-
Stand der Technik
-
Die Erfindung betrifft ein Verfahren zur Verwaltung von Messdaten einer Batterie, die zumindest ein Batteriemodul mit einem zugeordneten Modulsteuergerät und ein zentrales Steuergerät umfasst, wobei Messdaten von Batterieeinheiten durch das Modulsteuergerät erfasst werden.
-
Weiterhin werden eine Datenstruktur, ein Computerprogramm und ein Batteriemanagementsystem angegeben, die zur Durchführung der beschriebenen Verfahren eingerichtet sind. Weiterhin werden eine Batterie und ein Kraftfahrzeug mit einer derartigen Batterie angegeben.
-
Elektronische Steuergeräte werden im automobilen Umfeld heutzutage in zunehmender Zahl eingesetzt, Beispiele hierfür sind Motorsteuergeräte und Steuergeräte für ABS oder für den Airbag. Für elektrisch angetriebene Fahrzeuge ist ein heutiger Forschungsschwerpunkt die Entwicklung von leistungsfähigen Batteriepacks mit zugehörigen Batteriemanagementsystemen, das heißt Steuergeräten, welche mit einer Software zur Überwachung der Batteriefunktionalität ausgestattet sind. Batteriemanagementsysteme gewährleisten u.a. die sichere und zuverlässige Funktion der eingesetzten Batteriezellen und Batteriepacks. Batteriemanagementsysteme überwachen und steuern Ströme, Spannungen, Temperaturen, Isolationswiderstände und weitere Größen für einzelne Zellen und/oder für den ganzen Batteriepack. Mithilfe dieser Größen lassen sich Managementfunktionen realisieren, die die Lebensdauer, Zuverlässigkeit und Sicherheit der Batterie steigern.
-
Offenbarung der Erfindung
-
Ein erfindungsgemäßes Verfahren zur Verwaltung von Messdaten einer Batterie umfasst die folgenden Schritte:
- a) Erfassen von Messdaten von Batterieeinheiten durch das Modulsteuergerät;
- b) Ermitteln eines ersten Informationsträgers, der zu einer Authentifizierung der Messdaten eingerichtet ist, durch das Modulsteuergerät;
- c) Ermitteln eines zweiten Informationsträgers, der zu einer Authentifizierung von Übertragungsdaten eingerichtet ist, durch das Modulsteuergerät, wobei der zweite Informationsträger anhand einer Mehrzahl erster Informationsträger ermittelt wird;
- d) Übermitteln der Messdaten, des ersten Informationsträgers und des zweiten Informationsträgers von dem Modulsteuergerät an das zentrale Steuergerät;
- e) Validieren der übermittelten Daten anhand des zweiten Informationsträgers durch das zentrale Steuergerät.
-
Vorteilhaft ist, dass das zentrale Steuergerät nicht jeden ersten Informationsträger verifiziert, sondern lediglich einen zweiten Informationsträger pro Mehrzahl erster Informationsträger. Mit den Maßnahmen der Erfindung werden daher im Schritt c) der zweite Informationsträger anhand der Mehrzahl erster Informationsträger ermittelt und im Schritt e) die übermittelten Daten anhand des zweiten Informationsträgers durch das zentrale Steuergerät validiert.
-
Messdaten, welche im Schritt a) durch Modulsteuergeräte erfasst werden, umfassen beispielsweise die Temperatur, den Ladezustand der gesamten Batterie, den abgegebenen Strom oder die Spannung einzelner Batteriezellen. Ebenso können Messdaten hieraus abgeleitete Größen umfassen, beispielsweise zeitlich aufsummierte oder integrierte Größen, miteinander multiplizierte oder anderweitig aggregierte Größen, wie beispielsweise Informationen über den sogenannten Gesundheitszustand (SOH) der Batterie in geeigneten quantifizierbaren Einheiten. Außerdem können auch Differenzwerte zwischen minimalen und maximalen Zuständen, beispielsweise von Ladungszuständen, relative Batterieleistungen oder Anzahlen von Durchführungen von Lade- und Entladezyklen im Rahmen der Erfindung als Messdaten bezeichnet sein. Es kommen grundsätzlich alle Messdaten in Betracht, anhand welcher Batteriemanagementfunktionen realisiert werden.
