DE112018004881T5 - Überwachungsvorrichtung, Überwachungssystem und Computerprogramm - Google Patents

Überwachungsvorrichtung, Überwachungssystem und Computerprogramm Download PDF

Info

Publication number
DE112018004881T5
DE112018004881T5 DE112018004881.0T DE112018004881T DE112018004881T5 DE 112018004881 T5 DE112018004881 T5 DE 112018004881T5 DE 112018004881 T DE112018004881 T DE 112018004881T DE 112018004881 T5 DE112018004881 T5 DE 112018004881T5
Authority
DE
Germany
Prior art keywords
monitoring
monitoring device
network
control unit
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018004881.0T
Other languages
English (en)
Inventor
Masato Tanabe
Yoshiharu Imamoto
Jun Anzai
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of DE112018004881T5 publication Critical patent/DE112018004881T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0088Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots characterized by the autonomous decision making process, e.g. artificial intelligence, predefined behaviours
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0784Routing of error reports, e.g. with a specific transmission path or data flow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2878Access multiplexer, e.g. DSLAM
    • H04L12/2879Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
    • H04L12/2881IP/Ethernet DSLAM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0847Transmission error
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • H04L2012/445Star or tree networks with switching in a hub, e.g. ETHERNET switch
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Game Theory and Decision Science (AREA)
  • Business, Economics & Management (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Eine Überwachungsvorrichtung ist eine aus einer Vielzahl von Überwachungsvorrichtungen, die an einem Fortbewegungsmittel anzubringen sind. Die Überwachungsvorrichtung ist ausgelegt, einen abnormen Zustand eines ersten Überwachungsobjekts zu überwachen. Die Überwachungsvorrichtung enthält einen Empfänger und eine Steuereinheit. Der Empfänger ist ausgelegt, ein Erfassungsergebnis einer Abnormität zu empfangen, die durch eine weitere Überwachungsvorrichtung erfasst ist, die einen abnormen Zustand eines zweiten Überwachungsobjekts überwacht, das verschieden ist von dem ersten Überwachungsobjekt. Die Steuereinheit ist ausgelegt, einen durch die Überwachungsvorrichtung durchzuführenden Vorgang gemäß dem Erfassungsergebnis der durch die andere Überwachungsvorrichtung erfassten Abnormität zu ändern.

