Die Erfindung betrifft den Bereich der Fahrzeuge und insbesondere den Bereich der Nutzfahrzeuge. Derartige Nutzfahrzeuge umfassen Zugfahrzeuge, wie Lastkraftwagen oder Sattelschlepper, und Anhängerfahrzeuge, wie beispielsweise Deichselanhänger oder Sattelauflieger. Insbesondere betrifft die Erfindung Anhängerfahrzeuge.

Die hier betrachteten Fahrzeuge weisen eine Vielzahl von Steuergeräten auf, die auch „electronic control unit“ oder kurz ECU, genannt werden. Die Steuergeräte werden eingesetzt, um einzelne Funktionen des Fahrzeugs zu steuern. Vorzugsweise werden durch die Steuergeräte beispielsweise Aktoren des Fahrzeugs angesteuert oder Sensoren des Fahrzeugs ausgelesen. Beispiele für Steuergeräte von Fahrzeugen sind Bremssteuergeräte, kurz EBS oder TEBS, zum Ansteuern verschiedenartiger Bremsfunktionalitäten, wie beispielsweise ein Ansteuern von Reibbremsen des Fahrzeugs, und Luftfedersteuergeräte zum Ansteuern einer Luftfederung. Steuergeräte von modernen Fahrzeugen sind über ein Fahrzeugnetzwerk zur Datenkommunikation, insbesondere einen Datenbus, miteinander verbunden, um Daten untereinander auszutauschen.

So kann beispielsweise mit einem Steuergerät eines Luftfedersystems eine Masse des Fahrzeugs bestimmt werden. Hierzu wird mit einem Sensor der vorherrschende Druck in den Luftbälgen gemessen und an das Steuergerät des Luftfedersystems übertragen. Aus dem vorherrschenden Druck kann das Steuergerät die Masse bestimmen und die bestimmte Masse beispielsweise für ein Bremssteuergerät bereitstellen, wobei das Bremssteuergerät dann diese Massen zur Ansteuerung der Aktoren berücksichtigen kann.

Aufgrund der zunehmenden Anzahl derartiger Steuergeräte und damit zunehmender Interaktion der Steuergeräte untereinander steigen die Anforderungen an das Fahrzeugnetzwerk zum Datenaustausch, insbesondere im Hinblick auf die Datensicherheit eines Fahrzeugnetzwerksystems, das die Steuergeräte und das Fahrzeugnetzwerk selbst umfasst. Besonders relevant werden die Anforderungen an die Datensicherheit durch zunehmend automatisierte Fahrfunktionen, die ein teilweises oder vollständig autonomes Agieren des Fahrzeugs ermöglichen und auch unter Verwendung der genannten Steuergeräte realisiert werden. Steuergeräte zur Realisierung der automatisierten Fahrfunktionen müssen auf Sensoren und Aktoren des Fahrzeugs zwingend fehlerfrei zugreifen können, wohingegen eine Manipulation solcher Zugriffe zu gefährlichen Fahrsituationen oder Unfällen führen kann. Um die Datensicherheit zu gewährleisten, werden Steuergeräte, die sicherheitskritische Funktionen ausführen können, daher häufig nicht mit allgemeinen Datenbussen des Fahrzeugs verbunden. Vielmehr sind für solche Steuergeräte gesicherte Verbindungen vorgesehen, so dass solche Steuergeräte Steuerbefehle, insbesondere sicherheitskritische Steuerbefehle, mit den gesicherten Verbindungen austauschen.

Um Anforderungen an die Datensicherheit zu gewährleisten sind bereits verschiedene Maßnahmen bekannt. Beispielsweise ist ein Anhängernetzwerksystem gemäß dem Stand der Technik so aufgebaut, dass ein sicherheitskritisches Steuergerät, wie das Bremssteuergerät, sicherheitskritische Befehle, beispielsweise zum Aktivieren der Reibbremsen, über eine genormte Schnittstelle mit einem Protokoll nach ISO 11992-2 vom Zugfahrzeug erhält. Moderne Anhängerfahrzeuge weisen zudem eine weitere Schnittstelle auf, die Daten mit einem Protokoll nach ISO 11992-3 mit dem Zugfahrzeug austauscht. Über die weitere Schnittstelle kann eine Kommunikation mit weiteren Komponenten des Anhängerfahrzeugs, die beispielsweise über ein Bussystem angeschlossen sind, erfolgen.

Zunehmend wird aber angestrebt, zusätzlich oder sogar alternativ zu bisherigen Schnittstellen eine Schnittstelle bereitzustellen, über die sämtliche, auch sicherheitskritische Befehle vom Zugfahrzeug an das Anhängerfahrzeug übertragen und über die Daten zwischen weiteren Steuergeräten oder Komponenten des Anhängerfahrzeugs und dem Zugfahrzeug ausgetauscht werden können. Über eine derartige Schnittstelle ist dann der gesamte Datenverkehr zwischen Zugfahrzeug und Anhängerfahrzeug auszuführen, so dass konsequenterweise alle Steuergeräte des Anhängerfahrzeugs mit dieser Schnittstelle, beispielsweise über einen Bus, verbunden sein können. Insbesondere Steuergeräte, die beispielsweise einen drahtlosen Fernzugriff auf das Anhängernetzwerksystem erlauben, stellen dann eine Gefahr für sicherheitsrelevante Steuergeräte, nämlich Steuergeräte, die sicherheitsrelevante Funktionen ausführen, wie beispielsweise das Bremssteuergerät, dar.

