DE102019114779A1 - Benachrichtigung über einen steuerungsfehler mittels nachrichten-authentifizierungscode - Google Patents

Benachrichtigung über einen steuerungsfehler mittels nachrichten-authentifizierungscode Download PDF

Info

Publication number
DE102019114779A1
DE102019114779A1 DE102019114779.4A DE102019114779A DE102019114779A1 DE 102019114779 A1 DE102019114779 A1 DE 102019114779A1 DE 102019114779 A DE102019114779 A DE 102019114779A DE 102019114779 A1 DE102019114779 A1 DE 102019114779A1
Authority
DE
Germany
Prior art keywords
controller
mac
faulty
message
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019114779.4A
Other languages
English (en)
Inventor
Jacob A. Kuiper
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102019114779A1 publication Critical patent/DE102019114779A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/027Alarm generation, e.g. communication protocol; Forms of alarm
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)

Abstract

System und Verfahren zum Bereitstellen einer Benachrichtigung über einen Steuerungsfehler in einem Multi-Controller-System unter Verwendung eines Nachrichten-Authentifizierungscodes (MAC), bei dem an einer Sicherheitsperipherie eine Fehlermeldung von einem Monitor einer ersten Steuerung des Multi-Controller-Systems empfangen wird, die anzeigt, dass die erste Steuerung fehlerhaft ist. Das Verfahren beinhaltet auch das Empfangen eines Schlüsselindexes von der ersten Steuerung, und das Bereitstellen, von der Sicherheitsperipherie, eines fehlerhaften MAC an die erste Steuerung basierend auf der Fehlermeldung. Der fehlerhafte MAC unterscheidet sich von dem ersten korrekten MAC, der durch den Schlüsselindex der ersten Steuerung angezeigt wird. Eine zweite Steuerung unter den Steuerungen des Multi-Controller-Systems empfängt eine Nachricht von der ersten Steuerung, die den defekten MAC beinhaltet. Die zweite Steuerung bestimmt, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist, basierend darauf, dass der fehlerhafte MAC nicht mit dem ersten richtigen MAC übereinstimmt.

