-
TECHNISCHES GEBIET
-
Diese Anmeldung bezieht sich allgemein auf die Steuerung des Zugriffs auf Kommunikationskanäle eines Fahrzeugnetzwerks über einen diagnostischen Port.
-
ALLGEMEINER STAND DER TECHNIK
-
Ein diagnostischer Port, der auch als Datenverbindungsstecker (Data Link Connector – DLC) oder als Port für das On-Board-Diagnosesystem (OBD) bezeichnet wird, stellt eine Schnittstelle bereit, über die Parteien, wie etwa Techniker, Mechaniker oder Nutzer auf Informationen auf einem Fahrzeugnetzwerk zugreifen können. Üblicherweise erlaubt ein OBD-Port uneingeschränkten Zugriff auf mehrfache Fahrzeugbusse auf dem Fahrzeugnetzwerk, womit Diagnosewerkzeuge elektronische Steuergeräte (Electronic Control Unit – ECU) konfigurieren und auf Daten zugreifen können.
-
KURZDARSTELLUNG
-
Ein Fahrzeug umfasst einen diagnostischen Port. Das Fahrzeug umfasst weiter einen Gateway Controller, der elektrisch mit dem diagnostischen Port und einem Fahrzeugnetzwerk verbunden ist und konfiguriert ist, den diagnostischen Port an das Fahrzeugnetzwerk anzuschließen, und programmiert ist, als Reaktion auf einen Zündschalter in einer Aus-Position und auf eine aktivierte perimetrische Alarmanlage, das Übertragen von vom diagnostischen Port empfangenen Mitteilungen an das Fahrzeugnetzwerk zu blockieren.
-
Ein Gateway Controller für ein Fahrzeug umfasst ein Mikroprozessorsystem, das konfiguriert ist, einen diagnostischen Port an ein Fahrzeugnetzwerk anzuschließen, und programmiert ist, als Reaktion auf einen Zündschalter in einer Aus-Position und auf eine aktivierte perimetrische Alarmanlage, das Übertragen von vom diagnostischen Port empfangenen Mitteilungen an das Fahrzeugnetzwerk zu blockieren.
-
Ein Verfahren zum Schutz eines Fahrzeugnetzwerks umfasst ein Anschließen durch einen Controller eines diagnostischen Ports an ein Fahrzeugnetzwerk. Das Verfahren umfasst weiter ein Blockieren durch den Controller von Mitteilungsübertragungen vom diagnostischen Port an ein Fahrzeugnetzwerk als Reaktion auf eine aktivierte perimetrische Alarmanlage. Das Verfahren umfasst weiter ein Auslösen durch den Controller eines Alarms als Reaktion auf das Empfangen einer Mitteilung vom diagnostischen Port und auf eine aktivierte perimetrische Alarmanlage.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
1 ist ein Diagramm eines Fahrzeugs, das ein System zur Beschränkung des externen Zugriffs auf ein Fahrzeugnetzwerk von einem diagnostischen Port aus umfasst.
-
2 ist ein Blockdiagramm einer möglichen Konfiguration eines Gateway Controllers.
-
3 ist ein Ablaufdiagramm einer Reihenfolge von Vorgängen, um die Sicherheit des Fahrzeugnetzwerks zu verbessern.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Ausführungsformen der vorliegenden Offenbarung werden hier beschrieben. Es versteht sich, dass die offenbarten Ausführungsformen eher Beispiele darstellen und andere Ausführungsformen verschiedene oder alternative Formen annehmen können. Die Figuren sind nicht notwendigerweise maßstabsgetreu, manche Funktionen können hervorgehoben oder minimiert werden, um Detailbereiche bestimmter Komponenten zu zeigen. Daher sollten hier offenbarte spezifische strukturelle und funktionelle Details nicht als einschränkend interpretiert werden, sondern vielmehr als eine repräsentative Grundlage für die Vermittlung der vielfachen Anwendungen der Ausführungsformen für die Fachwelt. Die Fachwelt wird verstehen, das verschiedenen Funktionen, die aufgezeigt und mit Bezugnahme auf einige der Figuren beschrieben werden, mit Funktionen kombiniert werden können, die in einer oder mehreren Figuren dargestellt werden, um Ausführungsformen zu erhalten, die nicht ausdrücklich dargestellt oder beschrieben werden. Die Kombinationen von dargestellten Funktionen stellen Ausführungsformen dar, die typische Anwendungen repräsentieren. Verschiedene Kombinationen und Modifikationen der Funktionen, die mit den Lehren dieser Offenbarung in Einklang stehen, können für bestimmte Anwendungen oder Implementierungen wünschenswert sein.
-
1 stellt eine mögliche Konfiguration für ein Fahrzeugkommunikationsnetzwerk in einem Fahrzeug 100 dar. Das Fahrzeug 100 kann eine Vielzahl von elektronischen Modulen oder ECUs beinhalten. Die elektronischen Module in dem Fahrzeug 100 können über ein Fahrzeugkommunikationsnetzwerk kommunizieren. Das Fahrzeugkommunikationsnetzwerk kann eine Vielzahl an Kanälen für Kommunikation umfassen. Ein oder mehrere Kanäle des Fahrzeugnetzwerks können ein serieller Bus, wie etwa ein CAN-Bus (Controller Area Network), sein. Ein oder mehrere Kanäle können ein serielles Netzwerk basierend auf dem MOST-Protokoll (Media Oriented Systems Transport) darstellen. Einer oder mehrere der Kanäle des Fahrzeugnetzwerks können ein Ethernet-Netzwerk umfassen, das vom „Institute of Electrical and Electronics Engineers" (IEEE) als 802-Familie von Standardwerten definiert wird.
-
Elektronische Module können elektrisch mit einem oder mehreren der Kanäle des Fahrzeugnetzwerks verbunden sein. Kanäle des Fahrzeugkommunikationsnetzwerks können für einen bestimmten Zweck oder für eine bestimmte Fahrzeugfunktion bestimmt sein. Ein Kanal (z. B. CAN) kann beispielsweise für Fahrzeugsteuerungsfunktionen bestimmt sein und einen Kommunikationspfad für elektronische Module bereitstellen, der den Austausch von Fahrzeugsteuersignalen erforderlich macht. In einem anderen Beispiel kann ein Kanal (z. B. MOST) für Unterhaltungsfunktionen bestimmt sein, um Audio- und Videosignale zwischen elektronischen Modulen zu transportieren. Jeder der Kanäle des Fahrzeugkommunikationsnetzwerks kann eine bestimmte Hardware-Schnittstelle und ein Mitteilungsprotokoll definieren. Jedes der elektronischen Module umfasst Hardware- und Software-Komponenten, um das Kommunikationsprotokoll zu implementieren, zu dem eine Verbindung aufgenommen wurde.
-
Das Fahrzeug 100 umfasst einen diagnostischen Port 122. Der diagnostische Port 122 kann einen Verbindungsstecker umfassen, der innerhalb des Fahrzeugs 100 montiert ist. Beispielsweise kann der diagnostische Port 122 ein Verbindungsstecker sein, der sich in einer Fahrzeugkabine in der Nähe eines Armaturenbretts befindet. Der diagnostische Port 122 kann elektronisch mit einem oder mehreren der Kanäle des Fahrzeugkommunikationsnetzwerks verbunden sein. Ein Nutzer kann Zugriff auf Informationen auf dem Fahrzeugkommunikationsnetzwerk erhalten, indem ein Werkzeug, wie etwa ein Scanner 124, an den diagnostischen Port 122 angeschlossen wird. Bei Systemen gemäß einem bestehenden Stand der Technik sind die Kanäle des Fahrzeugkommunikationsnetzwerks, auf die der Nutzer zugreifen will, elektrisch mit dem diagnostischen Port 122 verbunden.
-
Der Scanner 124 kann eine Schnittstelle zu den Kanälen des Fahrzeugkommunikationsnetzwerks umfassen. Des Weiteren umfasst der Scanner 124 normalerweise einen Mikroprozessor für die Implementierung eines diagnostischen Protokolls, wie es jeweils vom Fahrzeughersteller definiert wird. Das diagnostische Protokoll kann diagnostische Anforderungen definieren, die an elektronische Module auf dem Fahrzeugkommunikationsnetzwerk ausgegeben werden können. Das diagnostische Protokoll kann außerdem mögliche Reaktionen auf die diagnostischen Anforderungen definieren. Das diagnostische Protokoll kann weiter das Format der Anforderungs- und Reaktionsmitteilungen definieren sowie das Skalieren und die Position von verschiedenen darin enthaltenen Signalen. Das diagnostische Protokoll kann eine Reihe von möglichen diagnostischen Diensten definieren, die für jedes der elektronischen Module verfügbar ist. Das diagnostische Protokoll kann ein Verfahren bezüglich der Adressierung an jedes der elektronischen Module definieren.
-
Die Kommunikation auf einem ausgewählten Kanal kann durch den Scanner 124 initiiert werden. Für ein oder mehrere elektronische Module bestimmte Mitteilungen können vom Scanner 124 über den ausgewählten Kanal des Fahrzeugkommunikationsnetzwerks übertragen werden. Mit dem ausgewählten Kanal verbundene elektronische Module können die Mitteilungen empfangen und dekodieren und entsprechend handeln bzw. reagieren. Eine typische Nutzung eines Scanners 124 umfasst das Lesen von diagnostischen Fehlercodes (Diagnostic Trouble Code – DTC) von den elektronischen Modulen. Des Weiteren können diagnostische Protokolle für Fahrzeuge Überwachungsinformationen von den elektronischen Modulen umfassen.
-
Der Scanner 124 kann konfiguriert sein, um einen diagnostischen Befehl „Sitzung ändern“ zu senden, um eines oder mehrere der elektronischen Module in eine diagnostische Sitzung zu bringen. Diagnostische Protokolle können eine oder mehrere eindeutige diagnostische Sitzungsbetriebsarten umfassen. Beispielweise kann ein diagnostisches Protokoll eine Programm-Sitzung, eine voreingestellte Sitzung und eine erweiterte Sitzung umfassen. Ein elektronisches Modul, das den diagnostischen Befehl „Sitzung ändern“ empfängt, kann verschiedene Bedingungen überprüfen, um sicherzustellen, dass der Eintritt in die angeforderte Betriebsart möglich ist. Falls der Eintritt in die angeforderte Betriebsart möglich ist, kann das elektronische Modul in die angeforderte Betriebsart gehen und eine Antwort senden, dass die Anforderung akzeptiert wurde. Falls der Eintritt in die angeforderte Betriebsart abgelehnt wird, kann das elektronische Modul eine Antwort senden, dass die Anforderung abgelehnt wurde und Angaben über den Grund der Ablehnung geben.
-
Die diagnostischen Sitzungen können unterschiedliche Funktionalitätsgrade bereitstellen. Wenn in die Programm-Sitzung gegangen wird, kann das festgelegte elektronische Modul erneut programmiert werden. Das bedeutet, dass ein neues ausführbares Programm übertragen und in den Speicher des Controllers programmiert werden kann. Die Programm-Sitzungsbetriebsart kann zur Aktualisierung der Funktionalität in dem festgelegten elektronischen Modul verwendet werden. Die vorbestimmte Sitzung kann beschränkten Abruf von Informationen vom elektronischen Modul möglich machen. Beispielsweise können in der Betriebsart der vorbestimmten Sitzung DTCs vom elektronischen Modul angefordert werden. Die erweiterte Sitzung kann Funktionen in Bezug auf die Ein-/Ausgabesteuerung (E/A) für die elektronischen Module möglich machen. Beispielsweise können in der Betriebsart der erweiterten Sitzung Ausgaben des elektronischen Moduls auf unterschiedliche Werte eingestellt werden, die unabhängig von der Betriebsprogrammierung sind. Außerdem kann die Betriebsart der erweiterten Sitzung die Konfiguration und Einstellung von Parametern möglich machen, die den Betrieb des elektronischen Moduls betreffen und die Leistung des Fahrzeugs beeinflussen können.
-
Elektronische Module im Fahrzeug 100 können über den Scanner 124 konfigurierbar sein. Durch Bereitstellung von angemessenen diagnostischen Befehlen können Parameter innerhalb des elektronischen Moduls verändert werden. Derartige Befehle sind allgemein in der diagnostischen Betriebsart der erweiterten Sitzung möglich. Des Weiteren kann ein mit dem diagnostischen Port 122 verbundenes Modul den standardmäßigen Buskanalverkehr überwachen. Die Betriebsarten der diagnostischen Sitzungen stellen unterschiedliche Funktionalitätsgrade bereit, die vom lediglich Überwachen und Abfragen von Controllern bis hin zum Modifizieren der Leistung und ausführbaren Programme eines Controllers führen. Daher sollte man sorgfältig sein, wenn man den Eintritt in die mehr einmischenden Betriebsarten möglich macht.
-
In einem normalen Fahrzeug ist der diagnostische Port 122 elektrisch mit einem oder mehreren Kanälen des Fahrzeugkommunikationsnetzwerks verbunden, um einen geeigneten diagnostischen Zugriff auf alle der elektronischen Module möglich zu machen. Jedoch kann eine derartige Fahrzeugkommunikationskonfiguration auch Zugriff für verächtliche Zwecke möglich machen. In manchen Fällen könnte ein an den diagnostischen Port 122 gekoppeltes Gerät versuchen, Busverkehr zu senden, der dem normalen Buskanalverkehr ähnlich ist. In manchen Fällen könnte ein mit dem diagnostischen Port 122 verbundenes nicht autorisiertes Modul den Kanal mit Mitteilungen überfluten oder einen Kurzschluss bei den Kanälen verursachen, um zulässige Kommunikation über den Kanal zu blockieren. Ein wichtiges Bedenken in Bezug auf Fahrzeugen besteht auch in dem Fall, dass ein „Hacker“ Zugriff auf ein Fahrzeugkommunikationsnetzwerk erhalten könnte und den Betrieb des Fahrzeugs mittels solcher Verfahren verändert. Der diagnostische Port 122 ist ein möglicher Zutrittspunkt zu dem Fahrzeugkommunikationsnetzwerk. Daher ist ein Verfahren zur Verhinderung, dass der diagnostische Port 122 in das Fahrzeugkommunikationsnetzwerk eingreift, wünschenswert.
-
Ein „Hacker“ mit Kenntnis der diagnostischen Protokolle des Fahrzeugs könnte sich Zugriff auf das Fahrzeugkommunikationsnetzwerk verschaffen und die Fahrzeugleistung verändern. Des Weiteren können nach Zugriff auf das Fahrzeugnetzwerk Informationen über den Eigentümer des Fahrzeugs beschafft werden. Beispielsweise kann ein mit Mobilkommunikation verbundenes elektronisches Modul Namen und Telefonnummern speichern. Außerdem kann ein Navigationsmodul Adressen speichern, einschließlich der Privatadresse des Fahrzeugeigentümers. In manchen Fällen kann ein elektronisches Modul in unerwünschter Weise erneut programmiert werden. Das hat zum Ergebnis, dass ein „Hacker“ die Fahrzeugleistung auf unerwartete Weise und ohne Kenntnis des Fahrzeugeigentümers beeinflussen könnte.
-
Das Fahrzeug 100 umfasst eine Vielzahl von Systemen, die einen oder mehrere Controller zur Steuerung ihrer Funktionalitäten umfassen. Beispielsweise umfasst das Fahrzeug 100 einen Antriebsstrang, um das Fahrzeug 100 anzutreiben. Der Antriebsstrang kann einen Motor, eine oder mehrere Elektromaschinen und ein Getriebe (nicht gezeigt) umfassen. Das Antriebsstrangsystem kann auch ein Antriebsstrangsteuermodul (Powertrain Control Module – PCM) 102 umfassen, das den Antriebsstrang überwacht und steuert. Das Antriebsstrangsystem kann auch eine Vielzahl an Sensoren (nicht gezeigt) umfassen, um verschiedene Aspekte des Antriebsstrangbetriebs zu überwachen. Beispielsweise kann das Antriebsstrangsystem einen Zündschaltersensor (nicht gezeigt) umfassen, der ein Zündungsmeldesignal an das PCM 102 bereitstellt, das den Zündungsstatus angibt, wie etwa: „Aus“, „Zubehör“, „An“ oder „Start“.
-
Das Fahrzeug 100 kann ein Bordnetzsteuergerät (Body Control Module – BCM) 104 umfassen, das eine Vielzahl an Fahrzeugsystemen überwacht und steuert, wie etwa elektrische Fensterheber, elektrisch einstellbare Spiegel, Klimaanlage, Wegfahrsperre, Zentralverriegelung, usw. Das Fahrzeug 100 kann auch eine Vielzahl an Sensoren (nicht gezeigt) umfassen, um verschiedene Aspekte der mit dem BCM 104 verbundenen Systeme zu überwachen, die Signale (nicht gezeigt) dem BCM 104 bereitstellen. Das BCM 104 kann einen Funkfrequenztransceiver umfassen, der konfiguriert ist, um mit einem schlüssellosen Zutrittsberechtigungsgerät (Remote Keyless Entry – RKE) (z. B. einem Schlüsselanhänger) zu kommunizieren. Das BCM 104 kann die RKE-Schnittstelle verwalten. Das PCM 102 und das BCM 104 können an einen ersten Kommunikationskanal 130 des Fahrzeugnetzwerks gekoppelt sein. Beispielsweise kann der erste Kommunikationskanal 130 ein Hochgeschwindigkeits-Fahrzeugbus (z. B. CAN) für Übertragen bzw. Empfangen von Daten zwischen Modulen sein. Beispielsweise kann das Antriebsstrangsteuergerät dem Zündungssignal entsprechende Daten übertragen und das BCM 104 kann Türverschluss- bzw. Türöffnungsanforderungen über den ersten Kommunikationskanal 130 übertragen.
-
Das Fahrzeug 100 kann ein elektronisches Bremsmodul (EBM) 106 umfassen, das den Betrieb eines Bremssystems überwacht und steuert. Beispielsweise kann das EBM 106 elektrisch mit Reifengeschwindigkeitssensoren verbunden sein, die konfiguriert sind, um ein Signal bereitzustellen, das auf die Drehgeschwindigkeit des verbundenen Rads hinweist. Ein Fahrzeuggeschwindigkeitssignal kann aus den Reifengeschwindigkeitssignalen berechnet werden. Das Fahrzeug 100 kann ein Bildverarbeitungsmodul (Image Processing Module – IPM) 108 umfassen, das eine Abbildungsvorrichtung überwacht und steuert. Beispielsweise kann die Abbildungsvorrichtung eine nach vorne gerichtete Kamera sein, die konfiguriert ist, um in einem Kollisionswarnungs- oder Kollisionsvermeidungssystem benutzt zu werden. Das EBM 106 und das IPM 108 können an einen zweiten Kommunikationskanal 132 gekoppelt sein. Beispielsweise kann der zweite Kommunikationskanal 132 ein Hochleistungs-Fahrzeugbus (z. B. CAN) für Übertragen bzw. Empfangen von Daten zwischen mit dem Kanal verbundenen Modulen sein. Beispielsweise kann das EBM der Fahrzeuggeschwindigkeit entsprechende Daten über den zweiten Kommunikationskanal 132 übertragen.
-
Das Fahrzeug 100 kann ein Fahrersitzmodul (Driver Seat Module – DSM) 116 umfassen, das die Platzierung der Sitze überwacht und steuert. Das Fahrzeug 100 kann ein Fahrertürmodul (Driver Door Module – DDM) 118 umfassen, das mit den Türen des Fahrzeugs verbundene Funktionen (z. B. Türschlösser, elektrische Fensterheber, elektrisch veränderbare Spiegel) überwacht und steuert. Das Fahrzeug 100 kann ein perimetrisches Alarmsystem oder ein Diebstahlabschreckungssystem (Theft Deterrent System – TDS) 144 umfassen, das ein Alarmsystem zur Erkennung eines unberechtigten Fahrzeugzugangs überwacht und steuert. Das TDS 144 kann eine Warnvorrichtung 142 aktivieren, um die Erkennung eines möglichen Diebstahls anzuzeigen. Die Warnvorrichtung kann einen hörbaren Alarm, wie etwa eine Hupe und/oder einen Lautsprecher, und einen sichtbaren Alarm, wie etwa Lampen, umfassen. Das TDS 144 kann eine Vielzahl an Sensoren (nicht gezeigt) zur Erkennung, wann die Warnvorrichtung 142 aktiviert werden soll, umfassen. Beispielsweise kann ein Fahrzeugbewegungssensor eine Bewegung des Fahrzeugs erkennen und Umgebungssensoren können Personen in der Nähe des Fahrzeugs 100 erkennen. Die perimetrische Warnfunktion kann als Reaktion auf das Abschließen des Fahrzeugs aktiviert werden. Aktivieren und Deaktivieren der perimetrischen Warnfunktion kann jeweils dem Abschließen und Aufschließen des Fahrzeugs 100 entsprechen. Das DSM 116, das TDS 144 und das DDM 118 können mit einem dritten Kommunikationskanal 140 verbunden werden. Beispielsweise kann der dritte Kommunikationskanal 140 ein Kommunikationskanal mit niedriger oder mittlerer Geschwindigkeit sein.
-
Das Fahrzeug 100 kann einen Anhänger-Controller 114 umfassen, der die Anhängeausrüstung des Fahrzeugs (nicht gezeigt) überwacht und steuert. Das Fahrzeug 100 kann außerdem eine Vielzahl an Sensoren (nicht gezeigt) zur Überwachung verschiedener Aspekte einer Anhängeausrüstung (nicht gezeigt) umfassen, die Signale (nicht gezeigt) dem Anhänger-Controller 114 bereitstellen. Der Anhänger-Controller 114 kann mit einem vierten Kommunikationskanal 138 verbunden sein.
-
Das Fahrzeug 100 kann ein Zubehörprotokoll-Schnittstellenmodul (Auxiliary Protocol Interface Module – APIM) 110 umfassen, der einige externe Eingaben an das Fahrzeugnetzwerk überwacht und steuert. Beispielsweise kann das APIM 110 eine Schnittstelle für BLUETOOTH-Kommunikationen zur Kommunikation mit BLUETOOTH-fähigen Geräten (z. B. Mobiltelefon, Tablet) umfassen. Das APIM 110 kann auch eine Schnittstelle für einen universellen seriellen Bus (USB) zur Kommunikation mit USB-fähigen Geräten, die mit einer USB-Schnittstelle verbunden sind, umfassen. Das APIM 110 kann auch eine Schnittstelle für eine SD-Karte für den Datenaustausch mit SD-Karten, die in die Schnittstelle eingeführt werden, umfassen. Das APIM 110 kann mit einem fünften Kommunikationskanal 134 verbunden sein. Beispielsweise kann das APIM 110 auf Medien (z. B. Filme und/oder Musik) von Geräten, die über BLUETOOTH oder über ein eingeführtes USB-Gerät verbunden sind, zugreifen. Das APIM 110 kann eine Firewall umfassen, die Kommunikation zwischen dem Fahrzeugnetzwerk und den externen Geräten filtert, die in Kommunikation mit dem APIM 110 stehen.
-
Das Fahrzeug kann ein Telematiksteuergerät (Telematics Control Unit – TCU) 112 umfassen, das Kommunikationen mit einem Mobiltelefon- und/oder Mobildatennetzwerk überwacht und steuert. Das TCU 112 kann außerdem eine Schnittstelle für ein Satellitennavigationssystem (Global Positioning System – GPS) zur Bereitstellung von Standortinformationen eines Fahrzeugs umfassen. Das TCU 112 kann mit einem sechsten Kommunikationskanal 136 verbunden sein. Das TCU 112 kann konfiguriert sein, um über einen oder mehrere Funknetzwerkstandards (WiFi), wie etwa IEEE 802.11, zu kommunizieren. Das TCU 112 kann mit externen Systemen über eine drahtlose Kommunikation durch ein Cloud-basiertes Netzwerk 160 kommunizieren. Beispielsweise kann das TCU 112 auf Medien (z. B. Filme und/oder Musik) von Anbietern durch das Cloud-basierte Netzwerk 160 zugreifen. Das TCU 112 kann eine Firewall umfassen, die Kommunikation zwischen dem Fahrzeugnetzwerk und dem Mobildatennetzwerk, mit dem das TCU 112 verbunden ist, filtert.
-
Es wird darauf hingewiesen, dass die hier beschriebenen Module und Funktionen eine eher beispielhafte Konfiguration darstellen und andere Konfigurationen möglich sind. Verschiedene Funktionen und Merkmale, die für ein angegebenes Modul beschrieben werden, können von anderen Modulen ausgeführt werden. Da die Module miteinander kommunikativ verbunden sind, können Signale und Mitteilungen modifiziert werden, um die tatsächliche Verteilung von Funktionen und Merkmalen im Fahrzeug 100 wiederzugeben. Zusätzliche elektronische Module und Kommunikationskanäle des Fahrzeugs können präsent sein.
-
Das Fahrzeugkommunikationsnetzwerk kann als ein „Stern“-Netzwerk konfiguriert sein, in dem ein Gateway-Modul oder Controller 120 als ein zentraler Knoten konfiguriert ist, mit dem alle Kommunikationskanäle verbunden sind. Der Gateway Controller 120 kann als intelligenter Datenverbindungsstecker (Smart Data Link Connector – SDLC) bezeichnet werden. Der SDLC 120 kann eine Kommunikationsschnittstelle für jeden Kanal des Fahrzeugkommunikationsnetzwerks umfassen, mit dem er verbunden ist. Beispielsweise kann der SDLC 120 elektrisch mit dem ersten Kommunikationskanal 130, dem zweiten Kommunikationskanal 132, dem dritten Kommunikationskanal 140, dem vierten Kommunikationskanal 138, dem fünften Kommunikationskanal 134 und mit dem sechsten Kommunikationskanal 136 verbunden sein.
-
2 zeigt eine mögliche Konfiguration des SDLC 120. Der SDLC 120 kann ein Mikroprozessorsystem 200 umfassen, das flüchtigen und nichtflüchtigen Speicher umfasst und für die Ausführung von Programmanweisungen konfiguriert ist. Der SDLC 120 kann programmiert sein, um als Gateway zwischen den Kanälen des Fahrzeugnetzwerks zu fungieren. Der SDLC 120 kann programmiert werden, um eine Mitteilung von einem Kanal (z. B. dem ersten Kommunikationskanal 130) zu empfangen und die Mitteilung an einen anderen Kanal (z. B. dem zweiten Kommunikationskanal 132) weiterzuleiten. Der SDLC 120 kann programmiert werden, um von den Kommunikationskanälen empfangene Signale neu zu verpacken, um eine Mitteilung zu bilden, die auf einen anderen Kommunikationskanal übertragen wird. Obwohl 2 eine repräsentative Struktur für einen einzelnen diagnostischen Port 122 und einen einzelnen Kommunikationskanal des Fahrzeugnetzwerks 130 zeigt, wird vorgesehen, dass zusätzliche diagnostische Ports und Kommunikationskanäle auf ähnliche Art unterstützt werden.
-
Der SDLC 120 kann elektrisch mit einem oder mehreren diagnostischen Kommunikationskanälen vom diagnostischen Port 122 verbunden sein. Beispielsweise kann ein diagnostischer Kommunikationskanal 150 als eine Hochgeschwindigkeitsschnittstelle (z. B. CAN) definiert sein. Weitere diagnostische Kommunikationskanäle mit unterschiedlichen Schnittstellen und/oder Protokolle können definiert werden. Ein Merkmal dieser Konfiguration ist, dass der diagnostische Kommunikationskanal 150 nicht dauerhaft elektrisch mit einem der Kommunikationskanäle 130, 132, 134, 136, 138, 140 des Fahrzeugnetzwerks verbunden sein kann.
-
Das Mikroprozessorsystem 200 kann eine Vielzahl an Ein- und Ausgabeschnittstellen umfassen. Der SDLC 120 kann eine erste Kommunikationsschnittstellenschaltung 202 für eine Verbindung des diagnostischen Kommunikationskanals (z. B. 150) mit dem Mikroprozessorsystem 200 umfassen. Das Mikroprozessorsystem 200 kann programmiert sein, um Mitteilungen vom diagnostischen Kommunikationskanal (z. B. 150) zu erhalten und an diesen zu übertragen. Der SDLC 120 kann eine zweite Kommunikationsschnittstellenschaltung 204 für eine Verbindung des Kommunikationskanals des Fahrzeugnetzwerks (z. B. 130) mit dem Mikroprozessorsystem 200 enthalten. Das Mikroprozessorsystem 200 kann programmiert sein, um Mitteilungen vom Kommunikationskanal des Fahrzeugnetzwerks (z. B. 130) zu erhalten und an ihn zu übertragen. Obwohl dies nicht gezeigt wird, kann jeder der Kommunikationskanäle des Fahrzeugnetzwerks im intelligenten Datenverbindungsstecker 120 auf ähnliche Weise implementiert sein.
-
Der SDLC 120 kann programmiert sein, um Mitteilungen zwischen den Kommunikationskanälen des Fahrzeugnetzwerks (z. B. 130, 132, 134, 136, 138, 140) zu übertragen. Der SDLC 120 kann programmiert sein, um Mitteilungen zwischen dem diagnostischen Kommunikationskanal 150 und den Kommunikationskanälen des Fahrzeugnetzwerks (z. B. 130, 132, 134, 136, 138, 140) zu übermitteln und/oder zu übertragen. Bei dieser Konfiguration ist der diagnostische Kommunikationskanal 150 elektrisch von den Kommunikationskanälen des Fahrzeugnetzwerks (z. B. 130, 132, 134, 136, 138, 140) getrennt. Der SDLC 120 steuert dann, welche Mitteilungen und Daten zwischen dem diagnostischen Kommunikationskanal 150 und den Kommunikationskanälen des Fahrzeugnetzwerks (z. B. 130, 132, 134, 136, 138, 140) übertragen werden. Dies unterscheidet sich von üblichen Fahrzeugkonfigurationen darin, dass die diagnostischen Kommunikationskanäle direkt elektrisch mit den entsprechenden Kommunikationskanälen des Fahrzeugnetzwerks verbunden sind.
-
Der SDLC 120 kann programmiert sein, um Bedingungen zu überprüfen, um eine Übertragung von Mitteilungen vom diagnostischen Kommunikationskanal 150 zu einem oder mehreren Kommunikationskanälen des Fahrzeugnetzwerks möglich zu machen. Der SDLC 120 kann vom diagnostischen Kommunikationskanal 150 empfangene Kommunikationen überprüfen. Der SDLC 120 kann von den Kanälen des Fahrzeugkommunikationsnetzwerks (z. B. 130, 132, 134, 136, 138, 140) empfangene Kommunikationen auf vorbestimmte Signale und/oder Mitteilungen hin untersuchen. Beispielsweise, kann der SDLC 120 Kanäle des Fahrzeugkommunikationsnetzwerks auf ein Fahrzeuggeschwindigkeitssignal hin untersuchen, das Fahrzeuggeschwindigkeit angibt, oder auf ein Zündschalterstatussignal hin untersuchen, das den Zündschalterstatus angibt.
-
Der SDLC 120 kann programmiert sein, um Mitteilungen über den diagnostischen Kommunikationskanal 150 zu empfangen. Die Mitteilungen können von einem diagnostischen Protokoll definiert sein und umfassen beispielsweise einen diagnostischen Befehl „Sitzung ändern“. Als Reaktion auf ein Empfangen einer Mitteilung über den diagnostischen Kommunikationskanal 150 kann der SDLC 120 verschiedene Bedingungen überprüfen, um festzustellen, ob die empfangene Mitteilung an einen oder mehrere der Kommunikationskanäle des Fahrzeugnetzwerks übertragen werden sollten. Beispielsweise können ein Fahrzeuggeschwindigkeitssignal und ein Zündschalterstatussignal überprüft werden. Als Reaktion auf eine Fahrzeuggeschwindigkeit, die geringer als eine vorbestimmte Geschwindigkeit ist, und auf eine Zündschalterposition, die sich auf einer An-Position befindet, kann die vom diagnostischen Kommunikationskanal 150 empfangene Mitteilung an einen oder mehrere der Kommunikationskanäle des Fahrzeugnetzwerks übertragen werden. Wenn vorbestimmte Bedingungen zutreffen, kann eine Übertragung einer vom diagnostischen Kommunikationskanal 150 empfangenen Mitteilung an einen oder mehrere der Kanäle des Fahrzeugkommunikationsnetzwerks (z. B. 130, 132, 134, 136, 138, 140) blockiert werden. Dann wird die Mitteilung an keinen der Kommunikationskanäle des Fahrzeugnetzwerks übertragen.
-
Beispielsweise kann der SDLC 120 den diagnostischen Kommunikationskanal 150 auf einen diagnostischen Befehl „Sitzung ändern“ (z. B. diagnostischer Dienst $10) hin überprüfen. Der diagnostische Befehl „Sitzung ändern“ kann eine Änderung der diagnostischen Betriebsart zu einer Programm-Sitzung oder erweiterten diagnostischen Sitzung anfordern. Als Reaktion auf ein Empfangen des diagnostischen Befehls „Sitzung ändern“ kann der SDLC 120 verschiedene Bedingungen prüfen, um festzustellen, ob der diagnostische Befehl „Sitzung ändern“ über die Kommunikationskanäle des Fahrzeugnetzwerks übertragen werden soll. Als Reaktion auf eine Fahrzeuggeschwindigkeit, die geringer als eine vorbestimmte Geschwindigkeit ist (z. B. 5 Kilometer/Std.), und auf eine Zündschalterposition, die sich auf einer An-Position befindet, kann der diagnostische Befehl „Sitzung ändern“ an einen oder mehrere der Kommunikationskanäle des Fahrzeugnetzwerks übermittelt werden. Als Reaktion auf die Fahrzeuggeschwindigkeit, die größer oder gleich einer vorbestimmten Geschwindigkeit ist, und auf eine Zündschalterposition, die sich auf einer anderen Position als der An-Position befindet, kann der SDLC 120 programmiert sein, um die Übertragung des diagnostischen Befehls an die Kommunikationskanäle des Fahrzeugnetzwerks zu blockieren.
-
Bei manchen Konfigurationen kann der SDLC 120 die vom diagnostischen Kommunikationskanal 150 empfangene Mitteilung weiter für eine Kennung oder eine Zieladresse des beabsichtigten Empfängers hin überprüfen und die Mitteilung zum Kommunikationskanal des Fahrzeugnetzwerks übertragen, mit dem das adressierte Modul verbunden ist. Bei manchen Konfigurationen kann der SDLC 120 die vom diagnostischen Kommunikationskanal 150 empfangene Mitteilung an alle Kommunikationskanäle des Fahrzeugnetzwerks übertragen.
-
Jedes mit dem Fahrzeugkommunikationsnetzwerk verbundene Modul kann auch Bedingungen überprüfen, um festzustellen, ob eine diagnostische Anforderung akzeptiert werden soll. Obwohl ein diagnostischer Befehl vom diagnostischen Kommunikationskanal 150 an die Kanäle des Fahrzeugkommunikationsnetzwerks übertragen werden kann, kann die Reaktion auf den diagnostischen Befehl weiter von Bedingungen abhängen, die von den individuellen elektronischen Modulen überprüft werden. Beispielsweise können die individuellen Module andere Bedingungen prüfen, bevor sie positiv auf diagnostische Befehle reagieren. Die vom SDLC 120 überprüften Bedingungen können für das Übertragen der Befehle zwischen Kanälen dienlich sein, während die von individuellen Modulen überprüften Bedingungen für das Bestimmen dienen können, ob eine Reaktion auf Befehle angemessen ist.
-
Falls die Bedingungen derart sind, dass der diagnostische Befehl nicht an die Kommunikationskanäle des Fahrzeugnetzwerks übertragen wird, kann der SDLC 120 über den diagnostischen Kommunikationskanal 150 eine Reaktionsmitteilung übertragen, die besagt, dass die Anforderung abgelehnt wurde. Falls ein diagnostischer Befehl an die Kanäle des Fahrzeugkommunikationsnetzwerks übertragen wird, kann der SDLC 120 von dem adressierten elektronischen Modul eine Antwort erhalten, die sich auf den diagnostischen Befehl bezieht. Nach Erhalt der Antwort kann der SDLC 120 die Mitteilung auf den diagnostischen Kommunikationskanal 150 übertragen.
-
Der SDLC 120 kann Signale, die den Status des perimetrischen Alarmsystems angeben, überwachen. Beispielsweise kann das TDS 144 einen Status des perimetrischen Alarmsystems über den dritten Kommunikationskanal des Fahrzeugnetzwerks 140 übertragen. Das Statussignal des perimetrischen Alarmsystems kann den Status als aktiviert oder deaktiviert angeben. Das perimetrische Alarmsystem kann in einem aktivierten Status sein, wenn die Zündung sich auf einer Aus-Position befindet und das Fahrzeug abgeschlossen ist. Als Reaktion darauf, dass das perimetrische Alarmsystem aktiviert ist, kann der SDLC 120 die Übertragung von Mitteilungen vom diagnostischen Kommunikationskanal 150 an die Kommunikationskanäle des Fahrzeugnetzwerks blockieren. Weiter kann als Reaktion auf das Empfangen einer Mitteilung vom diagnostischen Kommunikationskanal 150, während das perimetrische Alarmsystems aktiviert ist, der SDLC 120 eine Aktivierung des Alarmgeräts 142 des perimetrischen Alarmsystems anfordern.
-
Eine Ausnahme zu der Blockierung der Übertragung von Mitteilungen kann eine diagnostische Anforderung zur Programmierung von neuen Schlüsseln sein. Der Begriff Schlüssel kann sich auf jegliches Gerät beziehen, das zum Einstieg in das Fahrzeug und zum Starten des Fahrzeugs benutzt wird. Beispielsweise kann der Begriff Schlüssel Schlüsselanhänger, elektronisch kodierte physikalische Schlüssel und/oder eine drahtlose Schnittstelle über ein Remote-Gerät (z. B. Mobiltelefon) umfassen. Beispielsweise kann das BCM 104 konfiguriert sein, um diagnostische Mitteilungen für die erneute Programmierung von Schlüsseln zu bearbeiten und darauf zu reagieren. Der SDLC 120 kann programmiert sein, um an das BCM 104 gerichtete Mitteilungen, die vom diagnostischen Kommunikationskanal 150 empfangen werden, an den Kanal des Fahrzeugkommunikationsnetzwerks zu übertragen, der mit dem BCM 104 (z. B. erster Kommunikationskanal 130) verbunden ist. Eine derartige Mitteilung kann der SDLC 120 vom diagnostischen Kommunikationskanal 150 empfangen, wenn die Bedingungen für das Blockieren der Übertragung, die oben diskutiert wurden, ansonsten erfüllt sind. Als Reaktion auf das Empfangen einer diagnostischen Anforderung, die an das BCM 104 gerichtet ist, kann die diagnostische Anforderung an den verbundenen Kommunikationskanal des Fahrzeugnetzwerks (z. B. 130) übertragen werden, um ein Lernen und Programmieren von neuen Schlüsseln möglich zu machen. Das BCM 104 kann ähnliche und/oder zusätzliche Bedingungen für den Einstieg in die angeforderten diagnostischen Betriebsarten und Erfüllen der angeforderten Vorgänge aufweisen. In diesem Beispiel ist das Modul, das Schlüsselprogrammieren bearbeitet, das BCM 104. Dieses Merkmal trifft aber auf jegliches Modul zu, das für das Schlüsselprogrammieren konfiguriert ist.
-
3 zeigt ein Ablaufdiagramm einer Reihenfolge von möglichen Vorgängen, die in den SDLC 120 implementiert oder programmiert werden können. Bei Vorgang 300 empfängt der SDLC 120 eine Mitteilung von einem Gerät, das mit dem diagnostischen Port 122 über den diagnostischen Kommunikationskanal 150 verbunden ist. Bei Vorgang 302 wird eine Adresse oder Kennung, die in der empfangenen Mitteilung enthalten ist, überprüft, um festzustellen, ob das Ziel der Mitteilung das Modul ist, das Anforderungen für Schlüsselprogrammieren bearbeitet (z. B. hier BCM 104). Wenn das Ziel das Modul darstellt, das Anforderungen für Schlüsselprogrammieren bearbeitet (z. B. BCM 104), dann wird der Vorgang 304 ausgeführt, um die Mitteilung an den Kommunikationskanal des Fahrzeugnetzwerks zu übertragen, der mit dem Modul, das Anforderungen für Schlüsselprogrammieren bearbeitet (z. B. BCM 104) verbunden ist. Wenn das Ziel nicht das Modul darstellt, das Anforderungen für Schlüsselprogrammieren bearbeitet (z. B. BCM 104), wird Vorgang 306 ausgeführt.
-
Bei Vorgang 306 überprüft der SDLC 120 den Status der perimetrischen Alarmanlage. Wenn der Status der perimetrischen Alarmanlage andeutet, dass die perimetrische Alarmanlage aktiviert ist, werden die Vorgänge 308 und 322 ausgeführt. Bei Vorgang 308, wird die Übertragung der Mitteilung an das Fahrzeugkommunikationsnetzwerk blockiert. Bei Vorgang 322 ist die Warnvorrichtung der perimetrischen Alarmanlage aktiviert. Wenn der Status der perimetrischen Alarmanlage nicht dem aktivierten Status entspricht, wird Vorgang 310 ausgeführt.
-
Bei Vorgang 310 überprüft der SDLC 120 die Mitteilung, um festzustellen, ob die Mitteilung einer diagnostischen Anforderung „Sitzung ändern“ entspricht. Falls die Mitteilung nicht einer diagnostischen Anforderung „Sitzung ändern“ entsprich, kann Vorgang 312 ausgeführt werden, um die Mitteilung an das Fahrzeugnetzwerk zu übertragen. Falls die Mitteilung einer diagnostischen Anforderung „Sitzung ändern“ entspricht, kann Vorgang 314 ausgeführt werden.
-
Bei Vorgang 314 kann der SDLC 120 ein Signal, das die Fahrzeuggeschwindigkeit anzeigt, mit einem vorbestimmten Grenzbereich vergleichen. Falls die Fahrzeuggeschwindigkeit höher als ein vorbestimmter Grenzbereich oder diesem entspricht, wird Vorgang 320 ausgeführt, um die Übertragung der Mitteilung zu blockieren. Falls die Fahrzeuggeschwindigkeit niedriger als ein vorbestimmter Grenzbereich ist, wird Vorgang 316 ausgeführt. Bei Vorgang 316 kann der SDLC 120 ein Signal, das die Zündschalterposition anzeigt, mit einem vorbestimmten Status vergleichen. Falls sich der Zündschalter nicht in der An-Position befindet, wird Vorgang 320 ausgeführt, um die Übertragung der Mitteilung zu blockieren. Falls sich der Zündschalter in der An-Position befindet, kann Vorgang 318 ausgeführt werden, um die Mitteilung an das Fahrzeugnetzwerk zu übertragen. Die Vorgänge können wiederholt werden, wenn eine Mitteilung vom diagnostischen Kommunikationskanal 150 empfangen wird.
-
Der SDLC 120 fungiert als ein erster Schutzgrad vor unberechtigten Zugang über den diagnostischen Port 122. Da der SDLC 120 hochgradige Bedingungen überprüft, um die Übertragung von Mitteilungen zwischen dem diagnostischen Kommunikationskanal und den Fahrzeugnetzwerkkanälen möglich zu machen, könne viele Zugriffsversuche auf das Fahrzeugnetzwerk abgelehnt werden. Der SDLC 120 kann hochgradige Bedingungen überprüfen, die ungewöhnliches Verhalten anzeigen können. Beispielsweise helfen Bedingungen der Fahrzeuggeschwindigkeit dabei, Veränderungen bei Ausgaben oder Betriebsparametern, während das Fahrzeug in Bewegung ist, zu verhindern, was ein Zeichen für einen Angriff auf das Fahrzeug bedeuten kann. Die Bedingungen in Bezug auf den Zündschalter helfen dabei, Veränderungen zu verhindern, wenn das Fahrzeug in einem ausgeschalten Zustand ist. Beispielsweise kann ein Einbrecher in das nicht abgeschlossene Fahrzeug gelangen und eine Verbindung zu dem diagnostischen Port 122 herstellen. Dabei kann der Einbrecher keine Schlüssel haben, um das Fahrzeug zum Fahren einzuschalten. Durch die Blockierung der Mitteilungsübertragung in diesem Zustand können Einbrecher den Fahrzeugzustand nicht beeinflussen. Des Weiteren können durch die Aktivierung der perimetrischen Alarmanlage, wenn verdächtiges Verhalten entdeckt wird, andere Personen über die Gegenwart von Einbrechern oder Hackern informiert werden. Das beschriebene System verbessert den Schutz des Fahrzeugnetzwerks vor möglichen Angriffen über den diagnostischen Port.
-
Die hier offenbarten Prozesse, Verfahren und Algorithmen können an eine Bearbeitungsvorrichtung, einen Controller oder Computer geliefert oder von diesen implementiert werden, die eine bestehende programmierbare elektronische Steuereinheit oder eine dedizierte elektronische Steuereinheit aufweisen können. Ähnlich können die Prozesse, Verfahren und Algorithmen als Daten und Anweisungen gespeichert werden, die von einem Controller oder Computer auf viele Weisen ausführbar sind, einschließlich unter anderem Informationen, die dauerhaft auf nicht-beschreibbaren Speichermedien, wie ROM-Geräte, und Informationen, die änderbar auf beschreibbaren Speichermedien gespeichert sind, wie Disketten, Magnetbänder, CDs, RAM-Geräte und andere magnetische oder optische Medien. Die Prozesse, Verfahren oder Algorithmen können außerdem in einem durch eine Software ausführbares Objekt implementiert sein. Alternativ dazu können die Prozesse, Verfahren oder Algorithmen ganz oder teilweise mithilfe von geeigneten Hardwarekomponenten dargestellt werden, wie etwa anwenderspezifische integrierte Schaltungen (Application Specific Integrated Circuits – ASICs), Universalschaltkreise (Field-Programmalbe Gate Arrays – FPGAs), Zustandsmaschinen, Controller oder andere Hardwarekomponenten oder Geräte, oder eine Kombination aus Hardware-, Software- und Firmwarekomponenten.
-
Es werden beispielhafte Ausführungsformen oben beschrieben, dabei wird jedoch nicht beabsichtigt, dass diese Ausführungsformen alle möglichen Arten beschreiben, die die Ansprüche umfassen. Der in der Spezifikation verwendete Wortlaut stellt eher eine Beschreibung als eine Einschränkung dar und es versteht sich, dass verschiedene Änderungen gemacht werden können, ohne dabei vom Geist und Geltungsbereich der Offenbarung abzuweichen. Wie vorab beschrieben wurde, können die Merkmale von verschiedenen Ausführungsformen kombiniert werden, um weitere Ausführungsformen der Erfindung darzustellen, die nicht ausdrücklich beschrieben oder dargestellt sind. Obwohl verschiedene Ausführungsformen beschrieben werden könnten, die Vorteile bringen oder neben anderen Ausführungsformen oder Implementierungen des aktuellen Standes der Technik in Bezug auf eine oder mehrere gewünschte Eigenschaften bevorzugt werden, wird die Fachwelt erkennen, dass ein oder mehrere Merkmale oder Eigenschaften kompromittiert werden können, um allgemein gewünschte Systemattribute zu erreichen, die von spezifischen Anwendungen und Implementierung abhängen. Zu diesen Attributen gehören und sind nicht beschränkt auf Kosten, Stärke, Langlebigkeit, Lebenszykluskosten, Marktfähigkeit, Erscheinungsbild, Verpackung, Größe, Betriebsfähigkeit, Gewicht, Herstellbarkeit, Einfachheit der Montage usw. Daher sind Ausführungsformen, die als weniger wünschenswert als andere Ausführungsformen oder Implementierungen des aktuellen Standes der Technik in Bezug auf eine oder mehrere Eigenschaften bezeichnet werden, nicht außerhalb des Geltungsbereichs der Offenbarung zu sehen und können für spezielle Anwendungen wünschenswert sein.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- „Institute of Electrical and Electronics Engineers“ (IEEE) als 802-Familie [0010]
- IEEE 802.11 [0026]