Aufgabe der vorliegenden Erfindung ist es demnach, den Problemen des Standes der Technik zu begegnen. Insbesondere soll die Gefahr reduziert werden, dass Angriffe von Komponenten des Fahrzeugs auf sicherheitskritische Systeme zu gefährdenden Fahreingriffen führen. Jedenfalls soll eine Alternative zum aus dem Stand der Technik Bekannten gefunden werden.

Hierzu beschreibt die Erfindung ein Anhängernetzwerksystem zur Datenkommunikation in einem Anhängerfahrzeug nach Anspruch 1.

Das erfindungsgemäße Anhängernetzwerksystem dient zur Datenkommunikation in einem Anhängerfahrzeug. Das Anhängernetzwerksystem umfasst mindestens zwei Hauptsteuergeräte. Die Hauptsteuergeräte sind jeweils eingerichtet, sicherheitsrelevante Funktionen des Anhängerfahrzeugs auszuführen. Außerdem umfasst das Anhängernetzwerksystem mindestens ein Nebensteuergerät. Das Nebensteuergerät dient zum Ausführen sicherheitsunrelevanter Funktionen, also Funktionen, die nicht sicherheitsrelevant sind.

Außerdem umfasst das Anhängernetzwerksystem einen Hauptdatenbus. Der Hauptdatenbus umfasst mehrere Hauptdatenbusschnittstellen. Die Hauptsteuergeräte sind jeweils mit einer Hauptdatenbusschnittstelle der mehreren Hauptdatenbusschnittstellen verbunden. Über den Hauptdatenbus sind somit die Hauptsteuergeräte zum Austausch von Daten miteinander verbunden. Das Nebensteuergerät ist mit dem Hauptdatenbus unverbunden, also nicht verbunden. Im Fall mehrerer Nebensteuergeräte sind alle Nebensteuergeräte mit dem Hauptdatenbus unverbunden.

Außerdem umfasst das Anhängernetzwerksystem einen Nebendatenbus mit mehreren Nebendatenbusschnittstellen. Eine Nebendatenbusschnittstelle der mehreren Nebendatenbusschnittstellen ist mit einem der Hauptsteuergeräte verbunden. Eine weitere Nebendatenbusschnittstelle ist mit einem weiteren der Hauptsteuergeräte verbunden. Eine wiederum weitere Nebendatenbusschnittstelle der mehreren Nebendatenbusschnittstellen ist mit dem Nebensteuergerät verbunden. Im Fall mehrerer Hauptsteuergeräte und/oder mehrerer Nebensteuergeräte, sind demnach alle Haupt- und Nebensteuergeräte jeweils mit dem Nebenbus verbunden. Der Nebendatenbus dient somit zum Datenaustausch zwischen allen Haupt- und Nebensteuergeräten des Anhängernetzwerksystems.

Gemäß der Erfindung sind demnach das oder die Hauptsteuergeräte durch zwei Datenbusse miteinander verbunden, nämlich durch den Hauptdatenbus und den Nebendatenbus. Idee der Erfindung ist, dass der Hauptdatenbus nur die Hauptsteuergeräte nicht aber die Nebensteuergeräte verbindet. Der Hauptdatenbus stellt somit keine Schnittstellen zum Anschluss von Nebensteuergeräten des Anhängerfahrzeugs bereit. Zum Anschluss von Nebensteuergeräten ist ein Nebendatenbus vorgesehen. Steuergeräte, die sicherheitsunrelevante Funktionen ausführen und eine Gefahr für Steuergeräte darstellen können, die sicherheitsrelevante Funktionen ausführen, sind somit nur über den Nebendatenbus verbindbar.

Eine sichere Kommunikation zwischen Hauptsteuergeräten ist somit über den Hauptdatenbus möglich, so dass sicherheitskritische Befehle, die beispielsweise durch eines der Hauptsteuergeräte von einem Zugfahrzeug oder einem weiteren Hauptsteuergerät empfangen werden, sicher an das Hauptsteuergerät übertragen werden können. Nebensteuergeräte des Anhängerfahrzeugs können nicht auf den Hauptdatenbus zugreifen, da dieser nicht für die Nebensteuergeräte zugänglich ist. Dieser Aufbau des Anhängernetzwerksystems ermöglicht eine sichere Kommunikation der Steuergeräte, die sicherheitsrelevante Funktionen ausführen. Ferner ermöglicht der Aufbau, dass im Fall eines Ausfalls des Hauptdatenbusses auch die Hauptsteuergeräte über den Nebendatenbus kommunizieren können. Es liegt somit eine teilweise redundante Busverbindung vor, so dass der Nachteil des zusätzlichen Aufwands zur Erhöhung der Datensicherheit durch gleichzeitige Erhöhung der Ausfallsicherheit aufgewogen wird. Beim Ausfall des Hauptdatenbusses sind die Hauptsteuergeräte zwar weniger vor Angriffen durch die Nebensteuergeräte geschützt, wobei die geringere Wahrscheinlichkeit eines derartigen Angriffs in solch einer Situation in Kauf genommen wird, um dennoch eine Kommunikation zwischen den Hauptsteuergeräten trotz Ausfall des Hauptdatenbusses sicherzustellen. Gemäß einer ersten Ausführungsform entsprechen die Hauptsteuergeräte jeweils einem Steuergerät, das eingerichtet ist, eine Fahrfunktion des Anhängerfahrzeugs zu beeinflussen. Insbesondere ist jedes der Hauptsteuergeräte jeweils eingerichtet, einen Aktor des Anhängerfahrzeugs anzusteuern. Gemäß dieser Ausführungsform ist das Nebensteuergerät ein Steuergerät, das eingerichtet ist, die Fahrfunktion des Anhängerfahrzeugs unbeeinflusst zu lassen. Insbesondere ist das Nebensteuergerät eingerichtet, eine aktorlose Funktion auszuführen. Die Hauptsteuergeräte dienen demnach jeweils, um alle Funktionen, die eine Fahrt des Anhängerfahrzeugs betreffen und einen direkten Einfluss auf die Fahrt oder Fortbewegung haben, zu steuern. Das Nebensteuergerät entspricht demnach einem Steuergerät, das keinen direkten Einfluss auf die Fahrt oder Fortbewegung des Anhängerfahrzeugs hat.

