WO2024094372A1 - Sicherer betrieb von redundanten, einfehlertoleranten steuergeräten im fahrzeug mit signierten signalen - Google Patents

Sicherer betrieb von redundanten, einfehlertoleranten steuergeräten im fahrzeug mit signierten signalen Download PDF

Info

Publication number
WO2024094372A1
WO2024094372A1 PCT/EP2023/076705 EP2023076705W WO2024094372A1 WO 2024094372 A1 WO2024094372 A1 WO 2024094372A1 EP 2023076705 W EP2023076705 W EP 2023076705W WO 2024094372 A1 WO2024094372 A1 WO 2024094372A1
Authority
WO
WIPO (PCT)
Prior art keywords
data path
communication
component
received via
module
Prior art date
Application number
PCT/EP2023/076705
Other languages
English (en)
French (fr)
Inventor
Dirk Dreyer
Original Assignee
Volkswagen Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen Aktiengesellschaft filed Critical Volkswagen Aktiengesellschaft
Publication of WO2024094372A1 publication Critical patent/WO2024094372A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40228Modbus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Definitions

  • the invention relates to a fault-tolerant, in particular single-fault-tolerant, control system for a vehicle comprising a primary data path and a secondary data path for communication from a first module to a second module, wherein the first module includes a transmitting component and an encryption component connected to the transmitting component; the second module includes a receiving component, a decryption component connected to the receiving component, a comparison component connected to the receiving component and the decryption component, and an action component connected to the receiving component, and the system further includes a primary data path and a secondary data path for communication between the transmitting component and the receiving component, wherein the action component is configured to execute actions based on the unencrypted communication received via the primary data path.
  • Such a single-fault-tolerant control system is known from DE 10 2013200 535 A1.
  • the known system is based on the concept of transferring an electronic or mechatronic vehicle control system or the like and/or a data or communication network underlying such a system, via which the control units communicate with each other, to a safe operating state, e.g. to an emergency mode, after detecting a violation of data integrity or safety-relevant data manipulation.
  • a redundant network approach is used here, in which at least safety-related data or messages are transmitted separately or independently of each other to a control unit receiving the data or messages via at least two different and, in particular, communication-technically separate communication channels or paths. The at least two separately received data or messages can then be mutually checked for plausibility or verified, e.g.
  • the network redundancy mentioned can be achieved by a network architecture with at least two different networks or subnetworks of a higher-level network, whereby the safety-related input variables are always transmitted to the respective control units via at least two networks.
  • Also known from DE 102013 114 355 A1 is a controller operable to transmit digital data messages to a receiver via a communication link that provides at least a first and a second transmission path, a first signal connection for the first transmission path and a second signal connection for the second transmission path.
  • the first signal connection is operable to digitally transmit a first message to the receiver according to a first transmission technique
  • the second signal connection is operable to digitally transmit a second message to the receiver according to a second, different transmission technique.
  • a content transmitted by the first and the second message by the different transmission techniques is identical. This can serve to increase reliability in that the content can still be transmitted to or received by the receiver even if an error occurs in one of the transmission techniques.
  • the invention is based on the object of improving the security of a single-fault-tolerant control system of the type mentioned.
  • This object is achieved by the features specified in claim 1, that the encryption component in the first module and the decryption component in the second module are set up to encrypt the communication via the secondary data path, wherein the action component of the second module is set up to carry out actions based on the unencrypted communication received via the primary data path, and in that the comparison component is set up to compare the communication received via the primary data path and the decrypted communication received via the secondary data path, and if the comparison shows that the communication received via the primary data path and the decrypted communication received via the secondary data path differ, to instruct the first module to switch off the encryption of the secondary data path and to instruct the action component of the second module to carry out actions based on the unencrypted communication received via the secondary data path.
  • the advantage here is that the communication between the first module and the second module is time-critical, and the unencrypted communication is set up so that time targets are not violated under normal circumstances.
  • connection between the receiving component, the decryption component, the comparison component and the action component of the second module is an internal control unit communication of the second module that is not accessible from the outside.
  • This internal control unit communication is particularly advantageous in that it is tamper-proof.
  • comparing the communication received via the primary data path with the decrypted communication received via the secondary data path in the comparison component includes checking whether the data of the communication received via the primary data path is functionally equivalent to the data of the decrypted communication received via the secondary data path.
  • the comparison component is further configured to generate an error signal if the comparison shows that the communication received via the primary data path and the decrypted communication received via the secondary data path differ, and the control system is configured to receive the error signal and, in response to the error signal, to bring the vehicle into a safe state.
  • the encryption component and the decryption component are configured to carry out the communication using a symmetric encryption, in particular DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent or one-time-pad, or an asymmetric encryption, in particular RSA, McEliece, Rabin, Chor-Rivest, Elgamal, elliptic curve cryptography or Merkle/Hellman.
  • the primary data path and/or the secondary data path comprises a bus connection, in particular Fieldbus, Modbus, CAN, CanOpen or MVB.
  • the first data path comprises a first bus connection and the second data path comprises a second, independent, bus connection.
