-
Die
Erfindung betrifft eine Rechneranordnung für ein Kraftfahrzeug. Die Rechneranordnung umfasst
einen Hauptrechner und einen Überwachungsrechner.
Dem Hauptrechner ist zum Betreiben des Kraftfahrzeugs mindestens
ein Sensor aus einer Menge von Sensoren und mindestens ein Aktor
aus einer Menge von Aktoren des Kraftfahrzeugs zugeordnet. Der Überwachungsrechner
ist dazu ausgebildet, regelmäßig eine
Funktionstüchtigkeit
des Hauptrechners zu überprüfen. Ferner
umfasst der Überwachungsrechner
einen permanenten Speicher.
-
Einem
sicherheitskritischen Steuergerät,
das einen Hauptrechner umfasst, ist in einem Kraftfahrzeug regelmäßig ein Überwachungsrechner
zugeordnet. Der Überwachungsrechner
dient dazu, den Hauptrechner zu überwachen.
Der Überwachungsrechnern
kann den Hauptrechner beispielsweise dadurch überwachen, dass er unabhängig vom
Hauptrechner Messwerte empfängt,
und diese mit Messwerten, die der Hauptrechner empfangen hat, vergleicht.
Ferner kann der Überwachungsrechner
von den Messwerten abgeleitete Größen ermitteln und diese mit
den Größen vergleichen,
die der Hauptrechner von den Messwerten abgeleitet hat. Ferner kann
der Überwachungsrechner
Stellsignale für
Aktoren des Kraftfahrzeugs ermitteln und diese mit den Stellsignalen
vergleichen, die der Hauptrechner ermittelt. Falls die vom Überwachungsrechner
ermittelten Messwerte, Größen bzw.
Steilsignale nicht zu denen des Hauptrechners passen, kann der Überwachungsrechner
Sicherheitsmaßnahmen
einleiten. Die Sicherheitsmaßnahmen
umfassen beispielsweise ein Abschalten eines Aktors des Kraftfahrzeugs oder
das Setzen einer Drehzahlbeschränkung.
Dies trägt
zu einem sicheren Betrieb des Kraftfahrzeugs bei. Der Überwachungsrechner
ist regelmäßig durch bauliche
und/oder Softwaremaßnahmen
sehr gut vor einem unautorisierten Zugriff geschützt. Beispielsweise ist der Überwachungsrechner
regelmäßig so ausgebildet,
dass dieser bei einem Öffnen
eines Gehäuses
des Überwachungsrechners zerstört wird. Ferner
weißt
der Überwachungsrechner
regelmäßig einen
permanenten Speicher auf, der nur einmal programmiert werden kann.
Der permanente Speicher ist beispielsweise ein ROM oder ein PROM.
-
Alternativ
oder zusätzlich
kann der Hauptrechner überwacht
werden, indem die Signalüberwachung
durch den Hauptrechner durchgeführt
wird und der Überwachungsrechner
durch Kommunikation mit dem Hauptrechner dessen korrekte Funktion sicher
stellt.
-
Aus
der
DE 10 2004
035 033 A1 ist eine elektronische Wegfahrsperre bekannt.
Die elektronische Wegfahrsperre umfasst ein Sicherheitssteuergerät und ein
Motorsteuergerät
für fahrzeugrelevante Funktionen,
das mit dem Sicherheitssteuergerät über eine
Signalleitung verbunden ist. Zwischen dem Sicherheitssteuergerät und dem
Motorsteuergerät
sind Informationen austauschbar. Das Motorsteuergerät ist nur
dann betriebsbereit, wenn es einen den Benutzer legitimierenden
Zugangsberechtigungscode erhalten hat. Das Sicherheitssteuergerät und das
Motorsteuergerät
weisen Speicher auf, in denen jeweils mehrere verschiedene, gemeinsam
bekannte Verschlüsselungsalgorithmen
abgelegt sind, die verschiedenen fahrzeugrelevanten Funktionen und/oder Befehlen/Informationen
zugeordnet sind. Das Sicherheitssteuergerät sendet nach einer Authentisierung oder
Identifikation des Fahrers gegenüber
dem Sicherheitssteuergerät
und nach Übermittlung
eines Fahrerstartwunsches ein Anforderungssignal an das Motorsteuergerät.
-
Aus
der
DE 102 00 136
A1 ist ein Verfahren zum Überwachen des Zustandes eines
Sicherheitsorgans bekannt. Dabei ist ein erster Rechner mit dem Sicherheitsorgan
verbunden. Ein zweiter Rechner, der zum Steuern eines Aktors dient,
befragt zuerst in Abhängigkeit
von einer Betätigung
und/oder Abschaltung des Aktors den ersten Rechner hinsichtlich des
Zustands des Sicherheitsorgans. Der zweite Rechner fragt durch Abgabe
einer verschlüsselten Botschaft
unmittelbar den Zustand des Sicherheitsorgans ab. Der erste Rechner überträgt in einer
Richtung die Frage des zweiten Rechners auf das Sicherheitsorgan
und in der entgegengesetzten Richtung die Antwort des letzteren.
Der zweite Rechner verifiziert die Verträglichkeit der empfangenen Antwort. Der
Verschlüsselungscode
ist dem zweiten Rechner und dem Sicherheitsorgan, nicht jedoch dem
ersten Rechner bekannt.
-
Es
ist Aufgabe der Erfindung, eine Rechneranordnung für ein Kraftfahrzeug
zu schaffen, die einfach das Kraftfahrzeug vor einem unautorisierten
Zugriff schützen.
-
Die
Aufgabe wird gelöst
durch die Merkmale des unabhängigen
Anspruchs. Vorteilhafte Ausgestaltungen der Erfindung sind in den
Unteransprüchen
angegeben.
-
Die
Erfindung zeichnet sich aus durch eine Rechneranordnung für ein Kraftfahrzeug.
Die Rechneranordnung umfasst einen Hauptrechner und einen Überwachungsrechner.
Dem Hauptrechner ist zum Betreiben des Kraftfahrzeugs mindestens
ein Sensor aus einer Menge von Sensoren und mindestens ein Aktor
aus einer Menge von Aktoren des Kraftfahrzeugs zugeordnet. Der Überwachungsrechner
ist dazu ausgebildet, regelmäßig eine
Funktionstüchtigkeit
des Hauptrechners zu überprüfen. Der Überwachungsrechner
umfasst einen permanenten Speicher. Auf dem permanenten Speicher
sind zumindest eine Sicherheitsfunktion und/oder Sicherheitsdaten
fest einprogrammiert, die dazu beitragen, das Kraftfahrzeug vor
einem unautorisierten Zugriff zu schützen.
-
Der Überwachungsrechner
ist grundsätzlich besser
vor Manipulationen geschützt
als der Hauptrechner. Sind nun die zumindest eine oder vorzugsweise
mehrere Sicherheitsfunktionen und/oder die Sicherheitsdaten auf
dem permanenten Speicher des Überwachungsrechners
gespeichert, so trägt dies
zu einem besonders wirkungsvollen Schutz vor dem unautorisierten
Zugriff bei. Ferner kann der permanente Speicher nur einmal programmiert
werden. Dies trägt
auch zum Schutz vor dem unautorisierten Zugriff bei, da der permanente
Speicher nicht umprogrammiert werden kann, was den unautorisierten
Zugriff erleichtern könnte.
Der permanente Speicher umfasst beispielsweise einen ROM oder einen PROM.
Der Zugriff auf das Kraftfahrzeug kann ein Stehlen des Kraftfahrzeugs,
ein unautorisiertes Tunen des Kraftfahrzeugs und/oder ein unautorisiertes Entschlüsseln und/oder
Manipulieren verschlüsselter Daten
umfassen.
-
In
einer vorteilhaften Ausgestaltung der Rechneranordnung erzeugt der Überwachungsrechner
bei einem erkannten unautorisierten Zugriffsversuch auf das Kraftfahrzeug
ein Aktor-Sicherheitssignal.
Abhängig
vom Aktor-Sicherheitssignal wird zumindest einer der Aktoren aus
der Menge der Aktoren in seinem Betrieb eingeschränkt. Dies
kann besonders wirkungsvoll dazu beitragen, den Zugriff auf das
Kraftfahrzeug zu unterbinden. Das Einschränken des Betriebs des Aktors
umfasst auch ein Abschalten des Aktors.
-
In
einer weiteren vorteilhaften Ausgestaltung der Rechneranordnung
erzeugt der Überwachungsrechner
bei einem erkannten unautorisierten Zugriffsversuch auf das Kraftfahrzeug
ein Steuergerät-Sicherheitssignal.
Abhängig
vom Steuergerät-Sicherheitssignal
wird ein Steuergerät
zum Steuern mindestens eines der Aktoren aus der Menge von Aktoren
in seinem Betrieb eingeschränkt.
Dies kann besonders wirkungsvoll dazu beitragen, den unautorisierten
Zugriff auf das Kraftfahrzeug zu unterbinden. Das Steuergerät in seinem
Betrieb einzuschränken, kann
auch ein Abschalten des Steuergeräts umfassen. Das Steuergerät kann ein
eigenständiges
Steuergerät
sein. Alternativ dazu kann das Steuergerät vom Hauptrechner umfasst
sein.
-
In
einer weiteren vorteilhaften Ausgestaltung der Rechneranordnung
umfassen die Sicherheitsfunktion und/oder Sicherheitsdaten eine
elektronische Wegfahrsperre des Kraftfahr zeugs. Dies trägt dazu
bei, dass das Kraftfahrzeug nicht gestohlen werden kann.
-
In
einer weiteren vorteilhaften Ausgestaltung der Rechneranordnung
umfassen die Sicherheitsfunktion und/oder Sicherheitsdaten zumindest
eine Verschlüsselungsroutine
und/oder Schlüsseldaten. Dies
kann dazu beitragen, dass eine Manipulation des Kraftfahrzeugs unterbunden
werden kann.
-
In
einer weiteren vorteilhaften Ausgestaltung der Rechneranordnung
umfassen die Sicherheitsfunktion und/oder Sicherheitsdaten eine
Signaturermittlungs-Funktion. Dies kann dazu beitragen, eine Manipulation
des Kraftfahrzeugs einfach zu unterbinden.
-
In
einer weiteren vorteilhaften Ausgestaltung der Rechneranordnung
sind die Sicherheitsdaten verschlüsselt. Dies kann dazu beitragen,
eine Manipulation des Kraftfahrzeugs zu unterbinden.
-
Die
Erfindung ist im Folgenden anhand von schematischen Zeichnungen
näher erläutert.
-
Es
zeigen:
-
1 ein
Kraftfahrzeug,
-
2 eine
Rechneranordnung des Kraftfahrzeugs.
-
Elemente
gleicher Konstruktion oder Funktion sind figurenübergreifend mit den gleichen
Bezugszeichen gekennzeichnet.
-
Ein
Kraftfahrzeug 2 (1) umfasst
einen Hauptrechner 4 und einen Überwachungsrechner 6. Der
Hauptrechner 4 ist vorgesehen zum Betreiben des Kraftfahrzeugs 2.
Das Betreiben des Kraftfahrzeugs 2 umfasst ein Auswerten
von Messwerten und ein Ansteuern zumindest eines Aktors aus einer
Menge 16 von Aktoren des Kraftfahrzeugs (2).
Die Messwerte erhält
der Hauptrechner 4 von zumindest einem Sensor aus einer
Menge 18 von Sensoren des Kraftfahrzeugs 2. Der
Hauptrechner 4 kann auch als Steuergerät bezeichnet werden. Der Hauptrechner 4 kann
auch mit anderen Steuergeräten
des Kraftfahrzeugs 2 kommunizieren. Der Hauptrechner 4 weist einen
Speicher 8 des Hauptrechners 4 auf. Der Hauptrechner 4 ist
mit dem Überwachungsrechner 6 gekoppelt.
-
Der Überwachungsrechner 6 dient
dazu, regelmäßig eine
Funktionstüchtigkeit
des Hauptrechners 4 zu überprüfen. Insbesondere überprüft der Überwachungsrechner 6 Messwerte,
die der Hauptrechner 4 von einem der Sensoren erhalten
hat, von den Messwerten abgeleitete Werte, die der Hauptrechner 4 abhängig von
den Messwerten ermittelt hat, und/oder Steilsignale, die der Hauptrechner 4 abhängig von
den Messwerten und/oder den abgeleiteten Werten ermittelt hat. Alternativ
oder zusätzlich kann
der Hauptrechner 4 durch den Überwachungsrechner 6 überwacht
werden, indem die Signalüberwachung
durch den Hauptrechner 4 durchgeführt wird und der Überwachungsrechner 6 durch
Kommunikation mit dem Hauptrechner dessen korrekte Funktion sicher
stellt.
-
Vorzugsweise
ist der Überwachungsrechner 6 so
in einem Gehäuse
angeordnet, dass bei einem unautorisierten Öffnen des Gehäuses der Überwachungsrechner 6 beschädigt wird.
Ferner umfasst der Überwachungsrechner 6 einen
permanenten Speicher 10. Der permanente Speicher 10 kann
nur einmal beschrieben werden. Vorzugsweise umfasst der permanente
Speicher 10 einen ROM ("Read
Only Memory") und/oder
einen PROM ("Programmable Read
Only Memory").
-
Auf
dem permanenten Speicher 10 des Überwachungsrechners 6 sind
zumindest eine Sicherheitsfunktion 12, vorzugsweise mehrere
Sicherheitsfunktionen 12 und/oder Sicherheitsdaten 14 abgespeichert.
Die Sicherheitsfunktion 12 und/oder die Sicherheitsdaten 14 tragen
dazu bei, das Kraftfahrzeug 2 vor einem unautorisierten
Zugriff zu schützen. Der
unautorisierte Zugriff auf das Kraftfahrzeug 2 kann ein
Stehlen des Kraft fahrzeugs 2 umfassen. Alternativ oder
zusätzlich
kann der Zugriff auf das Kraftfahrzeug 2 ein unautorisiertes
Tunen des Kraftfahrzeugs 2 und/oder ein unautorisiertes
Manipulieren verschlüsselter
Daten umfassen. Die Sicherheitsfunktion 12 kann beispielsweise
eine Verschlüsselungsroutine
und/oder eine Signaturermittlungs-Funktion und/oder eine Wegfahrsperrenfunktion,
die vorgesehen ist zum Setzen einer elektronischen Wegfahrsperre,
und/oder Funktionen umfassen, die Daten verschlüsselt im permanenten Speicher 10 und/oder
dem Speicher 8 des Hauptrechners 4 abspeichern.
Die Sicherheitsdaten 14 umfassen beispielsweise verschlüsselte Daten.
Die verschlüsselten
Daten tragen aufgrund ihrer Verschlüsselung zum Schutz vor dem
unautorisierten Zugriff auf das Kraftfahrzeug 2 bei. Die
verschlüsselten
Daten können
beispielsweise einen Schlüsselcode
für die
Verschlüsselungsroutine
umfassen. Ferner können
die verschlüsselten
Daten Daten umfassen, die zur Sicherheit des Kraftfahrzeugs beitragen,
beispielsweise eine Drehzahlbegrenzung.
-
Dem
Hauptrechner 4 und dem Überwachungsrechner 6 sind
jeweils zumindest ein Sensor aus einer Menge 18 von Sensoren
des Kraftfahrzeugs 2 und zumindest ein Aktor aus einer
Menge 16 von Aktoren des Kraftfahrzeugs 2 zugeordnet.
Die Menge 18 von Sensoren umfasst beispielsweise einen
ersten, einen zweiten und einen dritten Sensor 26, 28, 30.
Die Menge 16 der Aktoren umfasst beispielsweise einen ersten,
einen zweiten und/oder einen dritten Aktor 20, 22, 24.
-
Zum
Schützen
des Kraftfahrzeugs 2 vor dem unautorisierten Zugriff kann
der Überwachungsrechner 6 ein
Einschränken
eines Betriebs zumindest eines der Aktoren direkt oder über den
Hauptrechner 4 bewirken. Der Überwachungsrechner 6 bewirkt
direkt das Einschränken
des Betriebs beispielsweise des ersten Aktors 20 durch
Ansteuern des ersten Aktors 20 oder durch Abschalten des
ersten Aktors 20. Der Überwachungsrechner 6 bewirkt
das Einschränken des
Betriebs des ersten Aktors 20 über den Hauptrechner 4 beispielsweise
indem der Überwachungsrechner 6 dem
Hauptrechner 4 vorgibt, den Betrieb des ersten Aktors 20 einzuschränken, insbesondere abzuschalten
oder indem der Überwachungsrechner 6 den
Betrieb des Hauptrechners 4 bezogen auf den ersten Aktor 20 einschränkt. Beispielsweise
kann der Überwachungsrechner 6 einen
entsprechenden Ausgang des Hauptrechners 4 abschalten, über den
der Hauptrechner 4 mit dem ersten Aktor 20 gekoppelt ist.
Das Einschränken
des Betriebs umfasst generell ein Abschalten des entsprechenden
Aktors und/oder Steuergeräts.
Dazu erzeugt der Überwachungsrechner 6 ein
Aktor-Sicherheitssignal und/oder ein Steuergerät-Sicherheitssignal, von dem
abhängig
der Betrieb des entsprechenden Aktors beziehungsweise des Steuergeräts eingeschränkt wird.
-
Falls
beispielsweise versucht wird das Kraftfahrzeug 2 zu starten, überprüft der Hauptrechner 4, ob
in einem Zündschloss
des Kraftfahrzeugs 2 aktuell ein Schlüssel mit einem gültigen Schlüsselcode
eingesteckt ist. Dazu wird der Schlüsselcode vom Schlüssel gelesen
und mit dem auf dem permanenten Speicher 10 gespeicherten
Schlüsselcode
verglichen. Falls die beiden Schlüsselcodes nicht übereinstimmen,
schaltet der Überwachungsrechner 6 beispielsweise
eine Getriebesteuerung und/oder eine Zündsteuerung des Kraftfahrzeugs 2 ab.
Die Getriebesteuerung bzw. die Zündsteuerung
können
in den Hauptrechner 4 integriert sein oder unabhängig vom Hauptrechner 4 sein.
Alternativ dazu kann der Überwachungsrechner 4 direkt
beispielsweise eine oder vorzugsweise alle Zündkerzen des Kraftfahrzeugs abschalten.
-
Alternativ
oder zusätzlich
kann der Überwachungsrechner 6 bei
einem erkannten Zugriffsversuch auf den Hauptrechner 4 und/oder
ein weiteres Steuergerät
des Kraftfahrzeugs 2 den Hauptrechner 4 und/oder
das entsprechende Steuergerät
ganz oder teilweise abschalten.
-
Die
Erfindung ist nicht auf die angegebenen Ausführungsbeispiele beschränkt. Beispielsweise kann
das Kraftfahrzeug 2 ein beliebiges Kraftfahrzeug sein.
Ferner kann der Hauptrechner 4 jedes Steuergerät des Kraftfahrzeugs 2 umfassen,
das mit einem entsprechenden Überwachungsrechner 6 gekoppelt
ist.