Nebensteuergeräte, die somit keinen direkten Einfluss auf die Fahrfunktion haben, bleiben mit dem Hauptdatenbus unverbunden und können somit keinen Einfluss auf Hauptsteuergeräte haben, die sicherheitsrelevante Daten über den Hauptdatenbus austauschen und insbesondere durch diesen Austausch der Daten Einfluss auf Fahrfunktionen des Anhängerfahrzeugs haben können.

Gemäß einer weiteren Ausführungsform ist jedes der Hauptsteuergeräte jeweils eingerichtet, um mindestens einen Aktor zum Betätigen einer Betriebsbremse, einen Aktor zum Betätigen einer Feststellbremse, einen Aktor zum Anheben und/oder Absenken einer Liftachse, einen Aktor zum Anheben und/oder Absenken eines Anhängerstützfußes, einen Aktor zum Ansteuern einer Anhängerfahrzeugniveauregulierung oder einen Aktor, insbesondere einen elektrischen Motor, zum Antreiben oder Abbremsen eines Rades oder einer Achse des Anhängerfahrzeugs anzusteuern. Das Nebensteuergerät ist gemäß dieser Ausführungsform eingerichtet, eine Funktion auszuführen, die sich von der Ansteuerung der gemäß dieser Ausführungsform genannten Aktoren, die durch das Hauptsteuergerät ansteuerbar sind, unterscheidet.

Es ist demnach eine abschließende Liste von Aktoren vorgegeben, die über mehrere Hauptsteuergeräte jeweils ansteuerbar sind. Beispielsweise ist ein erstes Hauptsteuergerät als Steuergerät zum Ansteuern einer Betriebsbremse und ein weiteres Hauptsteuergerät als Steuergerät zum Anheben und/oder Absenken einer Liftachse ausgebildet. Ein wiederum weiteres Hauptsteuergerät ist als Steuergerät zum Antreiben oder Abbremsen eines Rades oder einer Achse ausgebildet. Ferner sind Nebensteuergeräte eingerichtet, eine Funktion auszuführen, die sich von der abgeschlossenen Liste der Aktoren unterscheidet.

Die genannten Aktoren sind eindeutig Aktoren, deren Betätigung eine sicherheitsrelevante Funktion darstellt und somit von einem Hauptsteuergerät ausgeführt wird. Solche Aktoren werden entsprechend nicht von Nebensteuergeräten, sondern ausschließlich von Hauptsteuergeräten angesteuert. Sicherheitskritische Befehle an ein Hauptsteuergerät, die auf dem Nebenbus von einem Nebensteuergerät gesendet werden, das wiederum nicht mit dem Hauptdatenbus verbunden ist, können ignoriert werden. Die Datensicherheit bei der Kommunikation aller Steuergeräte, die einen Einfluss auf diese sicherheitsrelevanten Aktoren haben, kann gegenüber Angriffen von Steuergeräten, die nicht mit dem Hauptdatenbus verbunden sind, gewährleistet werden.

Gemäß einer weiteren Ausführungsform umfasst mindestens eines der oder alle Hauptsteuergeräte eine Datenschnittstelleneinheit. Die Datenschnittstelleneinheit ist mit einer Hauptdatenbusschnittstelle und einer Nebendatenbusschnittstelle verbunden. Die Datenschnittstelleneinheit ist eingerichtet, um zwischen einem gestörten und einem ungestörten Datenverkehr auf dem Hauptdatenbus zu unterscheiden, also zu erkennen, ob der Datenverkehr gestört oder ungestört ist. Im Fall, dass die Datenschnittstelleneinheit einen ungestörten Datenverkehr auf dem Hauptdatenbus erkennt, ist die Datenschnittstelleneinheit eingerichtet, sicherheitskritische Daten auf dem Nebendatenbus zu ignorieren. Sicherheitskritische Daten sind vorzugsweise vordefinierte Daten oder Datenpakete, die beispielsweise einen Befehl zum Aktivieren der Bremsen des Anhängerfahrzeugs umfassen. Bevorzugt ist die Datenschnittstelleneinheit auch eingerichtet, im Fall eines erkannten gestörten Datenverkehrs auf dem Hauptdatenbus sicherheitskritische Daten auf dem Nebendatenbus nicht zu ignorieren, also zu verarbeiten.

