-
Technisches Gebiet
-
Die Erfindung betrifft ein Verfahren zum Ermitteln, ob eine Anomalie, insbesondere eine Manipulation, in einem System, insbesondere in einem Fahrzeug, vorliegt.
-
Stand der Technik
-
In heutigen Fahrzeugen können Tuningmaßnahmen durchgeführt werden, um beispielsweise die Leistung des Fahrzeuges zu steigern. Die Tuningmaßnahmen können durch eine Manipulation der Steuergerätsoftware erfolgen, aber auch durch den Einbau einer elektrischen Manipulationseinheit, welche gemessene Sensorwerte manipuliert. Tuningsmaßnahmen mittels einer Softwaremanipulation können zum Beispiel durch Manipulieren von Schwellwerten oder durch das Verändern von Kennlinien durchgeführt werden. Solche Manipulationen sind dann z.B. durch eine abgelegte Historie der Softwareveränderungen der Steuergeräte zurückverfolgbar und nachweisbar. Schwierigkeiten bereiten jedoch Tuningmaßnahmen mittels elektronischer Manipulationseinheiten zur Sensorwertmanipulation welche manuell zwischen den Fahrzeugkomponenten ein- und ausgebaut werden. Diese elektronischen Manipulationseinheiten werden von dem Fahrzeug nicht erkannt und ermöglichen nicht zurückverfolgbare Tuningeingriffe. Ebenso kann ein Tuning durch Verwenden von nicht-Originalteilen durchgeführt werden, was ebenfalls schwer von dem Fahrzeug erkannt und zeitlich zurückverfolgbar ist.
-
Typischerweise führt ein Tuningeingriff in einem Fahrzeug zu einer erhöhten Abnutzung der Fahrzeugkomponenten und damit zu einer geringeren Lebensdauer der Fahrzeugkomponenten. Im schlimmsten Fall kann aber auch die Tuningmaßnahme eine Schädigung des Fahrzeuges verursachen.
-
Es können heute so genannte Monitoringsysteme verwendet werden, die dazu ausgelegt sind, einzelne Signalwerte auf Plausibilität zu prüfen um manipulative Eingriffe, insbesondere Tuningeingriffe, zum Beispiel durch spontane Signalsprünge zu detektieren. Jedoch werden Signalwerte im Rahmen einer Manipulationseinheit durchgehend manipuliert, sodass heutige Monitoringsysteme umgangen werden können, da die manipulierten Signalwerte durch die elektronische Manipulationseinheit weiter von einem Monitoringsystem als plausibel eingestuft werden.
-
Vorteile der Erfindung
-
Das erfindungsgemäße Verfahren hat demgegenüber den Vorteil, dass durch das Ermitteln von zwei zueinander in Abhängigkeit stehenden charakteristischen Größen eine Anomalie, insbesondere eine Manipulation, in einem Fahrzeug zuverlässiger und genauer detektiert werden kann. Dadurch wird ein umfangreicher Schutz gegenüber Schädigungen von Manipulationen von Systemkomponenten durch beispielsweise Tuningmaßnahmen erreicht.
-
Offenbarung der Erfindung
-
In einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Ermitteln, ob eine Anomalie, insbesondere eine Manipulation, in einem System, insbesondere in einem Fahrzeug, vorliegt, wobei das System eine Systemkomponente und eine Erfassungseinheit zum Erfassen einer den Betriebszustand der Systemkomponente charakterisierenden Größe umfasst, wobei das Verfahren die folgenden Schritte umfasst: Das Ermitteln einer einen Normalzustand der Systemkomponente charakterisierenden Größe. Das Prüfen, ob die den Betriebszustand der Systemkomponente charakterisierende Größe in einem vorgebbaren passenden Verhältnis zu der den Normalzustand charakterisierenden Größe steht und ein Alterungsprozess der Systemkomponente in der den Normalzustand der Systemkomponente charakterisierenden Größe und/oder in dem vorgebbaren passenden Verhältnis berücksichtigt wird. Das Verfahren mit den Merkmalen des unabhängigen Anspruches 1 hat den Vorteil, dass durch die Berücksichtigung des Alterungsprozesses eine zuverlässigere und genauere Anomaliedetektion bzw. Manipulationsdetektion bereitgestellt werden kann. Unter einer den Normalzustand charakterisierenden Größe kann ein Wert verstanden werden, der gemessen oder berechnet werden kann und den Zustand einer Systemkomponente im Betrieb beschreibt, wenn diese sich in einem ordnungsgemäßen Betrieb befindet. Unter einer den Betriebszustand charakterisierenden Größe kann ein Wert verstanden werden, der gemessen oder berechnet werden kann und den Zustand einer Systemkomponente im Betrieb beschreibt, wobei nicht sicher ist, ob eine Anomalie in der Systemkomponente aufgetreten ist. Ein vorgebbares passendes Verhältnis stellt eine Relation zwischen zwei Werten dar, die beispielsweise durch eine mathematische Operation berechnet werden kann, um die Beziehung oder Abhängigkeit zwischen den zwei Werten zu beschreiben. Ein vorgebbares passendes Verhältnis kann beispielsweise fest vorgegeben sein.
-
Vorteilhafterweise umfasst das System eine Mehrzahl von Systemkomponenten und jeweils mindestens eine zugeordnete Erfassungseinheit, wobei beim Prüfen, ob die den Betriebszustand einer der Systemkomponenten charakterisierende Größe in einem vorgebbaren passenden Verhältnis zu der den Normalzustand dieser Systemkomponente charakterisierenden Größe steht, zusätzlich geprüft wird, ob die den Betriebszustand der Systemkomponente charakterisierende Größe in einem vorgebbaren passenden weiteren Verhältnis zu einer den Normalzustand einer anderen Systemkomponente charakterisierenden Größe und/oder zu einer Mehrzahl von Größen steht, die jeweils einen Normalzustand einer anderen Systemkomponente charakterisieren. Dadurch werden weitere Relationen zwischen mehreren unterschiedlichen Werten bestimmt, um mit einer höheren Genauigkeit und Zuverlässigkeit das Auftreten einer Anomalie zu erkennen. Ebenso kann dadurch ein umfangreicherer Schutz erzielt werden, da die Komponenten zueinander überprüft werden und eine Anomalie dadurch genauer und schneller ermittelt werden kann.
-
Besonders vorteilhaft ist, wenn die ermittelte Anomalie einer Systemkomponente zugeordnet wird, indem diejenige den Betriebszustand der Systemkomponente charakterisierende Größe ermittelt wird, welche nicht in einem vorgebbaren passenden Verhältnis zur jeweiligen den Normalzustand der Systemkomponente charakterisierenden Größen steht. Diese Weiterentwicklung des erfindungsgemäßen Verfahrens hat den Vorteil, dass in einem System mit mehreren zu überwachenden Komponenten auf Anomalie die Systemkomponente ermittelt werden kann, welche eine Anomalie aufweist. Dadurch kann beispielsweise bestimmt werden, welche Komponente manipuliert wurde und dementsprechend schneller der Manipulation entgegengewirkt werden, um einer Schädigung der Komponente vorzubeugen, z.B. durch Einleiten von Gegenmaßnahmen. Gemäß dieser Weiterentwicklung ist es auch möglich, eine Manipulationsart zu bestimmten.
-
In einer weiteren vorteilhaften Weiterentwicklung wird mittels einer vorgebbaren Toleranzgrenze um die den Normalzustand der Systemkomponente charakterisierende Größe ermittelt, ob die den Betriebszustand der Systemkomponente charakterisierende Größe in dem vorgebbaren passenden Verhältnis zu der den Normalzustand der Systemkomponente charakterisierenden Größe steht. Dies ermöglicht ein einfaches und schnelles Ermitteln ob eine Anomalie vorliegt. Denn es muss nur noch überprüft werden, ob die den Betriebszustand der Systemkomponente charakterisierende Größe innerhalb der Toleranzgrenze liegt, und es muss nicht mehr ein Verhältnis berechnet werden.
-
Vorteilhaft ist, wenn die den Betriebszustand der Systemkomponente charakterisierende Größe in dem vorgebbaren passenden Verhältnis zu der den Normalzustand der Systemkomponente charakterisierenden Größe steht, wenn die den Betriebszustand der Systemkomponente charakterisierende Größe die vorgebbare Toleranzgrenze um die den Normalzustand der Systemkomponente charakterisierende Größe nicht überschreitet.
-
Vorteilhaft ist, wenn wobei die den Betriebszustand der Systemkomponente charakterisierende Größe nicht in dem vorgebbaren passenden Verhältnis zu der den Normalzustand der Systemkomponente charakterisierenden Größe steht, wenn die den Betriebszustand der Systemkomponente charakterisierende Größe die vorgebbare Toleranzgrenze um die den Normalzustand der Systemkomponente charakterisierende Größe überschreitet.
-
Besonders vorteilhaft ist, wenn beim Prüfen, ob die den Betriebszustand der Systemkomponente charakterisierende Größe in einem vorgebbaren passenden Verhältnis zu der den Normalzustand der Systemkomponente charakterisierenden Größe steht, zusätzlich zwischen einer Manipulation und einem natürlichen Ausreißer unterschieden wird, wobei entschieden wird, dass eine Manipulation vorliegt, wenn die Anomalie regelmäßig auftritt und ein natürlicher Ausreißer vorliegt, wenn die Anomalie nicht regelmäßig auftritt. Dies hat den Vorteil, dass das Verfahren zum Ermitteln ob eine Anomalie vorliegt, robuster ist gegenüber natürlichen Schwankungen in der den Betriebszustand charakterisierenden Größe, sodass weniger Falscherkennungen bei Verwendung des Verfahrens zur Detektion von Tuningmaßnahmen auftreten. Beispielhaft kann dieses Verfahren auch in anderen System verwendet werden, um zu ermitteln, ob eine Anomalie, insbesondere eine Manipulation, aufgetreten ist, unter anderem bei einer elektronisch steuerbaren Wohnung oder einer automatisierten Produktionsanlage.
-
Ferner betrifft die Erfindung ein Computerprogramm, welches Anweisungen umfasst eines der genannten Verfahren mit all seinen Schritten auszuführen, wenn es auf einem Computer abläuft, sowie ein maschinenlesbares Speichermedium, auf dem das Computerprogramm gespeichert ist.
-
Ferner betrifft die Erfindung eine Vorrichtung, die eingerichtet ist, jeden Schritt des Verfahrens auszuführen.
-
Ausführungsbeispiele der vorliegenden Erfindung sind in den beiliegenden Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Dabei zeigen:
-
Figurenliste
-
- 1 eine schematische Darstellung eines Fahrzeuges, das eine Erfassungseinheit, eine Recheneinheit und Systemkomponenten umfasst;
- 2 eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen Verfahrens;
- 3 eine schematische Darstellung einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens;
- 4 eine schematische Darstellung einer Toleranzgrenze um eine einen Normalzustand einer Systemkomponente des Fahrzeuges charakterisierende Größe;
- 5 eine schematische Darstellung einer weiteren alternativen Ausführungsform des erfindungsgemäßen Verfahrens.
-
1 zeigt eine schematische Darstellung einer bevorzugten Vorrichtung zum Ausführen des erfindungsgemäßen Verfahrens. Dabei zeigt 1 ein Fahrzeug (10) mit einer Erfassungseinheit (11), mehreren Systemkomponenten (12, 13, 14, 15), eine Recheneinheit (18) mit einem Speicherelement (19) und eine Kommunikationseinheit (120).
-
Die Erfassungseinheit (11) ist dazu ausgebildet, eine charakterisierende Größe der Systemkomponente (12, 13, 14, 15) zu erfassen. Unter einer charakterisierenden Größe wird ein Wert verstanden, der einen Zustand der Systemkomponente (12, 13, 14, 15) darstellt. Ein Beispiel für eine charakterisierende Größe kann ein Sensorwert sein, wie z. B. die von einem Elektromotor bezogene Spannung oder Stromstärke, die von einem Energiespeicher zur Verfügung gestellt wird. Eine charakterisierende Größe kann aber auch ein Wert sein, der einen berechneten Zustand darstellt, wenn zum Beispiel die Systemkomponente (12, 13, 14, 15) eine Steuereinheit ist. Für das Beispiel dass die Systemkomponente (12, 13, 14, 15) ein Steuergerät ist, kann die erfasste charakterisierende Größe mittels der Erfassungseinheit (11) beispielsweise ein berechneter Schlupfwert oder ein berechnetes Motordrehmoment sein. Alternativ kann jeder Systemkomponente (12, 13, 14, 15) eine Erfassungseinheit (11) zugeordnet sein, dies ist jedoch nicht in 1 dargestellt.
-
Die Erfassungseinheit (11) kann mit einer Recheneinheit (18) verbunden sein, wobei die Recheneinheit (18) ein Speicherelement (19) umfasst. Optional kann die Erfassungseinheit (11) mit einer Kommunikationseinheit (120) verbunden sein. Die Kommunikationseinheit (120) kann dazu verwendet werden, um ein ermitteltes Ergebnis der Recheneinheit (18) oder eine erfasste charakteristische Größe mittels der Erfassungseinheit (11), aber auch ein Ergebnis des erfindungsgemäßen Verfahrens beispielsweise an die Werkstatt, einen Gebrauchtwagenverkäufer/-käufer oder den Hersteller des Fahrzeuges (10) zu übermitteln. In einer alternativen Ausführungsform kann die Kommunikationseinheit (120) auch direkt mit der Recheneinheit (18) verbunden sein.
-
1 zeigt ebenso eine mögliche Manipulation einer Systemkomponente (14, 15) mittels einer Manipulationseinheit (16, 17). Beispielsweise wird die Manipulation durchgeführt, in dem zwischen der Erfassungseinheit (11) und der Systemkomponente (14), z.B. dem Energiespeicher des Fahrzeuges (10), eine Manipulationseinheit (16) geschaltet wird. Ebenso ist es denkbar, dass zwischen der Erfassungseinheit (11) und der Systemkomponente (15) eine Manipulationseinheit (17) eingebaut wird, wobei die Systemkomponente (15) ein Steuergerät ist, welches beispielsweise ein berechnetes Motordrehmoment an die Erfassungseinheit (11) übermittelt. Die Manipulationseinheiten (16, 17) manipulieren die realen mittels der Erfassungseinheit (11) erfassten charakteristischen Größen der Systemkomponente (14, 15), sodass die Erfassungseinheit (11) nicht die realen charakterisierenden Größen eines Betriebszustandes bzw. Betriebsgröße der Systemkomponente (14, 15) erhält, sondern jeweils eine manipulierte charakteristische Größe. Das Einbauen einer Manipulationseinheit (16, 17) kann dazu führen, dass die Systemkomponente nicht mehr gegen Schädigungen, beispielsweise bei Überlastungen im Betrieb durch die Manipulation, geschützt ist, für welche die Manipulationseinheit (16, 17) manipulierte charakteristische Größen an die Erfassungseinheit (11) übermittelt.
-
Bei Verwendung einer Manipulationseinheit (16, 17) in einem Fahrzeug (10) kann es beispielhaft sein, dass die charakterisierende Größe eines Energiespeichers, zum Beispiel einen Sensorwert, welcher den Strom oder Spannung eines Energiespeichers darstellt, kurzzeitig so verändert werden, dass die Erfassungseinheit (11) eine kleinere charakterisierende Größe erhält, obwohl die reale charakterisierende Größe des Energiespeichers künstlich angehoben wurde, damit mehr Leistung bereitgestellt wird. Durch die Absenkung der charakteristischen Größe durch die Manipulationseinheit (16, 17) kann dies zu einer real erhöhten Temperatur in der Batterie führen. Damit steht beispielsweise für den Fahrer mehr Leistung für längere Zeit zur Verfügung, was jedoch dazu führt, dass die Batterie durch die erhöhte Temperatur beschädigt werden kann.
-
2 zeigt eine Ausführungsform des erfindungsgemäßen Verfahrens (20). In Schritt 21 wird mittels der Erfassungseinheit (11) eine einen Normalzustand einer Systemkomponente (13, 16) charakterisierenden Größe ermittelt. Soll beispielsweise ein Energiespeicher des Fahrzeuges (10) auf Anomalien, insbesondere auf Manipulationen, überwacht werden, kann eine den Normalzustand charakterisierende Größe (41) zum Beispiel eine Spannung oder eine Stromstärke, bereitgestellt von dem Energiespeicher, für eine gegebene Geschwindigkeit sein. Es ist darauf zu achten, dass die Erfassung der den Normalzustand charakterisierenden Größe (41) dann durchgeführt wird, wenn sichergestellt ist, dass keine Anomalie vorliegt. Bevorzugt wird dies durchgeführt, wenn das Fahrzeug (10) sich zur Wartung in einer Werkstatt befindet, dabei kann die Werkstatt ein Triggersignal verwenden, um Schritt 21 einzuleiten. Alternativ kann Schritt 21 auch dann eingeleitet werden, wenn über einen längeren Zeitraum keine Anomalie aufgetreten ist.
-
Nachdem Schritt 21 beendet wurde, folgt Schritt 22. In Schritt 22 wird mittels der Erfassungseinheit (11) eine einen Betriebszustand der Systemkomponente (13, 16) charakterisierende Größe ermittelt. Die den Betriebszustand charakterisierende Größe (43, 44) kann beispielsweise die Spannung oder die Stromstärke einer Batterie für eine aktuelle Geschwindigkeit des Fahrzeuges (10) sein. Schritt 22 kann zum Beispiel regelmäßig eingeleitet werden, wenn sich das Fahrzeug (10) im Betrieb befindet, aber auch dann gestartet werden, wenn ein Verdacht auf eine Anomalie besteht.
-
Nachfolgend wird in Schritt 23 ein Alterungsprozess der zu überwachenden Systemkomponente (12, 13, 14, 15) ermittelt. Der Alterungsprozess kann beispielsweise durch Simulationen bestimmt oder durch Messungen des Alterungsprozesses der Systemkomponente (12, 13, 14, 15) ermittelt werden. Beispielhaft ist denkbar, dass die Alterung der zur überwachenden Systemkomponente (12, 13, 14, 15) fortlaufend während des Betriebes an entsprechenden Betriebspunkte der Systemkomponente (12, 13, 14, 15) ermittelt wird, sofern keine Anomalie detektiert wurde, um daraus einen Alterungsprozess der Systemkomponente (12, 13, 14, 15) zu ermitteln.
-
Im folgenden Schritt 24 wird geprüft, ob die den Betriebszustand charakterisierende Größe (43, 44) in einem vorgegebenen passenden Verhältnis zu der den Normalzustand charakterisierenden Größe (41) steht. Unter einem vorgegebenen Verhältnis kann eine Division die den Betriebszustand charakterisierende Größe (43, 44) durch die den Normalzustand charakterisierende Größe (41) verstanden werden, wobei der Quotient ein vorgegebenes passendes Verhältnis darstellt, wenn keine Anomalie aufgetreten ist. Ist dagegen der Quotient außerhalb des vorgegebenen Verhältnisses, kann daraus geschlossen werden, dass die den Betriebszustand charakterisierende Größe (43, 44) nicht in einem passenden Verhältnis zu der den Normalzustand charakterisierenden Größe (41) steht und daher eine Anomalie vorliegen muss.
-
Alternativ kann in Schritt 24 der Alterungsprozess der zu überwachenden Systemkomponente (12, 13, 14, 15) berücksichtigt werden. Die Berücksichtigung des Alterungsprozesses kann zum Beispiel dadurch erfolgen, dass der Alterungsprozess in dem passenden Verhältnis berücksichtigt wird, d.h. dass bei fortschreitendem Alterungsprozess der Systemkomponente (12, 13, 14, 15) das passende Verhältnis zum Beispiel stärkere Schwankungen durch den Alterungsprozess der charakterisierenden Größe der Systemkomponente (12, 13, 14, 15) berücksichtigt. Bevorzugt kann der Alterungsprozess aber auch in die den Normalzustand charakterisierende Größe (41) mit einfließen durch Berücksichtigung des Alterungsprozesses in dem Normalzustand der Systemkomponente (12, 13, 14, 15).
-
3 zeigt eine alternative Ausführungsform (30) des erfindungsgemäßen Verfahrens. In Schritt 31 wird mittels der Erfassungseinheit (11) die den Normalzustand der zu überwachenden Systemkomponente charakterisierenden Größe ermittelt. Im anschließenden Schritt 32 wird mittels der Erfassungseinheit (11) die den Betriebszustand der überwachenden Systemkomponente charakterisierende Größe erfasst. Nachdem Schritt 32 abgeschlossen wurde, folgt Schritt 33. In Schritt 33 wird der Alterungsprozess der zu überwachenden Systemkomponente ermittelt. Im nachfolgenden Schritt 34 wird das vorgegebene passende Verhältnis durch eine Toleranzgrenze (42) um die den Normalzustand charakterisierende Größe (41) festgelegt.
-
In Schritt 35 wird überprüft, ob sich die den Betriebszustand charakterisierende Größe (43, 44) innerhalb der festgelegten Toleranzgrenze (42) um die den Normalzustand charakterisierenden Größe (41) befindet. Das Überprüfen kann zum Beispiel mit unterschiedlichen Berechnungsmethoden zum Ermitteln von einer Distanz zwischen zwei unterschiedlichen Werten/Punkten durchgeführt werden. Wenn die ermittelte Distanz kleiner als die Toleranzgrenze (42) ist, wird darauf geschlossen, dass sich die den Betriebszustand charakterisierende Größe (43, 44) in einem passenden Verhältnis zu der den Normalzustand charakterisierenden Größe (41) steht. Alternativ, wenn die ermittelte Distanz größer als die Toleranzgrenze (42) ist, kann darauf geschlossen werden, dass die zwei charakterisierenden Größen nicht in einem passenden Verhältnis stehen und eine Anomalie vorliegt.
-
In 4 ist das Überprüfen, welches in Schritt 35 durchgeführt wird, schematisch dargestellt. Die den Normalzustand charakterisierende Größe (41) liegt bevorzugt in einem Datenraum, welcher durch die Achsen P1, P2, P3 aufgespannt wird. Die Achsen P1, P2, P3 stellen unterschiedliche charakteristische Größen dar, wie zum Beispiel eine Spannung/Stromstärke, einen Geschwindigkeit oder Beschleunigung. Die Toleranzgrenze (42) liegt dabei um die den Normalzustand charakterisierende Größe (41). Die Toleranzgrenze (42) ist in 4 beispielhaft als Kreis dargestellt, kann aber auch als Bereich um die den Normalzustand charakterisierende Größe (41) festgelegt werden.
-
Eine erste den Betriebszustand charakterisierende Größe (43) liegt innerhalb der Toleranzgrenze (42) und steht daher in einem passenden Verhältnis zu der den Normalzustand charakterisierenden Größe (41). Dagegen liegt die den Betriebszustand charakterisierende Größe (44) außerhalb der Toleranzgrenze (42) und zeigt daher, dass eine Anomalie, insbesondere eine Manipulation, hier aufgetreten sein muss, da die den Betriebszustand charakterisierende Größe (44) nicht in einem passenden Verhältnis zu der den Normalzustand charakterisierenden Größe (41) steht. Zusätzlich ist denkbar, dass die charakterisierenden Größen mittels einem Rechenverfahren in den Datenraum transformiert werden und entlang der Achsen P1, P2, P3 die transformierten charakteristischen Größen aufgetragen werden.
-
5 zeigt eine weitere alternative Ausführungsform (50) des erfindungsgemäßen Verfahrens für ein System mit mehrere auf Anomalie zu überwachenden Systemkomponenten (12, 13, 14, 15). In Schritt 51 werden die den Normalzustand charakterisierenden Größen der zu überwachenden Systemkomponenten (12, 13, 14, 15) ermittelt. Im nachfolgenden Schritt 52 werden mittels der Erfassungseinheit (11) die den Betriebszustand charakterisierenden Größen der zu überwachenden Systemkomponenten (12, 13, 14, 15) erfasst. In Schritt 53 wird der Alterungsprozess der zu überwachenden Systemkomponenten (12, 13, 14, 15) ermittelt. Im anschließenden Schritt 54 wird eine Toleranzgrenze (42) um die den Normalzustand der charakterisierenden Größen der zu überwachenden Systemkomponenten (12, 13, 14, 15) festgelegt.
-
In Schritt 55 wird überprüft ob die den Betriebszustand charakterisierende Größen der zu überwachenden Systemkomponenten (12, 13, 14, 15) auch in einem passenden Verhältnis zu der den Normalzustand der jeweiligen Systemkomponenten (12, 13, 14, 15) charakterisierenden Größen steht. Zusätzlich kann überprüft werden, ob die den Betriebszustand charakterisierenden Größen der zu überwachenden Systemkomponenten (12, 13, 14, 15) auch in einem passenden Verhältnis zu der den Normalzustand der anderen zu überwachenden Systemkomponenten (12, 13, 14, 15) charakterisierenden Größen steht, um zu entscheiden, ob eine Anomalie vorliegt.
-
Optional kann Schritt 56 durchgeführt werden, nachdem Schritt 55 abgeschlossen wurde. In Schritt 56 wird eine Überprüfung durchgeführt, ob es sich bei der detektieren Anomalie um eine Manipulation oder um einen natürlichen Ausreißer handelt. Dies weist den Vorteil auf, dass wenn das Verfahren zur Detektion von Manipulationen verwendet wird, Falscherkennungen von Manipulationen verhindert werden können.
-
Diese Überprüfung kann beispielsweise durch abspeichern der erfassten Anomalien und beobachten der Regelmäßigkeit des Auftretens der erfassten Anomalien durchgeführt werden, wobei ein regelmäßiges Auftreten der Anomalie einen Hinweis gibt, dass es sich um eine Manipulation handeln kann. Sobald die Anomalie nicht-regelmäßig, zufällig oder einmalig auftritt, kann gefolgert werden, dass es sich um einen natürlichen Ausreißer handeln kann. Dabei werden die aufgenommenen Daten dazu verwendet, die Anomalien bzw. Manipulationen zu verifizieren, ob tatsächlich eine Manipulation vorgenommen wurde oder ob es sich um eine mögliche Falscherkennung handelt. Die aufgenommenen Daten können aber auch dazu verwendet werden, eine ermittelte Anomalie zeitlich zurückverfolgen, um den Zeitpunkt des ersten Auftretens der Anomalie zu bestimmten. Ebenso ist es denkbar, dass die Unterscheidung zwischen einer Manipulation und einem natürlichen Ausreißer durchgeführt werden kann, indem eine vorbestimmte Varianz in dem passendem Verhältnis berücksichtig wird. Sobald die den Betriebszustand charakterisierende Größe die Toleranzgrenze (42) überschreitet, kann die Überschreitung der Toleranzgrenze (42) auch nur innerhalb eines kleinen Bereiches liegen ohne dass eine größere Überschreitungen der Toleranzgrenze (42) auftritt. Eine kleine Überschreitung innerhalb einer vorbestimmten Varianz der Toleranzgrenze (42) kann optional dazu verwendet werden, um einen natürlicher Ausreißer zu detektieren. Denn bei natürlichen Ausreißern kann es vorkommen, dass die Überschreitungen der Toleranzgrenze (42) sehr klein sind, wohingegen Manipulationen durch größere Überschreitungen der Toleranzgrenze charakterisiert sind. Optional ist auch denkbar, dass sobald nach einer gewissen Zeit keine weiteren Anomalien mehr auftreten, gefolgert werden kann, dass es sich bei den gemessenen Anomalien um einen natürlichen Ausreißer handelt. Die Bestimmung ob die Anomalie eine Manipulation oder ein natürlicher Ausreißer ist, kann entsprechend bei ausreichender Rechenleistung der Recheneinheit (18) direkt im Fahrzeug (10) erfolgen oder offline in einem externen Datenverarbeitungssystem berechnet werden.
-
Nachdem Schritt 56 durchgeführt wurde, kann optional Schritt 57 eingeleitet werden. In Schritt 57 wird ermittelt, bei welcher der zu überwachenden Systemkomponenten (12, 13, 14, 15) die Anomalie aufgetreten ist. Wurde in einem vorherigen Schritt bestimmt, ob es sich bei der Anomalie um eine Manipulation oder einen natürlichen Ausreißer handelt, kann bei vorliegender Manipulation dies dem Nutzer des Fahrzeuges (10) oder dem Hersteller des Fahrzeuges (10) mitgeteilt werden. Über die Kommunikationseinheit (120) kann des Weiteren die Manipulation beispielsweise an eine Werkstatt, einem Gebrauchtwagenverkäufer/-käufer oder dem Fahrzeughersteller übermittelt werden.
-
Optional kann nach Schritt 57 Schritt 58 folgen, wobei in Schritt 58 eine Gegenmaßnahme bei erkannter Manipulation eingeleitet wird. So ist es beispielsweise bei einer Sensormanipulation möglich, dynamisch mit einem dazu geeigneten Verfahren den wirklichen Sensorwert an der Erfassungseinheit (11) zu berechnen. Dadurch kann einer Manipulation entgegengewirkt werden. Als weitere Alternative sind diverse andere Möglichkeiten denkbar, zum Beispiel dass das Fahrzeug (10) in einen Notfallmodus versetzt wird, wobei der Notfallmodus durch eine eingeschränkte Funktionalität oder eine selbstständige Initialisierung eines Flashvorgangs in den Originalzustand im Falle einer manipulierten Software charakterisiert ist.