DE102022209301A1 - Method for transferring a control device to a safe system state - Google Patents

Method for transferring a control device to a safe system state Download PDF

Info

Publication number
DE102022209301A1
DE102022209301A1 DE102022209301.1A DE102022209301A DE102022209301A1 DE 102022209301 A1 DE102022209301 A1 DE 102022209301A1 DE 102022209301 A DE102022209301 A DE 102022209301A DE 102022209301 A1 DE102022209301 A1 DE 102022209301A1
Authority
DE
Germany
Prior art keywords
control device
messages
bus system
vehicle
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102022209301.1A
Other languages
German (de)
Other versions
DE102022209301B4 (en
Inventor
Marek Grünewald
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102022209301.1A priority Critical patent/DE102022209301B4/en
Publication of DE102022209301A1 publication Critical patent/DE102022209301A1/en
Application granted granted Critical
Publication of DE102022209301B4 publication Critical patent/DE102022209301B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/24Testing correct operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25032CAN, canbus, controller area network bus
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • G06F13/368Handling requests for interconnection or transfer for access to common bus or bus system with decentralised access control
    • G06F13/376Handling requests for interconnection or transfer for access to common bus or bus system with decentralised access control using a contention resolving method, e.g. collision detection, collision avoidance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • G06F13/4295Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus using an embedded synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug (10) in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät (12) und einem zweiten Steuergerät (14) und einem dritten Steuergerät (22) über eine kabelgebundene Kommunikationsstrecke (16) stattfindet, wobei das erste Steuergerät (12) zusätzlich eine Schnittstelle (18) für eine drahtlose Kommunikation aufweist und wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bussystem (20) realisiert wird.Bei dem Verfahren, bei dem der Hard- und Softwareaufwand minimiert wird, ist vorgesehen, dass im Bedarfsfalls durch das zweite Steuergerät (14) CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät (12) und/oder das dritte Steuergerät (22) CAN-Botschaften im CAN-Bussystem (20) übermitteln können.The invention relates to a method for transferring a control device in a vehicle (10) to a safe system state, wherein data is exchanged between a first control device (12) and a second control device (14) and a third control device (22) via a wired communication link (16 ) takes place, the first control device (12) additionally having an interface (18) for wireless communication and the wired communication route being implemented using a CAN bus system (20). In the method in which the hardware and software effort is minimized, It is provided that, if necessary, the second control device (14) transmits CAN messages with a predetermined priority in the CAN bus system, so that it is avoided that the first control device (12) and/or the third control device (22) send CAN messages in the CAN bus system (20).

Description

Die Erfindung betrifft ein Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug, insbesondere Kraftfahrzeug, in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät und einem zweiten Steuergerät über eine kabelgebundene Kommunikationsstrecke stattfindet, wobei das erste Steuergerät zusätzlich eine Schnittstelle für eine drahtlose Kommunikation aufweist, wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bus realisiert wird, wobei durch das zweite Steuergerät CAN-Botschaften an ein drittes Steuergerät übermittelt werden, wobei das dritte Steuergerät als Aktor fungiert, wobei mindestens das zweite Steuergerät gemäß dem CAN-Standard einen internen Zählerstand beinhaltet, der erhöht wird, wenn fehlerhafte CAN-Botschaften erkannt werden, wobei mindestens das zweite Steuergerät von einem ersten Betriebsmodus in einen zweiten Betriebsmodus überführt wird, wenn ein interner Zählerstand einen ersten Grenzwert erreicht.The invention relates to a method for transferring a control device in a vehicle, in particular a motor vehicle, to a safe system state, with data exchange between a first control device and a second control device taking place via a wired communication link, the first control device additionally having an interface for wireless communication , wherein the wired communication route is implemented by means of a CAN bus, with CAN messages being transmitted to a third control device by the second control device, the third control device acting as an actuator, at least the second control device containing an internal counter reading according to the CAN standard, which is increased when faulty CAN messages are detected, with at least the second control device being transferred from a first operating mode to a second operating mode when an internal counter reading reaches a first limit value.

Daneben betrifft die Erfindung ein Fahrzeug mit mindestens einem ersten Steuergerät, mit einem zweiten Steuergerät und einem dritten Steuergerät, wobei die Steuergeräte mittels eines CAN-Bussystems miteinander verbunden sind.In addition, the invention relates to a vehicle with at least a first control device, a second control device and a third control device, the control devices being connected to one another by means of a CAN bus system.

In modernen Kraftfahrzeugen wird eine große Anzahl an Sensoreinrichtungen, Steuergeräten und Steuerungscomputern verbaut. Diese Elemente sind in der Regel über ein Bordnetz miteinander verbunden, das häufig als Bussystem realisiert ist. Über das Bussystem können Daten untereinander ausgetauscht werden. Über eine Schnittstelle können zusätzlich externe übergeordnete Systeme angesprochen werden. Die Steuergeräte, Steuerungscomputer und Sensorvorrichtungen, im Folgenden insgesamt als Steuergeräte bezeichnet, sind dazu ausgelegt, verschiedene im Fahrzeug anfallende Überwachungs- und Steuerungsfunktionen durchzuführen. Dazu gehört unter anderem die Steuerung und/oder Überwachung der Motor und Getriebe-Steuerungen oder auch von Antiblockiersystemen. Zum Teil müssen diese Systeme in Echtzeit beziehungsweise mit möglichst wenig Zeitverzögerung arbeiten, da wichtige Prozesse, wie beispielweise die Bremsverzögerung, gesteuert werden müssen. A large number of sensor devices, control devices and control computers are installed in modern motor vehicles. These elements are usually connected to one another via an on-board network, which is often implemented as a bus system. Data can be exchanged with each other via the bus system. External higher-level systems can also be addressed via an interface. The control devices, control computers and sensor devices, hereinafter collectively referred to as control devices, are designed to carry out various monitoring and control functions occurring in the vehicle. This includes, among other things, controlling and/or monitoring the engine and transmission controls or anti-lock braking systems. In some cases, these systems have to work in real time or with as little time delay as possible, since important processes, such as braking deceleration, have to be controlled.

Befinden sich Steuergeräte auf einem Fahrzeugbus, welche über Funkschnittstellen, beispielsweise WLAN und/oder Bluetooth, verfügen, könnte sich ein Angreifer in diese Steuergeräte einhacken und den Fahrzeugbus manipulieren.If there are control devices on a vehicle bus that have radio interfaces, for example WLAN and/or Bluetooth, an attacker could hack into these control devices and manipulate the vehicle bus.

Aus dem Stand der Technik ist es zur Lösung dieses Problems beispielsweise bekannt, verschlüsselte CAN-Botschaften zu übermitteln. Eine solche Verschlüsselung erfordert allerdings eine entsprechende Hard- und Softwareinfrastruktur, die nicht in jedem Bussystem gegeben ist.To solve this problem, it is known from the prior art, for example, to transmit encrypted CAN messages. However, such encryption requires a corresponding hardware and software infrastructure, which is not available in every bus system.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren sowie ein Fahrzeug anzugeben, bei denen im Falle einer Cyber-Attacke ermöglicht wird, das System in einen sicheren Modus zu verbringen, wobei gleichzeitig der Hard- und Softwareaufwand minimiert wird.The invention is therefore based on the object of specifying a method and a vehicle in which, in the event of a cyber attack, it is possible to put the system into a secure mode, while at the same time minimizing the hardware and software effort.

Diese Aufgabe ist bei der vorliegenden Erfindung durch die Merkmale des Kennzeichnungsteils des Patentanspruchs 1 zunächst dadurch gelöst, dass durch das zweite Steuergerät CAN-Botschaften mit einer vorbestimmten Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät und/oder das dritte Steuergerät CAN-Botschaften im Bussystem übermitteln können, wenn sich das zweite Steuergerät im zweiten Betriebsmodus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät übermittelt wird, die nicht vom zweiten Steuergerät stammt.In the present invention, this object is initially achieved by the features of the characterizing part of patent claim 1 in that CAN messages with a predetermined priority are transmitted in the CAN bus system by the second control device, so that it is avoided that the first control device and / or the third control device can transmit CAN messages in the bus system when the second control device is in the second operating mode or when it is detected that a CAN message is transmitted to the third control device that does not come from the second control device.

Unter einem Aktor ist in diesem Zusammenhang ein Gerät zu verstehen, das Signale eines Steuergerätes in Aktionen umsetzt. Bei einem Aktor kann es sich beispielsweise um einen Elektromotor oder elektromagnetische Ventile handeln. Aktoren sind im Stand der Technik in einer Vielzahl von elektronischen Regelsystemen in Fahrzeugen verbaut. Aktoren sind beispielsweise dafür zuständig, Klappen zu verstellen, Durchflüsse von Flüssigkeiten zu regeln und/oder Pumpen zu betätigen, um einen gewünschten Druck aufzubauen. Aktoren werden ebenfalls bei der Motorsteuerung und bei Komfortsystemen von modernen Kraftfahrzeugen verwendet. Bei der Motorsteuerung werden Aktoren genutzt, um beispielsweise Leerlaufdrehzahlen zu regeln, Lüftungsklappen zu steuern, um Drehmomente beziehungsweise Leistungen zu optimieren und/oder um Kraftstoff für eine optimale Verbrennung zu dosieren.In this context, an actuator is a device that converts signals from a control device into actions. An actuator can be, for example, an electric motor or electromagnetic valves. In the state of the art, actuators are installed in a large number of electronic control systems in vehicles. Actuators are responsible, for example, for adjusting flaps, regulating fluid flows and/or activating pumps in order to build up a desired pressure. Actuators are also used in engine control and comfort systems in modern motor vehicles. In engine control, actuators are used, for example, to regulate idle speeds, to control ventilation flaps, to optimize torque or performance and/or to meter fuel for optimal combustion.

Außerdem kommen Aktoren in Komfortsystemen, beispielsweise zur Ver- und Entriegelung von Fahrzeugtüren oder bei der Fernbetätigung von Tankdeckeln, Heckklappen, Motorhauben und/oder Ablagefächern zum Einsatz. Dank leistungsfähiger Aktoren in unterschiedlichsten Ausführungen konnten in den letzten Jahren zahlreiche Sicherheits- und Assistenzsysteme realisiert werden. Dadurch tragen Aktoren dazu bei, den Autofahrer in kritischen Situationen zu unterstützen und somit Unfälle zu vermeiden.Actuators are also used in comfort systems, for example for locking and unlocking vehicle doors or for remote operation of fuel tank caps, tailgates, hoods and/or storage compartments. Thanks to powerful actuators in a wide variety of designs, numerous safety and assistance systems have been implemented in recent years. In this way, actuators help to support drivers in critical situations and thus avoid accidents.

Unter dem ersten Betriebsmodus ist der Normalzustand des zweiten Steuergerätes beziehungsweise der Steuergeräte allgemein zu verstehen, bei dem CAN-Botschaften empfangen und versendet werden können. Beim zweiten Betriebsmodus wird das zweite Steuergerät eingeschränkt. Der zweite Betriebsmodus kann beispielsweise einem nach dem CAN-Standard bekannten Error-Passiv Modus entsprechen. Wenn auf dem CAN-Bussystem ein Frame fehlerhaft übertragen wird, erkennen das die anderen Teilnehmer, also die anderen Steuergeräte und intervenieren mit einem Active Error Frame, welcher den Sender veranlasst seine CAN-Botschaft ein weiteres Mal zu senden. Dies kann unter Umständen so oft wiederholt werden, bis der interne Fehlerzähler des entsprechenden Steuergerätes, das den Error Frame verschickt, zu hoch ist. Dann ist vorgesehen, dass das Steuergerät selbst davon ausgeht, dass ein Defekt vorliegt und in den Error-Passiv Modus überführt wird.The normal state of the second control unit is in the first operating mode The way the control devices are used is to be understood in general, in which CAN messages can be received and sent. In the second operating mode, the second control device is restricted. The second operating mode can, for example, correspond to an error-passive mode known from the CAN standard. If a frame is transmitted incorrectly on the CAN bus system, the other participants, i.e. the other control devices, recognize this and intervene with an active error frame, which causes the sender to send its CAN message again. Under certain circumstances, this can be repeated until the internal error counter of the corresponding control unit that sends the error frame is too high. It is then planned that the control unit itself assumes that there is a defect and is transferred to error-passive mode.

Wenn ein Cyber-Angriff über die drahtlose Kommunikationsschnittstelle erfolgt, gibt es grundsätzlich zwei Szenarien, durch die Schadsoftware das Bussystem manipulieren könnte. Zum einen ist denkbar, dass eine Schadsoftware über das erste Steuergerät beliebige Sendebotschaften des zweiten Steuergerätes manipuliert. Dadurch sendet das zweite Steuergerät Error-Frames aus, wodurch die Botschaften gemäß der CAN-Spezifikation zerstört werden. Der interne Zählerstand wird dabei erhöht, wobei das zweite Steuergerät bei Erreichen des ersten Grenzwertes in den Error-Passiv Modus überführt wird. Danach werden vom zweiten Steuergerät keine Error-Frames mehr gesendet. Dies hat zur Folge, dass die Schadsoftware des ersten Steuergerätes CAN-Botschaften zum dritten Steuergerät senden kann. Der Fehler wird durch das dritte Steuergerät nicht erkannt und wird nicht in einen Notlauf überführt. Die Schadsoftware kann infolgedessen das Bussystem manipulieren.If a cyber attack occurs via the wireless communication interface, there are basically two scenarios through which malware could manipulate the bus system. On the one hand, it is conceivable that malware manipulates any transmission messages from the second control device via the first control device. This causes the second control unit to send out error frames, which destroys the messages in accordance with the CAN specification. The internal counter reading is increased, with the second control device being transferred to error-passive mode when the first limit value is reached. Afterwards, the second control device no longer sends error frames. This means that the malware from the first control unit can send CAN messages to the third control unit. The error is not recognized by the third control unit and is not converted into emergency mode. As a result, the malware can manipulate the bus system.

Ein zweites denkbares Szenario besteht darin, dass eine potentielle Schadsoftware des ersten Steuergerätes Botschaften an das dritte Steuergerät, mit einer Zykluszeit von 1 ms parallel zu den Botschaften des zweiten Steuergerätes an das erste Steuergerät, sendet. Von dem dritten Steuergerät wird nicht erkannt von welchem Steuergerät die korrekten Botschaften stammen. Das Erreichen eines sicheren Notlaufs kann für das dritte Steuergerät dann nicht gewährleistet werden.A second conceivable scenario is that potential malware from the first control device sends messages to the third control device with a cycle time of 1 ms in parallel to the messages from the second control device to the first control device. The third control device does not recognize which control device the correct messages come from. Achieving safe emergency operation cannot then be guaranteed for the third control device.

Durch das erfindungsgemäße Verfahren werden nun Maßnahmen im Falle dieser Szenarien ergriffen. Die CAN-Botschaft mit vorbestimmter Priorität kann entsprechend auch eine vorbestimmte Zyklusrate und Nutzdaten mit nur dominanten Bits enthalten. Auf diese Weise kann vermieden werden, dass ein anderes Steuergerät Daten auf den Bus senden kann. Eine Manipulation des Bussystems kann somit verhindert werden.The method according to the invention now takes measures in the case of these scenarios. The CAN message with a predetermined priority can accordingly also contain a predetermined cycle rate and user data with only dominant bits. In this way it can be avoided that another control device can send data to the bus. Manipulation of the bus system can thus be prevented.

Die vorbestimmte Priorität kann einer nach dem CAN-Standard höchsten Priorität entsprechen, sodass die CAN-Botschaften des zweiten Steuergerätes das CAN-Bussystem fluten und Botschaften eines möglicherweise kompromittierten Steuergerätes mit einer aufgespielten Schadsoftware nicht weitergeleitet werden können.The predetermined priority can correspond to a highest priority according to the CAN standard, so that the CAN messages from the second control device flood the CAN bus system and messages from a possibly compromised control device with installed malware cannot be forwarded.

Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den übrigen, in den Unteransprüchen genannten Merkmalen.Further preferred embodiments of the invention result from the remaining features mentioned in the subclaims.

Bei einer ersten Ausgestaltung des erfindungsgemäßen Verfahrens ist ein Fehlerspeicher vorgesehen. Ein Eintrag in den Fehlerspeicher wird vorgenommen, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Auf diese Weise können mögliche Cyber-Attacken nachverfolgt werden. Zusätzlich können neben dem Fehler auch Datum und Uhrzeit gespeichert werden.In a first embodiment of the method according to the invention, an error memory is provided. An entry is made in the error memory when CAN messages with a predetermined priority are transmitted in the CAN bus system by the second control unit. In this way, possible cyber attacks can be tracked. In addition to the error, the date and time can also be saved.

Zusätzlich oder alternativ ist bei einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens vorgesehen, dass eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich einer Anzeigeeinrichtung dargestellt wird. Auf diese Weise wird der Fahrer des Fahrzeugs gewarnt und kann entscheiden, ob er eine Weiterfahrt für sicher hält.Additionally or alternatively, in a further embodiment of the method according to the invention, it is provided that information about a possible cyber attack is displayed in a display area of a display device. In this way, the driver of the vehicle is warned and can decide whether it is safe to continue driving.

Beim Anzeigebereich der Anzeigeeinrichtung kann es sich um ein Display im Mittelbereich oder im Cockpitbereich, beispielsweise im Kombiinstrument des Fahrzeugs, handeln. Alternativ oder zusätzlich kann der Anzeigebereich der Anzeigeeinrichtung als Head-Up-Display ausgestaltet sein. Unter Head-Up-Display ist ein Anzeigebereich zu verstehen, bei dem der Fahrer seine Kopfhaltung beziehungsweise Blickrichtung beibehalten kann, weil die Informationen in sein Sichtfeld, beispielsweise auf die Windschutzscheibe des Fahrzeugs, projiziert werden.The display area of the display device can be a display in the middle area or in the cockpit area, for example in the instrument cluster of the vehicle. Alternatively or additionally, the display area of the display device can be designed as a head-up display. A head-up display is a display area in which the driver can maintain the position of his head or line of sight because the information is projected into his field of vision, for example onto the windshield of the vehicle.

Um die Sicherheit zu erhöhen, ist bei einem weiteren Ausführungsbeispiel der Erfindung vorgesehen, dass der Fahrer des Fahrzeugs aufgefordert wird, das Fahrzeug abzustellen, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Da bei diesem Szenario die Wahrscheinlichkeit sehr hoch ist, dass eine Cyber-Attacke auf mindestens ein Steuergerät ausgeführt wird, ist es ratsam, das Fahrzeug abzustellen, damit keine Fehlfunktionen während der Fahrt auftreten können.In order to increase safety, in a further exemplary embodiment of the invention it is provided that the driver of the vehicle is asked to turn off the vehicle when CAN messages with a predetermined priority are transmitted in the CAN bus system by the second control unit. Since in this scenario there is a very high probability that a cyber attack will be carried out on at least one control unit, it is advisable to turn off the vehicle so that no malfunctions can occur while driving.

Bei einer weiteren vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass der interne Zählerstand zurückgesetzt wird, wenn durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Da bereits eine Anzahl fehlerhafter Botschaften übermittelt wurde und möglicherweise eine Cyber-Attacke von einem Dritten ausgeführt wird, muss der interne Zählerstand nicht weiterhin derart hoch eingestellt sein, dass sich das zweite Steuergerät im zweiten Betriebsmodus befindet.In a further advantageous embodiment of the invention, it is provided that the internal counter reading is reset when CAN messages are sent by the second control unit be transmitted with the correct priority in the CAN bus system. Since a number of incorrect messages have already been transmitted and a cyber attack may be carried out by a third party, the internal counter reading does not need to continue to be set so high that the second control device is in the second operating mode.

Bei einer besonders bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass durch das zweite Steuergerät CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug abgeschaltet wird. Bei abgeschaltetem Fahrzeug, also beispielsweise, wenn die Zündung ausgeschaltet ist, kann das Fahrzeug keine drahtlose Verbindung mittels des ersten Steuergerätes aufbauen. Es ist also wahrscheinlich, dass bei abgeschaltetem Fahrzeug ein Hackerangriff nicht mehr möglich ist. Daher ist davon auszugehen, dass bei erneuter Zündung das Bussystem problemlos funktioniert. Das zweite Steuergerät übermittelt dann zunächst keine priorisierten Nachrichten, um andere Geräte des Bussystems daran zu hindern, Botschaften zu übermitteln. Es wird zunächst davon ausgegangen, dass keine Cyber-Attacke mehr vorliegt. Sollte dies doch der Fall sein, wird dies entsprechend erkannt und das zweite Steuergerät übermittelt erneut priorisierte Botschaften im Bussystem.In a particularly preferred embodiment of the method according to the invention, it is provided that the second control device transmits CAN messages with a predetermined priority in the CAN bus system until the vehicle is switched off. When the vehicle is switched off, for example when the ignition is switched off, the vehicle cannot establish a wireless connection using the first control unit. It is therefore likely that a hacker attack is no longer possible when the vehicle is switched off. It can therefore be assumed that the bus system will function without any problems when the ignition is restarted. The second control device then initially does not transmit any prioritized messages in order to prevent other devices in the bus system from transmitting messages. It is initially assumed that there is no longer a cyber attack. If this is the case, it will be recognized accordingly and the second control device will again transmit prioritized messages in the bus system.

Eine weitere Ausgestaltung der Erfindung sieht vor, dass die Übermittlung der CAN-Botschaften mit vorbestimmter Priorität mittels Ansteuerns eines MOSFET realisiert wird. Durch den MOSFET kann der Spannungspegel eines CAN-Transceivers auf „dominant“ gestellt werden, sodass der maximale Spannungspegel für das System erreicht wird. Generell werden die Spannungspegel entsprechend verändert, wenn ein Sender auf einem CAN-Bus eine Nachricht übermittelt. Durch die „dominante“ Einstellung werden die weiteren möglichen Nachrichten von anderen Steuergeräten folglich überlagert und nicht registriert.A further embodiment of the invention provides that the CAN messages are transmitted with a predetermined priority by controlling a MOSFET. The MOSFET allows the voltage level of a CAN transceiver to be set to “dominant” so that the maximum voltage level for the system is achieved. In general, the voltage levels are changed accordingly when a transmitter transmits a message on a CAN bus. The “dominant” setting means that other possible messages from other control devices are overlaid and not registered.

Ferner ist bei einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens vorgesehen, dass die CAN-Botschaften über einen Botschaftszähler und eine CRC-Checksumme verfügen. Auf diese Weise können Botschaften entsprechend vorab überprüft und zugeordnet werden, sodass lediglich die zwei zuvor beschriebenen Szenarien für die Übermittlung einer Schadsoftware bestehen.Furthermore, in a further embodiment of the method according to the invention, it is provided that the CAN messages have a message counter and a CRC checksum. In this way, messages can be checked and assigned in advance, so that only the two scenarios described above exist for the transmission of malware.

Gemäß einer weiteren Ausgestaltung der Erfindung ist vorgesehen, dass das zweite Steuergerät bei einem internen Zählerstand von 128 in den zweiten Betriebsmodus überführt wird. Es kann generell vorgesehen sein, dass der interne Zählerstand eines CAN-Controllers im zweiten Steuergerät um +8 inkrementiert wird, wenn ein Error Frame übermittelt wird. Bei einem internen Zählerstand von 128 geht das zweite Steuergerät dann in den Error-Passiv Modus. Bei einem internen Zählerstand von 256 kann das zweite Steuergerät in einen dritten Betriebsmodus, beispielsweise einem nach dem CAN-Standard bekannten Bus-Off-Zustand geschaltet werden. Das zweite Steuergerät sendet dann keine Botschaften mehr. Somit kann ein zweiter Grenzwert des internen Zählerstandes definiert werden, durch den eine weitere Zustandsänderung des zweiten Steuergerätes bewirkt wird.According to a further embodiment of the invention, it is provided that the second control device is transferred to the second operating mode when the internal counter reading is 128. It can generally be provided that the internal counter reading of a CAN controller in the second control unit is incremented by +8 when an error frame is transmitted. If the internal counter reading is 128, the second control unit then goes into error-passive mode. With an internal counter reading of 256, the second control unit can be switched to a third operating mode, for example a bus off state known according to the CAN standard. The second control device then no longer sends messages. A second limit value of the internal counter reading can thus be defined, which causes a further change in the state of the second control device.

Elektronische oder elektrische Geräte und/oder andere relevante Geräte oder Komponenten gemäß den hier beschriebenen Ausführungsformen der vorliegenden Erfindung können unter Verwendung jeder geeigneten Hardware, Firmware (zum Beispiel einer anwendungsspezifischen integrierten Schaltung), Software oder einer Kombination aus Software, Firmware und Hardware implementiert werden. Beispielsweise können die verschiedenen Komponenten dieser Geräte auf einem integrierten Schaltkreis (IC) oder auf separaten IC-Chips untergebracht sein. Darüber hinaus können die verschiedenen Komponenten dieser Geräte auf einer flexiblen gedruckten Schaltungsfolie, einem Tape-Carrier-Package (TCP), einer Leiterplatte (PCB) oder auf einem einzigen Substrat implementiert sein. Darüber hinaus können die verschiedenen Komponenten dieser Vorrichtungen ein Prozess oder Thread sein, der auf einem oder mehreren Prozessoren in einem oder mehreren Computergeräten läuft, Computerprogrammanweisungen ausführt und mit anderen Systemkomponenten interagiert, um die verschiedenen hier beschriebenen Funktionen auszuführen. Die Computerprogrammanweisungen sind in einem Speicher gespeichert, der in einem Computergerät unter Verwendung eines Standardspeichers, wie zum Beispiel eines Arbeitsspeichers (RAM), implementiert werden kann. Die Computerprogrammanweisungen können auch in anderen nicht-übertragbaren, computerlesbaren Medien gespeichert werden, wie zum Beispiel auf einer CD-ROM, einem Flash-Laufwerk oder ähnlichem. Eine fachkundige Person sollte auch erkennen, dass die Funktionalität verschiedener Computergeräte kombiniert oder in ein einziges Computergerät integriert werden kann oder dass die Funktionalität eines bestimmten Computergeräts auf ein oder mehrere andere Computergeräte verteilt werden kann, ohne vom Anwendungsbereich der beispielhaften Ausführungsformen der vorliegenden Erfindung abzuweichen.Electronic or electrical devices and/or other relevant devices or components according to the embodiments of the present invention described herein may be implemented using any suitable hardware, firmware (e.g., an application-specific integrated circuit), software, or a combination of software, firmware, and hardware. For example, the various components of these devices can be housed on an integrated circuit (IC) or on separate IC chips. Furthermore, the various components of these devices can be implemented on a flexible printed circuit film, a tape carrier package (TCP), a printed circuit board (PCB), or on a single substrate. Additionally, the various components of these devices may be a process or thread that runs on one or more processors in one or more computing devices, executes computer program instructions, and interacts with other system components to perform the various functions described herein. The computer program instructions are stored in a memory that can be implemented in a computing device using standard memory such as random access memory (RAM). The computer program instructions may also be stored in other non-transferable, computer-readable media, such as a CD-ROM, flash drive, or the like. A person skilled in the art should also recognize that the functionality of various computing devices may be combined or integrated into a single computing device, or that the functionality of a particular computing device may be distributed to one or more other computing devices without departing from the scope of the exemplary embodiments of the present invention.

Die vorgenannte Aufgabe wird außerdem gelöst von einem Fahrzeug mit mindestens einem ersten Steuergerät, mit einem zweiten Steuergerät und einem dritten Steuergerät, wobei die Steuergeräte mittels eines CAN-Bussystems miteinander verbunden sind. Es ist vorgesehen, dass die Steuergeräte dafür eingerichtet und ausgestaltet sind, ein erfindungsgemäßes Verfahren durchzuführen. Die Ausführungen bezüglich des erfindungsgemäßen Verfahrens gelten entsprechend auch für das erfindungsgemäße Fahrzeug.The aforementioned task is also achieved by a vehicle with at least a first control device, a second control device and a third control device, the control devices being connected to one another by means of a CAN bus system. It is intended that the control devices are set up and designed for this purpose carry out the method according to the invention. The statements regarding the method according to the invention also apply accordingly to the vehicle according to the invention.

Die verschiedenen in dieser Anmeldung genannten Ausführungsformen der Erfindung sind, sofern im Einzelfall nicht anders ausgeführt, mit Vorteil miteinander kombinierbar.The various embodiments of the invention mentioned in this application can be advantageously combined with one another, unless stated otherwise in individual cases.

Die Erfindung wird nachfolgend in Ausführungsbeispielen anhand der zugehörigen Zeichnungen erläutert. Es zeigen:

  • 1 eine schematische Darstellung eines CAN-Bussystems in einem Fahrzeug,
  • 2 eine schematische Darstellung des Innenraums eines Fahrzeugs mit einer Anzeigeeinrichtung und
  • 3 eine Blockdarstellung verschiedener Schritte eines Ausführungsbeispiels der Durchführung eines erfindungsgemäßen Verfahrens.
The invention is explained below in exemplary embodiments using the associated drawings. Show it:
  • 1 a schematic representation of a CAN bus system in a vehicle,
  • 2 a schematic representation of the interior of a vehicle with a display device and
  • 3 a block representation of various steps of an exemplary embodiment of carrying out a method according to the invention.

1 zeigt eine Anordnung verschiedener Steuergeräte in einem Fahrzeug 10. Dabei ist ein erstes Steuergerät 12 mit einem zweiten Steuergerät 14 mittels einer kabelgebundenen Kommunikationsstrecke 16 verbunden. Das erste Steuergerät 12 weist zusätzlich eine Schnittstelle 18 für drahtlose Kommunikation auf. Bei der kabelgebundenen Kommunikationsstrecke 16 handelt es sich um ein CAN-Bussystem 20. Ferner ist ein drittes Steuergerät 22 innerhalb des CAN-Bussystems 20 mit dem ersten Steuergerät 12 und dem zweiten Steuergerät 14 verbunden. Das dritte Steuergerät 22 dient in diesem Ausführungsbeispiel als Aktor, wobei CAN-Botschaften an das dritte Steuergerät 22 lediglich dem zweiten Steuergerät 14 vorbehalten sind. 1 shows an arrangement of various control devices in a vehicle 10. A first control device 12 is connected to a second control device 14 by means of a wired communication link 16. The first control device 12 additionally has an interface 18 for wireless communication. The wired communication route 16 is a CAN bus system 20. Furthermore, a third control device 22 is connected within the CAN bus system 20 to the first control device 12 and the second control device 14. The third control device 22 serves as an actuator in this exemplary embodiment, with CAN messages to the third control device 22 only being reserved for the second control device 14.

Die Schnittstelle 18 für drahtlose Kommunikation des ersten Steuergerätes 12 ist sowohl mit Bluetooth als auch mit WLAN ausgestattet. Diese Schnittstellen stellen gleichzeitig eine Möglichkeit für einen Hacker dar, Schadsoftware in das erste Steuergerät 12 einzuspielen. Die potentielle Schadsoftware könnte zum Beispiel eine gezielte Störung des CAN Bitstroms von CAN Botschaften verursachen und damit zum Beispiel Signalanforderungen, also CAN-Botschaft vom zweiten Steuergerät 14 an das dritte Steuergerät 22, derart manipulieren, dass die Anforderungen nicht beim dritten Steuergerät 22 ankommen. Die Software und Logikanforderungen zum Ansteuern für eine bestimmte Funktion liegen dabei im zweiten Steuergerät 14. Wenn der Sender auf dem CAN-Bus eine Nachricht übermittelt, werden die Spannungspegel entsprechend verändert. Dies geschieht durch Ansteuern eines hier nicht dargestellten MOSFET, der das Spannungslevel beispielsweise auf „dominant“ oder „rezessiv“ einstellen kann.The interface 18 for wireless communication of the first control device 12 is equipped with both Bluetooth and WLAN. These interfaces also represent an opportunity for a hacker to import malware into the first control device 12. The potential malware could, for example, cause a targeted disruption of the CAN bit stream of CAN messages and thus, for example, manipulate signal requests, i.e. CAN messages from the second control device 14 to the third control device 22, in such a way that the requests do not reach the third control device 22. The software and logic requirements for controlling a specific function lie in the second control unit 14. When the transmitter transmits a message on the CAN bus, the voltage levels are changed accordingly. This is done by controlling a MOSFET, not shown here, which can set the voltage level to “dominant” or “recessive”, for example.

Wenn ein Cyber-Angriff über die Schnittstelle 18 für drahtlose Kommunikation erfolgt, gibt es grundsätzlich zwei Szenarien, durch die Schadsoftware das CAN-Bussystem 20 manipulieren könnte. Zum einen ist denkbar, dass eine Schadsoftware über das erste Steuergerät 12 beliebige Sendebotschaften des zweiten Steuergerätes 14 manipuliert. Dadurch sendet das zweite Steuergerät 14 Error-Frames aus, wodurch die Botschaften gemäß der CAN-Spezifikation zerstört werden. Ein interner Zählerstand wird dabei erhöht, wobei das zweite Steuergerät 14 bei Erreichen eines ersten Grenzwertes in einen Error-Passiv Modus überführt wird. Danach werden vom zweiten Steuergerät 14 keine Error-Frames mehr gesendet. Dies hat zur Folge, dass die Schadsoftware des ersten Steuergerätes 12 CAN-Botschaften zum dritten Steuergerät 22 senden kann. Der Fehler wird durch das dritte Steuergerät 22 nicht erkannt und das dritte Steuergerät 22 wird nicht in einen Notlauf überführt. Die Schadsoftware kann infolgedessen das CAN-Bussystem 20 manipulieren.If a cyber attack occurs via the wireless communication interface 18, there are basically two scenarios through which malware could manipulate the CAN bus system 20. On the one hand, it is conceivable that malware manipulates any transmission messages from the second control device 14 via the first control device 12. This causes the second control unit to send out 14 error frames, which destroys the messages according to the CAN specification. An internal counter reading is increased, with the second control device 14 being transferred to an error-passive mode when a first limit value is reached. After that, the second control device 14 no longer sends error frames. This means that the malware of the first control device 12 can send CAN messages to the third control device 22. The error is not recognized by the third control device 22 and the third control device 22 is not put into emergency mode. As a result, the malware can manipulate the CAN bus system 20.

Bei dem vorliegenden Ausführungsbeispiel ist nun vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät 12 und/oder das dritte Steuergerät 22 CAN-Botschaften im CAN-Bussystem 20 übermitteln können, wenn sich das zweite Steuergerät 14 im Error-Passiv Modus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät 22 übermittelt wird, die nicht vom zweiten Steuergerät 14 stammt. Auf diese Weise kann vermieden werden, dass ein anderes Steuergerät Daten auf den Bus senden kann. Eine Manipulation des Bussystems kann somit verhindert werden.In the present exemplary embodiment it is now provided that the second control device 14 transmits CAN messages with a predetermined priority in the CAN bus system, so that it is avoided that the first control device 12 and/or the third control device 22 sends CAN messages in the CAN bus system. Bus system 20 can transmit when the second control device 14 is in error-passive mode or when it is recognized that a CAN message is being transmitted to the third control device 22 that does not come from the second control device 14. In this way it can be avoided that another control device can send data to the bus. Manipulation of the bus system can thus be prevented.

2 zeigt ein Ausführungsbeispiel des vorgenannten Verfahrens, bei dem eine Cyber-Attacke erkannt wurde. Neben einem entsprechenden Fehlereintrag in einem hier nicht dargestellten Fehlerspeicher, wird dem Fahrer des Fahrzeugs 10 über einen Anzeigebereich 24 einer Anzeigeeinrichtung 26 mitgeteilt, dass möglicherweise eine Cyber-Attacke vorliegt. Der Fahrer des Fahrzeugs 10 hat dann die Möglichkeit, das Fahrzeug 10 an den Straßenrand zu fahren und abzustellen. Die Wahrscheinlichkeit, dass eine Cyber-Attacke bei ausgeschalteter Zündung weiterhin ausgeführt wird, ist vergleichsweise unwahrscheinlich, da auch die drahtlose Verbindung nicht mehr bestehen kann. 2 shows an exemplary embodiment of the aforementioned method in which a cyber attack was detected. In addition to a corresponding error entry in an error memory (not shown here), the driver of the vehicle 10 is informed via a display area 24 of a display device 26 that a cyber attack may have occurred. The driver of the vehicle 10 then has the opportunity to drive the vehicle 10 to the side of the road and park it. The likelihood that a cyber attack will continue to be carried out when the ignition is switched off is comparatively unlikely, as the wireless connection can no longer exist.

3 zeigt eine schematische Blockdarstellung einzelner Verfahrensschritte eines Ausführungsbeispiels eines erfindungsgemäßen Verfahrens. Dabei wird in Schritt 100 angenommen, dass eine Schadsoftware beliebige Sendebotschaften des zweiten Steuergerätes 14 manipuliert. Das zweite Steuergerät 14 sendet zuerst Error-Frames, um die Botschaft gemäß den CAN-Spezifikationen zu zerstören. Ein interner Zähler eines CAN-Controllers im zweiten Steuergerät 14 wird um +8 inkrementiert. Beim Zählerstand von 128 geht das zweite Steuergerät 14 in einen Error-Passiv Modus, wobei dann keine Error-Frames mehr ausgesendet werden. Bei einem Zählerstand von 256 geht das zweite Steuergerät 14 in einen Bus-Off-Zustand, wobei dann gar keine Botschaften mehr vom zweiten Steuergerät 14 gesendet werden. 3 shows a schematic block representation of individual method steps of an exemplary embodiment of a method according to the invention. In step 100 it is assumed that malware manipulates any transmission messages from the second control device 14. The second control unit 14 first sends error frames to destroy the message according to the CAN specifications. An internal counter of a CAN controller in the second control device 14 is incremented by +8. When the counter reads 128, the second control device 14 goes into an error-passive mode, in which case no more error frames are sent out. At a counter reading of 256, the second control device 14 goes into a bus-off state, in which case no more messages are sent from the second control device 14.

Sobald sich das zweite Steuergerät im Error-Passiv Modus befindet, kann die Schadsoftware des ersten Steuergerätes 12 CAN-Botschaften zum dritten Steuergerät 22 senden. Das dritte Steuergerät 22 erkennt keinen Fehler und akzeptiert im schlimmsten Fall die manipulierten Botschaften.As soon as the second control device is in error-passive mode, the malware of the first control device 12 can send CAN messages to the third control device 22. The third control device 22 does not recognize any errors and, in the worst case, accepts the manipulated messages.

Alternativ ist in Schritt 102 denkbar, dass die Schadsoftware im ersten Steuergerät 12 Botschaften an das dritte Steuergerät 22 mit einer Zykluszeit von 1 ms sendet, parallel zu den Botschaften vom zweiten Steuergerät 14 zum ersten Steuergerät 12 (Zykluszeit 10 ms). Das dritte Steuergerät 22 erkennt nicht, von welchem Steuergerät die „richtigen“ Botschaften stammen. Ein Erreichen eines sicheren Notlaufs des dritten Steuergerätes 22 kann nicht gewährleistet werden.Alternatively, in step 102 it is conceivable that the malware in the first control device 12 sends messages to the third control device 22 with a cycle time of 1 ms, parallel to the messages from the second control device 14 to the first control device 12 (cycle time 10 ms). The third control device 22 does not recognize which control device the “correct” messages come from. Achieving safe emergency operation of the third control device 22 cannot be guaranteed.

Gegen diese beiden Angriffs-Szenarien wird eine entsprechende Lösung angeboten, welche einen möglichst geringen oder gar keinen zusätzlichen Hardwareaufwand benötigt, um zumindest bestimmte Funktionen im dritten Steuergerät 22 in den sicheren Notlauf zu bringen und zusätzlich die Fehlfunktion beziehungsweise Manipulation dem Fahrer des Fahrzeugs 10 anzuzeigen. Der Notlauf ist dabei ein sicherer Systemzustand, welcher erlaubt, das System beziehungsweise das Fahrzeug 10 weiter zu betreiben und/oder dieses sicher abzustellen.A corresponding solution is offered against these two attack scenarios, which requires as little or no additional hardware effort as possible in order to bring at least certain functions in the third control device 22 into safe emergency operation and additionally indicate the malfunction or manipulation to the driver of the vehicle 10. The emergency operation is a safe system state, which allows the system or the vehicle 10 to continue to operate and/or to shut it down safely.

Dafür ist in Schritt 106 vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter r Priorität im CAN-Bussystem 20 übermittelt werden, so dass vermieden wird, dass das erste Steuergerät 12 und/oder das dritte Steuergerät 22 CAN-Botschaften im CAN-Bussystem 20 übermitteln können, wenn sich das zweite Steuergerät 14 im Error-Passiv Modus befindet, oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät 22 übermittelt wird, die nicht vom zweiten Steuergerät 14 stammt.For this purpose, it is provided in step 106 that the second control device 14 transmits CAN messages with a predetermined priority in the CAN bus system 20, so that it is avoided that the first control device 12 and / or the third control device 22 CAN messages in the CAN -Bus system 20 can transmit when the second control device 14 is in error-passive mode, or when it is recognized that a CAN message is transmitted to the third control device 22 that does not come from the second control device 14.

In Schritt 108 ist vorgesehen, dass ein Eintrag in einen Fehlerspeicher vorgenommen wird, wenn durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden. Auf diese Weise können mögliche Cyber-Attacken nachverfolgt werden. Zusätzlich können neben dem Fehler auch Datum und Uhrzeit gespeichert werden.In step 108 it is provided that an entry is made in an error memory when the second control device 14 transmits CAN messages with a predetermined priority in the CAN bus system. In this way, possible cyber attacks can be tracked. In addition to the error, the date and time can also be saved.

In Schritt 110 wird eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich 24 einer Anzeigeeinrichtung 26 dargestellt. Auf diese Weise wird der Fahrer des Fahrzeugs gewarnt und kann entscheiden, ob er eine Weiterfahrt für sicher hält.In step 110, information about a possible cyber attack is displayed in a display area 24 of a display device 26. In this way, the driver of the vehicle is warned and can decide whether it is safe to continue driving.

In einem letzten Schritt 112 ist vorgesehen, dass durch das zweite Steuergerät 14 CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug 10 abgeschaltet wird. Bei abgeschaltetem Fahrzeug 10, also beispielsweise, wenn die Zündung ausgeschaltet ist, kann das Fahrzeug 10 keine drahtlose Verbindung mittels des ersten Steuergerätes 12 aufbauen. Es ist also wahrscheinlich, dass bei abgeschaltetem Fahrzeug 10 ein Hackerangriff nicht mehr möglich ist. Daher ist davon auszugehen, dass bei erneuter Zündung das CAN-Bussystem 20 problemlos funktioniert. Das zweite Steuergerät 14 übermittelt dann zunächst keine priorisierten Nachrichten, um andere Geräte des CAN-Bussystems 20 daran zu hindern, Botschaften zu übermitteln. Es wird zunächst davon ausgegangen, dass keine Cyber-Attacke mehr vorliegt. Sollte dies doch der Fall sein, werden die entsprechenden Szenarien der Schritte 100 oder 102 erkannt und das zweite Steuergerät 14 übermittelt erneut priorisierte Botschaften im CAN-Bussystem 20.In a final step 112 it is provided that the second control device 14 transmits CAN messages with a predetermined priority in the CAN bus system until the vehicle 10 is switched off. When the vehicle 10 is switched off, for example when the ignition is switched off, the vehicle 10 cannot establish a wireless connection using the first control unit 12. It is therefore likely that a hacker attack is no longer possible when the vehicle 10 is switched off. It can therefore be assumed that the CAN bus system 20 will function without any problems when the ignition is restarted. The second control device 14 then initially does not transmit any prioritized messages in order to prevent other devices of the CAN bus system 20 from transmitting messages. It is initially assumed that there is no longer a cyber attack. If this is the case, the corresponding scenarios of steps 100 or 102 are recognized and the second control device 14 again transmits prioritized messages in the CAN bus system 20.

BezugszeichenlisteReference symbol list

1010
Fahrzeugvehicle
1212
erstes Steuergerätfirst control unit
1414
zweites Steuergerätsecond control unit
1616
kabelgebundene Kommunikationsstreckewired communication route
1818
Schnittstelle für drahtlose KommunikationWireless communication interface
2020
CAN-BussystemCAN bus system
2222
drittes Steuergerätthird control unit
2424
AnzeigebereichDisplay area
2626
AnzeigeeinrichtungDisplay device

Claims (10)

Verfahren zum Überführen eines Steuergerätes in einem Fahrzeug (10), insbesondere Kraftfahrzeug, in einen sicheren Systemzustand, wobei ein Datenaustausch zwischen einem ersten Steuergerät (12) und einem zweiten Steuergerät (14) über eine kabelgebundene Kommunikationsstrecke (16) stattfindet, wobei das erste Steuergerät (12) zusätzlich eine Schnittstelle (18) für eine drahtlose Kommunikation aufweist, wobei die kabelgebundene Kommunikationsstrecke mittels CAN-Bussystem (20) realisiert wird, wobei durch das zweite Steuergerät (14) CAN-Botschaften an ein drittes Steuergerät (22) übermittelt werden, wobei das dritte Steuergerät (22) als Aktor fungiert, wobei mindestens das zweite Steuergerät (14) gemäß dem CAN-Standard einen internen Zählerstand beinhaltet, der erhöht wird, wenn fehlerhafte CAN-Botschaften erkannt werden, wobei mindestens das zweite Steuergerät (14) in von einem ersten Betriebsmodus in einen zweiten Betriebsmodus überführt wird, wenn ein interner Zählerstand einen ersten Grenzwert erreicht, dadurch gekennzeichnet, dass durch das zweite Steuergerät (14) CAN-Botschaften mit einer vorbestimmten Priorität im CAN-Bussystem übermittelt werden, so dass vermieden wird, dass das erste Steuergerät (12) und/oder das dritte Steuergerät (22) CAN-Botschaften im CAN-Bussystem (20) übermitteln können, wenn sich das zweite Steuergerät (14) im zweiten Betriebsmodus befindet oder wenn erkannt wird, dass eine CAN-Botschaft an das dritte Steuergerät (22) übermittelt wird, die nicht vom zweiten Steuergerät (14) stammt.Method for transferring a control device in a vehicle (10), in particular a motor vehicle, to a safe system state, wherein a data exchange takes place between a first control device (12) and a second control device (14) via a wired communication link (16), the first control device (12) additionally an interface (18) for wireless communication cation, wherein the wired communication route is implemented by means of a CAN bus system (20), with CAN messages being transmitted to a third control device (22) by the second control device (14), the third control device (22) acting as an actuator, whereby at least the second control device (14) according to the CAN standard contains an internal counter reading which is increased when faulty CAN messages are detected, wherein at least the second control device (14) is transferred from a first operating mode to a second operating mode when an internal counter reading reaches a first limit value, characterized in that the second control device (14) transmits CAN messages with a predetermined priority in the CAN bus system, so that it is avoided that the first control device (12) and / or the third Control unit (22) can transmit CAN messages in the CAN bus system (20) when the second control unit (14) is in the second operating mode or when it is recognized that a CAN message is being transmitted to the third control unit (22). does not come from the second control unit (14). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass ein Fehlerspeicher vorgesehen ist und dass ein Eintrag in den Fehlerspeicher vorgenommen wird, wenn durch das zweite Steuergerät (14) CAN-Botschaften mit der vorbestimmten Priorität im CAN-Bussystem übermittelt werden.Procedure according to Claim 1 , characterized in that an error memory is provided and that an entry is made in the error memory when CAN messages with the predetermined priority in the CAN bus system are transmitted by the second control unit (14). Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass eine Information über eine mögliche Cyber-Attacke in einem Anzeigebereich (24) einer Anzeigeeinrichtung (26) dargestellt wird.Procedure according to Claim 1 or 2 , characterized in that information about a possible cyber attack is displayed in a display area (24) of a display device (26). Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Fahrer des Fahrzeugs (10) aufgefordert wird, das Fahrzeug (10) abzustellen, wenn durch das zweite Steuergerät (14) CAN-Botschaften mit der vorbestimmten Priorität im CAN-Bussystem übermittelt werden.Procedure according to one of the Claims 1 until 3 , characterized in that the driver of the vehicle (10) is asked to turn off the vehicle (10) when CAN messages with the predetermined priority in the CAN bus system are transmitted by the second control unit (14). Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der interne Zählerstand zurückgesetzt wird, wenn durch das zweite Steuergerät (14) CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem übermittelt werden.Procedure according to one of the Claims 1 until 4 , characterized in that the internal counter reading is reset when CAN messages with a predetermined priority are transmitted in the CAN bus system by the second control unit (14). Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass durch das zweite Steuergerät (14) CAN-Botschaften mit vorbestimmter Priorität im CAN-Bussystem so lange übermittelt werden, bis das Fahrzeug (10) abgeschaltet wird.Procedure according to one of the Claims 1 until 5 , characterized in that the second control unit (14) transmits CAN messages with a predetermined priority in the CAN bus system until the vehicle (10) is switched off. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Übermittlung der CAN-Botschaften mit vorbestimmter Priorität mittels Ansteuerns eines MOSFET realisiert wird.Procedure according to one of the Claims 1 until 6 , characterized in that the CAN messages are transmitted with a predetermined priority by controlling a MOSFET. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die CAN-Botschaften über einen Botschaftszähler und eine CRC-Checksumme verfügen.Procedure according to one of the Claims 1 until 7 , characterized in that the CAN messages have a message counter and a CRC checksum. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das zweite Steuergerät (14) bei einem internen Zählerstand von 128 in den zweiten Betriebsmodus überführt wird.Procedure according to one of the Claims 1 until 8th , characterized in that the second control device (14) is transferred to the second operating mode when the internal counter reading is 128. Fahrzeug (10) mit mindestens einem ersten Steuergerät (12), mit einem zweiten Steuergerät (14) und einem dritten Steuergerät (22), wobei die Steuergeräte (12, 14, 22) mittels eines CAN-Bussystems (20) miteinander verbunden sind, dadurch gekennzeichnet, dass die Steuergeräte (12, 14, 22) dafür eingerichtet und ausgestaltet sind, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen.Vehicle (10) with at least a first control device (12), with a second control device (14) and a third control device (22), the control devices (12, 14, 22) being connected to one another by means of a CAN bus system (20), characterized in that the control devices (12, 14, 22) are set up and designed to carry out a method according to one of the Claims 1 until 9 to carry out.
DE102022209301.1A 2022-09-07 2022-09-07 Method for transferring a control device to a safe system state Active DE102022209301B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022209301.1A DE102022209301B4 (en) 2022-09-07 2022-09-07 Method for transferring a control device to a safe system state

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022209301.1A DE102022209301B4 (en) 2022-09-07 2022-09-07 Method for transferring a control device to a safe system state

Publications (2)

Publication Number Publication Date
DE102022209301A1 true DE102022209301A1 (en) 2024-03-07
DE102022209301B4 DE102022209301B4 (en) 2024-03-28

Family

ID=89905660

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022209301.1A Active DE102022209301B4 (en) 2022-09-07 2022-09-07 Method for transferring a control device to a safe system state

Country Status (1)

Country Link
DE (1) DE102022209301B4 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008002738A1 (en) 2008-06-27 2010-01-07 Airbus Deutschland Gmbh Method for detecting a faulty node
DE102017212757A1 (en) 2017-07-25 2019-01-31 Robert Bosch Gmbh Method and device for protecting a fieldbus
US20190260772A1 (en) 2018-11-13 2019-08-22 Marcio Rogerio Juliato Bus-off attack prevention circuit
DE102018105007B4 (en) 2018-03-05 2019-10-17 Volkswagen Aktiengesellschaft Method for transmitting data via a communication channel, appropriately designed device and communication interface and computer program designed accordingly
US20200174958A1 (en) 2018-12-04 2020-06-04 Palo Alto Research Center Incorporated Method and apparatus to prevent a node device from transmitting an unallowable message onto a can bus
DE102019001978A1 (en) 2019-03-21 2020-10-08 Volkswagen Aktiengesellschaft Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008002738A1 (en) 2008-06-27 2010-01-07 Airbus Deutschland Gmbh Method for detecting a faulty node
DE102017212757A1 (en) 2017-07-25 2019-01-31 Robert Bosch Gmbh Method and device for protecting a fieldbus
DE102018105007B4 (en) 2018-03-05 2019-10-17 Volkswagen Aktiengesellschaft Method for transmitting data via a communication channel, appropriately designed device and communication interface and computer program designed accordingly
US20190260772A1 (en) 2018-11-13 2019-08-22 Marcio Rogerio Juliato Bus-off attack prevention circuit
US20220078201A1 (en) 2018-11-13 2022-03-10 Intel Corporation Bus-off attack prevention circuit
US20200174958A1 (en) 2018-12-04 2020-06-04 Palo Alto Research Center Incorporated Method and apparatus to prevent a node device from transmitting an unallowable message onto a can bus
DE102019001978A1 (en) 2019-03-21 2020-10-08 Volkswagen Aktiengesellschaft Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle

Also Published As

Publication number Publication date
DE102022209301B4 (en) 2024-03-28

Similar Documents

Publication Publication Date Title
EP2040957B1 (en) Method and device for checking the plausibility of measured values in the surroundings of a motor vehicle
DE10326287B4 (en) Vehicle communication system, initialization unit and in-vehicle control unit
DE4126449C2 (en) Control device for vehicles
EP2087646B1 (en) Device and method for manipulating communication messages
DE10065118A1 (en) System and method for controlling and / or monitoring a control device network having at least two control devices
DE102011084254A1 (en) Communication system for a motor vehicle
DE102018212879A1 (en) Control device and control method
DE102013200535A1 (en) Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation
WO2019030388A1 (en) Method, device and computer program for dynamically allocating resources in a multi-processor computer system
EP3170054A1 (en) Rail vehicle having an event-controlled driver's cab display device
DE102019214461A1 (en) Method for remote control of a motor vehicle
DE10236080A1 (en) Process flow control method, especially for use with a motor vehicle CAN bus automation system, wherein if a function unit is faulty it is prevented from communicating with the bus by disabling its bus driver
DE102019130036A1 (en) Device for controlling automated driving of a vehicle
DE102017209557A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102022209301B4 (en) Method for transferring a control device to a safe system state
DE102019205237A1 (en) Displaying ASIL-D information using a less secure device
DE102007008168A1 (en) Circuit device and corresponding method for driving a load
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
WO2021099186A2 (en) Method for monitoring communication on a communication bus, electronic device for connection to a communication bus, and central monitoring device for connection to a communication bus
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102013200528A1 (en) Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
DE102004056138A1 (en) Method and device for steering column lock
DE102019132428A1 (en) Function-oriented electronics architecture
DE102019204176B4 (en) Circuit arrangement for preventing incorrect data transmission via a bus interface
DE60314928T2 (en) Circuit arrangement for an electronic control module for implementing communication protocols

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division