Description

  • Technisches Gebiet
  • Die vorliegende Offenbarung betrifft eine Datenverarbeitungstechnik und betrifft insbesondere eine Überwachungsvorrichtung, ein Überwachungssystem und ein Computerprogramm.
  • Technischer Hintergrund
  • In letzter Zeit enthält ein Fahrzeug eine Vielzahl von Elektronikvorrichtungen und eine Vielzahl von Netzwerkbereichen (NW-Bereichen). Jede aus der Vielzahl von Elektronikvorrichtungen kann eine Sicherheitsfunktion aufweisen. Die an dem Fahrzeug angebrachten Elektronikvorrichtungen können beispielsweise enthalten: (1) Eingangstorvorrichtungen, wie etwa eine Bord-Infotainmentvorrichtung und eine Telematik-Steuereinheit, (2) Netzvorrichtungen, wie etwa ein Gateway und einen Ethernet-Switch („Ethernet“ ist ein eingetragenes Warenzeichen), und (3) elektronische Steuervorrichtungen (im Folgenden als „ECUs“ bezeichnet), die Endsysteme in dem Fahrzeug steuern.
  • Literaturverzeichnis
  • Patentliteratur
  • Patentschrift 1: Ungeprüfte japanische Patentveröffentlichung Nr. 2017-47835
  • Zusammenfassung der Erfindung
  • Die vorliegende Offenbarung steuert angemessen Vorgänge bezüglich der Sicherheit eines Fortbewegungsmittels, wie etwa eines Fahrzeugs.
  • Eine Überwachungsvorrichtung gemäß einem Aspekt der vorliegenden Offenbarung ist eine aus einer Vielzahl von Überwachungsvorrichtungen, die an einem Fortbewegungsmittel anzubringen sind. Die Überwachungsvorrichtung ist ausgelegt, einen abnormen Zustand eines ersten Überwachungsobjekts zu überwachen. Die Überwachungsvorrichtung enthält einen Empfänger und eine Steuereinheit. Der Empfänger ist ausgelegt, ein Erfassungsergebnis einer Abnormität zu empfangen, die durch eine weitere Überwachungsvorrichtung erfasst ist, die einen abnormen Zustand eines zweiten Überwachungsobjekts überwacht, das verschieden ist von dem ersten Überwachungsobjekt. Die Steuereinheit ist ausgelegt, einen durch die Überwachungsvorrichtung durchzuführenden Vorgang gemäß dem Erfassungsergebnis der durch die andere Überwachungsvorrichtung erfassten Abnormität zu ändern.
  • Eine Überwachungsvorrichtung gemäß einem weiteren Aspekt der vorliegenden Offenbarung enthält eine erste Überwachungsvorrichtung und eine zweite Überwachungsvorrichtung. Die erste Überwachungsvorrichtung ist an dem Fortbewegungsmittel anzubringen. Die erste Überwachungsvorrichtung ist ausgelegt zu erfassen, ob sich ein erstes Überwachungsobjekt in einem abnormen Zustand befindet oder nicht, und ist ausgelegt, an die zweite Überwachungsvorrichtung, die ein zweites Überwachungsobjekt überwacht, das verschieden ist von dem ersten Überwachungsobjekt, ein Erfassungsergebnis einer Abnormität zu senden. Die zweite Überwachungsvorrichtung ist an dem Fortbewegungsmittel anzubringen. Die zweite Überwachungsvorrichtung ist ausgelegt, das von der ersten Überwachungsvorrichtung gesendete Erfassungsergebnis der Abnormität zu empfangen, und ist ausgelegt, einen durch die zweite Überwachungsvorrichtung durchzuführenden Vorgang gemäß dem Erfassungsergebnis der Abnormität zu ändern.
  • Eine beliebige Kombination der obigen Bestandteile und Ausdrücke der vorliegenden Offenbarung sind umgewandelt in ein Computerprogramm, ein Aufzeichnungsmedium, das das Computerprogramm aufzeichnet, und ein Fortbewegungsmittel, wie etwa ein Fahrzeug, an dem die Überwachungsvorrichtung angebracht ist. Das Computerprogramm, das Aufzeichnungsmedium, das das Computerprogramm aufzeichnet, und das Fortbewegungsmittel, wie etwa ein Fahrzeug, an dem die Überwachungsvorrichtung angebracht ist, sind auch als Aspekte der vorliegenden Offenbarung nutzbar.
  • Die vorliegende Offenbarung steuert angemessen Vorgänge bezüglich der Sicherheit eines Fortbewegungsmittels, wie etwa eines Fahrzeugs.
  • Figurenliste
    • 1 stellt schematisch einen Aufbau eines Fahrzeugs gemäß einer beispielhaften Ausführungsform dar.
    • 2 ist ein Blockschaltbild, das eine funktionelle Anordnung einer ein Controller Area Network überwachenden ECU (CAN-Überwachungs-ECU) in 1 darstellt.
    • 3 ist ein Flussdiagramm, das Vorgänge der CAN-Überwachungs-ECU in 1 darstellt.
    • 4 stellt ein Beispiel eines Umschaltens zwischen Vorgängen einer Bord-Infotainmentvorrichtung in 1 dar.
    • 5 stellt ein Beispiel eines Umschaltens zwischen Vorgängen einer Ethernet-Netzüberwachungs-ECU in 1 dar.
    • 6 stellt ein Beispiel eines Umschaltens zwischen Vorgängen der CAN-Überwachungs-ECU in 1 dar.
    • 7 stellt ein Beispiel eines Umschaltens zwischen Vorgängen einer Bord-Infotainmentvorrichtung in einem ersten Beispiel der Modifikationen dar.
    • 8 stellt ein Beispiel eines Umschaltens zwischen Vorgängen einer Bord-Infotainmentvorrichtung in einem zweiten Beispiel der Modifikationen dar.
    • 9 ist ein Blockschaltbild, das eine funktionelle Anordnung einer CAN-Überwachungs-ECU in einem dritten Beispiel der Modifikationen darstellt.
    • 10 stellt ein Beispiel eines Umschaltens zwischen Vorgängen einer Bord-Infotainmentvorrichtung in dem dritten Beispiel der Modifikationen dar.
  • Beschreibung einer Ausführungsform
  • Vor einem Beschreiben einer beispielhaften Ausführungsform der vorliegenden Offenbarung sind kurz Probleme einer herkömmlichen Technik beschrieben. Es ist vorstellbar, dass Sicherheitsfunktionen bei einer Vielzahl von an einem Fahrzeug angebrachten Elektronikvorrichtungen vorgesehen sind. Die Sicherheitsfunktionen enthalten jeweils eine Überwachungsfunktion, die eine Elektronikvorrichtung überwacht, für die die Überwachungsfunktion vorgesehen ist, oder die ein Netzwerk überwacht. Wenn weiter die Überwachungsfunktionen einen Angriff erfassen, wird ein Ablauf benötigt, der es dem Fahrzeug ermöglicht, sicher zu arbeiten. Jedoch überwacht jede der Elektronikvorrichtungen einen eingeschränkten Bereich. Weiter können die Überwachungsfunktionen einen falschen Angriff erfassen. Wenn daher jede der Überwachungsvorrichtungen einen Ablauf durchführt, der einem durch die Überwachungsvorrichtung erfassten Angriff entspricht, kann die Steuerung im Hinblick auf Zustände des ganzen Fahrzeugs übermäßig sein.
  • Vor dem Beschreiben einer genauen Anordnung der beispielhaften Ausführungsform ist hier eine Übersicht einer Anordnung der beispielhaften Ausführungsform beschrieben. Eine Vielzahl von Überwachungsvorrichtungen ist in der beispielhaften Ausführungsform an einem Fahrzeug angebracht. Die Vielzahl von Überwachungsvorrichtungen überwacht Zustände jeweiliger verschiedener Objekte (auch als Bestandteile des Fahrzeugs bezeichnet). Jede der Überwachungsvorrichtungen überwacht einen eingeschränkten Bereich. Weiter besteht eine gewisse Möglichkeit, dass jede der Überwachungsvorrichtungen eine falsche Abnormität in einem Überwachungsobjekt erfasst, obwohl das Überwachungsobjekt tatsächlich normal ist. Daher können, wenn jede der Überwachungsvorrichtungen auf Grundlage eines durch die Überwachungsvorrichtung durchgeführten Überwachungsergebnisses einen Vorgang, der einen durch die Überwachungsvorrichtung erfassten Angriff vereitelt, und einen Vorgang durchführt, der es dem Fahrzeug ermöglicht, sicher zu sein (auch als „ausfallsicherer Vorgang“ bezeichnet), der Abschaltvorgang und der ausfallsichere Vorgang für Zustände des ganzen Fahrzeugs übermäßig sein.
  • In einem Fahrzeug in der beispielhaften Ausführungsform erfasst eine Vielzahl von Überwachungsvorrichtungen Zustände jeweiliger Überwachungsobjekte und meldet einander die Zustände jeweiliger Überwachungsobjekte. Somit kann jede der Überwachungsvorrichtungen auf Zustände des Fahrzeugs zurückgreifen, die nicht durch sie selbst erfasst werden können. Daher kann jede der Überwachungsvorrichtungen eine Datenverarbeitung bezüglich der Sicherheit des Fahrzeugs auf Grundlage von Zuständen des Fahrzeugs angemessen durchführen, die nicht durch sie selbst erfasst werden können. Weiter passt jede der Überwachungsvorrichtungen angemessen eine Form der Datenverarbeitung an oder schaltet angemessen zwischen Formen der Datenverarbeitung um auf Grundlage der Zustände des Fahrzeugs, die sie nicht selbst erfassen kann.
  • In der nachstehenden Beschreibung umfasst eine Normalität bei einem Überwachungsobjekt einen Zustand, in dem das Überwachungsobjekt nicht durch eine Vorrichtung außerhalb des Überwachungsobjekts angegriffen ist (z.B. durch bösartige Frames). Weiter umfasst eine Normalität bei einem Überwachungsobjekt einen Zustand, in dem eine Firmware läuft, die legitim ist und nicht manipuliert wurde. Weiter umfasst eine Abnormität bei einem Überwachungsobjekt einen Zustand, in dem das Überwachungsobjekt durch eine Vorrichtung außerhalb des Überwachungsobjekts angegriffen ist (z.B. durch bösartige Frames). Weiter umfasst eine Abnormität bei einem Überwachungsobjekt einen Zustand, in dem bösartige Firmware oder solche läuft, die manipuliert wurde.
  • 1 stellt schematisch einen Aufbau eines Fahrzeugs 10 gemäß der beispielhaften Ausführungsform dar. Das Fahrzeug 10 enthält ein Netzwerk im Fahrzeug 10 (im Folgenden als „Bordnetzwerk“ bezeichnet). Das Bordnetzwerk enthält ein Ethernet-Netzwerk 20 und ein Controller Area Network (CAN) 22. Das Fahrzeug 10 enthält auch eine Vielzahl von Arten von Überwachungsvorrichtungen, d. h. die Bord-Infotainmentvorrichtung 12, die elektronische Ethernet-Netzüberwachungs-Steuereinheit (Ethernet-Netzüberwachungs-ECU) 14 und die CAN-Überwachungs-ECU 16. Die Überwachungsvorrichtungen überwachen Zustände von Objekten, die sich auf das Fahrzeug 10 beziehen und vorbestimmt wurden. Die Überwachungsobjekte umfassen Elemente im Fahrzeug 10 und Elemente, die sich außerhalb des Fahrzeugs 10 befinden und mit dem Fahrzeug 10 verbunden sind (z.B. ein fahrzeugexternes Netzwerk).
  • Die Bord-Infotainmentvorrichtung 12 ist eine Elektronikvorrichtung, die einem Benutzer verschiedene Informationen liefert. Die Bord-Infotainmentvorrichtung 12 kann beispielsweise eine Auto-Navigationsfunktion und eine Audiofunktion aufweisen. Die Bord-Infotainmentvorrichtung 12 ist mit dem fahrzeugexternen Netzwerk 18 verbunden, wie etwa dem Internet, um mit Vorrichtungen außerhalb des Fahrzeugs 10 zu kommunizieren. Die Bord-Infotainmentvorrichtung 12 erfasst, ob sich das fahrzeugexterne Netzwerk 18 in einem abnormen Zustand befindet oder nicht. Zum Beispiel empfängt die Bord-Infotainmentvorrichtung 12 eine durch das fahrzeugexterne Netzwerk 18 gesendete Meldung und erfasst, ob die Meldung abnorm ist oder nicht.
  • Die Ethernet-Netzüberwachungs-ECU 14 enthält eine Schnittstelle zwischen der Ethernet-Netzüberwachungs-ECU 14 und dem Ethernet-Netzwerk 20. Die Ethernet-Netzüberwachungs-ECU 14 überwacht das Ethernet-Netzwerk 20 und erfasst, ob sich das Ethernet-Netzwerk 20 in einem abnormen Zustand befindet oder nicht. Genauer erfasst die Ethernet-Netzüberwachungs-ECU 14, wenn ein Ethernet-Frame, der eine durch das Ethernet-Netzwerk 20 gesendete Meldung ist, abnorm ist, ein Ethernet-Netzwerk 20, das sich in einem abnormen Zustand befindet. Die Ethernet-Netzüberwachungs-ECU 14 kann eine Weiterleitungseinrichtung sein, die sich in einem Ethernet-Netzwerk 20 befindet und eine Überwachungsfunktion aufweist.
  • Die CAN-Überwachungs-ECU 16 enthält eine Schnittstelle zwischen der CAN-Überwachungs-ECU 16 und dem CAN 22. Die CAN-Überwachungs-ECU 16 überwacht das CAN 22 und erfasst, ob sich das CAN 22 in einem abnormen Zustand befindet oder nicht. Genauer erfasst die CAN-Überwachungs-ECU 16, wenn ein CAN-Frame, der eine durch das CAN 22 gesendete Meldung ist, abnorm ist, ein CAN 22, das sich in einem abnormen Zustand befindet. Die CAN-Netzüberwachungs-ECU 16 kann eine Weiterleitungseinrichtung sein, die sich im CAN 22 befindet und eine Überwachungsfunktion aufweist.
  • Die Bord-Infotainmentvorrichtung 12 ist mit der Ethernet-Netzüberwachungs-ECU 14 über das Ethernet-Netzwerk 20 verbunden. Die Bord-Infotainmentvorrichtung 12 ist mit der CAN-Überwachungs-ECU 16 über das CAN 22 verbunden. Weiter verbindet die Bord-Infotainmentvorrichtung 12 oder ein vorgegebenes Gateway (nicht dargestellt) die Ethernet-Netzüberwachungs-ECU 14 mit der CAN-Überwachungs-ECU 16. Jede der Meldungen kann einen Befehl enthalten, der an (eine) andere Vorrichtung(en) erteilt wird.
  • 2 ist ein Blockschaltbild, das eine funktionelle Anordnung einer CAN-Überwachungs-ECU 16 in 1 darstellt. Die CAN-Überwachungs-ECU 16 enthält einen Frame-Empfänger 30, eine Frame-Sperreinheit 31, eine Überwachungseinheit 32, einen Protokollspeicherteil 38, einen Protokollsender 40, einen Überwachungsergebnis-Sender 42, einen Überwachungsergebnis-Empfänger 44 und eine Ablaufsteuereinheit 46.
  • In dem Blockschaltbild in der Beschreibung kann der Hardwareteil jedes der Blöcke aus Elementen eines Computers, wie etwa einer Zentraleinheit (CPU) und einem Speicher, und mechanischen Vorrichtungen bestehen. Weiter kann der Softwareteil jedes der Blöcke ein Computerprogramm sein. In dem Blockschaltbild ist jedoch jeder der dargestellten Blöcke ein Funktionsblock, der den Hardwareteil und den Softwareteil enthält, die miteinander zusammenwirken. Fachleute werden verstehen, dass jeder der Funktionsblöcke in verschiedenen Formen vorliegen kann, die jeweils eine Kombination der Hardware und der Software enthalten können.
  • Ein Computerprogramm, das Module enthält, die den Blöcken in 2 entsprechen, kann in einem Aufzeichnungsmedium gespeichert sein. Das Computerprogramm kann in die CAN-Überwachungs-ECU 16 von dem Aufzeichnungsmedium geladen sein. Das Computerprogramm kann in die CAN-Überwachungs-ECU 16 über die Netzwerke geladen sein. Eine CPU der CAN-Überwachungs-ECU 16 kann Funktionen jedes der Blöcke durchführen, indem sie das Computerprogramm angemessen ausliest und ausführt.
  • Die Überwachungseinheit 32 überwacht Zustände von Überwachungsobjekten, die sich auf das Fahrzeug 10 beziehen und vorbestimmt wurden. Die Überwachungseinheit 32 ist auch als Abnormitätserfassungseinheit bezeichnet und erfasst, ob sich jedes der Überwachungsobjekte in einem abnormen Zustand befindet oder nicht. Die Überwachungseinheit 32 enthält eine Netzwerküberwachungseinheit 34 und eine Host-Überwachungseinheit 36.
  • Der Frame-Empfänger 30 empfängt CAN-Frames, die Vorrichtungen außerhalb der CAN-Überwachungs-ECU 16 (z.B. andere ECUs, wie etwa eine Brems-ECU), in das CAN 22 ausgeben. Die Netzwerküberwachungseinheit 34 erfasst, ob ein durch den Frame-Empfänger 30 empfangener CAN-Frame (auch als „Empfangs-Frame“ bezeichnet) abnorm ist oder nicht. Zum Beispiel kann die Netzwerküberwachungseinheit 34 eine schwarze Liste speichern, die CAN-Identifikatoren (CAN-IDs) zeigt, die gesperrt werden sollten. Wenn eine einem Empfangs-Frame zugeordnete CAN-ID einer der in der schwarzen Liste gespeicherten CAN-IDs entspricht, kann die Netzwerküberwachungseinheit 34 eine Abnormität in dem Empfangs-Frame erfassen. Alternativ kann die Netzwerküberwachungseinheit 34 eine weiße Liste speichern, die legitime CAN-IDs zeigt. Die Netzwerküberwachungseinheit 34 kann eine Abnormität in einem Empfangs-Frame erfassen, dem eine CAN-ID zugeordnet ist, die nicht der weißen Liste entspricht. Wenn ein Empfangs-Frame ein Ethernet-Frame ist, bestimmt die Netzwerküberwachungseinheit 34, ob der Empfangs-Frame normal oder abnorm ist, auf Grundlage einer Media Access Control-Adresse (MAC-Adresse), die dem Empfangs-Frame zugeordnet ist.
  • Alternativ bestimmt die Netzwerküberwachungseinheit 34. ob ein Empfangs-Frame abnorm ist oder nicht, auf Grundlage eines Zyklus von Meldungen (z.B. eines Intervalls zwischen Empfängen von Meldungen, die jeweils eine selbe CAN-ID aufweisen). Alternativ bestimmt die Netzwerküberwachungseinheit 34, ob ein Empfangs-Frame abnorm ist oder nicht, auf Grundlage einer Streucharakteristik von Daten, der in einer Meldung gezeigt ist. Zum Beispiel bestimmt die Netzwerküberwachungseinheit 34, dass ein Empfangs-Frame abnorm ist, wenn ein Streuungsbetrag von Geschwindigkeitsdaten, der in Meldungen gezeigt wird, die jeweils eine selbe CAN-ID aufweisen, einen vorgegebenen Schwellwert überschreitet.
  • Wenn die Netzwerküberwachungseinheit 34 bestimmt, dass ein Empfangs-Frame abnorm ist, führt die Frame-Sperreinheit 31 einen Vorgang durch, der den Empfangs-Frame sperrt. Zum Beispiel kann die Frame-Sperreinheit 31 einen Empfangs-Frame sperren, der über das CAN 22 gesendet wird, indem sie in das CAN 22 einen Fehler-Frame ausgibt, der dem Empfangs-Frame entspricht. Ein Fehler-Frame sperrt einen Empfangs-Frame nicht, der über einige Netzwerke gesendet ist (z.B. ein Ethernet-Netzwerk). Wenn ein Überwachungsobjekt ein solches Netzwerk ist, kann die Frame-Sperreinheit 31 einen Empfangs-Frame filtern (entfernen), in dem eine Abnormität erfasst ist, oder kann einen Weiterleitungsvorgang nicht zulassen, den Empfangs-Frame wieder in das Netzwerk auszugeben.
  • Die Host-Überwachungseinheit 36 benutzt eine öffentlich bekannte Technik, wie etwa eine digitale Signatur, um eine Abnormität in der CAN-Überwachungs-ECU 16 zu erfassen. Genauer überprüft die Host-Überwachungseinheit 36, ob legitime Firmware in der CAN-Überwachungs-ECU 16 gespeichert ist oder nicht. Mit anderen Worten, die Host-Überwachungseinheit 36 erfasst, ob Firmware der CAN-Überwachungs-ECU 16 manipuliert wurde oder nicht. Die Host-Überwachungseinheit 36 führt durch, was als sicheres Booten bezeichnet ist. Das heißt, wenn die CAN-Überwachungs-ECU 16 aktiviert ist, überprüft die Host-Überwachungseinheit 36, ob Firmware manipuliert wurde oder nicht. Weiter kann, wenn (oder unmittelbar bevor) eine Anwendung in der CAN-Überwachungs-ECU 16 läuft, die Host-Überwachungseinheit 36 überprüfen, ob die Anwendung manipuliert wurde oder nicht.
  • Wenn weiter die Host-Überwachungseinheit 36 einen Vorgang erfasst, der nicht der vorgeschriebenen Zugriffssteuerung gemäß ist, die eine Funktion ist, mit der ein Betriebssystem, wie etwa ein Kernel, bestimmte Prozesse und den Zugriff auf bestimmte Dateien einschränkt, bestimmt die Host-Überwachungseinheit 36, dass die CAN-Überwachungs-ECU 16 abnorm ist. Wenn beispielsweise Firmware oder eine Anwendung auf eine bestimmte Datei zugreift, auf die der Zugriff durch die Firmware und die Anwendung durch die vorgeschriebene Zugriffssteuerung, die vorbestimmt wurde, nicht zugelassen ist, kann die Host-Überwachungseinheit 36 bestimmen, dass die CAN-Überwachungs-ECU 16 oder die Firmware der CAN-Überwachungs-ECU 16 abnorm ist.
  • Der Protokollspeicherteil 38 speichert ein Überwachungsprotokoll in einem vorgegebenen Speicherbereich. Das Überwachungsprotokoll zeigt ein Ergebnis der durch die Überwachungseinheit 32 durchgeführten Überwachung (mit anderen Worten, ein Erfassungsergebnis einer Abnormität). Zum Beispiel kann der Protokollspeicherteil 38 ein Überwachungsprotokoll in einem nichtflüchtigen Speicher in der CAN-Überwachungs-ECU 16 speichern. Das Überwachungsprotokoll zeigt, dass die Netzwerküberwachungseinheit 34 ein CAN 22 (oder einen über das CAN 22 gesendeten Frame) erfasst, das normal ist, oder zeigt, dass die Netzwerküberwachungseinheit 34 ein CAN 22 (oder einen über das CAN 22 gesendeten Frame) erfasst, das abnorm ist. Weiter kann der Protokollspeicherteil 38 ein Überwachungsprotokoll in einem nichtflüchtigen Speicher in der CAN-Überwachungs-ECU 16 speichern. Das Überwachungsprotokoll zeigt, dass die Host-Überwachungseinheit 36 eine CAN-Überwachungs-ECU 16 (oder Firmware der CAN-Überwachungs-ECU 16) erfasst, die normal ist, oder zeigt, dass die Host-Überwachungseinheit 36 eine CAN-Überwachungs-ECU 16 (oder Firmware der CAN-Überwachungs-ECU 16) erfasst, die abnorm ist.
  • Der Protokollsender 40 sendet an Vorrichtungen außerhalb der CAN-Überwachungs-ECU 16 ein Überwachungsprotokoll, das ein Ergebnis der durch die Überwachungseinheit 32 durchgeführten Überwachung zeigt. Zum Beispiel kann der Protokollsender 40 an Eingangstorvorrichtungen (z.B. die Bord-Infotainmentvorrichtung 12 und eine Telematik-Steuereinheit), die vorbestimmt wurden, Überwachungsprotokolle senden, von denen jedes zeigt, dass die Netzwerküberwachungseinheit 34 ein CAN 22 erfasst, das normal ist, oder zeigt, dass die Netzwerküberwachungseinheit 34 ein CAN 22 erfasst, das abnorm ist. Die Eingangstorvorrichtungen (z.B. die Bord-Infotainmentvorrichtung 12 und eine Telematik-Steuereinheit) können die Überwachungsprotokolle speichern. Weiter kann der Protokollsender 40 an die Eingangstorvorrichtungen Überwachungsprotokolle senden, von denen jedes zeigt, dass die Host-Überwachungseinheit 36 eine CAN-Überwachungs-ECU 16 erfasst, die normal ist, oder zeigt, dass die Host-Überwachungseinheit 36 eine CAN-Überwachungs-ECU 16 erfasst, die abnorm ist.
  • Der Überwachungsergebnis-Sender 42 sendet ein Ergebnis der durch die Überwachungseinheit 32 durchgeführten Überwachung an die anderen Überwachungsvorrichtungen (in der beispielhaften Ausführungsform die Bord-Infotainmentvorrichtung 12 und die Ethernet-Netzüberwachungs-ECU 14). Das Überwachungsergebnis enthält Daten, die zeigen, dass die Netzwerküberwachungseinheit 34 ein CAN 22 erfasst, das normal ist, oder zeigen, dass die Netzwerküberwachungseinheit 34 ein CAN 22 erfasst, das abnorm ist. Weiter enthält das Überwachungsergebnis Daten, die zeigen, dass die Host-Überwachungseinheit 36 eine CAN-Überwachungs-ECU 16 erfasst, die normal ist, oder zeigen, dass die Host-Überwachungseinheit 36 eine CAN-Überwachungs-ECU 16 erfasst, die abnorm ist.
  • Der Überwachungsergebnis-Empfänger 44 empfängt ein Erfassungsergebnis einer von jeder der anderen Überwachungsvorrichtungen gesendeten Abnormität. Zum Beispiel empfängt der Überwachungsergebnis-Empfänger 44 von der Bord-Infotainmentvorrichtung 12 ein Überwachungsergebnis des fahrzeugexternen Netzwerks 18 und ein Ergebnis der Host-Überwachung. Weiter empfängt der Überwachungsergebnis-Empfänger 44 von der Ethernet-Netzüberwachungs-ECU 14 ein Überwachungsergebnis von Ethernet-Frames und ein Ergebnis der Host-Überwachung.
  • Auf Grundlage der Erfassungsergebnisse von durch die anderen Überwachungsvorrichtungen erfassten Abnormitäten ändert die Ablaufsteuereinheit 46 einen Ablauf, der sich auf die Sicherheit bezieht und durch die CAN-Überwachungs-ECU 16 durchgeführt wird, oder schaltet zwischen Verhalten des Fahrzeugs 10 um. Wie nachstehend beschrieben, ändert die Ablaufsteuereinheit 46 verschiedene Arten von Vorgängen. Folgende Beispiele 1 bis 4 von zu ändernden Vorgängen sind Abläufe, die sich auf die Sicherheit beziehen und durch die CAN-Überwachungs-ECU 16 durchgeführt werden.
  • Beispiel 1 von zu ändernden Vorgängen: Überwachungsform
  • Die Ablaufsteuereinheit 46 kann zwischen Formen von Vorgängen der Überwachungseinheit 32 umschalten. Zum Beispiel kann die Ablaufsteuereinheit 46 zwischen Vorgängen umschalten, die benutzt werden, um zu erfassen, ob sich die CAN-Überwachungs-ECU 16 oder das CAN 22 in einem abnormen Zustand befindet oder nicht. Genauer kann die Ablaufsteuereinheit 46 zwischen Überwachungsregeln der Überwachungseinheit 32 umschalten. Zum Beispiel kann die Ablaufsteuereinheit 46 zwischen einer Regel, unter der ein zulässiger Bereich, der als normal betrachtet ist, breit ist, und einer Regel umschalten, unter der ein zulässiger Bereich schmal ist.
  • Zum Beispiel kann eine Netzwerküberwachungsregel, unter der ein zulässiger Bereich breit ist, eine Regel sein, unter der ein relativ breiter Bereich einer Streuungsbreite eines Zyklus oder von Daten als normal angesehen ist. Zum Beispiel kann eine Netzwerküberwachungsregel, unter der ein zulässiger Bereich schmal ist, eine Regel sein, unter der ein relativ schmaler Bereich einer Streuungsbreite eines Zyklus oder von Daten als normal angesehen ist. Weiter kann beispielsweise eine Host-Überwachungsregel, unter der ein zulässiger Bereich breit ist, eine Regel sein, unter der eine relativ kleine Anzahl von Programmelementen oder eine relativ kleine Anzahl von Programmarten zu erfassende Objekte sind, die benutzt werden, um mindestens eins aus einer Manipulation und einer Verletzung vorgeschriebener Zugriffssteuerung zu erfassen. Zum Beispiel kann eine Host-Überwachungsregel, unter der ein zulässiger Bereich schmal ist, eine Regel sein, unter der eine relativ große Anzahl von Programmelementen oder eine relativ große Anzahl von Programmarten zu erfassende Objekte sind, die benutzt werden, um mindestens eins aus einer Manipulation und einer Verletzung vorgeschriebener Zugriffssteuerung zu erfassen.
  • Weiter kann die Ablaufsteuereinheit 46 einen durch die Überwachungseinheit 32 überwachten Bereich erweitern oder einengen. Zum Beispiel kann die Ablaufsteuereinheit 46 der Überwachungseinheit 32 gestatten, ein Manipulieren an Middleware zu erfassen. Alternativ kann die Ablaufsteuereinheit 46 der Überwachungseinheit 32 gestatten, ein Manipulieren an Middleware und ein Manipulieren an jeder der Anwendungen zu erfassen. Weiter kann die Ablaufsteuereinheit 46 zwischen Zeiten umschalten, zu denen die Überwachungseinheit 32 überwacht. Zum Beispiel kann die Ablaufsteuereinheit 46 der Überwachungseinheit 32 gestatten, nur zu einer Startzeit von Software zu überprüfen, ob die Software manipuliert wurde oder nicht. Alternativ kann die Ablaufsteuereinheit 46 der Überwachungseinheit 32 gestatten, regelmäßig zu überprüfen, ob eine Vielzahl von Softwareelementen manipuliert wurde oder nicht.
  • Beispiel 2 von zu ändernden Vorgängen: Form des Sperrens einer Steuerung
  • Die Ablaufsteuereinheit 46 kann zwischen Formen von Vorgängen der Frame-Sperreinheit 31 umschalten. Genauer kann ein CAN-Frame, in dem eine Abnormität erfasst wurde, mit einem Fehler-Frame gesperrt werden. Alternativ kann ein CAN-Frame, in dem eine Abnormität erfasst wurde, nicht gesperrt werden, sondern kann aufgezeichnet werden. Weiter kann die Ablaufsteuereinheit 46 der Frame-Sperreinheit 31 gestatten oder nicht gestatten, eine Meldung (z.B. einen CAN-Frame oder einen Ethernet-Frame), in dem eine Abnormität erfasst wurde, zu filtern (beispielsweise zu entfernen).
  • Beispiel 3 von zu ändernden Vorgängen: Form des Aufzeichnens einer Abnormität
  • Die Ablaufsteuereinheit 46 kann zwischen Formen von Vorgängen des Protokollspeicherteils 38 umschalten. Genauer kann die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38 gestatten oder nicht gestatten, Überwachungsprotokolle im nichtflüchtigen Speicher zu speichern. Weiter kann die Ablaufsteuereinheit 46 zwischen Objekten umschalten, die in einem Überwachungsprotokoll gespeichert werden. Zum Beispiel kann die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38 nur gestatten, eine Meldung zu speichern, in der eine Abnormität erfasst wird. Alternativ kann die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38 gestatten, eine Meldung, in der eine Abnormität erfasst wird, eine vorgegebene Anzahl von Meldungen vor der Meldung, in der eine Abnormität erfasst wird, und eine vorgegebene Anzahl von Meldungen nach der Meldung zu speichern, in der eine Abnormität erfasst wird. Die letztere Form ist nützlich zum Erfassen eines Anzeichens eines Auftretens einer Abnormität oder eines Trends bei einem Auftreten einer Abnormität.
  • Beispiel 4 von zu ändernden Vorgängen: Form des Meldens einer Abnormität
  • Die Ablaufsteuereinheit 46 kann zwischen Formen von Vorgängen des Protokollsenders 40 umschalten. Genauer kann die die Ablaufsteuereinheit 46 dem Protokollsender 40 gestatten oder nicht gestatten, Überwachungsprotokolle zu einem Security Operations Center (SOC, nicht dargestellt) außerhalb des Fahrzeugs 10 zu senden. Weiter kann die Ablaufsteuereinheit 46 dem Protokollsender 40 gestatten oder nicht gestatten, Überwachungsprotokolle zu den anderen Überwachungsvorrichtungen (Bord-Infotainmentvorrichtung 12, Telematik-Steuereinheit) zu senden.
  • Beispiel 5 von zu ändernden Vorgängen: Form des Betriebs des Fahrzeugs
  • Die Ablaufsteuereinheit 46 kann zwischen einem Zustand, in dem eine autonome Fahrfunktion des Fahrzeugs 10 freigegeben ist, und einem Zustand umschalten, in dem die autonome Fahrfunktion des Fahrzeugs 10 gesperrt ist. In diesem Fall kann die Ablaufsteuereinheit 46 einen Befehl an eine autonome Fahrsteuerungsvorrichtung (nicht dargestellt) oder eine ECU eines Fahrerassistenzsystems (FAS) (nicht dargestellt) des Fahrzeugs 10 senden, die autonome Fahrfunktion freizugeben (mit anderen Worten, die autonome Fahrfunktion zu starten). Alternativ kann die Ablaufsteuereinheit 46 einen Befehl an eine autonome Fahrsteuerungsvorrichtung (nicht dargestellt) oder eine ECU eines Fahrerassistenzsystems (FAS) (nicht dargestellt) des Fahrzeugs 10 senden, die autonome Fahrfunktion zu sperren (mit anderen Worten, die autonome Fahrfunktion zu beenden). Weiter kann die Ablaufsteuereinheit 46 mit der autonomen Fahrsteuerungsvorrichtung, dem FAS oder anderen ECU(s) zusammenwirken, um zwischen einem Zustand, in dem ein ausfallsicherer Vorgang (z.B. ein Vorgang, der das autonome Fahren beendet) im Fahrzeug 10 freigegeben ist, und einem Zustand umzuschalten, in dem der ausfallsichere Vorgang im Fahrzeug 10 gesperrt ist.
  • Eine funktionelle Anordnung der Bord-Infotainmentvorrichtung 12 ist ähnlich der funktionellen Anordnung der CAN-Überwachungs-ECU 16 (2). Ein Unterschied besteht darin, dass der Frame-Empfänger 30 der Bord-Infotainmentvorrichtung 12 Kommunikations-Frames von dem fahrzeugexternen Netzwerk 18 empfängt. Weiter sendet der Überwachungsergebnis-Sender 42 der Bord-Infotainmentvorrichtung 12 Überwachungsergebnisse an die Ethernet-Netzüberwachungs-ECU 14 und die CAN-Überwachungs-ECU 16. Weiter empfängt der Überwachungsergebnis-Empfänger 44 der Bord-Infotainmentvorrichtung 12 Überwachungsergebnisse von der Ethernet-Netzüberwachungs-ECU 14 und der CAN-Überwachungs-ECU 16. Weiter kann die Frame-Sperreinheit 31 der Bord-Infotainmentvorrichtung 12 einen Empfangs-Frame filtern (beispielsweise entfernen), statt einen Fehler-Frame zu senden, auf Grundlage einer Adresse des Empfangs-Frames, eines Zyklus des Empfangs-Frames oder einer Streucharakteristik von Daten des Empfangs-Frames.
  • Eine funktionelle Anordnung der Ethernet-Netzüberwachungs-ECU 14 ist ähnlich der funktionellen Anordnung der CAN-Überwachungs-ECU 16 ( 2). Ein Unterschied besteht darin, dass der Frame-Empfänger 30 der Ethernet-Netzüberwachungs-ECU 14 Frames von dem Ethernet-Netzwerk 20 empfängt. Weiter sendet der Überwachungsergebnis-Sender 42 der Ethernet-Netzüberwachungs-ECU 14 Überwachungsergebnisse an die Bord-Infotainmentvorrichtung 12 und die CAN-Überwachungs-ECU 16. Weiter empfängt der Überwachungsergebnis-Empfänger 44 der Ethernet-Netzüberwachungs-ECU 14 Überwachungsergebnisse von der Bord-Infotainmentvorrichtung 12 und der CAN-Überwachungs-ECU 16. Weiter kann die Frame-Sperreinheit 31 der Ethernet-Netzüberwachungs-ECU 14 einen Empfangs-Frame filtern (beispielsweise entfernen), statt einen Fehler-Frame zu senden, auf Grundlage einer Adresse des Empfangs-Frames, eines Zyklus des Empfangs-Frames oder einer Streucharakteristik von Daten des Empfangs-Frames.
  • 3 ist ein Flussdiagramm, das Vorgänge der CAN-Überwachungs-ECU 16 in 1 darstellt. 3 stellt hauptsächlich Überwachungsvorgänge und sicherheitsbezogene Vorgänge unter den durch die CAN-Überwachungs-ECU 16 durchgeführten Vorgängen dar. Die anderen Überwachungsvorrichtungen des Fahrzeugs 10, das heißt, die Bord-Infotainmentvorrichtung 12 und die Ethernet-Netzüberwachungs-ECU 14, führen jeweils Überwachungsvorgänge und sicherheitsbezogene Vorgänge durch, die ähnlich den Überwachungsvorgängen und sicherheitsbezogenen Vorgängen sind, die durch die CAN-Überwachungs-ECU 16 durchgeführt werden.
  • Wenn der Frame-Empfänger 30 einen CAN-Frame vom CAN 22 empfängt (J in S10), bestimmt die Netzwerküberwachungseinheit 34, ob der CAN-Frame, den der Frame-Empfänger 30 empfangen hat, normal ist oder nicht (S12). Wenn kein CAN-Frame empfangen wurde (N in S10), wird S12 übersprungen. Zu einer Zeit der Host-Überwachung (beispielsweise zu einer Zeit, zu der die CAN-Überwachungs-ECU 16 freigegeben ist, oder zu einer Zeit, zu der ein vorgegebener Zeitraum von einer vorangehenden Host-Überwachung verstrichen ist) (J in S14), überprüft die Host-Überwachungseinheit 36, ob im Speicher der CAN-Überwachungs-ECU 16 gespeicherte Firmware normal ist oder nicht (S16). Wenn es nicht eine Zeit der Host-Überwachung ist (N in S14), wird S16 übersprungen. Die Netzwerküberwachung und die Host-Überwachung werden in einer beliebigen Reihenfolge durchgeführt. Weiter können die Netzwerküberwachung und die Host-Überwachung gleichzeitig durchgeführt werden.
  • Als Reaktion auf mindestens eines aus einem Ergebnis der Host-Überwachung und einem Ergebnis der Netzwerküberwachung speichert der Protokollspeicherteil 38 in einem vorgegebenen Speicherbereich ein Protokoll, das das Ergebnis der Host-Überwachung und das Ergebnis der Netzwerküberwachung zeigt (S18). Als Reaktion auf mindestens eines aus einem Ergebnis der Host-Überwachung und einem Ergebnis der Netzwerküberwachung sendet der Protokollsender 40 an vorgegebene Vorrichtungen außerhalb der CAN-Überwachungs-ECU 16 ein Protokoll, das das Ergebnis der Host-Überwachung und das Ergebnis der Netzwerküberwachung zeigt (S20). Der Überwachungsergebnis-Sender 42 sendet an die Bord-Infotainmentvorrichtung 12 und die Ethernet-Netzüberwachungs-ECU 14 sowohl Daten, die ein Ergebnis der Host-Überwachung zeigen, als auch Daten, die ein Ergebnis der Netzwerküberwachung zeigen (S22). Aufgrund einer Zeitgebung der Host-Überwachung und einer Zeitgebung der Netzwerküberwachung können ein Ergebnis der Host-Überwachung oder ein Ergebnis der Netzwerküberwachung gesendet werden. Alternativ kann der Überwachungsergebnis-Sender 42 Überwachungsergebnisse an die Bord-Infotainmentvorrichtung 12 oder die Ethernet-Netzüberwachungs-ECU 14 senden.
  • Die Bord-Infotainmentvorrichtung 12 und die Ethernet-Netzüberwachungs-ECU 14 geben jeweils Daten, die ein Ergebnis der Host-Überwachung zeigen, und Daten aus, die ein Ergebnis der Netzwerküberwachung zeigen. Der Überwachungsergebnis-Empfänger 44 empfängt über ein Kommunikationsnetzwerk die Daten, die ein Ergebnis der Host-Überwachung zeigen, und die Daten, die ein Ergebnis der Netzwerküberwachung zeigen (J in S24). Wenn mindestens einer der Datensätze aus den Daten, die ein Ergebnis der Host-Überwachung zeigen, und den Daten, die ein Ergebnis der Netzwerküberwachung zeigen, von vorhergehenden Daten abweicht, die empfangen wurden (J in S26), schaltet die Ablaufsteuereinheit 46 zwischen Abläufen um, die sich auf die Sicherheit beziehen und vorgegeben wurden, oder schaltet zwischen Verhalten des Fahrzeugs 10 um (S28). Wenn der Überwachungsergebnis-Empfänger 44 keine Ergebnisse der durch die anderen Überwachungsvorrichtungen durchgeführten Überwachung empfangen hat (N in S24), werden S26 und S28 übersprungen. Wenn die Überwachungsergebnisse nicht abweichen (N in S26), wird S28 übersprungen. Die CAN-Überwachungs-ECU 16 wiederholt die in 3 dargestellten Abläufe.
  • Ein bestimmtes Beispiel des Umschaltens zwischen Vorgängen in S28 in 3 ist beschrieben. 4 stellt ein Beispiel eines Umschaltens zwischen Vorgängen der Bord-Infotainmentvorrichtung 12 dar. Die Bord-Infotainmentvorrichtung 12 enthält Funktionsblöcke, die den Funktionsblöcken der CAN-Überwachungs-ECU 16 (2) ähnlich sind. Wenn in dem Betriebsbeispiel (1) Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung normal sind, gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36 in der Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu erfassen, ob Middleware manipuliert wurde oder nicht. Wenn andererseits mindestens eins der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36, in der Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu erfassen, ob Middleware und jede der Anwendungen manipuliert wurden oder nicht.
  • Wenn weiter Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Netzwerküberwachung normal sind, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38 bei der Netzwerküberwachung der Bord-Infotainmentvorrichtung 12, im nichtflüchtigen Speicher nur eine Meldung zu speichern, in der eine Abnormität erfasst ist. Wenn andererseits mindestens eines der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38 bei der Netzwerküberwachung der Bord-Infotainmentvorrichtung 12, im nichtflüchtigen Speicher eine Meldung, in der eine Abnormität erfasst ist, eine vorgegebene Anzahl von Meldungen vor der Meldung, in der eine Abnormität erfasst ist, und eine vorgegebene Anzahl von Meldungen nach der Meldung zu speichern, in der eine Abnormität erfasst ist.
  • Wenn in dem Betriebsbeispiel (2) Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung normal sind, gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36 nur zu einer Zeit der Aktivierung der Bord-Infotainmentvorrichtung 12, bei der Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu erfassen, ob Firmware manipuliert wurde oder nicht. Wenn andererseits mindestens eins der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36 als Host-Überwachung der Bord-Infotainmentvorrichtung 12 regelmäßig zu erfassen, ob Firmware manipuliert wurde oder nicht.
  • Wenn weiter Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Netzwerküberwachung normal sind, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem lokalen Speicherbereich ein Überwachungsprotokoll über die Bord-Infotainmentvorrichtung 12 zu speichern, und gestattet dem Protokollsender 40 nicht, das Überwachungsprotokoll über die Bord-Infotainmentvorrichtung 12 an Vorrichtungen außerhalb der Bord-Infotainmentvorrichtung 12 zu senden. Wenn andererseits mindestens eines der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem lokalen Speicherbereich ein Überwachungsprotokoll über die Bord-Infotainmentvorrichtung 12 zu speichern, und gestattet dem Protokollsender 40, das Überwachungsprotokoll über die Bord-Infotainmentvorrichtung 12 an das Security Operations Center zu senden.
  • 5 stellt ein Beispiel eines Umschaltens zwischen Vorgängen einer Ethernet-Netzüberwachungs-ECU in 14 dar. Die Ethernet-Netzüberwachungs-ECU 14 enthält Funktionsblöcke, die den Funktionsblöcken der CAN-Überwachungs-ECU 16 (2) ähnlich sind. Wenn in dem Betriebsbeispiel (1) Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung normal sind, gestattet die Ablaufsteuereinheit 46 der Frame-Sperreinheit 31 nicht, einen Filtervorgang durchzuführen, wie etwa ein Entfernen eines Frames. Wenn andererseits mindestens eins der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 der Frame-Sperreinheit 31, den Filtervorgang zuzulassen.
  • Wenn weiter ein Ergebnis der durch die CAN-Überwachungs-ECU 16 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ breit ist. Mit anderen Worten, die Ablaufsteuereinheit 46 schwächt ein Kriterium ab, das zum Bestimmen benutzt wird, ob das Ethernet-Netzwerk 20 normal ist oder nicht. Wenn andererseits ein Ergebnis der durch die CAN-Überwachungs-ECU 16 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ schmal ist. Mit anderen Worten, die Ablaufsteuereinheit 46 verschärft ein Kriterium, das zum Bestimmen benutzt wird, ob das Ethernet-Netzwerk 20 normal ist oder nicht.
  • Wenn weiter ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem lokalen Speicherbereich ein Überwachungsprotokoll über die Ethernet-Netzüberwachungs-ECU 14 zu speichern, und gestattet dem Protokollsender 40 nicht, das Überwachungsprotokoll über die Ethernet-Netzüberwachungs-ECU 14 an Vorrichtungen außerhalb der Ethernet-Netzüberwachungs-ECU 14 zu senden. Wenn andererseits ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem lokalen Speicherbereich ein Überwachungsprotokoll über die Ethernet-Netzüberwachungs-ECU 14 zu speichern, und gestattet dem Protokollsender 40, das Überwachungsprotokoll über die Ethernet-Netzüberwachungs-ECU 14 an die Bord-Infotainmentvorrichtung 12 zu senden.
  • Wenn in dem Betriebsbeispiel (2) Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung normal sind, schaltet die Ablaufsteuereinheit 46 nicht zwischen Vorgängen um und setzt einen Überwachungsvorgang fort, der durchgeführt wurde. Wenn andererseits mindestens eins der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 der autonomen Fahrsteuerungsvorrichtung oder anderen ECU(s), einen ausfallsicheren Vorgang durchzuführen. Der ausfallsichere Vorgang enthält mindestens eines aus einem Senden an die autonome Fahrsteuerungsvorrichtung eines Befehls, der das autonome Fahren beendet, und einem Anhalten des Fahrzeugs 10.
  • Wenn ein Ergebnis der durch die CAN-Überwachungs-ECU 16 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 der Frame-Sperreinheit 31 nicht, einen Filtervorgang, wie etwa das Entfernen eines Frames, durchzuführen, in dem eine Abnormität erfasst wurde. Wenn andererseits ein Ergebnis der durch die CAN-Überwachungs-ECU 16 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 der Frame-Sperreinheit 31, einen Filtervorgang durchzuführen.
  • Wenn weiter ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ breit ist. Wenn andererseits ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ schmal ist.
  • 6 stellt ein Beispiel eines Umschaltens zwischen Vorgängen der CAN-Überwachungs-ECU in 16 dar. Wenn in dem Betriebsbeispiel (1) Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung normal sind, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem vorgegebenen Speicherbereich ein Protokoll über einen Frame zu speichern, in dem eine Abnormität erfasst wurde, und gestattet der Frame-Sperreinheit 31 nicht, einen Fehler-Frame auszugeben, der dem Frame entspricht, in dem die Abnormität erfasst wurde. Wenn andererseits mindestens eines der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem vorgegebenen Speicherbereich ein Protokoll über einen Frame zu speichern, in dem eine Abnormität erfasst wurde, und gestattet der Frame-Sperreinheit 31, einen Fehler-Frame auszugeben, der dem Frame entspricht, in dem die Abnormität erfasst wurde.
  • Wenn weiter ein Ergebnis der durch die Ethernet-Netzüberwachungs-ECU 14 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ breit ist. Wenn andererseits ein Ergebnis der durch die Ethernet-Netzüberwachungs-ECU 14 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ schmal ist.
  • Wenn weiter ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem lokalen Speicherbereich ein Überwachungsprotokoll über die CAN-Überwachungs-ECU 16 zu speichern, und gestattet dem Protokollsender 40 nicht, das Überwachungsprotokoll über die CAN-Überwachungs-ECU 16 an Vorrichtungen außerhalb der CAN-Überwachungs-ECU 16 zu senden. Wenn andererseits ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem lokalen Speicherbereich ein Überwachungsprotokoll über die CAN-Überwachungs-ECU 16 zu speichern, und gestattet dem Protokollsender 40, das Überwachungsprotokoll über die CAN-Überwachungs-ECU 16 an die Bord-Infotainmentvorrichtung 12 zu senden.
  • Wenn in dem Betriebsbeispiel (2) Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung normal sind, schaltet die Ablaufsteuereinheit 46 nicht zwischen Vorgängen um und setzt einen Überwachungsvorgang fort, der durchgeführt wurde. Wenn andererseits mindestens eins der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 der autonomen Fahrsteuerungsvorrichtung oder anderen ECU(s), einen ausfallsicheren Vorgang durchzuführen. Der ausfallsichere Vorgang enthält mindestens eines aus einem Senden an die autonome Fahrsteuerungsvorrichtung eines Befehls, der das autonome Fahren beendet, und einem Anhalten des Fahrzeugs 10.
  • Wenn weiter ein Ergebnis der durch die Ethernet-Netzüberwachungs-ECU 14 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem vorgegebenen Speicherbereich ein Protokoll über einen Frame zu speichern, in dem eine Abnormität erfasst wurde, und gestattet der Frame-Sperreinheit 31 nicht, einen Fehler-Frame auszugeben, der dem Frame entspricht, in dem die Abnormität erfasst wurde. Wenn andererseits ein Ergebnis der durch die Ethernet-Netzüberwachungs-ECU 14 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 dem Protokollspeicherteil 38, in einem vorgegebenen Speicherbereich ein Protokoll über einen Frame zu speichern, in dem eine Abnormität erfasst wurde, und gestattet der Frame-Sperreinheit 31, einen Fehler-Frame auszugeben, der dem Frame entspricht, in dem die Abnormität erfasst wurde.
  • Wenn weiter ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung normal ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ breit ist. Wenn andererseits ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Netzwerküberwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 mindestens einer aus der Netzwerküberwachungseinheit 34 und der Host-Überwachungseinheit 36, einen Überwachungsvorgang auf Grundlage einer Überwachungsregel durchzuführen, unter der ein zulässiger Bereich relativ schmal ist.
  • In der beispielhaften Ausführungsform arbeiten die an dem Fahrzeug 10 angebrachten Überwachungsvorrichtungen (z.B. die Bord-Infotainmentvorrichtung 12, die Ethernet-Netzüberwachungs-ECU 14 und die CAN-Überwachungs-ECU 16) miteinander. Folglich erfasst jede der Überwachungsvorrichtungen Zustände von Überwachungsobjekten, die nicht durch die Überwachungsvorrichtung überwacht werden, und führt somit einen Vorgang durch, der sich auf die Sicherheit bezieht und Zuständen des ganzen Fahrzeugs 10 entspricht. Weiter werden Verhalten des Fahrzeugs 10 so umgeschaltet, dass das Verhalten des Fahrzeugs 10 Zuständen des ganzen Fahrzeugs 10 entspricht. Folglich wird ein übermäßiger ausfallsicherer Vorgang sogar dann nicht leicht durchgeführt, wenn eine der Überwachungsvorrichtungen fälschlich eine Abnormität erfasst.
  • Die vorliegende Offenbarung ist oben gemäß der beispielhaften Ausführungsform beschrieben. Fachleute werden verstehen, dass die beispielhafte Ausführungsform nur ein Beispiel ist. Weiter sind in Modifikationen der beispielhaften Ausführungsform Bestandteile oder Vorgänge der beispielhaften Ausführungsform verschieden kombiniert. Weiter fallen die Modifikationen in den Geltungsbereich der vorliegenden Offenbarung.
  • Ein erstes Beispiel der Modifikationen ist beschrieben. Eine Vielzahl von Arten von Formen des Umschaltens zwischen Vorgängen ist vorbestimmt. Die Ablaufsteuereinheit 46 kann eine aus der Vielzahl von Arten von Formen des Umschaltens zwischen Vorgängen gemäß einer Anzahl von Abnormitäten wählen, die durch eine Vielzahl der anderen Überwachungsvorrichtungen erfasst wurden. Die Anzahl von Abnormitäten, die durch eine Vielzahl der anderen Überwachungsvorrichtungen erfasst werden, kann eine Anzahl von Überwachungsvorrichtungen sein, die jeweils eine Abnormität bei einem selben Überwachungsobjekt (z.B. einem Inneren jeder der Überwachungsvorrichtungen und dem Bordnetzwerk) erfassen, oder kann eine Anzahl von Überwachungsobjekten sein, in denen jeweils eine Abnormität erfasst wird. Je größer die Anzahl von durch eine Vielzahl der anderen Überwachungsvorrichtungen erfassten Abnormitäten ist, kann die Ablaufsteuereinheit 46 zu einem umso strikteren Kriterium umschalten, das zum Überwachen der Überwachungsvorrichtung benutzt wird, die die fragliche Ablaufsteuereinheit 46 enthält, oder sie kann einen Vorgang durchführen, der sich auf die Sicherheit bezieht und einer ernsteren Abnormität entspricht.
  • 7 stellt ein Beispiel eines Umschaltens zwischen Vorgängen der Bord-Infotainmentvorrichtung 12 in dem ersten Beispiel der Modifikationen dar. Wenn Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung normal sind, gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36, zu einer Zeit der Aktivierung der Bord-Infotainmentvorrichtung 12 in der Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu erfassen, ob Middleware manipuliert wurde oder nicht. Wenn andererseits mindestens eins der Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm ist, gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36, zu einer Zeit der Aktivierung der Bord-Infotainmentvorrichtung 12 in der Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu erfassen, ob Middleware und jede der Anwendungen manipuliert wurden oder nicht.
  • Wenn weiter Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm sind, gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36 zu einer Zeit der Aktivierung der Bord-Infotainmentvorrichtung 12 zu erfassen, ob jede der Anwendungen manipuliert wurde oder nicht, und gestattet die Ablaufsteuereinheit 46 der Host-Überwachungseinheit 36, regelmäßig zu erfassen, ob jede der Anwendungen manipuliert wurde oder nicht. Wenn weiter Ergebnisse der durch eine Vielzahl der anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm sind, besteht eine starke Möglichkeit, dass die Bord-Infotainmentvorrichtung 12 einen Angriff erleidet, wie etwa eine Manipulation am Programm. Demgemäß vermehrt die Ablaufsteuereinheit 46 Überwachungsobjekte und Überwachungszeiten, verglichen mit der üblichen Überwachung. Daher wird eine Abnormität in der Bord-Infotainmentvorrichtung 12 leicht, schnell und sicher erfasst.
  • Ein zweites Beispiel der Modifikationen ist beschrieben. Es gibt eine Vielzahl von Arten von Überwachungsobjekten. Gemäß einer Anzahl von (einer Anzahl von Arten von) Überwachungsobjekten, in denen eine Abnormität durch eine Vielzahl der anderen Überwachungsvorrichtungen erfasst wird, kann die Ablaufsteuereinheit 46 eine aus einer Vielzahl von Arten von Formen des Umschaltens zwischen Vorgängen wählen. 8 stellt ein Beispiel eines Umschaltens zwischen Vorgängen der Bord-Infotainmentvorrichtung 12 in einem zweiten Beispiel der Modifikationen dar. Die erste bis vierte Zeile in 8 zeigen jeweils ein Umschalten zwischen Vorgängen auf Grundlage eines Ergebnisses der Host-Überwachung oder der Netzwerküberwachung. Das Umschalten zwischen Vorgängen auf Grundlage eines Ergebnisses der Host-Überwachung oder der Netzwerküberwachung ist im Betriebsbeispiel (1) in 4 beschrieben und ist nicht erneut beschrieben.
  • Auf Grundlage eines Ergebnisses der Host-Überwachung oder eines Ergebnisses der Netzwerküberwachung führt die Ablaufsteuereinheit 46 ein Umschalten zwischen oben beschriebenen Vorgängen durch. Wenn weiter sowohl ein Ergebnis der Host-Überwachung als auch ein Ergebnis der Netzwerküberwachung abnorm sind, beendet die Ablaufsteuereinheit 46 das autonome Fahren des Fahrzeugs 10. Wenn sowohl ein Ergebnis der Host-Überwachung als auch ein Ergebnis der Netzwerküberwachung abnorm sind, kann die Ablaufsteuereinheit 46 Überwachungsobjekte vermehren, kann in einem Protokoll zu speichernde Objekte vermehren und kann das autonome Fahren beenden. Weiter kann, wenn mindestens eines aus einem Ergebnis der durch die Ethernet-Netzüberwachungs-ECU 14 durchgeführten Host-Überwachung und einem Ergebnis der durch die CAN-Überwachungs-ECU 16 durchgeführten Host-Überwachung abnorm ist und mindestens eines aus einem Ergebnis der durch die Ethernet-Netzüberwachungs-ECU 14 durchgeführten Netzwerküberwachung und einem Ergebnis der durch die CAN-Überwachungs-ECU 16 durchgeführten Netzwerküberwachung abnorm ist, die Ablaufsteuereinheit 46 bestimmen, dass sowohl die Host-Überwachung als auch die Netzwerküberwachung abnorm sind.
  • Ein drittes Beispiel der Modifikationen ist beschrieben. 9 entspricht 2 und ist ein Blockschaltbild, das eine funktionelle Anordnung einer CAN-Überwachungs-ECU 16 in dem dritten Beispiel der Modifikationen darstellt. Eine funktionelle Anordnung der Bord-Infotainmentvorrichtung 12 und eine funktionelle Anordnung der Ethernet-Netzüberwachungs-ECU 14 sind ähnlich der funktionellen Anordnung der CAN-Überwachungs-ECU 16. Die Überwachungseinheit 32 kann auch an die Ablaufsteuereinheit 46 sowohl ein Ergebnis der durch die Netzwerküberwachungseinheit 34 durchgeführten Netzwerküberwachung und ein Ergebnis der durch die Host-Überwachungseinheit 36 durchgeführten Host-Überwachung ausgeben. Auf Grundlage einer Kombination von durch die anderen Überwachungsvorrichtungen durchgeführten Überwachungsergebnissen und den durch die CAN-Überwachungs-ECU 16 durchgeführten Überwachungsergebnissen kann die Ablaufsteuereinheit 46 zwischen Abläufen umschalten, die sich auf die Sicherheit beziehen und durch die CAN-Überwachungs-ECU 16 durchgeführt werden, oder kann zwischen Verhalten des Fahrzeugs 10 umschalten.
  • 10 stellt ein Beispiel eines Umschaltens zwischen Vorgängen einer Bord-Infotainmentvorrichtung 12 in dem dritten Beispiel der Modifikationen dar. Die Vorgänge in 10 sind mit Bezugnahme auf 4 beschrieben und sind nicht erneut beschrieben. Wenn Ergebnisse der durch die anderen Überwachungsvorrichtungen durchgeführten Host-Überwachung abnorm sind, und wenn ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Überwachung des fahrzeugexternen Netzwerks abnorm ist, kann eine größere Gefahr für die Sicherheit bestehen. Daher steuert die Ablaufsteuereinheit 46 die Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu erfassen, ob jede der Anwendungen manipuliert wurde oder nicht, und regelmäßig zu erfassen, ob die Bord-Infotainmentvorrichtung 12 manipuliert wurde oder nicht. Ähnlich, wenn Ergebnisse der durch die anderen Überwachungsvorrichtungen durchgeführten Überwachung des Bordnetzwerks abnorm sind, und wenn ein Ergebnis der durch die Bord-Infotainmentvorrichtung 12 durchgeführten Überwachung des fahrzeugexternen Netzwerks abnorm ist, lässt die Ablaufsteuereinheit 46 zu, dass eine abnorme Meldung und Meldungen vor der abnormen Meldung und Meldungen nach der abnormen Meldung in einem Protokoll gespeichert werden, und beginnt zuzulassen, dass das Protokoll dem Security Operations Center gemeldet wird.
  • Ein viertes Beispiel der Modifikationen ist beschrieben. Jedem der Überwachungsobjekte kann vorab ein Wichtigkeitsgrad zugewiesen werden. Die Ablaufsteuereinheit 46 jeder der Überwachungsvorrichtungen kann Vorgänge gemäß einem Wichtigkeitsgrad umschalten, der einem Überwachungsobjekt zugewiesen ist, bei dem eine Abnormität erfasst wurde. Genauer ist eine Vielzahl von Arten von Formen des Umschaltens zwischen Vorgängen vorgegeben. Die Ablaufsteuereinheit 46 kann eine aus der Vielzahl von Arten von Formen des Umschaltens zwischen Vorgängen gemäß einem Wichtigkeitsgrad eines Überwachungsobjekts wählen, in dem eine Abnormität durch eine Vielzahl der anderen Überwachungsvorrichtungen erfasst wurde. Der Wichtigkeitsgrad kann gemäß Typen von Überwachungsobjekten (einem Inneren jeder der Überwachungsvorrichtungen, dem Bordnetzwerk und dem fahrzeugexternen Netzwerk) zugewiesen werden. Zum Beispiel kann ein niedriger Wichtigkeitsgrad dem fahrzeugexternen Netzwerk zugewiesen sein. Ein mittlerer Wichtigkeitsgrad kann dem Bordnetzwerk zugewiesen sein. Ein hoher Wichtigkeitsgrad kann einem Inneren jeder der Überwachungsvorrichtungen zugewiesen sein. Weiter kann der Wichtigkeitsgrad gemäß einer Anzahl von Überwachungsobjekten zugewiesen sein, in denen jeweils eine Abnormität erfasst wurde. Je größer die Anzahl, desto höher ist der Wichtigkeitsgrad, der zugewiesen werden kann. Weiter können unterschiedliche Wichtigkeitsgrade jeweils denselben Arten von Überwachungsobjekten zugewiesen werden (z.B. einem CAN und einem Ethernet-Netzwerk). Je höher ein Wichtigkeitsgrad eines Überwachungsobjekts, in dem eine Abnormität erfasst wurde, kann die Ablaufsteuereinheit 46 zu einem umso strikteren Kriterium umschalten, das zum Überwachen der Überwachungsvorrichtung benutzt wird, die die fragliche Ablaufsteuereinheit 46 enthält, oder sie kann einen Vorgang durchführen, der sich auf die Sicherheit bezieht und einer ernsteren Abnormität entspricht.
  • Ein weiteres Beispiel der Modifikationen ist beschrieben. Das Fahrzeug 10 kann (eine) andere Überwachungsvorrichtung(en) enthalten, die in der beispielhaften Ausführungsform nicht beschrieben ist/sind. Eine Anzahl der Überwachungsvorrichtungen ist nicht eingeschränkt. Das Fahrzeug 10 kann zum Beispiel Netzwerke enthalten, die in der beispielhaften Ausführungsform nicht beschrieben sind, wie etwa ein CAN mit flexibler Datenrate (CAN FD), FlexRay und Media Oriented Systems Transport (MOST). Weiter kann das Fahrzeug 10 Überwachungsvorrichtungen enthalten, die die Netzwerke überwachen. Wenn weiter selbe Arten von Netzwerken eine Vielzahl von Kanälen (z.B. eine Vielzahl von Bussen) enthalten, kann eine Überwachungsvorrichtung für jeden der Kanäle vorgesehen sein. Zum Beispiel können jeweils zwei Überwachungsvorrichtungen, die jeweils ein Eingangstor überwachen, für zwei fahrzeugexterne Netzwerke vorgesehen sein. Weiter können jeweils zwei CAN-Überwachungs-ECUs für zwei CANs vorgesehen sein.
  • Zwei Überwachungsvorrichtungen können am Fahrzeug 10 angebracht sein. In einer nachfolgenden Beschreibung sind die Bord-Infotainmentvorrichtung 12 und die CAN-Überwachungs-ECU 16 am Fahrzeug 10 angebracht. Ein Beispiel des Umschaltens zwischen Vorgängen der Bord-Infotainmentvorrichtung 12 ist mit Bezugnahme auf das Betriebsbeispiel (1) in 4 beschrieben. Wenn ein Ergebnis einer durch die CAN-Überwachungs-ECU 16 durchgeführten Host-Überwachung normal ist, lässt die Bord-Infotainmentvorrichtung 12 eine Erfassung, ob Middleware manipuliert wurde oder nicht, bei der Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu. Wenn andererseits ein Ergebnis einer durch die CAN-Überwachungs-ECU 16 durchgeführten Host-Überwachung abnorm ist, lässt die Bord-Infotainmentvorrichtung 12 eine Erfassung, ob Middleware und jede der Anwendungen manipuliert wurden oder nicht, bei der Host-Überwachung der Bord-Infotainmentvorrichtung 12 zu. Wenn weiter ein Ergebnis einer durch die CAN-Überwachungs-ECU 16 durchgeführten Netzwerküberwachung normal ist, lässt die Bord-Infotainmentvorrichtung 12 in der Netzwerküberwachung der Bord-Infotainmentvorrichtung 12 nur zu, dass eine Meldung, in der eine Abnormität erfasst wurde, im nichtflüchtigen Speicher gespeichert wird. Wenn andererseits ein Ergebnis einer durch die CAN-Überwachungs-ECU 16 durchgeführten Netzwerküberwachung abnorm ist, lässt die Bord-Infotainmentvorrichtung 12 in der Netzwerküberwachung der Bord-Infotainmentvorrichtung 12 zu, dass eine Meldung, in der eine Abnormität erfasst wurde, eine vorgegebene Anzahl von Meldungen vor der Meldung, in der eine Abnormität erfasst wurde, und eine vorgegebene Anzahl von Meldungen nach der Meldung, in der eine Abnormität erfasst wurde, im nichtflüchtigen Speicher gespeichert wird.
  • Ein Gateway und eine beliebige ECU, wie etwa eine Steuerungs-ECU, kann eine in der beispielhaften Ausführungsform beschriebene Überwachungsfunktion aufweisen.
  • Jede öffentlich bekannte Technik kann für ein Verfahren angewendet sein, durch das die Überwachungsvorrichtungen einander Daten über ein Überwachungsergebnis melden. Zum Beispiel kann ein Überwachungsergebnis über ein Netzwerk in einem Fahrzeug gemeldet werden (z.B. ein CAN, ein CAN FD, ein Ethernet-Netzwerk, MOST und FlexRay). Alternativ kann ein Überwachungsergebnis über eine spezielle Leitung gemeldet werden (z.B. Kabel, ein CAN und ein Ethernet-Netzwerk).
  • Die Ablaufsteuereinheit 46 sendet gemäß einem Überwachungsergebnis nicht nur einen Befehl, der zwischen Aktivierung und Deaktivierung des autonomen Fahrens umschaltet, sondern kann auch an andere Vorrichtungen einen Befehl senden, der zwischen Vorgängen umschaltet.
  • Ein Überwachungsergebnis zeigt nicht nur eine Abnormität oder eine Normalität, sondern kann auch einen schwebenden Zustand zeigen. Der schwebende Zustand kann einen Zustand umfassen, in dem eine Überwachungsfunktion nicht betrieben wurde. Weiter kann der schwebende Zustand einen Zustand umfassen, in dem eine Überwachungsfunktion eine Überprüfung durchführt. Die Vielzahl von Überwachungsvorrichtungen des Fahrzeugs 10 kann einander ein Überwachungsergebnis melden, das einen schwebenden Zustand zeigt, wenn eine Überwachungsfunktion nicht betrieben wurde, oder wenn eine Überwachungsfunktion eine Überprüfung durchführt.
  • Wenn ein Überwachungsergebnis ein schwebender Zustand ist, kann die Ablaufsteuereinheit 46 einen Ablauf durchführen, der sich von einem Ablauf unterscheidet, der durchgeführt wird, wenn ein Überwachungsergebnis normal und abnorm ist. Wenn mindestens eins von allen Überwachungsergebnissen, z.B. Ergebnissen einer durch eine der Überwachungsvorrichtungen und die anderen Überwachungsvorrichtung durchgeführten Host-Überwachung und Ergebnissen einer durch eine der Überwachungsvorrichtungen und die anderen Überwachungsvorrichtung durchgeführten Netzwerküberwachung, einen schwebenden Zustand oder eine Abnormität enthält, lässt die Ablaufsteuereinheit 46 der einen der Überwachungsvorrichtungen nicht zu, dass die autonome Fahrsteuerungsvorrichtung oder das FAS eine autonome Fahrfunktion aktiviert. Wenn weiter eine der Überwachungsvorrichtungen an die Ablaufsteuereinheit 46 ein Überwachungsergebnis meldet, das einen schwebenden Zustand zeigt, lässt die Ablaufsteuereinheit 46 nicht zu, dass die Frame-Sperreinheit 31 einen Vorgang durchführt, der Frames sperrt, bis die Überwachungsvorrichtung, die an die Ablaufsteuereinheit 46 ein Überwachungsergebnis gemeldet hat, das einen schwebenden Zustand zeigt, ein Überwachungsergebnis meldet, das eine Abnormität zeigt, das heißt, bis eine Abnormität bestimmt ist.
  • Weiter zeigt ein Überwachungsergebnis nicht nur eine Abnormität und eine Normalität, sondern kann auch einen Zwischenzustand zeigen. Alternativ zeigt ein Überwachungsergebnis nicht nur eine Abnormität, eine Normalität und einen schwebenden Zustand, sondern kann auch einen Zwischenzustand zeigen. Es ist schwierig für die Überwachungsfunktion zu bestimmen, ob der Zwischenzustand eine Normalität oder eine Abnormität ist. Wenn beispielsweise eine Meldung einen Wert aufweist, der in einem normalen Bereich liegt, aber der Wert der Meldung nahe bei einem Schwellwert liegt, auf dessen Grundlage eine Abnormität bestimmt wird, kann die Netzwerküberwachungseinheit 34 bestimmen, dass sich die Meldung in einem Zwischenzustand befindet, oder kann bestimmen, dass sich ein Ergebnis der Netzwerküberwachung in einem Zwischenzustand befindet. Ähnlich, wenn ein Wert bezüglich eines Zustands einer der Überwachungsvorrichtungen in einem normalen Bereich liegt, aber der Wert nahe bei einem Schwellwert liegt, auf dessen Grundlage eine Abnormität bestimmt wird, kann die Host-Überwachungseinheit 36 einer der Überwachungsvorrichtungen bestimmen, dass sich ein Ergebnis der Host-Überwachung in einem Zwischenzustand befindet. Wenn ein Überwachungsergebnis ein Zwischenzustand ist, kann die Ablaufsteuereinheit 46 einen Ablauf durchführen, der sich von einem Ablauf unterscheidet, der durchgeführt wird, wenn ein Überwachungsergebnis normal, abnorm oder ein schwebender Zustand ist.
  • In der beispielhaften Ausführungsform ist die vorliegende Offenbarung als Sicherheitsmaßnahmen in einem Netzwerk in einem Fahrzeug beschrieben. Jedoch ist die vorliegende Offenbarung nicht nur auf Sicherheitsmaßnahmen in einem Netzwerk in einem Fahrzeug anwendbar. Fahrzeuge sind ein Beispiel eines Fortbewegungsmittels. Die vorliegende Offenbarung ist nicht nur auf Fahrzeuge anwendbar, sondern auch auf Fortbewegungsmittel anwendbar, wie etwa Baumaschinen, landwirtschaftliche Maschinen, Schiffe, Eisenbahnen und Flugzeuge.
  • In der beispielhaften Ausführungsform und den Beispielen der Modifikationen der beispielhaften Ausführungsform offenbarte Techniken können durch die folgenden Punkte gekennzeichnet sein.
  • [Punkt 1]
  • Eine Überwachungsvorrichtung ist eine aus einer Vielzahl von Überwachungsvorrichtungen, die an einem Fortbewegungsmittel anzubringen sind. Die Überwachungsvorrichtung ist ausgelegt, einen abnormen Zustand eines ersten Überwachungsobjekts zu überwachen. Die Überwachungsvorrichtung enthält einen Empfänger und eine Steuereinheit. Der Empfänger ist ausgelegt, ein Erfassungsergebnis einer Abnormität zu empfangen, die durch eine weitere Überwachungsvorrichtung erfasst ist, die einen abnormen Zustand eines zweiten Überwachungsobjekts überwacht, das verschieden ist von dem ersten Überwachungsobjekt. Die Steuereinheit ist ausgelegt, einen durch die Überwachungsvorrichtung durchzuführenden Vorgang gemäß dem Erfassungsergebnis der durch die andere Überwachungsvorrichtung erfassten Abnormität zu ändern.
  • Die Überwachungsvorrichtung steuert Formen von sicherheitsbezogenen Vorgängen oder des Verhaltens des Fortbewegungsmittels angemessener gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile, die nicht durch die Überwachungsvorrichtung selbst überwacht werden.
  • [Punkt 2]
  • Die in Punkt 1 beschriebene Überwachungsvorrichtung kann eine Eingangstorvorrichtung sein. Das erste Überwachungsobjekt kann eine Eingangstorvorrichtung oder ein Netzwerk außerhalb des Fortbewegungsmittels sein. Die andere Überwachungsvorrichtung kann eine elektronische Steuereinheit sein. Das zweite Überwachungsobjekt kann eine elektronische Steuereinheit oder ein Netzwerk in dem Fortbewegungsmittel sein.
  • Die Überwachungsvorrichtung steuert Formen von sicherheitsbezogenen Vorgängen oder des Verhaltens des Fortbewegungsmittels angemessener gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile, die nicht durch die Überwachungsvorrichtung selbst überwacht werden.
  • [Punkt 3]
  • Die in Punkt 2 beschriebene Überwachungsvorrichtung kann weiter eine Erfassungseinheit enthalten, ausgelegt zu erfassen, ob sich das erste Überwachungsobjekt in einem abnormen Zustand befindet oder nicht. Die Steuereinheit kann den durch die Erfassungseinheit durchzuführenden Erfassungsvorgang ändern.
  • Die Überwachungsvorrichtung passt eine Form eines Überwachungsvorgangs angemessen gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile an.
  • [Punkt 4]
  • Die in Punkt 2 oder 3 beschriebene Überwachungsvorrichtung kann weiter einen Speicherteil enthalten, ausgelegt, ein Protokoll zu speichern, das ein Erfassungsergebnis einer Abnormität des ersten Überwachungsobjekts zeigt. Die Steuereinheit kann einen durch den Speicherteil durchzuführenden Speichervorgang ändern.
  • Die Überwachungsvorrichtung passt eine Form eines Speichervorgangs des Protokolls angemessen gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile an.
  • [Punkt 5]
  • Die in Punkt 1 beschriebene Überwachungsvorrichtung kann eine erste elektronische Überwachungssteuereinheit sein, die ein erstes Netzwerk in dem Fortbewegungsmittel überwacht. Das erste Überwachungsobjekt kann die erste elektronische Überwachungssteuereinheit oder das erste Netzwerk sein. Die andere Überwachungsvorrichtung kann eine zweite elektronische Überwachungssteuereinheit sein, die ein zweites Netzwerk überwacht, das verschieden von dem ersten Netzwerk ist und sich in dem Fortbewegungsmittel befindet. Das zweite Überwachungsobjekt kann die zweite elektronische Überwachungssteuereinheit oder das zweite Netzwerk sein.
  • Die Überwachungsvorrichtung steuert Formen von sicherheitsbezogenen Vorgängen oder des Verhaltens des Fortbewegungsmittels angemessener gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile, die nicht durch die Überwachungsvorrichtung selbst überwacht werden.
  • [Punkt 6]
  • In der in Punkt 5 beschriebenen Überwachungsvorrichtung kann eins aus dem ersten Netzwerk und dem zweiten Netzwerk ein Ethernet-Netzwerk sein, und das andere kann ein Controller Area Network (CAN) sein.
  • Die Überwachungsvorrichtung steuert Formen von sicherheitsbezogenen Vorgängen oder des Verhaltens des Fortbewegungsmittels angemessener gemäß Zuständen des Ethernet-Netzwerks und das CAN, die sich in dem Fortbewegungsmittel befinden.
  • [Punkt 7]
  • Die in Punkt 5 oder 6 beschriebene Überwachungsvorrichtung kann weiter eine Erfassungseinheit enthalten, ausgelegt zu erfassen, ob sich das erste Überwachungsobjekt in einem abnormen Zustand befindet. Die Steuereinheit kann den durch die Erfassungseinheit durchzuführenden Erfassungsvorgang ändern.
  • Die Überwachungsvorrichtung steuert durch die Überwachungsvorrichtung durchgeführte Überwachungsvorgänge angemessener gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile, die nicht durch die Überwachungsvorrichtung selbst überwacht werden.
  • [Punkt 8]
  • Die in einem beliebigen der Punkte 5 bis 7 beschriebene Überwachungsvorrichtung kann weiter einen Frame-Empfänger und eine Sperreinheit enthalten. Der Frame-Empfänger ist ausgelegt, eine von einer Vorrichtung außerhalb der Überwachungsvorrichtung gesendete Meldung zu empfangen. Eine Sperreinheit ist ausgelegt, die Meldung zu sperren. Die Steuereinheit kann einen durch die Sperreinheit durchzuführenden Sperrvorgang ändern.
  • Die Überwachungsvorrichtung passt eine Form des Filterns von Meldungen oder eine Form des Sperrens angemessen gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile an.
  • [Punkt 9]
  • Die in einem beliebigen der Punkte 5 bis 8 beschriebene Überwachungsvorrichtung kann weiter einen Speicherteil enthalten, ausgelegt, ein Protokoll zu speichern, das ein Erfassungsergebnis einer Abnormität des ersten Überwachungsobjekts zeigt. Die Steuereinheit kann einen durch den Speicherteil durchzuführenden Speichervorgang ändern.
  • Die Überwachungsvorrichtung passt eine Form eines Speichervorgangs des Protokolls angemessen gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile an.
  • [Punkt 10]
  • Die in einem beliebigen der Punkte 5 bis 9 beschriebene Überwachungsvorrichtung kann weiter einen Meldeteil enthalten, ausgelegt, an eine Vorrichtung außerhalb der Überwachungsvorrichtung ein Protokoll zu melden, das ein Erfassungsergebnis einer Abnormität des ersten Überwachungsobjekts zeigt. Die Steuereinheit kann einen durch den Meldeteil durchzuführenden Meldevorgang ändern.
  • Die Überwachungsvorrichtung passt eine Form eines Meldevorgangs des Protokolls angemessen gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile an.
  • [Punkt 11]
  • In der in einem beliebigen der Punkte 5 bis 10 beschriebenen Überwachungsvorrichtung kann die Steuereinheit einen Vorgang bezüglich einer autonomen Fahrfunktion des Fortbewegungsmittels ändern.
  • Die Überwachungsvorrichtung steuert die autonome Fahrfunktion des Fortbewegungsmittels angemessen gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile.
  • [Punkt 12]
  • Ein Überwachungssystem enthält eine erste Überwachungsvorrichtung und eine zweite Überwachungsvorrichtung. Die erste Überwachungsvorrichtung ist an dem Fortbewegungsmittel anzubringen. Die erste Überwachungsvorrichtung ist ausgelegt zu erfassen, ob sich ein erstes Überwachungsobjekt in einem abnormen Zustand befindet oder nicht, und ist ausgelegt, an die zweite Überwachungsvorrichtung, die ein zweites Überwachungsobjekt überwacht, das verschieden ist von dem ersten Überwachungsobjekt, ein Erfassungsergebnis einer Abnormität zu senden. Die zweite Überwachungsvorrichtung ist an dem Fortbewegungsmittel anzubringen. Die zweite Überwachungsvorrichtung ist ausgelegt, das von der ersten Überwachungsvorrichtung gesendete Erfassungsergebnis der Abnormität zu empfangen, und ist ausgelegt, einen durch die zweite Überwachungsvorrichtung durchzuführenden Vorgang gemäß dem Erfassungsergebnis der Abnormität zu ändern.
  • Das Überwachungssystem steuert Formen von sicherheitsbezogenen Vorgängen oder des Verhaltens des Fortbewegungsmittels angemessener gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile, die nicht durch eine der Überwachungsvorrichtungen überwacht werden.
  • [Punkt 13]
  • Ein Computerprogramm veranlasst eine Überwachungsvorrichtung, ein Verfahren auszuführen. Die Überwachungsvorrichtung ist eine aus einer Vielzahl von Überwachungsvorrichtungen, die an dem Fortbewegungsmittel angebracht sind. Die Überwachungsvorrichtung ist ausgelegt, einen abnormen Zustand eines ersten Überwachungsobjekts zu überwachen. Das Verfahren enthält: ein Empfangen eines Erfassungsergebnisses einer Abnormität, die durch eine weitere Überwachungsvorrichtung erfasst ist, die einen abnormen Zustand eines zweiten Überwachungsobjekts überwacht, das verschieden ist von dem ersten Überwachungsobjekt; und ein Ändern eines durch die Überwachungsvorrichtung durchzuführenden Vorgangs gemäß dem Erfassungsergebnis der durch die andere Überwachungsvorrichtung erfassten Abnormität.
  • Das Computerprogramm veranlasst die Überwachungsvorrichtung, Formen von sicherheitsbezogenen Vorgängen oder des Verhaltens des Fortbewegungsmittels angemessener gemäß Zuständen verschiedener zu dem Fortbewegungsmittel gehöriger Bestandteile zu steuern, die nicht durch die Überwachungsvorrichtung selbst überwacht werden.
  • Eine beliebige Kombination der beispielhaften Ausführungsform und des/der Beispiel(s/e) der Modifikationen, die oben beschrieben sind, ist auch als beispielhafte Ausführungsformen der vorliegenden Offenbarung nutzbar. Eine beliebige neue beispielhafte Ausführungsform, geschaffen durch eine solche Kombination, zieht Nutzen aus der beispielhaften Ausführungsform und dem/den Beispiel(en) der Modifikationen, die miteinander kombiniert sind, um die neue beispielhafte Ausführungsform zu schaffen. Fachleute werden einsehen, dass Funktionen, die durch in den angefügten Ansprüchen beschriebene Bestandteile durchgeführt werden sollten, durch jeden der in der beispielhaften Ausführungsform und den Beispielen der Modifikationen gezeigten Bestandteile durchgeführt werden. Alternativ werden die Funktionen durch die Bestandteile durchgeführt, die miteinander zusammenwirken.
  • Gewerbliche Anwendbarkeit
  • Die vorliegende Offenbarung betrifft eine Datenverarbeitungstechnik und ist insbesondere nutzbar für eine Überwachungsvorrichtung, ein Überwachungssystem und ein Computerprogramm.
  • Bezugszeichenliste
    • 10
    Fahrzeug (Fortbewegungsmittel)
    12
    Bord-Infotainmentvorrichtung
    14
    Ethernet-Netzüberwachungs-ECU
    16
    CAN-Überwachungs-ECU
    18
    Fahrzeugexternes Netzwerk
    20
    Ethernet-Netzwerk
    22
    CAN
    30
    Frame-Empfänger
    31
    Frame-Sperreinheit
    32
    Überwachungseinheit
    34
    Netzwerküberwachungseinheit
    36
    Host-Überwachungseinheit
    38
    Protokollspeicherteil
    40
    Protokollsender
    42
    Überwachungsergebnis-Sender
    44
    Überwachungsergebnis-Empfänger
    46
    Ablaufsteuereinheit
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 201747835 [0003]

Claims (13)

  1. Überwachungsvorrichtung, die eine aus einer Vielzahl von an einem Fortbewegungsmittel anzubringenden Überwachungsvorrichtungen ist, wobei die Überwachungsvorrichtung ausgelegt ist, einen abnormen Zustand eines ersten Überwachungsobjekts zu überwachen, wobei die Überwachungsvorrichtung umfasst: einen Empfänger, ausgelegt, ein Erfassungsergebnis einer Abnormität zu empfangen, die durch eine weitere Überwachungsvorrichtung erfasst ist, die einen abnormen Zustand eines zweiten Überwachungsobjekts überwacht, das verschieden ist von dem ersten Überwachungsobjekt; und eine Steuereinheit, ausgelegt, einen durch die Überwachungsvorrichtung durchzuführenden Vorgang gemäß dem Erfassungsergebnis der durch die andere Überwachungsvorrichtung erfassten Abnormität zu ändern.
  2. Überwachungsvorrichtung nach Anspruch 1, wobei die Überwachungsvorrichtung eine Eingangstorvorrichtung ist und das erste Überwachungsobjekt eine Eingangstorvorrichtung oder ein Netzwerk außerhalb des Fortbewegungsmittels ist, und die andere Überwachungsvorrichtung eine elektronische Steuereinheit ist und das zweite Überwachungsobjekt eine elektronische Steuereinheit oder ein Netzwerk in dem Fortbewegungsmittel ist.
  3. Überwachungsvorrichtung nach Anspruch 2, weiter umfassend eine Erfassungseinheit, ausgelegt zu erfassen, ob sich das erste Überwachungsobjekt in einem abnormen Zustand befindet oder nicht, wobei die Steuereinheit einen durch die Erfassungseinheit durchzuführenden Erfassungsvorgang ändert.
  4. Überwachungsvorrichtung nach Anspruch 2 oder 3, weiter umfassend einen Speicherteil, ausgelegt, ein Protokoll zu speichern, das ein Erfassungsergebnis einer Abnormität des ersten Überwachungsobjekts zeigt, wobei die Steuereinheit einen durch den Speicherteil durchzuführenden Speichervorgang ändert.
  5. Überwachungsvorrichtung nach Anspruch 1, wobei die Überwachungsvorrichtung eine erste elektronische Überwachungssteuereinheit ist, die ein erstes Netzwerk in dem Fortbewegungsmittel überwacht, das erste Überwachungsobjekt die erste elektronische Überwachungssteuereinheit oder das erste Netzwerk ist, die andere Überwachungsvorrichtung eine zweite elektronische Überwachungssteuereinheit ist, die ein zweites Netzwerk überwacht, das verschieden von dem ersten Netzwerk ist und sich in dem Fortbewegungsmittel befindet, und das zweite Überwachungsobjekt die zweite elektronische Überwachungssteuereinheit oder das zweite Netzwerk ist.
  6. Überwachungsvorrichtung nach Anspruch 5, wobei eins aus dem ersten Netzwerk und dem zweiten Netzwerk ein Ethernet-Netzwerk ist und das andere ein Controller Area Network (CAN) ist.
  7. Überwachungsvorrichtung nach Anspruch 5 oder 6, weiter umfassend eine Erfassungseinheit, ausgelegt zu erfassen, ob sich das erste Überwachungsobjekt in einem abnormen Zustand befindet oder nicht, wobei die Steuereinheit einen durch die Erfassungseinheit durchzuführenden Erfassungsvorgang ändert.
  8. Überwachungsvorrichtung nach einem beliebigen der Ansprüche 5 bis 7, weiter umfassend: einen Frame-Empfänger, ausgelegt, eine von einer Vorrichtung außerhalb der Überwachungsvorrichtung gesendete Meldung zu empfangen; und eine Sperreinheit, ausgelegt, die Meldung zu sperren, wobei die Steuereinheit einen durch die Sperreinheit durchzuführenden Sperrvorgang ändert.
  9. Überwachungsvorrichtung nach einem beliebigen der Ansprüche 5 bis 8, weiter umfassend einen Speicherteil, ausgelegt, ein Protokoll zu speichern, das ein Erfassungsergebnis einer Abnormität des ersten Überwachungsobjekts zeigt, wobei die Steuereinheit einen durch den Speicherteil durchzuführenden Speichervorgang ändert.
  10. Überwachungsvorrichtung nach einem beliebigen der Ansprüche 5 bis 9, weiter umfassend einen Meldeteil, ausgelegt, an eine Vorrichtung außerhalb der Überwachungsvorrichtung ein Protokoll zu melden, das ein Erfassungsergebnis einer Abnormität des ersten Überwachungsobjekts zeigt, wobei die Steuereinheit einen durch den Meldeteil durchzuführenden Meldevorgang ändert.
  11. Überwachungsvorrichtung nach einem beliebigen der Ansprüche 5 bis 10, wobei die Steuereinheit einen Vorgang bezüglich einer autonomen Fahrfunktion des Fortbewegungsmittels ändert.
  12. Überwachungssystem, umfassend: eine erste Überwachungsvorrichtung, anzubringen an dem Fortbewegungsmittel, ausgelegt zu erfassen, ob sich ein erstes Überwachungsobjekt in einem abnormen Zustand befindet oder nicht, und ausgelegt, an eine zweite Überwachungsvorrichtung, die ein zweites Überwachungsobjekt überwacht, das verschieden ist von dem ersten Überwachungsobjekt, ein Erfassungsergebnis einer Abnormität zu senden; und die zweite Überwachungsvorrichtung, anzubringen an dem Fortbewegungsmittel; ausgelegt, das von der ersten Überwachungsvorrichtung gesendete Erfassungsergebnis der Abnormität zu empfangen, und ausgelegt, einen durch die zweite Überwachungsvorrichtung durchzuführenden Vorgang gemäß dem Erfassungsergebnis der Abnormität zu ändern.
  13. Computerprogramm zum Veranlassen einer Überwachungsvorrichtung, ein Verfahren auszuführen, wobei die Überwachungsvorrichtung eine aus einer Vielzahl von Überwachungsvorrichtungen ist, die an dem Fortbewegungsmittel angebracht sind, und die Überwachungsvorrichtung ausgelegt ist, einen abnormen Zustand eines ersten Überwachungsobjekts zu überwachen, wobei das Verfahren umfasst: ein Empfangen eines Erfassungsergebnisses einer Abnormität, die durch eine weitere Überwachungsvorrichtung erfasst ist, die einen abnormen Zustand eines zweiten Überwachungsobjekts überwacht, das verschieden ist von dem ersten Überwachungsobjekt; und ein Ändern eines durch die Überwachungsvorrichtung durchzuführenden Vorgangs gemäß dem Erfassungsergebnis der durch die andere Überwachungsvorrichtung erfassten Abnormität.
DE112018004881.0T 2017-08-30 2018-07-06 Überwachungsvorrichtung, Überwachungssystem und Computerprogramm Pending DE112018004881T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017-165141 2017-08-30
JP2017165141A JP6913869B2 (ja) 2017-08-30 2017-08-30 監視装置、監視システムおよびコンピュータプログラム
PCT/JP2018/025740 WO2019044174A1 (ja) 2017-08-30 2018-07-06 監視装置、監視システムおよびコンピュータプログラム

Publications (1)

Publication Number Publication Date
DE112018004881T5 true DE112018004881T5 (de) 2020-06-18

Family

ID=65525021

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018004881.0T Pending DE112018004881T5 (de) 2017-08-30 2018-07-06 Überwachungsvorrichtung, Überwachungssystem und Computerprogramm

Country Status (4)

Country Link
US (1) US20200177412A1 (de)
JP (1) JP6913869B2 (de)
DE (1) DE112018004881T5 (de)
WO (1) WO2019044174A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7192747B2 (ja) * 2019-11-13 2022-12-20 株式会社オートネットワーク技術研究所 車載中継装置及び情報処理方法
WO2022124069A1 (ja) 2020-12-10 2022-06-16 株式会社オートネットワーク技術研究所 車載装置、不正検知方法及びコンピュータプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017047835A (ja) 2015-09-04 2017-03-09 日立オートモティブシステムズ株式会社 車載ネットワーク装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3358800B1 (de) * 2014-01-06 2021-10-20 Argus Cyber Security Ltd Bus-wächter
JP6595885B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017047835A (ja) 2015-09-04 2017-03-09 日立オートモティブシステムズ株式会社 車載ネットワーク装置

Also Published As

Publication number Publication date
JP2019047177A (ja) 2019-03-22
WO2019044174A1 (ja) 2019-03-07
JP6913869B2 (ja) 2021-08-04
US20200177412A1 (en) 2020-06-04

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE112017006948B4 (de) Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE112016003907T5 (de) Weiterleitungsvorrichtung
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
DE102011084254A1 (de) Kommunikationssystem für ein Kraftfahrzeug
DE102017202176B4 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE112021005629T5 (de) Anomalieerfassungsvorrichtung, anomalieerfassungsverfahren und programm
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE112019006487B4 (de) Elektronische Steuereinheit, elektronisches Steuersystem und Programm
DE102012207215A1 (de) Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
DE112020005954T5 (de) Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
EP3528524A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
EP3246778B1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
DE102012219093A1 (de) Cyber-Sicherheit in einem Kraftfahrzeugnetzwerk
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE102013202961A1 (de) Verfahren zum Überwachen eines Stackspeichers in einem Betriebssystem eines Steuergeräts eines Kraftfahrzeuges
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem
DE102018216958B4 (de) Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren
DE102019201953A1 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP

Free format text: FORMER OWNER: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT CO., LTD., OSAKA, JP