DE102018203966A1 - Fahrzeugbordkommunikationssystem, Fahrzeugsteuergerät und Kommunikationsmanagementgerät - Google Patents

Fahrzeugbordkommunikationssystem, Fahrzeugsteuergerät und Kommunikationsmanagementgerät Download PDF

Info

Publication number
DE102018203966A1
DE102018203966A1 DE102018203966.6A DE102018203966A DE102018203966A1 DE 102018203966 A1 DE102018203966 A1 DE 102018203966A1 DE 102018203966 A DE102018203966 A DE 102018203966A DE 102018203966 A1 DE102018203966 A1 DE 102018203966A1
Authority
DE
Germany
Prior art keywords
reprogramming
vehicle
vehicle control
request signal
control devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102018203966.6A
Other languages
English (en)
Inventor
Tomohiro Murase
Naoyuki Ishihara
Yosuke TOMITA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nidec Mobility Corp
Original Assignee
Omron Automotive Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Automotive Electronics Co Ltd filed Critical Omron Automotive Electronics Co Ltd
Publication of DE102018203966A1 publication Critical patent/DE102018203966A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/307Detection related to theft or to other events relevant to anti-theft systems using data concerning maintenance or configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/302Detection related to theft or to other events relevant to anti-theft systems using recording means, e.g. black box
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Small-Scale Networks (AREA)
  • Stored Programmes (AREA)

Abstract

Ein Fahrzeugbordkommunikationssystem enthält Folgendes: mehrere lokale ECUs (Fahrzeugsteuergeräte), die mit Netzwerken von Bussen verbunden und zum Steuern eines Fahrzeugbordgeräts konfiguriert sind; einen OBDII-Port, der ein Kommunikationsport nach außen ist; und einen Unerlaubte-Handlung-Erkennungssensor, konfiguriert zum Erkennen einer unerlaubten Handlung an einem Fahrzeug. Jede lokale ECU beinhaltet einen Umprogrammierungsempfänger und eine Umprogrammierungssteuerung. Der Umprogrammierungsempfänger empfängt ein Umprogrammierungsanforderungssignal und Umprogrammierungsdaten von einem an dem OBDII-Port angeschlossenen Umprogrammierungsgerät. Das Umprogrammieren zum Umschreiben eines Software-Programms einer lokalen Ziel-ECU wird gemäß dem Umprogrammierungsanforderungssignal und den Umprogrammierungsdaten ausgeführt. Wenn der Unerlaubte-Handlung-Erkennungssensor eine unerlaubte Handlung erkennt, dann untersagt die Umprogrammierungssteuerung die Ausführung der Umprogrammierung.

Description

  • QUERVERWEIS AUF VERWANDTE ANMELDUNG
  • Die vorliegende Anmeldung basiert auf der am 31. März 2017 beim japanischen Patentamt eingereichten japanischen Patentanmeldung Nr. 2017-070082 , deren gesamter Inhalt hierin durch Bezugnahme eingeschlossen ist.
  • Technisches Gebiet
  • Die Offenbarung betrifft ein Fahrzeugbordkommunikationssystem mit einer Umprogrammierungsfunktion des Umschreibens eines Software-Programms eines mit einem Netzwerk eines Fahrzeugs verbundenen Fahrzeugsteuergeräts.
  • HINTERGRUND
  • Zum Beispiel, es sind mehrere Fahrzeugsteuergeräte an einem Fahrzeug wie zum Beispiel einem Vierrad-Kraftfahrzeug oder einem Motorrad montiert. Das Fahrzeugsteuergerät ist mit einer elektronischen Steuereinheit (ECU) konfiguriert. Jedes Fahrzeugsteuergerät ist mit einem vorbestimmten Knoten eines in einem Fahrzeug konfigurierten Netzwerks wie einem Steuergerätenetz (CAN) oder einem lokalen Verbindungsnetz (LIN) verbunden. Jedes Fahrzeugsteuergerät sendet und empfängt Informationen, die zum Steuern eines zu steuernden Fahrzeugbordgeräts zu und von einem anderen Fahrzeugsteuergerät notwendig sind. Dann kommunizieren die Fahrzeugsteuergeräte miteinander, um kooperativ zu arbeiten.
  • Ein Kommunikationsmanagementgerät, das Kommunikation zwischen den Fahrzeugsteuergeräten verwaltet, kann mit dem Netzwerk des Fahrzeugs verbunden werden. Das Kommunikationsmanagementgerät kommuniziert auch mit jedem Fahrzeugsteuergerät.
  • Zusätzlich kann in einem Fall, in dem mehrere Netzwerke in einem Fahrzeug konfiguriert sind, ein Kommunikationsmanagementgerät mit den mehreren Netzwerken verbunden sein, und mit verschiedenen Netzwerken verbundene Fahrzeugsteuergeräte können miteinander über ein Kommunikationsmanagementgerät kommunizieren. Speziell, nach Kommunikation zwischen den mit verschiedenen Netzwerken verbundenen Fahrzeugsteuergeräten filtert das Kommunikationsmanagementgerät vom Fahrzeugsteuergerät auf einem der Netzwerke empfangene Informationen und überträgt die Informationen zum Fahrzeugsteuergerät auf dem anderen Netzwerk oder schließt die Informationen aus (sendet sie nicht). Zusätzlich wandelt das Kommunikationsmanagementgerät in einem Fall, in dem sich ein Kommunikationsprotokoll eines Netzwerks und ein Kommunikationsprotokoll des anderen Netzwerks voneinander unterscheiden, das Informationskommunikationsprotokoll bei der Kommunikation zwischen den Fahrzeugsteuergeräten über die Netzwerke um.
  • Von einem solchen Kommunikationsmanagementgerät ausgeführte Filterungsverarbeitung und/oder Kommunikationsprotokoll-Umwandlungsverarbeitung werden kollektiv als Gateway-Verarbeitung bezeichnet. Das Kommunikationsmanagementgerät ist auch mit einer ECU konfiguriert. Das Kommunikationsmanagementgerät wird als Gateway-Gerät, als Gateway-ECU, als Kommunikationsmanagement-ECU oder dergleichen bezeichnet. Im Gegensatz dazu wird das Fahrzeugsteuergerät als lokales Gerät, als lokale ECU oder dergleichen bezeichnet.
  • Es gibt ein Fahrzeugbordkommunikationssystem mit einer Umprogrammierungsfunktion des Umschreibens eines Software-Programms eines Fahrzeugsteuergeräts, ohne das Fahrzeugsteuergerät vom Fahrzeug abzutrennen (nachfolgend wird „Umprogrammieren“ der Einfachheit halber evtl. als „Repro“ abgekürzt). Speziell, ein Kommunikationsport, der ein Kommunikationsport nach außen ist, wird in einem Netzwerk eines Fahrzeugs, einem Fahrzeugsteuergerät oder einem Kommunikationsmanagementgerät bereitgestellt. Dann wird ein externes Gerät zum Umprogrammieren an den Kommunikationsport angeschlossen, das externe Gerät sendet ein Umprogrammierungsanforderungssignal oder Daten zum Fahrzeugsteuergerät und die Umprogrammierung des Fahrzeugsteuergeräts wird ausgeführt.
  • Es gibt jedoch ein Problem, dass eine Person mit der Absicht, eine unerlaubte Handlung durchzuführen (nachfolgend „unerlaubte Person“ genannt), ein unerlaubtes Gerät an den Kommunikationsport anschließt, bewirkt, dass das unerlaubte Gerät ein unerlaubtes Umprogrammierungsanforderungssignal und Daten sendet und das Fahrzeugsteuergerät unerlaubt umprogrammiert. Wenn das Fahrzeugsteuergerät unerlaubt umprogrammiert wird, dann kommt es zu einer Fehlfunktion des Fahrzeugsteuergeräts oder des Fahrzeugs und somit zu einem Risiko eines Diebstahls oder dergleichen.
  • Im Gegensatz dazu offenbart die JP 2008-276663 A , dass, wenn ein Fahrzeugsteuergerät einen Umschreibbefehl erhält, das Fahrzeugsteuergerät bei einer Umschreibausführungsstation anfragt, ob ein Anforderungssignal rechtmäßig ist. Die Umschreibausführungsstation ist eine Verteilungsquelle für das Anforderungssignal. Wenn das Fahrzeugsteuergerät anfragt, dann sucht die Umschreibausführungsstation nach einer Umschreibbefehlsverteilungshistorie der Umschreibausführungsstation und sendet eine Erwiderung an das Fahrzeugsteuergerät, wobei die Erwiderung die An- oder Abwesenheit der Verteilungshistorie anzeigt. Je nach der Erwiderung stellt das Fahrzeugsteuergerät fest, ob der Umschreibbefehl rechtmäßig ist oder nicht. Wenn das Fahrzeugsteuergerät feststellt, dass der Umschreibbefehl nicht rechtmäßig ist, dann untersagt das Fahrzeugsteuergerät die Ausführung der Umprogrammierung auf der Basis des Umschreibbefehls.
  • Zusätzlich offenbart die JP 2013-141947 A , dass in einem Fall, in dem eine Gateway-(GW)-ECU Umprogrammierungsdaten über einen autorisierten OBDII-(On Board Diagnosis Second Generation)-Port empfängt, die GW-ECU die Umprogrammierungsdaten zu einer Ziel-ECU überträgt. Im Gegensatz dazu sendet die GW-ECU in einem Fall, in dem ein unerlaubtes Gerät unerlaubte Umprogrammierungsdaten zu einem Netzwerk eines Fahrzeugs sendet, ohne dass diese über den OBDII-Port gehen, und die GW-ECU die unerlaubten Umprogrammierungsdaten über das Netzwerk des Fahrzeugs empfängt, einen obligatorischen Befehl zur Ziel-ECU, um den Empfang der unerlaubten Umprogrammierungsdaten zu sperren.
  • Außerdem offenbart die JP 2013-141948 A , dass, wenn eine GW-ECU ein Umprogrammierungsanforderungssignal über einen Kommunikationsport empfängt, die GW-ECU einen in dem Umprogrammierungsanforderungssignal enthaltenen Identifikationscode mit einem im Voraus registrierten Registrierungscode zusammenführt. Wenn der Identifikationscode und der Registrierungscode übereinstimmen, dann überträgt die GW-ECU das Umprogrammierungsanforderungssignal zu einem Ziel-Fahrzeugsteuergerät. Wenn der Identifikationscode und der Registrierungscode nicht übereinstimmen, dann untersagt die GW-ECU die Übertragung des Umprogrammierungsanforderungssignals nur für eine vorbestimmte Periode.
  • Gemäß den bekannten Techniken, zum Beispiel falls eine unerlaubte Person ein unerlaubtes Gerät benutzt, um falsche Informationen zu einem Fahrzeugsteuergerät zu senden, wobei die falschen Informationen anzeigen, dass es eine Umprogrammierungsanforderungssignal-Verteilungshistorie gibt, oder dergleichen, kann eine unerlaubte Umprogrammierung des Fahrzeugsteuergeräts nicht verhindert werden. Zusätzlich kann, ebenso falls eine unerlaubte Person ein unerlaubtes Gerät an einen autorisierten Kommunikationsport wie einen OBDII-Port anschließt, eine unerlaubte Umprogrammierung des Fahrzeugsteuergeräts nicht verhindert werden. Ferner kann, ebenso falls eine unerlaubte Person Authentifikationsinformationen wie einen in einem autorisierten Umprogrammierungsanforderungssignal enthaltenen Authentifikationscode stiehlt und die Authentifikationsinformationen in einem unerlaubten Anforderungssignal enthalten sind, eine unerlaubte Umprogrammierung des Fahrzeugsteuergeräts nicht verhindert werden.
  • KURZDARSTELLUNG
  • Es ist eine Aufgabe der Offenbarung, eine unerlaubte Umprogrammierung eines Fahrzeugsteuergeräts zu verhindern.
  • Ein Fahrzeugbordkommunikationssystem gemäß einer oder mehreren Ausgestaltungen der Offenbarung umfasst Folgendes: mehrere Fahrzeugsteuergeräte, die mit einem Netzwerk eines Fahrzeugs verbunden sind, konfiguriert zum Kommunizieren miteinander und konfiguriert zum Steuern eines zu steuernden Fahrzeugbordgeräts; einen Kommunikationsport, der ein Kommunikationsport nach außen ist; und einen Umprogrammierungsempfänger, konfiguriert zum Empfangen eines Umprogrammierungsanforderungssignals und von Daten von einem an dem Kommunikationsport angeschlossenen externen Gerät. Eine Umprogrammierung zum Umschreiben eines Software-Programms eines Ziel-Fahrzeugsteuergeräts aus den mehreren Fahrzeugsteuergeräten wird gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausgeführt. Das Fahrzeugbordkommunikationssystem umfasst ferner Folgendes: einen Unerlaubte-Handlung-Detektor, konfiguriert zum Erkennen einer unerlaubten Handlung an dem Fahrzeug; und eine Umprogrammierungssteuerung, konfiguriert zum Untersagen der Ausführung der Umprogrammierung, wenn der Unerlaubte-Handlung-Detektor die unerlaubte Handlung erkennt.
  • Ein Fahrzeugsteuergerät gemäß einer oder mehreren Ausgestaltungen der Offenbarung ist jedes von mehreren Fahrzeugsteuergeräten, die mit einem Netzwerk eines Fahrzeugs verbunden sind, die miteinander kommunizieren und die ein zu steuerndes Fahrzeugbordgerät steuern. Das Fahrzeugsteuergerät umfasst einen Umprogrammierungsempfänger, konfiguriert zum Empfangen eines Umprogrammierungsanforderungssignals und von Daten von einem an einem Kommunikationsport angeschlossenen externen Gerät, der ein Kommunikationsport nach außen ist, und führt Umprogrammierung zum Umschreiben eines Software-Programms des Fahrzeugsteuergeräts gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten aus. Das Fahrzeugsteuergerät umfasst ferner eine Umprogrammierungssteuerung, konfiguriert zum Untersagen der Ausführung der Umprogrammierung, wenn ein am Fahrzeug vorgesehener Unerlaubte-Handlung-Detektor eine unerlaubte Handlung an dem Fahrzeug erkennt.
  • Ein Kommunikationsmanagementgerät gemäß einer oder mehreren Ausgestaltungen der Offenbarung ist ein Kommunikationsmanagementgerät, das mit einem Netzwerk eines Fahrzeugs verbunden ist, das mit mehreren mit dem Netzwerk verbundenen Fahrzeugsteuergeräten kommuniziert, ein von einem der mehreren Fahrzeugsteuergeräte empfangenes Signal zu einem anderen der mehreren Fahrzeugsteuergeräte überträgt und Kommunikation zwischen den mehreren Fahrzeugsteuergeräten verwaltet. Das Kommunikationsmanagementgerät umfasst einen Umprogrammierungsempfänger, konfiguriert zum Empfangen eines Anforderungssignals und von Daten zum Ausführen einer Umprogrammierung zum Umschreiben eines Software-Programms von jedem der mehreren Fahrzeugsteuergeräte von einem externen Gerät, das an einem Kommunikationsport angeschlossen ist, der ein Kommunikationsport nach außen ist. Das Kommunikationsmanagementgerät überträgt das/die vom Umprogrammierungsempfänger empfangene(n) Anforderungssignal und Daten zu jedem der mehreren Fahrzeugsteuergeräte. Wenn ein in dem Fahrzeug vorgesehener Unerlaubte-Handlung-Detektor eine unerlaubte Handlung an dem Fahrzeug erkennt, dann zerstört das Kommunikationsmanagementgerät das/die vom Umprogrammierungsempfänger empfangene(n) Anforderungssignal und Daten, ohne das Anforderungssignal und die Daten zu jedem der mehreren Fahrzeugsteuergeräte zu übertragen, um die Ausführung der Umprogrammierung zu untersagen.
  • Gemäß einer oder mehreren Ausgestaltungen der Offenbarung wird, wenn der Unerlaubte-Handlung-Detektor eine unerlaubte Handlung an dem Fahrzeug erkennt, eine Umprogrammierung des Fahrzeugsteuergeräts nicht ausgeführt. Daher erkennt zum Beispiel, wenn eine unerlaubte Person eine unerlaubte Handlung an dem Fahrzeug durchführt, um in das Fahrzeug einzudringen, der Unerlaubte-Handlung-Detektor die unerlaubte Handlung. Selbst dann, wenn die unerlaubte Person ein unerlaubtes Gerät an den Kommunikationsport anschließt und das unerlaubte Gerät zum Senden eines unerlaubten Umprogrammierungssignals und von Daten zum Imitieren eines/von autorisierten Umprogrammierungsanforderungssignals und Daten benutzt, wird die Umprogrammierung des Fahrzeugsteuergeräts nicht ausgeführt. Daher kann eine unerlaubte Umprogrammierung des Fahrzeugsteuergeräts verhindert werden.
  • Gemäß einer oder mehreren Ausgestaltungen der Offenbarung kann das Fahrzeugbordkommunikationssystem ferner einen Umprogrammierungsauthentifikator umfassen, konfiguriert zum Durchführen einer Authentifikation gemäß Authentifikationsinformationen, die in dem vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal enthalten sind. Die Umprogrammierungssteuerung untersagt die Ausführung der Umprogrammierung, wenn der Umprogrammierungsauthentifikator keine erfolgreiche Authentifikation durchführt. Die Umprogrammierungssteuerung erlaubt die Ausführung der Umprogrammierung dann, wenn der Unerlaubte-Handlung-Detektor keine unerlaubte Handlung erkennt und der Umprogrammierungsauthentifikator eine erfolgreiche Authentifikation durchführt.
  • Zusätzlich kann, gemäß einer oder mehreren Ausgestaltungen der Offenbarung, im Fahrzeugbordkommunikationssystem der Kommunikationsport an das Netzwerk oder an jedes der mehreren Fahrzeugsteuergeräte angeschlossen werden. Der Umprogrammierungsempfänger, die Umprogrammierungssteuerung und der Umprogrammierungsauthentifikator können in jedem der mehreren Fahrzeugsteuergeräte vorgesehen werden. Der Unerlaubte-Handlung-Detektor kann an ein spezifisches Fahrzeugsteuergerät aus den mehreren Fahrzeugsteuergeräten angeschlossen werden. Wenn der Unerlaubte-Handlung-Detektor die unerlaubte Handlung erkennt, dann kann das spezifische Fahrzeugsteuergerät einen Unerlaubtheit-Erkennungs-Flag in einem Speicher im Innern setzen und kann eine Unerlaubtheit-Erkennungsbenachrichtung, die anzeigt, dass die unerlaubte Handlung erkannt wird, zu einem anderen der mehreren Fahrzeugsteuergeräte über das Netzwerk senden. Wenn das andere der mehreren Fahrzeugsteuergeräte die Unerlaubtheit-Erkennungsbenachrichtigung empfängt, dann kann das andere Fahrzeugsteuergerät den Unerlaubtheit-Erkennungs-Flag in einem Speicher im Innern setzen. Wenn dann der Umprogrammierungsempfänger das Umprogrammierungsanforderungssignal in einem Zustand empfängt, in dem entweder eine Bedingung, dass der Unerlaubtheit-Erkennungs-Flag gesetzt ist, oder eine Bedingung, dass der Umprogrammierungsauthentifikator die Authentifikation nicht erfolgreich durchführen kann, erfüllt ist, dann kann jedes der mehreren Fahrzeugsteuergeräte bewirken, dass die Umprogrammierungssteuerung die Ausführung der Umprogrammierung untersagt. In einem Zustand, in dem der Unerlaubtheit-Erkennungs-Flag nicht gesetzt ist und der Umprogrammierungsauthentifikator eine erfolgreiche Authentifikation durchführen kann, kann jedes der mehreren Fahrzeugsteuergeräte zulassen, dass die Umprogrammierungssteuerung die Umprogrammierung ausführt, und kann die Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausführen.
  • Gemäß einer oder mehreren Ausgestaltungen der Offenbarung kann das Fahrzeugbordkommunikationssystem ferner ein mit dem Netzwerk verbundenes Kommunikationsmanagementgerät umfassen, konfiguriert zum Kommunizieren mit jedem der mehreren Fahrzeugsteuergeräte, konfiguriert zum Übertragen eines von einem der mehreren Fahrzeugsteuergeräte empfangenen Signals zu einem anderen der mehreren Fahrzeugsteuergeräte und konfiguriert zum Verwalten von Kommunikation zwischen den mehreren Fahrzeugsteuergeräten. Der Kommunikationsport kann an das Kommunikationsmanagementgerät angeschlossen werden. Der Umprogrammierungsempfänger kann in dem Kommunikationsmanagementgerät und jedem der mehreren Fahrzeugsteuergeräte vorgesehen sein. Die Umprogrammierungssteuerung und der Umprogrammierungsauthentifikator können in jedem der mehreren Fahrzeugsteuergeräte vorgesehen sein. Der Unerlaubte-Handlung-Detektor kann an einem spezifischen Fahrzeugsteuergerät aus den mehreren Fahrzeugsteuergeräten angeschlossen sein. Wenn der Unerlaubte-Handlung-Detektor die unerlaubte Handlung erkennt, dann kann das spezifische Fahrzeugsteuergerät eine Unerlaubtheit-Erkennungsbenachrichtigung, die anzeigt, dass die unerlaubte Handlung erkannt wird, über das Netzwerk zu dem Kommunikationsmanagementgerät senden. Wenn das Kommunikationsmanagementgerät die Unerlaubtheit-Erkennungsbenachrichtigung empfängt, dann kann das Kommunikationsmanagementgerät einen Unerlaubtheit-Erkennungs-Flag in einem Speicher im Innern setzen. Wenn der Umprogrammierungsempfänger das Umprogrammierungsanforderungssignal in einem Zustand empfängt, in dem der Unerlaubtheit-Erkennungs-Flag gesetzt ist, dann kann das Kommunikationsmanagementgerät das/die vom Umprogrammierungsempfänger empfangene(n) Umprogrammierungsanforderungssignal und Daten zerstören. In einem Zustand, in dem der Unerlaubtheit-Erkennungs-Flag nicht gesetzt ist, kann das Kommunikationsmanagementgerät das/die vom Umprogrammierungsempfänger empfangene(n) Umprogrammierungsanforderungssignal und Daten über das Netzwerk zu jedem der mehreren Fahrzeugsteuergeräte übertragen. Wenn der Umprogrammierungsempfänger das Umprogrammierungsanforderungssignal vom Kommunikationsmanagementgerät in einem Zustand empfängt, in dem der Umprogrammierungsauthentifikator keine erfolgreiche Authentifikation durchführen kann, kann jedes der mehreren Fahrzeugsteuergeräte bewirken, dass die Umprogrammierungssteuerung die Ausführung der Umprogrammierung untersagt. In einem Zustand, in dem der Umprogrammierungsauthentifikator eine erfolgreiche Authentifikation durchführt, kann jedes der Fahrzeugsteuergeräte zulassen, dass die Umprogrammierungssteuerung die Umprogrammierung ausführt, und kann die Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausführen.
  • Gemäß einer oder mehreren Ausgestaltungen der Offenbarung kann in dem Fahrzeugbordkommunikationssystem eine Stromversorgung des Fahrzeugs gemäß einer Betätigung eines im Fahrzeug vorgesehenen Stromschalters oder einem Signal eines in dem Fahrzeug registrierten elektronischen Schlüssels von aus auf ein geschaltet werden. Das Fahrzeugbordkommunikationssystem kann ferner einen Stromversorgungsdetektor umfassen, konfiguriert zum Erkennen eines Einschaltzustands und eines Ausschaltzustands der Stromversorgung des Fahrzeugs. Wenn der Stromversorgungsdetektor den Ausschaltzustand der Stromversorgung des Fahrzeugs erkennt, dann kann der Umprogrammierungsempfänger gesperrt werden. Wenn der Stromversorgungsdetektor den Einschaltzustand der Stromversorgung des Fahrzeugs erkennt, dann kann der Umprogrammierungsempfänger freigegeben werden.
  • Gemäß einer oder mehreren Ausgestaltungen der Erfindung kann der Unerlaubte-Handlung-Detektor in dem Fahrzeugbordkommunikationssystem die unerlaubte Handlung am Fahrzeug mit einer Diebstahlsmöglichkeit erkennen.
  • Gemäß einer oder mehreren Ausgestaltungen der Offenbarung kann im Fahrzeugbordkommunikationssystem der Unerlaubtheit-Erkennungs-Flag, wenn er gesetzt ist, nach Erfüllung einer vorbestimmten Löschbedingung automatisch wieder gelöscht werden.
  • Gemäß der Offenbarung kann eine unerlaubte Umprogrammierung des Fahrzeugsteuergeräts verhindert werden.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm eines Fahrzeugbordkommunikationssystems gemäß einer oder mehreren Ausgestaltungen der Erfindung.
    • 2 ist ein Konfigurationsdiagramm nach dem Umprogrammieren des in 1 illustrierten Fahrzeugbordkommunikationssystems.
    • 3 ist ein Konfigurationsdiagramm von in 1 illustrierten lokalen ECUs.
    • 4 ist ein Ablaufdiagramm, das den Ablauf nach einer Unerlaubte-Handlung-Erkennung des in 1 illustrierten Fahrzeugbordkommunikationssystems illustriert.
    • 5 ist ein Diagramm, das den Ablauf nach dem Umprogrammieren des in 1 illustrierten Fahrzeugbordkommunikationssystems illustriert.
    • 6 ist ein Konfigurationsdiagramm eines Fahrzeugbordkommunikationssystems gemäß einer oder mehreren Ausgestaltungen der Offenbarung.
    • 7 ist ein Konfigurationsdiagramm nach dem Umprogrammieren des in 6 illustrierten Fahrzeugbordkommunikationssystems.
    • 8 ist ein Konfigurationsdiagramm einer Gateway-ECU und einer lokalen ECU wie in 6 illustriert.
    • 9 ist ein Ablaufdiagramm, das den Ablauf nach einer Unerlaubte-Handlung-Erkennung des in 6 illustrierten Fahrzeugbordkommunikationssystems illustriert.
    • 10 ist ein Diagramm, das den Ablauf nach dem Umprogrammieren des in 6 illustrierten Fahrzeugbordkommunikationssystems illustriert.
    • 11 ist ein Konfigurationsdiagramm eines Fahrzeugbordkommunikationssystems gemäß einer oder mehreren Ausgestaltungen der Offenbarung.
    • 12 ist ist ein Konfigurationsdiagramm nach dem Umprogrammieren des in 11 illustrierten Fahrzeugbordkommunikationssystems.
    • 13 ist ein Konfigurationsdigramm einer in 11 illustrierten lokalen ECU.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Nachfolgend werden Ausgestaltungen der Offenbarung mit Bezug auf die Zeichnungen beschrieben. In den Zeichnungen wurden identische oder entsprechende Teile mit identischen Bezugszeichen gekennzeichnet. In Ausgestaltungen der Offenbarung sind zahlreiche spezifische Details dargelegt, um ein tiefgreifenderes Verständnis der Erfindung zu vermitteln. Es wird jedoch für die durchschnittliche Fachperson offensichtlich sein, dass die Erfindung auch ohne diese spezifischen Details umgesetzt werden kann. In anderen Fällen wurden gut bekannte Merkmale nicht ausführlich beschrieben, um die Erfindung nicht zu verundeutlichen.
  • Zunächst wird eine Konfiguration eines Fahrzeugbordkommunikationssystems 101 gemäß einer ersten Ausgestaltung mit Bezug auf die 1 und 2 beschrieben.
  • 1 ist ein Konfigurationsdiagramm des Fahrzeugbordkommunikationssystems 101. Das Fahrzeugbordkommunikationssystem 101 ist an einem Fahrzeug 31 montiert, das zum Beispiel ein Vierrad-Kraftfahrzeug ist. Das Fahrzeugbordkommunikationssystem 101 beinhaltet mehrere lokale ECUs 2(1) bis 2(7), einen Unerlaubte-Handlung-Erkennungssensor 3 und einen OBDII-(On Board Diagnosis Second Generation)-Port 5. Die lokalen ECUs 2(1) bis 2(7) werden nachfolgend kollektiv als lokale ECUs 2 bezeichnet.
  • Mehrere Netzwerke des Bustyps, wie ein Steuergerätenetz (CAN) und ein lokales Verbindungsnetzwerk (LIN), sind im Fahrzeug 31 konfiguriert. Die mehreren lokalen ECUs 2 sind mit dem Netzwerk der einzelnen Busse 4A, 4B verbunden.
  • Zum Beispiel, in 1 sind die lokalen ECUs 2(1) bis 2(3) mit vorbestimmten Verbindungsknoten verbunden, die jeweils im Netzwerk von Bus 4A bereitgestellt werden. Die lokalen ECUs 2(4) bis 2(7) sind jeweils mit vorbestimmten Verbindungsknoten verbunden, die im Netzwerk des Busses 4B vorgesehen sind.
  • Jede lokale ECU 2 steuert jede Einheit des Fahrzeugs 31. Spezieller, die lokalen ECUs 2(2) bis 2(7) sind zu steuernden Fahrzeugbordgeräten wie einem Airbag, einer Klimaanlage, einer Bremse, einem Getriebe, einem Motor und einer Servolenkung zugeordnet, die jeweils am Fahrzeug 31 montiert sind. Jede der lokalen ECUs 2(2) bis 2(7) steuert den Betrieb des entsprechenden Fahrzeugbordgeräts.
  • Die lokale ECU 2(1) ist mit einem Bordnetzsteuergerät (BSG), zum Beispiel, konfiguriert und steuert den Betrieb von anderen am Fahrzeug 31 montierten Fahrzeugbordgeräten. Zusätzlich überwacht die lokale ECU 2(1) zum Beispiel den Stromversorgungszustand und den Sicherheitszustand des Fahrzeugs 31, die Türver- und - entriegelungszustände, und kommuniziert drahtlos mit einem im Fahrzeug 31 registrierten tragbaren Gerät 60 (3).
  • Der Unerlaubte-Handlung-Erkennungssensor 3 ist mit der lokalen ECU 2(1) verbunden. Der Unerlaubte-Handlung-Erkennungssensor 3 ist zum Beispiel als Neigungssensor konfiguriert, der eine Neigung des Fahrzeugs 31 erkennt und eine unerlaubte Handlung am Fahrzeug 31 erkennt, die ein Diebstahl des Fahrzeugs 31 sein kann.
  • Speziell, wenn das Fahrzeug 31 zum Beispiel in einem stehenden Zustand ist (eine Fahrantriebsquelle wie ein Motor ist ebenfalls in einem stehenden Zustand) und eine unerlaubte Person eine unerlaubte Handlung am Fahrzeug 31 durchführt, wie zum Beispiel einen Versuch, in das Fahrzeug 31 einzudringen und ein Türschloss aufzuzwingen, dann wird das Fahrzeug 31 geschüttelt. Dann erkennt der Unerlaubte-Handlung-Erkennungssensor 3 eine Neigung des Fahrzeugs 31 und erkennt somit die unerlaubte Handlung an dem Fahrzeug 31 und gibt das Erkennungsergebnis an die spezifische lokale ECU 2(1) aus.
  • Jede lokale ECU 2 führt Kommunikationen durch und sendet und empfängt Informationen, die zum Steuern des Betriebs des Fahrzeugbordgeräts notwendig sind, zu und von einer anderen lokalen ECU 2. Zusätzlich kommunizieren die lokalen ECU 2 miteinander, um kooperativ zu arbeiten. Die lokale ECU 2 ist ein Beispiel für ein „Fahrzeugsteuergerät“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung. Zusätzlich ist die lokale ECU 2(1) ein Beispiel für ein „spezifisches Fahrzeugsteuergerät“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung. Der Unerlaubte-Handlung-Erkennungssensor 3 ist ein Beispiel für einen „Unerlaubte-Handlung-Detektor“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung.
  • Der OBDII-Port 5 ist mit den Bussen 4A, 4B verbunden. Der OBDII-Port 5 ist ein Kommunikationsport nach außen. Ein externes Gerät wie zum Beispiel ein Fehlerdiagnosegerät (nicht illustriert) oder ein in 2 illustriertes Umprogrammierungsgerät 50 ist über einen Verbinder oder ein Kabel an den OBDII-Port 5 angeschlossen. Durch Anschließen des externen Geräts an den OBDII-Port 5 können das externe Gerät und die lokale ECU 2 über das Netzwerk des Busses 4A, 4B kommunizieren. Speziell, das Fehlerdiagnosegerät kommuniziert zum Beispiel mit jeder lokalen ECU 2 über das Netzwerk des Busses 4A, 4B und kann Fehlerdiagnoseinformationen über das Fahrzeugbordgerät von der lokalen ECU 2 erfassen. Der OBDII-Port 5 ist ein Beispiel für einen „Kommunikationsport“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung.
  • 2 ist ein Konfigurationsdiagramm nach dem Umprogrammieren des Fahrzeugbordkommunikationssystems 101. Das in 2 illustrierte Umprogrammierungsgerät 50 ist ein autorisiertes Gerät, das zum Ausführen von Umprogrammierung zum Umschreiben eines Software-Programms jeder lokalen ECU 2 konfiguriert ist. Durch Anschließen des Umprogrammierungsgeräts 50 an den OBDII-Port 5 können das Umprogrammierungsgerät 50 und die lokale ECU 2 miteinander über den OBDII-Port 5 und das Netzwerk des Busses 4A, 4B kommunizieren.
  • Das Umprogrammierungsgerät 50 sendet ein Umprogrammierungsanforderungssignal und Daten vom OBDII-Port 5 durch jeden der Busse 4A, 4B. Das Umprogrammierungsanforderungssignal wird nachfolgend als Repro-Anforderungssignal bezeichnet und die Umprogrammierungsdaten werden nachfolgend als Repro-Daten bezeichnet.
  • Jede lokale ECU 2 empfängt das/die durch den mit jeder lokalen ECU 2 verbundenen Bus 4A, 4B gesendete(n) Repro-Anforderungssignal und Repro-Daten. Dann stellt, gemäß den im Repro-Anforderungssignal enthaltenen Informationen, jede lokale ECU 2 fest, ob die lokale ECU 2 selbst ein Umprogrammierungsziel ist oder nicht. Die lokale ECU 2, die feststellt, dass die lokale ECU 2 selbst das Umprogrammierungsziel ist, führt die Umprogrammierung gemäß dem/den von der lokalen ECU 2 empfangenen Repro-Anforderungssignal und Repro-Daten aus.
  • In 2 zeigt ein Pfeil einen Umprogrammierungspfad vom Umprogrammierungsgerät 50 zur lokalen ECU 2(1) als repräsentatives Beispiel.
  • Als Nächstes wird die Konfiguration der lokalen ECU 2 des Fahrzeugbordkommunikationssystems 101 mit Bezug auf 3 beschrieben.
  • 3 ist ein Konfigurationsdiagramm der lokalen ECUs 2 des Fahrzeugbordkommunikationssystems 101. 3 illustriert separat die Konfiguration der lokalen ECU 2(1) und die Konfiguration jeder der anderen lokalen ECUs 2(2) bis 2(7).
  • Jede lokale ECU 2 umfasst eine Steuerung 21, einen Speicher 22, einen Kommunikator 23 für ein Netzwerk und eine Schnittstelle 24 für ein Fahrzeugbordgerät. Zusätzlich zu der obigen Konfiguration umfasst die lokale ECU 2(1) einen Kommunikator 25 für ein tragbares Gerät.
  • Die Steuerung 21 ist mit einer CPU, einem Memory und dergleichen konfiguriert. Die Steuerung 21 steuert den Betrieb eines zu steuernden Fahrzeugbordgeräts 40. Jede lokale ECU 2 kann ein Fahrzeugbordgerät 40 steuern oder kann mehrere Fahrzeugbordgeräte 40 steuern.
  • Die Steuerung 21 jeder lokalen ECU 2 umfasst eine Umprogrammierungssteuerung 21a, einen Umprogrammierungsauthentifikator 21b und einen Stromversorgungsdetektor 21d. Zusätzlich zur obigen Konfiguration umfasst die Steuerung 21 der lokalen ECU 2(1) einen Stromversorgungsauthentifikator 21c und einen Zutrittsauthentifikator 21e.
  • Der Speicher 22 ist als nichtflüchtiges Memory konfiguriert. Der Speicher 22 speichert im Voraus Informationen über das Netzwerk jedes der Busse 4A, 4B sowie ein Software-Programm, Informationen und dergleichen für den Betrieb der lokalen ECU 2 einschließlich des Speichers 22. Das im Speicher 22 gespeicherte Software-Programm ist zum Steuern des zu steuernden Fahrzeugbordgeräts 40 nötig und kann mit dem Umprogrammierungsgerät 50 umgeschrieben werden. Die Steuerung 21 liest Informationen aus dem Speicher 22 und speichert Informationen im Speicher 22. Zusätzlich führt die Steuerung 21 Umprogrammierung zum Umschreiben des im Speicher 22 gespeicherten Software-Programms gemäß dem/den von der Steuerung 21 vom Umprogrammierungsgerät 50 empfangenen Repro-Anforderungssignal und Repro-Daten aus.
  • In einem vorbestimmten Speicherbereich des Speichers 22 ist ein Unerlaubtheit-Erkennungs-Flag 22f zum Aufzeichnen vorgesehen, dass es eine unerlaubte Handlung am Fahrzeug 31 gegeben hat. Die Steuerung 21 setzt oder löscht den Unerlaubtheit-Erkennungs-Flag 22f.
  • Der Kommunikator 23 für ein Netzwerk ist mit einer Schaltung zum Kommunizieren über das Netzwerk des Busses 4A oder des Busses 4B konfiguriert. Die Steuerung 21 jeder lokalen ECU 2 bewirkt, dass der Kommunikator 23 für ein Netzwerk ein Signal (inkl. Daten und Informationen) oder dergleichen zu und von einer anderen lokalen ECU 2 über das Netzwerk des Busses 4A, 4B sendet und empfängt. Zusätzlich bewirkt die Steuerung 21, dass der Kommunikator 23 für ein Netzwerk ein Signal oder dergleichen über den OBDII-Port 5 und das Netzwerk des Busses 4A, 4B zu und von dem am OBDII-Port 5 angeschlossenen externen Gerät sendet und empfängt.
  • Der Kommunikator 23 für ein Netzwerk umfasst einen Umprogrammierungsempfänger 23a. Wie in 2 illustriert, bewirkt die Steuerung 21, dass der Umprogrammierungsempfänger 23a das/die Repro-Anforderungssignal und Repro-Daten von dem am OBDII-Port 5 angeschlossenen Umprogrammierungsgerät 50 über den OBDII-Port 5 und das Netzwerk des Busses 4A, 4B empfängt. Zusätzlich kann die Steuerung 21 auch bewirken, dass der Kommunikator 23 für ein Netzwerk ein Signal oder dergleichen über das Netzwerk des Busses 4A, 4B über den OBDII-Port 5 zum Umprogrammierungsgerät 50 sendet.
  • Die Schnittstelle 24 für ein Fahrzeugbordgerät ist mit einer Schaltung zum Kommunizieren mit dem zu steuernden Fahrzeugbordgerät 40 konfiguriert. Zusätzlich zum Fahrzeugbordgerät 40 sind auch der Unerlaubte-Handlung-Erkennungssensor 3 und ein Stromschalter 41 mit der Schnittstelle 24 für ein Fahrzeugbordgerät der lokalen ECU 2(1) verbunden. Die lokale ECU 2(1) empfängt das Erkennungsergebnis des Unerlaubte-Handlung-Erkennungssensors 3 und ein Ausgangssignal entsprechend der Betätigung des Stromschalters 41 durch die Schnittstelle 24 für ein Fahrzeugbordgerät. Der Unerlaubte-Handlung-Erkennungssensor 3 und der Stromschalter 41 sind ebenfalls Beispiele für die Fahrzeugbordgeräte.
  • Der Kommunikator 25 für ein tragbares Gerät der lokalen ECU 2(1) ist mit einer Schaltung zum drahtlosen Kommunizieren mit einem im Fahrzeug 31 registrierten tragbaren Gerät 60 konfiguriert. Das tragbare Gerät 60 ist ein Beispiel für einen „elektronischen Schlüssel“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung.
  • In der Steuerung 21 jeder lokalen ECU 2 erlaubt oder untersagt die Umprogrammierungssteuerung 21a die Ausführung einer Umprogrammierung des im Speicher 22 gespeicherten Software-Programms. Der Umprogrammierungsauthentifikator 21b führt eine Authentifikation gemäß den Authentifikationsinformationen durch, die in dem vom Umprogrammierungsempfänger 23a empfangenen Repro-Anforderungssignal enthalten sind. Spezieller, der Umprogrammierungsauthentifikator 21b führt den im Repro-Anforderungssignal enthaltenen Authentifikationscode mit dem im Voraus registrierten Registrierungscode zusammen und stellt fest, dass eine Authentifikation erfolgreich war, wenn der Authentifikationscode und der Registrierungscode übereinstimmen. Zudem stellt, wenn Authentifikationscode und Registrierungscode nicht übereinstimmen, der Umprogrammierungsauthentifikator 21b fest, dass die Authentifikation nicht erfolgreich war.
  • Der Stromversorgungsdetektor 21d erkennt Ein- und Ausschaltzustände der Stromversorgung des Fahrzeugs 31 gemäß einem Betriebszustand eines Relais auf einer Stromversorgungsleitung (nicht illustriert) des Fahrzeugs 31. Speziell, ein Zubehör-(ACC)-Relais ist an einer ACC-Stromversorgungsleitung des Fahrzeugs 31 vorgesehen. Wenn das ACC-Relais ein- oder ausgeschaltet wird, dann wird die ACC-Stromversorgungsleitung verbunden bzw. abgetrennt, und somit wird eine ACC-Stromversorgung ein- oder ausgeschaltet. Außerdem ist ein Zünd-(IG)-Relais auf einer IG-Stromversorgungsleitung des Fahrzeugs 31 vorgesehen. Wenn das IG-Relais ein- oder ausgeschaltet wird, dann wird die IG-Stromversorgungsleitung verbunden bzw. abgetrennt, und somit wird eine IG-Stromversorgung ein- oder ausgeschaltet. Der Stromversorgungsdetektor 21d überwacht Ein- und Ausschaltzustände von ACC-Relais und IG-Relais und erkennt die Ein- und Ausschaltzustände der ACC-Stromversorgung und der IG-Stromversorgung des Fahrzeugs 31. Die Steuerung 21 der lokalen ECU 2(1) steuert das Ein- und Ausschalten des ACC-Relais und des IG-Relais.
  • Der in der Steuerung 21 der lokalen ECU 2(1) vorgesehene Stromversorgungsauthentifikator 21c führt eine Authentifikation zum Einschalten der ACC-Stromversorgung oder der IG-Stromversorgung des Fahrzeugs 31 durch. Die ACC-Stromversorgung und die IG-Stromversorgung des Fahrzeugs 31 werden gemäß einer Einschaltbetätigung des in einem Fahrgastraum des Fahrzeugs 31 vorgesehenen Stromschalters 41 oder einem Einschaltsignal von dem im Fahrzeug 31 registrierten tragbaren Gerät 60 von ein auf aus geschaltet.
  • Zum Beispiel, wenn eine ACC-Einschaltbetätigung oder eine IG-Einschaltbetätigung von dem im Fahrgastraum des Fahrzeugs 31 bereitgestellten Stromschalter 41 in einem Zustand durchgeführt wird, in dem sich das tragbare Gerät 60 im Fahrgastraum befindet, dann bewirkt die Steuerung 21 der lokalen ECU 2(1), dass der Kommunikator 25 für ein tragbares Gerät mit dem tragbaren Gerät 60 kommuniziert. Dann führt der Stromversorgungsauthentifikator 21c eine Authentifikation gemäß den Authentifikationsinformationen durch, die in dem vom Kommunikator 25 für ein tragbares Gerät vom tragbaren Gerät 60 erhaltenen Signal enthalten sind.
  • Zu diesem Zeitpunkt führt der Stromversorgungsauthentifikator 21c die in dem vom tragbaren Gerät 60 empfangenen Signal enthaltenen Authentifikationsinformationen (ID) des tragbaren Geräts mit der im Voraus registrierten Registrierungs-ID durch. Wenn die ID des tragbaren Geräts und die registrierte ID übereinstimmen, dann stellt der Stromversorgungsauthentifikator 21c fest, dass die Authentifikation erfolgreich war. In diesem Fall schaltet die Steuerung 21 der lokalen ECU 2(1) das ACC-Relais oder das IG-Relais von aus auf ein und schaltet die ACC-Stromversorgung oder die IG-Stromversorgung des Fahrzeugs 31 ein. Zusätzlich stellt der Stromversorgungsauthentifikator 21c fest, wenn die ID des tragbaren Geräts nicht mit der registrierten ID übereinstimmt, dass die Authentifikation nicht erfolgreich war. In diesem Fall bleibt das oben beschriebene ACC-Relais oder IG-Relais im Ausschaltzustand und die ACC-Stromversorgung oder die IG-Stromversorgung des Fahrzeugs 31 bleibt ebenfalls im Ausschaltzustand.
  • Ferner führt, z.B. auch dann, wenn der Kommunikator 25 für ein tragbares Gerät der lokalen ECU 2(1) ein vom tragbaren Gerät 60 gesendetes Stromeinschaltsignal in einem Zustand empfängt, in dem sich das tragbare Gerät 60 außerhalb des Fahrgastraums des Fahrzeugs 31 befindet, der Stromversorgungsauthentifikator 21c eine Authentifikation wie oben beschrieben gemäß der ID des tragbaren Geräts 60 durch, enthalten im Einschaltsignal und der registrierten ID. Dann steuert die Steuerung 21 der lokalen ECU 2(1), gemäß dem vom Stromversorgungsauthentifikator 21c erhaltenen Authentifikationsergebnis, die Ein- und Ausschaltzustände der ACC-Stromversorgung oder der IG-Stromversorgung des Fahrzeugs 31 wie oben beschrieben.
  • Der in der Steuerung 21 der lokalen ECU 2(1) vorgesehene Zutrittsauthentifikator 21e authentifiziert das tragbare Gerät 60, wenn ein Benutzer in das Fahrzeug 31 einsteigt (sich nähert oder es berührt). Spezieller, die Steuerung 21 der lokalen ECU 2(1) bewirkt, z.B. dann, wenn ein im Fahrzeug 31 vorgesehener passiver Anforderungsschalter (nicht illustriert) in einem Zustand betätigt wird, in dem die Tür des Fahrzeugs 31 verriegelt ist, dass der Kommunikator 25 für ein tragbares Gerät mit dem tragbaren Gerät 60 kommuniziert. Dann führt der Zutrittsauthentifikator 21e eine Authentifikation gemäß den Authentifikationsinformationen durch, die in dem Signal enthalten sind, das der Kommunikator 25 für ein tragbares Gerät vom tragbaren Gerät 60 erhält.
  • Zu diesem Zeitpunkt führt der Zutrittsauthentifikator 21e die ID des in dem vom tragbaren Gerät 60 erhaltenen Signal enthaltenen tragbaren Geräts 60 mit der im Voraus registrierten ID zusammen. Der Zutrittsauthentifikator 21e stellt fest, dass eine Authentifikation erfolgreich war, wenn die ID des tragbaren Geräts 60 und die registrierte ID übereinstimmen. In diesem Fall steuert die Steuerung 21 der lokalen ECU 2(1) eine Türschlossvorrichtung (nicht illustriert), um die Tür des Fahrzeugs 31 zu entriegeln. Außerdem stellt der Zutrittsauthentifikator 21e fest, wenn die ID des tragbaren Geräts 60 und die registrierte ID nicht übereinstimmen, dass die Authentifikation nicht erfolgreich war. In diesem Fall bleibt die Tür des Fahrzeugs 31 verriegelt.
  • Zusätzlich, zum Beispiel auch dann, wenn der Kommunikator 25 für ein tragbares Gerät ein Anforderungssignal vom tragbaren Gerät 60 in einem Zustand empfängt, in dem die Tür des Fahrzeugs 31 verriegelt ist, authentifiziert der Zutrittsauthentifikator 21e das tragbare Gerät 60 wie oben beschrieben gemäß der im Anforderungssignal enthaltenen ID des tragbaren Geräts 60 und der registrierten ID. Dann steuert die Steuerung 21 der lokalen ECU 2(1), gemäß dem vom Zutrittsauthentifikator 21e erhaltenen Authentifikationsergebnis, das Ver- und Entriegeln der Tür des Fahrzeugs 31 wie oben beschrieben.
  • Ein rechtmäßiger Benutzer des Fahrzeugs 31 trägt das tragbare Gerät 60. Daher kann in einem Fall, in dem der Stromversorgungsauthentifikator 21c oder der Zutrittsauthentifikator 21e die Authentifikation erfolgreich durchführt, festgestellt werden, dass der rechtmäßige Benutzer dabei ist, das Fahrzeug 31 zu benutzen. Im Gegensatz dazu kann in einem Fall, in dem der Stromversorgungsauthentifikator 21c oder der Zutrittsauthentifikator 21e eine Authentifikation nicht erfolgreich durchgeführt hat, festgestellt werden, dass eine das tragbare Gerät 60 nicht tragende unerlaubte Person versucht, das Fahrzeug 31 unerlaubt zu benutzen.
  • Als Nächstes wird der Betrieb bei einer Unerlaubte-Handlung-Erkennung des Fahrzeugbordkommunikationssystems 101 mit Bezug auf 4 beschrieben.
  • 4 ist ein Ablaufdiagramm, das den Ablauf nach einer Unerlaubte-Handlung-Erkennung des Fahrzeugbordkommunikationssystems 101 illustriert. Der Unerlaubte-Handlung-Erkennungssensor 3 oder die lokale ECU 2 führt jeden Prozess aus.
  • Zunächst überwacht die Steuerung 21 der spezifischen lokalen ECU 2(1) den Ausgang des Unerlaubte-Handlung-Erkennungssensors 3 (Schritt S1 in 4). Zum Beispiel, in einem Fall, in dem eine unerlaubte Person eine unerlaubte Handlung an dem Fahrzeug 31 durchführt, um in das Fahrzeug 31 einzudringen, erkennt der Unerlaubte-Handlung-Erkennungssensor 3 die unerlaubte Handlung an dem Fahrzeug 31 und gibt ein das Erkennungsergebnis anzeigendes Signal an die lokale ECU 2(1) aus. Wenn die Steuerung 21 der spezifischen lokalen ECU 2(1) das Ausgangssignal durch die Schnittstelle 24 für ein Fahrzeugbordgerät empfängt, dann stellt die Steuerung 21 der spezifischen lokalen ECU 2(1) fest, dass der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung an dem Fahrzeug 31 erkennt (ja in Schritt S2 in 4).
  • Dann setzt die Steuerung 21 in der spezifischen lokalen ECU 2(1) den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 (Schritt S3 in 4). Ferner bewirkt die Steuerung 21, dass der Kommunikator 23 für ein Netzwerk eine Unerlaubtheit-Erkennungsbenachrichtigung, die anzeigt, dass eine unerlaubte Handlung erkannt wurde, zu anderen lokalen ECUs 2 über das Netzwerk des Busses 4A, 4B sendet (Schritt S4 in 4).
  • In jeder der anderen lokalen ECUs 2 setzt die Steuerung 21, wenn der Kommunikator 23 für ein Netzwerk die Unerlaubtheit-Erkennungsbenachrichtigung über das Netzwerk des Busses 4A, 4B empfängt (Schritt S5 in 4), den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 (Schritt S6 in 4).
  • Im Gegensatz dazu erkennt, wenn keine unerlaubte Handlung von einer unerlaubten Person am Fahrzeug 31 durchgeführt wird, der Unerlaubte-Handlung-Erkennungssensor 3 keine unerlaubte Handlung und gibt kein Signal, das anzeigt, dass eine unerlaubte Handlung erkannt wurde, an die lokale ECU 2(1) aus. Daher stellt die Steuerung 21 der spezifischen lokalen ECU 2(1) fest, wenn die Steuerung 21 der spezifischen lokalen ECU 2(1) kein vom Unerlaubte-Handlung-Erkennungssensor 3 ausgegebenes Signal empfängt, dass der Unerlaubte-Handlung-Erkennungssensor 3 keine unerlaubte Handlung am Fahrzeug 31 erkennt (nein in Schritt S2 in 4).
  • In diesem Fall prüft die Steuerung 21 in der spezifischen lokalen ECU 2(1), ob eine vorbestimmte Unerlaubte-Handlung-Löschbedingung erfüllt ist oder nicht (Schritt S7 in 4).
  • Mögliche Beispiele für die Unerlaubte-Handlung-Löschbedingung sind der Ablauf einer bestimmten Zeitperiode nach dem Erkennen einer unerlaubten Handlung durch den Unerlaubte-Handlung-Erkennungssensor 3, eine erfolgreiche Authentifikation durch den Stromversorgungsauthentifikator 21c oder den Zutrittsauthentifikator 21e und der Empfang eines vorbestimmten Löschbefehls, gesendet von dem am OBDII-Port 5 angeschlossenen externen Gerät. Eine andere Bedingung als die obigen Bedingungen kann als eine Unerlaubte-Handlung-Löschbedingung festgelegt werden.
  • Falls die Unerlaubte-Handlung-Löschbedingung erfüllt ist (ja in Schritt S7 in 4), löscht die Steuerung 21 der spezifischen lokalen ECU 2(1) den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 (Schritt S8 in 4). Zusätzlich bewirkt die Steuerung 21 der spezifischen lokalen ECU 2(1), dass der Kommunikator 23 für ein Netzwerk eine Unerlaubtheit-Löschbenachrichtigung zu den anderen lokalen ECUs 2 über das Netzwerk des Busses 4A, 4B sendet (Schritt S9 in 4).
  • In jeder der anderen lokalen ECUs 2 löscht die Steuerung 21, wenn der Kommunikator 23 für ein Netzwerk eine Unerlaubtheit-Löschbenachrichtigung über das Netzwerk des Busses 4A, 4B empfängt (Schritt S10 in 4), den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 (Schritt S11 in 4).
  • Als Nächstes wird der Ablauf nach dem Umprogrammieren des Fahrzeugbordkommunikationssystems 101 mit Bezug auf 5 beschrieben.
  • 5 ist ein Ablaufschema, das den Ablauf nach dem Umprogrammieren des Fahrzeugbordkommunikationssystems 101 illustriert. Die lokale ECU 2 führt jeden Prozess aus.
  • Zum Beispiel, ein rechtmäßiger Benutzer wie eine Wartungsperson des Fahrzeugs 31 schließt das Umprogrammierungsgerät 50 am OBDII-Port 5 an und schaltet die Stromversorgung (ACC-Stromversorgung oder IG-Stromversorgung) des Fahrzeugs 31 mit dem Stromschalter 41 oder dem tragbaren Gerät 60 ein. So benutzt der rechtmäßige Benutzer das Umprogrammierungsgerät 50 zum Senden eines Repro-Anforderungssignals oder von Repro-Daten zum Umprogrammieren einer lokalen Ziel-ECU 2.
  • Falls ein normaler Betrieb wie oben beschrieben durchgeführt wird, erkennt der Stromversorgungsdetektor 21d den Einschaltzustand der Stromversorgung des Fahrzeugs 31 (ja in Schritt S21 in 5) in jeder lokalen ECU 2. Daher gibt die Steuerung 21 den Umprogrammierungsempfänger 23a frei (Schritt S22 in 5). So empfängt der Umprogrammierungsempfänger 23a das/die vom Umprogrammierungsgerät 50 gesendete(n) Repro-Anforderungssignal oder Repro-Daten über den OBDII-Port 5 und das Netzwerk des Busses 4A, 4B. Das Repro-Anforderungssignal und die Repro-Daten werden in nachfolgenden Prozessen effektiv benutzt.
  • Im Gegensatz dazu sei angenommen, dass eine unerlaubte Person ein unerlaubtes Gerät am OBDII-Port 5 anschließt und die unerlaubte Person das unerlaubte Gerät zum Senden eines/von unerlaubten Repro-Anforderungssignals oder unerlaubten Repro-Daten benutzt, während die Stromversorgung des Fahrzeugs 31 ausgeschaltet ist. In diesem Fall erkennt der Stromversorgungsdetektor 21d in jeder lokalen ECU 2 den Ausschaltzustand der Stromversorgung des Fahrzeugs 31 (nein in Schritt S21 in 5). Daher sperrt die Steuerung 21 den Umprogrammierungsempfänger 23a (Schritt S23 in 5). Somit weist der Umprogrammierungsempfänger 23a selbst dann, wenn das unerlaubte Gerät das/die unerlaubte Repro-Anforderungssignal oder unerlaubten Repro-Daten zu jeder lokalen ECU 2 über den OBDII-Port 5 und das Netzwerk des Busses 4A, 4B sendet, das unerlaubte Repro-Anforderungssignal oder die unerlaubten Repro-Daten zurück. Alternativ kann die Steuerung 21 nach dem Empfangen des unerlaubten Repro-Anforderungssignals oder der unerlaubten Repro-Daten durch den Umprogrammierungsempfänger 23a das unerlaubte Repro-Anforderungssignal oder die unerlaubten Repro-Daten als ungültiges Signal oder ungültige Daten ansehen und das unerlaubte Repro-Anforderungssignal oder die unerlaubten Repro-Daten zerstören.
  • Nach Schritt S22 in 5 prüft die Steuerung 21 jeder lokalen ECU 2, wenn der Umprogrammierungsempfänger 23a ein Repro-Anforderungssignal empfängt (ja in Schritt S24 in 5), ob der Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 gesetzt ist (Schritt S25 in 5).
  • Falls der Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 gesetzt ist (ja in Schritt S25 in 5), untersagt die Umprogrammierungssteuerung 21a die Ausführung der Umprogrammierung (Schritt S30 in 5) und die Steuerung 21 zerstört das/die vom Umprogrammierungsempfänger 23a empfangene(n) Repro-Anforderungssignal und Repro-Daten (Schritt 31 in 5). Daher führt die lokale ECU 2, wenn der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung im Voraus am Fahrzeug 31 erkennt, die Umprogrammierung nicht durch.
  • Zusätzlich stellt die Steuerung 21 in einem Fall, in dem der Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 nicht gesetzt ist (nein in Schritt S25 in 5), gemäß dem Repro-Anforderungssignal fest, ob die lokale ECU 2, zu der die Steuerung 21 gehört, ein Umprogrammierungsziel ist oder nicht (Schritt S26 in 5).
  • Falls die Steuerung 21 feststellt, dass die lokale ECU 2, zu der die Steuerung 21 gehört, nicht das Umprogrammierungsziel ist (nein in Schritt S26 in 5), zerstört die Steuerung 21 das/die vom Umprogrammierungsempfänger 23a empfangene(n) Repro-Anforderungssignal und Repro-Daten (Schritt S31 in 5). So führt die lokale ECU 2, die nicht das Umprogrammierungsziel ist, die Umprogrammierung nicht aus.
  • Im Gegensatz dazu führt der Umprogrammierungsauthentifikator 21b, falls die Steuerung 21 feststellt, dass die lokale ECU 2, zu der die Steuerung 21 gehört, das Umprogrammierungsziel ist (ja in Schritt S26 in 5), die Authentifikation gemäß dem im Repro-Anforderungssignal enthaltenen Authentifikationscode durch.
  • Wenn das in Schritt S24 in 5 empfangene Repro-Anforderungssignal ein vom autorisierten Umprogrammierungsgerät 50 gesendetes rechtmäßiges Signal ist, dann führt der Umprogrammierungsauthentifikator 21b eine erfolgreiche Authentifikation wie oben beschrieben durch (ja in Schritt S27 in 5). In diesem Fall erlaubt die Umprogrammierungssteuerung 21a die Ausführung der Umprogrammierung (Schritt S28 in 5) und die Steuerung 21 führt die Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger 23a empfangenen Repro-Anforderungssignal und Repro-Daten durch (Schritt S29 in 5). Daher wird die Umprogrammierung rechtmäßig in der lokalen ECU 2 ausgeführt, die das Umprogrammierungsziel ist.
  • Im Gegensatz dazu authentifiziert, wenn das in Schritt S24 in 5 empfangene Repro-Anforderungssignal ein von einem unerlaubten Gerät gesendetes unerlaubtes Signal ist, der Umprogrammierungsauthentifikator 21b die Authentifikation nicht erfolgreich wie oben beschrieben (nein in Schritt S27 in 5). In diesem Fall untersagt die Umprogrammierungssteuerung 21a die Ausführung der Umprogrammierung (Schritt S30 in 5) und die Steuerung 21 zerstört das/die vom Umprogrammierungsempfänger 23a empfangene(n) Repro-Anforderungssignal und Repro-Daten (Schritt S31 in 5). So führt die lokale ECU 2 die Umprogrammierung gemäß einem unerlaubten Repro-Anforderungssignal oder dergleichen nicht durch.
  • Gemäß der ersten Ausgestaltung wird, falls der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung an dem Fahrzeug 31 erkennt, die Ausführung der Umprogrammierung der lokalen ECU 2 untersagt. Daher erkennt zum Beispiel, wenn eine unerlaubte Person eine unerlaubte Handlung an dem Fahrzeug 31 durchführt, um in das Fahrzeug 31 einzudringen, der Unerlaubte-Handlung-Erkennungssensor 3 die unerlaubte Handlung. Dann wird selbst dann, wenn die unerlaubte Person ein unerlaubtes Gerät am OBDII-Port 5 anschließt und das unerlaubte Gerät zum Senden eines/von unerlaubten Umprogrammierungsanforderungssignals und Daten benutzt, die das/die autorisierte(n) Umprogrammierungsanforderungssignal und Daten emittiert/-en, eine Umprogrammierung der lokalen ECU 2 untersagt. Daher wird keine unerlaubte Umprogrammierung in der lokalen ECU 2 durchgeführt, so dass eine unerlaubte Umprogrammierung verhindert werden kann.
  • Zusätzlich führt der Umprogrammierungsauthentifikator 21b in der ersten Ausgestaltung eine Authentifikation gemäß dem Authentifikationscode durch, der in dem vom Umprogrammierungsempfänger 23a empfangenen Repro-Anforderungssignal enthalten ist. Dann untersagt die Umprogrammierungssteuerung 21a in einem Fall, in dem der Umprogrammierungsauthentifikator 21b keine erfolgreiche Authentifikation durchführt, die Ausführung der Umprogrammierung. Zusätzlich erlaubt die Umprogrammierungssteuerung 21a in einem Fall, in dem der Umprogrammierungsauthentifikator 21b eine erfolgreiche Authentifikation durchführt und der Unerlaubte-Handlung-Erkennungssensor 3 keine unerlaubte Handlung erkennt, die Ausführung der Umprogrammierung. Daher kann eine Umprogrammierung der lokalen Ziel-ECU 2 nur in einem Fall, in dem die lokale ECU 2 ein rechtmäßiges Repro-Anforderungssignal vom autorisierten Umprogrammierungsgerät 50 über den OBDII-Port 5 und das Netzwerk des Busses 4A, 4B empfängt, normal ausgeführt werden.
  • Zusätzlich setzt in der ersten Ausgestaltung, wenn der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung erkennt, die spezifische lokale ECU 2(1) den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 im Innern und sendet eine Unerlaubtheit-Erkennungsbenachrichtung zu den anderen lokalen ECUs 2(2) bis 2(7) über die Netzwerke der Busse 4A, 4B. Wenn jede der anderen lokalen ECUs 2(2) bis 2(7) die Unerlaubtheit-Erkennungsbenachrichtigung empfängt, dann setzt jede der anderen lokalen ECUs 2(2) bis 2(7) den Unerlaubtheits-Erkennungs-Flag 22f im Speicher 22 im Innern. Daher können alle lokalen ECUs 2 auf den Netzwerken der Busse 4A, 4B erkennen, dass am Fahrzeug 31 eine unerlaubte Handlung durchgeführt wurde, und können die unerlaubte Handlung aufzeichnen.
  • Dann wird in jeder lokalen ECU 2, wenn der Umprogrammierungsempfänger 23a ein Repro-Anforderungssignal empfängt, die Ausführung der Umprogrammierung untersagt, wenn festgestellt wird, dass der Unerlaubtheit-Erkennungs-Flag 22f gesetzt ist oder der Umprogrammierungsauthentifikator 21b keine erfolgreiche Authentifikation durchführt. Daher kann eine unerlaubte Umprogrammierung verhindert werden. Zusätzlich wird in jeder lokalen ECU 2 die Ausführung der Umprogrammierung zugelassen, wenn bestätigt wird, dass der Unerlaubtheit-Erkennungs-Flag 22f nicht gesetzt ist und der Umprogrammierungsauthentifikator 21b eine erfolgreiche Authentifikation durchgeführt hat. Dann wird in der lokalen Ziel-ECU 2 eine Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger 23a empfangenen Repro-Anforderungssignal und Repro-Daten ausgeführt. Daher kann eine Umprogrammierung rechtmäßig ausgeführt werden.
  • In der ersten Ausgestaltung führt der Stromversorgungsauthentifikator 21c in jeder lokalen ECU 2 eine Authentifikation gemäß der Betätigung des Stromschalters 41 oder dem Signal vom tragbaren Gerät 60 durch. Nur dann, wenn die Authentifikation erfolgreich ist, wird die Stromversorgung des Fahrzeugs 31 eingeschaltet. Dann wird der Umprogrammierungsempfänger 23a nur dann freigegeben, wenn der Stromversorgungsdetektor 21d den Einschaltzustand der Stromversorgung des Fahrzeugs 31 erkennt. Daher empfängt, wenn ein rechtmäßiger Benutzer des Fahrzeugs 31 die Stromversorgung des Fahrzeugs 31 rechtmäßig einschaltet und dann bewirkt, dass das am OBDII-Port 5 angeschlossene Umprogrammierungsgerät 50 ein Repro-Anforderungssignal und Repro-Daten sendet, der Umprogrammierungsempfänger 23a effektiv das Repro-Anforderungssignal und die Repro-Daten in der lokalen ECU 2. Gemäß dem Repro-Anforderungssignal und den Repro-Daten kann eine Umprogrammierung der lokalen Ziel-ECU 2 rechtmäßig ausgeführt werden. Die Wahrscheinlichkeit, dass eine unerlaubte Person die Stromversorgung des Fahrzeugs 31 rechtmäßig einschaltet, ist gering. Daher kann jede lokale ECU 2 ein unerlaubtes Repro-Anforderungssignal und unerlaubte Repro-Daten invalidieren, die eine unerlaubte Person durch Benutzen eines am OBDII-Port 5 angeschlossenen unerlaubten Geräts in einem Zustand sendet, in dem die Stromversorgung des Fahrzeugs 31 ausgeschaltet ist. So kann eine unerlaubte Umprogrammierung der lokalen ECU 2 verhindert werden.
  • Zusätzlich erkennt der Unerlaubte-Handlung-Erkennungssensor 3 in der ersten Ausgestaltung eine unerlaubte Handlung am Fahrzeug 31, die ein Diebstahl des Fahrzeugs 31 sein kann. Daher erkennt, bevor jede lokale ECU 2 ein Repro-Anforderungssignal oder dergleichen empfängt, der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung, die ein Diebstahl des Fahrzeugs 31 sein kann, und die Ausführung einer Umprogrammierung wird untersagt. So kann eine unerlaubte Umprogrammierung effektiver verhindert werden.
  • Ferner wird in der ersten Ausgestaltung der in jeder lokalen ECU 2 gesetzte Unerlaubtheit-Erkennungs-Flag 22f automatisch gelöscht, wenn die vorbestimmte Löschbedingung erfüllt ist. Daher kann in einem Fall, in dem der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung erkennt und ein rechtmäßiger Benutzer des Fahrzeugs 31 dann das Umprogrammierungsgerät 50 zum Umprogrammieren der lokalen Ziel-ECU 2 benutzt, die lokale Ziel-ECU 2 ein rechtmäßiges Repro-Anforderungssignal und rechtmäßige Repro-Daten vom Umprogrammierungsgerät 50 empfangen und eine Umprogrammierung der lokalen Ziel-ECU 2 kann rechtmäßig gemäß dem rechtmäßigen Repro-Anforderungssignal und den rechtmäßigen Repro-Daten ausgeführt werden.
  • Man beachte, dass in einem anderen Beispiel eine Wartungsperson das Umprogrammierungsgerät 50 bedienen kann, um den Unerlaubtheit-Erkennungs-Flag 22f manuell zu löschen, wenn er gesetzt ist.
  • Als Nächstes wird eine Konfiguration eines Fahrzeugbordkommunikationssystems 102 gemäß einer zweiten Ausgestaltung mit Bezug auf die 6 und 7 beschrieben.
  • 6 ist ein Konfigurationsdiagramm des Fahrzeugbordkommunikationssystems 102. Das Fahrzeugbordkommunikationssystem 102 ist an einem Fahrzeug 32 montiert, das zum Beispiel ein Vierrad-Kraftfahrzeug ist. Das Fahrzeugbordkommunikationssystem 102 umfasst eine Gateway-ECU 1, mehrere lokale ECUs 2(1) bis 2(7), einen Unerlaubte-Handlung-Erkennungssensor 3 und einen OBDII-Port 5.
  • Wie in 6 illustriert, ist jede lokale ECU 2 mit einem Netzwerk von jedem von mehreren im Fahrzeug 32 konfigurierten Bussen 4A, 4B verbunden. Zusätzlich steuert, ähnlich wie in der ersten Ausgestaltung, jede lokale ECU 2 den Betrieb eines Fahrzeugbordgeräts.
  • Die einzige gemeinsame Gateway-ECU 1 ist mit den Netzwerken der Busse 4A, 4B verbunden. Die Gateway-ECU 1 ist mit einem vorbestimmten Verbindungsknoten von jedem der Busse 4A, 4B verbunden. Die Gateway-ECU 1 verwaltet Kommunikationen zwischen den lokalen ECUs 2. Die Gateway-ECU 1 verwaltet nicht nur Kommunikation innerhalb eines identischen Netzwerks, sondern verwaltet auch Kommunikation zwischen verschiedenen Netzwerken.
  • Die Gateway-ECU 1 kommuniziert mit jeder lokalen ECU 2 über das Netzwerk des Busses 4A, 4B und sendet und empfängt Informationen zu und von jeder lokalen ECU 2. Während der Kommunikation zwischen den mit einem identischen Netzwerk verbundenen lokalen ECUs 2 können von jeder der lokalen ECUs 2 gesendete Informationen direkt von der anderen lokalen ECU 2 empfangen oder von der anderen lokalen ECU 2 über die Gateway-ECU 1 empfangen werden. Während der Kommunikation zwischen den mit verschiedenen Netzwerken verbundenen lokalen ECUs 2 werden von beliebigen der lokalen ECUs 2 gesendete Informationen von der anderen lokalen ECU 2 über die Gateway-ECU 1 empfangen. Das heißt, die lokalen ECUs 2 können direkt oder über die Gateway-ECU 1 miteinander kommunizieren.
  • Während der Kommunikation zwischen den lokalen ECUs 2 über die Gateway-ECU 1 filtriert die Gateway-ECU 1 von beliebigen der lokalen ECUs 2 empfangene Informationen und überträgt die gefilterten Informationen zu der anderen lokalen ECU 2 oder schließt die gefilterten Informationen aus (sendet sie nicht oder zerstört sie).
  • Kommunikationsprotokolle der mehreren mit dem identischen Netzwerk verbundenen lokalen ECUs 2 sind identisch. Kommunikationsprotokolle der mehreren mit verschiedenen Netzwerken verbundenen lokalen ECUs 2 können jedoch identisch oder unterschiedlich sein. Falls die Kommunikationsprotokolle der mehreren mit verschiedenen Netzwerken verbundenen lokalen ECUs 2 unterschiedlich sind, wandelt die Gateway-ECU 1 das Kommunikationsprotokoll nach Kommunikation zwischen den mit verschiedenen Netzwerken verbundenen lokalen ECUs 2 um.
  • Durch die Gateway-ECU 1 wie oben beschrieben ausgeführte Filterungsverarbeitung und/oder Kommunikationsprotokoll-Umwandlungsverarbeitung werden kollektiv als Gateway-Verarbeitung bezeichnet. Die Gateway-ECU 1 ist ein Beispiel für ein „Kommunikationsmanagementgerät“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung.
  • Ebenso wie die erste Ausgestaltung, ist auch der Unerlaubte-Handlung-Erkennungssensor 3 mit einer spezifischen lokalen ECU 2(1) verbunden. Der OBDII-Port 5 ist nicht mit den Netzwerken der Busse 4A, 4B verbunden, ist aber mit der Gateway-ECU 1 verbunden.
  • 7 ist ein Konfigurationsdiagramm nach dem Umprogrammieren des Fahrzeugbordkommunikationssystems 102. Durch Anschließen des Umprogrammierungsgeräts 50 an den OBDII-Port 5 können das Umprogrammierungsgerät 50 und die Gateway-ECU 1 über den OBDII-Port 5 miteinander kommunizieren. Zusätzlich können das Umprogrammierungsgerät 50 und die lokale ECU 2 miteinander über den OBDII-Port 5, die Gateway-ECU 1 und das Netzwerk des Busses 4A, 4B kommunizieren.
  • Das Umprogrammierungsgerät 50 sendet ein Repro-Anforderungssignal und Repro-Daten über den OBDII-Port 5 zur Gateway-ECU 1. Wenn die Gateway-ECU 1 das Repro-Anforderungssignal und die Repro-Daten empfängt, dann überträgt die Gateway-ECU 1 das Repro-Anforderungssignal und die Repro-Daten zu jeder lokalen ECU 2 über das Netzwerk des Busses 4A, 4B. Zu diesem Zeitpunkt kann die Gateway-ECU 1 Gateway-Verarbeitung an dem Repro-Anforderungssignal und den Repro-Daten durchführen.
  • Jede lokale ECU 2 empfängt das Repro-Anforderungssignal und die Repro-Daten über das Netzwerk des Busses 4A, 4B. Dann stellt jede lokale ECU 2 gemäß im Repro-Anforderungssignal enthaltenen Informationen fest, ob die lokale ECU 2 selbst ein Umprogrammierungsziel ist oder nicht. Die lokale ECU 2, die feststellt, dass die lokale ECU 2 selbst das Umprogrammierungsziel ist, führt Umprogrammierung gemäß dem/den von der lokalen ECU 2 empfangenen Repro-Anforderungssignal und den Repro-Daten aus.
  • In 7 zeigt ein Pfeil einen Umprogrammierungspfad vom Umprogrammierungsgerät 50 zur lokalen ECU 2(5) als repräsentatives Beispiel.
  • Als Nächstes werden Konfigurationen der Gateway-ECU 1 und der lokalen ECU 2 des Fahrzeugbordkommunikationssystems 102 mit Bezug auf 8 beschrieben.
  • 8 ist ein Konfigurationsdiagramm der Gateway-ECU 1 und der lokalen ECUs 2 des Fahrzeugbordkommunikationssystems 102. Man beachte, dass die lokalen ECUs 2(2) bis 2(6) zwar in 8 nicht illustriert sind, aber die Konfigurationen der lokalen ECUs 2(2) bis 2(6) sind der Konfiguration der lokalen ECU 2(7) ähnlich.
  • Die Gateway-ECU 1 umfasst eine Steuerung 11, einen Speicher 12, einen Kommunikator 13 für ein Netzwerk und eine OBDII-Schnittstelle 14.
  • Die Steuerung 11 ist mit einer CPU, einem Memory und dergleichen konfiguriert. Die Steuerung 11 umfasst eine Gateway-Einheit 11a und einen Stromversorgungsdetektor 11d.
  • Der Speicher 12 ist mit einem nichtflüchtigen Memory konfiguriert. Der Speicher 12 speichert im Voraus Informationen über das Netzwerk von jedem der Busse 4A, 4B, ID (Identifikationsinformationen) jeder mit dem Netzwerk des Busses 4A, 4B verbundenen lokalen ECU 2, ID der Gateway-ECU 1 und dergleichen. Die Steuerung 11 liest Informationen aus dem Speicher 12 und speichert Informationen im Speicher 12.
  • In einem vorbestimmten Speicherbereich des Speichers 12 wird ein Unerlaubtheit-Erkennungs-Flag 12f zum Aufzeichnen vorgesehen, dass es eine unerlaubte Handlung am Fahrzeug 32 gegeben hat. Die Steuerung 11 setzt oder löscht den Unerlaubtheit-Erkennungs-Flag 12f.
  • Der Kommunikator 13 für ein Netzwerk ist mit einer Schaltung zum Kommunizieren über das Netzwerk des Busses 4A oder des Busses 4B konfiguriert. Die Steuerung 11 bewirkt, dass der Kommunikator 13 für ein Netzwerk ein Signal (inkl. Daten und Informationen) oder dergleichen zu oder von jeder lokalen ECU 2 über das Netzwerk des Busses 4A, 4B sendet und empfängt. Zusätzlich bewirkt die Steuerung 11, dass der Kommunikator 13 für ein Netzwerk ein von jeder der lokalen ECUs 2 empfangenes Signal oder dergleichen zu einer anderen lokalen ECU 2 über das Netzwerk des Busses 4A, 4B überträgt.
  • Eine Gateway-Einheit 11a der Steuerung 11 führt Gateway-Verarbeitung an einem Signal oder dergleichen durch, das der Kommunikator 13 für ein Netzwerk von beliebigen der lokalen ECUs 2 bei der Kommunikation zwischen den lokalen ECUs 2 über die Gateway-ECU 1 empfängt.
  • Speziell, die Gateway-Einheit 11a filtert ein Signal oder dergleichen, das der Kommunikator 13 für ein Netzwerk von beliebigen der lokalen ECUs 2 empfängt, und stellt fest, ob das Signal oder dergleichen zu einer anderen lokalen ECU 2 zu senden ist. Falls die Gateway-Einheit 11a feststellt, dass das von einer der lokalen ECUs 2 empfangene Signal oder dergleichen zu senden ist, bewirkt die Gateway-Einheit 11a, dass der Kommunikator 13 für ein Netzwerk das Signal oder dergleichen zu der anderen lokalen ECU 2 sendet (Übertragungsverarbeitung). Zusätzlich sendet die Gateway-Einheit 11a, falls sie feststellt, dass das von einer der lokalen ECUs 2 empfangene Signal oder dergleichen nicht zu senden ist, das Signal oder dergleichen nicht zur anderen lokalen ECU 2 und zerstört die Informationen (Ausschlussverarbeitung).
  • Zusätzlich wandelt die Gateway-Einheit 11a bei der Kommunikation zwischen den lokalen ECUs 2 mit unterschiedlichen Kommunikationsprotokollen das Kommunikationsprotokoll eines Signals, das der Kommunikator 13 für ein Netzwerk von beliebigen der lokalen ECUs 2 empfängt, in ein Kommunikationsprotokoll um, das die andere lokale ECU 2 empfangen kann (Kommunikationsprotokoll-Umwandlungsverarbeitung).
  • Die OBDII-Schnittstelle 14 ist mit einer Schaltung zum Kommunizieren mit einem externen Gerät über den OBDII-Port 5 konfiguriert. Die OBDII-Schnittstelle 14 umfasst einen Umprogrammierungsempfänger 14a.
  • Die Steuerung 11 bewirkt, dass der Umprogrammierungsempfänger 14a das Repro-Anforderungssignal und die Repro-Daten von dem am OBDII-Port 5 angeschlossenen Umprogrammierungsgerät 50 über den OBDII-Port 5 empfängt. Zusätzlich kann die Steuerung 11 auch ein Signal oder dergleichen durch die OBDII-Schnittstelle 14 zum Umprogrammierungsgerät 50 über den OBDII-Port 5 senden, wobei das Umprogrammierungsgerät 50 am OBDII-Port 5 angeschlossen ist.
  • Ferner bewirkt die Steuerung 11, dass der Kommunikator 13 für ein Netzwerk das/die vom Umprogrammierungsempfänger 14a empfangene(n) Repro-Anforderungssignal und Repro-Daten zur lokalen ECU 2 über das Netzwerk des Busses 4A, 4B überträgt. Zu diesem Zeitpunkt kann die Gateway-Einheit 11a Gateway-Verarbeitung an dem/den vom Umprogrammierungsempfänger 14a empfangenen Repro-Anforderungssignal und Repro-Daten durchführen.
  • Der Stromversorgungsdetektor 11d der Steuerung 11 erkennt Ein- und Ausschaltzustände der Stromversorgung des Fahrzeugs 32 gemäß einem Betätigungszustand eines Relais auf einer Stromversorgungsleitung (nicht illustriert) des Fahrzeugs 32. Alternativ kann der Stromversorgungsdetektor 11d Ein- und Ausschaltzustände der Stromversorgung des Fahrzeugs 32 erkennen, wenn der Kommunikator 13 für ein Netzwerk das Erkennungsergebnis des Stromversorgungsdetektors 21d von beliebigen der lokalen ECUs 2 von der lokalen ECU 2 über das Netzwerk des Busses 4A, 4B empfängt.
  • Die Konfiguration der lokalen ECU 2 in 8 ist der Konfiguration (3) der ersten Ausgestaltung ähnlich, mit der Ausnahme, dass im Speicher 22 kein Unerlaubtheit-Erkennungs-Flag vorgesehen ist. Daher wird zum Beispiel die Stromversorgung des Fahrzeugs 32 vom ein auf aus geschaltet, falls der Stromversorgungsauthentifikator 21c der lokalen ECU 2(1) die ID des tragbaren Geräts 60, gemäß einer Einschaltbetätigung des Stromschalters 41 oder einem Stromeinschaltsignal vom tragbaren Gerät 60 erfolgreich authentifiziert.
  • Als Nächstes wird der Ablauf nach einer Unerlaubte-Handlung-Erkennung des Fahrzeugbordkommunikationssystems 102 mit Bezug auf 9 beschrieben.
  • 9 ist ein Ablaufdiagramm, das den Ablauf nach einer Unerlaubte-Handlung-Erkennung des Fahrzeugbordkommunikationssystems 102 illustriert. Der Unerlaubte-Handlung-Erkennungssensor 3, die Gateway-ECU 1 oder die spezifische lokale ECU 2(1) führt jeden Prozess aus.
  • Als Erstes überwacht die Steuerung 21 der spezifischen lokalen ECU 2(1) den Ausgang des Unerlaubte-Handlung-Erkennungssensors 3 (Schritt S1 in 9). Wenn der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung am Fahrzeug 32 erkennt, dann gibt der Unerlaubte-Handlung-Erkennungssensor 3 ein das Erkennungsergebnis anzeigendes Signal an die spezifische lokale ECU 2(1) aus. Wenn die Schnittstelle 24 für ein Fahrzeugbordgerät der spezifischen lokalen ECU 2(1) das vom Unerlaubte-Handlung-Erkennungssensor 3 ausgegebene Signal empfängt, dann stellt die Steuerung 21 fest, dass der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung am Fahrzeug 32 erkennt (ja in Schritt S2 in 9).
  • Dann bewirkt die Steuerung 21 der spezifischen lokalen ECU 2(1), dass der Kommunikator 23 für ein Netzwerk eine Unerlaubtheit-Erkennungsbenachrichtigung, die anzeigt, dass eine unerlaubte Handlung erkannt wurde, zur Gateway-ECU 1 über das Netzwerk des Busses 4A, 4B sendet (Schritt S4a in 9).
  • In der Gateway-ECU 1 setzt die Steuerung 11, wenn der Kommunikator 13 für ein Netzwerk die Unerlaubtheit-Erkennungsbenachrichigung über das Netzwerk des Busses 4A, 4B empfängt (Schritt S5a in 9), den Unerlaubtheit-Erkennungs-Flag 12f im Speicher 12 (Schritt S6a in 9).
  • Im Gegensatz dazu prüft die Steuerung 21 in der spezifischen lokalen ECU 2(1), wenn sie feststellt, dass der Unerlaubte-Handlung-Erkennungssensor 3 keine unerlaubte Handlung am Fahrzeug 31 erkennt (nein in Schritt S2 in 9), ob eine vorbestimmte Unerlaubte-Handlung-Löschbedingung erfüllt ist oder nicht (Schritt S7 in 9).
  • Dann bewirkt die Steuerung 21 der spezifischen lokalen ECU 2(1), falls die vorbestimmte Unerlaubte-Handlung-Löschbedingung erfüllt ist (ja in Schritt S7 in 9), dass der Kommunikator 23 für ein Netzwerk eine Unerlaubtheit-Löschbenachrichtung zur Gateway-ECU 1 über das Netzwerk des Busses 4A, 4B sendet (Schritt S9a in 9).
  • In der Gateway-ECU 1 löscht die Steuerung 11, wenn der Kommunikator 13 für ein Netzwerk die Unerlaubtheit-Löschbenachrichtigung über das Netzwerk des Busses 4A, 4B empfängt (Schritt S10a in 9), den Unerlaubtheit-Erkennungs-Flag 12f im Speicher 12 (Schritt S11a in 9).
  • Als Nächstes wird der Ablauf nach dem Umprogrammieren des Fahrzeugbordkommunikationssystems 102 mit Bezug auf 10 beschrieben.
  • 10 ist ein Ablaufdiagramm, das den Ablauf nach dem Umprogrammieren des Fahrzeugbordkommunikationssystems 102 illustriert. Die Gateway-ECU 1 oder die lokale ECU 2 führt jeden Prozess aus.
  • In der Gateway-ECU 1 gibt die Steuerung 11, falls der Stromversorgungsdetektor 11d einen Einschaltzustand der Stromversorgung des Fahrzeugs 32 erkennt (ja in Schritt 21a in 10), den Umprogrammierungsempfänger 14a frei (Schritt S22a in 10). Falls der Stromversorgungsdetektor 11d einen Ausschaltzustand der Stromversorgung des Fahrzeugs 32 erkennt (nein in Schritt S21a in 10), sperrt die Steuerung 11 den Umprogrammierungsempfänger 14a (Schritt S23a in 10).
  • Nach Schritt S22a in 10 prüft die Steuerung 11 in der Gateway-ECU 1, wenn der Umprogrammierungsempfänger 14a ein Repro-Anforderungssignal empfängt (ja in Schritt S24a in 10), ob der Unerlaubtheit-Erkennungs-Flag 12f im Speicher 12 gesetzt ist oder nicht (Schritt S25a in 10).
  • Falls der Unerlaubtheit-Erkennungs-Flag 12f im Speicher 12 gesetzt ist (ja in Schritt 25a in 10), zerstört die Steuerung 11 das/die vom Umprogrammierungsempfänger 14a empfangene(n) Repro-Anforderungssignal und Repro-Daten, ohne das Repro-Anforderungssignal und die Repro-Daten zur lokalen ECU 2 zu übertragen (Schritt S32 in 10). Daher führt die lokale ECU 2 in einem Fall, in dem der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung am Fahrzeug 32 im Voraus erkennt, die Umprogrammierung nicht aus.
  • Zusätzlich bewirkt die Steuerung 11 in einem Fall, in dem der Unerlaubtheit-Erkennungs-Flag 12f im Speicher 12 nicht gesetzt ist (nein in Schritt S25a in 10), dass der Kommunikator 13 für ein Netzwerk das/die vom Umprogrammierungsempfänger 14a empfangene(n) Repro-Anforderungssignal und Repro-Daten zu jeder lokalen ECU 2 über das Netzwerk des Busses 4A, 4B sendet (Schritt S25b in 10).
  • In jeder lokalen ECU 2 empfängt der Umprogrammierungsempfänger 23a des Kommunikators 23 für ein Netzwerk das Repro-Anforderungssignal über das Netzwerk des Busses 4A, 4B (Schritt S25c in 10). Dann stellt die Steuerung 21 gemäß dem Repro-Anforderungssignal fest, ob die lokale ECU 2, zu der die Steuerung 21 gehört, ein Umprogrammierungsziel ist oder nicht (Schritt S26 in 10).
  • Falls die Steuerung 21 feststellt, dass die lokale ECU 2, zu der die Steuerung 21 gehört, nicht das Umprogrammierungsziel ist (nein in Schritt S26 in 10), zerstört die Steuerung 21 das/die vom Umprogrammierungsempfänger 23a empfangene(n) Repro-Anforderungssignal und Repro-Daten (Schritt S31 in 10). Zusätzlich führt, falls die Steuerung 21 feststellt, dass die lokale ECU 2, zu der die Steuerung 21 gehört, das Umprogrammierungsziel ist (ja in Schritt S26 in 10), der Umprogrammierungsauthentifikator 21b eine Authentifikation gemäß dem im Repro-Anforderungssignal enthaltenen Authentifikationscode durch.
  • Falls der Umprogrammierungsauthentifikator 21b die Authentifikation erfolgreich durchführt (ja in Schritt S27 in 10), erlaubt die Umprogrammierungssteuerung 21a die Ausführung der Umprogrammierung (Schritt S28 in 10). Dann führt die Steuerung 21 eine Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger 23a empfangenen Repro-Anforderungssignal und Repro-Daten aus (Schritt S29 in 10).
  • Im Gegensatz dazu untersagt die Umprogrammierungssteuerung 21a, falls der Umprogrammierungsauthentifikator 21b keine erfolgreiche Authentifikation durchführt (nein in Schritt S27 in 10), eine Ausführung der Umprogrammierung (Schritt S30 in 10). Die Steuerung 21 zerstört dann das/die vom Umprogrammierungsempfänger 23a empfangene(n) Repro-Anforderungssignal und Repro-Daten (Schritt S31 in 10). So führt die lokale ECU 2 die Umprogrammierung gemäß einem unerlaubten Repro-Anforderungssignal oder dergleichen nicht aus.
  • Gemäß der zweiten Ausgestaltung zerstört die Gateway-ECU 1, falls der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung am Fahrzeug 32 erkennt, das/die vom Umprogrammierungsempfänger 14a empfangene(n) Repro-Anforderungssignal und Repro-Daten. Daher wird keine Umprogrammierung der lokalen ECU 2 ausgeführt. Daher erkennt der Unerlaubte-Handlung-Erkennungssensor 3, zum Beispiel, wenn eine unerlaubte Person eine unerlaubte Handlung am Fahrzeug 32 durchführt, um in das Fahrzeug 32 einzudringen, die unerlaubte Handlung. Dann wird selbst dann, wenn die unerlaubte Person ein unerlaubtes Gerät am OBDII-Port 5 anschließt und das unerlaubte Gerät zum Senden eines/von unerlaubten Umprogrammierungsanforderungssignals und Daten benutzt, eine Umprogrammierung der lokalen ECU 2 nicht ausgeführt. Daher kann eine unerlaubte Umprogrammierung der lokalen ECU 2 verhindert werden.
  • Zusätzlich sendet die spezifische lokale ECU 2(1) in der zweiten Ausgestaltung, wenn der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung erkennt, eine Unerlaubtheit-Erkennungsbenachrichtigung zur Gateway-ECU 1 über das Netzwerk des Busses 4A, 4B. Wenn die Gateway-ECU 1 die Unerlaubtheit-Erkennungsbenachrichtigung empfängt, dann setzt die Gateway-ECU 1 den Unerlaubtheit-Erkennungs-Flag 12f im Speicher 12 im Innern. Daher kann die Gateway-ECU 1 erkennen, dass die unerlaubte Handlung am Fahrzeug 32 durchgeführt wurde und kann die unerlaubte Handlung aufzeichnen.
  • Zusätzlich zerstört die Gateway-ECU 1, wenn der Unerlaubtheit-Erkennungs-Flag 12f gesetzt ist, wenn die Gateway-ECU 1 ein Repro-Anforderungssignal empfängt, das/die vom Umprogrammierungsempfänger 14a empfangene(n) Repro-Anforderungssignal und Repro-Daten. Daher kann eine unerlaubte Umprogrammierung der lokalen ECU 2 verhindert werden. Im Gegensatz dazu kann die Gateway-ECU 1, wenn der Unerlaubtheit-Erkennungs-Flag 12f nicht gesetzt ist, das/die vom Umprogrammierungsempfänger 14a empfangene(n) Repro-Anforderungssignal und Repro-Daten über das Netzwerk des Busses 4A, 4B zur lokalen ECU 2 übertragen.
  • Dann untersagt die Umprogrammierungssteuerung 21a in der lokalen ECU 2, wenn der Umprogrammierungsauthentifikator 21b keine erfolgreiche Authentifikation durchführt, wenn die lokale ECU 2 das Repro-Anforderungssignal von der Gateway-ECU 1 empfängt, die Ausführung einer Umprogrammierung. So kann eine unerlaubte Umprogrammierung gemäß einem unerlaubten Repro-Anforderungssignal verhindert werden. Zusätzlich erlaubt die Umprogrammierungssteuerung 21a die Ausführung einer Umprogrammierung, wenn der Umprogrammierungsauthentifikator 21b eine erfolgreiche Authentifikation durchführt. Dann wird in der lokalen Ziel-ECU 2 eine Umprogrammierung gemäß dem/den von der Gateway-ECU 1 übertragenen Repro-Anforderungssignal und Repro-Daten ausgeführt. Daher kann eine Umprogrammierung rechtmäßig ausgeführt werden.
  • Zusätzlich wird in der zweiten Ausgestaltung die Stromversorgung des Fahrzeugs 32 nur dann eingeschaltet, wenn der Stromversorgungsauthentifikator 21c der lokalen ECU 2(1) die ID des tragbaren Geräts 60 erfolgreich authentifiziert. Dann wird in der Gateway-ECU 1 der Umprogrammierungsempfänger 14a nur dann freigegeben, wenn der Stromversorgungsdetektor 11d den Einschaltzustand der Stromversorgung des Fahrzeugs 32 erkennt. Daher ist zum Beispiel die Wahrscheinlichkeit, dass eine unerlaubte Person die Stromversorgung des Fahrzeugs 32 rechtmäßig einschaltet, gering. So kann die Gateway-ECU 1 ein unerlaubtes Repro-Anforderungssignal und unerlaubte Repro-Daten invalidieren, das/die eine unerlaubte Person mittels eines an den OBDII-Port 5 angeschlossenen unerlaubten Geräts in einem Zustand sendet, in dem die Stromversorgung des Fahrzeugs 32 ausgeschaltet ist, und eine unerlaubte Umprogrammierung der lokalen ECU 2 kann verhindert werden.
  • Als Nächstes wird eine Konfiguration eines Fahrzeugbordkommunikationssystems 103 gemäß einer dritten Ausgestaltung mit Bezug auf die 11 und 12 beschrieben.
  • 11 ist ein Konfigurationsdiagramm des Fahrzeugbordkommunikationssystems 103. Das Fahrzeugbordkommunikationssystem 103 ist an einem zum Beispiel als Motorrad konfigurierten Fahrzeug 33 montiert. Das Fahrzeugbordkommunikationssystem 103 beinhaltet mehrere lokale ECUs 2(11) bis 2(15), einen Unerlaubte-Handlung-Erkennungssensor 3 und mehrere externe Kommunikationsports 7. Die lokalen ECUs 2(11) bis 2(15) werden nachfolgend kollektiv als lokale ECUs 2 bezeichnet.
  • Jede lokale ECU 2 ist mit einem Netzwerk eines im Fahrzeug 33 konfigurierten Busses 4C verbunden. Speziell, die lokale ECU 2 ist mit jedem im Netzwerk des Busses 4C vorgesehenen vorbestimmten Verbindungsknoten verbunden.
  • Jede lokale ECU 2 steuert jede Einheit des Fahrzeugs 33. Speziell, die lokalen ECUs 2(12) bis 2(15) sind zu steuernden Fahrzeugbordgeräten wie einem Navigationsgerät, einer Bremse, einem Getriebe, einem Motor und dergleichen wie im Fahrzeug 33 montiert zugeordnet, und jede der lokalen ECUs 2(12) bis 2(15) steuert den Betrieb des entsprechenden Fahrzeugbordgeräts.
  • Die lokale ECU 2(11) steuert den Betrieb eines Geräts, das ein am Fahrzeug 33 montiertes Zutrittssystem bildet. Zum Beispiel, die lokale ECU 2(11) überwacht den Stromversorgungszustand und den Sicherheitszustand des Fahrzeugs 33 und kommuniziert drahtlos mit einem im Fahrzeug 33 registrierten tragbaren Gerät 60 (13). Der Unerlaubte-Handlung-Erkennungssensor 33 ist mit der lokalen ECU 2(11) verbunden.
  • Jede lokale ECU 2 beinhaltet den externen Kommunikationsport 7. Der externe Kommunikationsport 7 ist ein Kommunikationsport nach außen und ist mit einem Verbinder oder dergleichen konfiguriert. Ein externes Gerät wie zum Beispiel ein Fehlerdiagnosegerät (nicht illustriert) oder ein Umprogrammierungsgerät 50 wie in 12 illustriert ist über einen Verbinder oder ein Kabel am externen Kommunikationsport 7 angeschlossen. Durch Anschließen des externen Geräts am externen Kommunikationsport 7 können das externe Gerät und die lokale ECU 2 miteinander über den externen Kommunikationsport 7 kommunizieren.
  • Die lokale ECU 2 ist ein Beispiel für ein „Fahrzeugsteuergerät“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung. Außerdem ist die lokale ECU 2(11) ein Beispiel für das „spezifische Fahrzeugsteuergerät“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung. Der externe Kommunikationsport 7 ist ein Beispiel für den „Kommunikationsport“ gemäß einer oder mehreren Ausgestaltungen der Offenbarung.
  • 12 ist ein Konfigurationsdiagramm nach dem Umprogrammieren des Fahrzeugbordkommunikationssystems 103. Durch Anschließen des Umprogrammierungsgeräts 50 an einen der externen Kommunikationsports 7 werden die mit dem externen Kommunikationsport 7 versehene lokale ECU 2 und das Umprogrammierungsgerät 50 elektrisch verbunden und können miteinander über den externen Kommunikationsport 7 kommunizieren.
  • Das Umprogrammierungsgerät 50 sendet ein Repro-Anforderungssignal und Repro-Daten zur lokalen ECU 2, die ein Verbindungsziel ist, über den externen Kommunikationsport 7. Die lokale ECU 2, die das Repro-Anforderungssignal und die Repro-Daten vom Umprogrammierungsgerät 50 empfangen hat, führt eine Umprogrammierung gemäß dem Repro-Anforderungssignal und den Repro-Daten aus.
  • In 12 zeigt ein Pfeil einen Umprogrammierungspfad von jedem Umprogrammierungsgerät 50 zu jeder lokalen ECU 2. Man beachte, dass 12 mehrere Umprogrammierungsgeräte 50 entsprechend den lokalen ECUs 2 illustriert; aber die Anzahl von Umprogrammierungsgeräten 50 kann ein oder zwei oder mehr sein. Wenn jedoch mehrere Umprogrammierungsgeräte 50 vorgesehen sind, dann kann die Umprogrammierung von zwei oder mehreren lokalen ECUs 2 gleichzeitig ausgeführt werden.
  • Als Nächstes wird die Konfiguration der lokalen ECU 2 des Fahrzeugbordkommunikationssystems 103 mit Bezug auf 13 beschrieben.
  • 13 ist ein Konfigurationsdiagramm der lokalen ECU 2 des Fahrzeugbordkommunikationssystems 103. 13 illustriert separat die Konfiguration der lokalen ECU 2(11) und die Konfiguration von jeder der anderen lokalen ECUs 2(12) bis 2(15).
  • Jede lokale ECU 2 umfasst eine Steuerung 21, einen Speicher 22, einen Kommunikator 23 für ein Netzwerk, eine Schnittstelle 24 für ein Fahrzeugbordgerät und eine externe Schnittstelle 27. Zusätzlich zu der obigen Konfiguration umfasst die lokale ECU 2(11) einen Kommunikator 25 für ein tragbares Gerät.
  • Die Steuerung 21 jeder lokalen ECU 2 beinhaltet eine Umprogrammierungssteuerung 21a, einen Umprogrammierungsauthentifikator 21b und einen Stromversorgungsdetektor 21d. Zusätzlich zur obigen Konfiguration beinhaltet die Steuerung 21 der lokalen ECU 2(11) einen Stromversorgungsauthentifikator 21c und einen Zutrittsauthentifikator 21e.
  • Der Speicher 22 speichert im Voraus Informationen über das Netzwerk des Busses 4C und ein Software-Programm, Informationen und dergleichen zum Betreiben der lokalen ECU 2 einschließlich des Speichers 22. Das im Speicher 22 gespeicherte Software-Programm ist zum Steuern des zu steuernden Fahrzeugbordgeräts 40 notwendig und kann von dem Umprogrammierungsgerät 50 umgeschrieben werden. Ein Unerlaubtheit-Erkennungs-Flag 22f ist im vorbestimmten Speicherbereich des Speichers 22 vorgesehen.
  • Der Kommunikator 23 für ein Netzwerk ist mit einer Schaltung zum Kommunizieren über das Netzwerk des Busses 4C konfiguriert. Die Steuerung 21 jeder lokalen ECU 2 bewirkt, dass der Kommunikator 23 für ein Netzwerk ein Signal oder dergleichen zu und von einer anderen lokalen ECU 2 über das Netzwerk des Busses 4C sendet und empfängt.
  • Die Schnittstelle 24 für ein Fahrzeugbordgerät ist mit einer Schaltung zum Kommunizieren mit dem zu steuernden Fahrzeugbordgerät 40 konfiguriert. Zusätzlich zum Fahrzeugbordgerät 40 sind auch der Unerlaubte-Handlung-Erkennungssensor 3 und ein Stromschalter 41 mit der Schnittstelle 24 für ein Fahrzeugbordgerät der lokalen ECU 2(11) verbunden. Die lokale ECU 2(11) empfängt das Erkennungsergebnis des Unerlaubte-Handlung-Erkennungssensors 3 und ein Ausgangssignal entsprechend der Betätigung des Stromschalters 41 durch die Schnittstelle 24 für ein Fahrzeugbordgerät.
  • Die externe Schnittstelle 27 ist mit einer Schaltung zum Kommunizieren mit einem externen Gerät wie dem Umprogrammierungsgerät 50 konfiguriert. Die externe Schnittstelle 27 beinhaltet den externen Kommunikationsport 7 und einen Umprogrammierungsempfänger 27a. Wie in 12 illustriert, bewirkt die Steuerung 21, dass der Umprogrammierungsempfänger 27a ein Repro-Anforderungssignal und Repro-Daten von dem am externen Kommunikationsport 7 angeschlossenen Umprogrammierungsgerät 50 über den externen Kommunikationsport 7 empfängt. Zusätzlich kann die Steuerung 21 auch bewirken, dass der Kommunikator 23 für ein Netzwerk ein Signal oder dergleichen zum Umprogrammierungsgerät 50 über den externen Kommunikationsport 7 sendet.
  • Der Kommunikator 25 für ein tragbares Gerät der lokalen ECU 2(11) ist mit einer Schaltung zum drahtlosen Kommunizieren mit dem im Fahrzeug 33 registrierten tragbaren Gerät 60 konfiguriert.
  • In der Steuerung 21 jeder lokalen ECU 2 erlaubt oder untersagt die Umprogrammierungssteuerung 21a die Ausführung der Umprogrammierung des im Speicher 22 gespeicherten Software-Programms. Der Umprogrammierungsauthentifikator 21b führt eine Authentifikation gemäß dem Authentifikationscode durch, der in dem vom Umprogrammierungsempfänger 27a empfangenen Repro-Anforderungssignal enthalten ist. Der Stromversorgungsdetektor 21d erkennt Ein- und Ausschaltzustände der Stromversorgung des Fahrzeugs 33 gemäß einem Betriebszustand eines Relais auf einer Stromversorgungsleitung (nicht illustriert) des Fahrzeugs 33. Die Steuerung 21 der lokalen ECU 2(11) steuert das Ein- und Ausschalten der Stromversorgung des Fahrzeugs 33.
  • Der in der Steuerung 21 der lokalen ECU 2(11) vorgesehene Stromversorgungsauthentifikator 21c führt eine Authentifikation zum Einschalten der Stromversorgung des Fahrzeugs 33 durch. Der Stromversorgungsauthentifikator 21c führt eine Authentifikation gemäß der Einschaltbetätigung des Stromschalters 41 oder gemäß einem Einschaltsignal vom tragbaren Gerät 60 durch. Wenn die Authentifikation erfolgreich ist, dann wird die Stromversorgung des Fahrzeugs 33 von aus auf ein geschaltet.
  • Der in der Steuerung 21 der lokalen ECU 2(11) vorgesehene Zutrittsauthentifikator 21e authentifiziert das tragbare Gerät 60, wenn ein Benutzer in das Fahrzeug 33 einsteigt (sich ihm nähert oder es berührt). Speziell, die Steuerung 21 der lokalen ECU 2(11) bewirkt, dass der Kommunikator 25 für ein tragbares Gerät mit dem tragbaren Gerät 60 kommuniziert. Dann führt der Zutrittsauthentifikator 21e eine Authentifikation gemäß Authentifikationsinformationen (ID) durch, die in dem Signal enthalten sind, das der Kommunikator 25 für ein tragbares Gerät 60 vom tragbaren Gerät 60 empfängt. Wenn der Zutrittsauthentifikator 21e die Authentifikation erfolgreich durchführt, dann werden die Lampen des Fahrzeugs 33 eingeschaltet oder der Motor des Fahrzeugs 33 wird gestartet, zum Beispiel.
  • Ein rechtmäßiger Benutzer des Fahrzeugs 33 trägt das tragbare Gerät 60. Daher kann, falls der Stromversorgungsauthentifikator 21c oder der Zutrittsauthentifikator 21e eine Authentifikation erfolgreich durchführt, festgestellt werden, dass der rechtmäßiger Benutzer dabei ist, das Fahrzeug 33 zu benutzen. Im Gegensatz dazu kann, falls der Stromversorgungsauthentifikator 21c oder der Zutrittsauthentifikator 21e keine erfolgreiche Authentifikation durchführt, festgestellt werden, dass eine unerlaubte Person, die das tragbare Gerät 60 nicht trägt, versucht, das Fahrzeug 33 unerlaubt zu benutzen.
  • Als Nächstes wird der Betrieb des Fahrzeugbordkommunikationssystems 103 beschrieben.
  • Der Betrieb des Fahrzeugbordkommunikationssystems 103 nach einer Unerlaubte-Handlung-Erkennung ist dem Betrieb in der in 4 illustrierten ersten Ausgestaltung ähnlich.
  • Das heißt, wenn der Unerlaubte-Handlung-Erkennungssensor 33 eine unerlaubte Handlung am Fahrzeug 33 erkennt, dann setzt die spezifische lokale ECU 2(11) den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 und der Kommunikator 23 für ein Netzwerk sendet eine Unerlaubtheit-Erkennungsbenachrichtigung zu den anderen lokalen ECUs 2. Nach dem Empfang der Unerlaubtheit-Erkennungsbenachrichtigung durch den Kommunikator 23 für ein Netzwerk setzt jede der anderen lokalen ECUs 2 den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22.
  • Wenn dagegen der Unerlaubte-Handlung-Erkennungssensor 3 keine unerlaubte Handlung am Fahrzeug 33 erkennt, dann prüft die spezifische lokale ECU 2(11), ob eine Unerlaubte-Handlung-Löschbedingung erfüllt ist oder nicht. Wenn die Unerlaubte-Handlung-Löschbedingung erfüllt ist, dann löscht die spezifische lokale ECU 2(11) den Unerlaubtheit-Erkennungs-Flag 22f und bewirkt, dass der Kommunikator 23 für ein Netzwerk eine Unerlaubtheit-Löschbenachrichtung zu den anderen lokalen ECUs 2 sendet. Nach dem Empfang der Unerlaubtheit-Löschbenachrichtigung durch den Kommunikator 23 für ein Netzwerk löscht jede der anderen lokalen ECUs 2 den Unerlaubtheit-Erkennungs-Flag 22f.
  • Der Betrieb des Fahrzeugbordkommunikationssystems 103 nach dem Umprogrammieren ist dem Betrieb in der in 5 illustrierten ersten Ausgestaltung ähnlich.
  • Das heißt, in jeder lokalen ECU 2 wird, wenn der Stromversorgungsdetektor 21d den Einschaltzustand der Stromversorgung des Fahrzeugs 33 erkennt, der Umprogrammierungsempfänger 27a freigegeben. Im Gegensatz dazu wird, wenn der Stromversorgungsdetektor 21d den Ausschaltzustand der Stromversorgung des Fahrzeugs 33 erkennt, der Umprogrammierungsempfänger 27a gesperrt.
  • Wenn der Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 gesetzt ist, wenn der freigegebene Umprogrammierungsempfänger 27a das Repro-Anforderungssignal empfängt, dann untersagt die Umprogrammierungssteuerung 21a die Ausführung der Umprogrammierung und zerstört das/die vom Umprogrammierungsempfänger 27a empfangene(n) Repro-Anforderungssignal und Repro-Daten. Im Gegensatz dazu wird, wenn der Unerlaubtheit-Erkennungs-Flag 22f nicht gesetzt ist, gemäß dem Repro-Anforderungssignal festgestellt, ob die fragliche lokale ECU 2 eine lokale ECU 2 ist oder nicht, die ein Umprogrammierungsziel ist. Zu diesem Zeitpunkt werden in der lokalen ECU 2, die nicht als Umprogrammierungsziel festgestellt wurde, das/die vom Umprogrammierungsempfänger 27a empfangene(n) Repro-Anforderungssignal und Repro-Daten zerstört.
  • Im Gegensatz dazu führt der Umprogrammierungsauthentifikator 21b in der lokalen ECU 2, die als Umprogrammierungsziel festgestellt wurde, eine Authentifikation gemäß dem Repro-Anforderungssignal durch. Wenn der Umprogrammierungsauthentifikator 21b eine erfolgreiche Authentifikation durchführt, dann lässt die Umprogrammierungssteuerung 21a die Ausführung von Umprogrammierung zu. Daher wird in der lokalen ECU 2, die ein Umprogrammierungsziel ist, eine Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger 27a empfangene(n) Repro-Anforderungssignal und Repro-Daten ausgeführt.
  • Im Gegensatz dazu untersagt die Umprogrammierungssteuerung 21a in der lokalen ECU 2, die ein Umprogrammierungsziel ist, wenn der Umprogrammierungsauthentifikator 21b keine erfolgreiche Authentifikation durchgeführt hat, die Ausführung der Umprogrammierung. Dann werden das/die vom Umprogrammierungsempfänger 27a empfangene(n) Repro-Anforderungssignal und Repro-Daten zerstört.
  • Gemäß der dritten Ausgestaltung erkennt, wenn eine unerlaubte Person eine unerlaubte Handlung am Fahrzeug 33 durchführt, der Unerlaubte-Handlung-Erkennungssensor 3 die unerlaubte Handlung und eine Ausführung der Umprogrammierung der lokalen ECU 2 wird untersagt. Dann führt die lokale ECU 2 selbst dann, wenn die unerlaubte Person ein unerlaubtes Gerät an den externen Kommunikationsport 7 anschließt und das unerlaubte Gerät zum Senden eines/von unerlaubten Umprogrammierungsanforderungssignals und Daten benutzt, das Umprogrammieren nicht aus. Daher kann eine unerlaubte Umprogrammierung verhindert werden.
  • Zusätzlich setzt die spezifische lokale ECU 2(11) in der dritten Ausgestaltung, wenn der Unerlaubte-Handlung-Erkennungssensor 3 eine unerlaubte Handlung erkennt, den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22 und sendet eine Unerlaubtheit-Erkennungsbenachrichtigung zu den anderen lokalen ECUs 2(12) bis 2(15) über das Netzwerk des Busses 4C. Nach dem Empfang der Unerlaubtheit-Erkennungsbenachrichtigung durch jede jede der lokalen ECUs 2(12) bis 2(15) setzt jede der anderen lokalen ECUs 2(12) bis 2(15) den Unerlaubtheit-Erkennungs-Flag 22f im Speicher 22. Daher können alle lokalen ECUs 2 auf dem Netzwerk des Busses 4C erkennen, dass die unerlaubte Handlung an dem Fahrzeug 33 durchgeführt wurde, und kann die unerlaubte Handlung aufzeichnen.
  • Dann wird in jeder lokalen ECU 2, wenn der Unerlaubtheit-Erkennungs-Flag 22f gesetzt ist oder der Umprogrammierungsauthentifikator 21b keine erfolgreiche Authentifikation durchführen kann, wenn der Umprogrammierungsempfänger 27a ein Repro-Anforderungssignal empfängt, eine Ausführung der Umprogrammierung untersagt. Daher kann eine unerlaubte Umprogrammierung verhindert werden. Zusätzlich wird, falls der Unerlaubtheit-Erkennungs-Flag 22f nicht gesetzt ist und der Umprogrammierungsauthentifikator 21b keine erfolgreiche Authentifikation durchführt, eine Ausführung der Umprogrammierung zugelassen. Daher kann in der lokalen Ziel-ECU 2 eine Umprogrammierung rechtmäßig gemäß dem/den vom Umprogrammierungsempfänger 27a empfangenen Repro-Anforderungssignal und Repro-Daten ausgeführt werden.
  • Eine oder mehrere Ausgestaltungen der Offenbarung können verschiedene andere Ausgestaltungen als die illustrierte Ausgestaltung annehmen. Zum Beispiel, eine illustrative Ausgestaltung illustriert ein Beispiel, in dem der mit dem Neigungssensor konfigurierte Unerlaubte-Handlung-Erkennungssensor 3 als Unerlaubte-Handlung-Detektor benutzt wird, aber die Offenbarung ist nicht auf dieses Beispiel begrenzt. Zusätzlich zu dem Obigen können zum Beispiel eine Türschlossvorrichtung, eine Lenkradschlossvorrichtung, eine Alarmvorrichtung, ein anderer Sensor oder dergleichen, die erkennen können, dass die Tür oder das Lenkrad eines Fahrzeugs zwangsmäßig entriegeln wurde, als Unerlaubte-Handlung-Detektor benutzt werden. Zusätzlich kann zum Beispiel eine Kommunikationsschaltung oder dergleichen, die einen unerlaubten Zutritt erkennen kann, in dem das tragbare Gerät 60 nicht authentifiziert werden kann, als Unerlaubte-Handlung-Detektor benutzt werden. Das heißt, der Unerlaubte-Handlung-Detektor kann ein Gerät, eine Schaltung, ein Sensor oder dergleichen sein, das/die/der eine unerlaubte Handlung erkennen kann, die eine unerlaubte Person an dem Fahrzeug durchführt.
  • Zusätzlich illustriert eine illustrative Ausgestaltung ein Beispiel, in dem der Unerlaubte-Handlung-Erkennungssensor 3 mit der spezifischen lokalen ECU 2 verbunden ist; die Offenbarung ist jedoch nicht darauf begrenzt. Der Unerlaubte-Handlung-Detektor wie der Unerlaubte-Handlung-Erkennungssensor 3 kann mit mehreren lokalen ECUs 2 verbunden sein, die mit der Gateway-ECU 1 verbunden sein können, oder kann mit einer existierenden Domäne auf dem Netzwerk verbunden sein.
  • Zusätzlich illustriert eine illustrative Ausgestaltung ein Beispiel, in dem die Umprogrammierungssteuerung 21a und der Umprogrammierungsauthentifikator 21b in der lokalen ECU 2 vorgesehen sind; die Offenbarung ist jedoch nicht darauf begrenzt. Die Umprogrammierungssteuerung und der Umprogrammierungsauthentifikator können in der Gateway-ECU 1 vorgesehen werden. In diesem Fall kann die Gateway-ECU 1 Steuerdaten (einen Umprogrammierungsuntersagungs- oder -zulassungsbefehl) der Umprogrammierungssteuerung und das Authentifikationsergebnis des Umprogrammierungsauthentifikators zu jeder lokalen ECU 2 senden.
  • Die in den 5 und 10 illustrierten Ausgestaltungen illustrieren ein Beispiel, in dem nach dem Prüfen der An- oder Abwesenheit des Unerlaubtheit-Erkennungs-Flag festgestellt wird, ob die lokale ECU ein Umprogrammierungsziel ist oder nicht, und nachfolgend eine Authentifikation gemäß einem Repro-Anforderungssignal durchgeführt wird. Die Offenbarung ist jedoch nicht darauf begrenzt. Die Ausführungsreihenfolge von Prozessen wie das Prüfen der An- oder Abwesenheit des Unerlaubtheit-Erkennungs-Flag, das Bestimmen, ob die lokale ECU ein Umprogrammierungsziel ist oder nicht, und das Authentifizieren gemäß dem Repro-Anforderungssignal können nach Bedarf festgelegt werden.
  • Zusätzlich illustriert eine illustrative Ausgestaltung ein Beispiel, in dem das Umprogrammierungsgerät 50 ein Repro-Anforderungssignal und Repro-Daten sendet, so dass alle mit den Netzwerken der Busse 4A, 4B verbundenen lokalen ECUs 2 das Repro-Anforderungssignal und die Repro-Daten empfangen können. Zusätzlich illustriert eine illustrative Ausgestaltung ein Beispiel, in dem die Gateway-ECU 1 ein Repro-Anforderungssignal und Repro-Daten überträgt, so dass alle mit den Netzwerken der Busse 4A, 4B verbundenen lokalen ECUs 2 das Repro-Anforderungssignal und die Repro-Daten empfangen können. Die Offenbarung ist jedoch nicht auf die obigen Beispiele begrenzt. Zum Beispiel, ein Repro-Anforderungssignal und Repro-Daten, das/die vom Umprogrammierungsgerät oder der Gateway-ECU als Sendequelle gesendet wird/werden, können Daten enthalten (ID und Identifikationsinformationen über einen Port, einen Bus oder dergleichen), die die lokale ECU oder das Netzwerk anzeigen, die/das das Sendeziel (Ziel) ist. Dann kann die lokale ECU, die das Repro-Anforderungssignal und die Repro-Daten empfangen hat, anhand der Daten des im Repro-Anforderungssignal und den Repro-Daten enthaltenen Sendeziels feststellen, ob das Repro-Anforderungssignal und die Repro-Daten ein Repro-Anforderungssignal und Repro-Daten sind, die die lokale ECU selbst bezeichnen. Zusätzlich kann die Gateway-ECU, die das Repro-Anforderungssignal und die Repro-Daten empfangen hat, Informationen nur zu der lokalen ECU oder zu dem Netzwerk übertragen, die/das das Sendeziel ist, gemäß den Daten des in dem Repro-Anforderungssignal und den Repro-Daten enthaltenen Sendeziels.
  • Eine illustrative Ausgestaltung illustriert einen Fall, in dem die als Fahrzeugsteuergerät benutzte lokale ECU 2 und die Gateway-ECU 1 als Kommunikationsmanagementgerät benutzt werden. Die Offenbarung ist jedoch nicht darauf begrenzt. Es kann auch ein anderes Gerät, das Kommunikation durchführen kann, als Kommunikationsmanagementgerät oder Fahrzeugsteuergerät benutzt werden.
  • Ferner illustriert eine illustrative Ausgestaltung ein Beispiel, in dem die Offenbarung auf die Fahrzeugbordkommunikationssysteme 101 bis 103 angewendet wird, die an den Fahrzeugen 31 bis 33 montiert sind, die als Vierrad-Kraftfahrzeug oder als Motorrad konfiguriert sind. Die Offenbarung kann jedoch auch auf ein Fahrzeugbordkommunikationssystem angewendet werden, das an einem anderen Fahrzeug wie einem großen Kraftfahrzeug montiert ist.
  • Die Erfindung wurde zwar mit Bezug auf eine begrenzte Anzahl von Ausgestaltungen beschrieben, aber die von der vorliegenden Offenbarung profitierende Fachperson wird erkennen, dass auch andere Ausgestaltungen möglich sind, ohne vom Umfang der hierin offenbarten Erfindung abzuweichen. Demgemäß ist der Umfang der Erfindung nur durch die beiliegenden Ansprüche begrenzt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2017070082 [0001]
    • JP 2008276663 A [0009]
    • JP 2013141947 A [0010]
    • JP 2013141948 A [0011]

Claims (10)

  1. Fahrzeugbordkommunikationssystem, das Folgendes umfasst: mehrere mit einem Netzwerk eines Fahrzeugs verbundene Fahrzeugsteuergeräte, konfiguriert zum Kommunizieren miteinander und konfiguriert zum Steuern eines zu steuernden Fahrzeugbordgeräts; einen Kommunikationsport, der ein Kommunikationsport nach außen ist; und einen Umprogrammierungsempfänger, konfiguriert zum Empfangen eines Umprogrammierungsanforderungssignals und von Daten von einem am Kommunikationsport angeschlossenen externen Gerät; wobei das Umprogrammieren zum Umschreiben eines Software-Programms eines Ziel-Fahrzeugsteuergeräts unter den mehreren Fahrzeugsteuergeräten gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausgeführt wird, wobei das Fahrzeugbordkommunikationssystem ferner Folgendes umfasst: einen Unerlaubte-Handlung-Detektor, konfiguriert zum Erkennen einer unerlaubten Handlung an dem Fahrzeug; und eine Umprogrammierungssteuerung, konfiguriert zum Untersagen der Ausführung der Umprogrammierung, wenn der Unerlaubte-Handlung-Detektor die unerlaubte Handlung erkennt.
  2. Fahrzeugbordkommunikationssystem nach Anspruch 1, das ferner Folgendes umfasst: einen Umprogrammierungsauthentifikator, konfiguriert zum Durchführen von Authentifikation gemäß Authentifikationsinformationen, die in dem vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal enthalten sind, wobei die Umprogrammierungssteuerung die Ausführung der Umprogrammierung untersagt, wenn der Umprogrammierungsauthentifikator keine erfolgreiche Authentifikation durchführen kann, und wobei die Umprogrammierungssteuerung die Ausführung der Umprogrammierung zulässt, wenn der Unerlaubte-Handlung-Detektor keine unerlaubte Handlung erkennt und der Umprogrammierungsauthentifikator eine erfolgreiche Authentifikation durchführt.
  3. Fahrzeugbordkommunikationssystem nach Anspruch 2, wobei der Kommunikationsport mit einem aus dem Netzwerk und jedem der mehreren Fahrzeugsteuergeräte verbunden ist, wobei der Umprogrammierungsempfänger, die Umprogrammierungssteuerung und der Umprogrammierungsauthentifikator in jedem der mehreren Fahrzeugsteuergeräte vorgesehen sind, wobei der Unerlaubte-Handlung-Detektor mit einem spezifischen Fahrzeugsteuergerät aus den mehreren Fahrzeugsteuergeräten verbunden ist, wobei das spezifische Fahrzeugsteuergerät, wenn der Unerlaubte-Handlung-Detektor die unerlaubte Handlung erkennt, einen Unerlaubtheit-Erkennungs-Flag in einem Speicher im Innern setzt und eine Unerlaubtheit-Erkennungsbenachrichtigung, die anzeigt, dass die unerlaubte Handlung erkannt wird, zu einem anderen der mehreren Fahrzeugsteuergeräte über das Netzwerk sendet, wobei, wenn das andere der mehreren Fahrzeugsteuergeräte die Unerlaubtheit-Erkennungsbenachrichtigung empfängt, das andere Fahrzeugsteuergerät einen Unerlaubtheit-Erkennungs-Flag im Speicher im Innern setzt, wobei, wenn der Umprogrammierungsempfänger das Umprogrammierungsanforderungssignal in einem Zustand empfängt, in dem eine Bedingung, dass der Unerlaubtheit-Erkennungs-Flag gesetzt ist, oder eine Bedingung, dass der Umprogrammierungsauthentifikator die Authentifikation nicht erfolgreich durchführt, erfüllt ist, jedes der mehreren Fahrzeugsteuergeräte bewirkt, dass die Umprogrammierungssteuerung die Ausführung der Umprogrammierung untersagt, und in einem Zustand, in dem der Unerlaubtheit-Erkennungs-Flag nicht gesetzt ist und der Umprogrammierungsauthentifikator eine erfolgreiche Authentifikation durchführt, jedes der mehreren Fahrzeugsteuergeräte zulässt, dass die Umprogrammierungssteuerung die Umprogrammierung ausführt, und die Umprogrammierung gemäß dem/den von dem Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausführt.
  4. Fahrzeugbordkommunikationssystem nach Anspruch 2, das ferner Folgendes umfasst: ein mit dem Netzwerk verbundenes Kommunikationsmanagementgerät, konfiguriert zum Kommunizieren mit jedem der mehreren Fahrzeugsteuergeräte, konfiguriert zum Übertragen eines von einem der mehreren Fahrzeugsteuergeräte empfangenen Signals zu einem anderen der mehreren Fahrzeugsteuergeräte und konfiguriert zum Verwalten von Kommunikation zwischen den mehreren Fahrzeugsteuergeräten, wobei der Kommunikationsport mit dem Kommunikationsmanagementgerät verbunden ist, wobei der Umprogrammierungsempfänger in dem Kommunikationsmanagementgerät und jedem der mehreren Fahrzeugsteuergeräte vorgesehen ist, wobei die Umprogrammierungssteuerung und der Umprogrammierungsauthentifikator in jedem der mehreren Fahrzeugsteuergeräte vorgesehen sind, wobei der Unerlaubte-Handlung-Detektor mit einem spezifischen Fahrzeugsteuergerät aus den mehreren Fahrzeugsteuergeräten verbunden ist, wobei, wenn der Unerlaubte-Handlung-Detektor die unerlaubte Handlung erkennt, das spezifische Fahrzeugsteuergerät eine Unerlaubtheit-Erkennungsbenachrichtigung, die anzeigt, dass die unerlaubte Handlung erkannt wird, über das Netzwerk zum Kommunikationsmanagementgerät sendet, wobei, wenn das Kommunikationsmanagementgerät die Unerlaubtheit-Erkennungsbenachrichtigung empfängt, das Kommunikationsmanagementgerät einen Unerlaubtheit-Erkennungs-Flag in einem Speicher im Innern setzt, wobei, wenn der Umprogrammierungsempfänger das Umprogrammierungsanforderungssignal in einem Zustand, in dem der Unerlaubtheit-Erkennungs-Flag gesetzt ist, das Kommunikationsmanagementgerät das/die vom Umprogrammierungsempfänger empfangene(n) Umprogrammierungsanforderungssignal und Daten zerstört, und in einem Zustand empfängt, in dem der Unerlaubtheit-Erkennungs-Flag nicht gesetzt ist, das Kommunikationsmanagementgerät das/die vom Umprogrammierungsempfänger empfangene(n) Umprogrammierungsanforderungssignal und Daten zu jedem der mehreren Fahrzeugsteuergeräte über das Netzwerk überträgt, und wobei, wenn der Umprogrammierungsempfänger das Umprogrammierungsanforderungssignal vom Kommunikationsmanagementgerät in einem Zustand, in dem der Umprogrammierungsauthentifikator keine erfolgreiche Authentifikation durchführt, jedes der mehreren Fahrzeugsteuergeräte bewirkt, dass die Umprogrammierungssteuerung die Ausführung der Umprogrammierung untersagt, und in einem Zustand empfängt, in dem der Umprogrammierungsauthentifikator eine erfolgreiche Authentifikation durchführt, jedes der mehreren Fahrzeugsteuergeräte zulässt, dass die Umprogrammierungssteuerung die Umprogrammierung durchführt, und die Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausführt.
  5. Fahrzeugbordkommunikationssystem nach einem der Ansprüche 1 bis 4, wobei eine Stromversorgung des Fahrzeugs gemäß einer Betätigung eines im Fahrzeug vorgesehenen Stromschalters und gemäß einem Signal eines im Fahrzeug registrierten elektronischen Schlüssels von aus auf ein geschaltet wird, wobei das Fahrzeugbordkommunikationssystem ferner Folgendes umfasst: einen Stromversorgungsdetektor, konfiguriert zum Erkennen eines Einschaltzustands und eines Ausschaltzustands der Stromversorgung des Fahrzeugs, wobei, wenn der Stromversorgungsdetektor den Ausschaltzustand der Stromversorgung des Fahrzeugs erkennt, der Umprogrammierungsempfänger gesperrt wird, und wobei, wenn der Stromversorgungsdetektor den Einschaltzustand der Stromversorgung des Fahrzeugs erkennt, der Umprogrammierungsempfänger freigegeben wird.
  6. Fahrzeugbordkommunikationssystem nach einem der Ansprüche 1 bis 5, wobei der Unerlaubte-Handlung-Detektor eine unerlaubte Handlung an dem Fahrzeug mit einer Diebstahlsmöglichkeit erkennt.
  7. Fahrzeugbordkommunikationssystem nach einem der Ansprüche 1 bis 6, wobei der gesetzte Unerlaubtheit-Erkennungs-Flag bei Erfüllung einer vorbestimmten Löschbedingung automatisch gelöscht wird.
  8. Fahrzeugsteuergerät, von dem mehrere mit einem Netzwerk eines Fahrzeugs verbunden sind und miteinander kommunizieren, wobei das Fahrzeugsteuergerät ein zu steuerndes Fahrzeugbordgerät steuert, wobei das Fahrzeugsteuergerät Folgendes umfasst: einen Umprogrammierungsempfänger, konfiguriert zum Empfangen eines/von Umprogrammierungsanforderungssignals und Daten von einem externen Gerät, das an einem Kommunikationsport angeschlossen ist, der ein Kommunikationsport nach außen ist, wobei das Fahrzeugsteuergerät das Umprogrammieren zum Umschreiben eines Software-Programms des Fahrzeugsteuergeräts gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausführt, wobei das Fahrzeugsteuergerät ferner Folgendes umfasst: eine Umprogrammierungssteuerung, konfiguriert zum Untersagen der Ausführung der Umprogrammierung, wenn ein im Fahrzeug vorgesehener Unerlaubte-Handlung-Detektor eine unerlaubte Handlung an dem Fahrzeug erkennt.
  9. Fahrzeugsteuergerät nach Anspruch 8, das ferner Folgendes umfasst: einen Umprogrammierungsauthentifikator, konfiguriert zum Durchführen einer Authentifikation gemäß Authentifikationsinformationen, die in dem vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal enthalten sind, wobei der Unerlaubte-Handlung-Detektor mit einem spezifischen Fahrzeugsteuergerät aus den mehreren Fahrzeugsteuergeräten verbunden ist, wobei, wenn der Unerlaubte-Handlung-Detektor die unerlaubte Handlung erkennt, das spezifische Fahrzeugsteuergerät einen Unerlaubtheit-Erkennungs-Flag in einem Speicher im Innern setzt und eine Unerlaubtheit-Erkennungsbenachrichtigung, die anzeigt, dass die unerlaubte Handlung erkannt wird, zu einem anderen der mehreren Fahrzeugsteuergeräte über das Netzwerk sendet, wobei, wenn das andere der mehreren Fahrzeugsteuergeräte die Unerlaubtheit-Erkennungsbenachrichtigung empfängt, das andere der mehreren Fahrzeugsteuergeräte einen Unerlaubtheit-Erkennungs-Flag in einem Speicher im Innern setzt, und wobei, wenn der Umprogrammierungsempfänger das Anforderungssignal in einem Zustand empfängt, in dem eine Bedingung, dass der Unerlaubtheit-Erkennungs-Flag gesetzt ist, und eine Bedingung, dass der Umprogrammierungsauthentifikator keine erfolgreiche Authentifikation durchführen kann, erfüllt ist, jedes der mehreren Fahrzeugsteuergeräte bewirkt, dass die Umprogrammierungssteuerung eine Ausführung der Umprogrammierung untersagt, und in einem Zustand, in dem der Unerlaubtheit-Erkennungs-Flag nicht gesetzt ist und der Umprogrammierungsauthentifikator eine erfolgreiche Authentifikation durchführt, jedes der mehreren Fahrzeugsteuergeräte zulässt, dass die Umprogrammierungssteuerung die Umprogrammierung ausführt, und die Umprogrammierung gemäß dem/den vom Umprogrammierungsempfänger empfangenen Umprogrammierungsanforderungssignal und Daten ausführt.
  10. Kommunikationsmanagementgerät, das mit einem Netzwerk eines Fahrzeugs verbunden ist, das mit mehreren mit dem Netzwerk verbundenen Fahrzeugsteuergeräten kommuniziert, ein von einem der mehreren Fahrzeugsteuergeräte empfangenes Signal zu einem anderen der mehreren Fahrzeugsteuergeräte überträgt und Kommunikation zwischen den mehreren Fahrzeugsteuergeräten verwaltet, wobei das Kommunikationsmanagementgerät Folgendes umfasst: einen Umprogrammierungsempfänger, konfiguriert zum Empfangen eines Anforderungssignals und von Daten zum Ausführen von Umprogrammierung zum Umschreiben eines Software-Programms von jedem der mehreren Fahrzeugsteuergeräte von einem externen Gerät, das an einen Kommunikationsport angeschlossen ist, der ein Kommunikationsport nach außen ist, wobei das Kommunikationsmanagementgerät das/die vom Umprogrammierungsempfänger empfangene(n) Anforderungssignal und Daten zu jedem der mehreren Fahrzeugsteuergeräte überträgt, und wobei, wenn ein im Fahrzeug vorgesehener Unerlaubte-Handlung-Detektor eine unerlaubte Handlung an dem Fahrzeug erkennt, das Kommunikationsmanagementgerät das/die vom Umprogrammierungsempfänger empfangene(n) Anforderungssignal und Daten zerstört, ohne das Anforderungssignal und die Daten zu jedem der mehreren Fahrzeugsteuergeräte zu übertragen, um die Ausführung der Umprogrammierung zu untersagen.
DE102018203966.6A 2017-03-31 2018-03-15 Fahrzeugbordkommunikationssystem, Fahrzeugsteuergerät und Kommunikationsmanagementgerät Withdrawn DE102018203966A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017070082A JP2018173721A (ja) 2017-03-31 2017-03-31 車載通信システム、車両制御装置、通信管理装置
JP2017-070082 2017-03-31

Publications (1)

Publication Number Publication Date
DE102018203966A1 true DE102018203966A1 (de) 2018-10-04

Family

ID=63524703

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018203966.6A Withdrawn DE102018203966A1 (de) 2017-03-31 2018-03-15 Fahrzeugbordkommunikationssystem, Fahrzeugsteuergerät und Kommunikationsmanagementgerät

Country Status (3)

Country Link
US (1) US10214182B2 (de)
JP (1) JP2018173721A (de)
DE (1) DE102018203966A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
JP6852604B2 (ja) * 2017-07-12 2021-03-31 住友電気工業株式会社 車載装置、管理方法および管理プログラム
JP6907803B2 (ja) * 2017-08-16 2021-07-21 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム
DE102017218654A1 (de) * 2017-10-19 2019-04-25 Robert Bosch Gmbh Sicherheitssystem für ein elektronisches Gerät eines Fahrzeugs, elektronisches Gerät, Fahrzeug, Verfahren
JP7024765B2 (ja) * 2018-08-10 2022-02-24 株式会社デンソー 車両用マスタ装置、更新データの配信制御方法及び更新データの配信制御プログラム
JP7370003B2 (ja) * 2019-11-20 2023-10-27 パナソニックIpマネジメント株式会社 車両診断システム及び移動体診断システム
FR3109347B1 (fr) * 2020-04-20 2022-05-06 Blockbox Dispositif antivol d’un véhicule automobile intégrant un organe de dégradation d’un port femelle
JP2022163479A (ja) * 2021-04-14 2022-10-26 株式会社デンソー 車両用電子制御装置、書換えプログラム及びデータ構造

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008276663A (ja) 2007-05-07 2008-11-13 Denso Corp 車両制御装置及びそのデータ書換システム
JP2013141948A (ja) 2012-01-12 2013-07-22 Denso Corp 車両通信システム
JP2013141947A (ja) 2012-01-12 2013-07-22 Denso Corp ゲートウェイ装置、及び、車両通信システム
JP2017070082A (ja) 2015-09-30 2017-04-06 株式会社小糸製作所 モータの駆動制御装置及び駆動制御方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170347002A1 (en) * 2016-05-27 2017-11-30 GM Global Technology Operations LLC Video transmission control
US10218753B2 (en) * 2016-05-27 2019-02-26 GM Global Technology Operations LLC Video activation button
US10017155B1 (en) * 2017-02-21 2018-07-10 International Business Machines Corporation Cross correlation between connected vehicles and other online devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008276663A (ja) 2007-05-07 2008-11-13 Denso Corp 車両制御装置及びそのデータ書換システム
JP2013141948A (ja) 2012-01-12 2013-07-22 Denso Corp 車両通信システム
JP2013141947A (ja) 2012-01-12 2013-07-22 Denso Corp ゲートウェイ装置、及び、車両通信システム
JP2017070082A (ja) 2015-09-30 2017-04-06 株式会社小糸製作所 モータの駆動制御装置及び駆動制御方法

Also Published As

Publication number Publication date
JP2018173721A (ja) 2018-11-08
US20180281748A1 (en) 2018-10-04
US10214182B2 (en) 2019-02-26

Similar Documents

Publication Publication Date Title
DE102018203966A1 (de) Fahrzeugbordkommunikationssystem, Fahrzeugsteuergerät und Kommunikationsmanagementgerät
DE102016225690B4 (de) Zubehörgerät und -system zum Bilden einer Fahrgemeinschaft
DE102018123656A1 (de) Zusatzmodul und system für die gemeinsame nutzung von fahrzeugen
DE102013002281B4 (de) Kraftfahrzeug für ein Carsharing-System
DE102018204071A1 (de) Fahrzeugeigenes kommunikationssystem, kommunikationsverwaltungsvorrichtung, und fahrzeugsteuervorrichtung
CN105589451A (zh) 车载通信系统
WO2009043794A1 (de) Tachograph, maut-on-board-unit, anzeigeinstrument und system
DE102010007614A1 (de) Verfahren und Vorrichtung zum Schützen privater Daten in einem Fahrzeug
DE10227804A1 (de) Vorrichtung und Verfahren zum Deaktivieren einer Fernsteuereinheit eines Automobils
DE102019127100A1 (de) Verfahren und system zum bereitstellen von sicherheit eines fahrzeuginternen netzwerkes
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
DE102016114298A1 (de) Diagnoseanschlussschutz für Karosseriesteuermodul
DE102017205993A1 (de) System und Verfahren zur selektiven Freischaltung von Fahrzeugfunktionen
WO2012171760A1 (de) Verfahren und ladestation zur überprüfung von fahrzeugkomponenten eines elektrofahrzeugs
DE102013200517A1 (de) Kommunikationsweiterleitungsvorrichtung
EP0653338B1 (de) Verfahren zum Betrieb eines Diebstahlsicherungssystems für motorangetriebene Fahrzeuge
WO2018007049A1 (de) Verfahren zur sicheren authentifizierung von steuervorrichtungen in einem kraftfahrzeug
CN111051159A (zh) 车辆用控制系统
DE112014003345T5 (de) Datenausschlussvorrichtung
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE112020001126T5 (de) Fahrzeugsteuergerät
DE102012111361A1 (de) Verfahren zum Betreiben eines Kraftfahrzeugs und Kraftfahrzeug
DE102015211104A1 (de) Verfahren zur Bereitstellung von Authentifizierungsfaktoren
EP3556122A1 (de) Verfahren zum betreiben einer sendeeinrichtung eines kraftfahrzeugs, sendeeinrichtung für ein kraftfahrzeug sowie kraftfahrzeug
DE102007036094A1 (de) Verfahren zur Diebstahlsicherung eines elektronischen Gerätes in einem Kraftfahrzeug und Diebstahlschutzvorrichtung für ein solches Gerät

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee