WO2024061559A1 - Anhängernetzwerksystem zur datenkommunikation in einem anhängerfahrzeug sowie anhängerfahrzeug damit und verfahren dafür - Google Patents

Anhängernetzwerksystem zur datenkommunikation in einem anhängerfahrzeug sowie anhängerfahrzeug damit und verfahren dafür Download PDF

Info

Publication number
WO2024061559A1
WO2024061559A1 PCT/EP2023/073138 EP2023073138W WO2024061559A1 WO 2024061559 A1 WO2024061559 A1 WO 2024061559A1 EP 2023073138 W EP2023073138 W EP 2023073138W WO 2024061559 A1 WO2024061559 A1 WO 2024061559A1
Authority
WO
WIPO (PCT)
Prior art keywords
trailer
data
data bus
main
interface
Prior art date
Application number
PCT/EP2023/073138
Other languages
English (en)
French (fr)
Inventor
Udo Ronnenberg
Nils Pfullmann
Fabian ICKEROTT
Jan-Christoph VON DER BEEKE
Axel Stender
Original Assignee
Zf Cv Systems Global Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zf Cv Systems Global Gmbh filed Critical Zf Cv Systems Global Gmbh
Publication of WO2024061559A1 publication Critical patent/WO2024061559A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40189Flexible bus arrangements involving redundancy by using a plurality of bus systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Definitions

  • the invention relates to the field of vehicles and in particular to the field of commercial vehicles.
  • Such commercial vehicles include towing vehicles, such as trucks or semi-trailers, and trailer vehicles, such as drawbar trailers or semi-trailers.
  • the invention relates to trailer vehicles.
  • the vehicles considered here have a large number of control devices, which are also called “electronic control units” or ECUs for short.
  • the control devices are used to control individual functions of the vehicle.
  • actuators of the vehicle are controlled or sensors of the vehicle are read out by the control devices.
  • vehicle control devices are brake control devices, EBS or TEBS for short, for controlling various types of brake functionalities, such as controlling the vehicle's friction brakes, and air spring control devices for controlling air suspension.
  • Control devices in modern vehicles are connected to one another via a vehicle network for data communication, in particular a data bus, in order to exchange data with one another.
  • a control unit of an air suspension system can be used to determine the mass of the vehicle.
  • a sensor measures the prevailing pressure in the air bellows and transmits this to the control unit of the air suspension system.
  • the control unit can determine the mass from the prevailing pressure and provide the specific mass, for example, to a brake control unit, whereby the brake control unit can then take these masses into account when controlling the actuators.
  • control devices Due to the increasing number of such control devices and thus increasing interaction between the control devices, the demands on the vehicle network for data exchange are increasing, especially with regard to the data security of a vehicle network system that includes the control devices and the Vehicle network itself includes.
  • the requirements for data security are becoming particularly relevant due to increasingly automated driving functions, which enable the vehicle to operate partially or completely autonomously and are also implemented using the control devices mentioned.
  • Control devices for implementing automated driving functions must be able to access the vehicle's sensors and actuators without errors, whereas manipulation of such access can lead to dangerous driving situations or accidents.
  • control devices that can perform safety-critical functions are often not connected to the vehicle's general data buses. Rather, secured connections are provided for such control devices, so that such control devices exchange control commands, in particular safety-critical control commands, with the secured connections.
  • a trailer network system is constructed in such a way that a safety-critical control device, such as the brake control device, receives safety-critical commands, for example for activating the friction brakes, from the towing vehicle via a standardized interface with a protocol according to ISO 11992-2.
  • a safety-critical control device such as the brake control device
  • Modern trailer vehicles also have an additional interface that exchanges data with the towing vehicle using a protocol according to ISO 11992-3.
  • the additional interface can be used to communicate with other components of the trailer vehicle, which are connected, for example, via a bus system.
  • the object of the present invention is therefore to address the problems of the prior art.
  • the aim is to reduce the risk that attacks by vehicle components on safety-critical systems lead to dangerous driving interventions.
  • an alternative to what is known from the prior art should be found.
  • the invention describes a trailer network system for data communication in a trailer vehicle according to claim 1.
  • the trailer network system is used for data communication in a trailer vehicle.
  • the trailer network system includes at least two main control devices.
  • the main control units are each set up to carry out safety-relevant functions of the trailer vehicle.
  • the trailer network system also includes at least one auxiliary control device.
  • the secondary control unit is used to execute safety-irrelevant functions, i.e. functions that are not safety-relevant.
  • the trailer network system also includes a main data bus.
  • the main data bus includes several main data bus interfaces.
  • the main control devices are each connected to a main data bus interface of the several main data bus interfaces.
  • the main control devices are connected to each other via the main data bus to exchange data.
  • the secondary control unit is not connected to the main data bus, i.e. not connected. In the case of several secondary control devices, all secondary control devices are not connected to the main data bus.
  • the trailer network system also includes a secondary data bus with multiple secondary data bus interfaces.
  • a secondary data bus interface of the plurality of secondary data bus interfaces is connected to one of the main control devices.
  • Another secondary data bus interface is connected to another of the main control devices.
  • Another secondary data bus interface of the several The secondary data bus interface is connected to the secondary control unit.
  • all main and secondary control devices are each connected to the secondary bus.
  • the secondary data bus is therefore used to exchange data between all main and secondary control devices in the trailer network system.
  • the main control device or devices are connected to one another by two data buses, namely the main data bus and the secondary data bus.
  • the idea of the invention is that the main data bus only connects the main control devices but not the secondary control devices.
  • the main data bus therefore does not provide any interfaces for connecting secondary control devices on the trailer vehicle.
  • An additional data bus is provided for connecting additional control devices. Control devices that perform functions that are not relevant to safety and can pose a danger to control devices that perform functions that are relevant to safety can therefore only be connected via the secondary data bus.
  • main control devices Secure communication between main control devices is therefore possible via the main data bus, so that safety-critical commands, which are received, for example, by one of the main control devices from a towing vehicle or another main control device, can be safely transmitted to the main control device.
  • the trailer's secondary control units cannot access the main data bus because it is not accessible to the secondary control units.
  • This structure of the trailer network system enables secure communication between the control devices that carry out safety-relevant functions.
  • the structure enables the main control devices to also communicate via the secondary data bus in the event of a failure of the main data bus. There is therefore a partially redundant bus connection, so that the disadvantage of the additional effort to increase data security is outweighed by a simultaneous increase in reliability.
  • the main control devices each correspond to a control device that is set up to influence a driving function of the trailer vehicle.
  • each of the main control devices is set up to control an actuator of the trailer vehicle.
  • the secondary control device is a control device that is set up to leave the driving function of the trailer vehicle unaffected.
  • the secondary control device is set up to carry out an actuator-free function.
  • the main control devices are therefore used to control all functions that affect the movement of the trailer and have a direct influence on the journey or locomotion.
  • the secondary control unit therefore corresponds to a control unit that has no direct influence on the travel or movement of the trailer vehicle.
  • Secondary control units which therefore have no direct influence on the driving function, remain unconnected to the main data bus and therefore cannot have any influence on main control units, which exchange safety-relevant data via the main data bus and, in particular, can influence the driving functions of the trailer vehicle through this exchange of data.
  • each of the main control devices is set up to have at least one actuator for actuating a service brake, an actuator for actuating a parking brake, an actuator for raising and / or lowering a lifting axle, an actuator for raising and / or lowering a trailer support foot, one Actuator for controlling a trailer vehicle level control or an actuator, in particular an electric motor, for driving or braking a wheel or an axle of the trailer vehicle.
  • the secondary control device is set up to carry out a function that differs from the control of the actuators mentioned according to this embodiment, which can be controlled by the main control device.
  • a final list of actuators is therefore specified, each of which can be controlled via several main control units.
  • a first main control unit is used as a control unit for controlling a service brake and another main control unit is used as a control unit for raising and/or lowering a Lift axle.
  • another main control unit is designed as a control unit for driving or braking a wheel or an axle.
  • secondary control units are set up to carry out a function that differs from the complete list of actuators.
  • the actuators mentioned are clearly actuators whose actuation represents a safety-relevant function and is therefore carried out by a main control unit. Such actuators are not controlled by secondary control devices, but only by main control devices. Safety-critical commands to a master controller that are sent on the slave bus from a slave controller that is not connected to the master data bus can be ignored. Data security in the communication of all control devices that have an influence on these safety-relevant actuators can be guaranteed against attacks from control devices that are not connected to the main data bus.
  • At least one of or all of the main control devices comprises a data interface unit.
  • the data interface unit is connected to a main data bus interface and a secondary data bus interface.
  • the data interface unit is set up to distinguish between disturbed and undisturbed data traffic on the main data bus, i.e. to recognize whether the data traffic is disturbed or undisturbed. If the data interface unit detects undisturbed data traffic on the main data bus, the data interface unit is set up to ignore safety-critical data on the secondary data bus.
  • Safety-critical data is preferably predefined data or data packets, which include, for example, a command to activate the brakes of the trailer vehicle.
  • the data interface unit is preferably also set up not to ignore, i.e. to process, safety-critical data on the secondary data bus in the event that disrupted data traffic on the main data bus is detected.
  • the main control device is therefore designed by the data interface unit to receive safety-critical data, such as data that is sent by a secondary control device connected to the secondary data bus and the Corresponding to safety-critical data should be ignored as long as operation with the main data bus, namely undisturbed data traffic with another main control unit, is possible.
  • An attack on the main control device by a secondary control device that is connected to the secondary data bus is therefore completely prevented if the main data bus is undisturbed.
  • non-critical data can also be sent from secondary control devices to the brake control device via the secondary data bus and processed by the brake control device.
  • the trailer network system includes one or more secondary control devices, which are designed as a telematics system, wireless interface module, operating device or display device.
  • the trailer network system therefore includes one or more of a telematics system, a wireless interface module, an operating device and a display device.
  • a secondary control device is connected as a display device to the secondary data bus via a secondary data bus interface
  • other secondary control devices can preferably display parameters with the display device.
  • Such parameters can also include parameters that are provided by a main control device on the secondary data bus.
  • the secondary control devices can therefore communicate with each other and with the towing vehicle, for example via a main control device designed as a trailer interface module.
  • Processing of data from a main control device designed as a trailer brake control device by the secondary control devices is also possible, although safety-critical data from one of the secondary control devices addressed to the trailer brake control device, in particular by the data interface unit, are not processed in the trailer brake control device.
  • the trailer network system comprises a plurality of main control devices, one of the main control devices corresponding to a trailer brake control device and being set up to activate friction brakes of the trailer vehicle.
  • Another main control unit corresponds to a control unit for controlling an electric drive of the trailer vehicle.
  • Safety-critical data therefore includes braking requests for activation of the friction brakes, which are addressed to the trailer brake control unit, for example, by a main control unit designed as a trailer interface module.
  • Further safety-critical data are acceleration requirements for activating an electric drive controlled by the brake control unit or braking requirements for activating recuperation operation of the electric drive. Accordingly, braking requests can be transmitted to the trailer brake control unit through the main data bus in order to activate the friction brakes. However, braking requests via the secondary data bus are preferably ignored as long as the trailer brake control unit detects undisturbed data traffic on the main data bus.
  • the trailer network system comprises a plurality of main control devices, with a trailer brake control device being formed by at least two of the main control devices. At least one of, several of or all of the main control devices forming the trailer brake control device are set up to control friction brakes of the trailer vehicle.
  • Safety-critical data includes braking requests for activation of the friction brakes, which are addressed to at least one of the main control units forming the trailer brake control unit. Safe control of a trailer brake control unit formed by several main control units is therefore possible.
  • the trailer network system comprises a plurality of main control devices, one of the main control devices being designed as a trailer interface module and having a first towing vehicle data interface in order to exchange data with a towing vehicle.
  • the first towing vehicle data interface is an Ethernet data interface and particularly preferably a Gigabit Ethernet data interface. Fast data exchange between the towing vehicle and the trailer vehicle is possible via such Ethernet connections that can be provided with the first towing vehicle data interface, for example in order to exchange large amounts of data from cameras directly connected either to the secondary data bus or to the trailer interface module in addition to safety-critical data for safety-critical systems, such as braking requirements.
  • the main control unit designed as a trailer interface module comprises a second towing vehicle data interface.
  • the second towing vehicle data interface is also used to exchange data with the towing vehicle.
  • the second towing vehicle data interface is a standardized data interface according to ISO 11992-3.
  • the trailer network system comprises a main control unit designed as a brake control unit with a third towing vehicle data interface.
  • the third towing vehicle data interface is set up to exchange data with the towing vehicle.
  • the third towing vehicle data interface is a standardized interface designed in accordance with the ISO 11992-2 standard. This means that the trailer network system will also be compatible in the future with towing vehicles that do not have an Ethernet data interface but at least have an ISO 11992-2 interface to control the brakes of the trailer vehicle.
  • the invention also includes a trailer vehicle with a trailer network system according to one of the aforementioned embodiments. Furthermore, the invention includes a combination with a trailer vehicle according to the invention and a towing vehicle.
  • the invention includes a method for operating a trailer network system according to one of the embodiments, a trailer vehicle according to the invention or a trailer according to the invention.
  • At least one or each of the main control devices recognizes self-addressed data packets with safety-critical data on the secondary data bus.
  • the main control unit determines whether the main data bus is disturbed or not.
  • the recognized data packet is processed, if the main data bus is disturbed and discarded if the main data bus is undisturbed.
  • an error message is issued by the main control unit if safety-critical data is received on the secondary data bus while the main data bus is simultaneously undisturbed.
  • Secondary control devices connected to the secondary data bus which send safety-critical data to a main control device, therefore remain uncritical for the operation of the trailer vehicle as long as the main data bus is undisturbed.
  • the probability of an attack on the brake control unit by a secondary control unit is thus reduced and limited to the case that the main data bus is disrupted.
  • the probability of an attack on a main control unit by a secondary control unit is therefore significantly reduced.
  • the purpose of issuing an error message is to make an attack visible. Actions can be taken by an operator to counter further attacks.
  • the main control device or each of the main control devices recognizes data packets with non-safety-critical data on the secondary data bus.
  • a data packet with non-safety-critical data recognized in this way is processed by the main control unit.
  • Such non-safety-critical data includes, for example, the retrieval of certain parameters from the brake control unit, for example an operating state, by a secondary control unit for display, transmission or further processing.
  • the method includes receiving safety-critical data for a main control device designed as a trailer brake control device from the towing vehicle via the first towing vehicle data interface or the second towing vehicle data interface.
  • a main control unit designed as a trailer interface module which is used for this purpose, also determines or detects whether the main data bus is disturbed or not, i.e. whether data traffic is disturbed or whether data traffic is undisturbed is possible.
  • a data packet addressed to the trailer brake control unit with the received safety-critical data is sent out on the main data bus with the trailer interface module if the Main data bus is undisturbed. If the main data bus is disrupted, the data packet is sent to the trailer brake control unit on the secondary data bus.
  • the method includes receiving data for an auxiliary control device from the towing vehicle via the first towing vehicle data interface or the second towing vehicle data interface through the trailer interface module.
  • the method according to this embodiment includes sending a data packet addressed to the secondary control device with the data on the secondary data bus, regardless of whether the main data bus is disturbed or not. Accordingly, data intended for the secondary control devices is always sent on the secondary data bus.
  • Fig.1 shows an exemplary embodiment of a trailer network system
  • Fig. 2 steps of the method according to an exemplary embodiment.
  • FIG. 1 shows a trailer network system 10 for data communication in a trailer vehicle 12.
  • the trailer vehicle 12 is connected to a towing vehicle 14 via data lines 11 in order to exchange data between the trailer vehicle 12 and the towing vehicle 14.
  • Trailer vehicle 12 and towing vehicle 14 form a team 15.
  • the towing vehicle 14 has a towing vehicle brake control device 16, which, for example, generates a braking request 17 for friction brakes of the towing vehicle 14 depending on a driver's request.
  • a braking request 17 for a trailer vehicle 12 is also generated in the towing vehicle brake control unit 16.
  • Braking requests 17 for the trailer vehicle 12 are transmitted as data to the trailer vehicle 12, such data being predefined as safety-critical data 18.
  • the towing vehicle brake control unit 16 In order to send the safety-critical data 18 of a braking request 17 to the trailer vehicle 12, the towing vehicle brake control unit 16 generates the Braking request 17 and transmits this to a towing vehicle interface module 20.
  • the towing vehicle interface module 20 generates a data packet 21 with the safety-critical data 18 and transmits this to the trailer network system 10 via a first data connection 22.
  • the trailer network system 10 includes a trailer interface module designed as a main control unit 23 24, which is connected to the first data connection 22 via a first towing vehicle data interface 26.
  • the first data connection 22 is preferably an Ethernet data connection 28 and in this case a Gigabit Ethernet data connection 30.
  • the first towing vehicle data interface 26 is an Ethernet data interface 32 and in this case a Gigabit Ethernet data interface 34.
  • the safety-critical data 18 are transmitted from the trailer interface module 24 via a main data bus 36 to a further main control unit 23, which is designed as a trailer brake control unit 38 of the trailer network system 10.
  • the trailer interface module 24 corresponds to a gateway module. This serves the purpose of mediating connections between different network sections. Different communication protocols can be used in the network sections.
  • the gateway module is designed to carry out protocol conversion so that messages in the format of one communication protocol are converted into messages of the other communication protocol and vice versa.
  • the gateway module can be housed in a separate housing in the manner of an electronic control device or, alternatively, it can also be part of a main control device 23.
  • a data interface unit 40 is provided in the trailer brake control unit 38 for reception and is connected to the main data bus 36 and a secondary data bus 42.
  • the data interface unit 40 includes a main data bus interface 44 and a secondary data bus interface 46.
  • the trailer interface module 24 has a main data bus interface 48 and a secondary data bus interface 50.
  • the trailer brake control device 38 as the main control device 23, which is set up to control an actuator 77, which corresponds to a friction brake 68, for example, of a service brake 75, further main control devices 23 are connected to the main data bus 36 and the secondary data bus 42 via the respective interfaces.
  • the other main control devices 23 are each set up to have an actuator 79 for actuating a parking brake 81, an actuator 82 for raising and / or lowering a lifting axle 83, an actuator 84 for raising and / or lowering a trailer support foot 85, an actuator 86 for controlling a trailer vehicle level control 87 and an actuator 88 , namely an electric drive 70, for driving or braking a wheel 89.
  • Each of the mentioned actuators 77, 79, 82, 84, 86, 88 serves to execute one of several safety-relevant functions 41 that influence driving functions 43 of the trailer vehicle 12.
  • the main data bus 36 differs from the secondary data bus 42 in that the main data bus 36 comprises main data bus interfaces 44, 48, each of which is connected to one of the main control devices 23, the secondary data bus 42 being in addition to the already mentioned secondary data bus interfaces 46, 50, which are connected to the main control device 23 designed trailer interface module 24 and are connected to the trailer brake control device 38 designed as a main control device 23, has further secondary data bus interfaces 52.
  • a telematics system 54, a wireless interface module 56, an operating device 58 and a display device 60 are connected to the further secondary data bus interfaces 52.
  • the telematics system 54, the wireless interface module 56, the operating device 58 and the display device 60 can each also be referred to as secondary control devices 62.
  • the secondary control devices 62 are therefore used to carry out actuator-free functions 63, which correspond to functions 65 that are not relevant to safety.
  • the secondary control devices 62 can also exchange data with other modules 64 of the towing vehicle 14 via the trailer interface module 24 and the first data connection 22 as well as the towing vehicle interface module 20.
  • the other modules 64 of the towing vehicle 14 and the secondary control devices 62 exchange data, which is referred to as non-critical data 66.
  • the non-critical data 66 is exchanged via the secondary data bus 42.
  • the safety-critical data 18 are sent via the main data bus 36 to the main control device 23, which is designed as a trailer brake control device 38, at least as long as the main data bus 36 is undisturbed. Friction brakes 68 or an electric drive 70, for example, are controlled by this safety-critical data 18, with the electric drive also being controlled via the Trailer brake control unit 38 can be done.
  • the drive 70 is controlled via a further separate main control device 23.
  • the towing vehicle brake control device 16 sends, for example, control signals 71 for the electric drive as safety-critical data 18 to the trailer brake control device 38.
  • a rear view camera 72 is connected to the trailer vehicle 12, and its video data 73 can also be transmitted to the towing vehicle 14 via the trailer interface module 24.
  • the trailer interface module 24 includes a second towing vehicle data interface 74, which corresponds to an interface 76 according to ISO 11992-3.
  • the trailer brake control unit 38 is also designed with a third towing vehicle data interface 78, which is an interface 80 according to ISO 11992-2 in order to also be backwards compatible with the towing vehicle 14.
  • Safety-critical data 18 are therefore also sent from the towing vehicle brake control unit 16 of the towing vehicle 14 directly to the trailer brake control unit 38 via the third towing vehicle data interface 78.
  • a data packet 94 is received from a trailer interface module 24.
  • the trailer interface module 24 determines whether the data packet 94 includes safety-critical data 18 or non-critical data 66. If the data of the data packet 94 is non-critical data 66, these are sent out on a secondary data bus 42 in step 98 if they are intended for a secondary control device 62. If the data is safety-critical data 18 and it has been recognized in a previous step 100 that the main data bus 36 is undisturbed 102, then in a step 104 the safety-critical data 18 is sent to the trailer brake control unit 38 via the main data bus 36.
  • step 100 If, on the other hand, it has been recognized in step 100 that the main data bus 36 is faulty 106, the safety-critical data 18 is sent to the trailer brake control unit 38 via the secondary data bus 42 in step 104.
  • the trailer brake control device 38 detects safety-critical data 18 on the secondary data bus 42 in step 108, the trailer brake control device 38 determines its value in step 110 Data interface unit 40 whether the main data bus 36 is disturbed 106 or undisturbed 102.
  • step 112 the data packet 94 is then processed if the main data bus 36 is disturbed 106 and discarded if the main data bus 36 is undisturbed 102.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Regulating Braking Force (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung betrifft ein Anhängernetzwerksystem (10) zur Datenkommunikation in einem Anhängerfahrzeug (12). Das Anhängernetzwerksystem (10) umfasst mindestens zwei Hauptsteuergeräte (23) und mindestens ein Nebensteuergerät (62). Das Anhängernetzwerksystem (10) umfasst ferner einen Hauptdatenbus (36) mit mehreren Hauptdatenbusschnittstellen (44, 48), mit dem nur die Hauptsteuergeräte (23) verbunden sind, und einen Nebendatenbus (42) mit mehreren Nebendatenbusschnittstellen (46, 50, 52), mit dem die Hauptsteuergeräte (23) und das Nebensteuergerät (62) verbunden sind. Die Hauptsteuergeräte (23) dienen jeweils zum Ausführen sicherheitsrelevanter Funktionen (41) des Anhängerfahrzeugs (12), und das Nebensteuergerät (62) dient zum Ausführen sicherheitsunrelevanter Funktionen (63). Die Erfindung betrifft ferner ein Anhängerfahrzeug (12), ein Gespann (15) und ein Verfahren (90).

Description

Anhängernetzwerksystem zur Datenkommunikation in einem Anhängerfahrzeug sowie Anhängerfahrzeug damit und Verfahren dafür
Die Erfindung betrifft den Bereich der Fahrzeuge und insbesondere den Bereich der Nutzfahrzeuge. Derartige Nutzfahrzeuge umfassen Zugfahrzeuge, wie Lastkraftwagen oder Sattelschlepper, und Anhängerfahrzeuge, wie beispielsweise Deichselanhänger oder Sattelauflieger. Insbesondere betrifft die Erfindung Anhängerfahrzeuge.
Die hier betrachteten Fahrzeuge weisen eine Vielzahl von Steuergeräten auf, die auch „electronic control unit“ oder kurz ECU, genannt werden. Die Steuergeräte werden eingesetzt, um einzelne Funktionen des Fahrzeugs zu steuern. Vorzugsweise werden durch die Steuergeräte beispielsweise Aktoren des Fahrzeugs angesteuert oder Sensoren des Fahrzeugs ausgelesen. Beispiele für Steuergeräte von Fahrzeugen sind Bremssteuergeräte, kurz EBS oder TEBS, zum Ansteuern verschiedenartiger Bremsfunktionalitäten, wie beispielsweise ein Ansteuern von Reibbremsen des Fahrzeugs, und Luftfedersteuergeräte zum Ansteuern einer Luftfederung. Steuergeräte von modernen Fahrzeugen sind über ein Fahrzeugnetzwerk zur Datenkommunikation, insbesondere einen Datenbus, miteinander verbunden, um Daten untereinander auszutauschen.
So kann beispielsweise mit einem Steuergerät eines Luftfedersystems eine Masse des Fahrzeugs bestimmt werden. Hierzu wird mit einem Sensor der vorherrschende Druck in den Luftbälgen gemessen und an das Steuergerät des Luftfedersystems übertragen. Aus dem vorherrschenden Druck kann das Steuergerät die Masse bestimmen und die bestimmte Masse beispielsweise für ein Bremssteuergerät bereitstellen, wobei das Bremssteuergerät dann diese Massen zur Ansteuerung der Aktoren berücksichtigen kann.
Aufgrund der zunehmenden Anzahl derartiger Steuergeräte und damit zunehmender Interaktion der Steuergeräte untereinander steigen die Anforderungen an das Fahrzeugnetzwerk zum Datenaustausch, insbesondere im Hinblick auf die Datensicherheit eines Fahrzeugnetzwerksystems, das die Steuergeräte und das Fahrzeugnetzwerk selbst umfasst. Besonders relevant werden die Anforderungen an die Datensicherheit durch zunehmend automatisierte Fahrfunktionen, die ein teilweises oder vollständig autonomes Agieren des Fahrzeugs ermöglichen und auch unter Verwendung der genannten Steuergeräte realisiert werden. Steuergeräte zur Realisierung der automatisierten Fahrfunktionen müssen auf Sensoren und Aktoren des Fahrzeugs zwingend fehlerfrei zugreifen können, wohingegen eine Manipulation solcher Zugriffe zu gefährlichen Fahrsituationen oder Unfällen führen kann. Um die Datensicherheit zu gewährleisten, werden Steuergeräte, die sicherheitskritische Funktionen ausführen können, daher häufig nicht mit allgemeinen Datenbussen des Fahrzeugs verbunden. Vielmehr sind für solche Steuergeräte gesicherte Verbindungen vorgesehen, so dass solche Steuergeräte Steuerbefehle, insbesondere sicherheitskritische Steuerbefehle, mit den gesicherten Verbindungen austauschen.
Um Anforderungen an die Datensicherheit zu gewährleisten sind bereits verschiedene Maßnahmen bekannt. Beispielsweise ist ein Anhängernetzwerksystem gemäß dem Stand der Technik so aufgebaut, dass ein sicherheitskritisches Steuergerät, wie das Bremssteuergerät, sicherheitskritische Befehle, beispielsweise zum Aktivieren der Reibbremsen, über eine genormte Schnittstelle mit einem Protokoll nach ISO 11992-2 vom Zugfahrzeug erhält. Moderne Anhängerfahrzeuge weisen zudem eine weitere Schnittstelle auf, die Daten mit einem Protokoll nach ISO 11992-3 mit dem Zugfahrzeug austauscht. Über die weitere Schnittstelle kann eine Kommunikation mit weiteren Komponenten des Anhängerfahrzeugs, die beispielsweise über ein Bussystem angeschlossen sind, erfolgen.
Zunehmend wird aber angestrebt, zusätzlich oder sogar alternativ zu bisherigen Schnittstellen eine Schnittstelle bereitzustellen, über die sämtliche, auch sicherheitskritische Befehle vom Zugfahrzeug an das Anhängerfahrzeug übertragen und über die Daten zwischen weiteren Steuergeräten oder Komponenten des Anhängerfahrzeugs und dem Zugfahrzeug ausgetauscht werden können. Über eine derartige Schnittstelle ist dann der gesamte Datenverkehr zwischen Zugfahrzeug und Anhängerfahrzeug auszuführen, so dass konsequenterweise alle Steuergeräte des Anhängerfahrzeugs mit dieser Schnittstelle, beispielsweise über einen Bus, verbunden sein können. Insbesondere Steuergeräte, die beispielsweise einen drahtlosen Fernzugriff auf das Anhängernetzwerksystem erlauben, stellen dann eine Gefahr für sicherheitsrelevante Steuergeräte, nämlich Steuergeräte, die sicherheitsrelevante Funktionen ausführen, wie beispielsweise das Bremssteuergerät, dar.
Aufgabe der vorliegenden Erfindung ist es demnach, den Problemen des Standes der Technik zu begegnen. Insbesondere soll die Gefahr reduziert werden, dass Angriffe von Komponenten des Fahrzeugs auf sicherheitskritische Systeme zu gefährdenden Fahreingriffen führen. Jedenfalls soll eine Alternative zum aus dem Stand der Technik Bekannten gefunden werden.
Hierzu beschreibt die Erfindung ein Anhängernetzwerksystem zur Datenkommunikation in einem Anhängerfahrzeug nach Anspruch 1.
Das erfindungsgemäße Anhängernetzwerksystem dient zur Datenkommunikation in einem Anhängerfahrzeug. Das Anhängernetzwerksystem umfasst mindestens zwei Hauptsteuergeräte. Die Hauptsteuergeräte sind jeweils eingerichtet, sicherheitsrelevante Funktionen des Anhängerfahrzeugs auszuführen. Außerdem umfasst das Anhängernetzwerksystem mindestens ein Nebensteuergerät. Das Nebensteuergerät dient zum Ausführen sicherheitsunrelevanter Funktionen, also Funktionen, die nicht sicherheitsrelevant sind.
Außerdem umfasst das Anhängernetzwerksystem einen Hauptdatenbus. Der Hauptdatenbus umfasst mehrere Hauptdatenbusschnittstellen. Die Hauptsteuergeräte sind jeweils mit einer Hauptdatenbusschnittstelle der mehreren Hauptdatenbusschnittstellen verbunden. Über den Hauptdatenbus sind somit die Hauptsteuergeräte zum Austausch von Daten miteinander verbunden. Das Nebensteuergerät ist mit dem Hauptdatenbus unverbunden, also nicht verbunden. Im Fall mehrerer Nebensteuergeräte sind alle Nebensteuergeräte mit dem Hauptdatenbus unverbunden.
Außerdem umfasst das Anhängernetzwerksystem einen Nebendatenbus mit mehreren Nebendatenbusschnittstellen. Eine Nebendatenbusschnittstelle der mehreren Nebendatenbusschnittstellen ist mit einem der Hauptsteuergeräte verbunden. Eine weitere Nebendatenbusschnittstelle ist mit einem weiteren der Hauptsteuergeräte verbunden. Eine wiederum weitere Nebendatenbusschnittstelle der mehreren Nebendatenbusschnittstellen ist mit dem Nebensteuergerät verbunden. Im Fall mehrerer Hauptsteuergeräte und/oder mehrerer Nebensteuergeräte, sind demnach alle Haupt- und Nebensteuergeräte jeweils mit dem Nebenbus verbunden. Der Nebendatenbus dient somit zum Datenaustausch zwischen allen Haupt- und Nebensteuergeräten des Anhängernetzwerksystems.
Gemäß der Erfindung sind demnach das oder die Hauptsteuergeräte durch zwei Datenbusse miteinander verbunden, nämlich durch den Hauptdatenbus und den Nebendatenbus. Idee der Erfindung ist, dass der Hauptdatenbus nur die Hauptsteuergeräte nicht aber die Nebensteuergeräte verbindet. Der Hauptdatenbus stellt somit keine Schnittstellen zum Anschluss von Nebensteuergeräten des Anhängerfahrzeugs bereit. Zum Anschluss von Nebensteuergeräten ist ein Nebendatenbus vorgesehen. Steuergeräte, die sicherheitsunrelevante Funktionen ausführen und eine Gefahr für Steuergeräte darstellen können, die sicherheitsrelevante Funktionen ausführen, sind somit nur über den Nebendatenbus verbindbar.
Eine sichere Kommunikation zwischen Hauptsteuergeräten ist somit über den Hauptdatenbus möglich, so dass sicherheitskritische Befehle, die beispielsweise durch eines der Hauptsteuergeräte von einem Zugfahrzeug oder einem weiteren Hauptsteuergerät empfangen werden, sicher an das Hauptsteuergerät übertragen werden können. Nebensteuergeräte des Anhängerfahrzeugs können nicht auf den Hauptdatenbus zugreifen, da dieser nicht für die Nebensteuergeräte zugänglich ist. Dieser Aufbau des Anhängernetzwerksystems ermöglicht eine sichere Kommunikation der Steuergeräte, die sicherheitsrelevante Funktionen ausführen. Ferner ermöglicht der Aufbau, dass im Fall eines Ausfalls des Hauptdatenbusses auch die Hauptsteuergeräte über den Nebendatenbus kommunizieren können. Es liegt somit eine teilweise redundante Busverbindung vor, so dass der Nachteil des zusätzlichen Aufwands zur Erhöhung der Datensicherheit durch gleichzeitige Erhöhung der Ausfallsicherheit aufgewogen wird. Beim Ausfall des Hauptdatenbusses sind die Hauptsteuergeräte zwar weniger vor Angriffen durch die Nebensteuergeräte geschützt, wobei die geringere Wahrscheinlichkeit eines derartigen Angriffs in solch einer Situation in Kauf genommen wird, um dennoch eine Kommunikation zwischen den Hauptsteuergeräten trotz Ausfall des Hauptdatenbusses sicherzustellen. Gemäß einer ersten Ausführungsform entsprechen die Hauptsteuergeräte jeweils einem Steuergerät, das eingerichtet ist, eine Fahrfunktion des Anhängerfahrzeugs zu beeinflussen. Insbesondere ist jedes der Hauptsteuergeräte jeweils eingerichtet, einen Aktor des Anhängerfahrzeugs anzusteuern. Gemäß dieser Ausführungsform ist das Nebensteuergerät ein Steuergerät, das eingerichtet ist, die Fahrfunktion des Anhängerfahrzeugs unbeeinflusst zu lassen. Insbesondere ist das Nebensteuergerät eingerichtet, eine aktorlose Funktion auszuführen. Die Hauptsteuergeräte dienen demnach jeweils, um alle Funktionen, die eine Fahrt des Anhängerfahrzeugs betreffen und einen direkten Einfluss auf die Fahrt oder Fortbewegung haben, zu steuern. Das Nebensteuergerät entspricht demnach einem Steuergerät, das keinen direkten Einfluss auf die Fahrt oder Fortbewegung des Anhängerfahrzeugs hat.
Nebensteuergeräte, die somit keinen direkten Einfluss auf die Fahrfunktion haben, bleiben mit dem Hauptdatenbus unverbunden und können somit keinen Einfluss auf Hauptsteuergeräte haben, die sicherheitsrelevante Daten über den Hauptdatenbus austauschen und insbesondere durch diesen Austausch der Daten Einfluss auf Fahrfunktionen des Anhängerfahrzeugs haben können.
Gemäß einer weiteren Ausführungsform ist jedes der Hauptsteuergeräte jeweils eingerichtet, um mindestens einen Aktor zum Betätigen einer Betriebsbremse, einen Aktor zum Betätigen einer Feststellbremse, einen Aktor zum Anheben und/oder Absenken einer Liftachse, einen Aktor zum Anheben und/oder Absenken eines Anhängerstützfußes, einen Aktor zum Ansteuern einer Anhängerfahrzeugniveauregulierung oder einen Aktor, insbesondere einen elektrischen Motor, zum Antreiben oder Abbremsen eines Rades oder einer Achse des Anhängerfahrzeugs anzusteuern. Das Nebensteuergerät ist gemäß dieser Ausführungsform eingerichtet, eine Funktion auszuführen, die sich von der Ansteuerung der gemäß dieser Ausführungsform genannten Aktoren, die durch das Hauptsteuergerät ansteuerbar sind, unterscheidet.
Es ist demnach eine abschließende Liste von Aktoren vorgegeben, die über mehrere Hauptsteuergeräte jeweils ansteuerbar sind. Beispielsweise ist ein erstes Hauptsteuergerät als Steuergerät zum Ansteuern einer Betriebsbremse und ein weiteres Hauptsteuergerät als Steuergerät zum Anheben und/oder Absenken einer Liftachse ausgebildet. Ein wiederum weiteres Hauptsteuergerät ist als Steuergerät zum Antreiben oder Abbremsen eines Rades oder einer Achse ausgebildet. Ferner sind Nebensteuergeräte eingerichtet, eine Funktion auszuführen, die sich von der abgeschlossenen Liste der Aktoren unterscheidet.
Die genannten Aktoren sind eindeutig Aktoren, deren Betätigung eine sicherheitsrelevante Funktion darstellt und somit von einem Hauptsteuergerät ausgeführt wird. Solche Aktoren werden entsprechend nicht von Nebensteuergeräten, sondern ausschließlich von Hauptsteuergeräten angesteuert. Sicherheitskritische Befehle an ein Hauptsteuergerät, die auf dem Nebenbus von einem Nebensteuergerät gesendet werden, das wiederum nicht mit dem Hauptdatenbus verbunden ist, können ignoriert werden. Die Datensicherheit bei der Kommunikation aller Steuergeräte, die einen Einfluss auf diese sicherheitsrelevanten Aktoren haben, kann gegenüber Angriffen von Steuergeräten, die nicht mit dem Hauptdatenbus verbunden sind, gewährleistet werden.
Gemäß einer weiteren Ausführungsform umfasst mindestens eines der oder alle Hauptsteuergeräte eine Datenschnittstelleneinheit. Die Datenschnittstelleneinheit ist mit einer Hauptdatenbusschnittstelle und einer Nebendatenbusschnittstelle verbunden. Die Datenschnittstelleneinheit ist eingerichtet, um zwischen einem gestörten und einem ungestörten Datenverkehr auf dem Hauptdatenbus zu unterscheiden, also zu erkennen, ob der Datenverkehr gestört oder ungestört ist. Im Fall, dass die Datenschnittstelleneinheit einen ungestörten Datenverkehr auf dem Hauptdatenbus erkennt, ist die Datenschnittstelleneinheit eingerichtet, sicherheitskritische Daten auf dem Nebendatenbus zu ignorieren. Sicherheitskritische Daten sind vorzugsweise vordefinierte Daten oder Datenpakete, die beispielsweise einen Befehl zum Aktivieren der Bremsen des Anhängerfahrzeugs umfassen. Bevorzugt ist die Datenschnittstelleneinheit auch eingerichtet, im Fall eines erkannten gestörten Datenverkehrs auf dem Hauptdatenbus sicherheitskritische Daten auf dem Nebendatenbus nicht zu ignorieren, also zu verarbeiten.
Das Hauptsteuergerät ist durch die Datenschnittstelleneinheit demnach ausgebildet, um sicherheitskritische Daten, wie beispielsweise Daten, die von einem mit dem Nebendatenbus verbundenen Nebensteuergerät gesendet werden und die sicherheitskritischen Daten entsprechen, zu ignorieren, solange ein Betrieb mit dem Hauptdatenbus, nämlich ein ungestörter Datenverkehr mit einem weiteren Hauptsteuergerät, möglich ist. Ein Angriff auf das Hauptsteuergerät durch ein Nebensteuergerät, das mit dem Nebendatenbus verbunden ist, wird somit im Fall eines ungestörten Hauptdatenbusses vollständig verhindert. Dennoch besteht die Möglichkeit einer redundanten Kommunikation zwischen den Hauptsteuergeräten im Fall eines Ausfalls des Hauptdatenbusses. Insbesondere können auch unkritische Daten von Nebensteuergeräten an das Bremssteuergerät über den Nebendatenbus gesendet und vom Bremssteuergerät verarbeitet werden.
Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem ein oder mehrere Nebensteuergeräte, das bzw. die als Telematiksystem, Drahtlosschnittstellenmodul, Bediengerät oder Anzeigegerät ausgebildet sind. Das Anhängernetzwerksystem umfasst demnach eines oder mehrere von einem Telematiksystem, einem Drahtlosschnittstellenmodul, einem Bediengerät und einem Anzeigegerät. Ist beispielsweise ein Nebensteuergerät als Anzeigegerät mit dem Nebendatenbus über eine Nebendatenbusschnittstelle verbunden, so können vorzugsweise von anderen Nebensteuergeräten Parameter mit dem Anzeigegerät angezeigt werden. Derartige Parameter können auch Parameter umfassen, die von einem Hauptsteuergerät auf dem Nebendatenbus bereitgestellt werden. Die Nebensteuergeräte können somit untereinander und mit dem Zugfahrzeug beispielsweise über ein als Anhängerschnittstellenmodul ausgebildetes Hauptsteuergerät kommunizieren. Eine Verarbeitung von Daten eines als Anhängerbremssteuergerät ausgebildeten Hauptsteuergeräts durch die Nebensteuergeräte ist ebenfalls möglich, wobei weiterhin, insbesondere durch die Datenschnittstelleneinheit, an das Anhängerbremssteuergerät adressierte sicherheitskritische Daten von einem der Nebensteuergeräte nicht im Anhängerbremssteuergerät verarbeitet werden.
Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem mehrere Hauptsteuergeräte, wobei eines der Hauptsteuergeräte einem Anhängerbremssteuergerät entspricht und eingerichtet ist, Reibbremsen des Anhängerfahrzeugs zu aktivieren. Ein weiteres Hauptsteuergerät entspricht einem Steuergerät zum Ansteuern eines elektrischen Antriebs des Anhängerfahrzeugs. Sicherheitskritische Daten umfassen daher Bremsanforderungen für eine Aktivierung der Reibbremsen, die beispielsweise von einem als Anhängerschnittstellenmodul ausgebildeten Hauptsteuergerät an das Anhängerbremssteuergerät adressiert sind. Weitere sicherheitskritische Daten sind Beschleunigungsanforderungen für eine Aktivierung eines mit dem Bremssteuergerät gesteuerten elektrischen Antriebs oder Bremsanforderungen für eine Aktivierung eines Rekuperationsbetriebs des elektrischen Antriebs. Demnach sind Bremsanforderungen durch den Hauptdatenbus an das Anhängerbremssteuergerät übertragbar, um die Reibbremsen zu aktivieren. Bremsanforderungen über den Nebendatenbus werden jedoch vorzugsweise solange ignoriert, wie das Anhängerbremssteuergerät einen ungestörten Datenverkehr auf dem Hauptdatenbus erkennt.
Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem mehrere Hauptsteuergeräte, wobei ein Anhängerbremssteuergerät durch mindestens zwei der Hauptsteuergeräte gebildet ist. Mindestens eines der, mehrere der oder alle der das Anhängerbremssteuergerät bildenden Hauptsteuergeräte sind eingerichtet, Reibbremsen des Anhängerfahrzeugs anzusteuern. Sicherheitskritische Daten umfassen Bremsanforderungen für eine Aktivierung der Reibbremsen, die an mindestens eines der das Anhängerbremssteuergerät bildenden Hauptsteuergeräte adressiert sind. Ein sicheres Ansteuern eines durch mehrere Hauptsteuergeräte gebildeten Anhängerbremssteuergeräts ist somit möglich.
Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem mehrere Hauptsteuergeräte, wobei eines der Hauptsteuergeräte als Anhängerschnittstellenmodul ausgebildet ist und eine erste Zugfahrzeugdatenschnittstelle aufweist, um Daten mit einem Zugfahrzeug auszutauschen. Die erste Zugfahrzeugdatenschnittstelle ist eine Ethernet- Datenschnittstelle und besonders bevorzugt eine Gigabit-Ethernet-Datenschnittstelle. Über derartige mit der ersten Zugfahrzeugdatenschnittstelle bereitstellbare Ethernet- Verbindungen ist ein schneller Datenaustausch zwischen Zugfahrzeug und Anhängerfahrzeug möglich, um beispielsweise auch große Datenmengen von entweder mit dem Nebendatenbus oder dem Anhängerschnittstellenmodul direkt verbundenen Kameras neben sicherheitskritischen Daten für sicherheitskritische Systeme, wie Bremsanforderungen, auszutauschen. Gemäß einer weiteren Ausführungsform umfasst das als Anhängerschnittstellenmodul ausgebildete Hauptsteuergerät eine zweite Zugfahrzeugdatenschnittstelle. Die zweite Zugfahrzeugdatenschnittstelle dient ebenfalls zum Austausch von Daten mit dem Zugfahrzeug. Die zweite Zugfahrzeugdatenschnittstelle ist eine genormte Datenschnittstelle nach ISO 11992-3. Durch Bereitstellen dieser zweiten Zugfahrzeugdatenschnittstelle ist eine Kommunikation zwischen Zugfahrzeug und Anhängerfahrzeug in dem Fall möglich, dass das Zugfahrzeug keine Ethernet- Datenschnittstelle aufweist. Eine Rückwärtskompatibilität des Anhängernetzwerksystems mit bekannten Zugfahrzeugen bleibt so erhalten.
Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem ein als Bremssteuergerät ausgebildetes Hauptsteuergerät mit einer dritten Zugfahrzeugdatenschnittstelle. Die dritte Zugfahrzeugdatenschnittstelle ist eingerichtet, um mit dem Zugfahrzeug Daten auszutauschen. Die dritte Zugfahrzeugdatenschnittstelle ist eine genormte Schnittstelle, die gemäß der Norm ISO 11992-2 ausgebildet ist. Somit ist das Anhängernetzwerksystem ebenfalls auch zukünftig mit Zugfahrzeugen kompatibel, die keine Ethernet-Datenschnittstelle aufweisen aber zumindest über eine ISO 11992-2-Schnittstelle verfügen, um Bremsen des Anhängerfahrzeugs anzusteuern.
Außerdem umfasst die Erfindung ein Anhängerfahrzeug mit einem Anhängernetzwerksystem nach einer der vorgenannten Ausführungsformen. Weiterhin umfasst die Erfindung ein Gespann mit einem Anhängerfahrzeug gemäß der Erfindung und einem Zugfahrzeug.
Zudem umfasst die Erfindung ein Verfahren zum Betreiben eines Anhängernetzwerksystems nach einer der Ausführungsformen, eines Anhängerfahrzeugs gemäß der Erfindung oder eines Gespanns gemäß der Erfindung.
Gemäß einer Ausführungsform des Verfahrens erkennt mindestens eines der oder jedes der Hauptsteuergeräte an sich adressierte Datenpakete mit sicherheitskritischen Daten auf dem Nebendatenbus. Das Hauptsteuergerät bestimmt, ob der Hauptdatenbus gestört oder ungestört ist. Das erkannte Datenpaket wird verarbeitet, wenn der Hauptdatenbus gestört ist, und verworfen, wenn der Hauptdatenbus ungestört ist. Gemäß einer bevorzugten Weiterbildung wird vom Hauptsteuergerät, im Fall des Empfangs sicherheitskritischer Daten auf dem Nebendatenbus bei gleichzeitig ungestörtem Hauptdatenbus, eine Fehlermeldung ausgegeben.
Mit dem Nebendatenbus verbundene Nebensteuergeräte, die sicherheitskritische Daten an ein Hauptsteuergerät senden, bleiben demnach solange unkritisch für einen Betrieb des Anhängerfahrzeugs, solange der Hauptdatenbus ungestört ist. Die Wahrscheinlichkeit eines Angriffs auf das Bremssteuergerät durch ein Nebensteuergerät wird somit reduziert und auf den Fall begrenzt, dass der Hauptdatenbus gestört ist. Die Wahrscheinlichkeit eines Angriffs auf ein Hauptsteuergerät durch ein Nebensteuergerät wird somit signifikant verringert. Die Ausgabe einer Fehlermeldung dient, um einen Angriff sichtbar machen zu können. Maßnahmen von einem Bediener können so eingeleitet werden, um weiteren Angriffen entgegenzutreten.
Gemäß einer Ausführungsform des Verfahrens erkennt das Hauptsteuergerät oder jedes der Hauptsteuergeräte jeweils an sich adressierte Datenpakete mit sicherheitsunkritischen Daten auf dem Nebendatenbus. Ein derartig erkanntes Datenpaket mit sicherheitsunkritischen Daten wird vom Hauptsteuergerät verarbeitet. Derartige sicherheitsunkritische Daten umfassen beispielsweise den Abruf bestimmter Parameter vom Bremssteuergerät, beispielsweise eines Betriebszustands, durch ein Nebensteuergerät zur Darstellung, Aussendung oder Weiterverarbeitung.
Gemäß einer weiteren Ausführungsform des Verfahrens umfasst das Verfahren das Empfangen von sicherheitskritischen Daten für ein als Anhängerbremssteuergerät ausgebildetes Hauptsteuergerät vom Zugfahrzeug über die erste Zugfahrzeugdatenschnittstelle oder die zweite Zugfahrzeugdatenschnittstelle. Ein als Anhängerschnittstellenmodul ausgebildetes Hauptsteuergerät, das hierfür verwendet wird, bestimmt oder erkennt zudem, ob der Hauptdatenbus gestört oder ungestört ist, also ein gestörter Datenverkehr vorliegt oder ein ungestörter Datenverkehr möglich ist. Ferner wird mit dem Anhängerschnittstellenmodul ein an das Anhängerbremssteuergerät adressiertes Datenpaket mit den empfangenen sicherheitskritischen Daten auf dem Hauptdatenbus ausgesendet, wenn der Hauptdatenbus ungestört ist. Ist der Hauptdatenbus gestört, wird das Datenpaket auf dem Nebendatenbus an das Anhängerbremssteuergerät gesendet.
Gemäß einer weiteren Ausführungsform umfasst das Verfahren das Empfangen von Daten für ein Nebensteuergerät vom Zugfahrzeug über die erste Zugfahrzeugdatenschnittstelle oder die zweite Zugfahrzeugdatenschnittstelle durch das Anhängerschnittstellenmodul. Außerdem umfasst das Verfahren gemäß dieser Ausführungsform das Aussenden eines an das Nebensteuergerät adressierten Datenpakets mit den Daten auf dem Nebendatenbus unabhängig davon, ob der Hauptdatenbus gestört oder ungestört ist. Demnach werden Daten, die für die Nebensteuergeräte bestimmt sind, immer auf dem Nebendatenbus gesendet.
Weitere Ausführungsformen ergeben sich anhand der in den Figuren näher erläuterten Ausführungsbeispiele. Hierbei zeigen:
Fig.1 ein Ausführungsbeispiel eines Anhängernetzwerksystems und
Fig. 2 Schritte des Verfahrens gemäß einem Ausführungsbeispiel.
Fig. 1 zeigt ein Anhängernetzwerksystem 10 zur Datenkommunikation in einem Anhängerfahrzeug 12. Das Anhängerfahrzeug 12 ist mit einem Zugfahrzeug 14 über Datenleitungen 11 verbunden, um Daten zwischen Anhängerfahrzeug 12 und Zugfahrzeug 14 auszutauschen. Anhängerfahrzeug 12 und Zugfahrzeug 14 bilden ein Gespann 15. Das Zugfahrzeug 14 weist ein Zugfahrzeugbremssteuergerät 16 auf, das beispielsweise in Abhängigkeit von einem Fahrerwunsch eine Bremsanforderung 17 für Reibbremsen des Zugfahrzeugs 14 erzeugt. Zusätzlich wird in Abhängigkeit von dieser Bremsanforderung 17 für das Zugfahrzeug 14 auch eine Bremsanforderung 17 für ein Anhängerfahrzeug 12 im Zugfahrzeugbremssteuergerät 16 erzeugt.
Bremsanforderungen 17 für das Anhängerfahrzeug 12 werden als Daten an das Anhängerfahrzeug 12 übertragen, wobei solche Daten als sicherheitskritische Daten 18 vordefiniert sind.
Um die sicherheitskritischen Daten 18 einer Bremsanforderung 17 an das Anhängerfahrzeug 12 zu senden, erzeugt das Zugfahrzeugbremssteuergerät 16 die Bremsanforderung 17 und überträgt diese an ein Zugfahrzeugschnittstellenmodul 20. Das Zugfahrzeugschnittstellenmodul 20 erzeugt ein Datenpaket 21 mit den sicherheitskritischen Daten 18 und überträgt dieses über eine erste Datenverbindung 22 an das Anhängernetzwerksystem 10. Zum Empfang des Datenpakets 21 umfasst das Anhängernetzwerksystem 10 ein als Hauptsteuergerät 23 ausgebildetes Anhängerschnittstellenmodul 24, das über eine erste Zugfahrzeugdatenschnittstelle 26 mit der ersten Datenverbindung 22 verbunden ist. Die erste Datenverbindung 22 ist vorzugsweise eine Ethernet-Datenverbindung 28 und in diesem Fall eine Gigabit- Ethernet-Datenverbindung 30. Dementsprechend ist die erste Zugfahrzeugdatenschnittstelle 26 eine Ethernet-Datenschnittstelle 32 und in diesem Fall eine Gigabit-Ethernet-Datenschnittstelle 34.
Die sicherheitskritischen Daten 18 werden vom Anhängerschnittstellenmodul 24 über einen Hauptdatenbus 36 an ein weiteres Hauptsteuergerät 23, das als Anhängerbremssteuergerät 38 des Anhängernetzwerksystems 10 ausgebildet ist, übertragen. Das Anhängerschnittstellenmodul 24 entspricht einem Gateway-Modul. Dieses dient dem Zweck der Vermittlung von Verbindungen zwischen verschiedenen Netzwerkabschnitten. In den Netzwerkabschnitten können dabei unterschiedliche Kommunikationsprotokolle eingesetzt werden. Das Gateway-Modul ist dafür ausgelegt eine Protokollumsetzung durchzuführen, so dass Nachrichten im Format des einen Kommunikationsprotokolls in Nachrichten des anderen Kommunikationsprotokolls umgesetzt werden und umgekehrt. Das Gateway-Modul kann in der Art eines elektronischen Steuergerätes in einem separaten Gehäuse untergebracht sein oder es kann alternative auch Teil eines Hauptsteuergerätes 23 sein. Im Anhängerbremssteuergerät 38 ist für den Empfang eine Datenschnittstelleneinheit 40 vorgesehen, die mit dem Hauptdatenbus 36 und einem Nebendatenbus 42 verbunden ist. Die Datenschnittstelleneinheit 40 umfasst dazu eine Hauptdatenbusschnittstelle 44 und eine Nebendatenbusschnittstelle 46. Demgegenüber weist das Anhängerschnittstellenmodul 24 eine Hauptdatenbusschnittstelle 48 und eine Nebendatenbusschnittstelle 50 auf. Nach Art des Anhängerbremssteuergeräts 38 als Hauptsteuergerät 23, das eingerichtet ist, einen Aktor 77, der beispielsweise einer Reibbremse 68 entspricht, einer Betriebsbremse 75 anzusteuern, sind weitere Hauptsteuergeräte 23 mit dem Hauptdatenbus 36 und dem Nebendatenbus 42 über die jeweiligen Schnittstellen verbunden. Die weiteren Hauptsteuergeräte 23 sind jeweils eingerichtet, um einen Aktor 79 zum Betätigen einer Feststellbremse 81 , einen Aktor 82 zum Anheben und/oder Absenken einer Liftachse 83, einen Aktor 84 zum Anheben und/oder Absenken eines Anhängerstützfußes 85, einen Aktor 86 zum Ansteuern einer Anhängerfahrzeugniveauregulierung 87 und einen Aktor 88, nämlich einen elektrischen Antrieb 70, zum Antreiben oder Abbremsen eines Rades 89 anzusteuern. Jeder der genannten Aktoren 77, 79, 82, 84, 86, 88, dient jeweils zum Ausführen einer von mehreren sicherheitsrelevanten Funktionen 41 , die Fahrfunktionen 43 des Anhängerfahrzeugs 12 beeinflussen.
Der Hauptdatenbus 36 unterscheidet sich von dem Nebendatenbus 42 dadurch, dass der Hauptdatenbus 36 Hauptdatenbusschnittstellen 44, 48 umfasst, die jeweils mit einem der Hauptsteuergeräte 23 verbunden sind, wobei der Nebendatenbus 42 neben den bereits genannten Nebendatenbusschnittstellen 46, 50, die mit dem als Hauptsteuergerät 23 ausgebildeten Anhängerschnittstellenmodul 24 und mit dem als Hauptsteuergerät 23 ausgebildeten Anhängerbremssteuergerät 38 verbunden sind, weitere Nebendatenbusschnittstellen 52 aufweist. Mit den weiteren Nebendatenbusschnittstellen 52 ist ein Telematiksystem 54, ein Drahtlosschnittstellenmodul 56, ein Bediengerät 58 sowie ein Anzeigegerät 60 verbunden. Das Telematiksystem 54, das Drahtlosschnittstellenmodul 56, das Bediengerät 58 und das Anzeigegerät 60 können jeweils auch als Nebensteuergeräte 62 bezeichnet werden. Die Nebensteuergeräte 62 dienen somit zum Ausführen aktorloser Funktionen 63, die sicherheitsunrelevanten Funktionen 65 entsprechen.
Die Nebensteuergeräte 62 können ebenfalls über das Anhängerschnittstellenmodul 24 und die erste Datenverbindung 22 sowie das Zugfahrzeugschnittstellenmodul 20 Daten mit weiteren Modulen 64 des Zugfahrzeugs 14 austauschen. Die weiteren Module 64 des Zugfahrzeugs 14 sowie die Nebensteuergeräte 62 tauschen Daten aus, die als unkritische Daten 66 bezeichnet werden. Gemäß der Erfindung werden die unkritischen Daten 66 über den Nebendatenbus 42 ausgetauscht. Die sicherheitskritischen Daten 18 werden demgegenüber über den Hauptdatenbus 36 an das als Anhängerbremssteuergerät 38 ausgebildete Hauptsteuergerät 23 gesendet, zumindest solange der Hauptdatenbus 36 ungestört ist. Durch diese sicherheitskritischen Daten 18 werden beispielsweise Reibbremsen 68 oder ein elektrischer Antrieb 70 angesteuert, wobei die Ansteuerung des elektrischen Antriebs auch über das Anhängerbremssteuergerät 38 erfolgen kann. Alternativ, wie dargestellt erfolgt das Ansteuern des Antriebs 70 über ein weiteres separates Hauptsteuergerät 23. Zum Ansteuern des elektrischen Antriebs vom Zugfahrzeug, werden vom Zugfahrzeugbremssteuergerät 16 beispielsweise Ansteuersignale 71 für den elektrischen Antrieb als sicherheitskritische Daten 18 an das Anhängerbremssteuergerät 38 gesendet.
Außerdem ist mit dem Anhängerfahrzeug 12 eine Rückfahrkamera 72 verbunden, wobei deren Videodaten 73 auch über das Anhängerschnittstellenmodul 24 an das Zugfahrzeug 14 übertragen werden können. Zudem umfasst das Anhängerschnittstellenmodul 24 zur Rückwärtskompatibilität eine zweite Zugfahrzeugdatenschnittstelle 74, die einer Schnittstelle 76 nach ISO 11992-3 entspricht. Das Anhängerbremssteuergerät 38 ist zudem mit einer dritten Zugfahrzeugdatenschnittstelle 78 ausgebildet, die eine Schnittstelle 80 nach ISO 11992-2 ist, um ebenfalls rückwärtskompatibel zum Zugfahrzeug 14 zu sein. Sicherheitskritische Daten 18 werden demnach vom Zugfahrzeugbremssteuergerät 16 des Zugfahrzeugs 14 auch direkt über die dritte Zugfahrzeugdatenschnittstelle 78 an das Anhängerbremssteuergerät 38 gesendet.
Fig. 2 zeigt die Schritte eines Verfahrens 90 gemäß einer Ausführungsform. In einem Schritt 92 wird von einem Anhängerschnittstellenmodul 24 ein Datenpaket 94 empfangen. Im Schritt 96 bestimmt das Anhängerschnittstellenmodul 24, ob das Datenpaket 94 sicherheitskritische Daten 18 oder unkritische Daten 66 umfasst. Sind die Daten des Datenpakets 94 unkritische Daten 66, werden diese auf einem Nebendatenbus 42 im Schritt 98 ausgesendet, wenn diese für ein Nebensteuergerät 62 gedacht sind. Sind die Daten sicherheitskritische Daten 18 und ist in einem vorherigen Schritt 100 erkannt worden, dass der Hauptdatenbus 36 ungestört 102 ist, so werden in einem Schritt 104 die sicherheitskritischen Daten 18 an das Anhängerbremssteuergerät 38 über den Hauptdatenbus 36 gesendet. Ist demgegenüber im Schritt 100 erkannt worden, dass der Hauptdatenbus 36 gestört 106 ist, werden im Schritt 104 die sicherheitskritischen Daten 18 über den Nebendatenbus 42 an das Anhängerbremssteuergerät 38 ausgesendet. Erkennt in diesem Fall im Schritt 108 das Anhängerbremssteuergerät 38 sicherheitskritische Daten 18 auf dem Nebendatenbus 42, bestimmt das Anhängerbremssteuergerät 38 im Schritt 110 mit seiner Datenschnittstelleneinheit 40, ob der Hauptdatenbus 36 gestört 106 oder ungestört 102 ist. Im Schritt 112 wird dann das Datenpaket 94 verarbeitet, wenn der Hauptdatenbus 36 gestört 106 ist, und verworfen, wenn der Hauptdatenbus 36 ungestört 102 ist.
Bezugszeichen (Teil der Beschreibung):
10 Anhängernetzwerksystem
11 Datenleitungen
12 Anhängerfahrzeug
14 Zugfahrzeug
15 Gespann
16 Zugfahrzeugbremssteuergerät
17 Bremsanforderungen
18 sicherheitskritische Daten
20 Zugfahrzeugschnittstellenmodul
21 Datenpaket
22 erste Datenverbindung
23 Hauptsteuergerät
24 Anhängerschnittstellenmodul
26 erste Zugfahrzeugdatenschnittstelle
28 Ethernet-Datenverbindung
30 Gigabit-Ethernet-Datenverbindung
32 Ethernet-Datenschnittstelle
34 Gigabit-Ethernet-Datenschnittstelle
36 Hauptdatenbus
38 Anhängerbremssteuergerät
40 Datenschnittstelleneinheit
41 sicherheitsrelevante Funktionen
42 Nebendatenbus
43 Fahrfunktionen
44 erste Hauptdatenbusschnittstelle
46 Nebendatenbusschnittstelle
48 zweite Hauptdatenbusschnittstelle
50 Nebendatenbusschnittstelle
52 Nebendatenbusschnittstelle
54 Telematiksystem
56 Drahtlosschnittstellenmodul Bediengerät
Anzeigegerät
Nebensteuergeräte aktorlose Funktionen weitere Module sicherheitsunrelevante Funktionen unkritische Daten
Reibbremsen elektrischer Antrieb
Ansteuersignale
Rückfahrkamera
Videodaten zweite Zugfahrzeugdatenschnittstelle
Betriebsbremse
Schnittstelle nach ISO 11992-3
Aktor dritte Zugfahrzeugdatenschnittstelle
Aktor
Schnittstelle nach ISO 11992-2
Feststellbremse
Aktor
Liftachse
Aktor
Anhängerstützfuß
Aktor
Anhängerfahrzeugniveauregulierung
Aktor
Rad
Verfahren
Schritt des Verfahrens
Datenpaket
Schritt des Verfahrens
Schritt des Verfahrens Schritt des Verfahrens ungestörter Hauptdatenbus Schritt des Verfahrens gestörter Hauptdatenbus Schritt des Verfahrens Schritt des Verfahrens Schritt des Verfahrens

Claims

Patentansprüche:
1. Anhängernetzwerksystem (10) zur Datenkommunikation in einem Anhängerfahrzeug (12), umfassend: mindestens zwei Hauptsteuergeräte (23) zum Ausführen sicherheitsrelevanter Funktionen (41 ) des Anhängerfahrzeugs (12), mindestens ein Nebensteuergerät (62) zum Ausführen sicherheitsunrelevanter Funktionen (63) des Anhängerfahrzeugs (12), einen Hauptdatenbus (36) mit mehreren Hauptdatenbusschnittstellen (44, 48), wobei jedes der Hauptsteuergeräte (23) jeweils mit einer Hauptdatenbusschnittstelle (44, 48) der mehreren Hauptdatenbusschnittstellen (44, 48) verbunden ist und das Nebensteuergerät (62) mit dem Hauptdatenbus (36) unverbunden ist, einen Nebendatenbus (42) mit mehreren Nebendatenbusschnittstellen (46, 50, 52), wobei das Hauptsteuergerät (23) mit einer Nebendatenbusschnittstelle (46, 50, 52) der mehreren Nebendatenbusschnittstellen (46, 50, 52) und das Nebensteuergerät (62) mit einer weiteren Nebendatenbusschnittstelle (46, 50, 52) der mehreren Nebendatenbusschnittstellen (46, 50, 52) verbunden ist.
2. Anhängernetzwerksystem (10) nach Anspruch 1 , wobei jedes der Hauptsteuergeräte (23) jeweils einem Steuergerät entspricht, das eingerichtet ist, eine Fahrfunktion (43) des Anhängerfahrzeugs (12) zu beeinflussen, und insbesondere eingerichtet ist, einen oder mehrere Aktoren (77, 79, 82, 84, 86, 88) des Anhängerfahrzeugs (12) anzusteuern und das Nebensteuergerät (62) einem Steuergerät entspricht, das eingerichtet ist, die Fahrfunktion (43) des Anhängerfahrzeugs (12) unbeeinflusst zu lassen, und insbesondere eingerichtet ist, eine aktorlose Funktion (63) auszuführen.
3. Anhängernetzwerksystem (10) nach Anspruch 1 oder 2, wobei jedes der Hauptsteuergeräte (23) jeweils eingerichtet ist, um mindestens einen der folgenden Aktoren (77, 79, 82, 84, 86, 88) des Anhängerfahrzeugs (12) anzusteuern:
Aktor (77) zum Betätigen einer Betriebsbremse (75), Aktor (79) zum Betätigen einer Feststellbremse (81 ), Aktor (82) zum Anheben und/oder Absenken einer Liftachse (83), Aktor (84) zum Anheben und/oder Absenken eines Anhängerstützfußes (85),
Aktor (86) zum Ansteuern einer Anhängerfahrzeugniveauregulierung (87),
Aktor (88) zum Antreiben oder Abbremsen eines Rades (89), und wobei das Nebensteuergerät (62) eingerichtet ist, eine Funktion auszuführen, die sich von der Ansteuerung der aufgeführten Aktoren (77, 79, 82, 84, 86, 88) unterscheidet.
4. Anhängernetzwerksystem (10) nach einem der vorhergehenden Ansprüche wobei mindestens eines der, mehrere der oder jedes der Hauptsteuergeräte (23) jeweils eine Datenschnittstelleneinheit (40) umfasst, die eingerichtet ist, zwischen einem gestörten Datenverkehr (106) und einem ungestörten Datenverkehr (102) auf dem Hauptdatenbus (36) zu unterscheiden und im Fall eines ungestörten Datenverkehrs (102) vordefinierte sicherheitskritische Daten (18) auf dem Nebendatenbus (42), die an das Hauptsteuergerät (23) adressiert sind, zu ignorieren.
5. Anhängernetzwerksystem (10) nach einem der vorhergehenden Ansprüche, wobei das Nebensteuergerät (62) einem entspricht oder mehrere Nebensteuergeräte (62) jeweils einem entsprechen von: einem Telematiksystem (54), einem Drahtlosschnittstellenmodul (56), einem Bediengerät (58) und einem Anzeigegerät (60).
6. Anhängernetzwerksystem (10) nach einem der vorhergehenden Ansprüche, umfassend mehrere Hauptsteuergeräte (23), wobei eines der Hauptsteuergeräte (23) einem Anhängerbremssteuergerät (38) entspricht und eingerichtet ist, Reibbremsen (68) des Anhängerfahrzeugs (12) anzusteuern, und wobei ein weiteres Hauptsteuergerät (23) ein Steuergerät zum Ansteuern eines elektrischen Antriebs (70) des Anhängerfahrzeugs (12) ist, wobei sicherheitskritische Daten (18) Bremsanforderungen (17) für eine Aktivierung der Reibbremsen (68) und Ansteuersignale (71 ) für eine Ansteuerung des elektrischen Antriebs (70) umfassen, die an eines der Hauptsteuergeräte (23) adressiert sind oder wobei ein Anhängerbremssteuergerät (38) durch mindestens zwei der Hauptsteuergeräte (23) gebildet ist, wobei mindestens eines der, beide der oder alle der das Anhängerbremssteuergerät (38) bildenden Hauptsteuergeräte (23) eingerichtet sind, Reibbremsen (68) des Anhängerfahrzeugs (12) anzusteuern, wobei sicherheitskritische Daten (18) Bremsanforderungen (17) für eine Aktivierung der Reibbremsen (68) umfassen, die an mindestens eines der das Anhängerbremssteuergerät (38) bildenden Hauptsteuergeräte (23) adressiert sind.
7. Anhängernetzwerksystem (10) nach einem der vorhergehenden Ansprüche, umfassend mehrere Hauptsteuergeräte (23) wobei eines der Hauptsteuergeräte (23) ein Anhängerschnittstellenmodul (24) ist, das eine erste Zugfahrzeugdatenschnittstelle (26) aufweist, wobei die erste Zugfahrzeugdatenschnittstelle (26) eine Ethernet-Datenschnittstelle (32), besonders bevorzugt eine Gigabit-Ethernet-Datenschnittstelle (34), ist und/oder das Anhängerschnittstellenmodul (24) eine zweite Zugfahrzeugdatenschnittstelle (74) aufweist, wobei die zweite Zugfahrzeugdatenschnittstelle (74) eine Schnittstelle (76) gemäß der Norm ISO 11992-3 ist.
8. Anhängernetzwerksystem (10) nach einem der vorhergehenden Ansprüche, umfassend ein als Anhängerbremssteuergerät (38) ausgebildetes Hauptsteuergerät (23), das eine dritte Zugfahrzeugdatenschnittstelle (78) aufweist, wobei die dritte Zugfahrzeugdatenschnittstelle (78) eine Schnittstelle (80) gemäß der Norm ISO 11992-2 ist.
9. Anhängerfahrzeug (12) mit einem Anhängernetzwerksystem (10) nach einem der vorhergehenden Ansprüche 1 bis 8.
10. Gespann (15) mit einem Anhängerfahrzeug (12) nach Anspruch 9 und einem Zugfahrzeug (14).
11 . Verfahren (90) zum Betreiben eines Anhängernetzwerksystems (10) nach einem der Ansprüche 1 bis 8, eines Anhängerfahrzeugs (12) nach Anspruch 9 oder eines Gespanns (15) nach Anspruch 10.
12. Verfahren (90) nach Anspruch 11 , wobei das Verfahren umfasst:
Erkennen eines an ein Hauptsteuergerät (23) adressierten Datenpakets (94) mit sicherheitskritischen Daten (18) auf dem Nebendatenbus (42) durch das Hauptsteuergerät (23),
Bestimmen, ob der Hauptdatenbus (36) gestört (106) oder ungestört (102) ist und
Verarbeiten des Datenpakets (94), wenn der Hauptdatenbus (36) gestört (106) ist und
Verwerfen des Datenpakets (94), wenn der Hauptdatenbus (36) ungestört (102) ist.
13. Verfahren (90) nach Anspruch 11 oder 12, wobei das Verfahren (90) weiter umfasst:
Erkennen eines an das Hauptsteuergerät (23) adressierten Datenpakets (94) mit sicherheitsunkritischen Daten (66) auf dem Nebendatenbus (42) durch das Hauptsteuergerät (23) und
Verarbeiten des Datenpakets (94).
14. Verfahren (90) nach einem der Ansprüche 11 bis 13, ferner umfassend: Empfangen von sicherheitskritischen Daten (18) für ein als Anhängerbremssteuergerät (38) ausgebildetes Hauptsteuergerät (23) über die erste Zugfahrzeugdatenschnittstelle (26) oder die zweite Zugfahrzeugdatenschnittstelle (74) durch ein als Anhängerschnittstellenmodul (24) ausgebildetes Hauptsteuergerät (23),
Bestimmen, ob der Hauptdatenbus (36) gestört (106) oder ungestört (102) ist durch das Anhängerschnittstellenmodul (24) und
Aussenden eines an das Anhängerbremssteuergerät (38) adressierten Datenpakets (94) mit den sicherheitskritischen Daten (18) auf dem Hauptdatenbus (36), wenn der Hauptdatenbus (36) ungestört (102) ist oder, wenn der Hauptdatenbus (36) gestört (106) ist, Aussenden des Datenpakets (94) auf dem Nebendatenbus (42).
15. Verfahren (90) nach einem der Ansprüche 11 bis 14, ferner umfassend:
Empfangen von Daten für das Nebensteuergerät (62) vom Zugfahrzeug (14) über die erste Zugfahrzeugdatenschnittstelle (26) oder die zweite Zugfahrzeugdatenschnittstelle (74) durch ein als Anhängerschnittstellenmodul (24) ausgebildetes Hauptsteuergerät (23) und
Aussenden eines an das Nebensteuergerät (62) adressierten Datenpakets (94) mit den Daten auf dem Nebendatenbus (42), unabhängig davon, ob der Hauptdatenbus (36) gestört (106) oder ungestört (102) ist.
PCT/EP2023/073138 2022-09-23 2023-08-23 Anhängernetzwerksystem zur datenkommunikation in einem anhängerfahrzeug sowie anhängerfahrzeug damit und verfahren dafür WO2024061559A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022124559.4 2022-09-23
DE102022124559.4A DE102022124559A1 (de) 2022-09-23 2022-09-23 Anhängernetzwerksystem zur Datenkommunikation in einem Anhängerfahrzeug sowie Anhängerfahrzeug damit und Verfahren dafür

Publications (1)

Publication Number Publication Date
WO2024061559A1 true WO2024061559A1 (de) 2024-03-28

Family

ID=87801468

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/073138 WO2024061559A1 (de) 2022-09-23 2023-08-23 Anhängernetzwerksystem zur datenkommunikation in einem anhängerfahrzeug sowie anhängerfahrzeug damit und verfahren dafür

Country Status (2)

Country Link
DE (1) DE102022124559A1 (de)
WO (1) WO2024061559A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1371523A2 (de) * 2002-06-11 2003-12-17 DaimlerChrysler AG Fahrzeugbusystem mit redundanten Leitungen
DE102012023968A1 (de) * 2012-12-07 2014-06-12 Wabco Gmbh Verfahren und Vorrichtungen zum Übertragen von Telematik-Daten von einem Lastzug zu einem Telematik-Portal
DE102019100017A1 (de) * 2019-01-02 2020-07-02 Wabco Gmbh Anhängerfahrzeug und Anhängerbremssteuergerät sowie Verfahren und Software dafür

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006023137B4 (de) 2006-05-17 2010-05-20 Continental Automotive Gmbh Verfahren und Vorrichtung zum Betrieb eines MOST-Buses
DE102017010356A1 (de) 2017-09-20 2019-03-21 Wabco Gmbh Datensystem, Datenübertragungssystem sowie Verfahren zur Datenübertragung für ein Zug-Fahrzeug und/oder Anhänger-Fahrzeug
DE102018132867A1 (de) 2018-12-19 2020-06-25 Wabco Gmbh Steckverbindervorrichtung für ein Fahrzeug zum Übertragen von Daten zwischen gekuppelten Fahrzeugen sowie System und Fahrzeug damit
DE102019134626A1 (de) 2019-12-17 2021-06-17 Voith Patent Gmbh Kommunikation zwischen Netzwerken eines Kraftfahrzeugs

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1371523A2 (de) * 2002-06-11 2003-12-17 DaimlerChrysler AG Fahrzeugbusystem mit redundanten Leitungen
DE102012023968A1 (de) * 2012-12-07 2014-06-12 Wabco Gmbh Verfahren und Vorrichtungen zum Übertragen von Telematik-Daten von einem Lastzug zu einem Telematik-Portal
DE102019100017A1 (de) * 2019-01-02 2020-07-02 Wabco Gmbh Anhängerfahrzeug und Anhängerbremssteuergerät sowie Verfahren und Software dafür

Also Published As

Publication number Publication date
DE102022124559A1 (de) 2024-03-28

Similar Documents

Publication Publication Date Title
EP2183136B1 (de) Bremssystem für ein fahrzeug und ein verfahren zum betreiben eines bremssystems für ein fahrzeug
EP2176106B1 (de) Bremssystem für ein fahrzeug und verfahren zum betreiben eines bremssystems für ein fahrzeug
EP1763454B1 (de) Redundantes datenbussystem
DE102017209721A1 (de) Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung
WO2009152981A1 (de) Bremsanlage und verfahren zum steuern einer fahrzeugbremse
EP0832800B1 (de) Elektronisches Bremssystem für Radfahrzeuge
DE102020116410A1 (de) Vorrichtung zur Steuerung einer Bremse eines autonomen Fahrzeugs
DE102013020177A1 (de) Kraftfahrzeug
EP3385934B1 (de) Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung
DE102013200535A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE10316452A1 (de) Elektrisches, dezentrales Bremssystem in einem Fahrzeug
DE102007059687A1 (de) Sicherheitskonzept für einen intelligenten Aktor
DE102018116676A1 (de) Fahrzeugnetzwerk mit Implementierung einer XCP-Protokoll-Richtlinie und Verfahren
EP3878154A1 (de) Datenvermittlungsvorrichtung und datenvermittlungsverfahren für ein fahrzeug, vorrichtung und verfahren für eine fahrzeugkomponente eines fahrzeugs und computerprogramm
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
EP1370914A1 (de) Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
DE102013200528A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102020208536A1 (de) Gateway-vorrichtung, abnormitätsüberwachungsverfahren und speichermedium
WO2024061559A1 (de) Anhängernetzwerksystem zur datenkommunikation in einem anhängerfahrzeug sowie anhängerfahrzeug damit und verfahren dafür
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102013200525A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102008039170A1 (de) Automatische Konfiguration von Teilsystemen und Kommunikation zwischen Systemen in Fahrzeugen
DE102022129992A1 (de) Signalverarbeitungsvorrichtung, CAN-Kommunikationssystem und Anhänger
DE102013022498A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102022131307A1 (de) Verfahren und Fahrzeugsteuersystem zum Bergen eines zumindest teilweise automatisierten Fahrzeugs

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23761118

Country of ref document: EP

Kind code of ref document: A1