CN117601779A - 缓解运输工具机载网络操纵的技术 - Google Patents
缓解运输工具机载网络操纵的技术 Download PDFInfo
- Publication number
- CN117601779A CN117601779A CN202311062226.XA CN202311062226A CN117601779A CN 117601779 A CN117601779 A CN 117601779A CN 202311062226 A CN202311062226 A CN 202311062226A CN 117601779 A CN117601779 A CN 117601779A
- Authority
- CN
- China
- Prior art keywords
- component
- vehicle
- board network
- anomaly
- components
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000000116 mitigating effect Effects 0.000 title claims description 27
- 238000001514 detection method Methods 0.000 claims description 9
- 230000000903 blocking effect Effects 0.000 claims description 7
- 230000005856 abnormality Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 230000003213 activating effect Effects 0.000 claims 1
- 230000007704 transition Effects 0.000 abstract description 3
- 230000000875 corresponding effect Effects 0.000 description 63
- 230000006870 function Effects 0.000 description 49
- 238000004891 communication Methods 0.000 description 17
- 230000009467 reduction Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 102000006495 integrins Human genes 0.000 description 1
- 108010044426 integrins Proteins 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
- B60R16/0232—Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Small-Scale Networks (AREA)
- Traffic Control Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开的共同方面涉及一种用于防御对运输工具的机载网络的操纵的方法。该方法包括接收机载网络中当前异常的签名并执行第一对应措施,该第一对应措施将运输工具和/或其至少一个组件转换到预定安全状态。基于所述签名而选择第一对应措施。该方法还包括:执行第二对应措施以至少部分地恢复该运输工具的功能范围。基于关于所述运输工具的状态信息和/或当前异常从各种可用对应措施中动态地选择针对当前异常的第一对应措施和/或第二对应措施。
Description
背景技术
最近,运输工具越来越大程度地被纳入开放的上下文(即,运输工具具有一个或多个接口,通过这些接口而在运行中接收和/或发送数据,进而将所述数据用于运输工具的运行)。在某些情况下,现有接口的使用程度也显著提高(例如,在驾驶期间连续使用)。此外,运输工具组件、特别是其软件的复杂性不断增加。运输工具的软件在运行中的更新方式也越来越多样化。
因此,操纵(Manipulation)运输工具组件软件的可能性也变得更加多样化。
在一些现有技术方法中,检测以及特别是缓解操纵(即消除操纵以便实现限定的(安全)状态和/或至少缓解或消除操纵的影响)关联到巨大的耗费并且因此而关联到时间延迟。在许多示例中,操纵或多或少可以随机地被检测到(例如在试驾的范畴内)。随后于是开发用于缓解(Mitigation)操纵的措施(例如软件更新)。然后,例如,在车间停留的范畴内,可以重置组件(例如控制设备)的被操纵软件并因此消除操纵。在其他技术中,可以借助从远程计算机系统发送的软件而重置组件(例如控制设备)的被操纵软件并因此消除操纵。在这两种情况下,从检测到操纵到缓解所述操纵之间可能有相当长的时间段。在某些情况下,运输工具的运行在此时间段被干扰(例如,不再满足预定的安全标准)。在某些情况下,运输工具可能不再行驶性能良好或其功能范围可能会受到严重干扰。因此值得期望的是,用于缓解软件操纵的经改进技术。
发明内容
本公开的第一共同方面涉及一种用于缓解对运输工具的机载网络的操纵的方法。该方法包括接收机载网络中的当前异常的签名(Signatur)并执行将运输工具和/或其至少一个组件转换到预定安全状态的第一对应措施。基于所述签名而选择所述第一对应措施。该方法还包括:执行第二对应措施以至少部分地恢复(Wiederherstellung)运输工具的功能范围(Funktionsumfang)。基于运输工具的状态信息和/或当前异常从各种可用对应措施中动态地选择针对当前异常的第一对应措施和/或第二对应措施。
本公开的第二共同方面涉及一种被设计为执行根据第一共同方面的方法的系统。
在一些情况下,本公开的第一至第二共同方面的技术可以具有以下优点中的一个或多个。
首先,在一些情况下,本公开的技术可以通过多级(mehrstufig)反应而不仅改进(运行)安全性(英文也称为“Safety(安全性)”)而且也改进运输工具(或其组件之一)的可用功能范围,以及改进针对未经授权的第三方使用数据或操纵数据的安全性(英文也称为“Security(保障性)”),其中所述多级反应至少包括所述第一对应措施和第二对应措施。在现有技术中的一些技术中,虽然执行了一种或多种对应措施。然而,这些技术却只是集中于或主要集中于实现上述目标之一(例如(重新)建立运行安全性)。例如,根据本公开,第一对应措施可以包括立即关断第一组件(例如,在检测到异常之后的100毫秒内)并且将第一组件的功能转移(verschieben)到第二组件。例如,可以识别出对制动力放大器的攻击。可以将其关断。然后制动力放大器的功能可以由制动系统的其他组件部分接管。这样,运输工具可以首先进入制动力放大功能可用的安全状态。现在,所述攻击和/或第一对应措施可以导致运输工具的功能范围(即,机载网络或其组件的功能范围)减小。在所提到的情况下,例如在制动力放大器被关断之后,不再有制动力放大功能的冗余。第二对应措施现在可以通过重置制动力放大器的软件然后重新激活制动力放大器而消除攻击的后果并(至少部分地)恢复运输工具的功能范围。通过执行第一对应措施和第二对应措施,运输工具因此可以安全地并且在一些情况下以尽可能不受限制的功能范围而运行。这可以实现:允许有足够的时间来填补(schlieβen)机载网络中的薄弱点,而不会损害运输工具的运行安全性或使其功能范围受到不合理的限制。在一些情况下,填补薄弱点所需的时间可能是几周甚至几个月,可能必须首先标识薄弱点并开发和测试相应的软件更新。在现有技术中的一些技术中,在这段时间内运输工具只能以明显受限的功能范围而运行。
其次,在一些情况下,可以通过针对具有特定签名的异常(例如,对机载网络的特定组件的特定类型的攻击)在不同的情况下以动态不同的方式选择第一或第二对应措施来改进运输工具的运行安全性和/或功能范围(或其他属性)。可以根据情况选择。例如,当具有特定签名的异常第一次发生时,可以选择与后续发生不同的第一和/或第二对应措施。第一次发生时,受攻击影响的组件只能被重置。在又一次发生之后,组件的软件可以被安全版本覆盖(überspielen)。在其他示例中,在异常第一次发生之后,所涉及的组件可以完全恢复(wiederaufnehmen)其功能。在该异常又一次发生之后,该组件则只能以受限的方式恢复其功能。通过这种方式,对应措施的选择可以有针对性地适配于运输工具的运行情况。在该示例中,可以通过对机载网络进行相对谨慎的干预而消除第一次发生的异常。如果异常再次发生,则可以选择更严重的干预措施。因此,在一些情况下,可以在由对应措施对运输工具运行的影响与防止异常重复发生之间找到折衷。因此,例如,在第一次发生异常之后组件的永久封锁(Blockieren)会导致运输工具在(例如直到通过软件更新填补薄弱点为止)可能很长的时间内的相当大范围的功能损失。另一方面,仅仅重新启动或重置软件可能会导致同一组件被一遍又一遍地操纵,并带来相关风险。本公开的技术使得能够使对应措施适配于这些情况。可以设想并且在下面解释当异常重复发生时对第一对应措施和第二对应措施的动态选择的标准。
本公开的第三共同方面涉及一种用于缓解对运输工具的机载网络的操纵的方法。该方法包括接收机载网络中的当前异常的签名并执行将运输工具和/或其至少一个组件转换到预定安全状态的第一对应措施。基于该签名选择第一对应措施。该方法还包括执行第二对应措施以至少部分地恢复运输工具的功能范围。该方法还包括在执行了第二对应措施之后接收软件更新以填补利用了已导致当前异常的操纵的机载网络薄弱点。
本公开的第四共同方面涉及一种被设计为执行根据第三共同方面的方法的系统。
在一些情况下,本公开的第三至第四共同方面的技术可以具有以下优点中的一个或多个。
可以看出,第三和第四共同方面的技术与第一和第二共同方面的技术一样都包括执行第一和第二对应措施。因此,第三和第四共同方面的技术可以具有与执行第一和第二对应措施相关联的上文所述以及下文所述的优点。第三和第四共同方面的技术中的第一和第二对应措施也可以被动态地选择(但不是必须的,也可以静态分配到对应的签名)。另外,在第三和第四共同方面的技术中,接收软件更新的第三下游措施可以进一步提高针对未经授权的第三方使用或操纵数据(英文“security(保障性)”))的机载网络安全性。
一些术语在本公开中按以下方式使用:
在本公开中,“组件”、“模块”或“单元”可以是适合于执行所描述的方法和/或提供所描述的功能的任何软件和/或硬件。例如,“组件”、“模块”或“单元”可以是软件组件、软件模块或软件单元(即,组件/模块的功能以可以在适当硬件上执行的软件而被定义)。在其他示例中,“组件”、“模块”或“单元”可以是硬件组件、硬件模块或硬件单元(即,所述组件/模块的功能以硬件而被定义,例如以被适配的处理器的形式))。在又一些其他示例中,可以以硬件和软件来定义组件/模块的功能。
本公开中的“组件”、“模块”或“单元”(例如,机载网络)可以具有硬件资源,其包括至少一个用于执行指令的处理器和用于存储至少一个软件组件的存储器。术语“处理器”还包括多核处理器或承担(并且可以共享)中央处理单元的任务的多个单独的部件。组件可以独立地执行任务(例如,测量任务、监视任务、控制任务、通信任务和/或其他工作任务)。然而,在一些示例中,一个组件也可以由另一个组件控制。组件可以在物理上界定(例如具有自己的外壳)或集成到更高级别的系统中。组件可以是运输工具的控制设备或通信设备。组件可以是嵌入式系统。组件可以包括一个或多个微控制器。
因此,“运输工具的组件”是如上所述的布置在运输工具中(即,随运输工具移动)的组件。在此,该组件可以固定安装在运输工具中。然而,运输工具的组件也可以是(仅)暂时位于汽车中的移动组件(例如乘客的移动设备)。
“嵌入式系统”是被纳入(嵌入)到技术环境中的组件。在此,该组件承担测量任务、监视任务、控制任务、通信任务和/或其他工作任务。
“(专用)控制设备”是(专门)控制运输工具的功能的组件。例如,控制设备可以接管发动机控制、制动系统控制或辅助系统控制。在此,“功能”可以在运输工具的不同层面上予以定义(例如,针对某个功能而可以使用单个传感器或执行器,但也可以使用组合成更大的功能单元的大量组合件)。
