用于認證電池組的測量數(shù)據(jù)的方法和設備的制造方法
【技術領域】
[0001]本發(fā)明涉及一種用于認證電池組的測量數(shù)據(jù)的方法�,所述電池組包括至少一個具有所分配的模塊控制裝置的電池組模塊并且包括中央控制裝置,其中電池組單元的測量數(shù)據(jù)通過至少一個模塊控制裝置來檢測����。
[0002]此外說明一種具有這樣的測量數(shù)據(jù)的數(shù)據(jù)結構、尤其被設置用于執(zhí)行所述方法的計算機程序和電池組管理系統(tǒng)��。此外�����,說明一種電池組和具有這樣的電池組的機動車�。
【背景技術】
[0003]當今,電子控制裝置越來越多地應用在汽車領域中�,對此的例子有發(fā)動機控制裝置和用于ABS或者氣囊的控制裝置。對于電驅動的車輛����,當今的研究重點是具有所屬的電池組管理系統(tǒng)一一也即控制裝置一一的高效電池組包的研發(fā),所述電池組管理系統(tǒng)配備有用于監(jiān)視電池組功能性的軟件���。電池組管理系統(tǒng)還保證所使用的電池組電池和電池組包的安全的和可靠的功能�。電池組管理系統(tǒng)監(jiān)視并且控制電流、電壓�����、溫度�、絕緣電阻和其他用于單個電池的和/或整個電池組包的參量����。借助這些參量能夠實現(xiàn)管理功能,所述管理功能提高電池組系統(tǒng)的壽命����、可靠性和安全性。
[0004]由DE10 2009 030 091 Al已知一種用于充電站與電動車之間的通信的方法����,所述方法包括完整性和可信性檢查,其中發(fā)送數(shù)據(jù)包��,所述數(shù)據(jù)包借助哈希碼���、尤其借助單向函數(shù)和裝置秘鑰簽名�����,使得可以在接收方側確定是否一定已經(jīng)發(fā)生了數(shù)據(jù)包的改變���。
[0005]由DE 10 2011 089 352 Al已知一種電池組管理系統(tǒng)�,其中進行配置參數(shù)的檢查�����,其中所述配置參數(shù)不僅包括電池組的有用數(shù)據(jù)而且包括通過工廠測試確定的參數(shù)�����。在此規(guī)定�����,固件檢查寄存器中的值實際上具有這樣的值:所述值借助工廠編程的錯誤識別數(shù)據(jù)一一例如校驗和或者哈希函數(shù)產生相同的校驗和���。如果配置參數(shù)中的一些被認為是不正確的����,則可以采取措施���,諸如鎖止電池組運行����、存儲關于存儲器的失效的報告、系統(tǒng)重置�����。
【發(fā)明內容】
[0006]根據(jù)本發(fā)明的用于認證電池組的測量數(shù)據(jù)的方法包括以下步驟:
a)通過模塊控制裝置檢測電池組單元的測量數(shù)據(jù)��;
b)通過所述模塊控制裝置確定至少一個附加的信息載體�����,所述至少一個附加的信息載體被設置用于認證所述測量數(shù)據(jù)�;
c)從所述模塊控制裝置傳送所述測量數(shù)據(jù)和所述至少一個附加的信息載體到中央控制裝置上���;
d)通過所述中央控制裝置根據(jù)所述至少一個附加的信息載體驗證所述測量數(shù)據(jù)�����, 其中所述附加的信息載體根據(jù)所述測量數(shù)據(jù)和由所述模塊控制裝置定義的秘鑰值來確定��。
[0007]測量數(shù)據(jù)一一其通常通過模塊控制裝置檢測和監(jiān)視一一例如包括溫度����、絕緣電阻、充電狀態(tài)����、所輸送的電流或者所提供的電壓。同樣�,測量數(shù)據(jù)可以包括由其導出的參量,例如時間上累積的或者積分的參量��、相互相乘或者其他方面累計的參量����。此外,例如充電狀態(tài)的最小狀態(tài)和最大狀態(tài)之間的差值�����、相對電池組功率或者充電與放電循環(huán)的執(zhí)行次數(shù)可以包括在所導出的測量數(shù)據(jù)中��。根據(jù)這樣的測量數(shù)據(jù)實現(xiàn)電池組管理功能����,諸如電池組系統(tǒng)的預計壽命的確定或者電池組的健康狀態(tài)(SOH)的確定。
[0008]所述方法尤其可以應用在鋰離子電池組中和在鎳/金屬氫化物電池組中���。優(yōu)選地�,所述方法應用在一個或者多個基本上以相同方式運行的電池組的多個模塊上和尤其所有模塊上。
[0009]通過在從屬權利要求中列舉的措施能夠實現(xiàn)在獨立權利要求中說明的方法的有利的擴展方案和改進�����。
[0010]在本發(fā)明的范圍內��,由模塊控制裝置定義的秘鑰值也稱作種子或者種子秘鑰��。特別優(yōu)選地�����,根據(jù)參量的確定的測量值一一例如根據(jù)溫度���、充電狀態(tài)、所輸送的電流或者所提供的電壓或者根據(jù)導出的或者其他方面累計的�����、如先前所述那樣可以構造的參量確定由所述模塊控制裝置定義的秘鑰值�。使用哪個具體的測量值應保持隱秘,以便盡可能使加密的繞開對于第三方而言變得困難��。
[0011]確定的測量值優(yōu)選是屬于以下測量數(shù)據(jù)的測量值�����,所述測量數(shù)據(jù)借助至少一個附加的信息載體或者事先由模塊控制裝置傳輸?shù)街醒肟刂蒲b置上并且由中央控制裝置驗證或者已驗證。確定的測量值尤其可以屬于模塊控制裝置的最后傳送和驗證的測量數(shù)據(jù)或者屬于模塊控制裝置的當前傳送的并且待驗證的測量數(shù)據(jù)�����。