-
Nach ihrer Erfassung werden die Messdaten im Schritt b) entweder einzeln je mit einem ersten Informationsträger oder gebündelt mit einem ersten Informationsträger versehen, welcher im Rahmen der Erfindung auch als eine Authentifizierungsinformation bezeichnet werden kann.
-
Vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Verfahrens sind durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen möglich.
-
Bevorzugt ist vorgesehen, dass der erste Informationsträger regelmäßig in einer geeigneten Datenstruktur gemeinsam mit den betreffenden Messdaten vom Modulsteuergerät an das zentrale Steuergerät übermittelt wird. Die derartige Erfassung und Übermittlung der Messdaten wird im Rahmen der Erfindung auch als ein Messzyklus bezeichnet. Schritt d) wird bevorzugt nach einer definierten Anzahl von Messzyklen ausgeführt wird. Besonders bevorzugt wird der zweite Informationsträger anhand einer definierten Anzahl von ersten Informationsträgern ermittelt, welche der definierten Anzahl von Messzyklen entspricht.
-
Für den Fall, dass im Rahmen der vorliegenden Offenbarung Aussagen über den ersten und den zweiten Informationsträger getroffen werden, die für den ersten Informationsträger und/oder den zweiten Informationsträger gelten, werden diese auch gemeinsam als Informationsträger bezeichnet.
-
Nach einer bevorzugten Ausführungsform sind die Informationsträger Prüfsummen, die anhand eines individuellen Schlüssels des Modulsteuergeräts ermittelt werden. Solche Prüfsummen werden auch als Signaturen bezeichnet. Besonders bevorzugt werden die Informationsträger anhand einer Seriennummer des Modulsteuergeräts ermittelt oder anhand einer dem zentralen Steuergerät bekannten individuellen Modulsteuergeräte-Kennung.
-
Nach einer bevorzugten Ausführungsform wird der individuelle Schlüssel des Modulsteuergeräts von dem zentralen Steuergerät vergeben. Dabei kann beispielsweise vorgesehen sein, dass das zentrale Steuergerät eine Zufallszahl bestimmt, beispielsweise eine 32-Bit-Zahl, welche dauerhaft im zentralen Steuergerät gespeichert wird. Das zentrale Steuergerät übermittelt die individuelle Modulsteuergeräte-Kennzahl an das jeweilige Modulsteuergerät, welches diese in einem zugeordneten nicht-flüchtigen Speicher speichert.
-
Die Übertragung des individuellen Schlüssels kann beispielsweise auf dem gleichen Kommunikationsweg erfolgen wie der Austausch der Messdaten, beispielsweise über den CAN-Bus.
-
Besonders bevorzugt werden die Informationsträger mittels Einwegfunktionen f(x, y) aus dem individuellen Schlüssel des Modulsteuergeräts und weiteren Daten ermittelt, wobei die weiteren Daten im Falle des ersten Informationsträgers Messdaten und im Falle des zweiten Informationsträgers die Mehrzahl von ersten Informationsträgern sind. Die Einwegfunktion f(x, y) → z ist bevorzugt mit solchen Eigenschaften definiert, dass ihr Funktionswert z einfach zu berechnen ist und eine Umkehrung der Funktion sehr aufwändig und praktisch unmöglich ist. Beispiele für derartige Einwegfunktionen finden sich in der Kryptographie, beispielsweise Hash-Funktionen, insbesondere SHA-1, SHA-2 oder SHA-3, oder als Multiplikation von Primzahlen.
-
Hash-Funktionen sind dazu geeignet, die Integrität der Daten zu bestätigen. Das heißt, es ist praktisch unmöglich, durch beabsichtige Modifikation Messdaten zu erzeugen, die den gleichen Hash-Wert wie gegebene Messdaten haben. Ohne Kenntnis der Berechnungsvorschrift des Informationsträgers kann ein potentieller Angreifer also keine plausible Kombination von individuellen Schlüsseln und zusätzlichen Daten erzeugen und im Steuergerät speichern.
-
Die Prüfsumme kann auch mittels einer zyklischen Redundanzprüfung gebildet sein. Bei der zyklischen Redundanzprüfung (CRC, cyclic redundancy check) wird eine Bit-Folge der Messdaten durch ein festgelegtes Generatorpolynom, das sogenannte CRC-Polynom-Modulo zweigeteilt, wobei ein Rest bleibt. Dieser Rest ist der CRC-Wert, der den weiteren Daten, das heißt den Messdaten oder der Mehrzahl an ersten Informationsträgern angefügt wird.
-
Bei der Einwegfunktion f(x, y) → z ist der Wert y der individuelle Schlüssel des Modulsteuergeräts. Durch den Wert y wird sichergestellt, dass die gleiche Einwegfunktion in unterschiedlichen Steuergeräten unterschiedliche Ergebnisse liefert. Jedes Modulsteuergerät weist seine eigene Modulsteuergeräte-Kennzahl auf und verwendet daher bei gleichen Messdaten eine von den anderen verschiedene Einwegfunktion. Das Zurückschließen auf die Berechnungsvorschrift wird durch die Verwendung des Modulsteuergeräte-individuellen Schlüssels stark erschwert.
-
Nach einer bevorzugten Ausführungsform validiert das zentrale Steuergerät betreffende Messdaten bei einfachem oder mehrfachem Misslingen der Validierung in Schritt e) anhand der ersten Informationsträger. Der Fall, dass nach der Ermittlung des ersten Informationsträgers die Messdaten verfälscht werden, der erste Informationsträger jedoch intakt gelassen wird, wird im Schritt e) nicht erkannt. Diese Sicherheitslücke wird in einer Ausführungsform in Kauf genommen und gegenüber den Vorteilen der Erfindung als vernachlässigbar betrachtet. Allerdings kann das Verfahren sicherer gestaltet werden, wenn stichprobenartig Prüfungen des ersten Informationsträgers gegen die Messdaten auf dem zentralen Steuergerät durchgeführt werden.
-
Es kann vorgesehen sein, dass bei einfacher oder mehrfacher erfolglosen Validierung in Schritt e) das zentrale Steuergerät in einen Betriebszustand wechselt, bei welchem für eine definierte Anzahl an folgenden Messzyklen bei jedem übermittelten Paket aus Messdaten und einem ersten Informationsträger die Messdaten gegen den einen ersten Informationsträger geprüft werden. Sollte nach dieser definierbaren Anzahl an Messzyklen keine erfolglose Verifikation auftreten, kann vorgesehen sein, dass das zentrale Steuergerät wieder in den Modus der Validierung der übermittelten Daten anhand des einen zweiten Informationsträgers zurückversetzt wird.
-
Nach einfachem oder mehrfachem Misslingen der Validierung der übermittelten Daten in Schritt e) oder nach einfacher oder mehrfacher erfolgloser Validierung der Messdaten anhand der ersten Informationsträger kann beispielsweise vorgesehen sein, dass das zentrale Steuergerät eine Fehlermeldung erzeugt und diese auf dem Systembus, beispielsweise auf einem CAN-Bus bereitstellt. Alternativ hierzu oder zusätzlich hierzu kann vorgesehen sein, dass das zentrale Steuergerät die Batterie zum Teil sperrt oder die Leistung der Batterie reduziert, beispielsweise indem es einen sogenannten Limp-Home initiiert.
-
Nach erfolgreichem Validieren der übermittelten Daten in Schritt e) kann vorgesehen sein, die Messdaten in einem nicht-flüchtigen Speicher des zentralen Steuergeräts zu speichern. Ein solcher nicht-flüchtiger Speicher ist zum Beispiel ein sogenannter EEPROM (electrically erasable programmable read-only memory), d.h. ein nicht-flüchtiger elektronischer Baustein, dessen gespeicherte Information elektrisch gelöscht werden kann. Die gespeicherten Messdaten können beispielsweise im Rahmen der Überprüfung von Gewährleistungsansprüchen aus dem nicht-flüchtigen Speicher des Steuergeräts ausgelesen werden und zur Auswertung der Nutzung der Batterie herangezogen werden.
-
Bevorzugt ist vorgesehen, dass die Batterie zumindest zwei Batteriemodule mit zugeordneten Modulsteuergeräten aufweist, wobei die Schritte a) bis c) von beiden Modulsteuergeräten durchgeführt werden, wobei in Schritt d) die Messdaten und die Informationsträger beider Modulsteuergeräte an das zentrale Steuergerät übermittelt werden und das Validieren in Schritt e) bezüglich der beiden Modulsteuergeräte zeitlich versetzt erfolgt.
-
Erfindungsgemäß wird außerdem eine Datenstruktur vorgeschlagen mit Messdaten von Batterieeinheiten und einem Informationsträger, der zu einer Validitätsprüfung der Messdaten eingerichtet ist. Die Datenstruktur umfasst bevorzugt einen weiteren Informationsträger, der zu einer Authentifizierung von Übertragungsdaten eingerichtet ist. Die Datenstruktur wurde bei der Durchführung eines der beschriebenen Verfahren erstellt. Die Datenstruktur wird beispielsweise von einer Computereinrichtung zu Wartungs- und Servicezwecken ausgelesen oder im Schritt d) des erfindungsgemäßen Verfahrens übermittelt.
-
Erfindungsgemäß wird weiterhin ein Computerprogramm vorgeschlagen, gemäß dem eines der hierin beschriebenen Verfahren durchgeführt wird, wenn das Computerprogramm auf einer programmierbaren Computereinrichtung ausgeführt wird. Bei dem Computerprogramm kann es sich beispielsweise um ein Modul zur Implementierung einer Einrichtung zur Bereitstellung von Messdaten für ein Batteriemanagementsystem und/oder um ein Modul zur Implementierung eines Batteriemanagementsystems eines Fahrzeugs und/oder um ein Modul zur Verwaltung von Messdaten einer Batterie handeln. Das Computerprogramm kann auf einem maschinenlesbaren Speichermedium gespeichert werden, etwa auf einem permanenten oder wiederbeschreibbaren Speichermedium oder in Zuordnung zu einer Computereinrichtung oder beispielsweise auf einem tragbaren Speicher wie einer CD-ROM, DVD, einem USB-Stick oder einer Speicherkarte. Zusätzlich oder alternativ dazu kann das Computerprogramm auf einer Computereinrichtung, wie etwa auf einem Server oder einem Cloud-Server, zum Herunterladen bereitgestellt werden, beispielsweise über ein Datennetzwerk, wie das Internet, oder eine Kommunikationsverbindung, wie etwa eine Telefonleitung oder eine drahtlose Verbindung.
-
Erfindungsgemäß wird außerdem ein Batteriemanagementsystem (BMS) bereitgestellt, mit einer Einheit zum Erfassen von Messdaten von Batterieeinheiten, einer Einheit zur Ermittlung eines ersten Informationsträgers, der zu einer Authentifizierung der Messdaten eingerichtet ist, einer Einheit zur Ermittlung eines zweiten Informationsträgers, der zu einer Authentifizierung von Übertragungsdaten eingerichtet ist und anhand einer Mehrzahl von ersten Informationsträgern ermittelt wird, Einheiten zum Übermitteln der Messdaten und der Informationsträger von dem Modulsteuergerät an das zentrale Steuergerät und einer Einheit zur Validierung der Übertragungsdaten anhand des zweiten Informationsträgers.
-
Bevorzugt weist das Batteriemanagementsystem einen nicht-flüchtigen Speicher auf sowie eine Einheit zum Speichern von übermittelten validierten Messdaten in einen nicht-flüchtigen Speicher.
-
Erfindungsgemäß wird außerdem eine Batterie, insbesondere eine Lithium-Ionen-Batterie oder eine Nickel-Metallhydrid-Batterie, zur Verfügung gestellt, die ein Batteriemanagementsystem umfasst und bevorzugt mit einem Antriebssystem eines Kraftfahrzeugs verbindbar ist, wobei das Batteriemanagementsystem wie zuvor beschrieben ausgebildet ist und/oder eingerichtet ist, das erfindungsgemäße Verfahren auszuführen.
-
Die Begriffe „Batterie“ und „Batterieeinheit“ werden in der vorliegenden Beschreibung dem üblichen Sprachgebrauch angepasst für Akkumulator beziehungsweise Akkumulatoreinheit verwendet. Die Batterie umfasst bevorzugt eine oder mehrere Batterieeinheiten, die eine Batteriezelle, ein Batteriemodul, ein Modulstrang oder einen Batteriepack umfassen können. Als Batteriepack werden dabei mehrere Zellen bezeichnet, die untereinander fest verbunden sind und oft mit einem Gehäuse oder mit einer Ummantelung versehen sind. Die Batteriezellen sind dabei vorzugsweise räumlich zusammengefasst und schaltungstechnisch miteinander verbunden, beispielsweise seriell oder parallel zu Modulen verschaltet. Mehrere Module können zu sogenannten Batteriedirektkonvertern (BDC, battery direct converter) verschaltet sein und mehrere Batteriedirektkonverter zu einem sogenannten Batteriedirektinverter (BDI, battery direct inverter).
-
Erfindungsgemäß wird außerdem ein Kraftfahrzeug mit einer derartigen Batterie zur Verfügung gestellt, wobei die Batterie mit einem Antriebssystem des Kraftfahrzeugs verbunden ist. Bevorzugt wird das Verfahren bei elektrisch angetriebenen Fahrzeugen angewendet, bei welchen eine Zusammenschaltung einer Vielzahl von Batteriezellen zur Bereitstellung der nötigen Antriebsspannung des Fahrzeugs erfolgt.
-
Vorteile der Erfindung
-
Mit dem erfindungsgemäßen Verfahren kann sehr effizient eine Manipulation von Messdaten und/oder ein nicht autorisierter Austausch von Batteriemodulen verhindert werden. Außerdem kann die unerlaubte Nutzung von Batteriepacks außerhalb von Spezifikationen durch Manipulationen der Messdaten aufgedeckt werden. Wenn Messdaten keinen korrekten Informationsträger aufweisen, so ist dies ein Hinweis auf die Manipulation der Messdaten oder auf einen defekten Speicher.
-
Besonders vorteilhaft ist, dass der Rechenaufwand bei der Verifikation der Signaturen durch die erfindungsgemäße Verifikation einer übergeordneten Signatur verringert wird. Dem verringerten Rechenaufwand steht ein sehr geringes zusätzliches Datenaufkommen entgegen, da für eine definierte Anzahl von Messzyklen zusätzlich nur eine Signatur übertragen werden muss.
-
Kurze Beschreibung der Zeichnungen
-
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert.
-
Es zeigen
-
1 ein Batteriemanagementsystem nach einer Ausführungsform der Erfindung,
-
2 ein Beispiel für ein Anlernen von Modulsteuergeräten,
-
3 ein Beispiel für ein erfindungsgemäßes System und Verfahren,
-
4 ein weiteres Beispiel für ein erfindungsgemäßes System und Verfahren und
-
5 ein weiteres Beispiel für ein erfindungsgemäßes System und Verfahren.
-
1 zeigt ein Batteriemanagementsystem 1 gemäß einer Ausführungsform der vorliegenden Erfindung. Das Batteriemanagementsystem 1 umfasst ein zentrales Steuergerät 2, welches auch als BCU (Battery Control Unit) bezeichnet werden kann und eine Anzahl von Batteriemodulen 4-1, 4-2 ... 4-n, welche jeweils eigene Modulsteuergeräte 6-1, 6-2 ... 6-n aufweisen, welche auch als CMC (Cell Module Controller) bezeichnet werden. Jedem Batteriemodul 4 sind Batterieeinheiten 8 mit mehreren Batteriezellen zugeordnet, wobei diese üblicherweise in Serie und teilweise zusätzlich parallel geschaltet werden, um die geforderten Leistungs- und Energiedaten mit dem Batteriesystem zu erzielen. Die einzelnen Batteriezellen sind beispielsweise Lithium-Ionenbatterien mit einem Spannungsbereich von 2,8 bis 4,2 Volt. Die Kommunikation zwischen dem zentralen Steuergerät 2 und den Modulsteuergeräten 6 erfolgt über geeignete Kommunikationseinheiten 26, 32 als Schnittstellen zu einem Kommunikationskanal 5, beispielsweise zu einem CAN-Bus.
-
2 zeigt ein Beispiel für ein Anlernen von Modulsteuergeräten 6 eines Batteriemanagementsystems 1, welches beispielsweise wie mit Bezug zu 1 beschrieben aufgebaut sein kann. Das Batteriemanagementsystem 1 umfasst das zentrale Steuergerät 2 mit einem zugeordneten nicht-flüchtigen Speicher 10 und die Modulsteuergeräte 6-1, ... 6-n mit zugeordneten nicht-flüchtigen Speichern 14-1, ... 14-n.
-
Der Vorgang des Anlernens ist in 2 als Schritt S1-1, ... S1-n dargestellt. Dabei erhält beispielsweise bei der ersten Verwendung des Modulsteuergerätes 6 dieses vom zentralen Steuergerät 2 eine Zufallszahl als individuelle Modulsteuergerätekennzahl, beispielsweise eine 32-Bit-Zahl. Das zentrale Steuergerät 2 übermittelt die Modulsteuergerätekennzahlen 16-1, ... 16-n den Modulsteuergeräten 6, welche sie in die jeweiligen nicht-flüchtigen Speicher 14 abspeichern. Das zentrale Steuergerät 2 speichert die Modulsteuergerätekennzahlen 16 außerdem als Modulsteuergerätekennzahlkopie 12-1, ... 12-n in den eigenen nicht-flüchtigen Speicher 10. Jedes Modulsteuergerät 6 hat eine eigene Modulsteuergerätekennzahl 16, welche sich von den weiteren Kennzahlen unterscheidet. Die Modulsteuergerätekennzahlen 16 bilden die Parameter y in den zuvor beschriebenen Einwegfunktionen f(x, y) → z, sodass jedes Modulsteuergerät 6 eine unterschiedliche Einwegfunktion implementiert. Die Übertragung kann beispielsweise auf dem gleichen Kommunikationsweg erfolgen wie der Austausch der Messdaten, insbesondere über den CAN-Bus. Das Anlernen ist ein einmaliger Vorgang und kann in einer gesicherten Umgebung im Fertigungswerk stattfinden. Dabei wird sichergestellt, dass dieser Vorgang nicht von Unbefugten protokolliert wird.
-
3 zeigt ein erfindungsgemäßes Batteriemanagementsystem 1, welches das erfindungsgemäße Verfahren ausführt. Das Batteriemanagementsystem 1 umfasst das zentrale Steuergerät 2 und die Modulsteuergeräte 6-1, ... 6-n. Die Modulsteuergeräte 6-1, ... 6-n sind an Sensoren 18-1, ... 18-n gekoppelt, welche Messdaten, wie Temperaturen, Ladezustand, Strom oder Spannung, erfassen und dem Modulsteuergerät 6 in einem Schritt S2 bereitstellen.
-
Die Modulsteuergeräte 6 umfassen jeweils eine Einheit 20 zur Erfassung der Messdaten, welche die Messdaten von den Sensoren 18 empfängt. Die Einheit 20 zum Erfassen von Messdaten von Batterieeinheiten ist an eine Einheit 24 zur Ermittlung eines ersten Informationsträgers, der zu einer Authentifizierung der Messdaten eingerichtet ist, gekoppelt. Die Einheit 24 zur Ermittlung des ersten Informationsträgers empfängt von der Einheit 20 zur Erfassung der Messdaten die Messdaten und aus einem nicht-flüchtigen Speicher 22 die Modulsteuergerätekennzahl. Anhand dieser Eingabeparameter berechnet die Einheit 24 mittels der Einwegfunktion die Signatur und stellt sie in einem Schritt S3 einer Kommunikationseinheit 26 bereit. Die Kommunikationseinheit 26 übermittelt in einem weiteren Schritt S6 die Messdaten und den Informationsträger an das zentrale Steuergerät 2.
-
Die Einheit 24 zur Ermittlung des ersten Informationsträgers stellt in einem weiteren Schritt S4 den ersten Informationsträger und die Messdaten, welche durch den ersten Informationsträger signiert sind, einer Einheit 28 zur Ermittlung eines zweiten Informationsträgers, der zur einer Authentifizierung von Übertragungsdaten eingerichtet ist, bereit. Die Einheit 28 zur Ermittlung des zweiten Informationsträgers speichert die empfangenen Daten in einen nicht-flüchtigen Speicher. Nach einer definierten Anzahl von Messzyklen, beispielsweise nach 2 bis 50 Messzyklen, bevorzugt nach 5 bis 10 Messzyklen, wird anhand einer Mehrzahl der ersten Informationsträger der zweite Informationsträger ermittelt, welcher im Rahmen der Erfindung auch als sogenannte Metasignatur bezeichnet sein kann. Die Einheit 28 zur Ermittlung des zweiten Informationsträgers stellt diesen in einem Schritt S5 der Kommunikationseinheit 26 bereit, welche ihn im Schritt S6 gemeinsam mit den zugeordneten Messdaten und ersten Informationsträgern an das zentrale Steuergerät 2 übermittelt.
-
Das zentrale Steuergerät 2 umfasst eine Kommunikationseinheit 32 zum Empfangen der Messdaten und der Informationsträger von den Modulsteuergeräten 6. Die Kommunikationseinheit 32 stellt die empfangenen Messdaten und die Informationsträger einer Einheit 30 zur Validierung der Übertragungsdaten bereit. Die Einheit 30 zur Validierung der Übertragungsdaten umfasst eine Einheit 34 zur Ermittlung der betreffenden Modulsteuergerätekennzahl aus einem nicht-flüchtigen Speicher 36 des zentralen Steuergeräts 2. Die Einheit 30 zur Validierung der Übertragungsdaten umfasst außerdem eine Einheit 38 zur Berechnung des zweiten Informationsträgers anhand der Mehrzahl der ersten Informationsträger, die einem zweiten Informationsträger zugeordnet sind, und der Modulsteuergerätekennzahl. Die Einheit 30 zur Validierung der Messdaten umfasst außerdem eine Einheit 40 zum Vergleich des übermittelten zweiten Informationsträgers mit dem errechneten zweiten Informationsträger.
-
In einem weiteren Schritt S8 werden die ermittelten Informationen an eine Schnittstelle 42 weitergegeben. Für den Fall, dass die Übertragungsdaten von der Einheit 30 zur Validierung der Übertragungsdaten authentifiziert wurden, werden diese beispielsweise gespeichert oder einem Kommunikations-Bus, wie etwa dem CAN-Bus bereitgestellt. Für den Fall, dass die Signaturen nicht übereinstimmen, können verschiedene Maßnahmen ergriffen werden, beispielsweise die Batteriefunktionalität abzuschalten oder die Batteriefunktionalität zu reduzieren (Limp-Home), da die Messdaten nicht verifiziert werden konnten und eventuell von einem Angreifer verfälscht wurden. Bevorzugt erfolgt eine stufenweise Reduktion der Batterieleistung bis zum Abschalten nach einer definierbaren Anzahl an erfolglosen Verifikationen oder eine Einleitung einer genaueren Überprüfung, bei welcher für eine definierbare Anzahl an folgenden Messzyklen jedes einzelne Messdatenpaket gegen den ersten Informationsträger geprüft wird. Sollte nach dieser definierbaren Anzahl an Messzyklen keine weitere erfolglose Verifikation auftreten, kann vorgesehen sein, wieder in den Modus der Überprüfung nur der zweiten Informationsträger umzuschalten.
-
4 zeigt ein Diagramm, aus welchem weitere Verfahrensschritte ersichtlich werden, die im Rahmen der Erfindung durchgeführt werden können. 4 zeigt das Modulsteuergerät 6 und das zentrales Steuergerät 2. Das Modulsteuergerät 6 ermittelt in aufeinander folgenden Messzyklen jeweils die Messdaten und berechnet daraus die ersten Informationsträger. Messdaten werden mit M1, M2, M3... dargestellt. Erste Informationsträger sind mit s1, s2, s3... dargestellt. Die Messdaten und ersten Informationsträger werden in Schritten S9 an das zentrale Steuergerät 2 übermittelt. Das zentrale Steuergerät 2 prüft nicht alle Messdaten gegen ihre ersten Informationsträger, um den Rechenaufwand zu reduzieren. Das zentrale Steuergerät 2 speichert stattdessen die übertragenen ersten Informationsträger für die spätere Prüfung. In der beispielhaften Ausgestaltung in 4 wird nach der Anzahl von vier Messzyklen vom Modulsteuergerät 6 in einem Schritt S11 der zweite Informationsträger, hier als Meta-Signatur Ms1–4 dargestellt, aus den vier vorherigen Signaturen s1–s4 ermittelt. Der zweite Informationsträger Ms1–4 wird in einem Schritt S10 an das zentrale Steuergerät 2 übermittelt. Das zentrale Steuergerät 2 ermittelt nach Empfang des zweiten Informationsträgers Ms1–4 wie zuvor beschrieben einen zweiten Informationsträger anhand der vorher übermittelten ersten Informationsträger s1–s4 und validiert in einem Schritt S12 den übertragenen zweiten Informationsträger anhand des berechneten Informationsträgers.
-
5 zeigt eine weitere Darstellung, aus welchem weitere Verfahrensschritte ersichtlich werden, die im Rahmen der Erfindung durchgeführt werden können. Das dargestellte Batteriemanagementsystem umfasst das zentrale Steuergerät 2 und zwei Modulsteuergeräte 6-1, 6-2. Die zuvor beschriebenen Verfahrensschritte a) bis c) werden von beiden Modulsteuergeräten 6-1, 6-2 durchgeführt und beide Modulsteuergeräte 6-1, 6-2 übermitteln die Messdaten und die Informationsträger, wie mit Bezug zur 4 beschrieben, in Schritten S9, S10 an das zentrale Steuergerät 2. Das Validieren S12 der Messdaten im Verfahrensschritt e) erfolgt hier bezüglich der beiden Modulsteuergeräte 6-1, 6-2 zwar nach einer gleichen Anzahl von Messzyklen, aber zeitlich versetzt. Im dargestellten Beispiel übermittelt das zweite Modulsteuergerät 6-2 die Daten der Messungen M1 bis M4 abgesichert über den zweiten Informationsträger Ms1–4 und die Daten der Messungen M5 bis M8 abgesichert über den zweiten Informationsträger Ms5–8. Beim ersten Modulsteuergerät 6-1 ist vorgesehen, dass die ersten beiden Messungen M1 bis M2 nicht mit in die Berechnung eines zweiten Informationsträgers einfließen. Das erste Modulsteuergerät 6-1 ermittelt bezüglich der Messungen M3 bis M6 den zweiten Informationsträger Ms3–6 und bezüglich der Messungen M7 bis M10 den zweiten Informationsträger Ms7–10 und überträgt diese an das zentrale Steuergerät 2. Somit erfolgt die Überprüfung S12 der zweiten Informationsträger bezüglich der Modulsteuergeräte versetzt. Hierdurch wird verhindert, dass das zentrale Steuergerät 2 nach einem bestimmten Messzyklus sämtliche zweiten Informationsträger gleichzeitig prüfen muss. Der Aufwand für die Überprüfung wird gleichmäßig über alle Messzyklen verteilt.
-
Die Erfindung ist nicht auf die hier beschriebenen Ausführungsbeispiele und die darin hervorgehobenen Aspekte beschränkt. Vielmehr ist innerhalb des durch die Ansprüche angegebenen Bereichs eine Vielzahl von Abwandlungen möglich, die im Rahmen fachmännischen Handelns liegen.