Description

  • EINFÜHRUNG
  • Die Offenbarung bezieht sich auf die Benachrichtigung über einen Steuerungsfehler unter Verwendung eines Nachrichten-Authentifizierungscodes (engl. message authentication code, MAC).
  • Multi-Controller-Systeme, also Systeme mit mehreren Steuerungen, verteilen die Funktionalität auf mehrere Controller (Steuerungen), die miteinander kommunizieren. Ein Fahrzeug (z.B. PKW, LKW, Landmaschinen, Baumaschinen, automatisiertes Fertigungswerkzeug) ist ein Beispiel für ein Multi-Controller-System. Die Kommunikation zwischen den mehreren Steuerungen ermöglicht den ordnungsgemäßen Betrieb des gesamten Multi-Controller-Systems. Wenn eine der Steuerungen einen Fehler aufweist, kann der Betrieb des Multi-Controller-Systems negativ beeinflusst werden. Dementsprechend ist es wünschenswert, eine Benachrichtigung über einen Steuerungsfehler über einen MAC bereitzustellen.
  • BESCHREIBUNG
  • In einer exemplarischen Ausführungsform beinhaltet ein Verfahren zum Bereitstellen einer Benachrichtigung über einen Steuerungsfehler in einem Multi-Controller-System unter Verwendung eines Nachrichten-Authentifizierungscodes (MAC) das Empfangen einer Fehlermeldung von einem Monitor, der eine erste Steuerung unter den Steuerungen des Multi-Controller-Systems überwacht, an einer ersten Sicherheitsperipherie. Die Fehlermeldung zeigt an, dass die erste Steuerung defekt ist. Das Verfahren beinhaltet auch das Empfangen eines Schlüsselindexes von der ersten Steuerung an der ersten Sicherheitsperipherie als Anforderung für einen ersten korrekten MAC und das Bereitstellen eines fehlerhaften MAC an die erste Steuerung von der ersten Sicherheitsperipherie basierend auf der Fehlermeldung. Der fehlerhafte MAC unterscheidet sich von dem ersten korrekten MAC, der durch den Schlüsselindex der ersten Steuerung angezeigt wird. Eine zweite Steuerung unter den Steuerungen des Multi-Controller-Systems empfängt eine Nachricht von der ersten Steuerung. Die Meldung enthält den defekten MAC. Die zweite Steuerung bestimmt, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist, da der fehlerhafte MAC nicht mit dem ersten korrekten MAC übereinstimmt, der von der zweiten Steuerung erwartet wird.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Anfordern eines zweiten korrekten MAC durch die zweite Steuerung von einer zweiten Sicherheitsperipherie, nachdem die Nachricht von der fehlerhaften Steuerung empfangen wurde. Der zweite richtige MAC ist der gleiche MAC wie der erste richtige MAC.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Erhalten des zweiten korrekten MAC aus der zweiten Sicherheitsperipherie an der zweiten Steuerung.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Vergleichen des fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem zweiten korrekten MAC an der zweiten Steuerung.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Anfordern eines Sicherheitsmodus-MAC durch die zweite Steuerung von der zweiten Sicherheitsperipherie nach dem Bestimmen, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Empfangen des Sicherheitsmodus-MAC an der zweiten Steuerung von der zweiten Sicherheitsperipherie.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch das Vergleichen des fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem Sicherheitsmodus-MAC an der zweiten Steuerung.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch, dass die zweite Steuerung Fehlercodes an eine zentrale Steuerung ausgibt, basierend darauf, dass der fehlerhafte MAC mit dem Sicherheitsmodus-MAC übereinstimmt, um der zentralen Steuerung mitzuteilen, dass die erste Steuerung fehlerhaft ist.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch, dass die erste Steuerung regelmäßige Zustandsmeldungen an den Monitor ausgibt, bevor die erste Steuerung defekt wird.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das Verfahren auch, dass der Monitor die Fehlermeldung an die erste Sicherheitsperipherie ausgibt, nachdem die erste Steuerung die Ausgabe der regelmäßigen Zustandsmeldungen an den Monitor beendet hat.
