DE102022127499B3 - Motor vehicle, control device and method for intrusion detection of a control device housing of a control device - Google Patents

Motor vehicle, control device and method for intrusion detection of a control device housing of a control device Download PDF

Info

Publication number
DE102022127499B3
DE102022127499B3 DE102022127499.3A DE102022127499A DE102022127499B3 DE 102022127499 B3 DE102022127499 B3 DE 102022127499B3 DE 102022127499 A DE102022127499 A DE 102022127499A DE 102022127499 B3 DE102022127499 B3 DE 102022127499B3
Authority
DE
Germany
Prior art keywords
control device
value
housing
measured value
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102022127499.3A
Other languages
German (de)
Inventor
Stefan Borgsdorf
Sueleyman Bakacak
Klaus Meierling
Tian-Chen Xu
Andreas Jahn
Ahmed Ahmed
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cariad SE
Original Assignee
Cariad SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cariad SE filed Critical Cariad SE
Priority to DE102022127499.3A priority Critical patent/DE102022127499B3/en
Application granted granted Critical
Publication of DE102022127499B3 publication Critical patent/DE102022127499B3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05KPRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
    • H05K5/00Casings, cabinets or drawers for electric apparatus
    • H05K5/02Details
    • H05K5/0208Interlock mechanisms; Means for avoiding unauthorised use or function, e.g. tamperproof
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B13/00Burglar, theft or intruder alarms
    • G08B13/18Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength
    • G08B13/181Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using active radiation detection systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft ein Steuergerät (12), ein Kraftfahrzeug (10) mit einem Steuergerät (12) und ein Verfahren zur Intrusionserkennung eines Steuergerätegehäuses (14) eines Steuergeräts (12). Das Verfahren umfasst als Schritte ein Ermitteln (S10) eines Messwerts durch eine Messeinrichtung (16), die innerhalb des Steuergerätegehäuses (14) angeordnet ist, wobei der Messwert von einem Modifikationszustand des Steuergerätegehäuses (14) abhängig ist, der eine Integrität des Steuergerätegehäuses (14) angibt; ein Vergleichen (S12) des ermittelten Messwerts mit einem vorbestimmten Sicherheitswert, wobei der Sicherheitswert durch die Messeinrichtung (16) in einem Zustand mit gesicherter Integrität des Steuergerätegehäuses (14) vorbestimmt wird; und ein Aktivieren (S14) eines Steuergerätsicherheitsmodus, falls der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweicht

Figure DE102022127499B3_0000
The invention relates to a control device (12), a motor vehicle (10) with a control device (12) and a method for detecting intrusion of a control device housing (14) of a control device (12). The method comprises the steps of determining (S10) a measured value by a measuring device (16) which is arranged within the control device housing (14), the measured value being dependent on a modification state of the control device housing (14), which ensures the integrity of the control device housing (14 ) indicates; comparing (S12) the determined measured value with a predetermined security value, the security value being predetermined by the measuring device (16) in a state with assured integrity of the control device housing (14); and activating (S14) a control device safety mode if the measured value deviates from the safety value by a predetermined tolerance value
Figure DE102022127499B3_0000

Description

Die Erfindung betrifft ein Verfahren zur Intrusionserkennung eines Steuergerätegehäuses eines Steuergerätes. Des Weiteren betrifft die Erfindung ein Steuergerät, das dazu ausgebildet ist, das Verfahren durchzuführen, und ein Kraftfahrzeug mit einem solchen Steuergerät.The invention relates to a method for detecting intrusion of a control device housing of a control device. The invention further relates to a control device that is designed to carry out the method and a motor vehicle with such a control device.

Steuergeräte für Kraftfahrzeuge sind üblicherweise mittels Softwaremaßnahmen gegen eine Intrusion, das heißt ein unbefugtes Eindringen und Zugreifen auf Daten des Steuergerätes, beispielsweise durch Hacken des Steuergerätes, geschützt. Jedoch sind Steuergeräte oftmals unzureichend vor physischen Eindringen und unbefugten Manipulieren der Hardware gesichert. Bei diesem sogenannten Hardwarehacking können beispielsweise Geräte direkt an Pins des Prozessors angeschlossen werden, um Stromschwankungen während der Verarbeitung zu messen, was beispielsweise dazu verwendet werden kann, um Softwareschlüssel herauszufinden.Control devices for motor vehicles are usually protected by software measures against intrusion, that is, unauthorized intrusion and access to data on the control device, for example by hacking the control device. However, control devices are often inadequately secured against physical intrusion and unauthorized manipulation of the hardware. In this so-called hardware hacking, for example, devices can be connected directly to pins on the processor to measure power fluctuations during processing, which can be used, for example, to find out software keys.

Aus der DE 102 46 888 A1 ist eine Diebstahlsicherungsvorrichtung bekannt, wobei ein intelligentes Warnetikett zum Sichern einer Ware gegen Entfernung wenigstens einen Signalgeber, eine Strahlungsquelle, einen strahlungsempfindlichen Sensor und eine Steuerungselektronik, die mit dem strahlungsempfindlichen Sensor verbunden ist und dessen Zustand abtastet, umfasst. Die Strahlungsquelle und der strahlungsempfindliche Sensor sind dabei in einem Gehäuse angeordnet und die Steuerungselektronik betätigt den Signalgeber, falls eine Änderung des Zustands des strahlungsempfindlichen Sensors abgetastet wird.From the DE 102 46 888 A1 an anti-theft device is known, wherein an intelligent warning label for securing goods against removal comprises at least a signal generator, a radiation source, a radiation-sensitive sensor and control electronics which is connected to the radiation-sensitive sensor and senses its status. The radiation source and the radiation-sensitive sensor are arranged in a housing and the control electronics actuates the signal transmitter if a change in the state of the radiation-sensitive sensor is sensed.

Aus der DE 10 2012 022 083 A1 ist eine Schutzschaltung für ein elektrisches Versorgungsnetz eines Kraftfahrzeugs bekannt. Die Schutzschaltung umfasst ein auf ein Auslösesignal eines Steuergeräts hin auslösbares Abschaltelement, das ausgebildet ist, um auf das Auslösesignal hin eine elektrische Verbindung über das Abschaltelement zwischen einem ersten Anschluss und einem zweiten Anschluss der Schutzschaltung zu unterbrechen, wobei das Abschaltelement ferner so ausgebildet ist, dass die elektrische Verbindung zwischen dem ersten und dem zweiten Anschluss durch das Abschaltelement nicht wieder durch ein Steuersignal des Steuergeräts herstellbar ist, und ein zu dem Abschaltelement zwischen dem ersten und dem zweiten Anschluss parallel geschalteten Sicherheitselement.From the DE 10 2012 022 083 A1 a protective circuit for an electrical supply network of a motor vehicle is known. The protective circuit comprises a shutdown element that can be triggered in response to a trigger signal from a control device and is designed to interrupt an electrical connection via the shutdown element between a first connection and a second connection of the protective circuit in response to the trigger signal, wherein the shutdown element is further designed so that the electrical connection between the first and the second connection through the switch-off element cannot be established again by a control signal from the control device, and a safety element connected in parallel to the switch-off element between the first and the second connection.

Ferner offenbart die Druckschrift DE 10 2017 203 190 A1 ein Steuergerät für ein Kraftfahrzeug mit einer Schutzeinrichtung zur Entwendungssicherung von digitalen Daten sowie ein Kraftfahrzeug, die Druckschrift DE 10 2011 007 572 A1 offenbart ein Verfahren zur Überwachung eines Tamperschutzes sowie ein Überwachungssystem für ein Feldgerät mit einem Tamperschutz und die Druckschrift EP 3 907 569 A1 offenbart ein Feldgerät mit einem Sicherheitsmodul, Nachrüstmodul für ein Feldgerät, ein Verfahren zur Einstellung einer IT-Sicherheitsstufe und Computerprogrammcode.Furthermore, the publication discloses DE 10 2017 203 190 A1 a control device for a motor vehicle with a protective device to protect against theft of digital data and a motor vehicle, the publication DE 10 2011 007 572 A1 discloses a method for monitoring tamper protection and a monitoring system for a field device with tamper protection and the publication EP 3 907 569 A1 discloses a field device with a security module, retrofit module for a field device, a method for setting an IT security level and computer program code.

Der Erfindung liegt die Aufgabe zugrunde, einen unerlaubten Zugriff auf ein Steuergerät zu erkennen.The invention is based on the object of detecting unauthorized access to a control device.

Diese Aufgabe wird durch die unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Patentansprüchen, der folgenden Beschreibung sowie den Figuren offenbart.This task is solved by the independent patent claims. Advantageous developments of the invention are disclosed in the dependent claims, the following description and the figures.

Die Erfindung basiert auf der Idee, dass dem Steuergerätegehäuse eine spezielle und eindeutige Messung hinzugefügt wird, um eine Beschädigung oder Öffnung des Steuergerätegehäuses sichtbar zu machen, insbesondere für eine gesicherte Softwareschicht des Steuergerätes. Dabei wird ein Messwert direkt bei der Herstellung des Steuergerätes in die sichere Softwareschicht hinzugefügt, indem beim ersten Starten der Messwert beziehungsweise Sicherheitswert bestimmt wird und dieser in der sicheren Softwareschicht beziehungsweise einer Steuereinheit des Steuergerätes gespeichert wird. Dieser Sicherheitswert kann dann Teil eines sicheren Startens des Steuergerätes sein. Dabei ist der Sicherheitswert vorzugsweise über eine gesamte Lebensdauer des Steuergerätes hinweg stabil. Im Falle einer Änderung dieses Messwerts, durch Öffnen oder Beschädigen des Steuergerätegehäuses, kann eine Änderung des Messwerts auftreten, wodurch das Steuergerät in einen Steuergerätesicherheitsmodus umgeschaltet werden kann, indem beispielsweise das Steuergerät entweder nicht mehr hochgefahren wird oder während der Laufzeit direkt in einen sicheren Zustand wechselt, in dem keine Datenabfragen mehr möglich sind. Vorzugsweise ist das Steuergerät dazu ausgebildet, den Messwert während einer Laufzeit periodisch zu messen.The invention is based on the idea that a special and unique measurement is added to the control device housing in order to make damage or opening of the control device housing visible, in particular for a secure software layer of the control device. A measured value is added to the secure software layer directly when the control device is manufactured by determining the measured value or safety value when it is first started and storing it in the secure software layer or a control unit of the control device. This safety value can then be part of a safe start of the control device. The safety value is preferably stable over the entire lifespan of the control device. In the event of a change in this measured value due to opening or damage to the control device housing, a change in the measured value can occur, whereby the control device can be switched to a control device safety mode, for example by either no longer booting the control device or switching directly to a safe state during runtime , in which data queries are no longer possible. The control device is preferably designed to measure the measured value periodically during a running time.

Durch die Erfindung ist ein Verfahren zur Intrusionserkennung eines Steuergerätegehäuses eines Steuergerätes bereitgestellt. Das Verfahren umfasst als Schritte ein Ermitteln eines Messwerts durch eine Messeinrichtung, die innerhalb des Steuergerätegehäuses angeordnet ist, wobei der Messwert von einem Modifikationszustand des Steuergerätegehäuses abhängig ist, der eine Integrität des Steuergerätegehäuses angibt, ein Vergleichen des ermittelten Messwerts mit einem vorbestimmten Sicherheitswert, wobei der Sicherheitswert durch die Messeinrichtung in einem Zustand mit gesicherter Integrität des Steuergerätegehäuses vorbestimmt wird, und ein Aktivieren eines Steuergerätesicherheitsmodus, falls der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweicht.The invention provides a method for intrusion detection of a control device housing of a control device. The method includes the steps of determining a measured value by a measuring device which is arranged within the control device housing, the measured value being dependent on a modification state of the control device housing, which indicates an integrity of the control device housing, comparing the determined measured value with a predetermined security value, wherein the Safety value through the measuring device in a state with assured integrity of the control device housing is predetermined, and activating a control device safety mode if the measured value deviates from the safety value by a predetermined tolerance value.

Mit anderen Worten befindet sich in dem Steuergerätegehäuse des Steuergerätes eine Messeinrichtung, die mittels eines Messwerts einen Zustand des Steuergerätegehäuses bestimmt. Dabei ist der Messwert abhängig von einem Modifikationszustand des Steuergerätegehäuses, wobei der Modifikationszustand angibt, ob das Steuergerätegehäuse in einem ursprünglichen unversehrten Zustand ist oder geöffnet und/oder beschädigt wurde. Das heißt, der Modifikationszustand gibt eine Integrität beziehungsweise Unversehrtheit des Steuergerätegehäuses an. Die Messeinrichtung kann dabei eine elektronische Messeinrichtung sein, die beispielsweise Spannungswerte von Verbindungen am Steuergerätegehäuse bestimmt, wobei sich diese Messwerte bei Öffnen des Steuergerätegehäuses ändern. Die Messeinrichtung kann auch eine optische Messeinrichtung sein, die optische Signale innerhalb des Steuergerätegehäuses ermittelt, wobei bei einer Änderung dieser optischen Signale eine Öffnung beziehungsweise Beschädigung des Steuergerätegehäuses ermittelt werden kann.In other words, there is a measuring device in the control device housing of the control device, which determines a state of the control device housing using a measured value. The measured value depends on a modification state of the control unit housing, the modification state indicating whether the control unit housing is in an original, undamaged state or has been opened and/or damaged. This means that the modification state indicates the integrity or intactness of the control unit housing. The measuring device can be an electronic measuring device which, for example, determines voltage values of connections on the control device housing, with these measured values changing when the control device housing is opened. The measuring device can also be an optical measuring device that detects optical signals within the control device housing, whereby if these optical signals change, an opening or damage to the control device housing can be determined.

Nachdem der Messwert ermittelt wurde, kann dieser mit einem vorbestimmten Sicherheitswert verglichen werden. Der Sicherheitswert kann dabei der Messwert sein, der bei einem ersten Starten des Steuergerätes durch die Messeinrichtung ermittelt wurde, und bei dem eine gesicherte Integrität beziehungsweise Unversehrtheit des Steuergerätegehäuses vorhanden ist. Dieses Vergleichen kann beispielsweise durch eine Steuereinheit des Steuergerätes durchgeführt werden, wobei die Steuereinheit einen oder mehrere Prozessoren umfassen kann, die dazu ausgebildet sind, den Vergleich mittels eines Algorithmus durchzuführen. Weicht der Messwert von dem Sicherheitswert ab, indem dieser beispielsweise größer oder kleiner als der Sicherheitswert ist, kann ein Steuergerätesicherheitsmodus aktiviert werden. Hierbei ist vorzugsweise vorgesehen, dass der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweichen muss, bevor der Steuergerätesicherheitsmodus aktiviert wird.After the measured value has been determined, it can be compared with a predetermined safety value. The safety value can be the measured value that was determined by the measuring device when the control device was first started and in which there is assured integrity or integrity of the control device housing. This comparison can be carried out, for example, by a control unit of the control device, wherein the control unit can comprise one or more processors which are designed to carry out the comparison using an algorithm. If the measured value deviates from the safety value, for example by being larger or smaller than the safety value, a control device safety mode can be activated. It is preferably provided here that the measured value must deviate from the safety value by a predetermined tolerance value before the control device safety mode is activated.

Der Steuergerätesicherheitsmodus kann vorzugsweise Funktionen des Steuergerätes einschränken, insbesondere eine Datenkommunikation und/oder einen Datenzugriff auf das Steuergerät. Alternativ oder zusätzlich kann in dem Steuergerätesicherheitsmodus auch ein erneutes Starten des Steuergerätes unterbunden werden, wobei vorzugsweise nach Aktivieren des Steuergerätesicherheitsmodus das Steuergerät heruntergefahren wird.The control device security mode can preferably restrict functions of the control device, in particular data communication and/or data access to the control device. Alternatively or additionally, restarting the control device can also be prevented in the control device security mode, with the control device preferably being shut down after activating the control device security mode.

Das Verfahren kann besonders bevorzugt bei jedem Starten des Steuergerätes durchgeführt werden und/oder periodisch in vorgegebenen Zeitabständen während einer Laufzeit des Steuergerätes. Ein Deaktivieren des Steuergerätesicherheitsmodus kann vorzugsweise nur durch spezielle Maßnahmen eines Herstellers des Steuergerätes durchgeführt werden, insbesondere mit einem gesicherten Softwareschlüssel.The method can particularly preferably be carried out every time the control device is started and/or periodically at predetermined time intervals during a running time of the control device. Deactivating the control device security mode can preferably only be carried out through special measures by a manufacturer of the control device, in particular with a secured software key.

Ferner sieht die Erfindung vor, dass die Messeinrichtung eine Lichtquelle mit einem Streuelement und zumindest einem Lichtsensor umfasst, wobei der Lichtsensor als Messwert einen Helligkeitswert misst. Mit anderen Worten kann das Steuergerätegehäuse vorzugsweise opak sein, wobei innerhalb des Steuergerätegehäuses als Messeinrichtung eine Lichtquelle bereitgestellt ist und zumindest ein Lichtsensor. Des Weiteren ist ein Streuelement bereitgestellt, beispielsweise an der Lichtquelle und/oder einer Innenseite des Steuergerätegehäuses, das das Licht von der Lichtquelle innerhalb des Steuergerätegehäuses streut. Ferner ist das Streuelement bereitgestellt, um das Licht der Lichtquelle gemäß einer zufälligen Charakteristik zu streuen, wobei der Lichtsensor als Helligkeitswert bei einem unbeschädigten Steuergerätegehäuse den dadurch entstehenden Helligkeitswert als Sicherheitswert misst. Wird das Steuergerätegehäuse beschädigt, kann durch eine veränderte Streuung des Lichts und/oder zusätzlich einstrahlendes Licht ein anderer Messwert von dem Lichtsensor gemessen werden, was eine Beschädigung des Steuergerätegehäuses anzeigen kann. Die Lichtquelle kann vorzugsweise ein Licht in einem visuellen oder infraroten Spektralbereich abstrahlen, wobei der Lichtsensor dazu ausgebildet ist, einen Helligkeitswert in dem entsprechenden Spektralbereich zu messen.The invention further provides that the measuring device comprises a light source with a scattering element and at least one light sensor, the light sensor measuring a brightness value as a measured value. In other words, the control device housing can preferably be opaque, with a light source and at least one light sensor being provided as a measuring device within the control device housing. Furthermore, a scattering element is provided, for example on the light source and/or an inside of the control device housing, which scatters the light from the light source within the control device housing. Furthermore, the scattering element is provided to scatter the light from the light source according to a random characteristic, with the light sensor measuring the resulting brightness value as a safety value as a brightness value in the case of an undamaged control device housing. If the control unit housing is damaged, a different measured value can be measured by the light sensor due to a change in the scattering of the light and/or additional incident light, which can indicate damage to the control unit housing. The light source can preferably emit light in a visual or infrared spectral range, with the light sensor being designed to measure a brightness value in the corresponding spectral range.

Des Weiteren sieht die Erfindung vor, dass das Streuelement Licht von der Lichtquelle mit einer zufälligen Verteilung in einen Raum innerhalb des Steuergerätegehäuses streut. Somit ergibt sich eine eindeutige und charakteristische Lichtverteilung, die nach Öffnen des Steuergerätegehäuses nicht wiederhergestellt werden kann. Das Streuelement kann beispielsweise ein transparentes Streumedium mit einer inhomogenen Struktur umfassen, beispielsweise einen Kristall mit Linienfehlern und/oder Flächenfehlern. Hierdurch ergibt sich der Vorteil, dass es nach Öffnen des Steuergerätegehäuses erschwert wird, die Lichtverteilung wieder gemäß dem Ursprungszustand herzustellen. Furthermore, the invention provides that the scattering element scatters light from the light source with a random distribution into a space within the control device housing. This results in a clear and characteristic light distribution that cannot be restored after opening the control unit housing. The scattering element can, for example, comprise a transparent scattering medium with an inhomogeneous structure, for example a crystal with line defects and/or surface defects. This has the advantage that, after opening the control unit housing, it becomes more difficult to restore the light distribution to its original state.

Durch die Erfindung ergibt sich der Vorteil, dass ein Öffnen und/oder Beschädigen des Steuergerätegehäuses erkannt werden kann, was ein Hardwarehacking erschwert. Somit kann eine Sicherheit des Steuergerätes gesteigert werden.The invention has the advantage that opening and/or damage to the control unit housing can be detected, which makes hardware hacking more difficult. The safety of the control device can thus be increased.

Die Erfindung umfasst auch Weiterbildungen, durch die sich zusätzliche Vorteile ergeben.The invention also includes further developments that result in additional advantages.

Eine Weiterbildung sieht vor, dass zumindest eine Verbindungsstruktur des Steuergerätegehäuses einen elektrischen Widerstand mit einem eindeutigen Widerstandswert aufweist, wobei die Messeinrichtung als Messwert einen Spannungsabfall über den Widerstand misst. Mit anderen Worten können Teile des Steuergerätegehäuses, die geöffnet werden müssen, um an die Hardware des Steuergerätes zu gelangen, mit einem Widerstand verbunden werden, der einen eindeutigen Widerstandswert aufweist. Die Messeinrichtung kann den Spannungsabfall über dem Widerstand messen, um den Messwert zu bestimmen. Wird das Gehäuse geöffnet und der Widerstand beschädigt, kann somit eine Intrusion des Steuergerätegehäuses erkannt werden. Die Verbindungsstruktur kann eine Verbindungsstelle des Steuergerätegehäuses sein, an der zumindest zwei Bauteile des Steuergeräts verbunden sind, insbesondere eine Verbindung des Steuergerätegehäuses mit einer Platine des Steuergerätes. Beispielsweise können als Verbindungsstruktur Schrauben, Lötstellen, Verklebungen und/oder Verschweißungen des Steuergerätegehäuses mit dem Widerstand versehen sein oder selbst als Widerstand ausgebildet sein. Durch diese Weiterbildung ergibt sich der Vorteil, dass ein Öffnen des Steuergerätegehäuses an der Verbindungsstruktur erkannt werden kann.A further development provides that at least one connection structure of the control device housing has an electrical resistance with a unique resistance value, with the measuring device measuring a voltage drop across the resistance as a measured value. In other words, parts of the control unit housing that must be opened to access the control unit hardware can be connected to a resistor that has a unique resistance value. The measuring device can measure the voltage drop across the resistance to determine the measured value. If the housing is opened and the resistor is damaged, an intrusion of the control unit housing can be detected. The connection structure can be a connection point of the control device housing, to which at least two components of the control device are connected, in particular a connection of the control device housing to a circuit board of the control device. For example, screws, solder joints, adhesive bonds and/or welds of the control unit housing can be provided with the resistance as a connecting structure or can themselves be designed as a resistance. This development has the advantage that an opening of the control unit housing can be detected on the connection structure.

Eine weitere Weiterbildung sieht vor, dass an einer Innenseite des Steuergerätegehäuses oder in das Steuergerätegehäuse integriert eine Drahtstruktur, insbesondere ein Drahtgitter, angeordnet ist, wobei die Messeinrichtung als Messwert einen angelegten Spannungswert an der Drahtstruktur misst. Mit anderen Worten kann an der Innenseite oder in eine Wand des Steuergerätegehäuses eine Drahtstruktur bereitgestellt sein, wobei die Messeinrichtung eine Spannung misst, die an der Drahtstruktur angelegt ist. Wird die Drahtstruktur beschädigt, ändert sich der Spannungswert, wodurch ein Eindringen in das Steuergerätegehäuse erkannt wird. Die Drahtstruktur kann beispielsweise ein mäanderförmiger Draht sein, der in oder an dem Steuergerätegehäuse angeordnet ist. Die Drahtstruktur kann auch in Form eines Drahtgitters über die Oberfläche oder in dem Steuergerätegehäuse vorgesehen sein, also flächig an Wänden des Steuergerätegehäuses. Besonders bevorzugt können auch ein oder mehrere Widerstände mit vorgegebenen Widerstandswerten in der Drahtstruktur bereitgestellt sein. Durch diese Weiterbildung ergibt sich der Vorteil, dass auch ein Herausschneiden von Teilen aus dem Steuergerätegehäuse und somit ein Beschädigen der Drahtstruktur zu einer Erkennung einer Intrusion führt.A further development provides that a wire structure, in particular a wire grid, is arranged on an inside of the control device housing or integrated into the control device housing, with the measuring device measuring an applied voltage value on the wire structure as a measured value. In other words, a wire structure can be provided on the inside or in a wall of the control device housing, with the measuring device measuring a voltage that is applied to the wire structure. If the wire structure is damaged, the voltage value changes, which detects intrusion into the control unit housing. The wire structure can, for example, be a meandering wire that is arranged in or on the control unit housing. The wire structure can also be provided in the form of a wire mesh over the surface or in the control device housing, i.e. flat on the walls of the control device housing. Particularly preferably, one or more resistors with predetermined resistance values can also be provided in the wire structure. This development has the advantage that even cutting parts out of the control unit housing and thus damaging the wire structure leads to an intrusion being detected.

Vorzugsweise kann durch die Lichtquelle ein Laserstrahl abgestrahlt werden. Das bedeutet, dass die Lichtquelle einen Laser aufweist, der einen Laserstrahl auf ein oder mehrere Streuelemente innerhalb des Steuergerätegehäuses abstrahlen kann, wobei die Streuelemente das Laserlicht in dem Steuergerätegehäuse verteilen können. Der eine oder vorzugsweise mehrere Lichtsensoren können dann einen jeweiligen Helligkeitswert dieser Streuung messen, womit festgestellt werden kann, ob ein Eindringen in das Steuergerätegehäuse vorliegt oder nicht.Preferably, a laser beam can be emitted by the light source. This means that the light source has a laser that can radiate a laser beam onto one or more scattering elements within the control device housing, wherein the scattering elements can distribute the laser light in the control device housing. The one or preferably several light sensors can then measure a respective brightness value of this scatter, with which it can be determined whether there is an intrusion into the control unit housing or not.

Eine weitere Weiterbildung sieht vor, dass die Messeinrichtung einen Lichtsensor mit einem daran angeschlossenen Kondensator aufweist, wobei der Kondensator durch den Lichtsensor bei Einstrahlung von Licht aufgeladen wird, wobei als Messwert eine Kondensatorspannung gemessen wird. Mit anderen Worten kann im Steuergerätegehäuse ein Lichtsensor bereitgestellt sein, an dem ein Kondensator angeschlossen ist. Der Kondensator ist in einem Initialzustand vorzugsweise umgeladen, sodass als Messwert bei einem unbeschädigten Steuergerätegehäuse keine Kondensatorspannung vorhanden ist. Wird das Steuergerätegehäuse geöffnet, kann der Kondensator durch den Lichtsensor aufgeladen werden, wobei diese veränderte Kondensatorspannung das Öffnen des Gehäuses anzeigen kann, auch nachdem das Steuergerätegehäuse wieder verschlossen wird. Hierdurch ergibt sich der Vorteil, dass eine weitere bevorzugte Ausgestaltungsform zur Erkennung einer Intrusion erreicht werden kann.A further development provides that the measuring device has a light sensor with a capacitor connected to it, the capacitor being charged by the light sensor when light is irradiated, a capacitor voltage being measured as the measured value. In other words, a light sensor to which a capacitor is connected can be provided in the control unit housing. The capacitor is preferably re-charged in an initial state, so that no capacitor voltage is present as a measured value in an undamaged control unit housing. If the control device housing is opened, the capacitor can be charged by the light sensor, whereby this changed capacitor voltage can indicate the opening of the housing, even after the control device housing is closed again. This results in the advantage that a further preferred embodiment for detecting an intrusion can be achieved.

In einer weiteren Weiterbildung ist vorgesehen, dass durch den Steuergerätesicherheitsmodus ein Starten des Steuergerätes verhindert wird und/oder eine Datenkommunikation des Steuergerätes eingeschränkt wird. Das heißt, dass das Steuergerät nicht mehr gestartet werden kann, wenn der Steuergerätesicherheitsmodus einmal aktiviert wird, womit ein weiterer Zugriff auf das Steuergerät verhindert werden kann. Vorzugweise ist vorgesehen, dass nach Aktivierung des Steuergerätesicherheitsmodus auch ein Herunterfahren des Steuergerätes veranlasst wird. Alternativ oder zusätzlich kann eine Datenkommunikation des Steuergerätes eingeschränkt werden, was bedeutet, dass ein Datenzugriff beziehungsweise eine Datenabfrage auf das Steuergerät und/oder ein Aussenden von Steuerbefehlen durch das Steuergerät blockiert werden kann. Vorzugsweise kann bei der Datenkommunikation ein vorgegebener Satz von Funktionen aufrecht erhalten werden, die für eine Sicherheit notwendig sind. Hierdurch ergibt sich der Vorteil, dass ein Schutz des Steuergerätes erhöht werden kann.In a further development it is provided that the control device safety mode prevents the control device from starting and/or restricts data communication of the control device. This means that once the ECU security mode is activated, the ECU can no longer be started, which can prevent further access to the ECU. It is preferably provided that the control device is also shut down after activation of the control device security mode. Alternatively or additionally, data communication of the control device can be restricted, which means that data access or a data query to the control device and/or the sending of control commands by the control device can be blocked. Preferably, a predetermined set of functions that are necessary for security can be maintained in data communication. This has the advantage that protection of the control device can be increased.

Ein weiterer Aspekt der Erfindung betrifft ein Steuergerät, umfassend ein Steuergerätegehäuse, eine Messeinrichtung, die innerhalb des Steuergerätegehäuses angeordnet ist, und eine Steuereinheit, wobei die Messeinrichtung dazu ausgebildet ist, einen Messwert zu ermitteln, der von einem Modifikationszustand des Steuergerätegehäuses abhängig ist, wobei die Steuereinheit dazu ausgebildet ist, den ermittelten Messwert mit einem vorbestimmten Sicherheitswert, der durch die Messeinrichtung in einem Zustand mit gesicherter Integrität des Steuergerätegehäuses vorbestimmt ist, zu vergleichen, und einen Steuergerätesicherheitsmodus zu aktivieren, falls der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweicht. Hierbei ergeben sich gleiche Vorteile und Variationsmöglichkeiten wie bei dem Verfahren.A further aspect of the invention relates to a control device comprising a control device housing, a measuring device which is arranged within the control device housing, and a control unit, the measuring device being designed to: to determine a measured value that is dependent on a modification state of the control device housing, wherein the control unit is designed to compare the determined measured value with a predetermined security value that is predetermined by the measuring device in a state with assured integrity of the control device housing, and a control device security mode to be activated if the measured value deviates from the safety value by a specified tolerance value. This results in the same advantages and possible variations as with the process.

Erfindungsgemäß ist auch ein Kraftfahrzeug mit einem solchen Steuergerät bereitgestellt. Das erfindungsgemäße Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet.According to the invention, a motor vehicle is also provided with such a control device. The motor vehicle according to the invention is preferably designed as a motor vehicle, in particular as a passenger car or truck, or as a passenger bus or motorcycle.

Für Anwendungsfälle oder Anwendungssituationen, die sich bei dem Verfahren ergeben können und die hier nicht explizit beschrieben sind, kann vorgesehen sein, dass gemäß dem Verfahren eine Fehlermeldung und/oder eine Aufforderung zur Eingabe einer Nutzerrückmeldung ausgegeben und/oder eine Standardeinstellung und/oder ein vorbestimmter Initialzustand eingestellt wird.For use cases or application situations that may arise with the method and that are not explicitly described here, it can be provided that an error message and/or a request to enter user feedback and/or a standard setting and/or a predetermined one can be issued according to the method Initial state is set.

Zu der Erfindung gehört auch die Steuervorrichtung für das Kraftfahrzeug. Die Steuervorrichtung kann eine Datenverarbeitungsvorrichtung oder eine Prozessoreinrichtung aufweisen, die dazu eingerichtet ist, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Prozessoreinrichtung kann hierzu zumindest einen Mikroprozessor und/oder zumindest einen Mikrocontroller und/oder zumindest einen FPGA (Field Programmable Gate Array) und/oder zumindest einen DSP (Digital Signal Processor) aufweisen. Des Weiteren kann die Prozessoreinrichtung Programmcode aufweisen, der dazu eingerichtet ist, bei Ausführen durch die Prozessoreinrichtung die Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessoreinrichtung gespeichert sein. Die Prozessorschaltung der Prozessoreinrichtung kann z.B. zumindest eine Schaltungsplatine und/oder zumindest ein SoC (System on Chip) aufweisen.The invention also includes the control device for the motor vehicle. The control device can have a data processing device or a processor device that is set up to carry out an embodiment of the method according to the invention. For this purpose, the processor device can have at least one microprocessor and/or at least one microcontroller and/or at least one FPGA (Field Programmable Gate Array) and/or at least one DSP (Digital Signal Processor). Furthermore, the processor device can have program code that is designed to carry out the embodiment of the method according to the invention when executed by the processor device. The program code can be stored in a data memory of the processor device. The processor circuit of the processor device can, for example, have at least one circuit board and/or at least one SoC (System on Chip).

Zu der Erfindung gehören auch Weiterbildungen des erfindungsgemäßen Steuergeräts, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Verfahrens beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen des erfindungsgemäßen Steuergeräts hier nicht noch einmal beschrieben.The invention also includes further developments of the control device according to the invention, which have features as have already been described in connection with the further developments of the method according to the invention. For this reason, the corresponding developments of the control device according to the invention are not described again here.

Als eine weitere Lösung umfasst die Erfindung auch ein computerlesbares Speichermedium, umfassend Programmcode, der bei der Ausführung durch eine Prozessorschaltung eines Computers oder eines Computerverbunds diese veranlasst, eine Ausführungsform des erfindungsgemäßen Verfahrens auszuführen. Das Speichermedium kann z.B. zumindest teilweise als ein nichtflüchtiger Datenspeicher (z.B. als eine Flash-Speicher und/oder als SSD - solid state drive) und/oder zumindest teilweise als ein flüchtiger Datenspeicher (z.B. als ein RAM - random access memory) bereitgestellt sein. Das Speichermedium kann in der Prozessorschaltung in deren Datenspeicher angeordnet sein. Das Speichermedium kann aber auch beispielsweise als sogenannter Appstore-Server im Internet betrieben sein. Durch den Computer oder Computerverbund kann eine Prozessorschaltung mit zumindest einem Mikroprozessor bereitgestellt sein. Der Programmcode können als Binärcode oder Assembler und/oder als Quellcode einer Programmiersprache (z.B. C) und/oder als Programmskript (z.B. Python) bereitgestellt sein.As a further solution, the invention also includes a computer-readable storage medium comprising program code which, when executed by a processor circuit of a computer or a computer network, causes it to carry out an embodiment of the method according to the invention. The storage medium can, for example, be provided at least partially as a non-volatile data storage (e.g. as a flash memory and/or as an SSD - solid state drive) and/or at least partially as a volatile data storage (e.g. as a RAM - random access memory). The storage medium can be arranged in the processor circuit in its data memory. The storage medium can also be operated on the Internet as a so-called app store server, for example. The computer or computer network can provide a processor circuit with at least one microprocessor. The program code can be provided as binary code or assembler and/or as source code of a programming language (e.g. C) and/or as a program script (e.g. Python).

Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen. Die Erfindung umfasst also auch Realisierungen, die jeweils eine Kombination der Merkmale mehrerer der beschriebenen Ausführungsformen aufweisen, sofern die Ausführungsformen nicht als sich gegenseitig ausschließend beschrieben wurden.The invention also includes the combinations of the features of the described embodiments. The invention therefore also includes implementations that each have a combination of the features of several of the described embodiments, provided that the embodiments have not been described as mutually exclusive.

Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt:

  • 1 ein Kraftfahrzeug mit einem Steuergerät gemäß einer beispielhaften Ausführungsform;
  • 2 ein Kraftfahrzeug mit einem Steuergerät gemäß einer weiteren beispielhaften Ausführungsform;
  • 3 ein Kraftfahrzeug mit einem Steuergerät gemäß einer weiteren beispielhaften Ausführungsform;
  • 4 ein Kraftfahrzeug mit einem Steuergerät gemäß einer weiteren beispielhaften Ausführungsform;
  • 5 ein schematisches Verfahrensdiagramm gemäß einer beispielhaften Ausführungsform.
Exemplary embodiments of the invention are described below. This shows:
  • 1 a motor vehicle with a control device according to an exemplary embodiment;
  • 2 a motor vehicle with a control device according to a further exemplary embodiment;
  • 3 a motor vehicle with a control device according to a further exemplary embodiment;
  • 4 a motor vehicle with a control device according to a further exemplary embodiment;
  • 5 a schematic process diagram according to an exemplary embodiment.

Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.The exemplary embodiments explained below are preferred embodiments of the invention. In the exemplary embodiments, the described components of the embodiments each represent individual features of the invention that are to be considered independently of one another and which also further develop the invention independently of one another. Therefore the revelation should also be different than those presented Combinations of the features of the embodiments include. Furthermore, the described embodiments can also be supplemented by further features of the invention that have already been described.

In den Figuren bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.In the figures, the same reference numerals designate functionally identical elements.

Die in den nachfolgenden 1 bis 4 gezeigten Ausführungsformen des Steuergerätes können einzeln oder in Kombination für ein Steuergerät umgesetzt sein. Insbesondere kann vorgesehen sein, dass alle Ausbildungen des Steuergerätes der 1 bis 4 in einem einzigen Steuergerät umgesetzt sind.Those in the following 1 until 4 The embodiments of the control device shown can be implemented individually or in combination for a control device. In particular, it can be provided that all designs of the control device 1 until 4 are implemented in a single control unit.

In 1 ist ein stark schematisiertes Kraftfahrzeug 10 mit einem Steuergerät 12 gemäß einer beispielhaften Ausführungsform dargestellt. Das Steuergerät 12, das im Kraftfahrzeug 10 angeordnet und eine Fahrzeugfunktion steuern kann, kann neben elektronischen Komponenten, wie beispielsweise einem oder mehreren Prozessoren oder Mikroprozessoren, die in dieser Fig. nicht dargestellt sind, zumindest ein Steuergerätegehäuse 14 aufweisen, das die elektronischen Komponenten vor Umwelteinflüssen und einem unbefugten Zugriff schützt.In 1 A highly schematic motor vehicle 10 is shown with a control device 12 according to an exemplary embodiment. The control unit 12, which is arranged in the motor vehicle 10 and can control a vehicle function, can have, in addition to electronic components, such as one or more processors or microprocessors, which are not shown in this figure, at least one control unit housing 14, which protects the electronic components from environmental influences and protects against unauthorized access.

Des Weiteren können in dem Steuergerätegehäuse 14 eine Messeinrichtung 16 und eine Steuereinheit 18 vorgesehen sein, um einen unerlaubten Zugriff auf eine Hardware des Steuergerätes 12 beziehungsweise eine Intrusionserkennung durchzuführen.Furthermore, a measuring device 16 and a control unit 18 can be provided in the control device housing 14 in order to carry out unauthorized access to hardware of the control device 12 or to carry out intrusion detection.

In dieser Ausführungsform kann die Messeinrichtung 16 an einer Verbindungsstruktur 20, die Übergänge beziehungsweise Verbindungen des Steuergerätegehäuses 14 zum Öffnen von diesem verbindet, einen elektrischen Widerstand mit einem eindeutigen Widerstandswert aufweisen. Über diesen Widerstand kann die Messeinrichtung 16 einen Spannungsabfall als Messwert messen, wobei der Widerstand dazu ausgebildet ist, einen Widerstandswert in Abhängigkeit eines Modifikationszustands des Steuergerätegehäuses 14 zu ändern. Das bedeutet, dass, falls das Gehäuse 14 geöffnet wurde, kann sich der Widerstandswert ändert, wodurch die Messeinrichtung 16 einen veränderten Spannungsabfall über den Widerstand misst. Im einfachsten Fall kann eine Verbindungsstelle des Widerstands mit dem Steuergerätegehäuse 14 bei Öffnen des Gehäuses getrennt werden, wodurch sich der Widerstandswert ändert. Die Verbindungsstruktur 20 kann jedoch auch in Form einer Schraubverbindung mit dem Steuergerätegehäuse 14 vorliegen, wobei der elektrische Widerstand als Potentiometer ausgebildet ist, der bei Verändern der Schraubverbindung seinen Widerstandswert verändert.In this embodiment, the measuring device 16 can have an electrical resistance with a unique resistance value on a connection structure 20, which connects transitions or connections of the control device housing 14 in order to open it. The measuring device 16 can measure a voltage drop as a measured value via this resistor, the resistor being designed to change a resistance value depending on a modification state of the control device housing 14. This means that if the housing 14 has been opened, the resistance value can change, whereby the measuring device 16 measures a changed voltage drop across the resistance. In the simplest case, a connection point between the resistor and the control unit housing 14 can be separated when the housing is opened, which changes the resistance value. However, the connection structure 20 can also be in the form of a screw connection with the control unit housing 14, with the electrical resistance being designed as a potentiometer, which changes its resistance value when the screw connection is changed.

Die von der Messeinrichtung 16 ermittelten Messwerte können dann durch die Steuereinheit mit einem vorbestimmten Sicherheitswert verglichen werden, um eine Modifikation des Steuergerätegehäuses 14 festzustellen. Dabei kann der Sicherheitswert vorzugsweise durch die Messeinrichtung 16 in einem Zustand mit gesicherter Integrität des Steuergerätegehäuses 14 vorbestimmt werden. Das bedeutet, dass der Sicherheitswert in einem Initialzustand bei einem ersten Starten des Steuergerätes 12 ermittelt werden kann und in einem Speicher der Steuereinheit 18 gespeichert werden kann. Somit kann beispielsweise bei jedem Neustart des Steuergerätes 12 oder periodisch nach vorgegebenen Zeitabständen der Messwert der Messeinrichtung 16 mit dem Sicherheitswert verglichen werden.The measured values determined by the measuring device 16 can then be compared by the control unit with a predetermined safety value in order to determine a modification of the control device housing 14. The safety value can preferably be predetermined by the measuring device 16 in a state with assured integrity of the control device housing 14. This means that the security value can be determined in an initial state when the control device 12 is started for the first time and can be stored in a memory of the control unit 18. Thus, for example, the measured value of the measuring device 16 can be compared with the safety value every time the control device 12 is restarted or periodically after predetermined time intervals.

Wird durch die Steuereinheit 18 festgestellt, dass der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweicht, kann die Steuereinheit 18 einen Steuergerätesicherheitsmodus aktivieren. Der Toleranzwert kann dabei vorgesehen sein, um eine Sensitivität der Intrusionserkennung einzustellen und eine ungewollte Aktivierung des Steuergerätesicherheitsmodus bei Schwankungen, die beispielsweise aufgrund von Erschütterungen auftreten können, zu vermeiden. Der Toleranzwert kann vorzugsweise fünf Prozent oder zehn Prozent des Sicherheitswerts betragen.If the control unit 18 determines that the measured value deviates from the safety value by a predetermined tolerance value, the control unit 18 can activate a control device safety mode. The tolerance value can be provided in order to set the sensitivity of the intrusion detection and to avoid unwanted activation of the control device security mode in the event of fluctuations that can occur, for example, due to vibrations. The tolerance value can preferably be five percent or ten percent of the safety value.

Im Steuergerätesicherheitsmodus kann beispielsweise die Intrusionserkennung in der Steuereinheit abgespeichert und nach außen gemeldet werden, insbesondere an das Kraftfahrzeug 10. Des Weiteren kann im Steuergerätesicherheitsmodus vorgesehen sein, dass ein Starten des Steuergerätes 12 verhindert wird und/oder eine Datenkommunikation des Steuergerätes 12 eingeschränkt wird. Insbesondere kann vorgesehen sein, dass bei der Einschränkung der Datenkommunikation keine Daten des Steuergerätes 12 mehr ausgelesen werden können. Um den Steuergerätesicherheitsmodus zu deaktivieren, können vorzugsweise spezielle Maßnahmen durch einen Steuergerätehersteller beziehungsweise einen Kraftfahrzeughersteller durchgeführt werden, beispielsweise durch eine Freischaltung per Softwareschlüssel.In the control device security mode, for example, the intrusion detection can be stored in the control unit and reported externally, in particular to the motor vehicle 10. Furthermore, in the control device security mode, it can be provided that starting the control device 12 is prevented and / or data communication of the control device 12 is restricted. In particular, it can be provided that if data communication is restricted, data from the control device 12 can no longer be read out. In order to deactivate the control unit security mode, special measures can preferably be carried out by a control unit manufacturer or a motor vehicle manufacturer, for example by activation using a software key.

In 2 ist eine weitere beispielhafte Ausführungsform mit einem Kraftfahrzeug 10 und einem Steuergerät 12 dargestellt. In dieser Ausführungsform kann an einer Innenseite des Steuergerätegehäuses 14 beziehungsweise, wie hier dargestellt, in das Steuergerätegehäuse 14 integriert eine Drahtstruktur 22 bereitgestellt sein. Durch die Messeinrichtung 16 kann eine Spannung beziehungsweise einen Strom an der Drahtstruktur 22 angelegt sein, wobei ein elektrischer Parameter, insbesondere ein Spannungswert, als Messwert gemessen wird, der durch die Steuereinheit 18 mit dem Sicherheitswert verglichen wird.In 2 a further exemplary embodiment with a motor vehicle 10 and a control device 12 is shown. In this embodiment, a wire structure 22 can be provided on an inside of the control device housing 14 or, as shown here, integrated into the control device housing 14. The measuring device 16 can be used to apply a voltage or a current to the wire structure 22 be, wherein an electrical parameter, in particular a voltage value, is measured as a measured value, which is compared by the control unit 18 with the safety value.

Wird nun ein Öffnen des Steuergerätegehäuses 14 und/oder ein Aufschneiden einer Wand des Steuergerätegehäuses 14 durchgeführt, kann die Messeinrichtung 16 einen veränderten Spannungswert an der Drahtstruktur 22 messen, wodurch die Steuereinheit 18 den Steuergerätesicherheitsmodus aktivieren kann.If the control device housing 14 is now opened and/or a wall of the control device housing 14 is cut open, the measuring device 16 can measure a changed voltage value on the wire structure 22, whereby the control unit 18 can activate the control device security mode.

In 3 ist eine Ausführungsform des Steuergerätes 12 in dem Kraftfahrzeug 10 dargestellt. In dieser Ausführungsform kann die Messeinrichtung 16 eine Lichtquelle 24, ein Streuelement 26 und einen oder mehrere Lichtsensoren 28 aufweisen. Die Lichtquelle 24, die vorzugsweise als Laser zum Abstrahlen eines Laserstrahls ausgebildet ist, kann Lichtstrahlen auf das Streuelement 26 abstrahlen, wobei das Streuelement 26 das Licht der Lichtquelle 24 mit einer zufälligen Verteilung innerhalb des Steuergerätegehäuses 14 streut. Das bedeutet, dass das Streuelement 26, das beispielsweise als Kristall mit Linienfehlern und/oder Flächenfehlern oder Glassplitter ausgebildet sein kann, eine zufällige optische Brechung aufweist, durch die das Licht gestreut wird, wobei vorzugsweise an der Innenseite des Gehäuses das Licht ebenfalls gestreut beziehungsweise reflektiert wird.In 3 an embodiment of the control device 12 in the motor vehicle 10 is shown. In this embodiment, the measuring device 16 can have a light source 24, a scattering element 26 and one or more light sensors 28. The light source 24, which is preferably designed as a laser for emitting a laser beam, can emit light beams onto the scattering element 26, the scattering element 26 scattering the light from the light source 24 with a random distribution within the control device housing 14. This means that the scattering element 26, which can be designed, for example, as a crystal with line defects and/or surface defects or glass splinters, has a random optical refraction through which the light is scattered, the light preferably also being scattered or reflected on the inside of the housing becomes.

Der oder die Lichtsensoren 28, die beispielsweise als Photomultiplier oder Photodioden ausgebildet sein können, können das gestreute Licht in Form eines Helligkeitswerts messen und die Messeinrichtung 16 kann somit einen eindeutigen Strom für dieses spezifische Steuergerät als Messwert liefern. Wenn das Steuergerätegehäuse 14 verändert wird, beispielsweise durch Aufschneiden, sollte der gemessene Helligkeitswert verändert werden, was zu einer Abweichung vom Sicherheitswert und somit zum Aktivieren des Steuergerätesicherheitsmodus führt.The light sensor or sensors 28, which can be designed, for example, as photomultipliers or photodiodes, can measure the scattered light in the form of a brightness value and the measuring device 16 can thus deliver a clear current for this specific control device as a measured value. If the control device housing 14 is changed, for example by cutting it open, the measured brightness value should be changed, which leads to a deviation from the safety value and thus to activation of the control device safety mode.

Besonders bevorzugt ist in dieser Ausführungsform das Steuergerätegehäuse opak beziehungsweise lichtundurchlässig, wobei auf einer Innenseite des Steuergerätegehäuses eine lichtstreuende oder lichtreflektierende Schicht aufgebracht sein kann. Somit kann innerhalb des Steuergerätegehäuses 14 eine charakteristische aber durch das Streuelement 26 zufällige Lichtverteilung erreicht werden, die durch die Lichtsensoren 28 gemessen werden kann.In this embodiment, the control unit housing is particularly preferably opaque or opaque, and a light-scattering or light-reflecting layer can be applied to an inside of the control unit housing. A characteristic but random light distribution can thus be achieved within the control device housing 14, which can be measured by the light sensors 28.

In 4 ist eine weitere beispielhafte Ausführungsform des Steuergerätes 12 im Kraftfahrzeug 10 dargestellt. In dieser Ausführungsform kann die Messeinrichtung 16 einen Lichtsensor 28, vorzugsweise eine Photodiode, aufweisen, die an einen Kondensator 30 angeschlossen ist.In 4 a further exemplary embodiment of the control device 12 in the motor vehicle 10 is shown. In this embodiment, the measuring device 16 can have a light sensor 28, preferably a photodiode, which is connected to a capacitor 30.

Wenn das Steuergerätegehäuse 14 geschlossen bleibt, bleibt der Kondensator 30 ungeladen. Wenn aber das Steuergerätegehäuse 14 geöffnet wird, kann der Lichtsensor 28 den Kondensator 30 aufladen, womit festgestellt werden kann, dass das Steuergerätegehäuse 14 geöffnet wurde. Insbesondere kann, wenn das Steuergerät 12 hochgefahren wird, die Steuereinheit 18 den Strom des geladenen Kondensators 30 messen und somit feststellen, dass der Messwert vom Sicherheitswert abweicht, wobei beim Sicherheitswert vorzugsweise keine Ladung gemessen wird.If the control unit housing 14 remains closed, the capacitor 30 remains uncharged. However, if the control device housing 14 is opened, the light sensor 28 can charge the capacitor 30, which can determine that the control device housing 14 has been opened. In particular, when the control device 12 is started up, the control unit 18 can measure the current of the charged capacitor 30 and thus determine that the measured value deviates from the safety value, with preferably no charge being measured at the safety value.

Folglich kann mit dieser Ausführungsform der Steuergerätesicherheitsmodus aktiviert werden, auch wenn das Gehäuse vor dem Starten des Steuergerätes 12 wieder verschlossen wurde.Consequently, with this embodiment, the control device security mode can be activated even if the housing was closed again before starting the control device 12.

Insgesamt kann mit einer oder einer Kombination von mehreren der zuvor gezeigten Ausführungsformen eine verbesserte Sicherheitsstufe für das Steuergerät 12 bereitgestellt werden.Overall, an improved level of security for the control device 12 can be provided with one or a combination of several of the previously shown embodiments.

In 5 ist ein beispielhaftes Verfahrensdiagramm für ein Verfahren zur Intrusionserkennung eines Steuergerätegehäuses 14 eines Steuergerätes 12 dargestellt.In 5 an exemplary process diagram for a method for intrusion detection of a control device housing 14 of a control device 12 is shown.

In einem Schritt S10 kann durch eine Messeinrichtung 16 ein Messwert ermittelt werden, wobei die Messeinrichtung 16 innerhalb des Steuergerätegehäuses 14 angeordnet ist und wobei der Messwert von einem Modifikationszustand des Steuergerätegehäuses 14 abhängig ist.In a step S10, a measured value can be determined by a measuring device 16, the measuring device 16 being arranged within the control device housing 14 and the measured value being dependent on a modification state of the control device housing 14.

In einem Schritt S12 kann insbesondere durch eine Steuereinheit 18 der ermittelte Messwert mit einem vorbestimmten Sicherheitswert verglichen werden, wobei der Sicherheitswert durch die Messeinrichtung 16 in einem Zustand mit gesicherter Integrität beziehungsweise Unversehrtheit des Steuergerätegehäuses 14 vorbestimmt wird.In a step S12, the determined measured value can be compared with a predetermined safety value, in particular by a control unit 18, the safety value being predetermined by the measuring device 16 in a state with assured integrity or integrity of the control device housing 14.

Schließlich kann in einem Schritt S14 ein Steuergerätesicherheitsmodus aktiviert werden, falls der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweicht, wobei im Steuergerätesicherheitsmodus Funktionen des Steuergerätes 12, insbesondere ein Datenzugriff, eingeschränkt werden kann. Wird keine Abweichung vom Sicherheitswert festgestellt, kann das Steuergerät 12 in einem Normalbetrieb weiterbetrieben werden.Finally, in a step S14, a control device security mode can be activated if the measured value deviates from the security value by a predetermined tolerance value, whereby functions of the control device 12, in particular data access, can be restricted in the control device security mode. If no deviation from the safety value is detected, the control device 12 can continue to operate in normal operation.

Insgesamt zeigen die Beispiele, wie durch die Erfindung eine Intrusionsdetektion für ein Steuergerätegehäuse bereitgestellt werden kann.Overall, the examples show how the invention can provide intrusion detection for a control device housing.

Claims (8)

Verfahren zur Intrusionserkennung eines Steuergerätegehäuses (14) eines Steuergeräts (12), mit den Schritten: - Ermitteln (S10) eines Messwerts durch eine Messeinrichtung (16), die innerhalb des Steuergerätegehäuses (14) angeordnet ist, wobei der Messwert von einem Modifikationszustand des Steuergerätegehäuses (14) abhängig ist, der eine Integrität des Steuergerätegehäuses (14) angibt; - Vergleichen (S12) des ermittelten Messwerts mit einem vorbestimmten Sicherheitswert, wobei der Sicherheitswert durch die Messeinrichtung (16) in einem Zustand mit gesicherter Integrität des Steuergerätegehäuses (14) vorbestimmt wird; - Aktivieren (S14) eines Steuergerätsicherheitsmodus, falls der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweicht, dadurch gekennzeichnet, dass die Messeinrichtung (16) eine Lichtquelle (24) mit einem Streuelement (26) und zumindest einem Lichtsensor (28) umfasst, der Lichtsensor (28) als Messwert einen Helligkeitswert misst, und das Streuelement (26) Licht von der Lichtquelle (24) mit einer zufälligen Verteilung in einen Raum innerhalb des Steuergerätegehäuses (14) durch eine zufällige optische Brechung des Streuelements streut und das gestreute Licht an der Innenseite des Steuergerätegehäuses (14) gestreut oder reflektiert wird.Method for intrusion detection of a control device housing (14) of a control device (12), with the steps: - Determining (S10) a measured value by a measuring device (16) which is arranged within the control device housing (14), the measured value being from a modification state of the control device housing (14) is dependent, which indicates an integrity of the control unit housing (14); - Comparing (S12) the determined measured value with a predetermined security value, the security value being predetermined by the measuring device (16) in a state with assured integrity of the control device housing (14); - Activating (S14) a control device safety mode if the measured value deviates from the safety value by a predetermined tolerance value, characterized in that the measuring device (16) comprises a light source (24) with a scattering element (26) and at least one light sensor (28), which Light sensor (28) measures a brightness value as a measured value, and the scattering element (26) scatters light from the light source (24) with a random distribution into a space within the control unit housing (14) through a random optical refraction of the scattering element and the scattered light at the Inside the control unit housing (14) is scattered or reflected. Verfahren nach Anspruch 1, wobei zumindest eine Verbindungsstruktur (20) des Steuergerätegehäuses (14) einen elektrischen Widerstand mit einem eindeutigen Widerstandswert aufweist, wobei die Messeinrichtung (16) als Messwert einen Spannungsabfall über dem Widerstand misst.Procedure according to Claim 1 , wherein at least one connection structure (20) of the control device housing (14) has an electrical resistance with a unique resistance value, the measuring device (16) measuring a voltage drop across the resistance as a measured value. Verfahren nach einem der vorhergehenden Ansprüche, wobei an einer Innenseite des Steuergerätegehäuses (14) oder in das Steuergerätegehäuse (14) integriert eine Drahtstruktur (22), insbesondere ein Drahtgitter, angeordnet ist, wobei die Messeinrichtung (16) als Messwert einen angelegten Spannungswert an der Drahtstruktur (22) misst.Method according to one of the preceding claims, wherein a wire structure (22), in particular a wire grid, is arranged on an inside of the control device housing (14) or integrated into the control device housing (14), the measuring device (16) being an applied voltage value as a measured value Wire structure (22) measures. Verfahren nach einem der vorhergehenden Ansprüche , wobei durch die Lichtquelle (24) ein Laserstrahl abgestrahlt wird.Method according to one of the preceding claims, wherein a laser beam is emitted by the light source (24). Verfahren nach einem der vorhergehenden Ansprüche, wobei die Messeinrichtung (16) einen Lichtsensor (28) mit einem daran angeschlossenen Kondensator (30) aufweist, wobei der Kondensator (30) durch den Lichtsensor (28) bei Einstrahlung von Licht aufgeladen wird, wobei als Messwert eine Kondensatorspannung gemessen wird.Method according to one of the preceding claims, wherein the measuring device (16) has a light sensor (28) with a capacitor (30) connected thereto, the capacitor (30) being charged by the light sensor (28) when light is irradiated, whereby as a measured value a capacitor voltage is measured. Verfahren nach einem der vorhergehenden Ansprüche, wobei durch den Steuergerätsicherheitsmodus ein Starten des Steuergerätes (12) verhindert wird und/oder eine Datenkommunikation des Steuergeräts (12) eingeschränkt wird.Method according to one of the preceding claims, wherein the control device security mode prevents the control device (12) from starting and/or data communication of the control device (12) is restricted. Steuergerät (12), umfassend ein Steuergerätegehäuse (14), eine Messeinrichtung (16), die innerhalb des Steuergerätegehäuses (14) angeordnet ist, und eine Steuereinheit (18), wobei die Messeinrichtung (16) dazu ausgebildet ist, einen Messwert zu ermitteln, der von einem Modifikationszustand des Steuergerätegehäuses (14) abhängig ist, wobei die Steuereinheit (18) dazu ausgebildet ist, den ermittelten Messwert mit einem vorbestimmten Sicherheitswert, der durch die Messeinrichtung (16) in einem Zustand mit gesicherter Integrität des Steuergerätegehäuses (14) vorbestimmt ist, zu vergleichen, und einen Steuergerätesicherheitsmodus zu aktivieren, falls der Messwert um einen vorgegebenen Toleranzwert von dem Sicherheitswert abweicht, dadurch gekennzeichnet, dass die Messeinrichtung (16) eine Lichtquelle (24) mit einem Streuelement (26) und zumindest einem Lichtsensor (28) umfasst, der Lichtsensor (28) dazu eingerichtet ist, als Messwert einen Helligkeitswert zu messen, das Streuelement (26) dazu eingerichtet ist, Licht von der Lichtquelle (24) mit einer zufälligen Verteilung in einen Raum innerhalb des Steuergerätegehäuses (14) durch eine zufällige optische Brechung des Streuelements zu streuen und das Steuergerätegehäuse (14) dazu eingerichtet ist, das gestreute Licht an der Innenseite des Steuergerätegehäuses (14) zu streuen oder zu reflektieren.Control device (12), comprising a control device housing (14), a measuring device (16) which is arranged within the control device housing (14), and a control unit (18), the measuring device (16) being designed to determine a measured value, which is dependent on a modification state of the control device housing (14), the control unit (18) being designed to combine the determined measured value with a predetermined safety value, which is predetermined by the measuring device (16) in a state with assured integrity of the control device housing (14). , to compare, and to activate a control device safety mode if the measured value deviates from the safety value by a predetermined tolerance value, characterized in that the measuring device (16) comprises a light source (24) with a scattering element (26) and at least one light sensor (28). , the light sensor (28) is set up to measure a brightness value as a measured value, the scattering element (26) is set up to distribute light from the light source (24) with a random distribution into a space within the control unit housing (14) by a random optical Refraction of the scattering element and the control unit housing (14) is designed to scatter or reflect the scattered light on the inside of the control unit housing (14). Kraftfahrzeug (10) mit einem Steuergerät (12) nach Anspruch 7.Motor vehicle (10) with a control device (12). Claim 7 .
DE102022127499.3A 2022-10-19 2022-10-19 Motor vehicle, control device and method for intrusion detection of a control device housing of a control device Active DE102022127499B3 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022127499.3A DE102022127499B3 (en) 2022-10-19 2022-10-19 Motor vehicle, control device and method for intrusion detection of a control device housing of a control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022127499.3A DE102022127499B3 (en) 2022-10-19 2022-10-19 Motor vehicle, control device and method for intrusion detection of a control device housing of a control device

Publications (1)

Publication Number Publication Date
DE102022127499B3 true DE102022127499B3 (en) 2024-01-25

Family

ID=89429941

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022127499.3A Active DE102022127499B3 (en) 2022-10-19 2022-10-19 Motor vehicle, control device and method for intrusion detection of a control device housing of a control device

Country Status (1)

Country Link
DE (1) DE102022127499B3 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10246888A1 (en) 2002-10-08 2004-04-22 Intersafe Gmbh Intelligent goods label for theft prevention has radiation source and cooperating radiation sensor coupled to electronic control for activating signal emitter upon detecting change in state
DE102011007572A1 (en) 2011-04-18 2012-10-18 Siemens Aktiengesellschaft Method for monitoring tamper protection and monitoring system for a field device with tamper protection
DE102012022083A1 (en) 2012-11-09 2014-05-15 Volkswagen Aktiengesellschaft Protective circuit for electrical supply network of motor vehicle, has control unit restoring electrical connection between first and second terminals, and fuse element connected in parallel between first and second elements
DE102017203190A1 (en) 2017-02-28 2018-08-30 Audi Ag Control unit for a motor vehicle, comprising a protective device for the protection against theft of digital data, and motor vehicle
EP3907569A1 (en) 2020-05-05 2021-11-10 VEGA Grieshaber KG Field device with a security module, retrofit module for a field device, method for setting an it security level and computer program code

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10246888A1 (en) 2002-10-08 2004-04-22 Intersafe Gmbh Intelligent goods label for theft prevention has radiation source and cooperating radiation sensor coupled to electronic control for activating signal emitter upon detecting change in state
DE102011007572A1 (en) 2011-04-18 2012-10-18 Siemens Aktiengesellschaft Method for monitoring tamper protection and monitoring system for a field device with tamper protection
DE102012022083A1 (en) 2012-11-09 2014-05-15 Volkswagen Aktiengesellschaft Protective circuit for electrical supply network of motor vehicle, has control unit restoring electrical connection between first and second terminals, and fuse element connected in parallel between first and second elements
DE102017203190A1 (en) 2017-02-28 2018-08-30 Audi Ag Control unit for a motor vehicle, comprising a protective device for the protection against theft of digital data, and motor vehicle
EP3907569A1 (en) 2020-05-05 2021-11-10 VEGA Grieshaber KG Field device with a security module, retrofit module for a field device, method for setting an it security level and computer program code

Similar Documents

Publication Publication Date Title
DE10341786B4 (en) Electronic vehicle control device
EP0151714B1 (en) Apparatus for securing secret information
DE19929796B4 (en) Apparatus and method for rewriting data from a volatile memory to a nonvolatile memory
DE102011081679A1 (en) BATTERY MANAGEMENT SYSTEM
EP2795601B1 (en) Method and device for recognizing a manipulation on an electrical line
DE3924943C2 (en)
DE3924595A1 (en) CONTROL ARRANGEMENT FOR A RESTRAINT SYSTEM IN MOTOR VEHICLES
DE19944991A1 (en) Procedure for securing a program run
DE102022127499B3 (en) Motor vehicle, control device and method for intrusion detection of a control device housing of a control device
EP1262856B1 (en) Program controlled unit
EP1449084B1 (en) Controlled program execution by a portable data carrier
EP1472890A1 (en) Method for verifying the functional reliability of an image sensor and device comprising an image sensor
DE102012221575B4 (en) Safety interlock device for detecting a high voltage linear actuator and sensor lock and safety interlock system
DE102019211746A1 (en) DEVICE FOR MONITORING THE TIRE PRESSURE OF A VEHICLE AND PROCEDURE FOR IT
DE102019209585B3 (en) Vehicle battery for a motor vehicle
WO1997026727A2 (en) Microchip partly or entirely surrounded by opaque sheathing
EP3106124B1 (en) Light hardening device
DE3836690C1 (en) Device for the interrogation of a sensor in a motor vehicle
EP3365196B1 (en) Monitoring apparatus for monitoring the operating state of a laser vehicle headlamp
WO2020088908A1 (en) Apparatus and method of operation for checking operating data of a secured starting operating phase of a device usable in particular in an industrial plant environment
DE60309157T2 (en) Storage system with error detection device
WO1994008823A1 (en) Safety device
DE60009231T2 (en) Method and device for operating an integrated "hub" for motor vehicle signals during low voltage conditions
DE102010042574B4 (en) Method for operating a microcontroller for an automobile and microcontroller
DE102017208872A1 (en) Electronic control unit

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division