  • the invention includes a method for fault-tolerant control of a vehicle, comprising: generating redundant communication from a first module to a second module, by means of a primary data path and a secondary data path; transmitting the redundant communication from the first module to the second module via the primary data path and the secondary data path, the transmission via the secondary data path being encrypted; performing, in the second module, an action based on the communication transmitted via the primary data path; comparing, in the second module, the received communication via the primary data path and the decrypted communication via the secondary data path; if the comparison shows that the communication received via the primary data path and the decrypted communication received via the secondary data path differ: instructing the first module to no longer encrypt the communication via the secondary data path; instructing the second module to subsequently perform actions based on the communication received via the secondary data path.
  • Fig. 1 is a schematic diagram of a redundant control system according to an embodiment of the invention.
  • Fig. 2 shows a flow chart of a method according to an embodiment of the invention.
  • Fig. 3 shows a vehicle in which the redundant control system according to embodiments of the invention can be used.
  • Fig. 1 shows a schematic diagram of a system 100 according to an embodiment of the present invention.
  • a first module 110 and a second module 120 are communicatively connected by a first, primary data path 130 and a second, secondary data path 140, advantageously two bus connections 131, 141.
  • the first module 110 contains a transmitting component 111 and the second module 120 contains a receiving component 121, which are connected to the primary data path 130 and the secondary data path 140.
  • the first module 110 also contains an encryption component 112 and the second module a decryption component 122, which are connected to the respective transmitting component 111 and receiving component 121.
  • the second module 120 contains a comparison component 123 and an action component 124, which is communicatively connected to the receiving component 121, advantageously by an internal control unit communication of the second module 120, in particular a tamper-proof one, wherein the decryption component 122 is connected between the receiving component 121 and the comparison component 123.
  • the first module 110 In normal operation, the first module 110 generates a functionally identical communication, i.e. a communication that contains functionally identical data and instructions but may differ, for example, in the header and/or coding, both via the primary data path 130 and via the secondary data path 140, wherein the communication via the secondary data path 140 is encrypted using the encryption component 112.
  • a functionally identical communication i.e. a communication that contains functionally identical data and instructions but may differ, for example, in the header and/or coding, both via the primary data path 130 and via the secondary data path 140, wherein the communication via the secondary data path 140 is encrypted using the encryption component 112.
  • the second module 120 receives the communication via both the primary data path 130 and the secondary data path 140, and, using the action component 124, carries out an action in accordance with the data and instructions received via the primary data path 130. Since no encryption and decryption of the communication via the first communication channel 130 is necessary for this, these actions take place quickly, advantageously without violating the time targets of a security protocol.
  • the comparison component 123 compares the communication via the primary data path 130 and the decrypted communication via the secondary data path 140. If the comparison of the two communications reveals a particularly functional difference in the transmitted instructions and data, this is an indication of manipulation of the primary data path 130. In this case, the first module is instructed to no longer encrypt the transmission via the secondary data path 140, the action component 124 is instructed to carry out actions from now on based on the information transmitted via the now unencrypted, secondary data path 140 received data and instructions and, advantageously, the control system is instructed to bring the vehicle into a safe state, in particular standstill.
  • Fig. 2 shows a flow chart of a method according to an embodiment of the invention:
  • a redundant communication of the first module 110 to a second module 120 is generated by means of a primary data path 130 and a secondary data path 140.
  • the redundant communication is transmitted from the first module 110 to the second module 120 via the primary data path 130 and the secondary data path 140, advantageously a first and second bus system, wherein the transmission via the secondary data path 130 is encrypted.
  • the second module 120 carries out an action based on the communication transmitted via the primary data path 130. Since the communication via the primary data path 130 is unencrypted, any time targets for executing the action are not normally violated.
  • the second module compares the received communication via the primary data path 130 with the decrypted communication via the secondary data path 140. If this comparison shows that the received communication via the primary data path 130 and the decrypted communication via the secondary data path 140 are functionally identical, i.e. contain functionally identical instructions and functionally identical data, the method continues with the first step 210.
  • the method continues to the first instruction step 250.
  • the first module 110 is instructed to no longer encrypt the communication via the secondary data path 130 and in the subsequent second instruction step 260, the second module 120 is instructed to subsequently carry out actions based on the communication received via the secondary data path 140.
  • These steps also make it possible to carry out the instructed actions in the second module 120, which normally does not violate any time targets for executing the action.
  • the method according to the instructions of the preceding instruction steps 250, 260 contains further steps that ensure the safety of the control system and the vehicle. These steps include: generating 270 an error signal and, in response to the error signal, bringing 280 the vehicle into a safe state, in particular bringing the vehicle to a standstill.
  • Fig. 3 shows a schematic of a vehicle according to an embodiment of the invention.
  • the control system (100) is integrated in a vehicle (300).
  • the primary (130) and secondary (140) data paths for communication between the first module (110) and the second module (120) can be implemented by a first (131) and a second (132) bus connection.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Hardware Redundancy (AREA)

Abstract

Um eine einfehlertolerantes Steuerungssystem für ein Fahrzeug zu erzeugen, wird eine redundante Kommunikation über einen primären und einen sekundären Datenpfad vorgeschlagen, wobei die Kommunikation über den sekundären Datenpfad verschlüsselt erfolgt, und das System eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad übermittelten Kommunikation durchzuführen. Hierbei ist das System weiterhin eingerichtet, die empfangene Kommunikation über den primären Datenpfad mit der entschlüsselten Kommunikation über den sekundären Datenpfad zu vergleichen, und, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden: Beenden der Verschlüsselung im sekundären Datenpfad und Ausführen von Aktionen aufgrund der über den sekundären Datenpfad übermittelten Kommunikation.

