|
(11) | EP 2 204 714 A2 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
|||||||||||||||||||
| (54) | Manipulationssichere Übertragung von Signalen |
| (57) Die Erfindung betrifft ein Verfahren zum Betreiben einer Brennkraftmaschine mit einem
elektronischen Steuergerät, das Informationen über den Zustand der Brennkraftmaschine
mittels Sensoren erfasst und die Brennkraftmaschine steuert und regelt, wobei eine
in dem Steuergerät abgelegte Software aus den Informationen unter Einhaltung der maximal
zulässigen Leistung zum Schutz von Brennkraftmaschinenkomponenten und zur Einhaltung
der Abgasgesetzgebung die maximale Kraftstoffmenge berechnet, wodurch die maximale
Momentanleistung und das maximale Momentandrehmoment der Brennkraftmaschine bestimmt
wird. Erfindungsgemäß wird eine Manipulation der von dem Sensor erfassten Informationen verhindert. Dies wird dadurch erreicht, dass das Ausgangssignal des Sensors verschlüsselt an das Steuergerät gesendet wird. |
[0001] Die Erfindung betrifft ein Verfahren zum Betreiben einer Brennkraftmaschine mit einem elektronischen Steuergerät, das Informationen über den Zustand der Brennkraftmaschine mittels Sensoren erfasst und die Brennkraftmaschine steuert und regelt, wobei eine in dem Steuergerät abgelegte Software aus den Informationen unter Einhaltung der maximal zulässigen Leistung zum Schutz von Brennkraftmaschinenkomponenten und zur Einhaltung der Abgasgesetzgebung die maximale Kraftstoffmenge berechnet, wodurch die maximale Momentanleistung und das maximale Momentandrehmoment der Brennkraftmaschine bestimmt wird.
[0002] Ein derartiges Verfahren beziehungsweise Vorgehen ist bekannt und wird standardmäßig zum Betreiben einer Brennkraftmaschine verwendet. Dabei ist zu beachten, dass zumindest sehr ähnliche Brennkraftmaschinen einer Baureihe für unterschiedliche zulässige Leistungen vom Hersteller der jeweiligen Brennkraftmaschine freigegeben sind. Die jeweilige Freigabe hängt von dem jeweiligen Einsatz der Brennkraftmaschine ab, gegebenenfalls unter zusätzlicher Berücksichtigung der für den jeweiligen Einsatz einzuhaltenden Abgasgesetzgebung. Beispielsweise werden Brennkraftmaschinen, die bei bestimmungsgemäßem Einsatz häufig im Bereich der jeweiligen maximal zulässigen Leistung eingesetzt werden, mit einer geringeren zulässigen maximalen Leistung freigegeben als bei der gleichen Brennkraftmaschine, die bei bestimmungsgemäßem Einsatz ganz überwiegend im Bereich von Teillast eingesetzt wird. Ein Beispiel für den ersteren Fall ist die Verwendung bzw. der Einsatz der Brennkraftmaschine bei einem landwirtschaftlichem Gerät, insbesondere einem Schlepper.
[0003] Die in dem Steuergerät abgelegten Informationen sind gegen einen unberechtigten Zugriff gesichert, so dass diese normalerweise nicht verändert oder sogar manipuliert werden können. Es ist aber denkbar, dass die mittels Sensoren erfassten Informationen beispielsweise durch Einschaltung von Manipulatoren verfälscht werden. Beispiele hierfür sind gemessene Temperaturen oder Drücke, deren tatsächlich gemessenen Werte durch einen Manipulator verringert werden. Dadurch wird dem Steuergerät unterstellt, dass beispielsweise eine eingestellte Grenze, die durch eine beispielsweise Bauteiltemperatur oder beispielsweise einen Raildruck vorgegeben ist, noch nicht erreicht ist. Dies hat zur Folge, dass beispielsweise der Raildruck weiter erhöht wird und somit die maximale Leistung der Brennkraftmaschine angehoben wird.
[0004] Der Erfindung liegt die Aufgabe zugrunde, eine solche geschilderte Manipulation zu verhindern.
[0005] Diese Aufgabe wird dadurch gelöst, dass das Ausgangssignal des Sensors verschlüsselt an das Steuergerät gesendet wird. Dadurch wird eine Manipulation der Ausgangssignale ausgeschlossen, da der Verschlüsselungscode dem möglichen Manipulator unbekannt ist. In weiterer Ausgestaltung der Erfindung ist die Verschlüsselung in dem Steuergerät und dem Sensor beziehungsweise einer dem Sensor zugehörigen Sensoraufbereitungselektronik abgelegt. Dabei ist die Verschlüsselung so angelegt, dass diese sich bevorzugt selbsttätig ändert, so dass überhaupt keine Manipulationsmöglichkeit mehr gegeben ist. Wird dennoch eine Manipulation versucht, wird kein oder ein ungültiges Ausgangssignal respektive ein ungültiger Messwert von dem Steuergerät empfangen. Dies führt je nach Wichtigkeit des Messwerts zu einem Fehlereintrag in einen entsprechenden Speicher, zu einer Einstellung eines leistungsreduzierten Notbetriebs oder einer (verzögerten) Abstellung der Brennkraftmaschine.
[0006] In Weiterbildung der Erfindung kommuniziert der Sensor bzw. die Sensoraufbereitungselektronik mit dem Steuergerät der Brennkraftmaschine über insbesondere einen CAN-Bus. Der besondere Vorteil eines CAN-Busses ist es, dass über einen einzigen Kabelstrang eine Vielzahl von Sensordaten übermittelt werden können. Der Nachteil ist aber, dass die Ausgangssignale als solche direkte Rückschlüsse zu entsprechenden Messwerten zulassen und daher einfach zu manipulieren sind. Daher ist im Zusammenhang mit einem CAN-Bus die Erfindung besonders vorteilhaft einsetzbar.
[0007] In weiterer Ausgestaltung ist vorgesehen, zusätzlich zu den verschlüsselten Ausgangssignalen die gleichen Ausgangssignale unverschlüsselt an das Steuergerät zu senden. Dies ist dann sinnvoll, wenn für die Steuerung und Regelung der Brennkraftmaschine eine sehr schnelle Übermittlung von Ausgangssignalen und daran anschließend eine sofortige Aufbereitung bzw. Auswertung in dem Steuergerät erfolgt. Um hierbei gegebenenfalls auftretende Verzögerungen durch eine verschlüsselte Übertragung zu vermeiden, wird zunächst die Steuerung bzw. Regelung der Brennkraftmaschine mit den unverschlüsselt übermittelten Ausgangssignalen vorgenommen, dann anschließend werden aber die entsprechenden verschlüsselten und unverschlüsselten Ausgangssignale miteinander verglichen und bei Auftreten von einer Differenz größer einem vorgegebenen Grenzwert wird ein Fehlereintrag in einen entsprechenden Speicher eingeschrieben und/oder eine Leistungsreduzierung der Brennkraftmaschine eingestellt und/oder eine Stillsetzung der Brennkraftmaschine veranlasst. Dabei ist es nicht erforderlich, jeden verschlüsselten Wert mit dem jeweiligen unverschlüsselten Wert zu vergleichen (aber selbstverständlich möglich), sondern es ist ausreichend, in geeigneten Zeitabständen einen "stichprobenartigen" Vergleich durchzuführen. Die verschlüsselte Übertragung erfolgt bevorzugt über den CAN-Bus, während die unverschlüsselte Übermittlung über normale (schnelle) Datenleitung erfolgt.
[0008] Weitere vorteilhafte Ausgestaltungen der Erfindung sind der Zeichnungsbeschreibung zu entnehmen, in der ein in der Fig. dargestelltes Ausführungsbeispiel der Erfindung näher beschrieben ist.
[0009] Die einzige Figur zeigt einen Sensor 1, der über eine Datenleitung 2 mit einer Sensoraufbereitungselektronik 3 verschaltet ist. Die Sensoraufbereitungselektronik 3 ist ihrerseits über eine serielle Datenschnittstelle 4 in Form eines CAN-Busses mit dem elektronischen Steuergerät 5 der Brennkraftmaschine verschaltet. In der Sensoraufbereitungselektronik 3 erfolgt eine Verschlüsselung der von dem Sensor 1 übermittelten Messwerte, die dann verschlüsselt an das Steuergerät 5 weitergeleitet werden. Das Steuergerät 5 kennt den Verschlüsselungskode und kann folglich die verschlüsselten Daten wieder in die ursprünglichen Messwerte zurückwandeln und auswerten.
Bezugszeichenliste
1. Verfahren zum Betreiben einer Brennkraftmaschine mit einem elektronischen Steuergerät,
das Informationen über den Zustand der Brennkraftmaschine mittels Sensoren erfasst
und die Brennkraftmaschine steuert und regelt, wobei eine in dem Steuergerät abgelegte
Software aus den Informationen unter Einhaltung der maximal zulässigen Leistung zum
Schutz von Brennkraftmaschinenkomponenten und zur Einhaltung der Abgasgesetzgebung
die maximale Kraftstoffmenge berechnet, wodurch die maximale Momentanleistung und
das maximale Momentandrehmoment der Brennkraftmaschine bestimmt wird,
dadurch gekennzeichnet, dass das Ausgangssignal des Sensors (1) verschlüsselt an das Steuergerät (5) gesendet wird.
dadurch gekennzeichnet, dass das Ausgangssignal des Sensors (1) verschlüsselt an das Steuergerät (5) gesendet wird.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass die Verschlüsselung in dem Steuergerät (5) und dem Sensor (1) bzw. einer dem Sensor (1) zugehörigen Sensoraufbereitungselektronik (3) abgelegt ist.
dadurch gekennzeichnet, dass die Verschlüsselung in dem Steuergerät (5) und dem Sensor (1) bzw. einer dem Sensor (1) zugehörigen Sensoraufbereitungselektronik (3) abgelegt ist.
3. Verfahren nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, dass der Sensor (1) beziehungsweise die Sensoraufbereitungselektronik (3) mit dem Steuergerät (5) der Brennkraftmaschine über insbesondere einen CAN-Bus kommuniziert.
dadurch gekennzeichnet, dass der Sensor (1) beziehungsweise die Sensoraufbereitungselektronik (3) mit dem Steuergerät (5) der Brennkraftmaschine über insbesondere einen CAN-Bus kommuniziert.
4. Verfahren nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, dass der Sensor (1) beziehungsweise die Sensoraufbereitungselektronik (3) zusätzlich zu den verschlüsselten Ausgangssignalen die gleichen Ausgangssignale unverschlüsselt an das Steuergerät (5) sendet.
dadurch gekennzeichnet, dass der Sensor (1) beziehungsweise die Sensoraufbereitungselektronik (3) zusätzlich zu den verschlüsselten Ausgangssignalen die gleichen Ausgangssignale unverschlüsselt an das Steuergerät (5) sendet.
5. Verfahren nach Anspruch 4,
dadurch gekennzeichnet, dass die verschlüsselten Ausgangssignale mit den unverschlüsselten Ausgangssignalen verglichen werden.
dadurch gekennzeichnet, dass die verschlüsselten Ausgangssignale mit den unverschlüsselten Ausgangssignalen verglichen werden.