术语“软件”或“软件组件”原则上可以是本公开的组件(例如控制设备)的软件的任何部分。特别是,软件组件可以是本公开的组件的固件组件。“固件”是嵌入到(电子)组件中并在那里履行基本功能的软件。固件在功能上与组件的相应硬件固定地相关联(从而使其中任一固件不能在没有另一硬件的情况下使用)。它可以存储在非易失性存储器中,例如闪存或EEPROM。
术语“更新”或“软件更新”包括直接或在相应的处理步骤之后形成根据本公开的组件的软件(组件)的任何数据。更新可能包含可运行代码或尚未编译的代码(所述代码存储在相应组件的存储器中)。
术语“异常”包括与运输工具的正常运行的偏差(例如,一个或多个组件并非有规律地配置、一个或多个组件的行为与正常运行中的行为有偏差和/或一个或多个组件的一个或多个运行参数与正常运行中的标称值有偏差等等)。异常可以是对运输工具组件(例如其软件)的操纵,或者可能因此发生对运输工具组件(例如其软件)的操纵。
在本公开中,术语“操纵”包括运输工具组件的软件的任何改变。所述改变可能是攻击的结果(即第三方的故意影响),也可能是随机或无意影响的结果。
术语“运输工具”包括运输乘客和/或货物的任何装置。运输工具可以是机动车(例如载客汽车或载货汽车),但也可以是轨道运输工具。然而,漂浮和飞行的装置也可以是运输工具。运输工具可以至少部分自主地运行或得到辅助。
“机载网络”可以是任何运输工具内部网络,在所述运输工具内部网络中包含有运输工具的组件并且运输工具的组件通过所述运输工具内部网络进行通信(这些组件在本公开中被称为机载网络的一部分)。在一些示例中,机载网络是局域网。机载网络可以采用一种或多种短程通信协议(例如,两种或更多种短程通信协议)。短程通信协议可以是无线或有线通信协议。短程通信协议可以包括总线协议(例如CAN、LIN、MOST、FlexRay或以太网)。短程通信协议可以包括蓝牙协议(例如,蓝牙5或更高版本)或WLAN协议(例如,IEEE 802.11族协议,例如802.11h或更高版本协议)。机载网络可以包含用于与运输工具外部系统通信的接口并且因此也可以被纳入到其他网络中。然而,运输工具外部的系统和其他网络不是机载网络的一部分。
表述“异常的检测”意味着根据预定规则解释特定事件(例如信号或它们的缺失)以便识别与运输工具正常运行有偏差的状态。例如,异常可能是对运输工具软件的操纵,或者可能表明对运输工具软件的操纵。
本公开中,“功能”是组件在运输工具中履行特定任务的任一能力或者履行特定任务的运输工具的总体能力。例如,任务可以是运输工具的一个或多个系统(例如发动机、变速器、辅助系统、传感器、空调、信息娱乐装置、通信接口等)的运行。在其他示例中或附加地,任务可以在于,执行驾驶机动动作(或驾驶机动动作的一部分)并且可以自主执行或受辅助地执行(其复杂程度可能不同,例如制动机动动作、转向机动动作、沿特定路线行驶或停车)。在又一些另外的示例中,任务可以在于,提供数据(例如,传感器数据)(其又可以用于其他任务)。与此相应地,“功能范围”是运输工具或其组件之一的全部功能。
“安全状态”表示如下状态,在所述状态中,运输工具关于所定义的安全标准和/或所定义的安全目标的运行安全性(英文“Safety”)得到保证。安全标准或安全目标可以对运输工具和/或其组件的工作能力提出一项或多项要求(即,运输工具和/或其组件以关于一项或多项功能的特定工作能力而运行)。安全状态尤其可以包括:以尽可能最好的方式保护运输工具的环境和乘客免受损害。安全状态可以包括:运输工具的关键系统(例如制动器、底盘、辅助系统、自动驾驶系统或用于乘客和/或环境保护的主动系统)在正常运行中(即根据规范)或最多以比正常运行要差出预定的最大程度而进行工作(例如,最多只能以比正常运行低出最大量值的制动力而执行制动)。
“运行状态”包括与运输工具和/或其组件和/或运输工具环境有关的任何状态信息。运行状态可以由运输工具和/或其组件和/或其环境的一个或多个状态参数来定义。状态参数可以是运输工具和/或其组件的所测量的或计算的参数和/或由这些参数所导出的参量(例如,组件的温度或所导出的参量,其表明运输工具和/或其组件的状态。可以通过监控运输工具和/或其组件而确定运行状态(例如,可以监控运输工具和/或其组件的表现是否按照特定规范)。
附图说明
图1示出了本公开的方法的示例性流程。
图2是具有用于缓解对机载网络的操纵的系统的运输工具的示意图。
具体实施方式
首先,参照图1和图2,解释本公开的技术的中心方面。之后,将讨论一些修改方案。
图1示例性地示出了本公开的方法的流程。图2是具有用于缓解对机载网络的操纵的系统的运输工具的示意图。
图1和图2的示例中示出了第一组件13(例如第一嵌入式系统,例如第一控制设备)、第二组件11(例如第二嵌入式系统,例如第二控制设备)、运输工具的中央处理器15和远程系统17(也称为“后端”)。第一组件13、第二组件11和中央处理器15是机载网络21的一部分。在图1的每一列中示出了由相应组件执行的动作。
用于缓解对运输工具30的机载网络21的操纵的技术包括:接收101机载网络21中的当前异常的签名。
在一些示例中,异常(例如,操纵)可以由用于检测对机载网络的受异常影响的组件的操纵的装置来检测。例如,在图1中,在第一组件13中检测到115异常(攻击者23可能先前已经操纵了第一组件13)。在其他示例中(或附加于此地),可以设置用于检测操纵的中央装置。该用于检测操纵的中央装置可以被设计成,识别出机载网络的多个组件11、13、15中的异常(例如,操纵)。在一些示例中,可以设置用于检测操纵的多个中央装置,这些中央装置在运输工具中负责不同区域(例如,空间或功能上的区域)。
可以通过不同方式检测异常。在一些示例中,可以分析组件(或其一部分)的软件。如果该软件在一个或多个方面与预期软件有偏差,则可以识别出异常(例如,如果发生特定异常行为)。该检查可以包括例如软件完整性的检查(例如,软件与完整(integren)软件的逐段(逐位)比较)。附加或替代地,可以检查软件的真实性(例如通过一个或多个认证步骤,例如检查一个或多个数字签名)。如果软件被识别为不真实,则可识别出异常。附加或替代地,可以分析去往和/或来自相应组件的通信(例如,识别组件的软件的编程过程)。当发生去往和/或来自相应组件的特定通信时,可以识别到异常。进一步附加或替代地,可以分析软件(或其一部分)。在所有示例中,异常的检测可以基于一个或多个标准而进行(例如,以特定方式对其加权,或者可以并行或顺序地评估所述标准)。
机载网络中的(当前)异常的签名标识出该异常(下面也论及特定异常具有签名)。异常可能是由特定操纵引起的(例如,所述异常表明操纵的存在,作为操纵结果而发生异常)。附加或替代地,异常可以是操纵(即,检测异常对应于检测操纵)。在一些示例中,异常可以一一对应地与特定操纵相关联。在其他示例中,异常可以被分配给多个操纵(例如,作为多个操纵中的每个操纵的结果而发生异常)。
关于签名格式和标识类型方面,可以以不同的方式进行标识。在一些示例中,签名包括显式地或隐式地确定异常类型(例如,操纵)的数据(例如,以操纵类型的唯一标识符的形式)。可以在不同的例子中以不同的粒度区分异常的类型。附加或替代地,签名可以标记出异常和/或所涉及的组件(例如,图1中的第一组件13)的位置。
图1和图2的示例中,在中央处理器15处接收签名。在该示例中(并且也是一般情况下),中央处理器15中可以包含用于缓解操纵的中央装置(用于缓解操纵的中央装置被设计用于,协调(Orchestrieren)针对机载网络21的多个组件的对应措施)。然而,在其他示例中,机载网络21和/或远程系统17的其他组件也可以接收签名(和/或包含用于缓解操纵的中央装置)。
本公开的技术还包括:执行103将运输工具30和/或其组件11、13、15中的至少一个转换到预定安全状态的第一对应措施。
基于所述签名选择第一对应措施。在一些示例中,可以针对具有特定签名的异常定义一个或多个第一对应措施。如果有多种不同的第一对应措施可供选择,则可以在具体情况中选择其中一种对应措施(下文将详细介绍)。
如所描述的,第一对应措施的目标是:将运输工具30和/或其组件11、13、15中的至少一个转换到预定安全状态(即,满足所定义的安全标准或实现所定义的安全目标)。换言之,应该结束由于当前异常和/或导致所述异常的操纵而产生的不安全状态(即未满足所定义的安全标准或未实现所定义的安全目标)。在一些示例中,对应措施的目标是将参与提供特定功能(例如,驾驶功能)的多个或所有组件转换到安全状态。
在一些示例中,第一对应措施可以至少包括:部分地停用或封锁机载网络21的其中已发生当前异常的第一组件13。在一些示例中,可以仅停用或封锁第一组件13的一部分(例如,在具有多个子组件的更复杂组件的情况下)。在其他示例中,第一组件13可以被完全停用或封锁。在又一些其他示例中,多个组件可以至少部分地被停用或封锁。在任何情况下,停用或封锁都可能导致第一组件不再执行其预期功能和/或不再在机载网络中通信。在一些情况下,由此可以终止由第一组件13引起的运行安全风险(并且将运输工具转换到安全状态)。例如,第一组件13可以是制动组件,并且操纵的目标可以是运输工具的过度制动。关断或封锁第一个组件可以阻碍(vereiteln)此无理要求(Ansinnen)。
替代地或附加地,第一对应措施可以至少包括:部分停用运输工具30的第一功能。例如,第一功能可以至少部分地由第一组件13提供。
替代地或附加地,第一对应措施可以包括将已发生当前异常的第一组件13的功能转移到第二组件11。以这种方式,可以实现:运输工具中的安全关键功能继续/再次被提供。在许多情况下,运输工具具有多个可以提供特定功能的组件。例如,在一些示例中,即使在正常运行中,多个组件也可以共同提供功能。然后,功能的提供可以被完全转移到组件的子集。附加或替代地,关于功能的提供方面,可以在运输工具中设置冗余组件。然后可以将该功能从第一组件提供给冗余的第二组件。在上面的示例中,制动组件可以是制动力放大器。放大制动力的功能也可以由E-Booster(电子助力器)提供。在这种情况下,功能的转换可以包括通过电子助力器提供制动力放大器。在其他示例中,第二传感器系统可以从第一传感器系统接管对特定监控功能的提供(即,所述监控功能从第一传感器系统转移到第二传感器系统)。
进一步替代地或附加地,第一对应措施可以包括:改变机载网络的其中已发生当前异常(例如,其中已发生操纵)的第一组件13的配置和/或功能和/或改变机载网络的其他组件的配置和/或功能。例如,第一组件可以从具有扩展功能范围的第一配置切换到具有受限功能范围的第二配置(例如,其中使所述第一组件仅还在受限程度上与其他组件通信,或者其中使第一组件仅还提供基本功能而不再提供扩展功能,或者其中使第一组件不再提供安全关键功能但继续提供非安全关键功能)。
进一步替代地或附加地,第一对应措施可以包括:改变机载网络的其中已发生当前异常(例如其中已发生操纵)的第一组件13的运行模式和/或改变机载网络的其他组件的运行模式。例如,运行模式可以从组件执行更复杂的功能的第一运行模式改变为组件执行不太复杂的功能的第二运行模式。例如,提供被辅助的或自主的功能的组件可以从其中提供更复杂的驾驶机动动作(例如,以高于特定速度和/或在特定距离下和/或在特定环境条件下驾驶)的第一运行模式转换为(umstellen)其中提供不太复杂的驾驶机动动作的第二运行模式。附加或替代地,可以停用功能的可选子功能(例如,在不与外部系统通信的情况下执行功能)。
进一步替代地或附加地,第一对应措施可以发出已检测到异常的警告并将其输出到一个或多个接口(例如,运输工具的用户接口)。例如,可以要求乘客至少部分地接管运输工具的控制功能。
如已提及的,上述第一对应措施也可以组合。例如,所描述的第一对应措施中的两个可以并行或相继地执行。附加或替代地,可以并行或顺序地识别出多个异常并且可以执行相应的对应措施。
第一对应措施的执行可以通过不同方式进行。同样,运输工具或远程系统的不同组件可以参与到第一对应措施的执行。在一个示例中,所涉及的组件本身(例如图1中的第一组件13和第二组件11)可以执行相应的第一措施。在这些示例中,相应的组件也可以接收签名信息(包括签名信息在组件自身中生成的情况)。附加或替代地,用于缓解操纵的中央装置可以执行第一对应措施和/或参与其执行(例如,操控所涉及的组件的一个或多个子组件或远程执行对应措施)。在一些示例中,特定组件(例如,用于缓解操纵的中央装置)可以选择第一对应措施并指示另一组件实施该对应措施(例如,通过经由机载网络发送相应的消息)。选择第一对应措施的特定组件也可以布置在远程系统17中。在这些示例中,该方法还可以包括在运输工具30中检查在当前运行情况下是否应该执行(或者根本能否执行)所选择的对应措施。
在一些示例中,第一对应措施被设计为:在检测到异常之后的第一预定时间区间内执行(即,第一对应措施在该时间区间内完成)。在一些示例中,第一预定时间区间可以为20秒到2毫秒。附加或替代地,该时间区间可以至多与预定的容错时间一样长(例如,可以容忍特定故障而不危害到运输工具的运行安全性的时间区间;例如,根据标准ISO26262:2018“Road vehicle-Functional safety(道路运输工具-功能安全性)”的容错时间)。这些时间区间可以适合于降低由于处于不安全状态的运输工具和/或其组件之一而造成损坏的风险。与此相应地,可能有必要相应地选择第一对应措施,使得可以在第一时间区间内执行。在一些示例中,第一对应措施可以由运输工具内的一个或多个组件执行(例如,从而使得能够在第一时间区间内执行)。
本公开的技术进一步包括:执行105第二对应措施以至少部分地恢复运输工具30的功能范围。在一些示例中,在开始执行第一对应措施之后(例如,预定时长之后)开始执行第二对应措施。附加或替代地,可以在第一对应措施已经终止之后终止第二对应措施(然而,在第一对应措施的执行已终止之前就已经可以开始第二对应措施的执行)。在其他示例中,第一对应措施和第二对应措施被顺序执行(即,当第二对应措施的执行已开始时,第一对应措施的执行是被终止的)。
如上所述,运输工具30的功能范围表示运输工具(或其组件之一)的全部功能。还如所描述的,功能可以是组件11、13在运输工具30中履行特定任务的任一能力或者履行特定任务的运输工具30的总体能力。功能范围的减少在此可能意味着:不再提供既定功能或仅在有限时间内提供既定功能(例如,不再提供自动或辅助驾驶的功能;特定传感器模态不再可用;组件接管既定功能,但由于设计原因只能使其在特定时间段内可用)。附加或替代地,功能范围的减少可以是与正常运行相比提供受限范围的功能(例如,仅在受限数量的运行情况下和/或在经减小的驾驶参数空间内提供自主或辅助驾驶的功能;以经降低的质量(分辨率、帧速率)而提供传感器模态)。进一步附加或替代地,功能范围可以涉及与运输工具或其组件的运行安全性相关的特性。例如,功能范围可以通过诸如提供特定功能的冗余等特性来确定(例如,如果运输工具具有两个可以执行特定功能的组件,因此被设计为关于该功能的冗余,则这两个组件之一的故障代表运输工具功能范围的减少——运输工具不再冗余地提供所述功能)。
在前述示例中的每一个中,运输工具30的功能范围的至少部分恢复可以包括:功能范围的减少(作为第一对应措施的结果)至少部分地再次得以解决(即,正常运行中的功能范围再次部分可用)。在一些示例中,运输工具30的功能范围被完全恢复(即,正常运行中的功能范围再次可用)。
因此,第二对应措施可以引起:再次至少部分地再次消除第一对应措施对运输工具工作能力的影响。因此,与现有技术中的一些技术相比,运输工具可以(更快地)再次以更大功能范围可供使用。
在一些示例中,第二对应措施可以在检测到异常之后的第二时间区间内执行(即,第二对应措施的执行在第二时间区间内被终止)。例如,第二时间区间可以小于一天(例如,小于两小时或小于十分钟)。第二时间区间可以例如长于一分钟(例如长于十分钟)。
执行第二对应措施可以通过各种方式完成(类似于执行第一对应措施)。同样,运输工具30或远程系统的各种组件可以参与执行第二对应措施。在一个示例中,所涉及的组件本身(例如图1中的第一组件13和第二组件11)可以执行相应的第一措施。附加或替代地,用于缓解操纵的中央装置可以实施第二对应措施和/或参与所述执行(例如,操控所涉及组件的一个或多个子组件或远程执行对应措施)。在一些示例中,特定组件(例如,用于缓解操纵的中央装置)可以选择第二对应措施并指示另一组件实施该对应措施(例如,通过经由机载网络发送相应的消息)。选择第二对应措施的特定组件也可以布置在远程系统中。
在一些示例中,第二对应措施可以包括:重置机载网络21的其中已发生当前异常(例如其中已发生操纵)的第一组件13的软件和/或机载网络的其他组件的软件(例如,第一组件13的软件被重置为最后的被认证状态,其对应于在检测到异常之前使用的软件的版本)。用于重置的软件可以存储在运输工具本身中(例如分别在所涉及的组件中或在中央存储装置中,例如用于缓解操纵的中央装置中)。在其他示例中,用于重置的软件可以从远程系统17(例如,经由运输工具的空中接口27)获得。
附加或替代地,第二对应措施可以包括:更新机载网络21的其中已发生当前异常(例如其中已发生操纵)的第一组件13的软件。附加或替代地,第二对应措施可以包括更新机载网络21的其他组件的软件(即,除了第一组件13之外地或替代于第一组件13地)。其他组件可以例如是建立到第一组件13的通信路径的组件(例如运输工具的通信接口或中央通信节点)。更新软件可以包括用更加新的版本的软件取代在检测到异常之前使用的软件。用于更新的软件可以存储在运输工具30本身中(例如分别存储在所涉及的组件中或存储在中央存储装置中,例如用于缓解操纵的中央装置中)。在其他示例中,用于重置的软件可以从远程系统17(例如,经由运输工具的空中接口27)获得。
进一步附加或替代地,第二对应措施可以包括例如重新激活或消除机载网络的其中已发生当前异常(例如其中已发生操纵)的第一组件13的封锁(Blockade)。在一些示例中,可以仅将第一组件13的已被关断或封锁的部分重新激活(例如,在具有多个子组件的更复杂组件的情况下)。
进一步附加或替代地,第二对应措施可以包括例如将功能从第二组件11转移回到其中已发生当前异常(例如其中已发生操纵)的第一组件13。在一些示例中,转移回可以包括逆转(Umkehr)上面针对转移的第一对应措施所描述的动作(即,恢复在执行所述转移的第一对应措施之前的情况)。
进一步附加或替代地,第二对应措施可以包括例如改变机载网络的其中已发生当前异常(例如其中已发生操纵)的第一组件13的配置和/或机载网络的其他组件的配置。在一些示例中,改变配置可以包括:逆转上面针对改变配置的第一对应措施所描述的动作(即,恢复在执行所述改变配置的第一对应措施之前的情况)。例如,第一组件可以从具有受限功能范围的第二配置切换到具有扩展功能范围的第一配置。
进一步附加或替代地,第二对应措施可以包括例如改变机载网络的其中已发生当前异常(例如其中已发生操纵)的第一组件13的运行模式和/或机载网络的其他组件的运行模式。在一些示例中,改变运行模式可以包括逆转上面针对改变运行模式的第一对应措施所描述的动作(即,恢复在执行所述改变运行模式的第一对应措施之前的情况)。例如,运行模式可以从其中组件执行不太复杂的功能的第二运行模式改变到其中组件执行更复杂的功能的第一运行模式。
如上面提及的,上述第二对应措施也可以被组合起来。例如,所描述的第二对应措施中的两个可以并行或相继地执行。
图1的示例中,作为第二对应措施,第一组件13的软件被更新105a。另外,在第一组件13的软件更新之后,先前转移到第二组件11的功能被再次转移回105b到第一组件。因此可以恢复运输工具30的功能范围。
根据本公开的技术,基于关于所述运输工具30的状态信息和/或所述一个或多个当前异常从各种可用对应措施中动态地选择针对当前异常的第一对应措施和/或第二对应措施。在一些示例中,可以基于关于所述运输工具30的状态信息和/或所述一个或多个当前异常从各种可用的第一对应措施中动态地仅选择针对当前异常的第一对应措施。在其他示例中,可以基于关于所述运输工具30的状态信息和/或所述当前异常从各种可用的第一对应措施中动态地仅选择针对当前异常的第二对应措施。
状态信息可以包含表征运输工具30和/或其组件11、13、15之一的目前状态或者与运输工具30和/或其组件有关的历史信息的任何数据。在一些示例中,状态信息可以包含关于运输工具30和/或其组件11、13之一的异常历史(例如,具有当前异常的签名)的数据。替代地或附加地,状态信息可以包含关于其他运输工具的异常的历史(例如,具有当前异常的签名)和/或具有特定签名的异常的发生的数据。进一步附加或替代地,状态信息可以包含关于运输工具30的运行状态的数据(例如,如上面更详细地描述的)或者关于运输工具30的运行状态的历史的数据。
在一些示例中,状态信息说明:当前异常是否已经重复发生(即,当前检测到的异常是第一次被检测到还是重复地被检测到)。附加或替代地,状态信息可以说明:具有该签名的当前异常发生的频率。在一些示例中,可以在预定时间段内测量所述重复或频率(即,例如,被检测到的异常只有在其至多发生在当前异常被检测到之前的预定时间段内的情况下才被计数和/或在预定时间段之后重新开始计数的情况下才被计数)。在一些示例中,设置计数器,其在每次检测到当前异常时被增加。可以针对具有不同签名的不同异常而设置不同的计数器。换言之,可以保存关于如下方面的记录:具有不同签名的不同异常是第一次发生还是重复发生和/或相应异常发生的频率。
在示例中,可能存在具有不同签名A、B、C的三个不同异常。现在设置三个计数器,这些计数器对具有签名A、B、C的异常发生的频率进行计数。例如,如果现在检测到具有签名A的异常,则针对具有签名A的异常的计数器增加1。
在一些示例中,在由状态信息所标识的不同情况下选择不同的第一对应措施和/或第二对应措施。例如,可以在第一次检测到具有特定签名的异常时选择特定的第一对应措施,并且在进一步检测到具有特定签名的异常时选择其他的第一对应措施。替代地或附加地,可以在第一次检测到具有特定签名的异常时选择特定的第二对应措施,并且在进一步检测到具有特定签名的异常时选择其他的第二对应措施。第一检测可以是绝对第一检测(例如,在特定时间区间内)或者仅仅是由两个或更多个检测组成的组中的第一检测。例如,在第一次检测到具有特定签名的异常时选择的第一或第二对应措施可能引起比在进一步检测到具有所述特定签名的异常时选择的第一或第二对应措施更小程度的对运输工具的损害(例如,关于减少功能范围和/或实施对应措施的持续时间和耗费方面)。
在一个示例中,在第一次检测到特定异常时的第一对应措施可以包括改变组件(例如,图1中的第一组件13)的配置或运行模式。在进一步检测到特定异常的情况下的第一对应措施可以包括例如阻止或停用该组件(例如图1中的第一组件13)。附加或替代地,在第一次检测到特定异常时的第二对应措施可以包括重置组件(例如,图1中的第一组件13)的软件。在进一步检测到特定异常时的第二对应措施可以包括更新组件(例如,图1中的第一组件13)的软件。在其他示例中,上述第一对应措施和第二对应措施可以以与在第一次检测到或进一步检测到特定异常时的第一/第二对应措施不同的方式而组合。
在一些情况下,第一对应措施和/或第二对应措施的动态选择可以实现:增加运输工具的功能范围和/或保证运行安全性。所以可以首先可以以相对温和的对应措施开始。然而例如如果随后重复发生特定异常,则可以对运输工具采取更深入的干预并这样适配反应。
如上面概述中所解释的,本公开还涉及根据第三和第四共同方面的用于缓解对运输工具的机载网络的操纵的技术。这些技术还包括执行第一对应措施103和第二对应措施105的步骤。因此,在根据第三和第四共同方面的技术中,也可以使用执行第一对应措施和第二对应措施的上述设计方案。
然而,第三和第四共同方面的技术不强制性包括如上所述地动态选择第一或第二对应措施。相反,还可以针对特定异常(具有特定签名)而设置静态的(statisch)第一对应措施和静态的第二对应措施。换句话说,在检测到具有特定签名的异常之后,始终只能执行预定的第一对应措施和预定的第二对应措施。然而,在其他示例中,同样在第三和第四共同方面的技术中,也可以动态地选择第一和/或第二对应措施(如上所述)。
