DE102022203282A1 - Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung - Google Patents

Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung Download PDF

Info

Publication number
DE102022203282A1
DE102022203282A1 DE102022203282.9A DE102022203282A DE102022203282A1 DE 102022203282 A1 DE102022203282 A1 DE 102022203282A1 DE 102022203282 A DE102022203282 A DE 102022203282A DE 102022203282 A1 DE102022203282 A1 DE 102022203282A1
Authority
DE
Germany
Prior art keywords
computing unit
control unit
unit
identification feature
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022203282.9A
Other languages
English (en)
Inventor
Hans-Juergen Baehr
Richard Holberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022203282.9A priority Critical patent/DE102022203282A1/de
Publication of DE102022203282A1 publication Critical patent/DE102022203282A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0062Adapting control system settings
    • B60W2050/0075Automatic parameter input, automatic initialising or calibrating means
    • B60W2050/0083Setting, resetting, calibration

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen eines Fehlers einer Recheneinheit (110) in einer technischen Vorrichtung (100), insbesondere in einem Fahrzeug oder in einer Maschine, wobei die technische Vorrichtung (100) ferner eine Steuereinheit (120) aufweist und wobei die Recheneinheit (110) und die Steuereinheit (110) miteinander in Kommunikationsverbindung (105) stehen, aufweisend die Schritte: Empfangen durch die Steuereinheit (120) eines die Recheneinheit (110) identifizierenden Identifikationsmerkmals von der Recheneinheit (110); wenn ein erstes vorgegebenes Kriterium erfüllt ist, Hinterlegen des empfangenen Identifikationsmerkmals in einer Speichereinheit der Steuereinheit (120); wenn ein zweites vorgegebenes Kriterium erfüllt ist, Vergleichen durch die Steuereinheit (120) des empfangenen Identifikationsmerkmals mit einem in der Speichereinheit der Steuereinheit (120) hinterlegten Identifikationsmerkmals, und Bestimmen durch die Steuereinheit (120) in Abhängigkeit von diesem Vergleich, ob ein auf eine Manipulation der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung sowie eine Steuereinheit und ein Computerprogramm zu dessen Durchführung.
  • Hintergrund der Erfindung
  • Recheneinheiten können beispielsweise in technischen Vorrichtungen zur Steuerung bestimmter Funktionalitäten verwendet werden, z.B. in Landfahrzeugen wie Kraft-, Hybrid- oder Elektrofahrzeugen, in abseits von befestigten Straßen betreibbaren Fahrzeugen wie Geländefahrzeugen, Schiffen oder Flugzeugen oder in Maschinen zur Energie- bzw. Kraftumsetzung. Für einen sicheren Betrieb der technischen Vorrichtung ist es dabei von Bedeutung, Fehler und Manipulationen der Recheneinheit zuverlässig erkennen zu können.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung sowie eine Steuereinheit und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die technische Vorrichtung ist insbesondere als ein Fahrzeug oder eine Maschine ausgebildet und weist die Recheneinheit sowie eine Steuereinheit bzw. ein Steuergerät, auf wobei die Recheneinheit und die Steuereinheit miteinander in Kommunikationsverbindung stehen, z.B. über ein Feldbussystem wie CAN, Ethernet/IP, ProfiNet, Sercos 2, Sercos III, EtherCAT, FlexRay, LIN, MOST, usw.
  • Im Rahmen des vorliegenden Verfahrens empfängt die Steuereinheit wiederholt, z.B. immer bei Eintreten eines vorgegebenen Ereignisses, ein die Recheneinheit identifizierendes Identifikationsmerkmal von der Recheneinheit, beispielsweise eine eindeutige Identifikations- bzw. Seriennummer. Beispielsweise kann dieses Identifikationsmerkmal im Zuge eines Herstellungs- oder Programmierprozesses in der Recheneinheit hinterlegt werden. Insbesondere übermittelt die Recheneinheit wiederholt im laufenden Betrieb der technischen Vorrichtung, z.B. jeweils bei Eintreten des vorgegebenen Ereignisses, das Identifikationsmerkmal über die Kommunikationsverbindung an die Steuereinheit. Die Steuereinheit zieht diese empfangenen Identifikationsmerkmale zweckmäßigerweise zur Überprüfung der Recheneinheit auf Fehler heran. Zweckmäßigerweise überprüft die Steuereinheit bei jedem Empfang des Identifikationsmerkmals zunächst, wie mit diesem verfahren werden soll.
  • Wenn ein erstes vorgegebenes Kriterium erfüllt ist, hinterlegt die Steuereinheit das empfangene Identifikationsmerkmal in einer insbesondere nicht-flüchtigen Speichereinheit der Steuereinheit. Zweckmäßigerweise hinterlegt die Steuereinheit das empfangene Identifikationsmerkmal als einen Vergleichs- bzw. Referenzwert, anhand welchem die Steuereinheit im nachfolgenden regulären Betrieb die Recheneinheit auf Fehler überprüfen kann und deren Echtheit bzw. Authentizität verifizieren kann.
  • Wenn ein zweites vorgegebenes Kriterium erfüllt ist, vergleicht die Steuereinheit das empfangene Identifikationsmerkmal mit einem bereits in der Speichereinheit hinterlegten Identifikationsmerkmal, welches insbesondere in der Vergangenheit von der Recheneinheit an die Steuereinheit übermittelt und von dieser bei damaligem Vorliegen des ersten Kriteriums in der Speichereinheit hinterlegt wurde. Die Steuereinheit bestimmt bzw. bewertet in Abhängigkeit von diesem Vergleich, ob ein auf eine Manipulation der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt. Wenn das empfangene Identifikationsmerkmal und das bereits hinterlegte Identifikationsmerkmal übereinstimmen, wird insbesondere bestimmt, dass kein derartiger Fehler vorliegt. Stimmen das empfangene und das hinterlegte Identifikationsmerkmal jedoch nicht überein, wird insbesondere bestimmt, dass ein derartiger Fehler vorliegt oder zumindest vorliegen könnte.
  • Anhand des empfangenen Identifikationsmerkmals überprüft die Steuereinheit also insbesondere, ob eine Manipulation der Recheneinheit durchgeführt wurde, etwa eine unerlaubte oder nicht vorgesehene Modifikation der Software oder Hardware der Recheneinheit oder gar ein Austausch der ursprünglichen verbauten Recheneinheit gegen eine nicht autorisierte, gefälschte Recheneinheit. Besonders zweckmäßig kann die Steuereinheit das empfangene Identifikationsmerkmal nach einer erstmaligen Inbetriebnahme oder nach speziellen Vorkommnissen in der Speichereinheit hinterlegen. Übermittelt die Recheneinheit daraufhin während des regulären Betriebs erneut das jeweilige Identifikationsmerkmal, kann die Steuereinheit anhand dieses erneut empfangenen Identifikationsmerkmals und anhand des bereits in der Speichereinheit hinterlegten Identifikationsmerkmals eine Überprüfung der Recheneinheit durchführen. Sofern die Recheneinheit nicht manipuliert wurde, sollte die Recheneinheit stets dasselbe, identische Identifikationsmerkmal übermitteln. In einem manipulationsfreien Fall sollten also das erneut empfangene Identifikationsmerkmal mit dem in der Speichereinheit hinterlegten Identifikationsmerkmal übereistimmen. Stimmen diese Identifikationsmerkmale jedoch nicht miteinander überein, deutet dies auf eine Manipulation der Recheneinheit hin.
  • Technische Vorrichtungen und deren Komponenten unterliegen zumeist gesetzlichen Vorgaben und Richtlinien, beispielsweise Sicherheitsrichtlinien zum Schutz von Benutzern oder Umweltrichtlinien zum Einhalten von Umweltschutzvorgaben. Beispielsweise kann es die Intention eines Angreifers oder einer unbefugten Person sein, durch Manipulation der technischen Vorrichtung eine Leistungssteigerung zu erzielen, z.B. im Zuge des sog. Tuning oder Chiptuning im Fahrzeugbereich, oder Einsparungen von Kosten oder Materialien zu erreichen, etwa zur Reduktion von Verbrauchsstoffen der technischen Vorrichtung. Oftmals sind derartige Manipulationen jedoch nicht von dem Hersteller der Vorrichtung vorgesehen oder gar von einem Gesetzgeber untersagt und eine entsprechend manipulierte technische Vorrichtung kann gegebenenfalls nicht mehr gesetzlich vorgeschriebene Sicherheits- und/oder Umweltrichtlinien einhalten, was zu erheblichen Gefahren oder Belastungen für Mensch und Umwelt führen kann. Die vorliegende Erfindung ermöglicht es besonders zweckmäßig, derartige Manipulationen an der technischen Vorrichtung oder deren Komponenten, insbesondere an der Recheneinheit, erkennen zu können, welche zu Verstößen von gesetzlichen Vorgaben bzw. Richtlinien führen könnten.
  • Beispielsweise kann die Recheneinheit direkt für die Steuerung einer Funktionalität der technischen Vorrichtung vorgesehen sein, welche ein Angreifer durch die Manipulation beeinflussen möchte. So kann die Recheneinheit beispielsweise in einem (Kraft-) Fahrzeug im Rahmen einer Motorsteuerung verwendet werden, wobei ein Angreifer durch Modifikation an der Recheneinheit beispielsweise eine Leistungssteigerung oder eine Kostenreduzierung des Fahrzeugbetriebs erzielen möchte. Beispielsweise kann der Angreifer zu diesem Zweck versuchen, die original verbaute Recheneinheit gegen eine gefälschte, manipulierte Recheneinheit mit einer entsprechend modifizierten Motorsteuersoftware auszutauschen. Ferner kann die Recheneinheit beispielsweise auch zur Überwachung einer weiteren Einheit der technischen Vorrichtung vorgesehen sein, welche das Ziel der Manipulation sein kann. Möchte der Angreifer also diese weitere Einheit unbemerkt beeinflussen, so wird der Angreifer auch die Recheneinheit manipulieren müssen. Auch in diesem Fall kann der Angreifer beispielsweise versuchen, die original verbaute Recheneinheit gegen eine gefälschte, manipulierte Recheneinheit auszutauschen, welche dann die Überwachung der jeweiligen modifizierten Einheit übernimmt und diese als korrekt funktionierend attestiert.
  • Da das Identifikationsmerkmal insbesondere im Zuge des Herstellungsprozesses von einem Hersteller erstellt und in der Recheneinheit hinterlegt wurde, kann davon ausgegangen werden, dass ein Angreifer das Identifikationsmerkmal nicht ohne Weiteres auslesen kann und sich nicht ohne Weiteres Zugriff auf dieses verschaffen kann. Sollte also ein Angreifer die Recheneinheit gegen eine manipulierte Recheneinheit austauschen, kann davon ausgegangen werden, dass es nicht jedem gelingt, das Identifikationsmerkmal der originalen, korrekten Recheneinheit auf die manipulierte Einheit zu übertragen. Die vorliegende Erfindung ermöglicht es daher besonders zweckmäßig, den Austausch der Recheneinheit gegen eine nicht autorisierte, gefälschte Recheneinheit zuverlässig anhand dieses Identifikationsmerkmals erkennen zu können.
  • Ferner erlaubt es die vorliegende Erfindung besonders zweckmäßig, die Recheneinheit auf einfache Weise bei Bedarf gegen eine neue, autorisierte Recheneinheit auszutauschen, beispielsweise falls ein Defekt der ursprünglich verbauten Recheneinheit vorliegen sollte. Da die Steuereinheit zweckmäßigerweise bei jedem Empfang des Identifikationsmerkmals abhängig von dem ersten und zweiten vorgegebenen Kriterium entscheidet, wie mit dem empfangenen Merkmal umzugehen ist, kann die Steuereinheit besonders zweckmäßig abwägen und erkennen, ob ein legitimer Grund wie etwa ein Defekt der Recheneinheit vorliegt, welcher einen Austausch der Recheneinheit rechtfertigen würde. Empfängt die Steuereinheit in einem derartigen Fall ein neues Identifikationsmerkmal, das nicht mit dem in der Speichereinheit hinterlegten Identifikationsmerkmal übereinstimmt, kann die Steuereinheit zweckmäßigerweise davon ausgehen, dass die Recheneinheit gerechtfertigt ausgetauscht wurde und dass die neue Recheneinheit erstmalig ihr eindeutiges Identifikationsmerkmal übermittelt. Die Steuereinheit kann dann zweckmäßigerweise das neu empfangene Identifikationsmerkmal in der Speichereinheit als Referenz für zukünftiges Überprüfen hinterlegen. Entsprechend kann die Steuereinheit besonders zweckmäßig abwägen und erkennen, ob kein legitimer Grund für einen Austausch der Recheneinheit vorliegt. Entsprechend kann die Steuereinheit automatisch auf einen derartigen Austausch reagieren und kann die neu verbaute Recheneinheit ebenso wie die zuvor verbaute Recheneinheit zuverlässig auf Fehler überprüfen, ohne dass hierzu ein manuelles Eingreifen nötig ist, z.B. ohne dass Änderungen an den Einstellungen der Steuereinheit nötig sind. Besonders zweckmäßig ist kein Umprogrammieren oder Neuprogrammieren der Steuereinheit nötig. Kosten und Aufwand für Reparaturen der Recheneinheit können somit möglichst geringgehalten werden.
  • Die Steuereinheit kann beispielsweise zum Durchführen einer On-Board-Diagnose (OBD) vorgesehen sein und kann neben der Überwachung der Recheneinheit beispielsweise noch zur Überwachung weiterer Komponenten der technischen Vorrichtung vorgesehen sein, z.B. von Steuergeräten, Sensoren, Aktoren, usw. Beispielsweise kann die Steuereinheit ferner eine Schnittstelle umfassen, um einen Benutzer der technischen Vorrichtung über erkannte Fehler zu informieren, z.B. mit Hilfe einer Warnleuchte oder einer Anzeige an einem Display. Ferner kann die Steuereinheit beispielsweise über eine Schnittstelle mit einer externen Überwachungseinheit verbunden oder verbindbar sein, wobei diese externe Überwachungseinheit durch Übermitteln entsprechender Befehle beispielsweise Einfluss auf die Überwachung durch die Steuereinheit nehmen kann oder diese Überwachung beispielsweise initiieren kann.
  • Die Erfindung eignet sich insbesondere auch zur Überwachung einfacher Recheneinheiten, die beispielsweise einen Mikrochip aufweisen, ebenso wie von komplexen sog. Computern. Ein Mikrochip bzw. eine integrierte Schaltung (engl. „integrated circuit“, IC) ist eine elektronische Schaltung, bei der eine Vielzahl von Funktionen auf einem einzigen Chip (engl. „die“) integriert ist und die beispielsweise Mikroprozessoren und Speichereinheiten umfassen kann. Neben einem oder mehreren Mikrochips kann eine derartige Recheneinheit weitere Komponenten aufweisen, z.B. zusätzliche Peripherie wie Netzwerkschnittstellen, ADC, Router, Switches, DAC, E/A usw. Die Recheneinheit kann beispielsweise als ein Steuergerät insbesondere zur Steuerung bestimmter Funktionalitäten der technischen Vorrichtung ausgebildet sein.
  • Besonders vorteilhaft ist die Recheneinheit dazu eingerichtet, mit einer entfernten Recheneinheit außerhalb der technischen Vorrichtung zu kommunizieren, insbesondere mit einem Server oder einem System aus entfernen Recheneinheiten im Sinne des sog. Cloudcomputing. Insbesondere ist die Recheneinheit dazu eingerichtet, Daten zwischen der entfernten Recheneinheit und der Steuereinheit auszutauschen. Beispielsweise kann die Recheneinheit dazu vorgesehen sein, die technische Vorrichtung betreffende Daten an die entfernte Recheneinheit zu übermitteln, z.B. Sensordaten aus dem regulären Betrieb der Vorrichtung, z.B. Daten betreffend Emissionen der Vorrichtung. Abhängig von diesen übermittelten Daten kann die entfernte Recheneinheit zweckmäßigerweise überprüfen, ob die Vorrichtung entsprechenden gesetzlichen Vorgaben und Richtlinien entspricht. Durch Überwachen der Recheneinheit kann besonders zweckmäßig verhindert werden, dass ein Angreifer die Recheneinheit derart manipuliert, dass diese zwar plausible und den Vorgaben entsprechende, jedoch inkorrekte Daten an die entfernte Recheneinheit übermittelt. Somit kann besonders zweckmäßig verhindert werden, dass der Angreifer die technische Vorrichtung manipuliert, etwa zur Leistungssteigerung oder zur Kostenreduktion, wodurch die technische Vorrichtung jedoch gegen (Sicherheits- und/oder Umwelt-) Richtlinien verstößt, ohne dass dies von einer übergeordneten entfernten Recheneinheit erkannt werden könnte.
  • Insbesondere kann die Recheneinheit als ein Kommunikationsterminal oder eine Kommunikationssteuerungseinheit (engl.: „communication control unit“, CCU) vorgesehen sein, zweckmäßigerweise um eine Kommunikation zwischen der technischen Vorrichtung und einem vorrichtungsexternen Server zu ermöglichen, z.B. einem Server eines Herstellers oder Betreibers der technischen Vorrichtung. Der Hersteller kann die von der Recheneinheit übermittelten Daten auswerten und überprüfen, ob die Vorrichtungen die gesetzlichen Vorschriften erfüllt.
  • Vorteilhafterweise bestimmt bzw. bewertet die Steuereinheit ferner, ob ein auf einen Defekt der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt, insbesondere in Abhängigkeit von einem Datenaustausch zwischen der Recheneinheit und der Steuereinheit und/oder in Abhängigkeit von einer Fehlererkennungsfunktion der Recheneinheit. Ein derartiger Defekt kann beispielsweise ein technischer Defekt der Recheneinheit selbst sein oder auch ein Defekt der Kommunikationsverbindung zwischen Recheneinheit und Steuereinheit. Beispielsweise kann die Steuereinheit zu diesem Zweck Daten von der Recheneinheit empfangen oder mit Hilfe einer Frage-/Antwort-Kommunikation anfordern und die Daten auf entsprechende Fehler hin auswerten. Insbesondere kann die Recheneinheit selbst über eine eigene, interne Selbstdiagnose- bzw. Fehlererkennungsfunktion verfügen und die Steuereinheit kann zweckmäßigerweise Ergebnisse dieser Fehlererkennungsfunktion von der Recheneinheit empfangen und entsprechend auswerten. Die Steuereinheit kann somit besonders zweckmäßig sowohl als Fehler erkennen, ob ein technischer Defekt der Recheneinheit vorliegt, welcher insbesondere einen legitimen Austausch der Recheneinheit rechtfertigen würde, als auch ob eine Manipulation der Recheneinheit vorliegt, insbesondere ein nicht legitimer Austausch der originalen Recheneinheit gegen eine nicht-autorisierte Einheit.
  • Besonders vorteilhaft ist das erste Kriterium, bei dessen Erfüllung die Steuereinheit das empfangene Identifikationsmerkmal in der Speichereinheit hinterlegt, erfüllt, wenn durch die Steuereinheit während eines vorgegebenen ersten Zeitintervalls vor Empfangen des Identifikationsmerkmals und/oder seit einem vorgegebenen ersten Zeitpunkt bestimmt bzw. bewertet wurde, dass ein auf einen Defekt der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt und dass kein auf eine Manipulation der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt. In diesem Fall hat die Steuereinheit also bestimmt, dass ein technischer Defekt der Recheneinheit vorliegt und dass das von der Recheneinheit übermittelte Identifikationsmerkmal stets mit dem in der Speichereinheit hinterlegten Identifikationsmerkmal übereingestimmt hat. Somit deutet die Erfüllung dieses ersten Kriteriums insbesondere darauf hin, dass die defekte Recheneinheit legitim gegen eine neue Recheneinheit ausgetauscht wurde und dass keine unerlaubte Manipulation der Recheneinheit vorgenommen wurde. Insbesondere übermittelt diese neue Recheneinheit in diesem Fall erstmalig ihr Identifikationsmerkmal an die Steuereinheit, welche daraufhin dieses neue Merkmal für die zukünftige Überprüfung in der Speichereinheit hinterlegt. Beispielsweise kann das vorgegebene Zeitintervall eine typische Zeitspanne zwischen dem Auftreten eines Defekts und dem Austausch der defekten Recheneinheit repräsentiert, z.B. einen Tag, eine Woche oder einen Monat. Der vorgegebene Zeitpunkt kann beispielsweise der Zeitpunkt einer erstmaligen Inbetriebnahme oder einer zuletzt durchgeführten Neuprogrammierung der Steuereinheit sein oder beispielsweise der Zeitpunkt, zu welchem zuletzt ein Fehlerspeicher geleert wurde. Ferner können das erste Zeitintervall bzw. der erste Zeitpunkt auch das Hinterlegen des Identifikationsmerkmals in der Speichereinheit charakterisieren.
  • Gemäß einer besonders vorteilhaften Ausgestaltung ist das zweite Kriterium, bei dessen Erfüllung die Steuereinheit das empfangene Identifikationsmerkmal nicht hinterlegt, sondern mit dem bereits hinterlegten Merkmal vergleicht, erfüllt, wenn durch die Steuereinheit während eines vorgegebenen zweiten Zeitintervalls vor Empfangen des Identifikationsmerkmals und/oder seit einem vorgegebenen zweiten Zeitpunkt bestimmt bzw. bewertet wurde, dass kein auf einen Defekt der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt. Da in diesem Fall kein Defekt der Recheneinheit erkannt wurde, liegt somit auch kein legitimer Grund für einen Austausch der Recheneinheit vor. Im diesem Fall kann die Steuereinheit also insbesondere davon ausgehen, dass nach wie vor dieselbe Recheneinheit vorhanden ist und dass diese ihr eindeutiges Identifikationsmerkmal übermittelt, welches mit dem in der Speichereinheit bereits hinterlegten Merkmal übereinstimmen sollte. Die Steuereinheit vergleicht daher in diesem Fall das neu empfangene mit dem bereits hinterlegten Identifikationsmerkmal, um die Recheneinheit auf Manipulation zu überprüfen. Beispielsweise kann das zweite Zeitintervall bzw. der zweite Zeitpunkt charakterisieren, wann das Identifikationsmerkmal in der Speichereinheit hinterlegt wurde. Beispielsweise können das erste Zeitintervall und das zweite Zeitintervall bzw. der erste Zeitpunkt und der zweite Zeitpunkt jeweils auch identische Zeitintervalle bzw. Zeitpunkte sein.
  • Gemäß einer bevorzugten Ausgestaltung ist das erste Kriterium erfüllt, wenn die Steuereinheit erstmalig in Betrieb genommen wird und/oder wenn eine Neuprogrammierung bzw. Umprogrammierung der Steuereinheit durchgeführt wird und/oder wenn ein vorgegebener erster Befehl von einer externen Überwachungseinheit empfangen wird. Im Falle einer erstmaligen Inbetriebnahme übermittelt die Recheneinheit insbesondere erstmalig ihr Identifikationsmerkmal an die Steuereinheit als Referenz für die nachfolgende Überwachung. Nach einer Neu- bzw. Umprogrammierung, z.B. im Zuge einer Reparatur oder eines (Firmware-) Updates, kann die Speichereinheit beispielsweise gelöscht bzw. zurückgesetzt sein, so dass kein Identifikationsmerkmal mehr gespeichert ist und zunächst wieder dort hinterlegt werden soll. Ferner kann das Hinterlegen des Identifikationsmerkmals beispielsweise durch die externe Überwachungseinheit von außen getriggert werden, z.B. in einer Werkstatt nach einem legitimen Austausch der Recheneinheit. Besonders zweckmäßig sind dieser entsprechende Befehl und die entsprechende Kommunikation zwischen Steuereinheit und externer Überwachungseinheit geschützt bzw. verschlüsselt, so dass ein derartiger Befehl nur von einer autorisierten Stelle und nicht von einem Angreifer kommen kann.
  • Vorzugsweise ist das zweite Kriterium erfüllt, wenn seit einer erstmaligen Inbetriebnahme und/oder seit einer Neuprogrammierung bzw. Umprogrammierung der Steuereinheit bereits ein Identifikationsmerkmal in der Speichereinheit der Steuereinheit hinterlegt wurde und/oder wenn ein vorgegebener zweiter Befehl von der externen Überwachungseinheit empfangen wird. Wenn nach der erstmaligen Inbetriebnahme bzw. der Neuprogrammierung bereits ein Identifikationsmerkmal hinterlegt wurde, kann die Steuereinheit davon ausgehen, dass im regulären Fall ein erneut empfangenes Identifikationsmerkmal zum Vergleich mit diesem bereits hinterlegten Merkmal herangezogen werden soll, sofern kein zusätzliches Kriterium vorliegt, welches auf einen legitimen Austausch der Recheneinheit hindeuten würde. Ferner kann die externe Überwachungseinheit den Vergleich der Identifikationsmerkmale von außen triggern, wobei auch hier zweckmäßigerweise der entsprechende zweite Befehl und die Kommunikation zwischen Steuereinheit und externer Überwachungseinheit geschützt bzw. verschlüsselt ist.
  • Gemäß einer besonders vorteilhaften Ausführungsform bestimmt bzw. bewertet die Steuereinheit ferner auch dann, dass ein auf eine Manipulation der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt, wenn durch die Steuereinheit bei Eintreten eines vorgegebenen Ereignisses kein Identifikationsmerkmal von der Recheneinheit empfangen wird. Bleibt also der Empfang des Identifikationsmerkmals aus, obwohl dieses übermittelt hätte werden sollen, deutet dies insbesondere darauf hin, dass die Recheneinheit manipuliert wurde.
  • Vorzugsweise umfasst das vorgegebene Ereignis den Ablauf eines vorgegebenen dritten Zeitintervalls und/oder das Erreichen eines vorgegebenen dritten Zeitpunkts. Das vorgegebene dritte Zeitintervall kann beispielsweise mit dem letzten bzw. vorherigen Empfangen des Identifikationsmerkmals gestartet werden. Insbesondere übermittelt die Recheneinheit somit in regelmäßigen Zeitintervallen ihr Identifikationsmerkmal an die Steuereinheit, z.B. zu vorgegebenen Wartungs- bzw. Überprüfungsintervallen oder zu vorgegebenen Wartungs- bzw. Überprüfungszeitpunkten, z.B. einmal täglich, einmal wöchentlich, einmal monatlich usw.
  • Alternativ oder zusätzlich umfasst das vorgegebene Ereignis vorzugsweise das Empfangen eines vorgegebenen dritten Befehls von der externen Überwachungseinheit. Somit kann extern vorgegeben werden, wann die Recheneinheit zur Überprüfung auf Manipulation hin ihr Identifikationsmerkmal an die Steuereinheit übermitteln soll.
  • Alternativ oder zusätzlich umfasst das vorgegebene Ereignis vorzugsweise das Empfangen weiterer Daten von der Recheneinheit. Insbesondere kann die Recheneinheit stets mit der Übermittlung dieser (oder aller) Daten standardmäßig ihr Identifikationsmerkmal an die Steuereinheit übermitteln.
  • Alternativ oder zusätzlich umfasst das vorgegebene Ereignis vorzugsweise eine Anfrage der Steuereinheit. Die Steuereinheit kann zweckmäßigerweise eigenständig eine Überprüfung der Recheneinheit durchführen und zu diesem Zweck beispielsweise eine entsprechende Anfrage an die Recheneinheit zur Übermittlung des Identifikationsmerkmals stellen.
  • Vorzugsweise wird, wenn durch die Steuereinheit bestimmt wird, dass ein auf eine Manipulation der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt, eine vorgegebene Maßnahme bzw. Fehlermaßnahme durchgeführt. Insbesondere kann als derartige Maßnahme ein Benutzer der technischen Vorrichtung informiert werden, z.B. durch Ausgabe einer Fehlermeldung, etwa durch Aktivieren einer Warn- bzw. Kontrolllampe. Ferner kann beispielsweise ein Eintrag in einem Fehlerspeicher erstellt werden. Insbesondere kann als entsprechende Fehlermaßnahme eine Funktion bzw. ein Funktionsumfang der technischen Vorrichtung reduziert werden, z.B. durch Begrenzen einer maximalen Leistung, eines maximalen Drehmoments, einer maximalen Geschwindigkeit usw. Insbesondere kann somit verhindert werden, dass trotzt einer unerlaubten Manipulation der Recheneinheit zur Leistungssteigerung oder zur Kosteneinsparung eine Gefahr für Benutzer und Umwelt entstehen kann. Ferner kann eine entsprechende Maßnahme zweckmäßigerweise auch durchgeführt werden, wenn das Vorliegen eines auf einen Defekt hindeutenden Fehlers erkannt wird.
  • Wie oben erläutert, kann die Steuereinheit bestimmen, dass ein auf eine Manipulation hindeutender Fehler vorliegt, wenn das erneut empfangenen und das bereits hinterlegte Identifikationsmerkmal nicht übereinstimmen. Gemäß einer bevorzugten Ausführungsform kann jedoch auch erst bei mehrmaliger Abweichung des jeweils aktuell empfangenen Identifikationsmerkmals von dem bereits hinterlegten Merkmal auf einen derartigen Fehler rückgeschlossen werden. Zu diesem Zweck wird vorteilhafterweise ein erster Zähler erhöht, wenn im Zuge des Vergleichs bestimmt wird, dass das aktuell empfangene Identifikationsmerkmal mit dem in der Speichereinheit hinterlegten Identifikationsmerkmal übereinstimmt. Entsprechend kann vorteilhafterweise ein zweiter Zähler erhöht werden, wenn im Zuge des Vergleichs bestimmt wird, dass das empfangene Identifikationsmerkmal nicht mit dem in der Speichereinheit hinterlegten Identifikationsmerkmal übereinstimmt. Bevorzugt wird bestimmt, dass kein auf eine Manipulation der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt, wenn der erste Zähler einen Schwellwert erreicht. Ferner wird bevorzugt bestimmt, dass ein auf eine Manipulation der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt, wenn der zweite Zähler einen Schwellwert erreicht. Auf diese Weise können zweckmäßigerweise Fehldetektionen vermieden werden, z.B. aufgrund einer fehlerhaften Datenübertragung über die Kommunikationsverbindung oder aufgrund einer ausgebliebenen oder fallengelassenen Datenübertragung wegen hohem Netzwerkverkehr oder einer temporär hohen Latenz.
  • Als technische Vorrichtung sei in dem vorliegenden Zusammenhang vorteilhaferweise jedwede Vorrichtung zum Ausführen eines technischen Prozesses zu verstehen, z.B. eines verfahrens-, regelungs- und/oder steuerungstechnischen Prozesses, welche eine Recheneinheit zur Steuerung einer Funktionalität umfasst.
  • Besonders bevorzugt kann die technische Vorrichtung als ein Fahrzeug ausgebildet sein, zweckmäßigerweise als ein Landfahrzeug, insbesondere als ein Kraft-, Hybrid-, Elektro-, Personen- oder Nutzfahrzeug, z.B. als Pkw, Lkw, Motorrad, Bus, Zug usw. Es ist auch denkbar, dass das Fahrzeug als ein abseits von befestigten Straßen betreibbares Fahrzeug ausgebildet ist, z.B. als Geländefahrzeug (Unimog, Amphibienfahrzeug, Pistenraupe, etc.), ATV (All-Terrain Vehicle, z.B. ein Quad), Schneemobil usw. Beispielsweise kann es sich auch um Schwerlast- oder Baufahrzeuge (Heavy-Duty Vehicles) handeln, z.B. Bagger, Walzen, Radlader, Raupen usw. Insbesondere kann das Fahrzeug auch als ein Luft- oder Wasserfahrzeug ausgebildet sein, z.B. als Flugzeug, Hubschrauber, Boot, Jetski usw. Das Fahrzeug kann von einem Fahrzeugführer bzw. Fahrer gesteuert werden oder auch ein unbemanntes, ferngesteuertes Fahrzeug sein, z.B. eine Drohne.
  • Ferner kann die technische Vorrichtung besonders bevorzugt als eine Maschine ausgebildet sein, also insbesondere als eine Vorrichtung zur Energie- bzw. Kraftumsetzung. Die Erfindung eignet sich für eine weite Bandbreite von industriellen Maschinen, beispielsweise für Tunnelbohrmaschinen, Hydraulik-Stanzen/Pressen, allgemeine Automatisierungen, Semiconductor-Handling, Robotik usw. Besonders eignet sich das Verfahren für Stromgeneratoren, z.B. für dieselbetriebene Stromgeneratoren. Diese können insbesondere einen Katalysator zur selektiven katalytischen Reduktion (englisch „selective catalytic reduction“, SCR) aufweisen sowie eine Steuerung über Funk bzw. Mobilfunk. Ferner eignet sich das Verfahren besonders für Werkzeugmaschinen, wie beispielsweise ein Schweißsystem, ein Schraubsystem, eine Drahtsäge oder eine Fräsmaschine, oder eine Bahnbearbeitungsmaschine, wie z.B. eine Druckmaschine oder eine Verpackungsmaschine, oder eine (Band-) Anlage zur Herstellung eines Automobils oder zur Herstellung von Komponenten eines Automobils.
  • Eine erfindungsgemäße Steuereinheit, z.B. ein Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Schließlich ist ein maschinenlesbares Speichermedium vorgesehen mit einem darauf gespeicherten Computerprogramm wie oben beschrieben. Geeignete Speichermedien bzw. Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich. Ein solcher Download kann dabei drahtgebunden bzw. kabelgebunden oder drahtlos (z.B. über ein WLAN-Netz, eine 3G-, 4G-, 5G- oder 6G-Verbindung, etc.) erfolgen.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Kurze Beschreibung der Zeichnungen
    • 1 zeigt schematisch eine technische Vorrichtung, die dazu eingerichtet ist, eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens durchzuführen.
    • 2 zeigt schematisch eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens als ein Blockdiagramm.
  • Ausführungsform(en) der Erfindung
  • In 1 ist eine technische Vorrichtung schematisch dargestellt und mit 100 bezeichnet.
  • Im vorliegenden Beispiel sei angenommen, dass die Vorrichtung 100 als ein Fahrzeug ausgebildet ist, beispielsweise als ein Kraft-, Hybrid- oder Elektrofahrzeug für den Straßenverkehr. Beispielsweise könnte die Vorrichtung 100 jedoch auch als ein Schwerlast- oder Baufahrzeug, als Flugzeug, Schiff oder eine Maschine zur Energie- bzw. Kraftumsetzung ausgebildet sein.
  • Das Fahrzeug 100 umfasst eine Recheneinheit 110 und eine Steuereinheit 120, die über ein Feldbussystem 105, z.B. CAN, miteinander in Kommunikationsverbindung stehen. Über das Feldbussystem 105 können die Recheneinheit 110 und die Steuereinheit 120 mit weiteren Komponenten des Fahrzeugs 100 in Verbindung stehen, z.B. mit weiteren Steuergeräten, Sensoren, Aktoren, usw.
  • Die Recheneinheit 110 ist beispielsweise als ein Kommunikationsterminal oder eine Kommunikationssteuerungseinheit (CCU) vorgesehen und dazu eingerichtete, über eine drahtlose Verbindung 155, z.B. über eine Internet- bzw. Mobilfunkverbindung, mit einer entfernten Recheneinheit 150 zu kommunizieren, z.B. einem Server eines Fahrzeugherstellers. Beispielsweise ist die Recheneinheit 110 dazu vorgesehen, Daten des Fahrzeugs 100 an den Server 155 zu übermitteln, so dass der Fahrzeughersteller diese Daten dahingehend auswerten kann, ob das Fahrzeug gesetzliche Vorschriften in Bezug auf Sicherheits- und Umweltrichtlinien erfüllt.
  • Die Steuereinheit 120 ist beispielsweise zum Durchführen einer On-Board-Diagnose (OBD) vorgesehen, insbesondere zur Überwachung der Recheneinheit und gegebenenfalls weiterer Komponenten des Fahrzeugs 100 auf Fehler hin. Die Steuereinheit 120 ist mit einer Mensch-Maschinen-Schnittstelle 130 verbunden, über welche ein Benutzer des Fahrzeugs über erkannte Fehler informiert werden kann, z.B. mit Hilfe einer Warnleuchte oder einer Anzeige in einem Armaturenbereich.
  • Zur Überwachung der Recheneinheit 110 auf Fehler ist die Steuereinheit 120, insbesondere programmtechnisch, dazu eingerichtet ist, eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens durchzuführen, welche in 2 schematisch als ein Blockdiagramm dargestellt ist und nachfolgend erläutert werden soll.
  • In einem Schritt 202 beginnt die Steuereinheit 120 mit der Überwachung. Im Zuge dieser Überwachung überprüft die Steuereinheit 120, ob ein auf einen Defekt der Recheneinheit 110 hindeutender Fehler vorliegt und ferner ob ein auf eine Manipulation der Recheneinheit 110 hindeutender Fehler vorliegt.
  • In einem Schritt 204 wird im Zuge des regulären Betriebs des Fahrzeugs 100 eine Überprüfung der Recheneinheit 110 auf einen Defekt durchgeführt. Beispielsweise kann die Recheneinheit 110 zu diesem Zweck eine interne Fehlererkennungsfunktion durchführen und Ergebnisse dieser Diagnose über den Feldbus 105 an die Steuereinheit 120 übermitteln, welche die Ergebnisse daraufhin auswertet und bestimmt, ob ein auf einen Defekt der Recheneinheit 110 hindeutender Fehler vorliegt oder nicht.
  • Gemäß den nachfolgend erläuterten Schritten 206, 208, 210, 212, 214 legt die Steuereinheit 120 fest, wie mit einem Identifikationsmerkmal umzugehen ist, wenn dieses von der Recheneinheit 110 an die Steuereinheit 120 übermittelt wird. Dieses Identifikationsmerkmal ist beispielsweise eine Identifikations- oder Seriennummer, die im Zuge eines Herstellungs- bzw. Programmierprozesses in der Recheneinheit 110 hinterlegt wurde. Zu diesem Zweck setzt die Steuereinheit 120 einen ersten Indikator oder ein erstes Flag („AcceptNewFlag“) zur Charakterisierung eines ersten Kriteriums und eines zweiten Kriteriums entweder auf einen ersten Wert, z.B. auf den Wert „1“ oder „ACCEPT“, welcher das Erfüllen des ersten Kriteriums repräsentiert, oder auf einen zweiten Wert, welcher das Erfüllen des zweiten Kriteriums repräsentiert, z.B. auf den Wert „0“ oder „NOT_ACCEPT“. Als „Flag“ wird ein informationstechnischer Statusindikator verstanden, der gesetzt, gelöscht oder geprüft werden kann.
  • Zu diesem Zweck überprüft die Steuereinheit 120 in Schritt 206, ob seit einer erstmaligen Inbetriebnahme oder seit einer Neuprogrammierung der Steuereinheit 120 ein Identifikationsmerkmal in einer nicht-flüchtigen Speichereinheit der Steuereinheit 120 hinterlegt wurde.
  • Wenn dies nicht der Fall ist, z.B. wenn die Steuereinheit 120 erstmalig in dem Fahrzeug 100 in Betrieb genommen wird oder zum ersten Mal nach einer Neuprogrammierung wieder in Betrieb genommen wird, ist das erste Kriterium erfüllt. Die Steuereinheit 120 setzt in diesem Fall in einem Schritt 208 das erste Flag („AcceptNewFlag“) auf den ersten Wert, z.B. „1“ oder „ACCEPT“, welcher das Erfüllen des ersten Kriteriums repräsentiert.
  • Wenn hingegen in der Speichereinheit bereits ein Identifikationsmerkmal hinterlegt ist, bewertet die Steuereinheit 120 in Schritt 210, ob ein auf einen Defekt der Recheneinheit 110 hindeutender Fehler vorliegt oder nicht. Hierzu geht das Ergebnis der Überprüfung aus Schritt 204 ein.
  • Ferner überprüft die Steuereinheit 120 in Schritt 210, ob ein auf eine Manipulation der Recheneinheit 110 hindeutender Fehler vorliegt. Zu diesem Zweck überprüft die die Steuereinheit, ob ein weiter unten noch erläutertes zweites Flag („IDFlag“) auf einen ersten Wert, z.B. „1“ oder „MATCH“ gesetzt ist, welcher repräsentiert, dass ein jeweils aktuell empfangenes Identifikationsmerkmal stets mit dem in der Speichereinheit hintergangen Identifikationsmerkmal übereingestimmt hat, wie weiter unten noch erläutert wird.
  • Wenn in Schritt 204 ein auf einen Defekt hindeutender Fehler erkannt wird, ist davon auszugehen, dass ein technischer Defekt vorliegt, der einen legitimem Austausch der defekten Recheneinheit 110 gegen eine neue Einheit rechtfertigt. Das oben erläuterte erste Kriterium ist ferner erfüllt, wenn seit dem Hinterlegen des Identifikationsmerkmals in der Speichereinheit bestimmt wird, dass ein derartiger auf einen Defekt der Recheneinheit 110 hindeutender Fehler und dass kein auf eine Manipulation der Recheneinheit 110 hindeutender Fehler vorliegt (d.h. wenn das zweite Flag („IDFlag“) auf den ersten Wert „1“ oder „MATCH“ gesetzt ist). In diesem Fall setzt die Steuereinheit 120 in Schritt 212, entsprechend zu dem Schritt 208, das erste Flag („AcceptNewFlag“) auf den ersten Wert „1“ bzw. „ACCEPT“. In diesem Fall kann angenommen werden, dass die defekte Recheneinheit zeitnah gegen eine neue Einheit ausgetauscht wird.
  • Wenn in Schritt 204 hingegen erkannt wird, dass seit dem Zeitpunkt, zu welchem das Identifikationsmerkmal in der Speichereinheit hinterlegt wurde, kein auf einen Defekt hindeutender Fehler der Recheneinheit 110 erkannt wurde, ist ein zweites Kriterium erfüllt. Die Steuereinheit 120 setzt in diesem Fall in Schritt 214 den Indikator bzw. das Flag („AcceptNewFlag“) auf den zweiten Wert, welcher das Erfüllen des zweiten Kriteriums repräsentiert, z.B. auf den Wert „0“ oder „NOT_ACCEPT“.
  • Da nach den Schritten 206, 208, 210, 212, 214 das Flag („AcceptNewFlag“) zur Charakterisierung des ersten bzw. zweiten Kriteriums entsprechend gesetzt ist, kann die Steuereinheit 120 bewerten, wie mit einem empfangenen Identifikationsmerkmal umgegangen werden soll.
  • In einem Schritt 216 überprüft die Steuereinheit 120 nun, ob ein Identifikationsmerkmal von der Recheneinheit 110 über den Feldbus 105 empfangen wird. Wenn kein Identifikationsmerkmal empfangen wird, kann die Steuereinheit 120 die obigen Schritte wiederholen.
  • Wenn die Steuereinheit 120 ein Identifikationsmerkmal von der Recheneinheit 110 über den Feldbus 105 empfängt, überprüft die Steuereinheit 120 in Schritt 218 auf welchen Wert das erste Flag („AcceptNewFlag“) gesetzt ist.
  • Wenn das erste Flag („AcceptNewFlag“) auf den ersten Wert „1“ oder „ACCEPT“ gesetzt ist und wenn somit das erste Kriterium erfüllt ist, wird das empfangene Identifikationsmerkmal in Schritt 220 in der nicht-flüchtigen Speichereinheit der Steuereinheit 120 hinterlegt.
  • Wie oben erläutert, kann das erste Kriterium beispielsweise erfüllt sein, wenn die Steuereinheit 120 erstmalig in Betrieb genommen wird oder wenn eine Neuprogrammierung der Steuereinheit 120 vorgenommen wurde, so dass das empfangene Identifikationsmerkmal in Schritt 220 für zukünftige Überwachung der Recheneinheit 110 in der Speichereinheit hinterlegt wird.
  • Wie oben erläutert kann das erste Kriterium auch erfüllt sein, wenn in Schritt 204 ein Defekt der Recheneinheit 110 erkannt worden ist. In diesem Fall kann in Schritt 220 davon ausgegangen werden, dass die defekte Recheneinheit 110 ausgetauscht wurde und dass die nun verbaute, neue Recheneinheit nach ihrer Inbetriebnahme erstmalig ihr eindeutiges Identifikationsmerkmal an die Steuereinheit 120 übermittelt. Dieses Identifikationsmerkmal wird dann in Schritt 220 in der Speichereinheit hinterlegt und das bisher dort hinterlegte Identifikationsmerkmal kann beispielsweise überschrieben, gelöscht oder als nicht mehr gültig gekennzeichnet werden.
  • Wenn in Schritt 218 hingegen erkannt wird, dass das erste Flag („AcceptNewFlag“) auf den zweiten Wert „0“ oder „NOT_ACCEPT“ gesetzt ist, bestimmt die Steuereinheit 120 in Schritt 222, dass das zweite Kriterium erfüllt ist und dass kein auf einen Defekt hindeutender Fehler der Recheneinheit 110 erkannt wurde. Somit liegt also kein legitimer Grund für einen Austausch der Recheneinheit 110 vor und es ist davon auszugehen, dass das neu empfangene Identifikationsmerkmal mit dem hinterlegten Identifikationsmerkmal übereinstimmen sollte. Daher vergleicht die Steuereinheit 120 in Schritt 224 das empfangene Identifikationsmerkmal mit dem in der nicht-flüchtigen Speichereinheit hinterlegten Identifikationsmerkmal.
  • Wenn diese beiden Merkmale übereinstimmen, setzt die Steuereinheit 120 in Schritt 226 den zweiten Indikator bzw. das zweite Flag („IDFlag“) auf den ersten Wert, z.B. „1“ oder „MATCH“, welcher die Richtigkeit des erneut empfangenen Merkmals repräsentiert. Weichen die Merkmale jedoch voneinander ab, setzt die Steuereinheit 120 in Schritt 228 das zweite Flag („IDFlag“) auf einen zweiten Wert, z.B. „0“ oder „MISMATCH“, welcher das nicht-Übereinstimmen der Merkmale repräsentiert.
  • Abhängig von diesem Vergleich bestimmt die Steuereinheit 120 in Schritt 230, ob ein auf eine Manipulation der Recheneinheit 110 hindeutender Fehler vorliegt oder nicht. Wenn die beiden Merkmale übereinstimmen und das zweite Flag („IDFlag“) auf den ersten Wert „1“ bzw. „MATCH“ gesetzt ist, bestimmt die Steuereinheit 120 in Schritt 230, dass kein derartiger Fehler vorliegt. Wenn die Merkmale jedoch voneinander abweichen und das zweite Flag („IDFlag“) auf den zweiten Wert „0“ bzw. „MISMATCH“ gesetzt ist, bestimmt die Steuereinheit 120 in Schritt 230, dass ein entsprechender Fehler vorliegt und dass eine Manipulation der Recheneinheit 110 vorliegt oder zumindest vorliegen könnte.
  • Beispielsweise kann auch dann bestimmt werden, dass ein auf eine Manipulation hindeutender Fehler vorliegt, wenn trotz Eintreten eines vorgegebenen Ereignisses, zu welchem die Recheneinheit 110 das Identifikationsmerkmal übermittelt sollte, kein Identifikationsmerkmal empfangen wird. Beispielsweise kann die Steuereinheit 120 als ein derartiges Ereignis das Identifikationsmerkmal von der Recheneinheit 110 anfordern. Ferner kann als derartiges Ereignis beispielsweise ein Wartungs- bzw. Überprüfungsintervall ablaufen, nach welchem die Recheneinheit 110 das Identifikationsmerkmal planmäßig zu übermitteln hat. Wird also trotz Eintreten des vorgegebenen Ereignisses kein Identifikationsmerkmal empfangen, bestimmt die Steuereinheit 120, dass ein auf eine Manipulation der Recheneinheit hindeutender Fehler vorliegt und setzt das zweite Flag („IDFlag“) auf den zweiten Wert „0“ bzw. „MISMATCH“.
  • Abhängig von dieser Auswertung in Schritt 230 sowie abhängig von der Überprüfung in Schritt 204 überprüft die Steuereinheit 120 in Schritt 232, ob allgemein ein Fehler der Recheneinheit 110 vorliegt, insbesondere ein auf eine Manipulation und/oder ein auf einen Defekt hindeutender Fehler. Wenn in Schritt 232 ein derartiger Fehler erkannt wird, führt die Steuereinheit 120 in Schritt 234 eine Fehlermaßnahme durch und gibt beispielsweise eine entsprechende Fehlermeldung über die Schnittstelle 130 an den Nutzer des Fahrzeugs 100 aus. Wenn in Schritt 232 kein Fehler erkannt wird, wird keine Fehlermaßnahme durchgeführt und mit dem regulären Betrieb fortgefahren.
  • In Schritt 236 wird überprüft, ob die Überwachung fortgesetzt bzw. wiederholt werden soll oder ob die Überwachung in Schritt 238 beendet werden soll.
  • Beispielweise könnte eine Manipulation an der Recheneinheit von dem Fahrzeugnutzer selbst durchgeführt werden. Es könnte beispielsweise die Intention des Fahrzeugnutzers sein, eine nicht vorgesehene oder verbotene Manipulation an dem Fahrzeug 100 vorzunehmen, etwa zur Leistungssteigerung oder zur Kostenreduzierung. So kann es beispielsweise Ziel des Fahrzeugnutzers als potentieller Angreifer sein, eine Manipulation an einem Katalysator zur selektiven katalytischen Reduktion (englisch „selective catalytic reduction“, SCR) vorzunehmen, welcher ein SCR-Mittel, z.B. eine Harnstofflösung, in den Abgasstrom zur Reduzierung von Stickoxiden NOx einspritzt. Beispielsweise könnte der Nutzer die Menge bzw. Dosierung des entsprechenden SCR-Mittels reduzieren wollen, um somit Kosten für das benötige SCR-Mittel zu senken. Eine derartige Manipulation wäre jedoch mit erhöhten Stickoxiden im Fahrzeugabgas verbunden, was zu einer Belastung für die Umwelt und zu dem Verstoß gegen gesetzliche Umweltrichtlinien führen kann.
  • Da die Recheneinheit 110 zur Überprüfung des Fahrzeugs entsprechende Fahrzeugdaten an den Server 150 des Fahrzeugherstellers übermitteln würde, z.B. Messdaten bezüglich der Zusammensetzung des Abgasstroms, würde eine derartige Manipulation des Katalysators von dem Fahrzeughersteller erkannt werden. Der Fahrzeugnutzer müsste also auch die Recheneinheit 110 manipulieren, damit die Katalysatormanipulation unbemerkt bleibt, beispielsweise durch Änderung an der von der Recheneinheit 110 ausgeführten Software oder durch Austauschen der Recheneinheit 110 gegen eine nicht-autorisierte, manipulierte Recheneinheit.
  • Bei einer erkannten Manipulation der Recheneinheit 110 kann neben dem Ausgeben der Fehlermeldung ferner als weitere Fehlermaßnahme beispielsweise ein Funktionsumfang des Fahrzeugs 100 reduziert werden, z.B. kann eine maximale Leistung, ein maximales Drehmoments oder eine maximale Geschwindigkeit begrenzt werden. Auf diese Weise sollen einerseits die Umweltbelastung durch die erhöhten Stickoxide verhindert oder zumindest reduziert werden und andererseits soll der Fahrzeugnutzer dazu bewegt werden, die Manipulation rückgängig zu machen, um wieder den vollständigen Funktionsumfang herzustellen.

Claims (15)

  1. Verfahren zum Erkennen eines Fehlers einer Recheneinheit (110) in einer technischen Vorrichtung (100), insbesondere in einem Fahrzeug oder in einer Maschine, wobei die technische Vorrichtung (100) ferner eine Steuereinheit (120) aufweist und wobei die Recheneinheit (110) und die Steuereinheit (120) miteinander in Kommunikationsverbindung (105) stehen, umfassend die Schritte: Empfangen (216), durch die Steuereinheit (120), eines die Recheneinheit (110) identifizierenden Identifikationsmerkmals von der Recheneinheit (110); wenn ein erstes vorgegebenes Kriterium erfüllt ist, Hinterlegen (220) des empfangenen Identifikationsmerkmals in einer Speichereinheit der Steuereinheit (120); wenn ein zweites vorgegebenes Kriterium erfüllt ist, Vergleichen (224), durch die Steuereinheit (120), des empfangenen Identifikationsmerkmals mit einem in der Speichereinheit der Steuereinheit (120) hinterlegten Identifikationsmerkmal und Bestimmen (230, 232), durch die Steuereinheit (120), in Abhängigkeit von diesem Vergleich, ob ein auf eine Manipulation der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt.
  2. Verfahren nach Anspruch 1, ferner umfassend: Bestimmen (204), durch die Steuereinheit, ob ein auf einen Defekt der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt, insbesondere in Abhängigkeit von einem Datenaustausch zwischen der Recheneinheit (110) und der Steuereinheit (120) und/oder in Abhängigkeit von einer Fehlererkennungsfunktion der Recheneinheit (110).
  3. Verfahren nach Anspruch 2, wobei das erste Kriterium erfüllt ist, wenn durch die Steuereinheit (120) während eines vorgegebenen ersten Zeitintervalls vor Empfangen des Identifikationsmerkmals und/oder seit einem vorgegebenen ersten Zeitpunkt bestimmt wurde, dass ein auf einen Defekt der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt und dass kein auf eine Manipulation der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt (212).
  4. Verfahren nach Anspruch 2 oder 3, wobei das zweite Kriterium erfüllt ist, wenn durch die Steuereinheit (120) während eines vorgegebenen zweiten Zeitintervalls vor Empfangen des Identifikationsmerkmals und/oder seit einem vorgegebenen zweiten Zeitpunkt bestimmt wurde, dass kein auf einen Defekt der Recheneinheit hindeutender Fehler der Recheneinheit vorliegt (214).
  5. Verfahren nach einem der vorstehenden Ansprüche, wobei das erste Kriterium erfüllt ist, wenn: die Steuereinheit (120) erstmalig in Betrieb genommen wird (208); und/oder eine Neuprogrammierung der Steuereinheit (208) durchgeführt wird; und/oder ein vorgegebener erster Befehl von einer externen Überwachungseinheit empfangen wird.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei das zweite Kriterium erfüllt ist, wenn: seit einer erstmaligen Inbetriebnahme der Steuereinheit (120) ein Identifikationsmerkmal in der Speichereinheit der Steuereinheit (120) hinterlegt wurde (214); und/oder seit einer Neuprogrammierung der Steuereinheit (120) ein Identifikationsmerkmal in der Speichereinheit der Steuereinheit (120) hinterlegt wurde (214); und/oder ein vorgegebener zweiter Befehl von einer externen Überwachungseinheit empfangen wird.
  7. Verfahren nach einem der vorstehenden Ansprüche, ferner umfassend: wenn durch die Steuereinheit (120) bei Eintreten eines vorgegebenen Ereignisses kein Identifikationsmerkmal von der Recheneinheit (110) empfangen wird, Bestimmen (230), durch die Steuereinheit (120), dass ein auf eine Manipulation der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt.
  8. Verfahren nach Anspruch 7, wobei das vorgegebene Ereignis eines oder mehrere der folgenden Ereignisse umfasst: Ablauf eines vorgegebenen dritten Zeitintervalls, insbesondere seit einem letzten Empfangen des Identifikationsmerkmals; und/oder Erreichen eines vorgegebenen dritten Zeitpunkts; und/oder Empfangen eines vorgegebenen dritten Befehls von einer externen Überwachungseinheit; und/oder Empfangen weiterer Daten von der Recheneinheit (110); und/oder eine Anfrage der Steuereinheit (120).
  9. Verfahren nach einem der vorstehenden Ansprüche, ferner umfassend: wenn durch die Steuereinheit (120) bestimmt wird, dass ein auf eine Manipulation der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt, Durchführen (234) einer vorgegebenen Maßnahme.
  10. Verfahren nach einem der vorstehenden Ansprüche, ferner umfassend: Erhöhen eines ersten Zählers, wenn im Zuge des Vergleichs bestimmt wird, dass das empfangene Identifikationsmerkmal mit dem in der Speichereinheit hinterlegten Identifikationsmerkmal übereinstimmt, Erhöhen eines zweiten Zählers, wenn im Zuge des Vergleichs bestimmt wird, dass das empfangene Identifikationsmerkmal nicht mit dem in der Speichereinheit hinterlegten Identifikationsmerkmal übereinstimmt, Bestimmen, dass kein auf eine Manipulation der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt, wenn der erste Zähler einen Schwellwert erreicht, Bestimmen, dass ein auf eine Manipulation der Recheneinheit (110) hindeutender Fehler der Recheneinheit (110) vorliegt, wenn der zweite Zähler einen Schwellwert erreicht.
  11. Verfahren nach einem der vorstehenden Ansprüche, wobei die Recheneinheit (110) dazu eingerichtet ist, mit einer entfernten Recheneinheit (150) zu kommunizieren, insbesondere um Daten zwischen der entfernten Recheneinheit (150) und der Steuereinheit (120) auszutauschen.
  12. Verfahren nach einem der vorstehenden Ansprüche, wobei die technische Vorrichtung (100) als ein Fahrzeug oder eine Maschine ausgebildet ist.
  13. Steuereinheit (120), die dazu eingerichtet ist, alle Verfahrensschritte eines Verfahrens nach einem der vorstehenden Ansprüche durchzuführen.
  14. Computerprogramm, das eine Steuereinheit (120) dazu veranlasst, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 1 bis 12 durchzuführen, wenn es auf der Steuereinheit (120) ausgeführt wird.
  15. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 14.
DE102022203282.9A 2022-04-01 2022-04-01 Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung Pending DE102022203282A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022203282.9A DE102022203282A1 (de) 2022-04-01 2022-04-01 Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022203282.9A DE102022203282A1 (de) 2022-04-01 2022-04-01 Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung

Publications (1)

Publication Number Publication Date
DE102022203282A1 true DE102022203282A1 (de) 2023-10-05

Family

ID=88018896

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022203282.9A Pending DE102022203282A1 (de) 2022-04-01 2022-04-01 Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung

Country Status (1)

Country Link
DE (1) DE102022203282A1 (de)

Similar Documents

Publication Publication Date Title
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP2931567B1 (de) System zum selektiven öffnen eines fahrzeuges durch einen servicedienstleister
DE102019107768A1 (de) Systeme und Verfahren zum automatischen Bestimmen einer Mitte eines autonomen Lenksystems
DE102016212195A1 (de) Verfahren zum Durchführen eines automatischen Eingriffs in die Fahrzeugführung eines Fahrzeugs
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
EP3667049A1 (de) Verfahren zum erkennen eines manipulierten betriebs einer komponente eines fahrzeugs
DE112016005669T5 (de) Bord-Kommunikationseinrichtung, Bord-Kommunikationssystem und Verfahren zum Verbieten spezieller Verarbeitungen für ein Fahrzeug
EP3741094B1 (de) Steuerungssystem für ein kraftfahrzeug, verfahren zum betreiben des steuerungssystems sowie kraftfahrzeug mit einem derartigen steuerungssystem
EP1169685A1 (de) Anordnung und verfahren zur speicherung von daten im kraftfahrzeug sowie verfahren zur nutzung der gespeicherten daten
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
DE102015209229A1 (de) Verfahren zum Überwachen eines Kraftfahrzeugs
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
DE102013204128A1 (de) Vorrichtung, Verfahren und System zur Überwachung von Betriebsdaten eines Kraftfahrzeugs
EP1956558A2 (de) Frühwarnsystem zur präventiven Erkennung und Korrektur von Mängeln in Fahrzeugen
DE102016200775A1 (de) Verfahren und Vorrichtung zum Schutz eines Fahrzeuges vor Cyberangriffen
EP4062591A2 (de) Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus, sowie zentrale überwachungsvorrichtung zum anschluss an einen kommunikationsbus
DE102022203282A1 (de) Verfahren zum Erkennen eines Fehlers einer Recheneinheit in einer technischen Vorrichtung
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102013200528A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102019214413A1 (de) Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs
EP3393830B1 (de) Verfahren und vorrichtung zur übertragung von daten von einer an einem rad eines fahrzeuges angeordneten radeinheit zu einer zentraleinheit des fahrzeuges
DE102020112823A1 (de) Diebstahlwarn- und Sicherheitssystem für Sensoren
DE10143556A1 (de) Fahrzeugmanagementsystem
EP4142263A1 (de) Verfahren, fernzugriffsserver, kommunikationsvorrichtung und system für einen fernzugriff auf ein fahrzeug