DE102022212451A1 - Verfahren und Gerät zur Fahrzeugdiagnoseprüfung - Google Patents

Verfahren und Gerät zur Fahrzeugdiagnoseprüfung Download PDF

Info

Publication number
DE102022212451A1
DE102022212451A1 DE102022212451.0A DE102022212451A DE102022212451A1 DE 102022212451 A1 DE102022212451 A1 DE 102022212451A1 DE 102022212451 A DE102022212451 A DE 102022212451A DE 102022212451 A1 DE102022212451 A1 DE 102022212451A1
Authority
DE
Germany
Prior art keywords
vehicle
communication protection
diagnostic
data identifier
end communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022212451.0A
Other languages
English (en)
Inventor
Li Wen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of DE102022212451A1 publication Critical patent/DE102022212451A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0262Confirmation of fault detection, e.g. extra checks to confirm that a failure has indeed occurred
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Environmental & Geological Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zur Fahrzeugdiagnoseprüfung. Das Verfahren umfasst: Überprüfen eines Fahrzeugs, um festzustellen, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind; Konfigurieren eines Datenbezeichners, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, wenn dies der Fall „ja“ ist; und Fortfahren mit der Diagnoseprüfung und einer funktionalen Verifikation für das Fahrzeug. Die vorliegende Erfindung betrifft ferner ein Gerät zur Fahrzeugdiagnoseprüfung, ein Computerspeichermedium und ein Computerprogrammprodukt.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft das Gebiet der Fahrzeugdiagnose, insbesondere ein Verfahren und ein Gerät zur Fahrzeugdiagnoseprüfung, ein Computerspeichermedium und ein Computerprogrammprodukt.
  • Stand der Technik
  • Bei einer Diagnoseprüfung eines Fahrzeugs führen einige Softwares (beispielsweise Softwares in einer elektronischen Steuereinheit ECU zur Steuerung eines Radarsensors / eines Domänencontrollers / eines visuellen Sensors) eine Ende-zu-Ende-Kommunikationsschutzüberprüfung (E2E check) an einer anderen ECU durch. Wenn eine Meldung einer anderen ECU die Überprüfung nicht bestehen kann, melden die Softwares die Angelegenheit und dementsprechend wird ein Diagnosefehler-Code DTC erzeugt. Aufgrund dieser Angelegenheit werden die Funktionen solcher Softwares beeinträchtigt und dadurch könnten die Prüfung und die Inbetriebnahme einer Anwendung des Fahrzeugs beeinflusst werden. Erst wenn die E2E-Überprüfung der anderen ECU die Anforderung erfüllt, kann die Prüfung des Fahrzeugs fortgesetzt werden. Während des Forschungs- und Entwicklungsstadiums der ECU wird dadurch eine große Zeitverschwendung verursacht und der Softwareentwicklungsplan wird verzögert.
  • Offenbarung der Erfindung
  • Gemäß einem Aspekt der vorliegenden Erfindung wird ein Verfahren zur Fahrzeugdiagnoseprüfung bereitgestellt, das umfasst: Überprüfen eines Fahrzeugs, um festzustellen, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind; Konfigurieren eines Datenbezeichners, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, wenn dies der Fall „ja“ ist; und Fortfahren mit der Diagnoseprüfung und einer funktionalen Verifikation für das Fahrzeug.
  • Zusätzlich oder alternativ zu der obigen Ausgestaltung ist bei dem oben genannten Verfahren vorgesehen, dass die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch eine erste elektronische Steuereinheit ECU A in dem Fahrzeug an einer zweiten elektronischen Steuereinheit ECU B in dem Fahrzeug durchgeführt wird.
  • Zusätzlich oder alternativ zu der obigen Ausgestaltung ist bei dem oben genannten Verfahren vorgesehen, dass der Datenbezeichner dazu konfiguriert ist, die Kommunikation zwischen der ersten elektronischen Steuereinheit ECU A und der zweiten elektronischen Steuereinheit ECU B zu deaktivieren.
  • Zusätzlich oder alternativ zu der obigen Ausgestaltung ist bei dem oben genannten Verfahren vorgesehen, dass das Konfigurieren eines Datenbezeichners, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, umfasst: Deaktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein Diagnosesteuermodul DCM mittels des Datenbezeichners.
  • Zusätzlich oder alternativ zur oben genannten Ausgestaltung kann das oben genannte Verfahren ferner umfassen: Aktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein nochmaliges Konfigurieren des Datenbezeichners.
  • Gemäß einem anderen Aspekt der vorliegenden Erfindung wird ein Gerät zur Fahrzeugdiagnoseprüfung bereitgestellt, das umfasst: eine Überprüfungsvorrichtung, die zur Überprüfung eines Fahrzeugs dient, um festzustellen, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind; eine erste Konfigurationsvorrichtung, die dazu dient, einen Datenbezeichner zu konfigurieren, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, wenn das Vorhandensein mehrerer Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung festgestellt wird; und eine Diagnoseprüfungsvorrichtung, die zum Fortfahren mit der Diagnoseprüfung und einer funktionalen Verifikation für das Fahrzeug dient.
  • Zusätzlich oder alternativ zu der obigen Ausgestaltung ist bei dem oben genannten Gerät vorgesehen, dass die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch eine erste elektronische Steuereinheit ECU A in dem Fahrzeug an einer zweiten elektronischen Steuereinheit ECU B in dem Fahrzeug durchgeführt wird.
  • Zusätzlich oder alternativ zu der obigen Ausgestaltung ist bei dem oben genannten Gerät vorgesehen, dass der Datenbezeichner dazu konfiguriert ist, die Kommunikation zwischen der ersten elektronischen Steuereinheit ECU A und der zweiten elektronischen Steuereinheit ECU B zu deaktivieren.
  • Zusätzlich oder alternativ zu der obigen Ausgestaltung ist bei dem oben genannten Gerät vorgesehen, dass die erste Konfigurationsvorrichtung dazu konfiguriert ist: die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein Diagnosesteuermodul DCM mittels des Datenbezeichners zu deaktivieren.
  • Zusätzlich oder alternativ zu der obigen Ausgestaltung kann das oben genannte Gerät ferner umfassen: eine zweite Konfigurationsvorrichtung, die zum Aktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein nochmaliges Konfigurieren des Datenbezeichners dient.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein Computerspeichermedium bereitgestellt, das einen Befehl umfasst, der beim Ausführen das vorstehend beschriebene Verfahren durchführt.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein Computerprogrammprodukt bereitgestellt, das ein Computerprogramm umfasst, das beim Ausführen durch einen Prozessor das vorstehend beschriebene Verfahren verwirklicht.
  • Bei der Ausgestaltung zur Fahrzeugdiagnoseprüfung nach einem Ausführungsbeispiel der vorliegenden Erfindung wird durch eine Überprüfung (Vorprüfung) des Fahrzeugs vor einer Anwendungsprüfung und einer Verifikation des Fahrzeugs festgestellt, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind. Beim Vorhandensein mehrerer Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung wird ein Datenbezeichner konfiguriert, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren und die Diagnoseprüfung und eine funktionale Verifikation des Fahrzeugs fortzusetzen. Damit können eine funktionale Beeinträchtigung und eine Behinderung der funktionalen Inbetriebnahme einer Software (einer ECU), deren Entwicklung bereits abgeschlossen ist, infolge der noch nicht abgeschlossenen Entwicklung einiger Softwares (beispielsweise Softwares in einer ECU) vermieden oder verringert werden.
  • Figurenliste
  • Die folgende detaillierte Beschreibung in Verbindung mit den beigefügten Zeichnungen macht die oben genannten und weitere Aufgaben sowie Vorteile der vorliegenden Erfindung vollständiger und klarer, wobei dieselben oder ähnliche Elemente durch dieselben Bezugszeichen dargestellt werden. Darin zeigen:
    • 1 ein schematisches Ablaufdiagramm eines Verfahrens zur Fahrzeugdiagnoseprüfung nach einem Ausführungsbeispiel der vorliegenden Erfindung; und 2 eine schematische Strukturansicht eines Geräts zur Fahrzeugdiagnoseprüfung nach einem Ausführungsbeispiel der vorliegenden Erfindung.
  • Ausführliche Ausführungsformen
  • Nachfolgend wird unter Bezugnahme auf die beiliegenden Zeichnungen auf die Ausgestaltung zur Fahrzeugdiagnoseprüfung nach verschiedenen beispielhaften Ausführungsbeispielen der vorliegenden Erfindung näher eingegangen.
  • 1 zeigt ein schematisches Ablaufdiagramm eines Verfahrens 1000 zur Fahrzeugdiagnoseprüfung nach einem Ausführungsbeispiel der vorliegenden Erfindung. Wie in 1 gezeigt, umfasst das Verfahren 1000 zur Fahrzeugdiagnoseprüfung die folgenden Schritte:
    • in Schritt S110 wird ein Fahrzeug überprüft, um festzustellen, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind;
    • in Schritt S120 wird ein Datenbezeichner konfiguriert, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, wenn dies der Fall „ja“ ist; und
    • in Schritt S130 werden die Diagnoseprüfung und eine funktionale Verifikation für das Fahrzeug fortgesetzt.
  • Im Rahmen der vorliegenden Erfindung wird die „Ende-zu-Ende-Kommunikationsschutzüberprüfung“ auch als E2E-Überprüfung (End to End) bezeichnet und dabei handelt es sich um ein Protokoll / einen Mechanismus zum Datenschutz für sicherheitsrelevante Daten, das oder der zwischen Kommunikationsknoten durchgeführt wird, um eventuelle Störungen (HW/SW) in einer Kommunikationsverbindung zu verhindern. Sie findet Anwendung bei verschiedenen Netzwerkstrukturen: CAN, CAN FD, FlexRay, Ethernet usw.
  • Es wird angenommen, dass zwei ECUs, nämlich ECU 1 und ECU 2, vorgesehen sind. Die zwei Knoten kommunizieren miteinander über einen CAN-Bus. ECU 1 soll ein bestimmtes Sicherheitssignal an ECU 2 übertragen. Wenn das Schutzprotokoll E2E profile1 (AutoSAR E2E Library) verwendet wird, soll ECU 1 neben den nötigen Informationen und Daten zusätzlich auch CRC-Informationen (zyklische Redundanzprüfung) und Counter-Informationen (Zähler) an ECU 2 übertragen. Nach Empfangen dieses Datenframes berechnet ECU 2 die CRC und vergleicht diese mit der empfangenen CRC. In Abhängigkeit von dem Prüfungsergebnis führt ECU 2 eine nächste Aktion durch.
  • In einem Ausführungsbeispiel der vorliegenden Erfindung wird die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch eine erste elektronische Steuereinheit ECU A in dem Fahrzeug an einer zweiten elektronischen Steuereinheit ECU B in dem Fahrzeug durchgeführt.
  • Der Kern der Ende-zu-Ende-Kommunikationsschutzüberprüfung besteht darin, den Austausch sicherheitsrelevanter Daten während des Betriebs zu schützen, um den Einfluss eventueller Ausfälle in der Kommunikationsverbindung zu beseitigen. Im Detail können eventuelle Ausfallmodi während des Datenaustauschvorgangs Folgendes umfassen: wiederholtes Senden einer Information, bei dem ein und dieselbe Information mehrmals empfangen wird; Verlust einer Information, bei dem eine ganze Information oder ein Teil davon während der Kommunikation verloren geht; Verzögerung einer Information, bei der die Zeit, zu der die Information empfangen wird, von der erwarteten Zeit abweicht; Einfügen einer Information, bei dem ein überflüssiger Inhalt in die Information eingefügt wird; gefälschte oder falsche Adressierung, Empfangen einer nicht authentifizierten Information, die von einem gefälschten Sender gesendet wird, durch ein Empfangsterminal, oder Empfangen einer richtigen Information durch ein falsches Empfangsterminal; falsche Reihenfolge der Information, bei der die Reihenfolge der Information in einem Datenstrom falsch ist; beschädigte Information, manipulierter Inhalt der Information; Senden einer asymmetrischen Information an mehrere Empfangsterminals, inkonsistente Daten, die von Empfangsterminals empfangen werden; Empfangen einer Information eines Senders nur durch einige der Empfangsterminals; und Sperren eines Kommunikationskanals.
  • Datenaustauschszenarien, bei denen solche Ausfälle auftreten können, umfassen: Kommunikation mit einer I/O-Peripherie, Kommunikation basierend auf einem Datenbus usw. Ursachen der Ausfälle umfassen systematische Ausfälle und Zufallsausfälle, softwareseitige Fehler, die beispielsweise während der Codegenerierung auftreten, Fehler, die durch manuelle Codierung entstehen, Fehler eines Netzwerkprotokoll-Stacks usw.; hardwareseitige Ausfälle, beispielsweise Störungen eines Prozessors, Störungen an Netzwerkhardware, elektromagnetische Strahlung usw.
  • Daher wird beim Durchführen der Ende-zu-Ende-Kommunikationsschutzüberprüfung zunächst die Datenstruktur erweitert, indem ein Steuerfeld durch ein Sendeterminal hinzugefügt wird. Das Steuerfeld enthält in der Regel: checksum, counter usw. Ein Feld des erweiterten Teils wird durch RTE gesendet. Danach erfolgt eine Verifizierung der Daten innerhalb des ganzen oben genannten Feldes durch das Empfangsterminal. Bei erfolgreich bestandener Verifizierung wird das Steuerfeld davon entfernt und die Anwendungsdaten werden zur Verarbeitung an SWC weitergeleitet. Bei nicht bestandener Verifizierung wird ein Sicherheitsschutzmechanismus durchgeführt.
  • Während der Entwicklung verschiedener ECUs ist ein einheitlicher Entwicklungsfortschritt unterschiedlicher ECUs kaum zu erwarten. Beispielsweise ist die Entwicklung mancher ECUs bereits abgeschlossen, während andere ECUs noch in der Entwicklung befindlich sind. Daher wird in Schritt S120 der vorliegenden Erfindung durch Konfigurieren eines Datenbezeichners die Ende-zu-Ende-Kommunikationsschutzüberprüfung deaktiviert, wenn in Schritt S110 durch eine Vorprüfung des Fahrzeugs festgestellt wird, dass mehrere Ereignisse (event) fehlgeschlagener E2E-Überprüfung vorhanden sind. Somit wird bei ECUs, deren Entwicklung bereits abgeschlossen ist, eine geringe Abhängigkeit ihrer funktionalen Prüfung und Verifizierung von anderen ECUs (die eventuell noch in der Entwicklung befindlich sind) erreicht.
  • In einem Ausführungsbeispiel ist der Datenbezeichner dazu konfiguriert, die Kommunikation zwischen der ersten elektronischen Steuereinheit ECU A und der zweiten elektronischen Steuereinheit ECU B zu deaktivieren. Beispielsweise kann der Datenbezeichner (DataID) ein Datenfeld enthalten. Ein Wert des Feldes von 0 weist darauf hin, dass die E2E-Überprüfung deaktiviert ist, während ein Wert des Feldes von 1 darauf hinweist, dass die E2E-Überprüfung aktiviert ist.
  • In einem Ausführungsbeispiel umfasst Schritt S120: Deaktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein Diagnosesteuermodul DCM mittels des Datenbezeichners.
  • Ein AUTOSAR-Diagnoseprotokoll-Stack enthält zwei Module, nämlich DCM und DEM. Dabei dient DEM zum Verwirklichen DTC-relevanter Parameter, während durch das DCM-Modul vor allem ein Diagnosedienst für UDS und OBD verwirklicht wird. Beispielsweise kann das DCM-Modul überprüfen, ob eine Anfrage eines Diagnosediensts eine Bedingung erfüllt.
  • In einem Ausführungsbeispiel besteht das DCM-Modul aus drei Untermodulen, nämlich DSL (Diagnosevorgangsschicht-Modul), DSD (Diagnosedienstdispatcher-Modul) und DSP (Diagnosedienstverarbeitungs-Modul). Dabei dient DSL dazu, eine Diagnosedatenanfrage und einen darauf reagierenden Datenstrom zu bestimmen; den Zeitablauf der Diagnoseanfrage und der Reaktion zu überwachen und sicherzustellen, und den Diagnosezustand (insbesondere Diagnosevorgangs- und Sicherheitszustand) zu verwalten. DSD dient dazu, einen Diagnosedatenstrom zu verarbeiten; eine empfangene Diagnoseanfrage an einen Datenprozessor weiterzuleiten; bei ausgelöstem Datenprozessor eine Diagnosereaktion über PDUR zu übermitteln. DSP dient zum Verarbeiten einer tatsächlichen Diagnoseanfrage.
  • Obwohl es in 1 nicht dargestellt ist, kann in einem Ausführungsbeispiel das oben genannte Verfahren 1000 ferner umfassen: Aktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein nochmaliges Konfigurieren des Datenbezeichners. Wie oben erwähnt, kann der Datenbezeichner (DataID) ein Datenfeld enthalten. Ein Wert des Feldes von 0 weist darauf hin, dass die E2E-Überprüfung deaktiviert ist, während ein Wert des Feldes von 1 darauf hinweist, dass die E2E-Überprüfung aktiviert ist. Daher kann durch Ändern des Werts eines betroffenen Feldes in dem Datenbezeichner auf 1 die E2E-Überprüfung aktiviert werden.
  • Des Weiteren versteht es sich für den Fachmann auf diesem Gebiet, dass das Verfahren zur Fahrzeugdiagnoseprüfung nach einem oder mehreren der oben genannten Ausführungsbeispiele der Erfindung durch ein Computerprogramm verwirklicht werden kann. Beispielsweise ist das Computerprogramm in einem Computerprogrammprodukt enthalten, wobei das Computerprogramm beim Ausführen durch einen Prozessor das Verfahren zur Fahrzeugdiagnoseprüfung nach einem oder mehreren Ausführungsbeispiel(en) der vorliegenden Erfindung verwirklicht. Wenn beispielsweise ein Computerspeichermedium (z.B. eine USB-Platte), in dem das Computerprogramm gespeichert ist, mit einem Computer verbunden ist, kann durch Ausführen des Computerprogramms das Verfahren zur Fahrzeugdiagnoseprüfung nach einem oder mehreren Ausführungsbeispielen der Erfindung durchgeführt werden.
  • Es wird auf 2 hingewiesen. 2 zeigt ein Gerät 2000 zur Fahrzeugdiagnoseprüfung nach einem Ausführungsbeispiel der vorliegenden Erfindung. Wie in 2 gezeigt, umfasst das Gerät 2000 zur Fahrzeugdiagnoseprüfung: eine Überprüfungsvorrichtung 210, eine erste Konfigurationsvorrichtung 220 und eine Diagnoseprüfungsvorrichtung 230. Dabei dient die Überprüfungsvorrichtung 210 zur Überprüfung eines Fahrzeugs, um festzustellen, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind; die erste Konfigurationsvorrichtung 220 dient dazu, einen Datenbezeichner zu konfigurieren, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, wenn das Vorhandensein mehrerer Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung festgestellt wird; und die Diagnoseprüfungsvorrichtung 230 dient zum Fortfahren mit der Diagnoseprüfung und einer funktionalen Verifikation für das Fahrzeug.
  • Im Rahmen der vorliegenden Erfindung wird die „Ende-zu-Ende-Kommunikationsschutzüberprüfung“ auch als E2E-Überprüfung (End to End) bezeichnet und dabei handelt es sich um ein Protokoll / einen Mechanismus zum Datenschutz für sicherheitsrelevante Daten, das oder der zwischen Kommunikationsknoten durchgeführt wird, um eventuelle Störungen (HW/SW) in einer Kommunikationsverbindung zu verhindern. Sie findet Anwendung bei verschiedenen Netzwerkstrukturen: CAN, CAN FD, FlexRay, Ethernet usw.
  • Es wird angenommen, dass zwei ECUs, nämlich ECU 1 und ECU 2, vorgesehen sind. Die zwei Knoten kommunizieren miteinander über einen CAN-Bus. ECU 1 soll ein bestimmtes Sicherheitssignal an ECU 2 übertragen. Wenn das Schutzprotokoll E2E profile1 (AutoSAR E2E Library) verwendet wird, soll ECU 1 neben den nötigen Informationen und Daten zusätzlich auch CRC-Informationen (zyklische Redundanzprüfung) und Counter-Informationen (Zähler) an ECU 2 übertragen. Nach Empfangen dieses Datenframes berechnet ECU 2 die CRC und vergleicht diese mit der empfangenen CRC. In Abhängigkeit von dem Prüfungsergebnis führt ECU 2 eine nächste Aktion durch.
  • In einem Ausführungsbeispiel der vorliegenden Erfindung wird die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch eine erste elektronische Steuereinheit ECU A in dem Fahrzeug an einer zweiten elektronischen Steuereinheit ECU B in dem Fahrzeug durchgeführt.
  • Der Kern der Ende-zu-Ende-Kommunikationsschutzüberprüfung besteht darin, den Austausch sicherheitsrelevanter Daten während des Betriebs zu schützen, um den Einfluss eventueller Ausfälle in der Kommunikationsverbindung zu beseitigen. Im Detail können eventuelle Ausfallmodi während des Datenaustauschvorgangs Folgendes umfassen: wiederholtes Senden einer Information, bei dem ein und dieselbe Information mehrmals empfangen wird; Verlust einer Information, bei dem eine ganze Information oder ein Teil davon während der Kommunikation verloren geht; Verzögerung einer Information, bei der die Zeit, zu der die Information empfangen wird, von der erwarteten Zeit abweicht; Einfügen einer Information, bei dem ein überflüssiger Inhalt in die Information eingefügt wird; gefälschte oder falsche Adressierung, Empfangen einer nicht authentifizierten Information, die von einem gefälschten Sender gesendet wird, durch ein Empfangsterminal, oder Empfangen einer richtigen Information durch ein falsches Empfangsterminal; falsche Reihenfolge der Information, bei der die Reihenfolge der Information in einem Datenstrom falsch ist; beschädigte Information, manipulierter Inhalt der Information; Senden einer asymmetrischen Information an mehrere Empfangsterminals, inkonsistente Daten, die von Empfangsterminals empfangen wird; Empfangen einer Information eines Senders nur durch einige der Empfangsterminals; und Sperren eines Kommunikationskanals.
  • Datenaustauschszenarien, bei denen solche Ausfälle auftreten können, umfassen: Kommunikation mit einer I/O-Peripherie, Kommunikation basierend auf einem Datenbus usw. Ursachen der Ausfälle umfassen systematische Ausfälle und Zufallsausfälle, softwareseitige Fehler, die beispielsweise während der Codegenerierung auftreten, Fehler, die durch manuelle Codierung entstehen, Fehler eines Netzwerkprotokoll-Stacks usw.; hardwareseitige Ausfälle, beispielsweise Störungen eines Prozessors, Störungen an Netzwerkhardware, elektromagnetische Strahlung usw.
  • Daher wird beim Durchführen der Ende-zu-Ende-Kommunikationsschutzüberprüfung zunächst die Datenstruktur erweitert, indem ein Steuerfeld durch ein Sendeterminal hinzugefügt wird. Das Steuerfeld enthält in der Regel: checksum, counter usw. Ein Feld des erweiterten Teils wird durch RTE gesendet; Danach erfolgt eine Verifizierung der Daten innerhalb des ganzen oben genannten Feldes durch das Empfangsterminal. Bei erfolgreich bestandener Verifizierung wird das Steuerfeld davon entfernt und die Anwendungsdaten werden zur Verarbeitung an SWC weitergeleitet; bei nicht bestandener Verifizierung wird ein Sicherheitsschutzmechanismus durchgeführt.
  • Während der Entwicklung verschiedener ECUs ist ein einheitlicher Entwicklungsfortschritt unterschiedlicher ECUs kaum zu erwarten. Beispielsweise ist die Entwicklung mancher ECUs bereits abgeschlossen, während andere ECUs noch in der Entwicklung befindlich sind. Daher deaktiviert die erste Konfigurationsvorrichtung 220 die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch Konfigurieren eines Datenbezeichners, wenn die Überprüfungsvorrichtung durch eine Vorprüfung des Fahrzeugs feststellt, dass mehrere Ereignisse (event) fehlgeschlagener E2E-Überprüfung vorhanden sind. Somit wird bei ECUs, deren Entwicklung bereits abgeschlossen ist, eine geringe Abhängigkeit ihrer funktionalen Prüfung und Verifizierung von anderen ECUs (die eventuell noch in der Entwicklung befindlich sind) durch Deaktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung erreicht.
  • In einem Ausführungsbeispiel ist der Datenbezeichner dazu konfiguriert, die Kommunikation zwischen der ersten elektronischen Steuereinheit ECU A und der zweiten elektronischen Steuereinheit ECU B zu deaktivieren. Beispielsweise kann der Datenbezeichner (DataID) ein Datenfeld enthalten. Ein Wert des Feldes von 0 weist darauf hin, dass die E2E-Überprüfung deaktiviert ist, während ein Wert des Feldes von 1 darauf hinweist, dass die E2E-Überprüfung aktiviert ist.
  • In einem Ausführungsbeispiel deaktiviert die erste Konfigurationsvorrichtung 220 die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein Diagnosesteuermodul DCM mittels des Datenbezeichners.
  • Ein AUTOSAR-Diagnoseprotokoll-Stack enthält zwei Module, nämlich DCM und DEM. Dabei dient DEM zum Verwirklichen DTC-relevanter Parameter, während durch das DCM-Modul vor allem ein Diagnosedienst für UDS und OBD verwirklicht wird. Beispielsweise kann das DCM-Modul überprüfen, ob eine Anfrage eines Diagnosediensts eine Bedingung erfüllt.
  • In einem Ausführungsbeispiel besteht das DCM-Modul aus drei Untermodulen, nämlich DSL (Diagnosevorgangsschicht-Modul), DSD (Diagnosedienstdispatcher-Modul) und DSP (Diagnosedienstverarbeitungs-Modul). Dabei dient DSL dazu, eine Diagnosedatenanfrage und einen darauf reagierenden Datenstrom zu bestimmen; den Zeitablauf der Diagnoseanfrage und der Reaktion zu überwachen und sicherzustellen, und den Diagnosezustand (insbesondere Diagnosevorgangs- und Sicherheitszustand) zu verwalten. DSD dient dazu, einen Diagnosedatenstrom zu verarbeiten; eine empfangene Diagnoseanfrage an einen Datenprozessor weiterzuleiten; bei ausgelöstem Datenprozessor eine Diagnosereaktion über PDUR zu übermitteln. DSP dient zum Verarbeiten einer tatsächlichen Diagnoseanfrage.
  • Obwohl es in 2 nicht dargestellt ist, kann in einem Ausführungsbeispiel das oben genannte Gerät 2000 ferner umfassen: eine zweite Konfigurationsvorrichtung, die zum Aktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein nochmaliges Konfigurieren des Datenbezeichners dient. Wie oben erwähnt, kann der Datenbezeichner (DataID) ein Datenfeld enthalten. Ein Wert des Feldes von 0 weist darauf hin, dass die E2E-Überprüfung deaktiviert ist, während ein Wert des Feldes von 1 darauf hinweist, dass die E2E-Überprüfung aktiviert ist. Daher kann die zweite Konfigurationsvorrichtung durch Ändern des Werts eines betroffenen Feldes in dem Datenbezeichner auf 1 die E2E-Überprüfung aktivieren.
  • In einem oder mehreren Ausführungsbeispielen korrespondiert jeder Datenbezeichner lediglich mit einer Dienstanfrage. Für einige bestimmte DIDs kann Zugriff bei einer bestimmten Sicherheitsstufe oder einem bestimmten Diagnosevorgangsmodus gewährt werden.
  • Zusammenfassend wird bei der Ausgestaltung zur Fahrzeugdiagnoseprüfung nach einem Ausführungsbeispiel der vorliegenden Erfindung durch eine Überprüfung (Vorprüfung) des Fahrzeugs vor einer Anwendungsprüfung und einer Verifikation des Fahrzeugs festgestellt, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind. Beim Vorhandensein mehrerer Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung wird ein Datenbezeichner konfiguriert, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren und die Diagnoseprüfung und eine funktionale Verifikation des Fahrzeugs fortzusetzen. Damit können eine funktionale Beeinträchtigung und eine Behinderung der funktionalen Inbetriebnahme einer Software (einer ECU), deren Entwicklung bereits abgeschlossen ist, infolge der noch nicht abgeschlossenen Entwicklung einiger Softwares (beispielsweise Softwares in einer ECU) vermieden oder verringert werden.
  • Obwohl in der obigen Beschreibung nur einige der Ausführungsformen der Erfindung beschrieben wurden, sollte vom Fachmann verstanden werden, dass die Erfindung in vielen anderen Formen ausgeführt werden kann, ohne vom Prinzip und Umfang der Erfindung abzuweichen. Daher sollen die gezeigten Beispiele und Ausführungsformen als schematisch, aber nicht einschränkend angesehen werden. Die Erfindung kann verschiedene Modifikationen und Substitutionen umfassen, ohne von dem durch die beigefügten Ansprüche definierten Geist und Umfang der Erfindung abzuweichen.

Claims (12)

  1. Verfahren zur Fahrzeugdiagnoseprüfung, dadurch gekennzeichnet, dass das Verfahren umfasst: Überprüfen eines Fahrzeugs, um festzustellen, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind; Konfigurieren eines Datenbezeichners, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, wenn dies der Fall „ja“ ist; und Fortfahren mit der Diagnoseprüfung und einer funktionalen Verifikation für das Fahrzeug.
  2. Verfahren nach Anspruch 1, wobei die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch eine erste elektronische Steuereinheit ECU A in dem Fahrzeug an einer zweiten elektronischen Steuereinheit ECU B in dem Fahrzeug durchgeführt wird.
  3. Verfahren nach Anspruch 2, wobei der Datenbezeichner dazu konfiguriert ist, die Kommunikation zwischen der ersten elektronischen Steuereinheit ECU A und der zweiten elektronischen Steuereinheit ECU B zu deaktivieren.
  4. Verfahren nach Anspruch 1, wobei das Konfigurieren eines Datenbezeichners, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, umfasst: Deaktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein Diagnosesteuermodul DCM mittels des Datenbezeichners.
  5. Verfahren nach Anspruch 1, umfassend ferner: Aktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein nochmaliges Konfigurieren des Datenbezeichners.
  6. Gerät zur Fahrzeugdiagnoseprüfung, dadurch gekennzeichnet, dass das Gerät umfasst: eine Überprüfungsvorrichtung, die zur Überprüfung eines Fahrzeugs dient, um festzustellen, ob mehrere Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung vorhanden sind; eine erste Konfigurationsvorrichtung, die dazu dient, einen Datenbezeichner zu konfigurieren, um die Ende-zu-Ende-Kommunikationsschutzüberprüfung zu deaktivieren, wenn das Vorhandensein mehrerer Ereignisse fehlgeschlagener Ende-zu-Ende-Kommunikationsschutzüberprüfung festgestellt wird; und eine Diagnoseprüfungsvorrichtung, die zum Fortfahren mit der Diagnoseprüfung und einer funktionalen Verifikation für das Fahrzeug dient.
  7. Gerät nach Anspruch 6, wobei die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch eine erste elektronische Steuereinheit ECU A in dem Fahrzeug an einer zweiten elektronischen Steuereinheit ECU B in dem Fahrzeug durchgeführt wird.
  8. Gerät nach Anspruch 7, wobei der Datenbezeichner dazu konfiguriert ist, die Kommunikation zwischen der ersten elektronischen Steuereinheit ECU A und der zweiten elektronischen Steuereinheit ECU B zu deaktivieren.
  9. Gerät nach Anspruch 6, wobei die erste Konfigurationsvorrichtung dazu konfiguriert ist, die Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein Diagnosesteuermodul DCM mittels des Datenbezeichners zu deaktivieren.
  10. Gerät nach Anspruch 6, umfassend ferner: eine zweite Konfigurationsvorrichtung, die zum Aktivieren der Ende-zu-Ende-Kommunikationsschutzüberprüfung durch ein nochmaliges Konfigurieren des Datenbezeichners dient.
  11. Computerspeichermedium, dadurch gekennzeichnet, dass das Computerspeichermedium einen Befehl umfasst, der beim Ausführen das Verfahren nach einem der Ansprüchen 1 bis 5 durchführt.
  12. Computerprogrammprodukt, umfassend ein Computerprogramm, dadurch gekennzeichnet, dass das Computerprogramm das Verfahren nach einem der Ansprüche 1 bis 5 verwirklicht, wenn es durch einen Prozessor ausgeführt wird.
DE102022212451.0A 2021-12-20 2022-11-22 Verfahren und Gerät zur Fahrzeugdiagnoseprüfung Pending DE102022212451A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202111561141.7 2021-12-20
CN202111561141.7A CN116300779A (zh) 2021-12-20 2021-12-20 车辆诊断测试的方法及设备

Publications (1)

Publication Number Publication Date
DE102022212451A1 true DE102022212451A1 (de) 2023-06-22

Family

ID=86606591

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022212451.0A Pending DE102022212451A1 (de) 2021-12-20 2022-11-22 Verfahren und Gerät zur Fahrzeugdiagnoseprüfung

Country Status (2)

Country Link
CN (1) CN116300779A (de)
DE (1) DE102022212451A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118411713A (zh) * 2024-06-25 2024-07-30 中国第一汽车股份有限公司 车辆故障校验方法、装置、存储介质及车辆

Also Published As

Publication number Publication date
CN116300779A (zh) 2023-06-23

Similar Documents

Publication Publication Date Title
EP2160857B1 (de) Prüfverfahren und elektronische schaltung zur sicheren seriellen übertragung von daten
DE102018122152A1 (de) Systeme und verfahren zur eindringungserkennung in das netzwerk im fahrzeug
DE102018122143A1 (de) Systeme und verfahren zur eindringungserkennung in das netzwerk im fahrzeug
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
DE102022212451A1 (de) Verfahren und Gerät zur Fahrzeugdiagnoseprüfung
WO2022228613A1 (de) Vorrichtungen und verfahren zur überwachung eines quantencomputers im betrieb
DE102011081477A1 (de) Stellwerksrechner
DE69625718T2 (de) Aufspürung von speicherproblemen in rechnern
EP1860565B1 (de) Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
DE102019118703A1 (de) System und Verfahren zum kontinuierlichen Verifizieren der Bauelementzustandsintegrität
DE112019007018T5 (de) Sicherheitskommunikationsvorrichtung, sicherheitskommunikationssystem, sicherheitskommunikationsverfahren und sicherheitskommunikationsprogramm
EP3659317A1 (de) Verfahren zum bereitstellen eines sicheren telegramms
WO2011138061A1 (de) Verfahren und vorrichtung zur absicherung von über eine schnittstelle zu übertragenden datenpaketen
EP3550748A1 (de) Verfahren zur erkennung von datenverfälschungen bei einer datenübertragung über eine fehlersichere kommunikationsverbindung
EP1683016A1 (de) Sichere erfassung von eingabewerten
EP2279480B1 (de) Verfahren und system zum überwachen eines sicherheitsbezogenen systems
WO2021151612A1 (de) Verfahren zur überprüfung einer signalverbindung
EP2575282A1 (de) Vorrichtung sowie Verfahren zum Empfangen eines sicheren Telegramms
DE102021125430A1 (de) Verfahren zur automatisierten Fehleridentifikation von Hardware/Software-Systemen
DE102008043648A1 (de) Verringerung der Reaktionszeit in einem System zur Überwachung eines Funktionsrechners
DE102016208869A1 (de) Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung für ein Fahrzeug
DE102023202024A1 (de) Verfahren zum Prüfen der Integrität eines Rechenknotens
WO2010017957A2 (de) Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung