DE112018002549T5 - Elektronisches Steuergerät - Google Patents

Elektronisches Steuergerät Download PDF

Info

Publication number
DE112018002549T5
DE112018002549T5 DE112018002549.7T DE112018002549T DE112018002549T5 DE 112018002549 T5 DE112018002549 T5 DE 112018002549T5 DE 112018002549 T DE112018002549 T DE 112018002549T DE 112018002549 T5 DE112018002549 T5 DE 112018002549T5
Authority
DE
Germany
Prior art keywords
data
electronic control
time
control unit
cpu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018002549.7T
Other languages
English (en)
Inventor
Kosuke Nakazomo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bosch Corp
Original Assignee
Bosch Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bosch Corp filed Critical Bosch Corp
Publication of DE112018002549T5 publication Critical patent/DE112018002549T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)

Abstract

Bereitgestellt wird ein elektronisches Steuergerät, mit dem ein Sicherheitsschutz realisiert werden kann, ohne ein bordinternes Netzwerk komplizierter zu machen und die Kosten zu erhöhen. Ein elektronisches Steuergerät (10), das mit einem CAN-Bus (20) verbunden ist, zeichnet sich dadurch aus, dass eine CPU (100) des elektronischen Steuergerätes (10) über den Kommunikationsbus (20) normale Daten (D1) und danach Daten (D2 - D8) empfängt, die dieselbe ID wie die normalen Daten (D1) aufweisen. Wenn die Häufigkeitszahl, mit der die Daten (D2 - D8) mit derselben ID innerhalb eines bestimmten Zeitraums empfangen wurden, größer/gleich einer vorbestimmten Häufigkeitszahl (DC) ist, entscheidet die CPU (100), dass der Zustand abnormal ist, und geht in einen Sicherheitssteuerungszustand über.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft ein elektronisches Steuergerät, das insbesondere bevorzugt auf ein elektronisches Steuergerät angewendet wird, das in einem bordinternen Netzwerk angeordnet wird.
  • Hintergrund
  • In den letzten Jahren haben sich bordinterne Netzwerke (CAN-Netzwerk) gemäß einem als CAN (Controller Area Network) bezeichneten Kommunikationsstandard verbreitet. CAN-Netzwerke sind derart ausgebildet, dass mehrere in einem Fahrzeug angeordnete elektronische Steuergeräte (ECU: Electronic Control Unit) mit einem Kommunikationsbus (CAN-Bus) unter Nutzung von CAN verbunden sind. Die elektronischen Steuergeräte können über den CAN-Bus miteinander Daten austauschen (CAN-Kommunikation).
  • Der CAN-Bus verbindet die elektronischen Steuergeräte miteinander, um den Datenaustausch zu ermöglichen, und ist ferner mit einem Datenverbindungsstecker (DLC: Data Link Connector) versehen. Durch das Anschließen eines Sondergerätes an den Datenverbindungsstecker kann ein Fehlercode ausgelesen werden, der durch eine Selbstdiagnosefunktion (OBD: On Board Diagnostics) erzeugt wird, die das elektronische Steuergerät aufweist. Anhand des Fehlercodes kann z. B. ein Servicetechniker eine Defektstelle leicht bestimmen.
  • Wenn der Datenverbindungsstecker nun missbraucht wird, konkret gesagt, wenn gefälschte Daten, die zwar dieselbe ID, jedoch einen anderen Inhalt als normale Daten aufweisen, von außerhalb über den Datenverbindungsstecker an den CAN-Bus gesendet werden, könnten die mit dem CAN-Bus verbundenen elektronischen Steuergeräte die gefälschten Daten empfangen und eine Fehlfunktion bewirken. Im Hinblick auf den Sicherheitsschutz ist daher eine Technik zum Verteidigen gegen solche gefälschten Daten notwendig.
  • Außerdem kann das Senden der gefälschten Daten an den CAN-Bus sowohl von einem Gerät, das mit dem Datenverbindungsstecker per Draht verbunden ist, als auch über ein Gerät drahtlos stattfinden, das mit dem Datenverbindungsstecker per Funk verbindbar ist.
  • Patentdokument 1 offenbart eine Technik für die an den CAN-Bus gesendeten Daten, wobei eine Differenz zwischen einem vorhergehenden und einem aktuellen Sendezeitpunkt als Sendeperiode berechnet wird, woraufhin die Sendeperiode mit einer vorgespeicherten Sendeperiode zum Feststellen von gefälschten Daten verglichen wird. Wenn als Ergebnis des Vergleichs die berechnete Sendeperiode kürzer ist als die Sendeperiode zum Feststellen von gefälschten Daten, werden die aktuell gesendeten Daten als gefälschte Daten erkannt.
  • Gemäß der Technik des Patentdokuments 1 kann ein elektronisches Steuergerät den CAN-Bus überwachen und, bevor ein anderes elektronisches Steuergerät den Empfang von gefälschten Daten abschließt, diese erfassen und ungültig machen. Dadurch können alle mit dem bordinternen Netzwerk verbundenen elektronischen Steuergeräte gegen Man-in-the-Middle-Attacken verteidigt werden, bei denen gefälschte Daten, die dieselbe ID wie normale Daten und einen anderen Inhalt aufweisen, in den CAN-Bus hineingelangen und eine Fehlfunktion der mit dem CAN-Bus verbundenen elektronischen Steuergeräte bewirken.
  • Stand der Technik
  • Patentdokument(e)
  • Patentdokument 1: JP 2014-236248 A
  • Übersicht der Erfindung
  • Zu lösende Aufgabe der Erfindung
  • Für die Technik gemäß Patentdokument 1 ist jedoch ein zusätzliches Gerät nötig, das die an den CAN-Bus gesendeten Daten ständig überwacht. Konkret ist neben einer üblichen Kommunikationsleitung zum Verbinden der elektronischen Steuergeräte mit dem CAN-Bus eine hierzu parallel geschaltete zusätzliche Kommunikationsleitung zum Verbinden der elektronischen Steuergeräte mit dem CAN-Bus notwendig. Darüber hinaus sind hierfür zusätzliche Verarbeitungsprozesse erforderlich, wie z. B. das ständige Überwachen von Daten im CAN-Bus, die Überprüfung, ob es sich hierbei um gefälschte Daten handelt, und wenn ja, das Ungültigmachen der gefälschten Daten, usw.
  • Der Hardware- und der Software-Aufbau des bordinternen Netzwerks werden somit komplizierter. Dementsprechend werden die gesamten Kosten zum Realisieren des bordinternen Netzwerks nachteilhafterweise erhöht.
  • Angesichts der obigen Probleme liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein elektronisches Steuergerät bereitzustellen, mit dem ein Sicherheitsschutz realisiert werden kann, ohne das bordinterne Netzwerk komplizierter zu machen und die Kosten zu erhöhen.
  • Mittel zum Lösen der Aufgabe
  • Um die obige Aufgabe zu lösen, wird erfindungsgemäß ein elektronisches Steuergerät (10) bereitgestellt, das mit einem CAN-Bus (20) verbunden ist, wobei eine CPU (100) des elektronischen Steuergerätes (10) über den Kommunikationsbus (20) normale Daten (D1) und danach Daten (D2 - D8) empfängt, welche dieselbe ID wie die normalen Daten (D1) aufweisen. Wenn die Häufigkeitszahl, mit der die Daten (D2 - D8) mit derselben ID innerhalb eines bestimmten Zeitraums empfangen wurden, größer/gleich einer vorbestimmten Häufigkeitszahl (DC) ist, entscheidet die CPU (100), dass der Zustand abnormal ist, und geht in einen Sicherheitssteuerzustand über.
  • Effekt der Erfindung
  • Erfindungsgemäß kann ein Sicherheitsschutz realisiert werden, ohne das bordinterne Netzwerk komplizierter zu machen und die Kosten zu erhöhen.
  • Figurenliste
    • 1 zeigt den Gesamtaufbau des bordinternen Netzwerks.
    • 2 zeigt den inneren Aufbau des elektronischen Steuergerätes.
    • 3 ist ein Flussdiagramm der Empfangsprozesse.
    • 4 ist eine Übersichtsdarstellung der Empfangsprozesse.
  • Ausführungsform der Erfindung
  • Im Folgenden wird die vorliegende Erfindung gemäß einer Ausführungsform unter Bezugnahme auf die Zeichnungen ausführlich erläutert. Es wird angemerkt, dass es sich bei der folgenden Erläuterung lediglich um eine Ausführungsform der vorliegenden Erfindung handelt und der technische Umfang der vorliegenden Erfindung nicht hierauf beschränkt ist.
  • 1 zeigt den Gesamtaufbau des bordinternen Netzwerks N1 eines Fahrzeugs 1. Das bordinterne Netzwerk N1 ist ein Netzwerk gemäß dem als CAN (Controller Area Network) bezeichneten Kommunikationsstandard und mit elektronischen Steuergeräten (ECU: Electronic Control Unit) 10 und einem CAN-Bus 20 versehen.
  • Die elektronischen Steuergeräte 10 dienen zum Steuern verschiedener Betriebe des Fahrzeugs 1. Jedes elektronische Steuergerät 10 ist mit einer CPU (Central Processing Unit), einem RAM (Random Access Memory), einem ROM (Read Only Memory), einer Ein-/Ausgabeschnittstelle usw. versehen. Jedes elektronische Steuergerät 10 ist mit dem CAN-Bus 20 verbunden. Die jeweiligen elektronischen Steuergeräte 10 sind somit über den CAN-Bus 20 miteinander verbunden, um den Datenaustausch zu ermöglichen.
  • Unter den mit dem CAN-Bus 20 verbundenen elektronischen Steuergeräten 10 gibt es ein als Motorsteuergerät bezeichnetes elektronisches Steuergerät 10, das zum umfassenden Steuern des Betriebs des Fahrzeugs 1 dient. Die Erfindung gemäß der vorliegenden Ausführungsform wird somit auf das Motorsteuergerät angewendet, um den Sicherheitsschutz vor allem bezüglich der fahrtbezogenen Steuerung zu realisieren.
  • Der CAN-Bus 20 ist ein Kommunikationsbus unter Nutzung von CAN und verbindet die jeweiligen elektronischen Steuergeräte 10 miteinander, um den Datenaustausch zu ermöglichen. Der CAN-Bus 20 ist ferner mit einem Datenverbindungsstecker (DLC: Data Link Connector) 30 versehen. Der Datenverbindungsstecker 30 ist ein Verbindungsstecker zum Verbinden eines Scanmittels 40 per Draht oder per Funk mit dem CAN-Bus 30.
  • Wird das Scanmittel 40 an den Datenverbindungsstecker 30 angeschlossen und entsprechend betätigt, kann ein Fehlercode ausgelesen werden, der durch die Selbstdiagnosefunktion (OBD: On Board Diagnostics) erzeugt wird, die das elektronische Steuergerät 10 aufweist. Z. B. kann ein Servicetechniker anhand des Fehlercodes auf dem Anzeigebildschirm des Scanmittels 40 eine Defektstelle des Fahrzeugs 1 bestimmen.
  • Dabei könnten gefälschte Daten von außerhalb des Fahrzeugs 1 über den Datenverbindungsstecker 30 an den CAN-Bus 20 gesendet werden. Mit den gefälschten Daten sind hierbei folgende Daten gemeint, die zumindest bezüglich des Zeitpunktes des Sendens an den CAN-Bus 20 von normalen Daten verschieden sind.
  • Wenn z. B. unter der Voraussetzung, dass normale Daten mit einer ID1“ pro „100 ms“ an den CAN-Bus 20 gesendet werden, Daten mit einer ID1“ pro „120 ms“ an den CAN-Bus 20 gesendet werden, werden die letzteren Daten in der vorliegenden Ausführungsform als gefälschte Daten behandelt. Was die Daten mit der ID „1“ angeht, werden auch Daten mit einer anderen ID oder Daten, die zwar dieselbe ID, jedoch einen anderen Inhalt aufweisen, selbstverständlich als gefälschte Daten behandelt.
  • Wenn solche gefälschten Daten über den Datenverbindungsstecker 30 an den CAN-Bus 20 gesendet werden und dagegen kein Verteidigungsmittel bereitgestellt ist, wird das mit dem CAN-Bus 20 verbundene elektronische Steuergerät 10 diese Daten empfangen und in einem Rechenprozess verarbeiten. Vor allem wenn die gefälschten Daten durch das Motorsteuergerät empfangen und im Rechenprozess verarbeitet werden, könnte also die Fahrt außer Kontrolle geraten.
  • Gemäß der vorliegenden Ausführungsform werden eventuell an den CAN-Bus 20 gesendete gefälschte Daten durch das elektronische Steuergerät 10 vom Rechenprozess ausgeschlossen, damit nur normale Daten im Rechenprozess verarbeitet werden. Beim Erhöhen der Empfangshäufigkeit, mit der die gefälschten Daten über den CAN-Bus 20 empfangen wurden, entscheidet ferner das elektronische Steuergerät 10, dass der Zustand abnormal ist, und geht in einen Sicherheitssteuerungszustand über.
  • Der Sicherheitssteuerungszustand umfasst z. B. einen Zustand, in dem ein Verbrennungsmotor abgestellt (angehalten) ist, einen Zustand, in dem der Empfang von Daten des CAN-Busses 20 verweigert ist, und einen Zustand, in dem der Übergang in einen Notbetriebsmodus erfolgt, in dem die Fahrt mit dem kleinsten Gang beibehalten wird.
  • 2 zeigt den inneren Aufbau des elektronischen Steuergerätes 10. Das elektronische Steuergerät 10 umfasst eine CPU 100 neben den hier nicht dargestellten Bauteilen, wie etwa Speichern, d. h. einem RAM, einem ROM u. a., und einer Ein-/Ausgabeschnittstelle. Die CPU 100 umfasst Programme bzw. Speicher für eine Datenaustauscheinheit 101, eine Empfangsdatenüberwachung 102, einen CAN-Puffer 103, einen steuerungsbezogenen Beurteilungsabschnitt 104, einen Berechnungsabschnitt 105 u. a.
  • Die Datenaustauscheinheit 101 empfängt normale oder gefälschte Daten D0 - D8 vom CAN-Bus 20 und gibt diese an die Empfangsdatenüberwachung 102 aus. An den CAN-Bus 20 sendet die Datenaustauscheinheit 101 ferner Rechenergebnisse D21, D22 für normale Daten in den Daten D0 - D8 oder Ausfallsicherheitsdaten D23 zum Übergang in einen Sicherheitssteuerungszustand.
  • Die Rechenergebnisse D21, D22 und die Ausfallsicherheitsdaten D23 werden danach für den Betrieb der weiteren elektronischen Steuergeräte 10 und weiteren Einrichtungen verwendet. Falls die weiteren elektronischen Steuergeräte 10 und Einrichtungen die Ausfallsicherheitsdaten D23 empfangen, erfolgt also eine Sicherheitssteuerung unabhängig von der Betätigung des Fahrers.
  • Erhält die Empfangsdatenüberwachung 102 normale oder gefälschte Daten D0 - D8 von der Datenaustauscheinheit 101, gibt sie diese Daten an den CAN-Puffer 103 aus und zählt zugleich die Empfangshäufigkeit der Daten D0 - D8, um zu überprüfen, ob der Zustand abnormal ist.
  • Empfängt konkret die Empfangsdatenüberwachung 102 die als Referenz dienenden normalen Daten D0, gibt sie diese Daten an den CAN-Puffer 103 aus und aktiviert zugleich eine interne Zeitschaltuhr T der CPU 100, um mit dem Messen der Zeit zu beginnen.
  • Die Empfangsdatenüberwachung 102 gibt anhand einer vorbestimmten Zeit DT, die vorab jeweils einer ID zugeordnet ist, die Daten D0 - D8, die vor Ablauf der vorbestimmten Zeit DT empfangen wurden, an den CAN-Puffer 103 aus. Außerdem wird die Empfangshäufigkeit der Daten D0 - D8 durch den Zähler C gezählt. Die Empfangsdatenüberwachung 102 zählt nämlich die Empfangshäufigkeit der Daten pro Zeiteinheit.
  • Die Empfangsdatenüberwachung 102 überprüft dann anhand einer vorbestimmten Häufigkeitszahl DC, ob die durch den Zähler C gezählte Empfangshäufigkeit größer/gleich der vorbestimmten Häufigkeitszahl DC ist. Ist die Empfangshäufigkeit größer/gleich der vorbestimmten Häufigkeitszahl DC, entscheidet die Empfangsdatenüberwachung 102, dass der Zustand abnormal ist. Die Empfangsdatenüberwachung 102 gibt dann das Ergebnis der Überwachung, das den abnormalen Zustand angibt, an den steuerungsbezogenen Beurteilungsabschnitt 104 aus.
  • Der CAN-Puffer 103 ist ein Speicher, in dem die im Rechenprozess zu verarbeitenden Daten gespeichert werden. Der steuerungsbezogene Beurteilungsabschnitt 104 stellt basierend auf dem Ergebnis der Überwachung der Empfangsdatenüberwachung 102 fest, ob die im CAN-Puffer 103 gespeicherten Daten im Rechenprozess verarbeitet oder davon ausgeschlossen werden sollen. Der steuerungsbezogene Beurteilungsabschnitt 104 gibt dann das Ergebnis der Beurteilung an den Berechnungsabschnitt 105 aus.
  • Basierend auf dem Ergebnis der Beurteilung des steuerungsbezogenen Beurteilungsabschnittes 104 verarbeitet der Berechnungsabschnitt 105 diejenigen Daten unter den im CAN-Puffer 103 gespeicherten Daten D0 - D8 im Rechenprozess, die innerhalb eines vorgegebenen Zeitraums (Fensters) nach Ablauf der vorbestimmten Zeit DT empfangen wurden, und erzeugt Rechenergebnisse D21, D22. Andernfalls schließt er die Daten vom Rechenprozess aus und erzeugt Ausfallsicherheitsdaten D23.
  • Wenn z. B. die Daten D0 eine ID1“ aufweisen und der ID eine vorbestimmte Zeit DT von „100 ms“ vorab zugeordnet ist, verarbeitet der Berechnungsabschnitt 105 bezüglich der Daten mit der ID1“ diejenigen Daten im Rechenprozess, die innerhalb eines Fensters von 100 ms - 110 ms oder 95 ms - 105 ms nach dem Empfang der Daten D0 empfangen wurden, und erzeugt die Rechenergebnisse D21, D22.
  • Wenn der Zustand abnormal ist, schließt hingegen der Berechnungsabschnitt 105 die im CAN-Puffer 103 gespeicherten Daten D0 - D8 vom Rechenprozess aus und erzeugt Ausfallsicherheitsdaten D23 zum Übergang in einen Sicherheitssteuerungszustand. Der Berechnungsabschnitt 105 gibt die erzeugten Rechenergebnisse D21, D22 oder die Ausfallsicherheitsdaten D23 an die Datenaustauscheinheit 101 aus.
  • 3 ist ein Flussdiagramm der Empfangsprozesse gemäß der vorliegenden Ausführungsform. Die Empfangsprozesse werden durch die CPU 100 des elektronischen Steuergerätes 10 ab einem Zeitpunkt gestartet, zu dem der Zähler C aktiviert wurde, und danach ständig durchgeführt. Als Zeitpunkt zum Aktivieren des Zählers C wird ein Zeitpunkt angenommen, zu dem das elektronische Steuergerät 10 eingeschaltet wird. Es gibt jedoch keine Beschränkung hierauf.
  • Außerdem werden hier lediglich die Verarbeitungsprozesse in einem bestimmten Zeitraum nach dem Empfang der als Referenz dienenden normalen Daten erläutert. Alle hier erläuterten Daten haben dieselbe ID (z. B.: „1“). Die vorliegenden Verarbeitungsprozesse werden nämlich für jede ID durchgeführt. Der Erläuterung halber wird angenommen, dass die CPU 100 das Subjekt der Verarbeitung ist.
  • Zunächst aktiviert die CPU 100 den Zähler C, um mit dem Zählen der Empfangshäufigkeit zu beginnen (S1). Wenn die CPU 100 danach normale Daten vom CAN-Bus 20 empfängt (S2), aktiviert sie die Zeitschaltuhr T, um mit dem Messen der Zeit zu beginnen (S3).
  • Nach dem Aktivieren der Zeitschaltuhr T zählt die CPU 100, die in Schritt S2 die normalen Daten empfangen hat, die Empfangshäufigkeit i um +1 aufwärts (S4). Die CPU 100 überprüft anschließend, ob die Empfangshäufigkeit i größer/gleich der vorbestimmten Häufigkeitszahl DC ist (S5).
  • Die Empfangshäufigkeit i zum Zeitpunkt, zu dem die normalen Daten einmal empfangen wurden, beträgt „1“. Wenn die vorbestimmte Häufigkeitszahl DC auf „6“ eingestellt ist, ist die Empfangshäufigkeit i daher kleiner als die vorbestimmte Häufigkeitszahl DC. Das Ergebnis der Überprüfung in Schritt S5 ist also negativ.
  • Erhält die CPU 100 ein negatives Ergebnis der Überprüfung in Schritt S5 (S5: N), gibt sie die empfangenen normalen Daten an den CAN-Puffer 103 aus (S6). Die CPU 100 überprüft anschließend, ob weitere empfangene Daten nach dem Aktivieren der Zeitschaltuhr T vorhanden sind (S7). Erhält die CPU 100 ein positives Ergebnis der Überprüfung in S7 (S7: J), erfolgt der Übergang zu Schritt S4, um die obigen Verarbeitungsprozesse zu wiederholen.
  • Erhält die CPU 100 hingegen ein negatives Ergebnis der Überprüfung in S7 (S7: N), überprüft sie anhand der vorbestimmten Zeit DT, die der ID der in Schritt S2 empfangenen normalen Daten zugeordnet wurde, und anhand einer gemessenen Zeit ab Beginn der Messung in Schritt S3, ob die gemessene Zeit die vorbestimmte Zeit DT erreicht hat (S8).
  • Erhält die CPU 100 ein negatives Ergebnis der Überprüfung in Schritt S8 (S8: N), erfolgt der Übergang zu Schritt S4, um die besagten Verarbeitungsprozesse zu wiederholen, bis die gemessene Zeit die vorbestimmte Zeit DT erreicht. Erhält die CPU 100 ein positives Ergebnis der Überprüfung in Schritt S5 (S5: J), entscheidet sie, dass der Zustand abnormal ist (S9). Die CPU 100 geht dabei in einen Sicherheitssteuerungszustand (S10) über und beendet die vorliegenden Verarbeitungsprozesse.
  • Erhält die CPU 100 hingegen ein positives Ergebnis der Überprüfung in Schritt S8 (S8: J), setzt sie durch das Stoppen und Neustarten des Zählers C die gezählte Häufigkeitszahl einmal zurück und startet erneut das Zählen der Empfangshäufigkeit (S12).
  • Als Nächstes überprüft die CPU 100, ob es unter den im CAN-Puffer 103 gespeicherten Daten solche Daten gibt, die innerhalb eines vorgegebenen Zeitraums (Fensters) nach Ablauf der vorbestimmten Zeit DT empfangen wurden (S13).
  • Erhält die CPU 100 ein negatives Ergebnis der Überprüfung in Schritt S13 (S13: N), beendet sie die vorliegenden Verarbeitungsprozesse, ohne die im CAN-Puffer 103 gespeicherten Daten im Rechenprozess zu verarbeiten. Erhält die CPU 100 hingegen ein positives Ergebnis (S13: J), verarbeitet sie die innerhalb des Fensters empfangenen Daten unter den im CAN-Puffer 103 gespeicherten Daten im Rechenprozess (S14) und beendet die vorliegenden Verarbeitungsprozesse.
  • Für danach empfangene Daten mit derselben ID wiederholt die CPU 100 die besagten Verarbeitungsprozesse durch den Übergang zu Schritt S4.
  • 4 ist eine Übersichtsdarstellung der Empfangsprozesse gemäß 3. Es folgt eine Erläuterung der Verarbeitungsprozesse der Daten D0 - D8 in chronologischer Reihenfolge.
  • Zum Zeitpunkt t0 werden die als Referenz dienenden normalen Daten D0 durch die Datenaustauscheinheit 101 empfangen. Ferner wird durch die Empfangsdatenüberwachung 102 die Zeitschaltuhr T aktiviert und die vorbestimmte Zeit DT berücksichtigt. Weiterhin wird die Empfangshäufigkeit des Zählers C um +1 aufwärts gezählt.
  • Danach werden die Daten D0 an den CAN-Puffer 103 ausgegeben. Nachdem die im CAN-Puffer 103 gespeicherten Daten D0 durch den steuerungsbezogenen Beurteilungsabschnitt 104 als Berechnungsgegenstand beurteilt wurden, werden sie durch den Berechnungsabschnitt 105 im Rechenprozess verarbeitet. Dementsprechend wird ein Rechenergebnis D21 erzeugt.
  • In einem Zeitraum von t0 ≤ t < t1 erfolgt die Überwachung der empfangenen Daten durch die Empfangsdatenüberwachung 102. Konkret wird die Zeit durch die Zeitschaltuhr T und die Empfangshäufigkeit durch den Zähler C gezählt. Da hierbei nur die Daten D0 empfangen wurden, beträgt die Empfangshäufigkeit „1“.
  • Zum Zeitpunkt t1 werden die Zeitschaltuhr T und der Zähler C durch die Empfangsdatenüberwachung 102 gestoppt und neu gestartet, um die gemessene Zeit und die Empfangshäufigkeit zurückzusetzen. Nach dem Zurücksetzen findet das Zählen erneut statt. Die Zeitschaltuhr T beginnt dabei erneut mit dem Messen der Zeit ab Zeitpunkt t2. Der Zähler C beginnt erneut mit dem Zählen von Daten unmittelbar nach dem Zurücksetzen.
  • Der Wertbereich von t1 < t ≤ t3 stellt einen Zeitraum dar, in dem die empfangenen Daten im Rechenprozess zu verarbeiten sind. Dieser Zeitraum wird hierbei als Fenster W bezeichnet. Bei den normalen Daten D1 handelt es sich um Daten, die zum Zeitpunkt t2 und innerhalb des Fensters W empfangen wurden.
  • Die Daten D1 werden anschließend an den CAN-Puffer 103 ausgegeben. Nachdem die Daten D1 durch den steuerungsbezogenen Beurteilungsabschnitt 104 als Berechnungsgegenstand beurteilt werden, werden sie durch den Berechnungsabschnitt 105 im Rechenprozess verarbeitet. Dementsprechend wird ein Rechenergebnis D22 erzeugt.
  • In einem Zeitraum von t2 ≤ t < t5 erfolgt erneut die Überwachung der empfangenen Daten. Hierbei werden inzwischen mehrmals gefälschte Daten D2 - D7 empfangen. Bei jedem Empfang der gefälschten Daten D2 - D7 wird die Empfangshäufigkeit durch den Zähler C um +1 aufwärts gezählt.
  • Es wurde gezeigt, dass zum Zeitpunkt t4 die Empfangshäufigkeit die vorbestimmte Häufigkeitszahl DC erreicht. Dabei wird das Überwachungsergebnis der Empfangsdatenüberwachung 102 an den steuerungsbezogenen Beurteilungsabschnitt 104 ausgegeben. Die danach empfangenen Daten werden durch den steuerungsbezogenen Beurteilungsabschnitt 104 vom Rechenprozess ausgeschlossen.
  • In einem Zeitraum von t5 < t ≤ t7 ist hierbei ein zweites Fenster W vorgesehen. Das Fenster W ist auf diese Weise bei jedem Ablauf der vorbestimmten Zeit DT regelmäßig vorgesehen. Obwohl dabei normale Daten D8 zum Zeitpunkt t6 und innerhalb des Fensters W empfangen wurden, werden sie vom Rechenprozess ausgeschlossen. Stattdessen werden Ausfallsicherheitsdaten D23 erzeugt.
  • Wie oben erwähnt, wird gemäß der vorliegenden Ausführungsform nach dem Empfang der als Referenz dienenden Daten D0 die Empfangshäufigkeit derjenigen empfangenen Daten gezählt, die dieselbe ID wie die Daten D0 aufweisen. Wenn die Empfangshäufigkeit innerhalb eines bestimmten Zeitraums nicht die vorbestimmte Häufigkeitszahl DC erreicht, werden die danach empfangenen Daten D1 im Rechenprozess verarbeitet. Ist die Empfangshäufigkeit größer/gleich der vorbestimmten Häufigkeitszahl DC, wird entschieden, dass der Zustand abnormal ist, wobei der Übergang in einen Sicherheitssteuerungszustand erfolgt.
  • Konkret wird zum Zeitpunkt des Empfangs der normalen Daten D0 die Zeitschaltuhr T aktiviert und die Empfangshäufigkeit von Daten gezählt, die während der gemessenen Zeit in einem Zeitraum bis zum Erreichen der vorbestimmten Zeit DT empfangen wurden. Falls die Empfangshäufigkeit nicht die vorbestimmte Häufigkeitszahl DC erreicht, werden die danach innerhalb des Fensters W empfangenen normalen Daten D1 im Rechenprozess verarbeitet. Falls hingegen die Empfangshäufigkeit die vorbestimmte Häufigkeitszahl DC erreicht, werden die normalen Daten D8 vom Rechenprozess ausgeschlossen und stattdessen Ausfallsicherheitsdaten D23 erzeugt. Darauf basierend erfolgt der Übergang in einen Sicherheitssteuerungszustand.
  • Somit erübrigen sich sowohl ein zusätzliches Gerät als Verteidigungsmittel gegen Man-in-the-Middle-Attacken als auch komplizierte Verarbeitungsprozesse, wie z. B. das Überwachen, das Feststellen, das Ungültigmachen u. a. von gefälschten Empfangsdaten. Die Verteidigung gegen gefälschte Daten ist also nur durch die Steuerung der Software möglich. Gemäß der vorliegenden Ausführungsform kann somit ein Sicherheitsschutz realisiert werden, ohne das bordinterne Netzwerk komplizierter zu machen und die Kosten zu erhöhen.
  • Gemäß der vorliegenden Ausführungsform ist eine vorbestimmte Zeit DT vorab einer ID zugeordnet. Zusätzlich dazu kann die vorbestimme Zeit DT einer Festerbreite (entspricht einer Zeitspanne zwischen den Zeitpunkten t1 und t3 in 4) zugeordnet werden.
  • Es kann z. B. angenommen werden, dass einer ID1“ eine vorbestimmte Zeit DT von „99 ms“ und eine Fensterbreite von „10 ms“ vorab zugeordnet sind, und einer ID2“ eine vorbestimmte Zeit DT von „50 ms“ und eine Fensterbreite von „5 ms“. D. h., die Fensterbreite kann in Abhängigkeit von der Empfangshäufigkeit pro Zeiteinheit veränderlich sein.
  • Für Daten mit einer größeren Empfangshäufigkeit pro Zeiteinheit kann die Fensterbreite verkleinert werden, damit gefälschte Daten leicht vom Rechenprozess ausgeschlossen werden können. Der Sicherheitsschutz kann somit zuverlässiger realisiert werden.
  • Gemäß der vorliegenden Ausführungsform wird die Empfangshäufigkeit zum Zeitpunkt, zu dem die gemessene Zeit die vorbestimmte Zeit DT erreicht, einmal zurückgesetzt. Es gibt jedoch keine Beschränkung hierauf, so dass auch möglich ist, dass das Zurücksetzen nicht erfolgt, solange der Gesamtbetrag der Empfangshäufigkeiten nicht die vorbestimmte Häufigkeitszahl DC erreicht. D. h., das Zurücksetzen der Empfangshäufigkeit kann ab Beginn der Zählung der Empfangshäufigkeit des Zählers C erst zu dem Zeitpunkt erfolgen, zu dem der Gesamtbetrag der Empfangshäufigkeiten der Daten, die außerhalb des regelmäßig vorgesehenen Fensters W empfangen wurden, die vorbestimmte Häufigkeitszahl DC erreicht.
  • Dabei muss die Empfangshäufigkeit nicht bei jedem Erreichen der gemessenen Zeit zu der vorbestimmten Zeit DT zurückgesetzt werden, so dass eine Vereinfachung der Verarbeitungsprozesse ermöglicht wird. Wenn gefälschte Daten zwar nicht als abnormaler Zustand eingestuft, jedoch stetig empfangen werden, kann außerdem entschieden werden, dass der Zustand abnormal ist.
  • Bezugszeichenliste
    • 1
    Fahrzeug
    10
    Elektronisches Steuergerät
    20
    CAN-Bus
    30
    Datenverbindungsstecker
    40
    Scanmittel
    100
    CPU
    101
    Datenaustauscheinheit
    102
    Empfangsdatenüberwachung
    103
    CAN-Puffer
    104
    Steuerungsbezogener Beurteilungsabschnitt
    105
    Berechnungsabschnitt
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2014236248 A [0008]

Claims (8)

  1. Elektronisches Steuergerät (10), das mit einem Kommunikationsbus (20) verbunden ist, dadurch gekennzeichnet, dass eine CPU (100) des elektronischen Steuergerätes (10) über den Kommunikationsbus (20) normale Daten (D1) und danach Daten (D2 - D8) empfängt, die dieselbe ID wie die normalen Daten (D1) aufweisen und, wenn die Häufigkeitszahl, mit der die Daten (D2 - D8) mit derselben ID innerhalb eines Zeitraums empfangen wurden, größer/gleich einer vorbestimmten Häufigkeitszahl (DC) ist, entscheidet, dass der Zustand abnormal ist, und in einen Sicherheitssteuerzustand übergeht.
  2. Elektronisches Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass, wenn die Häufigkeitszahl, mit der die Daten (D2 - D8) mit derselben ID innerhalb eines Zeitraums empfangen wurden, die vorbestimmte Häufigkeitszahl (DC) unterschreitet, die CPU (100) die Daten (D1), die innerhalb eines regelmäßig vorgesehenen Fensters (W) empfangen wurden, im Rechenprozess verarbeitet.
  3. Elektronisches Steuergerät nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die CPU (100) bei der Beurteilung, dass der Zustand abnormal ist, Daten (D8), die innerhalb eines regelmäßig vorgesehenen Fensters (W) empfangen wurden, vom Rechenprozess ausschließt und Ausfallsicherheitsdaten zum Übergang in einen Sicherheitssteuerungszustand erzeugt.
  4. Elektronisches Steuergerät nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die CPU (100) das Fenster (W) regelmäßig bei jedem Ablauf einer vorbestimmten Zeit (DT) vorsieht, die vorab der ID der normalen Daten (D1) zugeordnet ist.
  5. Elektronisches Steuergerät nach einem der Ansprüche 2-4, dadurch gekennzeichnet, dass die CPU (100) dadurch regelmäßig das Fenster (W) vorsieht, dass die CPU (100) mit dem Messen der Zeit zum Zeitpunkt des Empfangs der normalen Daten (D1) beginnt und das Fenster (W) für einen Zeitraum zwischen einem Zeitpunkt (t5), zu dem eine gemessene Zeit die vorbestimmte Zeit (DT) erreicht, und einem vorgegebenen Zeitpunkt (t7) vorsieht.
  6. Elektronisches Steuergerät nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die vorbestimmte Zeit (DT) je nach ID der normalen Daten (D1) verschieden ist.
  7. Elektronisches Steuergerät nach einem der Ansprüche 2-6, dadurch gekennzeichnet, dass das Fenster (W) je nach ID der normalen Daten (D1) verschiedene Breiten aufweist.
  8. Elektronisches Steuergerät nach einem der Ansprüche 1-7, dadurch gekennzeichnet, dass die CPU (100) bei der Beurteilung, dass der Zustand abnormal ist, dadurch in einen Sicherheitssteuerungszustand übergeht, eine Steuerung zum Abstellen eines Verbrennungsmotors, eine Steuerung zum Verweigern des Empfangs von Daten des Kommunikationsbusses (20) oder eine Steuerung zum Beibehalten einer Fahrt mit dem kleinsten Gang durchzuführen.
DE112018002549.7T 2017-05-18 2018-03-08 Elektronisches Steuergerät Pending DE112018002549T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017099285 2017-05-18
JP2017-099285 2017-05-18
PCT/JP2018/008882 WO2018211790A1 (ja) 2017-05-18 2018-03-08 Ecu

Publications (1)

Publication Number Publication Date
DE112018002549T5 true DE112018002549T5 (de) 2020-04-09

Family

ID=64274048

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018002549.7T Pending DE112018002549T5 (de) 2017-05-18 2018-03-08 Elektronisches Steuergerät

Country Status (4)

Country Link
JP (1) JP6838147B2 (de)
CN (1) CN110915170B (de)
DE (1) DE112018002549T5 (de)
WO (1) WO2018211790A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7211051B2 (ja) * 2018-12-05 2023-01-24 株式会社デンソー ネットワークスイッチおよび回線監視装置
CN111596570B (zh) * 2020-05-26 2023-09-12 杭州电子科技大学 车辆can总线仿真与攻击***及方法
JP7491203B2 (ja) * 2020-12-09 2024-05-28 トヨタ自動車株式会社 制御装置、システム、車両、プロブラム及び制御装置の動作方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101417636B (zh) * 2008-03-14 2013-03-20 北京理工大学 基于三路can总线的纯电动客车通信***和方法
JP2013068216A (ja) * 2011-09-10 2013-04-18 Denso Corp 車載速度低下装置
US9225544B2 (en) * 2011-12-22 2015-12-29 Toyota Jidosha Kabushiki Kaisha Communication system and communication method
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
CN103605349B (zh) * 2013-11-26 2017-11-14 厦门雅迅网络股份有限公司 一种基于CAN‑bus的远程数据实时采集及分析统计***及方法
CN106170953B (zh) * 2014-04-17 2019-10-18 松下电器(美国)知识产权公司 车载网络***、网关装置以及不正常检测方法
CN105594156B (zh) * 2014-05-08 2020-01-21 松下电器(美国)知识产权公司 车载网络***、电子控制单元及不正常检测方法
JP6267596B2 (ja) * 2014-07-14 2018-01-24 国立大学法人名古屋大学 通信システム、通信制御装置及び不正情報送信防止方法
JP6152228B2 (ja) * 2014-09-12 2017-06-21 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 電子制御ユニット、車載ネットワークシステム及び車両用通信方法
CN111934966B (zh) * 2014-12-01 2022-09-20 松下电器(美国)知识产权公司 不正常检测电子控制单元、车载网络***以及不正常检测方法
WO2017037977A1 (ja) * 2015-08-31 2017-03-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法
JP6603617B2 (ja) * 2015-08-31 2019-11-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法

Also Published As

Publication number Publication date
CN110915170B (zh) 2021-11-16
JPWO2018211790A1 (ja) 2020-02-27
WO2018211790A1 (ja) 2018-11-22
JP6838147B2 (ja) 2021-03-03
CN110915170A (zh) 2020-03-24

Similar Documents

Publication Publication Date Title
EP2359204B1 (de) Adaptives zentrales wartungssystem und verfahren zum planen von wartungsvorgängen von systemen
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE112018002549T5 (de) Elektronisches Steuergerät
EP1855162A2 (de) Serviceplattform zur Wartung von Maschinen
DE112012006879T5 (de) Neuer Ansatz zum Handhaben eines Controller-Area-Network Bus-Off
WO2004078543A2 (de) Risikominimierung und wartungsoptimierung durch ermittlung von schädigungsanteilen aus betriebsdaten
EP0007579A1 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Strassenverkehrs-Lichtsignalanlagen
DE19827431A1 (de) Verfahren zur Fehlererkennung in einem Prozessorsystem
EP3390259B1 (de) Verfahren zur überwachung eines sicherheitskreises einer aufzugsanlage und überwachungseinrichtung für einen sicherheitskreis einer aufzugsanlage
EP1277095B1 (de) System und verfahren zur überwachung einer einrichtung zum messen, steuern und regeln
WO2017162395A1 (de) Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
WO2015043817A1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
DE102017114321A1 (de) Verfahren und Vorrichtung zur Überwachung wenigstens einer Maschine
EP1733284B1 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE102018129735A1 (de) Verfahren zum Bestimmen eines Funktionszustands einer Sensorvorrichtung für ein Kraftfahrzeug, wobei eine Informationszeit bestimmt wird, Steuerungseinrichtung sowie Sensorvorrichtung
DE10121061B4 (de) Überwachungsvorrichtung und Überwachungsverfahren
DE112017002556T5 (de) Steuerungssystem
DE102020001561A1 (de) Medizingeräteanordnung mit einem Prüfmodul
DE102017200280B4 (de) Verfahren und Vorrichtung zum Qualifizieren eines Fehlers eines Sensors mittels einer Statusinformation
EP3761179B1 (de) Verfahren zur überprüfung der funktion eines prozessors durch einen watchdog
EP3185807B1 (de) Verfahren und system zum betrieb einer aufbereitungsvorrichtung für chirugische instrumente
DE102008043648A1 (de) Verringerung der Reaktionszeit in einem System zur Überwachung eines Funktionsrechners
EP3306507B1 (de) Komponente für eine sicherheitskritische funktionskette
DE102019108415A1 (de) Verfahren zur Überwachung der Vitalität einer Anzahl von Teilnehmern eines verteilten technischen Systems
DE102006016016A1 (de) Fehlerdiagnosesystem und Verfahren zur Analyse und Anzeige von Fehlern zumindest eines Steuergeräts in einem Fahrzeug