具有分成多个分开的域的数据网络的机动车及用于运行数据网络的方法与流程

本发明涉及一种具有数据网络的机动车，该机动车的多个控制器通过所述数据网络相互耦联以交换消息数据。本发明还包括一种用于运行所述数据网络的方法。

背景技术：

在机动车中，人们对如下方面感兴趣，即，在电路技术上尽可能简单且一致地构造其数据网络。这里，统一的网络技术是有利的。另一方面，出于安全考虑，也感兴趣的是，使控制器彼此在数据技术上分离，使得例如与行驶安全性相关的控制器不会被其它控制器影响，如果这些其它控制器损坏或被篡改的话。在此，将数据网络划分成域是有利的，所述域例如在现有技术中可以基于不同的总线技术来实现。因此，可以设置多个can线程(can控制器局域网)、flexray总线和以太网，它们是彼此分开的域。

然而，在这样的域中存在缺点，即，需要在多个或甚至全部域中可用的信号或信号数据。这可以是一般性的信息，例如当前的时钟时间，或者也可以是跨域功能的功能数据，例如远程控制或自主泊车或车辆诊断。因此，需要能够跨越域边界分发预定的一般性信息。困难在于，将这些一般性信息这样分发到数据网络中，使得例如与行驶安全相关的控制器或者通常所选择的或预先确定的控制器与其余控制器保持严格分离，并且域边界不会由于所传输的一般性信息而被软化或例如对于黑客而变得可逾越。为此，可以借助网关受控地将具有一般性信息的消息数据越过域边界或域过渡传输，但是这会引起由于通过网关转换消息数据而导致的传输延迟。

由de10027006a1已知，在机动车中可以通过网络来识别控制器，以便由此确定其可靠性。

由de102007010264a1已知一种用于在机动车的数据网络中进行诊断的主机设备。但是，通过该主机设备不能确保数据网络的安全。

从de102014207389a1中已知一种方法，如何如此设计不同优先级的消息信号的相互关系，使得在具有高优先级的消息与低优先级的消息冲突时，在数据网络中无失真地传输具有高优先级的消息。为此，在数据网络中定义显性和隐性信号电平。

技术实现要素：

本发明的目的在于，在机动车的数据网络中彼此分离控制器组并且仍然能够有效且安全地实现具有一般性信息的消息数据的分发，所述一般性信息要跨域分发。

该任务通过独立权利要求的主题来解决。本发明的有利改进方案通过从属权利要求、以下说明以及附图来描述。

通过本发明提供了一种具有数据网络的机动车。机动车的多个控制器通过数据网络相互耦联以交换消息数据。这样的消息数据例如可以包含传感器的至少一个传感器信号和/或用于执行器的至少一个控制命令和/或控制器的至少一个状态值。数据网络被划分或下分为不同的域。通过所述域中的每个，分别将控制器中的一些耦联到数据网络上。在此，域优选是不相交的，也就是说，控制器中的每个仅耦联到域中的一个上。域中的每个包括其它控制器。域例如可以通过地址范围来定义，也就是用于发送和/或接收消息数据的有效设备地址的相应集合。在每个域之内的控制器之间的消息交换在此也是无障碍的。换言之，在域中，与其耦联的控制器可以直接为域内的每个其他控制器提供消息数据。直接在此是指，在控制器之间虽然可选地也可以设置交换机，但是该交换机不检查消息数据的内容。相反，在不同的域之间消息数据的交换完全被阻止或者仅根据在至少一个域过渡处设置的授权检验来允许。这样的授权检验可以是例如这样的路由，其检验预定路由规则，所述规则规定域中的哪个控制器可以发出或传送到至少一个其他域中的哪个其他控制器。通过划分成域，因此仅在其相应的域内的控制器可以无障碍地彼此交换消息数据。由此能够实现所述的控制器分离。因此，例如与行驶安全性相关的控制器可以与例如娱乐电子装置的控制器分开，其方式是，这些控制器被耦联到不同的域中。

为了能够跨域地分发或发送具有一般性信息的消息数据，数据网络附加地具有总域，控制器中的每个控制器附加地通过总域耦联到数据网络。因此，总域可以是附加的地址范围。每个控制器于是可以例如具有两个用于发送和/或接收消息数据的设备地址，一个用于域而一个用于总域。但是，如在下面还要进一步阐述的那样，优选地仅控制器中的一个在总域中进行发送。因此，控制器可以要么从其自己的域中要么从总域中接收消息数据。因为每个控制器耦联在总域中，所以可以在总域上无障碍地在控制器之间交换消息数据，即直接地或经由交换机或者作为广播或作为组播。因此，为了将消息数据从一个域的控制器传输到另一个域的控制器，不必克服两个域之间的域过渡，从而例如路由或者网关是不必要的或者一般地授权检验。取而代之，可以通过总域将跨域的消息数据直接从一个控制器传输到另一控制器，即无障碍地传输，而不在总域内进行授权检验。域因此是子网络，总域作为上级的总网络延伸经过多个这些域。

本发明的优点在于，域可以彼此完全分开，即，可以完全阻止不同域之间的消息数据在域边界或域过渡处传输，并且取而代之的是，应当跨域分发的消息数据可以通过单独的域、即总域被传输给每个控制器。这些消息数据因此可以作为域内数据交通在总域内发送。“所有控制器”被组合在总域中的表述如此理解，即，在机动车中也还可以存在其他的控制器，所述其他的控制器不是总域的组成部分。为了描述本发明，在此仅考察机动车的这样的控制器的组，所述控制器也由总域包括。

本发明还包括改进方案，通过这些改进方案的特征得到附加的优点。

优选地，纯逻辑地实现将数据网络划分为域。在此，数据网络的至少一部分可以是以太网。以太网的每个域和总域的包括以太网的部分分别构造为以太网的vlan(虚拟局域网)。总域和数据网络被划分成的各个域可以在共同的物理数据网络中、即在共同的物理数据线上传输其对应的消息数据。尽管如此，域彼此间不影响并且通过借助vlan进行逻辑分离不影响总域。借助mac地址(mac-媒体访问控制)和/或ip地址(ip-因特网协议)实现分离，从而每个消息可以单义地被配属于一个域或总域。可以通过对交换机编程或配置来完成域的划分和总域的定义。

为了控制器不会在总域内例如由于缺陷或篡改而彼此不期望地影响，优选地设置，在总域中设计有发送授权的控制器到其余控制器的单向通信。尤其，仅唯一一个控制器有发送授权。这在下面也称为sim(安全域间主机)。为了实现，由其余控制器之一仍然在总域中发出的消息数据(例如由于缺陷或篡改)继续保持不影响其余控制器，在总域中，其余控制器仅接受由有发送授权的控制器发出的消息数据作为有效。因此，每个其他控制器的消息数据被忽略或者至少分类为无效。

为了对总域中消息数据的发送方进行检验以针对其余控制器防篡改，优选地设置，有发送授权的控制器被设置用于执行对由其发送的消息数据的加密签名和/或编码。可以由其余控制器检验的签名和/或编码例如可以基于非对称编码(公共密钥/私有密钥方法)来实现。在此，签名设置，消息数据虽然被未编码地传输，但是将被加密地编码的校验和作为签名一起传输。替代地，可以设置消息数据本身的(完全的)编码。其他控制器然后从总域中仅接受被成功地解码和/或借助加密的校验和验证的消息数据。

在仅一个唯一的有发送授权的控制器的情况下，该控制器则用作消息分发器。有发送授权的控制器在此优选设置用于从域中的多个接收相应的消息数据并且经由总域将其发送给其余的控制器中的至少一个。因此，如果第一控制器希望将消息数据发送到或分发到至少一个另外的、不在相同的域中的第二控制器上，则第一控制器可以将消息数据发送到有发送权限的控制器、即sim，该sim然后可以将消息数据通过总域分发或转发到至少一个另外的第二控制器上。

当有发送授权的控制器将消息数据通过总域转发或发送到多个其他控制器时，得到特别的优点。有发送授权的控制器在此优选地被设置用于，在所接收的消息数据的情况下执行预先确定的置信度检验和/或完整性检验和/或可靠性检验。由此得到的优点是，相应的检验仅须由有发送授权的控制器执行一次，而不是通过其余的控制器中的每个来执行，所述其余的控制器经由总域接收消息数据。置信度检验在此可以如下地设置检验，在消息数据中被信号化的值，例如传感器值、例如温度或转向角，是否位于预先确定的值区间内。否则，该值不可信。完整性检验可以设计为，对将消息数据发送给有发送授权的控制器的控制器进行发送授权。由此可以确保，消息数据仅由对此消息数据有发送授权的控制器来提供。可靠性检验可以设计为，控制器实际上也识别身份的真实性，所述身份在产生消息数据时规定控制器的发送。如果有人在域之一上衔接上一个附加的控制器并且利用该控制器在规定错误的身份或发送方地址的情况下发送消息数据，则这可以通过可靠性检验来发现。

有发送授权的控制器不必与网关一致，通过该网关使不同的域彼此分开。有发送授权的控制器因此可以与构成域之间的域过渡/域过渡的网关不同。在这种情况下，网关于是优选地设定为，将位于其他域之一中的其余控制器之一的消息数据无检验地转发给有发送授权的控制器。由此避免在通过网关进行检验时的延迟。因为在有发送授权的控制器中执行所描述的对置信度和/或完整性和/或可靠性的检验，所以不必在网关中进行附加的、不必要的检验。有发送授权的控制器可以为了其自身的保护和为了总域的保护还附加地具有防火墙。

借助有发送授权的控制器和总域，可以在机动车中以所述方式为控制器提供一般性信息，即用于不同域的控制器的信息。尤其，有发送授权的控制器设置用于从其余控制器中的相应控制器中接收定时器单元(例如时钟)的时间信号数据和/或机动车的行驶速度的速度数据和/或机动车转向角的转向角数据和/或数据网络的网络管理数据，并将这些数据在总域上分发或继续发送或发送给其余控制器中的至少一些控制器。借助于所述时间信号数据能够使控制器同步。借助网络管理数据可以控制控制器到数据网络的耦联。借助于速度数据和转向角数据，可以提供跨域的功能、例如驾驶员辅助。

由于现在域可以通过阻断或至少控制域过渡处的数据交换而彼此始终或完全地分开，也可以使数据网络与机动车外部数据源、例如借助蓝牙耦联的移动终端设备(例如智能手机)和/或因特网服务器特别安全地解耦。可以实现将数据从至少一个机动车外部数据源中解耦，其方式是，至少一个机动车外部数据源通过至少一个附加的域耦联到数据网络上。因此，例如可以将wlan路由器和/或蓝牙应答器和/或移动无线电模块分别作为各自的域来管理。

根据本发明的机动车优选构造为汽车、尤其是轿车或载重汽车。

通过在机动车中运行所描述的数据网络得到了根据本发明的方法。因此，多个控制器通过数据网络相互交换消息数据并且为此通过数据网络耦联。在此，数据网络以划分为不同的域的方式运行，即，例如通过提供多个vlan，其中每个vlan表示一个域。在域的每个中，控制器中的一些分别耦联到数据网络。在vlan的情况下，控制器因此在vlan的相应的以太网子网中登录或注册。在此，在每个域中分别包含其他的控制器。在每个域内的控制器之间的消息数据交换在此是无阻碍的，如其在vlan情况下在以太网中已知的那样。在不同的域之间，消息数据的交换或者被阻止或者至少仅根据在至少一个域过渡处设置的授权检验来允许。取而代之的是，根据本发明通过如下方式实现跨域交换消息数据，即，数据网络附加地具有总域，并且控制器中的每个附加地在总域中耦联到数据网络。也就是说，控制器例如可以耦联到两个不同的vlan中，即，耦联到其自身的域和总域中。为此，控制器例如可以具有或使用两个不同的ip地址(ip互联网协议)用于发送和/或接收消息数据。

根据本发明的方法的具有如已经结合根据本发明的机动车的改进方案描述的特征的改进方案也属于本发明。出于这个原因，在此不再描述根据本发明的方法的相应的改进方案。

附图说明

下面描述本发明的实施例。为此，唯一的附图(图)示出了根据本发明的机动车的实施方式的示意图。

具体实施方式

下面阐述的实施例是本发明的优选实施方式。在实施例中，实施方式的所描述的部件分别是本发明的各个可视为彼此独立的特征，这些特征分别也彼此独立地改进本发明并且因此也可以单独地或以与所示出的组合不同的组合被视为本发明的组成部分。此外，所描述的实施方式也可以通过本发明的已经描述的特征中的其它特征来补充。

附图示出机动车10，该机动车可以是汽车、尤其是轿车或载重汽车。机动车10可以具有数据网络11，该数据网络可以具有以太网12(ethernet)并且可选地具有数据总线13，该数据总线可以包括一种或多种不同的总线技术，例如can、flexray、lin(本地互连网络)和/或most(面向媒体的系统传输)。以太网12和总线系统13可以经由网关14(gw)相互耦联或连接。借助于数据网络11，控制器15可以彼此交换消息数据16。在此确保，不是每个控制器15都能够以其消息数据16到达每个其他控制器15并且由此潜在地能够影响其他控制器15的运行。数据网络11为此被划分为域17，这可以在以太网12内通过相应的vlan(vlan_1、vlan_2)来实现。机动车11的数据总线在此可以分别是域17。域边界或域过渡18可以分别由网关14构成。

这些控制器通过标记彼此区分，这些标记规定对应的域17(d1，d2，d3)并且在对应的域17内规定控制器(sg_1，sg_2，sg_3)的排序号码。

在机动车10中，在其数据网络11中形成附加的总域19，在该总域中允许控制器15之一发出，在此被称为sim(安全领域主机)和在总域19中形成具有发送授权的控制器。在此示例性地规定，控制器15之一产生用于同步控制器15的时间信号“时间”，并且将相应的时间信号数据20发送给有发送授权的控制器sim。有发送授权的控制器sim可以检验时间信号“时间”的时间信号数据20或者通常检验所接收的消息数据，例如在置信度和/或完整性和/或可靠性方面，并且然后在总域19中将其作为经检验的消息数据21发送给其余的控制器15。例如，网关14可以将经检验的消息数据21(“安全时间”)发送到相应的域17、也就是以太网12的vlan中和数据总线13中。在数据总线13中，消息数据21例如可以作为广播被发送。

sim因此是车载网络中的安全锚，并且融合在整个车载网络中可用的特定数据。此外，sim可以相应地判断这些数据的可信度。此外，对于所有在此发送的消息数据可以采取可靠性和完整性保护的附加措施。这些信号然后通过专用的vlan分发给所有其他的接收器。在该vlan中只允许sim起写入作用。因此，在vlan之间不需要路由，gw可以在检验帧或一般的消息数据的完整性之后运行简单的交换。在此无关的是，时间信号同时也不受保护地分发在vlan_1内部并且控制器仅依据sim有规律地验证该信号，或者这些控制器是否如图中所示仅得到sim的信号。

所产生的技术优点尤其是：

在车载网络中提供一般性信息的标准组。

许多控制器不需要在不同vlan之间进行复杂的路由来得到一般性信息。

因为在vlan之间不需要路由，所以可以更简单地遵守对于这些一般性信息的延迟要求。

与从外部进入所述车辆的数据交通和由此在所述车辆中触发的行动明确地解耦。

关键信号的验证。

如果来自损坏的sg或交换机的数据在传输路径上被改变，则可以相对准确地确定这发生在何处，因为每个交换机和每个sg都可以检验数据的完整性。

这尤其通过以下特点来实现：

在sim-vlan中的单向连接(总域)。

仅从sim到信号接收器(另一控制器)。

仅sim必须在技术和工艺技术方面以特别的程度被强化。

sim是中央控制器，它对其所发送的消息数据进行加密的完整性保护。

sim知道应用逻辑的一部分，并且因此可以验证在预定的帧中所获得的信号的置信度。

sim在最好的情况下还具有其他测量值，sim可以用这些测量值附加地校正信号。

此外，sim可以具有特别受保护的防火墙。因此，如果sim在与信号发生器不同的vlan中运作，则gw可以在原则上将消息数据无需或带有较轻微检验地转发给该vlan。否则，在此又失去了时间优势。

该示例总体上表明，通过本发明可以如何在基于以太网的车载数据网络中提供安全性主设备(sim-安全性域间主机)。