Description

Beschreibung
Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
Die Erfindung betrifft ein fehlertolerantes, insbesondere einfehlertolerantes, Steuerungssystem für ein Fahrzeug umfassend einen primären Datenpfad und einen sekundären Datenpfad zur Kommunikation von einem ersten Modul zu einem zweiten Modul, wobei das erste Modul eine Sendekomponente und eine Verschlüsselungskomponente, verbunden mit der Sendekomponente, beinhaltet; das zweite Modul eine Empfangskomponente, eine Entschlüsselungskomponente, verbunden mit der Empfangskomponente, eine Vergleichskomponente, verbunden mit der Empfangskomponente und der Entschlüsselungskomponente, und eine Aktionskomponente, verbunden mit der Empfangskomponente, beinhaltet, und das System weiterhin einen primären Datenpfad und einen sekundären Datenpfad zur Kommunikation zwischen der Sendekomponente und der Empfangskomponente beinhaltet, wobei die Aktionskomponente eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen.
Ein solches einfehlertolerantes Steuerungssystem ist aus der DE 10 2013200 535 A1 bekannt. Das bekannte System beruht auf dem Konzept, ein elektronisches bzw. mechatronisches Fahrzeugsteuersystem oder dergleichen und/oder ein in einem solchen System zugrundeliegendes Daten- oder Kommunikationsnetzwerk, über das die Steuergeräte miteinander kommunizieren, nach dem Erkennen einer Verletzung der Datenintegrität oder einer sicherheitsrelevanten Datenmanipulation in einen sicheren Betriebszustand, z.B. in einen Notlaufmodus, überzuführen. Hierbei wird ein redundanter Netzwerkansatz verwendet, bei dem zumindest sicherheitsbezogene Daten oder Nachrichten über wenigstens zwei unterschiedliche und insbesondere kommunikationstechnisch voneinander getrennte Kommunikationskanäle oder -pfade an ein die Daten bzw. Nachrichten empfangendes Steuergerät getrennt bzw. unabhängig voneinander übertragen werden. Die wenigstens zwei getrennt empfangenen Daten bzw. Nachrichten können dann gegenseitig plausibilisiert bzw. verifiziert werden, z.B. durch einen einfachen Vergleich. Ergibt der Vergleich Abweichungen zwischen den getrennt voneinander empfangenen Daten bzw. Nachrichten, dann wird auf das Fehlen der Datenintegrität und/oder das Vorliegen einer Datenmanipulation geschlossen. Die genannte Netzwerkredundanz kann durch eine Netzwerkarchitektur mit wenigstens zwei unterschiedlichen Netzwerken oder Subnetzwerken eines übergeordneten Netzes realisiert werden, wobei die sicherheitsbezogenen Eingangsgrößen immer über die wenigstens zwei Netzwerke an die jeweiligen Steuergeräte übermittelt werden.
Ebenfalls bekannt ist aus der DE 102013 114 355 A1 eine Steuerung, betreibbar zum Übertragen von digitalen Datennachrichten zu einem Empfänger über eine Kommunikationsstrecke, die mindestens einen ersten und einen zweiten Übertragungspfad bereitstellt, einen ersten Signalanschluss für den ersten Übertragungspfad und einen zweiten Signalanschluss für den zweiten Übertragungspfad. Der erste Signalanschluss ist betreibbar zum digitalen Übertragen einer ersten Nachricht zu dem Empfänger gemäß einer ersten Übertragungstechnik, während der zweite Signalanschluss betreibbar ist zum digitalen Übertragen einer zweiten Nachricht zu dem Empfänger gemäß einer zweiten, anderen Übertragungstechnik. Hierbei ist ein durch die erste und die zweite Nachricht durch die verschiedenen Übertragungstechniken übertragener Inhalt identisch. Dies kann dazu dienen, insofern die Zuverlässigkeit zu vergrößern, als der Inhalt immer noch zu dem Empfänger übertragen oder durch diesen empfangen werden kann, selbst wenn bei einer der Übertragungstechniken ein Fehler auftritt.
Der Erfindung liegt die Aufgabe zugrunde, bei einem einfehlertoleranten Steuerungssystem der genannten Art die Sicherheit zu verbessern. Diese Aufgabe wird gelöst durch die im Anspruch 1 angegebenen Merkmale, dass die Verschlüsselungskomponente im ersten Modul und die Entschlüsselungskomponente im zweiten Modul eingerichtet ist, die Kommunikation über den sekundären Datenpfad zu verschlüsseln, wobei die Aktionskomponente des zweiten Moduls eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen, und dadurch, dass die Vergleichskomponente eingerichtet ist, die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation zu vergleichen, und wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden, das erste Modul anzuweisen, die Verschlüsselung des sekundären Datenpfades auszuschalten und die Aktionskomponente des zweiten Moduls anzuweisen, Aktionen aufgrund der über den sekundären Datenpfad empfangenen unverschlüsselten Kommunikation auszuführen.
Durch diese Merkmale wird gewährleistet, dass eine zeitkritische Kommunikation zwischen dem ersten und dem zweiten Modul innerhalb eines eventuellen Sicherheitsziels abläuft, da immer mindestens eine unverschlüsselte, und damit nicht durch die Ver- und Entschlüsselung verlangsamte Kommunikation zwischen dem ersten und zweiten Modul besteht. Des Weiteren wird sichergestellt, dass eine Manipulation dieser unverschlüsselten Kommunikation entdeckt wird, da die Vergleichsinformation auf dem sekundären Datenpfad verschlüsselt und damit manipulationssicher kommuniziert wird.
Vorteilhaft ist hierbei die Kommunikation zwischen dem ersten Modul und dem zweiten Modul zeitkritisch, und die unverschlüsselte Kommunikation ist eingerichtet, Zeitziele im Normalfall nicht zu verletzen.
Vorteilhaft ist die Verbindung zwischen der Empfangskomponente, der Entschlüsselungskomponente, der Vergleichskomponente und der Aktionskomponente des zweiten Moduls eine interne Steuergerätekommunikation des zweiten Moduls, die von außen nicht zugänglich ist. Besonders vorteilhaft ist diese interne Steuergerätekommunikation manipulationssicher.
Vorteilhaft beinhaltet das Vergleichen der über den primären Datenpfad empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad empfangenen Kommunikation in der Vergleichskomponente eine Überprüfung, ob die Daten der über den primären Datenpfad empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad empfangenen Kommunikation funktional gleich sind.
Vorteilhaft ist die Vergleichskomponente weiterhin eingerichtet, ein Fehlersignal zu generieren, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden, und das Steuerungssystem ist eingerichtet, das Fehlersignal zu empfangen und, als Reaktion auf das Fehlersignal, das Fahrzeug in einen sicheren Zustand zu bringen.
Vorteilhaft sind die Verschlüsselungskomponente und die Entschlüsselungskomponente eingerichtet, die Kommunikation mit Hilfe einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman durchzuführen. Vorteilhaft umfasst der primäre Datenpfad und/oder der sekundäre Datenpfad eine Busverbindung, insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB. Besonders vorteilhaft umfasst der erste Datenpfad eine erste Busverbindung und der zweite Datenpfad eine zweite, unabhängige, Busverbindung.
In einem anderen Aspekt beinhaltet die Erfindung ein Verfahren zum einfehlertoleranten Steuern eines Fahrzeugs, umfassend: Erzeugen einer redundanten Kommunikation von einem ersten Modul zu einem zweiten Modul, mittels eines primären Datenpfades und eines sekundären Datenpfades; Übertragen der redundanten Kommunikation vom ersten Modul zum zweiten Modul über den primären Datenpfad und den sekundären Datenpfad, wobei die Übertragung über den sekundären Datenpfad verschlüsselt erfolgt; Durchführen, im zweiten Modul, einer Aktion aufgrund der über den primären Datenpfad übertragenen Kommunikation; Vergleichen, im zweiten Modul, der empfangenen Kommunikation über den primären Datenpfad und der entschlüsselten Kommunikation über den sekundären Datenpfad; wenn der Vergleich ergibt, dass sich die über den primären Datenpfad empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad empfangene Kommunikation unterscheiden: Anweisen des ersten Moduls, die Kommunikation über den sekundären Datenpfad nicht mehr zu verschlüsseln; Anweisen des zweiten Moduls, Aktionen im Folgenden aufgrund der über den sekundären Datenpfad empfangen Kommunikation auszuführen.
Weitere Aspekte der Erfindung beinhalten ein computerlesbares Speichermedium, das Informationen enthält, die, wenn sie auf einem oder mehreren Prozessoren ausgeführt werden, diese veranlassen, die Schritte des Verfahrens entsprechend einer Ausführungsform der Erfindung auszuführen, sowie ein Fahrzeug mit einem redundanten Steuerungssystem entsprechend einer Ausführungsform der Erfindung.
Ausführungsbeispiele der Erfindung werden nachstehend anhand der Zeichnungen erläutert. Es zeigen:
Fig. 1 ein schematisches Diagramm eines redundanten Steuerungssystems entsprechend einer Ausführungsform der Erfindung und
Fig. 2 einen Ablaufplan eines Verfahrens nach einer Ausführungsform der Erfindung.
Fig. 3 ein Fahrzeug, in dem das redundante Steuerungssystem nach den Ausführungsformen der Erfindung verwendet werden kann. Fig. 1 zeigt ein schematisches Diagramm eines Systems 100 nach einer Ausführungsform der vorliegenden Erfindung. Hierbei sind ein erstes Modul 110 und ein zweites Modul 120 durch einen ersten, primären Datenpfad 130 und einen zweiten, sekundären Datenpfad 140, vorteilhaft zwei Busverbindungen 131 , 141 , kommunikativ verbunden. Zu diesem Zweck enthält das erste Modul 110 eine Sendekomponente 111 und das zweite Modul 120 eine Empfangskomponente 121 , die mit dem primären Datenpfad 130 und dem sekundären Datenpfad 140 verbunden sind. Ebenfalls enthält das erste Modul 110 eine Verschlüsselungskomponente 112 und das zweite Modul eine Entschlüsselungskomponente 122, die mit der jeweiligen Sendekomponente 111 und Empfangskomponente 121 verbunden sind. Des weiteren enthält das zweite Modul 120 eine Vergleichskomponente 123 und eine Aktionskomponente 124, die mit der Empfangskomponente 121 kommunikativ, vorteilhaft durch eine, insbesondere manipulationssichere, interne Steuergerätekommunikation des zweiten Moduls 120 verbunden ist, wobei die Entschlüsselungskomponente 122 hierbei zwischen die Empfangskomponente 121 und die Vergleichskomponente 123 geschaltet ist.
Im normalen Betrieb erzeugt das erste Modul 110 eine funktional identische Kommunikation, also eine Kommunikation, die funktional identische Daten und Anweisungen enthält, aber sich z.B. im Header und/oder der Codierung unterscheiden kann, sowohl über den primären Datenpfad 130 als auch über den sekundären Datenpfad 140, wobei die Kommunikation über den sekundären Datenpfad 140 mit Hilfe der Verschlüsselungskomponente 112 verschlüsselt wird.
Das zweite Modul 120 empfängt die Kommunikation sowohl über den primären Datenpfad 130 als auch über den sekundären Datenpfad 140, und führt, mittels der Aktionskomponente 124 eine Aktion entsprechend der über den primären Datenpfad 130 empfangenen Daten und Anweisungen aus. Da hierzu keine Ver- und Entschlüsselung der Kommunikation über den ersten Kommunikationskanal 130 nötig ist, erfolgen diese Aktionen schnell, vorteilhafterweise ohne die Verletzung von Zeitzielen eines Sicherheitsprotokolls.
Gleichzeitig vergleicht die Vergleichskomponente 123 die Kommunikation über den primären Datenpfad 130 und die entschlüsselte Kommunikation über den sekundären Datenpfad 140. Wenn der Vergleich der beiden Kommunikationen einen insbesondere funktionalen Unterschied der übertragenen Anweisungen und Daten ergibt, ist dies ein Hinweis auf Manipulation des primären Datenpfades 130. In diesem Fall wird das erste Modul angewiesen, die Übertragung über den sekundären Datenpfad 140 nicht mehr zu verschlüsseln, die Aktionskomponente 124 wird angewiesen, Aktionen von nun an aufgrund der über den, jetzt unverschlüsselten, sekundären Datenpfad 140 empfangenen Daten und Anweisungen auszuführen, und, vorteilhafterweise, wird das Steuerungssystem angewiesen, das Fahrzeug in einen sicheren Zustand, insbesondere Stillstand, zu bringen.
Fig. 2 zeigt einen Ablaufplan eines Verfahrens nach einer Ausführungsform der Erfindung: Im ersten Schritt 210 wird eine redundante Kommunikation des ersten Moduls 110 zu einem zweiten Modul 120 mittels eines primären Datenpfades 130 und eines sekundären Datenpfades 140 erzeugt. Im darauffolgenden Übertragungsschritt 220 wird die redundante Kommunikation vom ersten Modul 110 zum zweiten Modul 120 über den primären Datenpfad 130 und den sekundären Datenpfad 140, vorteilhaft ein erstes und zweites Bussystem, übertragen, wobei die Übertragung über den sekundären Datenpfad 130 verschlüsselt erfolgt.
Als Folge der erhaltenen Kommunikation führt im darauf folgenden Aktionsschritt 230 das zweite Modul 120 aufgrund der über den primären Datenpfad 130 übertragenen Kommunikation eine Aktion aus. Da die Kommunikation über den primären Datenpfad 130 unverschlüsselt erfolgt, werden hierdurch eventuelle Zeitziele zur Ausführung der Aktion im Normalfall nicht verletzt.
Ebenfalls als Folge der erhaltenen Kommunikation, und teilweise parallel zur Ausführung der Aktion im Aktionsschritt 230 vergleicht im darauf folgenden Vergleichsschritt 240 das zweite Modul die empfangene Kommunikation über den primären Datenpfad 130 mit der entschlüsselten Kommunikation über den sekundären Datenpfad 140. Falls dieser Vergleich ergibt, dass die empfangene Kommunikation über den primären Datenpfad 130 und die entschlüsselte Kommunikation über den sekundären Datenpfad 140 funktional identisch sind, also funktional gleiche Anweisungen und funktional gleiche Daten enthalten, geht das Verfahren weiter beim ersten Schritt 210.
Wenn im Vergleichsschritt 240 ein Unterschied festgestellt wurde, also die Übertragung über den primären Datenkanal vermutlich verfälscht wurde, geht das Verfahren weiter zum ersten Anweisungsschritt 250. In diesem ersten Anweisungsschritt 250 wird das erste Modul 110 angewiesen, die Kommunikation über den sekundären Datenpfad 130 nicht mehr zu verschlüsseln und im darauffolgenden zweiten Anweisungsschritt 260 wird das zweite Modul 120 angewiesen, Aktionen im Folgenden aufgrund der über den sekundären Datenpfad 140 empfangen Kommunikation auszuführen. Durch diese Schritte ist weiterhin eine Ausführung der angewiesenen Aktionen im zweiten Modul 120 möglich, die eventuelle Zeitziele zur Ausführung der Aktion im Normalfall nicht verletzt. Vorteilhaft enthält das Verfahren nach den Anweisungen der vorhergehenden Anweisungsschritte 250, 260 noch weitere Schritte, die die Sicherheit des Steuerungssystems, und des Fahrzeuges gewährleisten. Diese Schritte umfassen: Generieren 270 eines Fehlersignals, und, als Reaktion auf das Fehlersignal, Bringen 280 des Fahrzeugs in einen sicheren Zustand, insbesondere Bringen des Fahrzeugs zum Stillstand.
Fig. 3 zeigt schematisch ein Fahrzeug entsprechend einer Ausführungsform der Erfindung. Hierbei ist das Steuerungssystem (100) in einem Fahrzeug (300) integriert. Insbesondere wird gezeigt, wie vorteilhaft die primären (130) und sekundären (140) Datenpfade zur Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) durch eine erste (131) und eine zweite (132) Busverbindung ausgeführt werden können.
Bezugszeichenliste
Steuerungssystem erstes Modul
Sendekomponente
Verschlüsselungskomponente zweites Modul
Empfangskomponente
Entschlüsselungskomponente
Vergleichskomponente
Aktionskomponente primärer Datenpfad erste Busverbindung sekundärer Datenpfad zweite Busverbindung
Steuerungsverfahren
Erzeugen einer redundanten Kommunikation
Übertragungsschritt
Aktionsschritt
Vergleichsschritt erster Anweisungsschritt zweiter Anweisungsschritt
Generieren eines Fehlersignals
Bringen des Fahrzeugs in einen sicheren Zustand

