DE102019205700B4 - Prüfsystem - Google Patents

Prüfsystem Download PDF

Info

Publication number
DE102019205700B4
DE102019205700B4 DE102019205700.4A DE102019205700A DE102019205700B4 DE 102019205700 B4 DE102019205700 B4 DE 102019205700B4 DE 102019205700 A DE102019205700 A DE 102019205700A DE 102019205700 B4 DE102019205700 B4 DE 102019205700B4
Authority
DE
Germany
Prior art keywords
information
control device
test
ecu
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102019205700.4A
Other languages
English (en)
Other versions
DE102019205700A1 (de
Inventor
Hiroshi Okuyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE102019205700A1 publication Critical patent/DE102019205700A1/de
Application granted granted Critical
Publication of DE102019205700B4 publication Critical patent/DE102019205700B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Abstract

Ein Prüfsystem, umfassend:eine Vielzahl von Steuervorrichtungen (201, 301, 401), welche an einem Fahrzeug (101) angebracht sind und zum Kommunizieren miteinander geeignet sind; undeine Prüfvorrichtung (1001), welche zum Überprüfen von Funktionen der Vielzahl von Steuervorrichtungen (201, 301, 401) über ein Netzwerk von außerhalb des Fahrzeugs (101) ausgebildet ist, wobeidie Prüfvorrichtung (1001)eine Prüfinformationserzeugungseinheit (1012) umfasst, welche zum Erzeugen einer Sicherheitsprüfinformation zur Verwendung bei einer Überprüfung einer Funktion einer ersten Steuervorrichtung (201) auf der Basis von Designinformation (1010) über die Vielzahl von Steuervorrichtungen (201, 301, 401) und getrennt gesammelter Sicherheitsinformation (1011) ausgebildet ist, undan die erste Steuervorrichtung (201), die durch die Prüfinformationserzeugungseinheit (1012) erzeugte Sicherheitsprüfinformation überträgt,die erste Steuervorrichtung (201)eine Gatewaysteuereinheit (202) umfasst, welche zum Umwandeln, in erste Prüfdaten für eine zweite Steuervorrichtung (301), der von der Prüfvorrichtung (1001) übertragenen Sicherheitsprüfinformation ausgebildet ist, undan die zweite Steuervorrichtung (301), die durch die Umwandlung durch die Gatewaysteuereinheit (202) erhaltenen ersten Prüfdaten überträgt, unddie zweite Steuervorrichtung (301) umfassteine Referenzdatenbank, welche eine Bestimmungsreferenz zum Bestimmen speichert, ob die von der ersten Steuervorrichtung (ECU_GW 201) übertragenen ersten Prüfdaten innerhalb eines normalen Bereichs fallen oder nicht, undeine erste Bestimmungseinheit (306), welche zum Vergleichen der ersten Prüfdaten mit der Bestimmungsreferenz ausgebildet ist, um zu bestimmen, ob die ersten Prüfdaten normal oder unregelmäßig sind.