第三和第四共同方面的技术还包括在执行了第二对应措施之后接收117软件更新以填补利用了所识别到的异常(或产生所述异常的操纵)的机载网络的薄弱点。在一些示例中,可以从远程系统17接收软件更新(例如,经由运输工具30的无线接口27或有线接口29)。软件更新可以是例如针对机载网络21的第一组件13的软件更新。在接收到软件更新之后,可以更新113第一组件13的软件(并且因此可以填补薄弱点)。在其他示例中,软件更新还可以针对机载网络21的其他组件附加地被确定,并且它们的软件可以被更新。
如图1所示,在一些示例中,其软件应被更新的第一组件13可以在更新之前被停用111并且在更新之后被重新激活107。另外,在一些示例中,第一组件13的功能可以在更新之前被转移111到第二组件11。在更新之后,该功能可以从第二组件11转移回107到第一组件13。
在一些示例中,对用于填补薄弱点的软件更新的上述接收也可以与第一和第二共同方面的技术相结合来执行(例如,在执行第一和第二对应措施之后)。
在一些示例中,本公开的技术还可以包括将标识机载网络中的当前操纵(例如,当前攻击)的信息发送121到远程系统17。附加或替代地,本公开的技术还可以包括在执行第一对应措施和/或第二对应措施之后向远程系统17发送123、125状态更新。标识机载网络中的当前操纵(例如,当前攻击)的信息和/或状态更新可以在远程系统17中被处理,以便选择(和/或创建)填补机载网络21的薄弱点的软件更新(例如,利用了产生当前异常的操纵或攻击的薄弱点)。
在一些示例中,本公开中所描述的技术的其中一个或多个步骤可以被报告给远程系统17(例如,检测签名、接收签名、执行第一对应措施和/或执行第二对应措施)。在一些示例中,远程系统17还可以执行对应措施或发起对应措施的执行。
在前面的段落中已经单独讨论了哪些组件可以接管第一和第二对应措施的检测和执行。下面参考图2更详细地描述这些组件。
如已经提到的,可以设置用于缓解操纵的中央装置,其协调第一和/或第二对应措施的执行和/或软件更新的执行。在图1和图2的示例中,用于缓解操纵的该中央装置布置在运输工具30的中央处理器15中。在其他示例中,用于缓解操纵的中央装置可以布置在运输工具的其他组件中,例如中央通信接口、运输工具计算机(英文为“vehicle computer”,即运输工具的中央计算单元中,该中央计算单元控制运输工具的不同功能)或信息娱乐系统的主机单元(Head-Unit)中。附加或替代地,用于缓解操纵的中央装置可以分布在多个组件上。在其他示例中,用于缓解操纵的中央装置也可以是专用组件。在一些示例中,用于缓解操纵的中央装置还可以布置在远程系统17中(然而,在一些示例中,这可能延长用于缓解操纵的中央装置的响应时间)。在其他示例中,选择并执行第一对应措施以及选择并执行第二对应措施的步骤由运输工具30内的组件来执行。
本公开还涉及被设计为执行本公开的技术的系统。该系统可以被包含在运输工具中和/或连接到运输工具(例如,经由无线接口)。
本公开的系统、组件、模块或单元可以包括任何合适提供所描述的功能的硬件和/或软件。这些组件或模块分别可以包括至少一个(可能具有多个核的)处理器和存储器,该存储器包括当由处理器执行时执行本公开的方法的指令。这些组件、模块或单元可以被实现为独立系统或分布式系统(例如,一部分位于远程系统上和/或在云存储中)。在其他示例中,组件或模块可以集成到更高级别的系统中。
本公开还涉及被设计为执行根据本公开的方法的计算机程序。
本公开还涉及包含/编码根据本公开的计算机程序的计算机可读介质(例如存储介质)或信号(无线或有线的)。
Claims (12)
1.用于缓解对运输工具(30)的机载网络(21)的操纵的方法,其中,所述方法包括:
接收(101)所述机载网络(21)中的当前异常的签名;
执行(103)将所述运输工具(30)和/或其至少一个组件(11;13;15)转换到预定安全状态的第一对应措施,
其中,基于所述签名而选择所述第一对应措施,
执行(105)第二对应措施以至少部分地恢复所述运输工具(30)的功能范围,
其中基于关于所述运输工具(30)的状态信息和/或所述当前异常从各种可用对应措施中动态地选择针对当前异常的第一对应措施和/或第二对应措施。
2.根据权利要求1所述的方法,其中,所述状态信息说明当前异常是否已经重复发生。
3.根据权利要求1或权利要求2所述的方法,其中所述状态信息说明具有所述签名的异常发生的频率。
4.根据前述权利要求1至3中任一项所述的方法,其中在由所述状态信息所标识的不同情况下选择不同的第一对应措施和/或第二对应措施。
5.根据权利要求4所述的方法,其中在第一次检测到具有特定签名的异常时选择特定的第一和/或第二对应措施,并且在进一步检测到所述具有特定签名的异常时选择其他的第一和/或第二对应措施。
6.根据权利要求1至5中任一项所述的方法,其中所述第一对应措施被设计为在检测到异常之后的第一预定时间区间内执行,其中所述预定时间区间为20秒或更短,可选地为2秒或更短,进一步可选地为20ms或更短。
7.根据权利要求1至6中任一项所述的方法,其中,所述第一对应措施包括以下一项或多项:
至少部分地停用或封锁所述机载网络(21)的其中已发生当前异常的第一组件(13);
激活受当前异常影响的组件或功能;
将其中已发生当前异常的第一组件(13)的功能转移到第二组件(11);
改变所述机载网络(21)的其中已发生当前异常的第一组件(13)的配置和/或改变所述机载网络(21)的其他组件的配置;
改变所述机载网络(21)的其中已发生当前异常的第一组件(13)的运行模式和/或改变所述机载网络(21)的其他组件的运行模式;和
发出已检测到异常的签名的警告。
8.根据前述权利要求1至7中任一项所述的方法,其中,所述第二对应措施包括以下一项或多项:
重置所述机载网络(21)的其中已发生当前异常的第一组件(13)的软件和/或所述机载网络(21)的其他组件的软件;
更新所述机载网络(1)的其中已发生当前异常的第一组件(13)的软件和/或所述机载网络(21)的其他组件的软件;
重新激活或消除所述机载网络(21)的其中已发生当前异常的第一组件(13)的封锁;
将功能从第二组件(11)转移回到其中已发生当前异常的第一组件(13);
改变所述机载网络(21)的其中已发生当前异常的第一组件(13)的配置和/或改变所述机载网络(21)的其他组件的配置;和
改变所述机载网络(13)的其中已发生当前异常的第一组件(13)的运行模式和/或所述机载网络(21)的其他组件的运行模式。
9.根据前述权利要求1至8中任一项所述的方法,其中,所述方法由所述运输工具(30)内的一个或多个组件执行。
10.一种被设计为执行根据权利要求1至9中任一项所述的方法的系统。
11.一种包含指令的计算机程序,当所述指令被系统执行时,所述指令使得所述系统执行根据权利要求1至9中任一项所述的方法。
12.一种包含/编码根据权利要求11所述的计算机程序的计算机可读介质或信号。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022208647.3 | 2022-08-22 | ||
DE102022208647.3A DE102022208647A1 (de) | 2022-08-22 | 2022-08-22 | Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117601779A true CN117601779A (zh) | 2024-02-27 |
Family
ID=89808934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311062226.XA Pending CN117601779A (zh) | 2022-08-22 | 2023-08-22 | 缓解运输工具机载网络操纵的技术 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20240061934A1 (zh) |
CN (1) | CN117601779A (zh) |
DE (1) | DE102022208647A1 (zh) |
-
2022
- 2022-08-22 DE DE102022208647.3A patent/DE102022208647A1/de active Pending
-
2023
- 2023-08-21 US US18/452,872 patent/US20240061934A1/en active Pending
- 2023-08-22 CN CN202311062226.XA patent/CN117601779A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US20240061934A1 (en) | 2024-02-22 |
DE102022208647A1 (de) | 2024-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6964277B2 (ja) | 通信遮断システム、通信遮断方法及びプログラム | |
US10824765B2 (en) | Electronic control units for vehicles | |
US9434391B2 (en) | Braking system | |
CN109005147B (zh) | 用于避免被操纵的数据传输而保护车辆网络的方法 | |
US20210086790A1 (en) | Method for driving a motor vehicle in at least partially automated fashion | |
CN107783530B (zh) | 基于软件代码迁移的失效可操作的系统设计模式 | |
JP7447905B2 (ja) | モビリティ制御システム、方法、および、プログラム | |
CN117601779A (zh) | 缓解运输工具机载网络操纵的技术 | |
US20230052852A1 (en) | Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle | |
WO2020137852A1 (ja) | 情報処理装置 | |
US8843218B2 (en) | Method and system for limited time fault tolerant control of actuators based on pre-computed values | |
US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
WO2020008872A1 (ja) | 車載セキュリティシステムおよび攻撃対処方法 | |
CN116639140A (zh) | 减轻对车辆软件的操纵 | |
US9187070B2 (en) | System and method for maintaining operational states of vehicle remote actuators during failure conditions | |
CN116639139A (zh) | 减轻对车辆软件的操纵 | |
CN117728970A (zh) | 缓解机载网络操纵的技术 | |
JP2023122639A (ja) | 車両のソフトウェアの改竄の軽減 | |
CN116639142A (zh) | 减轻对车辆软件的操纵 | |
US20230024817A1 (en) | Mitigation of vehicle software manipulation | |
US20230331207A1 (en) | Vehicle's brake system and a method for braking a vehicle | |
JP7021928B2 (ja) | 制御システム | |
GB2592830A (en) | Electronic control units for vehicles | |
CN117859117A (zh) | 用于安全关键应用中的至少一个接收设备的控制系统 | |
KR20240092688A (ko) | 차량 제어 장치 및 차량 제어 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |