[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE102021212595A1 - Method of monitoring a computing system - Google Patents

Method of monitoring a computing system Download PDF

Info

Publication number
DE102021212595A1
DE102021212595A1 DE102021212595.6A DE102021212595A DE102021212595A1 DE 102021212595 A1 DE102021212595 A1 DE 102021212595A1 DE 102021212595 A DE102021212595 A DE 102021212595A DE 102021212595 A1 DE102021212595 A1 DE 102021212595A1
Authority
DE
Germany
Prior art keywords
computing system
monitored
security
communication
basic computing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021212595.6A
Other languages
German (de)
Inventor
Christian Zimmermann
Markus Schweizer
Paulius Duplys
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021212595.6A priority Critical patent/DE102021212595A1/en
Publication of DE102021212595A1 publication Critical patent/DE102021212595A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Überwachen, und insbesondere Absichern, eines Basisrechensystems (120) mit Berechnungsinstanzen unter Verwendung eines Sicherheitsrechensystems (100), das dazu eingerichtet ist, mit dem zu überwachenden Basisrechensystem (120) eine Kommunikationsverbindung (102) herzustellen, umfassend, wenn die Kommunikationsverbindung (102) hergestellt ist, ein Durchführen einer Eigendiagnose (110) des Sicherheitsrechensystems (100) gemäß in das Sicherheitsrechensystem (100) integrierter Sicherheitsmechanismen; ein Durchführen einer Fremddiagnose (112) des zu überwachenden Basisrechensystems (120) gemäß dafür vorgesehener Sicherheitsmechanismen; und ein Überwachen (114) des zu überwachenden Basisrechensystems (120) basierend auf einem Vergleich redundant in den Berechnungsinstanzen des zu überwachenden Basisrechensystems (120) durchgeführter Berechnungen miteinander.The invention relates to a method for monitoring, and in particular securing, a basic computing system (120) with calculation instances using a security computing system (100) which is set up to establish a communication link (102) with the basic computing system (120) to be monitored, comprising if the communication link (102) is established, performing a self-diagnosis (110) of the security computing system (100) according to security mechanisms integrated into the security computing system (100); performing an external diagnosis (112) of the basic computing system (120) to be monitored in accordance with security mechanisms provided for this purpose; and monitoring (114) of the basic computing system (120) to be monitored based on a comparison of calculations carried out redundantly in the calculation instances of the basic computing system (120) to be monitored with one another.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen, und insbesondere Absichern, eines Rechensystems unter Verwendung eines Sicherheitsrechensystems sowie ein Rechensystem und ein Computerprogramm zu dessen Durchführung.The present invention relates to a method for monitoring, and in particular securing, a computing system using a security computing system and a computing system and a computer program for its implementation.

Hintergrund der ErfindungBackground of the Invention

Rechenressourcen können dezentral durch Rechnersysteme bereitgestellt werden. Beispiele hierfür sind sogenanntes „Cloud Computing“ (Rechenressourcen über ein Kommunikationsnetzwerk, z.B. das Internet, erreichbar) oder sogenanntes „Edge Computing“ (Rechenressourcen am Rand eines Kommunikationsnetzwerks bereitgestellt). Moderne Netzwerke, z.B. sogenannte 5G-Mobilfunknetzwerke, können hohe Bandbreiten verbunden mit geringen Latenzzeiten aufweisen. Dadurch wird es möglich, komplexe und rechenintensive Algorithmen, die die Funktionalität bzw. den Betrieb von Maschinen, insbesondere auch von Fahrzeugen, betreffen, in dezentral bereitgestellte Rechenressourcen zu verlagern, um Steuergeräte der Maschinen zu entlasten oder Funktionen zu implementieren, die durch Steuergeräte der Maschinen nicht leistbar sind.Computing resources can be provided decentrally by computer systems. Examples of this are so-called "cloud computing" (computing resources accessible via a communication network, e.g. the Internet) or so-called "edge computing" (computing resources provided at the edge of a communication network). Modern networks, e.g. so-called 5G mobile networks, can have high bandwidths combined with low latency times. This makes it possible to relocate complex and computationally intensive algorithms that affect the functionality or operation of machines, especially vehicles, to computing resources provided in a decentralized manner in order to relieve the machine control units or to implement functions that are controlled by the machine control units are not affordable.

Offenbarung der ErfindungDisclosure of Invention

Erfindungsgemäß werden ein Verfahren zum Überwachen eines Rechensystems sowie ein Rechensystem und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.According to the invention, a method for monitoring a computing system and a computing system and a computer program for its implementation with the features of the independent patent claims are proposed. Advantageous configurations are the subject of the dependent claims and the following description.

Die Erfindung beschäftigt sich mit dem Edge-Computing oder Edge-Systemen bzw. Edge-Netzwerken (ein Netzwerk aus mehreren Edge-Systemen), insbesondere im Zusammenhang mit der Kommunikation von und mit Fahrzeugen, z.B. automatisiert oder teilautomatisiert fahrenden Fahrzeugen. Allgemein geht es dabei um Rechensysteme, die an bestimmten Orten zum Einsatz kommen und z.B. mit Fahrzeugen kommunizieren, um diesen bestimmte Informationen zu übertragen oder von ihnen abzufragen und ggf. weiterzuleiten und/oder weiterzuverarbeiten.The invention deals with edge computing or edge systems or edge networks (a network made up of several edge systems), in particular in connection with the communication from and to vehicles, e.g. automated or partially automated vehicles. In general, it is about computing systems that are used at certain locations and, for example, communicate with vehicles in order to transmit certain information to them or to query them and, if necessary, forward it and/or process it further.

Solche Rechensysteme oder Edge-Systeme und daraus aufgebaute Edge-Netzwerke weisen oftmals kommerzielle sog. „off-the-shelf“-Komponenten (sog. COTS, „components-off-the-shelf“) auf, die selbst keine Sicherheitsintegrität bieten und keine dedizierten Sicherheitsmechanismen enthalten. Auf diesen Systemen ist es daher schwierig bis unmöglich, sicherheitsbezogene Funktionen und Dienste bzw. Services anzubieten, wie sie unter anderem aber für infrastrukturassistiertes Fahren, z.B. im Zusammenhang mit automatisiert oder teilautomatisiert fahrenden Fahrzeugen, notwendig sind.Such computing systems or edge systems and edge networks built from them often have commercial so-called "off-the-shelf" components (so-called COTS, "components-off-the-shelf"), which themselves do not offer any security integrity and none dedicated security mechanisms included. It is therefore difficult or impossible to offer safety-related functions and services on these systems, such as those required for infrastructure-assisted driving, e.g. in connection with automated or semi-automated vehicles.

Vor diesem Hintergrund wird die Verwendung eines Sicherheitsrechensystems zum Überwachen, und insbesondere Absichern, eines solchen Basisrechensystems mit Berechnungsinstanzen, z.B. eines Edge-Systems, vorgeschlagen. Bei dem Basisrechensystem kann es sich um eine Recheneinheit oder einen Verbund von Recheneinheiten handeln. Das Sicherheitsrechensystem ist dazu eingerichtet, mit dem zu überwachenden Basisrechensystem eine Kommunikationsverbindung herzustellen; dies kann z.B. drahtlos aber auch drahtgebunden sein. Dabei werden dann, wenn eine Kommunikationsverbindung hergestellt ist, verschiedene Schritte durchgeführt: Zum einen wird eine Eigendiagnose (bzw. Selbstüberwachung) des Sicherheitsrechensystems gemäß in das Sicherheitsrechensystem integrierter Sicherheitsmechanismen durchgeführt, zum anderen wird eine Fremddiagnose des zu überwachenden Basisrechensystems gemäß dafür vorgesehener Sicherheitsmechanismen durchgeführt. Zudem erfolgt ein Überwachen des zu überwachenden Basisrechensystems basierend auf einem Vergleich redundant in Berechnungsinstanzen des Basisrechensystems durchgeführter Berechnungen.Against this background, the use of a security computing system for monitoring, and in particular for securing, such a basic computing system with calculation instances, e.g. an edge system, is proposed. The basic computing system can be a computing unit or a combination of computing units. The security computing system is set up to establish a communication link with the basic computing system to be monitored; this can, for example, be wireless but also wired. When a communication connection is established, various steps are carried out: On the one hand, a self-diagnosis (or self-monitoring) of the safety computing system is carried out in accordance with safety mechanisms integrated into the safety computing system, and on the other hand, an external diagnosis of the basic computing system to be monitored is carried out in accordance with the safety mechanisms provided for this purpose. In addition, the basic computing system to be monitored is monitored based on a comparison of calculations carried out redundantly in calculation instances of the basic computing system.

Die Fremddiagnose erfolgt z.B. derart, dass das Sicherheitsrechensystem das Basisrechensystem über eine API (Programmierschnittstelle) abfragt bzw. bestimmte vorgegebene Funktionen auf dem Basisrechensystem mittels sog. Remote-Procedure-Calls aufruft. Im einfachsten Fall kennt z.B. das Sicherheitsrechensystem die richtigen Antworten für die vorgegebenen Eingaben. Wenn z.B. das Basisrechensystem eine Funktion zum Ziehen einer Wurzel bereitstellt, kann das Sicherheitsrechensystem mit n bekannten Werten (x = ROOT(y)) die Funktion aufrufen und überprüfen, ob das Basisrechensystem richtig rechnet.The external diagnosis is carried out, for example, in such a way that the safety computing system queries the basic computing system via an API (programming interface) or calls up specific predefined functions on the basic computing system using so-called remote procedure calls. In the simplest case, for example, the security computing system knows the correct answers for the given inputs. For example, if the basic computing system provides a function for extracting a root, the safety computing system with n known values (x = ROOT(y)) can call the function and check whether the basic computing system is calculating correctly.

Eine weitere Möglichkeit besteht darin, dass das Sicherheitsrechensystem das Basisrechensystem auffordert, bestimmte Dokumente oder einfach nur sog. „Blobs“, die auf dem Basisrechensystem in einem bestimmten Verzeichnis gespeichert sind, an das Sicherheitsrechensystem zu schicken (z.B. mittels eines GET-Requests). Das Sicherheitsrechensystem kann dann prüfen, ob die empfangenen Daten den erwarteten entsprechen bzw. gleich sind (z.B. indem das Sicherheitsrechensystem die Hashsummen vergleicht). Ist das der Fall, liegt es nahe, dass das Basisrechensystem korrekt funktioniert.Another possibility is that the safety computing system requests the basic computing system to send certain documents or simply so-called "blobs" that are stored on the basic computing system in a specific directory to the safety computing system (e.g. by means of a GET request). The security computing system can then check whether the received data corresponds to or is the same as expected (e.g. by the security computing system comparing the hash sums). If this is the case, it stands to reason that the basic calculation system is working correctly.

Eine solche Diagnose kann z.B. auch im Rahmen eines sog. „time window watchdog“ genutzt werden, wobei Requests vom Sicherheitsrechensystem zyklisch und mit vordefinierter geforderter Antwortzeit gesendet werden, um die Verfügbarkeit („Lebendigkeit“) des Basisrechensystems zu prüfen.Such a diagnosis can also be used, for example, as part of a so-called “time window watchdog”. be sent, whereby requests from the security computing system are sent cyclically and with a predefined required response time in order to check the availability (“aliveness”) of the basic computing system.

Die Berechnungsinstanzen sind insbesondere Computerprogramme, können jedoch grundsätzlich auch in Hardware implementiert sein, z.B. als ASIC o.ä. Jede Berechnungsinstanz implementiert eine Funktion mittels wenigstens eines Algorithmus und ist dazu eingerichtet, wenn sie ausgeführt wird, in Reaktion auf einen Aufruf der Funktion wenigstens ein Ergebnis zu bestimmen. Die Berechnungsinstanzen können z.B. in Form sogenannter Container bereitgestellt sein. Die Berechnungsinstanzen werden in einer oder mehreren Recheneinheiten des Rechensystems ausgeführt. Jede Recheneinheit (z.B. ein Computer oder ein Computersystem) umfasst einen oder mehrere Prozessoren mit jeweils wenigstens einem Prozessorkern, in denen die Berechnungsinstanzen (dann in Form von Computerprogrammen) ausgeführt werden, oder eine integrierte Schaltung (z.B. ASIC). Weiter umfasst jede Recheneinheit einen flüchtigen und/oder einen nichtflüchtigen Speicher, in dem Berechnungsinstanzen gespeichert werden können. Jede Recheneinheit kann dazu eingerichtet sein, mehrere Berechnungsinstanzen gleichzeitig bzw. parallel auszuführen. Jede Recheneinheit kann als eine bestimmte Hardware (z.B. bestimmte Prozessoren, bestimmte Speicher usw.) angesehen werden (die für verschieden Recheneinheiten verschieden sein kann), die eine einheitliche Umgebung für die Ausführung von Berechnungsinstanzen darstellt.The calculation instances are in particular computer programs, but can in principle also be implemented in hardware, e.g. as an ASIC or similar. Each calculation instance implements a function using at least one algorithm and is set up, when it is executed, in response to a call to the function at least one to determine result. The calculation instances can be provided in the form of so-called containers, for example. The calculation instances are executed in one or more computing units of the computing system. Each computing unit (e.g. a computer or a computer system) comprises one or more processors, each with at least one processor core in which the calculation instances (then in the form of computer programs) are executed, or an integrated circuit (e.g. ASIC). Each computing unit also includes a volatile and/or a non-volatile memory in which calculation instances can be stored. Each arithmetic unit can be set up to execute a number of calculation instances simultaneously or in parallel. Each computational unit can be viewed as specific hardware (e.g., particular processors, particular memory, etc.) (which may be different for different computational units) that provides a uniform environment for the execution of computational entities.

Vorzugsweise soll eine dedizierte Hardware-Lösung - das Sicherheitsrechensystem - bereitgestellt werden, mit der ein anderes Rechensystem - das Basisrechensystem -wie z.B. ein Edge-System bzw. ein Edge-Netzwerk befähigt wird, sicherheitsbezogene Funktionen zu berechnen und sicherheitsbezogene Dienste bzw. Services anzubieten. Dieses zu überwachende Basisrechensystem muss dabei selbst keine Sicherheitsintegrität bieten und keine dedizierten Sicherheitsmechanismen enthalten, dies wird durch das Sicherheitsrechensystem gewährleistest. Insbesondere ist auch eine Nachrüstung bestehender Basisrechensysteme (z.B. in Form von COTS) mit Sicherheitsrechensystemen möglich und vorteilhaft.A dedicated hardware solution - the security computing system - should preferably be provided, with which another computing system - the basic computing system - such as an edge system or an edge network is enabled to calculate security-related functions and to offer security-related services. This basic computing system to be monitored does not have to offer any security integrity itself and contain no dedicated security mechanisms; this is guaranteed by the security computing system. In particular, retrofitting existing basic computing systems (e.g. in the form of COTS) with security computing systems is also possible and advantageous.

Von besonderem Vorteil ist, dass das gesamte System nachträglich installierbar ist und keine Hardware-Anpassung bestehender Systeme (dem zu überwachenden Basisrechensystem) notwendig ist, ebenso ist eine einfachere Aktualisierung möglich (sowohl die Anpassung als auch die Aktualisierung betrifft vor allem Hardware, aber auch Software).A particular advantage is that the entire system can be installed later and no hardware adaptation of existing systems (the basic computing system to be monitored) is necessary, and simpler updating is also possible (both the adaptation and the update relate primarily to hardware, but also to software ).

Da die Aspekte „Safety“ (funktionale Sicherheit) und „Security“ (informationstechnische Sicherheit) durch das Sicherheitsrechensystem implementiert werden, für welches insbesondere „zertifizierte“ Hardware und Software eingesetzt werden kann, ist auch ein Sicherheitsnachweis einfacher zu erbringen. Zudem sind Information hinsichtlich Unverfügbarkeit (kontinuierliche Diagnose) schneller verfügbar. Dies soll nachfolgend noch detaillierter erläutert werden.Since the aspects of "safety" (functional safety) and "security" (information technology safety) are implemented by the safety computing system, for which "certified" hardware and software in particular can be used, proof of safety is also easier to provide. In addition, information regarding unavailability (continuous diagnosis) is available more quickly. This is to be explained in more detail below.

Das Sicherheitsrechensystem, insbesondere als Hardware-Lösung, ist beispielsweise komplett auf Basis von erprobten Automotive-Systemen umsetzbar; so kann z.B. auch ein Embedded-Steuergerät (mit maximalem ASIL-D als Sicherheitsstufe), also ein Steuergerät eines Fahrzeugs, als Basis für ein solches Sicherheitsrechensystem genutzt werden. Einzig die Kommunikationsverbindung (drahtlos oder drahtgebunden) zu einem zu überwachenden Basisrechensystem (Edge-System) muss, wie erwähnt, vorhanden sein. Sicherheitsrechensystem und Basisrechensystem sind dann dazu eingerichtet, eine bevorzugte Ausführungsform der Erfindung zu implementieren. In einem einfachen Fall kann dann z.B. ein vorhandenes erprobtes und sich als zuverlässig erwiesenes Steuergerät als Hardware verwendet werden, bei dem die Software entsprechend angepasst wird, um die Eigen- und Fremddiagnose durchführen zu können. Hier sollten zumindest die passenden bzw. benötigten Schnittstellen am Steuergerät vorhanden und über das interne Diagnosekonzept abgesichert sein.The security computing system, in particular as a hardware solution, can be implemented entirely on the basis of tried and tested automotive systems; for example, an embedded control unit (with maximum ASIL-D as the safety level), i.e. a control unit of a vehicle, can be used as the basis for such a safety computing system. As mentioned, only the communication connection (wireless or wired) to a basic computing system to be monitored (edge system) must be available. The security computing system and basic computing system are then set up to implement a preferred embodiment of the invention. In a simple case, for example, an existing, tried and tested control unit that has proven to be reliable can be used as hardware, with the software being adapted accordingly in order to be able to carry out internal and external diagnostics. At the very least, the appropriate or required interfaces should be available on the control unit and safeguarded by the internal diagnostics concept.

Das Durchführen der Eigendiagnose gemäß in das Sicherheitsrechensystem integrierter Sicherheitsmechanismen umfasst vorzugsweise das Überwachen von Hardwarekomponenten des Sicherheitsrechensystems, insbesondere Prozessoren und/oder Speichereinheiten und/oder Kommunikationskomponenten, also z.B. eine Überwachung der CPU, TPU, RAM, ROM, Kommunikation, etc. Dies kann z.B. durch eingebaute Hardware-Diagnosen, Dual-Core-Lockstep (d.h. auf zwei Prozessoren oder Prozessorkernen parallel und unabhängig voneinander ausgeführte Berechnungen, deren Ergebnisse z.B. miteinander verglichen werden, um prozessorkerninduzierte Berechnungsfehler zu erkennen), Hardware-Watchdogs (eine Funktion, um z.B. Ausfälle der Hardware und ggf. Software zu erkennen und eine Information darüber auszugeben oder das System mittels Reset neu zu starten), und dedizierte (d.h. speziell auf eine oder mehrere bestimmte Anwendungen abgestimmte oder angepasste) ASICs oder FPGAs erfolgen.Carrying out the self-diagnosis according to security mechanisms integrated into the security computing system preferably includes monitoring hardware components of the security computing system, in particular processors and/or memory units and/or communication components, e.g. monitoring the CPU, TPU, RAM, ROM, communication, etc. This can e.g. through built-in hardware diagnostics, dual-core lockstep (i.e. calculations executed in parallel and independently of one another on two processors or processor cores, the results of which are compared with one another, e.g. to detect processor core-induced calculation errors), hardware watchdogs (a function, e.g. to detect failures of the to recognize hardware and possibly software and to output information about it or to restart the system by means of a reset), and dedicated ASICs or FPGAs (i.e. specially tailored or adapted to one or more specific applications).

Das Durchführen der Eigendiagnose kann auch das Ausführen von Anwendungen oder Software auf dem Sicherheitsrechensystem gemäß einer vorgegebenen Sicherheitsstufe, insbesondere ASIL-D, umfassen, ebenso das Überwachen von Softwarekomponenten, insbesondere eines Betriebssystems, des Sicherheitsrechensystems. Damit kann also Software gemäß ASIL-D-Entwicklungsprozessen umgesetzt werden. Denkbar hierfür ist z.B. ein Software-Watchdog zur Programmablaufkontrolle (ein Software-Watchdog ist z.B. eine prüfende Software im Mikrocontroller, der kontrolliert, ob alle wichtigen Programm-Module in einem vorgegebenen Zeitrahmen korrekt ausgeführt werden oder ob ein Modul unzulässig lange für die Bearbeitung benötigt).Carrying out the self-diagnosis can also include running applications or software on the security computing system according to a predetermined security level, in particular ASIL-D also include the monitoring of software components, in particular an operating system, of the safety computing system. This means that software can be implemented in accordance with ASIL-D development processes. For example, a software watchdog for program flow control is conceivable (a software watchdog is, for example, checking software in the microcontroller that checks whether all important program modules are executed correctly within a specified time frame or whether a module takes an inadmissibly long time to process) .

Damit bildet das Sicherheitsrechensystem eine sog. „sichere Insel“ („Safe Island“), auf deren Basis die folgenden Sicherheitsmechanismen zur Fremddiagnose des zu überwachenden Basisrechensystems aufbauen können. Dies kann z.B. das Überwachen (oder Überprüfen) von Hardwarekomponenten des zu überwachenden Basisrechensystems, das Überwachen (oder Überprüfen) von Softwarekomponenten des zu überwachenden Basisrechensystems und/oder das Überwachen (oder Überprüfen) einer Kommunikation des zu überwachenden Basisrechensystems mit anderen, dem zu überwachenden Basisrechensystem vergleichbaren Basisrechensystemen, also insbesondere anderen Edge-Systemen z.B. in einem Edge-Netzwerk, beinhalten. Dies soll nachfolgend näher erläutert werden.The security computing system thus forms what is known as a “safe island” on the basis of which the following security mechanisms for external diagnosis of the basic computing system to be monitored can be built. This can be, for example, monitoring (or checking) hardware components of the basic computing system to be monitored, monitoring (or checking) software components of the basic computing system to be monitored and/or monitoring (or checking) communication of the basic computing system to be monitored with others, the basic computing system to be monitored comparable basic computing systems, i.e. in particular other edge systems, e.g. in an edge network. This will be explained in more detail below.

Typischerweise laufen auf einem Edge-System als beispielhaftes Basisrechensystem aufwändige (und meist häufig per Update zu aktualisierende) Funktionen, welche Berechnungsinstanzen darstellen; das Funktionieren bzw. die Verfügbarkeit eines solchen Edge-Systems ist in der Regel eine wichtige Bedingung für den sicheren Betrieb des Gesamtsystems, d.h. nicht nur des Edge-Systems selbst, sondern z.B. auch weiterer Edge-Systeme in einem Edge-Netzwerk und auch der Kommunikationsteilnehmer, die damit kommunizieren, wie z.B. Fahrzeuge.Typically, complex functions (which usually have to be updated frequently) run on an edge system as an exemplary basic computing system, which represent calculation instances; the functioning or the availability of such an edge system is usually an important condition for the secure operation of the entire system, i.e. not only the edge system itself, but also, for example, other edge systems in an edge network and also the communication participants that communicate with it, such as vehicles.

Das vorgeschlagene Sicherheitsrechensystem kann dazu beitragen, die Funktionalität dieses System abzusichern, z.B. durch eine Verfügbarkeitserkennung durch einen Software-Watchdog (sog. Kicking, d.h. den Neustart des Watchdogs), oder auch eine Programmablaufkontrolle durch ein Frage-Antwort-Verfahren (d.h. es werden Anfragen gestellt und erhaltene Antworten werden geprüft, ob die Software in der richtigen Reihenfolge abgearbeitet wird; z.B. indem durch Funktionsblöcke am Beginn und am Ende eines Software-Moduls eine Prüfsumme prozessiert wird und diese am Ende nur korrekt ist, falls die Reihenfolge eingehalten wurde), ähnlich wie im sog. EGAS-Konzept (Standardisiertes E-Gas Überwachungskonzept für Benzin- und Diesel-Motorsteuerungen), dort durch den Watchdog realisiert.The proposed security computing system can help to secure the functionality of this system, e.g. by detecting availability using a software watchdog (so-called kicking, i.e. restarting the watchdog), or also program flow control using a question-and-answer method (i.e. there are requests and the answers received are checked to see whether the software is processed in the correct order; e.g. by using function blocks at the beginning and end of a software module to process a checksum and this is only correct at the end if the order has been observed), similarly as in the so-called EGAS concept (standardized e-gas monitoring concept for petrol and diesel engine controls), implemented there by the watchdog.

Auch ist eine grundsätzliche Funktionsprüfung über Testpattern (Anfragen bzw. Queries mit bekannter Antwort) ist vorteilhaft. Anders als bei dem erwähnten Frage-Antwort-Verfahren können die Inhalte der Berechnungen des Basisrechensystems auf dem Sicherheitsrechensystem plausibilisiert werden, ähnlich wie im EGAS-Konzept, dort durch die Funktionsüberwachung (Ebene 2) realisiert. Beim Frage-Antwort-Verfahren mit Watchdog wird z.B. nur eine Prüfsumme (ohne funktionale Bedeutung) geprüft und ob die Antwort innerhalb eines Zeitfenster gegeben wurde. Beim Testpattern muss die Antwort funktional korrekt sein (z.B. korrekte Messung einer angelegten, bekannten Spannung). Idealerweise werden diese Tests automatisiert erzeugt, z.B. indem Eingaben extrahiert werden, mit denen eine hohe Abdeckung der relevanten Funktionen erreicht werden kann. Ziel ist dabei insbesondere, bei der Diagnose des korrekten Programmablaufs möglichst viele relevante Funktionen der typischerweise sehr komplexen Software-Architektur eines Edge-SW-Stacks (Basisrechensystem) einzubinden - aber aus Ressourcen- und Timing-Gründen nicht alle (also auch nicht-relevante) Funktionen. Die Auswahl kann z.B. auch dynamisch getroffen werden, da sich die Software durch Updates auch ändern kann. Auch Machine-Learning- oder Fuzzing-Ansätze sind denkbar, um eine möglichst hohe Pfadabdeckung zu erreichen. Grundsätzlich kann eine solche Diagnose manuell in der Designphase konzipiert werden, aber es kann auch die Möglichkeit geschaffen werden, dies automatisiert z.B. während des Betriebs anzupassen.A basic functional test using test patterns (requests or queries with a known answer) is also advantageous. In contrast to the question-and-answer procedure mentioned, the contents of the calculations of the basic computing system can be checked for plausibility on the security computing system, similar to the EGAS concept, implemented there by the function monitoring (level 2). In the case of the question-and-answer procedure with a watchdog, for example, only a checksum (without any functional significance) is checked and whether the answer was given within a time window. In the case of the test pattern, the answer must be functionally correct (e.g. correct measurement of an applied, known voltage). Ideally, these tests are generated automatically, e.g. by extracting inputs with which a high level of coverage of the relevant functions can be achieved. The aim is in particular to include as many relevant functions as possible of the typically very complex software architecture of an edge software stack (basic computing system) when diagnosing the correct program flow - but not all (i.e. also non-relevant) for resource and timing reasons. functions. The selection can also be made dynamically, for example, since the software can also change due to updates. Machine learning or fuzzing approaches are also conceivable in order to achieve the highest possible path coverage. In principle, such a diagnosis can be designed manually in the design phase, but the possibility can also be created to adapt it automatically, e.g. during operation.

Die Prüfung von Hardware-Komponenten kann über Hardware-Diagnosen, z.B. einen zyklischen Test des Speichers durch Anfragen bzw. Queries oder durch Aktivierung und Auswertung von Speichertests (z.B. „Checkerboard“, abwechselnd „0“ und „1“) im Edge-System erfolgen (entsprechende Funktionen könnten auch noch nachträglich ins Edge-System geladen werden). Als Speichertests, z.B. Schreiben und Auslesen eines „Checkerboards“ kommen z.B. Standardmethoden für Embedded-Systeme in Betracht. Diese Mechanismen können auch - über die Schnittstelle zwischen Basis- und Sicherheitsrechensystem - auf das Gesamtsystem angewendet werden.Hardware components can be checked via hardware diagnostics, e.g. a cyclical test of the memory using queries or by activating and evaluating memory tests (e.g. "Checkerboard", alternating "0" and "1") in the edge system (Corresponding functions could also be loaded into the Edge system later). Standard methods for embedded systems can be used as memory tests, e.g. writing and reading a "checkerboard". These mechanisms can also be applied to the overall system via the interface between the basic and safety computing system.

Es ist auch eine dedizierte Prüfung von Standard-Edge-Komponenten (Distributed Key Value Storage, Container, CEPH, etc.) durch entsprechende Anfragen oder Ausführung von lokalen Diagnosefunktionen möglich (solche sind ebenfalls nachladbar). Auch diese ermöglicht, dass z.B. mit Standard-Komponenten solche Prüfungsmöglichkeiten von extern erreicht werden können.Dedicated testing of standard edge components (distributed key value storage, containers, CEPH, etc.) is also possible through appropriate queries or execution of local diagnostic functions (these can also be reloaded). This also makes it possible, for example, to achieve such external testing options with standard components.

Die Überwachung der Kommunikation mit anderen Recheneinheiten (bei Edge-Systemen, sog Knoten oder Nodes) ist insbesondere hinsichtlich Auffälligkeiten möglich, z.B. auch eine Überwachung des Stromverbrauchs bzgl. Auffälligkeiten (z.B. für Security, Intrusion Detection). Beispiele hierfür sind z.B. ein unerwarteter Stromverbrauch, unerwarteter Netzwerk-Traffic, unerwartete Dateien auf der Festplatte oder unerwartete Prozesse.The monitoring of the communication with other computing units (in edge systems, so-called nodes) is possible in particular with regard to abnormalities, eg also monitoring of the power consumption with regard to abnormalities (e.g. for security, intrusion detection). Examples of this are unexpected power consumption, unexpected network traffic, unexpected files on the hard disk or unexpected processes.

Zusätzlich kann eine Möglichkeit vorgesehen sein, das Basisrechensystem bei einem sicherheitsrelevanten oder sicherheitskritischen Problem oder Fehler oder bei Überschreitung einer Anzahl von Fehlern per Hardware-Pfad zu deaktivieren („fail silent“, z.B. wie bei einem CAN-Transceiver im EGAS-Konzept). Hierzu kann z.B. die Versorgungsspannung unterbrochen werden oder die Kommunikation zu anderen Teilnehmern kann unterbrochen werden.In addition, a possibility can be provided to deactivate the basic computing system in the event of a safety-relevant or safety-critical problem or error or if a number of errors is exceeded via the hardware path ("fail silent", e.g. as with a CAN transceiver in the EGAS concept). For example, the supply voltage can be interrupted or communication with other participants can be interrupted.

Das Überwachen des zu überwachenden Basisrechensystems basierend auf einem Vergleich redundant in dem überwachenden Basisrechensystem durchgeführter Berechnungen miteinander kann insbesondere in Form eines sog. „Votings“ erfolgen, allgemein in Form von „n-aus-m“-Vergleichs, d.h. von m Ergebnissen müssen mindestens n identisch sein. Beispielsweise kann bei einem „zwei-aus-drei“-Vergleich) sowohl ein fehlerhaftes Ergebnis als auch das richtige Ergebnis erkannt werden. Das Sicherheitsrechensystem kann hierbei entweder die im Basisrechensystem ausgeführte Vergleichsfunktion überwachen oder selbst diesen Vergleich durchführen.The monitoring of the basic computing system to be monitored based on a comparison of calculations carried out redundantly in the monitoring basic computing system with one another can take place in particular in the form of a so-called "voting", generally in the form of an "n-out-of-m" comparison, i.e. m results must be at least n be identical. For example, in a "two-out-of-three" comparison, both an erroneous result and the correct result can be recognized. The security computing system can either monitor the comparison function executed in the basic computing system or carry out this comparison itself.

Bei Erkennen eines sicherheitsrelevanten Problems in dem zu überwachenden Basisrechensystem kann insbesondere ein Betrieb des zu überwachenden Basisrechensystems beendet werden (insbesondere kann es gestoppt bzw. heruntergefahren werden), dessen Energieversorgung kann unterbrochen werden, und/oder eine Kommunikation des zu überwachenden Basisrechensystems mit weiteren Kommunikationsteilnehmern kann unterbunden werden. In Abhängigkeit von der Fremddiagnose, d.h. in Abhängigkeit von im Rahmen der Fremddiagnose erhaltenen Ergebnissen, insbesondere bei Erkennen eines sicherheitsrelevanten Problems in dem zu überwachenden Basisrechensystem, können insbesondere weitere Schritte durchgeführt oder eingeleitet werden. Dies kann z.B. das Informieren von weiteren Kommunikationsteilnehmern, die mit dem zu überwachenden Basisrechensystem kommunizieren (z.B. Fahrzeuge), über die Ergebnisse der Fremddiagnose, insbesondere einer Beendigung des Betriebs des zu überwachenden Basisrechensystems, sein, und/oder das Aktualisieren von Softwarekomponenten des zu überwachenden Basisrechensystems.If a security-related problem is detected in the basic computing system to be monitored, operation of the basic computing system to be monitored can be terminated (in particular it can be stopped or shut down), its power supply can be interrupted, and/or communication between the basic computing system to be monitored and other communication participants can be interrupted be prevented. Depending on the external diagnosis, i.e. depending on the results obtained as part of the external diagnosis, in particular when a security-related problem is detected in the basic computing system to be monitored, further steps can be carried out or initiated. This can be, for example, informing other communication participants who communicate with the basic computing system to be monitored (e.g. vehicles) about the results of the external diagnosis, in particular a termination of operation of the basic computing system to be monitored, and/or updating software components of the basic computing system to be monitored .

Die Ergebnisse der Diagnosen können also nicht nur lokal, sondern z.B. über einen dedizierten Pfad auch an andere Teilnehmer oder ein zentrales Rechensystem kommuniziert werden, z.B. zu einem Safe-Edge-Service, der entsprechende Reaktionen auslösen kann. Der Safe-Edge Service ist z.B. ein erweitertes Konzept, nämlich Sicherheit in einem Edge-Verbund zentral zu verwalten. Ein solcher Service kann z.B. auf einem abgesicherten Rechner ausgeführt werden. Diese Reaktionen können z.B. ein direktes Stilllegen eines Basisrechensystems (Edge-Systems) oder Edge-Netzwerks sein und das Senden einer Information darüber an weitere Teilnehmer wie z.B. eine Flotte von Fahrzeugen (für eine sog. „Blacklist“ von nicht verfügbaren Edge-Systemen). Daneben kommen, wie erwähnt, eine Deaktivierung der Stromversorgung und/oder von Kommunikationspfaden in Betracht. Falls das Sicherheitsrechensystem als Gateway ausgeführt ist, kann auch ein Blockieren der Kommunikation nach außen erfolgen.The results of the diagnostics can therefore not only be communicated locally, but also e.g. via a dedicated path to other participants or a central computing system, e.g. to a Safe Edge Service, which can trigger appropriate reactions. The Safe-Edge Service is e.g. an extended concept, namely to centrally manage security in an edge network. Such a service can, for example, be run on a secure computer. These reactions can be, for example, a direct shutdown of a basic computing system (edge system) or edge network and the sending of information about this to other participants such as a fleet of vehicles (for a so-called "blacklist" of unavailable edge systems). As mentioned, deactivation of the power supply and/or communication paths can also be considered. If the security computing system is designed as a gateway, the communication to the outside can also be blocked.

Falls möglich, kann auch ein Software-Update für das Basisrechensystem angefordert oder durchgeführt werden. In einem Backend (z.B. das erwähnte zentrale Rechensystem oder in der sog. Cloud bzw. als Cloud-Dienst, z.B. als Fahrzeug-Steuerungs-Server) kann eine Anzeige auf einem Entwickler-Dashboard erfolgen, eine Auslösung einer „Predictive Maintenance“ (also einer vorausschauenden Wartung des Sicherheitsrechensystems oder des zu überwachenden Basisrechensystems). Ebenso kann dort eine Langzeitanalyse, z.B. zur Erkennung von relevanten Mustern und hiermit eine Optimierung des Systems erfolgen.If possible, a software update for the basic computing system can also be requested or carried out. In a backend (e.g. the central computing system mentioned or in the so-called cloud or as a cloud service, e.g. as a vehicle control server), a display can be made on a developer dashboard, triggering of "predictive maintenance" (i.e. a predictive maintenance of the safety computing system or the basic computing system to be monitored). A long-term analysis can also be carried out there, e.g. to identify relevant patterns and thus optimize the system.

Wie erwähnt kann das Sicherheitsrechensystem als Gateway für eine Kommunikation des zu überwachenden Basisrechensystems mit weiteren Kommunikationsteilnehmern verwendet bzw. bereitgestellt werden, insbesondere dann auch zum Steuern der Kommunikation des zu überwachenden Basisrechensystems mit den weiteren Kommunikationsteilnehmern. Dies kann z.B. bei Auffälligkeit das Unterbrechen der Kommunikation des zu überwachenden Basisrechensystems mit einem oder mehreren ausgewählten oder allen weiteren Kommunikationsteilnehmern, das Filtern von, insbesondere als fehlerhaft erkannten, Nachrichten bei der Kommunikation des zu überwachenden Basisrechensystems mit den weiteren Kommunikationsteilnehmern, und/oder das Überwachen und/oder Analysieren der Kommunikation des zu überwachenden Basisrechensystems mit den weiteren Kommunikationsteilnehmern umfassen.As mentioned, the security computing system can be used or provided as a gateway for communication between the basic computing system to be monitored and other communication participants, in particular also for controlling the communication between the basic computing system to be monitored and the further communication participants. This can, for example, interrupt the communication of the basic computing system to be monitored with one or more selected or all other communication participants, the filtering of messages, in particular those identified as incorrect, in the communication of the basic computing system to be monitored with the further communication participants, and/or monitoring and/or analyzing the communication of the basic computing system to be monitored with the other communication participants.

Anstatt nur als separate Diagnose- und Absicherungseinheit kann das Sicherheitsrechensystem also auch als Gateway für die Kommunikation mit z.B. Fahrzeugen (oder anderen Teilnehmern) eingesetzt werden. Dies ermöglicht die erwähnten, verschiedenen Funktionen.Instead of only being used as a separate diagnosis and protection unit, the security computing system can also be used as a gateway for communication with vehicles (or other participants), for example be set. This enables the various functions mentioned.

Die erwähnten Funktionen bzw. Aufgaben des Sicherheitsrechensystems können auch auf ein Netzwerk von mehreren einzelnen Sicherheitsrecheneinheiten, die dann das Sicherheitsrechensystem bilden, verteilt werden, da alle über das Basisrechensystem indirekt (oder auch direkt) verbunden sein können. Das ergibt die Möglichkeit weiterer diversitärer Berechnungen und Vergleiche. Zudem kann ein Sicherheitsrechensystem oder ein Teil davon (eine Sicherheitsrecheneinheit) die Aufgabe übernehmen, das Backend oder das restliche Edge-Netzwerk zu informieren, falls ein zu überwachendes Basisrechensystem mit angeschlossenem Sicherheitsrechensystem deaktiviert bzw. aus dem Netzwerkverbund genommen werden müsste.The mentioned functions or tasks of the security computing system can also be distributed over a network of several individual security computing units, which then form the security computing system, since all of them can be connected indirectly (or also directly) via the basic computing system. This results in the possibility of further diverse calculations and comparisons. In addition, a security computing system or a part thereof (a security computing unit) can take on the task of informing the backend or the rest of the edge network if a basic computing system to be monitored with a connected security computing system would have to be deactivated or removed from the network.

Ein erfindungsgemäßes Rechensystem als Sicherheitsrechensystem, z.B. ein Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.A computing system according to the invention as a security computing system, e.g. a control unit of a motor vehicle, is set up, in particular in terms of programming, to carry out a method according to the invention.

Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Schließlich ist ein maschinenlesbares Speichermedium vorgesehen mit einem darauf gespeicherten Computerprogramm wie oben beschrieben. Geeignete Speichermedien bzw. Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich. Ein solcher Download kann dabei drahtgebunden bzw. kabelgebunden oder drahtlos (z.B. über ein WLAN-Netz, eine 3G-, 4G-, 5G- oder 6G-Verbindung, etc.) erfolgen.The implementation of a method according to the invention in the form of a computer program or computer program product with program code for carrying out all method steps is advantageous because this causes particularly low costs, especially if an executing control unit is also used for other tasks and is therefore available anyway. Finally, a machine-readable storage medium is provided with a computer program stored thereon as described above. Suitable storage media or data carriers for providing the computer program are, in particular, magnetic, optical and electrical storage devices such as hard drives, flash memories, EEPROMs, DVDs, etc. It is also possible to download a program via computer networks (Internet, intranet, etc.). Such a download can be wired or wired or wireless (e.g. via a WLAN network, a 3G, 4G, 5G or 6G connection, etc.).

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and refinements of the invention result from the description and the attached drawing.

Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.The invention is shown schematically in the drawing using an exemplary embodiment and is described below with reference to the drawing.

Figurenlistecharacter list

  • 1 zeigt schematisch ein erfindungsgemäßes Sicherheitsrechensystem in einer bevorzugten Ausführungsform und zu überwachende Basisrechensysteme zur Erläuterung der Erfindung. 1 shows schematically a security computing system according to the invention in a preferred embodiment and basic computing systems to be monitored to explain the invention.
  • 2a und 2b zeigen verschiedene, bevorzugte Einsatzmöglichkeiten eines erfindungsgemäßen Sicherheitsrechensystems. 2a and 2 B show various preferred possible uses of a security computing system according to the invention.

Ausführungsform(en) der Erfindungembodiment(s) of the invention

In 1 sind schematisch ein erfindungsgemäßes Sicherheitsrechensystem 100 in einer bevorzugten Ausführungsform und zu überwachende Basisrechensysteme 120 und 130 zur Erläuterung der Erfindung dargestellt. Das Sicherheitsrechensystem 100 ist beispielhaft physikalisch bzw. drahtgebunden mittels einer Kommunikationsverbindung 102 an das Basisrechensystem 120 angeschlossen bzw. angebunden. Bei dem Basisrechensystem 120 kann es sich insbesondere um ein sog. Edge-System handeln, ebenso bei dem Basisrechensystem130. Die Basisrechensysteme 120, 130 können zusammen Teil eines Edge-Netzwerks sein; dabei sind die Basisrechensysteme 120, 130 über eine Kommunikationsverbindung 132 in Kontakt, eine direkte Kommunikationsverbindung zwischen dem Sicherheitsrechensystem 100 und dem Basisrechensystem 130 gibt es beispielhaft nicht.In 1 a security computing system 100 according to the invention is shown schematically in a preferred embodiment and basic computing systems 120 and 130 to be monitored to explain the invention. The security computing system 100 is, for example, physically or wired connected to the basic computing system 120 by means of a communication link 102 . The basic computing system 120 can in particular be a so-called edge system, as can the basic computing system 130 . The basic computing systems 120, 130 together may be part of an edge network; the basic computing systems 120, 130 are in contact via a communication link 132; there is no direct communication connection between the security computing system 100 and the basic computing system 130, for example.

Das Sicherheitsrechensystem 100 führt dabei eine Eigendiagnose 110 von sich selbst aus, und zwar gemäß in das Sicherheitsrechensystem integrierter Sicherheitsmechanismen. Das Sicherheitsrechensystem 100 führt auch ein Fremddiagnose 112 des zu überwachenden Basisrechensystems 120 gemäß dafür vorgesehener Sicherheitsmechanismen aus. Außerdem führt das Sicherheitsrechensystem 100 eine Überwachung 114 aus, die auf einem Vergleich redundant in dem überwachenden Basisrechensystem 120 sowie ggf. auch im Basisrechensystem 130 in jeweiligen Berechnungsinstanzen durchgeführter Berechnungen basieren. Beispielhaft sind im Basisrechensystem 120 drei solcher Berechnungsinstanzen (oder Funktionen) 121, 122, 123 gezeigt, im Basisrechensystem 130 eine Berechnungsinstanz 131.The security computing system 100 carries out a self-diagnosis 110 of itself, specifically according to security mechanisms integrated into the security computing system. The security computing system 100 also carries out an external diagnosis 112 of the basic computing system 120 to be monitored in accordance with security mechanisms provided for this purpose. In addition, the security computing system 100 carries out a monitoring 114 which is based on a comparison of calculations carried out redundantly in the monitoring basic computing system 120 and possibly also in the basic computing system 130 in the respective calculation instances. By way of example, three such calculation instances (or functions) 121, 122, 123 are shown in basic computing system 120, and one calculation instance 131 in basic computing system 130.

Das Gesamtsicherheitskonzept des Sicherheitsrechensystems 100 besteht in diesem Beispiel aus den drei Bausteinen Eigendiagnose 110, Fremddiagnose 112 von Hardware- und Software-Komponenten des (physikalisch angeschlossenen) Basisrechensystem 120 bzw. des sog. Edge Nodes mit einem n-aus-m-Vergleicher von Funktionspfaden, die z.B. über mehrere Container (vgl. die Berechnungen 121, 122, 123, 131) innerhalb eines oder mehrerer Edge Nodes instanziiert werden.In this example, the overall safety concept of the safety computing system 100 consists of the three building blocks self-diagnosis 110, external diagnosis 112 of hardware and software components of the (physically connected) basic computing system 120 or the so-called edge node with an n-out-of-m comparator of function paths , which are instantiated e.g. via several containers (cf. calculations 121, 122, 123, 131) within one or more edge nodes.

Bei einer physikalischen Anbindung (Kommunikationsverbindung 102) sind außerdem direkte Abschaltpfade 116 der Stromversorgung und/oder 118 der Kommunikation nach extern realisierbar, d.h. die Strom- bzw. Energieversorgung kann unterbrochen werden und die Kommunikation des zu überwachenden Basisrechensystems 120 mit weiteren Kommunikationsteilnehmern kann unterbunden werdenIn the case of a physical connection (communication connection 102), direct switch-off paths 116 of the power supply and/or 118 of the communication can be implemented externally, ie the power or energy supply can be interrupted and the communication of the basic computing system 120 to be monitored with other communication participants can be prevented

In 2a und 2b sind verschiedene, bevorzugte Einsatzmöglichkeiten eines erfindungsgemäßen Sicherheitsrechensystems 100 dargestellt. In 2a ist das Sicherheitsrechensystem 100 mit dem zu überwachenden Basisrechensystem 120, dem Edge-System, über die Kommunikationsverbindung 102 verbunden. Das zu überwachende Basisrechensystem 120 wiederum steht in Kommunikation bzw. in Kommunikationsverbindung 142 mit anderen Kommunikationsteilnehmern wie z.B. einem Fahrzeug 140.In 2a and 2 B various preferred possible uses of a security computing system 100 according to the invention are shown. In 2a the security computing system 100 is connected to the basic computing system 120 to be monitored, the edge system, via the communication link 102 . The basic computing system 120 to be monitored is in turn in communication or in a communication connection 142 with other communication participants such as a vehicle 140.

Das Sicherheitsrechensystem 100 wird hier beispielhaft nur als Diagnosesystem eingesetzt, d.h. es kann die Kommunikation 142 mit den Kommunikationsteilnehmern wie z.B. dem Fahrzeug 140 unterbinden, wie durch den Abschaltpfad 118 angedeutet.The security computing system 100 is only used here as a diagnostic system, i.e. it can prevent the communication 142 with the communication participants such as the vehicle 140 , as indicated by the switch-off path 118 .

In 2a ist das Sicherheitsrechensystem 100 ebenfalls mit dem zu überwachenden Basisrechensystem 120, dem Edge-System, über die Kommunikationsverbindung 102 verbunden.In 2a the security computing system 100 is also connected to the basic computing system 120 to be monitored, the edge system, via the communication link 102 .

Das zu überwachende Basisrechensystem 120 steht aber nicht selbst bzw. nicht direkt in Kommunikation mit anderen Kommunikationsteilnehmern wie z.B. dem Fahrzeug 140. Vielmehr steht das Sicherheitsrechensystem 100 in Kommunikation bzw. in Kommunikationsverbindung 144 mit anderen Kommunikationsteilnehmern wie z.B. dem Fahrzeug 140.However, the basic computing system 120 to be monitored is not itself or not directly in communication with other communication participants such as e.g. the vehicle 140. Rather, the safety computing system 100 is in communication or in a communication connection 144 with other communication participants such as e.g. the vehicle 140.

Das Sicherheitsrechensystem 100 wird hier beispielhaft nicht nur als Diagnosesystem eingesetzt, sondern auch als Gateway, d.h. es kann die Kommunikation mit den Kommunikationsteilnehmern wie z.B. dem Fahrzeug 140 selbst steuern und z.B. auch unterbinden.The security computing system 100 is used here, for example, not only as a diagnostic system, but also as a gateway, i.e. it can control communication with the communication participants such as the vehicle 140 itself and, for example, also prevent it.

Claims (11)

Verfahren zum Überwachen, und insbesondere Absichern, eines Basisrechensystems (120) mit Berechnungsinstanzen, unter Verwendung eines Sicherheitsrechensystems (100), das dazu eingerichtet ist, mit dem zu überwachenden Basisrechensystem (120) eine Kommunikationsverbindung (102) herzustellen, umfassend, wenn die Kommunikationsverbindung (102) hergestellt ist: Durchführen einer Eigendiagnose (110) des Sicherheitsrechensystems (100) gemäß in das Sicherheitsrechensystem (100) integrierter Sicherheitsmechanismen, Durchführen einer Fremddiagnose (112) des zu überwachenden Basisrechensystems (120) gemäß dafür vorgesehener Sicherheitsmechanismen, und Überwachen (114) des zu überwachenden Basisrechensystems (120) basierend auf einem Vergleich redundant in den Berechnungsinstanzen des zu überwachenden Basisrechensystems (120) durchgeführter Berechnungen miteinander.Method for monitoring, and in particular securing, a basic computing system (120) with calculation instances, using a security computing system (100) which is set up to establish a communication connection (102) with the basic computing system (120) to be monitored, comprising if the communication connection ( 102) is made: Carrying out a self-diagnosis (110) of the security computing system (100) according to security mechanisms integrated into the security computing system (100), Carrying out an external diagnosis (112) of the basic computing system (120) to be monitored in accordance with security mechanisms provided for this purpose, and Monitoring (114) the basic computing system (120) to be monitored based on a comparison of calculations carried out redundantly in the calculation instances of the basic computing system (120) to be monitored with one another. Verfahren nach Anspruch 1, wobei das Durchführen der Eigendiagnose (110) zumindest eines der folgenden umfasst: - Überwachen von Hardwarekomponenten des Sicherheitsrechensystems (100), insbesondere Prozessoren und/oder Speichereinheiten und/oder Kommunikationskomponenten, - Ausführen von Anwendungen oder Software auf dem Sicherheitsrechensystem (100) gemäß einer vorgegebenen Sicherheitsstufe, insbesondere ASIL-D, und - Überwachen von Softwarekomponenten, insbesondere eines Betriebssystems, des Sicherheitsrechensystems (100).procedure after claim 1 , wherein performing the self-diagnosis (110) comprises at least one of the following: - monitoring hardware components of the security computing system (100), in particular processors and/or memory units and/or communication components, - executing applications or software on the security computing system (100) according to a predetermined security level, in particular ASIL-D, and - monitoring software components, in particular an operating system, of the security computing system (100). Verfahren nach Anspruch 1 oder 2, wobei das Durchführen der Fremddiagnose (112) zumindest eines der folgenden umfasst: - Überwachen von Hardwarekomponenten des zu überwachenden Basisrechensystems (120), - Überwachen von Softwarekomponenten des zu überwachenden Basisrechensystems (120), und - Überwachen einer Kommunikation des zu überwachenden Basisrechensystems (120) mit anderen, dem zu überwachenden Basisrechensystem vergleichbaren Basisrechensystemen (130).procedure after claim 1 or 2 , wherein the performance of the external diagnosis (112) comprises at least one of the following: - monitoring hardware components of the basic computing system (120) to be monitored, - monitoring software components of the basic computing system (120) to be monitored, and - monitoring a communication of the basic computing system (120 ) with other basic computing systems comparable to the basic computing system to be monitored (130). Verfahren nach einem der vorstehenden Ansprüche, weiterhin umfassend, bei Erkennen eines sicherheitsrelevanten Problems in dem zu überwachenden Basisrechensystem (120), wenigstes eines der folgenden: - Beenden eines Betriebs des zu überwachenden Basisrechensystems (120), - Unterbrechen (116) einer Energieversorgung des zu überwachenden Basisrechensystems (120), und - Unterbinden (118) einer Kommunikation (142) des zu überwachenden Basisrechensystems (120) mit weiteren Kommunikationsteilnehmern (140).Method according to one of the preceding claims, further comprising, upon detection of a security-related problem in the basic computing system (120) to be monitored, at least one of the following: - terminating an operation of the butterfly computer system (120) to be monitored, - interrupting (116) a power supply to the butterfly system (120) to be monitored, and - Preventing (118) a communication (142) to be monitored basic computing system (120) with other communication participants (140). Verfahren nach einem der vorstehenden Ansprüche, weiterhin umfassend, in Abhängigkeit von der Fremddiagnose (112), insbesondere bei Erkennen eines sicherheitsrelevanten Problems in dem zu überwachenden Basisrechensystem (120), wenigstes eines der folgenden: - Informieren von weiteren Kommunikationsteilnehmern, die mit dem zu überwachenden Basisrechensystem (120) kommunizieren, über die Ergebnisse der Fremddiagnose (112), insbesondere einer Beendigung des Betriebs des zu überwachenden Basisrechensystems (120), und - Aktualisieren von Softwarekomponenten des zu überwachenden Basisrechensystems (120).Method according to one of the preceding claims, further comprising, depending on the external diagnosis (112), in particular when recognizing a security-related problem in the basic computing system (120) to be monitored, at least one of the following: Communicate butterfly system (120) about the results of the external diagnosis (112), in particular a Been terminating the operation of the basic computing system (120) to be monitored, and - updating software components of the basic computing system (120) to be monitored. Verfahren nach einem der vorstehenden Ansprüche, weiterhin umfassend: Bereitstellen des Sicherheitsrechensystems (100) als Gateway für eine Kommunikation (144) des zu überwachenden Basisrechensystems (120) mit weiteren Kommunikationsteilnehmern (!40), und insbesondere Steuern der Kommunikation des zu überwachenden Basisrechensystems (120) mit den weiteren Kommunikationsteilnehmern.A method according to any one of the preceding claims, further comprising: Providing the security computing system (100) as a gateway for communication (144) of the basic computing system (120) to be monitored with other communication participants (! 40), and in particular controlling the communication of the basic computing system (120) to be monitored with the further communication participants. Verfahren nach Anspruch 6, umfassend das Steuern der Kommunikation des zu überwachenden Basisrechensystems (120) mit den weiteren Kommunikationsteilnehmern, weiterhin umfassend zumindest eines der folgenden: - Unterbrechen der Kommunikation des zu überwachenden Basisrechensystems (120) mit einem oder mehreren ausgewählten oder allen weiteren Kommunikationsteilnehmern, - Filtern von, insbesondere als fehlerhaft erkannten, Nachrichten bei der Kommunikation des zu überwachenden Basisrechensystems (120) mit den weiteren Kommunikationsteilnehmern, und - Überwachen und/oder Analysieren der Kommunikation des zu überwachenden Basisrechensystems (120) mit den weiteren Kommunikationsteilnehmern.procedure after claim 6 , comprising controlling the communication of the basic computing system (120) to be monitored with the further communication participants, further comprising at least one of the following: - interrupting the communication of the basic computing system (120) to be monitored with one or more selected or all further communication participants, - filtering of, in particular messages identified as faulty in the communication of the basic computing system (120) to be monitored with the other communication participants, and - monitoring and/or analyzing the communication of the basic computing system (120) to be monitored with the further communication participants. Verfahren nach einem der vorstehenden Ansprüche, bei dem das zu überwachende Basisrechensystem zur Kommunikation mit Fahrzeugen (140), insbesondere automatisiert oder teilautomatisiert fahrenden Fahrzeugen, verwendet wird.Method according to one of the preceding claims, in which the basic computing system to be monitored is used for communication with vehicles (140), in particular vehicles driving in an automated or partially automated manner. Rechensystem (100), insbesondere als Sicherheitsrechensystem, das dazu eingerichtet ist, alle Verfahrensschritte eines Verfahrens nach einem der vorstehenden Ansprüche durchzuführen.Computing system (100), in particular as a security computing system, which is set up to carry out all method steps of a method according to one of the preceding claims. Computerprogramm, das ein Rechensystem (100) dazu veranlasst, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 1 bis 8 durchzuführen, wenn es auf dem Rechensystem (100) ausgeführt wird.Computer program that causes a computing system (100) to execute all method steps of a method according to one of Claims 1 until 8th to perform when executed on the computing system (100). Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 10.Machine-readable storage medium with a computer program stored on it claim 10 .
DE102021212595.6A 2021-11-09 2021-11-09 Method of monitoring a computing system Pending DE102021212595A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021212595.6A DE102021212595A1 (en) 2021-11-09 2021-11-09 Method of monitoring a computing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021212595.6A DE102021212595A1 (en) 2021-11-09 2021-11-09 Method of monitoring a computing system

Publications (1)

Publication Number Publication Date
DE102021212595A1 true DE102021212595A1 (en) 2023-05-11

Family

ID=86053032

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021212595.6A Pending DE102021212595A1 (en) 2021-11-09 2021-11-09 Method of monitoring a computing system

Country Status (1)

Country Link
DE (1) DE102021212595A1 (en)

Similar Documents

Publication Publication Date Title
DE60019038T2 (en) Intelligent error management
DE112018004312T5 (en) Vehicle diagnostic apparatus, vehicle diagnostic system and vehicle diagnostic program
DE102010051133A1 (en) Diagnose and predict errors using Diagnostic Trouble Code Markov chains
DE10307342B4 (en) Device and method for model-based on-board diagnostics
DE112012001923T5 (en) Collaborative multi-agent system for fault diagnosis on a vehicle and associated method
DE102011005800A1 (en) Control computer system, method for controlling a control computer system, and use of a control computer system
DE112018002176T5 (en) Abnormality determination device, abnormality determination method and abnormality determination program
DE102014222860B4 (en) Electronic vehicle control unit
DE102008004205A1 (en) Circuit arrangement for error treatment in real-time system e.g. controller, for motor vehicle, has processing units reporting result of inherent error diagnosis by monitoring unit that activates arithmetic units in dependence of result
DE10309891B4 (en) An electronic vehicle control device having a plurality of microcomputers for implementing a microcomputer monitoring function
DE102020205416A1 (en) Device and method for diagnosing a sleep mode of a CAN for a vehicle
EP2102723B1 (en) Method and device for the diagnosis of functions and vehicle systems
DE102021212595A1 (en) Method of monitoring a computing system
DE102011007467A1 (en) Polynuclear integrated microprocessor circuitry for, e.g. vehicle domain computer, has tester to perform time-integral checking of specific components of auxiliary processor structure to and gradually expand checking of other components
DE112019007286T5 (en) IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM
DE10302054B4 (en) Method for operating an internal combustion engine
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
DE102020209228A1 (en) Method for monitoring at least one computing unit
DE102017219195B4 (en) PROCEDURE FOR ENSURE OPERATION OF A COMPUTER
EP1733284B1 (en) Control system for operating functions on interacting appliances
WO2020127239A1 (en) Method for diagnosing a safety component in a motor vehicle
DE102022129939A1 (en) Redundant processor architecture for safety-critical applications
DE102019209136A1 (en) Method for safeguarding a function monitoring of a control unit of a vehicle
WO2023242154A1 (en) Method for checking a system, which has a plurality of individual components, for collectively carrying out a function by means of the plurality of individual components
DE102021213472A1 (en) Method for executing a driving task in a decentralized control unit system and decentralized control unit system