Claims

Patentansprüche Einfehlertolerantes Steuerungssystem (100) zur Verwendung in einem Fahrzeug, umfassend: ein erstes Modul (110), beinhaltend: eine Sendekomponente (111), und eine Verschlüsselungskomponente (112), verbunden mit der Sendekomponente (111); ein zweites Modul (120), beinhaltend: eine Empfangskomponente (121), eine Entschlüsselungskomponente (122), verbunden mit der Empfangskomponente (121), eine Vergleichskomponente (123), verbunden mit der Empfangskomponente (121) und der Entschlüsselungskomponente (122), und eine Aktionskomponente (124), verbunden mit der Empfangskomponente (121); einen primären Datenpfad (130) zur Kommunikation zwischen der Sendekomponente
(111) und der Empfangskomponente (121); und einen sekundären Datenpfad (140) zur Kommunikation zwischen der Sendekomponente (111) und der Empfangskomponente (121), wobei die Aktionskomponente (124) eingerichtet ist, Aktionen aufgrund der über den primären Datenpfad (130) empfangenen unverschlüsselten Kommunikation auszuführen, dadurch gekennzeichnet, dass die Verschlüsselungskomponente (112) eingerichtet ist, die Kommunikation über den sekundären Datenpfad (140) zu verschlüsseln, die Entschlüsselungskomponente (122) eingerichtet ist, die empfangene Kommunikation zu entschlüsseln, und dass die Vergleichskomponente (123) eingerichtet ist, die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation zu vergleichen, und wenn ein Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, das erste Modul (110) anzuweisen, die Verschlüsselung des sekundären Datenpfades (140) auszuschalten und die Aktionskomponente (124) anzuweisen, Aktionen aufgrund der über den sekundären Datenpfad (140) empfangenen unverschlüsselten Kommunikation auszuführen. Steuerungssystem (100) nach Anspruch 1, dadurch gekennzeichnet, dass die Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) zeitkritisch ist, und die unverschlüsselte Kommunikation eingerichtet ist, die Zeitziele im Normalfall nicht zu verletzen. Steuerungssystem (100) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Verbindung zwischen der Empfangskomponente (121), der Entschlüsselungskomponente (122), der Vergleichskomponente (123) und der Aktionskomponente (124) eine interne Steuergerätekommunikation des zweiten Moduls ist, die von außen nicht zugänglich ist, wobei die interne Steuergerätekommunikation bevorzugt manipulationssicher ist. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Vergleichen der über den primären Datenpfad (130) empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation in der Vergleichskomponente (123) eine Überprüfung umfasst, ob die Daten der über den primären Datenpfad (130) empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation funktional gleich sind. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Vergleichskomponente (123) weiterhin eingerichtet ist, wenn der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, ein Fehlersignal zu generieren, und das Steuerungssystem (100) eingerichtet ist, das Fehlersignal zu empfangen und, als Reaktion auf das Fehlersignal, das Fahrzeug anzuweisen, einen sicheren Zustand einzunehmen. Steuerungssystem (100) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Verschlüsselungskomponente (112) und die Entschlüsselungskomponente (122) eingerichtet sind, die Kommunikation mit Hilfe einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman durchzuführen. Steuerungssystem (100) nach einem der vorangehenden Ansprüche dadurch gekennzeichnet, dass der primäre Datenpfad (130) und/oder der sekundäre Datenpfad (140) eine Busverbindung (131 , 141), insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB umfasst. Verfahren (200) zum einfehlertoleranten Steuern eines Fahrzeugs, umfassend: Erzeugen (210) einer redundanten Kommunikation von einem ersten Modul (110) zu einem zweiten Modul (120), mittels eines primären Datenpfades (130) und eines sekundären Datenpfades (140);
Übertragen (220) der redundanten Kommunikation vom ersten Modul (110) zum zweiten Modul (120) über den primären Datenpfad (130) und den sekundären Datenpfad (140), wobei die Übertragung über den sekundären Datenpfad (130) verschlüsselt erfolgt;
Durchführen (230), im zweiten Modul (120), einer Aktion aufgrund der über den primären Datenpfad (130) übertragenen Kommunikation;
Vergleichen (240), im zweiten Modul (120), der empfangenen Kommunikation über den primären Datenpfad (130) und der entschlüsselten Kommunikation über den sekundären Daten pfad (140); wenn der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden:
Anweisen (250) des ersten Moduls (110), die Kommunikation über den sekundären Datenpfad (130) nicht mehr zu verschlüsseln;
Anweisen (260) des zweiten Moduls (110), Aktionen im Folgenden aufgrund der über den sekundären Datenpfad (140) empfangen Kommunikation auszuführen. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Kommunikation zwischen dem ersten Modul (110) und dem zweiten Modul (120) zeitkritisch ist, und das Übertragen (220) der unverschlüsselten Kommunikation die Zeitziele im Normalfall nicht verletzt. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass das Vergleichen (240) der über den primären Datenpfad (130) empfangenen Kommunikation mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation eine Überprüfung umfasst, ob die Daten der über den primären Datenpfad (130) empfangenen Kommunikation zu den Daten mit der entschlüsselten über den sekundären Datenpfad (140) empfangenen Kommunikation funktional gleich sind. Verfahren nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass das Verfahren, nachdem der Vergleich ergibt, dass sich die über den primären Datenpfad (130) empfangene Kommunikation und die entschlüsselte über den sekundären Datenpfad (140) empfangene Kommunikation unterscheiden, weiterhin Folgendes umfasst:
Generieren (270) eines Fehlersignals; und als Reaktion auf das Fehlersignal, Bringen (280) des Fahrzeugs in einen sicheren Zustand. Verfahren nach einem der Ansprüche 8 bis 11 , dadurch gekennzeichnet, dass das verschlüsselte Übertragen (220) der Kommunikation die Verwendung einer symmetrischen Verschlüsselung, insbesondere DES, 3DES, AES, IDEA, Blowfish, Twofish, QUISCI, CAST-128, CAST-256, RC2, RC4, RC6, Serpent oder one-time-pad, oder einer asymmetrischen Verschlüsselung, insbesondere RSA, McEliece, Rabin, Chor-Rivest, Elgamal, Elliptische-Kurven-Kryptographie oder Merkle/Hellman umfasst. Verfahren nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass das Übertragen (220) über den primären Datenpfad (130) und/oder den sekundären Datenpfad (140) eine Busverbindung (131 , 141), insbesondere Fieldbus, Modbus, CAN, CanOpen oder MVB umfasst. Computerlesbares Speichermedium, welches Informationen enthält, die, wenn sie auf einem oder mehreren Prozessoren ausgeführt werden, diese veranlassen, die Schritte des Verfahrens nach einem der Ansprüche 8-13 auszuführen. Fahrzeug mit einfehlertolerantem Steuerungssystem nach einem der Ansprüche 1-7.
PCT/EP2023/076705 2022-11-02 2023-09-27 Sicherer betrieb von redundanten, einfehlertoleranten steuergeräten im fahrzeug mit signierten signalen WO2024094372A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022211587.2 2022-11-02
DE102022211587.2A DE102022211587B4 (de) 2022-11-02 2022-11-02 Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen

Publications (1)

Publication Number Publication Date
WO2024094372A1 true WO2024094372A1 (de) 2024-05-10

Family

ID=88237459

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/076705 WO2024094372A1 (de) 2022-11-02 2023-09-27 Sicherer betrieb von redundanten, einfehlertoleranten steuergeräten im fahrzeug mit signierten signalen

Country Status (2)

Country Link
DE (1) DE102022211587B4 (de)
WO (1) WO2024094372A1 (de)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110191659A1 (en) * 2007-08-16 2011-08-04 Nxp B.V. System and method providing fault detection capability
DE102010039845A1 (de) * 2010-08-26 2012-03-01 Robert Bosch Gmbh Verfahren zum Übertragen von Sensordaten
DE102013200535A1 (de) 2013-01-16 2014-07-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102013114355A1 (de) 2013-01-25 2014-08-21 Infineon Technologies Ag Verfahren, vorrichtung und computerprogramm zur digitalen übertragung von nachrichten
US20190324450A1 (en) * 2018-04-20 2019-10-24 Lyft, Inc. Secure communication between vehicle components via bus guardians
EP4033714A1 (de) * 2021-01-25 2022-07-27 ZKW Group GmbH Verfahren zur datenübertragung zwischen zwei digital steuerbaren fahrzeugkomponenten
US20220263806A1 (en) * 2021-02-17 2022-08-18 Infineon Technologies Ag Encrypted communication of a sensor data characteristic

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19610161C2 (de) 1996-03-15 1998-01-22 Mannesmann Vdo Ag Datenübertragungsvorrichtung in einem Fahrzeug, bestehend aus einem Impulsgeber und einem Kontrollgerät, sowie Impulsgeber für das Kontrollgerät

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110191659A1 (en) * 2007-08-16 2011-08-04 Nxp B.V. System and method providing fault detection capability
DE102010039845A1 (de) * 2010-08-26 2012-03-01 Robert Bosch Gmbh Verfahren zum Übertragen von Sensordaten
DE102013200535A1 (de) 2013-01-16 2014-07-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102013114355A1 (de) 2013-01-25 2014-08-21 Infineon Technologies Ag Verfahren, vorrichtung und computerprogramm zur digitalen übertragung von nachrichten
US20190324450A1 (en) * 2018-04-20 2019-10-24 Lyft, Inc. Secure communication between vehicle components via bus guardians
EP4033714A1 (de) * 2021-01-25 2022-07-27 ZKW Group GmbH Verfahren zur datenübertragung zwischen zwei digital steuerbaren fahrzeugkomponenten
US20220263806A1 (en) * 2021-02-17 2022-08-18 Infineon Technologies Ag Encrypted communication of a sensor data characteristic

Also Published As

Publication number Publication date
DE102022211587B4 (de) 2024-05-08
DE102022211587A1 (de) 2024-05-02

Similar Documents

Publication Publication Date Title
EP2936747B1 (de) Datenübertragung unter nutzung eines protokollausnahmezustands
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
EP2637362B1 (de) Busteilnehmer-einrichtung zum anschluss an einen linienredundanten, seriellen datenbus und verfahren zur steuerung der kommunikation eines busteilnehmers mit einem linienredundanten, seriellen datenbus
EP2838220A1 (de) Verfahren zur redundanten Nachrichtenübermittlung in einem industriellen Kommunikationsnetz und Kommunikationsgerät
WO2009007206A1 (de) Verfahren und systemarchitektur zur sicheren einkanaligen kommunikation zum steuern eines sicherheitskritischen bahnbetriebsprozesses
EP1054309B1 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem
WO2009062535A1 (de) Verfahren und anordnung zum schützen, steuern oder überwachen einer elektrischen schalt- oder energieversorgungsanlage
DE102014111361A1 (de) Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
DE10337699A1 (de) Verfahren und Vorrichtung zur Übertragung von Daten über ein Busnetz unter Verwendung des Broadcast-Prinzip
WO2017008928A1 (de) Kommunikationssystem für aggregate und steuergeräte eines fahrzeugs und fahrzeug umfassend das kommunikationssystem
DE102022211587B4 (de) Sicherer Betrieb von redundanten, einfehlertoleranten Steuergeräten im Fahrzeug mit signierten Signalen
WO2004071010A2 (de) Verfahren und vorrichtung zum mediumredundanten betreiben eines endgerätes in einem netzwerk
EP1064590B1 (de) Verkürztes datentelegramm eines automatisierungssystems
DE102021120393B3 (de) Verfahren und Verschaltung zum Betrieb eines Netzwerks oder Netzwerkabschnitts
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
EP0977395A1 (de) Verfahren zur sicheren einkanaligen Uebertragung von Daten zwischen den Rechnerknoten eines Rechnerverbundes sowie Rechnerverbund und Rechnerknoten
EP1133096B1 (de) Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu
DE102015218906B4 (de) Verfahren zum Betreiben eines Datenübertragungssystems und Datenübertragungssystem
DE102021117324A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen
EP4033714A1 (de) Verfahren zur datenübertragung zwischen zwei digital steuerbaren fahrzeugkomponenten
DE102005032877A1 (de) Verfahren zur Zeitsynchronisation von Teilnehmern eines Netzwerks
DE102006042131B4 (de) Rechnersystem
EP2822227A1 (de) CAN-FD-Kommunikationsnetzwerk
EP3987697B1 (de) Verfahren zum betreiben eines kommunikationsnetzwerks, kommunikationsnetzwerk und teilnehmer für ein kommunikationsnetzwerk
DE102011003310A1 (de) Netzwerkgerät für ein Automatisierungsnetzwerk

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23782834

Country of ref document: EP

Kind code of ref document: A1