  • In einer weiteren exemplarischen Ausführungsform beinhaltet ein Multi-Controller-System eine erste Steuerung unter den Steuerungen des Multi-Controller-Systems und einen Monitor, um regelmäßige Zustandsmeldungen von der ersten Steuerung zu empfangen und eine Fehlermeldung auszusenden, nachdem die erste Steuerung die Ausgabe der regelmäßigen Zustandsmeldungen an den Monitor beendet hat. Eine erste Sicherheitsperipherie erhält die Fehlermeldung vom Monitor. Die Fehlermeldung zeigt an, dass die erste Steuerung defekt ist. Die erste Sicherheitsperipherie erhält ebenfalls einen Schlüsselindex von der ersten Steuerung als Anforderung für einen ersten korrekten MAC und stellt der ersten Steuerung basierend auf der Fehlermeldung einen fehlerhaften MAC zur Verfügung. Der fehlerhafte MAC unterscheidet sich von dem ersten korrekten MAC, der von der ersten Steuerung angefordert wurde. Eine zweite Steuerung unter den Steuerungen des Multi-Controller-Systems empfängt eine Nachricht von der ersten Steuerung, die den fehlerhaften MAC beinhaltet und bestimmt, dass der Nachricht von der ersten Steuerung nicht vertraut werden kann, basierend darauf, dass der fehlerhafte MAC nicht dem ersten korrekten MAC entspricht, der von der zweiten Steuerung erwartet wird.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale beinhaltet das System auch eine zweite Sicherheitsperipherie. Die zweite Steuerung fordert von der zweiten Sicherheitsperipherie einen zweiten korrekten MAC an, nachdem sie die Nachricht von der fehlerhaften Steuerung empfangen hat. Der zweite richtige MAC ist der gleiche MAC wie der erste richtige MAC.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale empfängt die zweite Steuerung den zweiten korrekten MAC von der zweiten Sicherheitsperipherie.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale vergleicht die zweite Steuerung den defekten MAC in der Meldung von der ersten Steuerung mit dem zweiten korrekten MAC.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale fordert die zweite Steuerung von der zweiten Sicherheitsperipherie einen Sicherheitsmodus-MAC an, nachdem sie bestimmt hat, dass die Nachricht der ersten Steuerung nicht vertrauenswürdig ist.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale empfängt die zweite Steuerung den Sicherheitsmodus-MAC von der zweiten Sicherheitsperipherie.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale vergleicht die zweite Steuerung den defekten MAC in der Meldung von der ersten Steuerung mit dem Sicherheitsmodus-MAC.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale gibt die zweite Steuerung Fehlercodes an eine zentrale Steuerung aus, basierend darauf, dass der fehlerhafte MAC dem Sicherheitsmodus-MAC entspricht, um die zentrale Steuerung darüber zu informieren, dass die erste Steuerung fehlerhaft ist.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale ist das Multi-Controller-System Teil eines Fahrzeugs.
  • Zusätzlich zu einem oder mehreren der hierin beschriebenen Merkmale werden ein oder mehrere Vorgänge des Fahrzeugs basierend auf der Kommunikation zwischen den Steuerungen des Multi-Controller-Systems gesteuert.
  • Die vorgenannten Merkmale und Vorteile sowie weitere Merkmale und Vorteile der Offenbarung ergeben sich aus der folgenden detaillierten Beschreibung im Zusammenhang mit den beigefügten Zeichnungen.
  • Figurenliste
  • Weitere Merkmale, Vorteile und Details erscheinen lediglich exemplarisch in der folgenden Detailbeschreibung, die sich auf die Zeichnungen bezieht:
    • 1 zeigt ein Blockdiagramm der relevanten Aspekte eines Fahrzeugs, die eine Benachrichtigung über einen Steuerungsfehler unter Verwendung eines Nachrichten-Authentifizierungscodes (MAC) beinhalten;
    • 2 ist ein Blockdiagramm, das verwendet wird, um die Meldung eines Steuerungsfehlers unter Verwendung eines MAC gemäß einer oder mehrerer Ausführungsformen zu erklären; und
    • 3 zeigt einen Nachrichtenfluss, der an der Durchführung der Benachrichtigung über einen Steuerungsfehler unter Verwendung eines MAC gemäß einer oder mehrerer Ausführungsformen beteiligt ist.
  • DETAILLIERTE BESCHREIBUNG
  • Die folgende Beschreibung ist lediglich exemplarischer Natur und soll die vorliegende Offenbarung, ihre Anwendung oder Verwendung nicht einschränken. Es ist zu verstehen, dass in den Zeichnungen entsprechende Bezugszeichen gleichartige oder entsprechende Teile und Merkmale angeben.
  • Wie bereits erwähnt, erfordert ein Multi-Controller-System, wie ein Fahrzeug, typischerweise eine Kommunikation zwischen den Steuerungen für den ordnungsgemäßen Betrieb. Wenn eine der Steuerungen einen Fehler aufweist, müssen die anderen Steuerungen benachrichtigt werden. Dies liegt daran, dass der fehlerhafte Controller anderen Controllern möglicherweise falsche Daten zur Verfügung stellt, was zu unsachgemäßem Betrieb oder sogar zu einer Gefahr führen kann. Ein früherer Ansatz zur Fehlererkennung bestand darin, dass eine fehlerhafte Steuerung die gesamte Kommunikation als Zeichen für einen fehlerhaften Betrieb stoppte. Während die fehlende Kommunikation jedoch andere Steuerungen auf den Fehler aufmerksam macht, verhindert sie auch die Kommunikation von Diagnosecodes von der fehlerhaften Steuerung oder Reparaturen an der fehlerhaften Steuerung, was die Diagnose oder Korrektur des Steuerungsbetriebs erleichtern kann.