Das Hauptsteuergerät ist durch die Datenschnittstelleneinheit demnach ausgebildet, um sicherheitskritische Daten, wie beispielsweise Daten, die von einem mit dem Nebendatenbus verbundenen Nebensteuergerät gesendet werden und die sicherheitskritischen Daten entsprechen, zu ignorieren, solange ein Betrieb mit dem Hauptdatenbus, nämlich ein ungestörter Datenverkehr mit einem weiteren Hauptsteuergerät, möglich ist. Ein Angriff auf das Hauptsteuergerät durch ein Nebensteuergerät, das mit dem Nebendatenbus verbunden ist, wird somit im Fall eines ungestörten Hauptdatenbusses vollständig verhindert. Dennoch besteht die Möglichkeit einer redundanten Kommunikation zwischen den Hauptsteuergeräten im Fall eines Ausfalls des Hauptdatenbusses. Insbesondere können auch unkritische Daten von Nebensteuergeräten an das Bremssteuergerät über den Nebendatenbus gesendet und vom Bremssteuergerät verarbeitet werden.

Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem ein oder mehrere Nebensteuergeräte, das bzw. die als Telematiksystem, Drahtlosschnittstellenmodul, Bediengerät oder Anzeigegerät ausgebildet sind. Das Anhängernetzwerksystem umfasst demnach eines oder mehrere von einem Telematiksystem, einem Drahtlosschnittstellenmodul, einem Bediengerät und einem Anzeigegerät. Ist beispielsweise ein Nebensteuergerät als Anzeigegerät mit dem Nebendatenbus über eine Nebendatenbusschnittstelle verbunden, so können vorzugsweise von anderen Nebensteuergeräten Parameter mit dem Anzeigegerät angezeigt werden. Derartige Parameter können auch Parameter umfassen, die von einem Hauptsteuergerät auf dem Nebendatenbus bereitgestellt werden. Die Nebensteuergeräte können somit untereinander und mit dem Zugfahrzeug beispielsweise über ein als Anhängerschnittstellenmodul ausgebildetes Hauptsteuergerät kommunizieren. Eine Verarbeitung von Daten eines als Anhängerbremssteuergerät ausgebildeten Hauptsteuergeräts durch die Nebensteuergeräte ist ebenfalls möglich, wobei weiterhin, insbesondere durch die Datenschnittstelleneinheit, an das Anhängerbremssteuergerät adressierte sicherheitskritische Daten von einem der Nebensteuergeräte nicht im Anhängerbremssteuergerät verarbeitet werden.

Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem mehrere Hauptsteuergeräte, wobei eines der Hauptsteuergeräte einem Anhängerbremssteuergerät entspricht und eingerichtet ist, Reibbremsen des Anhängerfahrzeugs zu aktivieren. Ein weiteres Hauptsteuergerät entspricht einem Steuergerät zum Ansteuern eines elektrischen Antriebs des Anhängerfahrzeugs. Sicherheitskritische Daten umfassen daher Bremsanforderungen für eine Aktivierung der Reibbremsen, die beispielsweise von einem als Anhängerschnittstellenmodul ausgebildeten Hauptsteuergerät an das Anhängerbremssteuergerät adressiert sind. Weitere sicherheitskritische Daten sind Beschleunigungsanforderungen für eine Aktivierung eines mit dem Bremssteuergerät gesteuerten elektrischen Antriebs oder Bremsanforderungen für eine Aktivierung eines Rekuperationsbetriebs des elektrischen Antriebs. Demnach sind Bremsanforderungen durch den Hauptdatenbus an das Anhängerbremssteuergerät übertragbar, um die Reibbremsen zu aktivieren. Bremsanforderungen über den Nebendatenbus werden jedoch vorzugsweise solange ignoriert, wie das Anhängerbremssteuergerät einen ungestörten Datenverkehr auf dem Hauptdatenbus erkennt.

Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem mehrere Hauptsteuergeräte, wobei ein Anhängerbremssteuergerät durch mindestens zwei der Hauptsteuergeräte gebildet ist. Mindestens eines der, mehrere der oder alle der das Anhängerbremssteuergerät bildenden Hauptsteuergeräte sind eingerichtet, Reibbremsen des Anhängerfahrzeugs anzusteuern. Sicherheitskritische Daten umfassen Bremsanforderungen für eine Aktivierung der Reibbremsen, die an mindestens eines der das Anhängerbremssteuergerät bildenden Hauptsteuergeräte adressiert sind. Ein sicheres Ansteuern eines durch mehrere Hauptsteuergeräte gebildeten Anhängerbremssteuergeräts ist somit möglich.

Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem mehrere Hauptsteuergeräte, wobei eines der Hauptsteuergeräte als Anhängerschnittstellenmodul ausgebildet ist und eine erste Zugfahrzeugdatenschnittstelle aufweist, um Daten mit einem Zugfahrzeug auszutauschen. Die erste Zugfahrzeugdatenschnittstelle ist eine Ethernet- Datenschnittstelle und besonders bevorzugt eine Gigabit-Ethernet-Datenschnittstelle. Über derartige mit der ersten Zugfahrzeugdatenschnittstelle bereitstellbare Ethernet- Verbindungen ist ein schneller Datenaustausch zwischen Zugfahrzeug und Anhängerfahrzeug möglich, um beispielsweise auch große Datenmengen von entweder mit dem Nebendatenbus oder dem Anhängerschnittstellenmodul direkt verbundenen Kameras neben sicherheitskritischen Daten für sicherheitskritische Systeme, wie Bremsanforderungen, auszutauschen. Gemäß einer weiteren Ausführungsform umfasst das als Anhängerschnittstellenmodul ausgebildete Hauptsteuergerät eine zweite Zugfahrzeugdatenschnittstelle. Die zweite Zugfahrzeugdatenschnittstelle dient ebenfalls zum Austausch von Daten mit dem Zugfahrzeug. Die zweite Zugfahrzeugdatenschnittstelle ist eine genormte Datenschnittstelle nach ISO 11992-3. Durch Bereitstellen dieser zweiten Zugfahrzeugdatenschnittstelle ist eine Kommunikation zwischen Zugfahrzeug und Anhängerfahrzeug in dem Fall möglich, dass das Zugfahrzeug keine Ethernet- Datenschnittstelle aufweist. Eine Rückwärtskompatibilität des Anhängernetzwerksystems mit bekannten Zugfahrzeugen bleibt so erhalten.

Gemäß einer weiteren Ausführungsform umfasst das Anhängernetzwerksystem ein als Bremssteuergerät ausgebildetes Hauptsteuergerät mit einer dritten Zugfahrzeugdatenschnittstelle. Die dritte Zugfahrzeugdatenschnittstelle ist eingerichtet, um mit dem Zugfahrzeug Daten auszutauschen. Die dritte Zugfahrzeugdatenschnittstelle ist eine genormte Schnittstelle, die gemäß der Norm ISO 11992-2 ausgebildet ist. Somit ist das Anhängernetzwerksystem ebenfalls auch zukünftig mit Zugfahrzeugen kompatibel, die keine Ethernet-Datenschnittstelle aufweisen aber zumindest über eine ISO 11992-2-Schnittstelle verfügen, um Bremsen des Anhängerfahrzeugs anzusteuern.

Außerdem umfasst die Erfindung ein Anhängerfahrzeug mit einem Anhängernetzwerksystem nach einer der vorgenannten Ausführungsformen. Weiterhin umfasst die Erfindung ein Gespann mit einem Anhängerfahrzeug gemäß der Erfindung und einem Zugfahrzeug.

Zudem umfasst die Erfindung ein Verfahren zum Betreiben eines Anhängernetzwerksystems nach einer der Ausführungsformen, eines Anhängerfahrzeugs gemäß der Erfindung oder eines Gespanns gemäß der Erfindung.

Gemäß einer Ausführungsform des Verfahrens erkennt mindestens eines der oder jedes der Hauptsteuergeräte an sich adressierte Datenpakete mit sicherheitskritischen Daten auf dem Nebendatenbus. Das Hauptsteuergerät bestimmt, ob der Hauptdatenbus gestört oder ungestört ist. Das erkannte Datenpaket wird verarbeitet, wenn der Hauptdatenbus gestört ist, und verworfen, wenn der Hauptdatenbus ungestört ist. Gemäß einer bevorzugten Weiterbildung wird vom Hauptsteuergerät, im Fall des Empfangs sicherheitskritischer Daten auf dem Nebendatenbus bei gleichzeitig ungestörtem Hauptdatenbus, eine Fehlermeldung ausgegeben.

Mit dem Nebendatenbus verbundene Nebensteuergeräte, die sicherheitskritische Daten an ein Hauptsteuergerät senden, bleiben demnach solange unkritisch für einen Betrieb des Anhängerfahrzeugs, solange der Hauptdatenbus ungestört ist. Die Wahrscheinlichkeit eines Angriffs auf das Bremssteuergerät durch ein Nebensteuergerät wird somit reduziert und auf den Fall begrenzt, dass der Hauptdatenbus gestört ist. Die Wahrscheinlichkeit eines Angriffs auf ein Hauptsteuergerät durch ein Nebensteuergerät wird somit signifikant verringert. Die Ausgabe einer Fehlermeldung dient, um einen Angriff sichtbar machen zu können. Maßnahmen von einem Bediener können so eingeleitet werden, um weiteren Angriffen entgegenzutreten.

Gemäß einer Ausführungsform des Verfahrens erkennt das Hauptsteuergerät oder jedes der Hauptsteuergeräte jeweils an sich adressierte Datenpakete mit sicherheitsunkritischen Daten auf dem Nebendatenbus. Ein derartig erkanntes Datenpaket mit sicherheitsunkritischen Daten wird vom Hauptsteuergerät verarbeitet. Derartige sicherheitsunkritische Daten umfassen beispielsweise den Abruf bestimmter Parameter vom Bremssteuergerät, beispielsweise eines Betriebszustands, durch ein Nebensteuergerät zur Darstellung, Aussendung oder Weiterverarbeitung.

Gemäß einer weiteren Ausführungsform des Verfahrens umfasst das Verfahren das Empfangen von sicherheitskritischen Daten für ein als Anhängerbremssteuergerät ausgebildetes Hauptsteuergerät vom Zugfahrzeug über die erste Zugfahrzeugdatenschnittstelle oder die zweite Zugfahrzeugdatenschnittstelle. Ein als Anhängerschnittstellenmodul ausgebildetes Hauptsteuergerät, das hierfür verwendet wird, bestimmt oder erkennt zudem, ob der Hauptdatenbus gestört oder ungestört ist, also ein gestörter Datenverkehr vorliegt oder ein ungestörter Datenverkehr möglich ist. Ferner wird mit dem Anhängerschnittstellenmodul ein an das Anhängerbremssteuergerät adressiertes Datenpaket mit den empfangenen sicherheitskritischen Daten auf dem Hauptdatenbus ausgesendet, wenn der Hauptdatenbus ungestört ist. Ist der Hauptdatenbus gestört, wird das Datenpaket auf dem Nebendatenbus an das Anhängerbremssteuergerät gesendet.

Gemäß einer weiteren Ausführungsform umfasst das Verfahren das Empfangen von Daten für ein Nebensteuergerät vom Zugfahrzeug über die erste Zugfahrzeugdatenschnittstelle oder die zweite Zugfahrzeugdatenschnittstelle durch das Anhängerschnittstellenmodul. Außerdem umfasst das Verfahren gemäß dieser Ausführungsform das Aussenden eines an das Nebensteuergerät adressierten Datenpakets mit den Daten auf dem Nebendatenbus unabhängig davon, ob der Hauptdatenbus gestört oder ungestört ist. Demnach werden Daten, die für die Nebensteuergeräte bestimmt sind, immer auf dem Nebendatenbus gesendet.

Weitere Ausführungsformen ergeben sich anhand der in den Figuren näher erläuterten Ausführungsbeispiele. Hierbei zeigen:

Fig.1 ein Ausführungsbeispiel eines Anhängernetzwerksystems und

Fig. 2 Schritte des Verfahrens gemäß einem Ausführungsbeispiel.

Fig. 1 zeigt ein Anhängernetzwerksystem 10 zur Datenkommunikation in einem Anhängerfahrzeug 12. Das Anhängerfahrzeug 12 ist mit einem Zugfahrzeug 14 über Datenleitungen 11 verbunden, um Daten zwischen Anhängerfahrzeug 12 und Zugfahrzeug 14 auszutauschen. Anhängerfahrzeug 12 und Zugfahrzeug 14 bilden ein Gespann 15. Das Zugfahrzeug 14 weist ein Zugfahrzeugbremssteuergerät 16 auf, das beispielsweise in Abhängigkeit von einem Fahrerwunsch eine Bremsanforderung 17 für Reibbremsen des Zugfahrzeugs 14 erzeugt. Zusätzlich wird in Abhängigkeit von dieser Bremsanforderung 17 für das Zugfahrzeug 14 auch eine Bremsanforderung 17 für ein Anhängerfahrzeug 12 im Zugfahrzeugbremssteuergerät 16 erzeugt.

Bremsanforderungen 17 für das Anhängerfahrzeug 12 werden als Daten an das Anhängerfahrzeug 12 übertragen, wobei solche Daten als sicherheitskritische Daten 18 vordefiniert sind.

Um die sicherheitskritischen Daten 18 einer Bremsanforderung 17 an das Anhängerfahrzeug 12 zu senden, erzeugt das Zugfahrzeugbremssteuergerät 16 die Bremsanforderung 17 und überträgt diese an ein Zugfahrzeugschnittstellenmodul 20. Das Zugfahrzeugschnittstellenmodul 20 erzeugt ein Datenpaket 21 mit den sicherheitskritischen Daten 18 und überträgt dieses über eine erste Datenverbindung 22 an das Anhängernetzwerksystem 10. Zum Empfang des Datenpakets 21 umfasst das Anhängernetzwerksystem 10 ein als Hauptsteuergerät 23 ausgebildetes Anhängerschnittstellenmodul 24, das über eine erste Zugfahrzeugdatenschnittstelle 26 mit der ersten Datenverbindung 22 verbunden ist. Die erste Datenverbindung 22 ist vorzugsweise eine Ethernet-Datenverbindung 28 und in diesem Fall eine Gigabit- Ethernet-Datenverbindung 30. Dementsprechend ist die erste Zugfahrzeugdatenschnittstelle 26 eine Ethernet-Datenschnittstelle 32 und in diesem Fall eine Gigabit-Ethernet-Datenschnittstelle 34.

Die sicherheitskritischen Daten 18 werden vom Anhängerschnittstellenmodul 24 über einen Hauptdatenbus 36 an ein weiteres Hauptsteuergerät 23, das als Anhängerbremssteuergerät 38 des Anhängernetzwerksystems 10 ausgebildet ist, übertragen. Das Anhängerschnittstellenmodul 24 entspricht einem Gateway-Modul. Dieses dient dem Zweck der Vermittlung von Verbindungen zwischen verschiedenen Netzwerkabschnitten. In den Netzwerkabschnitten können dabei unterschiedliche Kommunikationsprotokolle eingesetzt werden. Das Gateway-Modul ist dafür ausgelegt eine Protokollumsetzung durchzuführen, so dass Nachrichten im Format des einen Kommunikationsprotokolls in Nachrichten des anderen Kommunikationsprotokolls umgesetzt werden und umgekehrt. Das Gateway-Modul kann in der Art eines elektronischen Steuergerätes in einem separaten Gehäuse untergebracht sein oder es kann alternative auch Teil eines Hauptsteuergerätes 23 sein. Im Anhängerbremssteuergerät 38 ist für den Empfang eine Datenschnittstelleneinheit 40 vorgesehen, die mit dem Hauptdatenbus 36 und einem Nebendatenbus 42 verbunden ist. Die Datenschnittstelleneinheit 40 umfasst dazu eine Hauptdatenbusschnittstelle 44 und eine Nebendatenbusschnittstelle 46. Demgegenüber weist das Anhängerschnittstellenmodul 24 eine Hauptdatenbusschnittstelle 48 und eine Nebendatenbusschnittstelle 50 auf. Nach Art des Anhängerbremssteuergeräts 38 als Hauptsteuergerät 23, das eingerichtet ist, einen Aktor 77, der beispielsweise einer Reibbremse 68 entspricht, einer Betriebsbremse 75 anzusteuern, sind weitere Hauptsteuergeräte 23 mit dem Hauptdatenbus 36 und dem Nebendatenbus 42 über die jeweiligen Schnittstellen verbunden. Die weiteren Hauptsteuergeräte 23 sind jeweils eingerichtet, um einen Aktor 79 zum Betätigen einer Feststellbremse 81 , einen Aktor 82 zum Anheben und/oder Absenken einer Liftachse 83, einen Aktor 84 zum Anheben und/oder Absenken eines Anhängerstützfußes 85, einen Aktor 86 zum Ansteuern einer Anhängerfahrzeugniveauregulierung 87 und einen Aktor 88, nämlich einen elektrischen Antrieb 70, zum Antreiben oder Abbremsen eines Rades 89 anzusteuern. Jeder der genannten Aktoren 77, 79, 82, 84, 86, 88, dient jeweils zum Ausführen einer von mehreren sicherheitsrelevanten Funktionen 41 , die Fahrfunktionen 43 des Anhängerfahrzeugs 12 beeinflussen.

Der Hauptdatenbus 36 unterscheidet sich von dem Nebendatenbus 42 dadurch, dass der Hauptdatenbus 36 Hauptdatenbusschnittstellen 44, 48 umfasst, die jeweils mit einem der Hauptsteuergeräte 23 verbunden sind, wobei der Nebendatenbus 42 neben den bereits genannten Nebendatenbusschnittstellen 46, 50, die mit dem als Hauptsteuergerät 23 ausgebildeten Anhängerschnittstellenmodul 24 und mit dem als Hauptsteuergerät 23 ausgebildeten Anhängerbremssteuergerät 38 verbunden sind, weitere Nebendatenbusschnittstellen 52 aufweist. Mit den weiteren Nebendatenbusschnittstellen 52 ist ein Telematiksystem 54, ein Drahtlosschnittstellenmodul 56, ein Bediengerät 58 sowie ein Anzeigegerät 60 verbunden. Das Telematiksystem 54, das Drahtlosschnittstellenmodul 56, das Bediengerät 58 und das Anzeigegerät 60 können jeweils auch als Nebensteuergeräte 62 bezeichnet werden. Die Nebensteuergeräte 62 dienen somit zum Ausführen aktorloser Funktionen 63, die sicherheitsunrelevanten Funktionen 65 entsprechen.

Die Nebensteuergeräte 62 können ebenfalls über das Anhängerschnittstellenmodul 24 und die erste Datenverbindung 22 sowie das Zugfahrzeugschnittstellenmodul 20 Daten mit weiteren Modulen 64 des Zugfahrzeugs 14 austauschen. Die weiteren Module 64 des Zugfahrzeugs 14 sowie die Nebensteuergeräte 62 tauschen Daten aus, die als unkritische Daten 66 bezeichnet werden. Gemäß der Erfindung werden die unkritischen Daten 66 über den Nebendatenbus 42 ausgetauscht. Die sicherheitskritischen Daten 18 werden demgegenüber über den Hauptdatenbus 36 an das als Anhängerbremssteuergerät 38 ausgebildete Hauptsteuergerät 23 gesendet, zumindest solange der Hauptdatenbus 36 ungestört ist. Durch diese sicherheitskritischen Daten 18 werden beispielsweise Reibbremsen 68 oder ein elektrischer Antrieb 70 angesteuert, wobei die Ansteuerung des elektrischen Antriebs auch über das Anhängerbremssteuergerät 38 erfolgen kann. Alternativ, wie dargestellt erfolgt das Ansteuern des Antriebs 70 über ein weiteres separates Hauptsteuergerät 23. Zum Ansteuern des elektrischen Antriebs vom Zugfahrzeug, werden vom Zugfahrzeugbremssteuergerät 16 beispielsweise Ansteuersignale 71 für den elektrischen Antrieb als sicherheitskritische Daten 18 an das Anhängerbremssteuergerät 38 gesendet.

Außerdem ist mit dem Anhängerfahrzeug 12 eine Rückfahrkamera 72 verbunden, wobei deren Videodaten 73 auch über das Anhängerschnittstellenmodul 24 an das Zugfahrzeug 14 übertragen werden können. Zudem umfasst das Anhängerschnittstellenmodul 24 zur Rückwärtskompatibilität eine zweite Zugfahrzeugdatenschnittstelle 74, die einer Schnittstelle 76 nach ISO 11992-3 entspricht. Das Anhängerbremssteuergerät 38 ist zudem mit einer dritten Zugfahrzeugdatenschnittstelle 78 ausgebildet, die eine Schnittstelle 80 nach ISO 11992-2 ist, um ebenfalls rückwärtskompatibel zum Zugfahrzeug 14 zu sein. Sicherheitskritische Daten 18 werden demnach vom Zugfahrzeugbremssteuergerät 16 des Zugfahrzeugs 14 auch direkt über die dritte Zugfahrzeugdatenschnittstelle 78 an das Anhängerbremssteuergerät 38 gesendet.

Fig. 2 zeigt die Schritte eines Verfahrens 90 gemäß einer Ausführungsform. In einem Schritt 92 wird von einem Anhängerschnittstellenmodul 24 ein Datenpaket 94 empfangen. Im Schritt 96 bestimmt das Anhängerschnittstellenmodul 24, ob das Datenpaket 94 sicherheitskritische Daten 18 oder unkritische Daten 66 umfasst. Sind die Daten des Datenpakets 94 unkritische Daten 66, werden diese auf einem Nebendatenbus 42 im Schritt 98 ausgesendet, wenn diese für ein Nebensteuergerät 62 gedacht sind. Sind die Daten sicherheitskritische Daten 18 und ist in einem vorherigen Schritt 100 erkannt worden, dass der Hauptdatenbus 36 ungestört 102 ist, so werden in einem Schritt 104 die sicherheitskritischen Daten 18 an das Anhängerbremssteuergerät 38 über den Hauptdatenbus 36 gesendet. Ist demgegenüber im Schritt 100 erkannt worden, dass der Hauptdatenbus 36 gestört 106 ist, werden im Schritt 104 die sicherheitskritischen Daten 18 über den Nebendatenbus 42 an das Anhängerbremssteuergerät 38 ausgesendet. Erkennt in diesem Fall im Schritt 108 das Anhängerbremssteuergerät 38 sicherheitskritische Daten 18 auf dem Nebendatenbus 42, bestimmt das Anhängerbremssteuergerät 38 im Schritt 110 mit seiner Datenschnittstelleneinheit 40, ob der Hauptdatenbus 36 gestört 106 oder ungestört 102 ist. Im Schritt 112 wird dann das Datenpaket 94 verarbeitet, wenn der Hauptdatenbus 36 gestört 106 ist, und verworfen, wenn der Hauptdatenbus 36 ungestört 102 ist.

Bezugszeichen (Teil der Beschreibung):

10 Anhängernetzwerksystem

11 Datenleitungen

12 Anhängerfahrzeug

14 Zugfahrzeug

15 Gespann

16 Zugfahrzeugbremssteuergerät

17 Bremsanforderungen

18 sicherheitskritische Daten

20 Zugfahrzeugschnittstellenmodul

21 Datenpaket

22 erste Datenverbindung

23 Hauptsteuergerät

24 Anhängerschnittstellenmodul

26 erste Zugfahrzeugdatenschnittstelle

28 Ethernet-Datenverbindung

30 Gigabit-Ethernet-Datenverbindung

32 Ethernet-Datenschnittstelle

34 Gigabit-Ethernet-Datenschnittstelle

36 Hauptdatenbus

38 Anhängerbremssteuergerät

40 Datenschnittstelleneinheit

41 sicherheitsrelevante Funktionen

42 Nebendatenbus

43 Fahrfunktionen

44 erste Hauptdatenbusschnittstelle

46 Nebendatenbusschnittstelle

48 zweite Hauptdatenbusschnittstelle

50 Nebendatenbusschnittstelle

52 Nebendatenbusschnittstelle

54 Telematiksystem

56 Drahtlosschnittstellenmodul Bediengerät

Anzeigegerät

Nebensteuergeräte aktorlose Funktionen weitere Module sicherheitsunrelevante Funktionen unkritische Daten

Reibbremsen elektrischer Antrieb

Ansteuersignale

Rückfahrkamera

Videodaten zweite Zugfahrzeugdatenschnittstelle

Betriebsbremse

Schnittstelle nach ISO 11992-3

Aktor dritte Zugfahrzeugdatenschnittstelle

Aktor

Schnittstelle nach ISO 11992-2

Feststellbremse

Aktor

Liftachse

Aktor

Anhängerstützfuß

Aktor

Anhängerfahrzeugniveauregulierung

Aktor

Rad

Verfahren

Schritt des Verfahrens

Datenpaket

Schritt des Verfahrens

Schritt des Verfahrens Schritt des Verfahrens ungestörter Hauptdatenbus Schritt des Verfahrens gestörter Hauptdatenbus Schritt des Verfahrens Schritt des Verfahrens Schritt des Verfahrens