umwelt-online: Archivdatei - VO (EWG) Nr. 3821/85 über das Kontrollgerät im Straßenverkehr (9)

UWS Umweltmanagement GmbHzurückFrame öffnen

Tabelle 35 Nachricht Negative Response auf InputOutputControlByIdentifier

Byte-Nr.ParameterbezeichnungHex-WertSymbolform
#1Format-Byte - Physische Adressierung80FMT
#2Zieladress-BytettTGT
#3Quelladress-ByteEESRC
#4Zusatzlängen-Byte03LEN
#5Service Identifier für Negative Response7FNR
#6Service Identifier für Anforderung inputOutput-ControlByIdentifier2FIOCBI
#7responseCode = [

incorrectMessageLength

conditionsNotCorrect

requestOutOfRange

deviceControlLimitsEx-ceeded]

  
13RC_IML
22RC_CNC
31RC_ROOR
7ARC_DCLE
#8Prüfsumme00-FFCS

7.1.3. Parameterdefinition

CPR_064 Der Parameter inputOutputControlParameter (IOCP_) ist in folgender Tabelle beschrieben:

Tabelle 36 Definition der Werte für inputOutputControlParameter

HexBeschreibungSymbolform
00ReturnControlToECU
Dieser Wert zeigt dem Server (FE) an, dass das Prüfgerät die Steuerung der Kalibrierungs-E/A-Signalleitung beendet hat.
RCTECU
01ResetToDefault
Dieser Wert zeigt dem Server (FE) die Anforderung an, den Status der Kalibrierungs-E/A-Signalleitung in den Standardstatus zurückzusetzen.
RTD
03ShortTermAdjustment
Dieser Wert zeigt dem Server (FE) die Anforderung an, die Kalibrierungs-E/A-Signalleitung auf den im Parameter controlState enthaltenen Wert einzustellen.
STA

CPR_065 Der Parameter controlState liegt nur vor, wenn der inputOutputControlParameter auf ShortTermAdjustment gesetzt ist; folgende Werte sind möglich:

Tabelle 37 Beschreibung der Werte für controlState

BetriebsartHex-WertBeschreibung
Deaktiviert00E/A-Leitung deaktiviert (Ausgangszustand)
Aktiviert01Kalibrierungs-E/A-Leitung als speedSignalInput aktiviert
Aktiviert02Kalibrierungs-E/A-Leitung als realTimeSpeedSignalOutputSensor aktiviert
Aktiviert03Kalibrierungs-E/A-Leitung als RTCOutput aktiviert

8. Datensatzformate

Dieser Abschnitt enthält:

CPR_067 Alle hier angegebenen Parameter müssen von der FE unterstützt werden.

CPR_068 Von der FE an das Prüfgerät aufgrund einer Anforderungsnachricht übertragene Daten müssen dem jeweiligen Messtyp entsprechen (d. h. dem aktuellen Wert des angeforderten Parameters, wie ihn die FE gemessen oder vorgegeben hat).

8.1. Wertebereiche der übertragenen Parameter

CPR_069 Tabelle 38 enthält die Wertebereiche, mit deren Hilfe die Gültigkeit der übermittelten Parameter festgestellt wird.

CPR_070 Mit den Werten im Bereich "Errorindikator" kann die Fahrzeugeinheit sofort mitteilen, dass aufgrund eines Fehlers im Kontrollgerät derzeit keine gültigen Werte vorhanden sind.

CPR_071 Mit den Werten im Bereich "Nicht verfügbar" kann die Fahrzeugeinheit eine Nachricht übermitteln, die einen in diesem Modul nicht verfügbaren oder nicht unterstützten Parameter enthält. Die Werte im Bereich "Nicht angefordert" ermöglichen es der Fahrzeugeinheit eine Befehlsnachricht zu übermitteln und die Parameter anzugeben, für die es vom anderen Gerät keine Antwort erwartet.

CPR_072 Können wegen eines defekten Bauteils keine gültigen Daten für einen Parameter übermittelt werden, sollte mit dem in Tabelle 38 angegebenen Fehlerindikator anstelle von Daten für den angeforderten Parameter geantwortet werden. Wenn die gemessenen oder errechneten Daten Werte annehmen, die zwar gültig sind, aber außerhalb des festgelegten Wertebereichs für diesen Parameter liegen, ist der Fehlerindikator jedoch nicht zu verwenden. In diesem Fall sollte der jeweilige Mindest- oder Höchstwert für diesen Parameter übertragen werden.

Tabelle 38 Wertebereiche der dataRecords

Wertebereichsname1 Byte
(Hex-Wert)
2 Bytes
(Hex-Wert)
4 Bytes
(Hex-Wert)
ASCII
Gültiges Signal00 bis FA0000 bis FAFF00000000 bis FAFFFFFF1 bis 254
Parameterspezifischer IndikatorFBFB00 bis FBFFFB000000 bis FBFFFFFFkeiner
Reserviert für künftigeFC bis FDFC00 bisFC000000 biskeiner
Indikatorbits FDFFFDFFFFFF 
FehlerindikatorFEFE00 bis FEFFFE000000 bis FEFFFFFF0
Nicht verfügbar oderFFFF00 bisFF000000 bisFF
nicht angefordert FFFFFFFFFFFF 

CPR_073 Bei den in ASCII dargestellten Parametern ist der Stern "s" als Trennzeichen reserviert.

8.2. dataRecords-Formate

In Tabelle 39 bis Tabelle 42 sind die Datensatzformate für die Dienste ReadDataByIdentifier und WriteDataByIdentifier angegeben.

CPR_074 In Tabelle 39 sind die Länge, die Auflösung und der Betriebsbereich für jeden durch seinen recordDataIdentifier gekennzeichneten Parameter aufgeführt:

Tabelle 39 dataRecords-Formate

ParameterbezeichnungDatenlänge
(Byte)
AuflösungBetriebsbereich
TimeDate8siehe Tabelle 40
HighResolutionTotalVehicleDistance4Zuwachs 5 m/Bit, Ausgangswert 0 m0 bis + 21 055 406 km
Kfactor2Zuwachs 0,001 Impulse/m/
Bit, Ausgangswert 0
0 bis 64,255 pulse/m
LfactorTyreCircumference2Zuwachs 0,125 10-3 m/Bit, Ausgangswert 00 bis 8,031 m
WvehicleCharacteristic- Factor2Zuwachs 0,001 Impulse/m/
Bit, Ausgangswert 0
0 bis 64,255 Impulse/m
TyreSize15ASCIIASCII
NextCalibrationDate3siehe Tabelle 41
SpeedAuthorised2Zuwachs 1/256 km/h/Bit,
Ausgangswert 0
0 bis 250,996 km/h
RegisteringMemberState3ASCIIASCII
VehicleRegistrationNumber14siehe Tabelle 42
VIN17ASCIIASCII

CPR_075 Tabelle 40 enthält die Formate der verschiedenen Bytes für den Parameter TimeDate:

Tabelle 40 Ausführliches Format des Parameters TimeDate (DataIdentifier-Wert F90B t)

ByteParameterdefinitionAuflösungBetriebsbereich
1SekundenZuwachs 0,25 s/Bit,
Ausgangswert 0 s
0 bis 59,75 s
2MinutenZuwachs 1 min/Bit,
Ausgangswert 0 min
0 bis 59 min
3StundenZuwachs 1 h/Bit,
Zuwachs 0 h
0 bis 23 h
4MonatZuwachs 1 Monat/Bit,
Ausgangswert 0 Monate
1 bis 12 Monate
5TagZuwachs 0,25 Tag/Bit,
Ausgangswert 0 Tage
(siehe Hinweis unter
Tabelle 41)
0,25 bis 31,75 Tage
6JahrZuwachs 1 Jahr/Bit,
Ausgangswert +1985
Jahre (siehe Hinweis
unter Tabelle 41)
1985 bis 2235 Jahre
7Lokaler Ausgangswert
Minuten
Zuwachs 1 min/Bit,
Ausgangswert - 125 min
- 59 bis + 59 min
8Lokaler Ausgangswert
Stunden
Zuwachs 1 h/Bit,
Ausgangswert - 125 h
- 23 bis + 23 h

CPR_076 Tabelle 41 enthält die Formate der verschiedenen Bytes für den Parameter Next-CalibrationDate:

Tabelle 41 Ausführliches Format des Parameters NextCalibrationDate (recordDataIdentifier-Wert F922)

ByteParameterdefinitionAuflösungBetriebsbereich
1MonatZuwachs 1 Monat/Bit,
Ausgangswert 0 Monate
1 bis 12 Monate
2TagZuwachs 0,25 Tage/Bit,
Ausgangswert 0 Tage
(siehe Hinweis unten)
0,25 bis 31,75 Tage
3JahrZuwachs 1 Jahr/Bit,
Ausgangswert +1985
Jahre (siehe Hinweis
unten)
1985 bis 2235 Jahre
Hinweis zur Verwendung des Tag-Parameters:
1. Der Datumswert 0 ist ungültig. Die Werte 1, 2, 3 und 4 kennzeichnen den ersten Tag des Monats; die Werte 5, 6, 7 und 8 kennzeichnen den zweiten Tag des Monats usw.
2. Dieser Parameter hat keinen Einfluss auf den Stundenparameter oben.

Hinweis zur Verwendung des Jahr-Parameterbits:
Der Wert 0 für das Jahr kennzeichnet das Jahr 1985; der Wert 1 das Jahr 1986 usw.

CPR_078 Tabelle 42 enthält die Formate der verschiedenen Bytes für den Parameter VehicleRegistrationNumber:

Tabelle 42 Ausführliches Format des Parameters VehicleRegistrationNumber (recordDataIdentifier-Wert F97E)

ByteParameterdefinitionAuflösungBetriebsbereich
1Codeseite (entsprechend Anhang 1)ASCII01 bis 0A
2 bis 14amtliches Kennzeichen (entsprechend Anhang 1)ASCIIASCII

.

 Bauartgenehmigung - Mindestanforderungen an die durchzuführenden PrüfungenAnlage 9 09b


1. Einleitung

1.1. Bauartgenehmigung

Die EWG-Bauartgenehmigung von Kontrollgeräten (oder deren Komponenten) oder einer Kontrollgerätkarte beruht auf:

In dieser Anlage ist in Form von Mindestanforderungen festgelegt, welche Prüfungen eine Behörde der Mitgliedstaaten während der Funktionsprüfungen und welche Prüfungen eine zuständige Stelle während der Interoperabilitätsprüfungen durchführen muss. Die Verfahren zur Durchführung der Prüfungen bzw. die Art der Prüfungen werden nicht weiter spezifiziert.

Die Aspekte der Sicherheitszertifizierung sind in dieser Anlage nicht enthalten. Werden bestimmte Prüfungen bereits für die Bauartgenehmigung im Rahmen des Verfahrens zur Sicherheitsbewertung und -zertifizierung durchgeführt, so brauchen diese Prüfungen nicht wiederholt zu werden. In diesem Fall sind lediglich die Ergebnisse dieser Sicherheitsprüfungen nachzuprüfen. Zu Informationszwecken sind in dieser Anlage Anforderungen, bei denen während der Sicherheitszertifizierung die Durchführung einer Prüfung erwartet wird (oder die mit durchzuführenden Prüfungen in einem engen Verhältnis stehen), mit einem "*" gekennzeichnet.

In dieser Anlage wird die Bauartgenehmigung für den Weg- und/oder Geschwindigkeitsgebers getrennt von der für die Fahrzeugeinheit betrachtet, da es sich dabei um Komponenten des Kontrollgeräts handelt. Da Interoperabilität nicht zwischen sämtlichen Modellen von Weg- und/oder Geschwindigkeitsgebern und Fahrzeugeinheiten erforderlich ist, kann die Bauartgenehmigung für einen Weg- und/oder Geschwindigkeitsgeber nur in Verbindung mit der Bauartgenehmigung für eine Fahrzeugeinheit und umgekehrt erteilt werden.

1.2. Referenzdokumente

Referenzdokumente zu dieser Anlage:

IEC 68-2-1Environmental testing - Part 2: Tests - Tests A: Cold. 1990 + Amendment 2: 1994.
IEC 68-2-2Environmental testing - Part 2: Tests - Tests B: Dry heat. 1974 + Amendment 2: 1994.
IEC 68-2-6Basic environmental testing procedures - Test methods - Test Fc and guidance: Vibrations (sinusoidal). 6th edition: 1985.
IEC 68-2-14Basic environmental testing procedures - Test methods - Test N: Change of temperature. Modification 1: 1986.
IEC 68-2-27Basic environmental testing procedures - Test methods - Test Ea and guidance: Shock. Edition 3: 1987.
IEC 68-2-30Basic environmental testing procedures - Test methods - Test Db and guidance: Damp heat, cyclic (12 + 12 - hour cycle). Modification 1: 1985.
IEC 68-2-35Basic environmental testing procedure - Test methods - Test Fda: Random Vibrations wide band - Reproducibility High. Modification 1: 1983.
IEC 529Degrees of protection provided by enclosures (IP code). Edition 2: 1989.
IEC 61000-4-2Electromagnetic Compatibility (EMC) - Testing and measurement techniques - Electrostatic discharge immunity test: 1995/Amendment 1: 1998
ISO 7637-1Road vehicles - Electrical disturbance by conduction and coupling - Part 1: Passenger cars and light commercial vehicles with nominal 12 V supply voltage - Electrical transient conduction along supply lines only. Edition 2: 1990. (Straßenfahrzeuge; Elektrische Störungen durch Leitung und Kopplung; Teil 1: Personenkraftwagen und leichte Nutzkraftwagen mit 12-V-Bordnetzen - Leitungsgeführte Störgrößen auf Versorgungsleitungen)
ISO 7637-2Road vehicles - Electrical disturbance by conduction and coupling - Part 2: Commercial vehicles with nominal 24 V supply voltage - Electrical transient conduction along supply lines only. First edition: 1990. (Straßenfahrzeuge; Elektrische Störungen durch Leitung und Kopplung; Teil 2: Nutzkraftwagen mit 24-V-Bordnetzen; Leitungsgeführte Störgrößen auf Versorgungsleitungen)
ISO 7637-3Road vehicles - Electrical disturbance by conduction and coupling - Part 3: Vehicles with 12 V or 24 V supply voltage - Electrical transient transmission by capacitive and inductive coupling via lines other than supply lines. First Edition: 1995 + Cor 1: 1995. (Straßenfahrzeuge - Elektrische Störungen durch Leitung und Kopplung - Teil 3: Fahrzeuge mit 12 V oder 24 V Nenn-Versorgungsspannung - Kapazitiv und induktiv gekoppelte Störungen auf andere als Versorgungsleitungen)
ISO/IEC 7816-1Identification cards - Integrated circuit(s) cards with contacts - Part 1: Physical characteristics. First edition: 1998. (Identifikationskarten - Integrierte Schaltungen mit Kontakten - Teil 1: Physikalische Eigenschaften)
ISO/IEC 7816-2Information technology - Identification cards - Integratedcircuit(s) cards with contacts - Part 2: Dimensions and location of the contacts. First edition: 1999. (Informationstechnik - Identifikationskarten - Integrierte Schaltungen mit Kontakten - Teil 2: Abmessungen und Lageer Kontakte)
ISO/IEC 7816-3Information technology - Identification cards - Integrated circuit(s) cards with contacts - Part 3: Electronic signals and transmission protocol. Edition 2: 1997. (Informationstechnik - Identifikationskarten - Chipkarten mit Kontakten - Teil 3: Elektronische Eigenschaften und Übertragungsprotokolle)
ISO/IEC 10373Identification cards - Test methods. First edition: 1993. (Identifikationskarten - Prüfverfahren)
ISO 16844-3:2004Cor 1:2006 Road vehicles - Tachograph systems - Part 3: Motion sensor interface (with vehicle units) (Straßenfahrzeuge - Fahrtenschreibersysteme - Teil 3: Bewegungssensorschnittstelle [mit Fahrzeugeinheiten]).

