DE102022117149A1 - Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät - Google Patents

Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät Download PDF

Info

Publication number
DE102022117149A1
DE102022117149A1 DE102022117149.3A DE102022117149A DE102022117149A1 DE 102022117149 A1 DE102022117149 A1 DE 102022117149A1 DE 102022117149 A DE102022117149 A DE 102022117149A DE 102022117149 A1 DE102022117149 A1 DE 102022117149A1
Authority
DE
Germany
Prior art keywords
production
functions
security
control device
motor vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022117149.3A
Other languages
English (en)
Inventor
Christian Günter
Karsten Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102022117149.3A priority Critical patent/DE102022117149A1/de
Publication of DE102022117149A1 publication Critical patent/DE102022117149A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Mechanical Engineering (AREA)
  • Mathematical Physics (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Verfahren zum Betrieb eines Steuergeräts (1) eines Kraftfahrzeugs (9) für einen Produktionsvorgang des Kraftfahrzeugs (9), wobei das Steuergerät (1) für den Nutzbetrieb des Kraftfahrzeugs (9) relevante Nutzfunktionen und informationstechnologische Sicherheitsmaßnahmen bereitstellende Embedded-Sicherheitsfunktionen bereitstellt, wobei die Sicherheitsfunktionen wenigstens eine in einem Speichermittel (6) des Steuergeräts (1) bereitgestellte Sicherheitsinformation nutzen, wobei für einen nach Abschluss der Produktion des Kraftfahrzeugs (9) genutzten Normalbetriebsmodus des Steuergeräts (1) wenigstens ein Normalsicherheitsinformationsdatensatz, der zu Abschluss des Produktionsvorgangs zu einem Einspielzeitpunkt in das Speichermittel (6) eingespielt wird, verwendet wird, wobei zur Bereitstellung eines eine Nutzung von Nutzfunktionen vor dem Einspielzeitpunkt in einem vordefinierten Umfang erlaubenden Produktionsbetriebsmodus ein Produktionssicherheitsinformationsdatensatz für die aktivierten Sicherheitsfunktionen in das Speichermittel (6) eingespielt wird, wobei bei Erfüllung einer Beendigungsbedingung für den Produktionsbetriebsmodus zu dessen irreversibler Deaktivierung ein irreversibles Schaltmittel (8) des Steuergeräts (1) in eine Deaktivierungsstellung geschaltet wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs, wobei das Steuergerät für den Nutzbetrieb des Kraftfahrzeugs relevante Nutzfunktionen und informationstechnologische Sicherheitsmaßnahmen bereitstellende Embedded-Sicherheitsfunktionen bereitstellt, wobei die Sicherheitsfunktionen wenigstens eine in einem Speichermittel des Steuergeräts bereitgestellte Sicherheitsinformation nutzen, wobei für einen nach Abschluss der Produktion des Kraftfahrzeugs genutzten Normalbetriebsmodus des Steuergeräts wenigstens ein Normalsicherheitsinformationsdatensatz, der zum Abschluss des Produktionsvorgangs zu einem Einspielzeitpunkt in das Speichermittel eingespielt wird, verwendet wird. Daneben betrifft die Erfindung ein Steuergerät.
  • Moderne Kraftfahrzeuge nutzen für die Bereitstellung verschiedener Nutzfunktionen eine Mehrzahl von, insbesondere miteinander kommunizierenden, Steuergeräten, die beispielsweise bestimmten Fahrzeugsystemen zugeordnet sein können. Beispiele sind Motorsteuergeräte, als Nutzfunktionen die Motorsteuerung bereitstellen, Bremsensteuergeräte, die entsprechend für die Ansteuerung der Bremsen sorgen, aber auch Fahrerassistenzfunktionen und Safety-Funktionen bereitstellende Steuergeräte. Bei solchen Steuergeräten handelt es sich um sogenannte eingebettete Systeme (Embedded Systems). Die Steuergeräte können untereinander beispielsweise mittels eines Bussystems, beispielsweise eines CAN-Busses, und dergleichen, kommunizieren. Mit fortschreitender Elektronisierung bzw. Digitalisierung in Kraftfahrzeugen steigt auch das Risiko von Angriffen, beispielsweise zur Modifizierung der Funktionalität, zum Abfangen von Daten oder deren Modifikation und/oder zur Störung oder gar Zerstörung von Komponenten des Kraftfahrzeugs. Um gegen derartige Angriffe gefeit zu sein, sind in modernen Steuergeräten neben den beschriebenen Nutzfunktionen, welche beispielsweise durch eine Nutzrecheneinheit bereitgestellt werden können, üblicherweise auch Security-Funktionen, also informationstechnologische Sicherheitsmaßnahmen bereitstellende Sicherheitsfunktionen, implementiert, die hier aufgrund ihrer Verwendung in eingebetteten Systemen zur Herstellung von „Embedded Security“ als Embedded-Sicherheitsfunktionen bezeichnet werden sollen. Derartige Embedded-Sicherheitsfunktionen betreffen beispielsweise die Verschlüsselung und sonstige kryptografische Absicherungsmaßnahmen, Eindringschutz und Eindringdetektion („intrusion detection and prevention“), den Ausschluss von Aftermarket-Vorrichtungen von Drittanbietern bzw. sonstigen Modifikationen, beispielsweise Verstellungen, in Steuergeräten und dergleichen. Beispielsweise können die Embedded-Sicherheitsfunktionen durch eine entsprechende Sicherheitsrecheneinheit in einer geschützten Ausführungsumgebung bereitgestellt werden. Die Nutzrecheneinheit befindet sich dann häufig außerhalb dieser geschützten Ausführungsumgebung.
  • Embedded-Sicherheitsfunktionen, also Security-Funktionen, erfordern neben der eigentlichen Software- und/oder Hardwareumsetzung des Algorithmus zusätzliche passende Sicherheitsinformationen, insbesondere wenigstens einen Schlüssel, die den aufeinander abgestimmten Betrieb der Sicherheitsfunktionen ermöglichen, aber auch deren Funktionsumfang und/oder den Funktionsumfang von Nutzfunktionen betreffen können, genau wie den Funktionsumfang von Kommunikationsfunktionen, die beispielsweise durch eine Kommunikationsschnittstelle bereitgestellt werden können. Während die Sicherheitsfunktionen selbst üblicherweise bereits von Werk aus, also mit Bereitstellung des Steuergeräts zur Verwendung in einem zu produzierenden Kraftfahrzeug, aktiviert sind, wird ein für den Normalbetrieb in einen Normalbetriebsmodus geeigneter Normalsicherheitsinformationsdatensatz, der insbesondere entsprechendes Schlüsselmaterial enthalten kann, während der Produktion, insbesondere zum Ende des Produktionsvorgangs, erst eingespielt.
