-
TECHNISCHES GEBIET
-
Die vorliegende Offenbarung betrifft im Allgemeinen Diagnosewerkzeug für elektronische Steuereinheiten (electronic control units - ECUs) eines Fahrzeugs und insbesondere eine sichere End-to-End-Fahrzeug-ECU-Freischaltung in einer Halb-Offline-Umgebung.
-
ALLGEMEINER STAND DER TECHNIK
-
Moderne Fahrzeuge enthalten elektronische Steuereinheiten (ECUs), die bordeigene Diagnoseprozesse (OBD) durchführen können. Fahrzeuge beinhalten Anschlüsse, wie zum Beispiel OBD-II-Anschlüsse, die das Koppeln externer Diagnosewerkzeuge mit den Fahrzeugdatenbussen gestatten, um mit ECUs zu interagieren. Ein Diagnosewerkzeug kann OBD-Testergebnisse sowie Echtzeitdaten von einem Fahrzeug anfordern. Außerdem kann ein Diagnosewerkzeug eine ECU anleiten, Handlungen durchzuführen. Zum Beispiel kann sich eine Fahrzeugreparaturanlage mit dem OBD-II-Anschluss verbinden, um Informationen darüber zu erhalten, warum eine Motorprüfleuchte leuchtet. Einige ECUs, wie zum Beispiel das Antriebsstrangsteuermodul, führen wichtige Funktionen durch. Daher sind diese ECUs gesichert, um den Zugriff auf die Diagnosefähigkeit ohne Autorisierung zu verhindern.
-
KURZDARSTELLUNG
-
Die beigefügten Patentansprüche definieren diese Patentanmeldung. Die vorliegende Offenbarung fasst Aspekte der Ausführungsformen zusammen und sollte nicht zum Einschränken der Patentansprüche verwendet werden. Andere Umsetzungen werden gemäß den hierin beschriebenen Techniken in Betracht gezogen, wie dem Durchschnittsfachmann bei der Durchsicht der folgenden Zeichnungen und detaillierten Beschreibung ersichtlich wird, und diese Umsetzungen sollen innerhalb des Schutzumfangs dieser Anmeldung liegen.
-
Es werden beispielhafte Ausführungsformen für eine sichere End-to-End-Fahrzeug-ECU-Freischaltung in einer Halb-Offline-Umgebung offenbart. Eine beispielhafte elektronische Fahrzeugsteuereinheit beinhaltet einen ersten Prozessor und einen zweiten Prozessor. Der erste Prozessor stellt, wenn er freigeschaltet ist, Diagnoseinformationen bereit. Der zweite Prozessor sendet auf Grundlage eines ersten Schlüssels einen Ausgangswert an ein Diagnosewerkzeug. Außerdem schaltet der zweite Prozessor als Reaktion auf den Erhalt eines zweiten Schlüssels den ersten Prozessor frei. Nach dem Erhalt eines ersten Verifizierers entschlüsselt der zweite Prozessor den ersten Verifizierer, um einen dritten Schlüssel zu generieren, ersetzt den ersten Schlüssel durch den dritten Schlüssel und sendet einen zweiten Verifizierer an das Diagnosewerkzeug.
-
Ein sicherer Prozessor sendet einen willkürlichen Ausgangswert an ein Diagnosewerkzeug. Als Reaktion auf den Erhalt eines Freischaltschlüssels schaltet der sichere Prozessor einen Diagnoseprozessor frei. Der Diagnoseprozessor tauscht die Diagnoseinformationen mit dem Diagnosewerkzeug aus. Nach dem Erhalt eines ersten Verifizierers entschlüsselt der sichere Prozessor den ersten Verifizierer, um einen neuen Offline-Schlüssel zu generieren. Der sichere Prozessor ersetzt einen ursprünglichen Offline-Schlüssel durch den neuen Offline-Schlüssel. Zusätzlich sendet der sichere Prozessor einen zweiten Verifizierer an das Diagnosewerkzeug.
-
Ein beispielhaftes System beinhaltet einen entfernten ECU-Sicherheitsmanager (ESM), ein Diagnosewerkzeug und eine elektronische Fahrzeugsteuereinheit. Der entfernte Sicherheitsmanager stellt einem Diagnosewerkzeug einen ersten Offline-Schlüssel, einen ersten Verifizierer und einen zweiten Verifizierer bereit und ersetzt als Reaktion auf den Erhalt einer Abschlussbenachrichtigung von dem Diagnosewerkzeug den im Speicher gespeicherten ersten Offline-Schlüssel durch einen zweiten Offline-Schlüssel. Das Diagnosewerkzeug generiert einen Freischaltschlüssel auf Grundlage des ersten Offline-Schlüssels und eines willkürlichen Ausgangswertes von einer elektronischen Fahrzeugsteuereinheit. Als Reaktion auf den Erhalt einer Erfolgsbenachrichtigung tauscht das Diagnosewerkzeug Diagnoseinformationen mit der elektronischen Fahrzeugsteuereinheit aus und sendet den ersten Verifizierer an die elektronische Fahrzeugsteuereinheit. Die elektronische Fahrzeugsteuereinheit sendet den Ausgangswert an das Diagnosewerkzeug, schaltet als Reaktion darauf, dass der Freischaltschlüssel von dem Diagnosewerkzeug gültig ist, einen Diagnosemodus frei, generiert den zweiten Offline-Schlüssel auf Grundlage des ersten Verifizierers und ersetzt den ersten Offline-Schlüssel durch den zweiten Offline-Schlüssel.
-
Figurenliste
-
Zum besseren Verständnis der Erfindung kann auf Ausführungsformen Bezug genommen werden, die in den folgenden Zeichnungen gezeigt sind. Die Komponenten in den Zeichnungen sind nicht zwingend maßstabsgetreu und zugehörige Elemente können weggelassen sein oder in einigen Fällen können Proportionen vergrößert dargestellt sein, um die hierin beschriebenen neuartigen Merkmale hervorzuheben und eindeutig zu veranschaulichen. Außerdem können Systemkomponenten, wie auf dem Fachgebiet bekannt, verschiedenartig angeordnet sein. Ferner sind in den Zeichnungen sich entsprechende Teile in den verschiedenen Ansichten durch gleiche Bezugszeichen gekennzeichnet.
- 1 veranschaulicht ein Fahrzeug mit gesicherten elektronischen Steuereinheiten gemäß den Lehren dieser Offenbarung.
- 2 zeigt ein Diagramm, das den Zugriff auf die gesicherten elektronischen Steuereinheiten aus 1 veranschaulicht, wenn sich ein Diagnosewerkzeug in einer Halb-Offline-Umgebung befindet.
- 3A und 3B sind Ablaufdiagramme eines Verfahrens zum Zugriff auf die gesicherten elektronischen Steuereinheiten aus 1, wenn sich ein Diagnosewerkzeug in einer Halb-Offline-Umgebung befindet.
-
DETAILLIERTE BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN
-
Obwohl die Erfindung in verschiedenen Formen ausgeführt sein kann, werden in den Zeichnungen einige beispielhafte und nicht einschränkende Ausführungsformen gezeigt und nachfolgend beschrieben, wobei es sich versteht, dass die vorliegende Offenbarung als eine Erläuterung der Erfindung anhand von Beispielen anzusehen ist und damit nicht beabsichtigt wird, die Erfindung auf die konkreten veranschaulichten Ausführungsformen zu beschränken.
-
Sichere elektronische End-to-End-End-Steuereinheiten (ECUs) verwenden verschiedene Sicherheitsschutzstufen, wenn das Fahrzeug gewartet wird. Eine „sichere End-to-End-ECU“ wie hierin verwendet bezieht sich auf eine ECU mit Diagnoseroutinen, die nur nach Authentifizierung und Autorisierung von einem entfernten (z. B. zugänglich über eine Netzwerkverbindung) Server zugänglich sind, der von einem ECU-Sicherheitsmanager (ESM) (z. B. einem ECU-Hersteller, einem Fahrzeughersteller, einem Drittparteischlüsselinhaber usw.) betrieben wird. Üblicherweise erfordert die End-to-End-Sicherheit Online-Kommunikation (z. B. über ein Ethernet, ein drahtloses lokales Netzwerk, eine Mobilfunk- und/oder eine Satellitenverbindung usw.) zwischen der sicheren End-to-End-ECU und dem ESM. Solche sicheren End-to-End-ECUs enthalten einen generierten Ausgangswert, einen Freischaltschlüssel und einen Sicherheitsschlüssel. Wenn ein Diagnosewerkzeug mit einem bordeigenen Diagnoseanschluss (z. B. dem OBD-II-Anschluss usw.) des Fahrzeugs verbunden ist, stellt die sichere End-to-End-ECU dem ESM den Ausgangswert über die Netzwerkverbindung bereit. Der ESM beinhaltet auch den Sicherheitsschlüssel. Der ESM verwendet den Ausgangswert und den Sicherheitsschlüssel, um einen Kandidatenfreischaltschlüssel zu generieren. Der ESM sendet den Kandidatenfreischaltschlüssel über die Netzwerkverbindung an die ECU. Wenn der Kandidatenfreischaltschlüssel mit dem Freischaltschlüssel der sicheren End-to-End-ECU übereinstimmt, schaltet sich die sichere End-to-End-ECU frei und erlaubt dem Diagnosewerkzeug, auf die Diagnoseprozesse der ECU zuzugreifen.
-
In einigen Szenarien kann das Diagnosewerkzeug jedoch keine durchgehende Verbindung mit einem Netzwerk aufrechthalten. „Online“ wie hierin verwendet bezieht sich darauf, dass das Diagnosewerkzeug über eine Netzwerkverbindung mit dem ESM verbunden ist. Außerdem bezieht sich „offline“ darauf, dass das Diagnosewerkzeug nicht über eine Netzwerkverbindung mit dem ESM verbunden ist. „Halb-Offline“ bezieht sich darauf, dass das Diagnosewerkzeug über die Netzwerkverbindung unregelmäßigen Zugriff auf den ESM hat. Zum Beispiel kann ein Fahrzeug anfangs zur Diagnose in eine Reparaturwerkstatt gebracht werden, in der eine Netzwerkverbindung verfügbar ist. In solch einem Beispiel kann ein Techniker, um das Fahrzeug zu diagnostizieren, einen Straßentest durchführen und die Reparaturwerkstatt verlassen, sodass die Netzwerkverbindung nicht mehr verfügbar ist. In solch einem Beispiel muss der Techniker möglicherweise über das Diagnosewerkzeug auf die Diagnoseprozesse der ECU zugreifen, während das Diagnosewerkzeug nicht mit dem Netzwerk verbunden ist.
-
Wie nachfolgend erörtert, stellt das End-to-End-Sicherheitssystem ein Verfahren bereit, um auf die Diagnoseprozesse einer sicheren End-to-End-ECU zuzugreifen, wenn das Diagnosewerkzeug halb-offline ist. Die sichere End-to-End-ECU und der ESM teilen einen Sicherheitsschlüssel (SKEY), einen Offline-Schlüssel (OKEY) und einen Gegenwert. Anfangs fordert das Diagnosewerkzeug den Offline-Schlüssel (OKEY) von dem ESM an, während das Diagnosewerkzeug online ist. Der ESM weist einen aktuellen Offline-Schlüssel (OKEY) im Speicher auf und der OKEY ist für die ECU-Instanz und die Fahrzeuginstanz, die getestet wird, einmalig. Als Reaktion auf den Erhalt einer Anforderung von dem Diagnosewerkzeug generiert der ESM einen neuen Offline-Schlüssel (OKEY) und mindestens zwei Verifizierer (V1 und V2). Die Verifizierer (V1 und V2) basieren auf dem geteilten Sicherheitsschlüssel (SKEY), dem Gegenwert und/oder dem neuen Offline-Schlüssel (OKEY). Der ESM stellt dem Diagnosewerkzeug den aktuellen Offline-Schlüssel (OKEY) und die Verifizierer (V1 und V2) bereit.
-
Wenn es offline ist, fordert das Diagnosewerkzeug Zugriff auf die sichere End-to-End-ECU an. Die sichere End-to-End-ECU stellt dem Diagnosewerkzeug einen Ausgangswert bereit. Unter Verwendung des Ausgangswertes und des aktuellen Offline-Schlüssels (OKEY) generiert das Diagnosewerkzeug einen Kandidatenfreischaltschlüssel (UKEY) und sendet ihn an die sichere End-to-End-ECU. Die sichere End-to-End-ECU generiert den Freischaltschlüssel (UKEY) auf Grundlage des an das Diagnosewerkzeug gesendeten Ausgangswertes und des in sicherem Speicher gespeicherten aktuellen Offline-Schlüssels (OKEY). Als Reaktion darauf, dass der Kandidatenfreischaltschlüssel (UKEY) mit dem Freischaltschlüssel (UKEY) übereinstimmt, der von der sicheren End-to-End-ECU generiert wurde, schaltet die sichere End-to-End-ECU den Zugriff auf ihre Diagnosefunktionen frei und benachrichtigt das Diagnosewerkzeug. Die sichere End-to-End-ECU und das Diagnosewerkzeug können dann Diagnoseinformationen austauschen. Wenn die Diagnose abgeschlossen ist, sendet das Diagnosewerkzeug einen ersten Verifizierer (V1) an die sichere End-to-End-ECU. Die sichere End-to-End-ECU generiert dann (a) einen neuen Offline-Schlüssel auf Grundlage des ersten Verifizierers (V1) unter Verwendung des geteilten Sicherheitsschlüssels (SKEY) und (b) einen Kandidatenverifizierer (V2_C) auf Grundlage des neuen Offline-Schlüssels (OKEY) und des geteilten Gegenwertes. Die sichere End-to-End-ECU sendet den Kandidatenverifizierer (V2_C) an das Diagnosewerkzeug. Wenn das Diagnosewerkzeug online ist, benachrichtigt das Diagnosewerkzeug als Reaktion darauf, dass der Kandidatenverifizierer (V2_C) mit dem zweiten Verifizierer (V2) von dem ESM übereinstimmt, den ESM. Der ESM legt dann den neuen Offline-Schlüssel (OKEY) als den aktuellen Offline-Schlüssel (OKEY) fest.
-
Auf eine solche Weise ist eine böswillige Drittpartei nicht dazu in der Lage, auf die Diagnosefunktionen der sicheren End-to-End-ECU zuzugreifen, ohne den Offline-Schlüssel (OKEY) zu kennen. Außerdem ist die böswillige Drittpartei, da sich der Offline-Schlüssel (OKEY) nach jeder Diagnosesitzung ändert, nicht dazu in der Lage, den Offline-Schlüssel (OKEY) zu aktualisieren, ohne den Sicherheitsschlüssel (SKEY) zu kennen. Als Ergebnis kann die böswillige Drittpartei, auch wenn sie den aktuellen Offline-Schlüssel (OKEY) abfangen kann, nur einmal auf die Diagnoseprozesse zugreifen.
-
1 veranschaulicht ein Fahrzeug 100 mit gesicherten elektronischen Steuereinheiten (ECUs) 102 und 104 gemäß den Lehren dieser Offenbarung. Das Fahrzeug 100 kann ein standardmäßiges benzinbetriebenes Fahrzeug, ein Hybridfahrzeug, ein Elektrofahrzeug, ein Brennstoffzellenfahrzeug und/oder ein Fahrzeugtyp mit beliebiger anderer Antriebsart sein. Das Fahrzeug 100 beinhaltet Teile, die mit Antrieb in Verbindung stehen, wie z. B. einen Antriebsstrang mit einem Motor, einem Getriebe, einer Aufhängung, einer Antriebswelle und/oder Rädern usw. Das Fahrzeug 100 kann nicht autonom, halbautonom (z. B. werden einige routinemäßige Fahrfunktionen durch das Fahrzeug 100 gesteuert) oder autonom (z. B. werden Fahrfunktionen durch das Fahrzeug 100 ohne direkte Fahrereingabe gesteuert) sein. In dem veranschaulichten Beispiel beinhaltet das Fahrzeug einen bordeigenen Diagnoseanschluss 106 (z. B. einen OBD-II-Anschluss usw.), der über Fahrzeugdatenbusse 108 kommunikativ mit den sicheren ECUs 102 und 104 verbunden ist.
-
Der bordeigene Diagnoseanschluss 106 ist ein Anschluss, der konfiguriert ist, um einen passenden Anschluss 110 aufzunehmen, der kommunikativ mit dem Diagnosewerkzeug 112 gekoppelt ist. In einigen Beispielen ist der bordeigene Diagnoseanschluss 106 gemäß der On-Board--Diagnostic-II-(OBD-II)-Spezifikation (z. B. SAE J1962 und SAE J1850) umgesetzt, die durch die Society of Automotive Engineers (SAE) gepflegt wird. In einigen Beispielen befindet sich der bordeigene Diagnoseanschluss 106 unter oder nahe einem Armaturenbrett-Cluster des Fahrzeugs 100. In einigen Beispielen ist der OBD-II-Anschluss ein drahtloses Radio, das dazu dient, das Fahrzeug 100 drahtlos mit dem Diagnosewerkzeug 112 zu verbinden.
-
Die ECUs 102 und 104 überwachen und steuern die Teilsysteme des Fahrzeugs 100. Die ECUs 102 und 104 kommunizieren und tauschen Informationen über die Fahrzeugdatenbusse 108 aus. Zusätzlich kommunizieren die ECUs 102 und 104 über den passenden Anschluss 110, der mit dem bordeigenen Diagnoseanschluss 106 verbunden ist, Eigenschaften (wie zum Beispiel Status, Sensorablesungen, Steuerzustand, Fehler- und Diagnosecodes usw.) an andere ECUs 102 und 104 und/oder das Diagnosewerkzeug 112 und/oder erhalten von diesen Anforderungen. Einige Fahrzeuge 100 können siebzig oder mehr ECUs 102 und 104 aufweisen, die sich an verschiedenen Stellen im gesamten Fahrzeug 100 befinden. Die ECUs 102 und 104 sind eigenständige Sätze elektronischer Bauteile, die ihre eigene(n) Schaltung(en) (wie etwa integrierte Schaltungen, Mikroprozessoren, Arbeitsspeicher, Datenspeicher usw.) und Firmware, Sensoren, Aktoren und/oder Montageelemente beinhalten. Zum Beispiel können die ECUs 102 und 104 ein Karosseriesteuermodul, ein Antriebsstrangsteuermodul, ein Bremssteuermodul und/oder eine Telematiksteuereinheit usw. beinhalten.
-
Die ECUs 102 und 104 weisen verschiedene Betriebsmodi auf, wie zum Beispiel einen normalen Modus und einen Diagnosemodus. Während das Fahrzeug 100 betrieben wird, befinden sich die ECUs 102 und 104 standardmäßig im normalen Modus. Während sie sich im normalen Modus befinden, führen die ECUs 102 und 104 Funktionen für den Betrieb des Fahrzeugs 100 durch, aber sensible Funktionen sind nicht zugänglich. Im Diagnosemodus können die ECUs 102 und 104 zum Beispiel (a) Status- und Sensorinformationen melden, (b) neu gebootet werden, (c) neu programmiert werden, (d) von dem Diagnosewerkzeug 112 den Befehl erhalten, bestimmte Handlungen durchzuführen und/oder (e) Verbindungen mit den zugehörigen Teilsystemen testen usw. Zum Beispiel kann ein Karosseriesteuermodul den Status der Scheinwerfer melden, von dem Diagnosewerkzeug 112 den Befehl erhalten, die Scheinwerfer zu testen (z. B. bewirken, dass die Scheinwerfer in einem spezifischen Muster getaktet werden) und/oder zurückzusetzen (wodurch bewirkt werden kann, dass die Scheinwerfer ausgehen, während das Karosseriesteuermodul neu gebootet wird). Das Diagnosewerkzeug 112 sendet Befehle an die ECUs 102 und 104, in den Diagnosemodus einzutreten, um die ECU(s) 102 und 104 zu testen und/oder zu diagnostizieren.
-
Einige ECUs 102 und 104 sind gesichert. Wenn die ECU(s) 102 und 104 gesichert sind, treten die ECU(s) 102 und 104 nicht in den Diagnosemodus ein, wenn das Diagnosewerkzeug 112 nicht autorisiert ist. Wie nachfolgend in 2 und 3A, 3B offenbart, ist das Diagnosewerkzeug 112 autorisiert, wenn es den gesicherten ECU(s) 102 und 104 einen korrekten Freischaltschlüssel (UKEY) bereitstellt.
-
Die ECUs 102 enthalten eine(n) Betriebsprozessor oder -steuerung 114, eine(n) sichere(n) Prozessor oder Steuerung 116 (manchmal als ein „Kryptoprozessor“ bezeichnet) und einen Speicher 118. Der/die Betriebsprozessor oder -steuerung 114 steuert den Betrieb der ECUs 102 und 104. Der/die Betriebsprozessor oder -steuerung 114 kann jede geeignete Verarbeitungsvorrichtung oder Reihe von Verarbeitungsvorrichtungen sein, wie etwa unter anderem: ein Mikroprozessor, eine mikroprozessorbasierte Plattform, eine geeignete integrierte Schaltung, ein oder mehrere feldprogrammierbare Gate-Arrays (field programmable gate array - FPGA) und/oder eine oder mehrere anwendungsspezifische integrierte Schaltungen (application-specific integrated circuit - ASIC). Außerdem kann es sich bei dem/der sicheren Prozessor oder Steuerung 116 um jede geeignete Verarbeitungsvorrichtung oder einen Satz von Verarbeitungsvorrichtungen handeln, wie etwa, unter anderem: einen Mikroprozessor, eine mikroprozessorbasierte Plattform, eine integrierte Schaltung, ein oder mehrere FPGAs und/oder eine oder mehrere ASICs. Der/die sichere Prozessor oder Steuerung 116 ist ein dedizierter Prozessor und/oder Schaltkreis, um kryptographische Vorgänge durchzuführen, die mit der Bestimmung verbunden sind, ob ein Diagnosewerkzeug 112 autorisiert ist, auf den Diagnosemodus der ECU 102 zuzugreifen. In einigen Beispielen beinhaltet der/die sichere Prozessor oder Steuerung 116 physische Sicherheitsmaßnahmen, um physischer Manipulation zu widerstehen. In einigen Beispielen enthält/enthalten die ECU(s) 104 den/die sichere Prozessor oder Steuerung 116 nicht. In solchen Beispielen werden die kryptographischen Vorgänge, die mit der Bestimmung verbunden sind, ob ein Diagnosewerkzeug 112 autorisiert ist, durch den/die Betriebsprozessor oder -steuerung 114 durchgeführt.
-
Bei dem Speicher 118 kann es sich um flüchtigen Speicher (z.B. RAM, der nichtflüchtigen RAM, magnetischen RAM, ferroelektrischen RAM und beliebige andere geeignete Formen einschließen kann); nichtflüchtige Speicher (z. B. Plattenspeicher, FLASH-Speicher, EPROMs, EEPROMs, memristorbasierte nichtflüchtige Halbleiterspeicher usw.); unveränderbare Speicher (z. B. EPROMs), Festwertspeicher und/oder Speichervorrichtungen mit hoher Kapazität (z. B. Festplatten, Halbleiterlaufwerke usw.) handeln. In einigen Beispielen beinhaltet der Speicher 118 mehrere Speicherarten, insbesondere flüchtigen Speicher und nichtflüchtigen Speicher. In einigen Beispielen beinhaltet der Speicher 118 sicheren Speicher, der über einen sicheren Datenbus kommunikativ an den/die sichere(n) Prozessor oder Steuerung 116 gekoppelt ist. Der sichere Abschnitt des Speichers 118 beinhaltet einen eingebetteten Hardware-Verschlüsselungsmotor mit seinen eigenen Authentifizierungsschlüsseln, um Informationen sicher zu speichern. Der kryptographische Algorithmus des Hardware-Verschlüsselungsmotors verschlüsselt (a) in dem sicheren Abschnitt des Speichers 118 gespeicherte Daten und (b) zwischen dem sicheren Abschnitt des Speichers 118 und dem/der sicheren Prozessor oder Steuerung 116 gesendete Daten.
-
Bei dem Speicher 118 handelt es sich um computerlesbare Medien, auf denen ein oder mehrere Sätze von Anweisungen, wie etwa die Software zum Ausführen der Verfahren der vorliegenden Offenbarung, eingebettet sein können. Die Anweisungen können, wie hierin beschrieben, eines oder mehrere der Verfahren oder eine Logik verkörpern. In einer bestimmten Ausführungsform können sich die Anweisungen während der Ausführung der Anweisungen vollständig oder zumindest teilweise innerhalb eines beliebigen oder mehreren von dem Speicher 118, dem computerlesbaren Medium und/oder innerhalb der Prozessoren 114 und 116 befinden.
-
Die Ausdrücke „nichttransitorisches computerlesbares Medium“ und „greifbares computerlesbares Medium“ sind so zu verstehen, dass sie ein einzelnes Medium oder mehrere Medien beinhalten, wie etwa eine zentralisierte oder verteilte Datenbank und/oder damit assoziierte Zwischenspeicher und Server, auf denen ein oder mehrere Sätze von Anweisungen gespeichert sind. Die Ausdrücke „nichttransitorisches computerlesbares Medium“ und „greifbares computerlesbares Medium“ beinhalten zudem jedes beliebige physische Medium, das zum Speichern, Verschlüsseln oder Tragen eines Satzes von Anweisungen zum Ausführen durch einen Prozessor in der Lage ist oder das ein System dazu veranlasst, ein beliebiges oder mehrere der hierin offenbarten Verfahren oder Vorgänge durchzuführen. Im hierin verwendeten Sinne ist der Ausdruck „greifbares computerlesbares Medium“ ausdrücklich derart definiert, dass er jede beliebige Art von computerlesbarer Speichervorrichtung und/oder Speicherplatte einschließt und das Verbreiten von Signalen ausschließt.
-
Der/die Fahrzeugdatenbus(se) 108 koppelt/koppeln die ECUs 102 und 104 und den bordeigenen Diagnoseanschluss 106 kommunikativ. Der/die Fahrzeugdatenbus(se) 108 kann/können in Übereinstimmung mit einem Controller-Area-Network-(CAN)-Bus-Protokoll laut der Definition der International Standards Organization (ISO) 11898-1, einem Media-Oriented-Systems-Transport-(MOST-)Bus-Protokoll, einem CAN-Flexible-Data-(CAN-FD-)Bus-Protokoll (ISO 11898-7) und/oder einem K-Leitungs-Bus-Protokoll (ISO 9141 und ISO 14230-1) und/oder einem Ethernet™-Bus-Protokoll IEEE 802.3 (ab 2002) usw. umgesetzt sein.
-
Das Diagnosewerkzeug 112 kommuniziert über den passenden Anschluss 110, der in den bordeigenen Diagnoseanschluss 106 gesteckt ist, mit den ECUs 102 und 104. In dem veranschaulichten Beispiel ist das Diagnosewerkzeug 112 über eine verdrahtete Verbindung mit dem passenden Anschluss 110 verbunden. Alternativ beinhalten in einigen Beispielen der passende Anschluss 110 und das Diagnosewerkzeug 112 drahtlose Steuerungen (z. B. eine drahtlose lokale Netzwerksteuerung, eine Bluetooth®-Steuerung, eine Bluetooth®-Niedrigenergiesteuerung (BLE) usw.). In solchen Beispielen sind der passende Anschluss 110 und das Diagnosewerkzeug 112 über eine drahtlose Verbindung kommunikativ gekoppelt.
-
Das Diagnosewerkzeug 112 weist einen Online-Modus und einen Offline-Modus auf. Im Online-Modus ist das Diagnosewerkzeug 112 kommunikativ mit einem ECU-Sicherheitsmanager (ESM) 120 gekoppelt, der sich auf einem externen Netzwerk befindet. Das Diagnosewerkzeug 112 beinhaltet eine verdrahtete oder drahtlose Schnittstelle zur kommunikativen Kopplung mit dem ESM 120. Im Online-Modus fordert das Diagnosewerkzeug 112 Authentifizierungsdaten 122 für ein bestimmtes Fahrzeug 100 zum Beispiel auf Grundlage der Fahrzeug-Identifizierungsnummer (FIN) des zu diagnostizierenden Fahrzeugs 100 an. In einigen Beispielen ruft das Diagnosewerkzeug 112 die FIN von dem zu diagnostizierenden Fahrzeug 100 über den bordeigenen Diagnoseanschluss 106 ab. Alternativ gibt in einigen Beispielen ein Techniker die FIN über eine Eingabeschnittstelle (z. B. ein Tastenfeld, einen Touchscreen usw.) des Diagnosewerkzeugs 112 ein. Nach dem Erhalt der Authentifizierungsdaten 122 kann das Diagnosewerkzeug 112 im Online- oder Offline-Modus Authentifizierungs-Token 124 und 126 mit der zu diagnostizierenden ECU 102 und 104 austauschen, ohne weiter mit dem ESM 120 zu kommunizieren.
-
Um die Autorisierung zu erhalten, die ECU(s) 102 und 104 zu diagnostizieren, sendet das Diagnosewerkzeug 112 eine Zugriffsanforderung an die zu diagnostizierenden ECU(s) 102 und 104. Die ECU(s) 102 und 104 antworten mit Ausgangswerten 124. Auf Grundlage der von dem ESM erhaltenen Authentifizierungsdaten 122 und der Ausgangswerte 124 generiert das Diagnosewerkzeug 112 einen Kandidatenfreischaltschlüssel (UKEY) 126. Das Diagnosewerkzeug 112 sendet die Kandidatenfreischaltschlüssel (UKEY) 126 an die ECU(s) 102 und 104. Als Reaktion darauf, dass die Kandidatenfreischaltschlüssel (UKEY) 126 korrekt sind, schalten sich die ECU(s) 102 und 104 frei und akzeptieren Befehle, in ihren Diagnosemodus einzutreten. Nach der Autorisierung sendet das Diagnosewerkzeug 112 Diagnosebefehle 128 an die ECUs 102 und 104. Zum Beispiel kann das Diagnosewerkzeug 112 eine der ECUs 102 und 104 anweisen, in ihren Diagnosemodus zu treten und eine Testroutine durchzuführen. Außerdem erhält das Diagnosewerkzeug 112 Diagnosedaten 130 von den ECUs 102 und 104. Wenn die Diagnose abgeschlossen ist und sich das Diagnosewerkzeug 112 im Online-Modus befindet, sendet das Diagnosewerkzeug 112 Abschlussdaten 132 an den ESM 120.
-
In dem veranschaulichten Beispiel beinhaltet das Diagnosewerkzeug 112 einen Prozessor 134 und einen Speicher 136. Bei dem Prozessor 134 kann es sich um jede geeignete Verarbeitungsvorrichtung oder einen Satz von Verarbeitungsvorrichtungen handeln, wie etwa, unter anderem: einen Mikroprozessor, eine mikroprozessorbasierte Plattform, eine geeignete integrierte Schaltung, ein oder mehrere FPGAs und/oder eine oder mehrere ASICs. Bei dem Speicher 136 kann es sich um flüchtigen Speicher (z. B. RAM, der nichtflüchtigen RAM, magnetischen RAM, ferroelektrischen RAM und beliebige andere geeignete Formen einschließen kann); nichtflüchtige Speicher (z. B. Plattenspeicher, FLASH-Speicher, EPROMs, EEPROMs, memristorbasierte nichtflüchtige Halbleiterspeicher usw.); unveränderbare Speicher (z. B. EPROMs), Festwertspeicher und/oder Speichervorrichtungen mit hoher Kapazität (z. B. Festplatten, Halbleiterlaufwerke usw.) handeln. In einigen Beispielen beinhaltet der Speicher 136 mehrere Speicherarten, insbesondere flüchtigen Speicher und nichtflüchtigen Speicher.
-
Der ESM 120 speichert Sicherheitsschlüssel (SKEY) und Gegenwerte für die ECUs 102 und 104 in Verbindung mit Fahrzeugidentifikatoren (wie zum Beispiel FINs usw.) und/oder mit ECU-Identifikatoren (wie zum Beispiel einer Seriennummer usw.). Wie nachfolgend in 2 und 3A, 3B offenbart, generiert der ESM 120 als Reaktion auf den Erhalt einer Anforderung mit einem Fahrzeugidentifikator von einem Diagnosewerkzeug 112 die Authentifizierungsdaten 122 auf Grundlage des Sicherheitsschlüssels (SKEY) und des Gegenwertes verbunden mit dem Fahrzeugidentifikator. In einigen Beispielen loggt sich das Diagnosewerkzeug 112, um die Anforderung zu senden, zuerst unter Verwendung separater Anmeldedaten (z. B. ein Benutzername und Passwort, ein Austausch von Authentifizierungs-Token usw.) in den ESM 120 ein. Als Reaktion auf den Erhalt von Abschlussdaten 132 ändert der ESM 120 die Authentifizierungsdaten 122, die als Reaktion auf eine weitere Anforderung für das bestimmte Fahrzeug 100 und die ECUs 102 und 104 gesendet werden.
-
2 zeigt ein Diagramm, das den Zugriff auf die ECUs
102 und
104 aus
1 veranschaulicht, wenn sich ein Diagnosewerkzeug
112 in einer Halb-Offline-Umgebung befindet. In dem veranschaulichten Beispiel teilen der ESM
120 und die ECU(s) 102 und 104 einen gemeinsamen Sicherheitsschlüssel (SKEY)
202 und einen gemeinsamen Gegenwert (C) 204. In einigen Beispielen teilen die ECU(s) 102 und 104 in dem Fahrzeug
100 keinen gemeinsamen SKEY oder gemeinsamen Gegenwert. In solchen Beispielen fordert das Diagnosewerkzeug
112 auf einer individuellen Grundlage Zugriff auf die ECU(s) 102 und 104 an. Der Sicherheitsschlüssel (SKEY) und der Gegenwert (C) werden zum Beispiel während der Produktion des Fahrzeugs
100 zugewiesen. Wenn das Diagnosewerkzeug
112 online ist und ein Fahrzeug
100 zu diagnostizieren ist, fordert das Diagnosewerkzeug
112 die Authentifizierungsdaten
122 von dem ESM
120 auf Grundlage des Fahrzeugidentifikators des Fahrzeugs
100 an. Als Reaktion auf die Anforderung generiert der ESM
120 einen neuen Offline-Schlüssel (OKEY_N), einen ersten Verifizierer (V1) und einen zweiten Verifizierer (V2) auf Grundlage eines Sicherheitsschlüssels (SKEY)
202 und eines Gegenwertes (C) 204, der von dem ESM
120 gespeichert wird. Der erste Verifizierer (V1) und der zweite Verifizierer (V2) werden gemäß der nachfolgenden Gleichung (1) generiert.
-
In der vorstehenden Gleichung (1) sind der erste Verifizierer (V1) und der zweite Verifizierer (V2) mit einem symmetrischen Verschlüsselungsalgorithmus verschlüsselt. In einigen Beispielen sind der erste Verifizierer (V1) und der zweite Verifizierer (V2) mit einem Algorithmus des Advanced Encryption Standard (AES) wie zum Beispiel AES-128, AES-256 usw. verschlüsselt. Der erste Verifizierer (V1) ist der neue Offline-Schlüssel (OKEY_N) und der Gegenwert (C) 204 verschlüsselt mit dem Sicherheitsschlüssel (SKEY) 202. Der zweite Verifizierer (V2) ist der Gegenwert (C) 204 verschlüsselt durch den neuen Offline-Schlüssel (OKEY_N). Der ESM 120 gibt einen aktuellen Offline-Schlüssel (OKEY_C) 206, den ersten Verifizierer (V1) und den zweiten Verifizierer (V2) in den Authentifizierungsdaten 122 zurück.
-
Wenn das Diagnosewerkzeug
112 eine Diagnoseroutine an einer oder mehreren der ECU(s) 102 und 104 des Fahrzeugs
100 durchführen soll, fordert das Diagnosewerkzeug
112 die Ausgangswerte
124 von den ECU(s) 102 und 104 an. Die ECU
102 und
104 generieren über den Prozessor
114 oder den Kryptoprozessor
116 den Ausgangswert
124 und senden den Ausgangswert
124 an das Diagnosewerkzeug
112. Das Diagnosewerkzeug
112 generiert einen Kandidatenfreischaltschlüssel (UKEY _C) gemäß der nachfolgenden Gleichung (2).
-
In der vorstehenden Gleichung (2) ist SEED der Ausgangswert 124. Der Kandidatenfreischaltschlüssel (UKEY_C) ist das Ergebnis der Verschlüsselung des Ausgangswertes 124 mit dem aktuellen Offline-Schlüssel (OKEY C) 206. Das Diagnosewerkzeug 112 sendet den generierten Kandidatenfreischaltschlüssel (UKEY _C) an die ECU(s) 102 und 104. Anstelle von encrypt in Gleichung (2) können andere Funktionen verwendet werden, um den Kandidatenfreischaltschlüssel (UKEY_C) auf Grundlage des aktuellen Offline-Schlüssels (OKEY_C) 206 und des Ausgangswertes 124 zu generieren und können anhand eines beliebigen Namens identifiziert werden.
-
Die ECU(s) 102 und 104 generiert/generieren den Freischaltschlüssel (UKEY) gemäß der vorstehenden Gleichung (2) auf Grundlage des Ausgangswertes 124 und des aktuellen Offline-Schlüssels (OKEY_C) 206, der im Speicher (z. B. dem sicheren Abschnitt des Speichers 118) gespeichert ist. Die ECU(s) 102 und 104 vergleicht/vergleichen den von dem Diagnosewerkzeug 112 bereitgestellten Kandidatenfreischaltschlüssel (UKEY_C) mit dem generierten Freischaltschlüssel (UKEY). Wenn der generierte Freischaltschlüssel (UKEY) mit dem von dem Diagnosewerkzeug 112 bereitgestellten Kandidatenfreischaltschlüssel (UKEY_C) übereinstimmt, schalten die ECU(s) 102 und 104 den Diagnosemodus frei. Die ECU(s) 102 und 104 informieren dann das Diagnosewerkzeug 112 darüber, dass die ECU(s) 102 und 104 frei geschaltet worden sind. Das Diagnosewerkzeug 112 und die ECU(s) 102 und 104 tauschen Diagnosenachrichten 128 und Diagnosedaten 130 aus.
-
Wenn die Diagnose abgeschlossen ist, sendet das Diagnosewerkzeug
112 den ersten Verifizierer (V1) an die ECU(s) 102 und 104. Als Reaktion auf den Erhalt des ersten Verifizierers (V1) stellen die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY_N) und den Gegenwert (C) 204 gemäß der nachfolgenden Gleichung (3) her.
-
In der vorstehenden Gleichung (3) entschlüsseln die ECU(s) 102 und 104 den ersten Verifizierer (V1) mit dem Sicherheitsschlüssel (SKEY), um den neuen Offline-Schlüssel (OKEY _N) und den Gegenwert (C) 204 herzustellen. Dadurch wird der neue Offline-Schlüssel (OKEY _N) als im Speicher gespeicherter aktueller Offline-Schlüssel (OKEY_C) 206 festgelegt. Die ECU(s) 102 und 104 generieren einen zweiten Kandidatenverifizierer (V2_C) gemäß der nachfolgenden Gleichung (4).
-
In der vorstehenden Gleichung 4 verschlüsseln die ECU(s) 102 und 104 den Gegenwert (C) 204 mit dem neuen Offline-Schlüssel (OKEY_N), um den zweiten Kandidatenverifizierer (V2_C) zu generieren. Die ECU(s) 102 und 104 sendet/senden den zweiten Kandidatenverifizierer (V2_C) an das Diagnosewerkzeug 112.
-
Das Diagnosewerkzeug 112 vergleicht den von den ECU(s) 102 und 104 erhaltenen zweiten Kandidatenverifizierer (V2_C) mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2). Wenn der zweite Kandidatenverifizierer (V2_C) und der zweite Verifizierer (V2) übereinstimmen und sich das Diagnosewerkzeug 112 im Online-Modus befindet, sendet das Diagnosewerkzeug 112 die Abschlussdaten 132 mit dem zweiten Kandidatenverifizierer (V2_C) an den ESM 120. Nach dem Verifizieren, dass der zweite Kandidatenverifizierer (V2_C) und der zweite Verifizierer (V2) übereinstimmen, legt der ESM 120 den neuen Offline-Schlüssel (OKEY_N) als den aktuellen Offline-Schlüssel (OKEY_C) 206 fest. Auf solche Weise verifiziert der ESM 120, dass die ECU(s) 102 und 104 den Offline-Schlüssel aktualisiert haben, bevor Offline-Schlüssel gewechselt werden.
-
In einigen Beispielen kann das Diagnosewerkzeug 112 aus verschiedenen Gründen die Abschlussdaten 132 nach der Rückkehr in den Online-Modus nicht senden. In einigen solchen Beispielen (a) ist die Kommunikation des Diagnosewerkzeugs 112 mit einem anderen Fahrzeug 100 deaktiviert, bis die Abschlussdaten gesendet sind, und/oder (b) wird verhindert, dass es mehr Authentifizierungsdaten 122 von dem ESM 120 erhält. In einigen Beispielen sendet das Diagnosewerkzeug 112 den ersten Verifizierer (V1) an die ECU(s) 102 und 104, (a) während sich das Diagnosewerkzeug 112 im Online-Modus befindet, bevor die Anforderung des Ausgangswertes gesendet wird, oder (b) zusammen mit der Anforderung des Ausgangswertes. In einigen solchen Beispielen generiert/generieren die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY_N) und wechselt/wechseln zu diesem (a) nach einer bestimmten Anzahl an Fahrzeugschlüsseltakten, (b) nach einem bestimmten Zeitraum, oder (c) nachdem derselbe Kandidatenfreischaltschlüssel (UKEY_C) einige Male bis zu einer Schwellenanzahl verifiziert wurde. In einigen Beispielen wechselt der ESM 120 nach einem Zeitraum (z. B. sechs Stunden, zwölf Stunden usw.) nach dem Erhalt der Anforderung der Authentifizierungsdaten von dem Diagnosewerkzeug 112 zu dem neuen Offline-Schlüssel (OKEY_N).
-
In einigen Beispielen können die Architekturen des ESM
120, der ECU(s) 102 und 104 und des Diagnosewerkzeugs
112 derart sein, dass OKEY_N-Schlüssel von den ECU(s) 102 und 104 generiert werden und nicht von dem ESM
120. In solchen Beispielen fordert das Diagnosewerkzeug
112 während der ersten Online-Phase eine verschlüsselte Version des OKEY_N an. Als Reaktion auf diese Anforderung generieren die ECU(s) 102 und 104 OKEY_N, verschlüsseln OKEY_N gemäß der nachfolgenden Gleichung (5) und senden OKEY_N_E an das Diagnosewerkzeug
112, das OKEY_N_E dann an den ESM
120 überträgt (z. B. während Block
304 der nachfolgenden
3A).
-
Bei Erhalt der Anforderung entschlüsselt der ESM
120, anstatt einen neuen Offline-Schlüssel zu generieren, OKEY_N_E gemäß der nachfolgenden Gleichung (6).
-
OKEY_N wird dann zur Verwendung in Block 316 an das Diagnosewerkzeug 112 übertragen. In diesem Beispiel machen die ECU(s) 102 und 104 OKEY_N ungültig, nachdem bestimmte Schwellenkriterien erfüllt sind (wie vorstehend besprochen). In diesem Beispiel wird OKEY_N von dem ESM 120 weder gespeichert noch generiert.
-
3A und 3B sind Ablaufdiagramme eines Verfahrens zum Zugriff auf die gesicherten ECUs 102 und 104 aus 1, wenn sich ein Diagnosewerkzeug 112 in einer Halb-Offline-Umgebung befindet. Anfangs ruft das Diagnosewerkzeug 112 bei Block 302 (3A) einen Identifikator (ID) ab oder erhält diesen anderweitig. Der Identifikator ist der Fahrzeugidentifikator des zu diagnostizierenden Fahrzeugs 100 und/oder der ECU-Identifikator der zu diagnostizierenden ECU 102 und 104. Bei Block 304 fordert das Diagnosewerkzeug 112 den aktuellen Offline-Schlüssel (OKEY_C) von dem ESM 120 an. Bei Block 306 generiert der ESM 120 den neuen Offline-Schlüssel (OKEY_N) auf Grundlage des Gegenwertes (C) 204 und des Sicherheitsschlüssels (SKEY) 202. Bei Block 308 generiert der ESM 120 den ersten und zweiten Verifizierer (V1, V2) auf Grundlage des Sicherheitsschlüssels (SKEY) 202, des Gegenwertes (C) 204 und/oder des neuen Offline-Schlüssels (OKEY_N). Bei Block 310 sendet der ESM 120 die Authentifizierungsdaten 122, die den ersten und zweiten Verifizierer (V1, V2) und den aktuellen Offline-Schlüssel (OKEY C) enthalten.
-
Bei Block 312 fordert das Diagnosewerkzeug 112 als Reaktion auf den Erhalt der Authentifizierungsdaten 122 den Ausgangswert 124 von den ECU(s) 102 und 104 an. Bei Block 314 senden die ECU(s) 102 und 104 den Ausgangswert 124 an das Diagnosewerkzeug 112. Bei Block 316 generiert das Diagnosewerkzeug 112 den Kandidatenfreischaltschlüssel (UKEY_C) auf Grundlage des Ausgangswertes und des aktuellen Offline-Schlüssels (OKEY_C). Bei Block 318 sendet das Diagnosewerkzeug 112 den Kandidatenfreischaltschlüssel (UKEY_C) an die ECU(s) 102 und 104. Bei Block 320 berechnen die ECU(s) 102 und 104 den Freischaltschlüssel (UKEY) auf Grundlage des im Speicher gespeicherten aktuellen Offline-Schlüssels (OKEY_C) und des Ausgangswertes. Bei Block 322 bestimmen die ECU(s) 102 und 104, ob der bei Block 318 von dem Diagnosewerkzeug 112 gesendete Kandidatenfreischaltschlüssel (UKEY_C) mit dem bei Block 322 berechneten Freischaltschlüssel (UKEY) übereinstimmt. Als Reaktion darauf, dass der Kandidatenfreischaltschlüssel (UKEY_C) mit dem Freischaltschlüssel (UKEY) übereinstimmt, wird das Verfahren bei Block 324 (3B) fortgesetzt. Ansonsten endet das Verfahren als Reaktion darauf, dass der Kandidatenfreischaltschlüssel (UKEY_C) nicht mit dem Freischaltschlüssel (UKEY) übereinstimmt.
-
Bei Block 324 schalten die ECU(s) 102 und 104 ihre Diagnosemodi frei. Bei Block 326 informieren die ECU(s) 102 und 104 das Diagnosewerkzeug. Bei Block 328 und 330 tauschen die ECU(s) 102 und 104 und das Diagnosewerkzeug 112 Diagnosebefehle 128 und Diagnosedaten 130 aus, bis das Diagnoseverfahren abgeschlossen ist. Bei Block 332 sendet das Diagnosewerkzeug 112 den ersten Verifizierer (V1) an die ECU(s) 102 und 104. Bei Block 334 stellen die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY_N) und den Gegenwert (C) auf Grundlage des ersten Verifizierers (V1) und des Sicherheitsschlüssels (SKEY) her. Bei Block 336 legen die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY N) als den aktuellen Offline-Schlüssel (OKEY C) fest. Bei Block 338 generieren die ECU(s) 102 und 104 den zweiten Verifizierer (V2) auf Grundlage des Gegenwertes (c) und des neuen Offline-Schlüssels (OKEY_N) und senden den zweiten Verifizierer (V2) an das Diagnosewerkzeug 112.
-
Bei Block 340 vergleicht das Diagnosewerkzeug 112 den von den ECU(s) 102 und 104 erhaltenen zweiten Verifizierer (V2) mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2). Als Reaktion darauf, dass der von den ECU(s) 102 und 104 erhaltene zweite Verifizierer (V2) mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2) übereinstimmt, wird das Verfahren bei Block 342 fortgesetzt. Ansonsten wird das Verfahren als Reaktion darauf, dass der von den ECU(s) 102 und 104 erhaltene zweite Verifizierer (V2) nicht mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2) übereinstimmt, bei Block 346 fortgesetzt. Bei Block 342 informiert das Diagnosewerkzeug 112 den ESM 120, dass der Diagnosedienst abgeschlossen ist. Bei Block 344 legt der ESM 120 den neuen Offline-Schlüssel (OKEY_N) als den aktuellen Offline-Schlüssel (OKEY_C) fest. Bei Block 346 informiert das Diagnosewerkzeug 112 den ESM 120 über den Fehler.
-
Das Ablaufdiagramm aus 3A und 3B ist repräsentativ für im Speicher (wie zum Beispiel dem Speicher 118 und 136 aus 1) gespeicherte maschinenlesbare Anweisungen, die Programme umfassen, die, wenn sie von einem Prozessor (wie zum Beispiel den Prozessoren 114, 116 und 134 aus FIG. a) ausgeführt werden, die beispielhaften ECU(s) 102 und 104, das beispielhafte Diagnosewerkzeug 112 und den beispielhaften ESM 120 aus 1 und 2 umsetzen. Ferner können, obwohl das/die beispielhafte(n) Programm(e) in Bezug auf die in 3A und 3B veranschaulichten Ablaufdiagramme beschrieben ist/sind, alternativ viele andere Verfahren zum Umsetzen der beispielhaften ECU(s) 102 und 104, des beispielhaften Diagnosewerkzeugs 112 und des beispielhaften ESM 120 angewandt werden. Beispielsweise kann die Reihenfolge der Ausführung der Blöcke geändert werden und/oder können einige der beschriebenen Blöcke verändert, weggelassen oder kombiniert werden.
-
In dieser Anmeldung soll die Verwendung der Disjunktion die Konjunktion beinhalten. Die Verwendung von bestimmten oder unbestimmten Artikeln soll keine Kardinalität anzeigen. Insbesondere soll ein Verweis auf „das“ Objekt oder „ein“ Objekt auch eines aus einer möglichen Vielzahl derartiger Objekte bezeichnen. Ferner kann die Konjunktion „oder“ dazu verwendet werden, Merkmale wiederzugeben, die gleichzeitig vorhanden sind, anstelle von sich gegenseitig ausschließenden Alternativen. Anders ausgedrückt sollte die Konjunktion „oder“ so verstanden werden, dass sie „und/oder“ einschließt. Die Ausdrücke „beinhaltet“, „beinhaltend“ und „beinhalten“ sind einschließend und verfügen über denselben Umfang wie „umfasst“, „umfassend“ bzw. „umfassen“.
-
Die vorstehend beschriebenen Ausführungsformen und insbesondere etwaige „bevorzugte“ Ausführungsformen sind mögliche Beispiele für Umsetzungen und sind lediglich für ein eindeutiges Verständnis der Grundsätze der Erfindung dargelegt. Viele Variationen und Modifikationen können an der/den vorstehend beschriebenen Ausführungsform(en) vorgenommen werden, ohne wesentlich vom Geist und den Grundsätzen der hierin beschriebenen Techniken abzuweichen. Es wird beabsichtigt, dass sämtliche Modifikationen hier im Schutzumfang dieser Offenbarung eingeschlossen und durch die folgenden Patentansprüche geschützt sind.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- (ISO) 11898-1 [0023]
- ISO 11898-7 [0023]
- ISO 9141 [0023]
- ISO 14230-1 [0023]