeug mittels eines Ethernet-Standards
EP3087699B1 (de) Detektieren eines fehlerhaften knotens in einem netzwerk
EP3028409B1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
WO2015155315A1 (de) Verfahren für ein redundantes übertragungssystem mit prp und fehlvorhersage
EP2351301B1 (de) Verfahren zum betreiben einer mehrport-mac-brücke mit abschaltbaren ports abhängig von einem isochronen datenstrom an einem port oder port-paar in ethernet-lans
DE4226599C2 (de) Verfahren zur Fehlererkennung in digitalen Kommunikationssystemen
DE2854655A1 (de) Signaluebertragungs-steueranordnung
WO2021219337A1 (de) Erkennen von fehlern in einem computernetzwerk
DE102019210227A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
EP3451591B1 (de) Verfahren zum betrieb eines kommunikationsnetzwerks in ringtopologie sowie derartiges kommunikationsnetzwerk
DE602004007130T2 (de) Fehlererkennung und unterdrückung in einem tdma-basierten netzknoten
EP0977395A1 (de) Verfahren zur sicheren einkanaligen Uebertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
DE102020201606A1 (de) Kommunikationsmodul, Teilnehmer und Verfahren
EP2854345B1 (de) Verfahren und Koppel-Kommunikationsgerät zur Nachrichtenübermittlung in einem redundant betreibbaren industriellen Kommunikationsnetz
DE102016113322A1 (de) Slave-Steuerung für Ethernet-Netzwerk
WO2020099291A1 (de) Vorrichtung zum absichern eines echtzeit-ethernet-datennetzwerks für ein kraftfahrzeug

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21718090

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2022559605

Country of ref document: JP

Kind code of ref document: A

ENP Entry into the national phase

Ref document number: 20227034752

Country of ref document: KR

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21718090

Country of ref document: EP

Kind code of ref document: A1