2. Funktionsprüfungen an der Fahrzeugeinheit

Nr.PrüfungBeschreibungAnforderungsentsprechung
1.Administrative Prüfung
1.1.DokumentationRichtigkeit der Dokumentation 
1.2.Prüfergebnisse des HerstellersErgebnisse der beim Einbau vom Hersteller durchgeführten Prüfung. Nachweis auf Papier070, 071, 073
2.Sichtprüfung
2.1.Übereinstimmung mit der Dokumentation 
2.2.Kennung/Markierungen168, 169
2.3.Werkstoffe163 bis 167
2.4Plombierung251
2.5.Externe Schnittstellen 
3.Funktionsprüfungen
3.1.Mögliche Funktionen002, 004, 244
3.2.Betriebsarten006*, 007*, 008*,009*, 106, 107
3.3.Funktionen und Datenzugriffsrechte010*, 011*, 240, 246, 247
3.4.Überwachung des Einsteckens und Entnehmens der Karten013, 014, 015*,016*, 106
3.5.Geschwindigkeits- und Wegstreckenmessung017 bis 026
3.6.Zeitmessung (Prüfung bei 20 °C)027 bis 032
3.7.Überwachung der Fahrertätigkeiten033 bis 043, 106
3.8.Überwachung des Status der Fahrzeugführung044, 045, 106
3.9.Manuelle Eingabe durch die Fahrer046 bis 050b
3.10.Verwaltung der Unternehmenssperren051 bis 055
3.11.Überwachung von Kontrollaktivitäten056, 057
3.12.Feststellung von Ereignissen und Störungen059 bis 069, 106
3.13.Kenndaten der Fahrzeugeinheit075*, 076*, 079
3.14.Einsteck- und Entnahmedaten der Fahrerkarte081* bis 083*
3.15.Fahrertätigkeitsdaten084* bis 086*
3.16.Ort des Arbeitstagsbeginns und -endes087* bis 089*
3.17.Kilometerstandsdaten090* bis 092*
3.18.Detaillierte Geschwindigkeitsdaten093*
3.19.Ereignisdaten094*, 095
3.20.Störungsdaten096*
3.21.Kalibrierungsdaten097*, 098*
3.22.Zeiteinstellungsdaten100*, 101*
3.23.Kontrolldaten102*, 103*
3.24.Unternehmenssperredaten104*
3.25.Erfassen des Herunterladens105*
3.26.Daten zu spezifischen Bedingungen105a*, 105b*
3.27.Aufzeichnung und Speicherung von Daten auf Kontrollgerätkarten -108, 109*, 109a*,110*, 111, 112
3.28.Anzeige072, 106, 113 bis128, PIC_001, DIS_001
3.29.Drucken072, 106, 129 bis138, PIC_001, PRT_001 bis PRT_012
3.30.Warnung106, 139 bis 148, PIC_001
3.31.Herunterladen von Daten auf externe Datenträger072, 106, 149 bis151


Nr.PrüfungBeschreibungAnforderungsentsprechung
3.32.Datenausgabe an zusätzliche externe Geräte152, 153
3.33.Kalibrierung154*, 155*, 156*, 245
3.34.Zeiteinstellung157*, 158*
3.35.Störungsfreiheit zusätzlicher Funktionen003, 269
3.36Bewegungssensor-Schnittstelle, Anforderungsentsprechung001a, 099
3.37Überprüfen, dass die FE die herstellerdefinierten Ereignisse und/oder Störungen ermittelt, aufzeichnet und speichert, wenn ein gekoppelter Bewegungssensor auf Magnetfelder reagiert, die die Ermittlung von Fahrzeugbewegungsdaten stören,161a
3.4.Bewegungssensor001a
4.Umweltprüfungen
4.1.TemperaturFunktionsprüfung anhand:
- IEC 68-2-1, Prüfung Ad, Prüfdauer 72 Std. bei Mindesttemperatur (- 20 °C), 1 Std. Betrieb, 1 Std. außer Betrieb,
- IEC 68-2-2, Prüfung Bd, Prüfdauer 72 Std. bei Höchsttemperatur (+ 70 °C), 1 Std. Betrieb, 1 Std. außer Betrieb

Temperaturzyklen: IEC 68-2-14 Prüfung Na zum Nachweis, dass Fahrzeugeinheit einem raschen Wechsel der Umgebungstemperatur standhält, 20 Zyklen, jeweils mit einem Temperaturwechsel zwischen Mindest- (- 20 °C) und Höchsttemperatur (+ 70 °C) und jeweils 2 Std. Verweilzeit bei Mindest- und Höchsttemperatur

In Bezug auf Mindest- und Höchsttemperatur sowie während der Temperaturzyklen ist (für die in Abschnitt 3 dieser Tabelle aufgeführten Prüfungen) eine geringere Anzahl an Prüfungen zulässig

159
4.2.LuftfeuchtigkeitIEC 68-2-30, Prüfung Db, zum Nachweis, dass die Fahrzeugeinheit einer zyklischen Feuchtigkeitsprüfung (Wärmeprüfung) von sechs 24-Std.-Zyklen jeweils mit einer Temperaturänderung von + 25 °C bis + 55 °C und einer relativen Luftfeuchtigkeit von 97 % bei + 25 °C bzw. entsprechend 93 % bei + 55 °C standhält160
4.3.Schwingungen1. Sinusschwingungen:
Nachweis, dass Fahrzeugeinheit Sinusschwingungen mit folgenden Merkmalen standhält
konstante Verschiebung zwischen 5 und 11 Hz: max. 10 mm
konstante Beschleunigung zwischen 11 und 300 Hz: 5 g
Nachweis nach IEC 68-2-6, Prüfung Fc, mit Mindestprüfdauer von 3 × 12 Std.
(12 Std. je Achse)

2. Zufallsschwingungen:
Nachweis, dass Fahrzeugeinheit Zufallsschwingungen mit folgenden Merkmalen standhält:
Frequenz 5-150 Hz, Ebene 0,02 g2/Hz
Nachweis nach IEC 68-2-35, Prüfung Ffda, mit Mindestprüfdauer von 3 × 12 Std. (12 Std. je Achse), 1 Std. in Betrieb, 1 Std. außer Betrieb

Diese beiden Prüfungen werden an zwei unterschiedlichen Proben des zu prüfenden Gerätetyps durchgeführt

163
4.4.Schutz vor Wasser und FremdkörpernNachweis, dass Schutzgrad der Fahrzeugeinheit in eingebautem Zustand in einem Fahrzeug unter Betriebsbedingungen nach IEC 529 mindestens IP 40 beträgt164, 165
4.5.Überspannungs-
schutz
Nachweis, dass die Fahrzeugeinheit folgende Versorgungsspannungen aushält:
24-V-Modelle: 34 V bei + 40 °C 1 Std.
12-V-Modelle: 17 V bei + 40 °C 1 Std.
161
4.6.Falschpolungs-
schutz
Nachweis, dass die Fahrzeugeinheit einer Umkehrung der Polarität der Stromversorgung standhält161
4.7.Kurzschluss-
schutz
Nachweis, dass für Eingangs-/Ausgangssignale Schutz vor Kurzschluss der Stromversorgung und vor Erdschluss besteht161
5.EMV-Prüfungen
5.1.Störaussendung und StöranfälligkeitEinhaltung der Richtlinie 95/54/EWG162
5.2.Elektrostatische EntladungEinhaltung von IEC 61000-4-2, ± 2 kV (Stufe 1)162
5.3.Leitungsgeführte Störgrößen auf Versorgungslei-
tungen
Bei 24-V-Modellen: Einhaltung von ISO 7637-2
Impuls 1a: Vs = - 100 V, Ri = 10 Ohm
Impuls 2: Vs = + 100 V, Ri = 10 Ohm
Impuls 3a: Vs = - 100 V, Ri = 50 Ohm
Impuls 3b: Vs = + 100 V, Ri = 50 Ohm
Impuls 4: Vs = - 16 V, Va = - 12 V, t6=100 ms
Impuls 5: Vs = + 120 V, Ri = 2,2 Ohm, td = 250 ms
Bei 12-V-Modellen: Einhaltung von ISO 7637-1
Impuls 1: Vs = - 100 V, Ri = 10 Ohm
Impuls 2: Vs = + 100 V, Ri = 10 Ohm
Impuls 3a: Vs = - 100 V, Ri = 50 Ohm
Impuls 3b: Vs = + 100 V, Ri = 50 Ohm
Impuls 4: Vs = - 6 V, Va = - 5 V, t6 = 15 ms
Impuls 5: Vs = + 65 V, Ri = 3 Ohm, td = 100 ms
Impuls 5 ist nur in Fahrzeugeinheiten zu prüfen, die in Fahrzeugen installiert werden sollen, für die keine gemeinsame externe Blindlast vorgesehen ist
162

3. Funktionsprüfungen am Weg- und/oder Geschwindigkeitsgeber

Nr.PrüfungBeschreibungAnforderungsentsprechung
1.Administrative Prüfung
1.1.DokumentationRichtigkeit der Dokumentation 
2.Sichtprüfung
2.1.Übereinstimmung mit der Dokumentation 
2.2.Kennung/Markierungen169, 170
2.3.Werkstoffe163 bis 167
2.4.Plombierung251
3.Funktionsprüfungen (Bewegungssensor)
3.1.Kenndaten des Weg- und/oder Geschwindigkeitsgebers077*
3.2.Koppelung des Weg- und/oder Geschwindigkeitsgebers mit der Fahrzeugeinheit099*, 155
3.3.Messung Wegstrecke/Geschwindigkeit 
Messgenauigkeit Wegstrecke/Geschwindigkeit022 bis 026
3.5Überprüfen, dass der Bewegungssensor gegenüber Magnetfeldern unempfindlich ist. Andernfalls überprüfen, dass der Bewegungssensor auf Magnetfelder reagiert, die die Ermittlung von Fahrzeugbewegungsdaten stören, so dass eine gekoppelte FE Sensorstörungen ermitteln, aufzeichnen und speichern kann, zugehörige Randnummer161a.
4.Umweltprüfungen
4.1.BetriebstemperaturPrüfung der Funktionstüchtigkeit (entsprechend Festlegung in Prüfung Nr. 3.3) im Temperaturbereich [- 40 °C; + 135 °C] anhand:

- IEC 68-2-1, Prüfung Ad, Prüfdauer 96 Std. bei Mindesttemperatur Tomin
- IEC 68-2-2, Prüfung Bd, Prüfdauer96 Std. bei Höchsttemperatur Tomax

159
4.2.TemperaturzyklenPrüfung der Funktionstüchtigkeit (entsprechend Festlegung in Prüfung Nr. 3.3) anhand IEC 68-2-14, Prüfung Na, 20 Zyklen, jeweils mit Wechsel von der Mindest- (- 40 °C) zur Höchsttemperatur (+135 °C) und jeweils 2 Std. Verweilzeit bei Mindest- und Höchsttemperatur

In Bezug auf Mindest- und Höchsttemperatur sowie während der Temperaturzyklen ist (für die in Prüfung 3.3 aufgeführten Prüfungen) eine geringere Anzahl an Prüfungen zulässig

159
4.3.Luftfeuchtig-
keitszyklen
Prüfung der Funktionstüchtigkeit (entsprechend Festlegung in Prüfung Nr. 3.3) anhand IEC 68-2-30, Prüfung Db, sechs 24-Std.-Zyklen, jeweils mit einer Temperaturänderung von + 25 °C bis + 55 °C und einer relativen Luftfeuchtigkeit von 97 % bei + 25 °C bzw. entsprechend 93 % bei + 55 °C160
4.4.SchwingungenPrüfung der Funktionstüchtigkeit (entsprechend Festlegung in Prüfung Nr. 3.3) anhand IEC 68-2-6, Prüfung Fc, Prüfdauer 100 Frequenzzyklen: konstante Verschiebung zwischen 10 und 57 Hz: max. 1,5 mm
konstante Beschleunigung zwischen 57 und 500 Hz: 20 g
163
4.5.Mechanischer StoßPrüfung der Funktionstüchtigkeit (entsprechend Festlegung in Prüfung Nr. 3.3) anhand IEC 68-2-27, Prüfung Ea, 3 Stöße in beiden Richtungen der 3 senkrechten Achsen163
4.6.Schutz vor Wasser und vor FremdkörpernNachweis, dass Schutzgrad des Weg- und/oder Geschwindigkeitsgebers in eingebautem Zustand in einem Fahrzeug unter Betriebsbedingungen gemäß IEC 529 IP mindestens 64 beträgt165
4.7.FalschpolungsschutzNachweis, dass der Weg- und/oder Geschwindigkeitsgeber einer Umkehrung der Polarität der Stromversorgung standhält161
4.8.KurzschlussschutzNachweis, dass für Eingangs-/Ausgangssignale Schutz vor Kurzschluss der Stromversorgung und vor Erdschluss besteht161
5.EMV
5.1.Störaussendung und StöranfälligkeitNachweis der Einhaltung der Richtlinie 95/54/EWG162
5.2.Elektrostatische EntladungEinhaltung von IEC 61000-4-2, ± 2 kV (Stufe 1)162
5.3.Anfälligkeit gegenüber leitungsgeführten Störgrößen auf DatenleitungenEinhaltung von ISO 7637-3 (Stufe III)162

4. Funktionsprüfungen an Kontrollgerätkarten

Nr.PrüfungBeschreibungAnforderungsentsprechung
1.Administrative Prüfung
1.1.DokumentationRichtigkeit der Dokumentation 
2.Sichtprüfung
2.1. Gewährleistung, dass sämtliche Schutzanforderungen und die sichtbar anzubringenden Angaben korrekt gedruckt sind und den Vorgaben entsprechen171 bis 181
3.Physische Prüfungen
3.1.Kontrolle der Abmessungen der Karten und der Lage der Kontakte184
ISO/IEC 7816-1
ISO/IEC 7816-2
4.Protokollprüfungen
4.1.ATRPrüfen, dass ATR den Anforderungen entsprichtISO/IEC 7816-3
TCS 304, 307, 308
4.2.T=0Prüfen, dass Protokoll T=0 den Anforderungen entsprichtISO/IEC 7816-3

TCS 302, 303,

4.3.PTSPrüfen, dass Kommando PTS durch Einstellen von T=1 ausgehend von T=0 den Anforderungen entsprichtISO/IEC 7816-3
TCS 309 a 311
4.4.T=1Prüfen, dass Protokoll T=1 den Anforderungen entspricht TCS 303, / 306ISO/IEC 7816-3
5.Kartenstruktur
5.1. Prüfen, dass die Dateistruktur der Karte den Anforderungen entspricht. Hierzu sind das Vorhandensein der obligatorischen Dateien auf der Karte und die Zugriffsbedingungen darauf zu überprüfenTCS 312
TCS 400*, 401, 402, 403*, 404, 405*, 406, 407, 408*, 409, 410*, 411, 412, 413*, 414, 415*, 416, 417, 418*, 419
6.Funktionsprüfungen
6.1Normale VerarbeitungFür jeden Befehl ist jede zulässige Ausführung zumindest einmal zu prüfen (z.B.: Prüfung des Befehls UPDATE BINARY mit CLA = 2002, CLA = 20C2 und mit unterschiedlichen Parametern P1, P2 und Lc). Prüfen, dass die Operationen auf der Karte tatsächlich ausgeführt wurden (z.B.: durch das Lesen der Datei, in der der Befehl ausgeführt wurde)TCS 313 bis TCS 379
6.2FehlermeldungenFür jeden Befehl ist jede Fehlermeldung (entsprechend Anlage 2) zumindest einmal zu prüfen. Jeder generische Fehler ist zumindest einmal zu prüfen (mit Ausnahme von 264002- Integritätsfehlern, die während der Sicherheitszertifizierung geprüft werden) 
7.Umweltprüfungen
7.1 Gewährleistung, dass die Karten innerhalb der in Übereinstimmung mit ISO/IEC 10373 festgelegten Grenzbedingungen funktionstüchtig sind185 bis 188
ISO/IEC 7816-1

5. Interoperabilitätsprüfungen

Nr.PrüfungBeschreibung
1.Gegenseitige AuthentisierungPrüfen, dass gegenseitige Authentisierung zwischen der Fahrzeugeinheit und der Kontrollgerätkarte normal abläuft
2.Lese-/Schreib-PrüfungenAusführung eines typischen Tätigkeitsszenarios an der Fahrzeugeinheit. Dabei sind in Abhängigkeit von der zu prüfenden Karte so viele Schreibvorgänge wie bei der Karte möglich zu Ereignissen und Störungen durchzuführen

Durch Herunterladen von der Karte ist nachzuprüfen, ob die entsprechenden Aufzeichnungen ordnungsgemäß erfolgt sind

Mit Hilfe eines Tagesausdrucks der Karte ist nachzuprüfen, ob die entsprechenden Aufzeichnungen ordnungsgemäß gelesen werden können

.

Allgemeine Sicherheitsanforderungen Anlage 10

In dieser Anlage werden die Mindestanforderungen und -inhalte für Weg- und/oder Geschwindigkeitsgeber, Fahrzeugeinheit und Sicherheitsanforderungen der Kontrollgerätkarten festgelegt.

Zur Formulierung der Sicherheitsanforderungen, die bei der Beantragung einer Sicherheitszertifizierung erfüllt werden müssen, sind die Hersteller aufgefordert, die Dokumente nach Bedarf zu konkretisieren und zu vervollständigen, ohne die hier angegebenen Spezifizierungen möglicher Sicherheitsgefährdungen sowie der Ziele, Verfahrensmöglichkeiten und sicherheitserzwingenden Funktionen zu ändern bzw. zu streichen.

Allgemeine Sicherheitsanforderungen für Weg- und/oder Geschwindigkeitsgeber

1. Einleitung

In diesem Abschnitt werden der Weg- und/oder Geschwindigkeitsgeber, mögliche Sicherheitsgefährdungen sowie die zu erfüllenden Sicherheitsziele beschrieben. Außerdem enthält er Erläuterungen zu den zur Durchsetzung der Sicherheitsanforderungen erforderlichen Funktionen, und es erfolgt eine Auflistung der Mindestanforderungen an die Sicherheitsmechanismen und die erforderliche Gewährleistungsebene für Entwicklung und Evaluierung.

Die hier aufgeführten Anforderungen entsprechen den Anforderungen im Hauptteil von Anhang I B. Im Interesse einer besseren Verständlichkeit können sich zwischen den Anforderungen im Hauptteil von Anhang I B und den Sicherheitsanforderungen Doppelungen ergeben. Bei Diskrepanzen zwischen einer Sicherheitsanforderung und der Anforderung im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderung bezieht, geht die Anforderung im Hauptteil von Anhang I B vor.

Anforderungen im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderungen nicht beziehen, sind nicht Gegenstand der Funktionen zur Durchsetzung von Sicherheitsanforderungen.

Zwecks besserer Zuordnung zu den in der Dokumentation über Entwicklung und Evaluierung verwendeten Begriffen wurden für die möglichen Sicherheitsgefährdungen sowie die zu erfüllenden Ziele, Verfahrensmöglichkeiten und SEF-Spezifikationen eindeutige Bezeichnungen gewählt.

2. Abkürzungen, Begriffsbestimmungen und Referenzdokumente

2.1. Abkürzungen

ROMFestspeicher (Read Only Memory)
SEFSicherheitserzwingende Funktion
POPrüfobjekt
FEFahrzeugeinheit (Vehicle Unit)

2.2. Begriffsbestimmungen

Digitaler FahrtenschreiberKontrollgerät
GeräteeinheitEin an den Weg- und/oder Geschwindigkeitsgeber angeschlossenes Gerät
Weg- und GeschwindigkeitsdatenDie mit der FE ausgetauschten Daten über Fahrgeschwindigkeit und zurückgelegte Wegstrecke
Physisch getrennte TeileKomponenten des Weg- und/oder Geschwindigkeitsgebers, die sich im Gegensatz zu den im Gehäuse des Weg- und/oder Geschwindigkeitsgebers untergebrachten Bauteilen an anderer Stelle im Fahrzeug befinden
SicherheitsdatenSpezielle Daten, die zur Unterstützung der sicherheitserzwingenden Funktionen erforderlich sind (z.B. kryptografische Schlüssel)
SystemGerätetechnik, Menschen bzw. Organisationen, die in welcher Weise auch immer mit den Kontrollgeräten in Beziehung stehen
BenutzerDen Weg- und/oder Geschwindigkeitsgeber anwendende Person
BenutzerdatenAbgesehen von den Weg- und Geschwindigkeits- sowie den Sicherheitsdaten alle sonstigen Daten, die vom Weg- und/oder Geschwindigkeitsgeber aufgezeichnet bzw. gespeichert werden

2.3. Referenzdokumente

ITSECITSEC Information Technology Security Evaluation Criteria 1991 (Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik)

3. Grundprinzip des Produkts

3.1. Beschreibung und Verwendung des Weg- und/oder Geschwindigkeitsgebers

Der Weg- und/oder Geschwindigkeitsgeber ist zum Einbau in Straßentransportfahrzeuge vorgesehen. Seine Aufgabe ist es, der FE gesicherte Daten im Hinblick auf die Fahrzeuggeschwindigkeit und die zurückgelegte Wegstrecke zur Verfügung zu stellen.

Der Weg- und/oder Geschwindigkeitsgeber ist mit einem bewegten Fahrzeugteil, dessen Bewegung für die Fahrtgeschwindigkeit bzw. die zurückgelegte Wegstrecke stellvertretend ist, mechanisch verbunden. Er kann im Getriebe oder in einem anderen Teil des Fahrzeugs installiert werden.

Im Betriebszustand ist der Weg- und/oder Geschwindigkeitsgeber an eine FE angeschlossen.

Ebenso ließe er sich zu Verwaltungszwecken an spezielle Geräte anschließen (durch den Hersteller festzulegen).

Der typische Weg- und/oder Geschwindigkeitsgeber ist in der folgenden Abbildung dargestellt:

Abbildung 1 Typischer Weg- und/oder Geschwindigkeitsgeber

3.2. Lebenszyklus des Weg- und/oder Geschwindigkeitsgebers

Der typische Lebenszyklus des Weg- und/oder Geschwindigkeitsgebers ist in der folgenden Abbildung dargestellt:

Abbildung 2 Typischer Lebenszyklus des Weg- und/oder Geschwindigkeitsgebers

3.3. Sicherheitsgefährdungen

In diesem Abschnitt werden mögliche Sicherheitsgefährdungen des Weg- und/ oder Geschwindigkeitsgebers beschrieben.

3.3.1. Sicherheitsgefährdungen im Zusammenhang mit der Zugriffskontrolle

T.AccessVersuch seitens der Benutzer, Zugriff auf ihnen nicht erlaubte Funktionen zu erlangen

3.3.2. Konstruktionsbedingte Sicherheitsgefährdungen

T.FaultsFehler bei Hardware, Software oder Kommunikationsverfahren können den Weg- und/oder Geschwindigkeitsgeber in einen unvorhergesehenen Zustand versetzen, der seine Sicherheit beeinträchtigt
T.TestsDie Nutzung nicht validierter Prüfmodi bzw. vorhandener "Hintertüren" kann die Sicherheit des Weg- und/oder Geschwindigkeitsgebers beeinträchtigen
T.DesignVersuch seitens der Benutzer, auf illegale Weise Kenntnis über Konstruktionsdaten zu erlangen, sei es aus Unterlagen des Herstellers (durch Diebstahl, Bestechung usw.) oder durch Methoden des Reverse Engineering

3.3.3. Betriebsbedingte Sicherheitsgefährdungen

T.EnvironmentGefährdung der Sicherheit des Weg- und/oder Geschwindigkeitsgebers durch (thermische, elektromagnetische, optische, chemische, mechanische usw.) Einwirkung von außen
T.HardwareVersuch seitens der Benutzer, Änderungen an der Weg- und/oder Geschwindigkeitsgeberhardware vorzunehmen
T.Mechanical_OriginVersuch seitens der Benutzer, die Eingabe des Weg- und/oder Geschwindigkeitsgebers zu manipulieren (z.B. durch Abschrauben vom Getriebe usw.)
T.Motion_DataVersuch seitens der Benutzer, die Weg- und Geschwindigkeitsdaten des Fahrzeugs zu verfälschen (durch Signaladdition, -modifizierung, -löschung, -wiederholung)
T.Power_SupplyVersuch seitens der Benutzer, Sicherheitsziele des Weg- und/oder Geschwindigkeitsgebers durch Manipulation der Stromversorgung (Leitungstrennung, Spannungserhöhung bzw. -reduzierung) zu untergraben
T.Security_DataVersuch seitens der Benutzer, auf illegale Weise Kenntnis über Sicherheitsdaten während deren Generierung, Übertragung bzw. Speicherung im Gerät zu erlangen
T.SoftwareVersuch seitens der Benutzer, Änderungen an der Software des Weg- und/oder Geschwindigkeitsgebers vorzunehmen
T.Stored_DataVersuch seitens der Benutzer, gespeicherte Daten (Sicherheits- bzw. Benutzerdaten) zu verfälschen

3.4. Sicherheitsziele

Das wichtigste Sicherheitsziel des digitalen Fahrtenschreibersystems ist folgendes:

O.MainDie von den Kontrollbehörden zu prüfenden Daten müssen verfügbar sein und die Handlungen der kontrollierten Fahrer und Fahrzeuge hinsichtlich Lenk-, Arbeits-, Bereitschafts- und Ruhezeiten sowie Fahrzeuggeschwindigkeit vollständig und genau widerspiegeln
Das zum globalen Sicherheitsziel beitragende Sicherheitsziel des Weg- und/oder Geschwindigkeitsgebers ist somit folgendes:
O.Sensor_MainDie vom Weg- und/oder Geschwindigkeitsgeber übermittelten Daten müssen der FE so bereitgestellt werden, dass die FE die Bewegung des Fahrzeugs in Bezug auf Geschwindigkeit und zurückgelegte Wegstrecke vollständig und genau feststellen kann

3.5. Informationstechnische Sicherheitsziele

Die speziellen, zum Hauptsicherheitsziel beitragenden IT-Sicherheitsziele des Weg- und/oder Geschwindigkeitsgebers sind folgende:

O.AccessDer Weg- und/oder Geschwindigkeitsgeber muss den Zugriff der angeschlossenen Geräteeinheiten auf Funktionen und Daten steuern
O.AuditDer Weg- und/oder Geschwindigkeitsgeber muss Versuche zur Umgehung seiner Sicherheitsfunktionen prüfen und zu den angeschlossenen Geräteeinheiten zurückverfolgen
O.AuthenticationDer Weg- und/oder Geschwindigkeitsgeber muss angeschlossene Geräteeinheiten authentisieren
O.ProcessingDer Weg- und/oder Geschwindigkeitsgeber stellt sicher, dass die Eingabedaten, aus denen sich die Weg- und Geschwindigkeitsdaten ableiten, exakt verarbeitet werden
O.ReliabilityDer Weg- und/oder Geschwindigkeitsgeber muss zuverlässig arbeiten
O.Secured_Data_ExchangeDer Weg- und/oder Geschwindigkeitsgeber muss den sicheren Datenaustausch mit der FE gewährleisten

3.6. Physische, personelle bzw. verfahrenstechnische Mittel

In diesem Abschnitt werden die physischen, personellen bzw. verfahrenstechnischen Anforderungen, die zur Sicherheit des Weg- und/oder Geschwindigkeitsgebers beitragen, beschrieben.

3.6.1. Gerätekonstruktion

M.DevelopmentDie Entwickler des Weg- und/oder Geschwindigkeitsgebers müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Entwicklungszeitraums in einer die IT-Sicherheit wahrenden Weise erfolgt
M.ManufacturingDie Hersteller des Weg- und/oder Geschwindigkeitsgebers müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Herstellungsprozesses in einer die IT-Sicherheit wahrenden Weise erfolgt und dass der Weg- und/oder Geschwindigkeitsgeber in diesem Prozess vor physischen Angriffen, die die IT-Sicherheit beeinträchtigen könnten, geschützt wird

3.6.2. Auslieferung der Geräte

M.DeliveryDie Hersteller des Weg- und/oder Geschwindigkeitsgebers, die Fahrzeughersteller und die Installateure bzw. Werkstätten müssen beim Umgang mit dem Weg- und/oder Geschwindigkeitsgeber sicherstellen, dass die IT-Sicherheit gewahrt bleibt

3.6.3. Generierung und Lieferung der Sicherheitsdaten

M.Sec_Data_GenerationDie Algorithmen zur Generierung von Sicherheitsdaten dürfen nur berechtigten und vertrauenswürdigen Personen zugänglich sein
M.Sec_Data_TransportDie Sicherheitsdaten müssen in einer Weise generiert, transportiert und in den Weg- und/oder Geschwindigkeitsgeber eingebracht werden, die Vertraulichkeit und Integrität der Daten angemessen gewährleistet

3.6.4. Einbau, Kalibrierung und Nachprüfung des Kontrollgeräts

M.Approved_WorkshopsEinbau, Kalibrierung und Reparatur des Kontrollgeräts dürfen nur durch vertrauenswürdige und zugelassene Installateure bzw. Werkstätten erfolgen
M.Mechanical_InterfaceEs müssen Möglichkeiten geschaffen werden (z.B. durch Plombierung), um physische Manipulationen an der mechanischen Schnittstelle zu erkennen
M.Regular_InpectionsDie Kontrollgeräte müssen einer regelmäßigen Nachprüfung und Kalibrierung unterzogen werden

3.6.5. Kontrolle der Einhaltung von Vorschriften

M.ControlsDie Einhaltung der gesetzlichen Vorschriften ist regelmäßig und stichprobenartig zu kontrollieren, unter anderem durch Sicherheitsaudits

3.6.6. Software-Upgrades

M.Software_UpgradeNeue Softwareversionen dürfen erst nach Erhalt der Sicherheitszertifizierung im Weg- und/oder Geschwindigkeitsgeber implementiert werden

4. Sicherheitserzwingende Funktionen

4.1. Identifizierung und Authentisierung

UIA_101 Der Weg- und/oder Geschwindigkeitsgeber muss in der Lage sein, für jede Interaktion die Identität der angeschlossenen Geräteeinheit festzustellen.

UIA_102 Die Identität einer angeschlossenen Geräteeinheit setzt sich zusammen aus:

UIA_103 Die Geräteeinheitskennung einer FE besteht aus der Bauartgenehmigungsnummer der FE und der Seriennummer der FE.

UIA_104 Der Weg- und/oder Geschwindigkeitsgeber ist in der Lage, die Authentisierung jeder angeschlossenen FE bzw. jedes angeschlossenen Verwaltungsgeräts

UIA_105 vorzunehmen.

UIA_106 Der Weg- und/oder Geschwindigkeitsgeber ist in der Lage, die Authentisierung der angeschlossene FE in bestimmten Abständen zu wiederholen.

UIA_107 Der Weg- und/oder Geschwindigkeitsgeber erkennt und verhindert den Gebrauch kopierter und wieder eingespielter Authentisierungsdaten.

Nach Erkennen einer (vom Hersteller noch festzulegenden, jedoch 20 nicht übersteigenden) Zahl von aufeinander folgenden erfolglosen Authentisierungsversuchen wird die SEF:

4.2. Zugriffskontrolle

Die Zugriffskontrolle gewährleistet, dass nur speziell dazu berechtigte Personen Informationen aus dem PO auslesen sowie im PO anlegen bzw. nach Änderung in das PO einlesen.

4.2.1. Zugriffsberechtigung

ACC_101 Der Weg- und/oder Geschwindigkeitsgeber kontrolliert die Zugriffsberechtigung auf Funktionen und Daten.

4.2.2. Datenzugriffsrechte

ACC_102 Der Weg- und/oder Geschwindigkeitsgeber stellt sicher, dass die Kenndaten nur ein einziges Mal in den Weg- und/oder Geschwindigkeitsgeber geschrieben werden können (Anforderung 078).

ACC_103 Der Weg- und/oder Geschwindigkeitsgeber darf nur von authentisierten Geräteeinheiten Benutzerdaten annehmen und/oder speichern.

ACC_104 Der Weg- und/oder Geschwindigkeitsgeber setzt geeignete Zugriffsrechte für das Lesen und Schreiben von Sicherheitsdaten durch.

4.2.3. Dateistruktur und -zugriffsbedingungen

ACC_105 Die Strukturen der Anwendungs- und Datendateien und die Zugriffsbedingungen auf diese Dateien werden bereits im Herstellungsprozess angelegt und gegen jegliche spätere Verfälschung bzw. Löschung gesperrt.

4.3. Zuordnungsmöglichkeit

ACT_101 Im Speicher des Weg- und/oder Geschwindigkeitsgebers werden die Kenndaten des Weg- und/oder Geschwindigkeitsgebers gespeichert gehalten (Anforderung 077).

ACT_102 Im Speicher des Weg- und/oder Geschwindigkeitsgebers werden die Installationsdaten abgespeichert (Anforderung 099).

ACT_103 Der Weg- und/oder Geschwindigkeitsgeber ist in der Lage, Zuordnungsdaten auf Verlangen an authentisierte Geräteeinheiten auszugeben.

4.4. Audit

AUD_101 Der Weg- und/oder Geschwindigkeitsgeber legt bei Ereignissen, die seine Sicherheit beeinträchtigen, Auditprotokolle für die betreffenden Ereignisse an.

AUD_102 Folgende Ereignisse beeinträchtigen die Sicherheit des Weg- und/oder Geschwindigkeitsgebers:

AUD_103 Die Auditprotokolle enthalten folgende Angaben:

Stehen die geforderten Daten nicht zur Verfügung, wird ein entsprechender Fehlvermerk ausgegeben (vom Hersteller noch festzulegen).

AUD_104 Der Weg- und/oder Geschwindigkeitsgeber überträgt die angefertigten Auditprotokolle zum Zeitpunkt ihrer Generierung an die FE, und kann sie zugleich in seinem Speicher ablegen.

AUD_105 Für den Fall, dass der Weg- und/oder Geschwindigkeitsgeber Auditprotokolle speichert, muss sichergestellt sein, dass unabhängig von der anderweitigen Speicherbelegung 20 Auditprotokolle gespeichert und diese gespeicherten Auditprotokolle auf Anfrage an authentisierte Geräteeinheiten ausgegeben werden können.

4.5. Genauigkeit

4.5.1. Maßnahmen zur Kontrolle des Informationsflusses

ACR_101 Der Weg- und/oder Geschwindigkeitsgeber stellt sicher, dass nur vom mechanischen Gebereingang stammende Weg- und Geschwindigkeitsdaten angenommen und verarbeitet werden.

4.5.2. Interne Datenübertragung

Die Anforderungen dieses Absatzes gelten nur, wenn der Weg- und/oder Geschwindigkeitsgeber physisch getrennte Teile nutzt.

ACR_102 Werden Daten zwischen physisch getrennten Teilen des Weg- und/oder Geschwindigkeitsgebers übertragen, müssen diese Daten gegen Verfälschungen geschützt werden.

ACR_103 Bei Erkennen eines Datenübertragungsfehlers im Verlauf einer internen Datenübertragung wird die Übertragung wiederholt und zu dem Ereignis durch die SEF ein Auditprotokoll angelegt.

4.5.3. Integrität der Speicherdaten

ACR_104 Der Weg- und/oder Geschwindigkeitsgeber prüft die in seinem Speicher abgelegten Benutzerdaten auf Integritätsfehler.

ACR_105 Bei Erkennen eines Integritätsfehlers der Benutzerdaten generiert die SEF ein Auditprotokoll.

4.6. Zuverlässigkeit während des Betriebs

4.6.1. Prüfungen

RLB_101 Sämtliche speziell für den Prüfbedarf während der Herstellungsphase erforderlichen Befehle, Handlungen bzw. Prüfpunkte werden vor Abschluss der Herstellungsphase deaktiviert oder entfernt. Es darf nicht möglich sein, sie zum späteren Gebrauch wiederherzustellen.

RLB_102 Der Weg- und/oder Geschwindigkeitsgeber führt zur Funktionsprüfung beim ersten Einschalten sowie während des üblichen Betriebs Selbsttests durch. Die Selbsttests des Weg- und/oder Geschwindigkeitsgebers beinhalten eine Integritätsprüfung der Sicherheitsdaten sowie eine Integritätsprüfung des gespeicherten Ausführungscodes (sofern dieser nicht im ROM gespeichert ist).

RLB_103 Bei Erkennen einer internen Fehlfunktion während der Selbstprüfung erstellt die SEF ein Auditprotokoll (Geberstörung).

4.6.2. Software

RLB_104 Es darf keine Möglichkeit gegeben sein, die Weg- und/oder Geschwindigkeitsgebersoftware bei der Praxisanwendung zu analysieren bzw. auszutesten.

RLB_105 Eingaben aus externen Quellen dürfen als Ausführungscode nicht akzeptiert werden.

4.6.3. Physischer Schutz

RLB_106 Falls die Konstruktionsweise des Weg- und/oder Geschwindigkeitsgebers ein Öffnen des Gehäuses erlaubt, muss der Weg- und/oder Geschwindigkeitsgeber jedes Öffnen des Gehäuses feststellen, selbst wenn die externe Stromversorgung bis zu 6 Monate unterbrochen ist. Die SEF legt in diesem Fall ein Auditprotokoll über das Ereignis an (hierbei ist zulässig, dass das Auditprotokoll erst nach Wiederzuschalten der Stromversorgung erstellt und gespeichert wird).

Ist der Weg- und/oder Geschwindigkeitsgeber so konstruiert, dass er nicht geöffnet werden kann, muss seine Bauweise dennoch jeden Versuch der physischen Manipulation leicht erkennen lassen (z.B. durch Sichtprüfung).

RLB_107 Der Weg- und/oder Geschwindigkeitsgeber muss bestimmte (vom Hersteller noch festzulegende) Formen der Hardwaremanipulation erkennen.

RLB_108 In vorgenannten Fall erstellt die SEF ein Auditprotokoll und wird der Weg- und/ oder Geschwindigkeitsgeber ... (vom Hersteller noch festzulegen).

4.6.4. Unterbrechung der Stromversorgung

RLB_109 Der Weg- und/oder Geschwindigkeitsgeber behält bei Stromunterbrechungen bzw. -schwankungen seinen gesicherten Status bei.

4.6.5. Rücksetzbedingungen

RLB_110 Bei einer Unterbrechung der Stromversorgung, beim Abbruch einer Transaktion vor deren Vollendung bzw. bei Vorliegen jeder sonstigen Rücksetzbedingung muss der Weg- und/oder Geschwindigkeitsgeber sauber zurückgesetzt werden.

4.6.6. Datenbereitstellung

RLB_111 Der Weg- und/oder Geschwindigkeitsgeber stellt sicher, dass auf den Datenbestand bei Bedarf zugegriffen werden kann und dass die Daten weder unnötig abgerufen noch zurückgehalten werden.

4.6.7. Multifunktionsgeräte

RLB_112 Falls der Weg- und/oder Geschwindigkeitsgeber neben der Kontrollgerätfunktion noch weitere Anwendungen bietet, müssen alle diese Anwendungen physisch und/oder logisch voneinander getrennt sein. Jede dieser Anwendungen muss auf eigene Sicherheitsdaten zurückgreifen, und es darf immer nur eine Funktion aktiv sein.

4.7. Datenaustausch

DEX_101 Der Weg- und/oder Geschwindigkeitsgeber überträgt die Weg- und Geschwindigkeitsdaten mit den zugehörigen Sicherheitsattributen an die FE, so dass die FE in die Lage versetzt wird, die Integrität und Authentizität der Daten festzustellen.

4.8. Kryptographische Unterstützung

Je nach Sicherheitsmechanismus und vom Hersteller gewählten Lösungen gelten die Anforderungen dieses Absatzes nur soweit erforderlich.

CSP_101 Jede vom Weg- und/oder Geschwindigkeitsgeber durchgeführte kryptografische Operation entspricht einem genau festgelegten Algorithmus und einer genau festgelegten Schlüsselgröße.

CSP_102 Falls der Weg- und/oder Geschwindigkeitsgeber kryptografische Schlüssel generiert, müssen diese genau festgelegten Schlüsselgenerierungsalgorithmen und genau festgelegten Schlüsselgrößen entsprechen.

CSP_103 Falls der Weg- und/oder Geschwindigkeitsgeber kryptografische Schlüssel vergibt, muss dies nach genau festgelegten Schlüsselvergabemethoden erfolgen.

CSP_104 Falls der Weg- und/oder Geschwindigkeitsgeber auf kryptografische Schlüssel zugreift, muss dies nach genau festgelegten Schlüsselzugriffsmethoden erfolgen.

CSP_105 Falls der Weg- und/oder Geschwindigkeitsgeber kryptografische Schlüssel vernichtet, muss dies nach genau festgelegten Schlüsselvernichtungsmethoden erfolgen.

5. Beschreibung der Sicherheitsmechanismen

Die der Erfüllung der sicherheitserzwingenden Funktionen des Weg- und/oder Geschwindigkeitsgebers dienenden Sicherheitsmechanismen werden durch die Hersteller des Weg- und/oder Geschwindigkeitsgebers bestimmt.

6. Mindestrobustheit der Sicherheitsmechanismen

Die Mindestrobustheit der Sicherheitsmechanismen des Weg- und/oder Geschwindigkeitsgebers ist Hoch, gemäß Definition in ITSEC.

7. Gewährleistungsebene

Die für den Weg- und/oder Geschwindigkeitsgeber vorgegebene Gewährleistungsebene ist die ITSEC-Ebene E3, gemäß Definition in ITSEC.

UWS Umweltmanagement GmbHweiter .Frame öffnen