-
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug.
-
Bei vielen Fahrzeugen besteht die Möglichkeit, einen Kilometerstand des Fahrzeuges zu manipulieren. Dies erfolgt beispielsweise, um einen Wiederverkaufswert des Fahrzeugs zu erhöhen.
-
Es existieren eine Vielzahl von Verfahren, einen Kilometerstand eines Fahrzeugs möglichst sicher zu speichern. Die
EP 2 466 263 A1 beschreibt ein Verfahren, in welchem durch einen beeinflussungssicheren Sensor bestimmt wird, wenn eine Winkelrotation eines Zielrades einen Schwellwert erreicht. Weiter wird ein gemessener Zählerstand in einem Zähler des beeinflussungssicheren Sensors in Reaktion auf den Drehwinkel-Bestimmungsschritt inkrementiert. Weiter wird eine erste Distanz basierend auf dem gemessenen Zählerstand des Zählers bestimmt. Ebenfalls wird eine zweite gemessene Distanz durch ein Odometer bestimmt. Weiter wird ein Fehlerwert basierend auf einer Differenz zwischen der ersten gemessenen Distanz und der zweiten gemessenen Distanz bestimmt. Weiter beschreibt die Druckschrift einen beeinflussungssicheren inkrementierbaren Zähler. Dieser Zähler ist Teil einer Sensorverarbeitungseinheit. Weiter offenbart die Druckschrift, dass der beeinflussungssichere Zähler ein Hardwarezähler sein kann. Weiter kann der beeinflussungssichere Zähler nicht modifizierbar und nicht reprogrammierbar sein. Der beeinflussungssichere Zähler kann nicht zurücksetzbar sein und kann als Referenzdistanz eines Fahrzeugs agieren.
-
Die
WO 2006/122263 A2 offenbart ein Verfahren für einen Fernzugang zu Odometer-Daten in einem Fahrzeug mit zumindest zwei Steuereinrichtungen, die über einen Datenbus verbunden sind. Weiter offenbart die Druckschrift, dass ein Odometer-Wert, der über den Datenbus übertragen wird, nur dann akzeptiert wird, falls ein Botschaftszähler des übertragenen Odometer-Werts in einer vorbestimmten Weise über eine Vielzahl von sukzessiven Zeitperioden inkrementiert wird. Hierdurch wird verifiziert, dass Odometer-Daten zu einem korrekten, vorbestimmten Zeitintervall übertragen wurden. Weiter beschreibt die Druckschrift, dass verifiziert wird, ob ein Inkrement zum Kilometerstand positiv und angemessen ist.
-
Weiter bekannt sind so genannte Secure Hardware Extension-Module für Mikrocontroller (SHE-Module). Diese stellen eine Erweiterungshardware in einem Mikrocontroller dar. Eine Aufgabe dieser SHE-Module ist z.B. eine sichere Verwaltung von Verschlüsselungsgeheimnissen in einem gekapselten Bereich des Mikrocontrollers. Hierbei hat eine Applikationssoftware des Mikrocontrollers keine Möglichkeit, die in den nicht flüchtigen Speicherblöcken eines SHE-Moduls abgelegten Verschlüsselungsgeheimnisse auszulesen. Es besteht lediglich die Möglichkeit, unter Verwendung eines gespeicherten Verschlüsselungsgeheimnisses Daten zu ver- bzw. zu entschlüsseln.
-
Es stellt sich das technische Problem, ein Verfahren und eine Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug zu schaffen, welche eine zuverlässige und insbesondere beeinflussungssichere Überprüfung des Zählerstandes ermöglichen.
-
Die Lösung des technischen Problems ergibt sich durch die Gegenstände mit den Merkmalen der Ansprüche 1 und 9. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen.
-
Vorgeschlagen wird ein Verfahren zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug, insbesondere in einem Kraftfahrzeug. Der Wegzähler kann beispielsweise ein Kilometerzähler des Fahrzeugs sein, wobei der Zählerstand in diesem Fall einen Kilometerstand des Fahrzeugs angibt.
-
Das Fahrzeug umfasst mindestens eine Speichereinrichtung. Die Speichereinrichtung kann hierbei Teil einer Steuer- und Auswerteeinrichtung sein. Wie nachfolgend noch näher erläutert, kann die Speichereinrichtung vorzugsweise Teil eines Hardware-Sicherheitsmoduls sein.
-
Die Speichereinrichtung weist mindestens einen ersten Speicherbereich für Daten auf. Weiter weist die Speichereinrichtung mindestens einen, dem ersten Speicherbereich zugeordneten, ersten Zählerspeicherbereich zur Speicherung eines Zählerwerts auf.
-
Daten aus dem ersten Zählerspeicherbereich sind nicht auslesbar. Dies kann bedeuten, dass Daten aus dem ersten Zählerspeicherbereich nicht durch von der Speichereinrichtung verschiedene Einrichtungen abgerufen oder ausgelesen werden können. Auch kann dies bedeuten, dass ein unmittelbarer Zugriff, insbesondere durch von der Speichereinrichtung verschiedene Einrichtungen, auf Daten im ersten Zählerspeicherbereich nicht möglich ist.
-
Allerdings können Daten aus dem ersten Zählerspeicherbereich, insbesondere ausschließlich, zur Durchführung mindestens einer vorbestimmten Operation nutzbar oder verwendbar sein. Insbesondere können Daten aus dem ersten Zählerspeicherbereich zur Durchführung einer Vergleichsoperation nutzbar oder verwendbar sein. Durch eine Vergleichsoperation kann z.B. geprüft werden, ob ein im ersten Zählerspeicherbereich gespeicherter Zählerwert größer als ein anzugebender Vergleichswert ist.
-
Hierbei kann ausschließlich die Speichereinrichtung auf die im ersten Zählerspeicherbereich gespeicherten Daten zur Durchführung der mindestens einen vorbestimmten Operation zugreifen. Weiter können die Daten aus dem ersten Zählerspeicherbereich ausschließlich zur Durchführung der mindestens einen vorbestimmen Operation durch die Speichereinrichtung nutzbar sein. Dies bedeutet, dass auf die Daten des ersten Zählerspeicherbereichs nur im Rahmen der Durchführung der mindestens einen vorbestimmten Operation zugegriffen werden kann. So ist es möglich, dass die Speichereinrichtung, insbesondere ausschließlich, bei der Durchführung einer Vergleichsoperation auf im ersten Zählerspeicherbereich gespeicherte Daten zugreifen kann. Auch kann die Vergleichsoperation ausschließlich durch die Speichereinrichtung durchgeführt werden.
-
Weiter können Daten im ersten Zählerspeicherbereich ausschließlich im Rahmen eines Überschreibens von Daten im ersten Speicherbereich überschrieben werden. Dies bedeutet, dass Daten im ersten Zählerspeicherbereich nicht ohne ein Überschreiben von Daten im ersten Speicherbereich überschrieben werden können.
-
Auch die Daten im ersten Speicherbereich können nicht auslesbar sein. Allerdings können Daten im ersten Speicherbereich, insbesondere ausschließlich, zur Durchführung vorbestimmter Funktionen, insbesondere zur Ver- oder Entschlüsselung von Informationen, nutzbar oder verwendbar sein. Dies wird nachfolgend noch näher erläutert.
-
Zum Überschreiben von Daten im ersten Speicherbereich muss zumindest eine erste Bedingung erfüllt sein, wobei die erste Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich gespeicherte Zählerwert ist.
-
So kann z.B. eine Überschreibefunktion oder -operation zum Überschreiben von Daten im ersten Speicherbereich nur dann ausgelöst oder aufgerufen werden, falls zumindest ein aktueller Zählerwert angegeben wird. Beispielsweise kann die Überschreibefunktion durch z. B. einen Überschreibebefehl nur dann ausgelöst werden, falls als Parameter des Überschreibebefehls ein Zählerwert angegeben wird.
-
Im Sinne dieser Erfindung bedeutet auslösen, dass Funktionsschritte zum Überschreiben von Daten ausgeführt werden. Jedoch hat das Auslösen, wie nachfolgend näher erläutert, nicht zwingend das erfolgreiche Überschreiben der Daten zur Folge. Somit also wird durch das Auslösen der Überschreibefunktion durch den Überschreibefehl versucht, die Daten im ersten Speicherbereich zu überschreiben. Das Überschreiben wird jedoch nur dann ausgeführt, wenn die zumindest erste Bedingung auch erfüllt ist.
-
Erfindungsgemäß wird als Zählerwert jeweils der aktuelle Zählerstand des Wegzählers angegeben, wobei der Zählerstand des Wegzählers des Fahrzeugs als fehlerhaft klassifiziert wird, falls das Überschreiben nicht erfolgreich ist.
-
Somit wird also nach dem Auslösen der Überschreibefunktion, beispielsweise im Rahmen der vorhergehend erläuterten Vergleichsoperation, geprüft, ob der angegebene Zählerwert größer als der aktuell im ersten Zählerspeicherbereich gespeicherte Zählerwert ist. Weiter kann ein Fehlersignal generiert werden, falls das Überschreiben nicht erfolgreich war, insbesondere falls die erste Bedingung nicht erfüllt ist. Das Fehlersignal kann insbesondere von dem nachfolgend noch näher erläuterten Hardware-Sicherheitsmodul generiert werden. Wird das generierte Fehlersignal detektiert, beispielsweise durch eine weitere Steuereinrichtung des Fahrzeugs, so kann der Zählerstand des Wegzählers des Fahrzeugs als fehlerhaft klassifiziert werden.
-
Der Zählerstand des Wegzählers kann in einer weiteren Speichereinrichtung des Fahrzeugs gespeichert sein. Beispielsweise kann der Zählerstand in Abhängigkeit von Ausgangssignalen zumindest einer Erfassungseinrichtung zur Erfassung eines zurückgelegten Wegs des Fahrzeugs bestimmt und in der weiteren Speichereinrichtung gespeichert werden. Zum Auslösen der Überschreibefunktion kann dieser gespeicherte Zählerstand abgerufen und angegeben werden.
-
Somit wird in vorteilhafter Weise die Prüfung eines Zählerstands eines Wegzählers geschaffen, die eine Speichereinrichtung nutzt, bei welcher das Überschreiben bestimmter Speicherbereiche ausschließlich im Rahmen des Überschreibens anderer Speicherbereiche der Speichereinrichtung möglich ist und zusätzliche Bedingungen erfüllt sein müssen. Insbesondere wenn, wie nachfolgend ebenfalls noch näher erläutert, das Überschreiben von Daten im ersten Speicherbereich nur unter Erfüllung noch weiterer Bedingungen möglich ist, kann auf diese Weise eine noch beeinflussungssichere Speicherung des Zählerwerts des Wegzählers erfolgen. Dies wiederum ermöglicht eine sichere Überprüfung des Zählerstands.
-
In einer bevorzugten Ausführungsform weist ein Hardware-Sicherheitsmodul den ersten Speicherbereich und den ersten Zählerspeicherbereich auf. Hierbei kann ein Hardware-Sicherheitsmodul ein Modul bezeichnen, in welchem vorbestimmte Operationen hardwaremäßig fest implementiert sind. Dies bedeutet, dass die vorhergehend genannten Operationen ausschließlich durch Hardwaremittel und nicht durch Softwaremittel durchgeführt werden. Der Begriff Operationen umfasst hierbei auch das Durchführen von Funktionen und/oder Berechnungen. Der Begriff Hardware-Sicherheitsmodul umfasst jedoch auch Module, die in einem gekapselten Bereich einer Recheneinrichtung, z.B. eines Mikrocontrollers, einen Prozessor, einen Arbeitsspeicher und einen Programmspeicher aufweisen. Ein solches Hardware-Sicherheitsmodul kann programmierbar sein. Somit können vorbestimmte Operationen in dem Hardware-Sicherheitsmodul softwaremäßig implementiert werden. Nach der Programmierung sind diese vorbestimmten Operationen jedoch nicht mehr veränderbar. Die vorbestimmten Operationen können beispielsweise durch eine Firmware bereitgestellt werden, mit der das Hardware-Sicherheitsmodul programmiert wird und die nach der Programmierung nicht mehr veränderbar ist
-
Wesentlich ist somit, dass vorbestimmte Operationen, die durch das Hardware-Sicherheitsmodul ausführbar sind, einmalig, z.B. durch einen Hardwareaufbau oder durch eine Programmierung, festgelegt werden und dann unveränderbar sind.
-
Die Unveränderbarkeit und Unbeeinflussbarkeit der vom Hardware-Sicherheitsmodul ausführbaren Operationen kann z.B. bedeuten, dass einzelne Operationsschritte einer (gesamten) Operation, die vom Hardware-Sicherheitsmodul durchgeführt wird, nicht verändert, z.B. ausgetauscht oder weggelassen, werden können. Auch eine Reihenfolge von Operationsschritten kann nicht verändert werden.
-
Wie vorhergehend bereits erläutert, können mittels des Hardware-Sicherheitsmoduls beispielsweise Ver- oder Entschlüsselungsoperationen ausgeführt werden.
-
Insbesondere sind Daten aus dem ersten Speicherbereich zur Durchführung einer vorbestimmten Operation durch das Hardware-Sicherheitsmodul nutzbar. Hierzu kann ausschließlich das Hardware-Sicherheitsmodul auf die im ersten Speicherbereich gespeicherten Daten zur Durchführung der vorbestimmten Operation zugreifen. Ein Zugriff auf die im ersten Speicherbereich gespeicherten Daten von einer Einrichtung, die vom Hardware-Sicherheitsmodul verschieden ist, ist jedoch nicht möglich. Weiter können die Daten aus dem ersten Speicherbereich ausschließlich zur Durchführung einer oder mehrerer vorbestimmter Operation(en) durch das Hardware-Sicherheitsmodul nutzbar sein. Dies bedeutet, dass auf die Daten des ersten Speicherbereichs nur im Rahmen der Durchführung einer vorbestimmten Operation zugegriffen werden kann.
-
Hierdurch ergibt sich in vorteilhafter Weise eine verbesserte Absicherung gegenüber einer unerwünschten Beeinflussung des Zählerstandes des Wegzählers, da dieser nur im Rahmen einer Ausführung einer oder mehrerer vorbestimmter und nicht beeinflussbarer Operationen verändert werden kann.
-
In einer weiter bevorzugten Ausführungsform ist das Hardware-Sicherheitsmodul als Erweiterung einer Steuereinrichtung des Fahrzeugs ausgebildet. Das Hardware-Sicherheitsmodul kann hierbei z.B. der sicheren Verwaltung von Daten dienen, die Ver- und Entschlüsselungsgeheimnisse enthalten oder kodieren. Das Hardware-Sicherheitsmodul kann einen gekapselten Bereich der Steuereinrichtung bilden, wobei die Steuereinrichtung nicht auf in den Speichereinrichtungen des Hardware-Sicherheitsmoduls gespeicherte Daten zugreifen kann. So kann die Steuereinrichtung z.B. ausschließlich vorbestimmte Operationen aufrufen, die dann vom Hardware-Sicherheitsmodul ausgeführt werden.
-
Ein Überschreiben von Daten, die im ersten Speicherbereich des Hardware-Sicherheitsmoduls gespeichert sind, kann beispielsweise nur dann erfolgen, wenn eine vom Hardware-Sicherheitsmodul auszuführende Überschreibefunktion bzw. -operation aufgerufen wird, wobei ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich gespeicherte Zählerwert ist.
-
Hierdurch ergibt sich in vorteilhafter Weise, dass bereits verwendete oder in Zukunft geplante Erweiterungen von Steuereinrichtungen, insbesondere von als Mikrocontroller ausgebildete Steuereinrichtungen des Fahrzeugs, die als Hardware-Sicherheitsmodul ausgeführt sind, genutzt werden können, um eine zuverlässige Prüfung und beeinflussungssichere Speicherung des Zählerstandes des Wegzählers zu ermöglichen.
-
In einer weiteren Ausführungsform muss zum Überschreiben von Daten im ersten Speicherbereich eine weitere Bedingung erfüllt sein, wobei die weitere Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens die aktuell im ersten Speicherbereich gespeicherten Daten oder ein vorbestimmter Master-Datensatz angegeben werden/wird.
-
So kann z.B. eine Überschreibefunktion nur dann ausgelöst werden, falls zusätzlich die aktuell im ersten Speicherbereich gespeicherten Daten angegeben werden. Die Überschreibefunktion wird nur dann ausgeführt (und führt somit zum Überschreiben der im ersten Speicherbereich gespeicherten Daten), wenn die angegebenen Daten den aktuell im ersten Speicherbereich gespeicherten Daten entsprechen. Entsprechen die zum oder beim Auslösen der Überschreibefunktion angegebenen Daten nicht den aktuell im ersten Speicherbereich gespeicherten Daten, so kann entsprechend den vorhergehend getätigten Erläuterungen in Bezug auf den Zählerwert eine Fehlermeldung generiert werden.
-
Alternativ kann die Überschreibefunktion auch dann durchgeführt werden (und somit zum Überschreiben der im ersten Speicherbereich gespeicherten Daten führen), wenn die beim oder zum Auslösen angegebenen Daten einem vorbestimmten Master-Datensatz entsprechen. Der Master-Datensatz kann auch als Mastergeheimnis bezeichnet werden. Dieser vorbestimmte Master-Datensatz kann hierbei auch zum Überschreiben weiterer Speicherbereiche der Speichereinrichtung verwendet werden.
-
Die aktuell im ersten Speicherbereich gespeicherten Daten oder der Master-Datensatz können als Parameter eines Überschreibebefehls angegeben werden.
-
Die im ersten Speicherbereich gespeicherten Daten können hierbei bekannt oder bestimmbar, sein. Allerdings können die im ersten Speicherbereich gespeicherten Daten nicht bestimmbar sein, indem sie aus dem ersten Speicherbereich ausgelesen werden, da Daten aus dem ersten Speicherbereich nicht auslesbar sein können. Z.B. können die im ersten Speicherbereich gespeicherten Daten zusätzlich außerhalb der Speichereinrichtung mit dem ersten Speicherbereich, z.B. in einer weiteren Speichereinrichtung des Fahrzeugs, gespeichert sein.
-
Somit hat eine Steuereinrichtung, die die Überschreibefunktion der Speichereinrichtung, insbesondere der als Hardware-Sicherheitsmodul ausgeführten Speichereinrichtung z.B. durch einen Überschreibebefehl, aufruft und somit auslöst, zwar keinen Zugriff auf die im ersten Speicherbereich aktuell gespeicherten Daten, jedoch auf die entsprechenden Daten in der weiteren Speichereinrichtung. Selbstverständlich können die in der weiteren Speichereinrichtung gespeicherten Daten des ersten Speicherbereichs zusätzlich gegen unbefugte Zugriffe abgesichert werden.
-
Da ausschließlich die sichere Speicherung des Zählerstands des Wegzählers Ziel des erfindungsgemäßen Verfahrens ist, kann es unkritisch sein, Daten, die den im ersten Speicherbereich gespeicherten Daten entsprechen, auch außerhalb des ersten Speicherbereichs zu speichern und einen Zugriff auf diese außerhalb des ersten Speicherbereichs gespeicherten Daten zu ermöglichen.
-
Durch die weitere Bedingung ergibt sich jedoch in vorteilhafter Weise, dass die Sicherheit gegenüber einer unerwünschten Beeinflussung des in dem ersten Zählerspeicherbereich gespeicherten Zählerstandes des Wegzählers weiter erhöht wird.
-
In einer weiteren Ausführungsform werden bei jedem erfolgreichen Überschreiben die gleichen Daten im ersten Speicherbereich gespeichert. Dies bedeutet, dass zum Überschreiben immer die gleichen im ersten Speicherbereich zu speichernden Daten angegeben werden, die somit auch immer den aktuell im ersten Speicherbereich gespeicherten Daten entsprechen. Hierdurch ergibt sich in vorteilhafter Weise ein einfach zu implementierendes Verfahren, wobei jedoch die Absicherung durch die Erfüllung der weiteren Bedingung gegeben ist. Das Verfahren ist insbesondere deswegen einfacher implementierbar, weil keine Änderung der im ersten Speicherbereich gespeicherten oder zu speichernden Daten verfolgt werden muss.
-
In einer weiteren Ausführungsform wird ein erneutes Überschreiben nach Zurücklegen eines vorbestimmten Weges nach dem Zeitpunkt des letzten Überschreibens ausgelöst. Dieser Weg kann beispielsweise durch eine geeignete Wegerfassungseinrichtung erfasst werden. Beispielsweise können regelmäßig Zählerstände dieser Wegerfassungseinrichtung abgefragt werden, wobei das erneute Überschreiben ausgelöst wird, wenn eine gewünschte Differenz zwischen Zählerstanden verschiedener Zeitpunkte eintritt. Beispielsweise kann ein erneutes Überschreiben ausgelöst werden, wenn das Fahrzeug nach dem Zeitpunkt des letzten Überschreibens eine vorbestimmte Wegstrecke, z.B. 50 km, zurückgelegt hat. Zusätzlich kann selbstverständlich noch eine Zeitbedingung bei der Auswertung der Differenz von Zählerständen berücksichtigt werden.
-
Der vorbestimmte Weg ist hierbei vorzugsweise klein zu wählen. Hierdurch ergibt sich zwar ein häufiges Auslösen der Überschreibefunktion, jedoch wird gewährleistet, dass ein wahrer Zählerstand des Wegzählers möglichst häufig in den beeinflussungssicheren ersten Zählerspeicherbereich übertragen wird.
-
In einer weiteren oder alternativen Ausführungsform wird ein erneutes Überschreiben nach einem vorbestimmten fahrzeugzustandsbezogenen Ereignis ausgelöst. Beispielsweise kann ein erneutes Überschreiben ausgelöst werden, wenn eine Zündung des Fahrzeugs eingeschaltet wird. Auch kann ein erneutes Überschreiben ausgelöst werden, wenn weitere vorbestimmte Fahrzeugzustände eintreten.
-
Beispielsweise kann ein erneutes Überschreiben ausgelöst werden, falls eine Verbindungsaufnahme einer fahrzeugexternen Steuereinrichtung, z.B. einer Steuereinrichtung eines Diagnosegeräts, zu einer Steuereinrichtung des Fahrzeugs detektiert wird. Die Verbindungsaufnahme kann hierbei drahtgebunden oder drahtlos erfolgen. Bildlich gesprochen wird somit bei jeder versuchten Kontaktaufnahme mit einem Fahrzeugkommunikationssystem die Überschreibefunktion ausgelöst. Wird z.B. eine externe Recheneinrichtung angeschlossen, um den Zählerstand des Wegzählers in unerwünschter Weise zu verändern, so wird unmittelbar nach der Verbindungsaufnahme und somit noch vor einer Beeinflussung der externen Recheneinrichtung der aktuelle Zählerstand in den beeinflussungssicheren ersten Zählerspeicherbereich übertragen.
-
Hierdurch ergibt sich eine verbesserte Absicherung der Speicherung des Zählerstands des Wegzählers.
-
In einer weiteren Ausführungsform erfolgt bei einer Klassifikation eines fehlerhaften Zählerstands des Wegzählers eine Fehlermeldung. Die Fehlermeldung kann hierbei optisch, akustisch, haptisch oder auf eine andere Weise erfolgen. Alternativ oder kumulativ wird bei einer Klassifikation eines fehlerhaften Zählerstands des Wegzählers eine Fehlermeldung gespeichert.
-
Somit ergibt sich in vorteilhafter Weise, dass ein Fahrzeugführer oder entsprechendes Fachpersonal über einen fehlerhaften Zählerstands des Wegzählers informiert wird.
-
Weiter vorgeschlagen wird eine Vorrichtung zur Prüfung eines Zählerstandes eines Wegzählers in einem Fahrzeug. Die Vorrichtung umfasst mindestens eine Steuereinrichtung und mindestens eine Speichereinrichtung. Die Speichereinrichtung weist mindestens einen ersten Speicherbereich für Daten auf. Weiter weist die Speichereinrichtung mindestens einen dem ersten Speicherbereich zugeordneten ersten Zählerspeicherbereich zur Speicherung eines Zählerwert auf. Daten aus dem ersten Zählerspeicherbereich sind nicht auslesbar. Daten im ersten Speicherbereich sind überschreibbar, wobei zum Überschreiben von Daten im ersten Speicherbereich zumindest eine erste Bedingung erfüllt sein muss, wobei die erste Bedingung erfüllt ist, wenn zum Durchführen des Überschreibens ein Zählerwert angegeben wird und dieser angegebene Zählerwert größer als der im ersten Zählerspeicherbereich gespeicherte Zählerwert ist. Hierbei kann eine Überschreibefunktion durch die erste Steuereinrichtung aufrufbar oder auslösbar sein, wobei die Überschreibefunktion von der Speichereinrichtung durchführbar ist.
-
Erfindungsgemäß ist durch die Steuereinrichtung als Zählerwert jeweils der aktuelle Zählerstand des Wegzählers angebbar, wobei der Zählerstand des Wegzählers des Fahrzeugs als fehlerhaft klassifizierbar ist, falls das Überschreiben nicht erfolgreich ist. Wie vorhergehend erläutert, kann die Speichereinrichtung bei einem nicht erfolgreichen Überschreibvorgang eine Fehlermeldung erzeugen.
-
Hierdurch ergibt sich in vorteilhafter Weise eine Vorrichtung, mittels derer eines der vorhergehend erläuterten Verfahren durchführbar ist.
-
In einer weiteren Ausführungsform umfasst die Vorrichtung ein Hardware-Sicherheitsmodul, wobei das Hardware-Sicherheitsmodul den ersten Speicherbereich und den ersten Zählerspeicherbereich aufweist. Insbesondere kann das Hardware-Sicherheitsmodul als Erweiterung der ersten Steuereinrichtung ausgeführt sein.
-
Weiter können Funktionen der Speichereinrichtung ausschließlich durch die erste Steuereinrichtung aufrufbar sein, wobei diese Funktionen hardwarebasiert durch erste die erste Speichereinrichtung ausführbar sind.
-
Die Erfindung wird anhand eines Ausführungsbeispiels näher erläutert. Die einzige Figur zeigt ein schematisches Blockschaltbild einer erfindungsgemäßen Vorrichtung.
-
In 1 ist ein schematisches Blockschaltbild einer erfindungsgemäßen Vorrichtung 1 dargestellt. Die Vorrichtung 1 umfasst eine Steuereinrichtung 2, die z.B. als Mikrocontroller ausgebildet sein kann. Weiter umfasst die Vorrichtung 1 ein Hardware-Sicherheitsmodul 3, welches als Erweiterung der Steuereinrichtung 2 ausgebildet ist. Das Hardware-Sicherheitsmodul 3 kann hierbei insbesondere als so genannte Secure Hardware Extension ausgeführt sein.
-
Weiter dargestellt ist eine Wegerfassungseinrichtung 4 eines nicht dargestellten Fahrzeugs, welches einen zurückgelegten Weg des Fahrzeugs erfasst und einen aktuellen Zählerstand aZ der Wegerfassungseinrichtung 4, der dem zurückgelegten Weg des Fahrzeugs entspricht, in einer Wegspeichereinrichtung 5 speichert. Dargestellt ist weiter eine Datenspeichereinrichtung 6, wobei in der Datenspeichereinrichtung 6 aktuelle Daten aD gespeichert sind, die den in einem ersten Speicherbereich 7 des Hardware-Sicherheitsmoduls 3 gespeicherten aktuellen Daten aD entsprechen. Dargestellt ist weiter, dass das Hardware-Sicherheitsmodul 3 den ersten Speicherbereich 7 und einen ersten Zählerspeicherbereich 8 umfasst, der dem ersten Speicherbereich 7 zugeordnet ist.
-
Die Steuereinrichtung 2 fragt kontinuierlich oder in vorbestimmten Zeitabständen den aktuellen Zählerstand aZ, der in der Wegspeichereinrichtung 5 gespeichert ist, ab. Überschreitet eine Differenz zwischen einem zu einem aktuellen Zeitpunkt abgefragten aktuellen Zählerstand aZ und einem zu einem früheren Zeitpunkt abgefragten aktuellen Zählerstand aZ einen vorbestimmten Schwellwert, so ruft die Steuereinrichtung 2 eine Überschreibefunktion f des Hardware-Sicherheitsmoduls 3 auf. Dieser Überschreibefunktion f werden als Parameter bzw. Argumente der aktuelle Zählerstand aZ sowie die aktuellen Daten aD, die die Steuereinrichtung 2 aus der Datenspeichereinrichtung 6 abruft, übergeben.
-
Es ist dargestellt, dass der Überschreibefunktion f zumindest drei Parameter übergeben werden. Ein erster Parameter entspricht einem anzugebenden Zählerwert, der dann mit dem im ersten Zählerspeicherbereich 8 gespeicherten Zählerwert verglichen wird. Ein zweiter Parameter entspricht einem anzugebenden Datensatz, der dann mit den aktuell im ersten Speicherbereich 7 gespeicherten Daten verglichen wird. Ein dritter Parameter entspricht den neu im ersten Speicherbereich 7 des Hardware-Sicherheitsmoduls 3 zu speichernden Daten. Selbstverständlich kann die Überschreibefunktion in Abhängigkeit noch weiterer Parameter aufgerufen werden, beispielsweise einer Kennung des zu überschreibenden ersten Speicherbereichs 7.
-
Das Hardware-Sicherheitsmodul 3 führt die Überschreibefunktion f, die hardwaremäßig im Hardware-Sicherheitsmodul 3 implementiert ist, aus. Hierbei wird vom Hardware-Sicherheitsmodul 3 geprüft, ob der als Parameter angegebene aktuelle Zählerstand aZ größer als der im ersten Zählerspeicherbereich 8 gespeicherte aktuelle Zählerstand aZ ist. Ist dies nicht der Fall, was durch einen Pfeil n angedeutet ist, so generiert das Hardware-Sicherheitsmodul 3 eine Fehlermeldung F und überträgt diese an die Steuereinrichtung 2. Ist diese erste Bedingung jedoch erfüllt, so überprüft das Hardware-Sicherheitsmodul in einem zweiten Schritt, ob die als Parameter angegebenen aktuellen Daten aD den aktuell im ersten Speicherbereich 7 gespeicherten Daten aD entsprechen. Ist dies nicht der Fall, was durch einen weiteren Pfeil n angedeutet ist, so generiert das Hardware-Sicherheitsmodul 3 ebenfalls die Fehlermeldung F und überträgt diese an die Steuereinrichtung 2. Ist zumindest eine der beiden Bedingungen nicht erfüllt, so werden weder die im ersten Speicherbereich 7 gespeicherten Daten aD noch die im ersten Zählerspeicherbereich 8 gespeicherten Daten überschrieben. Ausschließlich wenn beide Bedingungen erfüllt sind, werden die beim Auslösen der Überschreibefunktion f als Parameter angegebenen aktuellen Daten aD im ersten Zählerspeicherbereich 7 und der beim Auslösen der Überschreibefunktion f angegebene aktuelle Zählerstand aZ im ersten Zählerspeicherbereich 8 gespeichert, wodurch das Überschreiben erfolgreich war. Nur in diesem Fall generiert das Hardware-Sicherheitsmodul 3 eine Erfolgsmeldung E und überträgt diese an die Steuereinrichtung 2. Selbstverständlich kann eine Reihenfolge der Prüfung der Bedingungen auch verändert werden.
-
Die Überschreibefunktion f ist ein Teil eines definierten und z. B. hardwaremäßig implementierten Überschreibe-Protokolls, wobei Daten im ersten Speicherbereich 7 ausschließlich gemäß diesem Überschreibe-Protokoll überschrieben werden können.
-
In 1 ist dargestellt, dass zum Ausführen der Überschreibefunktion f durch das Hardware-Sicherheitsmodul 3 der aktuelle Zählerstand aZ von der Steuereinrichtung 2 an das Hardware-Sicherheitsmodul 3 übertragen wird. Hierbei kann der aktuelle Zählerstand aZ verschlüsselt von der Steuereinrichtung 2 an das Hardware-Sicherheitsmodul 3 übertragen und dann von dem Hardware-Sicherheitsmodul 3 in einer Entschlüsselungsoperation entschlüsselt werden. Entsprechend können auch die weiteren Parameter verschlüsselt übertragen und dann entschlüsselt werden.
-
Somit beschreibt das vorgeschlagene Verfahren ein Verfahren, bei dem unter Verwendung einer Überschreibefunktion (Update-Funktion) eines Hardware-Sicherheitsmoduls 3 ein in der Wegspeichereinrichtung 5 gespeicherte aktuelle Zählerstand aZ auf unerwünschte Manipulation überprüft werden kann. Ist der beim Aufruf der Überschreibefunktion f angegebene aktuelle Zählerstand aZ z.B. kleiner als der in dem ersten Zählerspeicherbereich 8 gespeicherte aktuelle Zählerstand aZ, so erfolgt, wie vorhergehend erläutert, eine Fehlermeldung F. In Abhängigkeit der Fehlermeldung F kann die Steuereinrichtung 2 beispielsweise eine Anzeigevorrichtung 9 des Fahrzeugs ansteuern, um einen fehlerhaften Zählerstand anzuzeigen. Beispielsweise kann ein eigentlich auf der Anzeigeeinrichtung 9 anzuzeigender Kilometerstand ausgeblendet oder verborgen werden. Auch kann eine entsprechende Fehlermeldung visuell, insbesondere permanent, auf der Anzeigeeinrichtung 9 angezeigt werden. Ebenfalls kann ein Eintrag in einem entsprechenden Fehler-Ereignisspeicher erfolgen.
-
Insgesamt ergibt sich in vorteilhafter Weise, dass ein standardisiertes Hardware-Sicherheitsmodul 3, welches als Erweiterung für die Steuereinrichtung 2 des Fahrzeugs verwendet werden kann, ebenfalls zur Prüfung des Zählerstandes eines Wegzählers des Fahrzeugs genutzt werden kann.
-
Bezugszeichenliste
-
- 1
- Vorrichtung
- 2
- Steuereinrichtung
- 3
- Hardware-Sicherheitsmodul
- 4
- Wegerfassungseinrichtung
- 5
- Wegspeichereinrichtung
- 6
- Datenspeichereinrichtung
- 7
- erster Speicherbereich
- 8
- erster Zählerspeicherbereich
- 9
- Anzeigevorrichtung
- aZ
- aktueller Zählerstand
- aD
- aktuelle Daten
- F
- Fehlermeldung
- E
- Erfolgsmeldung
- f
- Überschreibefunktion
- n
- Pfeil
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- EP 2466263 A1 [0003]
- WO 2006/122263 A2 [0004]