DE112020007053T5 - Steuervorrichtung und Steuerverfahren - Google Patents

Steuervorrichtung und Steuerverfahren Download PDF

Info

Publication number
DE112020007053T5
DE112020007053T5 DE112020007053.0T DE112020007053T DE112020007053T5 DE 112020007053 T5 DE112020007053 T5 DE 112020007053T5 DE 112020007053 T DE112020007053 T DE 112020007053T DE 112020007053 T5 DE112020007053 T5 DE 112020007053T5
Authority
DE
Germany
Prior art keywords
functional
functional elements
functional element
anomaly
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020007053.0T
Other languages
English (en)
Inventor
Toshinori Matsui
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112020007053T5 publication Critical patent/DE112020007053T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Bereitgestellt werden eine Funktionselemente-Halteeinheit (120) zum Halten einer Vielzahl von Funktionselementen (i) zum Ausführen der Steuerung und auch von Ersatz-Funktionselementen (iB), die zu der Vielzahl von jeweiligen Funktionselementen (i) gehören und in der Lage sind, die gleiche Steuerung wie die jeweiligen Funktionselemente (i) auszuführen, eine Unregelmäßigkeits-Erkennungseinheit (111) zum Erkennen einer Unregelmäßigkeit, die durch einen Sicherheitsangriff über das Kommunikationsnetzwerk verursacht wird, eine Verarbeitungsziel-Identifizierungseinheit zum Identifizieren, als Verarbeitungsziele, eines Funktionselements (i), in dem die Unregelmäßigkeit erkannt wird, und ein verwandtes Funktionselement, das sich auf die Unregelmäßigkeit bezieht, aus der Vielzahl der Funktionselemente (i) zu identifizieren, wenn die Unregelmäßigkeit erkannt wird, und eine Funktionselement-Umschalteinheit (116), um Steuerfunktionen der Funktionselemente (i), die als die Verarbeitungsziele identifiziert wurden, auf zugehörige jeweilige Ersatz-Funktionselemente (iB) umzuschalten, um eine Ausführung zu bewirken. Die Verarbeitungsziel-Identifizierungseinheit ist so konfiguriert, dass sie als das verwandte Funktionselement ein Funktionselement (i) extrahiert, von dem festgestellt wird, dass es einen Betriebszustand hat, der dem des Funktionselements (i), in dem die Unregelmäßigkeit erkannt wird, ähnlich ist.

Description

  • Technisches Gebiet
  • Die vorliegende Anmeldung betrifft eine Steuervorrichtung und ein Steuerverfahren.
  • Hintergrund der Erfindung
  • Im Allgemeinen ist eine Steuervorrichtung, die als elektronische Steuervorrichtung (ECU) bezeichnet wird, in einer Vielzahl in einem Fahrzeug installiert, und jede Steuervorrichtung ist mit einer anderen ECU oder einer Kommunikationsvorrichtung außerhalb des Fahrzeugs drahtgebunden oder drahtlos verbunden. Daher können aufgrund eines illegalen Eindringens in das Innere des Fahrzeugs durch einen Sicherheitsangriff über eine Kommunikationsleitung die Merkmale des Programms verfälscht werden, was zu einem Problem bei der Betriebssteuerung des Fahrzeugs führt.
  • Um dem entgegenzuwirken, wird eine Informationsverarbeitungsvorrichtung offenbart, in der, wenn eine Unregelmäßigkeit aufgrund eines Sicherheitsangriffs auftritt, eine Quelle des Auftretens der Unregelmäßigkeit und ein betroffener Ort identifiziert werden, um in einen Betriebsmodus zu wechseln, der auch dann verwendet werden kann, wenn die Unregelmäßigkeit auftritt und die Fahrsteuerung des Fahrzeugs fortgesetzt wird (siehe beispielsweise Patentdokument 1).
  • Zitierliste
  • Patentdokumente
  • Patentdokument 1: Japanische ungeprüfte Patentanmeldungsveröffentlichung Nr. 2018-194909 (Absätze 0015 bis 0103, 1 bis 9)
  • Zusammenfassung der Erfindung
  • Aufgabenstellung der Erfindung
  • Während jedoch die oben beschriebene Gegenmaßnahme ergriffen werden kann, wenn die Beziehung zwischen der Quelle des Auftretens der Unregelmäßigkeit und dem betroffenen Ort aufgrund des Sicherheitsangriffs im Voraus analysiert werden kann, ist es schwierig, mit einem unbekannten Sicherheitsangriff umzugehen, bei dem die Beziehung unbekannt ist.
  • Die vorliegende Anwendung offenbart eine Technik zur Lösung des oben beschriebenen Problems, und ein Ziel davon ist es, eine Steuervorrichtung zu erhalten, die die Fahrzeugsteuerung fortsetzen kann, selbst wenn ein Fahrzeug einem unbekannten Sicherheitsangriff ausgesetzt ist, der schwer im Voraus zu analysieren ist und die Fahrzeugsteuerung beeinflusst.
  • Lösung der Aufgabenstellung
  • Eine Steuervorrichtung, die in der vorliegenden Anwendung offenbart wird, ist eine Steuervorrichtung, die eine an einem Fahrzeug angebrachte Vorrichtung über ein Kommunikationsnetzwerk steuert, und umfasst eine Funktionselemente-Halteeinheit, um eine Vielzahl von Funktionselementen zur Ausführung der Steuerung und auch Ersatz-Funktionselemente zu halten, die der Vielzahl von jeweiligen Funktionselementen entsprechen und in der Lage sind, die gleiche Steuerung wie die jeweiligen Funktionselemente auszuführen, eine Unregelmäßigkeits-Erfassungseinheit, um eine Unregelmäßigkeit zu erfassen, die durch einen Sicherheitsangriff über das Kommunikationsnetzwerk verursacht wird, eine Verarbeitungsziel-Identifizierungseinheit, um als Verarbeitungsziele ein Funktionselement, in dem die Unregelmäßigkeit erkannt wird, und ein damit zusammenhängendes Funktionselement, das sich auf die Unregelmäßigkeit bezieht, aus der Vielzahl der Funktionselemente zu identifizieren, wenn die Unregelmäßigkeit erkannt wird, und eine Funktionselement-Umschalteinheit, um Steuerfunktionen der Funktionselemente, die als die Verarbeitungsziele identifiziert wurden, auf entsprechende jeweilige Ersatz-Funktionselemente umzuschalten, um eine Ausführung zu bewirken. Die Verarbeitungsziel-Identifizierungseinheit extrahiert als das betreffende Funktionselement ein Funktionselement, von dem bestimmt wird, dass es einen Betriebszustand hat, der dem des Funktionselements, in dem die Unregelmäßigkeit erkannt wird, ähnlich ist, basierend auf einem Betriebsverlauf der Vielzahl von Funktionselementen.
  • Ein Steuerverfahren, das in der vorliegenden Anwendung offenbart wird, ist ein Verfahren zum Steuern einer Vorrichtung, die in einem Fahrzeug über ein Kommunikationsnetzwerk eingebaut ist, und umfasst einen Funktionselement-Halteschritt zum Halten einer Vielzahl von Funktionselementen zum Ausführen der Steuerung und auch von Ersatz-Funktionselementen, die der Vielzahl von jeweiligen Funktionselementen entsprechen und in der Lage sind, die gleiche Steuerung wie die jeweiligen Funktionselemente auszuführen, einen Unregelmäßigkeits-Erfassungsschritt zum Erfassen einer Unregelmäßigkeit, die durch einen Sicherheitsangriff über das Kommunikationsnetzwerk verursacht wird, einen Verarbeitungsziel-Identifizierungsschritt des Identifizierens, als Verarbeitungsziele, eines Funktionselements, in dem die Unregelmäßigkeit detektiert wird, und eines zugehörigen Funktionselements, das sich auf die Unregelmäßigkeit bezieht, aus der Vielzahl der Funktionselemente, wenn die Unregelmäßigkeit detektiert wird, und einen Funktionselement-Umschaltschritt des Umschaltens von Steuerfunktionen der Funktionselemente, die als die Verarbeitungsziele identifiziert wurden, auf entsprechende jeweilige Ersatz-Funktionselemente, um eine Ausführung zu bewirken. In dem Verarbeitungsziel-Identifizierungsschritt wird ein Funktionselement, für das bestimmt wird, dass es einen Betriebsstatus hat, der dem des Funktionselements, in dem die Unregelmäßigkeit erkannt wird, ähnlich ist, als das betreffende Funktionselement auf der Grundlage eines Betriebsverlauf der Vielzahl von Funktionselementen extrahiert.
  • Effekt der Erfindung
  • Gemäß der Steuervorrichtung oder dem Steuerverfahren, die in der vorliegenden Anmeldung offenbart werden, kann die Fahrzeugsteuerung auch dann fortgesetzt werden, wenn das Fahrzeug einem unbekannten Sicherheitsangriff ausgesetzt ist, der im Voraus nur schwer zu analysieren ist, da ein Funktionselement, das sich auf ein Funktionselement bezieht, in dem eine Unregelmäßigkeit aufgetreten ist, anhand der Ähnlichkeit der Betriebszustände von Funktionselementen, die für die Fahrzeugsteuerung verwendet werden, identifiziert wird und eine Gegenmaßnahme ergriffen wird.
  • Figurenliste
    • 1 ist ein Blockdiagramm zur Erläuterung einer Konfiguration einer Steuervorrichtung gemäß Ausführungsform 1.
    • 2 ist ein Flussdiagramm zur Erläuterung von Operationen der Steuervorrichtung gemäß Ausführungsform 1.
    • 3 ist ein Blockdiagramm, das ein Funktionselement zeigt, in dem eine Unregelmäßigkeit in der Konfiguration der Steuervorrichtung gemäß Ausführungsform 1 aufgetreten ist.
    • 4 ist ein Blockdiagramm zur Erläuterung einer Konfiguration einer Steuervorrichtung gemäß Ausführungsform 2.
    • 5A und 5B sind Blockdiagramme, die die jeweiligen Eingangs-/Ausgangszustände für funktionale Elemente im Normalzustand und funktionale Elemente, die in einen isolierten Bereich verschoben wurden, zeigen, um den isolierten Bereich in der Konfiguration der Steuervorrichtung gemäß Ausführungsform 2 zu erläutern.
    • 6 ist ein Flussdiagramm zur Erläuterung von Operationen der Steuervorrichtung gemäß Ausführungsform 2.
    • 7 ist ein Blockdiagramm, das ein Funktionselement zeigt, in dem eine Unregelmäßigkeit in der Konfiguration der Steuervorrichtung gemäß Ausführungsform 2 aufgetreten ist.
    • 8 ist ein Blockdiagramm, das ein Konfigurationsbeispiel eines Teils zur Ausführung der arithmetischen Verarbeitung der Steuervorrichtung gemäß jeder Ausführungsform zeigt.
  • Ausführungsformen der Erfindung
  • Ausführungsform 1
  • 1 bis 3 sind Diagramme zur Erläuterung einer Konfiguration und von Operationen einer Steuervorrichtung gemäß Ausführungsform 1, 1 ist ein Blockdiagramm der Steuervorrichtung, in der eine Verbindung mit anderen Steuervorrichtungen über einen Kommunikationspfad in der Konfiguration der Steuervorrichtung enthalten ist, und 2 ist ein Flussdiagramm zur Erläuterung einer Gegenmaßnahme-Operation, wenn ein Sicherheitsangriff empfangen wird, nämlich ein Kontrollverfahren. 3 ist ein Blockdiagramm, das 1 entspricht, um ein Funktionselement zu zeigen, in dem eine Unregelmäßigkeit aufgetreten ist, um mit der Unregelmäßigkeit zusammenhängende Stellen unter einer Vielzahl von Funktionselementen zu identifizieren, die in der Ausführungsreihenfolge-Aufzeichnungseinheit der Steuervorrichtung gehalten werden, und um aufgezeichnete Inhalte einer Ausführungsreihenfolge-Aufzeichnungseinheit zu zeigen.
  • Wie im Stand der Technik beschrieben, ist die Steuervorrichtung zum Steuern eines Fahrzeugs derart konfiguriert, dass jede der elektronischen Steuervorrichtungen, ECU genannt, mit einer anderen ECU oder einer Kommunikationsvorrichtung außerhalb des Fahrzeugs drahtgebunden oder drahtlos verbunden ist. Unter den Steuervorrichtungen wird beispielhaft eine Steuervorrichtung gemäß Ausführungsform 1 beschrieben, die als fortschrittliches Fahrerassistenzsystem (ADAS) bezeichnet wird.
  • Wie in 1 dargestellt, ist die Steuervorrichtung (ADAS-Steuervorrichtung 100) gemäß Ausführungsform 1 über ein fahrzeugseitiges Netzwerk 400 mit anderen Steuervorrichtungen wie beispielsweise einer EPS-Steuervorrichtung 200 und einer Bremssteuervorrichtung 300 verbunden. Beispielsweise steuert die EPS-Steuervorrichtung 200 einen Winkel und ein Drehmoment usw. einer elektrischen Servolenkung, und die Bremssteuervorrichtung 300 steuert einen Steuerbetrag usw. einer Bremse. Die dargestellte Steuervorrichtung des Fahrzeugs umfasst Komponenten, die in 1 nicht dargestellt sind, und deren Beschreibungen werden für diejenigen weggelassen, die sich nicht direkt auf die Beschreibung von Ausführungsform 1 beziehen.
  • Die ADAS Steuervorrichtung 100 bestimmt eine Situation im Fahrzeug oder eine Beziehung zu anderen Fahrzeugen auf der Grundlage eines Wertes ihres eigenen Sensors (nicht dargestellt) und eines Eingabewertes, der von den anderen Steuervorrichtungen über das fahrzeugseitige Netzwerk 400 erhalten wird. Dann werden beispielsweise die Steuervorrichtung 200 des EPS und die Steuervorrichtung 300 der Bremse hinsichtlich der Steuergrößen wie beispielsweise eines Winkels und eines Drehmoments usw. und hinsichtlich der Steuergrößen der Bremse usw. instruiert.
  • Als fahrzeugseitiges Netzwerk 400 wird im Allgemeinen ein Controller Area Network (CAN: eingetragenes Warenzeichen), ein Ehernet (eingetragenes Warenzeichen) oder ähnliches verwendet, das als Kommunikationsweg für die Kommunikation mit dem Fahrzeuginneren und -äußeren dient, aber nicht darauf beschränkt ist.
  • Die ADAS-Steuervorrichtung 100 ist mit einer Sende-/Empfangseinheit 140, die eine Übertragung/Empfang mit anderen Vorrichtungen durchführt, einer Funktionselemente-Halteeinheit 120, die eine Vielzahl von Funktionselementen i zur Steuerung des Fahrzeugs und der anderen Vorrichtungen enthält, einer Sicherheits-Gegenmaßnahmeneinheit 130, die Sicherheits-Gegenmaßnahmen durchführt, einer Ausführungsreihenfolge-Aufzeichnungseinheit 150, die eine Ausführungsreihenfolge der Funktionselemente i aufzeichnet, und einer Steuervorrichtung 110, die eine Unregelmäßigkeit behandelt, bereitgestellt.
  • Die Sende-/Empfangseinheit 140 führt die Datenübertragung/den Datenempfang durch Kommunikation mit den anderen Steuervorrichtungen durch, die über das fahrzeugseitige Netzwerk 400 angeschlossen sind (hier werden die EPS-Steuervorrichtung 200 und die Bremssteuervorrichtung 300 erwähnt, aber nicht darauf beschränkt) oder mit einer Vorrichtung außerhalb des Fahrzeugs.
  • Die Funktionselemente-Halteeinheit 120 nimmt eine Vielzahl von Funktionselementen auf: Funktionselement 1, Funktionselement 2, Funktionselement 3, ... , Funktionselement n zur Berechnung von Steuergrößen, die die Steuerung der EPS-Steuervorrichtung 200 und der Bremssteuervorrichtung 300 betreffen, oder verschiedener Verarbeitungswerte. Zusätzlich wird ein Ersatz-Funktionselement 1B mit der gleichen Steuervorrichtung wie die des Funktionselements 1, ein Ersatz-Funktionselement 2B mit der gleichen Steuervorrichtung wie die des Funktionselements 2, ein Ersatz-Funktionselement 3B mit der gleichen Steuervorrichtung wie die des Funktionselements 3 und ein Ersatz-Funktionselement nB mit der gleichen Steuervorrichtung wie die des Funktionselements n als Reserve gehalten. Das heißt, ein Element, das die gleiche Steuerfunktion in Bezug auf ein bestimmtes Funktionselement i hat, wird als Ersatz-Funktionselement iB gehalten.
  • In der vorliegenden Beschreibung wird davon ausgegangen, dass die folgenden Funktionen den Funktionselementen 1 bis n(13) zugeordnet sind, aber dies sind nicht alle und sie sind nicht darauf beschränkt. Es ist zu beachten, dass die Zuordnung zu den Funktionselementen in Klammern geschrieben ist.
    Funktionselement 1: Empfang von Kommunikationsdaten (gemeinsame Funktion)
    Funktionselement 2: Übermittlung von Kommunikationsdaten (gemeinsame Funktion)
    Funktionselement 3: Speicherung im Speicherbereich (gemeinsame Funktion)
    Funktionselement 4: Lesen aus dem Speicherbereich (gemeinsame Funktion)
    Funktionselement 5: Umrechnung der Dateneinheit (gemeinsame Funktion)
    Funktionselement 6: Erfassung des aktuellen Lenkradwinkels (Funktion, die den Lenkvorgang betrifft)
    Funktionselement 7: Ableitung des Soll-Lenkradwinkels (Funktion, die den Lenkvorgang betrifft)
    Funktionselement 8: Erfassung der aktuellen Fahrzeuggeschwindigkeit (Funktion, die den Bremsbetrieb betrifft)
    Funktionselement 9: Erfassung des aktuellen Bremsbetrages (Funktion, die den Bremsbetrieb betrifft)
    Funktionselement 10: Erfassung der aktuellen Gierrate (Funktion betrifft den Lenkvorgang)
    Funktionselement 11: Ableitung der Soll-Gierrate (Funktion, die den Lenkvorgang betrifft)
    Funktionselement 12: Ableitung der Fahrzeug-Zielgeschwindigkeit (Funktion betrifft den Bremsbetrieb)
    Funktionselement 13: Ableitung des Soll-Bremssteuerbetrages (Funktion, die den Bremsbetrieb betrifft)
  • Die Sicherheitsgegenmaßnahmeneinheit 130 enthält eine Funktion zur Sicherstellung der Sicherheitsresistenz der ADAS Steuervorrichtung 100. Hier werden eine Kommunikationsauthentifizierungsfunktion 131 als Gegenmaßnahme gegen Spoofing einer Kommunikationsnachricht, eine Geräteauthentifizierungsfunktion 132 als Gegenmaßnahme gegen Spoofing einer angeschlossenen Vorrichtung und eine Verschlüsselungsfunktion 133 zur Sicherstellung der Vertraulichkeit von zu übertragenden Merkmalen und der Vertraulichkeit von in einer Steuervorrichtung zu speichernden Daten und so weiter angegeben.
  • Die Ausführungsreihenfolge-Aufzeichnungseinheit 150 zeichnet eine Ausführungsreihenfolge als Betriebsverlauf zur Bestimmung einer Ähnlichkeit im Funktionselement i auf. Ein Speicherbereich zur Aufzeichnung der Ausführungsreihenfolge einer bestimmten Menge ist gesichert, und beispielsweise wird die Verarbeitung sequentiell von der ältesten überschrieben, was als First-In-First-Out (FIFO) bezeichnet wird, so dass es möglich ist, die Verarbeitungsreihenfolge des Funktionselements i einer vorbestimmten Anzahl von zuletzt durchgeführten Malen aufzuzeichnen.
  • Die Steuervorrichtung 110 für die Reaktion auf eine Unregelmäßigkeit ist mit einer Unregelmäßigkeitserkennungseinheit 111, die eine Unregelmäßigkeit durch Überprüfen der Betriebszustände von Vorrichtungen im Fahrzeug erkennt, einer Unregelmäßigkeitsursachen-Identifizierungseinheit 112, die feststellt, ob die Unregelmäßigkeit durch einen Sicherheitsangriff verursacht wird oder nicht, und einer auf die Unregelmäßigkeit bezogenen Ortsidentifizierungseinheit 113, die ein Funktionselement i, das die Unregelmäßigkeit betrifft, identifiziert, um es zu einem Verarbeitungsziel zu machen, bereitgestellt. Eine Funktionsverwendungsstatus-Bestätigungseinheit 114 zum Erfassen des Verwendungsstatus eines Funktionselements i im Fahrzeug und eine Prioritätsreihenfolge-Zuweisungseinheit 115 zum Zuweisen einer Prioritätsreihenfolge als ein Verarbeitungsziel zu dem Funktionselement i, das als der auf die Unregelmäßigkeit bezogene Ort identifiziert wurde, in Übereinstimmung mit dem erfassten Verwendungsstatus des Funktionselements i werden bereitgestellt. Ferner sind eine Funktionselement-Schalteinheit 116 zum Steuern des Anhaltens oder Schaltens usw. des Funktionselements i in der Funktionselement-Halteeinheit 120 gemäß der bestimmten Prioritätsreihenfolge und eine Gegenmaßnahmen-Änderungseinheit 117 zum Ändern einer Sicherheits-Gegenmaßnahmenfunktion in der Sicherheits-Gegenmaßnahmeneinheit 130 bereitgestellt.
  • Die Unregelmäßigkeit-Erkennungseinheit 111 sammelt Informationen über den Betriebsstatus jeder Vorrichtung im Fahrzeug und erkennt anhand der gesammelten Informationen eine im Fahrzeug auftretende Störung und eine durch einen Sicherheitsangriff verursachte Unregelmäßigkeit. Dabei können als die die Unregelmäßigkeit betreffenden Merkmale eine Änderung eines Speichers, eines Vorgangs, eines Ausgabewerts und dergleichen, die von der Norm abweichen, in Betracht gezogen werden. Der Gegenstand der Sammlung umfasst nicht nur die eigene Vorrichtung (in der ADAS-Steuervorrichtung 100), sondern auch andere Steuervorrichtungen (beispielsweise die EPS-Steuervorrichtung 200 und die Bremssteuervorrichtung 300) über das fahrzeugseitige Netzwerk 400.
  • Die Einheit zur Identifizierung der Ursache der Unregelmäßigkeit 112 identifiziert die Art der Unregelmäßigkeit, beispielsweise ob die Unregelmäßigkeit durch eine Störung oder einen Sicherheitsangriff verursacht wurde, auf der Grundlage der Informationen, die die Unregelmäßigkeit angeben und die in den von der Einheit zur Erkennung von Unregelmäßigkeiten 111 bestätigten Informationen enthalten sind.
  • Wenn die Unregelmäßigkeit-Ursachen-Identifizierungseinheit 112 identifiziert, dass die Unregelmäßigkeit durch einen Sicherheitsangriff verursacht wird, identifiziert die Unregelmäßigkeit-bezogene Orts-Identifizierungseinheit 113 funktionale Elemente i, die die Unregelmäßigkeit betreffen, aus der Ausführungsreihenfolge der Funktionselemente i, die in der Ausführungsreihenfolge-Aufzeichnungseinheit 150 aufgezeichnet sind. Beispielsweise wird in Bezug auf funktionale Elemente i, die ausgeführt werden, wenn eine Unregelmäßigkeit erkannt wird, festgestellt, dass ein Funktionselement i, zwei funktionale Elemente i, die unmittelbar vor dem funktionalen Element i ausgeführt werden, und ein Funktionselement i, das unmittelbar nach dem funktionalen Element i ausgeführt wird, einen hohen Grad an Ähnlichkeit in den Betriebsbedingungen aufweisen, und sie werden so eingestellt, dass sie als Unregelmäßigkeits-bezogene Orte identifiziert werden.
  • Zu diesem Zeitpunkt, wenn die Ausführungsreihenfolge, die in der Ausführungsreihenfolge-Aufzeichnungseinheit 150 unmittelbar vor dem Erkennen der Unregelmäßigkeit aufgezeichnet wurde, in der folgenden Reihenfolge angenommen wird: Funktionselement 1 Funktionselement 2 Funktionselement 3 (hier wird eine Unregelmäßigkeit festgestellt) Funktionselement 4, dann werden die Funktionselemente 1 bis 2, 3 und 4 als Funktionselemente i identifiziert, die die Unregelmäßigkeit betreffen. Wie oben beschrieben, wird bei der Analyse der Steuervorrichtung zum Zeitpunkt der Unregelmäßigkeitserfassung die Reihenfolge der aufgezeichneten Funktionselemente i bestätigt, es wird festgestellt, dass Funktionselemente i, die in der Reihenfolge nahe beieinander liegen, eine Ähnlichkeit in den Abläufen aufweisen, und es werden Funktionselemente i (mit der Unregelmäßigkeit zusammenhängende Plätze) identifiziert, die die Unregelmäßigkeit betreffen.
  • Die Funktionsverwendungsstatus-Bestätigungseinheit 114 sammelt Informationen über den Status jeder Steuervorrichtung im Fahrzeug, beispielsweise eine Fahrzeugoperation wie die Lenkfrequenz, oder über die Verwendungszustände der Funktionselemente i in Bezug auf die Fahrzeugsteuerung, und bestätigt die Verwendungszustände der Funktionselemente i.
  • Die Prioritätsreihenfolge-Zuweisungseinheit 115 weist dem Funktionselement i als die von der UnregelmäßigkeitsUrsachen-Identifizierungseinheit 112 identifizierte Quelle des Auftretens und den Funktionselementen i als die von der Unregelmäßigkeits-bezogenen Orts-Identifizierungseinheit 113 betroffenen Orte in Übereinstimmung mit den von der Funktionsverwendungsstatus-Bestätigungseinheit 114 bestätigten Funktionsverwendungszuständen eine Prioritätsreihenfolge als Verarbeitungsziele zu.
  • Die Funktionselement-Schalteinheit 116 schaltet die Funktionselemente i, die sich auf die Unregelmäßigkeit beziehen, die als die mit der Unregelmäßigkeit verbundenen Plätze identifiziert wurden, auf der Grundlage der Prioritätsreihenfolge, die von der Prioritätsreihenfolge-Zuweisungseinheit 115 zugewiesen wurde, auf die Ersatz-Funktionselemente iB um. Hier ist unter der Vielzahl von Funktionselementen i, die in der Funktionselemente-Halteeinheit 120 umfasst sind, das Funktionselement 1 auf das Ersatz-Funktionselement 1B zu schalten, das Funktionselement 2 auf das Ersatz-Funktionselement 2B zu schalten, das Funktionselement 3 auf das Ersatz-Funktionselement 3B zu schalten und das Funktionselement n auf das Ersatz-Funktionselement nB zu schalten.
  • Die Gegenmaßnahme-Änderungseinheit 117 ändert die Sicherheits-Gegenmaßnahmefunktion, die von der Sicherheits-Gegenmaßnahmeeinheit 130 verwaltet wird, um die Sicherheitsresistenz zu verbessern. Beispielsweise überträgt die Kommunikationsauthentifizierungsfunktion 131 einen aus Kommunikationsdaten berechneten Nachrichtenauthentifizierungscode (MAC) zusammen mit einer Kommunikationsnachricht, um ein Spoofing der Kommunikationsnachricht zu verhindern. Um die Sicherheit zu erhöhen, kann beispielsweise die Länge des MAC länger als üblich gewählt werden. In Bezug auf andere Funktionen, die in der Sicherheits-Gegenmaßnahmeneinheit 130 umfasst sind, ist die Sicherheitsresistenz zu verbessern, indem die Länge des Verschlüsselungsschlüssels einer zu verwendenden Verschlüsselung erhöht wird, die Länge eines Authentifikators erhöht wird oder ein Verschlüsselungsalgorithmus selbst geändert wird.
  • Als nächstes wird eine Reihe von Prozessen, nämlich ein Steuerverfahren, wenn eine Unregelmäßigkeit von der ADAS Steuervorrichtung 100 im Fahrzeugsteuerungssystem gemäß Ausführungsform 1 erkannt wird, unter Bezugnahme auf das Flussdiagramm von 2 beschrieben.
  • Die Unregelmäßigkeitserkennungseinheit 111 sammelt Informationen, die Betriebszustände angeben, nicht nur aus den Zuständen (Speicher, Ein-/Ausgabedaten, Änderung von Verarbeitungsinhalten) in ihrer eigenen Steuervorrichtung, sondern auch von der EPS-Steuervorrichtung 200, der Bremsensteuervorrichtung 300 und dergleichen über das fahrzeugseitige Netzwerk 400 (Schritt S100).
  • Anschließend wird festgestellt, ob in den gesammelten Informationen Informationen vorhanden sind, die eine Unregelmäßigkeit angeben (Schritt S110) oder nicht. Wenn eine Unregelmäßigkeit festgestellt wird („Ja“), wird die Verarbeitung mit Schritt S120 fortgesetzt. Wird keine Unregelmäßigkeit festgestellt („Nein“), kehrt der Prozess zu Schritt S100 zurück, und die Erfassung der Betriebsstatusinformationen über die Vorrichtungen wird fortgesetzt.
  • Wenn eine Unregelmäßigkeit erkannt wird, bestimmt die Einheit zur Identifizierung der Unregelmäßigkeitsursache 112 auf der Grundlage der gesammelten Informationen über die Unregelmäßigkeit, ob die Unregelmäßigkeit durch einen Fehler oder einen Sicherheitsangriff verursacht wird (Schritt S120). Wenn festgestellt wird, dass die Unregelmäßigkeit durch eine Störung verursacht wird („Nein“), wird beispielsweise eine allgemeine Störungsgegenmaßnahme auf der Grundlage eines ausfallsicheren Betriebs ausgeführt (Schritt S300), und die Verarbeitung endet.
  • Wenn dagegen festgestellt wird, dass die Unregelmäßigkeit durch den Sicherheitsangriff verursacht wird („Ja“), identifiziert die Einheit 113, die den Ort der Unregelmäßigkeit identifiziert, welche Funktionselemente die Unregelmäßigkeit betrifft (Orte der Unregelmäßigkeit) (Schritt S130). Insbesondere werden, wie später beschrieben wird, als eine Analyse der Steuervorrichtung basierend auf dem Funktionselement i, in dem die Unregelmäßigkeit erkannt wird, die mit der Unregelmäßigkeit verbundenen Orte unter Verwendung der Daten der Ausführungsreihenfolge der Funktionselemente i, die in der Ausführungsreihenfolge-Aufzeichnungseinheit 150 aufgezeichnet sind, identifiziert.
  • Ferner erhält die Funktionsverwendungsstatus-Bestätigungseinheit 114 Funktionsverwendungsinformationen, die dem Fahrzeugbetrieb, der Fahrzeugsteuerung, dem Fahrzeugzustand oder dem Oberflächenzustand einer Fahrstraße entsprechen, und bestätigt die Verwendungszustände der Funktionselemente i (Schritt S140). Hier werden als Betriebsverlauf die Verwendungszustände einer Funktion, die einen Lenkvorgang betrifft, einer Funktion, die einen Bremsvorgang betrifft, und einer Funktion, die sich auf gemeinsame Funktionen wie beispielsweise Kommunikation bezieht, bestätigt. Dann nimmt die Prioritätsreihenfolgezuweisungseinheit 115 eine Zuweisung der Prioritätsreihenfolge in Übereinstimmung mit den Funktionsnutzungsstatus vor, wenn Funktionselemente i, die von den die Unregelmäßigkeit betreffenden Funktionselementen i gespielt werden, durch Ersatz-Funktionselemente iB wiederhergestellt werden sollen. Innerhalb der gleichen Funktion wird die Prioritätsreihenfolge beispielsweise im Voraus zugewiesen (Schritt S150).
  • Wenn die Verarbeitungsziele und die Prioritätsreihenfolge in den Schritten S130 bis S150 bestimmt sind, stoppt die Funktionselement-Schalteinheit 116 alle Funktionselemente i, die als Verarbeitungsziele identifiziert wurden (Schritt S160).
  • Anschließend ändert die Gegenmaßnahme-Änderungseinheit 117 die von der Sicherheits-Gegenmaßnahme-Einheit 130 verwaltete Gegenmaßnahme-Funktion, um die Sicherheitsresistenz zu verbessern (Schritt S170). In der vorliegenden Ausführungsform wird beispielsweise die Kommunikationsauthentifizierungsfunktion 131 unter der Annahme geändert, dass ein Sicherheitsangriff über die Kommunikation empfangen wird. Durch die Konfiguration eines tatsächlichen Änderungsziels, das entsprechend der Art des Sicherheitsangriffs ausgewählt wird, wird erwartet, dass die Sicherheitsresistenz weiter verbessert wird. Darüber hinaus benachrichtigt die Sende-/Empfangseinheit 140 andere Steuervorrichtungen, dass die Funktion der Sicherheitsgegenmaßnahme umgeschaltet wurde. Die anderen Steuervorrichtungen werden jedoch nicht über die nur von der eigenen Steuervorrichtung durchzuführenden Sicherheitsgegenmaßnahmen informiert.
  • Dann aktiviert die Funktionselement-Schalteinheit 116 die Ersatz-Funktionselemente iB in der Reihenfolge, ausgehend von dem Ersatz-Funktionselement iB, das dem Funktionselement i mit hoher Priorität entspricht, das in Schritt S150 für die in Schritt S160 gestoppten Funktionselemente i zugewiesen wurde, und die Umschaltung der gestoppten Funktionselemente i wird durchgeführt (Schritt S180). Damit ist die Verarbeitung zum Zeitpunkt der Unregelmäßigkeit abgeschlossen.
  • In der ADAS-Steuervorrichtung 100 mit der oben beschriebenen Konfiguration und der grundlegenden Betriebsfunktion (Verarbeitungsablauf) wird ein Beispiel für einen Vorgang beschrieben, wenn eine durch einen bestimmten Sicherheitsangriff verursachte Unregelmäßigkeit auftritt. Als eine durch einen Sicherheitsangriff verursachte Unregelmäßigkeit wird angenommen, dass eine Unregelmäßigkeit, die durch eine Fälschung des Funktionselements 3 unter den Funktionselementen i, die von der Funktionselemente-Halteeinheit 120 gehalten werden, verursacht wird, aufgrund eines Sicherheitsangriffs über das fahrzeugseitige Netzwerk 400 erkannt wird, wie in 3 gezeigt.
  • In Schritt S100 sammelt die Unregelmäßigkeitserkennungseinheit 111 Informationen über den Betriebszustand der eigenen Steuervorrichtung, beispielsweise einen Speicher, Ein-/Ausgabedaten, Änderungen des Verarbeitungsinhalts und dergleichen, und die Informationen über den Betriebszustand der anderen Vorrichtungen über das fahrzeugseitige Netzwerk 400 und bestätigt den Betriebszustand jeder Vorrichtung. Dann wird bestimmt, ob die gesammelten Betriebsstatusinformationen Informationen umfassen, die das Auftreten einer Unregelmäßigkeit angeben, und somit wird das Vorhandensein oder Nichtvorhandensein einer Unregelmäßigkeit bestimmt (Schritt S110).
  • In der obigen Bedingung, wenn der oben beschriebene Sicherheitsangriff empfangen wird, da der Inhalt des Funktionselements 3 verfälscht wurde, wird die Unregelmäßigkeitsinformation, die angibt, dass der Verarbeitungsinhalt aufgrund der Verfälschung geändert wurde, gesammelt, die Unregelmäßigkeit wird erkannt („Ja“ in Schritt S110), und die Verarbeitung geht weiter zu Schritt S120. Ferner wird auf der Grundlage der Informationen über die Unregelmäßigkeit festgestellt, dass die Unregelmäßigkeit durch den Sicherheitsangriff verursacht wurde („Ja“ in Schritt S120), und die Verarbeitung wird mit Schritt S130 fortgesetzt. Es ist zu beachten, dass die Bestimmung der Fälschung auch durch den Vergleich mit dem Inhalt des Ersatz-Funktionselements 3B erfolgen kann, aber nicht darauf beschränkt ist.
  • In Bezug auf das Funktionselement 3, das als abnormal identifiziert wurde, identifiziert die Einheit 113 zur Identifizierung des mit der Unregelmäßigkeit verbundenen Platzes die Funktionselemente i (mit der Unregelmäßigkeit verbundene Plätze), die die Unregelmäßigkeit betreffen (Schritt S130). Hier werden die in der Ausführungsreihenfolge-Aufzeichnungseinheit 150 aufgezeichneten Daten für eine Analyse der ADAS-Steuervorrichtung 100 verwendet, und die Funktionselemente, die vor und nach dem als viertes ausgeführten funktionalen Element 3 ausgeführt werden und in der Ausführungsreihenfolge-Aufzeichnungseinheit 150 aufgezeichnet sind, werden bestätigt. Wenn dabei die unmittelbar vorangehenden drei und die unmittelbar folgenden zu identifizierenden Ziele sind, sind das unmittelbar vorangehende Funktionselement 1, das Funktionselement 6, das Funktionselement 4 und das unmittelbar folgende Funktionselement 1, die als Ausführungsreihenfolge aufgezeichnet sind, anwendbar, und diese werden als die Funktionselemente i identifiziert, die die Unregelmäßigkeit betreffen. Zu diesem Zeitpunkt kann der Bereich bis zu dem vorhergehenden und dem folgenden im Voraus bestimmt werden, aber der Bereich kann bis zu dem Punkt festgelegt werden, an dem eine bestimmte Bedingung erfüllt ist, beispielsweise ein Punkt, der bis zur Eingabe von Daten verfolgt wird, die wahrscheinlich ein Eingang für einen Sicherheitsangriff sind.
  • Andererseits sammelt die Einheit 114, die den Status der Funktionsnutzung bestätigt, Informationen über die Nutzungszustände der Funktionen, die dem Fahrzeugbetrieb, der Fahrzeugsteuerung, dem Fahrzeugzustand oder dem Oberflächenzustand einer fahrenden Straße entsprechen (Schritt S140). Wenn festgestellt wird, dass die Betriebshäufigkeit der Funktion (Funktionselement 6 und Funktionselement 7), die sich auf den Lenkbetrieb bezieht, unter den Funktionselementen i höher ist als die der anderen Funktionen (in diesem Fall gemeinsame Funktionen), weist die Prioritätsreihenfolgezuweisungseinheit 115 dem Funktionselement 6 eine höhere Priorität zu als die des Funktionselements 1, des Funktionselements 3 und des Funktionselements 4. Da es sich bei Funktionselement 1, Funktionselement 3 und Funktionselement 4 um die gemeinsamen Funktionen handelt, wird eine vorgegebene Prioritätsreihenfolge wie folgt zugewiesen: Funktionselement 1 Funktionselement 3 Funktionselement 4 (Schritt S150).
  • Als nächstes hält die Funktionselement-Schalteinheit 116 das Funktionselement 1, das Funktionselement 3, das Funktionselement 4 und das Funktionselement 6 an, die als die Unregelmäßigkeiten betreffende Stellen identifiziert wurden (Schritt S160). Was die anderen Funktionselemente i betrifft, wird die Verarbeitung wie zuvor fortgesetzt.
  • Anschließend ändert die Gegenmaßnahme-Änderungseinheit 117 die von der Sicherheits-Gegenmaßnahme-Einheit 130 verwaltete Gegenmaßnahme-Funktion, um den Widerstand gegen den Sicherheitsangriff zu erhöhen (Schritt S170). In diesem Fall, da der Sicherheitsangriff über die Kommunikation erfolgt, wird die Sicherheitsresistenz verbessert, indem die MAC-Länge der Kommunikationsauthentifizierungsfunktion 131 als Sicherheitsgegenmaßnahme für die Kommunikation erhöht wird. Ferner wird die Umschaltung der Sicherheitsgegenmaßnahmenfunktion jeder Vorrichtung im Fahrzeug, beispielsweise der EPS-Steuervorrichtung 200 und der Bremssteuervorrichtung 300, über die Sende-/Empfangseinheit 140 mitgeteilt.
  • Die Funktionselement-Schalteinheit 116 aktiviert die Ersatz-Funktionselemente iB, die den angehaltenen Funktionselementen i entsprechen, auf der Grundlage der in Schritt S150 (Schritt S180) zugewiesenen Prioritätsreihenfolge. In diesem Fall, da die Priorität des Funktionselements 6, das sich auf die Lenkung bezieht, hoch ist, wird der Aktivierungsprozess des Ersatz-Funktionselements 6B des Funktionselements 6 bevorzugt durchgeführt, und dann werden das Ersatz-Funktionselement 1B, das Ersatz-Funktionselement 3B und das Ersatz-Funktionselement 4B für das Funktionselement 1, das Funktionselement 3 und das Funktionselement 4 als gemeinsame Funktionen aktiviert.
  • Wie oben beschrieben, sind in der Steuervorrichtung (ADAS-Steuervorrichtung 100) oder dem Steuerverfahren gemäß Ausführungsform 1 selbst dann, wenn die Beziehung zwischen einem Angriffsziel und einem Funktionselement, das das Angriffsziel betrifft, aufgrund eines unbekannten Sicherheitsangriffs unbekannt ist, die mit der Unregelmäßigkeit zusammenhängenden Stellen anhand der Ausführungsreihenfolge der Funktionselemente i zu identifizieren. Das heißt, wenn eine Unregelmäßigkeit in Funktionselement 3 auftritt und selbst wenn es keine vorherigen Analysedaten darüber gibt, welche Funktionselemente die mit der Unregelmäßigkeit verbundenen Orte sein sollen, wird gemäß dem in 2 dargestellten Verarbeitungsablauf festgestellt, dass die Ausführungsreihenfolge von Funktionselement 1, Funktionselement 4 und Funktionselement 6 nahe beieinander liegt und die Operationen ähnlich sind, und sie werden als die mit der Unregelmäßigkeit verbundenen Orte identifiziert. Durch Umschalten auf das Ersatz-Funktionselement 1B, das Ersatz-Funktionselement 3B, das Ersatz-Funktionselement 4B und das Ersatz-Funktionselement 6B, deren Funktionen denen der identifizierten, mit der Unregelmäßigkeit zusammenhängenden Stellen entsprechen, kann dann die Fahrzeugsteuerung fortgesetzt werden, die derjenigen vor dem Angriff entspricht.
  • Bei dem Sicherheitsangriff auf die laufende Steuerung eines Fahrzeugs ist die „Änderung der Verarbeitungsmethode“ der grundlegende Angriffsinhalt. Daher können durch die Identifizierung der mit der Unregelmäßigkeit zusammenhängenden Stellen auf der Grundlage der Verarbeitungsreihenfolge selbst dann, wenn es sich bei dem Sicherheitsangriff um einen unbekannten Angriff handelt und eine durch den Angriff zu erzeugende Unregelmäßigkeit und die mit der Unregelmäßigkeit zusammenhängenden Funktionselemente nicht im Voraus identifiziert werden können, die mit der Unregelmäßigkeit zusammenhängenden Funktionen genau identifiziert werden.
  • Da der Aktivierungs- (Schalt-) Prozess von dem Funktionselement mit hoher Priorität (Ersatz-Funktionselement 6B) auf der Grundlage der Priorität unter Berücksichtigung der Nutzungszustände der Funktionselemente i im Fahrzeug durchgeführt wird, gibt es keine unharmonische Bewertung der Vorgänge vor und nach dem Angriff. Ferner kann selbst dann, wenn derselbe Angriff wie der des Funktionselements i in das aktivierte Ersatz-Funktionselement iB eingepflanzt wird, der Angriff vermieden werden, weil die Sicherheitsresistenz durch Ändern der MAC-Länge der Kommunikations-Authentifizierungsfunktion 131 der Sicherheits-Gegenmaßnahmeneinheit 130 verbessert wird.
  • Da die Änderung der Sicherheits-Gegenmaßnahme auch den betreffenden Steuervorrichtungen mitgeteilt wird, kann außerdem der Einfluss der Änderung der Sicherheits-Gegenmaßnahme auf das Fahrzeug unterdrückt werden. Es ist zu beachten, dass in Ausführungsform 1 die Kommunikationsauthentifizierungsfunktion 131, die Vorrichtungsauthentifizierungsfunktion 132 und die Verschlüsselungsfunktion 133 als die Sicherheitsgegenmaßnahmeneinheit 130 beschrieben werden, aber dies ist keine Einschränkung.
  • Darüber hinaus kann in der Steuervorrichtung 110 für die Reaktion auf eine Unregelmäßigkeit eine Einheit zum Umschreiben von Funktionselementen bereitgestellt werden, um das angehaltene Funktionselement i als neues Ersatz-Funktionselement IBa zu konstruieren, indem der Inhalt des Ersatz-Funktionselements iB auf dem Funktionselement i, das aufgrund des Auftretens einer Unregelmäßigkeit angehalten wurde, überschrieben wird. Auf diese Weise kann die Widerstandsfähigkeit gegen einen Sicherheitsangriff nach dem Umschalten der Funktionen durch Bereitstellen von Backups für die Funktionselemente weiter verbessert werden.
  • Ausführungsform 2
  • In der Steuervorrichtung des Fahrzeugsystems gemäß Ausführungsform 1 wurde ein Beispiel beschrieben, bei dem Funktionselemente, die als die Unregelmäßigkeiten betreffende Stellen identifiziert wurden, bei einem Angriff angehalten werden. In einer Steuervorrichtung des Fahrzeugsystems gemäß Ausführungsform 2 wird ein Beispiel beschrieben, bei dem nicht nur die Funktionselemente, die als die mit der Unregelmäßigkeit zusammenhängenden Orte identifiziert werden, angehalten werden, sondern die Funktionselemente auch isoliert gehalten werden, so dass sie für die Analyse des Sicherheitsangriffs verwendet werden können.
  • 4 bis 7 sind Diagramme zur Erläuterung einer Konfiguration und eines Betriebs der Steuervorrichtung gemäß Ausführungsform 2, 4 ist ein Blockdiagramm der Steuervorrichtung, in der eine Verbindung mit anderen Steuervorrichtungen über einen Kommunikationspfad in der Konfiguration der Steuervorrichtung umfasst ist, und 5 umfasst Blockdiagramme zur Erläuterung eines isolierten Bereichs und zeigt einen Eingangs-/Ausgangszustand in Bezug auf ein bestimmtes Funktionselement in einem normalen Zustand (5A) und einen Eingangs-/Ausgangszustand in Bezug auf ein Funktionselement, das in den isolierten Bereich bewegt wurde (5B). 6 ist ein Flussdiagramm zur Erläuterung von Gegenmaßnahmen, nämlich ein Kontrollverfahren, wenn ein Sicherheitsangriff empfangen wird, und 7 ist ein Blockdiagramm, das 4 entspricht, zur Darstellung eines Funktionselements, in dem eine Unregelmäßigkeit aufgetreten ist, zur Identifizierung von mit der Unregelmäßigkeit zusammenhängenden Orten unter einer Vielzahl von Funktionselementen, die in der Funktionselemente-Halteeinheit der Vorrichtung gehalten werden, und zur Darstellung des aufgezeichneten Inhalts der Zugriffsaufzeichnungseinheit. Es ist zu beachten, dass in Ausführungsform 2 Komponenten, die mit denen in Ausführungsform 1 identisch sind oder diesen entsprechen, mit denselben Bezugszeichen bezeichnet sind, und dass deren wiederholte Beschreibungen weggelassen sind.
  • In dem Fahrzeugsteuerungssystem gemäß Ausführungsform 2 sind, wie in Ausführungsform 1, die ADAS-Steuervorrichtung 100, die EPS-Steuervorrichtung 200 und die Bremssteuervorrichtung 300 über das fahrzeugseitige Netzwerk 400 miteinander verbunden. Wie in 4 gezeigt, besteht der Unterschied in Ausführungsform 2 darin, dass die ADAS-Steuervorrichtung 100 zusätzlich zu der in 1 beschriebenen Konfiguration eine Isolationsverarbeitungseinheit 118 und einen isolierten Bereich 160 umfasst und eine Zugriffsaufzeichnungseinheit 170 anstelle der Ausführungsreihenfolge-Aufzeichnungseinheit 150 umfasst. Da beispielsweise die Konfiguration mit Ausnahme der Konfiguration, die sich auf Operationen der Isolationsverarbeitungseinheit 118 wie der Funktionselement-Schalteinheit 116 bezieht, und der Konfiguration, die sich auf die Bestimmung einer Ähnlichkeit zur Identifizierung der mit Unregelmäßigkeiten verbundenen Orte bezieht, im Wesentlichen dieselbe ist wie die in Ausführungsform 1, wird die Beschreibung derselben hier weggelassen.
  • Zunächst wird im Hinblick auf die Konfiguration und die Funktionen, die der ADAS-Steuervorrichtung 100 gemäß Ausführungsform 1 hinzugefügt wurden, die Verarbeitung der Funktionselemente i, die als die mit der Unregelmäßigkeit zusammenhängenden Orte identifiziert wurden, und der mit der Unregelmäßigkeit zusammenhängenden Orte kurz in dieser Reihenfolge beschrieben. Die Isolationsverarbeitungseinheit 118 verschiebt die Funktionselemente i, die als die Unregelmäßigkeiten betreffenden Orte identifiziert wurden, wenn ein Angriff empfangen wird, in den isolierten Bereich 160, um andere Funktionselemente i nicht zu beeinflussen, wobei die Funktionselemente i aktiviert bleiben. Hier soll der isolierte Bereich 160 als ein Speicherbereich vorbereitet werden, in dem ein Zugriff auf andere Funktionselemente i oder Speicherbereiche eingeschränkt ist.
  • Das heißt, wie in 5A gezeigt, wenn das Funktionselement i vor dem Empfang eines Angriffs in einem normalen Bereich betrieben wird, wird die Verarbeitung des Funktionselements i an der Eingabe durchgeführt und die Ausgabe wird an ein anderes Funktionselement i oder an eine Steuervorrichtung übertragen. Wie jedoch in 5B gezeigt, wird, wenn das Funktionselement i in den isolierten Bereich 160 bewegt wird, derselbe Eingabewert wie der des normalen Bereichs gegeben, aber die Ausgabe wird abgeschnitten, um andere Funktionselemente i oder andere Steuervorrichtungen nicht zu beeinflussen.
  • Andererseits kann durch die Verbindung des abgeschalteten Ausgangs mit beispielsweise einer diagnostischen Vorrichtung der Betrieb des Funktionselements i, das die Unregelmäßigkeit verursacht, in einer Form beobachtet werden, die dem normalen Betrieb nahe kommt, und sie kann für eine detaillierte Analyse der Unregelmäßigkeit bei einem Sicherheitsangriff oder für die Klärung der Personenabsicht einer Person, die den Sicherheitsangriff durchgeführt hat, nützlich sein. Hier gibt es als Methode der Bewegung in den isolierten Bereich 160 eine Methode des Kopierens des Funktionselements in den isolierten Bereich 160, dem virtuell die gleiche Speicheradresse gegeben wird, und des Löschens des ursprünglichen Funktionselements i, usw., aber die Methode ist nicht auf dies beschränkt.
  • Wenn die Ursache der Unregelmäßigkeit als Sicherheitsangriff bestimmt wird, identifiziert die Einheit 113 zur Identifizierung des Ortes, der mit der Unregelmäßigkeit zusammenhängt, in Ausführungsform 2 die Funktionselemente i, die die Unregelmäßigkeit betreffen, aus einer Zugriffshistorie auf den Speicherbereich durch die Funktionselemente i, die in der Zugriffsaufzeichnungseinheit 170 aufgezeichnet sind. Hier wird die Ähnlichkeit aus der Nähe des Zugriffsziels (Adresse des Speicherbereichs) bestimmt, das in der Zugriffsaufzeichnungseinheit 170 aufgezeichnet wurde, als die Unregelmäßigkeit erkannt wurde, und es werden funktionale Elemente i identifiziert, die die Unregelmäßigkeit betreffen. Wie oben beschrieben, werden als Analyse der Steuervorrichtung zum Zeitpunkt der Erkennung einer Unregelmäßigkeit die aufgezeichneten Zugriffsziele auf den Speicherbereich durch Funktionselemente i bestätigt und die Funktionselemente i, die die Unregelmäßigkeit betreffen (Unregelmäßigkeit-bezogene Orte), identifiziert.
  • Die Ausführungsreihenfolge-Aufzeichnungseinheit 170 zeichnet den Zugriff auf den Speicherbereich auf, wenn das Funktionselement i betrieben wird, und zwar als eine Betriebshistorie zum Bestimmen der Ähnlichkeit in dem Funktionselement i. Ähnlich wie bei der in Ausführungsform 1 beschriebenen Ausführungsreihenfolge-Aufzeichnungseinheit 150 wird beispielsweise eine bestimmte Menge eines Speicherbereichs für die Zugriffsaufzeichnung separat gesichert, und durch sequentielles Überschreiben des ältesten in der Reihenfolge können die jüngsten Inhalte des Zugriffs auf den Speicherbereich aufgezeichnet werden.
  • Auf der Grundlage der oben beschriebenen Konfiguration wird eine Reihe von Prozessen, nämlich das Steuerverfahren, wenn eine Unregelmäßigkeit in der ADAS Steuervorrichtung 100 des Fahrzeugsteuerungssystems gemäß Ausführungsform 2 erkannt wird, unter Bezugnahme auf das Flussdiagramm von 6 beschrieben. Es ist zu beachten, dass in 6 die Vorgänge die gleichen sind wie die in Ausführungsform 1 beschriebenen, außer dass Schritt S130 in Schritt S135 und Schritt S160 in Schritt S165 in 2 von Ausführungsform 1 geändert wird.
  • Die Unregelmäßigkeitserkennungseinheit 111 sammelt Informationen, die die Betriebszustände nicht nur aus den Zuständen (Speicher, Ein-/Ausgabedaten, Änderung der Verarbeitungsinhalte) in ihrer eigenen Steuervorrichtung, sondern auch von der EPS-Steuervorrichtung 200, der Bremsensteuervorrichtung 300 und dergleichen über das fahrzeugseitige Netzwerk 400 angeben (Schritt S100).
  • Anschließend wird festgestellt, ob in den gesammelten Informationen Informationen vorhanden sind, die eine Unregelmäßigkeit angeben (Schritt S110) oder nicht. Wird eine Unregelmäßigkeit festgestellt („Ja“), wird die Verarbeitung mit Schritt S120 fortgesetzt, um die Art der Unregelmäßigkeit zu bestimmen. Wird keine Unregelmäßigkeit festgestellt („Nein“), kehrt der Prozess zu Schritt S100 zurück, und die Erfassung der Betriebsstatusinformationen wird fortgesetzt.
  • Wenn eine Unregelmäßigkeit erkannt wird, bestimmt die Einheit zur Identifizierung der Unregelmäßigkeitsursache 112 auf der Grundlage der gesammelten Informationen über die Unregelmäßigkeit, ob die Unregelmäßigkeit durch einen Fehler oder einen Sicherheitsangriff verursacht wird (Schritt S120). Wenn die Unregelmäßigkeit durch den Fehler verursacht wird („Nein“), wird beispielsweise eine allgemeine Fehler-Gegenmaßnahme auf der Grundlage eines ausfallsicheren Betriebs ausgeführt (Schritt S300), und die Verarbeitung endet.
  • Wenn dagegen festgestellt wird, dass die Unregelmäßigkeit durch den Sicherheitsangriff verursacht wird („Ja“), identifiziert die Einheit 113, die den Ort der Unregelmäßigkeit identifiziert, welche Funktionselemente die Unregelmäßigkeit betrifft (Orte der Unregelmäßigkeit) (Schritt S135). In Ausführungsform 2 wird, wie später beschrieben wird, als eine Analyse der Steuervorrichtung auf der Grundlage des Funktionselements i, in dem die Unregelmäßigkeit erkannt wird, unter Verwendung der Zugriffsaufzeichnung auf den Speicherbereich durch Funktionselemente i, die in der Zugriffsaufzeichnungseinheit 170 aufgezeichnet sind, bestimmt, ob die Ähnlichkeit besteht oder nicht, um die mit der Unregelmäßigkeit verbundenen Orte zu identifizieren.
  • Ferner erhält die Funktionsverwendungsstatusbestätigungseinheit 114 Funktionsverwendungsinformationen, die dem Fahrzeugbetrieb, der Fahrzeugsteuerung, dem Fahrzeugzustand oder dem Oberflächenzustand einer Fahrstraße entsprechen, und bestätigt die Verwendungszustände der Funktionselemente i (Schritt S140). Hier werden als ein Betriebsverlauf die Verwendungszustände der Funktionselemente i bestätigt, die eine Funktion betreffen, die sich auf einen Lenkvorgang bezieht, eine Funktion, die sich auf einen Bremsvorgang bezieht, und eine Funktion, die sich auf gemeinsame Funktionen wie beispielsweise Kommunikation bezieht. Dann nimmt die Prioritätsreihenfolgezuweisungseinheit 115 eine Zuweisung einer Prioritätsreihenfolge in Übereinstimmung mit den Verwendungsstatus der Funktionselemente i vor, wenn die von den Funktionselementen i ausgeführten Funktionen, die die Unregelmäßigkeit betreffen, durch die Ersatz-Funktionselemente iB wiederhergestellt werden sollen. Innerhalb derselben Funktion wird die Prioritätsreihenfolge beispielsweise im Voraus zugewiesen (Schritt S150).
  • Wenn die Verarbeitungsziele und die Prioritätsreihenfolge in Schritt S135 bis Schritt S150 bestimmt sind, veranlasst die Funktionselement-Schalteinheit 116 die Isolationsverarbeitungseinheit 118, die Funktionselemente i der Verarbeitungsziele in den isolierten Bereich 160 zu verschieben, wobei die Funktionselemente i der Verarbeitungsziele aktiviert bleiben (Schritt S165), anstatt die Funktionselemente i der Verarbeitungsziele, wie in Ausführungsform 1 beschrieben, anzuhalten. Die Ausgabe der in den isolierten Bereich 160 verschobenen Funktionselemente i an eine Vorrichtung innerhalb oder außerhalb des Fahrzeugs wird abgeschaltet, und die Steuerfunktionen der Funktionselemente i der Verarbeitungsziele werden im Wesentlichen angehalten.
  • Anschließend ändert die Gegenmaßnahme-Änderungseinheit 117 die von der Sicherheits-Gegenmaßnahme-Einheit 130 verwaltete Gegenmaßnahme-Funktion, um die Sicherheitsresistenz zu verbessern (Schritt S170). Auch in Ausführungsform 2 wird ein Beispiel gezeigt, in dem die Kommunikationsauthentifizierungsfunktion 131 unter der Annahme geändert wird, dass ein Sicherheitsangriff durch Kommunikation empfangen wurde. Dann wird erwartet, dass durch die Konfiguration eines tatsächlichen Änderungsziels, das entsprechend der Art des Sicherheitsangriffs ausgewählt wird, die Sicherheitsresistenz weiter verbessert wird. Darüber hinaus benachrichtigt die Sende-/Empfangseinheit 140 andere Steuervorrichtungen, dass die Funktion der Sicherheitsgegenmaßnahme umgeschaltet worden ist. Die anderen Steuervorrichtungen werden jedoch nicht darüber informiert, dass die Sicherheitsgegenmaßnahme nur von der eigenen Steuervorrichtung durchgeführt wird.
  • Dann aktiviert die Funktionselement-Schalteinheit 116 die Ersatz-Funktionselemente iB in der Reihenfolge von dem Ersatz-Funktionselement iB, das dem Funktionselement i mit hoher Priorität entspricht, das in Schritt S150 für die in Schritt S165 isolierten Funktionselemente i zugewiesen wurde, und das Schalten von den gestoppten Funktionselementen i wird durchgeführt (Schritt S180). Damit ist die Verarbeitung zum Zeitpunkt der Unregelmäßigkeit abgeschlossen.
  • In der ADAS-Steuervorrichtung 100 mit der oben beschriebenen Konfiguration und dem Grundbetrieb (Verarbeitungsablauf) wird ein Beispiel für einen Betrieb beschrieben, wenn eine durch einen bestimmten Sicherheitsangriff verursachte Unregelmäßigkeit auftritt. Als eine durch einen Sicherheitsangriff verursachte Unregelmäßigkeit wird, wie in Ausführungsform 1, angenommen, dass eine Unregelmäßigkeit, die durch eine Fälschung des Funktionselements 9 unter den Funktionselementen i, die von der Funktionselemente-Halteeinheit 120 gehalten werden, aufgrund eines Sicherheitsangriffs über das fahrzeugseitige Netzwerk 400 verursacht wird, wie in 7 gezeigt, erfasst wird.
  • In Schritt S100 sammelt die Unregelmäßigkeitserkennungseinheit 111 die Informationen über den Betriebszustand in ihrer eigenen Steuervorrichtung, beispielsweise einen Speicher, Ein-/Ausgabedaten, Änderungen der Verarbeitungsinhalte und dergleichen, und die Informationen über den Betriebszustand der anderen Vorrichtungen über das fahrzeugseitige Netzwerk 400 und bestätigt den Betriebszustand jeder Vorrichtung.
  • In der obigen Bedingung, wenn der oben beschriebene Sicherheitsangriff empfangen wird, da der Inhalt des Funktionselements 9 verfälscht wurde, werden Unregelmäßigkeitsinformationen, die angeben, dass der Verarbeitungsinhalt aufgrund der Verfälschung geändert wurde, gesammelt, die Unregelmäßigkeit wird erkannt („Ja“ in Schritt S110), und die Verarbeitung geht weiter zu Schritt S120. Ferner wird auf der Grundlage der Informationen über die Unregelmäßigkeit festgestellt, dass die Unregelmäßigkeit durch den Sicherheitsangriff verursacht wurde („Ja“ in Schritt S120), und die Verarbeitung wird mit Schritt S130 fortgesetzt. Es ist zu beachten, dass, wie in Ausführungsform 1, die Bestimmung der Fälschung auch durch den Vergleich mit dem Inhalt des Ersatz-Funktionselements 9B erfolgen kann, aber nicht darauf beschränkt ist.
  • In Bezug auf das als abnormal identifizierte Funktionselement 9 identifiziert die Einheit 113 zur Identifizierung des mit der Unregelmäßigkeit zusammenhängenden Platzes die Funktionselemente i (mit der Unregelmäßigkeit zusammenhängende Plätze), die die Unregelmäßigkeit betreffen (Schritt S135). Hier werden die in der Zugriffsaufzeichnungseinheit 170 aufgezeichneten Daten für die Analyse der ADAS Steuervorrichtung 100 verwendet, und der Bereich, auf den das Funktionselement 9 zugreift (hier die zweite Adresse 000010500 in den aufgezeichneten Daten), und die Funktionselemente i, die auf Bereiche in der Nähe des Bereichs zugreifen, werden überprüft.
  • Hier, wenn der nächstgelegene Bereich (Adresse) als ein Bereich als ein spezifisches Ziel festgelegt ist, da die k-te Adresse 000010400 in den aufgezeichneten Daten der nächstgelegene Bereich ist, sind Funktionselement 11 und Funktionselement 3 in diesem Bereich anwendbar, und Funktionselement 3 in der gleichen Adresse wie Funktionselement 9, das als abnormal identifiziert wurde, wird als die Unregelmäßigkeit betreffende Stelle identifiziert. Es ist zu beachten, dass der Bereich, der die Nähe abdeckt, in der die Bestimmung über das Vorhandensein der Ähnlichkeit erfolgt, im Voraus festgelegt werden kann, aber nicht auf den Bereich beschränkt ist.
  • Andererseits sammelt die Einheit 114, die den Status der Funktionsverwendung bestätigt, Informationen über die Verwendungszustände der Funktionen, die dem Fahrzeugbetrieb, der Fahrzeugsteuerung, dem Fahrzeugzustand oder dem Oberflächenzustand einer fahrenden Straße entsprechen (Schritt S140). Wenn dann festgestellt wird, dass die Betriebshäufigkeit der Funktion, die sich auf den Bremsbetrieb bezieht (Funktionselement 9), höher ist als die der Funktion, die sich auf den Lenkbetrieb bezieht (Funktionselement 11), unter den Funktionselementen i, weist die Prioritätsreihenfolgezuweisungseinheit 115 dem Funktionselement 9 eine höhere Priorität zu als dem Funktionselement 11. Es ist zu beachten, dass die Steuerfunktion des Funktionselements 3 nicht direkt die Fahrzeugsteuerung betrifft, d. h. die „Speicherung im Speicherbereich“, und dass sie entweder die niedrigste Priorität hat oder von dem spezifischen Ziel der Unregelmäßigkeit bezogenen Stelle ausgeschlossen werden soll, und hier soll sie von dem spezifischen Ziel ausgeschlossen werden.
  • Als nächstes verschiebt und isoliert die Isolationsverarbeitungseinheit 118 anstelle der Stopp-Verarbeitung durch die Funktionselement-Schalteinheit 116 das Funktionselement 9, das als die Quelle des Auftretens der Unregelmäßigkeit identifiziert wurde, und das Funktionselement 11, das als der die Unregelmäßigkeit betreffende Ort identifiziert wurde, in den isolierten Bereich 160 (Schritt S165). Andererseits wird in Bezug auf die anderen Funktionselemente i die Verarbeitung wie in Ausführungsform 1 wie zuvor fortgesetzt.
  • Wie in Ausführungsform 1 ändert die Gegenmaßnahme-Änderungseinheit 117 die von der Sicherheits-Gegenmaßnahme-Einheit 130 verwaltete Gegenmaßnahme-Funktion, um den Widerstand gegen den Sicherheitsangriff zu erhöhen (Schritt S170) .
    Auch in diesem Fall, da der Sicherheitsangriff über die Kommunikation erfolgt, wird die Sicherheitsresistenz verbessert, indem die MAC-Länge der Kommunikationsauthentifizierungsfunktion 131 als Sicherheitsgegenmaßnahme für die Kommunikation erhöht wird. Ferner wird die Umschaltung der Sicherheitsgegenmaßnahmenfunktion jeder Vorrichtung im Fahrzeug, beispielsweise der EPS-Steuervorrichtung 200 und der Bremssteuervorrichtung 300, über die Sende-/Empfangseinheit 140 mitgeteilt.
  • Die Funktionselement-Schalteinheit 116 aktiviert die Ersatz-Funktionselemente iB, die den angehaltenen Funktionselementen i entsprechen, auf der Grundlage der in Schritt S150 (Schritt S180) zugewiesenen Prioritätsreihenfolge. In diesem Fall, da die Prioritätsreihenfolge des Funktionselements 9, das die Funktion, die den Bremsbetrieb betrifft, implementiert, hoch ist, wird der Aktivierungsprozess des Ersatz-Funktionselements 9B des Funktionselements 9 bevorzugt durchgeführt, und dann wird das Ersatz-Funktionselement 11B des Funktionselements 11, das die Funktion, die den Lenkbetrieb betrifft, implementiert, aktiviert.
  • Wie oben beschrieben, wird in Ausführungsform 2, selbst wenn die Beziehung zwischen einem Angriffsziel und einem Funktionselement, das sich auf das Angriffsziel bezieht, aufgrund eines unbekannten Sicherheitsangriffs unbekannt ist, der Ort, der sich auf die Unregelmäßigkeit bezieht, anhand der Nähe des Zugriffsziels identifiziert, wenn das Funktionselement i arbeitet. Daher kann, selbst wenn eine Unregelmäßigkeit im Funktionselement 9 auftritt und das Funktionselement 11 von der Unregelmäßigkeit betroffen ist, die Fahrzeugsteuerung äquivalent zu derjenigen vor dem Angriff fortgesetzt werden, indem auf das Ersatz-Funktionselement 9B und das Ersatz-Funktionselement 11B umgeschaltet wird, die äquivalente Funktionen gemäß dem in 6 dargestellten Verarbeitungsablauf haben.
  • Zu diesem Zeitpunkt, da der Aktivierungs- (Schalt-) Prozess von dem Funktionselement zuerst mit hoher Priorität (Backup-Funktionselement 9B) auf der Basis der Priorität unter Berücksichtigung der Nutzungszustände der Funktionselemente i im Fahrzeug durchgeführt wird, gibt es kein unharmonisches Gefühl über den Betrieb vor und nach dem Angriff. Ferner kann selbst dann, wenn der gleiche Angriff wie der des Funktionselements i in das aktivierte Backup-Funktionselement iB eingepflanzt wird, der Angriff vermieden werden, da die Sicherheitsresistenz durch Ändern der MAC-Länge der Kommunikationsauthentifizierungsfunktion 131 der Sicherheitsgegenmaßnahmeneinheit 130 verbessert wird.
  • Insbesondere werden gemäß der Steuervorrichtung (ADAS-Steuervorrichtung 100) in Ausführungsform 2, wenn eine durch einen Sicherheitsangriff verursachte Unregelmäßigkeit auftritt, die als Verarbeitungsziele identifizierten Funktionselemente i isoliert, wobei ihre Funktionen aktiviert bleiben, und die Steuerung wird auf Ersatz-Funktionselemente umgeschaltet, um die gleiche Steuerung fortzusetzen. Daher kann es für eine detaillierte Analyse der Unregelmäßigkeit des Sicherheitsangriffs oder zur Klärung der Personenabsicht einer Person, die den Sicherheitsangriff durchgeführt hat, nützlich sein. Sie führt auch zu einer Beweissicherung (State-Preservation) für den erhaltenen Sicherheitsangriff.
  • Da die Änderung der Sicherheitsgegenmaßnahme auch den betreffenden Steuervorrichtungen mitgeteilt wird, kann zudem der Einfluss der Änderung der Sicherheitsmaßnahme auf das Fahrzeug unterdrückt werden. Es ist zu beachten, dass auch in Ausführungsform 2 die Kommunikationsauthentifizierungsfunktion 131, die Vorrichtungsauthentifizierungsfunktion 132 und die Verschlüsselungsfunktion 133 als die Sicherheitsgegenmaßnahmeneinheit 130 beschrieben werden, aber dies ist keine Einschränkung. Beispielsweise kann die Widerstandsfähigkeit gegen einen Sicherheitsangriff verbessert werden, wenn ein Sicherheitsangriff, der in einem Fahrzeug auftreten kann, im Voraus analysiert wird und eine Sicherheits-Gegenmaßnahmeneinheit für den Umgang mit dem Sicherheitsangriff und ein Verfahren zur Verstärkung der Sicherheit vorbereitet wird. Darüber hinaus kann durch die Speicherung einer Sicherheitsgegenmaßnahme und von Ersatz-Funktionselementen in einem Speicherbereich mit einem stärkeren Schutz gegen einen Zugriff von außen die Widerstandsfähigkeit gegen einen Sicherheitsangriff verbessert werden.
  • Darüber hinaus kann auch in Ausführungsform 2 eine Einheit zum Umschreiben von Funktionselementen bereitgestellt werden, in der der Inhalt der Ersatz-Funktionselemente iB vor dem Empfang des Angriffs auf die aufgrund des Auftretens der Unregelmäßigkeit angehaltenen Funktionselemente i überschrieben wird, wodurch die angehaltenen Funktionselemente i als neue Ersatz-Funktionselemente 1B+ konstruiert werden. Auf diese Weise kann die Sicherheitsresistenz gegen den Sicherheitsangriff nach dem Umschalten der Funktionen weiter verbessert werden, indem die Sicherung der Funktionselemente i gegen den Sicherheitsangriff bereitgestellt wird.
  • Es ist zu beachten, dass in der Steuervorrichtung (ADAS-Steuervorrichtung 100) gemäß jeder oben beschriebenen Ausführungsform ein Teil zur Durchführung der arithmetischen Verarbeitung, insbesondere jedes Funktionselement i, durch ein Stück Hardware 10 einschließlich eines Prozessors 11 und einer Speichervorrichtung 12, wie in 8 gezeigt, konfiguriert sein kann. Obwohl nicht dargestellt, umfasst die Speichervorrichtung 12 eine flüchtige Speichervorrichtung, beispielsweise einen Direktzugriffsspeicher, und eine nichtflüchtige Hilfsspeichervorrichtung, beispielsweise einen Flash-Speicher. Darüber hinaus kann anstelle des Flash-Speichers auch eine zusätzliche Vorrichtung in Form einer Festplatte bereitgestellt werden. Der Prozessor 11 führt ein von der Vorrichtung 12 eingegebenes Programm aus. In diesem Fall wird das Programm von der zusätzlichen Speichervorrichtung über die flüchtige Speichervorrichtung in den Prozessor 11 eingegeben. Ferner kann der Prozessor 11 Daten wie beispielsweise das Berechnungsergebnis an die flüchtige Speichervorrichtung der Speichervorrichtung 12 ausgeben oder die Daten über die flüchtige Speichervorrichtung in der Hilfsspeichereinrichtung speichern.
  • Es ist zu beachten, dass, obwohl in der vorliegenden Anmeldung beispielhafte Ausführungsformen beschrieben werden, verschiedene Merkmale, Aspekte und Funktionen, die in den Ausführungsformen beschrieben werden, nicht mit einer bestimmten Ausführungsform verbunden sind und allein oder in ihren verschiedenen Kombinationen auf jede Ausführungsform anwendbar sein können. Dementsprechend sind im Rahmen des hier offengelegten Standes der Technik zahllose Varianten denkbar, die nicht dargestellt sind. Beispielsweise ist der Fall umfasst, dass mindestens eine Komponente geändert, hinzugefügt oder weggelassen wird.
  • Insbesondere kann die in Ausführungsform 2 offenbarte Identifizierung der verwandten Funktionselemente auf der Grundlage der Nähe (Ähnlichkeit) des Zugriffsziels und der Isolationsverarbeitung zu dem isolierten Bereich 160 separat angewandt werden und kann mit der in Ausführungsform 1 offenbarten Identifizierung der verwandten Funktionselemente auf der Grundlage der Nähe (Ähnlichkeit) der Ausführungsreihenfolge kombiniert werden. Darüber hinaus ist ein Index zur Bestimmung, ob die Ähnlichkeit besteht oder nicht, nicht auf die Nähe des Speicherbereichs beschränkt, sondern kann beispielsweise durch die Nähe des Kommunikationspfads bestimmt werden.
  • Darüber hinaus wurde die in der vorliegenden Anmeldung offenbarte Steuervorrichtung als die ADAS-Steuervorrichtung 100 des Fahrzeugsteuersystems beschrieben, ist aber nicht darauf beschränkt. Solange beispielsweise ein System eine Steuervorrichtung umfasst, die von einer ECU gesteuert wird, kann jede beliebige Steuervorrichtung davon für eine Verifizierungseinheit eines Speicherbereichs beim Start verwendet werden. Andererseits ist es in einem System wie einem Fahrzeug, in dem sich der Betriebszustand der Vorrichtung jeden Moment ändert, wünschenswert, eine Prioritätsreihenfolge für die Wiederherstellung von Funktionselementen gemäß den Zuständen unter den Funktionselementen i, die unregelmäßig waren, zuzuweisen, und die Konfiguration der vorliegenden Anwendung, in der die Prioritätsreihenfolge gemäß den Funktionsverwendungszuständen zugewiesen wird, ist für das Fahrzeugsteuerungssystem geeignet.
  • Wie oben beschrieben, ist gemäß der Steuervorrichtung (ADAS-Steuervorrichtung 100) in jeder Ausführungsform die Steuervorrichtung zur Steuerung von im Fahrzeug eingebauten Vorrichtungen (das heißt beispielsweise, EPS-Steuervorrichtung 200, Bremssteuervorrichtung 300 oder andere Vorrichtungen im Fahrzeug) über ein Kommunikationsnetzwerk (fahrzeugseitiges Netzwerk 400) die Funktionselemente-Halteeinheit 120 umfasst, um die Vielzahl von Funktionselementen i zur Ausführung der Steuerung und die Ersatz-Funktionselemente iB zu halten, die der Vielzahl von jeweiligen Funktionselementen i entsprechen und in der Lage sind, die gleiche Steuerung wie die jeweiligen Funktionselemente i auszuführen, die Unregelmäßigkeits-Erfassungseinheit 111, um eine Unregelmäßigkeit zu erfassen, die durch einen Sicherheitsangriff über das Kommunikationsnetzwerk (fahrzeugseitiges Netzwerk 400) verursacht wird, die Verarbeitungsziel-Identifizierungseinheit (Unregelmäßigkeit-Ursachen-Identifizierungseinheit 112, Unregelmäßigkeit-bezogene Orts-Identifizierungseinheit 113), um als die Verarbeitungsziele ein Funktionselement i, in dem die Unregelmäßigkeit erkannt wird, und ein zugehöriges Funktionselement, das sich auf die Unregelmäßigkeit bezieht, unter der Vielzahl von Funktionselementen i zu identifizieren, wenn die Unregelmäßigkeit erkannt wird, und die Funktionselement-Umschalteinheit 116, um Steuerfunktionen der Funktionselemente i, die als die Verarbeitungsziele identifiziert werden, auf entsprechende jeweilige Ersatz-Funktionselemente iB umzuschalten, um eine Ausführung zu bewirken. Die Verarbeitungsziel-Identifizierungseinheit (Unregelmäßigkeit-bezogene Orts-Identifizierungseinheit 113) ist konfiguriert, um als das betreffende Funktionselement ein Funktionselement i zu extrahieren, das bestimmt wird, um einen Betriebsstatus zu haben, der eine Ähnlichkeit mit dem des Funktionselements i hat, in dem die Unregelmäßigkeit basierend auf dem Betriebsverlauf der Vielzahl von Funktionselementen i detektiert wird. Daher kann, selbst wenn ein unbekannter Sicherheitsangriff, der schwierig im Voraus zu analysieren ist, empfangen wird, ein Funktionselement i, das eine Unregelmäßigkeit verursachen kann, geschätzt und zu einem Ersatz-Funktionselement iB geschaltet werden, so dass die Fahrzeugsteuerung ohne irgendwelche Probleme fortgesetzt werden kann.
  • Die Ausführungsreihenfolge-Aufzeichnungseinheit 150 ist bereitgestellt, um als der Betriebsverlauf die Reihenfolge aufzuzeichnen, in der die Vielzahl von Funktionselementen i ausgeführt werden, und wenn die Verarbeitungsziel-Identifizierungseinheit (Unregelmäßigkeit-bezogene Orts-Identifizierungseinheit 113) konfiguriert ist, um zu bestimmen, dass ein Funktionselement i, dessen Ausführungsreihenfolge nahe bei der des Funktionselements i liegt, in dem die Unregelmäßigkeit erkannt wird, die Ähnlichkeit hat, und dann, selbst wenn ein Sicherheitsangriff, der nicht analysiert wurde, empfangen wird, kann ein Funktionselement i, das im Wesentlichen eine Unregelmäßigkeit verursachen kann, identifiziert werden, und
  • Die Zugriffsaufzeichnungseinheit 170 ist bereitgestellt, um als die Betriebsverlauf einen Zugriff auf einen Speicherbereich aufzuzeichnen, wenn die Mehrzahl von Funktionselementen i betrieben wird, und wenn die Verarbeitungsziel-Identifikationseinheit (Unregelmäßigkeit-bezogene Orts-Identifikationseinheit 113) konfiguriert ist, um zu bestimmen, dass das Funktionselement i, das auf einen Speicherbereich zugegriffen hat, der nahe bei dem Speicherbereich liegt, auf den das Funktionselement i zugegriffen hat, in dem die Unregelmäßigkeit detektiert wird, die Ähnlichkeit aufweist, dann ist es möglich, funktionale Elemente i zu identifizieren und Gegenmaßnahmen zu ergreifen, die einem nicht analysierten Sicherheitsangriff unterworfen worden sind und umgeschrieben worden sein können, so. , auch wenn oberflächlich betrachtet keine Unregelmäßigkeit vorzuliegen scheint.
  • Die Prioritätsreihenfolge-Zuweisungseinheit 115 ist bereitgestellt, um die Prioritätsreihenfolge für die Aktivierung der Ersatz-Funktionselemente iB in der Schaltung in Übereinstimmung mit den Verwendungszuständen der Vielzahl von Funktionselementen zuzuweisen, und die Funktionselement-Schalteinheit 116 ist konfiguriert, um die Ersatz-Funktionselemente iB, die den identifizierten Funktionselementen i entsprechen, basierend auf der Prioritätsreihenfolge zu aktivieren, so dass die Fahrzeugsteuerung ohne irgendwelche Probleme in der gleichen Weise fortgesetzt werden kann wie vor dem Angriff, selbst wenn ein Sicherheitsangriff empfangen wird.
  • Wenn die Sicherheitsgegenmaßnahmeneinheit 130 so konfiguriert ist, dass sie bereitgestellt wird, um die Sicherheitsgegenmaßnahme für das Kommunikationsnetzwerk (fahrzeugseitiges Netzwerk 400) in Abhängigkeit von der Art eines Sicherheitsangriffs zu ändern, wenn eine Unregelmäßigkeit erkannt wird, kann die verbesserte Widerstandsfähigkeit verhindern, dass das Ersatz-Funktionselement iB betroffen wird, selbst wenn das Ersatz-Funktionselement iB, das die gleiche Struktur wie das Funktionselement i hat, dem gleichen Sicherheitsangriff ausgesetzt ist, der das Funktionselement i betroffen hat.
  • Wenn außerdem die Isolationsverarbeitungseinheit 118 bereitgestellt wird, um jedes der identifizierten Funktionselemente i in den isolierten Bereich 160 zu verschieben, in dem die Eingänge zu den identifizierten Funktionselementen beibehalten und die Ausgänge nach außen abgeschnitten werden, ist es möglich, einen Sicherheitsangriff und die Personenabsicht eines Angreifers zu analysieren, und so weiter.
  • Wenn die Funktionselement-Umschreibeinheit bereitgestellt wird, um nach dem Deaktivieren der identifizierten Funktionselemente i den Inhalt der deaktivierten Funktionselemente i in den Inhalt der entsprechenden Ersatz-Funktionselemente iB umzuschreiben, um die resultierenden Funktionselemente in der Funktionselement-Halteeinheit 120 als Ersatz-Funktionselemente iBa für die Ersatz-Funktionselemente iB nach dem Umschalten zu halten, ist es auch möglich, mit nachfolgenden Sicherheitsangriffen umzugehen.
  • Wie oben beschrieben, ist gemäß dem Steuerverfahren in jeder der Ausführungsformen das Steuerverfahren zum Steuern der Vorrichtungen (beispielsweise, EPS-Steuervorrichtung 200, Bremssteuervorrichtung 300 oder andere Vorrichtungen im Fahrzeug), die in einem Fahrzeug über ein Kommunikationsnetzwerk (fahrzeugseitiges Netzwerk 400) eingebaut sind, umfasst den Funktionselement-Halteschritt des Haltens der mehreren Funktionselemente i zum Ausführen der Steuerung und der Ersatz-Funktionselemente iB, die den mehreren jeweiligen Funktionselementen i entsprechen und in der Lage sind, dieselbe Steuerung wie die jeweiligen Funktionselemente i auszuführen, den Unregelmäßigkeit-Erfassungsschritt (Schritt S100 bis Schritt S120) des Erfassens einer durch einen Sicherheitsangriff verursachten Unregelmäßigkeit über das Kommunikationsnetzwerk (fahrzeugseitiges Netzwerk 400), den Verarbeitungsziel-Identifizierungsschritt (Schritt S130 oder Schritt S135) des Identifizierens, als die Verarbeitungsziele, des Funktionselements i, in dem die Unregelmäßigkeit detektiert wird, und des zugehörigen Funktionselements, das die Unregelmäßigkeit betrifft, aus der Vielzahl der Funktionselemente i, wenn die Unregelmäßigkeit detektiert wird, und den Funktionselement-Umschaltschritt (Schritt S160 oder Schritt S165 und Schritt S170 bis Schritt S180) des Umschaltens von Steuerfunktionen der Funktionselemente i, die als die Verarbeitungsziele identifiziert wurden, auf entsprechende jeweilige Ersatz-Funktionselemente iB, um eine Ausführung zu bewirken. In dem Verarbeitungsziel-Identifizierungsschritt (Schritt S130 oder Schritt S135) ist es konfiguriert, dass das Funktionselement i, das bestimmt wird, um einen Betriebsstatus zu haben, der die Ähnlichkeit zu dem des Funktionselements i hat, in dem die Unregelmäßigkeit detektiert wird, als das betreffende Funktionselement extrahiert wird, basierend auf dem Betriebsverlauf (Betriebsreihenfolge, Zugriffsprotokoll) der Vielzahl von Funktionselementen i. Daher kann auch bei einem unbekannten, im Voraus schwer zu analysierenden Sicherheitsangriff ein Funktionselement i, das eine Unregelmäßigkeit verursachen kann, abgeschätzt und auf ein Ersatz-Funktionselement iB umgeschaltet werden, so dass die Fahrzeugsteuerung problemlos fortgesetzt werden kann.
  • Der Schritt des Aufzeichnens der Ausführungsreihenfolge, bei dem eine Reihenfolge aufgezeichnet wird, in der die mehreren Funktionselemente i ausgeführt werden, wird bereitgestellt, und in dem Schritt des Identifizierens des Verarbeitungsziels (Schritt S130) kann, wenn konfiguriert wird, dass ein Funktionselement i, dessen Ausführungsreihenfolge nahe bei der des Funktionselements i liegt, in dem die Unregelmäßigkeit festgestellt wird, die Ähnlichkeit aufweist, und selbst wenn ein Sicherheitsangriff, der nicht analysiert wurde, empfangen wird, ein Funktionselement i identifiziert werden, das im Wesentlichen eine Unregelmäßigkeit verursachen kann, und es kann eine Gegenmaßnahme ergriffen werden.
  • Der Zugriffsaufzeichnungsschritt des Aufzeichnens, als die Betriebsverlauf, eines Zugriffs auf einen Speicherbereich, wenn die Vielzahl von Funktionselementen i betrieben wird, wird bereitgestellt, und in dem Verarbeitungsziel-Identifizierungsschritt (Schritt S135), wenn es konfiguriert ist, dass ein Funktionselement i, das auf einen Speicherbereich nahe dem Speicherbereich zugegriffen hat, auf den durch das Funktionselement i zugegriffen wird, in dem die Unregelmäßigkeit erkannt wird, bestimmt wird, um die Ähnlichkeit zu haben, ist es möglich, funktionale Elemente i zu identifizieren und eine Gegenmaßnahme zu ergreifen, die einem nicht analysierten Sicherheitsangriff unterworfen wurden und umgeschrieben worden sein können, so, auch wenn oberflächlich betrachtet keine Unregelmäßigkeit vorzuliegen scheint.
  • Der Prioritätszuweisungsschritt des Zuweisens einer Prioritätsreihenfolge für die Aktivierung von Ersatz-Funktionselementen iB bei der Umschaltung in Übereinstimmung mit Nutzungszuständen der Vielzahl von Funktionselementen i wird bereitgestellt (Schritt S150), und in dem Funktionselement-Umschaltschritt (Schritt S160 oder Schritt S165 und Schritt S170 bis Schritt S180), wenn es konfiguriert ist, dass die Ersatz-Funktionselemente iB, die den identifizierten Funktionselementen i entsprechen, basierend auf der Prioritätsreihenfolge aktiviert werden, kann die Fahrzeugsteuerung ohne irgendwelche Probleme in der gleichen Weise wie vor dem Empfang des Angriffs fortgesetzt werden, selbst wenn ein Sicherheitsangriff empfangen wird.
  • Wenn es so konfiguriert ist, dass der Schritt der Sicherheitsgegenmaßnahme (Schritt S170) bereitgestellt wird, in dem eine Sicherheitsgegenmaßnahme für das Kommunikationsnetzwerk (fahrzeugseitiges Netzwerk 400) in Abhängigkeit von einer Art des Sicherheitsangriffs vor dem Umschalten der Steuerfunktionen der identifizierten Funktionselemente i im Schritt des Umschaltens der Funktionselemente geändert wird, kann die verbesserte Widerstandsfähigkeit insbesondere verhindern, dass das Ersatz-Funktionselement iB betroffen wird, selbst wenn das Ersatz-Funktionselement iB, das die gleiche Struktur wie das Funktionselement i hat, dem gleichen Sicherheitsangriff ausgesetzt ist, der das Funktionselement i betroffen hat.
  • Bezugszeichenliste
    • 100
    ADAS-Steuervorrichtung (Steuervorrichtung),
    110
    Unregelmäßigkeiten-Reaktion-Steuervorrichtung,
    111
    Unregelmäßigkeiten-Erkennungseinheit,
    112
    Unregelmäßigkeiten-Ursachen-Identifizierungseinheit (Verarbeitungsziel-Identifizierungseinheit),
    113
    Unregelmäßigkeiten-Ort-Identifizierungseinheit (Verarbeitungsziel-Identifizierungseinheit),
    114
    Funktionsnutzungsstatus-Bestätigungseinheit,
    115
    Prioritätsreihenfolge-Zuweisungseinheit,
    116
    Funktionselemente-Umschalteinheit,
    117
    Gegenmaßnahmen-Änderungseinheit,
    118
    Isolierungsverarbeitungseinheit,
    120
    Funktionselement-Halteeinheit,
    130
    Sicherheits-Gegenmaßnahmeneinheit,
    131
    Kommunikations-Authentifizierungsfunktion,
    132
    Geräte-Authentifizierungsfunktion,
    133
    Verschlüsselungsfunktion,
    140
    Sende-/Empfangseinheit,
    150
    Ausführungsreihenfolge-Aufzeichnungseinheit,
    160
    isolierter Bereich,
    170
    Zugriffserfassungseinheit,
    200
    EPS-Steuervorrichtung,
    300
    Bremssteuervorrichtung,
    400
    fahrzeugseitiges Netzwerk (Kommunikationsnetzwerk),
    i
    Funktionselement,
    iB
    Ersatz-Funktionselement,
    iBa
    Ersatz-Funktionselement.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2018194909 [0004]

Claims (12)

  1. Eine Steuervorrichtung zum Steuern einer in einem Fahrzeug angebrachten Vorrichtung über ein Kommunikationsnetzwerk, wobei die Steuervorrichtung umfasst: eine Funktionselement-Halteeinheit zum Halten einer Vielzahl von Funktionselementen zum Ausführen der Steuerung und auch von Ersatz-Funktionselementen, die der Vielzahl der jeweiligen Funktionselemente entsprechen und in der Lage sind, dieselbe Steuerung wie die jeweiligen Funktionselemente auszuführen; eine Unregelmäßigkeits-Erkennungseinheit zum Erkennen einer Unregelmäßigkeit, die durch einen Sicherheitsangriff über das Kommunikationsnetzwerk verursacht ist; eine Verarbeitungsziel-Identifizierungseinheit zum Identifizieren, als Verarbeitungsziele, eines Funktionselements, in dem die Unregelmäßigkeit erkannt ist, und eines verwandten Funktionselements, das die Unregelmäßigkeit betrifft, aus der Vielzahl der Funktionselemente, wenn die Unregelmäßigkeit erkannt ist; und eine Funktionselement-Umschalteinheit zum Umschalten von Steuerfunktionen der als die Verarbeitungsziele identifizierten Funktionselemente auf entsprechende jeweilige Ersatz-Funktionselemente, um eine Ausführung zu bewirken, wobei die Verarbeitungsziel-Identifizierungseinheit als das verwandte Funktionselement ein Funktionselement extrahiert, von dem bestimmt ist, dass es einen Betriebszustand hat, der dem des Funktionselements ähnlich ist, in dem die Unregelmäßigkeit erkannt ist, basierend auf einem Betriebsverlauf der Vielzahl von Funktionselementen.
  2. Steuervorrichtung nach Anspruch 1, die ferner eine Ausführungsreihenfolge-Aufzeichnungseinheit umfasst, zum Aufzeichnen, als den Betriebsverlauf, einer Reihenfolge, in der die Vielzahl von Funktionselementen ausgeführt wird, wobei die Verarbeitungsziel-Identifizierungseinheit bestimmt, dass ein Funktionselement die Ähnlichkeit aufweist, dessen Ausführungsreihenfolge der des Funktionselements nahe kommt, in dem die Unregelmäßigkeit erkannt ist.
  3. Steuervorrichtung nach Anspruch 1 oder 2, die ferner eine Zugriffsaufzeichnungseinheit umfasst, zum Aufzeichnen eines Zugriffs auf einen Speicherbereich, als den Betriebsverlauf, wenn die Vielzahl von Funktionselementen betrieben wird, wobei die Verarbeitungsziel-Identifizierungseinheit bestimmt, dass ein Funktionselement, das auf einen Speicherbereich zugegriffen hat, der nahe bei einem Speicherbereich liegt, auf den das Funktionselement zugegriffen hat, in dem die Unregelmäßigkeit erkannt ist, die Ähnlichkeit aufweist.
  4. Steuervorrichtung nach einem der Ansprüche 1 bis 3, ferner umfassend eine Prioritätsreihenfolge-Zuweisungseinheit, zum Zuweisen einer Prioritätsreihenfolge für eine Aktivierung zu den Ersatz-Funktionselementen bei dem Umschalten gemäß den Nutzungszuständen der Vielzahl von Funktionselementen, wobei die Funktionselement-Umschalteinheit die zu den identifizierten Funktionselementen gehörigen Ersatz-Funktionselemente basierend auf der Prioritätsreihenfolge aktiviert.
  5. Steuervorrichtung nach einem der Ansprüche 1 bis 4, ferner umfassend eine Sicherheitsgegenmaßnahmeneinheit zum Ändern einer Sicherheitsgegenmaßnahme für das Kommunikationsnetzwerk in Abhängigkeit von einem Typ des Sicherheitsangriffs, wenn die Unregelmäßigkeit erkannt ist.
  6. Steuervorrichtung nach einem der Ansprüche 1 bis 5, ferner umfassend eine Isolierungsverarbeitungseinheit, zum Verschieben eines jeden der identifizierten Funktionselemente in einen isolierten Bereich, in dem die Eingaben zu den identifizierten Funktionselementen aufrechterhalten und die Ausgaben nach außen abgeschaltet werden.
  7. Steuervorrichtung nach einem der Ansprüche 1 bis 6, ferner umfassend eine Funktionselement-Umschreibungseinheit, zum Umschreiben nach dem Deaktivieren der identifizierten Funktionselemente von Inhalten der deaktivierten Funktionselemente in Inhalte der zughörigen Ersatz-Funktionselemente, um die resultierenden Funktionselemente in der Funktionselemente-Halteeinheit als Ersatz-Funktionselemente für die Ersatz-Funktionselemente nach dem Umschalten zu halten.
  8. Ein Steuerverfahren zum Steuern einer in einem Fahrzeug angebrachten Vorrichtung über ein Kommunikationsnetzwerk, wobei das Steuerverfahren umfasst: einen Funktionselement-Halteschritt des Haltens einer Vielzahl von Funktionselementen zum Ausführen der Steuerung und auch von Ersatz-Funktionselementen, die zu der Vielzahl von jeweiligen Funktionselementen gehören und in der Lage sind, die gleiche Steuerung wie die jeweiligen Funktionselemente auszuführen; einen Unregelmäßigkeits-Erfassungsschritt zum Erfassen einer Unregelmäßigkeit, die durch einen Sicherheitsangriff über das Kommunikationsnetzwerk verursacht wird; einen Verarbeitungsziel-Identifizierungsschritt des Identifizierens, als Verarbeitungsziele, eines Funktionselements, in dem die Unregelmäßigkeit detektiert wird, und eines verwandten Funktionselements, das die Unregelmäßigkeit betrifft, aus der Vielzahl der Funktionselemente, wenn die Unregelmäßigkeit detektiert wird; und einen Funktionselement-Umschaltschritt des Umschaltens von Steuerfunktionen der als die Verarbeitungsziele identifizierten Funktionselemente auf zugehörige jeweilige Ersatz-Funktionselemente, um eine Ausführung zu bewirken, wobei in dem Verarbeitungsziel-Identifizierungsschritt ein Funktionselement, von dem bestimmt wird, dass es einen Betriebszustand hat, der dem des Funktionselements, in dem die Unregelmäßigkeit erkannt wird, ähnlich ist, als das verwandte Funktionselement auf der Grundlage eines Betriebsverlaufs der Vielzahl von Funktionselementen extrahiert wird.
  9. Steuerverfahren nach Anspruch 8, ferner umfassend einen Ausführungsreihenfolge-Aufzeichnungsschritt des Aufzeichnens, als den Betriebsverlauf, einer Reihenfolge, in der die Vielzahl von Funktionselementen ausgeführt wird, wobei in dem Verarbeitungsziel-Identifizierungsschritt ein Funktionselement, dessen Ausführungsreihenfolge nahe bei der des Funktionselements liegt, in dem die Unregelmäßigkeit erkannt wird, als ähnlich bestimmt wird.
  10. Steuerverfahren nach Anspruch 8 oder 9, ferner umfassend einen Zugriffsaufzeichnungsschritt des Aufzeichnens eines Zugriffs auf einen Speicherbereich als den Betriebsverlauf, wenn die Vielzahl von Funktionselementen ausgeführt wird, wobei in dem Verarbeitungsziel-Identifizierungsschritt ein Funktionselement, das auf einen Speicherbereich zugegriffen hat, der nahe bei einem Speicherbereich liegt, auf den das Funktionselement zugegriffen hat, in dem die Unregelmäßigkeit erkannt wird, als ähnlich bestimmt wird.
  11. Steuerverfahren nach einem der Ansprüche 8 bis 10, ferner umfassend einen Prioritätszuweisungsschritt des Zuweisens einer Prioritätsreihenfolge für eine Aktivierung zu Ersatz-Funktionselementen bei dem Umschalten gemäß den Verwendungszuständen der Vielzahl von Funktionselementen, wobei im Funktionselement-Umschaltschritt Ersatz-Funktionselemente, die zu den identifizierten Funktionselementen gehören, basierend auf der Prioritätsreihenfolge aktiviert werden.
  12. Steuerverfahren nach einem der Ansprüche 8 bis 11, ferner umfassend einen Sicherheitsgegenmaßnahmenschritt des Änderns einer Sicherheitsgegenmaßnahme für das Kommunikationsnetzwerk in Abhängigkeit von einem Typ des Sicherheitsangriffs vor dem Umschalten von Steuerfunktionen der identifizierten Funktionselemente im Funktionselement-Umschaltschritt.
DE112020007053.0T 2020-04-10 2020-04-10 Steuervorrichtung und Steuerverfahren Pending DE112020007053T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/016073 WO2021205633A1 (ja) 2020-04-10 2020-04-10 制御装置および制御方法

Publications (1)

Publication Number Publication Date
DE112020007053T5 true DE112020007053T5 (de) 2023-04-13

Family

ID=78022907

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020007053.0T Pending DE112020007053T5 (de) 2020-04-10 2020-04-10 Steuervorrichtung und Steuerverfahren

Country Status (5)

Country Link
US (1) US20230344859A1 (de)
JP (1) JP7224536B2 (de)
CN (1) CN115315700A (de)
DE (1) DE112020007053T5 (de)
WO (1) WO2021205633A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7507536B1 (ja) 2023-04-25 2024-06-28 パナソニックオートモーティブシステムズ株式会社 監視システム及び制御方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018194909A (ja) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015067234A (ja) * 2013-09-30 2015-04-13 日立オートモティブシステムズ株式会社 車両制御装置
CN109641569B (zh) * 2016-12-22 2020-07-03 全球移动服务株式会社 车辆远程控制***
JP7464432B2 (ja) * 2019-11-13 2024-04-09 花王株式会社 半導体デバイス用基板に用いる洗浄剤組成物
JPWO2021149651A1 (de) * 2020-01-20 2021-07-29
JP7443832B2 (ja) * 2020-03-05 2024-03-06 株式会社デンソー セキュリティ管理装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018194909A (ja) 2017-05-12 2018-12-06 日立オートモティブシステムズ株式会社 情報処理装置及び異常対処方法

Also Published As

Publication number Publication date
US20230344859A1 (en) 2023-10-26
JPWO2021205633A1 (de) 2021-10-14
WO2021205633A1 (ja) 2021-10-14
CN115315700A (zh) 2022-11-08
JP7224536B2 (ja) 2023-02-17

Similar Documents

Publication Publication Date Title
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
EP3743688B1 (de) Verfahren und vorrichtung zum speichern von wegstreckendaten
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
DE102018220711A1 (de) Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche
DE102010002472A1 (de) Verfahren zum Verifizieren eines Speicherblocks eines nicht-flüchtigen Speichers
DE112020005622B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Computerprogramm
DE112020007053T5 (de) Steuervorrichtung und Steuerverfahren
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
EP3566398B1 (de) Verfahren und halbleiterschaltkreis zum schützen eines betriebssystems eines sicherheitssystems eines fahrzeugs
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102006006843B4 (de) Verfahren zum Antworten auf einen Steuermodulausfall
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE102013202961A1 (de) Verfahren zum Überwachen eines Stackspeichers in einem Betriebssystem eines Steuergeräts eines Kraftfahrzeuges
DE112021001385T5 (de) Verfahren und system zum sammeln und verwalten von fahrzeugdaten
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
DE112020005980T5 (de) Ermittlungsvorrichtung, Ermittlungsprogramm und Ermittlungsverfahren
DE112018007548B4 (de) Datenkommunikationssteuerungseinrichtung, Datenkommunikationssteuerprogramm und Datensteuerungssystem
DE102022203871A1 (de) Steuersystem
DE102019201953A1 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung
WO2018046679A1 (de) Verfahren zur sicheren bereitstellung von gespeicherten informationen bei einer elektronikkomponente
DE102015223757A1 (de) Verfahren zum Betreiben eines Mikrocontrollers

Legal Events

Date Code Title Description
R012 Request for examination validly filed