[0012]由模塊控制裝置定義的第一秘鑰值也稱作初始值�。以下確定的測量值可以用作初始值:所述測量值屬于模塊控制裝置的當前傳送的并且待驗證的測量數(shù)據(jù),例如所測量的第一電池電壓�。
[0013]特別優(yōu)選地,附加的信息載體借助單向函數(shù)f(x��,y)由模塊控制裝置所定義的秘鑰值和測量數(shù)據(jù)來確定���。單向函數(shù)f(x���,y)—z優(yōu)選借助這樣的特性來定義,S卩其函數(shù)值z可以簡單地計算并且函數(shù)的反轉是十分耗費的并且實踐中是不可能的����。這樣的單向函數(shù)的示例存在于密碼學,例如哈希函數(shù)����、尤其SHA-USHA-2或者SHA-3或者作為質數(shù)的乘法����。
[0014]哈希函數(shù)適合于證實數(shù)據(jù)的完整性��。也即�����,實踐中不可能的是�����,通過有意的修改產生測量數(shù)據(jù)����,所述測量數(shù)據(jù)具有與給定的測量數(shù)據(jù)相同的哈希值�����。因此���,在不知道附加的信息載體的計算規(guī)則的情況下���,潛在的攻擊者不能夠產生測量數(shù)據(jù)與適當?shù)暮灻暮侠斫M合并且不能將其存儲在控制裝置中����。
[0015]校驗和也可以借助循環(huán)冗余校驗來構成��。在循環(huán)冗余校驗(CRC,cyclicredundancy check)中��,測量數(shù)據(jù)的比特序列除以確定的生成多項式�、所謂的CRC多項式模數(shù)2,其中留下余數(shù)�。該余數(shù)是CRC值,其被添加至測量數(shù)據(jù)�。
[0016]在單向函數(shù)f(X,y)—z中����,值y是由模塊控制裝置定義的秘鑰值。通過值y保證����,相同的單向函數(shù)在不同的控制裝置中提供不同的結果。每一個模塊控制裝置具有自身的秘鑰值并且因此即使在相同的測量數(shù)據(jù)的情況下也使用不同于其他單向函數(shù)的單向函數(shù)����。測量數(shù)據(jù)是輸入值X。值X和值y產生秘鑰,也即對密碼算法進行參數(shù)化的信息�����。例如��,所有測量數(shù)據(jù)可以借助異或函數(shù)組合成一個值����,該值然后與值y—起進入附加的信息載體的計算中。計算規(guī)則的推斷通過模塊控制裝置各自的秘鑰的使用而變得十分困難���。
[0017]在測量數(shù)據(jù)的檢測之后����,測量數(shù)據(jù)或者單獨地或者捆綁地配備有附加的信息載體��,所述附加的信息載體在該上下文中也可以稱作認證信息或者稱作所謂的簽名����。簽名����,例如32比特值與測量數(shù)據(jù)一起存儲在數(shù)據(jù)結構中。
[0018]由模塊控制裝置優(yōu)選在時間上隨機地改變由所述模塊控制裝置定義的秘鑰值。以下時刻可以稱作在時間上隨機:所述時刻由模塊控制裝置根據(jù)真實的隨機數(shù)計算或者偽隨機地計算����,例如根據(jù)噪音的分析或者在使用隨機數(shù)生成器的情況下。偽隨機性尤其也可以被設計成�,使得平均在定義的測量循環(huán)次數(shù)之后一一例如每一百個之后、在每一千個之后或者在每一萬個之后發(fā)生變換��。對此替代地����,偽隨機性可以被設置成,使得平均在確定的時間段之后或者在確定的利用持續(xù)時間一一例如在使用電池組的每天一次之后發(fā)生變換���。
[0019]各個模塊控制裝置的測量數(shù)據(jù)和被設置用于認證測量數(shù)據(jù)的附加的信息載體被傳送給中央控制裝置�����。此外����,中央控制裝置認識所有目前為止由模塊控制裝置定義的秘鑰值��。中央控制裝置通過利用自身計算的����、借助已知的秘鑰值和測量數(shù)據(jù)確定的附加的信息載體校準所傳送的附加的信息載體來驗證測量數(shù)據(jù)����。
[0020]因為每一個模塊控制裝置可以改變秘鑰值���,所以所述驗證通過中央控制裝置優(yōu)選分兩級地進行�����,其中在第一級中相對于已知的秘鑰值進行驗證并且在所述第一級中的驗證不成功的情況下在第二級中相對于新的秘鑰值進行驗證�����。因為新的秘鑰值屬于模塊控制裝置的所傳送的并且經(jīng)驗證的測量數(shù)據(jù)或者屬于模塊控制裝置的當前傳送的并且待驗證的測量數(shù)據(jù)���,所以中央控制裝置直接對其進行訪問。
[0021]根據(jù)一種優(yōu)選的實施方式���,在驗證不成功的情況下所述中央控制裝置產生錯誤報告并且例如在CAN總線上提供所述錯誤報告�����。對此替代地或者對此附加地可以規(guī)定���,中央控制裝置至少部分地鎖止或者減少所述電池組,例如開始所謂的跛行回家(Limp-Home)���。
[0022]根據(jù)一種優(yōu)選的實施方式�����,所述方法包括以下另外的步驟:
e)將測量數(shù)據(jù)存儲到中央控制裝置的非易失性存儲器中�����。
[0023]這樣的非易失性存儲器例如是所謂的EEPR0M(e I ec tr i ca11y erasableprogrammable read-only memory�����,電可擦除可編程只讀存儲器)���,也即非易失