Description

  • Hintergrund der Erfindung
  • 1. Gebiet der Erfindung
  • Die vorliegende Offenbarung betrifft ein Prüfsystem zum Überprüfen einer an einem Fahrzeug angebrachten Steuervorrichtung.
  • 2. Beschreibung des Stands der Technik
  • Eine Vielzahl von ECUs (elektronische Steuereinheiten) genannten elektronischen Steuervorrichtungen sind an einem Fahrzeug angebracht und die ECUs sind miteinander über ein Netzwerk verbunden, welches eine drahtlose Kommunikation oder eine verdrahtete Kommunikation ermöglicht.
  • Manche der ECUs führen unter Verwendung von Drahtloskommunikationsmitteln davon, eine drahtlose Kommunikation mit beispielsweise einer Vorrichtung, welche an einer außerhalb des Fahrzeugs liegenden Straße, einem Haus oder einem anderen Fahrzeug vorgesehen ist, oder mit einem Server, welcher bei einem Fahrzeughersteller oder einem Zulieferer von an dem Fahrzeug angebrachten Teilen vorgesehen ist, wodurch erreicht wird, dass eine Information zwischen den Vorrichtungen geteilt wird.
  • Als ein Teil dieses Teilens von Information, kann eine Fehlerdiagnose an dem Fahrzeug durch ein Erfassen des Zustands einer jeden ECU von außerhalb des Fahrzeugs ausgeführt werden, und eine neue Software kann von außerhalb des Fahrzeugs an die ECU übertragen werden, sodass eine Aktualisierung (beispielsweise eine Aktualisierung einer Karte für eine Navigation oder etwas Ähnliches, was in der ECU umfasst ist) ausgeführt wird, um die Funktion der ECU zu ändern, wodurch nützliche Funktionen an einen Endanwender bereitgestellt werden können.
  • Allerdings wird es ebenso möglich, dass eine böswillige Person durch Missbrauchen des Informationsteilens mittels einer nicht autorisierten Information an das Fahrzeug überträgt, um ein unregelmäßiges Fahrzeugverhalten zu verursachen. Als eine Gegenmaßnahme entwirft ein Designer eines Fahrzeugs oder einer ECU eine Vorrichtung, sodass eine funktionale Voraussetzung oder einen nicht-funktionale Voraussetzung erfüllt wird, wie beispielsweise eine Sicherheit, sodass eine vorhersagbare nicht autorisierte Information behandelt werden kann.
  • Nachdem die ECU an dem Fahrzeug angebracht ist, kann eine solche nicht autorisierte Information durch eine Verbesserung in einer Berechnungskapazität, ein neues Angriffsverfahren oder etwas Ähnliches aktualisiert werden. Es ist ideal, dass, wenn die aktualisierte Information an das Fahrzeug übertragen wird, die ECU verhindert, dass eine unregelmäßige Operation ausgeführt wird. Allerdings umfasst die aktualisierte nicht autorisierte Information eine Information, welche zum Entwurfszeitpunkt nicht behandelt werden konnte, und somit beeinflusst eine solche Information einen Fahrzeugbetrieb negativ.
  • Zusätzlich muss ebenso zum Aktualisierungszeitpunkt der Funktionen von manchen in dem Fahrzeug umfassten ECUs eine nicht autorisierte Information geeignet behandelt werden, bevor und nachdem die ECUs an dem Fahrzeug angebracht sind.
  • JP 2015-214 169 A (Seiten 6 bis 8, 1) beschreibt eine Vorrichtung, welche geeignet ist, um einen Betrieb einer ECU zu überprüfen, dass an die ECU vorab erzeugte Daten übertragen werden, auf der Basis einer Designinformation über die ECU, und Daten, welche durch Ersetzen eines Teil der Gesamtheit dieser Daten durch beliebige Daten erhalten sind, wodurch der Betrieb der ECU während einer Nutzung genau überprüft werden kann.
  • JP 2013-103 611 A offenbart eine Sicherheitsüberprüfung einer Gatewaysteuereinheit über verschiedene Kommunikationswege.
  • US 2017 / 0 076 516 A1 beschreibt ein Prüfsystem, bei dem die Gatewaysteuereinheit die Diagnose überwacht.
  • US 2017 / 0 093 866 A1 beschreibt die Überwachung der Sicherheit einer Diagnose durch eine Gatewaysteuereinheit.
  • EP 3 018 635 A1 offenbart ein Kommunikationssystem in einem Fahrzeug mit einem Gateway, das Diagnosedaten zu Steuereinheiten übermittelt, ohne dass das Gateway selbst überprüft wird.
  • Allerdings treten die nachstehenden Probleme auf, falls die Technik von JP 2015-214 169 A angewendet wird.
  • Es wird lediglich eine „Entwurfsstufe“ für die Designinformation in JP 2015-214 169 A berücksichtigt und Patentdokument 1 beschreibt nicht das Behandeln von Designinformation, welche in einer Nutzungsstufe aktualisiert/hinzugefügt wird. Es wird angenommen, dass in der Nutzungsstufe, nachdem ein Endanwender das Fahrzeug erworben hat, die Designinformation aufgrund von verschiedenen Faktoren geändert wird. Falls, ohne dass diese Änderung berücksichtigt wird, solche Daten, welche eine eine Sicherheit betreffende Unregelmäßigkeit verursachen, auf der Basis der in der Designstufe erhaltenen Information erzeugt und übertragen wird, kann bestimmt werden, dass eine Unregelmäßigkeit aufgetreten ist, selbst obwohl keine Unregelmäßigkeit aufgetreten ist.
  • Zusätzlich ist die Prüfvorrichtung von JP 2015-214 169 A zum Überprüfen der ECU durch ein Gateway oder einen Server gedacht und ist nicht dazu ausgebildet eine Überprüfung des Gateways selbst zu ermöglichen. Somit kann es sein, dass es nicht möglich ist, geeignet festzustellen, ob das Gateway normal funktioniert.
  • Zusammenfassung der Erfindung
  • Die vorliegende Offenbarung wurde gemacht, um die obigen Probleme zu lösen, und eine Aufgabe der vorliegenden Offenbarung ist es ein Prüfsystem bereitzustellen, welches zum Überprüfen geeignet ist, ob eine an einem Fahrzeug angebrachte Steuervorrichtung auch während einer Nutzung normal arbeitet.
  • Ein Prüfsystem gemäß der vorliegenden Offenbarung ist ein Prüfsystem, welches umfasst: eine Vielzahl von Steuervorrichtungen, welche an einem Fahrzeug angebracht sind und zum Kommunizieren miteinander geeignet sind; und eine Prüfvorrichtung, ausgebildet zum Überprüfen von Funktionen der Vielzahl von Steuervorrichtungen über ein Netzwerk von außerhalb des Fahrzeugs. Die Prüfvorrichtung umfasst eine Prüfinformationserzeugungseinheit, welche zum Erzeugen einer Sicherheitsprüfinformation zur Verwendung bei einem Überprüfen einer Funktion einer ersten Steuervorrichtung auf der Basis einer Designinformation über die Vielzahl von Steuervorrichtungen und getrennt gesammelten Sicherheitsinformation ausgebildet ist, und an die erste Steuervorrichtung die durch die Prüfinformationserzeugungseinheit erzeugte Sicherheitsprüfinformation überträgt. Die erste Steuervorrichtung umfasst eine Gatewaysteuereinheit, welche ausgebildet ist zum Umwandeln, in erste Prüfdaten für eine zweite Steuervorrichtung, der von der Prüfvorrichtung übertragenen Sicherheitsprüfinformation, und an die zweite Steuervorrichtung die durch die Umwandlung durch die Gatewaysteuereinheit erhaltenen ersten Prüfdaten überträgt. Die Steuervorrichtung umfasst: eine Referenzdatenbank, welche eine Bestimmungsreferenz zum Bestimmen speichert, ob die von der ersten Steuervorrichtung übertragenen ersten Prüfdaten innerhalb eines normalen Bereichs fallen; und eine erste Bestimmungseinheit, welche ausgebildet ist zum Vergleichen der ersten Prüfdaten mit der Bestimmungsreferenz, um zu bestimmen, ob die ersten Prüfdaten normal oder unregelmäßig sind.
  • Das Prüfsystem gemäß der vorliegenden Offenbarung ist zum Überprüfen geeignet, ob die an dem Fahrzeug angebrachte Steuervorrichtung ebenso während einer Nutzung normal arbeitet oder nicht.
  • Kurzbeschreibung der Figuren
    • 1 ist ein Blockdiagramm, welches eine schematische Konfiguration eines Prüfsystems gemäß einer Ausführungsform 1 zeigt;
    • 2 ist ein Sequenzdiagramm, welches einen Fluss für das Prüfsystem gemäß Ausführungsform 1 zeigt;
    • 3 ist ein Blockdiagramm, welches eine schematische Konfiguration eines Prüfsystems gemäß Ausführungsform 2 zeigt;
    • 4 ist ein Sequenzdiagramm, welches einen Fluss für das Prüfsystem gemäß Ausführungsform 2 zeigt;
    • 5 ist ein Blockdiagramm, welches eine schematische Konfiguration eines Prüfsystems gemäß Ausführungsform 3 zeigt;
    • 6 ist ein Sequenzdiagramm, welches einen Austausch zwischen einem Anwender und einem Prüfsystem gemäß Ausführungsform 3 und einen Fluss für den Austausch zeigt; und
    • 7 ist ein Diagramm, welches eine Hardwarekonfiguration einer Steuervorrichtung und eines Servers des Prüfsystems gemäß irgendeiner von Ausführungsform 1 bis Ausführungsform 3 zeigt.
  • Detailbeschreibung der bevorzugten Ausführungsformen der Erfindung
  • Ausführungsform 1
  • 1 ist ein Blockdiagramm, welches eine schematische Konfiguration eines Prüfsystems gemäß Ausführungsform 1 zeigt.
  • In 1 ist ein Fahrzeug 101 mit Steuervorrichtungen versehen, das heißt eine ECU_GW 201, eine ECU_A 301 und eine ECU_B 401, und diese Steuervorrichtungen sind über eine verdrahtete Kommunikation 501 verbunden.
  • Ein Server 1001 ist außerhalb des Fahrzeugs 101 vorgesehen und das Fahrzeug 101 und der Server 1001 sind über eine drahtlose Kommunikation 502 und ein Kommunikationsnetzwerk 601 und über eine drahtlose Kommunikation 503 und das Kommunikationsnetzwerk 601 verbunden.
  • Der Server 1001 (Prüfvorrichtung) ist wie folgt ausgebildet.
  • Um die an dem Fahrzeug 101 angebrachten ECUs zu überprüfen, überträgt der Server 1001, über die drahtlose Kommunikation 502 an das Fahrzeug 101, eine Sicherheitsprüfinformation, welche aus einer Designinformation 1010 über die ECU zu einem bestimmten Zeitpunkt erzeugte Prüfdaten ist, und einer getrennt gesammelten Sicherheitsinformation 1011.
  • Eine Prüfinformationserzeugungseinheit 1012 erzeugt eine Sicherheitsprüfinformation aus der Sicherheitsinformation 1011 und der Designinformation 1010 über die ECU zu einem bestimmten Zeitpunkt. Eine Serverübertragung/Empfangseinheit 1013 überträgt/empfängt eine In/Aus-Fahrzeug-Kommunikationsinformation, welche die Sicherheitsprüfinformation umfasst, an das/von dem Fahrzeug über das Kommunikationsnetzwerk 601 und die drahtlose Kommunikation 502.