  • Ausführungsformen der hierin beschriebenen Systeme und Verfahren beziehen sich auf die Benachrichtigung über einen Steuerungsfehler unter Verwendung eines MAC, wenn der fehlerhafte Controller eine verschlüsselte Kommunikation durchführt. Ein Fahrzeug beinhaltet beispielsweise eine Sicherheitsperipherie, um eine authentifizierte Kommunikation durch Steuerungen zu ermöglichen, die bestimmten sicherheitskritischen Funktionen zugeordnet sind (z.B. Motorsteuerung, Bremssteuerung). Die arithmetische Logikeinheit (engl. arithmetic logic unit, ALU) der Sicherheitsperipherie erzeugt einen MAC, der in die Kommunikation einbezogen wird. Wie detailliert beschrieben, kann dieser MAC verwendet werden, um einen Fehler anzuzeigen, so dass ein fehlerhafter Controller nicht die gesamte Kommunikation stoppen muss. Die Erkennung der fehleranzeigenden MAC durch andere Steuerungen ermöglicht eine gezielte Laufzeitreaktion der anderen Steuerungen sowie die Diagnose und Behebung der Störung.
  • Gemäß einer exemplarischen Ausführungsform zeigt 1 ein Blockdiagramm der relevanten Aspekte eines Fahrzeugs 100, bei dem ein Steuerungsfehler über einen MAC, der eine digitale Signatur ist, gemeldet wird. Das in 1 dargestellte exemplarische Fahrzeug 100 ist ein Automobil 101. Das Fahrzeug 100 wird mit mehreren Steuerungen 110a bis 110n (allgemein 110 genannt) dargestellt, die auch als elektronische Steuereinheiten (engl. electronic control units, ECUs) bezeichnet werden können. Jede Steuerung 110 kann, wie dargestellt, einer Sicherheitsperipherie 120 zugeordnet sein. Gemäß einer alternativen Ausführungsform können die Steuerungen 110 mit einer einzigen Sicherheitsperipherie 120 kommunizieren. Jede Sicherheitsperipherie 120 beinhaltet eine ALU 210 (2) und andere Komponenten zur Bereitstellung von Authentifizierungscodes (d.h. MACs), wie weiter unter Bezugnahme auf 2 erläutert. Das Fahrzeug kann auch Sensoren 130 (z.B. Kameras, Radarsysteme, Lidarsysteme) beinhalten, die mit einer oder mehreren Steuerungen 110 kommunizieren. Einige der Controller 110 sind mit entsprechenden Monitoren 115a bis 115m (allgemein als 115 bezeichnet) dargestellt. Während in 1 der Einfachheit halber nur die Verbindung zwischen einer bestimmten Steuerung 110 und dem entsprechenden Monitor 115 dargestellt ist, kann jede der für das Fahrzeug 101 dargestellten Komponenten über Kabel oder drahtlos kommunizieren. Darüber hinaus sind die Positionen für die in 1 dargestellten Komponenten nur exemplarisch, und die Steuerungen 110 oder Sensoren 130 könnten an verschiedenen Positionen des Automobils 101 gemäß alternativer Ausführungsformen angeordnet sein.
  • Jede Steuerung 110 des Fahrzeugs 101 kann nach einem Automotive Safety Integrity Level (ASIL) kategorisiert werden. So kann beispielsweise eine Motorsteuerung 110 oder eine Bremssteuerung 110 hohe ASIL-Systeme sein, da sie die Sicherheit des Betriebs des Fahrzeugs 101 beeinträchtigen. Andererseits kann eine Infotainmentsteuerung 110 ein niedriges ASIL-System sein oder überhaupt keine ASIL-Stufe haben. Eine Fenstersteuerung 110 kann als mittleres ASIL-System betrachtet werden. Im Allgemeinen sind höhere ASIL-Systeme mit mehr Fehlererkennung über einen Monitor 115 oder ein anderes System verbunden. In dem in 1 dargestellten exemplarischen Fahrzeug 101 führt jeder Monitor 115 eine Fehlererkennung und Reaktion für die entsprechende Steuerung 110 durch. So führt beispielsweise der Monitor 115a für die Steuerung 110a eine Fehlererkennung und Reaktion durch.
  • 2 ist ein Blockdiagramm zur Erläuterung der Meldung eines Steuerungsfehlers unter Verwendung eines MAC gemäß einer oder mehreren Ausführungsformen. Es werden zwei Controller 110A und 110X gezeigt. Jede Steuerung 110A und 110X ist mit einem entsprechenden Monitor 115A und 115X und einer entsprechenden Sicherheitsperipherie 120A und 120X gekoppelt. Jede Steuerung 110A, 110X beinhaltet Verarbeitungsschaltungen, die eine anwendungsspezifische integrierte Schaltung (ASIC), eine elektronische Schaltung, einen Prozessor 220A, 220X (allgemein als 220 bezeichnet) (gemeinsam, dediziert oder Gruppe) samt Speicher 230A, 230X (allgemein als 230 bezeichnet), der ein oder mehrere Software- oder Firmwareprogramme ausführt, eine kombinatorische Logikschaltung und/oder andere geeignete Komponenten beinhalten können, die die beschriebene Funktionalität bereitstellen. Die Sicherheitsperipheriegeräte 120A, 120X beinhalten die ALU 210, die MACs generiert. Die Sicherheitsperipheriegeräte 120A, 120X beinhalten Verarbeitungsschaltungen wie die Steuerungen 110. Die ALU 210 kann zusätzlich zu oder teilweise zu einem anderen Prozessor der Verarbeitungsschaltung sein, der auch Speicher 215 beinhalten kann. Eine Steuerung 110 und die entsprechende Sicherheitsperipherie 120 können Teil derselben integrierten Schaltung (d.h. eines Chips) sein und sich auf derselben Leiterplatte (PCB) wie der entsprechende Monitor 115 befinden.
  • Unter der Annahme, dass die Steuerung 110A zu Erklärungszwecken eine Kommunikation zur Steuerung 110X sendet, wählt die Steuerung 110A einen in der Sicherheitsperipherie 120A gespeicherten Schlüssel aus, indem sie einen entsprechenden Schlüsselindex und die mit Authentifizierung zu sendenden Daten an die Sicherheitsperipherie 120A sendet. Die Steuerung 110A wird dann mit einer Signatur, einem MAC C1, von der Sicherheitsperipherie 120A bedient. Die Steuerung 110A sendet dann eine Nachricht mit den Daten und dem MAC C1 an die Steuerung 110X. Wenn die Steuerung 110X die Kommunikation von der Steuerung 110A empfängt, sendet sie einen Schlüsselindex, der den Daten in der Nachricht entspricht, und den Daten an die Sicherheitsperipherie 120X, um MAC C2 zu erhalten. Die Steuerung 110X vergleicht MAC C1, der in der Kommunikation von der Steuerung 110A empfangen wurde, mit MAC C2, der von der Sicherheitsperipherie 120 erhalten wurde. Wenn MAC C1 und MAC C2 gleich sind, dann werden die Daten in der Nachricht von der Steuerung 110A authentifiziert, und die Steuerung 110X weiß, dass sie den von der Steuerung 110A übermittelten Daten vertrauen kann.
  • Gemäß einer oder mehreren Ausführungsformen erhält der Monitor 115A eine regelmäßige (z.B. periodische) Kommunikation von der Steuerung 110A. Wenn die Steuerung 110A einen Fehler aufweist, beendet sie die Kommunikation mit dem Monitor 115A. Im Gegensatz zu bestehenden Systemen stellt die Steuerung 110A gemäß einer oder mehrerer Ausführungsformen die Kommunikation mit dem entsprechenden Monitor 115A nur dann ein, wenn sie einen Fehler erkennt, setzt aber eine andere Kommunikation fort, wie z.B. mit der Steuerung 110X. Wenn die Steuerung 110A die Kommunikation mit dem entsprechenden Monitor 115A einstellt, benachrichtigt der Monitor 115A wiederum die Sicherheitsperipherie 120A über den Fehler in der Steuerung 110A. Dies führt dazu, dass die Sicherheitsperipherie 120A (insbesondere die ALU 210A) einen vordefinierten Schlüssel verwendet, der sich von dem Schlüssel unterscheidet, der dem Schlüsselindex der Steuerung 110A entspricht, und der Steuerung 110A einen fehlerhaften MAC C1' (3) liefert. Wenn die Steuerung 110X anschließend die Kommunikation von der Steuerung 110A mit dem fehlerhaften MAC C1' empfängt, stellt sie fest, dass der MAC C2 nicht mit dem fehlerhaften MAC C1' übereinstimmt, der von der Steuerung 110A übermittelt wurde. Dies zeigt einen Fehler in der von der Steuerung 110A an der Steuerung 110X empfangenen Nachricht an. Eine Reaktion der Steuerung 110X auf das Erlernen eines Fehlers in der Steuerung 110A ist, die Daten in der Nachricht von der Steuerung 110A nicht mehr zu verwenden.
  • Gemäß einer zusätzlichen oder alternativen Ausführungsform, wenn die Sicherheitsperipherie 120A vom Monitor 115A Informationen darüber erhält, dass ein Fehler in der Steuerung 110A vorliegt, bietet die Sicherheitsperipherie 120A einen Sicherheitsmodus-MAC C1' und nicht nur irgendeinen fehlerhaften MAC. Der Sicherheitsmodus-MAC C1', der von der Sicherheitsperipherie 120A unter Verwendung des vordefinierten Schlüssels erzeugt wird, der sich von dem Schlüssel unterscheidet, der dem Schlüsselindex der Steuerung 110A entspricht, ist beispielsweise ein spezifischer vordefinierter MAC und nicht nur ein MAC C1 mit einem darin eingeführten Fehler. Nach dem Empfangen der Kommunikation von der Steuerung 110A mit dem MAC C1', nachdem festgestellt wurde, dass MAC C1' nicht mit MAC C2 übereinstimmt, kann die Steuerung 110X der Sicherheitsperipherie 120X einen Schlüsselindex zur Verfügung stellen, der einem Sicherheitsschlüssel zugeordnet ist, um einen Sicherheitsmodus-MAC C2' zu erhalten. Die Steuerung 110X kann dann den von der Steuerung 110A empfangenen Sicherheitsmodus-MAC C1' mit dem Sicherheitsmodus-MAC C2' vergleichen. Wenn es eine Übereinstimmung gibt, dann überprüft die Steuerung 110X, ob beispielsweise ein Fehler in der Steuerung 110A und nicht ein Problem mit korrupten Daten vorliegt. Die Steuerung 110X kann dann beispielsweise Fehlercodes senden, um den Fehler in der Steuerung 110A an eine zentrale Steuerung 110 anzuzeigen. Die zentrale Steuerung 110 kann eine beliebige der Steuerungen 110 oder eine zusätzliche Steuerung 110 sein, die Managementfunktionen für die anderen Steuerungen 110 übernimmt. Die Fehlermeldung an die zentrale Steuerung 110 kann zu einer Diagnose führen und die Steuerung 110A reparieren.
  • 3 zeigt einen Nachrichtenfluss, der an der Durchführung der Benachrichtigung über einen Steuerungsfehler unter Verwendung eines MAC gemäß einer oder mehrerer Ausführungsformen beteiligt ist. Die Steuerung 110A sendet einen Schlüsselindex k1 zusammen mit den Daten D an die Sicherheitsperipherie 120A und die Sicherheitsperipherie 120A sendet MAC C1 an die Steuerung 110A zurück. Beim Empfangen des MAC C1 von der Sicherheitsperipherie 120A sendet die Steuerung 110A Daten D und den MAC C1 an die Steuerung 110X. Beim Empfangen der Nachricht mit den Daten D und MAC C1 sendet die Steuerung 110X einen Schlüsselindex k2 und die Daten D an die Sicherheitsperipherie 120X und erhält MAC C2 von der Sicherheitsperipherie 120X. Die Steuerung 110X vergleicht MAC C1 und MAC C2, um festzustellen, ob sie identisch sind. Wenn ja, kann die Steuerung 110X den Daten D vertrauen und sie bei Bedarf verwenden.
  • Wie 3 anzeigt, sendet die Steuerung 110A auch periodisch Zustandsmeldungen H an einen entsprechenden Monitor 115A. Wenn ein Fehler in der Steuerung 110A auftritt, werden die Zustandsmeldungen H an den Monitor 115A beendet. Das verursacht, dass der Monitor 115A eine Fehleranzeige F an die Sicherheitsperipherie 120A sendet. Wenn die fehlerhafte Steuerung 110A anschließend einen Schlüsselindex k1 und Daten D als MAC-Anforderung an die Sicherheitsperipherie 120A sendet, sendet die Sicherheitsperipherie 120A, die vom Monitor 115A über den Fehler informiert wurde, MAC C1'. Gemäß einer exemplarischen Ausführungsform ist MAC C1' ein fehlerhafter MAC C1, der sich von dem MAC C1 unterscheidet, der basierend auf dem Schlüsselindex k1 erzeugt werden soll. Gemäß einer weiteren exemplarischen Ausführungsform unterscheidet sich MAC C1' nicht nur von dem MAC C1, der basierend auf dem Schlüsselindex k1 generiert werden soll, sondern ist auch ein spezifischer vordefinierter Sicherheitsmodus-MAC. Die Steuerung 110A sendet die Daten D und MAC C1' an die Steuerung 110X.
  • Beim Empfangen der Nachricht mit den Daten D und MAC C1' sendet die Steuerung 110X einen Schlüsselindex k2 und die Daten D an die Sicherheitsperipherie 120X und empfängt MAC C2, was der erwartete Code von der Steuerung 110A ist. Wie 3 anzeigt, vergleicht die Steuerung 110X den empfangenen MAC C1' mit dem MAC C2. Gemäß einer exemplarischen Ausführungsform, bei der MAC C1' ein fehlerhafter MAC ist, kann die Steuerung 110X die Verwendung der Daten D der Steuerung 110A einstellen. Gemäß einer zusätzlichen oder alternativen Ausführungsform, bei der MAC C1' nicht nur ein fehlerhafter MAC ist (d.h. sich von MAC C1 unterscheidet), sondern auch ein spezifischer Sicherheitsmodus-Mac, sendet die Steuerung 110X einen Sicherheitsmodus-Schlüsselindex k2' mit den Daten D an die Sicherheitsperipherie 120X und empfängt einen Sicherheitsmodus-MAC C2'. Wenn die Steuerung 110X bestimmt, dass MAC C1' und MAC C2' gleich sind, bestätigt die Steuerung 110X, dass ein Fehler in der Steuerung 110A vorliegt. Basierend auf dieser Bestätigung kann die Steuerung 110X zusätzliche Aktionen wie z.B. die Übertragung von Fehlercodes an eine zentrale Steuerung 110 durchführen.
  • Das Multi-Controller-System (z.B. Fahrzeug 100) wird verbessert, indem die Fehlererkennung zwischen den Steuerungen 110 deutlicher gemacht wird, als z.B. durch einen einfachen Kommunikationsabbruch. Darüber hinaus ermöglichen Ausführungsformen unter Verwendung des Sicherheitsmodus-MAC eine schnellere Diagnose und Reparatur fehlerhafter Steuerungen 110. Durch die Sicherstellung, dass die von einer defekten Steuerung 110 erzeugten Daten nicht verwendet werden, wird die Systemsicherheit gewährleistet. Handelt es sich bei dem System um ein Fahrzeug 100 (z.B. Automobil 101), stellen die hierin beschriebenen Ausführungsformen sicher, dass der Fahrzeugbetrieb (z.B. Sicherheitssysteme wie Kollisionsvermeidung, automatisierter Betrieb), der durch zwischen den Steuerungen 110 kommunizierte Daten gesteuert wird, nicht aufgrund fehlerhafter Daten beeinträchtigt wird.
  • Obwohl die vorstehende Offenbarung mit Bezug auf exemplarische Ausführungsformen beschrieben wurde, wird von den Fachleuten verstanden, dass verschiedene Änderungen vorgenommen und Äquivalente durch Elemente davon ersetzt werden können, ohne von ihrem Umfang abzuweichen. Darüber hinaus können viele Änderungen vorgenommen werden, um eine bestimmte Situation oder ein bestimmtes Material an die Lehren der Offenbarung anzupassen, ohne vom wesentlichen Umfang der Offenbarung abzuweichen. Daher ist beabsichtigt, dass sich die vorliegende Offenbarung nicht auf die einzelnen offenbarten Ausführungsformen beschränkt, sondern alle in den Anwendungsbereich fallenden Ausführungsformen umfasst.

Claims (10)

  1. Verfahren zum Bereitstellen einer Benachrichtigung über einen Steuerungsfehler in einem Multi-Controller-System unter Verwendung eines Nachrichten-Authentifizierungscodes, MAC, wobei das Verfahren umfasst: Empfangen einer Fehlermeldung von einem Monitor, der eine erste Steuerung unter den Steuerungen des Multi-Controller-Systems überwacht, an einer ersten Sicherheitsperipherie, wobei die Fehlermeldung anzeigt, dass die erste Steuerung fehlerhaft ist; Empfangen eines Schlüsselindexes von der ersten Steuerung an der ersten Sicherheitsperipherie als Anforderung für einen ersten korrekten MAC; Bereitstellen eines fehlerhaften MACs von der ersten Sicherheitsperipherie an die erste Steuerung basierend auf der Fehlerbenachrichtigung, wobei sich der fehlerhafte MAC von dem ersten korrekten MAC unterscheidet, wobei der erste korrekte MAC durch den Schlüsselindex von der ersten Steuerung angezeigt wird; Empfangen einer Nachricht von der ersten Steuerung an einer zweiten Steuerung unter den Steuerungen des Multi-Controller-Systems, wobei die Nachricht den fehlerhaften MAC beinhaltet; Bestimmen, bei der zweiten Steuerung, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist, basierend darauf, dass der fehlerhafte MAC nicht dem von der zweiten Steuerung erwarteten ersten korrekten MAC entspricht, der wird.
  2. Verfahren nach Anspruch 1, ferner umfassend das Anfordern eines zweiten korrekten MAC durch die zweite Steuerung von einer zweiten Sicherheitsperipherie, nachdem die Nachricht von der fehlerhaften Steuerung empfangen wurde, wobei der zweite korrekte MAC ein gleicher MAC wie der erste korrekte MAC ist.
  3. Verfahren nach Anspruch 2, ferner umfassend das Erhalten des zweiten korrekten MAC von der zweiten Sicherheitsperipherie an der zweiten Steuerung und das Vergleichen des fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem zweiten korrekten MAC an der zweiten Steuerung.
  4. Verfahren nach Anspruch 1, ferner umfassend das Anfordern eines Sicherheitsmodus-MAC durch die zweite Steuerung von der zweiten Sicherheitsperipherie, nachdem bestimmt wurde, dass der Nachricht von der ersten Steuerung nicht vertraut werden kann, das Empfangen des Sicherheitsmodus-MAC von der zweiten Sicherheitsperipherie an der zweiten Steuerung, das Vergleichen des fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem Sicherheitsmodus-MAC an der zweiten Steuerung, und die zweite Steuerung gibt Fehlercodes an eine zentrale Steuerung aus, basierend darauf, dass der fehlerhafte MAC dem Sicherheitsmodus-MAC entspricht, um die zentrale Steuerung darüber zu informieren, dass die erste Steuerung fehlerhaft ist.
  5. Verfahren nach Anspruch 1, ferner umfassend dass die erste Steuerung dem Monitor regelmäßige Zustandsmeldungen aussendet, bevor die erste Steuerung fehlerhaft wird, und der Monitor die Fehlermeldung an die erste Sicherheitsperipherie aussendet, nachdem die erste Steuerung das Aussenden der regelmäßigen Zustandsmeldungen an den Monitor einstellt.
  6. Multi-Controller-System, wobei das System umfasst: eine erste Steuerung unter den Steuerungen des Multi-Controller-Systems; einen Monitor, der konfiguriert ist, um regelmäßige Zustandsmeldungen von der ersten Steuerung zu empfangen und eine Fehlermeldung auszusenden, nachdem die erste Steuerung die Ausgabe der regelmäßigen Zustandsmeldungen an den Monitor beendet hat; eine erste Sicherheitsperipherie, die konfiguriert ist, um die Fehlermeldung von dem Monitor zu empfangen, wobei die Fehlermeldung anzeigt, dass die erste Steuerung fehlerhaft ist, um einen Schlüsselindex von der ersten Steuerung als Anforderung für einen ersten korrekten MAC zu empfangen und um der ersten Steuerung basierend auf der Fehlermeldung einen fehlerhaften MAC bereitzustellen, wobei der fehlerhafte MAC von dem ersten korrekten MAC verschieden ist, der von der ersten Steuerung angefordert wird; und eine zweite Steuerung unter den Steuerungen des Multi-Controller-Systems, die konfiguriert ist, um eine Nachricht von der ersten Steuerung zu empfangen, wobei die Nachricht den fehlerhaften MAC beinhaltet, und um zu bestimmen, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist, basierend darauf, dass der fehlerhafte MAC nicht mit dem von der zweiten Steuerung erwarteten ersten korrekten MAC übereinstimmt.
  7. Multi-Controller-System nach Anspruch 6, ferner umfassend eine zweite Sicherheitsperipherie, wobei die zweite Steuerung konfiguriert ist, um von der zweiten Sicherheitsperipherie einen zweiten korrekten MAC anzufordern, nachdem sie die Nachricht von der fehlerhaften Steuerung empfangen hat, wobei der zweite korrekte MAC ein gleicher MAC wie der erste korrekte MAC ist.
  8. Multi-Controller-System nach Anspruch 7, wobei die zweite Steuerung den zweiten korrekten MAC von der zweiten Sicherheitsperipherie empfängt und die zweite Steuerung ferner konfiguriert ist, um den fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem zweiten korrekten MAC zu vergleichen.
  9. Multi-Controller-System nach Anspruch 6, wobei die zweite Steuerung ferner konfiguriert ist, um von der zweiten Sicherheitsperipherie einen Sicherheitsmodus-MAC anzufordern, nachdem bestimmt wurde, dass die Nachricht von der ersten Steuerung nicht vertrauenswürdig ist, die zweite Steuerung den Sicherheitsmodus-MAC von der zweiten Sicherheitsperipherie empfängt, die zweite Steuerung ferner konfiguriert ist, um den fehlerhaften MAC in der Nachricht von der ersten Steuerung mit dem Sicherheitsmodus-MAC zu vergleichen, die zweite Steuerung ferner konfiguriert ist, um Fehlercodes an eine zentrale Steuerung auszugeben, basierend darauf, dass der fehlerhafte MAC dem Sicherheitsmodus-MAC entspricht, um der zentralen Steuerung mitzuteilen, dass die erste Steuerung fehlerhaft ist.
  10. Multi-Controller-System nach Anspruch 6, wobei das Multi-Controller-System Teil eines Fahrzeugs ist und ein oder mehrere Operationen des Fahrzeugs basierend auf der Kommunikation zwischen den Steuerungen des Multi-Controller-Systems gesteuert werden.
DE102019114779.4A 2018-10-23 2019-06-03 Benachrichtigung über einen steuerungsfehler mittels nachrichten-authentifizierungscode Pending DE102019114779A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/168,121 2018-10-23
US16/168,121 US10802902B2 (en) 2018-10-23 2018-10-23 Notification of controller fault using message authentication code

Publications (1)

Publication Number Publication Date
DE102019114779A1 true DE102019114779A1 (de) 2020-04-23

Family

ID=70280787

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019114779.4A Pending DE102019114779A1 (de) 2018-10-23 2019-06-03 Benachrichtigung über einen steuerungsfehler mittels nachrichten-authentifizierungscode

Country Status (3)

Country Link
US (1) US10802902B2 (de)
CN (1) CN111090270B (de)
DE (1) DE102019114779A1 (de)

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6064297A (en) * 1997-06-12 2000-05-16 Microsoft Corporation Message authentication and key synchronization in home control systems
US6690289B1 (en) * 1997-06-12 2004-02-10 Microsoft Corporation Message formatting, authentication, and error detection in home control systems
JP3919316B2 (ja) * 1998-01-28 2007-05-23 富士通株式会社 センター装置の切替え方法及び、これを用いたケーブルモデムシステム
US7428751B2 (en) * 2002-12-05 2008-09-23 Microsoft Corporation Secure recovery in a serverless distributed file system
JP3849675B2 (ja) * 2003-07-25 2006-11-22 トヨタ自動車株式会社 車両診断方法、車両診断システム、車両およびセンター
US20080162984A1 (en) * 2006-12-28 2008-07-03 Network Appliance, Inc. Method and apparatus for hardware assisted takeover
US8423835B2 (en) * 2007-08-16 2013-04-16 Nxp B.V. System and method providing fault detection capability
US9280653B2 (en) * 2011-10-28 2016-03-08 GM Global Technology Operations LLC Security access method for automotive electronic control units
US8924071B2 (en) * 2013-04-26 2014-12-30 Ford Global Technologies, Llc Online vehicle maintenance
DE102014001270A1 (de) * 2014-01-31 2015-08-06 Infineon Technologies Ag Verfahren und System zur Berechnung von Codewörtern für geschützte Datenübertragungen
JP6063606B2 (ja) * 2014-04-03 2017-01-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法
US9438581B2 (en) * 2014-04-15 2016-09-06 GM Global Technology Operations LLC Authenticating data at a microcontroller using message authentication codes
US9792440B1 (en) * 2014-04-17 2017-10-17 Symantec Corporation Secure boot for vehicular systems
EP3860042B1 (de) * 2014-05-08 2023-08-02 Panasonic Intellectual Property Corporation of America Fahrzeuginternes netzwerksystem, elektronische steuereinheit zur betrugserkennung und betrugsbekämpfungsverfahren
WO2016006150A1 (ja) * 2014-07-10 2016-01-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット、受信方法及び送信方法
US20160026787A1 (en) * 2014-07-25 2016-01-28 GM Global Technology Operations LLC Authenticating messages sent over a vehicle bus that include message authentication codes
US10211990B2 (en) * 2014-07-25 2019-02-19 GM Global Technology Operations LLC Authenticating messages sent over a vehicle bus that include message authentication codes
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
FR3071121B1 (fr) * 2017-09-14 2020-09-18 Commissariat Energie Atomique Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur
CN108156231B (zh) * 2017-12-21 2020-11-03 北京摩拜科技有限公司 故障车辆与服务器通信的方法、车辆和服务器
US10791125B2 (en) * 2018-01-03 2020-09-29 Ford Global Technologies, Llc End-to-end controller protection and message authentication
JP7119437B2 (ja) * 2018-03-09 2022-08-17 株式会社デンソー 車両用マスタ電子制御装置、車両用スレーブ電子制御装置、車両用ログ収集システム及び車両用ログ収集プログラム

Also Published As

Publication number Publication date
CN111090270B (zh) 2023-02-03
US10802902B2 (en) 2020-10-13
US20200125440A1 (en) 2020-04-23
CN111090270A (zh) 2020-05-01

Similar Documents

Publication Publication Date Title
EP2040957B1 (de) Verfahren und vorrichtung zur plausibilitätskontrolle von messwerten im kraftfahrzeugumfeld
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE102008033675B4 (de) Dualkernarchitektur eines Steuermoduls eines Motors
DE102007040554B4 (de) Verteilte Sicherheitsprüfung für Arithmetik-Logik-Einheit
DE112018002176T5 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE102014101917A1 (de) CAN-basierte Wegfahrsperre
DE112013006757T5 (de) Datenverarbeitungsvorrichtung und Kommunikationssystem
EP1639465B1 (de) Verfahren zur überwachung des programmlaufs in einem mikro-computer
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
EP2171585B1 (de) Verfahren zum betreiben eines mikrocontrollers und einer ausführungseinheit sowie ein mikrocontroller und eine ausführungseinheit
DE112015005253T5 (de) Controller Area Network (CAN)-Kommunikationssystem und Aufzeichnungsvorrichtung für Fehlerinformationen
DE112019007432T5 (de) Elektronische steuereinheit und programm
DE102020208536A1 (de) Gateway-vorrichtung, abnormitätsüberwachungsverfahren und speichermedium
DE102019114779A1 (de) Benachrichtigung über einen steuerungsfehler mittels nachrichten-authentifizierungscode
DE102016221441A1 (de) Verfahren und Vorrichtung zum Überwachen eines Bildsensors
DE112019007853T5 (de) Steuereinrichtung
DE102021208459A1 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102019216660A1 (de) Elektronische steuerungseinheit
DE102004046292A1 (de) Verfahren zur Durchführung eines Votings von redundanten Informationen
DE102023125500A1 (de) Steuervorrichtung und steuerverfahren
WO2022238025A1 (de) Verfahren zum erkennen einer unzulässigen nachricht eines manipulierten steuergeräts eines fahrzeugs durch ein zweites steuergerät des fahrzeugs, computerlesbares medium, system, und fahrzeug
EP4322036A1 (de) Verfahren zum booten einer elektronischen steuereinheit
EP2960632B1 (de) Verfahren und system zum aufbereiten von durch kraftfahrzeugseitig angeordnete sensoren erzeugten sensormesswerten

Legal Events

Date Code Title Description
R012 Request for examination validly filed