DE102022209301A1 - Method for transferring a control device to a safe system state - Google Patents
Method for transferring a control device to a safe system state Download PDFInfo
- Publication number
- DE102022209301A1 DE102022209301A1 DE102022209301.1A DE102022209301A DE102022209301A1 DE 102022209301 A1 DE102022209301 A1 DE 102022209301A1 DE 102022209301 A DE102022209301 A DE 102022209301A DE 102022209301 A1 DE102022209301 A1 DE 102022209301A1
- Authority
- DE
- Germany
- Prior art keywords
- control device
- messages
- bus system
- vehicle
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000004891 communication Methods 0.000 claims abstract description 17
- 150000001768 cations Chemical class 0.000 claims 1
- 230000006870 function Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000001276 controlling effect Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000007257 malfunction Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 239000002828 fuel tank Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000009423 ventilation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/24—Testing correct operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25032—CAN, canbus, controller area network bus
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/36—Handling requests for interconnection or transfer for access to common bus or bus system
- G06F13/368—Handling requests for interconnection or transfer for access to common bus or bus system with decentralised access control
- G06F13/376—Handling requests for interconnection or transfer for access to common bus or bus system with decentralised access control using a contention resolving method, e.g. collision detection, collision avoidance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
- G06F13/4295—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus using an embedded synchronisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug (10) in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät (12) und einem zweiten Steuergerät (14) und einem dritten Steuergerät (22) über eine kabelgebundene Kommunikationsstrecke (16) stattfindet, wobei das erste Steuergerät (12) zusätzlich eine Schnittstelle (18) für eine drahtlose Kommunikation aufweist und wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bussystem (20) realisiert wird.Bei dem Verfahren, bei dem der Hard- und Softwareaufwand minimiert wird, ist vorgesehen, dass im Bedarfsfalls durch das zweite Steuergerät (14) CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät (12) und/oder das dritte Steuergerät (22) CAN-Botschaften im CAN-Bussystem (20) übermitteln können.The invention relates to a method for transferring a control device in a vehicle (10) to a safe system state, wherein data is exchanged between a first control device (12) and a second control device (14) and a third control device (22) via a wired communication link (16 ) takes place, the first control device (12) additionally having an interface (18) for wireless communication and the wired communication route being implemented using a CAN bus system (20). In the method in which the hardware and software effort is minimized, It is provided that, if necessary, the second control device (14) transmits CAN messages with a predetermined priority in the CAN bus system, so that it is avoided that the first control device (12) and/or the third control device (22) send CAN messages in the CAN bus system (20).
Description
Die Erfindung betrifft ein Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug, insbesondere Kraftfahrzeug, in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät und einem zweiten Steuergerät über eine kabelgebundene Kommunikationsstrecke stattfindet, wobei das erste Steuergerät zusätzlich eine Schnittstelle für eine drahtlose Kommunikation aufweist, wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bus realisiert wird, wobei durch das zweite Steuergerät CAN-Botschaften an ein drittes Steuergerät übermittelt werden, wobei das dritte Steuergerät als Aktor fungiert, wobei mindestens das zweite Steuergerät gemäß dem CAN-Standard einen internen Zählerstand beinhaltet, der erhöht wird, wenn fehlerhafte CAN-Botschaften erkannt werden, wobei mindestens das zweite Steuergerät von einem ersten Betriebsmodus in einen zweiten Betriebsmodus überführt wird, wenn ein interner Zählerstand einen ersten Grenzwert erreicht.The invention relates to a method for transferring a control device in a vehicle, in particular a motor vehicle, to a safe system state, with data exchange between a first control device and a second control device taking place via a wired communication link, the first control device additionally having an interface for wireless communication , wherein the wired communication route is implemented by means of a CAN bus, with CAN messages being transmitted to a third control device by the second control device, the third control device acting as an actuator, at least the second control device containing an internal counter reading according to the CAN standard, which is increased when faulty CAN messages are detected, with at least the second control device being transferred from a first operating mode to a second operating mode when an internal counter reading reaches a first limit value.
Daneben betrifft die Erfindung ein Fahrzeug mit mindestens einem ersten Steuergerät, mit einem zweiten Steuergerät und einem dritten Steuergerät, wobei die Steuergeräte mittels eines CAN-Bussystems miteinander verbunden sind.In addition, the invention relates to a vehicle with at least a first control device, a second control device and a third control device, the control devices being connected to one another by means of a CAN bus system.
In modernen Kraftfahrzeugen wird eine große Anzahl an Sensoreinrichtungen, Steuergeräten und Steuerungscomputern verbaut. Diese Elemente sind in der Regel über ein Bordnetz miteinander verbunden, das häufig als Bussystem realisiert ist. Über das Bussystem können Daten untereinander ausgetauscht werden. Über eine Schnittstelle können zusätzlich externe übergeordnete Systeme angesprochen werden. Die Steuergeräte, Steuerungscomputer und Sensorvorrichtungen, im Folgenden insgesamt als Steuergeräte bezeichnet, sind dazu ausgelegt, verschiedene im Fahrzeug anfallende Überwachungs- und Steuerungsfunktionen durchzuführen. Dazu gehört unter anderem die Steuerung und/oder Überwachung der Motor und Getriebe-Steuerungen oder auch von Antiblockiersystemen. Zum Teil müssen diese Systeme in Echtzeit beziehungsweise mit möglichst wenig Zeitverzögerung arbeiten, da wichtige Prozesse, wie beispielweise die Bremsverzögerung, gesteuert werden müssen. A large number of sensor devices, control devices and control computers are installed in modern motor vehicles. These elements are usually connected to one another via an on-board network, which is often implemented as a bus system. Data can be exchanged with each other via the bus system. External higher-level systems can also be addressed via an interface. The control devices, control computers and sensor devices, hereinafter collectively referred to as control devices, are designed to carry out various monitoring and control functions occurring in the vehicle. This includes, among other things, controlling and/or monitoring the engine and transmission controls or anti-lock braking systems. In some cases, these systems have to work in real time or with as little time delay as possible, since important processes, such as braking deceleration, have to be controlled.
Befinden sich Steuergeräte auf einem Fahrzeugbus, welche über Funkschnittstellen, beispielsweise WLAN und/oder Bluetooth, verfügen, könnte sich ein Angreifer in diese Steuergeräte einhacken und den Fahrzeugbus manipulieren.If there are control devices on a vehicle bus that have radio interfaces, for example WLAN and/or Bluetooth, an attacker could hack into these control devices and manipulate the vehicle bus.
Aus dem Stand der Technik ist es zur Lösung dieses Problems beispielsweise bekannt, verschlüsselte CAN-Botschaften zu übermitteln. Eine solche Verschlüsselung erfordert allerdings eine entsprechende Hard- und Softwareinfrastruktur, die nicht in jedem Bussystem gegeben ist.To solve this problem, it is known from the prior art, for example, to transmit encrypted CAN messages. However, such encryption requires a corresponding hardware and software infrastructure, which is not available in every bus system.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren sowie ein Fahrzeug anzugeben, bei denen im Falle einer Cyber-Attacke ermöglicht wird, das System in einen sicheren Modus zu verbringen, wobei gleichzeitig der Hard- und Softwareaufwand minimiert wird.The invention is therefore based on the object of specifying a method and a vehicle in which, in the event of a cyber attack, it is possible to put the system into a secure mode, while at the same time minimizing the hardware and software effort.
Diese Aufgabe ist bei der vorliegenden Erfindung durch die Merkmale des Kennzeichnungsteils des Patentanspruchs 1 zunächst dadurch gelöst, dass durch das zweite Steuergerät CAN-Botschaften mit einer vorbestimmten Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät und/oder das dritte Steuergerät CAN-Botschaften im Bussystem übermitteln können, wenn sich das zweite Steuergerät im zweiten Betriebsmodus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät übermittelt wird, die nicht vom zweiten Steuergerät stammt.In the present invention, this object is initially achieved by the features of the characterizing part of patent claim 1 in that CAN messages with a predetermined priority are transmitted in the CAN bus system by the second control device, so that it is avoided that the first control device and / or the third control device can transmit CAN messages in the bus system when the second control device is in the second operating mode or when it is detected that a CAN message is transmitted to the third control device that does not come from the second control device.
Unter einem Aktor ist in diesem Zusammenhang ein Gerät zu verstehen, das Signale eines Steuergerätes in Aktionen umsetzt. Bei einem Aktor kann es sich beispielsweise um einen Elektromotor oder elektromagnetische Ventile handeln. Aktoren sind im Stand der Technik in einer Vielzahl von elektronischen Regelsystemen in Fahrzeugen verbaut. Aktoren sind beispielsweise dafür zuständig, Klappen zu verstellen, Durchflüsse von Flüssigkeiten zu regeln und/oder Pumpen zu betätigen, um einen gewünschten Druck aufzubauen. Aktoren werden ebenfalls bei der Motorsteuerung und bei Komfortsystemen von modernen Kraftfahrzeugen verwendet. Bei der Motorsteuerung werden Aktoren genutzt, um beispielsweise Leerlaufdrehzahlen zu regeln, Lüftungsklappen zu steuern, um Drehmomente beziehungsweise Leistungen zu optimieren und/oder um Kraftstoff für eine optimale Verbrennung zu dosieren.In this context, an actuator is a device that converts signals from a control device into actions. An actuator can be, for example, an electric motor or electromagnetic valves. In the state of the art, actuators are installed in a large number of electronic control systems in vehicles. Actuators are responsible, for example, for adjusting flaps, regulating fluid flows and/or activating pumps in order to build up a desired pressure. Actuators are also used in engine control and comfort systems in modern motor vehicles. In engine control, actuators are used, for example, to regulate idle speeds, to control ventilation flaps, to optimize torque or performance and/or to meter fuel for optimal combustion.
Außerdem kommen Aktoren in Komfortsystemen, beispielsweise zur Ver- und Entriegelung von Fahrzeugtüren oder bei der Fernbetätigung von Tankdeckeln, Heckklappen, Motorhauben und/oder Ablagefächern zum Einsatz. Dank leistungsfähiger Aktoren in unterschiedlichsten Ausführungen konnten in den letzten Jahren zahlreiche Sicherheits- und Assistenzsysteme realisiert werden. Dadurch tragen Aktoren dazu bei, den Autofahrer in kritischen Situationen zu unterstützen und somit Unfälle zu vermeiden.Actuators are also used in comfort systems, for example for locking and unlocking vehicle doors or for remote operation of fuel tank caps, tailgates, hoods and/or storage compartments. Thanks to powerful actuators in a wide variety of designs, numerous safety and assistance systems have been implemented in recent years. In this way, actuators help to support drivers in critical situations and thus avoid accidents.
Unter dem ersten Betriebsmodus ist der Normalzustand des zweiten Steuergerätes beziehungsweise der Steuergeräte allgemein zu verstehen, bei dem CAN-Botschaften empfangen und versendet werden können. Beim zweiten Betriebsmodus wird das zweite Steuergerät eingeschränkt. Der zweite Betriebsmodus kann beispielsweise einem nach dem CAN-Standard bekannten Error-Passiv Modus entsprechen. Wenn auf dem CAN-Bussystem ein Frame fehlerhaft übertragen wird, erkennen das die anderen Teilnehmer, also die anderen Steuergeräte und intervenieren mit einem Active Error Frame, welcher den Sender veranlasst seine CAN-Botschaft ein weiteres Mal zu senden. Dies kann unter Umständen so oft wiederholt werden, bis der interne Fehlerzähler des entsprechenden Steuergerätes, das den Error Frame verschickt, zu hoch ist. Dann ist vorgesehen, dass das Steuergerät selbst davon ausgeht, dass ein Defekt vorliegt und in den Error-Passiv Modus überführt wird.The normal state of the second control unit is in the first operating mode The way the control devices are used is to be understood in general, in which CAN messages can be received and sent. In the second operating mode, the second control device is restricted. The second operating mode can, for example, correspond to an error-passive mode known from the CAN standard. If a frame is transmitted incorrectly on the CAN bus system, the other participants, i.e. the other control devices, recognize this and intervene with an active error frame, which causes the sender to send its CAN message again. Under certain circumstances, this can be repeated until the internal error counter of the corresponding control unit that sends the error frame is too high. It is then planned that the control unit itself assumes that there is a defect and is transferred to error-passive mode.
Wenn ein Cyber-Angriff über die drahtlose Kommunikationsschnittstelle erfolgt, gibt es grundsätzlich zwei Szenarien, durch die Schadsoftware das Bussystem manipulieren könnte. Zum einen ist denkbar, dass eine Schadsoftware über das erste Steuergerät beliebige Sendebotschaften des zweiten Steuergerätes manipuliert. Dadurch sendet das zweite Steuergerät Error-Frames aus, wodurch die Botschaften gemäß der CAN-Spezifikation zerstört werden. Der interne Zählerstand wird dabei erhöht, wobei das zweite Steuergerät bei Erreichen des ersten Grenzwertes in den Error-Passiv Modus überführt wird. Danach werden vom zweiten Steuergerät keine Error-Frames mehr gesendet. Dies hat zur Folge, dass die Schadsoftware des ersten Steuergerätes CAN-Botschaften zum dritten Steuergerät senden kann. Der Fehler wird durch das dritte Steuergerät nicht erkannt und wird nicht in einen Notlauf überführt. Die Schadsoftware kann infolgedessen das Bussystem manipulieren.If a cyber attack occurs via the wireless communication interface, there are basically two scenarios through which malware could manipulate the bus system. On the one hand, it is conceivable that malware manipulates any transmission messages from the second control device via the first control device. This causes the second control unit to send out error frames, which destroys the messages in accordance with the CAN specification. The internal counter reading is increased, with the second control device being transferred to error-passive mode when the first limit value is reached. Afterwards, the second control device no longer sends error frames. This means that the malware from the first control unit can send CAN messages to the third control unit. The error is not recognized by the third control unit and is not converted into emergency mode. As a result, the malware can manipulate the bus system.
Ein zweites denkbares Szenario besteht darin, dass eine potentielle Schadsoftware des ersten Steuergerätes Botschaften an das dritte Steuergerät, mit einer Zykluszeit von 1 ms parallel zu den Botschaften des zweiten Steuergerätes an das erste Steuergerät, sendet. Von dem dritten Steuergerät wird nicht erkannt von welchem Steuergerät die korrekten Botschaften stammen. Das Erreichen eines sicheren Notlaufs kann für das dritte Steuergerät dann nicht gewährleistet werden.A second conceivable scenario is that potential malware from the first control device sends messages to the third control device with a cycle time of 1 ms in parallel to the messages from the second control device to the first control device. The third control device does not recognize which control device the correct messages come from. Achieving safe emergency operation cannot then be guaranteed for the third control device.
Durch das erfindungsgemäße Verfahren werden nun Maßnahmen im Falle dieser Szenarien ergriffen. Die CAN-Botschaft mit vorbestimmter Priorität kann entsprechend auch eine vorbestimmte Zyklusrate und Nutzdaten mit nur dominanten Bits enthalten. Auf diese Weise kann vermieden werden, dass ein anderes Steuergerät Daten auf den Bus senden kann. Eine Manipulation des Bussystems kann somit verhindert werden.The method according to the invention now takes measures in the case of these scenarios. The CAN message with a predetermined priority can accordingly also contain a predetermined cycle rate and user data with only dominant bits. In this way it can be avoided that another control device can send data to the bus. Manipulation of the bus system can thus be prevented.
Die vorbestimmte Priorität kann einer nach dem CAN-Standard höchsten Priorität entsprechen, sodass die CAN-Botschaften des zweiten Steuergerätes das CAN-Bussystem fluten und Botschaften eines möglicherweise kompromittierten Steuergerätes mit einer aufgespielten Schadsoftware nicht weitergeleitet werden können.The predetermined priority can correspond to a highest priority according to the CAN standard, so that the CAN messages from the second control device flood the CAN bus system and messages from a possibly compromised control device with installed malware cannot be forwarded.
Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den übrigen, in den Unteransprüchen genannten Merkmalen.Further preferred embodiments of the invention result from the remaining features mentioned in the subclaims.
Bei einer ersten Ausgestaltung des erfindungsgemäßen Verfahrens ist ein Fehlerspeicher vorgesehen. Ein Eintrag in den Fehlerspeicher wird vorgenommen, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Auf diese Weise können mögliche Cyber-Attacken nachverfolgt werden. Zusätzlich können neben dem Fehler auch Datum und Uhrzeit gespeichert werden.In a first embodiment of the method according to the invention, an error memory is provided. An entry is made in the error memory when CAN messages with a predetermined priority are transmitted in the CAN bus system by the second control unit. In this way, possible cyber attacks can be tracked. In addition to the error, the date and time can also be saved.
Zusätzlich oder alternativ ist bei einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens vorgesehen, dass eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich einer Anzeigeeinrichtung dargestellt wird. Auf diese Weise wird der Fahrer des Fahrzeugs gewarnt und kann entscheiden, ob er eine Weiterfahrt für sicher hält.Additionally or alternatively, in a further embodiment of the method according to the invention, it is provided that information about a possible cyber attack is displayed in a display area of a display device. In this way, the driver of the vehicle is warned and can decide whether it is safe to continue driving.
Beim Anzeigebereich der Anzeigeeinrichtung kann es sich um ein Display im Mittelbereich oder im Cockpitbereich, beispielsweise im Kombiinstrument des Fahrzeugs, handeln. Alternativ oder zusätzlich kann der Anzeigebereich der Anzeigeeinrichtung als Head-Up-Display ausgestaltet sein. Unter Head-Up-Display ist ein Anzeigebereich zu verstehen, bei dem der Fahrer seine Kopfhaltung beziehungsweise Blickrichtung beibehalten kann, weil die Informationen in sein Sichtfeld, beispielsweise auf die Windschutzscheibe des Fahrzeugs, projiziert werden.The display area of the display device can be a display in the middle area or in the cockpit area, for example in the instrument cluster of the vehicle. Alternatively or additionally, the display area of the display device can be designed as a head-up display. A head-up display is a display area in which the driver can maintain the position of his head or line of sight because the information is projected into his field of vision, for example onto the windshield of the vehicle.
Um die Sicherheit zu erhöhen, ist bei einem weiteren Ausführungsbeispiel der Erfindung vorgesehen, dass der Fahrer des Fahrzeugs aufgefordert wird, das Fahrzeug abzustellen, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Da bei diesem Szenario die Wahrscheinlichkeit sehr hoch ist, dass eine Cyber-Attacke auf mindestens ein Steuergerät ausgeführt wird, ist es ratsam, das Fahrzeug abzustellen, damit keine Fehlfunktionen während der Fahrt auftreten können.In order to increase safety, in a further exemplary embodiment of the invention it is provided that the driver of the vehicle is asked to turn off the vehicle when CAN messages with a predetermined priority are transmitted in the CAN bus system by the second control unit. Since in this scenario there is a very high probability that a cyber attack will be carried out on at least one control unit, it is advisable to turn off the vehicle so that no malfunctions can occur while driving.
Bei einer weiteren vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der interne Zählerstand zurückgesetzt wird, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Da bereits eine Anzahl fehlerhafter Botschaften übermittelt wurde und möglicherweise eine Cyber-Attacke von einem Dritten ausgeführt wird, muss der interne Zählerstand nicht weiterhin derart hoch eingestellt sein, dass sich das zweite Steuergerät im zweiten Betriebsmodus befindet.In a further advantageous embodiment of the invention, it is provided that the internal counter reading is reset when CAN messages are sent by the second control unit be transmitted with the correct priority in the CAN bus system. Since a number of incorrect messages have already been transmitted and a cyber attack may be carried out by a third party, the internal counter reading does not need to continue to be set so high that the second control device is in the second operating mode.
Bei einer besonders bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug abgeschaltet wird. Bei abgeschaltetem Fahrzeug, also beispielsweise, wenn die Zündung ausgeschaltet ist, kann das Fahrzeug keine drahtlose Verbindung mittels des ersten Steuergerätes aufbauen. Es ist also wahrscheinlich, dass bei abgeschaltetem Fahrzeug ein Hackerangriff nicht mehr möglich ist. Daher ist davon auszugehen, dass bei erneuter Zündung das Bussystem problemlos funktioniert. Das zweite Steuergerät übermittelt dann zunächst keine priorisierten Nachrichten, um andere Geräte des Bussystems daran zu hindern, Botschaften zu übermitteln. Es wird zunächst davon ausgegangen, dass keine Cyber-Attacke mehr vorliegt. Sollte dies doch der Fall sein, wird dies entsprechend erkannt und das zweite Steuergerät übermittelt erneut priorisierte Botschaften im Bussystem.In a particularly preferred embodiment of the method according to the invention, it is provided that the second control device transmits CAN messages with a predetermined priority in the CAN bus system until the vehicle is switched off. When the vehicle is switched off, for example when the ignition is switched off, the vehicle cannot establish a wireless connection using the first control unit. It is therefore likely that a hacker attack is no longer possible when the vehicle is switched off. It can therefore be assumed that the bus system will function without any problems when the ignition is restarted. The second control device then initially does not transmit any prioritized messages in order to prevent other devices in the bus system from transmitting messages. It is initially assumed that there is no longer a cyber attack. If this is the case, it will be recognized accordingly and the second control device will again transmit prioritized messages in the bus system.
Eine weitere Ausgestaltung der Erfindung sieht vor, dass die Übermittlung der CAN-Botschaften mit vorbestimmter Priorität mittels Ansteuerns eines MOSFET realisiert wird. Durch den MOSFET kann der Spannungspegel eines CAN-Transceivers auf „dominant“ gestellt werden, sodass der maximale Spannungspegel für das System erreicht wird. Generell werden die Spannungspegel entsprechend verändert, wenn ein Sender auf einem CAN-Bus eine Nachricht übermittelt. Durch die „dominante“ Einstellung werden die weiteren möglichen Nachrichten von anderen Steuergeräten folglich überlagert und nicht registriert.A further embodiment of the invention provides that the CAN messages are transmitted with a predetermined priority by controlling a MOSFET. The MOSFET allows the voltage level of a CAN transceiver to be set to “dominant” so that the maximum voltage level for the system is achieved. In general, the voltage levels are changed accordingly when a transmitter transmits a message on a CAN bus. The “dominant” setting means that other possible messages from other control devices are overlaid and not registered.
Ferner ist bei einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens vorgesehen, dass die CAN-Botschaften über einen Botschaftszähler und eine CRC-Checksumme verfügen. Auf diese Weise können Botschaften entsprechend vorab überprüft und zugeordnet werden, sodass lediglich die zwei zuvor beschriebenen Szenarien für die Übermittlung einer Schadsoftware bestehen.Furthermore, in a further embodiment of the method according to the invention, it is provided that the CAN messages have a message counter and a CRC checksum. In this way, messages can be checked and assigned in advance, so that only the two scenarios described above exist for the transmission of malware.
Gemäß einer weiteren Ausgestaltung der Erfindung ist vorgesehen, dass das zweite Steuergerät bei einem internen Zählerstand von 128 in den zweiten Betriebsmodus überführt wird. Es kann generell vorgesehen sein, dass der interne Zählerstand eines CAN-Controllers im zweiten Steuergerät um +8 inkrementiert wird, wenn ein Error Frame übermittelt wird. Bei einem internen Zählerstand von 128 geht das zweite Steuergerät dann in den Error-Passiv Modus. Bei einem internen Zählerstand von 256 kann das zweite Steuergerät in einen dritten Betriebsmodus, beispielsweise einem nach dem CAN-Standard bekannten Bus-Off-Zustand geschaltet werden. Das zweite Steuergerät sendet dann keine Botschaften mehr. Somit kann ein zweiter Grenzwert des internen Zählerstandes definiert werden, durch den eine weitere Zustandsänderung des zweiten Steuergerätes bewirkt wird.According to a further embodiment of the invention, it is provided that the second control device is transferred to the second operating mode when the internal counter reading is 128. It can generally be provided that the internal counter reading of a CAN controller in the second control unit is incremented by +8 when an error frame is transmitted. If the internal counter reading is 128, the second control unit then goes into error-passive mode. With an internal counter reading of 256, the second control unit can be switched to a third operating mode, for example a bus off state known according to the CAN standard. The second control device then no longer sends messages. A second limit value of the internal counter reading can thus be defined, which causes a further change in the state of the second control device.
Elektronische oder elektrische Geräte und/oder andere relevante Geräte oder Komponenten gemäß den hier beschriebenen Ausführungsformen der vorliegenden Erfindung können unter Verwendung jeder geeigneten Hardware, Firmware (zum Beispiel einer anwendungsspezifischen integrierten Schaltung), Software oder einer Kombination aus Software, Firmware und Hardware implementiert werden. Beispielsweise können die verschiedenen Komponenten dieser Geräte auf einem integrierten Schaltkreis (IC) oder auf separaten IC-Chips untergebracht sein. Darüber hinaus können die verschiedenen Komponenten dieser Geräte auf einer flexiblen gedruckten Schaltungsfolie, einem Tape-Carrier-Package (TCP), einer Leiterplatte (PCB) oder auf einem einzigen Substrat implementiert sein. Darüber hinaus können die verschiedenen Komponenten dieser Vorrichtungen ein Prozess oder Thread sein, der auf einem oder mehreren Prozessoren in einem oder mehreren Computergeräten läuft, Computerprogrammanweisungen ausführt und mit anderen Systemkomponenten interagiert, um die verschiedenen hier beschriebenen Funktionen auszuführen. Die Computerprogrammanweisungen sind in einem Speicher gespeichert, der in einem Computergerät unter Verwendung eines Standardspeichers, wie zum Beispiel eines Arbeitsspeichers (RAM), implementiert werden kann. Die Computerprogrammanweisungen können auch in anderen nicht-übertragbaren, computerlesbaren Medien gespeichert werden, wie zum Beispiel auf einer CD-ROM, einem Flash-Laufwerk oder ähnlichem. Eine fachkundige Person sollte auch erkennen, dass die Funktionalität verschiedener Computergeräte kombiniert oder in ein einziges Computergerät integriert werden kann oder dass die Funktionalität eines bestimmten Computergeräts auf ein oder mehrere andere Computergeräte verteilt werden kann, ohne vom Anwendungsbereich der beispielhaften Ausführungsformen der vorliegenden Erfindung abzuweichen.Electronic or electrical devices and/or other relevant devices or components according to the embodiments of the present invention described herein may be implemented using any suitable hardware, firmware (e.g., an application-specific integrated circuit), software, or a combination of software, firmware, and hardware. For example, the various components of these devices can be housed on an integrated circuit (IC) or on separate IC chips. Furthermore, the various components of these devices can be implemented on a flexible printed circuit film, a tape carrier package (TCP), a printed circuit board (PCB), or on a single substrate. Additionally, the various components of these devices may be a process or thread that runs on one or more processors in one or more computing devices, executes computer program instructions, and interacts with other system components to perform the various functions described herein. The computer program instructions are stored in a memory that can be implemented in a computing device using standard memory such as random access memory (RAM). The computer program instructions may also be stored in other non-transferable, computer-readable media, such as a CD-ROM, flash drive, or the like. A person skilled in the art should also recognize that the functionality of various computing devices may be combined or integrated into a single computing device, or that the functionality of a particular computing device may be distributed to one or more other computing devices without departing from the scope of the exemplary embodiments of the present invention.
Die vorgenannte Aufgabe wird außerdem gelöst von einem Fahrzeug mit mindestens einem ersten Steuergerät, mit einem zweiten Steuergerät und einem dritten Steuergerät, wobei die Steuergeräte mittels eines CAN-Bussystems miteinander verbunden sind. Es ist vorgesehen, dass die Steuergeräte dafür eingerichtet und ausgestaltet sind, ein erfindungsgemäßes Verfahren durchzuführen. Die Ausführungen bezüglich des erfindungsgemäßen Verfahrens gelten entsprechend auch für das erfindungsgemäße Fahrzeug.The aforementioned task is also achieved by a vehicle with at least a first control device, a second control device and a third control device, the control devices being connected to one another by means of a CAN bus system. It is intended that the control devices are set up and designed for this purpose carry out the method according to the invention. The statements regarding the method according to the invention also apply accordingly to the vehicle according to the invention.
Die verschiedenen in dieser Anmeldung genannten Ausführungsformen der Erfindung sind, sofern im Einzelfall nicht anders ausgeführt, mit Vorteil miteinander kombinierbar.The various embodiments of the invention mentioned in this application can be advantageously combined with one another, unless stated otherwise in individual cases.
Die Erfindung wird nachfolgend in Ausführungsbeispielen anhand der zugehörigen Zeichnungen erläutert. Es zeigen:
-
1 eine schematische Darstellung eines CAN-Bussystems in einem Fahrzeug, -
2 eine schematische Darstellung des Innenraums eines Fahrzeugs mit einer Anzeigeeinrichtung und -
3 eine Blockdarstellung verschiedener Schritte eines Ausführungsbeispiels der Durchführung eines erfindungsgemäßen Verfahrens.
-
1 a schematic representation of a CAN bus system in a vehicle, -
2 a schematic representation of the interior of a vehicle with a display device and -
3 a block representation of various steps of an exemplary embodiment of carrying out a method according to the invention.
Die Schnittstelle 18 für drahtlose Kommunikation des ersten Steuergerätes 12 ist sowohl mit Bluetooth als auch mit WLAN ausgestattet. Diese Schnittstellen stellen gleichzeitig eine Möglichkeit für einen Hacker dar, Schadsoftware in das erste Steuergerät 12 einzuspielen. Die potentielle Schadsoftware könnte zum Beispiel eine gezielte Störung des CAN Bitstroms von CAN Botschaften verursachen und damit zum Beispiel Signalanforderungen, also CAN-Botschaft vom zweiten Steuergerät 14 an das dritte Steuergerät 22, derart manipulieren, dass die Anforderungen nicht beim dritten Steuergerät 22 ankommen. Die Software und Logikanforderungen zum Ansteuern für eine bestimmte Funktion liegen dabei im zweiten Steuergerät 14. Wenn der Sender auf dem CAN-Bus eine Nachricht übermittelt, werden die Spannungspegel entsprechend verändert. Dies geschieht durch Ansteuern eines hier nicht dargestellten MOSFET, der das Spannungslevel beispielsweise auf „dominant“ oder „rezessiv“ einstellen kann.The
Wenn ein Cyber-Angriff über die Schnittstelle 18 für drahtlose Kommunikation erfolgt, gibt es grundsätzlich zwei Szenarien, durch die Schadsoftware das CAN-Bussystem 20 manipulieren könnte. Zum einen ist denkbar, dass eine Schadsoftware über das erste Steuergerät 12 beliebige Sendebotschaften des zweiten Steuergerätes 14 manipuliert. Dadurch sendet das zweite Steuergerät 14 Error-Frames aus, wodurch die Botschaften gemäß der CAN-Spezifikation zerstört werden. Ein interner Zählerstand wird dabei erhöht, wobei das zweite Steuergerät 14 bei Erreichen eines ersten Grenzwertes in einen Error-Passiv Modus überführt wird. Danach werden vom zweiten Steuergerät 14 keine Error-Frames mehr gesendet. Dies hat zur Folge, dass die Schadsoftware des ersten Steuergerätes 12 CAN-Botschaften zum dritten Steuergerät 22 senden kann. Der Fehler wird durch das dritte Steuergerät 22 nicht erkannt und das dritte Steuergerät 22 wird nicht in einen Notlauf überführt. Die Schadsoftware kann infolgedessen das CAN-Bussystem 20 manipulieren.If a cyber attack occurs via the
Bei dem vorliegenden Ausführungsbeispiel ist nun vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät 12 und/oder das dritte Steuergerät 22 CAN-Botschaften im CAN-Bussystem 20 übermitteln können, wenn sich das zweite Steuergerät 14 im Error-Passiv Modus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät 22 übermittelt wird, die nicht vom zweiten Steuergerät 14 stammt. Auf diese Weise kann vermieden werden, dass ein anderes Steuergerät Daten auf den Bus senden kann. Eine Manipulation des Bussystems kann somit verhindert werden.In the present exemplary embodiment it is now provided that the
Sobald sich das zweite Steuergerät im Error-Passiv Modus befindet, kann die Schadsoftware des ersten Steuergerätes 12 CAN-Botschaften zum dritten Steuergerät 22 senden. Das dritte Steuergerät 22 erkennt keinen Fehler und akzeptiert im schlimmsten Fall die manipulierten Botschaften.As soon as the second control device is in error-passive mode, the malware of the
Alternativ ist in Schritt 102 denkbar, dass die Schadsoftware im ersten Steuergerät 12 Botschaften an das dritte Steuergerät 22 mit einer Zykluszeit von 1 ms sendet, parallel zu den Botschaften vom zweiten Steuergerät 14 zum ersten Steuergerät 12 (Zykluszeit 10 ms). Das dritte Steuergerät 22 erkennt nicht, von welchem Steuergerät die „richtigen“ Botschaften stammen. Ein Erreichen eines sicheren Notlaufs des dritten Steuergerätes 22 kann nicht gewährleistet werden.Alternatively, in
Gegen diese beiden Angriffs-Szenarien wird eine entsprechende Lösung angeboten, welche einen möglichst geringen oder gar keinen zusätzlichen Hardwareaufwand benötigt, um zumindest bestimmte Funktionen im dritten Steuergerät 22 in den sicheren Notlauf zu bringen und zusätzlich die Fehlfunktion beziehungsweise Manipulation dem Fahrer des Fahrzeugs 10 anzuzeigen. Der Notlauf ist dabei ein sicherer Systemzustand, welcher erlaubt, das System beziehungsweise das Fahrzeug 10 weiter zu betreiben und/oder dieses sicher abzustellen.A corresponding solution is offered against these two attack scenarios, which requires as little or no additional hardware effort as possible in order to bring at least certain functions in the
Dafür ist in Schritt 106 vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter r Priorität im CAN-Bussystem 20 übermittelt werden, so dass vermieden wird, dass das erste Steuergerät 12 und/oder das dritte Steuergerät 22 CAN-Botschaften im CAN-Bussystem 20 übermitteln können, wenn sich das zweite Steuergerät 14 im Error-Passiv Modus befindet, oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät 22 übermittelt wird, die nicht vom zweiten Steuergerät 14 stammt.For this purpose, it is provided in
In Schritt 108 ist vorgesehen, dass ein Eintrag in einen Fehlerspeicher vorgenommen wird, wenn durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Auf diese Weise können mögliche Cyber-Attacken nachverfolgt werden. Zusätzlich können neben dem Fehler auch Datum und Uhrzeit gespeichert werden.In
In Schritt 110 wird eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich 24 einer Anzeigeeinrichtung 26 dargestellt. Auf diese Weise wird der Fahrer des Fahrzeugs gewarnt und kann entscheiden, ob er eine Weiterfahrt für sicher hält.In
In einem letzten Schritt 112 ist vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug 10 abgeschaltet wird. Bei abgeschaltetem Fahrzeug 10, also beispielsweise, wenn die Zündung ausgeschaltet ist, kann das Fahrzeug 10 keine drahtlose Verbindung mittels des ersten Steuergerätes 12 aufbauen. Es ist also wahrscheinlich, dass bei abgeschaltetem Fahrzeug 10 ein Hackerangriff nicht mehr möglich ist. Daher ist davon auszugehen, dass bei erneuter Zündung das CAN-Bussystem 20 problemlos funktioniert. Das zweite Steuergerät 14 übermittelt dann zunächst keine priorisierten Nachrichten, um andere Geräte des CAN-Bussystems 20 daran zu hindern, Botschaften zu übermitteln. Es wird zunächst davon ausgegangen, dass keine Cyber-Attacke mehr vorliegt. Sollte dies doch der Fall sein, werden die entsprechenden Szenarien der Schritte 100 oder 102 erkannt und das zweite Steuergerät 14 übermittelt erneut priorisierte Botschaften im CAN-Bussystem 20.In a final step 112 it is provided that the
BezugszeichenlisteReference symbol list
- 1010
- Fahrzeugvehicle
- 1212
- erstes Steuergerätfirst control unit
- 1414
- zweites Steuergerätsecond control unit
- 1616
- kabelgebundene Kommunikationsstreckewired communication route
- 1818
- Schnittstelle für drahtlose KommunikationWireless communication interface
- 2020
- CAN-BussystemCAN bus system
- 2222
- drittes Steuergerätthird control unit
- 2424
- AnzeigebereichDisplay area
- 2626
- AnzeigeeinrichtungDisplay device
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022209301.1A DE102022209301B4 (en) | 2022-09-07 | 2022-09-07 | Method for transferring a control device to a safe system state |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022209301.1A DE102022209301B4 (en) | 2022-09-07 | 2022-09-07 | Method for transferring a control device to a safe system state |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102022209301A1 true DE102022209301A1 (en) | 2024-03-07 |
DE102022209301B4 DE102022209301B4 (en) | 2024-03-28 |
Family
ID=89905660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102022209301.1A Active DE102022209301B4 (en) | 2022-09-07 | 2022-09-07 | Method for transferring a control device to a safe system state |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102022209301B4 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008002738A1 (en) | 2008-06-27 | 2010-01-07 | Airbus Deutschland Gmbh | Method for detecting a faulty node |
DE102017212757A1 (en) | 2017-07-25 | 2019-01-31 | Robert Bosch Gmbh | Method and device for protecting a fieldbus |
US20190260772A1 (en) | 2018-11-13 | 2019-08-22 | Marcio Rogerio Juliato | Bus-off attack prevention circuit |
DE102018105007B4 (en) | 2018-03-05 | 2019-10-17 | Volkswagen Aktiengesellschaft | Method for transmitting data via a communication channel, appropriately designed device and communication interface and computer program designed accordingly |
US20200174958A1 (en) | 2018-12-04 | 2020-06-04 | Palo Alto Research Center Incorporated | Method and apparatus to prevent a node device from transmitting an unallowable message onto a can bus |
DE102019001978A1 (en) | 2019-03-21 | 2020-10-08 | Volkswagen Aktiengesellschaft | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle |
-
2022
- 2022-09-07 DE DE102022209301.1A patent/DE102022209301B4/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008002738A1 (en) | 2008-06-27 | 2010-01-07 | Airbus Deutschland Gmbh | Method for detecting a faulty node |
DE102017212757A1 (en) | 2017-07-25 | 2019-01-31 | Robert Bosch Gmbh | Method and device for protecting a fieldbus |
DE102018105007B4 (en) | 2018-03-05 | 2019-10-17 | Volkswagen Aktiengesellschaft | Method for transmitting data via a communication channel, appropriately designed device and communication interface and computer program designed accordingly |
US20190260772A1 (en) | 2018-11-13 | 2019-08-22 | Marcio Rogerio Juliato | Bus-off attack prevention circuit |
US20220078201A1 (en) | 2018-11-13 | 2022-03-10 | Intel Corporation | Bus-off attack prevention circuit |
US20200174958A1 (en) | 2018-12-04 | 2020-06-04 | Palo Alto Research Center Incorporated | Method and apparatus to prevent a node device from transmitting an unallowable message onto a can bus |
DE102019001978A1 (en) | 2019-03-21 | 2020-10-08 | Volkswagen Aktiengesellschaft | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle |
Also Published As
Publication number | Publication date |
---|---|
DE102022209301B4 (en) | 2024-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2040957B1 (en) | Method and device for checking the plausibility of measured values in the surroundings of a motor vehicle | |
DE10326287B4 (en) | Vehicle communication system, initialization unit and in-vehicle control unit | |
DE4126449C2 (en) | Control device for vehicles | |
EP2087646B1 (en) | Device and method for manipulating communication messages | |
DE10065118A1 (en) | System and method for controlling and / or monitoring a control device network having at least two control devices | |
DE102011084254A1 (en) | Communication system for a motor vehicle | |
DE102018212879A1 (en) | Control device and control method | |
DE102013200535A1 (en) | Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation | |
WO2019030388A1 (en) | Method, device and computer program for dynamically allocating resources in a multi-processor computer system | |
EP3170054A1 (en) | Rail vehicle having an event-controlled driver's cab display device | |
DE102019214461A1 (en) | Method for remote control of a motor vehicle | |
DE10236080A1 (en) | Process flow control method, especially for use with a motor vehicle CAN bus automation system, wherein if a function unit is faulty it is prevented from communicating with the bus by disabling its bus driver | |
DE102019130036A1 (en) | Device for controlling automated driving of a vehicle | |
DE102017209557A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
DE102022209301B4 (en) | Method for transferring a control device to a safe system state | |
DE102019205237A1 (en) | Displaying ASIL-D information using a less secure device | |
DE102007008168A1 (en) | Circuit device and corresponding method for driving a load | |
DE102021208459B4 (en) | Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle | |
WO2021099186A2 (en) | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus, and central monitoring device for connection to a communication bus | |
DE102017209556A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
DE102013200528A1 (en) | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation | |
DE102004056138A1 (en) | Method and device for steering column lock | |
DE102019132428A1 (en) | Function-oriented electronics architecture | |
DE102019204176B4 (en) | Circuit arrangement for preventing incorrect data transmission via a bus interface | |
DE60314928T2 (en) | Circuit arrangement for an electronic control module for implementing communication protocols |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division |