Manipulationssichere Übertragung von Signalen

Beschreibung

[0001] Die Erfindung betrifft ein Verfahren zum Betreiben einer Brennkraftmaschine mit einem elektronischen Steuergerät, das Informationen über den Zustand der Brennkraftmaschine mittels Sensoren erfasst und die Brennkraftmaschine steuert und regelt, wobei eine in dem Steuergerät abgelegte Software aus den Informationen unter Einhaltung der maximal zulässigen Leistung zum Schutz von Brennkraftmaschinenkomponenten und zur Einhaltung der Abgasgesetzgebung die maximale Kraftstoffmenge berechnet, wodurch die maximale Momentanleistung und das maximale Momentandrehmoment der Brennkraftmaschine bestimmt wird.

[0002] Ein derartiges Verfahren beziehungsweise Vorgehen ist bekannt und wird standardmäßig zum Betreiben einer Brennkraftmaschine verwendet. Dabei ist zu beachten, dass zumindest sehr ähnliche Brennkraftmaschinen einer Baureihe für unterschiedliche zulässige Leistungen vom Hersteller der jeweiligen Brennkraftmaschine freigegeben sind. Die jeweilige Freigabe hängt von dem jeweiligen Einsatz der Brennkraftmaschine ab, gegebenenfalls unter zusätzlicher Berücksichtigung der für den jeweiligen Einsatz einzuhaltenden Abgasgesetzgebung. Beispielsweise werden Brennkraftmaschinen, die bei bestimmungsgemäßem Einsatz häufig im Bereich der jeweiligen maximal zulässigen Leistung eingesetzt werden, mit einer geringeren zulässigen maximalen Leistung freigegeben als bei der gleichen Brennkraftmaschine, die bei bestimmungsgemäßem Einsatz ganz überwiegend im Bereich von Teillast eingesetzt wird. Ein Beispiel für den ersteren Fall ist die Verwendung bzw. der Einsatz der Brennkraftmaschine bei einem landwirtschaftlichem Gerät, insbesondere einem Schlepper.

[0003] Die in dem Steuergerät abgelegten Informationen sind gegen einen unberechtigten Zugriff gesichert, so dass diese normalerweise nicht verändert oder sogar manipuliert werden können. Es ist aber denkbar, dass die mittels Sensoren erfassten Informationen beispielsweise durch Einschaltung von Manipulatoren verfälscht werden. Beispiele hierfür sind gemessene Temperaturen oder Drücke, deren tatsächlich gemessenen Werte durch einen Manipulator verringert werden. Dadurch wird dem Steuergerät unterstellt, dass beispielsweise eine eingestellte Grenze, die durch eine beispielsweise Bauteiltemperatur oder beispielsweise einen Raildruck vorgegeben ist, noch nicht erreicht ist. Dies hat zur Folge, dass beispielsweise der Raildruck weiter erhöht wird und somit die maximale Leistung der Brennkraftmaschine angehoben wird. DE102007012477 beschreibt ein verfahren zum Betreiben einer Brennkraftmaschine.

[0004] Der Erfindung liegt die Aufgabe zugrunde, eine solche geschilderte Manipulation zu verhindern.

[0005] Diese Aufgabe wird dadurch gelöst, dass das Ausgangssignal des Sensors verschlüsselt an das Steuergerät gesendet wird. Dadurch wird eine Manipulation der Ausgangssignale ausgeschlossen, da der Verschlüsselungscode dem möglichen Manipulator unbekannt ist. In weiterer Ausgestaltung der Erfindung ist die Verschlüsselung in dem Steuergerät und dem Sensor beziehungsweise einer dem Sensor zugehörigen Sensoraufbereitungselektronik abgelegt. Dabei ist die Verschlüsselung so angelegt, dass diese sich bevorzugt selbsttätig ändert, so dass überhaupt keine Manipulationsmöglichkeit mehr gegeben ist. Wird dennoch eine Manipulation versucht, wird kein oder ein ungültiges Ausgangssignal respektive ein ungültiger Messwert von dem Steuergerät empfangen. Dies führt je nach Wichtigkeit des Messwerts zu einem Fehlereintrag in einen entsprechenden Speicher, zu einer Einstellung eines leistungsreduzierten Notbetriebs oder einer (verzögerten) Abstellung der Brennkraftmaschine.

[0006] In Weiterbildung der Erfindung kommuniziert der Sensor bzw. die Sensoraufbereitungselektronik mit dem Steuergerät der Brennkraftmaschine über insbesondere einen CAN-Bus. Der besondere Vorteil eines CAN-Busses ist es, dass über einen einzigen Kabelstrang eine Vielzahl von Sensordaten übermittelt werden können. Der Nachteil ist aber, dass die Ausgangssignale als solche direkte Rückschlüsse zu entsprechenden Messwerten zulassen und daher einfach zu manipulieren sind. Daher ist im Zusammenhang mit einem CAN-Bus die Erfindung besonders vorteilhaft einsetzbar.

[0007] In weiterer Ausgestaltung ist vorgesehen, zusätzlich zu den verschlüsselten Ausgangssignalen die gleichen Ausgangssignale unverschlüsselt an das Steuergerät zu senden. Dies ist dann sinnvoll, wenn für die Steuerung und Regelung der Brennkraftmaschine eine sehr schnelle Übermittlung von Ausgangssignalen und daran anschließend eine sofortige Aufbereitung bzw. Auswertung in dem Steuergerät erfolgt. Um hierbei gegebenenfalls auftretende Verzögerungen durch eine verschlüsselte Übertragung zu vermeiden, wird zunächst die Steuerung bzw. Regelung der Brennkraftmaschine mit den unverschlüsselt übermittelten Ausgangssignalen vorgenommen, dann anschließend werden aber die entsprechenden verschlüsselten und unverschlüsselten Ausgangssignale miteinander verglichen und bei Auftreten von einer Differenz größer einem vorgegebenen Grenzwert wird ein Fehlereintrag in einen entsprechenden Speicher eingeschrieben und/oder eine Leistungsreduzierung der Brennkraftmaschine eingestellt und/oder eine Stillsetzung der Brennkraftmaschine veranlasst. Dabei ist es nicht erforderlich, jeden verschlüsselten Wert mit dem jeweiligen unverschlüsselten Wert zu vergleichen (aber selbstverständlich möglich), sondern es ist ausreichend, in geeigneten Zeitabständen einen "stichprobenartigen" Vergleich durchzuführen. Die verschlüsselte Übertragung erfolgt bevorzugt über den CAN-Bus, während die unverschlüsselte Übermittlung über normale (schnelle) Datenleitung erfolgt.

[0008] Weitere vorteilhafte Ausgestaltungen der Erfindung sind der Zeichnungsbeschreibung zu entnehmen, in der ein in der Fig. dargestelltes Ausführungsbeispiel der Erfindung näher beschrieben ist.

[0009] Die einzige Figur zeigt einen Sensor 1, der über eine Datenleitung 2 mit einer Sensoraufbereitungselektronik 3 verschaltet ist. Die Sensoraufbereitungselektronik 3 ist ihrerseits über eine serielle Datenschnittstelle 4 in Form eines CAN-Busses mit dem elektronischen Steuergerät 5 der Brennkraftmaschine verschaltet. In der Sensoraufbereitungselektronik 3 erfolgt eine Verschlüsselung der von dem Sensor 1 übermittelten Messwerte, die dann verschlüsselt an das Steuergerät 5 weitergeleitet werden. Das Steuergerät 5 kennt den Verschlüsselungskode und kann folglich die verschlüsselten Daten wieder in die ursprünglichen Messwerte zurückwandeln und auswerten.

Bezugszeichenliste

[0010] 

1

Sensor

2

Datenleitung

3

Sensoraufbereitungselektronik

4

Datenschnittstelle

5

Steuergerät

Ansprüche

1. Verfahren zum Betreiben einer Brennkraftmaschine mit einem elektronischen Steuergerät, das Informationen über den Zustand der Brennkraftmaschine mittels Sensoren erfasst und die Brennkraftmaschine steuert und regelt, wobei eine in dem Steuergerät abgelegte Software aus den Informationen unter Einhaltung der maximal zulässigen Leistung zum Schutz von Brennkraftmaschinenkomponenten und zur Einhaltung der Abgasgesetzgebung die maximale Kraftstoffmenge berechnet, wodurch die maximale Momentanleistung und das maximale Momentandrehmoment der Brennkraftmaschine bestimmt wird, wobei das Ausgangssignal des Sensors (1) verschlüsselt oder zusätzlich die gleichen Ausgangssignale unverschlüsselt an das Steuergerät (5) gesendet wird, anschließend werden aber die entsprechenden verschlüsselten und unverschlüsselten Ausgangssignale miteinander verglichen und bei Auftreten von einer Differenz größer einem vorgegebenen Grenzwert wird ein Fehlereintrag in einen entsprechenden Speicher eingeschrieben und/oder eine Leistungsreduzierung der Brennkraftmaschine eingestellt und/oder eine Stillsetzung der Brennkraftmaschine veranlasst.

2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass die Verschlüsselung in dem Steuergerät (5) und dem Sensor (1) bzw. einer dem Sensor (1) zugehörigen Sensoraufbereitungselektronik (3) abgelegt ist.

3. Verfahren nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, dass der Sensor (1) beziehungsweise die Sensoraufbereitungselektronik (3) mit dem Steuergerät (5) der Brennkraftmaschine über insbesondere einen CAN-Bus kommuniziert.

4. Verfahren nach einem der vorherigen Ansprüche,
dadurch gekennzeichnet, dass der Sensor (1) beziehungsweise die Sensoraufbereitungselektronik (3) zusätzlich zu den verschlüsselten Ausgangssignalen die gleichen Ausgangssignale unverschlüsselt an das Steuergerät (5) sendet.

5. Verfahren nach Anspruch 4,
dadurch gekennzeichnet, dass die verschlüsselten Ausgangssignale mit den unverschlüsselten Ausgangssignalen verglichen werden.

Claims

1. Method for operating an internal combustion engine having an electronic control device which acquires information about the status of the internal combustion engine by means of sensors and performs open-loop and closed-loop control of the internal combustion engine, wherein a software which is stored in the control device calculates the maximum quantity of fuel from the information while maintaining the maximum permissible power in order to protect internal combustion engine components and in order to comply with regulations around exhaust gas emissions, as a result of which the maximum instantaneous power and the maximum instantaneous torque of the internal combustion engine are determined, wherein the output signal of the sensor (1) is transmitted in encrypted form, or additionally the same output signals are transmitted in unencrypted form, to the control device (5), but the corresponding encrypted and unencrypted output signals are subsequently compared with one another, and when a difference which is greater than a predetermined limiting value occurs a fault entry is written into a corresponding memory and/or a reduction in power of the internal combustion engine is set and/or deactivation of the internal combustion engine is brought about.

2. Method according to Claim 1,
characterized in that the encryption is stored in the control device (5) and the sensor (1) or sensor conditioning electronics (3) associated with the sensor (1).

3. Method according to one of the preceding claims,
characterized in that the sensor (1) or the sensor conditioning electronics (3) communicate with the control device (5) of the internal combustion engine via, in particular, a CAN bus.

4. Method according to one of the preceding claims,
characterized in that the sensor (1) or the sensor conditioning electronics (3) transmit the same output signals in unencrypted form, in addition to the encrypted output signals, to the control device (5).

5. Method according to Claim 4,
characterized in that the encrypted output signals are compared with the unencrypted output signals.

Revendications

1. Procédé pour le fonctionnement d'un moteur à combustion interne comportant un appareil de commande électronique qui, au moyen de capteurs, détecte des informations concernant l'état du moteur à combustion interne et commande et régule le moteur à combustion interne, dans lequel un logiciel stocké dans l'appareil de commande calcule la quantité maximale de carburant à partir desdites informations tout en maintenant la puissance maximale -admissible pour protéger des composants du moteur à combustion interne et pour respecter la réglementation en matière de gaz d'échappement, cela permettant de déterminer la puissance maximale instantanée et le couple maximal instantané du moteur à combustion interne, dans lequel le signal de sortie du capteur (1) est crypté ou les mêmes signaux de sortie sont en outre envoyés à l'appareil de commande (5) sans être cryptés, mais les signaux de sortie cryptés et non cryptés correspondants sont ensuite comparés les uns aux autres et lorsqu'une différence supérieure à une valeur limite prédéterminée se produit, une entrée d'erreur est enregistrée dans une mémoire correspondante et/ou une réduction de puissance du moteur à combustion interne est réglée et/ou un arrêt du moteur à combustion interne est déclenché.

2. Procédé selon la revendication 1, caractérisé en ce que le cryptage est stocké dans l'appareil de commande (5) et dans le capteur (1) ou dans une électronique de traitement de capteur (3) associée au capteur (1).

3. Procédé selon l'une des revendications précédentes, caractérisé en ce que le capteur (1) ou l'électronique de traitement de capteur (3) communique avec l'appareil de commande (5) du moteur à combustion interne, notamment par l'intermédiaire d'un bus CAN.

4. Procédé selon l'une des revendications précédentes, caractérisé en ce que le capteur (1) ou l'électronique de traitement de capteur (3) envoie les mêmes signaux de sortie non cryptés à l'appareil de commande (5) en plus des signaux de sortie cryptés.

5. Procédé selon la revendication 4, caractérisé en ce que les signaux de sortie cryptés sont comparés aux signaux de sortie non cryptés.

Zeichnung