  • Eine Prüfsteuereinheit 1014 führt eine Steuerung zum Übertragen der Sicherheitsprüfinformation an das Fahrzeug über die Serverübertragung/Empfangseinheit 1013 aus.
  • Der Server 1001 weist ein Programm oder eine funktionale Spezifikation für jede ECU des Fahrzeugs 101 auf. Das Programm oder die funktionale Spezifikation umfassten, zusätzlich zu einer aktuell eingebundenen Version, eine neue Version, welche über eine Aktualisierung in der Zukunft erhalten wird.
  • Eine Aktualisierungssoftware-Erzeugungseinheit 1015 erzeugt Aktualisierungsprogramme bezüglich der ECU des Fahrzeugs 101 automatisch, oder ein Administrator des Servers 1001 veranlasst, dass Aktualisierungsprogramme gespeichert werden. Eine Aktualisierungssoftware-Übertragungssteuereinheit 1016 führt eine Steuerung zum Übertragen der Aktualisierungssoftware an das Fahrzeug über die Serverübertragung/Empfangseinheit 1013 aus.
  • In Ausführungsform 1 wird die Sicherheitsprüfinformation als eine Information zum Überprüfen der ECU_GW 201 beschrieben.
  • Hier wird die Designinformation 1010 und die Sicherheitsinformation 1011 genau beschrieben.
  • Die Designinformation 1010 ist eine Information, welche durch Sammeln beispielsweise von Annahmen erhalten wird, für welche es nicht möglich ist, dass diese bestimmt werden, und welche zum Entwurfszeitpunkt eines Prozesses und einer Vorrichtung berücksichtigt werden, bezüglich von Software und Hardware, welche eine physische/logische Netzwerkarchitektur und eine physische/logische Funktion zwischen jeder ECU und der zugehörigen an dem Fahrzeug 101 angebrachten ECU umsetzen. Die Designinformation 1010 wird in einer Datenbank gespeichert.
  • Die Sicherheitsinformation 1011 ist eine Information, welche durch Sammeln von beispielsweise bekannten Anfälligkeitsinformationen oder Vorfällen erhalten wird, welche nicht nur in der Automobilindustrie, sondern ebenso in verschiedenen Industrien gemeldet werden, oder einer Anfälligkeitsinformation über eine Vorrichtung, welche durch Ausführen eines Penetrationstests an dem Server oder den ECUs erhalten wird. Die Sicherheitsinformation 1011 wird in einer Datenbank gespeichert, welche sich von der die Designinformation 1010 speichernden Datenbank unterscheidet.
  • Die Sicherheitsinformation 1011 wird aktualisiert, sobald eine neue Bedrohung oder Anfälligkeitsinformation gefunden wird, nachdem das Fahrzeug 101 im Besitz eines Endanwenders ist.
  • Eine von dem Server 1001 ausgegebene Information ist die Sicherheitsprüfinformation, welche unter Berücksichtigung sowohl der Designinformation 1010 als auch der Sicherheitsinformation 1011 erhalten ist. Die Sicherheitsprüfinformation wird über die drahtlose Kommunikation 502 übertragen. Die Sicherheitsprüfinformation ist eine Information zum Überprüfen einer Funktion der ECU_GW 201, welche als ein Gateway dient, für eine Abtastinformation und eine Empfangsinformation davon, und etwas Ähnliches, zusätzlich zu einer Empfangsfunktion der ECU_GW 201 bezüglich der drahtlosen Kommunikation 502 davon.
  • Die ECU_GW 201 (erste Steuervorrichtung) ist wie folgt ausgebildet.
  • Die ECU_GW 201 ist ein Gateway in dem Fahrzeug und ist eine ECU, welche den Zustand eines Fahrers überwacht, eine Eingabe und eine Ausgabe für eine unterhaltungsbezogene Navigation oder eine mitgebrachte Vorrichtung wie beispielsweise ein Smartphone aufweist und eine Information über ein Kombinationsmessgerät anzeigt.
  • Eine ECU_GW Steuereinheit 202 (Gatewaysteuereinheit) weist eine Gatewayfunktion auf und überträgt Empfangsdaten oder verarbeitet diese Daten und übermittelt durch die Verarbeitung erhaltene Daten. Das heißt, die ECU_GW Steuereinheit 202 überträgt Daten, welche von dem Server 1001 oder irgendeiner der ECU in dem Fahrzeug empfangen sind, über die verdrahtete Kommunikation 501 oder die drahtlose Kommunikation 502 ohne Veränderung der empfangenen Daten, oder verändert die empfangenen Daten über eine Steuerung durch diese selbst und überträgt dann die resultierenden Daten an eine andere ECU oder eine Vorrichtung außerhalb des Fahrzeugs.
  • Die ECU_GW 201 wandelt die von dem Server 1001 empfangene Sicherheitsprüfinformation in Daten (erste Prüfdaten und zweite Prüfdaten) für die ECU_A 301 (zweite Steuervorrichtung) und die ECU_B 401 (dritte Steuervorrichtung) um und überträgt die Daten jeweils an die ECU_A 301 und die ECU_B 401.
  • Eine ECU_GW-außerhalb-des-Fahrzeug-Kommunikationseinheit 203 ist mit dem Kommunikationsnetzwerk 601 über die drahtlose Kommunikation 502 verbunden. Eine ECU_GW-Board-Fahrzeug-Kommunikationseinheit 204 ist mit der ECU_A 301 und der ECU_B 401 in dem Fahrzeug über die verdrahtete Kommunikation 501 verbunden.
  • Eine ECU _GW-Aktualisierungssteuereinheit 205 führt eine Steuerung zum Übertragen an jede zu aktualisierende Board-Fahrzeug-ECU von Aktualisierungssoftware für die ECU aus, welche von dem Server 1001 empfangen ist.
  • Die ECU_A 301 (zweite Steuervorrichtung) ist wie folgt ausgebildet.
  • Die ECU_A 301 kann eine ADAS (fortgeschrittenes Fahrerassistenzsystem) ECU zum Ausführen einer Fahrassistenz oder eine V2X (Fahrzeug zu X: X stellt eine außerhalb des Fahrzeugs positionierte und einem Fahrzeug, einem Haus, einer Transportinfrastruktur oder etwas Ähnlichem bereitgestellte Vorrichtung dar) ECU sein.
  • Die ECU_A 301 empfängt durch die verdrahtete Kommunikation 501 in dem Fahrzeug übertragene Daten.
  • In Ausführungsform 1, als ein am meisten bevorzugter Modus, weist die ECU_A 301 einen Kommunikationspfad für die drahtlose Kommunikation 503 auf, über welche deren eigene Daten nach außen des Fahrzeugs 101 übertragen werden.
  • Eine ECU _A-Steuereinheit 302 steuert dessen eigene Steuervorrichtung. Eine ECU _A-Board-Fahrzeug-Kommunikationseinheit 303 überträgt/empfängt Daten über die verdrahtete Kommunikation 501 in dem Fahrzeug. Eine ECU_A-außerhalb-des-Fahrzeug-Kommunikationseinheit 304 überträgt/empfängt Daten an/von außerhalb des Fahrzeugs 101 über den Kommunikationspfad für die drahtlose Kommunikation 503.
  • Eine ECU_A-normal-Kommunikationsinformation 305 ist eine normale Kommunikationsinformation, welche als eine Bestimmungsreferenz zum Bestimmen dient, ob die von der ECU_GW 201 übertragenen Daten innerhalb eines normalen Bereichs fallen oder nicht, und die ECU _A-normal-Kommunikationsinformation 305 wird in einer Datenbank (Referenzdatenbank) gespeichert.
  • Eine ECU_A-Prüfergebnis-Bestimmungseinheit 306 (erste Bestimmungseinheit) vergleicht mit der ECU _A-normal-Kommunikationsinformation 305 eine Information (erste Prüfdaten), welche durch Umwandeln der von der ECU_GW 201 übertragenen Sicherheitsprüfinformation erhalten ist, wodurch bestimmt wird, ob die durch die Umwandlung erhaltene Information innerhalb eines normalen Bereichs fällt oder nicht.
  • Die ECU_B 401 (drittes Steuervorrichtung) ist wie folgt ausgebildet.
  • Die ECU_B 401 ist eine ECU betreffend eine Karosserie, ein Fahrgestell oder etwas Ähnliches und überträgt keine Information über die drahtlose Kommunikation 503 nach außerhalb des Fahrzeugs, ohne dass eine andere Vorrichtung die Information weiterleitet.
  • Die ECU_B 401 ist mit der ECU_A 301 und der ECU_GW 201 über die verdrahtete Kommunikation 501 verbunden und kann mit den anderen ECU in dem Fahrzeug kommunizieren.
  • Eine ECU_B Steuereinheit 402, eine ECU_B-Board-Fahrzeug-Kommunikationseinheit 403, eine ECU_B-normal-Kommunikationsinformation 405 und eine ECU_B-Prüfergebnis-Bestimmungseinheit 406 (zweite Bestimmungseinheit) sind äquivalent zu der ECU_A-Steuereinheit 302, der ECU_-Board-Fahrzeug-Kommunikationseinheit 303, der ECU_A-normal-Kommunikationsinformation 305 und der ECU_A-Prüfergebnis-Bestimmungseinheit 306 jeweils der ECU_A 301.
  • Die ECU_B-normal-Kommunikationsinformation 405 ist eine Bestimmungsreferenz zum Bestimmen, ob eine Information (zweite Prüfdaten), welche durch Umwandeln der von der ECU_GW 201 übertragenen Sicherheitsprüfinformation erhalten ist, innerhalb eines normalen Bereichs fällt oder nicht, und die ECU_B-normal-Kommunikationsinformation 405 wird in einer Datenbank (getrennte Referenzdatenbank) gespeichert.
  • Die Bestimmungsreferenz der ECU_B 401 unterscheidet sich von der der ECU_A 301 und ermöglicht eine Bestimmung, ob die von der ECU_GW 201 übertragenen Daten innerhalb des normalen Bereichs fallen oder nicht.
  • Kandidaten für die Bestimmungsreferenzen der ECU_A 301 und der ECU_B 401 sind Empfangsintervalle oder mögliche Werte von Daten, welche auf der Basis des Ergebnisses einer ausfallsicheren Funktion oder einer Sicherheitsmaßnahmenfunktion der ECU_GW 201 ausgegeben werden.
  • Zusätzlich zu einem Bereich, innerhalb welchem ein normaler Steuerzustand erhalten wird, ist ein Bereich definiert, innerhalb welchem eine ausfallsichere oder eine Sicherheitsmaßnahme betrieben wird, und eine Bestimmung wird ausgeführt, ob die Empfangsintervalle oder die möglichen Werte nicht von den Bereichen abweichen.
  • Falls das Ergebnis der Bestimmung weder eine Normalität noch eine Unregelmäßigkeit ist, kann bestimmt werden, dass eine unerwartete Operation aufgetreten ist, aufgrund der Sicherheitsinformation.
  • Ein vorbestimmter Zusammenhang (vorbestimmte Beziehung) ist zwischen den Bestimmungsreferenzen in den Bereichen für die Empfangsintervalle und die möglichen Werte der ECU_A 301 und der ECU_B 401 erfüllt.
  • Hierbei wird das Hauptaugenmerk auf eine Beziehung gerichtet und beschrieben werden, welche zwischen den Bestimmungsreferenzen der Empfangsintervalle erfüllt ist, falls die ECU_A 301 als die ADASECU fungiert, welche eine Fahrspurhaltefunktion aufweist, und die ECU_B 401 als eine elektrische Servolenkung ECU fungiert, welche einen Lenkbetrag auf der Basis von von der ECU_A 301 empfangenen Daten bestimmt.
  • Die ECU_GW 201 empfängt über eine außerhalb-des-Fahrzeug-Kommunikation durch einen GPS (globales Positionierungssystem) oder etwas Ähnlichem ein Signal zum Bestimmen einer absoluten Position des Fahrzeugs 101 und überträgt Daten an die ADASECU und die Elektroservolenkung-ECU auf der Basis der empfangenen Daten.
  • Datenempfangsintervalle in der ADASECU und der Elektroservolenkung-ECU sind in diesem Fall im Allgemeinen länger als eine Empfangsintervall, bei welchem Werte, welche durch einen Sensor, welcher an dem Fahrzeug 101 angebracht ist und welcher den Zustand eines Fahrers detektiert, detektiert werden, von der ECU_GW 201 empfangen werden.
  • Somit ist in diesem Fall eine Beziehung erfüllt, bei welcher beide Datenempfangsintervalle in der ECU_A 301 und der ECU_B 401 länger als eine vorbestimmte Zeitperiode sind. Falls die Intervalle, bei welchen die ECU_GW 201 eine Übertragung an die ECU_A 301 und die ECU_B 401 ausführt, eines der Intervalle kürzer als die vorbestimmte Zeitperiode ist und das andere Intervall länger als die vorbestimmte Zeitperiode ist, wird diese Beziehung nicht erfüllt und es kann gefunden werden, dass die ECU_GW 201 unter einer bestimmten Unregelmäßigkeit leidet.
  • Als Nächstes werden Operationen beschrieben.
  • Operationen des Prüfsystems gemäß Ausführungsform 1 werden mit Bezug zu einem Sequenzdiagramm in 2 beschrieben.
  • Im Schritt ST1001 erzeugt der Server 1001 die Sicherheitsprüfinformation zum Überprüfen der ECU_GW 201.
  • Im Schritt ST1002 wird die durch den Server 1001 erzeugte Sicherheitsprüfinformation an die ECU_GW 201 übertragen.
  • Im Schritt ST1003 empfängt die ECU_GW 201 die Sicherheitsprüfinformation.
  • Im Schritt ST1004 überträgt die ECU_GW 201 die empfangene Sicherheitsprüfinformation an den Server 1001. Zu diesem Zeitpunkt führt die ECU_GW 201 an der Sicherheitsprüfinformation eine Verschlüsselung unter Verwendung einer gemeinsamen Schlüsselkryptographie oder einer öffentlichen Schlüsselkryptographie oder einen Umwandlungsprozess (vorbestimmter Prozess) wie beispielsweise eine einseitige Umwandlung unter Verwendung einer Hash-Funktion aus.
  • Im Schritt ST1005 bestimmt der Server 1001, ob die von der ECU_GW 201 übertragene Information sich nicht von der von dem Server 1001 übertragenen Information unterscheidet.
  • Falls bestimmt wird, dass kein Unterschied dazwischen vorhanden ist, wird die Überprüfung der ECU_GW 201 fortgesetzt und der Prozess fährt mit dem Schritt ST1006 fort.
  • Falls bestimmt wird, dass ein Unterschied dazwischen vorhanden ist, kann angenommen werden, dass eine Unregelmäßigkeit in der drahtlosen Kommunikation 502 oder einem Empfangsprozess oder einem Übertragungsprozess durch die ECU_GW 201 aufgetreten ist, und somit wird die Überprüfung angehalten.
  • In dem Schritt ST1006 wandelt die ECU_GW 201 die Sicherheitsprüfinformation in Prüfdaten für jede ECU auf der Basis der Funktion der ECU_GW 201 um.
  • Im Schritt ST1007 und dem Schritt ST1008 werden durch Umwandeln der Sicherheitsprüfinformation erhaltene Prüfdaten an die ECU_A 301 und die ECU_B 401 übertragen.
  • (Muster 2-1: falls eine Bestimmung an den Prüfdaten jeweils in der ECU_A 301 und der ECU_B 401 ausgeführt wird)
  • In dem Schritt ST1009 empfangen die ECU_A 301 und die ECU_B 401 die Prüfdaten.
  • Im Schritt ST1010 und dem Schritt ST1011 vergleicht die ECU_A 301 und die ECU_B 401 jeweils die empfangenen Prüfdaten und Bestimmungsreferenz miteinander, wodurch bestimmt wird, ob die empfangenen Prüfdaten den Unterschied erfüllen oder nicht. (Beschreibung von Muster 2-1 endet hier)
  • (Muster 2-2: falls eine Bestimmung bezüglich der Beziehung in Sachen von Prüfdaten zwischen der ECU_A 301 und der ECU_B 401 ausgeführt wird)
  • Alternativ hat die ECU_A 301 als eine Bestimmungsreferenz (Beziehungsbestimmungsreferenz) die Beziehung zwischen den Prüfdaten, welche durch diese selbst empfangen sind, und Prüfdaten, welche durch die ECU_B 401 zu diesem Zeitpunkt empfangen werden sollte. In diesem Fall, empfängt im Schritt ST1012 die ECU_A 301 und die ECU_B 401 die Prüfdaten und führt die ECU_B 401 einen Prozess aus, welcher dem im Schritt ST1006 entspricht,
    überträgt im Schritt ST1013 die ECU_B 401 an die ECU_A 301 Prüfdaten, welche durch die empfangenen Prüfdaten erhalten sind, welche für die ECU_A 301 umgewandelt sind, und
    überprüft im Schritt ST1014 und dem Schritt ST 1015 die ECU_A 301, ob die Beziehung, welche als die Bestimmungsreferenz dient, zwischen den zwei Teilen von Prüfdaten erfüllt ist, das heißt die eigenen Prüfdaten und die von der ECU_B 401 empfangenen Prüfdaten. (Die Beschreibung von Muster 2-2 endet hier)
  • Als Nächstes wird eine Bestimmungsergebnisübertragung von der ECU_A 301 einen Server 1001 beschrieben. Die ECU_A 301 kann mit dem Server 1001 über die drahtlose Kommunikation 503 kommunizieren, welche sich von der drahtlosen Kommunikation 502 der ECU_GW 201 unterscheidet. Die Sequenzen dieser Konfiguration wird nachstehend beschrieben werden.
  • Im Schritt ST1016, falls die Korrelation oder die andere Bestimmungsreferenz in der Bestimmung im Schritt ST1011 oder dem Schritt ST1015 nicht erfüllt ist, wird das Bestimmungsergebnis erzeugt.
  • Im Schritt ST1017 wird das Bestimmungsergebnis an den Server 1001 übertragen.
  • Im Schritt ST1018 empfängt der Server 1001 das Ergebnis der Bestimmung.
  • Im Schritt ST1019 werden ein Programm (Aktualisierungssoftware) und eine funktionale Spezifikation, welche korrigiert ist, um die Bestimmungsreferenz zu erfüllen, auf der Basis des empfangenen Bestimmungsergebnisses erzeugt.
  • Im Schritt ST1020 wird das korrigierte Programm, das heißt die Aktualisierungssoftware, an die ECU_GW 201 übertragen.
  • Im Schritt ST1021 führt die ECU_GW 201 eine Aktualisierung aus, zum Anwenden des korrigierten Programms.
  • Gemäß Ausführungsform 1, als Funktionen der ECU_GW 201, ist es möglich zu überprüfen, ob eine zwischen dem Server 1001 und der ECU_GW 201 ausgetauschte Information nicht defekt ist, und es ist möglich genau zu überprüfen, ob die Funktion zum Übertragen/Empfangen durch die ECU_GW 201 über die drahtlose Kommunikation 502 und die Funktion zum Übertragen von Daten an die ECU_A 301 und die ECU_B 401 durch die ECU_GW 201 normal oder unregelmäßig betrieben werden.
  • Das heißt, durch Überprüfen des Betriebs der ECU_GW 201 auf der Basis der in dem Fahrzeug vorgesehenen variablen Bestimmungsreferenz, ist es möglich auch währen einer Nutzung genau zu überprüfen, ob die an dem Fahrzeug angebrachte ECU normal arbeitet.
  • Zusätzlich, falls Daten angemessen an die ECU_A 301 übertragen werden, allerdings Daten nicht angemessen an die ECU_B 401 übertragen werden, selbst wenn die Daten zufällig innerhalb von zulässigen Bereichen für die Bestimmungsreferenzen der ECU_A 301 und der ECU_B 401 fallen, kann eine robuste Bestimmung bezüglich einer Unregelmäßigkeit unter Berücksichtigung der Korrelation zwischen den Daten der beiden ECUs ausgeführt werden.
  • Zusätzlich ist es möglich die Software sofort zu korrigieren, falls unregelmäßige Daten unter Verwendung der Sicherheitsprüfinformation gefunden werden.
  • In der obigen Beschreibung von Ausführungsform 1 wurde das Beispiel beschrieben, bei welchem die ECU_GW 201 eine zu überprüfende ECU ist, allerdings gilt das gleiche, falls eine separate ECU eine zu überprüfende ECU ist.
  • Das heißt, die vorliegende Offenbarung kann umgesetzt werden, solange die separate ECU eine an dem Fahrzeug 101 angebrachte ECU ist und eine Funktion zum Ausführen einer Übertragung an die anderen ECU auf der Basis von empfangenen Daten aufweist.
  • Zusätzlich wird in der obigen Beschreibung eine Konfiguration verwendet, bei welcher die Sicherheitsprüfinformation von dem Server 1001 über die drahtlose Kommunikation 502 übertragen wird, allerdings ist die vorliegende Offenbarung nicht darauf beschränkt. Solange eine Konfiguration, bei welcher die Sicherheitsprüfinformation übertragen wird, verwendet wird, kann die Übertragung von einer Vorrichtung mit Ausnahme des Servers 1001 ausgeführt werden und kann eine verdrahtete Kommunikation anstelle der drahtlosen Kommunikation verwendet werden.
  • Als ein Beispiel der verdrahteten Kommunikation kann die mit einem durch einen Händler oder etwas Ähnliches verwendeten Prüfwerkzeug erzeugte Sicherheitsprüfinformation in einem Zustand übertragen werden, bei welchem das Prüfwerkzeug mit einem DLC (Datenlink-Verbindungselement) verbunden ist.
  • Zusätzlich ist in der obigen Beschreibung die Konfiguration des Prüfsystems, wie in 1 gezeigt. Allerdings sind die Anzahl der ECU und das Verfahren für eine Kommunikationsleitungsverbindung zwischen den ECUs nicht auf die darin gezeigten beschränkt, und die vorliegende Offenbarung kann umgesetzt werden, solange eine Konfiguration verwendet wird, bei welcher eine ECU, welche die Sicherheitsprüfinformation empfangen hat, Daten basierend auf der Sicherheitsprüfinformation an die anderen ECUs überträgt.
  • Ausführungsform 2
  • 3 ist ein Blockdiagramm, welches eine schematische Konfiguration eines Prüfsystems gemäß Ausführungsform 2 zeigt.
  • In 3 sind die Bezugszeichen 101, 201 bis 205, 301 bis 306, 401 bis 403, 405, 406, 501 bis 503, 601, 1001 und 1010 bis 1016 dieselben wie die in 1. In 3 umfasst die ECU_GW 201 eine Fahrzeugfunktionsmanagementeinheit 210 und eine ECU_GW-Optimierungseinheit 211. Der Server 1001 umfasst eine Optimierungsinformation 1021 und eine Serveroptimierungseinheit 1022.
  • Die Fahrzeugfunktionsmanagementeinheit 210 der ECU_GW 201 verwaltet eine die ECU_GW-Steuereinheit 202 bildende Funktion zu einem vorbestimmten Zeitpunkt und die Steuereinheiten der ECU_A 301 und der ECU_B 401 bildenden Funktionen. Das heißt, die Fahrzeugfunktionsmanagementeinheit 210 umfasst eine Liste und Details von Funktionen zum Ausführen einer Steuerung durch die ECU_GW Steuereinheit 202 zu einer Zeit tn, die ECU_A-Steuereinheit 302 und die ECU_B Steuereinheit 402.
  • Die ECU_GW-Optimierungseinheit 211 (Funktionsänderungseinheit) führt ein Lernen von der Designinformation 1010 auf der Basis der durch die ECU_GW 201 detektierten Abtastinformation und einer über eine Kommunikation erhaltene Kommunikationsinformation (an die eigene Steuervorrichtung eingegebene Information) aus und ändert die Funktion der ECU_GW 201, das heißt ändert eine Verarbeitungszeitperiode, einen Verarbeitungszyklus oder ein Verarbeitungsdetail, welche die ECU_GW Steuereinheit 202 bilden.
  • Die Optimierungsinformation 1021 des Servers 1001 ist ein Teil oder die Gesamtheit der durch die ECU_GW 201 detektierten Abtastinformation und der in die ECU_GW 201 eingegebenen Kommunikationsinformation, wobei jede Information von der ECU_GW 201 übertragen ist. Die Optimierungsinformation 1021 wird in einer Datenbank als eine Information zum Lernen basierend auf der Designinformation 1010 gespeichert.
  • Die Serveroptimierungseinheit 1022 führt ein Lernen auf der Basis der von der ECU_GW 201 übertragenen Optimierungsinformation 1021 aus und ändert die Funktion des Servers 1001.
  • Als Nächstes werden Operationen beschrieben.
  • Die Fahrzeugfunktionsmanagementeinheit 210 der ECU_GW 201 weist eine Liste und Details von Funktionen zum Ausführen einer Gatewaysteuerung und einer Steuerung der eigenen Steuervorrichtung zu dem Zeitpunkt tn auf. Die Fahrzeugfunktionsmanagementeinheit 210 weist ebenso eine Liste und Details derselben Funktionen zu einem Zeitpunkt tn+1 nach der Zeit tn.
  • Die Fahrzeugfunktionsmanagementeinheit 210 überprüft unregelmäßig oder regelmäßig, ob einen Verarbeitungszyklus, eine Verarbeitungszeit Periode oder ein ausdrücklich aufgeschriebenes Verarbeitungsdetail der Funktion der ECU_GW 201 sich innerhalb einer Periode von der Zeit tn zu der Zeit tn+1 geändert hat oder nicht. Falls eine Änderung durchgeführt wurde, wird ein Funktionsänderungsdetail an die ECU_A 301 oder die ECU_B 401 gemeldet.
  • Die ECU_A 301 oder die ECU_B 401 weist eine Funktion zum Aktualisieren der Bestimmungsreferenz entsprechend dem gemeldeten Funktionsänderungsdetail auf. Als Nächstes wird das Prüfsystem gemäß Ausführungsform 2 mit Bezug zu einem Sequenzdiagramm in 4 beschrieben.
  • Im Schritt ST2001 wird detektiert, dass die Funktion der ECU_GW Steuereinheit 202 der ECU_GW 201 aktualisiert wurde.
  • (Muster 4-1: falls die Funktionsänderung an die ECU_A 301 und die ECU_B 401 gemeldet ist)
  • Im Schritt ST2002 wird überprüft, ob die innerhalb einer Periode von dem Zeitpunkt tn zu dem Zeitpunkt tn+1 aktualisierte Funktion gleich oder größer als ein vorbestimmter Wert ist, und falls keine Änderung durchgeführt wurde, wird der Prozess beendet.
  • Andererseits, falls eine Änderung durchgeführt wurde, fährt der Prozess mit dem Schritt ST2003 fort.
  • Im Schritt ST2003 werden Funktionsänderungsdetailmeldedaten (Funktionsänderungsdetail) zum Melden der Funktionsänderung und des Änderungsdetails an die anderen ECUs erzeugt.
  • Im Schritt ST2004 und im Schritt ST2005 werden die Funktionsänderungsdetailmeldedaten an jede in dem Fahrzeug 101 angebrachte ECU übertragen.
  • Im Schritt ST2006 wird die Bestimmungsreferenz (Normal-Kommunikationsinformation) einer jeden ECU auf der Basis der Funktionsänderungsdetailmeldedaten aktualisiert. (Die Beschreibung von Muster 4-1 endet hier)
  • (Muster 4-2: falls die ECU_GW 201 die Funktionsänderung ebenso an den Server 1001 meldet)
  • Falls die Funktionsmanagementeinheit 210 eine Änderung in der Funktion der ECU_GW Steuereinheit 202 detektiert, meldet die ECU_GW 201 die Funktionsänderung ebenso an den Server 1001. Operationen in diesem Fall werden nachstehend beschrieben.
  • Ein Prozess im Schritt ST2007 ist identisch zu dem im Schritt ST2002 und somit wird eine Beschreibung davon ausgelassen.
  • Im Schritt ST2008 werden die Funktionsänderungsdetailmeldedaten zum Melden erzeugt, dass die Funktionsänderung durchgeführt wurde.
  • Im Schritt ST2009 werden die erzeugten Funktionsänderungsdetailmeldedaten an den Server 1001 übertragen.
  • Im Schritt ST2010 empfängt der Server 1001 die Funktionsänderungsdetailmeldedaten, detektiert, dass die funktionale Konfiguration der in dem Fahrzeug 101 umfassten ECU geändert wurde, und erzeugt die Sicherheitsprüfinformation.
  • Im Schritt ST2011 wird die erzeugte Sicherheitsprüfinformation erneut an die ECU_GW 201 übertragen. (Die Beschreibung von Muster 4-2 endet hier)
  • Nachfolgende Operationen sind identisch zu den Operationen in und nach dem Schritt ST1003 in 2.
  • Außer einem Verfahren, bei welchem eine neue Software von außerhalb eingegeben wird, führt die ECU_GW 201 in Ausführungsform 2, als die Ursache der Funktionsänderung, ein Lernen von der Designinformation 1010 auf der Basis der Kommunikationsinformation und der durch die ECU_GW 201 detektierten Abtastinformation aus, wodurch die Funktionsänderung ausgeführt wird.
  • Ebenso umfasst der Server 1001 die Serveroptimierungseinheit 1022, welche zum Lernen geeignet ist, wie in dem an der ECU_GW 201 angebrachten Lernalgorithmus.
  • Als Nächstes werden Operationen der Serveroptimierungseinheit 1022 in den Operationserläuterungen in und nach dem Schritt ST2012 beschrieben.
  • Im Schritt ST2012 sammelt und akkumuliert die ECU_GW 201 Lernkommunikationsinformationen, welche zum Lernen verwendete Daten sind. Im Schritt ST2013 überträgt die ECU_GW 201 die Lernkommunikationsinformation an den Server 1001 zu einem Zeitpunkt, wenn die Lernkommunikationsinformation gesammelt wird.
  • Im Schritt ST2014 empfängt der Server 1001 die Daten und fügt die Daten zu einer Lerndatenbank hinzu, welche als die Optimierungsinformation 1021 gehalten wird.
  • Im Schritt ST2015 wird eine Funktion, welche durch Lernen von der zum Zeitpunkt tn erhaltenen Designinformation 1010 (Unterschied in der Designinformation) geändert ist, durch die Serveroptimierungseinheit 1022 analysiert.
  • Im Schritt ST2016 wird die Sicherheitsprüfinformation aktualisiert, damit diese eine Sicherheitsprüfinformation wird, welche zusätzlich zu der Designinformation 1010 und der Sicherheitsinformation 1011 und der Konzentration lediglich auf einen durch das Lernen geänderten Abschnitt erzeugt wird.
  • Im Schritt ST2017 wird die aktualisierte Sicherheitsprüfinformation an die ECU_GW 201 übertragen. Nachfolgende Operationen sind identisch zu den Operationen in und nach dem Schritt ST1003 in 2.
  • Als Nächstes wird ein Beispiel des Lernens in Ausführungsform 2 beschrieben.
  • Die für das Lernen verwendeten Daten sind Abtastdaten, welche einen detektierten Zustand des Fahrers angeben, und Daten der ECU zum Fahrzeitpunkt, und das Lernen wird derart ausgeführt, dass eine Fahrunterstützung, welche dem Fahrer kein Unbehagen bereitet, in Reaktion auf Anweisungen ausgeführt wird, welche an die ECU_A 301 und die ECU_B 401 übertragen sind, entsprechend dem Zustand des Fahrers.
  • Ein Grad der Zufriedenheit des Fahrers wird an die ECU_GW 201 eingegeben, und während der Grad als Lehrerdaten verwendet wird, wird das Lernen fortgesetzt, sodass ein Bewertungswert ein optimaler Werte wird, wodurch der an die ECU_A 301 und die ECU_B 401 zu übertragende Verarbeitungszyklus, die Verarbeitungszeitperiode und das Verarbeitungsdetail geändert werden.
  • Gemäß Ausführungsform 2 kann ebenso, falls die Funktion einer jeden ECU aktualisiert wurde, die Sicherheitsprüfinformation mit der Bestimmungsreferenz unter Verwendung der letzten Information der ECU basierend auf der aktualisierten Funktion bewertet werden.
  • Zusätzlich ist es möglich unmittelbar zu überprüfen, ob die aktualisierte Funktion in der Sicherheitsprüfinformation geeignet wiedergespiegelt wird.
  • Zusätzlich sagt vorher und beschränkt die Serveroptimierungseinheit 1022 die Funktionsänderung, dahingehend welche Überprüfung auszuführen ist, wodurch es möglich ist, dass die unter Verwendung der Sicherheitsprüfinformation ausgeführte Überprüfung in einer kurzen Zeitperiode beendet wird.
  • Obwohl das Lernen als ein überwachtes Lernen in Ausführungsform 2 beschrieben ist, ist die vorliegende Offenbarung nicht darauf beschränkt. Ein beliebiges Lernverfahren kann verwendet werden, solange die Bedingung erfüllt ist, dass eine Änderung an der Funktion durch Lernen ausgeführt wird.
  • Zusätzlich, obwohl die Abtastinformation über den Fahrer als zu lernende Daten durch die ECU_GW 201 in Ausführungsform 2 verwendet wird, sind die zu lernenden Daten nicht darauf beschränkt. Beliebige Lerndaten können verwendet werden, solange die Bedingung erfüllt wird, dass die ECU_GW 201 ein Lernen ausführt und an die über die verdrahtete Kommunikation 501 verbunden ECU auszugebende Daten auf der Basis des Lernens geändert werden.
  • Ausführungsform 3
  • 5 ist ein Blockdiagramm, welches eine schematische Konfiguration eines Prüfsystems gemäß Ausführungsform 3 zeigt.
  • In 5 sind die Bezugszeichen 101, 201 bis 205, 210, 211, 301 bis 306, 401 bis 403, 405, 406, 501 bis 503, 601, 1001, 1010 bis 1016, 1021 und 1022 identisch zu denen in 1. In 5 umfasst der Server 1001 eine Fahrzeugzustand-Verlaufsinformation 1031, eine Fahrzeugzustandsvorhersageeinheit 1032, eine Prüfplaneinheit 1033 und eine Operationszulassungssteuereinheit 1034.
  • Die Fahrzeugzustandsverlaufsinformation 1031 ist ein Verlauf eines Zustands des Fahrzeugs 101 und etwas Ähnliches, welcher von der Fahrzeugseite 101 übertragen wird, und ein Verlauf eines Zeitplans und etwas Ähnliches eines Anwenders. Die Verläufe werden in einer Datenbank gesammelt (Verlaufsdatenbank) .
  • Die Fahrzeugzustandsvorhersageeinheit 1032 weist einen Vorhersagealgorithmus zum Vorhersagen eines Zustands auf, welche durch das Fahrzeug 101 anzunehmen ist, nach dem Verstreichen einer vorbestimmten Zeitperiode, auf der Basis von Daten der Fahrzeugzustandsverlaufsinformation 1031.
  • Die Prüfplaneinheit 1033 führt auf der Basis der Vorhersage durch die Fahrzeugzustandsvorhersageeinheit 1032 einen Plan dahingehend aus, zu welcher Zeit die Sicherheitsprüfinformation an das Fahrzeug zu übertragen ist, und weist eine Funktion (Prüfvorlaufbenachrichtigungseinheit) zum Präsentieren des Plans einem Anwender (Fahrer oder Besitzer) auf.
  • Falls weder der Fahrer noch der Besitzer eine unter Verwendung der Sicherheitsprüfinformation auszuführende Überprüfung zulassen, oder falls kein Prüfplan auf der Basis der Fahrzeugzustandsverlaufsinformation 1031 erstellt wird, weist die Operationszulassungssteuereinheit 1034 die ECU dazu an manche oder alle Prozesse der ECU anzuhalten.
  • Als Nächstes werden Operationen beschrieben.
  • In Ausführungsform 3 detektiert ECU_GW 201 des Fahrzeugs 101 Daten eines vorhergehenden Zustands des Fahrzeugs 101, die Position davon und eine Zeit in diesem Zustand und etwas Ähnliches und überträgt die Daten an den Server 1001.
  • Der Server 1001 sammelt in der Datenbank den Verlauf des Zustands des Fahrzeugs 101 und etwas Ähnliches, welcher von der Seite des Fahrzeugs 101 übertragen ist, und den Verlauf des Zeitplans und etwas Ähnliches des Anwenders, als die Fahrzeugzustandsverlaufsinformation 1031. Auf der Basis der gesammelten Daten der Fahrzeugzustandsverlaufsinformation 1031 sagt die Fahrzeugzustandsvorhersageeinheit 1032 einen zukünftigen Zustand des Fahrzeugs 101 voraus.
  • Dann erstellt die Prüfplaneinheit 1033 auf der Basis des vorhergesagten zukünftigen Zustands des Fahrzeugs 101 einen Prüfplan, nach welchem die Sicherheitsprüfinformation übertragen werden kann, und präsentiert den Prüfplan dem Anwender.
  • Wenn, selbst obwohl eine Überprüfung auszuführen ist, der Anwender die Überprüfung nicht zulässt oder kein Prüfplan auf der Basis der Fahrzeugzustandsverlaufsinformation 1031 erstellt werden kann, erzeugt die Operationszulassungssteuereinheit 1034 eine Anweisung zum Beschränken des Betriebs des Fahrzeugs 101.
  • Als Nächstes werden Operationen des Prüfsystems gemäß Ausführungsform 3 mit Bezug zu einem Sequenzdiagramm in 6 beschrieben.
  • Im Schritt ST3001 erzeugt die ECU_GW 201 eine Fahrzeugzustandsinformation, in welcher eine Zeit und ein Zustand und die Position des Fahrzeugs 101 miteinander verknüpft werden.
  • Im Schritt ST3002 überträgt die ECU_GW 201 die erzeugte Fahrzeugzustandsinformation an den Server 1001.
  • Im Schritt ST3003 wird zusätzlich zu der empfangenen Information über den Zustand und die Position des Fahrzeugs 101 und die Zeit in diesem Zustand eine Information über das Datum und die Zeit und ein Zeitplan von einer durch den Anwender registrierten Zeitplantabelle verknüpft und wird in der Datenbank als die Fahrzeugzustandsverlaufsinformation 1031 gespeichert.
  • Im Schritt ST3004 überprüft auf der Basis der vorherigen in der Datenbank gespeicherten Fahrzeugzustandsverlaufsinformation 1031 die Fahrzeugzustandsvorhersageeinheit 1032 die Wahrscheinlichkeit/Machbarkeit der Zeitplantabelle des Anwenders und bestimmt ein Datum und eine Zeit, bei welcher vorhergesagt wird, dass eine Überprüfung ausgeführt werden kann.
  • Dann erstellt die Prüfplaneinheit 1033 auf der Basis der Sicherheitsinformation 1011 einen Plan, um eine bevorzugte Prüfung einer ECU zu ermöglichen, welche Gefahr läuft, dass die Verwundbarkeit mit einer hohen Wahrscheinlichkeit durch eine Bedrohung ausgenutzt wird, und dass ein Einfluss, wenn die Verwundbarkeit ausgenutzt wird, hoch ist, und die Prüfinformationserzeugungseinheit 1012 erzeugt die Sicherheitsprüfinformation.
  • Die Prüfplaneinheit 1033 erstellt einen Prüfplan, sodass die Sicherheitsprüfinformation für alle ECUs erzeugt wird, falls es keinen signifikanten Unterschied bei einer solchen Gefahr zwischen den ECUs gibt.
  • Im Schritt ST3005 wird an den Anwender gemeldet, dass eine Überprüfung an dem Datum und zu der Zeit auszuführen ist, wenn eine Überprüfung ausgeführt werden kann.
  • In dem Schritt ST3006 bestimmt der Anwender, ob es ein Problem mit dem präsentierten Prüfdatum und der Zeit gibt. Falls es kein Problem mit dem Prüfdatum und der Zeit gibt, wird eine Überprüfung bei dem Prüfdatum und der Zeit ausgeführt. Allerdings, falls der Anwender sich zum Ändern des Prüfdatums und der Zeit entschließt oder die Überprüfung aufhebt, fährt der Prozess mit dem Schritt ST3007 fort und es wird einem Server 1001 gemeldet, dass das Prüfdatum und die Zeit abgelehnt wurden.
  • Im Schritt ST3008 unter Berücksichtigung einer Gefahr, welche droht, wenn die Überprüfung nicht ausgeführt wird, erzeugt die Operationszulassungssteuereinheit 1034 einen Bericht, welcher angibt, dass nur ein Abschnitt, welcher als nicht beeinflusst vorhergesagt ist, oder als weniger wahrscheinlich beeinflusst vorhergesagt ist, durch die Sicherheitsinformation 1011, zugelassen ist, um betrieben zu werden.
  • Im Schritt ST3009 wird der Bericht von der Operationszulassungssteuereinheit 1034 an die ECU_GW 201 übertragen.
  • Im Schritt ST3010 erzeugt die ECU_GW 201 eine Steuerungstopanweisung für eine ECU, für welche es wahrscheinlich ist, dass diese beeinflusst wird, aus den mit der verdrahteten Kommunikation 501 der ECU_GW 201 verbundenen ECU oder für einen Teil der Funktionen der ECU (hier ein Teil der Funktion der ECU_B 401).
  • Im Schritt ST3011 überträgt die ECU_GW 201 die Steuerungstoppanweisung an die abgezielte ECU_B 401.
  • Im Schritt ST3012 hält die ECU_B 401 einen Teil des Steuerbetriebs an, bis die nächste Überprüfung ausgeführt wird.
  • Gemäß Ausführungsform 3 wird mit der vorstehenden Konfiguration, da ein Plan erstellt wird mit dem Prüfzeitpunkt auf der Basis der Gewohnheit des Anwenders oder der Zeitplantabelle des Anwenders, eine Nutzung des Fahrzeugs 101 durch den Anwender nicht beschränkt.
  • Zusätzlich, falls keine Überprüfung ausgeführt wurde, wenn das Fahrzeug 101 bewegt werden muss, können die ECUs außer der zu überprüfenden ECU betrieben werden, und, falls eine ECU, welche ein Laufen, Abbiegen oder Anhalten nicht betrifft, zu überprüfen ist, kann ein Fahren ebenso ausgeführt werden.
  • Jeder der Steuervorrichtungen 10, welche die in Ausführungsform 1 bis Ausführungsform 3 beschriebenen ECUs sind, ist aus zumindest einem Prozessor 11 und einer Speichereinheit 12 gebildet, und ein Beispiel einer Hardware davon ist in 7 gezeigt.
  • Obwohl dies nicht gezeigt ist, umfasst die Speichereinheit 12 eine flüchtige Speichereinheit wie beispielsweise einen Arbeitsspeicher und eine nicht flüchtige Hilfsspeichereinheit wie beispielsweise einen Flashspeicher. Alternativ kann eine Festplatte anstelle des Flashspeichers als die Hilfsspeichereinheit verwendet werden.
  • Der Prozessor 11 führt ein von der Speichereinheit 12 eingegebenes Programm aus. In diesem Fall wird das Programm von der Hilfsspeichereinheit über die flüchtige Speichereinheit an den Prozessor 11 eingegeben. Zusätzlich kann der Prozessor 11 Daten wie beispielsweise ein Berechnungsergebnis an die flüchtige Speichereinheit der Speichereinheit 12 ausgeben oder kann Daten in der Hilfsspeichereinheit über die flüchtige Speichereinheit speichern.
  • Der Server 1001 weist dieselbe Hardwarekonfiguration wie die der Steuervorrichtung 10 auf.
  • Obwohl die vorliegende Offenbarung oben mit Bezug zu verschiedenen beispielhaften Ausführungen und Umsetzungen beschrieben ist, versteht es sich, dass verschiedene Merkmale, Aspekte und Funktionalitäten, welche in einer oder mehreren der einzelnen Ausführungsformen beschrieben sind, nicht auf deren Anwendbarkeit auf die bestimmte Ausführungsform beschränkt sind, bei welcher diese beschrieben sind, sondern stattdessen alleine oder in verschiedenen Kombinationen auf eine oder mehrere der Ausführungsformen der vorliegenden Offenbarung angewendet werden können.
  • Es versteht sich daher, dass zahlreiche Modifikationen, welche nicht beispielhaft angeführt wurden, erdacht werden können, ohne von dem Schutzbereich der vorliegenden Offenbarung abzuweichen. Beispielsweise kann zumindest eines der Merkmale modifiziert, hinzugefügt oder ausgeschlossen werden. Zumindest eines der Merkmale, welches in zumindest einer der bevorzugten Ausführungsformen genannt ist, kann mit den Merkmalen gewählt und kombiniert werden, welche in einer anderen bevorzugten Ausführungsform genannt sind.
  • Beschreibung der Bezugszeichen
    • 10
    Steuervorrichtung
    11
    Prozessor
    12
    Speichereinheit
    101
    Fahrzeug
    201
    ECU_GW
    202
    ECU_GW-Steuereinheit
    203
    ECU_GW-außerhalb-des-Fahrzeug-Kommunikationseinheit
    204
    ECU_GW-Board-Fahrzeug-Kommunikationseinheit
    205
    ECU_GW-Aktualisierungssteuereinheit
    210
    Fahrzeugfunktionsmanagementeinheit
    211
    ECU_GW-Optimierungseinheit
    301
    ECU_A
    302
    ECU_A-Steuereinheit
    303
    ECU_A-Board-Fahrzeug-Kommunikationseinheit
    304
    ECU_A-außerhalb-des-Fahrzeug-Kommunikationseinheit
    305
    ECU_A-normal-KommunikationsInformation
    306
    ECU_A-Prüfergebnisbestimmungseinheit
    401
    ECU_B
    402
    ECU_B-Steuereinheit
    403
    ECU_B-Board-Fahrzeug-Kommunikationseinheit
    405
    ECU_B-normal-Kommunikationsinformation
    406
    ECU_B-Prüfergebnisbestimmungseinheit
    501
    verdrahtete Kommunikation
    502
    drahtlose Kommunikation
    503
    drahtlose Kommunikation
    601
    Kommunikationsnetzwerk
    1001
    Server
    1010
    Designinformation
    1011
    Sicherheitsinformation
    1012
    Prüfinformationserzeugungseinheit
    1013
    Serverübertragung/Empfangseinheit
    1014
    Prüfsteuereinheit
    1015
    Aktualisierungssoftware-Erzeugungseinheit
    1016
    Aktualisierungssoftware-Ubertragungssteuereinheit
    1021
    Optimierungsinformation
    1022
    Serveroptimierungseinheit
    1031
    Fahrzeugzustandsverlaufsinformation
    1032
    Fahrzeugzustandsvorhersageeinheit
    1033
    Prüfplaneinheit
    1034
    Operationszulassungssteuereinheit

Claims (10)

  1. Ein Prüfsystem, umfassend: eine Vielzahl von Steuervorrichtungen (201, 301, 401), welche an einem Fahrzeug (101) angebracht sind und zum Kommunizieren miteinander geeignet sind; und eine Prüfvorrichtung (1001), welche zum Überprüfen von Funktionen der Vielzahl von Steuervorrichtungen (201, 301, 401) über ein Netzwerk von außerhalb des Fahrzeugs (101) ausgebildet ist, wobei die Prüfvorrichtung (1001) eine Prüfinformationserzeugungseinheit (1012) umfasst, welche zum Erzeugen einer Sicherheitsprüfinformation zur Verwendung bei einer Überprüfung einer Funktion einer ersten Steuervorrichtung (201) auf der Basis von Designinformation (1010) über die Vielzahl von Steuervorrichtungen (201, 301, 401) und getrennt gesammelter Sicherheitsinformation (1011) ausgebildet ist, und an die erste Steuervorrichtung (201), die durch die Prüfinformationserzeugungseinheit (1012) erzeugte Sicherheitsprüfinformation überträgt, die erste Steuervorrichtung (201) eine Gatewaysteuereinheit (202) umfasst, welche zum Umwandeln, in erste Prüfdaten für eine zweite Steuervorrichtung (301), der von der Prüfvorrichtung (1001) übertragenen Sicherheitsprüfinformation ausgebildet ist, und an die zweite Steuervorrichtung (301), die durch die Umwandlung durch die Gatewaysteuereinheit (202) erhaltenen ersten Prüfdaten überträgt, und die zweite Steuervorrichtung (301) umfasst eine Referenzdatenbank, welche eine Bestimmungsreferenz zum Bestimmen speichert, ob die von der ersten Steuervorrichtung (ECU_GW 201) übertragenen ersten Prüfdaten innerhalb eines normalen Bereichs fallen oder nicht, und eine erste Bestimmungseinheit (306), welche zum Vergleichen der ersten Prüfdaten mit der Bestimmungsreferenz ausgebildet ist, um zu bestimmen, ob die ersten Prüfdaten normal oder unregelmäßig sind.
  2. Prüfsystem gemäß Anspruch 1, wobei die erste Steuervorrichtung (201) einen vorbestimmten Prozess an der von der Prüfvorrichtung (1001) übertragenen Sicherheitsprüfinformation ausführt und dann die Sicherheitsprüfinformation an die Prüfvorrichtung (1001) überträgt.
  3. Prüfsystem gemäß Anspruch 1 oder 2, wobei die erste Steuervorrichtung (201), mittels der Gatewaysteuereinheit (202), die Sicherheitsprüfinformation in zweite Prüfdaten für eine dritte Steuervorrichtung (401), welche separat von der zweiten Steuervorrichtung (301) ist, umwandelt und, an die dritte Steuervorrichtung (401), die durch die Umwandlung erhaltenen zweiten Prüfdaten überträgt, und die dritte Steuervorrichtung (401) umfasst eine getrennte Referenzdatenbank, welche eine Bestimmungsreferenz zum Bestimmen speichert, ob die von der ersten Steuervorrichtung (201) übertragenen zweiten Prüfdaten innerhalb eines normalen Bereichs fallen oder nicht, wobei die Bestimmungsreferenz sich von der Bestimmungsreferenz der zweiten Steuervorrichtung (301) unterscheidet, und eine zweite Bestimmungseinheit (406), welche zum Vergleichen der zweiten Prüfdaten mit der in der getrennten Referenzdatenbank gespeicherten Bestimmungsreferenz ausgebildet ist, um zu bestimmen, ob die zweiten Prüfdaten normal oder unregelmäßig sind.
  4. Prüfsystem gemäß Anspruch 3, wobei die zweite Steuervorrichtung (301) eine Beziehungsbestimmungsreferenz zum Bestimmen aufweist, ob eine vorbestimmte Beziehung erfüllt ist oder nicht, und zwar zwischen: den ersten Prüfdaten, welche durch die Sicherheitsprüfinformation erhalten sind, welche von der eigenen Steuervorrichtung durch die Gatewaysteuereinheit (202) umgewandelt ist; und den zweiten Prüfdaten, welche dadurch erhalten werden, dass die Sicherheitsprüfinformation für die dritte Steuervorrichtung (401) durch die Gatewaysteuereinheit (202) umgewandelt wird, die dritte Steuervorrichtung (401) die zweiten Prüfdaten in dritte Prüfdaten für die zweite Steuervorrichtung (301) umwandelt und die dritten Prüfdaten an die zweite Steuervorrichtung (301) überträgt, und, in der zweiten Steuervorrichtung (301), die erste Bestimmungseinheit (306) unter Verwendung der Beziehungsbestimmungsreferenz bestimmt, ob die vorbestimmte Beziehung erfüllt ist oder nicht, mit den von der dritten Steuervorrichtung (401) übertragenen dritten Prüfdaten.
  5. Prüfsystem gemäß Anspruch 4, wobei, falls die vorbestimmte Beziehung nicht erfüllt ist, mit den von der dritten Steuervorrichtung (401) übertragenen dritten Prüfdaten, die zweite Steuervorrichtung (301) ein Bestimmungsergebnis an die Prüfvorrichtung (1001) überträgt.
  6. Prüfsystem gemäß einem der Ansprüche 3 bis 5, wobei die erste Steuervorrichtung (201) eine Fahrzeugfunktionsmanagementeinheit (210) umfasst, welche zum Verwalten der Funktionen der Vielzahl von Steuervorrichtungen (201, 301, 401) ausgebildet ist, falls die Fahrzeugfunktionsmanagementeinheit (210) detektiert, dass eine Funktion der Gatewaysteuereinheit (202) geändert wurde, ein Funktionsänderungsdetail an die zweite Steuervorrichtung (301) und die dritte Steuervorrichtung (401) überträgt, und die zweite Steuervorrichtung (301) und die dritte Steuervorrichtung (401) die entsprechenden Bestimmungsreferenzen der eigenen Steuervorrichtungen auf der Basis des von der ersten Steuervorrichtung (201) übertragenen Funktionsänderungsdetails aktualisiert.
  7. Prüfsystem gemäß Anspruch 6, wobei, falls die Fahrzeugfunktionsmanagementeinheit (210) detektiert, dass die Funktion der Gatewaysteuereinheit (202) geändert wurde, die erste Steuervorrichtung (201) das Funktionsänderungsdetail an die Prüfvorrichtung (1001) überträgt, und die Prüfvorrichtung (1001) die Sicherheitsprüfinformation erzeugt, welche das Funktionsänderungsdetail widerspiegelt, und die Sicherheitsprüfinformation an die erste Steuervorrichtung (201) überträgt.
  8. Prüfsystem gemäß einem der Ansprüche 1 bis 7, wobei die erste Steuervorrichtung (201) eine Funktionsänderungseinheit (211) umfasst, welche zum Ändern der Funktion der Gatewaysteuereinheit (202) auf der Basis einer der eigenen Steuervorrichtung eingegebenen Information ausgebildet ist, und die eingegebene Information an die Prüfvorrichtung (1001) überträgt, und die Prüfvorrichtung (1001) die von der ersten Steuervorrichtung (201) empfangene eingegebene Information analysiert, sodass ein Ergebnis der Analyse bei einem Erzeugen der Sicherheitsprüfinformation durch die Prüfinformationserzeugungseinheit (1012) wiedergespiegelt wird.
  9. Prüfsystem gemäß einem der Ansprüche 1 bis 8, wobei die Prüfvorrichtung (1001) umfasst: eine Verlaufsdatenbank, in welcher eine durch ein Akkumulieren von Fahrzeug (101)-Zustandsinformationen erhaltene Fahrzeugzustandsverlaufsinformation gespeichert ist, wobei die Fahrzeugzustandsinformation von dem Fahrzeug (101) gesammelt wird; eine Fahrzeugzustandsvorhersageeinheit (1032), welche zum Vorhersagen, aus der Fahrzeugzustandsverlaufsinformation, eines Fahrzeugzustands ausgebildet ist, welcher nach einem Verstreichen einer vorbestimmten Zeitperiode anzunehmen ist; und eine Prüfplaneinheit (1033), ausgebildet zum Erstellen, auf der Basis des durch die Fahrzeugzustandsvorhersageeinheit (1032) vorhergesagten Fahrzeug (101) Zustands, eines Plans, hinsichtlich zu welcher Zeit die Sicherheitsprüfinformation an das Fahrzeug (101) zu übertragen ist.
  10. Prüfsystem gemäß einem der Ansprüche 1 bis 9, wobei die Prüfvorrichtung (1001) umfasst: eine Überprüfung-vorab-Benachrichtigungseinheit, welche zum Ausgeben, an einen Fahrer oder einen Besitzer des Fahrzeugs (101), einer Vorab-Benachrichtigung der Zeit ausgebildet ist, bei welcher die Sicherheitsprüfinformation an das Fahrzeug (101) zu übertragen ist; und eine Operationszulassungssteuereinheit (1034), welche zum Ausgeben einer Anweisung zum Zulassen oder Anhalten eines Ausführens von manchen oder allen Funktionen der Steuervorrichtungen (201, 301, 401) ausgebildet ist, auf der Basis der in Reaktion auf die von der Überprüfung-Vorab-Benachrichtigungseinheit ausgegebenen Vorab-Benachrichtigung erhaltenen Information.
DE102019205700.4A 2018-04-27 2019-04-18 Prüfsystem Active DE102019205700B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018086066A JP6552674B1 (ja) 2018-04-27 2018-04-27 検査システム
JP2018-086066 2018-04-27

Publications (2)

Publication Number Publication Date
DE102019205700A1 DE102019205700A1 (de) 2019-10-31
DE102019205700B4 true DE102019205700B4 (de) 2023-11-16

Family

ID=67473400

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019205700.4A Active DE102019205700B4 (de) 2018-04-27 2019-04-18 Prüfsystem

Country Status (3)

Country Link
US (1) US11126730B2 (de)
JP (1) JP6552674B1 (de)
DE (1) DE102019205700B4 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6918067B2 (ja) * 2019-10-07 2021-08-11 三菱電機株式会社 制御装置および制御方法
CN114830710A (zh) 2019-10-18 2022-07-29 株式会社Ntt都科摩 终端以及无线通信方法
JP6968137B2 (ja) * 2019-11-06 2021-11-17 三菱電機株式会社 車両用制御装置
JP7283427B2 (ja) * 2020-03-25 2023-05-30 トヨタ自動車株式会社 車両制御システム、攻撃判定方法及びプログラム
CN112277843B (zh) * 2020-09-21 2022-04-01 江铃汽车股份有限公司 一种汽车雷达的配置方法及系统
JP7217767B2 (ja) * 2021-03-19 2023-02-03 本田技研工業株式会社 更新管理サーバ、更新管理方法、及びプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013103611A (ja) 2011-11-14 2013-05-30 Denso Corp 車載中継装置及び外部通信装置
JP2015214169A (ja) 2014-05-07 2015-12-03 日立オートモティブシステムズ株式会社 検査装置、検査システム及び検査方法
EP3018635A1 (de) 2014-11-06 2016-05-11 Toyota Jidosha Kabushiki Kaisha Im fahrzeug integriertes kommunikationssystem
US20170093866A1 (en) 2015-09-25 2017-03-30 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8155829B2 (en) * 2007-11-21 2012-04-10 Denso Corporation Common control apparatus and vehicle control system
DE102010008816A1 (de) * 2010-02-22 2011-08-25 Continental Automotive GmbH, 30165 Verfahren zur Online-Kommunikation
EP2403186B1 (de) * 2010-07-02 2017-12-27 Vodafone IP Licensing limited Telekommunikationsnetzwerke
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US9282110B2 (en) * 2013-11-27 2016-03-08 Cisco Technology, Inc. Cloud-assisted threat defense for connected vehicles
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US10185547B2 (en) * 2015-06-26 2019-01-22 Intel Corporation Techniques for distributed operation of secure controllers
JP6603617B2 (ja) * 2015-08-31 2019-11-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法
JP6384733B2 (ja) * 2015-11-20 2018-09-05 本田技研工業株式会社 通信システム、及び制御装置
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
US10824735B2 (en) * 2016-01-19 2020-11-03 Ictk Holdings Co., Ltd. Vehicle security network device and method for controlling same
US11044260B2 (en) * 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
US20200027351A1 (en) * 2016-09-30 2020-01-23 Pioneer Corporation In-vehicle device, control method, and program
JP6270965B1 (ja) * 2016-11-16 2018-01-31 三菱電機株式会社 プログラムの更新制御システムおよびプログラムの更新制御方法
JP6847101B2 (ja) * 2016-12-06 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
US11055615B2 (en) * 2016-12-07 2021-07-06 Arilou Information Security Technologies Ltd. System and method for using signal waveform analysis for detecting a change in a wired network
JP6696417B2 (ja) * 2016-12-20 2020-05-20 株式会社オートネットワーク技術研究所 車載更新装置、更新システム及び可搬型通信器
US10402192B2 (en) * 2017-07-25 2019-09-03 Aurora Labs Ltd. Constructing software delta updates for vehicle ECU software and abnormality detection based on toolchain
US20200228988A1 (en) * 2017-09-29 2020-07-16 Lg Electronics Inc. V2x communication device and method for inspecting forgery/falsification of key thereof
KR102506931B1 (ko) * 2018-02-27 2023-03-07 현대자동차 주식회사 전자화 장비 보안 검사 시스템 및 그 방법
US11321462B2 (en) * 2018-04-10 2022-05-03 Raytheon Company Device behavior anomaly detection
JP6964277B2 (ja) * 2018-03-30 2021-11-10 パナソニックIpマネジメント株式会社 通信遮断システム、通信遮断方法及びプログラム
DE102018212657A1 (de) * 2018-07-30 2020-01-30 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
JP6995726B2 (ja) * 2018-09-26 2022-01-17 フォルシアクラリオン・エレクトロニクス株式会社 脆弱性評価装置、脆弱性評価システム及びその方法
US11019084B2 (en) * 2018-12-14 2021-05-25 Intel Corporation Controller, a context broadcaster and an alert processing device
US11423145B2 (en) * 2019-12-26 2022-08-23 Intel Corporation Methods and arrangements for multi-layer in-vehicle network intrusion detection and characterization

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013103611A (ja) 2011-11-14 2013-05-30 Denso Corp 車載中継装置及び外部通信装置
JP2015214169A (ja) 2014-05-07 2015-12-03 日立オートモティブシステムズ株式会社 検査装置、検査システム及び検査方法
US20170076516A1 (en) 2014-05-07 2017-03-16 Hitachi Automotive Systems, Ltd. Inspection apparatus, inspection system, and inspection method
EP3018635A1 (de) 2014-11-06 2016-05-11 Toyota Jidosha Kabushiki Kaisha Im fahrzeug integriertes kommunikationssystem
US20170093866A1 (en) 2015-09-25 2017-03-30 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network

Also Published As

Publication number Publication date
DE102019205700A1 (de) 2019-10-31
JP6552674B1 (ja) 2019-07-31
US20190332778A1 (en) 2019-10-31
US11126730B2 (en) 2021-09-21
JP2019191063A (ja) 2019-10-31

Similar Documents

Publication Publication Date Title
DE102019205700B4 (de) Prüfsystem
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE112018004312T5 (de) Fahrzeugdiagnoseapparat, Fahrzeugdiagnosesystem und Fahrzeugdiagnoseprogramm
DE102016122415A1 (de) Verteiltes zustandsmanagement-system für fahrzeuge
DE102012223393A1 (de) Verfahren und System für die Grundursachenanalyse und Qualitätsüberwachung von Fehlern auf Systemebene
DE112009000439T5 (de) Fahrzeuginformationsaufzeichnungsvorrichtung, Fahrzeuginformationskommunikationssystem und Fahrzeuginformationskommunikationsverfahren
DE102013216530A1 (de) Fahrzeugsteuerungseinheit und fahrzeugsteuerungssystem
DE102010009077A1 (de) Telematikgestützte Fahrzeugstatusüberwachung und Kundenbedenkenbehebung
DE102019115727A1 (de) Elektronische Steuervorrichtung, Überwachungsverfahren, Aufzeichungsmedium und Gateway-Vorrichtung
DE102017219473A1 (de) Verfahren zum vorausschauenden Erkennen eines Ausfalls einer Komponente eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug umfassend das System
DE102018003801B4 (de) Verfahren und Steueranordnung zur Vorhersage einer Fehlfunktion einer Radlagereinheit einer Achse in einem Fahrzeug
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
DE112015004391T5 (de) Überschreiboperations-Erkennungssystem und Informationsverarbeitungseinrichtung
DE102006031726A1 (de) Verfahren zum Bereitstellen einer Information über ein Fahrzeug und Fahrzeugdaten-Übertragungsvorrichtung
DE102008040796A1 (de) Verfahren zur Ermittlung eines Fehlers in einer Baugruppe
DE102019214423A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102019214471A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102006040228A1 (de) Identifikationssystem
RU2569216C2 (ru) Способ управления обслуживанием и ремонтом тягового подвижного состава железнодорожного транспорта и система для его осуществления
DE102014114202A1 (de) Verfahren zum Prognostizieren einer Panne und/oder eines Reparatur- und/oder Wartungsbedarfs
DE102017207375B3 (de) Verfahren zum Betreiben eines Kraftfahrzeugs, Speichermedium, Steuereinrichtung und Kraftfahrzeug
WO2004074048A1 (de) Vorrichtung und verfahren zur zentralen on-board diagnose für kraftfahrzeuge
WO2022167044A1 (de) System zum erfassen eines zustands einer fahrzeugkomponente
DE102021202177A1 (de) Verfahren zum bestimmen des betriebszustands von fahrzeugkomponenten
DE102020123228A1 (de) Verfahren zum Betreiben einer Gerätefunktion, insbesondere eines Kraftfahrzeugss

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R018 Grant decision by examination section/examining division