  • Die Steuergeräte erfordern also, um voll funktionsfähig arbeiten zu können, die entsprechenden Sicherheitsinformationen, insbesondere auch im Hinblick auf die Wechselwirkung mit anderen Embedded-Sicherheitsfunktionen anderer Steuergeräte. Während der Produktion eines Kraftfahrzeuges wird es durch unterschiedliche Verbauzustände und die zwar bereits mit Bereitstellung, beispielsweise Zulieferung, aktivierten Embedded-Sicherheitsfunktionen, jedoch zumindest teilweise ohne passendes Schlüsselmaterial, erschwert bzw. sogar unmöglich gemacht, notwendige Inbetriebnahmen durchzuführen, was zu Schwierigkeiten bei bestimmten Produktionsvorgängen führen kann. Ist es beispielsweise während des Produktionsvorgangs vorgesehen, die Scheinwerfer des Kraftfahrzeugs einzustellen, müssen diese aktivierbar sein, also leuchten können. Ähnliches gilt, wenn die Spur des Kraftfahrzeugs eingestellt werden soll, da dann ein Drehen der Räder möglich sein muss. Aktivierte, jedoch bis zu bestimmten Zeitpunkten noch nicht mit den geeigneten Sicherheitsinformationen versehene Embedded-Sicherheitsfunktionen reduzieren in diesem Zusammenhang eine Flexibilität des Produktionsvorgangs, insbesondere hinsichtlich durchzuführender Aktionen und deren Zeitpunkt, erheblich und verkomplizieren die Produktionsplanung und die Produktionsdurchführung. In diesem Zusammenhang ist allerdings eine zu frühe Freischaltung der Embedded-Sicherheitsfunktionen und somit auch der Nutzfunktionen in vollem Umfang meist ebenso nicht gewünscht, sei es aus Safety-Gründen oder aber auch hinsichtlich befürchteten unerlaubten Zugriffen und Manipulationen.
  • DE 10 2016 224 580 B3 betrifft ein Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs, wobei die Funktionstüchtigkeit des Betätigungsschalters in Abhängigkeit eines mehrerer Betriebsmodi auf unterschiedliche Weise durch das Steuergerät ermittelt werden soll. Dabei kann ein Produktionsmodus für den Betätigungsschalter vorgesehen werden, indem das Steuergerät ein Betätigungssignal des Schalters auswertet, aber vorzugsweise nicht weiter gibt. So kann beispielsweise ein unbeabsichtigtes Betätigen einer Parkbremse verhindert werden.
  • DE 10 2005 026 849 A1 betrifft eine Vorrichtung und ein Verfahren zur Übertragung von nutzerindividuellen Daten. Dabei soll ein erstes Steuergerät, in dem nutzerindividuelle Daten gespeichert sind, über einen Datenbus mit weiteren Steuergeräten verbunden sein, welche andere Komponenten nutzerindividuell ansteuern. Um auch ohne das Vorliegen von nutzerindividuellen Daten bereits einen definierten allgemeinen Anfangszustand bereitzustellen, können am Produktionsende Initialisierungsdaten in dem Steuergerät gespeichert werden. Der Anfangszustand ist bei einem Verkehrsmittel der Zustand, in dem die Komponente am Produktionsende eingestellt wird.
  • DE 10 2008 061 957 A1 betrifft ein Verfahren und eine Anordnung zum Steuern eines Transportmodus in einem Fahrzeug. Hierbei soll der Transportmodus in einem aktivierten Zustand mindestens eine vorgegebene Fahrzeugfunktion und/oder mindestens ein Fahrzeugsystem in einen vorgegebenen Zustand setzen, wobei der Transportmodus des Fahrzeugs durch einen vorgegebenen ersten manuellen Betätigungsablauf, der über eine Mensch-Maschine-Schnittstelle des Fahrzeugs eingegeben wird, in den aktivierten Zustand gesetzt wird. Insbesondere soll hierdurch ein Missbrauch des Fahrzeugs und dessen Komfort- und Unterhaltungskomponenten in der Transportkette verhindert werden und ein optimierts Energiemanagement bereitgestellt werden, so dass die Fahrzeugqualität während der Transportkette in Bezug auf eine Batterie und das Gesamtfahrzeug gewährleistet werden kann.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Möglichkeit zur Erhöhung der Flexibilität des Produktionsvorgangs eines Kraftfahrzeugs anzugeben, insbesondere im Hinblick auf die Durchführung von Nutzfunktionen wenigstens teilweise einsetzenden Aktionen während des Produktionsvorgangs.
  • Zur Lösung dieser Aufgabe ist bei einem Verfahren der eingangs genannten Art erfindungsgemäß vorgesehen, dass zur Bereitstellung eines eine Nutzung von Nutzfunktionen vor dem Einspielzeitpunkt in einem vordefinierten Umfang erlaubenden Produktionsbetriebsmodus ein Produktionssicherheitsinformationsdatensatz für die aktivierten Sicherheitsfunktionen in das Speichermittel eingespielt wird, wobei bei Erfüllung einer Beendigungsbedingung für den Produktionsbetriebsmodus zu dessen irreversibler Deaktivierung ein irreversibles Schaltmittel des Steuergeräts in eine Deaktivierungsstellung geschaltet wird.
  • Eine grundlegende Idee der vorliegenden Erfindung ist es, eine wirkliche Aktivschaltung von Embedded-Sicherheitsfunktionen (Security-Funktionen) bezüglich des Normalbetriebsmodus erst am Produktionsende vorzusehen, wobei jedoch zuvor ein Produktionsbetriebsmodus bereitgestellt wird, der auf die im Rahmen des Produktionsvorgangs vorzunehmenden Aktionen, die die Nutzfunktion wenigstens teilweise benötigen, abgestellt ist, mithin einen vordefinierten, insbesondere gegenüber dem Normalbetriebsmodus beschränkten Umfang der Nutzbarkeit der Nutzfunktionen bereitstellt. Für den Normalbetriebsmodus ist der Normalsicherheitsinformationsdatensatz dann so zusammengestellt, dass der volle kundenseitig vorgesehene Umfang der Nutzfunktionen bereitsteht.
  • Um für den Produktionsbetriebsmodus einen Missbrauch oder Probleme zu vermeiden, ist dieser einmalig, so dass insbesondere das Schaltmittel vorgesehen ist, das einen Zustandswechsel zurück in den Produktionsbetriebsmodus sicher verhindern kann. Der Produktionsbetriebsmodus wird hierbei durch den Produktionssicherheitsinformationsdatensatz, konkret die darin enthaltenen Produktionssicherheitsinformationen, definiert und unter dessen Auswertung konfiguriert, wobei dieser Produktionssicherheitsinformationsdatensatz bereits seitens des Herstellers des Steuergeräts in dem Steuergerät bereitgestellt werden kann, oder aber auch im Rahmen des Produktionsvorgangs vor bzw. bei Einbau des Steuergeräts. Auf diese Weise wird hinsichtlich eines für Aktionen beim Produktionsvorgang benötigten Funktionsumfangs der Nutzfunktionen und somit auch der Sicherheitsfunktionen, die diesen beeinflussen, ab einem frühen Zeitpunkt im Produktionsvorgang, insbesondere mit Einbau des Steuergeräts, eine Grundfunktionalität bereitgestellt, die es erlaubt, entsprechende Aktionen, beispielsweise Einstellvorgänge und/oder Überprüfungsvorgänge, die sich auf von den Nutzfunktionen angesprochene Komponenten des Kraftfahrzeugs beziehen können, bei der Produktionsplanung deutlich flexibler im Produktionsablauf zu verorten. Dies vereinfacht nicht nur die Produktionsplanung, sondern auch den Produktionsvorgang an sich, da beispielsweise Verbauzustände und Ressourcen verbessert eingesetzt werden können.
  • Nutzfunktionen können dabei insbesondere Steuerfunktionen und/oder Regelfunktionen und/oder Auswertungsfunktionen, insbesondere für den Fahrbetrieb des Kraftfahrzeugs und/oder für den Benutzer bereitzustellende Funktionalitäten, gegebenenfalls auch bezüglich Peripheriekomponenten, sein. Sicherheitsfunktionen können beispielsweise Verschlüsselungsfunktionen, Kommunikationsfunktionen, Überwachungsfunktionen, Angriffsdetektions- und Angriffsabwehrfunktionen („intrusion detection and prevention“) und/oder Authentifizierungsfunktionen umfassen.
  • Der Produktionsbetriebsmodus ist, wie bereits dargelegt, nur einmalig für den Produktionsvorgang verfügbar und wird daher insbesondere spätestens mit dem Abschluss des Produktionsvorgangs irreversibel deaktiviert. Mithin sieht eine zweckmäßige Weiterbildung der vorliegenden Erfindung vor, dass die Beendigungsbedingung bei Eintreten des Einspielzeitpunkts erfüllt ist. Dabei kann in Ausführungsbeispielen insbesondere vorgesehen sein, dass der Einspielzeitpunkt den Abschluss des Produktionsvorgangs markiert. Das bedeutet, die vollständige Verfügbarkeit der Sicherheitsfunktionen und insbesondere auch der Nutzfunktionen wird bis zum Abschluss des Produktionsvorgangs des Kraftfahrzeugs hinausgezögert. Auf diese Weise kann sichergestellt werden, dass das Kraftfahrzeug erst nach dem tatsächlichen Abschluss der Produktion „kundenbereit“ ist. Ein Ausnutzen zu früh freigeschalteter Funktionsumfänge wird vermieden.
  • Ist diese Beendigungsbedingung erfüllt, werden also die Normalsicherheitsinformationen des Normalsicherheitsinformationsdatensatzes in das Speichermittel eingespeichert, beispielsweise als Serien- und/oder Kundenzertifikat, wird der Produktionsbetriebsmodus irreversibel deaktiviert und der Normalbetriebsmodus wird aktiviert. Die Irreversibilität wird dabei durch das Schaltmittel bereitgestellt, bei dem es sich im Allgemeinen beispielsweise um eine elektronische Sicherung, beispielsweise eine eFuse, handeln kann. Derartige elektronische Einmal-Schaltmittel sind im Stand der Technik grundsätzlich bereits bekannt und können auch im Rahmen der vorliegenden Erfindung vorteilhaft eingesetzt werden. Durch das Schaltmittel wird hardwaretechnisch verhindert, dass absichtlich oder unabsichtlich der Produktionsbetriebsmodus, beispielsweise durch Einspielen eines neuen Produktionssicherheitsinformationsdatensatzes, wieder aktiviert wird.
  • Dabei ist es im Rahmen der vorliegenden Erfindung besonders bevorzugt, wenn das Einspielen des Normalsicherheitsinformationsdatensatzes in jedem Fall den Produktionsbetriebsmodus beendet und den Normalbetriebsmodus aktiviert. Insbesondere zusätzlich ist es im Rahmen der vorliegenden Erfindung mit besonderem Vorteil jedoch auch denkbar, dass der Produktionssicherheitsinformationsdatensatz eine wenigstens eine Ablaufbedingung beschreibende Zertifikatsinformation umfasst, wobei die Beendigungsbedingung bei Erfüllung der Ablaufbedingung erfüllt ist. Das bedeutet, in dem Produktionssicherheitsinformationsdatensatz kann bereits eine zeitliche und/oder räumliche Ablaufdauer codiert sein, um sicherzustellen, dass nur/ausschließlich die für die Produktion notwendigen Funktionsumfänge der Nutzfunktionen innerhalb einer sehr (zeitlich und/oder räumlich) begrenzten Nutzungsdauer verfügbar sind. Mit anderen Worten wird sichergestellt, dass nicht versehentlich Kraftfahrzeuge mit aktiviertem Produktionsbetriebsmodus im Umlauf geraten, beispielsweise ein Werk, in dem der Produktionsvorgang stattfindet, verlassen.
  • Konkret kann vorgesehen sein, dass als Ablaufbedingungen ein Entfernen aus einem insbesondere geodätisch definierten Produktionsgebiet und/oder ein Ablauf einer Zeitspanne und/oder der Abschluss wenigstens einer produktionsbezogenen, auf die Nutzfunktionen bezogenen Produktionsaktion verwendet werden. Mithin kann beispielsweise vorgesehen werden, dass der Produktionsbetriebsmodus nur an bestimmten geodätisch definierten Positionen genutzt werden kann, mithin bei Verlassen des entsprechenden Produktionsgebiets (irreversibel) beendet wird. Auch der Ablauf einer Zeitspanne kann überwacht werden, so dass beispielsweise der Produktionsbetriebsmodus nur für die Zeitspanne, beispielsweise höchstens einen Monat bzw. höchstens zwei Wochen, aktiviert sein kann und nach Ablauf der Zeitspanne deaktiviert wird. Auch kann überwacht werden, ob produktionsrelevante Aktivitäten durchgeführt wurden. Wurden nämlich alle Aktionen während des Produktionsvorgangs, die die Nutzfunktionen des Steuergeräts benötigen, abgeschlossen, ist deren Verfügbarkeit auch nicht länger erforderlich, so dass der Produktionsbetriebsmodus beendet werden kann. Um dies festzustellen, können beispielsweise auch Kommunikationsinformationen und/oder Diagnoseinformationen, beispielsweise in der Sicherheitsrecheneinheit und/oder in einer Auswertungseinheit, die dem Produktionsbetriebsmodus zugeordnet ist, überwacht werden. Selbstverständlich können diese Ablaufbedingungen auch in Kombination verwendet werden.
  • Insbesondere im Zusammenhang mit Ablaufbedingungen kann der Produktionssicherheitsinformationsdatensatz auch als eine Art „Produktionszertifikat“ verstanden werden, das in seiner Nutzung zeitlich und/oder räumlich begrenzt ist. Wie bereits erwähnt, kann ein solches Produktionszertifikat, also im Allgemeinen der Produktionssicherheitsinformationsdatensatz, beispielsweise bereits vom Hersteller des Steuergeräts eingespielt werden bzw. nach Erhalt des Steuergeräts beim Hersteller des Kraftfahrzeugs.
  • Eine zweckmäßige Weiterbildung der Erfindung kann auch vorsehen, dass als eine zusätzliche Beendigungsbedingung der Versuch eines zweiten Einspielens eines Produktionssicherheitsinformationsdatensatzes verwendet wird. Auf diese Weise können Manipulationen im Hinblick auf beispielsweise eine versuchte Verlängerung der Nutzung des Produktionsbetriebsmodus verhindert werden.
  • Dabei sei an dieser Stelle noch angemerkt, dass durch die vorliegende Erfindung, auch wenn der Produktionsbetriebsmodus ungewollt, beispielsweise zu früh, beendet wird, keine Verschlechterung gegenüber dem Status Quo des Standes der Technik eintritt, sondern lediglich das Grundproblem, dass zwar aktivierte, jedoch noch nicht mit abschließenden Sicherheitsinformationen (den Normalsicherheitsinformationen) versehene Sicherheitsfunktionen das Durchführen bestimmter Aktionen bzw. Aktivitäten während des Produktionsvorgangs erschweren, wieder bestehen würde. Im Normalablauf jedoch stellt der Produktionsbetriebsmodus eine deutliche Verbesserung dar.
  • In einer konkreten Ausgestaltung des Steuergeräts kann vorgesehen sein, dass das Schaltmittel, das Speichermittel, eine die Beendigungsbedingung auswertende Auswertungseinheit und eine die Sicherheitsfunktionen ausführende Sicherheitsrecheneinheit von einer geschützten Ausführungsumgebung des Steuergeräts, insbesondere einer Trusted Execution Environment (TEE) und/oder einem Hardware-Sicherheitsmodul (HSM), umfasst sind. Eine die Nutzfunktionen ausführende Nutzrecheneinheit ist dabei außerhalb dieser geschützten Ausführungsumgebung vorgesehen. Das Steuergerät kann ferner auch eine insbesondere ebenso außerhalb dieser geschützten Ausführungsumgebung vorgesehene Kommunikationsschnittstelle umfassen. Die Nutzung einer geschützten Ausführungsumgebung stellt eine weitere Manipulationssicherheit bereit. Hierbei ist es grundsätzlich denkbar, dass die Auswertungseinheit in die Sicherheitsrecheneinheit integriert ist. Die Auswertungseinheit und/oder die Sicherheitsrecheneinheit können wenigstens teilweise als Logikschaltungen, mithin insbesondere hardwarebasiert, vorgesehen werden.
  • Insbesondere kann es sich bei dem Steuergerät auch um ein Ein-Chip-System handeln bzw. das Steuergerät kann ein Ein-Chip-System umfassen. Dann ist es insbesondere denkbar, die geschützte Ausführungsumgebung als einen Teilbereich des Ein-Chip-Systems bereitzustellen, während die Nutzrecheneinheit und/oder die Kommunikationsschnittstelle als ein weiterer Anteil des Ein-Chip-Systems realisiert werden können.
  • Im Allgemeinen kann in diesem Zusammenhang vorgesehen sein, dass der Produktionsbetriebsmodus und der Normalbetriebsmodus wenigstens teilweise durch Setzen von Flags in der geschützten Ausführungsumgebung eingestellt werden. Das Setzen von Flags kann durch die Auswertungseinheit und/oder die Sicherheitsrecheneinheit erfolgen und auf der Auswertung des entsprechenden Sicherheitsinformationsdatensatzes basieren. Diese Flags können beispielsweise auch gezielt definieren, welcher Funktionsumfang der Nutzfunktionen bereitgestellt werden soll, beispielsweise im Fall des Produktionsbetriebsmodus wenigstens teilweise den vordefinierten Funktionsumfang einstellen.
  • Allgemein gesagt kann gemäß der vorliegenden Erfindung auch vorgesehen sein, dass durch den vordefinierten Umfang der Nutzung der Nutzfunktionen, der durch den Produktionssicherheitsinformationsdatensatz beschrieben wird, eine Nutzfunktionsbeschränkung und/oder -erweiterung des Funktionsumfangs der Nutzfunktionen gegenüber dem Normalbetriebsmodus vorgegeben wird. Dabei werden die meisten Vorgaben für den vordefinierten Umfang, insbesondere alle Vorgaben, Beschränkungen der Nutzfunktionen gegenüber dem Normalbetriebsmodus sein. So kann sichergestellt werden, dass nur für den Produktionsvorgang, insbesondere entsprechende Aktionen, benötigte Funktionalitäten der Nutzfunktionen freigeschaltet werden, welche entsprechende je nach Funktionsvorgang entsprechend auszuwählen sind. Wird beispielsweise, wie beschrieben, mit Flags gearbeitet, können beispielsweise nur ein Teil der für den Normalbetriebsmodus vorgesehenen Flags gesetzt werden, um den entsprechenden vordefinierten, aber gegenüber dem Normalbetriebsmodus eingeschränkten, Umfang freizuschalten.
  • Allgemeiner kann auch gesagt werden, dass die Nutzfunktionsbeschränkung und/oder -erweiterung durch eine in dem Produktionssicherheitsinformationsdatensatz enthaltene, zu einer Modifikation des Funktionsumfangs der Sicherheitsfunktionen führenden, von diesen genutzten Produktionssicherheitsinformation und/oder durch wenigstens eine insbesondere mittels der Auswertungseinheit bereitgestellte Beschränkungs- und/oder Erweiterungsfunktion umgesetzt wird. In manchen Fällen kann es denkbar sein, dass eine Beschränkung des Funktionsumfangs der Sicherheitsfunktionen bereits zu einer korrespondierenden, gewollten Nutzfunktionsbeschränkung führt. Entsprechendes kann auch bei weniger bevorzugten Nutzfunktionserweiterungen gelten. In einem Großteil der Fälle wird jedoch eine insbesondere mittels der Auswertungseinheit bereitgestellte Beschränkungs- und/oder Erweiterungsfunktion genutzt werden, um den vordefinierten Umfang wie gewollt einzustellen. Beispielsweise können durch die Beschränkungs- und/oder Erweiterungsfunktion entsprechende Flags, wie beschrieben, gesetzt werden.
  • In Weiterbildung der vorliegenden Erfindung kann ferner vorgesehen sein, dass bei einem mit anderen Steuergeräten des Kraftfahrzeugs kommunizierenden Steuergerät ein mit den Produktionssicherheitsinformationsdatensätzen der Kommunikationspartner abgestimmter, die Kommunikation zumindest teilweise erlaubender Produktionssicherheitsinformationsdatensatz eingespielt wird. Das bedeutet, die Produktionssicherheitsinformationsdatensätze und somit die Produktionsbetriebsmodi unterschiedlicher Steuergeräte desselben Kraftfahrzeugs können aufeinander abgestimmt sein, beispielsweise, indem übereinstimmende, insbesondere auf die Produktionsbedingungen angepasste Schlüssel in den jeweiligen Produktionssicherheitsinformationen hinterlegt werden und auf diese Weise eine Kommunikation der Steuergeräte untereinander, zumindest insoweit sie für die Aktivitäten während des Produktionsvorgangs benötigt wird, hergestellt werden. Beispielsweise können einem Hersteller der Steuergeräte entsprechende Produktionssicherheitsinformationsdatensätze vorgegeben werden, die dann auf die zu liefernden Steuergeräte entsprechend aufzuspielen sind.
  • Wie bereits angemerkt, kann allgemein vorgesehen sein, dass die Sicherheitsinformationen wenigstens einen Schlüssel umfassen. Als Schlüssel wird in der Verschlüsselungstechnik eine Sicherheitsinformation bezeichnet, die einen Verschlüsselungsalgorithmus parametrisiert und ihn so steuert. Dabei können beispielsweise Kommunikationspartner, beispielsweise zwei unterschiedliche Steuergeräte, jeweils die Schlüssel des anderen Kommunikationspartners kennen, um eine verschlüsselte Kommunikation mittels wenigstens einer der Sicherheitsfunktionen zu ermöglichen. Schlüssel können auch im Rahmen von Authentifizierungsvorgängen, die auch durch Sicherheitsinformationen abgebildet werden können, eingesetzt werden. Insbesondere werden hierbei Verschlüsselungstechniken eingesetzt, in denen öffentliche und private Schlüssel eingesetzt werden.
  • Neben dem Verfahren betrifft die vorliegende Erfindung auch ein Steuergerät für ein Kraftfahrzeug, aufweisend eine Nutzrecheneinheit zur Bereitstellung von für den Nutzbetrieb des Kraftfahrzeugs relevanten Nutzfunktionen, eine Kommunikationsschnittstelle und eine geschützte Ausführungsumgebung des Steuergeräts, insbesondere eine Trusted Execution Environment (TEE) und/oder ein Hardware-Sicherheitsmodul (HSM), wobei die geschützte Ausführungsumgebung eine Sicherheitsrecheneinheit zur Bereitstellung informationstechnologische Sicherheitsmaßnahmen bereitstellender Embedded-Sicherheitsfunktionen und ein Speichermittel für von den Sicherheitsfunktionen zu nutzende Sicherheitsinformation aufweist. Ein derartiges Steuergerät zeichnet sich erfindungsgemäß nun dadurch aus, dass die geschützte Ausführungsumgebung ferner aufweist:
    • - eine Auswertungseinheit zur Auswertung wenigstens einer in einem einen Produktionsbetriebsmodus, der die Nutzung von Nutzfunktionen vor einem Einspielzeitpunkt eines einem Normalbetriebsmodus zugeordneten Normalsicherheitsinformationsdatensatzes in das Speichermittel in einem vordefinierten Umfang erlaubt, definierenden Produktionssicherheitsinformationsdatensatz für die aktivierten Sicherheitsfunktionen enthaltenen Deaktivierungsbedingung und
    • - ein irreversibel in eine Deaktivierungsstellung schaltbares Schaltmittel zur irreversiblen Deaktivierung des Produktionsbetriebsmodus bei erfüllter Deaktivierungsbedingung.
  • Sämtliche Ausführungen bezüglich des erfindungsgemäßen Verfahrens lassen sich analog auf das erfindungsgemäße Steuergerät übertragen, welches mithin für die Ausführung des erfindungsgemäßen Verfahrens eingerichtet ist. Insbesondere kann die Auswertungseinheit auch wenigstens teilweise in die Sicherheitsrecheneinheit integriert sein und/oder die Auswertungseinheit und/oder die Sicherheitsrecheneinheit können ausgebildet sein, insbesondere durch Setzen von Flags, durch Auswertung des Produktionssicherheitsinformationsdatensatzes bzw. des Normalsicherheitsinformationsdatensatzes den Produktionsbetriebsmodus respektive den Normalbetriebsmodus einzustellen.
  • Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen:
    • 1 einen Ablaufplan eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens,
    • 2 eine Prinzipskizze eines erfindungsgemäßen Steuergeräts, und
    • 3 eine Prinzipskizze eines Kraftfahrzeugs.
  • 1 zeigt einen Ablaufplan eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens. Dabei liegt in einem Schritt S1 ein hergestelltes Steuergerät für ein Kraftfahrzeug vor. Das Steuergerät, welches beispielsweise als ein Ein-Chip-System bzw. ein solches umfassend realisiert sein kann, weist eine Nutzrecheneinheit zur Bereitstellung von Nutzfunktionen auf. Derartige Nutzfunktionen werden im Nutzbetrieb des Kraftfahrzeugs eingesetzt und können beispielsweise Steuerfunktionen und/oder Regelfunktionen und/oder Auswertungsfunktionen sein. Häufig dienen die Nutzfunktionen zur Ansteuerung anderer Komponenten des Kraftfahrzeugs, beispielsweise des Motors, der Bremsen, von Anzeigemitteln, Beleuchtungseinrichtungen und dergleichen.
  • Um die informationstechnologische Sicherheit des Steuergeräts gewährleisten zu können, mithin die „Embedded Security“, ist ferner in einer geschützten Ausführungsumgebung auch eine Sicherheitsrecheneinheit vorgesehen, die den Nutzfunktionen bzw. allgemein dem Steuergerät zugeordnete Embedded-Sicherheitsfunktionen (also informationstechnologische Sicherheitsfunktionen) bereitstellt, beispielsweise Verschlüsselungsfunktionen, Authentifizierungsfunktionen, Angriffsdetektionsfunktionen, Angriffsabwehrfunktionen und dergleichen. Die Sicherheitsfunktionen nutzen insbesondere wenigstens einen Schlüssel umfassende Sicherheitsinformationen, die in einem Speichermittel in der geschützten Ausführungsumgebung gespeichert werden können. Im hier diskutierten Grundzustand sind die Sicherheitsinformationen bereits aktiviert, jedoch liegen keine Sicherheitsinformationen vor, so dass die grundsätzlich zwar vorhandenen bzw. aufspielbaren Nutzfunktionen aber nicht einsetzbar sind.
  • Daher wird im Schritt S1 nun, insbesondere bereits seitens des Herstellers des Steuergeräts oder aber seitens des Herstellers eines mit dem Steuergerät herzustellenden Kraftfahrzeugs, ein Produktionssicherheitsinformationsdatensatz in das Speichermittel eingespielt. Dieser Produktionssicherheitsinformationsdatensatz enthält neben Schlüsseln, um die aktiven Sicherheitsfunktionen zumindest teilweise nutzbar zu machen, eine Definition eines Produktionsbetriebsmodus sowie diesem Produktionsbetriebsmodus zugeordnete Ablaufbedingungen, die eine räumliche und/oder zeitliche Begrenzung der Nutzung des Produktionsbetriebsmodus beschreiben.
  • In einem Schritt S2 wird der Produktionsbetriebsmodus dann eingestellt. Hierzu ist in der geschützten Ausführungsumgebung eine Auswertungseinheit vorgesehen, die wenigstens teilweise eine Hardware-Logikschaltung umfasst und wenigstens teilweise mit der Sicherheitsrecheneinheit integriert realisiert sein kann. Die Auswertungseinheit stellt nun den bereitgestellten Funktionsumfang der Sicherheitsfunktionen und Nutzfunktionen definierende Flags in der geschützten Ausführungsumgebung durch eine Beschränkungsfunktion ein. Denn im vorliegenden Ausführungsbeispiel ist der Produktionsbetriebsmodus so definiert, dass die Nutzfunktionen (und auch Sicherheitsfunktionen) gegenüber einem Normalbetriebsmodus, bei dem dann die für das fertige Kraftfahrzeug vorgesehenen Normalsicherheitsinformationen vorliegen, nur in einem eingeschränkten, vordefinierten Umfang nutzbar sind.
  • Der vordefinierte Umfang ist anhand eines Produktionsvorgangs des Kraftfahrzeugs definiert, genauer anhand von bezüglich der Nutzfunktionen durchzuführender Aktivitäten/Aktionen, so dass der vordefinierte Umfang gerade ausreichend ist, um diese Aktionen erfolgreich durchführen zu können. Derartige Aktionen können beispielsweise Einstell- und/oder Überprüfungsaktionen sein. Im Beispiel eines Lichtsteuergeräts, bei dem Scheinwerfer als Einstellaktion ausgerichtet werden sollen, kann es notwendig sein, die Scheinwerfer ein- und ausschalten zu können, wobei komplexere Funktionalitäten wie die Ansteuerung bestimmter Lichtmuster gegebenenfalls nicht notwendig sind und im Produktionsmodus deaktiviert bleiben können. Nach dem entsprechenden Setzen der Flags können also, gegebenenfalls unter Nutzung der als Produktionssicherheitsinformation in dem Speichermittel vorliegenden Schlüssel, durch die Sicherheitsfunktionen erlaubt, Nutzfunktionen in dem vordefinierten, eingeschränkten Umfang genutzt werden.
  • Schritt S3 zeigt an, dass nun der Produktionsbetriebsmodus aktiv ist, so dass nach Verbau des Steuergeräts in dem herzustellenden Kraftfahrzeug die Aktionen während des Produktionsvorgangs entsprechend durchgeführt werden können. Dabei sei in diesem Zusammenhang noch darauf hingewiesen, dass, falls Kommunikationen mit anderen Steuergeräten erforderlich ist, der Produktionssicherheitsinformationsdatensatz mit den Produktionssicherheitsinformationsdatensätzen der anderen, auch im Produktionsbetriebsmodus betriebenen Steuergeräte hinsichtlich beispielsweise der enthaltenen Schlüssel derart abgestimmt ist, dass die Kommunikation in dem erforderlichen Umfang möglich ist.
  • Während der Aktivität des Produktionsbetriebsmodus gemäß Schritt S3 überprüft die Auswertungseinheit ständig in einem Schritt S4, ob eine Deaktivierungsbedingung für den Produktionsbetriebsmodus erfüllt ist. Dabei existieren vorliegend drei Arten von Deaktivierungsbedingungen.
  • Als erste Deaktivierungsbedingung wird ständig überprüft, ob ein dem Normalbetriebsmodus zugeordneter Normalsicherheitsinformationsdatensatz eingespielt wird, was vorliegend zum Abschluss des Produktionsvorgangs geschieht. Dann wird der Produktionsbetriebsmodus beendet und der Normalbetriebsmodus hergestellt, der dann auch die volle vorgesehene Verfügbarkeit der Nutzfunktionen liefert und die serienmäßigen bzw. kraftfahrzeugspezifischen Schlüssel als Normalsicherheitsinformation einsetzt. Dieses Umschalten des Betriebsmodus im Schritt S5 wird durch ein Schalten eines Schaltmittels in der geschützten Ausführungsumgebung in eine irreversibel eingenommene Deaktivierungsstellung begleitet. Bei dem Schaltmittel handelt es sich um ein Hardware-Schaltmittel, beispielsweise eine elektronische Sicherung wie eine eFuse. Durch das entsprechende Schalten des Schaltmittels mittels der Auswertungseinheit wird sichergestellt, dass der Produktionsbetriebsmodus nicht wieder aktiviert werden kann, sei es absichtlich oder unabsichtlich. Auch wenn nun erneut ein Produktionssicherheitsinformationsdatensatz eingespielt würde, würde der Produktionsbetriebsmodus aufgrund der irreversiblen Befindlichkeit des Schaltmittels in der Deaktivierungsstellung nicht erfolgen.
  • Im Schritt S6 wird dann das Steuergerät im fertig hergestellten Kraftfahrzeug im Normalbetriebsmodus betrieben.
  • Eine zweite Art von Deaktivierungsbedingung überprüft, ob eine die zeitliche und/oder räumliche Begrenzung der Nutzbarkeit des Produktionsbetriebsmodus beschreibende Ablaufbedingung, die in dem Produktionssicherheitsinformationsdatensatz enthalten ist, erfüllt ist. Als Ablaufbedingung kann beispielsweise überprüft werden, ob eine bestimmte Zeitspanne abgelaufen ist oder ob das Steuergerät aus einem geodätisch definierten Produktionsbereich hinausbewegt wird. Möglich ist es zudem, als Ablaufbedingung seitens der Überwachungseinheit zu überprüfen, ob die Aktionen des Produktionsvorgangs, für die die Nutzfunktionen benötigt wurden, bereits erledigt sind. Auch in diesem Fall kann der Produktionsbetriebsmodus wieder (irreversibel) deaktiviert werden. Anders ausgedrückt ist die Deaktivierungsbedingung dann erfüllt, wenn wenigstens eine der Ablaufbedingungen erfüllt ist. Dann wird in einem Schritt S7 der Produktionsbetriebsmodus deaktiviert und ebenso das Schaltmittel irreversibel zum Schalten in die Deaktivierungsstellung angesteuert. Nachdem jedoch noch keine Normalsicherheitsinformationen vorliegen, wird der Normalbetriebsmodus noch nicht aktiviert.
  • Hierzu wird zunächst in einem Schritt S8 überwacht, ob der Normalsicherheitsinformationsdatensatz eingespielt wurde, wobei dieser, sobald dies geschehen ist, in einem Schritt S9 aktiviert wird, insbesondere, wie bereits beschrieben, durch Setzen der entsprechenden Flags in der geschützten Ausführungsumgebung. Dann wird wieder mit Schritt S6 fortgefahren und das Steuergerät wird im Normalbetriebsmodus betrieben.
  • Eine dritte Art von Deaktivierungsbedingung ist dann erfüllt, wenn bei aktivem Produktionsbetriebsmodus versucht wird, einen neuen Produktionssicherheitsinformationsdatensatz einzuspielen. Auch dann kommt es im Schritt S8 zu einer Aktivierung des Produktionsbetriebsmodus sowie zum irreversiblen Schalten des Schaltmittels in die Deaktivierungsstellung und es kann dann ebenso mit Schritt S8 fortgefahren werden.
  • 2 zeigt eine Prinzipskizze eines erfindungsgemäßen Steuergeräts 1. Das Steuergerät 1 weist eine Kommunikationsschnittstelle 2 zur Kommunikation mit anderen Steuergeräten und/oder Komponenten des Kraftfahrzeugs auf, beispielsweise über ein Bussystem. Ferner weist das Steuergerät 1 die Nutzrecheneinheit 3 zur Durchführung bzw. Bereitstellung der Nutzfunktionen auf.
  • In der geschützten Ausführungsumgebung 4 ist die Sicherheitsrecheneinheit 5 zur Bereitstellung der Sicherheitsfunktionen vorgesehen. In einem Speichermittel 6 können, wie beschrieben, die Sicherheitsinformationen abgelegt werden, insbesondere die Produktionssicherheitsinformationen und die Normalsicherheitsinformationen.
  • Zur Bereitstellung der im Verfahren gemäß 1 beschriebenen Funktionalität weist die geschützte Ausführungsumgebung 4 neben der Sicherheitsrecheneinheit 5 und dem Speichermittel 6 noch die Auswertungseinheit 7 und das Schaltmittel 8 auf. Dabei kann die Auswertungseinheit 7 auch wenigstens teilweise als Teil der Sicherheitsrecheneinheit 5 realisiert sein. Bei dem Schaltmittel 8 kann es sich beispielsweise um eine elektronische Sicherung oder eine andere Art von elektronischem Einmalschalter handeln, die bzw. der als Hardwarebauteil irreversibel in die Deaktivierungsstellung verbracht werden kann. Das Steuergerät 1 ist also zur Durchführung des zu 1 beschriebenen Verfahrens eingerichtet.
  • 3 zeigt die Prinzipskizze eines Kraftfahrzeugs 9, welches mehrere derartige Steuergeräte 1 aufweist, die beispielsweise über ein Bussystem 10 kommunizieren können. Durch Nutzung aufeinander abgestimmter Produktionsbetriebsmodi, mithin aufeinander abgestimmter Produktionssicherheitsinformationsdatensätze, können auch Nutzfunktionen mehrerer Steuergeräte 1 betreffende Aktionen zu unterschiedlichsten Zeitpunkten im Produktionsvorgang durchgeführt werden, wo dies opportun ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102016224580 B3 [0005]
    • DE 102005026849 A1 [0006]
    • DE 102008061957 A1 [0007]

Claims (10)

  1. Verfahren zum Betrieb eines Steuergeräts (1) eines Kraftfahrzeugs (9) für einen Produktionsvorgang des Kraftfahrzeugs (9), wobei das Steuergerät (1) für den Nutzbetrieb des Kraftfahrzeugs (9) relevante Nutzfunktionen und informationstechnologische Sicherheitsmaßnahmen bereitstellende Embedded-Sicherheitsfunktionen bereitstellt, wobei die Sicherheitsfunktionen wenigstens eine in einem Speichermittel (6) des Steuergeräts (1) bereitgestellte Sicherheitsinformation nutzen, wobei für einen nach Abschluss der Produktion des Kraftfahrzeugs (9) genutzten Normalbetriebsmodus des Steuergeräts (1) wenigstens ein Normalsicherheitsinformationsdatensatz, der zu Abschluss des Produktionsvorgangs zu einem Einspielzeitpunkt in das Speichermittel (6) eingespielt wird, verwendet wird, dadurch gekennzeichnet, dass zur Bereitstellung eines eine Nutzung von Nutzfunktionen vor dem Einspielzeitpunkt in einem vordefinierten Umfang erlaubenden Produktionsbetriebsmodus ein Produktionssicherheitsinformationsdatensatz für die aktivierten Sicherheitsfunktionen in das Speichermittel (6) eingespielt wird, wobei bei Erfüllung einer Beendigungsbedingung für den Produktionsbetriebsmodus zu dessen irreversibler Deaktivierung ein irreversibles Schaltmittel (8) des Steuergeräts (1) in eine Deaktivierungsstellung geschaltet wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Beendigungsbedingung bei Eintreten des Einspielzeitpunkts erfüllt ist und/oder der Produktionssicherheitsinformationsdatensatz eine wenigstens eine Ablaufbedingung beschreibende Zertifikatsinformation umfasst, wobei die Beendigungsbedingung bei Erfüllung der Ablaufbedingung erfüllt ist.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass als Ablaufbedingungen ein Entfernen aus einem insbesondere geodätisch definierten Produktionsgebiet und/oder ein Ablauf einer Zeitspanne und/oder der Abschluss wenigstens einer produktionsbezogenen, auf die Nutzfunktionen bezogenen Produktionsaktion verwendet werden.
  4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass als eine zusätzliche Beendigungsbedingung der Versuch eines zweiten Einspielens eines Produktionssicherheitsinformationsdatensatzes verwendet wird.
  5. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Schaltmittel (8), das Speichermittel (6), eine die Beendigungsbedingung auswertende Auswertungseinheit (7) und eine die Sicherheitsfunktionen ausführende Sicherheitsrecheneinheit (5) von einer geschützten Ausführungsumgebung (4) des Steuergeräts (1), insbesondere einer Trusted Execution Environment und/oder einem Hardware-Sicherheitsmodul, umfasst sind.
  6. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass durch den vordefinierten Benutzerumfang eine Nutzfunktionsbeschränkung und/oder -erweiterung des Funktionsumfangs der Nutzfunktionen gegenüber dem Normalbetriebsmodus vorgegeben wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Nutzfunktionsbeschränkung und/oder -erweiterung durch eine in dem Produktionssicherheitsinformationsdatensatz enthaltene, zu einer Modifikation des Funktionsumfangs der Sicherheitsfunktionen führenden, vor diesen genutzten Produktionssicherheitsinformation und/oder durch wenigstens eine insbesondere mittels der Auswertungseinheit (7) bereitgestellte Beschränkungs- und/oder Erweiterungsfunktion umgesetzt wird.
  8. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass bei einem mit anderen Steuergeräten (1) des Kraftfahrzeugs (9) kommunizierenden Steuergerät (1) ein mit den Produktionssicherheitsinformationsdatensätzen der Kommunikationspartner abgestimmter, die Kommunikation zumindest teilweise erlaubender Produktionssicherheitsinformationsdatensatz eingespielt wird.
  9. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Sicherheitsinformationen wenigstens einen Schlüssel umfassen und/oder das Schaltmittel (8) eine e-fuse ist.
  10. Steuergerät (1) für ein Kraftfahrzeug (9), aufweisend eine Nutzrecheneinheit (3) zur Bereitstellung von für den Nutzbetrieb des Kraftfahrzeugs (9) relevanten Nutzfunktionen, eine Kommunikationsschnittstelle (2) und eine geschützte Ausführungsumgebung (4) des Steuergeräts (1), insbesondere eine Trusted Execution Environment und/oder ein Hardware-Sicherheitsmodul, welche eine Sicherheitsrecheneinheit (5) zur Bereitstellung informationstechnologische Sicherheitsmaßnahmen bereitstellender Embedded-Sicherheitsfunktionen und ein Speichermittel (6) für von den Sicherheitsfunktionen zu nutzende Sicherheitsinformation aufweist, dadurch gekennzeichnet, dass die geschützte Ausführungsumgebung (4) ferner aufweist - eine Auswertungseinheit (7) zur Auswertung wenigstens einer in einem einen Produktionsbetriebsmodus, der die Nutzung von Nutzfunktionen vor einem Einspielzeitpunkt eines einem Normalbetriebsmodus zugeordneten Normalsicherheitsinformationsdatensatzes in das Speichermittel (6) in einem vordefinierten Umfang erlaubt, definierenden Produktionssicherheitsinformationsdatensatz für die aktivierten Sicherheitsfunktionen enthaltenen Deaktivierungsbedingung und - ein irreversibel in eine Deaktivierungsstellung schaltbares Schaltmittel (8) zur irreversiblen Deaktivierung des Produktionsbetriebsmodus bei erfüllter Deaktivierungsbedingung.
DE102022117149.3A 2022-07-11 2022-07-11 Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät Pending DE102022117149A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022117149.3A DE102022117149A1 (de) 2022-07-11 2022-07-11 Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022117149.3A DE102022117149A1 (de) 2022-07-11 2022-07-11 Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät

Publications (1)

Publication Number Publication Date
DE102022117149A1 true DE102022117149A1 (de) 2024-01-11

Family

ID=89386706

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022117149.3A Pending DE102022117149A1 (de) 2022-07-11 2022-07-11 Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät

Country Status (1)

Country Link
DE (1) DE102022117149A1 (de)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10002204A1 (de) 2000-01-19 2001-07-26 Bosch Gmbh Robert Verfahren zum Schutz eines Mikrorechners eines Steuergeräts gegen Manipulation eines Programmes und Vorrichtung zur Durchführung des Verfahrens
DE102005026849A1 (de) 2005-06-10 2006-12-21 Daimlerchrysler Ag Vorrichtung und Verfahren zur Übertragung von nutzerindividuellen Daten
DE102006055830A1 (de) 2006-11-27 2008-05-29 Robert Bosch Gmbh Verfahren zum Schutz eines Steuergeräts vor Manipulation
DE102008061957A1 (de) 2008-12-12 2009-09-17 Daimler Ag Verfahren und Anordnung zum Steuern eines Transportmodus in einem Fahrzeug
DE102016224580B3 (de) 2016-12-09 2017-12-14 Audi Ag Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs
DE102017209104A1 (de) 2017-05-31 2018-12-06 Robert Bosch Gmbh Verfahren zum Verwalten einer Steuerungssoftware eines Bremssystems eines Fahrzeugs, Hydrauliksystem für ein Bremssystem eines Fahrzeugs und Verfahren zum Herstellen desselben
DE102017209468A1 (de) 2017-06-06 2018-12-06 Robert Bosch Gmbh Verfahren zum Zurücksetzen einer Software eines Fahrzeugsteuergeräts eines Fahrzeugs in einen ursprünglichen Zustand

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10002204A1 (de) 2000-01-19 2001-07-26 Bosch Gmbh Robert Verfahren zum Schutz eines Mikrorechners eines Steuergeräts gegen Manipulation eines Programmes und Vorrichtung zur Durchführung des Verfahrens
DE102005026849A1 (de) 2005-06-10 2006-12-21 Daimlerchrysler Ag Vorrichtung und Verfahren zur Übertragung von nutzerindividuellen Daten
DE102006055830A1 (de) 2006-11-27 2008-05-29 Robert Bosch Gmbh Verfahren zum Schutz eines Steuergeräts vor Manipulation
DE102008061957A1 (de) 2008-12-12 2009-09-17 Daimler Ag Verfahren und Anordnung zum Steuern eines Transportmodus in einem Fahrzeug
DE102016224580B3 (de) 2016-12-09 2017-12-14 Audi Ag Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs
DE102017209104A1 (de) 2017-05-31 2018-12-06 Robert Bosch Gmbh Verfahren zum Verwalten einer Steuerungssoftware eines Bremssystems eines Fahrzeugs, Hydrauliksystem für ein Bremssystem eines Fahrzeugs und Verfahren zum Herstellen desselben
DE102017209468A1 (de) 2017-06-06 2018-12-06 Robert Bosch Gmbh Verfahren zum Zurücksetzen einer Software eines Fahrzeugsteuergeräts eines Fahrzeugs in einen ursprünglichen Zustand

Similar Documents

Publication Publication Date Title
DE102011116209A1 (de) Vorrichtung zum Aktivieren und Deaktivieren eines Schließ- und/oder Steuerungssystems, insbesondere für ein Fahrzeug
DE102013003040A1 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten
EP2907072B1 (de) Verfahren zur steuerung eines getrennten ablaufs von verknüpften programmblöcken und steuergerät
DE102020003072B3 (de) Verfahren zur sicheren Nutzung von kryptografischem Material
DE102018210318A1 (de) Verfahren zur Sicherung von Fahrzeugkomponenten und entsprechende Fahrzeugkomponente
DE102011104224A1 (de) Verfahren zur sicheren Deaktivierung eines Hochspannungsnetzes eines Kraftfahrzeugs und Kraftfahrzeug
EP1999521A1 (de) Feldgerät
DE102008061957A1 (de) Verfahren und Anordnung zum Steuern eines Transportmodus in einem Fahrzeug
DE102014018460A1 (de) Verfahren zur Steuerung des Betriebs wenigstens einer Funktionskomponente eines Kraftfahrzeugs und Kraftfahrzeug
DE3641230C1 (de) Verfahren und Schaltungsanordnung zur Diebstahlsicherung von Geraeten,insbesondere Autoradiogeraeten
EP3009992A1 (de) Verfahren und vorrichtung zum verwalten von zutrittsberechtigungen
DE102022117149A1 (de) Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät
DE10015307A1 (de) Verfahren und Vorrichtung zum Schutz eines Gerätes vor Diebstahl
DE102013016114B3 (de) Bussystem und Verfahren für geschützte Speicherzugriffe
EP2628706B1 (de) Gewerbliches Fahrzeug, insbesondere Gabelstapler oder Flurförderzeug, mit einem fahrzeugseitig fest angebrachten Datenspeicher in Zuordnung zu einer parametrierbaren elektronischen Steueranordnung
WO2015197544A1 (de) Verfahren und schaltkreis zur vermeidung von speicherschutzverletzungen
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
EP1532027B1 (de) Verfahren zum schutz gegen manipulationen in einem steuergerät für eine kfz-komponente und steuergerät
DE102009058754B4 (de) Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät
DE102013000088A1 (de) Verfahren und Vorrichtung zur Authentifizierung von mindestens zwei über einen Datenbus gekoppelten, landwirtschaftlichen Geräten
DE102007018777A1 (de) Steuervorrichtung für Fahrzeuge
EP4107592B1 (de) Verfahren zur herstellung eines softwarekopierschutzes für ein lenkungssteuergerät in einem fahrzeug, lenkungssteuergerät und computerprogrammprodukt
DE102020128965A1 (de) Computerprogrammprodukt für eine elektrische Ladestation und computerimplementiertes Verfahren zum elektrischen Laden einer Traktionsbatterie eines Fahrzeugs
DE102015223757A1 (de) Verfahren zum Betreiben eines Mikrocontrollers
DE102022203871A1 (de) Steuersystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication